Linux-Magazin Intelligenz im Haus (Vorschau)

01/14
DIE ZEITSCHRIFT FÜR LINUX-PROFESSIONALS
Software zur Event-
Organisation
Konferenzen, Work shops, Refe renten und
Besucher unter einen Hut bringen S. 56
Qubes OS
Newcomer mit Microkernel
und per Xen isolierten
Anwendungen S. 64
Tntnet
Robustes Framework, um
Webanwendungen in C++
zu entwickeln S. 90
Intelligenz im Haus
Home-Automation: Sehen, fühlen,
empfangen, speichern, schalten
■ Gut zu wissen: Standards und Kosten S. 24
■ Raspberry Pi als trällernder Türbutler S. 28
■ Aufgefangen: Software Defined Radio S. 30
■ Intelligente Tools für IP-Kameras S. 36
■ Noch am Anfang: Smarte Stromzähler S. 42
■ Kleine NAS-Kisten fürs vernetze Heim S. 46
■ Linux-Elektronik und Community-Karten für
Hobbysegler S. 50
■ Virtualisierungspraxis: Snapshots
im Virt-Manager möglich S. 72
■ NFtables kann IPtables entthronen S. 84
Arduino statt X10-Protokoll: Wie Perlmeister Schilli seit Neuestem schaltet und waltet S. 96
www.linux-magazin.de
Deutschland Österreich Schweiz Benelux Spanien Italien
4 6,40 4 7,05 sfr 12,80 4 7,50 4 8,30 4 8,30
4 192587 306401 01

Pro These
Login 01/2014
Editorial
Da das Internet (dankenswerter Weise) tief in den Alltag vieler eingedrungen
und zudem ein Teil der Weltökonomie ist, lohnt seine Betrachtung als solches
allemal. Der Diskurs findet offensichtlich auf zwei Ebenen statt: Einer abstrakten
(nützlich, schädlich, gesellschaftsverändernd, urheberrechtlich, nationalstaatlich,
…) und einer konkret-technischen Ebene. Das Linux-Magazin
ist zwingend der zweiten Gruppe zuzurechnen.
Als sichere Teilnehmer der ersten Diskussionsebene dürfen Ossi Urchs (rauschebärtiger
„Internet-Guru der ersten Stunde“ und Agenturinhaber) und
Tim Cole (schütterer Kolumnist, Blogger, „Internet-Experte“) gelten. Beide
sind Verfasser des auf der Buchmesse vorgestellten und bei Hanser erschienenen
Werks „Digitale Aufklärung – Warum uns das Internet klüger macht“.
Jan Kleinert, Chefredakteur
Urchs und Cole starten mit zehn Thesen, die unterfüttern, „Warum wir eine
digitale Aufklärung brauchen“. Um sie an eine Kirchentür zu nageln, polarisieren
die meisten davon aber zu wenig, Beispiel: „Das Leben in einer derart grundsätzlich anderen Welt
wird komplexer, aber nicht komplizierter, sondern einfacher. (These 7)“ Die anderen Thesen richten sich aus
an Beschleunigung, Denken in Echtzeit, Medienwandel, obsolete Begriffe aus der analogen Vergangenheit
oder dem medizinisch korrekten „Digitalisierung und Vernetzung sind kein Schnupfen: Sie gehen nicht
wieder weg! (These 2)“.
Um das Buch als Ganzes zu würdigen: Die Autoren haben einen klaren Kopf und besitzen einen scharfen Blick
auf die Folgen der Vernetzung, die 280 Seiten zwischen den Buchdeckeln sind lesenswert. Auch weist es eine
für solche Sachbücher ungewöhnliche Aktualität auf. Dies erlaubt den Autoren in ihren Ausführungen zu Offenheit
und Glaubwürdigkeit von Politik den Fall Edward Snowden ganz selbstverständlich einzubeziehen.
Dies sind die Passagen, bei denen der Buchkritiker auch ohne Vorbehalte zustimmen mag und für die eine
oder andere klug herausgearbeitete Parallele dankt. Eine Menge anderer Stellen jedoch lassen den Rezensenten
den Kopf schütteln, etwa beim impliziten Dank für das iPhone, welches das mobile Internet wenigen
computerverliebten Geeks entrissen habe – ganz so, als hätten in der Vor-Smartphone-Ära keine Note- und
Netbooks und kein UMTS existiert.
Richtig schwer zu ertragen ist jedoch der Autoren Optimismus in Sachen Systemsicherheit. So verspotten
sie Personaler in Firmen, die Facebook am Arbeitsplatz untersagen, als „Betonköpfe“ und prognostizieren,
dass in Bälde junge Menschen Bewerbungsgespräche abbrechen würden, wenn sie von solchen Verboten
hörten. Dass solche Firmen „früher“ Facebook wegen der Social-Engineering-Gefahr untersagten, lassen
sie heute nicht mehr gelten, da man sich „durch geeignete technische Maßnahmen“ davor schützen könne.
Außerdem sei der Nutzen viel zu hoch (in Europa 15 Milliarden Euro jährlich), um es zu verbieten. Seinen
konkret-technischen Blick auf solche Argumente richtend, entfährt dem Rezensenten eine elfte These:
Digitalisierter Bullshit ist dem analogen gleichgestellt.
www.linux-magazin.de
3
Ihre Meinung ist gefragt
Die Redaktion, würde gerne wissen, was Sie über das
Linux-Magazin denken. Denn wir wollen weiterhin gute Magazine
über eine Linux-Welt machen, die ständig im Umbruch
ist. Die Umfrage läuft unter [http://www.linux-magazin.de/umfrage2013]
und dauert nur ein paar Minuten. Unter
allen Teilnehmern verlosen wir drei 50-Euro-Gutscheine
für den Medialinx Online-Shop.

Inhalt
www.linux-magazin.de 01/2014 01/2014
4
Home-Automation bringt geballte Intelligenz in Haus, Büro und sogar Segelyacht: Der Magazin-Schwerpunkt
stellt den aktuellen Stand der vernetzten (Linux)-Technik vor. Mit dabei
sind diverse Protokolle, Raspberry Pis, aufgebohrte DVB-T-Sticks, IP-Kameras, Stromzähler,
Staubsauger, NAS-Systeme und ein Mesh-Rechner zum Anschrauben an den Bootsmast.
Aktuell
Titelthema: Home-Automation
6 N ew s
n Crowd-finanziertes Blogging
n Kernel 3.12 verbessert Grafiksupport
n Open Stack Havana mit Orchestration
n Neues in Ubuntu 13.10
24 Hard- und Software
Titel
Wer sein Heim digital automatisieren
will, kommt an FHEM, FS20 und
Konsorten nicht vorbei.
36 IP-Kamera
Kommerzielle und freie Anwendungen
zur Steuerung von Kameras im Netz.
Die Webseite des Xen-Projekts feiert bereits:
10 Jahre wird die Virtualisierung alt.
12 Zahlen & Trends
n Wireshark wechselt zu Qt
n Cloud-Überblick der Linux Foundation
n Linus sieht rosige Zukunft für Linux
Scherzen mit dem Publikum der Linuxcon Europe:
Linus Torvalds und Intels Dirk Hohndel.
Ein Raspberry Pi mit zwei Sende-Modulen.
28 Web-Türöffner im Eigenbau
Selbst ist der Linux-Hausmeister:
Schließ anlage mit individuellen
Klingeltönen.
30 Software Defined Radio
Mit Hardware für 20 Euro und freier Software
beginnt die Jagd auf Wetterdaten.
Die kommerzielle Surveillance-Software Xeoma
gibt dem Anwender vollen Überblick.
42 Smart Metering
Das Auswerten von intelligen ten Energiezählern
im Haus steht noch am Anfang.
46 NAS-Systeme für Zuhause
Wer Daten im
eigenen Heim
sicher zen tral
able gen will,
greift zum
Mini-NAS mit
Addons.
18 Zacks Kernel-News
n Fehler in GCC gefunden
n Kernelinterne Dateisysteme
Mit SDR wird Linux zum Funkwellenreiter.
50 Hackerfleet
Der Vollmatrose unter den Linux-
Systemen bringt OSS und Mesh ins Boot.
20 Susecon 2013
In Florida traf sich Suses Enterprise-
Com munity in optimistischer Stimmung.
Ebenfalls Tradition: Im Anschluss an die Susecon
startet der Open Suse Summit.
DELUG-DVD
Open Suse 13.1
TOOL
Bootet von DVD: 64-Bit-Version
der eben erschienenen Nürn bergerin
mit Btr-FS und KDE 4.11.2
Qubes OS
TOOL
TOOL
Von Joanna Rutkowska auf Sicherheit
getrimmt, mit Microkernel
und Xen-isolierten Anwendungen
TOOL
TOOL
Details zu DVD-
TOOL
Inhalten auf S. 55
E-Book komplett
„C von A bis Z“ auf 1000 Seiten
Debconf 2013
Videos: Prominente Debian-Freunde
beim Entwicklertreffen, Teil III
Soft-Appliance
Open Atrium: Drupal-basierte Collaboration-Suite
zum Ausprobieren

01/2014 01/2014
Inhalt
56 Organisationstalente
Firmen und Projekte laden Entwickler,
Benutzer und Fans regelmäßig zu Konferenzen
ein. Den Überblick behalten
sie mit vier Webanwendungen.
72 Schnappschuss
Nach Virsh und Libvirt lernt jetzt auch
das Standard-GUI Virt-Manager, mit
Momentaufnahmen von virtuellen Maschinen
umzugehen. Zeit wird‘s!
90 Web plus plus
Angeregt durch die „Reifeprüfung fürs
Web“ im Linux-Magazin 11/13 zeigen
zwei Autoren, wie sich derlei mit dem
C++-Framework Tntnet lösen lässt.
www.linux-magazin.de
5
Software
Sysadmin
Know-how
55
Einführung
Auf der DELUG-DVD: Open Suse 13.1, ein
E-Book über C, Qubes OS und eine virtuelle
Maschine mit Open Atrium.
71 Einführung
Aus dem Alltag eines Sysadmin: Charly
sichert Daten mit Backup2l.
84 NFtables
Titel
Umbruch in der Linux-Firewall: Im
Kernel 3.12 kommen die NFtables.
56 Bitparade
Titel
Vier Event-Manager im Test: Frab, OSEM,
Pycon-De-Website-System und Conftool.
64 Qubes OS
Titel
Mit Microkernel und Virtualisierung in
Richtung sicheres Betriebssystem.
Hier hat Backup2l eine differenzielle Level-3-
Sicherung auf ein NAS absolviert.
72 Snapshots im Virt-Manager
Titel
Mit Virsh oder erstmals grafisch in
Fedora 20 VMs einfrieren.
Auf IPchains und IPtables folgen die NFtables.
88 Insecurity-Bulletin
Adressflut: Vorsicht vor einem Denial of
Service (DOS) in der Glibc.
Jenseits der Bedrohung: Qubes OS.
68 Tooltipps
Drukkar 1.11, Tinc 1.0.23, Ftwin 0.8.8,
Log Analyzer 3.6.5, Maildrop 2.7.0, und
Binwalk 1.2.2
Forum
76 Recht
Linkedin greift mit Intro in E-Mails seiner
Kunden ein. Mit geltendem Recht ist das
im Unternehmen nicht vereinbar.
© mehmet can, 123RF.com
Unerwartet umfangreiche Daten sind gefährlich.
Programmieren
Service
3 Editorial
100 IT-Profimarkt
101 Seminare
104 Veranstaltungen
104 Inserenten
105 Impressum
106 Vorschau
Einfach nur schöner, das glaubt Linkedin, mache
man die E-Mails der Kunden.
80 Tux liest
Ein Buch über performante
Webanwen
dungen und ein
Linux-Handbuch.
82 Leserbriefe
Auf den Punkt gebracht.
90 Tntnet
Titel
Schnelle Webanwendungen in C++ und
mit MVC-Architektur programmieren.
96 Perl-Snapshot
Ein Perl-Bastelprojekt mit der vielseitigen
Arduino-Platine.
Wie von Geisterhand: Perl schaltet Geräte.

Aktuell
www.linux-magazin.de News 01/2014
6
News
Schöner bloggen mit Ghost
Die Entwickler von Ghost,
einer mit 100 000 US-Dollar
Crowd-finanzierten Blogging-
Plattform, haben für ihr Geld
offensichtlich ganze Arbeit
geleistet und eine erste öffentliche
Version ihrer Software
vorgestellt.
Das unter der freien MIT-
Lizenz stehende Blogging-
System geben sie als Maintenance-Release
0.3.2 für
die breite Öffentlichkeit frei.
Die Entwickler des Projekts
hatten zuvor in der nur für
Unterstützer veröffentlichten
Version 0.3.1 noch eine Reihe
von Bugs aufgespürt und entschärft.
Neben einer Downloadmöglichkeit
für Ghost
Ghost ist ein in Javascript geschriebenes Blogging-System.
[http://​ghost.​org/​download/] findet
sich auf den Webseiten
des Projekts auch eine hilfreiche
Anleitung, die Unterstützung
bei der Installation
bietet.
Wer Ghost auf dem eigenen
Server betreiben möchte, benötigt
die letzte stabile Version
0.10.x von Node.js, weil Ghost
in Javascript geschrieben ist.
Wie der Anwender Ghost in
einer Cloudumgebung ausliefert
und auf welchen Plattformen
es zur Zeit nicht läuft,
erklärt eine Deployment-Webseite.
Die lokale Installation klappte
im Schnelltest über »npm
install ‐‐production« recht
problemlos, anschließend
erschien das Blog unter der
URL [http://​localhost:2368] im
Browser. Admins geben [http://​
​localhost:2368/​ghost] ein, um einen
Account zu erstellen. n
Icinga verbessert GUI- und Web-Ansicht
Die Monitoring-Software Icinga
[https://​icinga.​org] ist in der
neuen Version 1.10 erschienen,
sie bringt Änderungen
am klassischen und am Web-
Userinterface mit. Nutzer des
klassischen GUI können jetzt
anklickbare Filter verwenden,
partielle Servicegruppen setzen
sowie Informationen zu
Variablen in den Host- und
Statusdetails abrufen. Die Suche
lässt sich in Version 1.10
über reguläre Ausdrücke verfeinern,
zu denen nun eine
Exklusion über »!« gehört,
die Ergebnisse tauchen schon
während der Such eingabe
farbkodiert auf.
Für Nutzer von Icinga Web ist
der ehemalige Datenbereich in
neue Kategorien unterteilt, die
sich ein- und ausklappen lassen.
Sie können Kommandos
senden, um alle Kommentare
zu einem Host oder Dienst zu
löschen und Verfallsdaten für
die Benachrichtigung auf allen
Instanzen einrichten. Zudem
gibt es neue Ansichten
der Problem-Cronks, die Soft
und Hard States verschiedenfarbig
anzeigen.
Zu den Änderungen im Kern
der Monitoring-Software gehört,
dass Nutzer in großen
Umgebungen mehrfache IDO-
Module ergänzen dürfen.
Das von KDE genutzte Phonon-Framework
zur Ausgabe
und Verarbeitung von Video-
und Audio-Material ist
in Version 4.7.0 erschienen.
Den Entwicklern zufolge
weist das VLC-Backend eine
„hohe Qualität“ auf, weshalb
Phonon Inhalte ab sofort über
Zugleich lassen sich Performance-Verbesserungen
durch
das gezielte Abschalten von
Statusupdates für Custom-Variablen
und durch das automatische
Zurechtstutzen von
Tabellen für die Downtime
History erzielen.
n
Phonon in Version 4.7.0 erschienen
VLC ausgibt. Das Gstreamer-
Backend ist jedoch weiterhin
vorhanden und liegt ebenfalls
in neuer Version vor, zudem
wird nun Qt 5 unterstützt.
Die Änderungen der Phonon-
Komponenten sowie eine
Übersicht aller Fehlerkorrekturen
liefert das KDE-Wiki. n

Linux 3.12 verbessert Grafiksupport
Schlagzeilen machte die neue
Kernelversion 3.12 bisher vor
allem mit der Performance der
quelloffenen Grafikkartentreiber
für ATI- und Nvidia-Karten:
Der freie Nouveau- sowie
vor allem der Radeon-Treiber
arbeiten dank Kernel 3.12
deutlich schneller, stellte die
Webseite Phoronix in Benchmarks
fest. Verantwortlich
dafür seien hauptsächlich die
Änderungen am CPU-Freq-
Governor, der den Prozessortakt
reguliert.
Der Radeon-Treiber bringt
zudem Support für Dynamic
Power Management mit, das
voraussichtlich ab Kernel 3.13
standardmäßig aktiviert wird.
Dabei schalten die Grafikkarten
zwischen Performance-
Leveln innerhalb der Power-
Zustände hin und her.
Für Intels Haswell-Architektur
hat Paul Zanoni PC8+-Support
integriert. Dabei handelt
es sich um einen tieferen
Schlaf zustand für das System,
aus dem es zugleich schneller
aufwache, was vor allem für
Tablets interessant sei.
Vor dem Hintergrund der aktuellen
Sicherheitsdebatten
sind auch Ted Tsos Änderungen
an »/dev/random« spannend:
Sie sollen während der
Bootsequenz des Kernels das
Initialisieren des Entropiepools
verbessern. Eine neue
und noch experimentelle
Rendernode-Infrastruktur für
DRM soll zudem das Rechnen
und Rendern künftig beschleunigen
und es erlauben,
Kernel Mode Setting und DRM
getrennt anzusteuern.
Das Ext-3-Dateisystem kann
nun auf ein externes Journal
zugreifen, das XFS-Dateisystem
unterstützt User Namespaces,
das Lustre-Dateisystem
ist nach Reparaturen im
Buildsystem aktiviert. n
Samba 4.1.0 tanzt mit SMB 2 und 3
Samba 4.1.0 bringt laut Ankündigung
erstmals Client-
Tools und ‐Bibliotheken mit,
die mit den neuen Protokollen
SMB 2 und SMB 3 umgehen
können. Das setzt auf der
Gegenseite allerdings einen
Samba-Server ab Version 4.0.0
oder ein Windows 2012 und
Windows 8 voraus.
Als Standardprotokoll für
Smbclient und Smbcacls
kommt indes weiterhin SMB
1 zum Einsatz, über die Option
»‐mSMB3« lässt sich SMB
3 jedoch aktivieren. Alternativ
hilft der Eintrag »client
max protocol = SMB3« in
der »[global]«-Sektion in der
»smb.conf«.
Eine weitere Änderung: Die
Unix-Extensions funktionieren
mit Smbclient nicht mehr,
da SMB 2 und 3 diese nicht
unterstützen. Das hat Folgen
für den verschlüsselten Datentransport,
der nun eine
Alternative braucht. Für SMB
2 wird eine solche in den Release
Notes nicht erwähnt.
Wer SMB 3 verwendet, kann
die AES-CCM-Verschlüsselung
(RFC 5084) über den Parameter
»‐e« aktivieren, was auf
der Gegenseite einen aktuellen
Server voraussetzt.
Zudem gibt es Server-seitigen
Copy-Support über »FSCTL_
SRV_COPYCHUNK« von SMB
2. Er beschleunigt die Kopieraktionen
von Dateien deutlich,
weil sie während des
Vorgangs nicht mehr über das
Netzwerk wandern müssen.
Wer Swat sucht, das grafische
Samba Web Administration
Tool, wird nun nicht mehr
fündig, denn die Software
wurde entfernt – im Wesentlichen
aus Security-Gründen.
Samba 4.1.0 seht unter der
GPL, der Quellcode lässt sich
über die Webseite [https://​www.​
​samba.​org] herunterladen. n
News 01/2014
Aktuell
www.linux-magazin.de
7
Linuxcon Europe: SDN mit Open Daylight
Auf der Linuxcon, die im Oktober
in Edinburgh stattfand,
hat sich das Projekt Open Daylight
[http://​www.​opendaylight.​
​org] vorgestellt, das einen
freien Controller für Software
Defined Networking (SDN)
entwickelt. Es bietet REST-
APIs für Service Orchestration
(Northbound Interface) sowie
einen Service Abstraction Layer
(SAL), um mit möglichst
vielen physischen und virtuellen
Netzwerkgeräten zu
kooperieren (Southbound
Interface). Open Daylight unterstützt
das Protokoll Open
Flow, eine Adapterschicht soll
auch Geräte einbinden, die
nur SNMP beherrschen.
Chris Wright von Red Hat,
der Open Daylight vorstellte,
nannte 14 Unterprojekte, die
Komponenten entwickeln und
gemeinsam veröffentlichen.
Zu diesen zählen Hochverfügbarkeit
und Clustering, Workload
Affinity Management,
Lisp Mapping Service (Lisp:
Locator/​Identificator Separation
Protocol) sowie die Yang-
Tools, die Netzwerkmodelle in
Java-Bindings übersetzen. Eine
mittels Angular JS gebaute
Weboberfläche steuert die
Software per REST-API.
Die Webseite des Open-Daylight-Projekts erklärt Software Defined Networking.
Giovanni Meo von Cisco gab
Einblicke in die Implementierung:
Der Controller sei in
Java geschrieben. Erweitern
lasse sich das System in jeder
JVM-Sprache, etwa mit Jruby,
Jython oder Scala. Daneben
baut Open Daylight auf das
OSGI-Framework, das beim
Modularisieren hilft und Komponenten
zur Laufzeit (un)installierbar
macht.
Neben Red Hat und Cisco arbeiten
Citrix, NEC, IBM, Juniper
und Microsoft an Open
Daylight mit. Die erste Release
mit dem Codenamen Hydrogen
soll im Dezember 2013
erscheinen, derzeit tragen 70
Entwickler zum Projekt bei.n

Aktuell
www.linux-magazin.de News 01/2014
8
Open Stack Havana mit Metering und Orchestration
Das freie Cloud-Computing-
Framework Open Stack [http://​
​www.​openstack.​org] macht in
der Release 2013.2 alias Havana
mit zahlreichen Neuerungen
auf sich aufmerksam.
Mit Open Stack Metering (Ceilometer)
und Orchestration
(Heat) wird das Framework
um zwei brandneue Komponenten
bereichert, die Nutzungs-
und Performancedaten
sammeln sowie komplette Applikationen
anhand von Templates
einrichten.
Daneben gibt es viele Verbesserungen
an den bestehenden
Komponenten: Der Object-Storage
Swift kann nun in einem
einzigen Cluster große geografische
Gebiete umspannen.
Daneben lässt sich zur Konfiguration
ein Verzeichnis mit
mehreren Dateien einsetzen.
Durch Neuordnen von Festplattenzugriffen
und Thread
Pools verbessert sich die Disk-
Performance. Die Compute-
Komponente Nova erhielt
experimentell eine bereinigte
Version 3 des REST-API, das
in der Icehouse-Release fertiggestellt
werden soll. Daneben
unterstützt Nova nun die
Virtualisierungscontainer von
Docker.
Auch rund um Image-Server,
Dashboard, Identity- und
Netzwerkdienste gibt es viel
Neues. Rund 400 Änderungen
zählen die umfangreichen
Release Notes auf. Daneben
findet sich auf der Havana-
Seite ein Screencast zur Einführung.
Open Stack Havana ist in
der jüngsten Ubuntu-Release
13.10 enthalten, für Suse gibt
es Pakete im Open Build Service.
Daneben ist der Quellcode
per Git erhältlich, es gilt
die Apache-Lizenz. n
Das ist neu in Ubuntu 13.10
Ubuntu 13.10 ist da, und besonders
stolz sind die Entwickler
auf Ubuntu Touch, die
erste stabile Smartphone-Variante
von Ubuntu. Sie besteht
im Kern aus einem Ubuntu,
bringt aber eine Touch-Oberfläche
für Smartphone-Nutzer
mit. Canonicals nächstes Ziel:
2014 will die Firma das OS
zusammen mit einem Hardwarepartner
auf den Markt
bringen, wobei ein konkretes
Partnerschafts-Announcement
nach wie vor fehlt. Bis dahin
liegt noch ein arbeitsreicher
Weg vor dem Projekt: Die
„Known-Problems“-Sektion in
den Release Notes listet zahlreiche
Probleme auf.
Auch mehr Apps benötigt die
Plattform noch: Aktuell preist
die Pressemitteilung lediglich
einen Browser, einen Kalender,
eine Uhr, einen Taschenrechner
sowie eine Wetter-App
an, also nichts Spektakuläres.
Vorhandenen Apps fehlen zudem
noch grundlegende Fähigkeiten:
So lassen sich etwa
Events im Kalender nicht
ändern und keine Reminder
einstellen, der Kamera-App
fehlt eine Videofunktion, der
Uhr eine Alarmfunktion und
so weiter. Ein optimiertes SDK
und das Schlagen der Werbetrommel
für App-Entwickler
sollen in diesem Bereich die
Wende bringen.
Die Änderungen für die Desktop-Variante
fallen eher mau
aus, da sich die Entwickler
auf den Mobilbereich konzentrierten.
So ist Mir, der neue
Displayserver, standardmäßig
nur auf Smartphones im Einsatz.
Auf dem Desktop bleibt
er lediglich eine Option, weil
die Qualität von Xmir nicht
ausreiche. Von Mir verspricht
Der PC-Desktop von Ubuntu 13.10 bringt recht wenige Neuerungen mit.
sich Canonical eine dramatisch
bessere Performance für
Spiele und einen optimierten
Zugriff auf die verbaute Grafik-Hardware.
Eine so genannte Smart
Scope bündelt die Ergebnisse
von mehr als 50 Scopes,
also von Suchfunktionen für
Onlinedienste wie Wikipedia,
Amazon, Google News und
Flickr. Im Test zeigten die
zurückgelieferten Ergebnisse
mitunter noch recht wenig Relevanz.
Die zwischengeschalteten
Server sollen aber lernfähig
sein, um sukzessive bessere
Ergebnisse zu erzielen.
Die Webanfragen wandern
dabei über Canonicals Server,
die sie anonymisieren – das
schließt auch Bilder ein.
Neben optischen Änderungen
am Desktop fällt zunächst
auf, dass der Installer ein Zusatzfenster
mitbringt, um Profile
für Ubuntus Clouddienst
Ubuntu One einzurichten. Ein
Indikator-Icon in der rechten
oberen Ecke lässt die Benutzer
ein anderes Tastaturlayout
wählen.
Unter der Haube arbeitet
Kernel 3.11, Upstart ist in
Version 1.10 dabei. Von der
Cloudumgebung Open Stack
ist die brandneue Version
2013.2 (Codename Havana)
mit von der Partie. Auch LXC
hat Ubuntu 13.10 im Gepäck,
allerdings in einer ersten Alphaversion.
Beim Virtualisieren
helfen Qemu 1.5.0 und
Libvirt 1.1.1, Ceph 0.67.4 verbessert
die Performance und
beherrscht eine Blockdevice-
Verschlüsselung.
In den Release Notes finden
sich weitere Informationen
und Links auf zahlreiche
Ubuntu-Versionen. n

Kritik an CDM-Entwicklung im W3C
Brendan Eich, Javascript-Erfinder
und CTO von Mozilla,
kritisiert die aktuelle Entwicklung
von DRM unter dem
Schirm des W3C. Mozilla sei
nicht generell gegen DRM,
aber der aktuell eingeschlagene
Weg sei falsch.
Eichs Kritik [https://​brendaneich.​
​com/​2013/​10/] richtet sich gegen
eine Unterspezifizierung der
Content Decryption Modules
(CDMs) für DRM, die im
Rahmen der Encrypted Media
Extensions (EME) unter dem
Dach des W3C entwickelt werden.
Aufgrund dieser müssten
Browser, die DRM unterstützen
möchten, künftig verschiedene
Plugins für diverse
Betriebssysteme supporten,
weil die CDMs voneinander
abweichen. Das aber laufe
der Standardisierungsaufgabe
des W3C zuwider. Dem Konsortium
wirft er vor, lediglich
die Interessen der zahlenden
Mitglieder zu vertreten, nicht
aber für Standards und ein offenes
Web zu sorgen.
In den Kommentaren widerspricht
Jeff Jaffe vom W3C.
EME sei nicht willentlich unterspezifiziert,
sondern nur
ein Entwurf, und das W3C
habe diesem gegenüber keinerlei
Position bezogen oder
eine Spezifikation akzeptiert.
Man betrachte eine Content-
Protection-Lösung lediglich
ganz allgemein als vom W3C
spezifizierbar. Mozilla könne
gern Kritik anmelden, aber
es sei nicht geplant, DRM in
HTML 5 zu integrieren.
Dem stellt sich Eich entgegen:
Es sei Mark Watson
von Netflix gewesen, der die
CDM-Spezifikation als „unterspezifiziert“
bezeichnet
habe. Watson entwickelt EME
vornehmlich zusammen mit
Mitarbeitern von Microsoft,
Apple und der BBC. Das W3C
verfolge die Diskussionen auf
der Mailingliste seit geraumer
Zeit, so Eich, und er wäre sehr
überrascht, wenn es seine Kritik
lediglich aufspare, bis die
Spezifikation fertig sei.
Die Kritik käme dann auch
recht spät, weil es bereits erste
Implementierungen von
EME in der freien Wildbahn
gäbe: Netflix nutzt EME in
Verbindung mit dem IE 11
unter Windows 8.1, auch für
Chrome OS gibt es eine Implementierung.
Zudem weist
Eich darauf hin, dass Netflix
EME sehr wohl als HTML-5-
Erweiterung sehe, und zitiert
den bereits genannten Mark
Watson. Zudem arbeite er weiterhin
mit anderen Anbietern
an einer Watermark-Lösung
und verweist auf einen Bugreport
zur EME-Entwicklung,
der die Interoperabilität von
CDMs anmahnt.
n
News 01/2014
Aktuell
www.linux-magazin.de
9

Aktuell
www.linux-magazin.de News 01/2014
10
Kurznachrichten
Gimp 2.10: Freie Bildbearbeitung und Photoshop-Alternative mit unzähligen
Filtern. Neu: Der neue Metadaten-Editor von Gimp kann Exif-, XMPund
IPTC-Metadaten in Bildern der Formate JPG, Tiff, PNG und PSD lesen,
schreiben und bearbeiten. Um die Metadaten zu speichern, nutzen die
Entwickler Exiv2 und Gexiv2 des Yorba-Teams, der Macher von Shotwell.
Lizenz: (L)GPLv3 [http://​www.​gimp.​org]
Wordpress 3.7: Blogging-Software mit Contentmanagement-Funktionen.
Neu: Die Release mit dem Codenamen Basie führt automatische Updates
im Hintergrund ein. Die Software installiert automatisch Bugfixes und
Security-bedingte Aktualisierungen. Daneben hat Wordpress die Anforderungen
an Passwörter verschärft. Suchergebnisse sortiert die Software
nach Relevanz, ausgenommen sind die Feeds einer Suche. Außerdem gibt
es rascher lokalisierte Ausgaben einer neuen Wordpress-Release. Lizenz:
GPLv2 [http://​wordpress.​org]
Seafile 2.0: Die Dropbox-ähnliche Software verwendet eine Server-Client-
Architektur zur Synchronisation von Dateien zwischen Clients über einen
zentralen Server. Neu: An Bord ist eine überarbeitete Kryptographie-Funktion,
die Dateien im Webbrowser ver- und entschlüsselt. Das setzt aktuelle
Versionen der Browser Firefox oder Chrome voraus. Der Desktop-Client
bringt ein neues GUI mit, das in Qt programmiert ist. Der Seafile-Server
lockt mit Funktionen zum Backup und Restore, sogar ein Dateisystem-
Check steht zur Verfügung. Lizenz: GPLv2 [https://​seacloud.​cc]
Geexbox 3.1: Eine schlanke Multimedia-Distribution für PCs und Kleinstrechner.
Neu: Die aktuelle XBMC-Version Frodo dient Geexbox als Front​end
für die Backends VDR und Tvheadend, die den Rechner in einen Personal
Video Recorder (PVR) verwandeln. Geexbox setzt laut Ankündigung in der
neuen Version auf den Linux-Kernel 3.10.9 und Systemd in Version 206.
Alsa kümmert sich um den Sound, für eine flüssige Grafikwiedergabe sorgen
VDPAU, VA-API und Crystal HD für die GPUs von Nvidia, ATI respektive
Broadcom. Netzwerktechnisch kennt Geexbox NFS- und Samba-Shares,
beherrscht UPnP und bietet einen HTTP-, FTP- sowie SSH-Server an.
Lizenz: GPLv2 [http://​www.​geexbox.​org]
Xen feiert 10. Geburtstag
Vor zehn Jahren, am 21. Oktober
2003, wurde der Xen Hypervisor
auf dem 19. „ACM
Symposium on Operating
Systems Principles“ der Öffentlichkeit
als Open-Source-
Projekt vorgestellt. In den folgenden
Jahren hat Xen [http://​
​www.​xenproject.​org] zwar Konkurrenz
von KVM bekommen
und eine größere Krise hinter
sich gebracht, er gilt aber vielen
heute wieder als einer der
beiden großen quelloffenen
Hypervisoren.
Anlässlich des Geburtstags
erinnert Community-Manager
Lars Kurth an die Anfänge
von Xen. Die lagen in den
90er Jahren an der Universität
Cambridge, wo Xen im Rahmen
des Forschungsprojekts
Xenoserver entstand, das eine
öffentliche Infrastruktur für
Distributed Computing über
WAN bereitstellen wollte, was
laut Kurth heute unter dem
Namen Cloud Computing bekannt
sei. Kein Wunder, dass
Xen in der Cloudinfrastruktur
der Amazon Web Services
und beim Provider Rackspace
zum Einsatz kommt.
Doch Kurth spart auch Selbstkritik
nicht aus: Weil Xen ein
konkurrenzloser Vorreiter war,
habe man nicht genug für die
Community getan, sich zu
wenig bewegt. Das habe dazu
geführt, dass die Xen-Community
einen schlechten Ruf erhielt,
auf der technischen Seite
habe sie den Linux-Kernel,
Qemu und die Distributionen
Die Webseite des Xen-Projekts weist auf das 10-jährige Jubiläum hin.
Sabayon-Foren gehackt
Schlechte Nachrichten für
Nutzer des Sabayon-Forums:
Ihre Salt-geschützten Passwörter
wurden gestohlen, die
Infrastruktur des Forums angegriffen.
Der Angriff fand Ende
Oktober statt, die Cracker
hatten die Zugangsdaten eines
Administrators erbeutet.
Mit Hilfe von PHP-Backdoor-
Skripten und in die FAQ injiziertem
PHP-Code haben die
Angreifer Zugriff auf alle User
Accounts erlangt, schreibt der
Chief Architect von Sabayon
mit dem Nick name Lxnay. Er
habe den Angriff unter hohem
vernachlässigt. Schließlich sei
Xen nur noch als Dinosaurier
betrachtet worden, unbeweglich
und vom Aussterben
bedroht.
Doch das Projekt habe die
Kurve bekommen, die Projektverwaltung
optimiert, mit
anderen Projekten zusammengearbeitet,
neue Marketing-Kampagnen
gestartet und
die User und Zuarbeiter aktiver
eingebunden. Als Resultat
dieser Anstrengungen wachse
die Community wieder und
sei vielfältiger als je zuvor.
Zugleich erobere Xen neue
Felder wie etwa Smartphones
und In-Car-Infotainment-Systeme.
Die Geburtstagsparty
fand allerdings schon vorgezogen
statt, im April auf dem
Linux Foundation Collaboration
Summit.
n
Zeitaufwand analysiert, die
Schwachstellen behoben und
die Datenbanken aus dem
Backup wiederhergestellt. Vor
allem habe er das Alarmsystem
verbessert, das nun unter
anderem auf ungewollte
Uploads und weitere Signale
reagiere.
Die User müssen allerdings
ihre Passwörter ändern, es
genüge nicht, den Account
einfach zu deaktivieren. Wer
sein Passwort vergessen habe,
könne sich an die Entwickler
wenden. (kki/mfe/mhu/Tim
Schürmann)
n

Aktuell
www.linux-magazin.de Zahlen & Trends 01/2014
12
Zahlen & Trends
Wireshark gibt GTK+ den Laufpass
Die gute alte Zeit: Wireshark hieß Ethereal und lief unter Solaris und Linux.
Mit dem Schritt von GTK+ zu
Qt läutet das Wireshark-Projekt
nach eigenen Angaben in
der aktuellen Version 1.11.0
einen größeren Richtungswechsel
ein. Sowohl GTK+
als auch Qt seien zwar gute
Bibliotheken, um plattformübergreifend
Anwendungen
zu schreiben, aber GTK+
unterstütze nicht alle Plattformen,
auf denen Wireshark
laufen soll, und die Situation
scheine nicht besser zu werden,
schreibt Gerald Combs
im Projektblog [https://​blog.​
​wireshark.​org/​2013/​10/].
Mit Tausenden Zeilen Code,
die das Projekt geändert habe,
sei Wireshark vermutlich die
größte Stand-alone-Anwendung,
die so einen Wechsel
vollzogen habe. Für die Langzeitausrichtung
sei der Schritt
aber wichtig: Letztlich könne
Wireshark den Traffic auf einem
System nur anzeigen,
wenn es auch auf diesem
System laufe.
Quelle: www.wireshark.org
Dann folgt ein Blick zurück:
Als Wireshark noch Ethereal
hieß, habe es nur zwei Plattformen
unterstützt: Linux und
Solaris. GTK+ war damals die
perfekte Wahl. Die Plattformlandschaft
habe sich seitdem
geändert, GTK+ allerdings
eher weniger. So sei es unter
OS X schwierig zu installieren
und es erfordere einigen
Aufwand, selbst eine unterdurchschnittliche
Anwendung
für diese Plattform zu entwickeln.
Qt laufe hingegen auf
den gewünschten Plattformen
und biete dabei ein nettes Benutzererlebnis.
OS-X-Nutzern rät Combs zum
Qt-Port, der allerdings noch
recht rudimentär ausgestattet
sei. Poweruser, die Windows
oder Linux verwenden,
sollten vorerst weiter GTK+
einsetzen. In der Qt-Variante
fehlen bislang noch Capture-
Optionen, I/​O- und Flow-Graphen,
eine VoIP-Analyse und
einiges mehr.
n
Rubinius X soll das bessere Ruby werden
Debian 7.2 und Freeze-Termin für Debian 8
Ruby-Entwickler Brian Shirai
hat ein Projekt namens Rubinius
X gestartet, das Ruby
modernisieren will. In seinem
Blogeintrag [http://​rubini.​
​us/​2013/​10/​15/] schreibt er, dass
die Liebelei der Wirtschaft mit
Ruby vorbei sei, viele Firmen
würden sich anderen Sprachen
zuwenden. Dem Trend
möchte er eine Sprache entgegensetzen,
die die Bedürfnisse
der Unternehmen befriedigt,
Ruby aktualisiert und den
Programmierern sichere Arbeitsplätze
beschert.
Die Website [http://​x.​rubini.​us]
listet die für Rubinius X geplanten
Neuerungen auf. Es
handelt sich um Features, die
auch andere Programmiersprachen
mitbringen. Dazu
gehören etwa Promises und
Non-blocking I/​O, bessere
Unterstützung für Nebenläufigkeit
und verteilte Anwendungen
sowie passendere
Datentypen für numerische
Werte. Wer sich für das Projekt
interessiert, kann seine E-
Mail-Adresse auf der Webseite
hinterlassen.
n
Während die Version 7.2
der Debian-Distribution ausschließlich
Fehler behebt,
haben die Entwickler in ihrer
Ankündigung von Mitte Oktober
auch gleich das Datum
für den Feature Freeze der
kommenden Debian-Version
8 festgelegt.
Demnach erlauben die Debianer
den Einbau von Änderungen
noch bis zum 5.
November 2014. An diesem
Stichtag frieren sie die aktuelle
Debian-Variante ein und
planen, sie nach einer mehrmonatigen
Testphase als stabile
Debian-Version 8 unter
dem Code namen Jessie zu
veröffentlichen. Ein konkreter
Release-Termin steht allerdings
noch nicht fest.
Die behobenen Fehler der
Version 7.2 fasst indes ein
Change log zusammen, so
kletterte etwa die Nummer der
Kernelversion auf 3.2.51. Die
Entwickler haben insgesamt
sechs Pakete ausgemustert,
darunter den Twitter-Client
Turpial und die Iceweasel-
Erweiterung Dactyl. n

Praktische Open-Cloud-Übersicht von der Linux Foundation
Mehr Durchblick: Der Open Cloud Report der Linux Foundation bietet eine praktische
Übersicht zum Thema.
Der Markt für freie Cloudprodukte
ist recht unübersichtlich
geworden. Um Licht
in den Anbieter-Wirrwarr
Quelle: Linux Foundation
zu bringen, bietet die Linux
Foundation ein PDF an, das
die freien Cloudlösungen in
einen Kontext einsortiert.
Nach Eingabe der Benutzerdaten
können Interessierte den
Open Cloud Report von den
Seiten der Linux Foundation
herunterladen. Das 13-seitige
Dokument bietet zuerst eine
kurze Einführung ins Thema
„Open Cloud“, erklärt die
Profilierungsmethode und
präsentiert dann Kästen zu
den einzelnen freien Cloudapplikationen.
Für jede Lösung
erwartet den Leser ein Kasten,
wobei die Macher zwischen
Hypervisoren, Containern,
IaaS, PaaS, Storage, Provisioning-
und Management-Tools
unterscheiden.
Wissenswert ist unter anderem,
welche Firmen den
meisten Code zu einer Lösung
beisteuern, ob und von wem
es kommerziellen Support
gibt und wer die Lösungen
hauptsächlich verwendet.
Entwickler und Sysadmins
dürften sich vor allem dafür
interessieren, welche Programmiersprachen
vorrangig
zum Einsatz kommen und
aus wie vielen Codezeilen ein
Projekt besteht. Nicht zuletzt
erklärt das PDF jede Cloudsoftware
kurz und erwähnt
die eingesetzte Lizenz. Am
häufigsten kommt aktuell die
Apache-2.0-Lizenz zum Einsatz,
gefolgt von verschiedenen
GPL-Varianten und einem
Vertreter unter MIT-Lizenz. n
Zahlen & Trends 01/2014
Aktuell
www.linux-magazin.de
13
Github versammelt Behördensoftware
Anzeige
Immer mehr Regierungen,
Behörden und Gemeinden
setzen Open-Source-Software
ein. Mitunter landet der
selbst entwickelte Quellcode
dann auf Github. Die Codeplattform
hat nun eine eigene
Webseite angelegt, die solche
Projekte versammeln will.
Unter [http://​government.​github.​
​com] können sich Entwickler
einen Überblick darüber verschaffen,
welcher Code von
öffentlichen Einrichtungen
offiziell verfügbar ist.
Die Seite konzentriert sich
zwar hauptsächlich auf amerikanische
Regierungsprojekte,
listet aber auch den öffentlich
verfügbaren Code anderer
Länder auf, etwa von Norwegen,
Schweden oder Frankreich.
Mit der Aktion will
Github vermutlich öffentliche
Einrichtungen für den eigenen
Dienst begeistern.
n
Ubuntu 14.04 soll Trusty Tahr heißen
Das nächste Ubuntu soll im
April 2014 erscheinen, die Versionsnummer
14.04 tragen,
Long Term Support (LTS) erhalten
und wird Trusty Tahr
(Treuer Tahr) heißen. Tahre
sind eine Ziegenart und in
der Himalaya-Region, im
südlichen Indien sowie auf
der arabischen Halbinsel zu
Hause.
Man wolle den Fokus für die
LTS-Version auf Performance,
Verfeinerung und Wartbarkeit
legen, schreibt der Ubuntu-
Gründer Mark Shuttleworth.
Er sei mit der Wahl konservativer
Ziele einverstanden. n

Aktuell
www.linux-magazin.de Zahlen & Trends 01/2014
14
10 Millionen für Nginx Inc.
Nginx ist ein Webserver,
der unter der 2-Clause-BSD-
Lizenz bereitsteht. In einer
zweiten Funding-Runde sammelte
Nginx Inc., die Firma
hinter dem Projekt, 10 Millionen
US-Dollar an frischem
Geld ein. Sie bietet eine kommerzielle
Variante des Nginx-
Servers an.
Zu den Neuinvestoren gehören
die New Enterprise
Associates, aber auch die
Geldgeber der ersten Runde.
Die Mittel flossen kurz nach
der Ankündigung von Nginx
Plus, zwei subskriptionsbasierten
Servervarianten mit
Extrafeatures [http://​nginx.​
​com/​products/]. Dazu gehören
fortgeschrittenes Load Balancing
sowie eingebaute Health
Checks. Auch HTTP Live
Streaming (Apple) und HTTP
Dynamic Streaming (Adobe)
sind nur mit den kommerziellen
Produkten möglich.
Nicht zuletzt bietet Nginx Inc.
für die beiden Versionen auch
professionellen Support an:
Die Variante Plus Standard
bringt einen 9-to-5-Support
mit und kostet jährlich 1350
US-Dollar pro Server. Für 2700
US-Dollar erhält der Käufer
die Plus-Premium-Ausgabe
mit zusätzlichen Hot Bugfixes
und 24/​7-Support. n
Initiative für freie Spracherkennung
Peter Grasch wurde als Autor
von Simon bekannt, einer
Software für Spracherkennung
unter Linux. Nun hat der
Entwickler die Open Speech
Initiative gestartet, um eine
nachhaltige Community rund
um freie Spracherkennungssysteme
aufzubauen.
In seinem Blog [http://​grasch.​
​net/​node/​24] berichtet Grasch
zunächst über seine Arbeit an
der Diktiersoftware für Simon,
um dann den Aufbau eines
Netzwerks von Entwicklern
und Forschern zur Sprache
zu bringen. Diese sollen nach
seiner Vorstellung zusammenarbeiten,
um hochakkurate,
mit großem Vokabular ausgestattete
Sprachsysteme zu
entwickeln, die auf verschiedenen
Feldern zum Einsatz
kommen können.
Dabei wolle man freie Software
einsetzen, was aber eine
Menge Arbeit auf verschiedenen
Gebieten nach sich ziehe.
Die Open Speech Initiative
solle unter dem Dach des
KDE-Projekts [http://​speech.​kde.​
​org] angesiedelt sein und die
nötige Organisationsstruktur
bieten, um eine nachhaltige
Community aufzubauen. Zum
Team gehören aktuell Adam
Nash, Mario Fux, Jon Lederman
sowie Peter Grasch. n
Linuxcon Europe: Torvalds sieht rosige Linux-Zukunft
Auf der Linuxcon Europe,
die Ende Oktober in Edinburgh
stattfand, hat sich Linus
Torvalds länger mit Intels
Open-Source-Chef Dirk Hohndel
und dem Publikum im Saal
über Gegenwart und Zukunft
von Linux unterhalten.
„Läuft die Kernelentwicklung
zu schnell?“, fragte Hohndel
gleich zu Beginn und fuhr
fort: „Sollten die Entwickler
nicht besser Bugs fixen als
neue Features einbauen?“
Torvalds zeigte sich mit dem
gegenwärtigen Vorgehen und
Tempo sehr zufrieden: „Wir
haben den derzeitigen Prozess
seit sechs Jahren, und
weder beeilen wir uns mit den
Features, noch haben wir monatelange
Freezes, in denen
gar nichts vorangeht.“
Über die Antwort auf eine
Frage nach der Perspektive
für die nächsten zehn, 15
Jahre musste Torvalds kurz
nachdenken. Der Desktop sei
nach wie vor eine Herausforderung,
insbesondere sollten
die Entwickler dort ihre Grabenkämpfe
beenden und sich
auf die Funktionalität konzentrieren.
Er habe ohnehin nie
einen Fünfjahresplan gehabt
und Linux habe sich dennoch
prächtig entwickelt.
Aufregende neue Features für
den Kernel sieht der oberste
Linuxer nicht: „Wenn ich es
schon wüsste, wäre es nicht
aufregend.“ Die Core-Funktionalität
arbeite zuverlässig,
nur gäbe es immer wieder
„Verrückte, die irgendetwas
Neues brauchen“. Linux tue
schon seit 20 Jahren, was sein
Erfinder wolle, die größte Herausforderung
sei aber immer
wieder neue Hardware. „Der
Scherzten mit dem Publikum der Linuxcon Europe: Kernel-Vater Linus Torvalds
(links) und Intels Open-Source-Chef Dirk Hohndel.
Kernel hat einfach die Aufgabe,
eine stabile Basis zu bilden,
auf die sich die Anwender
verlassen und auf der sie
ihre Arbeit machen können“,
schloss er das Thema ab.
Linus mag seinen Posten bei
der Linux Foundation, der ihm
viele Freiheiten lasse: „Sollte
sich das ändern und es macht
mir keinen Spaß mehr, höre
ich auf“, resümierte er. Was
passiere, wenn Linus vom
Bus überfahren werde, wollte
Hohndel wissen. Der zeigte
sich unbesorgt: „Es gibt viele,
die schon seit 20 Jahren an
Linux mitarbeiten. Manche
von 1991 sind noch dabei,
manche sind abgewandert,
manche schon verstorben.
Aber viele wissen, wie ich arbeite
– auch wenn sie nicht
immer damit einverstanden
sind. Daher glaube ich, dass
auch andere meinen Job machen
könnten: unhöflich sein
und Patches annehmen.“ n

Debian diskutiert Wechsel zu Systemd oder Upstart
Debian gehört zu den wenigen
großen Distributionen,
die noch auf das klassische
Initsystem Sysvinit setzen.
Nun denken die Debianer auf
der Mailingliste laut über einen
Wechsel zu einem neuen
Initsystem nach. Das Thema
ist allerdings recht komplex
und bietet reichlich Zündstoff
für lange Diskussionen.
Upstart wird bereits seit einigen
Jahren ausschließlich von
Ubuntu-Entwicklern gepflegt,
während das jüngere Systemd
vor allem bei Red-Hat- und
Gnome-Entwicklern Anklang
findet – der Gnome-Desktop
integriert Systemd inzwischen
recht weitgehend in die eigene
Infrastruktur.
Das aber stellt Debian vor
Probleme unterschiedlicher
Art. Auf der technischen Seite
würde aktuell die Festplattenverschlüsselung
über Dmcrypt
nicht ausreichend integriert,
funktioniere GDM 3 nicht
ohne Systemd und würden
andere als der Linux-Kernel
nicht von Systemd unterstützt,
lauten die Argumente einiger
Diskutanten auf der Mailingliste.
Vor allem aber verletze
Systemd eklatant die „Ein Job,
ein Tool“-Regel.
Die Systemd-Gegner unter
den Debian-Entwicklern sehen
zudem eine Embraceand-Extend-Taktik
am Werke
und möchten Systemd zumindest
modularisieren, um
sicherzustellen, dass Debian
notfalls andere Initsysteme
verwenden kann – man befürchtet
einen Lock-in. Die
Befürworter entgegnen, dass
sich Systemd einfach modularisieren
lasse, aktiv betreut
werde und Gnome insgesamt
ein besseres Benutzererlebnis
beschere.
Am Ende soll zwar das Debian
Technical Committee (Techctte)
entscheiden, doch auch
das wirft Probleme auf. Auf
der Mailingliste streitet man
sich in diesem Zusammenhang
über Interessenkonflikte
einiger Mitglieder, die nicht
nur im Debian-Projekt aktiv
sind, sondern offiziell für
Canonical arbeiten oder gearbeitet
haben. Ein Vorwurf
lautet, die Entscheider hätten
sich womöglich zu wenig mit
Systemd beschäftigt, um es
wirklich zu verstehen.
Bis zu einer Entscheidung
wird es zwar noch eine Weile
dauern, allerdings zeigt die
Verknüpfung von Gnome
und Systemd offenbar erste
Auswirkungen: Debian 8 soll
standardmäßig Xfce als Desktop
verwenden, weil das nicht
so stark von Systemd abhängt
wie Gnome. Die letzte Entscheidung
darüber möchte
das Projekt aber laut Debians
Joey Hess davon abhängig
machen, wie viele Debian-
Nutzer im August 2014 noch
Gnome einsetzen.
n
Zahlen & Trends 01/2014
Aktuell
www.linux-magazin.de
15
Anzeige

Aktuell
www.linux-magazin.de Zahlen & Trends 01/2014
16
Motorola will offeneres Smartphone
Motorola möchte mit Ara ein
neues Hardware-Ökosystem
für Android-Geräte entwickeln
– modular, aus steckbaren
Komponenten aufgebaut und
ökologisch korrekt.
Während Hersteller wie Sony
oder Apple zunehmend auf
verklebte Bauteile setzten,
solle Ara als freie, offene Hardwareplattform
für hochgradig
modulare Telefone und Tablets
den Smartphone-Markt revolutionieren,
so wie es Android
mit der Softwarebranche getan
hat, schreibt die Firma in
Die Ara-Module von Motorola im Überblick.
ihrem Blog. Jeder Kunde solle
Hardwaremodule bauen und
diese einfach in sein Handy
einsetzen können.
Der Mobilfunkprovider habe
seit mehr als einem Jahr an
Ara gearbeitet und bei Treffen
mit dem Phone bloks-Erfinder
Dave Hakkens [https://​
​phonebloks.​com] viele Gemeinsamkeiten
entdeckt, heißt es
weiter. Jetzt suche man nach
Research Scouts, die als Freiwillige
herausfinden, wie und
warum Anwender bestimmte
Entscheidungen fällen. n
Quelle: Motorola
Dark Mail soll E-Mails sicher machen
Benannt nach der Rebellen-Allianz
in Star Wars wollen die
Macher der Dark Mail Alliance
sichere E-Mail neu erfinden
und SMTP dabei beerdigen.
Hinter der Allianz, die sich
Ende Oktober auf der Inbox-
Love-Konferenz in Kalifornien
vorstellte [http://​arstechnica.​com/​
​business/​2013/​10/], verbergen
sich bekannte Namen: Phil
Zimmermann ist der Erfinder
von PGP und Betreiber von
Silent Circle, Ladar Levison
war Chef des geschlossenen
Secure-E-Mail-Dienstes Lavabit.
Silent-Circle-Mitarbeiter
Mike Janke, ein ehemaliger
Scharfschütze der Navy Seals,
hofft, dass die Mehrheit der
Internetnutzer in drei bis vier
Jahren den „Email-3.0“-Dienst
verwendet.
Der Ansatz klingt recht vielversprechend:
Dark Mail soll
eine End-to-End-Verschlüsselung
anbieten, die – anders
als PGP – auch Metadaten
und Betreffzeilen chiffriert.
Zudem soll die Verschlüsselung
so einfach werden, dass
auch eine „Oma sie verwenden
kann“.
Um ihr Ziel zu erreichen,
wollen die Macher von Dark
Mail SMTP entsorgen und ein
neues Protokoll namens Scimp
entwickeln, das auf dem existierenden
Silent Circle Instant
Messaging Protocol basieren
soll. Das soll quelloffen
sein, auf XMPP aufsetzen
und Mitte 2014 veröffentlicht
werden. Die Alliance soll als
Non-Profit-Organisation die
Schirmherrschaft über das
Projekt übernehmen.
Von Dark Mail soll es nicht
nur Clients für PCs, Tablets
und Smartphones geben, sondern
es soll auch als Addon
für existierende E-Mail-Provider
dienen. Genaue Spezifikationen
fehlen bisher, aber
Interessenten können sich
auf der Webseite [http://​www.​
​darkmail.​info] in eine Mailingliste
eintragen.
n
Red Hat unterstützt Open DNP 3
DNP 3 (Distributed Network
Protocol, [http://www.dnp.org]),
ein Protokoll für serielle
Kommunikation und zugleich
IEEE-Standard 1815-2012,
existiert seit Jahrzehnten
und kommt im industriellen
Scada-Umfeld (Supervisory
Control And Data Acquisition)
zum Einsatz.
In wichtigen Industriezweigen,
etwa dem Energiebereich,
tauschen Server und lokal eingesetzte
Substationen technische
Informationen über DNP
3 aus, wobei die Implementierungen
des Protokolls meist
proprietärer Natur sind.
Schon seit Mitte 2010 wird jedoch
eine quelloffene Variante
entwickelt, die den Namen
Open DNP 3 trägt und unter
der Apache-Lizenz steht. Red
Hat hat nun angekündigt, die
Entwicklung von Open DNP 3
zu fördern. Als Grund gibt die
Firma in einer Pressemitteilung
die kürzlich aufgetauchten
Sicherheitslücken in den
proprietären Implementierungen
des Protokolls an.
Chris Sistrunk und Adam
Crain, die sich selbst nicht als
Sicherheitsforscher betrachten,
hatten beim Untersuchen
des Protokolls 21 Sicherheitslücken
entdeckt. Laut Sistrunk
tauchten Lücken in allen proprietären
Implementierungen
des Protokolls auf.
Für Adam Crain dürften die
Funde aber auch ihr Gutes
gehabt haben – er ist Gründer
der Firma Automatak [https://​
​github.​com/​automatak/​dnp3], die
seit August 2012 kommerzielle
Dienste rund um das
freie Open DNP 3 anbietet.
Vorwürfe, er habe die Sicherheitslücken
aus persönlichen
Motiven aufgedeckt, wies er
jedoch von sich. Vielmehr
gebe es schlicht einen Markt
für sichere Produkte in diesem
Bereich und es sei zudem
unfair, ungetestete und unsichere
Produkte an End user zu
verkaufen. Er wolle die Messlatte
für Scada-Protokollsoftware
höher hängen.
Das sieht offenbar auch das
Linux-Unternehmen Red Hat
so und hat sich der DNP User
Group als Corporate Member
angeschlossen. Die Firma aus
Raleigh möchte Open DNP 3
optimieren, sicherer machen
und zudem dabei helfen, eine
funktionierende Community
rund um die Software aufzubauen.
(kki/mfe/mhu/Tim
Schürmann)
n

Aktuell
www.linux-magazin.de Kernel-News 01/2014
18
Zacks Kernel-News
Jagd auf tückischen Kernelbug offenbart Fehler in GCC
Compilerbugs treffen den
Linux-Kernel besonders hart.
Das freie Betriebssystem lässt
sich für so viele Plattformen
übersetzen, dass dadurch
komplexe Anforderung an die
Toolchain entstehen. Insbesondere
zu möglichst vielen
GCC-Versionen soll der Code
kompatibel sein.
Der Intel-Entwickler Fengguang
Wu entdeckte im Oktober
2013 einen Memory-Paging-
Fehler im Kernel. Mittels »git
bisect« konnte er das Problem
bis zu einem Patch von Peter
Zijlstra zurückverfolgen, der
zum Zweck der Optimierung
»asm goto« verwendet.
Peter konnte den Bug auf
seinem System jedoch nicht
reproduzieren und auch im
Code sah er keinen Fehler. Er
bat Fengguang zu testen, ob
das Problem auch mit anderen
Compilerversionen auftritt.
Offenbar war dieser beim
Übersetzen mit der GCC-Version
4.8.1 auf den Kernelbug
gestoßen. Nun versuchte er es
mit GCC 4.6.1 – mit demselben
Ergebnis.
Auch Linus Torvalds konnte
keine Fehler im Code entdecken.
Wie schon Peter hielt er
einen Compilerbug für möglich.
Er schlug Fengguang vor,
das »asm goto« probeweise zu
entfernen. Tatsächlich behob
diese Änderung das Problem.
Linus: „Okay. Es sieht ganz
so aus, als wäre »asm goto«
im Arsch. Schade, denn hier
hat es für schönen, sauberen
Code gesorgt.“ Dann fährt
Probleme im Kernel offenbarten den Bug Nummer 58670 im GNU C-Compiler.
der Linux-Erfinder fort: „Ich
glaube, es liegt an der Speicherüberschreibung,
vielleicht
markiert der Code den Speicher
nur als überschrieben
und das Goto verwendet dann
alte, gecachte Werte. Nur eine
Theorie.“
Torvalds räumt dabei ein, dass
der Kernel bereits an anderen
Stellen »asm goto« zusammen
mit Speicherüberschreibung
verwendet, sie würden aber
nur in einem Fall expandiert.
In den neuen Anwendungsfällen
dagegen gebe es immer
wieder Expansion, was leichter
einen möglichen Bug auslösen
könne.
Jakub Jelinek von Red Hat
schlägt vor, die Vorkommen
von »asm goto« eines nach
dem anderen zu deaktivieren,
um das Problem schließlich
auf eine einzige Routine einzugrenzen.
Torvalds gibt ihm
im Prinzip Recht, hält das Vorgehen
aber in der Praxis nicht
für durchführbar.
In der Zwischenzeit hatte
Fengguang mit der älteren
GCC-Version 4.4.7 getestet
und stellte fest, dass das
Problem verschwand. Peter
Zijlstra sah sich die Befunde
an und bemerkte, dass GCC
4.4.7 »asm goto« einfach nicht
unterstützt. Ein weiteres Indiz
dafür, dass das Problem
direkt mit »asm goto« zusammenhing.
Auch der ungarische Kernelentwickler
Ingo Molnar hatte
sich auf die Suche nach dem
Fehler begeben. Er tippte auf
einen Bug in GCC 4.8 beziehungsweise
auf ein älteres
Problem, dass sich erst mit
4.8 zeigt.
Schließlich gelang es Peter,
den Fehler auf seinem System
mit GCC 4.8.1 zu reproduzieren,
wobei ihm Tests
von Fengguang halfen. Er
stellte fest, dass das Problem
verschwand, wenn er einen
64-Bit-Build machte. Auch
unter i386-SMP trat es nicht
auf, und endlich konnte er
den Bug auf die GCC-Option
»‐march=winchip2« eingrenzen.
Auch Ingo schafften es,
den Bug mit den GCC-Versionen
4.7.3 und 4.7.2 zu reproduzieren.
„Ich fürchte, wir
müssen »asm goto« für das
ganze 32-Bit-x86 deaktivieren“,
schrieb er.
Jakub bestätigte, dass es sich
um einen GCC-Bug handelt,
und schickte einen Link zum
frisch angelegten Bugzilla-
Ticket unter [http://​gcc.​gnu.​org/​
​bugzilla/​show_bug.​cgi?​id=58670]
mit. Alle GCC-Versionen von
4.6 bis 4.9 machen aus »asm
goto« fehlerhaften Code, teilte
er den Kernelentwicklern mit.
Linus Torvalds fand heraus,
dass auch die Architektur
x86_64 nicht vor dem Fehler
gefeit ist, wenn er dort auch
seltener auftritt. Sobald Jakub
weitere Details zum Bug
übermittelt hatte, schrieben
einige Kernelentwickler Workarounds
für die Vorkommnisse
der Anweisung.
Als Linus später Kernel 3.12-
rc5 freigab, schrieb er: „Am
aufregendsten war diese Woche
kein Kernel-, sondern ein
Compilerbug. Er war in Code
aufgefallen, der in Version
3.13 wandern soll. Glücklicherweise
können wir den
Workaround dadurch frühzeitig
einpflegen, denn »asm goto«
verwenden wir auch jetzt
schon.“ Wenige Tage später
nahm Greg-Kroah-Hartman
den Fix auch in seinen stabilen
Kernelzweig 3.11 auf. n

Kernelinterne Dateisysteme
Der Kernelhacker Al Viro
möchte ein paar veraltete
Schnittstellen wegräumen, die
seiner Ansicht nach niemand
vermissen wird. Er schreibt,
Linux verlange von den Entwicklern,
dass sie vor dem
Einhängen eines Dateisystems
»register_filesystem()« aufrufen.
Dadurch könne der Kernel
das Dateisystem am Namen
erkennen und wisse, wie er
damit umgehen soll.
Für Userland-Dateisysteme
sei das auch korrekt, räumt er
ein. Bei kernelinternen Dateisystemen
wie »pfms«, »anon_
inodes«, »bdev«, »pipefs« und
»sockfs« sei das aber schon
seit zehn Jahren nicht mehr
nötig, erklärt Al. In jüngerer
Zeit nehme »kern_mount()«
einfach einen Zeiger auf
»file_system_type« entgegen
und suche nicht nach dem
Namen.
„Wenn wir »register_filesystem()«
abschaffen, ändert sich
für den Anwender fast nichts,
nur in »/proc/filesystems«
werden die internen Dateisysteme
fehlen“, schreibt Al.
Also hat er ein kurzes Patch
geschickt, gesteht aber ein,
dass es Probleme geben
könnte, wenn Anwendercode
sich auf die Informationen in
»/proc/filesystems« verlasse.
Das hält er aber für unwahrscheinlich.
n
FPGA-Subsystem
Der tschechische Entwickler
Michal Simek hat eine neue
Version seines Subsystems
für Field Programmable Gate
Arrays (FPGAs) eingereicht.
Michal möchte in seinem Subsystem
alle FPGA-Treiber vereinen.
Er schreibt, nach einer
Diskussion mit Greg Kroah-
Hartman habe er beschlossen,
eine Firmware-Schnittstelle
zu unterstützen, über die der
Anwender seine Befehlssätze
in die Chips lädt.
H. Peter Anvin hält das für
falsch. Er verweist auf die
vielfältigen Methoden, einen
FPGA zu laden. Michal erwidert:
„In vielen Anwendungsszenarien
gibt es einfach
einen Bitstream pro FPGA,
der bei einem Update ersetzt
wird. Dafür wäre eine Firmware-Schnittstelle
praktisch,
die den Bitstream beim Start
automatisch lädt.“ Peter hält
dagegen: „Jede mir bekannte
FPGA-Toolchain kann Jam/​
STAPL-Bytecode erzeugen,
und für bestimmte Szenarien
braucht man sie auch.“
Die Diskussion dürfte noch
andauern und Michals Patch
wird einige Iterationen durchmachen.
Doch wenn Leute
wie Greg und Peter Interesse
an FPGA-Unterstützung zeigen,
wird sie über kurz oder
lang in den Kernel einziehen.
(Zack Brown/​mhu) n
Kernel-News 01/2014
Aktuell
www.linux-magazin.de
19

Aktuell
www.linux-magazin.de Susecon 2013 01/2014
20
Suses Enterprise-Community traf sich in Florida
Eroberer der neuen Welt
Suse geht es blendend, glaubt man den Stimmen auf der Susecon, der diesjährigen Partnerkonferenz. Nur Gutes
berichten die Verantwortlichen dort: Die Strategie, den US-Markt aufzurollen, gehe auf, und auch technisch
gibt es Neues zu verkünden. Fotos und Text: Markus Feilner
Sonniges Florida. Der Swing State im
Südosten der USA schwankt zwischen
konservativem US-Süden in seinen nördlichen
Provinzen und tropisch-lateinamerikanischem
Laisser-faire im Süden des
Staates. Schon der „erste Tourist“ Juan
Ponce de León [1], seines Zeichens spanischer
Konquistador, hatte das Besondere
an dem blühenden Land (spanisch
„Florida“: die Blühende) erkannt und
1513 im Namen der spanischen Krone
Besitz ergriffen. Harte Kämpfe, bisweilen
gar Massaker zwischen den Europäern
folgten. Noch heute zeugen Denkmäler
wie die bei St. Augustine, US-Amerikas
ältester Stadt, davon.
Eroberung der neuen Welt
Heute machen sich wieder Truppen europäischer
Recken auf dem Weg, die neue
Welt im Sturm zu erobern. Das ist zumindest
der Eindruck, der sich beim Besucher
der Susecon einstellt, dem alljährlichen
Treffen der Enterprise-Community
des Linux-Distributors mit deutschen
Wurzeln, der seit 2011 den Amerikanern
von Attachmate gehört.
Den Plan hatten die Verantwortlichen
auf dem Partner-Event 2012 [2] ausgerufen,
das zum 20. Geburtstag der Firma
erstmals in den USA stattfand. Das Ziel
sei, sich auf dem amerikanischen Markt
durchzusetzen und die Marke Suse zu
etablieren, hieß es damals. Es scheint,
als habe die grüne Truppe das geschafft.
Jetzt traf man sich in Orlando, diesmal in
Downtown Disney, im Disney’s Coronado
Springs Resort (Abbildung 1).
Suse hat Spaß
Traditionell eröffnet Marketing-Chef Michael
Miller die Susecon [3], und das bereitete
ihm dieses Jahr offensichtlich besonders
viel Spaß. Mehr und länger solle
sie sein, das war der Hauptwunsch aus
der Feedback-Umfrage der Susecon 2012,
dem trage man Rechnung. Die Besucher
honorieren es: Mit 550 Teilnehmern ka-
men deutlich mehr als im Vorjahr. 163
Companies aus 31 Ländern schickten Mitarbeiter
zu den 260 Stunden Programm
in 95 Breakout Sessions und Keynotes.
Da passte dann auch das Motto des Begrüßungsvideos,
das mit Daft Punks „Get
Lucky“ den Ton vorgab.
Auch die Keynote von Nils Brauckmann,
Suses President und General Manager,
war angefüllt von Erfolgsberichten (Abbildung
2). Dass Suse global wird, hatte
der CEO bereits am Vorabend im Linux-
Magazin-Online-Interview [4] berichtet:
22 Prozent mehr bei den Enterpriseprodukten,
26 bei SLES, 140 beim Suse Manager,
47 Prozent Wachstum in den USA,
der jetzt stärksten Suse-Region.
In seinem Vortrag zählte Brauckmann
eine ganze Reihe von Branchen auf, in
denen Suse unangefochtener Marktführer
sei: Vier von fünf IBM-Mainframes mit
Linux laufen auf Suse, 70 Prozent aller
SAP-Linux-Installationen sowie die Hälfte
aller Linux-Supercluster. Mittlerweile hat
die Firma mehr als 11 000 Hardware- und
13 000 Software-Zertifizierungen vergeben,
Tendenz steigend.
Going global
Generell profitiere Suse weltweit von der
internationalen Aufstellung der Firma:
Als ursprünglich deutsches Unternehmen,
das jetzt in amerikanischem Besitz
ist, aber deutlich europäisch geprägt
bleibe, könne man überall auf der Welt
mit dem richtigen Hintergrund antreten,
meint Brauckmann. Auch Miller (Abbildung
3) nickt, wenn man ihn fragt, ob
er der Spin Doctor sei, der entscheide,
ob man Kunden als deutsches, europäisches
oder amerikanisches Unternehmen
kontaktiere. Dabei lassen sich deutsche

www.linux-magazin.de
Susecon 2013 01/2014
Aktuell
21
Abbildung 1: Das Coronado Springs Convention Center in Downtown Disney.
Abbildung 2: Suse-Chef Brauckmann.
Abbildung 3: Marketing-Lead Miller.
Qualitäten (die oft gelobte Ingenieurskunst)
einsetzen, gleichzeitig kann die
Company vermeintlichen Schwächen
(„Oft wird Deutschen ein Mangel an Kreativität
nachgesagt.“) ausweichen. Und
wo die USA derzeit nicht beliebt seien,
helfe stets der deutsch-europäische Hintergrund.
Suses Motto lautet: „Innovate where it
matters to our Enterprise customers“,
sinngemäß: „Dort verbessern, wo die
zahlende Kundschaft es erwartet.“ Wohl
auch deshalb ist der Libre-Office-Support
für Windows aus dem Portfolio herausgefallen
– zu wenig Nachfrage, zu wenig
Umsatz. Den übernimmt seit Kurzem
Collabora (Abbildung 4). Suse wird aber
alle bestehenden Verträge mit Kunden erfüllen
und weiterhin Level-1- und ‐2-Support
bieten.
Brauckmann zieht als Resümee: „Was
wir uns letztes Jahr vorgenommen haben,
haben wir erfolgreich umgesetzt:
Der Suse-Brand ist auch in den USA erfolgreich
etabliert. 19 000 aktive Kunden,
das sind 27 Prozent mehr als letztes Jahr,
das spricht für uns.“ Nach dem Motto
„Adapt and Deliver“ liege der Fokus auf
dem Management heterogener Netze und
Clouds. Da passt das jüngste Announcement
ins Bild, in dem Suse ein Microsoft-
System-Center-Plugin für den Suse Manager
releast. Damit können Kunden auch
Windows-Systeme zentral und automatisiert
mit den Suse-Tools verwalten.
Wichtigste Bausteine des Erfolges seien
dabei Suse Linux Enterprise, die Suse
Cloud, aber auch besagter Suse Manager,
erläutert der Suse-Chef und vergisst
nicht die Open-Source-Community von
Open Suse zu loben, die auf der Susecon
bereits eine Sneak Preview auf Open Suse
13.1 verteilte.
SAP und IBM
Auf der Konferenz hat Suse prominente
Sponsoren versammelt, die im Gegenzug
Keynote-Slots erhalten. Dieses Jahr
berichten Chris Hallenbeck (Abbildung
5), bei SAP zuständig für Amerika, Data
Warehouse Solutions und die Hana-Plattform,
und Jim Wasko (Abbildung 6) von
IBM, warum ihnen Suse ein so wichtiger
Partner ist. SAP sei einfach überall drin,
meint Hallenbeck: „Egal ob Schokolade,
Bier, Autos oder Hundefutter – ohne uns
gäbe es das derzeit nicht.“ Realtime,
schnelle Datenverarbeitung mit In-Memory-Computing
und die sichere, stabile
Plattform von Suse Linux seien für SAP
eine logische Kombination.
Die Meinung teilt IBMs Direktor des
Linux Technology Center, Jim Wasko.
In seiner Keynote reißt er zunächst die
Geschichte von Linux bei IBM ab: „Just
als die Geschäftsführung mal wieder
darüber nachdachte, wie toll ein einziges
Betriebssystem wäre, das auf allen
IBM-Plattformen funktioniert, standen
die Linux-Entwickler da und meinten:
Äh – wir haben da was vorbereitet.“ Das
war 1999, und IBM gab die erste Milliarde
Dollar für Linux aus – ein Ritterschlag für
das Pinguin-OS.
Jetzt, 2013, kommt die zweite Milliarde.
Doch die geht voll auf Linux on Power,
wobei die weitere Gewichtung noch nicht
geklärt ist – das gibt es wohl auch nur
bei IBM. Als sicher gilt nur, dass das
Geld nicht nur an Entwickler, sondern
auch in Sales und Marketing gehen soll.
Technisch sollen vor allem Managementprodukte
für Cloud, ISVs und Middle-
Abbildung 4: Collabora übernimmt den Open- und Libre-Office-Support von Suse.
Abbildung 5: SAPs Chris Hallenbeck.
Abbildung 6: Jim Wasko von IBM.

Aktuell
www.linux-magazin.de Susecon 2013 01/2014
22
Abbildung 7: Suses Marketingteam grübelt: Welchen Laut machen Chamäleons?
Abbildung 8: 550 Zuhörer zählten die Organisatoren bei der Keynote.
ware auf der Power-Architektur laufen,
die bisher nicht oder nur eingeschränkt
funktionieren, etwa Websphere oder
DB2blue (DB2 on Power). Dazu betont
Big Blue die Vorteile der Architektur:
mehr Threads pro Core oder das bessere
Speichermanagement.
Technik, Tracks und Disney
Den Keynotes und der nicht ganz ernsthaften
(Video-)Frage, welchen Laut denn
ein Gecko mache (Abbildungen 7 und 8,
[5]) folgen die technischen Tracks mit
Lightning Talks, Vorführungen und Trainings.
Abends steigt die Sponsorenparty
unter dem Motto „Piraten“, während der
Veranstalter die Teilnehmer am Mittwoch
in Disneys Parks einlädt – ins Magic Kingdom
oder nach Epcot. Donnerstagabend
folgen BoFs mit spontaner Agenda.
Das Programm durchziehen Neuigkeiten
und Ankündigungen, etwa der verlängerte
Lebenszyklus für SLES: 13 Jahre
statt zehn dauert ab sofort der Kunden-
Support für Suse Linux Enterprise Server,
zumindest für SLES 11 und den nächs-
tes Jahr im Herbst kommenden SLES
12. Auf vielfachen Wunsch der Kunden
habe man den Long-Term-Support für die
SLES-Produktreihe ausgeweitet.
Vor allem aus dem Bereich der nahezu
Embedded-Systeme im Point-of-Sales-
Bereich, also etwa Kassen-Computer in
Supermärkten, sei die Nachfrage immer
öfter gekommen, berichtet Ronald
de Jong, Vice President of EMEA Sales
bei Suse. Doch auch in der Health-Care-
Branche, so Michael Miller reiche der
gängige Support einfach nicht mehr aus
– ein Thema, das übrigens schon der
Schwerpunkt des Linux-Magazins 03/​13
aufgeworfen hatte.
Support-Verlängerung für
SLES: 13 statt 10 Jahre
Der Wunsch, auch für IT-Systeme länger
als die bisher sieben Jahre Standard- plus
drei Jahre Expanded-Support zu betreiben,
sei groß. Deshalb gibt es jetzt für
SLES 11 und den 2014 kommenden SLES
12 zehn Jahre Standard- und danach drei
Jahre optionalen Extended-Support. Eine
Nachricht, die nicht nur bei den vielen
anwesenden Analysten und Pressevertretern
positiv ankam (Abbildung 9). SLES
12 wird übrigens auf Open Suse 13.1 basieren
(die erschien am 19.11. und bootet
von der DELUG-DVD dieses Magazins).
Distributed-Storage-
Produkt mit Ceph
Am Rande der Veranstaltung gab Suse
bekannt, innerhalb des nächsten Jahres
eine eigene Storage-Lösung auf den Markt
zu bringen. Die Software werde auf Ceph
basieren und in die Suse Cloud integriert
sein, berichtet Suse-Chef Nils Brauckmann.
„Ceph ist einfach viel näher am
Kernel als etwa Gluster-FS“, meint der
Suse-President, „und dank Ceph-Rados
und Open Stack die perfekte Integration
in unsere Suse Cloud.“
Das Ganze will der Linux-Distributor 2014
zu einem Bundle schnüren und so erstmals
Ceph-Rados als Storage-Software-
Produkt auf Enterprise-Level mit Support
auf den Markt bringen (Hintergründe zu
Ceph, Rados, Open Stack und Gluster
Abbildung 9: Analysten warten auf Ankündigungen.
Abbildung 10: Impressionen aus Orlando Downtown.
Abbildung 11: Lew Tucker (Cisco).

liefert der Titelschwerpunkt der Linux-
Magazin-Ausgabe 02/​13).
Solid Driver Program
Die dritte wichtige News der Susecon ist
das vom Distributor überarbeitete Treiberportal
Drivers.suse.com [6], ein wichtiger
Teil des neuen Suse Solid Driver Program.
Der Relaunch soll die Kooperation
mit Hardwareherstellern vereinfachen,
aber auch Kunden schneller zu Treibern
verhelfen.
Fortan soll es „für den Kunden keinen
Unterschied mehr machen, ob er Standard-SLES
oder SLES zusammen mit einem
oder mehreren anderen, Herstellerspezifischen
Treibern verwendet“, erklärt
Gerald Pfeifer, Direktor des Produkt-Managements
bei Suse und für SLES verantwortlich,
am Rande der Susecon13.
„Wir haben festgestellt, dass unsere Kunden
Servicepacks sehr schätzen, aber zu
oft sollen die nicht kommen. Lieber installiere
man den Treiber für die neue
Hardware alleine.“ Kernelmodule und
andere Treiber fanden Kunden schon in
der Vergangenheit auf Webseiten wie der
von Suse Partner Linux Process und Suse
Partner Linux Program, wo Hardwarehersteller
gemeinsam mit Suse Treiber hochladen
und bereitstellten.
Über das neue Portal habe man den Service
noch ausgebaut, berichtet Pfeifer:
„Die Treiber dort sind gemeinsam mit
Herstellern entwickelt, maßgeschneidert
für die Hardware und von Suse und dem
Hersteller voll supportet. Später kommen
die alle auch ins nächste Service Pack.“
Sie seien von Suse getestet und auditiert
– etwa ob sie sich mit Kernel-APIs
vertragen. Zertifiziert allerdings sind sie
nicht, denn Suse zertifiziert generell nur
Systeme und Software, keine einzelnen
Komponenten, so Pfeifer.
Open-Stack-„Revolution“
In seiner Abschlusskeynote am Freitag
brach Cisco-Vizepräsident Lew Tucker erneut
eine Lanze für Open-Source-Clouds
mit Open Stack (Abbildung 11). Das sei
schlicht der neue Softwarestack fürs Rechenzentrum
und mit der Suse Cloud 2.0
so einfach wie nie zuvor. Ciscos Chief
Technology Officer of Cloud Computing
sparte auch nicht mit Superlativen. Eine
„Revolution“, der „perfekte Sturm“, „unausweichbar“
– all das sei Open Stack,
das Betriebssystem der Zukunft für alle
freien Clouds.
Ob es sich um die App-Orchestration
mit Open Stack Heat, Komponenten wie
Neutron oder aber die neuen Open-Stack-
Versionen Havana, Icehouse oder das
Triple-O-Projekt (Open Stack on Open
Stack) handle, Cisco biete selbstverständlich
die beste Hardware und Suse die
beste Integration.
Nach Tuckers Keynote kamen mit Suses
Doug Jarvis und Ciscos Mike Andren
zwei Techniker auf die Bühne, die
– unterstützt von Michael Miller – in
einer Live-Demo beweisen wollten, wie
simpel das Setup der Suse Cloud mit
Cisco gelingt. Länger als fürs eigentliche
Setup brauchten die beiden allerdings,
um das Passwort des Bildschirmschoners
des Demo-Laptops herauszufinden
(Abbildung 12). Erst ein herbeigerufener
Techniker konnte da helfen.
Vor den Augen des amüsierten Publikums
brachte Suses Marketing-Chef Michael
Miller das Problem auf den Punkt: „Ein
sicheres Passwort hat viele Vor-, bei Live-
Demos aber auch Nachteile.“
Die Demo startete mit Verzögerung, ehe
Miller die Susecon erfolgreich abschließen
konnte, doch nicht ohne erneut ein
Video zu zeigen, das seine Kollegen aus
Utah zusammen mit den Teilnehmern
der Susecon während der vergangenen
Tage aufgenommen hatten. Im Lip-Sync-
Verfahren suchen die Darsteller immer
noch nach dem Laut, den ein Chamäleon
macht.
Open Suse Summit 2013
Am Freitagnachmittag begann dann direkt
anschließend der Open Suse Summit
2013 [7], das Community-Treffen der
freien Suse-Entwickler, ganz im Zeichen
der neuen Suse-Version (Abbildung 13)
und wie gewohnt mit Town Hall Meeting
und vielen Vorträgen rund um Crowbar,
Open Suse Mate, Xen und Li-f-e [8]. n
Infos
[1] Juan Ponce de León: [http:// en. wikipedia.​
org/ wiki/ Juan_Ponce_de_Le%C3%B3n]
[2] Susecon 2012: [http:// www. linux‐magazin.​
de/ NEWS/ 20‐Jahre‐Suse‐Susecon‐2012‐in‐
Orlando‐Florida]
[3] Susecon 2013: [http:// www. susecon. org]
[4] Online-News und Links: [http:// www.​
linux‐magazin. de/ plus/ 2014/ 01/​]
[5] What’s the chameleon say?: [http:// www.​
youtube. com/ watch? v=Rg6ksPA7SAc]
[6] Suse Solid Drivers Program:
[http:// drivers. suse. com]
[7] Open Suse Summit 2013:
[http://summit.opensuse.org]
[8] Open Suse Summit Agenda:
[http:// summit.opensuse.org/#program]
Susecon 2013 01/2014
Aktuell
www.linux-magazin.de
23
Abbildung 12: Ein Techniker und zwei verhinderte Suse-Cloud-Spezialisten auf Passwortsuche. Abbildung 13: Nach der Susecon begann der Open Suse Summit.

Titelthema
www.linux-magazin.de Home Automation 01/2014
24
FHEM und Konsorten: Soft- und Hardware für das digitale Zuhause
Intelligenz im Hause
Home Automation muss nicht teuer sein: Hardware für unter 100 Euro, dazu ein Pi oder eine Fritzbox und die
richtigen Open-Source-Tools, schon klappt die Steuerung des digitalen Zuhauses. Sebastian Mogilowski, Markus Feilner
Abbildung 1: Der Raspberry Pi als Steuerzentrale mit FHEM nutzt zwei leistungsstarke
Antennen, einen USB-Stick für FS20 und einen CC1101-Transceiver.
Meist fängt es harmlos damit an, dass
der Heimwerker einfach mal eine Steckdose
oder Lampe über eine Fernbedienung
schalten will. Dann holt er sich ein
Set aus dem Supermarkt, das für wenig
Geld (ab etwa 20 Euro) auch nur an- und
ausschalten kann und nicht mit dem PC
Inhalt
24 Hard- und Software
Wer sein Heim automatisieren will, kommt
an FHEM, FS20 und Co nicht vorbei.
28 Web-Türöffner im Eigenbau
Selbst ist der Linux-Hausmeister: Schließanlage
mit individuellen Klingeltönen.
30 Software Defined Radio
Hardware für 20 Euro und freie Soft ware
eröffnen die Jagd auf Wetterdaten.
36 IP-Kamera
Kommerzielle und freie Anwendungen
zur Steuerung von Kameras im Netz.
42 Smart Metering
Intelligente Stromzähler stecken noch in
den Kinderschuhen.
46 Datensilos für Daheim
Daten im eigenen Heim sicher zen tral
able gen mit Mini-NAS und deren Add-Ons.
50 Hackerfleet
Der Vollmatrose unter den Linux-Systemen
bringt OSS und Mesh ins Boot.
vernetzt ist. Als
Linuxer macht
der Heimwerker
sich als Nächstes
auf zur Internetrecherche,
weil
er etwas will, das
sich vielleicht mit
einem Raspi oder
vom Androiden
aus steuern lässt.
Früher oder später
landet er so beim
FS20-Standard.
Das vertreibt vor
allem Conrad Electronics
in seinen
Läden, doch billiger gibt es die identischen
Komponenten bei ELV [1] zu haben,
inklusive umfangreicher Dokumentation.
FS20 kann dank seines stattlichen
Alters und der hohen Verbreitung mit
einer großen Anzahl und hohen Diversität
bei den Geräten zu moderaten Preisen
glänzen. Dennoch ist das Ganze deutlich
teurer als die Supermarkt-Fernbedienung:
Das Set von drei Funksteckdosen mit
Fernbedienung kostete im November
2013 immer noch 90 Euro.
Neben einfachen Schaltsteckdosen, die
der Anwender einfach zwischen die Dose
an der Wand und den zu schaltenden
Verbraucher steckt, existieren eine Vielzahl
von Aktoren und Sendern. Es gibt
Schalter für die Hutschiene, die sich direkt
in den Schaltkasten einbauen lassen,
wetterfeste Versionen für den Außenbereich,
Bausätze für kreative Bastler,
Steuerungen für Rollläden und Markisen,
aber auch Sensoren für Temperatur, Regen,
Feuchtigkeit und Bewegung.
Das Management übernimmt normalerweise
die Hauszentrale, sie steuert alle
Teilnehmer zentral an. Meldet der Re-
gensensor beispielsweise Regen, fährt sie
die Markise automatisch ein. Die Hauszentrale
gibt es ab 100 Euro inklusive
Software, der Kunde bedient sie übers
LAN. Den echten Linuxer schreckt aber
nicht der Preis, eher die proprietäre Steuerungssoftware.
FHEM steuert FS20
Dass es dazu Alternativen gibt, lernten
viele Anwender erst, als AVM [2]
das Homeautomation System FHEM
[3] von Rudolf König als Erweiterung
für die Fritzbox anbot. Wer sich einen
Sender und ​Empfänger als USB-Stick besorgt,
konnte so Kontakt zu dem FS20-
Managementsystem aufnehmen oder als
Verwaltung agieren. Und das Beste daran:
FHEM ist ein in Perl geschriebenes Open-
Source-Projekt.
Ein CC1101-USB-Lite-868-MHz-Dongle
von Busware [4] für etwa 50 Euro ist
um die Hälfte billiger als die proprietär
bestückte Hauszentrale, und weil FHEM
den USB-Dongle etwa an der Fritzbox automatisch
erkennt, ist weitere Hardware
erst mal unnötig. Nach dem Einstecken
greift der stolze Besitzer über die eigene
Weboberfläche auf Aktoren und Sensoren
zu. Richtig Spaß machen die Apps
für Android und I-OS, die ebenfalls das
FHEM-Backend ansprechen (Abbildung
2 bis 4). Dabei ist FS20 nur eines von
mehreren Protokollen, die FHEM beherrscht.
Eine einfache Aufgabe für jedes Home-
Automation-System ist die Kontrolle der
Heizkörper. Eine Stunde bevor der erste
Bewohner voraussichtlich von der Arbeit
nach Hause kommt, sollte FHEM die
Temperatur auf ein angenehmes Maß einstellen,
nachts und während des Arbeitstages
dagegen absenken. Ein einfaches

Zeitthermostat kostet etwa 30 Euro, wer
es mit den weiter unten beschriebenen
Homematic-Systemen [5] steuern will,
zahlt 40 Euro.
Für etwas mehr (55 bis 80 Euro), bekommt
er gar ein (ebenfalls auf FS20
basierendes) FHT-System [6] mit Stellantrieb,
Fensterkontakt sowie einem Raumthermostat.
Der Fensterkontakt erlaubt
das automatische Ausschalten der Heizung
bei geöffneten Fenster. Wer mehrere
Heizkörper in einem Raum hat, braucht
mehrere synchronisierte Stellantriebe,
auch das ist möglich, ebenso beliebig
viele Fensterkontakte und ein frei im
Raum positionierbares Thermostat.
FHEM kann all diese Systeme steuern
und baut aus den Temperaturdaten ganz
automatisch einen Graphen, der die aktuelle
Stellung des Ventils sowie den Status
des Fensterkontakts beinhaltet. Den Temperaturregler
an der Heizung steuert der
Anwender übers Webinterface oder mit
den Apps, auch von unterwegs.
Probleme von FS20
Im Testbetrieb zeigten sich jedoch einige
kleinere Probleme mit dem FS20-System.
Der Funkbereich scheint nicht besonders
gut abgegrenzt, vor allem bei älteren Modellen.
Berichte über Störungen häufen
sich, besonders seit der Einführung von
LTE (790 bis 862 MHz). Im Test entwickelte
eine Funksteckdose ihr Eigenleben.
[7]
Ein weiterer Nachteil bei FS20 ist der
fehlende Rückkanal. Wer zum Beispiel
die Funksteckdose direkt am Gerät einschaltet
oder wenn ein Schaltbefehl aufgrund
einer Störung nicht gelingt, dann
bekommt die Zentrale davon nichts mit.
Da bleibt dann nur, mit FHEM auf andere
Hardware zu setzen.
Homematic
Besonders interessant erscheint das wie
FS20 weit verbreitete Homematic-System
[8]. Es bietet bidirektionale Kommunikation,
informiert sich so immer über den
aktuellen Schaltzustand und kann einen
nicht erfolgreichen Befehl nochmals absenden.
Außerdem nutzt es AES-Signaturen
und ist damit deutlich sicherer als
die Kommunikation bei FS20. Zwar verschlüsselt
es das Signal nicht, immerhin
stellt aber ein AES-Challenge-Response
sicher, dass das Signal tatsächlich von der
eigenen Zentrale kommt und nicht vom
Nachbarn oder einem Angreifer. Eine einzelne
Funksteckdose zum Dazwischen-
Stecken kostet bei Homematic 40 Euro,
es gibt aber auch Versionen zum Einbau
in Steckdosen oder Wandschalter. Die
professionelle Hauszentrale würde um
150 Euro kosten, ist jedoch danke FHEM
nicht mehr erforderlich.
Homematic läuft wie FS20 über das ISM/​
SRD-Band auf 868 MHz, ist jedoch nicht
damit kompatibel. FS20 ist amplitudenmoduliert,
sendet und empfängt mit einer
Datenrate von 1 kHz. Homematic ist frequenzmoduliert
und hat eine Datenrate
von 20 kHz. Spezielle Firmware erlaubt
zwar den permanenten Wechselbetrieb,
doch können beim Wechsel zwischen
den Betriebsmodi Informationen verloren
gehen. Wer das vermeiden will, braucht
einen zweiten Transceiver wie den von
Home Automation 01/2014
Titelthema
www.linux-magazin.de
25
fhem.de
fhem.de
Abbildung 2: Die FHEM-Steuerzentrale im Browser, …
Abbildung 3: … und auf Android oder iPhone.

Titelthema
www.linux-magazin.de Home Automation 01/2014
26
Busware [4] aus Abbildung 1. Die COC
(CC1101 One Wire Clock) erweitert den
Mini-PC um einen One-Wire-Bus, einer
Real Time Clock sowie einen den benötigten
CC1101-Transceiver. Als Aufsteckboard
landet sie auf dem Pi, auch
der USB-Stick aus dem Fritzbox-Beispiel
bleibt im Einsatz. Busware bietet solche
Module ab 65 Euro an.
Einsatzmöglichkeiten
Außenthermometer, Bewegungsmelder,
Bluetooth und WLAN: Dem Basteltrieb
scheinen kaum mehr Grenzen gesetzt.
Jetzt kann der Hausherr mit nur einem
Knopfdruck den Beamer einschalten, die
Rollläden schließen und das Licht ausmachen.
Oder er ermittelt die Anwesenheit
von Personen, indem er die Liste von
Geräten im WLAN oder via Bluetooth
prüft. Aktionen lassen sich per SMSoder
Mail-Eingang triggern, Sensordaten
verschicken. Das FHEM-Wiki [9] bietet
zahlreiche Beispiele und Anleitungen
von einfachen Schaltungen und Zeitsteuerungsaufgaben
bis zur Alarmanlage
oder einem Bewässerungssystem, das in
Abhängigkeit der Bodenfeuchtigkeit eine
Bewässerungspumpe aktiviert.
Neben den im Kasten „Protokolle und
Systeme“ beschriebenen Unterbauten
hat auch die Software-Seite noch einiges
zu bieten. Als Alternative zu FHEM bieten
sich das ebenfalls in Perl geschriebene
Misterhouse [13], das mit One-Wire, X10,
Z-Wave und Zigbee auch noch einige andere
Standards als FHEM unterstützt.
Weil es aber in Europa verbreitete Sys-
Protokolle und Systeme
Besonders in den USA ist X10 [10], ein auf
Powerline basierendes Protokoll, weit verbreitet.
X10-RF erlaubt es Komponenten auch, per
Funk zu kommunizieren. Doch wegen seiner
diffizilen Anforderungen ans Stromnetz ist
es in Deutschland nur noch selten zu finden.
Anbieter wie Marmitek [11] stellen Komponenten
her. Zigbee und Z-Wave sind zwei weitere
häufig verwendete, konkurrierende Systeme. Z-
Wave benutzt ein vermaschtes Netz, was auch
Knoten miteinander kommunizieren lässt, die
für eine direkte Verbindung außer Reichweite
teme wie Homematic oder FS20 nicht
beherrscht und etwas altbacken daherkommt,
scheidet es in den meisten Fällen
wohl aus. Mehr Potenzial hat dagegen
das noch sehr junge Openhab [14]. Die
Java- und OSGi-basierte Alternative zu
FHEM verlangt wohl etwas mehr Ressourcen
vom Raspberry als das sonst
ubiquitäre Perl. Dumm nur, dass auch
Openhab FS20 noch nicht beherrscht.
Fazit
FS20 und sein Nachfolger Homematic
bieten sich im Mitteleuropa schon wegen
der großen Verbreitung für das digitale
Zuhause an. Da bei FS20 keine bidirektionale
Kommunikation möglich ist
sowie die Möglichkeit der Absicherung
der Kommunikation völlig fehlt, eignet es
sich leider nur für wenige Anwendungsgebiete.
Zwar lassen sich so genannte
Hauscodes vergeben, sie sind aber leicht
auslesbar. Es gibt also keine Möglichkeit,
zu verhindern, dass Fremde die Geräte
Abbildung 4: Das grafische Anzeigemodul von FHEM ist wohl die anschaulichste Darstellungsform der Sensoren.
fhem.de
sind. Die Kommunikation läuft wie bei FS20 im
ISM-Band bei 868,42 MHz. Zigbee funkt dagegen
im 2,4-GHz-Band und basiert auf dem
IEEE-802.15-Standard. Es erzeugt ebenfalls ein
Mesh-Netzwerk mit einer Datenrate von 250
Kbit/​s, soll jedoch sparsamer und billiger sein
als WLAN oder Bluetooth. Bei der Heimvernetzung
kommen beide Systeme jedoch nur noch
selten zum Einsatz, vor allem in Deutschland.
Darüber hinaus existieren noch zahlreiche Protokolle
mit geringer Verbreitung, etwa AVMs
Dect-Systeme zur Heimvernetzung [12].
schalten oder Werte von Sensoren auslesen.
Allerdings sind FS20- und kompatible
Geräte jedoch meist günstiger und
leichter zu bekommen.
Das freie FHEM, das sich ohne zusätzliche
24 Stunden laufende Hardware auf
einer Fritzbox oder einem Raspberry Pi
betreiben lässt, ist wohl die am weitesten
verbreitete Software. Ob Openhab eine
sich zur besseren Alternative aufschwingen
kann, muss sich erst noch zeigen.
Aktuell leidet es darunter, FS20-Komponenten
nicht zu unterstützen. n
Infos
[1] FS-20-Systeme bei ELV: [http:// www. elv.​
de/ fs20‐funkschaltsystem. html]
[2] AVM bringt Home Automation auf die
Fritzbox: [http:// www. avm. de/ de/ Service/​
Service‐Portale/ Labor/ 7390_hausautomation/
labor_start_hausautomation. php]
[3] FHEM: [http:// fhem. de]
[4] Busware: [http:// shop. busware. de]
[5] Homematic: [http:// www. homematic. com]
[6] FHT-Systeme für Homematic: [http:// www.​
fhemwiki. de/ wiki/ Kategorie:Hardware]
[7] LTE-Probleme: [http:// www. elv. de/​
nicht‐lte‐stoerfest. html]
[8] Homematic: [http:// www. elv. de/ home
matic‐hausautomations‐systeme. html]
[9] FHEM-Wiki: [http:// www. fhemwiki. de]
[10] X10: [http:// de. wikipedia. org/ wiki/​
X10_%28Protokoll%29]
[11] Marmitek: [http:// www. marmitek. com/ de/​
produkte/ home‐automation‐security. php]
[12] AVMs Dect-System:
[http:// www. avm. de/ de/ News/ artikel/​
2012/ newsletter/ ifa_dect_200E. html]
[13] Misterhouse:
[http:// misterhouse. sourceforge. net]
[14] Openhab:
[http:/ c/ ode. google. com/ p/ openhab]

Titelthema
www.linux-magazin.de Türöffner 01/2014
28
Ein Türöffner im Eigenbau
Sesam öffne dich!
Ein Optokoppler, ein Mosfet, ein Raspberry Pi, ein Webserver mit SQL-Datenbank und ein wenig Skript-Magie
reichen aus, um einen Haustüröffner zu bauen. Der öffnet vom Smartphone aus die Tür oder spielt sogar je
nach Gast andere Klingeltöne ab. Sven Seeberg, Markus Feilner
© Mike Zakharov, 123RF.com
01 #!/usr/bin/python2.7
Ein großer Teil des Erfolgs des Raspberry
Pi liegt in seinen praktischen und handlichen
GPIO-Pins, die auf dem Board verlötet
sind. Das Beispiel in diesem Artikel
nutzt sie, um zwei Türöffner und die
Klingel der Schließ- und Gegensprechanlage
an den Platinenrechner zu koppeln.
Der Anschluss zum Schalter in der
zentralen Schließanlage ist hinter einem
02 import RPi.GPIO as GPIO
03 import time
04 GPIO.setwarnings(False)
05 GPIO.setmode(GPIO.BOARD)
06 GPIO.setup(7,GPIO.OUT)
07 GPIO.output(7,GPIO.HIGH)
Listing 1: »open.py«
Optokoppler direkt auf den Türöffner der
Haustür gelötet, parallel zur eingebauten
Aufsperren-Taste.
GPIO-Pins, Optokoppler und
ein Mosfet
Auch an der Wohnungstür ist nun ein
elektrischer Türöffner verbaut. Den
08 time.sleep(5)
09 GPIO.output(7,GPIO.LOW)
10 time.sleep(12)
11 GPIO.setup(11,GPIO.OUT)
12 GPIO.output(11,GPIO.HIGH)
13 time.sleep(35)
14 GPIO.output(11,GPIO.LOW)
schaltet ein etwas größerer Mosfet vom
zweiten GPIO-Pin des Raspi aus. Zusätzlich
prüft ein Sensor, ob die Tür offen ist.
Alles, was nicht im Pi integriert ist, bringt
der Bastler in einem eigenen Gehäuse
(Abbildung 1) unter, zum Beispiel auch
einen Lautsprecher.
Der Webserver läuft über HTTPS, kann
per VPN oder WLAN, NAT und lokale
IPs gesichert sein. Eine von PHP generierte
Webseite stellt das Anmeldeformular
bereit. Das ist betont simpel gehalten
(Abbildung 2), bietet aber bereits eine
kleine User-Verwaltung mit Einträgen in
einer SQL-Datenbank, die es gestatten,
jeden Eingelassenen mit einem eigenen
Klingelton zu versehen. Die dem User
zugeordnete Datei liegt in einer SQL-Tabelle,
der Raspi spielt sie ab, sobald der
User die Tür öffnet.
Dank des erwähnten Lautsprechers ist
im Normalfall der Klang also in der Wohnung
zu hören, aber den Aktionen sind
hier keine Grenzen gesetzt. In Zeile 38
des »index.php«-Beispiels (siehe weiter
unten) spielt Splay ein Audiofile ab:
$command = "screen ‐dm aplay /var/www/U
sesame/".$array['sound'];
Denkbar ist es aber auch, über Skripte
oder SSH-Befehle etwa im Büro oder am
Laptop einen Ton abzuspielen, wenn
zu Hause jemand klingelt, oder gar die
Sprechanlage weiterzuleiten. Das Standard-Linux
auf dem Raspi eröffnet hier
alle Möglichkeiten.
01 #!/usr/bin/python2.7
02 import RPi.GPIO as GPIO
03 import time
04 GPIO.setwarnings(False)
05 GPIO.setmode(GPIO.BOARD)
Listing 2: »open_down.py«
06 GPIO.setup(7,GPIO.OUT)
07 GPIO.output(7,GPIO.HIGH)
08 time.sleep(5)
09 GPIO.output(7,GPIO.LOW)
Root-Probleme
Die einzigen Probleme in der Konfiguration
macht die Tatsache, dass im Raspberry
(mindestens auf Debian Wheezy)
nur Root den GPIO nutzen darf. Deshalb

Türöffner 01/2014
Titelthema
www.linux-magazin.de
29
Abbildung 1: Von oben nach unten: Raspi, separates Gehäuse und Türöffner.
Abbildung 2: Grüner Hintergrund, das bedeutet: Die Tür ist zu.
führt ein Wrapper die Python-Skripte als
Root aus. Listing 1 (»open.py«, öffnet
beide Türen ), Listing 2 (»open_down.
py«, öffne unten) und Listing 3 (»open_
up.py«, öffne unten) zeigen, wie Python
die GPIO-Pins adressiert, während
Listing 4 (»sensor.py«) den Status der
Wohnungstür abfragt.
Nicht gerade elegant:
Gewrapptes Python
Für ein erstes Beispiel reicht dieses
Vorgehen, auch wenn es bessere Wege
gibt, als Python mit einem C-Wrapper
auszustatten. Beispielsweise ließen sich
die Funktionalitäten der Python-Skripte
direkt in C-Programme implementieren
oder die Skripte einfach für unprivilegierte
User schreib- und ausführbar machen,
doch für den privaten Einsatz im
abgesicherten LAN funktioniert das Beispiel
schnell und zuverlässig.
Das Webinterface (Abbildung 2) besitzt
übrigens eine versteckte Funktion: Den
Tür-Status zeigt die Hintergrundfarbe der
Website an: Grün steht für geschlossen,
Rot für geöffnet. Bleibt die Tür länger als
5 Minuten auf, dann schickt der Pi brav
eine Mail an einen konfigurierten Account
– geregelt von »sensor.py« (Listing
4), aufgerufen durch die Zeile
Listing 3: »open_up.py«
01 #!/usr/bin/python2.7
02 import RPi.GPIO as GPIO
03 import time
04 GPIO.setwarnings(False)
05 GPIO.setmode(GPIO.BOARD)
Listing 4: »sensor.py«
01 #!/usr/bin/python2.7
02 import RPi.GPIO as GPIO
03 import time
04 GPIO.setwarnings(False)
05 GPIO.setmode(GPIO.BOARD)

Titelthema
www.linux-magazin.de Software Defined Radio 01/2014
30
Wetterdaten via SDR auslesen
Wellenreiten
Mit 20-Euro-Hardware und freier Software-Defined-Radio-Software beginnt für Konstantin Agouros die Jagd
auf die per Funk übertragenen Daten einer Wetterstation. Konstantin Agouros
Editor, um die digitalisierten Funkdaten
am Rechner zu verarbeiten.
Die Hardware
© epicstockmedia, 123RF.com
Wetterstationen mit Außensender (Abbildung
1) sind heute in vielen Haushalten
im Einsatz – so auch in meinem.
Der kleine Sender liegt in diesem Fall auf
dem Fensterbrett, misst Wetterdaten wie
Temperatur, Luftdruck oder Luftfeuchtigkeit
und übermittelt diese digital an
eine Basisstation, die sie dann anzeigt.
Doch eine Basisstation zum Empfang der
Daten ist nicht einmal unbedingt notwendig.
Mit etwas Bastelleidenschaft und der
Hilfe von Software Defined Radio (siehe
Kasten „SDR“) kann ich solche Funkdaten
auch mit dem Rechner empfangen,
auslesen und sogar erzeugen.
Weil dabei die Software den Großteil der
Arbeit erledigt, darf mein Lötkolben getrost
im Schrank liegen bleiben. Lediglich
die entsprechende Hardware, die nur ein
paar Euro kostet, muss her sowie ein
Vor der Analyse der digitalen Daten
musste ich zunächst die passende Hardware
für den Empfang finden. Während
speziell dafür entwickelte Hardware recht
kostspielig ist, bieten DVB-T-Sticks für
rund 20 Euro eine sehr günstige Einstiegsmöglichkeit
in SDR, sofern sie bestimmte
Realtek-Chipsätze (RTL2832U)
mitbringen. Das Ganze firmiert unter
dem Stichwort „RTL-SDR“ und benötigt
die Bibliothek Librtlsdr.
Ein Blick auf meine Wetterstation zeigt,
dass sie Daten auf der 868-MHz-Frequenz
empfängt. Die Webseiten unter [1] und
[2] listen diverse Chipsätze sowie die
von ihnen abgedeckten Frequenzbereiche
auf. Hier findet sich auch gleich eine
Liste von Produkten, die diese Chips enthalten.
Auf Empfehlung eines Kollegen
erwarb ich einen Terratec Cinergy T Stick
RC mit Elonics-Chipsatz, der von den aufgelisteten
DVB-T-Empfängern den größten
Frequenzbereich abdeckt – so auch
© Roman Ivaschenko, 123RF.com
Abbildung 1: Die Kommunikation zwischen einer handelsüblichen Wetterstation
(links) und dem zugehörigen Sensor (rechts) lässt sich mit SDR auswerten.
Abbildung 2: Gqrx stellt die Daten in einer Wasserfallgrafik dar.

den des Wettersensors. Der Kostenpunkt
der Hardware liegt bei 23 Euro, praktischerweise
ist im Lieferumfang eine Stabantenne
enthalten.
Die Software
Als Installationsbasis diente mir ein Netbook
mit Mint 15, bei der Analyse der
per Funk empfangenen Signale half das
Gnu-Radio-Framework [3]. Das ist eine
Art Baukasten, der sogar einen grafischen
Editor enthält und die Signalverarbeitung
von Rohdaten (gegebenenfalls auch in
Echtzeit) mit Hilfe diverser Filter bis hin
zu einem Zielformat ermöglicht. Die Software
erzeugt dabei automatisch Python-
Code, der die Daten verarbeitet.
Um den DVB-T-Stick als Empfänger einzusetzen,
benötige ich zunächst das RTL-
SDR-Paket, das
git clone git://git.osmocom.org/rtl‐sdr.git
auf den Rechner holt. Gentoo und Arch
Linux bringen bereits fertige Pakete mit,
unter Ubuntu lässt sich die Software über
ein PPA installieren (siehe Kasten „Gnu
Radio aus dem PPA“).
Das Bauen der Software aus den Quellen
funktioniert über Cmake, aber es
gibt einen Haken: RTL-SDR verwendet
die Bibliothek Libusb, um mit dem Stick
zu kommunizieren. Werden jedoch bestimmte
Treiber geladen, kann die Software
nicht mehr korrekt mit dem Stick
reden. Mein Mint-System hat die Module
aus Listing 1 geladen. Listing 2 zeigt eine
Anleitung von der Webseite [1] für das
Bauen der Software aus den Quellen.
Test, Test!
Um das Laden der Module zu unterbinden,
ist eine Modifikation der Udev-Regeln
notwendig. Dazu musste ich den
SDR
Software Defined Radio greift die elektromagnetische
Wellen quasi direkt an der Antenne
ab und bearbeitet sie mit Hilfe von Software.
Im einfachsten Fall besteht ein SDR-Empfänger
aus einer Antenne und einem Analog-
Digital-Wandler plus Software. Abhängig
vom Gerät lässt sich damit ein recht großer
Frequenzbereich scannen. Anwendungen, mit
deren Hilfe sich SDR umsetzen lässt, heißen
Gnu Radio, Gnu Radio Companion oder Gqrx.
Cmake-Aufruf um den Parameter »‐DIN-
STALL_UDEV_RULES=ON« erweitern
und anschließend noch das Kommando
sudo make install‐udev‐rules
hinterherschicken. Nun ließen sich die
Funktionen der Hardware über
rtl_test ‐t
auslesen, um etwa herauszufinden, welchen
Frequenzbereich der DVB-T-Stick
abdeckt. Ein handfester Test ist auch der
Empfang eines örtlichen Radiosenders:
rtl_fm ‐f 98.5M ‐W ‐s 200000 ‐r 48000 ‐ |
aplay ‐r 48k ‐f S16_LE
Der Demodulator »rtl_fm« nimmt 200 000
Samples pro Sekunde auf der Frequenz
98,5 MHz (die Frequenz eines Radiosenders)
auf. Aplay spielt den Datenstrom
mit einer Rate von 48 kHz auf Stdout
ab. Da die Roh-Audiodatei keine Header-
Informationen enthält, liest Aplay die Daten
mit dieser Rate ein und kodiert sie mit
16 Bit im Little-Endian-Format.
Die Analyse
Um interessante Signale im Äther zu
finden, ist Zuhören angesagt. Das Kom-
Gnu Radio aus dem PPA
Vor dem Anstecken der Hardware muss der
Ubuntu-Nutzer eine Udev-Datei anlegen.
Dazu liest er per »lsusb« die Vendor- und die
Product-ID seines DVB-T-Sticks aus und setzt
als Root den folgenden Befehl ab:
echo 'SUBSYSTEM=="usb",U
ATTRS{idVendor}=="Vendor ID",U
ATTRS{idProduct}=="Product ID",U
GROUP="adm", MODE="0666",U
SYMLINK+="rtl_sdr"' > U
/etc/udev/rules.d/20.rtlsdr.rules
Der Befehl schreibt eine neue Regel für Udev,
die sich auf den DVB-T-Stick bezieht. Vor dem
Anstecken des Sticks muss Root Udev zudem
neu starten:
service udev restart
Die Debian-Pakete von Gnu Radio und Gqrx
installieren Ubuntu-Nutzer aus einem PPA:
sudo add‐apt‐repository ppa:gqrx/U
snapshots
sudo apt‐get update
sudo apt‐get install gqrx gnuradio
Über den Aufruf von »gqrx« lässt sich das
SDR-GUI anschließend starten.
Software Defined Radio 01/2014
Titelthema
www.linux-magazin.de
31

Titelthema
www.linux-magazin.de Software Defined Radio 01/2014
32
01 e4000 12862 1
02 rtl2832 13312 1
03 dvb_usb_rtl28xxu 18737 0
04 rtl2830 13511 1 dvb_usb_rtl28xxu
05 dvb_usb_v2 22916 1 dvb_usb_rtl28xxu
06 dvb_core 90402 3 rtl2830,rtl2832,dvb_usb_v2
07 rc_core 21266 3 dvb_usb_rtl28xxu,dvb_usb_v2
08
01 cd rtl‐sdr/
02 mkdir build
03 cd build
04 cmake ../
05 make
06 sudo make install
07 sudo ldconfig
Abbildung 3: Beim Hineinzoomen in die Daten mit Audacity in eine der Spitzen ergibt sich Abbildung 4.
Abbildung 4: Das Bitmuster, das Audacity anzeigt, lässt sich mit Hilfe eines Skripts dekodieren.
Listing 1: »lsmod | head 7«
Listing 2: »rtl‐sdr« kompilieren
mando, das ich oben zum Radiohören
verwendet habe, liefert auf anderen
Frequenzen Rauschen, wenn auf ihnen
nichts sendet. Digitale Signale hören sich
anders an als Rauschen und geben so –
unter Berücksichtigung der Rechtslage
(siehe Kasten „Rechtslage um SDR“)
– Futter für weitere Analysen.
Um größere Frequenzbereiche abzusuchen,
bietet sich Software wie Gqrx [5]
an, ein praktisches Frontend, das die Daten
in Kurven und einer Wasserfallgrafik
optisch aufbereitet (Abbildung 2).
Das Wetter
Da auf meiner Wetterstation glücklicherweise
die richtige Frequenz aufgedruckt
ist, ließ sich eine Suche vermeiden. Als
ich die Frequenz auf 868 MHz einstellte,
ertönten alle paar Sekunden Knackgeräusche,
die ich aufzeichnete und mit dem
Audio-Editor Audacity analysierte. Nach
dem Import der Daten ergab sich im Test
das Bild aus Abbildung 3.
Tatsächlich ließ die vergrößerte Ansicht
ein Muster erkennen. Jetzt musste ich
dieses Signal dekodieren, um die Daten
(Temperatur und Luftfeuchtigkeit) auszulesen.
Eine Internetrecherche zeigte, dass
sich jemand diese Arbeit bereits gemacht
hat. Unter [6] und [7] finden sich Analysen
der Wettersensoren.
Christophe Jacquets Pydemod-Paket geht
von einer 16-Bit-Präambel aus, bestehend
aus 1010101010101010. Ihr folgend sendet
sein Sensor wie der in [8] mit 17 200
Baud ein Signal, das On-off-Keying verwendet:
Verläuft die Kurve von Abbildung
5 nach oben, wird eine 1 übertragen,
fällt sie nach unten, eine 0. Ob sie
nach oben läuft, lässt sich über das Verhältnis
der numerischen Werte der Samples
zur Baud rate herausfinden.
Aber die ersten Tests, die Daten aus
»rtl_fm« mit Hilfe von »decode_tfa.py«
[9] auszuwerten, blieben ergebnislos.
Leider fehlte in den Aufzeichnungen von
Christophe eine Angabe darüber, wie er
»rtl_fm« aufgerufen hat, um die Rohdaten
für die Analyse zu bekommen. Auch
der Screenshot der empfangenen Daten
sah in seinem Blog ganz anders aus als
bei mir.
Glücklicherweise half Christophe und erweiterte
sein Skript so, dass es auch mit
den Daten des Wettersensors arbeitet.
Wie sich zeigte, bestanden die Probleme
in den folgenden Punkten:
Listing 3: Ausgabe von »rtl_fm«
01 Found 1 device(s):
02 0: Realtek, RTL2838UHIDIR, SN: 00000001
03
04 Using device 0: Terratec Cinergy T Stick RC
(Rev.3)
05 Found Elonics E4000 tuner
06 Bitrate: 9600, synclen: 24, framelen: 80
07 Using frame duration 1600.0 samples
08 Squelch at 2200, should be slightly greater
than usual max; use ‐‐squelch to change
09 Oversampling input by: 7x.
10 Oversampling output by: 1x.
11 Buffer size: 7.31ms
12 Tuned to 868679999 Hz.
13 Sampling at 1120000 Hz.
14 Output at 160000 Hz.
15 Exact sample rate is: 1120000.035604 Hz
16 Tuner gain set to automatic.
17 Min: 0 ‐ Mean: 273.97845 ‐ Max: 1224
18 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
19 Frame: size 98 bits, contents 1010101010101
0101010101000111101110101000000000000000000
000000000000000000000000000000000000000000,
framelen=80
20 Frame hex contents: AA AA AA 3D D4 00 00 00
00 00
21 CRC: calculated=00, received=00
22 Temperature: ‐40.0 C ‐‐ Humidity: 0 %
23 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
24 Min: 0 ‐ Mean: 270.3753 ‐ Max: 1260
25 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐
26 Frame: size 96 bits, contents 101010101010
101010101010001011011101010010010001110001
000110001001001001011001010000000000000000,
framelen=80
27 Frame hex contents: AA AA AA 2D D4 91 C4 62
49 65
28 CRC: calculated=65, received=65
29 Temperature: 6.2 C ‐‐ Humidity: 73 %
30 ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐

Software Defined Radio 01/2014
Titelthema
Abbildung 5: So sieht schließlich das richtig demodulierte Signal aus.
n Meine Samples waren mit der falschen
Modulationsmethode entstanden. Der
Sender moduliert mit der Amplitude,
nicht mit der Frequenz. Daher muss
»rtl_fm« den Parameter »‐M« mit auf
den Weg bekommen.
n Mein Sender schickte die Daten mit
9600 statt mit 17 200 Baud.
n Die Datenpräambel lautete zudem
nicht 1010101010101010, sondern
101010101010101010101010, es waren
also tatsächlich 24 statt 16 Bit.
Es gab noch einen weiteren Unterschied
zwischen meinem Testsystem und den
Daten von Christophe: Sein Radio-Empfangssystem,
ein Funcube-Dongle, lieferte
die Daten im Big-Endian-Format, der im
Test eingesetzte DVB-T-Stick verwendete
hingegen das Little-Endian-Format. Dies
musste Christophe im Code an der Stelle
anpassen, welche die Rohformat-Samples
in Zahlen zum Weiterverarbeiten verwandelt.
Die Kodierung der Temperatur blieb in
beiden Szenarien identisch. Drei Nibbles
(4 Bit), die eine Stelle der Temperatur in
BCD (Binary Coded Decimal) kodierten,
wobei die dritte Stelle die Zehntel-Grad
www.linux-magazin.de
33
Rechtslage um SDR
Christian Solmecke [4] ist Anwalt in der
Kanzlei Wilde Beuger Solmecke und erklärt,
was SDR-Nutzer beim Abhören der Frequenzen
beachten sollten.
Linux-Magazin: Welche Gesetzestexte sollten
SDR-Nutzer genauer in Augenschein nehmen?
Christian Solmecke: Die wichtigsten Regelungen
finden sich im Telekommunikationsgesetz.
Insbesondere die Paragrafen 89 und 148 sind
hier entscheidend.
Linux-Magazin: Wie sieht es mit dem absichtlichen
oder unabsichtlichen Empfang von
unverschlüsselter Kommunikation zwischen
Personen aus, zu denen etwa der Polizei- und
Rettungsfunk, aber auch der Amateurfunk gehören?
Christian Solmecke: Der absichtliche Empfang
unverschlüsselter Kommunikation ist nur in vier
Konstellationen erlaubt. Das regelt Paragraf 89
des Telekommunikationsgesetzes „Abhörverbot,
Geheimhaltungspflicht der Betreiber von
Empfangsanlagen“.
1. Konstellation: Die Nachricht ist für den Funkbetreiber
bestimmt: Nachrichten, die nur für
den Empfänger bestimmt sind, darf auch nur
dieser abhören – das ist zum Beispiel der Fall
bei Handys oder privaten WLAN-Netzen.
2. Konstellation: Der Empfang ist für die Allgemeinheit
bestimmt (TV, Radio).
3. Konstellation: Der Empfang ist für Funkamateure
bestimmt.
4. Konstellation: Der Empfang ist für einen
unbestimmten Personenkreis bestimmt, was
der Fall ist bei Wetterinformationen für die
See- und Luftfahrt.
Außerhalb dieser vier Konstellationen bleibt
der Empfang der Funkkommunikation verboten.
Das Abhören des Polizei- und Rettungsfunks
ist somit nicht erlaubt. Für den unabsichtlichen
Empfang der Funkkommunikation gilt
nichts anderes: Wer aus Versehen auf eine
der Frequenzen des Polizeifunks kommt und
diese nach dem Erkennen weiterhört oder das
dort Gehörte verbreitet, macht sich genauso
strafbar, wie derjenige, der mit Absicht diese
Frequenzen abgehört hat. Die Strafbarkeit ist
in Paragraf 148 des TKG geregelt, bis zu zwei
Jahren Freiheitsstrafe sind möglich.
Linux-Magazin: Darf man, wie es einige Webseiten
tun, die unverschlüsselten Positionssignale
von Flugzeugen (ADS-B) oder Schiffen
(AIS) empfangen und online grafisch aufbereiten?
Christian Solmecke: Bei der grafischen Aufbereitung
der Daten kommt es auf die Darstellung
im konkreten Fall an. Entscheidend ist, ob
diese Daten eine Identifizierung ermöglichen.
Dies kann datenschutzrechtlich problematisch
sein – etwa bei Privatflugzeugen. Bei der Veröffentlichung
personenbezogener Daten kann
zudem eine Persönlichkeitsrechtsverletzung
vorliegen.

Titelthema
www.linux-magazin.de Software Defined Radio 01/2014
34
anzeigt. Darauf addiert mein Temperatursensor
40, vermutlich um Minusgrade
abzubilden. Die nächsten 8 Bit kodieren
dann die Luftfeuchtigkeit.
Die erste Version des Skripts ging außerdem
davon aus, dass sie eine WAV-Datei
vorgesetzt bekommt, die genau die Bits
mit den Informationen und keinerlei Rauschen
enthält. Das nun von Christophe
maßgeblich überarbeitete und auf andere
Fälle erweiterte Skript bringt einige neue
Eigenschaften mit, die unter anderem
Folgendes ermöglichen:
n Es erkennt die Spitze der Daten daran,
dass der numerische Wert des Sample
einen Grenzwert überschreitet. Der
liegt bei 4000, lässt sich aber – je nach
Sendeleistung – ändern.
n Die Daten können auch im Rohmodus
vorliegen, also ohne WAV-Header, aber
im Moment muss dies mit einer Rate
von 160 000 pro Sekunde geschehen.
n Die Länge der Präambel regelt ein eigener
Parameter.
n Die Baudrate der Datenübertragung
lässt sich variabel einstellen.
Daher erzeugt nun folgender Aufruf einen
Strom von Temperaturmessungen:
rtl_fm ‐M ‐f 868.4M ‐s 160k ‐ | python U
decode_tfa.py ‐‐raw ‐ ‐‐bitrate 9600 U
‐‐synclen 24
Die Ausgabe des Befehls zeigt Listing 3.
Ab und zu sind die Messdaten fehlerhaft.
Dies lässt sich an zwei Dingen erkennen:
Zum einen ist eine Checksumme enthalten,
deren erwarteter und ermittelter
Wert ausgegeben wird. Weichen diese
voneinander ab, liegt ein Messfehler vor.
Auch sind extreme Temperatursprünge
eigentlich unmöglich, dennoch weichen
zwei Messungen um mehr als 1 Grad
Celsius voneinander ab.
In der Praxis zeigte sich, dass die Antenne
nicht zu weit vom Empfänger entfernt
sein sollte. Schon bei 5 Metern Entfernung
sank bei mir der Wert der Spitze
deutlich ab. Liegt der Wert zu nahe am
Rauschen, kann das Skript den Anfang
der Daten nicht mehr erkennen.
Das Python-Skript gibt während des
Durchlaufs Minimal-, Maximal- und
Durchschnittswerte aus. Im Praxistest
kam es jedoch immer wieder vor, dass
der Ausschlag des Sticks zu schwach war.
Das kann an der automatischen Verstärkung
des Signals liegen. Entweder nagelt
der SDR-Nutzer den Wert mit dem Parameter
»‐g Wert« fest oder zieht den Stick
und steckt ihn erneut an der Rechner.
Eitel Sonnenschein
Mit wenig finanziellem Aufwand und
am Ende auch sehr wenig Software lässt
sich die Aufgabe lösen, die Daten der
Wetterstation auszulesen und in eine digital
auswertbare Form zu bekommen.
Die Basisstation des Testgeräts empfängt
auch Daten mit Wetter- sowie Pollenflug-Vorhersagen.
Diese kommen nicht
vom Außensensor, sondern über das alte
Pager-Netz. Auch dessen Daten lassen
sich empfangen und mit dem Tool »multimode‐ng«
dekodieren. Die Pager-Daten
gehen im Klartext über den Äther, aber
die Kodierung im String ist noch undokumentiert.
Ein großes Dankeschön geht an
Christophe Jacquet für die Anpassungen
seines Skripts, die Echtzeit-Streaming ermöglichten.
(kki)
n
Infos
[1] RTL-SDR-Projekt:
[http:// sdr. osmocom. org/ trac/ wiki/ rtl‐sdr]
[2] Reddit-Thread mit SDR-Hardware-Empfehlungen:
[http:// www. reddit. com/ r/ RTLSDR/​
comments/ s6ddo/ rtlsdr_compatibility_list_
v2_work_in_progress/]
[3] Gnu Radio:
[http:// gnuradio. org]
[4] RA Christian Solmecke: [http:// www.​
wbs‐law. de/ anwalt/ christian‐solmecke/]
[5] Gqrx-GUI zur Spektrumanalyse:
[http:// sourceforge. net/ projects/ gqrx/]
[6] Blog von Christophe Jacquet mit der Protokollanalyse
(französisch):
[http:// www. jacquet80. eu/ blog/ post/ 2011/​
10/ Decodage‐capteur‐thermo‐hygro‐TFA]
[7] Erste Analyse des Protokolls von Fred Bossard:
[http:// fredboboss. free. fr/ tx29/]
[8] Pydemod-Paket:
[http:// code. google. com/ p/ pydemod/]
[9] Code von »decode_tfa.py«:
[http:// code. google. com/ p/ pydemod/​
source/ browse/ trunk/ src/ decode_tfa. py]
Der Autor
Konstantin Agouros arbeitet bei der N.runs Professionals
GmbH als Berater für Netzwerksicherheit.
Dabei liegt sein Schwerpunkt im Bereich der
Mobilfunknetze. Sein Buch „DNS/​DHCP“ ist bei
Open Source Press erschienen.

Titelthema
www.linux-magazin.de Raumüberwachung 01/2014
36
IP-Kameras verwalten
Kamera läuft
Viele IP-Kameras lassen sich heute über intelligente Interfaces verwalten. Wenn diese fehlen oder im Gebäude
mehrere Kameras filmen, kommen unter Linux kommerzielle und freie Anwendungen zum Zuge. Kristian Kißling
© Dan Kuta, Photocase.com
Systeme zur Kameraüberwachung über
das Netzwerk existieren seit Mitte der
90er Jahre. Aktuelle Modelle, die auch
im Privatbereich erschwinglich sind, vereinen
dabei immer mehr Features aus
dem Profibereich in sich, wozu etwa
Nachtsicht per Infrarot oder Schwenk-,
Neige- und Zoomfähigkeiten gehören.
Eigentümer überwachen mit ihnen die
Urlaubshäuser, Firmeninhaber behalten
die Geschäftsräume und Katzenbesitzer
ihre im Urlaub zurückgelassenen Lieblinge
im Blick.
Meist richtet sich das Objektiv einer oder
mehrerer Kameras tagein, tagaus auf einen
leeren Gang, eine Bürotür oder einen
Parkplatz. Der Artikel beleuchtet, wie
Linux und freie Software den Umgang
mit dem Kamerapark erleichtern.
Technik, die begeistert
Doch zunächst zur Technik. Neben den
meist sehr schlichten Webcams und den
winzigen Spionagekameras stehen dem
Käufer meist Indoor- und Outdoor-Überwachungskameras
zur Auswahl. Letztere
müssen wesentlich robuster gegen
schlechte Witterung geschützt sein und
kosten im Highend-Bereich schon mal ein
paar Tausend Euro pro Stück.
Doch auch an den preiswerteren Indoor-
Kameras ist der technische Fortschritt
nicht spurlos vorübergegangen. Sie kosten
eine zwei- oder dreistellige Summe,
integrieren sich meist drahtlos oder
per Ethernet ins lokale Netzwerk und
bringen zum Verwalten und Bedienen
eine eigene Weboberfläche mit (Abbildung
1), die allerhand Nützliches kann.
Die mitgelieferten Installations-CDs dürfen
Linux-Anwender getrost in der Box
lassen, denn offizieller Linux-Support ist
selten. Tools wie »fping« verraten dennoch,
welche IP-Adresse der Router einer
Webcam zuweist.
Dank Infrarot erkennen viele aktuelle
Kameras Objekte auch im Dunklen und
leuchten den Raum teilweise bis zu 15
Meter weit aus. Alarm schlagen sie bei
Bewegungen (Motion Detection) oder
Geräuschen (Sound Detection). In diesem
Fall schicken sie Bilder und Videos
in wählbarer Auflösung an einen FTP-,
SSH- oder Samba-Server, mitunter auch
direkt in die Cloud. Einige IP-Kameras
lassen sich zudem per Dyn-DNS ins Internet
stellen – was nicht immer eine
gute Idee ist (siehe Kasten „Security-
Probleme“).
Da die Konkurrenz nicht schläft, heben
sich IP-Kameras zudem häufig durch ein
bis zwei Alleinstellungsmerkmale ab: Sie
lassen sich fernsteuern (auch als PTZ
bezeichnet, was für „Pan, Tilt, Zoom“
steht), erfüllen den internationalen Onvif-Standard
des Open Network Video
Interface Forum [2], legen Daten auf
Micro-SD-Karten ab oder schicken Bilder
mit Hilfe von Apps direkt auf Smartphones
oder Tablets. Einige Kameras
tanken Energie über das Netzwerkkabel
(Power over Ethernet, PoE) und brauchen
keine Steckdose.
Egal welche Art Kamera der Anwender
einsetzt, er sollte auch die gesetzlichen
Regelungen kennen. Eine umfangreiche
Liste mit Links und Texten zur Video-
Security-Probleme
Zwar lassen sich die meisten Webinterfaces
durch Passwörter schützen, viele Benutzer
machen sich aber nicht die Mühe, das Standardpasswort
zu ändern. Ist die Oberfläche
übers Internet erreichbar, stehen die Aufnahmen
ungeschützt im Netz. Hinzu kommen
Sicherheitslücken: Trendnet-Kameras
erregten 2012 Aufsehen, weil Interessierte
die Streams unter Umgehung des Passwortschutzes
über eine spezielle URL erreichen
konnten [1].
Empfohlen wird also, die Kameras nur im lokalen
Netzwerk zu betreiben und die Daten
am besten SSL-verschlüsselt zu verschicken.

überwachung bietet das Unabhängige
Landeszentrum für Datenschutz Schleswig-Holstein
[3].
Powered by Motion
Wer nur sein Büro oder ein einziges Objekt
überwachen möchte, dem genügt
meist eine günstige Webcam ohne Webinterface:
Linux kann sie mit Hilfe von
Motion in eine Überwachungskamera
verwandeln. Das Kommandozeilentool
gehört zu den Veteranen im Motion-Detection-Bereich
und erkennt Bewegungen
im Sichtfeld (Abbildung 2) oder in dessen
Bereichen.
Eine Einschränkung der Software besteht
darin, dass die Bildquelle im Jpeg- oder
Motion-Jpeg-Format (Mjpeg) vorliegen
muss – neumodischen Kram wie Mpeg
4 oder Divx mag Motion nicht. Zum
Glück bringen viele aktuelle IP-Kameras
Mjpeg-Support mit. Schön an Motion ist
die ausführliche Dokumentation, die es
recht schnell erlaubt, die Funktion der
verschiedenen auskommentierten Optionen
in »/etc/motion/motion.conf« zu
verstehen, um die Software über die zentrale
Konfigurationsdatei an die eigenen
Bedürfnisse anzupassen.
Der Parameter »target_dir« legt ein lokales
Zielverzeichnis für die entstandenen
Bilder und Filme fest. Für die erste
IP-Kamera muss in der Datei »motion.
conf« eine Adresse neben »netcam_url«
eingetragen sein, andernfalls will Motion
standardmäßig auf »/dev/video0« zugreifen.
Die Software kommt allerdings auch
mit mehreren Kameras zurecht: In den
»thread.conf«-Dateien im Verzeichnis
»/etc/motion/« lassen sich jeweils Pfade
zu weiteren Kamerastreams definieren
und Orte für Aufnahmen festlegen.
Da sich Motion selbst nicht um den weiteren
Verbleib des Materials kümmert,
muss der Nutzer tätig werden und die
Ergebnisdateien per Cronjob und über
Bash- oder Perl-Skripte abgreifen und
zum Beispiel auf einen entfernten Server
verschieben. Oder Motion packt sie in ein
Dropbox- oder Ubuntu-One-Verzeichnis,
um sie so auf andere Geräte zu übertragen,
etwa auf Smartphones.
Auch in Sachen Home-Automation sind
mit Motion interessante Einsätze vorstellbar:
So kann ein Skript die Textausgaben
von Motion auswerten oder die Speicherorte
überwachen und Ereignisse starten,
sobald Motion Bewegung entdeckt. In
Verbindung mit Fhem [4], einem Server
für die Home-Automation, der eine ganze
Reihe von Heim-Automatisierungsprotokollen
kennt (etwa KNX, Home Easy,
X 10), lassen sich Motion-Events an Haushaltsgeräte
koppeln: Betritt der Bewohner
ein Zimmer, geht das Licht an oder Ähnliches.
Ein Bastelfreund [5] lässt sich
zum Beispiel Menschen, die an seiner
Haustür klingeln, zehn Sekunden lang in
einem Fenster seiner XBMC-Installation
auf seinem Flatscreen anzeigen.
All my Circuits
Komplexer wird es, wenn die Zahl der
Kameras steigt und zugleich dauerhaft
gefilmt wird, was auch als CCTV (Closed
Circuit Television) firmiert. Der Admin
muss abschätzen,
welche Menge an
Daten pro Tag anfällt
und wie viele Tage das Archiv vorhalten
soll, um den Bedarf an Festplattenkapazität
richtig einzuschätzen. Zudem
muss das Netzwerk den permanenten
Datenstrom verkraften.
Ein Cron-getriebenes Skript in Kombination
mit Tools wie Duplicity oder
Rsync könnte auf dem NAS automatisch
ältere Aufnahmen aus dem Datenwust
filtern und löschen. Beim permanenten
Aufzeichnen ist zudem ein intelligentes
Einordnen der Videos auf Datums- und
Uhrzeitbasis unverzichtbar, um unter
Tausenden Aufnahmen schnell die wichtigen
Sekunden ausfindig zu machen. Wer
die Aufnahmen nicht vor Ort speichern
möchte, kann einen gut angebundenen
Rootserver mieten und das Material per
SFTP dorthin hochladen.
Manche Unternehmen müssen die erstellten
Videodateien mitunter lange aufbewahren
und dürfen sie nicht verlieren. Sie
können die Aufnahmen gut auf eigenen
Servern mit Raid 10 lagern. Nutzen die
Firmen fremde Rechenzentren, sollten sie
eine Verschlüsselung in Betracht ziehen.
Einige Profisysteme entschlüsseln Daten
nur, wenn zwei Personen zugleich ihre
Passwörter angeben, um den Missbrauch
zu erschweren.
Wer für die Langzeitlagerung von Videomaterial
eine freie Archivierungslösung
sucht, kann zudem einen Blick auf Open
Archive [6] oder das Avalon Media System
[7] werfen, die unter der AGPLv3
respektive Apache-Lizenz stehen.
Additionsspiele
Wie erwähnt addieren sich beim Einsatz
mehrerer Kameras die Bandbreiten
ebenso wie der nötige Speicherplatz.
Raumüberwachung 01/2014
Titelthema
www.linux-magazin.de
37
Abbildung 1: IP-Kameras wie die von D-Link bringen häufig eigene Weboberflächen
mit und können bei Bewegungen oder Geräuschen Aktionen starten.
Abbildung 2: Bewegung (hier mit einem Filter hervorgehoben) lässt sich unter
Linux mit Motion erkennen, dafür ist keine spezielle Kamera nötig.

Titelthema
www.linux-magazin.de Raumüberwachung 01/2014
38
Quelle: http://www.lavrsen.dk/foswiki
Abbildung 3: Die Weboberfläche von Motion kann noch etwas Politur gebrauchen.
NAS-Anbieter wie Qnap und Synology
bieten hierfür Network Video Recorder
(NVR, [8]) oder Surveillance Stations
[9] an. Synology stellt zudem einen
Ressourcenrechner [10] bereit, um den
Bandbreiten- und Speicherbedarf zu berechnen:
Demnach brauchen fünf Kameras,
die 14 Tage lang mit 30 FPS (Bilder
pro Sekunde) und einer 720-p-Auflösung
Videos im alten Mjpeg-Format aufnehmen,
157,5 MBit/​s Bandbreite und rund
23,8 TByte Speicherplatz.
Zum Glück gibt es zahlreiche Tuning-
Optionen: Menschen bewegen sich vergleichsweise
langsam, mehr als 10 FPS
müssen nicht sein. Die Auflösungen der
Kameras lassen sich verkleinern, die
Bildqualität reduzieren – doch widerspricht
das unter Umständen dem Beweggrund,
überhaupt eine Kamera aufzustellen.
Fährt der Admin das obige Beispiel
auf Sparflamme (im H.264-Format mit
640 mal 480 Auflösung und 10 FPS), landet
er bei erträglichen 5,15 MBit/​s und
einem Speicherbedarf von 780 GByte.
Beim Einsatz reiner Bewegungserkennung
lassen sich diese Werte natürlich
enorm reduzieren, zudem wird häufig
nicht rund um die Uhr aufgezeichnet.
E Zoneminder
Motion zeichnet zwar Jpeg-Streams von
mehreren Kameras auf, hat aber kein vernünftiges
GUI (Abbildung 3). Fürs Mo-
nitoring mehrerer
Kameras eignet es
sich daher nur bedingt.
Hier springt
Zoneminder in die
Bresche, ein Open-
Source-Programm unter der GPL. Es verwaltet
mehrere Kameras, darunter jene,
die Video-4-Linux unterstützt, lässt sich
über eine Web oberfläche bedienen und
bindet Web- und IP-Kameras über HTTPsowie
RTSP-Streams ein.
Es bringt für das Live-Monitoring eine
Montage-Ansicht mit, die einen Blick auf
alle Kamerabilder erlaubt, und lässt den
Admin für jede Kamera separate Überwachungsmodi
definieren. Einige Kameras
beobachten nur, andere überwachen
per Motion Detection kritische Zonen.
Im letzten Fall kann Zoneminder Bewegungen
auch optisch hervorheben (Abbildung
4).
Über Filter lassen sich Events definieren,
bei deren Eintreffen die Software Fotos
Zoneminder in Ubuntu
Abbildung 4: Im Eventlog hebt Zoneminder die vom Bewegungsmelder aufgezeichneten
Bewegungen farbig hervor.
und Videos per E-Mail oder – über ein E-
Mail-Gateway – per SMS verschickt. Der
Filter »PureWhenFull« löscht alte Aufnahmen,
damit die Festplatte nicht vollläuft,
ist jedoch standardmäßig deaktiviert. Für
den Umgang mit Zoneminder lassen sich
mehrere Benutzer anlegen, die Kameras
auch über PTZ fernsteuern.
Die Home-Automatisierung unterstützt
Zoneminder mit dem X-10-Protokoll. Das
Tool Zmxap [11] verbindet Zoneminder
außerdem über das Home-Automation-
Protokoll Xap mit anderen Programmen
zur Heim-Automatisierung. Daneben gibt
es mit Mythzoneminder [12] ein Plugin
für Mythtv, das die Zoneminder-Events
auf den Fernsehschirm bringt.
Zurzeit ignoriert Zoneminder den Ton
– Audio Detection fällt damit flach. Aufnahmen
lassen sich nicht an mehreren
Speicherorten ablegen, zudem fehlen
gebündelte Informationen zur Software:
Die in Foren und Wikis verstreuten Infohappen
machen es den Anwendern
Die etwas ältere Version 1.25.0, die Ubuntu 12.10 mitbringt, war nicht ohne Weiteres zur Zusammenarbeit
mit den zwei Testkameras, einer DCS 933L von D-Link sowie einer IPC-770HD von 7-Links, zu
bewegen. Nach der Installation des »zoneminder«-Pakets und vor dem Start musste in der Datei
»/etc/zm/apache.conf« der Eintrag
ScriptAlias /cgi‐bin /usr/share/zoneminder/cgi‐bin
ergänzt werden, um die Datei anschließend neu zu verlinken und Apache neu zu starten:
sudo ln ‐s /etc/zm/apache.conf /etc/apache2/conf.d/zoneminder.conf
sudo /etc/init.d/apache2 force‐reload
Dann soll der Apache-User noch Teil der Videogruppe werden:
sudo adduser www‐data video
Abschließend mussten die Tester in der Datei »/usr/share/zoneminder/skins/classic/views/monitorprobe.php«
aus »$command = "arp ‐a";« ein »$command = "/usr/sbin/arp ‐a";« machen. Nach
diesen Bauarbeiten ließ sich Zoneminder mit den Testkameras benutzen.

auch nicht gerade leicht, Zoneminders
Fähigkeiten zu überblicken.
Die Software steht zudem in dem Ruf,
etwas kompliziert bei der Einrichtung zu
sein, was sich im Test bestätigte (siehe
Kasten „Zoneminder in Ubuntu“).
Auch einige Kameras spielen nicht mit
Zoneminder – hier hilft ein vorheriger
Blick in die Hardware Compatibility List
[13]. Hat der Anwender aber die Installationshürden
übersprungen, kann er die
Weboberfläche über »http://localhost/
zm« aufrufen (Abbildung 5).
Doch auch das Einrichten der Kameras
verlief nicht ohne Komplikationen. Es
half die Fehlermeldungen der Software
über »tail ‐f /var/log/syslog« im Auge zu
behalten. Als Herausforderung erwiesen
sich die Pfadangaben zum Einbinden der
Kameras: Da Zoneminder offenbar Pfade
zu CGI-Dateien erwartet, besteht die
Kunst darin, über die passwortgeschützten
Weboberflächen der Kameras an die
URIs zu den gezeigten Bildern zu gelangen
(Abbildung 6). Als Faustregel gilt:
Erscheint das Bild einer Kamera ohne die
Elemente des Web-GUI im Browser, passt
der Link auch für Zoneminder.
E Xeoma
Wem Zoneminder zu fummelig ist, der
findet womöglich im kommerziellen
Xeoma [14], von dem es Pakete für Linux
gibt, eine Alternative. Die Software besteht
aus Modulen, die funktionale Blöcke
bilden und die der Admin wie in
einem Baukasten zu einem Workflow
gruppiert. Als Quelle kann er ein Kameramodul
definieren und dieses mit einem
Ereignismodul verknüpfen, etwa einer
Bewegungs- oder Soundmeldung. Tritt
das Ereignis ein, aktiviert Xeoma drei
weitere Module in der Kette, die einen
Alarm auslösen, eine E-Mail verschicken
und die Aufnahme speichern.
Xeoma unterstützt nach eigener Aussage
alle Webcams und CCTV-Kameras und
kommt mit Onvif, PTZ sowie den Formaten
H.264, Jpeg, Mjpeg sowie Mpeg
4 zurecht. Die Anwendung kennt User
Permissions, erlaubt das Einrichten von
Multi-Server-/​Multi-Client-Umgebungen,
passwortgeschützten Konfigurationen
und einer Ansicht aller Kameras (Abbildung
7). Die Maximalgröße von Archiven
lässt sich ebenso wie die Kompressionsrate
der Videodaten einstellen.
Der Admin kann die Bewegungserkennung
aktivieren, Schwellenwerte dafür
setzen und Pre- sowie Post-Record-Zeiträume
definieren. Die Hauptvorteile von
Xeoma bestehen aber im Support vieler
Kameras, der komfortablen Einrichtung
und der simplen Handhabung.
Von der Software gibt es 32- und 64-Bit-
Binärpakete für Ubuntu 9.x bis 13.x,
Debian 6 Server, Debian 7, Open Suse
12.1 und Mint 12, die auf der Webseite
zum Download bereitstehen. Es gibt einen
Free-Modus, der bis zu drei Module,
aber nur eine Kamera freischaltet. Der
Trial-Modus erlaubt den Einsatz zahlloser
Kameras, dafür lassen sich die Settings
nicht speichern und es gilt eine zeitliche
Nutzungsbegrenzung.
Wer die Software erwerben möchte, zahlt
für vier Kameras einmalig 60 US-Dollar,
für acht Geräte 120 US-Dollar und für
1024 Kameras 2400 US-Dollar. Zusätzlich
Raumüberwachung 01/2014
Titelthema
www.linux-magazin.de
39
Abbildung 5: Die Weboberfläche von Zoneminder kann verschiedene Kameras verwalten und deren Bilder
anzeigen. Eine Montage-Option reiht die Bilder der Kameras auf.

Titelthema
www.linux-magazin.de Raumüberwachung 01/2014
40
Abbildung 6: Das Einbinden der Kameras über die
URIs erwies sich im Test als hakelig.
lässt sich über eine Pro-Version Cloud-
Unterstützung erwerben.
E Bluecherry
Bluecherry [15] bietet neben einer
Software zur Kameraverwaltung auch
Hardware rund um CCTV an: Eigene Kameras,
Video-Capture-Karten, Network
Video Recorder und einiges mehr. Wer
die Software mit Video-Capture-Karten
verwenden möchte, muss zu den hauseigenen
Modellen greifen, weil die Firma
nur diese unterstützt. Das kann wichtig
sein, wenn der Anwender die Software
für Live-Streaming einsetzen möchte.
Beim Funktionsumfang dürfte sich Bluecherry
zwischen Zoneminder (mit dem
es sich auf der Webseite vergleicht) und
Xeoma bewegen. Das GUI ist übersichtlich
gestaltet und einfacher gestrickt als
das von Xeoma, ein Webinterface erlaubt
den Zugriff über Mobilgeräte.
Audio und Video verstaut Bluecherry in
Matroska-Containern, wobei der Ablagepfad
veränderbar ist und die Software
multiple Speicherorte unterstützt. Alarmmeldungen
verschickt Bluecherry per E-
Mail, ihre Daten überträgt die Software
sicher per SSL, und seit Version 2 unterstützt
sie mehr als 400 IP-Kameras.
Es gibt 32- und 64-Bit-Pakete für Ubuntu
und Fedora 17 bis 19, die Software läuft
30 Tage lang als Demo und zusätzlich
auf einem Demoserver. Wer Bluecherry
kaufen möchte, legt für vier Geräte 100,
für acht 150 und für eine Version mit 32
Kameras 650 US-Dollar auf den Tisch –
Unterstützung für weitere Kameras gibt
es auf Anfrage.
Fazit
Dank integrierter Webserver sind für den
Betrieb einzelner IP-Kameras meist keine
Open-Source-Tools nötig. Die sind mit
Motion und Zoneminder aber vorhanden
und skalieren von einer einzelnen
Kamera bis hin zu einem Kamerawald.
Sie reagieren auf Bewegungsmeldungen
Abbildung 7: Die kommerzielle Surveillance-Software Xeoma lässt den User mehrere Kameras im Blick behalten,
auf Wunsch auch Webcams aus dem Internet.
und alarmieren die Anwender per E-Mail
oder SMS. Wahlweise schicken sie auch
Bilder und Videos in die Cloud.
Etwas mehr Komfort bieten kommerzielle
Tools wie Bluecherry und Xeoma,
die unter Linux laufen. Daneben gibt es
noch einige Surveillance-Apps auf den
Geräten von NAS-Anbietern. Den Link
zur Haustechnik beherrscht indes Zoneminder
am besten: Die Software unterstützt
X 10, bringt ein Plugin für Mythtv
mit und kommuniziert dank Zmxap über
das Xap-Protokoll.
Wer Motion, Bluecherry und Xeoma für
Home-Automation einsetzen will, muss
Skripte und Tools wie den Fhem-Server
nutzen. Für Xeoma, Zoneminder und
Bluecherry lassen sich nicht zuletzt Obergrenzen
für die Archivgrößen festlegen:
Sie löschen alte Aufnahmen, wenn die
Limits erreicht sind.
n
Infos
[1] Securityprobleme bei Trendnet-Kameras:
[http:// console‐cowboys. blogspot. de/​
2012/ 01/ trendnet‐cameras‐i‐always
‐feel‐like. html]
[2] Onvif-Standard:
[https:// en. wikipedia. org/ wiki/ Open_
Network_Video_Interface_Forum]
[3] Virtuelles Datenschutzbüro: [https:// www.​
datenschutzzentrum. de/ video/ index. htm]
[4] Home-Automation-Server Fhem:
[http:// fhem. de/ fhem. html]
[5] XBMC-Integration des Türbildes:
[http:// homeawesomation. wordpress.​
com/ tag/ ip‐camera/]
[6] Open Archive: [http:// openarchive. net]
[7] Avalon Media System:
[http:// www. avalonmediasystem. org]
[8] NVR von Synology: [http:// www. synology.​
com/ us/ solutions/ surveillance/]
[9] Surveillance Station von Qnap: [http://​
www. qnap. com/ en/ index. php? sn=2728# 3]
[10] Ressourcen-Rechner: [http:// www.​
synology. com/ support/ nvr. php? lang=us]
[11] Zmxap: [http:// misterhouse. wikispaces.​
com/ xAP+‐+ZoneMinder+Integration]
[12] Mythzoneminder: [http:// www. mythtv.​
org/ wiki/ MythZoneMinder]
[13] Zoneminder-kompatible Hardware:
[http:// www. zoneminder. com/ wiki/ index.​
php/ Hardware_Compatibility_List]
[14] Xeoma: [http:// felenasoft. com/ xeoma/]
[15] Bluecherry:
[http:// www. bluecherrydvr. com]

Titelthema
www.linux-magazin.de Smart Metering 01/2014
42
Status quo bei intelligenten Energiezählern, Pimp my Staubsaugerroboter
Der letzte Ableser?
Künftig passiert die häusliche Energiemessung elektronisch und aus der Ferne. Das so genannte Smart Metering
freut selbstverständlich die Versorger, doch auch der Endkunde kann die Daten zur Home-Automation
benutzen – zumindest mancher Endkunde. Jan Kleinert
© Iakov Filimonov, 123RF.com
Die bisher in diesem Schwerpunkt aufgezeigten
Anlagen und Möglichkeiten
dienen in erster Linie dem Komfort in
Haus und Büro. Dass sich die Bewohner
intelligenter Gebäude wohl fühlen
und neue Möglichkeiten an die Hand
bekommen, soll man auch nicht geringschätzen,
zumal Smartphone-aktivierten
Türöffnern, Multimediastreams überall,
ereignisgesteuerten Rollläden oder umfunktionierten
Staubsaugern (siehe Kasten
„Saugroboter mit Community“) ein
kultiger Geek-Faktor inne wohnt. Mit Fug
und Recht ein gutes Gewissen darf der
mit Moral ausgestattete Hauselektronik-
Einstein erst entwickeln, wenn es ihm
gelingt, Technik und Umwelt zu versöhnen.
Der Kampf gegen das Schmelzen der
Gletscher kann ganz banal beim hauseigenen
Energiezähler beginnen.
Seit ungefähr 2010 lassen Netzbetreiber
auch bei Endkunden Stromzähler installieren,
die einen Prozessor und ein
Display besitzen, dem
jeweiligen Anschlussnutzer
den momentanen
Energieverbrauch
und Nutzungszeiten
anzeigen und in ein
Kommunikationsnetz
eingebunden sind. Sogar
das „Gesetz über
die Elektrizitäts- und
Gasversorgung“ kennt
eine der entsprechende
Definition (§ 21d und
21i EnWG). In aller Regel
übertragen intelligente
Zähler die erhobenen
Daten zyklisch
an das Energieversorgungsunternehmen.
Solche Verbindungen
und damit verbundene Dienste nennen
Experten „Smart Metering“.
Die Vorteile sind vielfältig
Der Netzbetreiber oder Versorger muss
nun zwar die höheren Kosten für Anschaffen
und Datenübertragung schultern,
spart aber Personalkosten für die
Ableser. Außerdem
fällt es ihm leicht, die
Ablesezeiträume auf
zum Beispiel monatliche
Zyklen zu verkürzen,
und kann dem
Kunden so präzisere
Rechnungen stellen.
Wenn es der Zähler
zulässt, kann der Versorger
sogar spezielle
Tarife anbieten, die das
seit dem Siegeszug der
erneuerbaren Energien
stark schwankende Stromangebot widerspiegeln.
An vielen Sonntagen beispielsweise
herrscht in Deutschland tagsüber
ein starkes Überangebot an Strom. Der
Kunde kann per Tarif motiviert werden,
seine Verbräuche möglichst in solchen
Perioden zu verlegen, also genau dann
die Wäsche wäscht, die Warmwasserbereitung
hochfährt oder den Saugroboter
auf die Ladestation schickt – eine der seltenen
Gelegenheiten, wo Umweltschutz
und Geldbeutel eine Allianz bilden.
Dem Thema des Linux-Magazin-Schwerpunkts
folgend könnte und müsste hier
die Home-Automation ins Spiel kommen.
Denn wer zu Hause oder im Büro seine
Geräte sowieso schon elektronisch anund
abschaltet, kann in die Entscheidungsfindung
über das Ob und Wann
auch die aktuell im Stromnetz verfügbaren
Energie mit einbeziehen – was übrigens
schon mindestens die halbe Miete
für künftige Smart Grids wäre.
Was sich bis hierher noch nach sehr simplen
Steueralgorithmen anhört, bekommt
spätestens für all jene echte Komplexität,
die zusätzlich eine Photovoltaikanlage
auf dem Dach haben. Sonnenstände,
Wetterbedingungen, eigene Verbräuche,
Abbildung 1: Schick und eigentlich einfach zu konfigurieren, aber mit Linuxfeindlicher
Portaltechnik: RWE Smart Home.

Einspeisebedingungen und so weiter wollen
jetzt in Einklang gebracht werden. So
verwundert es nicht, dass Smart-Home-
Anlagen, die auf Solaranlagenbetrieb abgestimmt
sind, sich wie’s scheint besonders
gut verkaufen.
Der Missing Link
Dass an Home-Automation Interessierte
die sowieso vorhandenen Funktionen ihres
Smart-Metering-Zähler nun einfach
mitnutzen dürften, um zum Nutze von
Umwelt und Sparstrumpf ihr eigenes
(Linux-)Süppchen zu kochen, entspricht
im Moment leider nicht der Praxis. Die
für diesen Artikel bei großen deutschen
Versorgern gestartete Umfrage ergab,
dass von einer großen Installationsbasis
derzeit keine Rede sein kann (Tabelle
1). Das liegt weniger an den Konzernen
selbst als an noch unklaren gesetzlichen
Durchführungsbestimmungen.
Außerdem weist der deutsche Strommarkt
mit seinen großen Versorgern
kartellrechtliche Besonderheiten auf, die
eine Trennung von Herstellung, Netz und
Verteilung zum Endkunden fördern. Das
Ganze ist für den Laien schwer verständlich
und hat bei vorliegenden Thema zur
Folge, dass zumeist die Betreiberfirma
eines Smart Meters eine andere ist als der
Energiehersteller und der wiederum eine
andere als die zuständige Anbieterfirma
für Home-Automation-Produkte.
Beispiel RWE AG
Der zweitgrößte Versorger Deutschlands
(RWE Power, …) betreibt zugleich Verteilernetze
(Westnetz, …). Die dazu gehörigen
Firmen sind gemäß § 21d EnWG
reguliert, evaluieren die Technik (mit einem
großen Pilotversuch in Mühlheim
an der Ruhr) sowie die Wirtschaftlichkeit
und bieten intelligente Zählersysteme bis
auf Weiteres nur Großkunden an. Zugleich
gehört aber mit der RWE Effizienz
eine Tochter zum schwer überschaubaren
Konzernverbund, die seit zweieinhalb
Jahren eine Home-Automation-Produktlinie
an Endkunden vertreibt.
RWE Smart Home (Abbildung 1) gibt es
in mehreren Ausstattungen [1], auch mit
Photovoltaik-Anbindung (Power Control
Solar Starterpaket, zurzeit 660 Euro). Die
Trennung in Konzernteile hat technisch
die absurde Folge, dass RWE Smart Home
die Verbrauchsdaten selbst RWE-eigner
Strom- und Solarenergiezähler nicht etwa
direkt abgreift, sondern einen Sensorbaustein
aufsetzt, der den mittlerweile bei
Zählern üblichen Infrarotsender anpeilt.
Smart Metering 01/2014
Titelthema
www.linux-magazin.de
43
Tabelle 1: Smart Meter bei großen Stromanbietern
Stromzähler insgesamt/​intelligente
Smart-Meter-Geräte
Benutze Funktionen
E.ON RWE Vattenfall
Mehr als 2 Millionen in Europa/​alle Zähler der E.ON Etwa 4 Millionen (Westnetz)/​nicht im Vertrieb
Rund 3,3 Millionen/​circa
Metering GmbH
[2]
120 000
Iskra MT 372, Iskra M 375 (SLP), Elster 1440 (SLP, - EMH und Iskra
RLM), EMH LZQJ (ohne Wandler), L+G E350
Messung von Leistung, Wirkenergie, Blindarbeit, Fernauslesung bei RLM-Zähler (registrierende
Für Privatpersonen nur
Maximum, sekundärer Lastgang; sekundengenau für
Leistungsmessung) für Industriekun-
bei Pilotanlagen, bei Ge-
Kunden, Mehrtarif-Messung (8 Tarifregister), Fehlererfassung,
den mit mehr als 100 000 kWh/​Jahr. schäftskunden rund 3,7
Auslesen und Fernparametrierung per
Mio. Fernauslesungen/​
GPRS, teilw. Power-Quality- und Einspeisemessung
Jahr
Protokolle Standard-Übertragungsprotokolle - Firmenspezifisch, künftig
standardisiert
Für Kunden bereitgestellte
Funktionen
Personalisiertes Webportal oder CSV-Datei: Verbrauch
und Einspeisung viertelstundengenau, historische
Daten, Vergleiche anhand eigener Indikatoren,
Vergleiche über mehrere Smart Meter hinweg
- Per Internet (Browser)
Weitere Informationen/​
Demos
E.ON Metering GmbH [3], [info@eon‐metering. com]/
Demoportal wird gerade umgebaut
RWE Metering GmbH als Kompetenzcenter
auf dem Feld Messwesen [4]
Aus Richtlinen der Fachverbände
und bei den
Unternehmen

Titelthema
www.linux-magazin.de Smart Metering 01/2014
44
© Flickr.com/​samthor CC-BY-SA
Abbildung 2: Ein Irobot Create, mit dem Controller-Board Arduino Diecimila,
einem Metallbaukasten und Filzstiften zum Plotter aufgerüstet.
Für Linuxer sind die schicken Sets, die
Schaltvorgänge anhand vielfältiger logische
Implikationen und Trigger ohne
Programmierkenntnisse zu definieren
möglich macht und sogar neuere Miele-
Geräte (demnächst auch Buderus) direkt
ansteuert, gleichwohl keine Empfehlung,
weil beim Einrichten der angeschlossenen
Geräte auf der Weboberfläche per
Drag&Drop Silverlight im Hintergrund
werkelt. Mit Linux’ Moonlight sei das
Gleiche laut einer Konzernsprecherin
zurzeit nicht machbar.
Status quo
Beim in Tabelle 1 komprimiert dargestellten
Umfrageergebnis macht E.ON
(Metering GmbH) die beste Figur in
Sachen Transparenz und Funktionsviel-
falt. Besonders gefällt,
dass sich Kunden ihre
Werte frei konfigurierbar
per Webinterface
oder als Datei zusammenstellen
dürfen
– hier haben Anwender
beim anbinden
eigener (Linux-)Systeme
vergleichsweise
einfaches Spiel. Der
ebenfalls angefragte
En-BW-Konzern vermochte
binnen zweieinhalb
Wochen keine der angefragten
Informationen liefern. Alle vier Konzerne
decken rund 80 Prozent des deutschen
Strommarktes ab.
Bei E.ON und Vattenfall scheinen sich
Geräte von Iskra [5] und EMH [6] einiger
Popularität zu erfreuen. Linuxer, die
von ihrem Versorger ein solches Gerät an
die Kellerwand geschraubt bekommen,
können Recherchen in der Bastler-Community
anstellen und auf technische Dokumente
des Herstellers zugreifen.
Alle anderen, und das ist die Mehrheit,
sei das Volkszaehler.org [7] ans Herz
gelegt. Wie RWE Smart Home greift das
Projekt die Daten beliebiger Zähler per
Infrarotempfänger ab – mit dem Unterschied,
dass Microcontroller-Einheit und
Software GPL-lizensiert sind. Tux als Ableser,
das hat Power.
n
Infos
[1] RWE Smart Home:
[http:// www. rwe‐smarthome. de]
[2] Kosten-Nutzen-Analyse für einen flächendeckenden
Einsatz intelligenter Zähler:
[http:// www. bmwi. de/ DE/ Mediathek/​
publikationen,did=586064. html]
[3] E.ON Metering GmbH:
[http:// www. eon‐metering. com]
[4] RWE Metering GmbH:
[http:// www. rwe. com/ web/ cms/ de/ 1689624/​
rwe‐metering‐gmbh/ ueber‐rwe‐metering/]
[5] Iskra-Zähler: [http:// www. iskraemeco. si/​
emecoweb/ ger/ products/ products. html]
[6] EMH-Zähler: [http:// www. emh‐meter. de/​
de/ produkte1/ haushaltszaehler/]
[7] Volkszaehler-Projekt:
[http:// volkszaehler. org]
[8] „10 Years of Roomba Hacks“: [http:// www.
tested. com/ tech/ robots/ 453965‐magicmarker‐art‐kinect‐10‐years‐roomba‐hacks]
[9] Irobot Corp.: [http:// www. irobot. com]
[10] Tod Kurt, „Hacking Roomba“:
[http:// hackingroomba. com]
[11] „Roomba controlled by Kinect“:
[http:// www. youtube. com/ watch?​
v=Dxzoomerowo]
[12] „IBM Roomba-Based Robot Measures Data
Centre Heat“:
[http:// www. techweekeurope. co. uk/ news/
ibm‐roomba‐data‐centre‐heat‐emc‐117925]
[13] Neato Robotics:
[http:// www. neatorobotics. com]
Saugroboter mit Community
Seit den 2000ern gibt es akkubetriebene
Staubsauger zu kaufen, die selbstständig auf
kleinen Rädern über flache Oberflächen fahren
und Böden mit rotierenden Bürsten reinigen.
Damit sie nicht die Treppe hinunter stürzen
oder sich in eine Ecke navigieren, verwenden
sie Ultraschall-, Licht- und Infrarotsensoren.
Ein Mikrocontroller kennt die Heuristiken, um
ganze Räume und Wohnungen abzufahren.
Findige Hacker missbrauchen die Saugroboter
obendrein für allerlei amüsante Zwecke: Die
flachen, runden Putzhilfen zeichnen mit bunten
Filzstiften, piepsen einfache Musikstücke,
lassen sich über das Internet fernsteuern oder
spielen im Team das klassische Videospiel Pac-
Man nach. Eine gute Zusammenfassung der
Sauger-Hacks bietet das Online-Magazin Tested.com
[8].
Daneben bieten die Maschinen dem ambitionierten
Bastler Schnittstellen. Die Reihe
Roomba von Irobot [9], erstmals 2002 in den
USA erhältlich, ließ sich durch das Dongle OSMO
mit einer seriellen Schnittstelle zum Steuern
des Roboters versehen. Ab 2005 rüstete der
Hersteller die Geräte standardmäßig mit der
Schnittstelle Roomba Serial Control Interface
(Roomba SCI) aus, einem 7-Pin-UART-Port,
und veröffentlichte passende Dokumentation.
Später erhielt sie den Namen Roomba Open
Interface (ROI). Damit wurde aus dem, was
historisch als Wartungsport diente, ein Mittel,
um alle Sensoren des Roboters auszulesen und
seine Motoren zu steuern.
Ausgesaugt
Das Jahr 2007 markiert in zweierlei Hinsicht einen
Höhepunkt des Roomba-Hacking: Zum einen
erschien mit „Hacking Roomba“ von Tod Kurt
[10] das erste Buch zum Thema, andererseits
das Modell Irobot Create. Das Gerät richtete
sich explizit an Roboter-Bastler, verzichtete
ganz auf Bürstenrolle und Staubbehälter und
bot den Amateuren den frei gewordenen Platz
für ihre Nutzlasten an (Abbildung 2).
Weitere Hardware inspirierte die Sauger-Hacker:
Im Januar 2011 veröffentlichte der Japaner
Takashi Ogura ein Video, in dem er einen
Roomba mit dem Bewegungssensor Kinect
steuert, den Microsofts wenige Monate zuvor
auf den Markt gebracht hatte [11]. Aus jüngster
Zeit stammt ein Hack in Sachen Green IT. Im
Auftrag von IBM-Forschern fahren einige Irobot-
Create-Maschinen autonom durch Rechenzentren
und messen mit einem Aufbau die örtlichen
Temperaturen [12]. Mit einem RFID-Lesegerät
erfassen sie dabei die an den Serverracks angebrachten
Funketiketten.
Zu den bei Hackern beliebten Geräten gehört neben
Irobots Roomba und Create auch der Wischrobotern
Scooba des Herstellers. Der Create war
leider nie in Europa erhältlich, für ein Hackerfreundliches
Roomba-Modell muss man derzeit
mindestens 400 Euro als Neupreis ausgeben.
Hacks gibt es daneben für die XV-Reihe von
Neato Robotics [13], die ähnlich viele Scheine
aus der Brieftasche saugt. (Mathias Huber)

Titelthema
www.linux-magazin.de NAS 01/2014
46
Netzwerkspeicher in der Home-Automation
Datensilos für daheim
Dank ihrer Erweiterbarkeit bieten kommerzielle Netzwerkspeicher diverse Dienste für die eigenen vier Wände
an. Stellen günstige Bastellösungen auf Raspberry-Pi-Basis eine Alternative dar? Martin Loschwitz
von Synology [1] und Qnap [2] heraus
und stellt ihnen ein Selbstbau-NAS auf
Raspberry-Pi-Basis [3] gegenüber.
E Speicher von Synology
© Steve Everts, 123RF.com
Wer die Entwicklung von NAS-Geräten
mitbekommen hat und noch die ersten
Vertreter dieser Gattung kennt, denkt vermutlich
zuerst an Festplatten mit Netzwerkanschluss.
Denn lange war NAS-
Storage nicht viel mehr als das: kleine
Gehäuse, in die sich Festplatten einbauen
und dann über das Netzwerk ansprechen
ließen, sei es per FTP- oder Samba- oder
NFS-Protokoll. Die höherpreisigen Variationen
brachten oft Zusatzfeatures wie
Raid- oder USV-Systeme mit, aber im
Grunde handelte es sich stets um große
Datensilos.
Doch Zeiten und Anforderungen der Nutzer
ändern sich: FTP, NFS oder Samba?
Geschenkt. Private Cloud bedeutet, dass
die Netzwerkspeicher am besten jederzeit
zur Verfügung stehen und Daten über
das Internet verschicken und empfangen.
Die Hardware erlaubt es heute, vermeintlich
„fachfremde“ Apps auf den Geräten
zu betreiben: Datenbanken, Webserver,
I-Tunes -Server oder einen Downloadmanager,
der nachts automatisch große
Dateien herunterlädt und so nicht die
Leitung tagsüber belastet. All das klingt
absurd, aber wenn das Always-on-Gerät
schon Strom frisst, soll es dabei wenigstens
Sinnvolles leisten.
Multimediazentrale
In der Home-Automation übernimmt das
NAS-Device nicht selten eine Funktion
als zentrale Multimedia-Ressource und
verwaltet die Musik- und Videosammlungen.
Das Streamen von Videodaten
per UPnP gehört zum guten Ton, weil
heute praktisch jeder Fernseher einen
Netzwerkanschluss hat. Auch die Stereoanlage
akzeptiert im lokalen Netzwerk
angebotene Musiksammlungen im
MP3- oder (mitunter) Ogg-Format. Nicht
zuletzt lassen sich die Speichersilos auch
mit IP-Kameras verknüpfen, um aus dem
Urlaub die eigene Wohnung im Blick zu
behalten.
Verschiedene Geräte mehrerer Hersteller
tummeln sich auf dem Markt und stehen
in unterschiedlichen Konfigurationen bereit.
Dieser Artikel greift Fertiglösungen
Synology, eine auch in Deutschland und
Großbritannien vertretene Firma aus Taiwan,
bietet NAS-Geräte (Abbildung 1)
an, die sich an Profikunden und Privatanwender
richten: Die billigsten Geräte
kommen ohne Festplatte zum Kunden
und liegen bei 130 Euro. Nach oben hin
ist die Skala offen: Das Preisportal „Geizhals“
listet ein 48-TByte-NAS für etwa
6500 Euro auf, wobei sich die 48 TByte
auf die Brutto-Kapazität ohne Spiegelung
oder Replikation beziehen.
An Endkunden richten sich eher die kleineren
Boxen, namentlich die Geräte der
Reihen DS1xx sowie DS2xx und DS4xx.
Die erste Zahl hinter dem DS gibt jeweils
an, wie viele Platten das Gerät aufnehmen
kann, was für Replikationen über
Raid-Verbünde wichtig ist. Das DS112
nimmt eine Festplatte auf und kommt auf
zirka 170 Euro, das DS212 sowie dessen
Nachfolger DS214 liegen bei etwa 250
Euro und akzeptieren zwei Festplatten.
Wer noch mehr Platz braucht, muss für
das DS412 mit vier Platten ungefähr 350
Euro berappen.
Ein Pferdefuß ist, dass die Geräte mit
wechselnden Plattenkonfigurationen in
den Handel kommen – mal sind Festplatten
ab Werk dabei, mal bezieht sich
der Preis aufs blanke Gehäuse. Die Slim-
Versionen sind zwar billiger als ihre
normalen Pendants, können aber nur
2,5-Zoll-HDDs aufnehmen, was die Speicherkapazität
einschränkt.
Die Anbindung an die Außenwelt klappt
bei den Synology-Geräten problemlos:
Aktuelle Versionen kommen mit USB

3 (Host) daher, auch Gigabit-LAN ist
an Bord. Wer externe Platten ergänzen
möchte, findet meist auch noch einen
E-SATA-Port. Zusammen erlauben diese
drei Anschlüsse die Verbindung mit nahezu
allen relevanten Geräten.
Disk Station Manager
Das Herzstück der Synology-Geräte ist
der DSM. Die Abkürzung steht für Disk
Station Manager und bezieht sich auf das
Betriebssystem der NAS-Geräte, die letztlich
kleine Rechner sind. DSM liegt aktuell
in Version 4.3 vor, ist Linux-basiert
und präsentiert das NAS-Setup über eine
Weboberfläche (Abbildung 2).
Der Funktionsumfang des DSM ist beachtlich
und schließt sogar die Möglichkeit
ein, in den eigenen vier Wänden
eine private Cloud zu betreiben. Der
Cloud Station genannte Dienst erlaubt
den Überall-Zugriff auf die im NAS gespeicherten
Daten – sogar dann, wenn
dieses nicht online ist. Denn auf Befehl
des Anwenders hin hält DSM den Inhalt
bestimmter Ordner zwischen dem NAS
und den passend konfigurierten Clients
synchron.
Das Synchronisieren kann dabei ebenfalls
ortsunabhängig geschehen, freilich muss
das NAS über das Internet erreichbar
sein. Dank des DSM-GUI lässt sich diese
Funktion einfach nutzen, der knifflige
Teil besteht eher darin, Firewalls und
Router so zu konfigurieren, dass der Zugriff
klappt. Um dem Admin diese Arbeit
zu erleichtern, hat DSM Support für
HTTPS-Tunneling an Bord.
Doch der Zugriff auf die Daten des NAS
führt nicht nur über die Cloud Station.
Dank seiner Linux-Basis unterstützt DSM
auch FTP, Samba, AFP (Apple Filing
Protocol) – all das funktioniert quasi ab
Werk. Auch den Webdav-Standard beherrscht
DSM, um Zugriffe per Browser
zu ermöglichen. Ähnliches gilt für Multimedia-Inhalte:
Ab Werk bringt DSM Support
für das Ausliefern von Videos und
Musikdateien per UPnP-Streaming mit,
womit praktisch alle aktuellen Fernseher
und Stereoanlagen klarkommen. Fernbedienen
lässt sich das Ganze dann häufig
über das Smartphone, das die Inhalte auf
dem NAS häufig auch abspielt.
Home-Server
Noch weitaus interessanter werden die
NAS-Geräte allerdings durch die verfügbare
Zusatzsoftware [4]. Diese im Synology-Sprech
Packages genannten und
nicht offiziell unterstützten Applikationen
zeichnen sich durch hohe Qualität und
Zuverlässigkeit aus. Als Zusatzmodule
erweitern sie DSM um fast jede beliebige
Funktion. MySQL, PostgreSQL, Phpbb
oder Joomla – alles kein Problem.
Multimedial wird es dank der Audio,
Video und Photo Station oder dem Medienserver.
Sogar ein ausgewachsenes
Debian-Chroot zu Entwicklungszwecken
lässt sich auf ein DSM-Gerät bringen.
Durch diese Flexibilität spielt ein DSM-
NAS nahezu jede erdenkliche Rolle im
eigenen Heim und bietet sich als Printserver,
Webserver, Telefonanlage und
dergleichen mehr an.
E NAS von Qnap
Eine Alternative zu den DSM-Geräten
von Synology bietet Qnap an. Auch diese
Firma unterteilt ihr Storage-Angebot in
mehrere Segmente; die für Endanwender
interessanten Geräte kosten auch ungefähr
so viel, wie die jeweiligen Pendants
bei Synology. Auch Qnap liefert Gehäuse
mit und ohne Platten aus (Abbildung
3). Letztere sind sogar etwas günstiger
als die Synology-Versionen. In Sachen
Ausstattung nehmen sich Qnap und Synology
nichts: USB 3.0, Gigabit-LAN und
E-SATA gehören zum Standardprogramm,
das eingebaute Betriebssystem heißt QTS
und liegt in Version 4.0 vor.
Auch die Qnap-Geräte bieten einen Strauß
an Funktionen, die das NAS als Kernkomponente
für die Home-Automation spannend
machen. Natürlich kann jedes Qnap
als zentraler Speicher funktionieren, die
angebotenen Protokolle sind dabei denkbar
vielfältig: Die Kommunikation mit
FTP-Servern, Windows- oder Apple-Systemen
bereitet kein Problem und wird
vom Hersteller ab Werk unterstützt. Auch
Multimediafunktionen beherrscht die
Qnap-Firmware. So kann ein Qnap-NAS
als Filmsilo Verwendung finden, der im
Büro seine Arbeit tut und Daten per UPnP
auf den Fernseher streamt.
Qnaps QPKGs
Die Pflicht besteht Qnap also mit Bravour.
Auch in Sachen externe Software
steht Qnap Synology kaum nach. Was bei
Synology die Pakete sind, heißt bei Qnap
QPKGs, eine Referenz auf das verwendete
QPKG-Paketsystem.
Was den Umfang der Zusatzsoftware angeht,
verschafft das App Center von Qnap
[5] einen schnellen Überblick über die
nutzbaren Funktionen. Ähnlich wie bei
Synology finden sich auch hier Juwelen
wie Asterisk, eine Wordpress-Instanz
NAS 01/2014
Titelthema
www.linux-magazin.de
47
Quelle: Synology.de
Abbildung 1: NAS-Devices wie das Synology DS213
sind als Storage-Boxen konzipiert, können aber viel
mehr, weil sie sich aufbohren lassen.
Abbildung 2: NAS-Geräte von Synology und Qnap bringen eine vollständige Weboberfläche mit, über die sich
verschiedene Funktionen steuern lassen.

Titelthema
www.linux-magazin.de NAS 01/2014
48
Quelle: Qnap.com
Abbildung 3: Auch Qnap bietet für seine NAS-Geräte
die Möglichkeit, über Zusatzmodule Funktionen zu
verwenden, die ab Werk nicht Teil der Firmware sind.
und gar CRM-Systeme wie Sugar-CRM.
Für den Multimediabereich gibt es unter
anderem XBMC und Twonkymedia. Ein
vom Gerät unterstützter DVB-Stick verwandelt
das NAS in einen Personal Video
Recorder, während die Surveillance Station
Pro IP-basierte Webcams einbindet.
E Alternative: Raspberry Pi
Fertige Geräte wie die von Synology
und Qnap bieten durchaus SAN-fremde
Funktionen, auch solche zur Home-
Automation, ab Werk an. Nur wäre es
nicht deutlich flexibler, wenn ein kleiner
Linux-Rechner all diese Funktionen übernähme?
Der Raspberry Pi, aktueller Liebling
der Linux-Szene, gerät so als erster
Kandidat für ein NAS Marke Eigenbau ins
Visier. Auch in der Preisklasse darüber
warten ein paar heiße Kandidaten, etwa
das Beagle oder Panda Board, die aber
weniger verbreitet sind.
Eine Raspberry-Pi-basierte Lösung wirkt
nicht nur attraktiv, weil das Gerät selbst
für kleines Geld zu haben ist, es verbraucht
auch vergleichsweise wenig
Strom und eine externe USB-Festplatte
mit mehreren Terabyte Speicherkapazität
kostet praktisch das Gleiche wie eine
interne für NAS.
Superflexibel
Auf der Haben-Seite steht die mit einer
Linux-Installation gewonnene Flexibilität.
Verschiedene Distributionen buhlen
Abbildung 4: Bei aller Euphorie um den Raspberry Pi sollte nicht in Vergessenheit geraten, dass das Gerät
recht schwachbrüstig ist, was den Prozessor und den Arbeitsspeicher angeht.
um die Gunst der Anwender, unter ihnen
auch vollständige Systeme wie Debian.
ARM-Ports der gängigen Linux-Varianten
existieren seit Längerem, sodass Benutzer
sich ihren Liebling rauspicken können.
Der Debian-Port des Raspberry Pi genießt
einen guten Ruf, wer üblicherweise auf
Ubuntu oder Debian setzt, wird sich mit
dem System wohlfühlen.
Beim Raspberry Pi residiert das Betriebssystem
meistens auf einer SD-Karte, die
im dafür vorgesehenen Slot Platz findet.
Aber Obacht: Es sollte sich um eine SD-
Karte mindestens der Kategorie 10 handeln,
die aus niedrigeren Klassen kommen
mit den regelmäßigen Schreib- und
Lesezugriffen des Systems nur schlecht
zurecht und gehen schnell kaputt. Wer
an den Raspberry Pi eine externe Platte
anschließt, kann auch diese für die Systemdaten
nutzen.
Ist der Einplatinenrechner mit einem
funktionierenden OS versehen, handelt
es sich im Grunde um einen normalen
Computer, auf dem sich nahezu jede Software
aus dem Archiv der jeweiligen Distribution
betreiben lässt. Dazu gehören
Speicherserver, die den Zugriff auf den
Speicherplatz des Pi mittels verschiedener
Protokolle (FTP, Samba, AFP) ermöglichen.
Über Netatalk [6] ließe sich aus
dem Pi im konkreten Beispiel ein Backup-
Laufwerk für Macs machen, auf dem sich
per Time Machine automatisiert Backups
ablegen ließen.
Wer das Gerät lieber für Streaming-Zwecke
einsetzen möchte, hat dazu ebenfalls
die komplette Palette von Werkzeugen
zur Verfügung. Gleichwohl wäre es an
dieser Stelle eventuell sinnvoll, gleich zu
einer der Multimedia-Distributionen für
den Raspberry Pi zu greifen, die ab Werk
auf genau diese Aufgaben spezialisiert
sind, etwa Rasp BMC, Dark Elec und
Open Elec, die alle auf dem Mediacenter
XBMC basieren, oder zu Raspify, einer
Audio-Distribution, die auf den Music-
Player-Daemon setzt.
Schwache Hardware
Ein Serverkonstrukt à la Raspberry Pi
besitzt allerdings auch Nachteile. Mitunter
gerät in Vergessenheit, dass der
ARM-Rechner ursprünglich als Produkt
zum Basteln konzipiert wurde, mit dem
angehende Geeks Computererfahrung
sammeln sollen. Moderne Multimedia-
Anwendungen brauchen hingegen gut
dimensionierte Hardware, RAM und
Rechenpower sind beim Pi aber Mangelware
(Abbildung 4).
Ein Beispiel, das diese These untermauern
kann, ist die im Gerät verbaute LAN- und
USB-Hardware. Ein Raspberry Pi führt
einen RJ-45-Anschluss nach außen, der
nominell 10 und 100 MBit/s unterstützt.
Doch handelt es sich letztlich um eine
Mogelpackung, denn der Netzwerkcontroller
ist ein aufgelöteter USB-Controller,
der sich die ihm zur Verfügung stehende
Bandbreite mit allen anderen USB-Geräten
teilt.
Obendrein strapazieren Netzwerkverbindungen
auf dem Raspberry Pi den
Prozessor des Geräts über Gebühr, weil
ein eigener Netzwerkchip fehlt. Das alles
schlägt sich in einer Netto-Transferrate
von 7 bis 8 MByte pro Sekunde nieder,
und auch das nur in einem Idealszenario.

Kommen dann noch Aufgaben wie SSL-
Verschlüsselung dazu, bricht die Rate
weiter ein.
Wertung
Sowohl die Geräte von Qnap als auch die
von Synology können in der Heim-Automation
mitspielen. Praktisch handelt es
sich um kleine Computer, deren Funktionen
das ab Werk genutzte Betriebssystem
maßgeblich bestimmt. Grundaufgaben
wie das Bereitstellen eines Datenspeichers
über verschiedene Protokolle, also
die Mindestanforderung an NAS-Geräte,
meistern beide Hersteller ohne Murren.
Dabei stehen auch Protokolle zur Verfügung,
die im Heim-Umfeld eher selten zu
finden sind: Wer zum Beispiel virtuelle
Maschinen betreibt, kann diese über ein
NAS und I-SCSI anbinden und spart so
unmittelbar Platz auf der Festplatte des
lokalen Systems.
Auch die verschiedenen Zusatzfunktionen
machen die NAS-Geräte für das
Thema Home-Automation interessant;
Wer Filme auf den Fernseher im Wohnzimmer
streamen möchte, findet dazu
bei beiden Produkten die benötigten
Komponenten. Gleiches gilt für Audiostreams,
die sich gleich auf mehreren
Wegen abgreifen lassen, etwa per DAAP
und I-Tunes.
Auch darin ähneln sich die Ansätze:
Beide geben sich offen, wenn es um das
Erweitern der Funktionen ihrer NAS-Geräte
geht. Böse Zungen könnten behaupten,
dass Qnap und Synology Entwicklungsarbeit
an die Community abtreten,
um mit dem Resultat Kasse zu machen.
Doch das wäre ungerecht: Weil durch
die Erweiterungen ein echter Mehrwert
entsteht, profitieren letztlich Nutzer und
Entwickler dieser Software.
Ob nun Synologys Pakete oder Qnaps
QPKGs zum Einsatz kommen: Der verfügbare
Park an Zusatzsoftware ist groß,
und genau das ist für das Thema Home-
Automation von zentraler Bedeutung.
Weil sich aber die Erweiterungen von
Synology und Qnap häufig kaum unterscheiden,
drängt sich ein wenig der Eindruck
auf, dass sich die Unternehmen
gegenseitig kopieren.
Weniger zu überzeugen vermag eine
Lösung auf Grundlage eines Mini-Computers
wie dem Raspberry Pi. Das liegt
auch daran, dass viel Arbeit darin steckt,
aus einem Pi einen NAS-Ersatz zu machen
(Abbildung 5). Der Vorgang spart
zwar Anschaffungskosten, ist aber auch
mit viel Bastelei verbunden und insofern
eher jenen Anwendern zu empfehlen, die
ihre Chance nutzen wollen, um etwas
Neues zu lernen.
Ist der Bastler mit dem Pi am Ziel angelangt,
hat er noch immer ein sehr langsames
Gerät, das für viele alltägliche Aufgaben
einfach zu schmalbrüstig ist. So
attraktiv sie in technischer Hinsicht auch
sein mag, bleibt eine solche Lösung doch
Bastelware. (kki/mfe)
n
NAS 01/2014
Titelthema
www.linux-magazin.de
49
Infos
[1] Synology: [http:// www. synology. de]
[2] Qnap: [http:// www. qnap. de]
[3] Raspberry Pi:
[http:// www. raspberrypi. org]
[4] Zusatzsoftware für Synology:
[http:// www. synology‐wiki. de/ index. php/​
Paketzentrum_Quellen]
[5] App Center für Qnap: [http:// www. qnap.​
com/ de/ index. php? lang=de& sn=410]
[6] Netatalk: [http:// sf. net/ projects/ netatalk/]
Abbildung 5: Zwar lassen sich auf dem Pi auch NAS-
Funktionen nachbauen, das ist aber weder schnell
noch so komfortabel wie auf typischen NAS-Geräten.
Der Autor
Martin Gerhard Loschwitz arbeitet als Principal
Consultant bei Hastexo. Er beschäftigt sich dort
intensiv mit den Themen HA, Distributed Storage
und Open Stack. In seiner Freizeit pflegt er Pacemaker
für Debian.

Titelthema
www.linux-magazin.de Hackerfleet 01/2014
50
Open-Source-Hard- und Software fürs Boot
Vollmatrose
Zwei Drittel der Oberfläche dieses Planeten sind nur rudimentär vernetzt: die Ozeane. Das noch junge Open-
Source-Projekt Hackerfleet will dies ändern, seine Entwickler haben große Ziele. Markus Feilner
© Nadezhda Shoshina, 123RF.com
„Zwei Computer auf meinem Segelschiff?
Wenn ich wegen deren Stromverbrauch
auch nur ein warmes Bier trinken muss,
dann fliegen die Teile hochkantig raus,
aber hallo!“, lautet das Urteil eines erfahrenen
Skippers, den das Linux-Magazin
um sein Urteil zum Hackerfleet-Projekt
bat. „WLAN, Meshnetze und Community-Karten
sind einfach nicht die richtigen
Tools auf See – da muss ich mich auf
Daten verlassen können.“
Harter Tobak – doch das, woran die Hackerfleet
GmbH (Abbildung 1, [1]) samt
ihrer Community arbeitet, unterscheidet
sich stark von gängigen Bootsausstattungen.
Es irritiert langjährige Segler: Das
Konzept sieht vor, alle Sensoren, die moderne
Schiffe an Bord haben, auszulesen,
die Daten zu sammeln, mobile und stationäre
Geräte (auch die Smartphones) an
Bord einzubinden und via Uplink und
Web zu synchronisieren sowie mit zentral
bereitgestellten Daten zu versorgen
– Meshnetz, 3G-WLAN und zentraler
Datenstorage inklusive.
Einen Mediaserver für die eigenen MP3s
und Filme an Bord sowie den WLAN-
Hotspot gibt’s als Gratiszugabe, dazu
eine leistungsfähige Antenne mit Kardanaufhängung
im IP68-zertifizierten [2],
wasser- und sturmfesten Gehäuse am
Mast. Von dort aus geht die Hackerfleet-
Software entweder direkt ins GSM-Netz
oder aber nach Mesh-Art über beliebig
viele Hops bis zum nächsten echten Internetzugang.
Mediaserver, Internet,
Schwarm-Karten
Internetzugang ist das eine, doch reicht
die Qualität von Community-Daten fürs
sichere Navigieren? Wer jetzt denkt, das
kann doch gar nicht funktionieren, dem
kontern die Hackerfleet-Geschäftsführer
Johannes „Ijon“ Rundfeldt und Heiko
„Riot“ Weinen mit der Schwarmintelligenz,
ausgeklügelten Algorithmen und
der Statistik der großen Zahlen. Heute
befindet sich beispielsweise nicht nur ein
GPS an Bord, sondern gleich mehrere
(eins in jedem Smartphone). Software,
die Daten all dieser Geräte mit Tiefenmessungen
kombiniert und mit den Daten
anderer Schiffe vergleicht, könnte durch
geschickte Berechnung deutlich bessere
Ergebnisse erzeugen als jede Seekarte,
glaubt Rundfeldt.
„Natürlich kann man argumentieren,
dass elektronische Geräte auf Schiffen
grundsätzlich überflüssig sind, schließlich
kommt man auch mit Papierkarte,
Sextant, Kompass und einer genauen Uhr
überall hin“, räumt er ein, während er
in der Werkstatt im Bauch der C-Base
[3] nahe der Jannowitzbrücke in Berlin
an Hard- und Software schraubt. „Generell
ist der technische Fortschritt auf
See etwas verzögert und langsamer als
zu Lande. Seeleute stehen neuen Technologien
oft kritischer gegenüber als der
typische technikaffine Landbewohner.“
Community-Meshnetz
Wer nun vermutet, das Projekt diene nur
technikverliebten Wochenendseglern,
die hauptberuflich im IT-Bereich arbeiten,
der ist auf dem falschen Dampfer:
Die Entwickler haben höhere Ziele und
orientieren sich offensichtlich an Openstreetmap
und ähnlichen Projekten: „Wir
wollen alle Informationen sammeln, die
Geräte derzeit auf der Brücke nur anzeigen.
Unsere Software trägt sie zusammen,
berechnet mit statistischen Methoden
verlässliche Werte und konstruiert eine
kostenlose, ja die bestmögliche Seekarte
der Weltmeere“, schreiben die Entwickler
auf der Webseite.
Rundfeldt und Weinen treiben Hackerfleet
als Geschäftsführer einer 2011 gegründeten
Firma voran. Das Community-
Projekt war im Februar 2011 entstanden,

wobei das gemeinsame Ziel lautete, innerhalb
von vier Jahren ein Sammelsurium
von vielen einzelnen Tools zu einer
umfassenden Softwarelösung für Schiffe
zu kombinieren.
Mitmachen kann dabei jeder, der entweder
ein Schiff oder aber ein Haus an
der Küste hat. Die Teilnehmer sammeln
Daten und fungieren selbst als Uplink
oder als Zugangspunkte im Meshnetz,
dem »OpenSeaDataMesh«, oder in einer
Meshkette von Schiffen bis zur nächsten
küstennahen Station mit Uplink.
Hard- und Software
Technisch besteht die Hackerfleet-Lösung
aus drei Komponenten (Abbildungen 2
und 3): Mastbox samt Antenne, ein kleiner
Server unter Deck und eine Middleware
auf einem Server im Web, die Daten
annimmt und die Berechnungen erledigt.
Die beiden sturmerprobten Bordrechner
sind stromsparende ARM-Plattformen,
ausgerüstet mit Not-Akkus, die laut den
Entwicklern selbst tagelang ohne Stromzufuhr
auskommen und stundenlang unter
Wasser liegen können. Dafür werden
beispielsweise die Steckverbindungen
nach militärischen Vorgaben zertifiziert
sein [4].
Als Betriebssystem kommt Debian zum
Einsatz, auf dem zentralen Server soll
eine Middleware namens Cape laufen,
die aus HTML, Javascript und Python
besteht, bisher allerdings nur rudimentär
entwickelt ist [5]. Die Clients (also
die Rechner auf den Booten) liefern die
Daten verschlüsselt und signiert ab, ein
VPN ist möglich, derzeit aber nicht geplant.
Viel wichtiger ist den Entwicklern
eher ein fehlertoleranter Datentransfer,
falls die Verbindung zu langsam oder zu
schwach ist.
Sensoren, Schiffs-Bussysteme
und Algorithmen
Das Hackerfleet-Projekt unterstützt bereits
eine ganze Reihe von gängigen
Schiffssensoren, flanscht sich aber auch
an Schiffs-Bussysteme wie NMEA 0183
[6] oder NMEA 2000 [7] an. Aus versicherungs-
und lizenzrechtlichen Gründen
nur lesend, versteht sich. Die Kombination
all dieser Messwerte ist ein Aspekt,
Upload und dauerhafte Speicherung ein
zweiter wichtiger Punkt im Konzept der
Hackerfleet. Bisher zeigen Displays an
Bord die Daten nur an.
Die Algorithmen, die in der Middleware
über die Daten laufen, stellen Berechnungen
an, die Messfehler korrigieren
können, vor allem aber stellen sie Bezug
zu beispielsweise GPS-Daten her – so ergibt
sich im Idealfall eine deutlich bessere
Tiefenkarte. Dahinter steckt viel Mathematik
und noch mehr Informatik, erklärt
Ijon: „Wir trauen den einzelnen Daten
nicht, sondern validieren sie erst durch
Abbildung 1: Open-Source-Hard- und Software für bemannte und unbemannte Wasserfahrzeuge aller Art
entwickelt das Projekt Hackerfleet.

Titelthema
www.linux-magazin.de Hackerfleet 01/2014
52
aufwändige Vergleiche anderer Informationsquellen
für dieses Revier.“
Immer wieder segeln und rudern Entwickler,
zum Beispiel am Wochenende,
über die Ost- und Nordsee. Je mehr mitmachen,
umso besser werden die Karten,
und das Angebot gilt für Segler, Ruderer,
Frachtschiffe und Sportyachten, schlicht
für alles, was sich auf den Meeren tummelt.
„Beispielsweise stammen die Wetterdaten,
die es heute gibt, von gerade
mal 200 bis 1000 Schiffen, die alle vier
Stunden manuell Beobachtungen übermitteln.
Da ist enormes Potenzial!“, ist
sich Ijon sicher.
Die Geschäftsidee
Für die Hackerfleet GmbH, die Ijon und
Riot gegründet haben, soll das Produkt
auch ein tragfähiges Geschäftsmodell
bringen. Spätestens 2015 wollen sie die
ersten Geräte verkaufen. Attraktiv sollen
sie anfangs nicht wegen der Kartenfunktionen
sein – bis die mit den amtlichen
Pflicht-Karten mithalten können, wird
sicherlich einige Zeit verstreichen –, sondern
wegen der außerordentlich guten
Internet-Empfangsanlage und beliebig
erweiterbaren Zusatzfunktionen. Sowohl
für Endkunden (also Bootsbesitzer) wie
auch für Firmenkunden (Bootsverleiher
und Reeder) hält die Webseite spezielle
Angebote bereit.
Das Konzept könnte aufgehen, denn
die Antenne am Mast bringt auch noch
deutlich weiter draußen auf See Internet
aufs Boot, wenn kein Handy mehr
mit UMTS glänzen kann, dank WLAN-
Hotspot auch des Nachts in die Kabine,
ganz ohne teure Satellitenverbindung.
Und wenn dann mal ein anderes Schiff
mit der gleichen Ausrüstung in der Nähe
ist, geht das sogar noch weiter. „Bis zu
9 Seemeilen pro Hop schafft die Box bereits
heute, an LTE und Wimax (für den
asiatischen Raum) arbeiten wir“, erklärt
Ijon. „Und der Stromverbrauch hält sich
mit maximal 15 Watt bei 12 Volt in Grenzen.
Charterbetreiber könnten damit werben
und so die Anschaffung unserer Box
amortisieren“, glaubt er.
Mehrwert gibt’s genug, zum Beispiel
kostenlose Wetterinformationen aus dem
Web oder aus dem Meshnetz oder Musik
nicht nur via Internetradio, sondern auch
vom USB-Stick, den der Kapitän am zentralen
Server eingesteckt hat. Ob das aber
dem in die Ruhe und Stille verliebten
Segler gefällt?
n
Infos
[1] Hackerfleet: [https:// www. hackerfleet. org]
[2] IP68:
[http:// en. wikipedia. org/ wiki/ IP_Code]
[3] C-Base: [http://www.c-base.org]
[4] MIL-Zertifizierung:
[http:// en. wikipedia. org/ wiki/ MIL‐STD‐810]
[5] Developer Wiki: [http:// www. hackerfleet.​
org/ dev/ wiki]
[6] NMEA 0183:
[http:// en. wikipedia. org/ wiki/ NMEA_0183]
[7] NMEA 2000:
[http:// en. wikipedia. org/ wiki/ NMEA_2000]
© Hackerfleet.org
Abbildung 2: Ein ARM-Rechner mit Debian auf dem Mast, einer unter Deck, dazu
eine effiziente Antenne, jede Menge Sensoren und Smartphone-Anbindung.
© Hackerfleet.org
Abbildung 3: Die Mastbox ist wasserdicht und sturmerprobt, die Antenne kardanisch
aufgehängt, damit der Empfang auch bei stark geneigtem oder schwankendem
Schiff klappt.

In eigener Sache: DELUG-DVD
Open Suse, Qubes OS, C-Buch
Einführung 01/2014 12/2010
Software
DELUG-Käufer erhalten auch diesmal die doppelte Datenmenge zum einfachen Preis: Von der einen Seite der
DVD bootet die brandneue Open Suse 13.1, von der anderen Qubes OS. Dazu gibt’s jede Menge Videos, ein E-
Book über C und viel Software. Markus Feilner
www.linux-magazin.de
55
Inhalt
56 Bitparade
Vier Event-Manager im Test: Frab, OSEM,
Pycon-De-Website-System und Conftool.
64 Qubes OS
Mit Microkernel und Virtualisierung in
Richtung sicheres Betriebssystem.
68 Tooltipps
Die Programme Drukkar 1.11, Tinc 1.0.23,
Ftwin 0.8.8, Log Analyzer 3.6.5, Maildrop
2.7.0 und Binwalk 1.2.2 im monatlichen
Software-Überblick.
Neben einem normalen Linux-Magazin
und dem Abonnement ohne Datenträger
gibt es die DELUG-Ausgabe mit Monats-
DVD, bei der die Redaktion den Datenträger
nach einem speziellen Konzept
zusammenstellt: In einer Art modularem
System enthält er Programme und Tools,
die in der jeweiligen Magazin-Ausgabe
getestet und besprochen werden. Zudem
gibt es nicht im Heft abgehandelte Software,
die die Redaktion besonders emp-
Abbildung 2: Kostenlos auf der DELUG-DVD: Das
E-Book „C von A bis Z“.
fiehlt, alles gebündelt unter
einer HTML-Oberfläche.
Open Suse 13.1
Von der ersten Seite der DVD
bootet Open Suse 13.1 (Abbildung
1). Damit das gelang,
mussten sich die Entwickler
der Community-Distribution
sputen, denn eigentlich erschien
die finale Version erst
eine Woche nach Redaktionsschluss.
Ungetestet, aber dafür
brandaktuell in der 64-Bit-
Version auf der DVD, bietet
Open Suse 13.1 auch wieder
das Dateisystem Btr-FS mit
vielen Enterprise-Features an, dazu die
topaktuellen Desktops KDE 4.11.2 und
Gnome 3.10.
Der Linux-Kernel liegt in Version 3.11.6
bei. Dem hat Suse diverse zusätzliche
Btr-FS-Fehlerbehebungen spendiert. Die
Bürosuite Libre Office haben die Community-Entwickler
auf Version 4.1.2 aktualisiert.
Auch neue Cloud-Funktionen,
Yast-Erweiterungen und der Journald
sind dabei, dazu optional auch der Netzwerk-Konfigurator
Wicd, was vom lange
ersehnten, jetzt endlich nahenden Abschied
vom Network Manager zeugt.
E-Book und Videos
Wer auf den Silberling mit dem Browser
zugreift, der findet im Hauptmenü zwei
exklusive Einträge: Zum einen den dritten
Teil der besten Videos von der Debconf
2013 mit den prominenten Debian-
Entwicklern Ben Hutchings, Thomas Goirand,
Paul Wise und Joey Hess.
Von Jürgen Wolf stammt das für DELUG-
Leser kostenlose E-Book (Abbildung 2):
Abbildung 1: Gerade noch zum Redaktionsschluss veröffentlichte
Open Suse die neueste Version 13.1.
„C von A bis Z“ aus dem Verlag Galileo.
Das umfassende Handbuch bietet mit
seinen 1000 Seiten sowohl Einsteigern
als auch Fortgeschrittenenen ein kompetentes
Nachschlagewerk rund um C.
Ausführlich stellt es die Grundlagen dar,
angefangen von den elementaren Datentypen
bis hin zu Arrays, Zeigern und dynamischer
Speicherverwaltung und führt
hin zu fortgeschrittenen Themen wie
dem Programmieren von Webanwendungen.
Gedruckt kostet das Buch 40 Euro,
DELUG-Leser erhalten es einfach so.
Virtuelles Atrium
Als virtuelle Appliance liegt auf der DVD
Open Atrium vor, eine Open-Source-Collaboration-Suite,
die auf Drupal basiert
und mit Blog, Chat, Wiki, Kalender, Aufgaben
und Portal alle Funktionen modernen
Netz-Teamworks bietet. Damit nicht
genug: Zu den Tools aus Bitparade und
Tooltipps gesellt sich auf der DVD auch
noch Software aus der Titelstrecke und
der Rubrik Programmieren. n

Software
www.linux-magazin.de Bitparade 01/2014
56
Vier Eventmanagement-Systeme im Test
Organisationstalente
Open-Source-Projekte laden ihre Entwickler, Benutzer und Fans regelmäßig zu Konferenzen ein. Vorträge,
Workshops und gesellige Treffen verlangen eine gute Organisation. Den Überblick erlangen und behalten die
Verantwortlichen mit vier Webanwendungen. Tim Schürmann, Heike Jurzik
© Franck Boston, 123RF.com
Viele Referenten und Teilnehmer, dazu
Talks oder Workshops in mehreren Tracks
und Social Events – damit ihre Kongresse
reibungslos ablaufen, haben die Organisatoren
der Froscon [1], der Open Suse
Conference [2] und der deutschen Pycon
[3] eigene Planungs- und Verwaltungssysteme
entwickelt. Alle drei Lösungen
sind Webanwendungen, die auf einem
typischen LAMP-System laufen. Sie vereinfachen
die Zusammenarbeit der Organisatoren,
und auch die Sprecher und
Teilnehmer profitieren davon. Sie können
Proposals einreichen, sich zur Konferenz
anmelden und vieles mehr.
Die drei Testkandidaten Frab [4], Open
Source Event Manager [5] und Pycon-
De-Website-System [6] stehen alle unter
einer freien Lizenz, Anwender dürfen
sie nach Herzenslust an ihre Bedürfnisse
anpassen. Die Eventmanagement-
Systeme stellten ihr Organisationstalent
unter Ubuntu 13.04 und Debian 7.2 unter
Beweis. Die Tester rüsteten die Systeme
zuvor mit den typischen LAMP-Komponenten
aus. Im Vergleich tritt das kommerzielle
Conftool [7] an, das nicht nur
auf dem eigenen Server läuft, sondern
optional auch beim Anbieter.
E Frab
Der erste Testkandidat basiert auf der
Konferenzsoftware Pentabarf [8], die
das Debian-Projekt zur Planung seines
jährlichen Entwicklertreffens Debconf
[9] verwendet. Da die letzte Pentabarf-
Version 0.4.4 über vier Jahre alt und die
Mailingliste inzwischen abgeschaltet ist,
erstellte der Programmierer David Roetzel
mit einigen Mitstreitern für die Froscon
2011 den Fork Frab [4].
Im Readme weisen sie explizit darauf hin,
dass es sich noch nicht um eine stabile
Release handelt. Seine Praxistauglichkeit
hat Frab jedoch schon einige Male unter
Beweis gestellt und kommt inzwischen
auch bei der Planung der CCC-Konfe-
renz Sigint [10] zum Einsatz. Die Tester
schauten sich die Version vom 29. Oktober
2013 an.
Frab ist kostenlos und steht unter einer
MIT-Lizenz. Die Installation ist mit Hilfe
eines knappen Howto schnell erledigt.
Die Anwendung setzt Ruby on Rails
(Version 3.2), Ruby (mindestens 1.9.3),
Image Magick und das Javascript-Framework
Node.js voraus. Debian-Anwender
finden Letzteres noch nicht in der Stable-
Variante der Distribution. Wer nicht mit
der Testing-Ausgabe aus Jessie arbeiten
möchte, sollte Node.js selbst kompilieren
[11]. Nach dem Auschecken der Frab-
Quellen aus dem Git-Repository spielen
Benutzer mit »bundle install« die benötigten
Ruby-Gems ein.
Als Datenbank empfehlen die Entwickler
MySQL oder SQlite 3; alternativ arbeitet
Frab mit PostgreSQL zusammen.
Der Befehl »rake db:setup« erzeugt die
Datenbank, und »rails server« startet den
Frab-Server auf dem Standardport 3000,
sofern der Admin in der Datei »settings.
yml« nichts anderes definiert. Der Parameter
»‐d« schiebt den Frab-Daemon
direkt in den Hintergrund. Verwalter melden
sich nun mit dem Benutzernamen
»admin@example.org« und dem Passwort
»test123« an.
Zuerst legt der Admin eine neue Konferenz
an. Dazu vergibt er einen Namen,
ein Kürzel, wählt die Zeitzone und un-
Konferenztools
Auf der Delug-DVD dieses Magazins
finden Sie die in diesem Artikel getes-
DELUG-DVD
teten Programme Frab, Open Source Event
Manager und Pycon-De-Website-System. Es
handelt sich um die jeweils aktuelle Version,
die bei Redaktionsschluss (Oktober 2013) in
den Git-Repositories lag.

terteilt den Tag in feste Zeiteinheiten
(Timeslots), die in der Voreinstellung 15
Minuten umfassen. Ein Vortrag setzt sich
standardmäßig aus vier solchen Slots zusammen.
Bis maximal 20 dieser Einheiten
sind erlaubt. Im Bereich »Event Languages«
fügt der Organisator Sprachen
für die Konferenz hinzu, die später bei
der Planung der einzelnen Vorträge zur
Wahl stehen.
Das Webinterface ist teilweise übersetzt
und spricht deutsch, wenn Besucher in
der URL »en« durch »de« ersetzen (Abbildung
1). Zuletzt wählen Admins ein
Ticketsystem aus. Außer der eigenen
Komponente bietet die Software eine
Schnittstelle zu OTRS- und RT-Servern.
Handarbeit
Die Benutzeroberfläche wirkt klar und
aufgeräumt. Dennoch bleibt für Einsteiger
zunächst unklar, wie es nach dem
Anlegen der Konferenz weitergeht. Zunächst
ist diese in den Einstellungen um
Tage, Tracks und Räume zu erweitern.
Ein Klick in ein Datumsfeld klappt einen
kleinen Kalender aus, den das Menü am
oberen Rand teilweise verdeckt. Wer eine
eigene Optik für die Webseite wünscht
oder die Textschnipsel anpassen möchte,
bearbeitet die Haml-Dateien (HTML Abstraction
Markup Language) der Software
im Texteditor.
Die Raumplanung gefällt gut, denn Organisatoren
dürfen hier auch die Anzahl
der vorhandenen Plätze und ausführliche
Beschreibungen speichern. Dafür fehlt
eine Möglichkeit, Sponsoren einzutragen
und Tickets für Teilnehmer zu verwalten.
Ein Klick auf »Call for Papers« öffnet
ein Interface, über das der Admin neben
Start- und Endtermin eine Deadline vorgibt,
nach der das System keine Proposals
mehr annimmt. Nach dem Aktivieren
erzeugt Frab eine neue Unterseite,
auf der Anwender (Speaker, Teilnehmer
und andere Organisatoren) sich registrieren
oder mit einem vorhandenen Konto
anmelden können.
Registriert sich ein neuer Benutzer, erzeugt
Frab die passenden Einträge in der
Datenbank und verschickt eine Mail mit
einem Bestätigungslink. Dazu benötigt
das System einen Mailserver. Die Absenderadresse
für Nachrichten des Frab-Systems
passen Admins in der Einrichtungsdatei
»settings.yml« an.
Während die Anmeldung über den zugeschickten
Link auf dem Debian-Testrechner
problemlos klappte, funktionierte
dies unter Ubuntu nicht, Frab meldete
beharrlich »Invalid email or password«.
Dann hilft nur, als Verwalter das Konto
von Hand anzulegen. Frab kennt verschiedene
Rollen und unterscheidet zwischen
»submitter«, »reviewer«, »coordinator«,
»orga« und »admin«.
Um ein Proposal einzureichen, sucht
der Anwender neben dem gewünschten
Track auch die Dauer und die Sprache
aus. Zudem muss er die Art der Veranstaltung
bestimmen. Zur Wahl stehen
»Vortrag«, »Workshop«, »Podiumsdiskussion«,
»Lightning Talk«, »Meeting« und
»Andere«. Optional lädt er ein Logo hoch
und trägt dann ein Abstract und eine
ausführliche Beschreibung ein. Außerdem
darf er Links ergänzen und weitere
Dateien wie etwa Illustrationen oder
fertige Präsentationen anhängen. Über
»Verfügbarkeit bearbeiten« teilen Benutzer
den Organisatoren mit, wann sie bei
der Konferenz anwesend sind.
Frab listet auf der Startseite die zuletzt
ausgeführten Änderungen auf und zeigt
in einem Graphen übersichtlich an, wann
wie viele Proposals eingetroffen sind. Reviewer
können die Vorschläge mit bis zu
fünf Sternen bewerten und kommentieren.
Organisatoren schalten einen Vortrag
oder Workshop manuell frei; sie dürfen
auch Veranstaltungen direkt ohne Reviewprozess
anlegen (Abbildung 2).
Mit der Freischaltung macht Frab denjenigen,
der das Proposal eingereicht hat,
automatisch zum Speaker. Nach einer
Bestätigung, dass dieser dann auch wirklich
zur Verfügung steht, nimmt das Organisationstool
die Veranstaltung in den
Zeitplan auf. Sofern gewünscht steht den
Teilnehmern ein Feedback-System für die
Events zur Verfügung.
Bekanntmachung
Den Zeitplan exportiert Frab als PDFoder
statische HTML-Datei. Für alle
Veranstaltungen erzeugt das Tool auf
Wunsch ein PDF-Dokument mit Karten,
das die Organisatoren als Aushang für
die Konferenzräume verwenden können.
Per Mausklick generiert Frab Berichte, die
unter anderem eine Liste mit allen Workshops
ausgeben. Eine Exportfunktion für
diese Aufstellungen fehlt.
Über mitgelieferte Skripte, die das Kommandozeilen-Programm
»rake« anwirft,
übernehmen Administratoren Daten aus
Pentabarf, exportieren alle Informationen
Bitparade 01/2014
Software
www.linux-magazin.de
57
Abbildung 1: Die Benutzeroberfläche von Frab präsentiert sich teilweise auf
Deutsch, wenn Anwender die URL entsprechend anpassen.
Abbildung 2: Organisatoren und Admins dürfen in Frab Veranstaltungen erzeugen,
planen und bewerten.

Software
www.linux-magazin.de Bitparade 01/2014
58
aus Frab, importieren diese wieder in
eine andere Installation oder verschicken
Massenmails an alle Speaker und Teilnehmer
der Konferenz.
E Open Source Event
Manager
Zur Planung seiner Konferenzen und
Meetings verwendet das Open-Suse-Team
den Open Source Event Manager (Osem,
[5]). Das Tool steht unter einer MIT-
Lizenz, setzt genau wie Frab auf Ruby
on Rails und arbeitet mit MySQL, SQlite
oder PostgreSQL zusammen. Der zweite
Kandidat verlangt einen Apache-Webserver
mit dem Passenger-Modul (Paket
»libapache2‐mod‐passenger«), Image Magick
und einem Mailserver. Das äußerst
knappe Howto nennt explizit Postfix, im
Test mit der Version vom 22. Oktober
2013 funktionierte auch Exim.
Zur Installation checken Admins die
Quellen aus dem Git-Repository aus und
spielen mit »bundle install« die benötigten
Ruby-Gems ein. Danach kopieren sie
– wie in der Anleitung beschrieben – die
Konfigurations-Templates. Die folgenden
drei Befehle richten die Datenbank ein:
bundle exec rake db:setup
bundle exec rake db:migrate
bundle exec rake db:seed
Zum Schluss richtet der Administrator
entweder einen Apache-Virtual-Host
ein (siehe Readme) oder startet Osem
über »rails server« auf der Shell. Auch
hier sorgt »‐d« dafür, dass der Daemon
im Hintergrund arbeitet. Osem ist über
den Standardport 3000 erreichbar, sofern
Admins diesen in der Einrichtungsdatei
nicht verändert haben.
Anders als bei Frab gibt es kein fertig
eingerichtetes Konto für den Verwalter.
Stattdessen erzeugt er über »Sign up« im
Webinterface einen Zugang und bestätigt
ihn über den Link, den das System per
Mail verschickt. Anschließend stattet er
das Konto mit den nötigen Zugriffsrechten
aus, indem er über »rails console«
die Rails-Konsole startet und dort die Datenbanktabellen
manipuliert. Diese drei
Befehle machen den zuerst angelegten
Nutzer zum Admin:
User.all
me = User.find('1')
me.role_ids=[3]
Das karge Webinterface präsentiert sich
nur in Englisch. Um die Optik der Seiten
anzupassen, bearbeiten Admins die
Haml- und CSS-Dateien im Editor. Ein
Titelbild für die Veranstaltung dürfen sie
bereits in den Settings auswählen. Der
Menüpunkt zum Erstellen einer neuen
Konferenz versteckt sich hinter dem Benutzernamen.
Anwender geben ihr einen
Titel, einen Kurztitel und Hashtag für
Plattformen wie Twitter, Google+ oder
Facebook. Dass die Software das Tag irgendwo
verwendet, konnten die Tester
nicht bestätigen.
Nach dem Erzeugen erscheint am oberen
Rand ein Menü, das weitere Einstellungen
zur Konferenz
– Anmeldungen,
Sponsoren, Events,
Statistiken und einen
Zeitplan – erlaubt
(siehe Abbildung
3).
Organisatoren bestimmen
für den
Call for Papers einen
Zeitraum sowie eine Deadline, nach
der das System keine Vorschläge mehr
annimmt. Proposals landen in der Abteilung
»Events«. Die Reviewer begutachten
und bewerten jeden Vorschlag, kommentieren
ihn optional und verteilen Punkte.
Wie viele Punkte zur Verfügung stehen
und was sie bedeuten, legt der Verwalter
vorher fest. Er bestimmt auch die minimale
und maximale Anzahl der Wörter
für die Abstracts.
Organisatoren ordnen die Events einem
Track zu und schalten sie danach frei.
Erst dann erscheint die Veranstaltung im
Zeitplan. Das Call-for-Paper-Verfahren
lässt sich nicht umgehen – es ist nicht
möglich, ein Event ohne Proposal und
einen Reviewprozess einzutragen.
Ausgerichtet
Bei der Beschreibung der Konferenzräume
speichert Osem auch die Anzahl
der verfügbaren Plätze. Zudem verwaltet
die Software mehrere Tracks und Vortragstypen
wie etwa Keynotes, Tutorials
und Diskussionsrunden. Jede Rubrik hat
eine vorgegebene Dauer, die der Admin
in den Konferenzsettings festlegt. So bestimmt
er etwa, dass eine Keynote maximal
30 Minuten dauert, Tutorials 45 und
Lightning Talks 10 Minuten. Sponsoren
Abbildung 3: Admins erstellen zunächst eine Konferenz. Danach erscheinen die
übrigen Osem-Menüpunkte zur Einrichtung.
Abbildung 4: Osem vermerkt besondere Bedürfnisse und sorgt auch für die richtige
Verköstigung der Teilnehmer.

heißen bei Osem Supporter. Organisatoren
legen zunächst einen oder mehrere
Supporterlevel fest und weisen diese
dann den Förderern zu.
Osem erinnert einen Speaker nach dem
Einreichen eines Proposals daran, dass er
sich noch für die Konferenz selbst registrieren
muss. Auch die Organisatoren sehen
unter »Events«, wenn ein Teilnehmer
einen Vortrag anbietet, sich aber noch
nicht angemeldet hat. Beim Ausfüllen
des Anmeldeformulars können Teilnehmer
hinterlegen, dass sie einen barrierefreien
Zugang benötigen, und besondere
Wünsche eintragen (Abbildung 4). In
den Konferenzeinstellungen aktivieren
und beschreiben die Veranstalter auch
besondere Essenswünsche.
Osem unterscheidet zwischen drei Benutzerrollen:
»Participant«, »Organizer« und
»Admin«, wobei das Interface für Mitglieder
des Orga-Teams nicht anders aussieht
als das der Teilnehmer. Der Verwalter
weist einem Benutzer eine neue Rolle
zu, indem er auf sein Konto oben rechts
klickt und »Users« auswählt. »Modify Roles«
öffnet ein Dropdown-Menü, in dem
er eine neue Aufgabe zuweist. Auf dem
Ubuntu-Testrechner konnten die Tester
die Rechte nachträglich nicht verändern,
unter Debian klappte das problemlos. Die
Teilnehmerliste exportieren Anwender als
PDF- und XLSX-Datei.
Auf dem Ubuntu-Testsystem vergaß
Osem beim Einreichen von Proposals
den Lebenslauf und wollte zudem ein
neues Benutzerkonto anlegen, obwohl
der Account bereits existierte. Auch beim
Versuch, ein Proposal zu genehmigen,
bekamen die Tester auf dieser Distribution
lediglich eine Fehlermeldung zu sehen.
Den Grund für diese Panne konnten
sie zusammen mit den Entwicklern bis
Redaktionsschluss nicht klären. Unter
Debian trat das Verhalten nicht auf.
E Pycon-De-Website-
System
Wenig überraschend plant die deutsche
Python-Community ihre Kongresse mit
einem System in der eigenen Lieblings-
Programmiersprache. Als Basis für die
Eigenentwicklung dienen das Webframework
Django [12] und der Konferenzmanager
Symposion [13]. Das unter einer
BSD-Lizenz stehende Planungstool verstaut
seine Daten in einer PostgreSQL-
Datenbank. Alternativ nutzt das Pycon-
System MySQL oder SQlite. Letzteres
Bitparade 01/2014
Software
www.linux-magazin.de
59
Tabelle 1: Feature-Übersicht der Konferenztools
Name Frab Osem Pycon Conftool
Version 29.10.2013 22.10.2013 20.10.2013 31.10.2013
Lizenz MIT MIT BSD proprietär
Programmiersprache Ruby on Rails Ruby on Rails Python PHP
Datenbanken MySQL, PostgreSQL, SQlite MySQL, PostgreSQL, SQlite MySQL, PostgreSQL, SQlite MySQL
Eigene Optik ja (Haml-Dateien) ja (Haml-Dateien) ja (Skins) ja (eingeschränkt)
Mehrsprachiges Interface ja (teilweise übersetzt) nein (nur Englisch) ja (teilweise übersetzt) ja
Zugriffsrechte/​Rollen ja ja ja ja
Import/​Export ja/​ja nein/​nur Teilnehmerliste nein/​nur Reviews ja (nur Pro)/​ja
Backup-Funktion über Im-/​Export nein nein ja
Für Organisatoren
Call for Papers ja ja ja ja
Proposalverwaltung ja ja ja ja
Anhänge an Proposals ja ja nein ja
Reviews ja ja ja ja
Events ohne Reviewprozess ja nein ja nein
Trackverwaltung ja ja ja ja
Raumverwaltung ja ja ja nur Pro
Vortragstypen ja ja ja ja
Vortragsdauer feste Zeiteinheiten frei wählbar frei wählbar feste Zeiteinheiten
Vorkenntnisse Teilnehmer nein nein ja ja
Zeitslots für Talks ja nein ja ja
Terminplan-Export ja nein nein ja
Sponsoren/​Level nein/​nein ja/​ja ja/​ja nein/​nein
Für Teilnehmer
Online-Registrierung ja ja ja ja
Ticketbestellung nein nein ja ja
Ticketverwaltung nein nein ja nein
Ticketarten nein nein ja ja
Ticketdruck nein nein nein nein
Gutscheine nein nein ja nein
Bezahlung nein nein nein Kreditkarte, Überweisung, Paypal
Rechnungsdruck nein nein nein ja

Software
www.linux-magazin.de Bitparade 01/2014
60
könnte allerdings Probleme mit einigen
Django-Plugins verursachen, daher raten
die Entwickler vom Einsatz in einer
produktiven Umgebung ab. Die Tester
schauten sich die Version vom 20. Oktober
2013 an.
Vor der Installation sollten Admins Virtualenv
[14] einspielen, um die Software
in einer isolierten Python-Umgebung zu
betreiben. Auf den beiden Testrechnern
reichte es, die Pakete »python‐virtualenv«,
»virtualenvwrapper« und »python‐dev«
zu installieren. Danach folgen sie der
Anleitung auf der Projektseite.
Der im Readme notierte Befehl zum Auschecken
des Git-Repository funktioniert
nicht, da er einen SSH-Schlüssel voraussetzt.
Stattdessen geben Admins zum
Download folgendes Kommando ein:
git clone https://bitbucket.org/PySV/pycon_U
de_website.git
Danach erzeugen sie mit »mkvirtualenv
pyconde_website« eine Python-Umgebung
und führen in ihr die restlichen im
Readme genannten Befehle aus.
Im Anschluss an die Installation gilt es
noch, mit »python manage.py createsuperuser«
einen Admin-Account anzulegen.
Danach startet »python manage.
py runserver 8000« den Server auf Port
8000. In der Voreinstellung lauscht dieser
Ist ein Vorschlag angenommen, erzeugt
der Verwalter aus dem Proposal den
eigentlichen Vortrag für die Konferenz.
Außerdem darf er spezielle Events ansetzen,
die kein Proposal erfordern. Das
Pycon-System prüft Eingaben nicht. Es
ist folglich möglich, eine Konferenz für
den November anzusetzen, aber einen
Workshop im Oktober abzuhalten.
Interessierte Teilnehmer geben ähnlich
wie in einem Onlineshop eine Bestellung
für eine Eintrittskarte auf. Organisatoren
dürfen dazu beliebige Ticketarten einlediglich
auf 127.0.0.1:8000. Um Verbindungen
von anderen Rechnern zu akzeptieren,
definieren Admins die IP-Adresse
vor dem Port, also »python manage.py
runserver 0.0.0.0:8000«.
Flexibel
Dank des Django-Unterbaus haben Organisatoren
sehr viel Freiheit beim Gestalten
ihrer Konferenzwebsite, müssen
sich dafür aber zunächst in das CMS
einarbeiten. Alle Unterseiten und Menüpunkte
legen sie in Handarbeit über die
Pycon-Verwaltungsoberfläche an, die sich
hinter »http://IP‐Adresse:8000/admin«
versteckt (siehe Abbildung 5). Wer die
Optik anpassen möchte, arbeitet mit so
genannten Skins [15]. Als Beispiel liegt
dem Quellarchiv der Look der Pycon-
Homepage [3] bei.
Die Verwaltungsoberfläche ist schlicht
und übersichtlich. Die Aufgaben der Organisatoren
sind zu Gruppen zusammengefasst,
dennoch ist nicht auf Anhieb
erkennbar, in welcher Reihenfolge der
Benutzer sie angehen muss. Verschiedene
Veranstaltungsdauern sowie Vortragstypen
(Session Kinds) definieren sie
im Bereich »Conference«.
Gut gefällt, dass Organisatoren über
»Audience levels« den erwarteten Wissensstand
der Zuhörer
eintragen
und später den
Events zuordnen
dürfen. Auf diese
Weise richten sie
etwa Vorträge für
Einsteiger oder Ex-
perten ein und machen den Unterschied
für die Teilnehmer sichtbar.
Anders als bei Frab und Osem können
Admins detailliert vorgeben, welche
einzelnen Funktionen und Einstellungen
ein Benutzer aufrufen darf. Zudem
richten sie Gruppen ein und vergeben
ganz gezielt Berechtigungen für die Mitglieder
(Abbildung 6). Eine Unterteilung
der Sponsoren in verschiedene Level ist
ebenfalls implementiert, sodass das System
beispielsweise zwischen Gold- und
Silber-Sponsoren unterscheidet.
Eingereichte Proposals anonymisiert das
System auf Wunsch. Sie landen in der
gleichnamigen Abteilung. Hier sollten
die Organisatoren während der Review-
Phase nach Möglichkeit nichts am Wortlaut
ändern. Dafür steht eine gesonderte
Abteilung bereit, in der sie kommentieren
und auf einer Skala von ‐1 bis +1
bewerten dürfen. Pluspunkte gibt es für
das Feature, das mehrere Versionen eines
Proposals speichert.
Zur Sache
Abbildung 5: Das Pycon-System basiert auf dem Webframework Django. Das
macht die Software unheimlich flexibel, setzt aber eine gewisse Einarbeitungszeit
bei den Administratoren voraus.
Abbildung 6: Im Pycon-System legt der Verwalter für Benutzer und Gruppen
genau fest, welche Funktionen und Rechte sie erhalten. Die sind sehr detailliert
und bestimmen, wer etwas anlegen, ändern und löschen darf.

ichten und etwa Tages- oder Wochenkarten
definieren. Das Pycon-System unterscheidet
zudem zwischen normalen
Konferenz- und Tutorialtickets, da auf der
Python-Konferenz traditionell der erste
Tag den Tutorials gewidmet ist. Die Planungssoftware
geht davon aus, dass jeder
Teilnehmer ein T-Shirt erhält.
Als einziges der freien Tools enthält das
Pycon-De-Website-System eine Funktion,
um Gutscheine zu verwalten und auszustellen.
Für die Bezahlung der Tickets
stehen als Varianten Rechnung, Kreditkarte
oder das Lastschriftverfahren (ELV)
bereit. Den eigentlichen Bezahlvorgang
müssen die Teilnehmer allerdings selbst
abwickeln, auch die Rechnungen gibt’s
nicht per Knopfdruck, die Organisatoren
schreiben sie von Hand. Das Planungstool
hält lediglich fest, ob die Zahlung erfolgt
und die Rechnung geschrieben ist.
E Conftool
Wer das Aufsetzen und Administrieren einer
Eventmanagement-Software auf dem
eigenen System zu mühsam findet, der
stößt im Netz auf etliche Alternativen,
die fertig eingerichtete Systeme mehr
oder weniger kostengünstig anbieten. Die
Tester wollten wissen, wie sich die Open-
Source-Systeme im Vergleich mit einem
kommerziellen Produkt schlagen, und
haben stellvertretend Conftool [7] aus
der Feder des Entwicklers Harald Weinreich
unter die Lupe genommen.
Die Hamburger Firma Conftool bietet es
in zwei Varianten an. Organisatoren von
kleineren, nicht kommerziellen Veranstaltungen
mit maximal 150 Teilnehmern erhalten
auf Anfrage eine kostenlose Standardversion
zum Download, die VSIS
Conftool heißt. Es gibt keinen Support,
die Lizenz gilt immer nur pro Konferenz,
und das Unternehmen behält sich das
Recht vor, Änderungen am Quellcode ins
eigene Produkt übernehmen zu dürfen.
Zudem müssen die Veranstalter einem
Mitarbeiter der Conftool GmbH die kostenlose
Teilnahme an der Konferenz gestatten.
Den kompletten Funktionsumfang bietet
Conftool Pro, für das pro Konferenz eine
Lizenzgebühr anfällt. Preise erfährt der
Anwender beim Hersteller. Für diese Variante
erhalten die Organisatoren Support,
auf Wunsch hostet die Conftool GmbH
das System, sodass die Pflege auf einem
eigenen Server entfällt. Der Hostingservice
umfasst automatische Backups,
signierte SSL-Zertifikate und eine Anpassung
des Seitenkopfes und der Farben an
eigene Wünsche. Die Conftool-Homepage
listet die Unterschiede der beiden Versionen
auf. Für Standard und Pro stellt
die Firma zudem eine Demo-Installation
bereit [16].
Conftool ist in PHP geschrieben und setzt
im Hintergrund auf eine MySQL-Datenbank
(Version 4.1 oder neuer). Es erfordert
außerdem Apache (1.3, 2.0.36 oder
neuer) und PHP (4.4, 5.X oder neuer).
PHP sollte darüber hinaus als Apache-
Modul verfügbar sein. Conftool benötigt
die PHP-Module »php_mysql«, »curl« und
»mbstring«.
Die Homepage enthält Anleitungen zum
Einrichten auf dem eigenen Server – mit
Rootrechten oder ohne. Dort finden Administratoren
auch Vorlagen für eine
Virtual-Host-Konfiguration von Apache.
Nach dem Erzeugen einer neuen Datenbank
passiert die eigentliche Installation
über PHP-Skripte. Seitenkopf und Farben
manipulieren Anwender ebenfalls in den
PHP-Dateien; weitere optische Anpassungen
sind nicht vorgesehen.
Durchstrukturiert
Die Benutzeroberfläche selbst wirkt etwas
altbacken, obwohl sie in HTML 5
programmiert ist. In den vielen Untermenüs
verliert der Verwalter schnell die
Orientierung (siehe Abbildung 7). Dafür
spricht Conftool mehrere Sprachen, darunter
Deutsch.
Schon die Standardversion erschlägt den
Verwalter mit unzähligen Einstellungen.
So darf er zum Beispiel festlegen, welche
Dateien mit welchen Endungen die Benutzer
hochladen dürfen und ob Teilnehmer
bei der Registrierung eine Mitgliederoder
Matrikelnummer angeben sollen.
Conftool verwaltet mehrere Tracks und
Sitzungen (Sessions). Wie bei den quelloffenen
Konkurrenten legt ein Verwalter
die Vortragstypen fest.
Organisatoren können nicht nur den
Zeitraum für den Call for Papers vorgeben,
sondern auch bestimmen, wann
Teilnehmer ein Benutzerkonto erstellen
und sich für die Veranstaltung anmelden
dürfen. Zudem unterscheidet Conftool

Software
www.linux-magazin.de Bitparade 01/2014
62
Abbildung 7: Die Conftool-Benutzeroberfläche sieht zwar aus wie Webseiten aus
dem letzten Jahrtausend, unter der Haube werkeln aber neue Techniken.
Abbildung 8: Proposals durchlaufen im Conftool mehrere Stadien und erhalten
zum Schluss eine Gesamtbewertung.
mehrere Phasen: Nach dem Call for Papers
folgt der Reviewprozess, danach
erhalten die Vortragenden Gelegenheit,
sich die Ergebnisse anzusehen. Für angenommene
Vorträge dürfen die Speaker
ein Dokument mit der Endfassung ihres
Beitrags einreichen. Die Pro-Version teilt
eine Phase sogar in mehrere Unterphasen
auf. Auf diese Weise kann das Orga-Team
beispielsweise zunächst eine Kurzbeschreibung
der Speaker anfordern und
eine Woche später ist dann das komplette
Proposal fällig.
Eingereichte Vorschläge landen bei Gutachtern,
die nach mehreren Kategorien
bewerten. Aus den einzelnen Punkten
berechnet Conftool dann anhand einer
(in der Pro-Version frei wählbaren) Gewichtung
einen Gesamtscore (Abbildung
8). In der Pro-Version können Gutachter
zudem für Beiträge „bieten“, die sie gerne
begutachten würden, und die Ergebnisse
online diskutieren.
Die Organisatoren dürfen Frühbucher-
Rabatte einräumen, Teilnahmebestätigungen
ausstellen und in der Pro-Version
Einladungen per Mail verschicken. Die
Veranstaltungen gruppieren sie optional.
Ein Teilnehmer schreibt sich dann bei der
Anmeldung beispielsweise für einen ganz
bestimmten Block ein. Die Zugriffsrechte
der angemeldeten Benutzer schränkt
Conftool über Rollen ein.
Conftool stellt auf Wunsch Rechnungen
aus, und die Pro-Version bindet verschiedene
Zahlungsdienste an. Es unterscheidet
sogar zwischen mehreren Mehrwertsteuersätzen.
Das Programm verwaltet
keine Sponsoren, die Standard-Version
auch keine Konferenzräume.
Gut geplant
Die drei freien Kandidaten Frab, Osem
und Pycon sind offensichtlich für die eigenen
Veranstaltungen entstanden. Vor
allem fehlt den drei Tools eine ausführliche
Dokumentation. Ein Organisator
braucht daher viel Experimentierfreude
und außerdem Grundkenntnisse in
Ruby on Rails beziehungsweise Python,
wenn er die Software an eigene Bedürfnisse
anpassen möchte. Grundsätzliche
Kenntnisse zur Systemadministration
(Webserver, Mailserver und Datenbank)
sind ebenfalls erforderlich. Wer mit dem
Gedanken spielt, eines der drei Systeme
für eine eigene Konferenzplanung einzusetzen,
sollte im Vorfeld entsprechend
Zeit einplanen.
Frab, Osem und das Pycon-System ähneln
sich stark in ihrem Aufbau und bieten
auch fast die gleichen Funktionen an (Tabelle
1). Zudem behält der Anwender die
Kontrolle über Server und Daten, muss
die Software allerdings auch pflegen.
Den rundesten und stabilsten Eindruck
hinterlässt Frab. Osem ärgerte die Tester
mit einigen kleineren Fehlern, die Installation
dieses Kandidaten war unterm
Strich die komplizierteste, da das Howto
etliche Fragen offen lässt. Wer das Pycon-
System einsetzt, muss sich zwangsweise
mit Django vertraut machen. Als Belohnung
gibt’s ein vollwertiges CMS im Hintergrund,
das sehr flexibel ist.
Conftool schneidet im Vergleich gut ab
und übertrumpft die freien Systeme gelegentlich.
Vor allem die Bezahlmöglichkeiten
per Kreditkarte, Überweisung und
Paypal sowie der Rechnungsdruck sind
komfortabel. Wer sich nicht gern mit einer
Installation auf dem eigenen Server
herumschlägt, sollte die Pro-Version in
Betracht ziehen, zumal automatische
Backups und SSL-Zertifikate im Servicepaket
enthalten sind. (hej)
n
Infos
[1] Froscon: [http:// www. froscon. de]
[2] Open Suse Conference:
[http:// conference. opensuse. org]
[3] Pycon: [http:// de. pycon. org]
[4] Frab: [https:// github. com/ frab/ frab]
[5] Open Source Event Manager:
[https:// github. com/ openSUSE/ osem]
[6] Pycon-De-Website-System:
[https:// pyconde. readthedocs. org]
[7] Conftool: [http:// www. conftool. net]
[8] Pentabarf: [http:// pentabarf. org]
[9] Debconf: [http:// debconf. org]
[10] Sigint: [http:// sigint. ccc. de]
[11] Node.js: [http:// nodejs. org]
[12] Django: [https:// www. djangoproject. com]
[13] Symposion:
[http:// eldarion. com/ symposion]
[14] Virtualenv: [http:// www. virtualenv. org]
[15] Pycon-Skins:
[https:// pyconde. readthedocs. org/ en/​
latest/ setup/ skins. html]
[16] Conftool-Onlinedemo:
[http:// www. conftool. net/ de/ demo_
installationen. html]

Software
www.linux-magazin.de Qubes OS 01/2014
64
Sicheres Betriebssystem: Qubes OS
Jenseits der Bedrohung
Für sichere Betriebssysteme gibt es viele Ansätze, doch häufig krankt es an Details. Der Neuling Qubes OS
setzt auf einen Microkernel und durchgängige Virtualisierung. Der erste Eindruck ist positiv. Tobias Eggendorfer
Beta 2 vom Februar 2013 zu haben, eine
dritte Beta ist noch in Arbeit, sollte aber
schon vor drei Monaten erschienen sein.
GUI-Level-Separation
© Liu Feng, 123RF.com
Jetzt also Qubes OS [1]: Braucht die
Welt ein weiteres als besonders sicher
deklariertes Betriebssystem? Es gibt
doch bereits Open BSD: zwei Remote-
Sicherheitslücken in den letzten 16 Jahren
– davon träumen andere. Open BSD
macht zudem konzeptionell alles richtig:
Es gewährleistet Sicherheit durch Qualitätsmanagement,
wozu Code Reviews,
Coding-Standards sowie automatisierte
Tests gehören – nach Ansicht der meisten
Experten ist das der beste Weg.
Denn den größten Teil aller relevanten
Sicherheitsprobleme verdanken wir typischen
und altbekannten Programmierfehlern:
Einbrüche geschehen durch Buffer
Overflows, Format-String-Schwachstellen,
Off-by-one-Fehler und manchmal
auch durch fehlerhaft initialisierte Zufallszahlengeneratoren
[2].
Ergänzend zu diesen Maßnahmen baut
Open BSD eine Vielzahl zusätzlicher Hindernisse
ein [3], die Angriffe erheblich
erschweren, sollten doch sicherheitsrelevante
Fehler ans Licht kommen. Diesen
Teil der Strategie kopiert mittlerweile sogar
Microsoft für Windows. Grundsätzlich
gilt dabei: Prävention ist besser als
Reaktion. Alle nachgerüsteten Sicherheitsfeatures,
etwa Address Space Layout
Randomization, sind reaktiv: Sie lösen
das Problem der zugrunde liegenden Programmierfehler
nicht.
Auftritt Qubes
Der polnischen Security-Forscherin Joanna
Rutkowska gehen die sehr erfolgreichen
Ansätze von Open BSD noch nicht
weit genug. Auch künstliche Erweiterungen
wie SE Linux hält sie für ineffektiv.
Bekannt wurde sie unter anderem mit ihrer
Arbeit an Blue Pill [4], einem Rootkit,
das vom Gastsystem aus den Hypervisor
angreift.
Vor diesem Hintergrund arbeitet sie nun
an Qubes OS, das unter der GPLv2 steht
und dessen fertige Version 2.0 – Release
2 oder R2 genannt – vermutlich Anfang
oder Mitte 2014 erscheint. Aktuell ist die
Einer von Rutkowskas Hauptkritikpunkten
an den vorhandenen Sicherheitslösungen
zielt auf die Unsicherheit von
X11: Dort seien Anwendungen, bedingt
durch das biblische Alter des X-Window-
Systems, nur unzureichend gegeneinander
abgeschottet.
Als einfache Demonstration schlägt sie
einen kleinen Test mit dem Standardtool
»xinput« und zwei Terminalfenstern vor.
Nach der parameterlosen Eingabe von
»xinput« erscheint eine Liste der verfügbaren
Eingabegeräte. Das haben die Tester
in Abbildung 1 nachvollzogen und
xinput test 8
eingegeben, wobei die »8« für das benutzte
Keyboard steht. Fortan erscheinen
alle Tastatureingaben als Scancodes (Abbildung
2), auch wenn der Tippende das
zweite Terminal verwendet – oder gar mit
Rootrechten arbeitet!
Im Beispiel hatten die Tester zunächst »su
‐« aufgerufen, was die ersten acht Scancodes
erzeugte. Dann folgte [Enter] und
ihr Rootpasswort für die Kali-VM – wer
nachprüft, wird merken, dass es recht unsicher
ist. Immerhin funktioniert dieser
Lauschangriff nicht für X11-Forwarding
über SSH – zumindest nicht, um zu lauschen,
was der auf dem entfernten Rechner
Arbeitende für Befehle eingibt.
Qubes OS
Auf der Delug-DVD finden Sie
DELUG-DVD
ein Image der Beta 2 von Qubes R2, das noch
einige Bugs aufweisen kann. Das System läuft
nicht in einer virtuellen Maschine.

Abbildung 1: Das Kommandozeilentool »xinput« zeigt Eingabegeräte an.
Umgekehrt lassen sich lokale Eingaben
für das entfernte System natürlich mitschneiden.
Technisch sauberer wäre es,
wenn zumindest der Übergriff auf den
anderen Nutzer nach der Eingabe von
»su ‐« unmöglich wäre. Doch auch das
könnte nur ein Notbehelf sein, denn
grundsätzlich sollte keine Anwendung
Daten einer anderen erhalten.
App-Separation
Diese Idee spinnt Qubes OS weiter: Statt
alle Anwendungen nebeneinander laufen
zu lassen, legt es für Gruppen von
Anwendungen jeweils geeignete Sicherheitsstufen
fest. Diese Gruppen landen
dann in einer eigenen Xen-VM, was die
Apps stärker voneinander kapselt als
unter normalen Betriebssystemen. Die
Kapselung geht auch weiter als in einer
Chroot-Umgebung, in der sich die Systeme
die Hardware-Ressourcen, etwa die
Netzwerkkarten, teilen.
Wer nun argumentiert, eine solche Sicherheitsmaßnahme
durch Aufteilung
brauche kein neues Betriebssystem,
hierfür würden Parallels, Virtualbox oder
VMware völlig genügen,
übersieht,
dass diese Systeme
nur so sicher sind,
wie ihr Wirtsbetriebssystem.
Qubes OS setzt
auf einen minimalen
Wirt, der nur
das GUI bereitstellt, wahlweise KDE oder
Xfce. Für alles andere, das schließt Hardware
wie das Netzwerk oder die Festplatten
ein, gibt es eigene VMs (Abbildung
3). Weil dem Wirtssystem ein Netzwerkzugang
fehlt, brauchen nur wenige Komponenten
Updates, die der Admin über
die Kommandozeile einspielt [5].
Netzwerkspielereien
Das Auslagern des Netzanschlusses hat
noch einen weiteren Vorteil: Wer per VPN
ins Büro tunneln muss, erstellt sich eine
Netz-VM, welche die VPN-Verbindung
aufbaut, und kann den durch sie bereitgestellten
Netzwerk adapter dann mit verschiedenen
VMs nutzen. So teilen sich
mehrere Sicherheitsumgebungen einen
VPN-Tunnel. Der ist dabei völlig transparent
für die jeweilige VM, die auch nichts
vom eigenen Netz sieht. Das reduziert
nebenbei Sicherheitsrisiken, die durch
den VPN-Einsatz entstehen könnten.
In ihrem Blog schlägt Rutkowska vor, in
einer Netzwerk-Adapter-VM einen Tor-
Proxy zu installieren [6]. Hier merkt die
App-VM nicht, dass die Netzwerkkarte
mehr leistet als
üblich – und kann
insbesondere den
Tor-Proxy nicht
umgehen. Die
Folge: Der gesamte
Netzwerkverkehr
wird anonymisiert.
Das verhindert
die üblichen
Angriffe auf die
Anonymisierung,
etwa durch Flash-
Plugins.
Qubes OS 01/2014
Software
www.linux-magazin.de
65
Klein ist fein
Abbildung 2: Der Befehl »xinput test 8« zeichnet die Tastatur-Scancodes auf – in
diesem Fall »su ‐« gefolgt vom Rootpasswort.
Neben der guten
Hardware-Abstraktion
und ‐Kapse-

Software
www.linux-magazin.de Qubes OS 01/2014
66
Work
App-VM
Personal
App-VM
lung kommt mit dem eingesetzten Microkernel
aus Sicherheitssicht ein weiterer
Pluspunkt hinzu: Als sicher eingestufte
Programme sollten weniger als 0,5 Fehler
pro 1000 Codezeilen haben, das Mittel für
Alltagsprogramme liegt bei drei bis fünf
Fehlern [7]. Nicht jeder Bug ist sicherheitsrelevant,
viele sind einfach nur lästig.
Dennoch basieren die meisten derzeit
ausgenutzten Sicherheitslücken auf typischen
Programmierfehlern.
Mit der Gesamtfehlerzahl reduziert sich
auch die der sicherheitsrelevanten Fehler.
Und genau das ist einer der wertvollen
Nebeneffekte, die ein Microkernel mit
sich bringt: Er kommt mit weniger Codezeilen
aus. Gerade Sicherheitslücken im
Kernel sind fatal und lassen sich besonders
effektiv ausnutzen. Daher muss deren
Vermeidung für ein sicheres System
höchste Priorität haben.
Plattformunabhängig
Random
App-VM
Mit Hilfe von Templates für die App-VMs
ist Qubes OS recht einfach zu konfigurieren,
eine neue VM ist schnell aufgesetzt.
Das Standard-Template in Qubes R2 Beta
2 basiert auf Fedora 18 (64 Bit), zu Beginn
stehen dem Anwender drei farbkodierte
App-VMs – Work, Personal und
Random – zur Auswahl. Beim Einstieg
helfen zudem die zahlreichen Hinweise
auf der Webseite.
Durch den zugrunde liegenden Xen-Hypervisor
und die eingesetzte Virtualisierungstechnik
ist ein Qubes-OS-Anwender
nicht auf ein Betriebssystem beschränkt.
In den unterschiedlichen App-VMs dürfen
verschiedene Systeme laufen. Das
Wiki zum Austausch mit den Kollegen
im Intranet kann zum Beispiel aus Sicherheitserwägungen
auf Open BSD basieren.
Xen-Hypervisor
Network Domain
(unprivileged)
Die per E-Mail zugeschickten MS-Office-
Dateien brauchen keinen Viewer mehr:
Sie lassen sich in einer Windows-App-
VM nativ lesen. Das schafft ein hohes
Maß an Flexibilität und Sicherheit.
Hoher Testaufwand
Apropos hoch: Wer Qubes OS R2 schnell
mal ausprobieren möchte, wird vor eine
ordentliche Hürde gesetzt: Einerseits ist
die Hardware-Kompatibilitätsliste [8]
sehr kurz. Auf dem anfangs genutzten
Testsystem unter OS X 10.7.5 war keine
Virtualisierungsumgebung (Parallels,
Virtualbox, VMware Fusion) zur Kooperation
mit Qubes zu bewegen.
Das unterstreicht auch die Qubes-Webseite
mit dem charmanten Hinweis, man
möge doch bitte von weiteren Anfragen
an das Entwicklerteam absehen, wie sich
Qubes in einer virtuellen Umgebung installieren
ließe – das funktioniere schlicht
nicht. Dem widersprechen zwar einzelne
Berichte auf Webseiten [9], die angeblich
Qubes OS als Nested-Virtualisierung zum
Laufen gebracht haben, doch leider fehlen
überall klare Informationen zu den
Bedingungen.
So musste letztlich ein alter Laptop für
den Test herhalten, Qubes wurde heruntergeladen
[10] und altmodisch auf eine
DVD gebrannt. Der Kompatibilitätsliste
können die Tester nach einer fast drei
Stunden dauernden Installation immerhin
ein neues Gerät hinzufügen: ein Macbook
Pro aus dem Jahre 2007.
Fazit
VT-d VT-d VT-d
Storage Domain
(unprivileged)
Secure GUI &
Administration
(Dom0)
Abbildung 3: Die Architektur von Qubes OS: Anwendungen landen gruppiert nach ihren Sicherheitsanforderungen
in den App-VMs, Hardware abstrahiert Qubes durch eigene VMs.
Obwohl das Konzept von Qubes OS nicht
revolutionär ist – denn App-Separationsverfahren
gibt es schon länger –, machen
die alltagstaugliche Nutzbarkeit des Systems
und die hohe Flexibilität zusammen
mit den durchdachten Konzepten
zur Geräte-Abstraktion Qubes OS recht
einzigartig.
Dennoch ist das System noch nicht für
jedermann geeignet, denn die eingeschränkte
Hardwarekompatibilität ist
zurzeit ein echter Hemmschuh. Außerdem
gibt es – wie von einer Betaversion
nicht anders zu erwarten – noch einige
Bugs zu beheben [11]. Wer sich aber von
diesen Punkten nicht abschrecken lässt,
erhält ein gut durchdachtes und vor allem
sicheres System. (kki)
n
Infos
[1] Qubes OS: [http:// qubes‐os. org]
[2] Tobias Eggendorfer, „Seltener Zufall. Gute
Vorhersagbarkeit bedeutet schlechte Sicherheit“:
Linux Magazin 01/​2012, S. 48 ff.
[3] Sicheres Open BSD:
[http:// www. openbsd. org/ security. html]
[4] Rootkit „Blue Pill“:
[http://theinvisiblethings.blogspot.
de/2006/06/introducing-blue-pill.html]
[5] Über Dom0-Updates:
[http://qubes-os.org/trac/wiki/
SoftwareUpdateDom0]
[6] Netzwerk in Qubes:
[http:// theinvisiblethings. blogspot. de/​
2011/ 09/ playing‐with‐qubes‐networking
‐for‐fun. html]
[7] Fehlerrate in Software:
[http:// www. sei. cmu. edu/ library/ abstracts/​
news‐at‐sei/ wattsnew20041. cfm]
[8] Liste kompatibler Hardware:
[http:// qubes‐os. org/ trac/ wiki/ HCL]
[9] Qubes in der VM: [http:// www.​
extremetech. com/ computing/ 84168
‐nearbulletproof‐qubes‐os‐goes‐beta]
[10] Beta 2 von Qubes R2: [http://qubes-os.
org/trac/wiki/QubesDownloads]
[11] Bugs in Qubes OS:
[http:// qubes‐os. org/ trac/ report/ 3]
Der Autor
Tobias Eggendorfer ist Professor für IT-Sicherheit
in Ravensburg und freiberuflich als IT-Berater
tätig ([http:// www. eggendorfer. info]). Die Idee
von Qubes OS findet er interessant genug, um in
einem kommenden Semester mit seinen Studenten
einerseits die Konzepte anzuschauen, aber
andererseits auch nach kreativen Lösungen zu
suchen, wie sich der Ansatz doch noch stören
lassen könnte.

Software
www.linux-magazin.de Tooltipps 01/2014
68
Werkzeuge im Kurztest
Tooltipps
Tinc 1.0.23
VPN-Daemon für Linux, OS X und Windows
Quelle: [http:// www. tinc‐vpn. org]
Lizenz: GPLv2
Alternativen: Open VPN, Open L2TP
Ftwin 0.8.8
Dateidubletten finden
Quelle: [https:// github. com/ fpesce/ ftwin]
Lizenz: Apache License
Alternativen: Finddup.pl, Find Repe
Binwalk 1.2.2
Firmware analysieren
Quelle: [http:// code. google. com/ p/ binwalk]
Lizenz: MIT
Alternativen: Objdump, Hexdump
Tinc verspricht sichere und verschlüsselte
Kommunikation. Das VPN-Tool
läuft als Daemon und richtet beim Start
gesicherte virtuelle Subnetze zu anderen
Tinc-Servern ein. Wie die meisten
VPN-Lösungen setzt auch diese auf TUN/​
TAP-Geräte für den Netzaufbau und auf
Open SSL zur Verschlüsselung. Damit
stehen Krypto-Algorithmen wie Blowfish
und DES 3 bereit. Dank LZO und Zlib ist
es auch möglich, die Daten während der
Übertragung zu komprimieren.
Im Konfigurationsverzeichnis »/etc/tinc«
legen Benutzer Ordner mit so genannten
Netnames für die verschlüsselten
Subnetze an. Jedes Verzeichnis enthält
eine Datei »tinc.conf«, eine Datei mit
dem privaten SSL-Schlüssel, Up-/​Down-
Skripte zur Steuerung der virtuellen
Schnittstelle und einen Ordner »hosts«.
Letzterer nimmt die Verbindungsdaten
zu allen Tinc-Servern im entsprechenden
Subnetz auf.
Eine einfache Beispielkonfiguration ist
im Quellarchiv enthalten, sie lässt sich
als Grundlage für eigene Einstellungen
einsetzen. Die Manpage und das Projekt-
Wiki dokumentieren alle Möglichkeiten
umfassend. Hier finden Anwender auch
Hinweise, wie sie Tinc zusammen mit
Proxyservern betreiben oder an einzelne
Schnittstellen binden.
★★★★★ Tinc ist eine schnelle VPN-Lösung.
Ihre Flexibilität und Plattformunabhängigkeit
machen sie besonders für
Ad-hoc-Netze interessant.
n
Dateidubletten verschwenden unnötig
Plattenplatz. Ftwin hilft bei der Suche
nach den Doppelgängern in weitläufigen
Verzeichnisstrukturen, vergleicht übergebene
Dateien oder durchforstet rekursiv
ganze Verzeichnisbäume.
Das Tool verwendet eigene Hashalgorithmen,
um den Inhalt von Dateien miteinander
zu vergleichen. Identische Bilder
spürt es mit Hilfe der Bibliothek »libpuzzle«
auf; der Parameter »‐I« ruft diesen
Modus auf den Plan. Die Fundstücke
schreibt Ftwin als zusammenhängende
Blöcke auf die Standardausgabe. Die Option
»‐s« fügt eine optische Trennung ein.
Für Rechner mit begrenzten Systemressourcen
reduziert »‐o« den Speicherverbrauch,
was jedoch zu einer längeren
Laufzeit führt.
Über »‐e« und »‐w« definieren Anwender
entsprechende Filter. Die Regeln dürfen
reguläre Ausdrücke enthalten. Alternativ
schreiben sie Dateien in eine Liste, die
sie explizit vom Vergleich ausschließen
wollen, und übergeben diese dann mit
»‐i«. Wer nur die großen Fische fangen
möchte, der gibt mit »‐m« eine minimale
Dateigröße vor. Symbolische Links berücksichtig
das Tool nur, wenn der Nutzer
die Option »‐f« einsetzt.
★★★★★ Ftwin findet Dubletten und
sorgt für mehr Platz auf der Festplatte.
Das Löschen der Doppelgänger nehmen
Anwender selbst in die Hand. n
Binwalk ist ein leistungsfähiges Konsolenprogramm,
das Firmware-Abbilder
analysiert, Dateien aus ihnen extrahiert
und damit Entwicklern beim Reverse
Engineering unter die Arme greift. Das
Python-Programm arbeitet auf Linuxund
OS-X-Systemen und setzt auf beiden
Plattformen die Pakete Libmagic und
Python‐magic voraus.
Um grundlegende Informationen über ein
Firmware-Image zu erhalten, reicht es
aus, Binwalk zusammen mit der Datei
aufzurufen. Das Programm listet dann auf
der Standardausgabe den Inhalt auf und
zeigt an, wie groß die einzelnen Komponenten
sind. Weitere Optionen suchen
nach bekannten Opcodes im Abbild oder
extrahieren Zeichenketten. Wer nicht das
gesamte Image bearbeiten möchte, der
gibt hinter »‐o« einen Offsetwert an. Binwalk
speichert auf Wunsch das Ergebnis
als CSV- oder Textdatei.
Zur Analyse der Images setzt das Tool
auf vordefinierte Signaturen, die Merkmale
enthalten, wie sie in komprimierten
Archiven oder Firmware-Headern zu finden
sind. Eigene Signaturen und Plugins
erweitern den Funktionsumfang. Eine
Reihe von Anwendungsbeispielen zeigt
der Parameter »‐?« an. Das Archiv enthält
zudem ein ausführliches Readme.
★★★★★ Binwalk verrät allerhand nützliche
Informationen über Firmware-Images
und vereint praktische Funktionen der
Tools »strings«, »hexdump« und »dd«. n

Software
www.linux-magazin.de Tooltipps 01/2014
70
Maildrop 2.7.0
Mail Delivery Agent
Quelle: [http:// www. courier‐mta. org/​
maildrop]
Lizenz: GPLv3
Alternativen: Procmail, Zmaildrop
Log Analyzer 3.6.5
Logdateien grafisch aufbereiten
Quelle: [http:// loganalyzer. adiscon. com]
Lizenz: GPLv3
Alternativen: W3perl, PHP-Syslog-ng
Drukkar 1.11
Kompakte Blog-Engine
Quelle: [http:// drukkar. sourceforge. net]
Lizenz: GPLv2
Alternativen: Blazeblogger
Ursprünglich als MDA für den IMAP-
Server Courier entwickelt ist Maildrop
inzwischen eigenständig und arbeitet
auch mit anderen Mailservern wie Postfix,
Exim oder Dovecot zusammen. Das
Tool filtert elektronische Post nach Absenderadressen,
Adressaten, Betreffzeilen,
Inhalten und so weiter. Es unterstützt
sowohl Maildir als auch Mbox als Mailboxformate.
Maildrop nimmt die Nachrichten über die
Standardeingabe vom Mailserver entgegen
und filtert sie nach den Regeln, die
Admins in der Konfigurationsdatei »/etc/
maildroprc« eintragen. Ist keine globale
Einrichtung vorhanden oder passt keine
der allgemeinen Regeln, schaut das Tool
in den Homeverzeichnissen der Benutzer
nach einer Datei »~/.mailfiter«. Zur
Definition der Filterregeln stellt Maildrop
eine eigene Sprache zur Verfügung, die
Perl ähnelt und komplexe »if‐elseif‐else«-
Konstruktionen versteht. Aufbau und
Syntax beschreibt die Dokumentation
ausführlich.
Das Quellarchiv enthält außer Maildrop
noch weitere interessante Tools wie beispielsweise
Lockmail, das eine Mailbox
während der Verarbeitung durch Maildrop
sperrt. Mit dabei ist außerdem Mailbot,
das sich für automatisch generierte
Antworten eignet. Reformail beziehungsweise
Reformime empfehlen sich darüber
hinaus zum Reformatieren von Text- und
Mime-Inhalten.
★★★★★ Maildrop ist ein mächtiges
Tool, das eingehende Post zuverlässig
filtert und weiterleitet. Interessierte
Admins sollten eine großzügige Einarbeitungsphase
einplanen. Die umfangreiche
Dokumentation hilft.
n
Log Analyzer hilft dabei, Linux- und
Windows-Protokolle zu verstehen, zeigt
eine oder mehrere Logdateien übersichtlich
strukturiert im Webbrowser an und
bietet Funktionen zum Analysieren,
Durchsuchen und Auswerten. Das Tool
benötigt einen Webserver und PHP 5.
Eine Datenbank ist nicht zwingend erforderlich,
da das Programm die Logdateien
im Textformat einliest.
Nach dem Entpacken des Quellarchivs in
das Dokumentenverzeichnis des Webservers
ruft der Admin zur Konfiguration die
Datei »install.php« im Browser auf. Das
Skript fragt nach den Protokolldateien
und möchte wissen, wie viele Einträge
es pro Seite anzeigen soll. Danach ist Log
Analyzer schon einsatzbereit.
Zum Filtern reicht es, einen Suchbegriff
ins Feld am oberen Rand einzugeben.
Einige vordefinierte Filter sortieren nach
Meldungen der letzten Stunde sowie der
vergangenen 12 oder 24 Stunden. Sie
blenden zudem Protokolle der letzten 7
oder 31 Tage ein, nur Fehler oder Fehler
und Warnungen. Eine Highlight-Funktion
hebt Schlüsselwörter farblich hervor.
Mehrere Begriffe gibt der Anwender
durch Kommata getrennt ein.
Log Analyzer aktualisiert die Gesamtübersicht
in der Voreinstellung nicht
automatisch. Über das Menü »Set auto
reload« definieren Benutzer Upgrade-
Intervalle. Auf Wunsch erzeugt das Tool
Berichte im CSV- oder XML-Format sowie
Statistiken. Letzteres erfordert das Paket
»php5‐gd« auf dem Webserver, das ein
Modul zum Generieren von Grafiken aus
PHP-Skripten liefert.
★★★★★ Log Analyzer bringt Übersicht
in die Protokolldateien und punktet mit
seinen Filter- und Suchoptionen. n
Drukkar ist ein schlankes Blogprogramm
und CMS, das in PHP 5 implementiert
ist und keine weiteren Abhängigkeiten
besitzt. Die kompakte Engine benötigt
wenig Systemressourcen, speichert alle
Artikel als XML-Dateien und benötigt
kein Datenbank-Backend. Die Software
unterstützt die vereinfachte Auszeichnungssprache
Markdown und erzeugt
gültiges HTML.
Auch die Konfigurationsdatei liegt im
XML-Format vor. Nach dem Entpacken
des Archivs definieren Anwender in »config.xml«
den Blognamen und die URL.
Zudem geben sie die Verzeichnisse für
Beiträge und Uploads an. Die Einrichtungsdatei
enthält auch den gesalzenen
Passwort-Hash. Standardkennwort und
Salt-Wert lassen sich mit dem Skript »makepass.php«
ändern. Auf dem Testsystem
funktionierte dies nicht; erst ein händischer
Aufruf der Funktion »hash_with_
salt()« in einem einfachen PHP-Skript auf
der Konsole schaffte Abhilfe.
Um einen neuen Artikel zu schreiben,
rufen Anwender das Skript »edit.php« im
Browser auf. Nach der Passworteingabe
erscheint ein Formular, in das sie Titel
und Text eintippen. Drukkar versteht
Tags und erlaubt es, zusätzliche Dateien
wie Bilder oder Multimediales hinzuzufügen.
Ist das Standarddesign zu schlicht,
modifizieren Nutzer mit CSS-Kenntnissen
das Stylesheet »blog.css«. Fertige Blogbeiträge
und hochgeladene Dateien verwaltet
das Skript »files.php«.
★★★★★ Ein kleines Blog ist mit Drukkar
im Handumdrehen eingerichtet. Das
Standardpasswort sollten Anwender vor
dem Veröffentlichen unbedingt ändern –
notfalls manuell. (U. Vollbracht/​hej) n

Aus dem Alltag eines Sysadmin: Backup2l
I’ll be back-up
Einführung 01/2014
Sysadmin
Im trauten Heim rettet Sysadmin Charly seine Daten seit jeher mit Rsnapshot. Für Serverbackups soll das auch
so bleiben, für die Desktop-PCs der Familie Kühnast hat er etwas Handlicheres gefunden. Charly Kühnast
Inhalt
72 Snapshots mit Virt-Manager
Snapshots sind praktisch, doch stellte
die Libvirt bislang keine entsprechenden
GUI-Tools bereit. Mit Fedora 20 ist
Besserung in Sicht: Die kleine Snapshot-
Verwaltung kann sich zwar nicht mit
Virsh messen, aber immerhin.
Backup muss sein, auch bei Desktop-PCs,
auch zu Hause. In meinen vier Wände
brauche ich aber kein professionelles
Enterprise-Backup-Warehouse und verspüre
auch keine Lust, die Lizenzkosten
dafür zu zahlen. Ich sichere alles auf ein
kleines Synology-NAS und dies wieder
auf zwei große USB-Platten.
Auf dem NAS habe ich ein Verzeichnis
namens »linbackup« freigegeben, darunter
liegt ein Unterverzeichnis für jeden
zu sichernden Rechner – aktuell 14
Stück. Die Kinder werden offenbar älter
und beginnen wohl Hardware zu horten.
Ich frag’ mich, von wem sie das haben.
Ein Verzeichnis »gamelauncher« gibt es
übrigens auch, dorthin sichere ich die
Windows-Partition.
Um das Backup selbst kümmert sich
seit Neuestem Backup2l [1], das ich in
den vergangenen Tagen als schlanke Alternative
zu Rsnapshot [2] ausprobiert
habe. Backup2l läuft Cron-gesteuert und
legt eine konfigurierbare Anzahl inkrementeller
Backups an. Dafür sind in der
Konfigurationsdatei »backup2l.conf« drei
Parameter zuständig.
Der Autor
Charly Kühnast administriert
Unix-Syste me im Rechenzentrum
Niederrhein. Zu seinen
Aufgaben gehören Sicherheit
und Verfügbarkeit der
Firewalls und der DMZ.
»MAX_LEVEL=3« bestimmt
die Anzahl der Ebenen und
»MAX_PER_LEVEL=8« die
inkrementellen Backups pro
Ebene. Konkret macht Backup2l
stündlich inkrementelle
Backups, das ist die niedrigste
Ebene, Level 3. Hat es davon
acht beisammen (»MAX_PER_
LEVEL«), fertigt es ein neues
Level-2-Backup an, das alle
Änderungen seit dem letzten
Level-2-Backup speichert. Die
Level-3-Backups werden gelöscht,
und das Spiel beginnt
von vorn.
Sind auch acht Level-2-Backups
beisammen, erstellt Backup2l
ein neues Level-1-Backup
– das ist eine Komplettsicherung.
Mit »MAX_FULL«, dem dritten Parameter,
kann ich festlegen, wie viele
Vollbackups zeitgleich existieren dürfen.
Rette sich, wer kann
Was Backup2l genau sichert, lege ich per
SRCLIST fest:
SRCLIST=(/etc /root /home /var/ /usr/local)
Dabei kann ich Ausnahmen definieren.
Backup2l unterscheidet hier zwischen
Dateien (»‐name«) und Verzeichnissen
(»‐path«). Mehrere Ausnahmen lassen
sich per »‐o« verketten:
SKIPCOND=(‐path "*.nobackup*" ‐oU
‐name "*.o")
Im »BACKUP_DIR« teile ich Backup2l
mit, wohin es sichern soll:
BACKUP_DIR="/mnt/linbackup/funghi"
Liegt das Zielverzeichnis wie bei mir auf
einem Netzlaufwerk, muss der Benutzer
natürlich dafür sorgen, dass es rechtzeitig
Abbildung 1: Hier hat Backup2l eine differenzielle Level-3-Sicherung
auf ein NAS absolviert, das an »/mnt« eingehängt ist.
gemountet ist. Funghi ist in diesem Beispiel
der Name meines Ubuntu-Testrechners.
Ich benenne alle Desktop-Linuxe
nach Pizza-Sorten, die Server dagegen
nach schottischen Inseln – in beiden Welten
lauert keine große Gefahr, dass mir
die Namen alsbald ausgehen.
In der »backup2l.conf« gibt es zwei Abschnitte,
»PRE_BACKUP« und »POST_
BACKUP«, in denen ich Shellkommandos
platzieren darf, die Backup2l vor und
nach dem Backup-Lauf ausführt. Hier
kann ich etwa dafür sorgen, dass bestimmte
Dienste während des Backups
gestoppt werden.
Am Ende teile ich dem Tool mit, dass
mein Teil der Arbeit erledigt ist, indem
ich »UNCONFIGURED« von »0« auf »UN-
CONFIGURED=1« setze. Nun sind Funghi,
Tonno & Co. außer Gefahr. (jk) n
Infos
[1] Backup2l: [http:// backup2l. sourceforge. net]
[2] Rsnapshot: [http:// www. rsnapshot. org]
www.linux-magazin.de
71

Sysadmin
www.linux-magazin.de Virt-Manager 01/2014
72
Snapshots erstellen mit Virt-Manager und Virsh
Schnappschuss
In der aktuellen Entwicklerversion kann der Virtual Machine Manager (Virt-Manager) endlich seine virtuellen
Maschinen einfrieren und als so genannten Snapshot abspeichern. Das klappt auf zwei verschiedene Arten, die
aber ihre Vor- und Nachteile haben. Mit der Kommandozeile gelingt das sicherer. Tim Schürmann
sich erstellte Snapshots wesentlich leichter
voneinander unterscheiden lassen als
an der Kommandozeile.
Im Gegensatz zum CLI mussten die
Tester des Linux-Magazins am GUI allerdings
noch einige Kinderkrankheiten
diagnostizieren. So klappte die Managed-
Save-Option nicht immer, auch das Wiederherstellen
machte noch hier und da
Probleme. Allerdings existieren zu allen
Fällen Bugreports im Fedora-Bugzilla bei
Red Hat, sodass für die finale Version
noch Hoffnung besteht.
© Ivan Smuk, 123RF.com
Fast alle Virtualisierungslösungen können
ihre virtuellen Maschinen einfrieren
und dann mit Haut und Haaren auf der
Festplatte abspeichern. Dieses Vorgehen
bezeichnet man als Schnappschuss. Nach
dem Wiederherstellen eines solchen
Snapshots arbeitet die virtuelle Maschine
genau dort weiter, wo sie der Administrator
beim Einfrieren unterbrochen hatte.
Das Laden der Snapshots gelingt in der
Regel deutlich flotter, als das System neu
zu booten.
Flotter Maschinenpark
Mit einem Snapshot lässt sich nicht nur
gezielt ein Ablauf unterbrechen, sondern
auch nach einem Defekt oder einem
Konfigurationsfehler schnell ein alter,
funktionierender Systemzustand wiederherstellen.
Entwickler können für ihre
Tests mehrere Snapshots vorhalten und
so schnell zwischen verschiedenen Konfigurationen
hin und her wechseln.
Alles eigentlich keine Magie, doch ließ die
Libvirt bisher passende GUI-Tools dafür
vermissen. Wer seine virtuellen Maschinen
mit dem beliebten Virtual Machine
Manager (VMM) oder Virt-Manager verwaltet,
blickte lange Zeit in die Röhre. Bis
einschließlich Version 0.10.0 konnte das
GUI lediglich den Inhalt des Hauptspeichers
der virtuellen Maschine einfrieren.
Während der Entwicklung von Fedora
20 rüstete jedoch der Entwickler Cole
Robinson freundlicherweise eine kleine
Snapshot-Verwaltung nach [1].
Sie bietet zwar immer noch nicht den
Funktionsumfang des Kommandozeilen-
Werkzeugs Virsh, für die meisten Anwendungsfälle
sollten die Verwaltungsmöglichkeiten
jedoch ausreichen. Im
Gegenzug benötigt der Administrator
keine kryptischen Kommandos mehr, in
VMM genügt jetzt ein Mausklick, um einen
neuen Snapshot anzufertigen. Als
netten Bonus macht das GUI auch noch
automatisch einen Screenshot, wodurch
Nur mit Fedora 20
Um die neue Snapshot-Verwaltung auszuprobieren,
mussten Administratoren – jedenfalls
bei Redaktionsschluss – entweder
zu einer Vorabversion von Fedora 20 greifen
oder den Quellcode aus dem VMM-
Git-Repository selbst übersetzen [2]. In
beiden Fällen erhielten sie lediglich eine
Entwicklerversion von VMM. Verwirrung
herrschte zudem bei der Nummerierung:
Der VMM in der Beta von Fedora 20 trug
die Versionsnummer 0.10.0-5, während
die auf der VMM-Homepage angebotene
Version 0.10.0 noch nicht mit Snapshots
umgeben konnte.
Eingelegtes
Kurzzeitgedächtnis
Um Snapshots mit VMM zu erstellen, ruft
der Administrator zunächst die Detailansicht
der virtuellen Maschine auf, etwa
über »Bearbeiten | Details der virtuellen
Maschine«. Dort lässt sich jetzt ein
Snapshot auf zwei Arten anfertigen. Die
erste Variante funktioniert auch unter älteren
VMM-Versionen: Der Administrator
aktiviert einfach den Menüpunkt »Virtu-

Abbildung 1: Beim Anlegen eines Snapshots muss man nur einen Namen vergeben,
den Screenshot schießt VMM automatisch.
elle Maschine | Herunterfahren | Speichern«.
VMM friert jetzt die Maschine
ein, schreibt den Hauptspeicherinhalt in
das Festplattenimage und schaltet die virtuelle
Maschine aus.
Suspend
Bei jedem erneuten Start der virtuellen
Maschine (beispielsweise via »Virtuelle
Maschine | Ausführen«) stellt VMM automatisch
den alten Zustand wieder her. Der
komplette Vorgang ist vergleichbar mit
dem Stromsparmodus Suspend to Disk,
wobei hier jedoch VMM beziehungsweise
das von ihm beauftragte Libvirt die Sicherung
erstellt. Das Betriebssystem in der
virtuellen Maschine bekommt von dem
ganzen Vorgang nichts mit.
Das Speichern einer
virtuellen Maschine
hat jedoch
gleich mehrere
Nachteile: Zunächst
friert VMM
das System ein,
nach der Sicherung
läuft es nicht automatisch
weiter. Arbeitet
in der virtuellen
Maschine ein
Webserver, ist dieser
also vorübergehend
nicht mehr
erreichbar.
Darüber hinaus
lässt sich immer
nur genau eine Sicherung
erstellen, die zudem VMM direkt
nach dem nächsten Start der virtuellen
Maschine wieder löscht. Das Speichern
einer virtuellen Maschine ist daher nur
sinnvoll, wenn der Administrator einen
Vorgang unterbrechen möchte – beispielsweise
weil er eine Kopie der virtuellen
Maschine anfertigt.
Bitte recht freundlich
Die mit Fedora 20 eingeführte Version von
VMM kann jedoch auch das komplette
System einschließlich der Festplatten im
laufenden Betrieb als Snapshot speichern
(Variante 2). Jeder Schnappschuss erhält
dabei einen eigenen Namen und lässt sich
jederzeit und vor allem beliebig oft wiederherstellen.
Alle derartigen Snapshots
verwaltet der Admin hinter »Anzeigen |
Snapshots«. In der standardmäßig noch
leeren Liste am linken Rand sammelt
VMM alle Snapshots.
Um einen neuen Snapshot zu erhalten,
klickt der Administrator auf das Plus-
Symbol links unten in der Fensterecke.
Im folgenden Formular muss er dem
Snapshot lediglich noch einen Namen
und bei Bedarf eine Beschreibung verpassen
(Abbildung 1). Neben »Status«
vermerkt VMM noch einmal, ob die virtuelle
Maschine gerade ausgeschaltet ist
oder läuft. Einen Screenshot erstellt VMM
übrigens nur im letzten Fall. Nach einem
Klick auf »Abschließen« lässt VMM von
Libvirt den Snapshot erzeugen (Abbildung
2).
Stolpersteine
Dabei speichert Libvirt innerhalb ihres
Festplattenimage den aktuellen Zustand
der virtuellen Festplatte, den kompletten
Hauptspeicherinhalt und den Zustand
der (virtuellen) Geräte der virtuellen Maschine.
Solche Schnappschüsse heißen
deshalb auch interne Snapshots. Damit
das funktioniert, muss allerdings das
Festplattenimage ein Dateiformat verwenden,
das Snapshots unterstützt. Das
ist derzeit bei Qcow2 und dessen designiertem
Nachfolger QED der Fall, nicht
jedoch etwa bei Images im Raw-Format
oder aus Virtualbox, also solchen mit der
Dateinamenserweiterung ».vdi«.
Kann das Image nicht mit Snapshots
umgehen, schaltet VMM die Snapshot-
Verwaltung ab. In solchen Fällen sollte
der Admin als primäre Fehlerquelle das
Dateiformat überprüfen. In VMM erhält
er die entsprechende Information, indem
er »Anzeigen | Details« aufruft, die Festplatte
anklickt (in der Regel »IDE Disk
1«), dann »Erweiterte Optionen« öffnet
und einen Blick auf das »Speicherformat«
wirft. Alternativ lässt sich auch das
Werkzeug »qemu‐img« auf das Plattenimage
ansetzen (Abbildung 3):
Virt-Manager 01/2014
Sysadmin
www.linux-magazin.de
73
qemu‐img info /var/lib/libvirt/images/U
platte.img
Abbildung 2: Die neue Snapshot-Verwaltung ist einfach, für die meisten Aufgaben aber ausreichend.
Dass die Snapshots im Festplattenimage
landen, ist zwar bequem, erschwert
jedoch das Backup: Admins müssen
zwangsweise das Image komplett sichern
und dazu wiederum die virtuelle

Sysadmin
www.linux-magazin.de Virt-Manager 01/2014
74
Abbildung 3: »qemu‐img« liefert nicht nur das Dateiformat des Image (hier »qcow2«), sondern verrät auch,
welche Snapshots darin gespeichert sind.
Maschine vorübergehend anhalten. Beim
Klonen einer virtuellen Maschine klont
VMM zudem die Snapshots nicht mit, es
bleibt nichts übrig, als sie im Klon erneut
anzulegen.
Konnte VMM den Snapshot erstellen, erscheint
er in der Liste am linken Rand.
Klickt der Administrator dort einen
Snapshot an, erfährt er auf der rechten
Seite den Namen, das Erstellungsdatum
und ob die virtuelle Maschine nach der
Wiederherstellung des Snapshots läuft
oder ausgeschaltet ist. Im Gegensatz
zum Namen darf der Administrator die
»Beschreibung« nachträglich anpassen.
Unter der Beschreibung zeigt VMM noch
den Screenshot an – vorausgesetzt es
konnte einen solchen anfertigen.
Wer einen Snapshot wiederherstellen
möchte, markiert ihn in der Liste und
klickt dann am unteren Fensterrand auf
das Symbol mit dem weißen Dreieck und
bestätigt die Rückfrage. Das Symbol mit
dem roten Kreis und dem X würde hingegen
den markierten Snapshot löschen.
Die Liste mit den Snapshots sortiert VMM
übrigens eigenmächtig alphabetisch aufsteigend.
Tippse
Mehr Funktionen und Möglichkeiten
als VMM bietet das Kommandozeilen-
Werkzeug Virsh, das ja auch schon seit
Urzeiten mit Snapshots umgehen kann.
Die grundlegende Bedienung von Virsh
erläuterte ein Artikel im Linux-Magazin
Listing 1: Externe Snapshots mit Virsh
[3]. Läuft die virtuelle Maschine namens
»debian« unter KVM auf dem aktuellen
Rechner, erzeugt der folgende Befehl
von ihr einen Snapshot mit dem Namen
»snaptest« und der Beschreibung »Ein
erster Snapshot«:
virsh ‐c qemu:///system snapshot‐create‐as U
debian "snaptest" "Ein erster Snapshot"
Ein derart über Virsh initiierter Snapshot
taucht übrigens erst dann im VMM auf,
wenn der Administrator diesen neu startet.
Dabei reicht es nicht aus, nur die
Detailansicht der virtuellen Maschine zu
schließen.
Im Gegensatz zu VMM lässt sich das
Erzeugen eines Snapshots über Virsh
noch beeinflussen: Steht hinter »debian«
der Parameter »‐‐halt«, läuft die virtuelle
Maschine nicht einfach weiter, sondern
verbleibt nach dem Snapshot in einem
inaktiven Zustand. Fügt der Admin ganz
am Ende noch »‐‐disc‐only« hinzu, friert
Virsh sogar nur den Stand der Festplatten
ein.
Welche Snapshots für die virtuelle Maschine
»debian« vorliegen, verrät dieser
Befehl (Abbildung 4):
virsh ‐c qemu:///system snapshot‐list debian
Den Snapshot namens »snaptest« stellt
das Kommando
virsh ‐c qemu:///system snapshot‐revert U
debian snaptest
wieder her. Analog löscht der folgende
Befehl den Snapshot »snaptest«:
01 virsh ‐c qemu:///system snapshot‐create‐as ‐‐domain debian "snap1" "Ein externer Snapshot" ‐‐diskspec
hda,snapshot=external,file=/var/lib/libvirt/images/aenderungen‐snap1.qcow2 ‐‐memspec file=/var/lib/
libvirt/images/ram‐snap1,snapshot=external
virsh ‐c qemu:///system snapshot‐delete U
debian snaptest
Wie VMM fertigt auch Virsh mit dem
Kommando »snapshot‐create‐as« einen
internen Snapshot an. Alle relevanten
Daten einschließlich des Hauptspeicherinhalts
landen folglich im Festplattenimage
der virtuellen Maschine.
Virsh kann jedoch auch Snapshots in
externen Dateien speichern. Einen solchen
so genannten externen Snapshot
mit dem Namen »snap1« erstellt das
Kommando aus Listing 1. Der Inhalt des
Hauptspeichers landet dabei in der Datei
»ram‐snap1«. Das alte Festplattenimage
friert Virsh zudem ein, alle Änderungen
landen ab sofort in der Datei »aenderungen‐snap1.qcow2«.
Das »hda« hinter
»‐‐diskspec« steht für den Gerätenamen
der Festplatte. Ihn verrät für die virtuelle
Maschine »debian« der Befehl:
virsh ‐c qemu:///system domblklist debian
Er listet zu jedem in der virtuellen Maschine
genutzten Image und Laufwerk
die jeweiligen Gerätenamen auf (siehe
Abbildung 5).
Führungskraft
Virsh kann nicht nur Snapshots, sondern
auch wie VMM den aktuellen Zustand
speichern. Für die laufende virtuelle Maschine
namens »debian« erledigt dies:
virsh ‐c qemu:///system managedsave debian
Über das Kommando
virsh ‐c qemu:///system managedsave‐remove U
debian
darf der Admin den gemerkten Zustand
auch explizit verwerfen – VMM erlaubt
dies nicht.
Wer in der Manpage von Virsh stöbert,
trifft dort neben »mangedsave« auch auf
das Kommando »save«. Es sichert ebenfalls
den RAM-Inhalt der virtuellen Maschine,
im Gegensatz zu »managedsave«
jedoch in einer externen Datei. In folgendem
Beispiel würde sich Virsh den aktuellen
Zustand der virtuellen Maschine
»debian« in der Datei »/var/lib/libvirt/
images/ram‐snap1« merken:
virsh ‐c qemu:///system save debian U
/var/lib/libvirt/images/ram‐snap1

Virt-Manager 01/2014
Sysadmin
Abbildung 4: Hier besitzt die virtuelle Maschine namens »vm1« fünf Snapshots.
Den so gespeicherten Hauptspeicherinhalt
stellt dann das Kommando
virsh ‐c qemu:///system restore U
/var/lib/libvirt/images/ram‐snap1
wieder her. Den Namen der virtuellen
Maschine muss der Admin hier weglassen.
»save« und »restore« scheinen auf
den ersten Blick vorteilhafter als »managedsave«
zu sein. So lassen sich beliebig
viele Sicherungen des Hauptspeicherinhalts
anlegen und dann bei Bedarf eine
von ihnen wiederherstellen. Dummerweise
sichern Virsh beziehungsweise das
im Hintergrund damit beauftragte Libvirt
nicht die Festplatte.
Wer also mit »save« sichert, dann mit
dem System weiterarbeitet und irgendwann
die Sicherung per »restore« wieder
herstellt, sitzt vor einer virtuellen Maschine
mit einem undefinierten Zustand.
Im schlimmsten Fall kommt es zu Datenverlust.
»save« und »restore« eignen
sich daher nur bei Livesystemen oder
ähnlichen Sonderfällen.
Gut dokumentiert und
überfällig
Sämtliche Virsh-Kommandos stellt die
ausführliche Manpage von Virsh vor.
Alle Snapshot-Kommandos sammelt sie
im Abschnitt »Snapshot Commands« [4],
»save«, »restore« und »managedsave« stehen
unter »Domain Commands«.
Die Unterstützung für Snapshots in VMM
war längt überfällig, helfen sie doch in
der Praxis dabei, das System nach einer
(Fehl-)Konfiguration schnell, sicher und
unkompliziert wieder in einen funktionierenden
Zustand zu versetzen.
Bei der Nutzung muss man allerdings
ein paar Einschränkungen im Hinterkopf
behalten. So fertigt VMM ausschließlich
interne Snapshots an, die sich nicht
ohne Weiteres als Systembackups eignen.
VMM schöpft zudem längst nicht
alle Möglichkeiten aus, die das von ihm
gesteuerte Libvirt eigentlich anbietet. Externe
Snapshots etwa beherrscht weiterhin
nur Virsh. Bleibt zu hoffen, dass die
VMM-Entwickler hier mittelfristig nachbessern.
(mfe)
n
Infos
[1] Changes/​Virt Manager Snapshots:
[https:// fedoraproject. org/ w/ index. php?​
title=Changes/ Virt_Manager_Snapshots&​
oldid=355584]
[2] VMM-Git-Repository: [https:// git.​
fedorahosted. org/ git/ virt‐manager. git]
[3] Tim Schürmann, „Herr im Maschinenraum
– virtuelle Maschinen fernsteuern mit
Virsh“: Linux-Magazin 12/​11, S. 40
[http:// www. linux‐magazin. de/ Ausgaben/​
2011/ 12/ Virsh]
[4] Virsh-Manpage:
[http:// manpages. ubuntu. com/ manpages/​
saucy/ en/ man1/ virsh. 1. html]
www.linux-magazin.de
75
Abbildung 5: Das Virsh-Kommando »domblklist« zeigt Blockdevices an. In diesem Beispiel hat die virtuelle
Maschine »vm1« zwei Laufwerke.

Forum
www.linux-magazin.de Recht 01/2014
76
Linkedin greift mit Intro in E-Mails seiner Kunden ein
Aufgehübscht
Das Netzwerk Linkedin hat einen neuen, schicken Dienst für I-OS-Nutzer eingeführt. Intro ist ein E-Mail-Plugin,
das Profil informationen aus Linkedin in E-Mails integriert, die der Nutzer von seinem iPhone aus verschickt.
Stimmt er zu, läuft die Kommunikation künftig und komplett über Linkedin-eigene Server. Sabine Sobola
gänzt dieser um die bei Linkedin vorhandenen
Profildaten des Antwortenden.
Juristisch problematisch
© ra2 Studio, Fotolia.com
Beißenden Spott musste das soziale
Netzwerk Linkedin 2012 über sich ergehen
lassen, als es einem Hacker gelang,
aus dem Netzwerk 6,5 Millionen Passwörter
zu stehlen. Weil derlei mehrfach
geschah, sprachen böse Zungen schon
vom „wöchentlichen Linkedin Password
Reminder“. Die Sicherheit der Linkedin-
Server genießt nicht den besten Ruf.
Introducing Intro
Als sich der Dienst Ende Oktober 2013
zudem einen neuen Dienst für I-OS-Nutzer
leistete, brandete erneut Kritik auf.
Das neue Produkt trägt die Bezeichnung
Intro, es ergänzt und erweitert ein- und
ausgehende Mails um gefällige Formatierungen
und Inhalte. Beim Eingang einer
Mail zeigt es etwa das Profil eines
Linked in-Mitglieds an, inklusive dessen
Foto und beim Dienst gespeicherter, aber
in der ursprünglichen Mail nicht enthaltener
Informationen (Abbildung 1).
Fast unmittelbar nach seinem Erscheinen
wurde in deutsch- und englischsprachigen
Foren Kritik laut. Um die Profildaten
der Nutzer einblenden zu können, lenkt
Intro nämlich alle verschickten E-Mails
auf den Linkedin-Server um. Dieser analysiert
eingehende Mails und ergänzt
sie um die passenden, bei Linkedin hinterlegten
Daten. Erst dann wird die so
veränderte E-Mail zum Empfänger weitergeleitet.
Linkedin installiert dazu, immerhin nicht
ohne Zustimmung des Anwenders, ein
neues Profil auf dem iPhone, das ein
neues E-Mail-Konto hinzufügt. Die App
schlägt vor, dass jeder, der nicht jede Mail
zweimal bekommen will, seinen alten
E-Mail-Account nach der Installation von
Intro deaktivieren soll.
Danach leitet das Smartphone alle IMAP-
Anfragen nach eingehenden E-Mails über
seinen Proxy, der sie wiederum an den
eigentlichen IMAP-Server weiterleitet.
Auch die Antwort des IMAP-Servers er-
Das erste, sehr offensichtliche Problem
in diesem Zusammenhang betrifft die
Sicherheit: Auf Inhalte von unverschlüsselten
E-Mails haben unberechtigte Dritte
leicht Zugriff. Geheimhaltungsbedürftige
E-Mails ungesichert zu versenden birgt ja
generell rechtliche Probleme, vor allem
aus Sicht des Datenschutzes. Bei Intro
geht es darüber hinaus aber auch um
dieselben rechtlichen Probleme wie beim
Cloud Computing.
Einen wichtigen Punkt hat der Anbieter
immerhin richtig gemacht: Er holt sich
die Zustimmung zu dieser Umleitung der
Mail per Opt-In von den Nutzern ein.
Wer Intro installiert, wird aufgefordert,
die geänderten Datenschutzregeln etwa
im Pledge of Privacy zu akzeptieren. Der
Dialog informiert den Kunden auch explizit
über die Umleitung auf die Mailserver
von Linked in, eigentlich vorbildlich.
Setzt ein Mitarbeiter, der Mitglied bei
Linked in ist, das E-Mail-Plugin bei einem
iPhone ein, das auf Unternehmensdaten
zugreift, dann könnte das Unternehmen
mit Problemen konfrontiert werden. Zuerst
wäre es der Schutz personenbezogener
Daten – und auch hier gelten die
selben Bestimmungen wie beim Cloud
Computing (Abbildung 2).
Wenn da von rechtlichen Problemen die
Rede ist, müssen die Beteiligten immer
zuallererst klarstellen, ob es sich um Private
oder um Public Clouds handelt. Nur
im zweiten Fall werden die zurzeit so heftig
diskutierten datenschutzrechtlichen
Probleme tatsächlich relevant, da sich
die Unternehmen bei privaten Wolken

eliebig gut abschotten können, genauso
wie das bislang in klassischen Rechenzentren
der Fall war. Notwendig ist hier
lediglich ein gutes und funktionierendes
IT-Security-Management, es ändert sich
also nicht viel.
SaaS, IaaS, PaaS
Anders im zweiten Fall: Bei Public-Cloud-
Anbietern wie Amazon, Apple, Facebook,
Google, IBM oder eben auch Linkedin
gibt es drei Ebenen des Cloud Computing,
die zu betrachten sind: Zum einen die
Nutzung von Softwareleistungen, beispielsweise
Softwareapplikationen übers
Internet (Software as a Service, SaaS),
das Bereitstellen von Plattformen im Internet
(Plattform as a Service, PaaS), sowie
das Bereitstellen von Rechnerleistungen
und Speicherplatz (Infrastructure as
a Service, IaaS).
Speziell mittlere und große Unternehmen
setzen gerne SaaS ein, um dynamisch auf
durch von Kunden erzeugte Spitzenlasten
reagieren zu können, die Stichworte lauten
Skalierbarkeit (Out- und Upscaling)
und Flexibilität.
Auch die Angebote kostenloser E-Mail-
Provider verstehen Juristen als Public
Cloud. Im Fall von Linkedin handelt es
sich schlicht um einen Weiterleitungsdienst,
der eben E-Mails mit Daten aus
den Linkedin-Profilen anreichert. Ein
grundsätzliches datenschutzrechtliches
Problem birgt die Tatsache, dass es sich
bei solchen SaaS-Anwendungen dann
immer um Auftragsdatenverarbeitungen
nach § 11 BDSG handelt, sobald personenbezogene
Daten in der Cloud zur Weiterverarbeitung
landen.
Eine Auftragsdatenverarbeitung im Sinne
des BDSG liegt nämlich vor, wenn eine
andere Stelle mit der Erhebung, Verarbeitung
oder Nutzung von personenbezogenen
Daten beauftragt wird. Demnach
gelten die Regelungen des § 11 Abs. 1
BDSG für jedes Unternehmen, das personenbezogene
Daten auf Cloudanbieter
überträgt – explizit auch dann, wenn
Dienstleister nur E-Mails mit Inhalten
anreichern, sogar wenn dies im Rahmen
technischer Wartungsarbeiten erfolgt
(zum Beispiel bei der Spamabwehr).
Auftraggeber verantwortlich
Kernaussage des § 11 BDSG ist: Der Auftraggeber,
also das Unternehmen, das
die Daten vom Kunden zur Speicherung,
Änderung oder Zurverfügungstellung bestimmter
Dienste in die Cloud gibt, bleibt
für das Einhalten der Datenschutzbestimmungen
verantwortlich, wozu auch das
Sicherstellen der Vertraulichkeit und der
Integrität der Daten gehört.
Ob das Einhalten der Vorgaben des § 11
BDSG überhaupt noch möglich ist, wenn
ein Unternehmen
weltweit verfügbare
Rechnerkapazitäten
nutzt oder
auch Software-Anwendungen
wie das automatisierte Anreichern
von E-Mails mit Profildaten, ist
fraglich – aus rechtlicher Sicht ist diese
Frage derzeit sicher zu verneinen. Der
Versuch scheitert spätestens an der vorausgesetzten
Überprüfbarkeit. So genannte
Audits beim Cloudanbieter müssten
jederzeit möglich sein und die Einhaltung
der Bestimmungen nachweisbar
gewährleisten.
Schlimmer noch: Der Auftraggeber dürfte
in aller Regel in dem Moment, in dem
er die personenbezogenen Daten in die
Cloud gibt, nicht mehr Herr seiner Daten
sein, was aber der § 11 BDSG verlangt.
Ein Unternehmen, das Mitarbeiter hat,
die geschäftliche Mails über Intro laufen
lassen, begeht folglich einen Verstoß
gegen den § 11 und riskiert, sollte eine
Datenschutz-Aufsichtsbehörde davon
Kenntnis erlangen, sogar Bußgelder bis
zu 300 000 Euro.
Noch mehr Probleme
Damit nicht genug: Neben den personenbezogenen
Daten gibt es zudem gesetzliche
und vertragliche Vorgaben, die ein
Unternehmen zum Schutz seines Knowhows
und zur Geheimhaltung unternehmenskritischer
Informationen zwingen.
Wer zum Schutz solcher Daten verpflichtet
ist, etwa der IT-Leiter, der IT-Sicherheitsbeauftragte,
der Datenschutzbeauftragte
oder generell Personen mit Verantwortung
für Inhalte oder die technische
Infrastruktur in Unternehmen, definiert
sich in einer Art Garantenstellung als für
den Schutz der Daten zuständig. E
Recht 01/2014
Forum
www.linux-magazin.de
77
© blog.linkedin.com
© Sergey Nivens, 123RF.com
Abbildung 1: In seinem Blog berichtete Linkedins Intro-Chef Rahul Vohra am 23.
Oktober über die Features des neuen App-Produkts „Intro“. Bereits drei Tage
später musste Linkedin an gleicher Stelle beschwichtigend eingreifen.
Abbildung 2: Bei Linkedin Intro gelten die gleichen Bestimmungen wie beim
Cloud Computing, denn der Dienst gilt ebenfalls als externe Datenverarbeitung.
Da greift § 11 BDSG, doch dessen Einhaltung kann der Admin nicht garantieren.

Forum
www.linux-magazin.de Recht 01/2014
78
Bei einem Missbrauch oder
Abhandenkommen der Daten
durch unbefugte Dritte, kann
der in einem Unternehmen
Verantwortliche durch sein
Unterlassen für die unerlaubte
Handlung mitverantwortlich
gemacht werden. Das Unternehmen
selbst haftet gegenüber
Dritten in solchen Fällen
nach den allgemeinen zivilrechtlichen
Regeln.
Das erklärt am besten ein konkretes
Beispiel: Der IT-Dienstleister
A hat einen Kunden,
der in der Versicherungsbranche
arbeitet. Unternehmen A
verwaltet die IT-Infrastruktur
für das Versicherungsunternehmen
und steht mit der IT-
Abteilung und der Geschäftsleitung in
E-Mail-Kontakt. Ein Mitarbeiter bei A hat
einen Account bei Linkedin und arbeitet
mit einem iPhone, er ist möglicherweise
auch mit Mitarbeitern des Versicherungsunternehmens
vernetzt. Deren Mailverkehr
würde bei einer Installation von
Intro über die Mailserver von Linked in
umgeleitet werden.
Fahrlässigkeit zweifellos
Erleidet Linkedin einen Datenverlust oder
wird der Anbieter wie so oft in der Vergangenheit
zum Opfer eines Angriffs und
entsteht dadurch Schaden – und sei es
auch „nur“ ein Imageschaden –, dann
müsste A dafür gegenüber dem Kunden
haften. Die dafür im Weiteren notwendigen
Voraussetzungen, nämlich das Vorliegen
eines fahrlässigen Verhaltens und
einer Kausalität zwischen diesem Verhalten
und dem eingetretenen Schaden,
dürfte im Fall der App auf jeden Fall zu
bejahen sein (Abbildung 3).
Inhaltlich sind hier zum Beispiel Verletzungen
des Urheberrechts denkbar, weil
urheberrechtlich geschützte Inhalte abgefangen
und unberechtigt genutzt werden.
In vertragsrechtlicher Hinsicht könnten
Inhalte von Vereinbarungen ausgespäht
und missbraucht werden.
Sogar strafrechtlich käme eine Haftung
einzelner Personen in Betracht, wenn sie
als Garant für die Sicherheit von Inhalten
verantwortlich sind und dann in einer
Form des Unterlassens (Unterlassen
© alphaspirit, 123RF.com
Abbildung 3: Fahrlässig grundlegende Sicherheitsvorgaben missachtet – auf
diesen Vorwurf kann sich einstellen, wer Intro mit sensiblen Mails nutzt.
von Sicherheitsmaßnahmen) geheimhaltungsbedürftige
Daten Dritten zur Verfügung
gestellt haben.
Privat und geschäftlich?
Der private Nutzer, der seine Daten durch
die Installation von Intro über den Proxyserver
von Linkedin schickt, könnte insofern
Probleme bekommen, als mit seinen
Daten Missbrauch betrieben werden
könnte. Er muss sich im Klaren darüber
sein, dass das Netzwerk künftig seinen
gesamten Mailverkehr mitlesen, auswerten
und bearbeiten kann. Linked in
erklärt zwar, dass E-Mails nach dem
Versand sofort vom Linkedin-Server gelöscht
werden, kontrollieren lässt sich
diese Aussage aber nicht.
Sollte der Nutzer zudem sein iPhone auch
für geschäftliche Zwecke nutzen, muss er
in jedem Fall vorab mit der IT-Abteilung
seines Arbeitgebers klären, ob sie einer
Nutzung von Intro zustimmen kann. Einem
Arbeitnehmer sollte klar sein, dass
er bei Nutzung von Intro den gesamten
Mailverkehr über ein amerikanisches
Unternehmen laufen lässt. Hier gibt es
keinen Schutz der Daten außer dem Safe-
Harbour-Abkommen, das derzeit heftig
wegen seiner Schwächen kritisiert und
grundsätzlich infrage gestellt wird.
Es ist davon auszugehen, dass kein verantwortungsbewusster
IT-Verantwortlicher
eines Unternehmens einer Installation
von Intro bei einem iPhone, über
das geschäftliche Informationen laufen,
zustimmen kann. Das gilt
erst recht, weil sensible, unternehmenskritische
oder
personenbezogene Daten in
der Public Cloud nichts zu
suchen haben. Liegen Daten
dieser Kategorien vor, scheint
eine Installation von Intro
auch rechtlich nicht zu verantworten.
Fazit: Nur privat!
Übrig bleibt damit für den
Dienst nur der rein private E-
Mail-Verkehr. Aber auch hier
sollte sich jeder darüber im
Klaren sein, dass, wie immer
bei Informationen, die über
amerikanische soziale Netzwerke
laufen, rechtlich nicht gesichert
ist, was mit den Inhalten der Mails wirklich
passiert. Linkedin sichert hier zwar
einen vertraulichen Umgang mit den Daten
zu. Allerdings ist dieser Anspruch in
der Praxis nicht durchsetzbar – also nicht
einklagbar.
Theoretisch wäre es zwar möglich,
Linked in in Deutschland wegen eines
Verstoßes gegen die Datenschutzrechte
zu verklagen. Spätestens die Vollstreckung
des Anspruchs in den USA scheitert
aber. Jeder Anspruch, der nicht einklagbar
oder nicht vollstreckbar ist, bietet
keinen Schutz. Und die schockierende
(Un)Sicherheit der Linkedin-Server stand
ja schon mehrfach im peinlichen Fokus
der Öffentlichkeit. (mfe)
n
Infos
[1] Linkedin Intro: [http:// blog. linkedin. com/​
2013/ 10/ 23/ announcing‐linkedin‐intro/]
[2] BDSG: [http:// www. gesetze‐im‐internet.​
de/ bdsg_1990/]
Die Autorin
Sabine Sobola ist Partnerin
der Regensburger Anwaltskanzlei
Paluka Sobola und
Partner und betreut dort
die Bereiche IT- und Internetrecht,
das Vertragsrecht und den gewerblichen
Rechtsschutz. Neben ihren Lehraufträgen
für IT-Recht an verschiedenen Hochschulen leitet
sie eine Vielzahl von Workshops zum Thema
Recht im Internet.

Forum
www.linux-magazin.de Bücher 01/2014
80
Ein Band über performante Webanwendungen sowie Koflers Handbuch
Tux liest
Performanceprobleme bei einer Webanwendung können sich an vielen Stellen verstecken. Ein Buch aus dem
Dpunkt-Verlag klopft sie alle gründlich ab und schlägt Lösungen vor. Daneben ist Michael Koflers dickes Linux-
Handbuch erstmals bei Galileo Computing erschienen. Mathias Huber
Ist eine Website langsam, meckern die
Benutzer und potenzielle Kunden ziehen
weiter. Abhilfe möchte das Buch „Performante
Webanwendungen“ von Daniel
Kuhn und Michael Raith schaffen.
Gezielt optimieren
Der Band wendet sich an Webentwickler
und Sysadmins und nimmt sie mit
auf eine Tour durch alle relevanten Anwendungsschichten
und Subsysteme.
Statt einfach eine SSD in den Server zu
stecken, forschen die Autoren zunächst
nach, wo es klemmt.
Schon diese Diagnose zeigt, dass Kuhn
und Raith vom Fach sind. Nach grundlegenden
Überlegungen zu den Messgrößen
für Webserver, Datenbank und Cache
stellen sie Open-Source-Tools wie Apachebench,
Jmeter und Tsung vor. Auch
Monitoring-Tools wie Collectd, Cacti,
Munin und das proprietäre New Relic dienen
ihnen zur Analyse. Der Server-seitige
Anwendungscode muss sich Prüfungen
durch Profiler wie Xdebug unterziehen,
die Darstellung im Browser untersuchen
Firebug und Selenium.
Auf das Ermitteln der Engstellen folgt
das Ausbessern. Das Datenmodell lässt
sich möglicherweise optimieren, genauso
die Datenbankabfragen, vielleicht mittels
Stored Procedures. Daneben behandelt
Info
D. Kuhn, M. Raith:
Performante Webanwendungen
Dpunkt, 2013
320 Seiten
37 Euro (E-Book 30 Euro)
ISBN 978-3-86490-008-2
das Buch Skalierung, Partitionierung und
Sharding von Datenbanken und zeigt sich
mit Mongo DB up to date.
Der nächste Abschnitt nimmt das Thema
Caching gründlich durch, von Bytecode-
Caches für Ruby und PHP, über Memcached
und reverse Proxyserver bis zu
den unterschiedlichen Cache-Arten in
modernen Webbrowsern.
Auch beim Ausliefern der Daten gibt
es Optimierungspotenzial: Die Anzahl
der einzelnen HTTP-Anfragen lässt sich
durch Zusammenfassen von HTML, CSS
und Javascript verringern, Webserver
können komprimieren und Daten lassen
sich auf Subdomains verteilen. Zudem
gibt es die Möglichkeit, ein Content Delivery
Network einzusetzen oder alternative
Protokolle wie Websockets oder
Googles SPDY zu verwenden. An den
letzten beiden Beispielen zeigt sich, wie
aktuell dieses Buch ist.
Auf rund 300 Seiten arbeiten die Autoren
ein großes Feld ab. Stellenweise mag der
Tiefgang fehlen, doch der Leser erhält
Fingerzeige, wo er sich näher informieren
kann. Selten dürfte ein einzelnes
Buch derart großes Potenzial besitzen,
dem Unternehmen Kosten zu sparen und
seine Kunden glücklicher zu machen.
Galileo-Kofler
Schon seit 1996 gibt es das Linux-Handbuch
des Österreichers Michael Kofler.
Der dicke Band wird unter Linuxern
kurz und liebevoll „Der Kofler“ genannt.
Im Jahr 2013 hat allerdings sein Verlag
Addison-Wesley die deutschsprachigen
Computerbücher eingestellt. Kofler
schreibt jetzt bei Galileo Computing, wo
sein Linux-Buch nun erstmals erschienen
ist. Blickt man ins Inhaltsverzeichnis, so
sieht der erste Galileo-Kofler der vorhergegangenen
Auflage sehr ähnlich. Die
Installationsanleitungen sind sinnvollerweise
nach vorne gerückt, dazugekommen
ist Ubuntu Server. In der Abteilung
Desktopumgebungen ist Ubuntus Unity
ein berechtigter Neuzugang, im Netzwerk-Kapitel
IPv6.
Mit 60 Seiten zum Raspberry Pi entspricht
die neue Ausgabe zudem der Begeisterung
der Linux-Community für den preiswerten
Minicomputer. Kofler behandelt das
Modell B, erklärt die Unterschiede zum
Desktop-PC und führt den Leser durch
die Raspian-Installation. Kurz zeigt der
Autor den Einsatz als Mediacenter mit
XBMC und legt mit einer LED-Steuerung
die Grundlagen für weitere Hardware-
Basteleien.
Daneben bleiben die vielen bewährten
Kapitel auf den über 1400 Seiten. Der
Kofler bleibt sich auch im Hause Galileo
treu. Es gibt kaum ein anderes Buch,
das gleichermaßen bei der ersten Linux-
Installation neben Windows hilft, in die
Bedienung von Vim und Emacs einführt,
die Konfiguration von NFS und Samba
erklärt und auch noch beschreibt, wie der
Firefox-Nutzer das lästige US-Papierformat
Letter beim Drucken loswird. Dürfte
man einem Linux-Einsteiger nur ein einziges
Buch in die Hand drücken, sollte es
der Kofler sein.
n
Info
Michael Kofler:
Linux: Das umfassende
Handbuch
Galileo Computing, 2013
1440 Seiten
50 Euro (Online-Ausgabe
45 Euro)
ISBN 978-3-8362-2591-5

Forum
www.linux-magazin.de Leserbriefe 01/2014
82
Auf den Punkt gebracht
Leserbriefe
Haben Sie Anregungen, Statements oder Kommentare? Dann schreiben Sie an [redaktion@linux-­magazin.­de].
Die Redaktion behält es sich vor, die Zuschriften und Leserbriefe zu kürzen. Sie veröffentlicht alle Beiträge mit
Namen, sofern der Autor nicht ausdrücklich Anonymität wünscht.
Perl-Frameworks
11/​13, S. 21: Zwei Punkte zur „Reifeprüfung
fürs Web“: Zum einen wirken
die vorgestellten Lösungen in Relation
zur simplen Aufgabe fast schon overengineered.
Ein komplettes CMS mit Datenbankanbindung
und Cronjob zum Befüllen
derselben, das ist schon mit großen
Kanonen geschossen.
Zum anderen fehlt mir leider Perl in
der Reihe der Programmiersprachen.
Im Perl-Umfeld gibt es Frameworks wie
Catalyst und Dancer, die es mit Rails
aufnehmen können. Allerdings gibt es
mit Mojolicious und dem kleinen Bruder
Mojolicious::Lite auch ein Framework,
das die Programmieraufgabe mit erheblich
weniger Aufwand lösen kann. Unter
[https://​­github.​­com/​­augsburgpm/​
­strassenfeste] finden Sie ein Skript, das
die gestellte Aufgabe in knapp 180 Zeilen
inklusive Templates bewältigt.
Ulrich Reining, per Linux-Magazin Online
Memory Management
09/​13, S. 30: Die Artikelserie zu C++11
ist einer der Hauptgründe, warum ich das
Linux-Magazin wieder abonniert habe.
Planen Sie, auch einen Einblick in das
neue Memory Management Model von
C++11 zu geben?
Jörg Böhme, per Mail
Auch wenn das C++11-Memory-Modell ein
relativ fortgeschrittenes Konzept darstellt,
will ich gerne einen einfachen Einblick
geben. Ich denke, jeder C++-Programmierer
sollte zumindestens davon gehört
haben, um die Herausforderungen von
Multithreading-Programmierung besser
zu verstehen. Für Java-Programmierer
ist es natürlich auch interessant, da es
auf den Erfahrungen des Java-Memory-
Modells basiert. (Rainer Grimm) n
Errata
12/​13, S. 30: Zum Beitrag „Neue Rolle“:
Rudolph Bott von Sipgate weist darauf hin,
dass der „Admin of the Week“ explizit von
Kanban und Story-Arbeit ausgenommen ist.
Nur so kann er spontan auf alle Anfragen
reagieren und dafür sorgen, dass der Rest
des Teams nicht im Kanban-Workflow unterbrochen
wird.
12/​13, S. 34: Im Artikel „Handgemachte IT“
haben sich zwei Fehler eingeschlichen: Daniel
Schauenberg ist nicht Admin, sondern
Software Engineer beim Unternehmen Etsy.
Administratoren dort nehmen an drei bis fünf
Meetings in der Woche teil, nicht am Tag.

Know-how
www.linux-magazin.de NFtables 01/2014
84
Packet Filtering mit NFtables
Neue Türpolitik
Seit knapp 13 Jahren macht IPtables den Türsteher für Linux und kontrolliert den Fluss der ein- und ausgehenden
Netzwerkpakete mit Hilfe der Netfilter-Module. Mit dem anvisierten Einzug von NFtables in den Kernel
bahnt sich jedoch eine Wachablösung an, die IPtables womöglich den Job kostet. Martin Loschwitz
NFtables gehört haben. Dieser Artikel
fragt darum, was die Software ausmacht
und wieso sie besser als IPtables ist.
Revolution auf Raten
© Wattana Tasanart, 123RF.com
Firewalls sind keine Software, sondern
ein umfassendes Konzept – das beteuern
jedenfalls die Konstrukteure von Sicherheitslösungen
immer wieder. Und ein
gewichtiger Bestandteil dieses Konzepts
sind die Paketfilter (Packet Filter): Das
sind Werkzeuge, die es Administratoren
ermöglichen, auf Kernelebene bestimmten
Netzwerkpaketen den Zutritt zum
System zu erlauben oder zu verbieten,
was sie gewissermaßen zu Türstehern
von Linux macht.
Startschuss: Kernel 3.13
Jene Tools haben eine wechselhafte
Geschichte hinter sich – zwischen den
Linux-Versionen 2.0 und 2.4 wechselte
der Kernel gleich zweimal das Standardwerkzeug
zum Filtern von Paketen: Kam
in Linux 2.0 noch IPfwadm zum Einsatz,
setzte Version 2.2 lieber auf IPchains. In
Linux 2.4 hielt dann schließlich IPtables
(Abbildungen 1 und 2) Einzug in den
Kernel, das die Entwickler seither kontinuierlich
verbessert und funktional ausgebaut
haben. Bis heute bewährt sich
IPtables als alleiniger Standardfilter für
Pakete unter Linux.
Mit der Linux-Version 3.13 könnte sich
jedoch eine Wachablösung anbahnen:
Die Maintainer des Paketfilters NFtables
[1] haben offiziell beantragt [2], ihre Lösung
in den Mainline-Kernel aufzunehmen.
Zwar steht der Erfolg dieser Bestrebung
bei Redaktionsschluss noch nicht
fest, weil der Release-Zyklus für Linux
3.13 noch nicht begonnen hat. Doch dass
Linux-Chef Torvalds dem Ansinnen Folge
leisten könnte, gilt als ziemlich wahrscheinlich.
Sollte NFtables den Einzug
in den Kernel schaffen, dürfte IPtables
keine glorreiche Zukunft mehr haben:
Nicht nur kann NFtables die bisherige
Lösung vollständig ersetzen, es hat sogar
deutlich mehr drauf.
Frappierend ist, dass selbst viele eingefleischte
Admins noch nichts von
Ein Rückblick auf den Werdegang der
diversen Paketfilter unter Linux führt
schnell vor Augen, dass jeder neu eingeführte
Filter stets das direkte Resultat einer
Unzufriedenheit mit der bestehenden
Lösung war. Der Paketfilter IPchains bietet
sich dafür wunderbar als Beispiel an.
Sein Vorgänger IPfwadm war im Grunde
eine Portierung des IPfw-Werkzeugs aus
dem BSD-Universum und verfügte nicht
über besonders ausgefeilte Fähigkeiten.
Welche Netzwerkpakete rein und wieder
raus durften, ließ sich noch einstellen,
aber nach diversen fortgeschrittenen Features
suchten Administratoren damals
vergeblich.
Der Einsatz von Konditionen blieb in
der Ägide von IPfwadm beispielsweise
Wunschdenken – Konstrukte wie „Falls
ein Paket von der IP 192.168.0.1 kommt,
springe zur Kette XYZ“ waren daher nicht
umsetzbar. Auch Quality of Service, also
eine eingebaute Kontrolle der Bandbreite,
hatte IPfwadm schlicht nicht implementiert.
Und wer etwas anderes als TCP,
UDP oder ICMP filtern wollte, der stand
auf verlorenem Posten.
Der Nachfolger IPchains räumte mit diesen
Schwierigkeiten auf, doch waren die
Entwickler und Admins auch mit diesem
Produkt nicht wirklich zufrieden. Wie
IPfwadm beherrschte auch IPchains diverse
Funktionen nicht, die einen ordentlichen
Packet Filter ausmachen: So arbeitete
die Lösung durchgehend stateless
(Details im Kasten „Stateful und stateless“),
beherrschte nur eingeschränktes

D-NAT (das so genannte Masquerading)
und kämpfte mit einer ganzen Reihe weiterer
Unzulänglichkeiten.
Defizite von IPtables
NFtables 01/2014
Know-how
Auch die aktuelle Filter-Implementierung
hat Nachteile. Aus den Diskussionen der
Entwickler in den letzten Jahren kristallisierten
sich gleich mehrere Probleme
heraus. Derzeit besteht der auf IPtables
aufbauende Stack aus vier Teilen:
n IPtables selbst fungiert als Stateful-
Filter für Verbindungen nach dem
IPv4-Standard.
n IP6tables tut das Gleiche wie IPtables,
allerdings für IPv6-Verbindungen.
n ARPtables setzt im Stack weiter unten
an und filtert bereits auf ARP-Ebene
unerwünschte Pakete.
n EBtables kümmert sich als Sonderfall
um Pakete, die Linux über Netzwerkbrücken
(Bridges) empfängt und die
so dem normalen IPtables entgehen.
Der Haken an der Sache: Es gibt kaum
IPtables-Bestandteile, die sich von den
vier Abteilungen gemeinsam nutzen lassen.
Vielmehr existieren jeweils eigene
Unterbereiche im Code, die weitgehend
Duplikate sind. Einige Admins werfen
IPtables zudem eine miserable Usability
und ein mangelhaftes Error Reporting
vor. Da es aber der Standard im Kernel
ist, haben sich die meisten mit der Situation
arrangiert.
Scheintot
Abbildung 1: IPtables heißt schon seit Jahren der Standardpaketfilter von Linux. Aus einer tabellarischen
Anordnung wie dieser generiert IPtables …
Abbildung 2: … im Stile eines Stateful-Filters Regeln, aufgrund derer er dann Netzwerkpaketen eine Aufenthaltsgenehmigung
erteilt oder eben nicht.
Genau hier bringt sich NFtables ins Spiel:
Die Lösung möchte die erwähnten Nachteile
beseitigen und den Linux-Kernel mit
einem Framework zum Filtern von Paketen
ausstatten, das den Anforderungen
der Zeit besser gewachsen ist als IPtables
(siehe Kasten „Unter der Haube“).
Ins Leben gerufen hat das NFtables-
Projekt ursprünglich Patrick McHardy:
Bereits im September 2008 stellte er es
auf dem Netfilter-Workshop in Paris der
Öffentlichkeit vor (Abbildung 3). Zwischenzeitlich
gesellte sich zum Entwicklerteam
auch Pablo Neira Ayuso, doch
dann tat sich ein paar Jahre lang gar
nichts: 2009 verschwand die Projektwebseite
und die meisten Interessenten hielten
die Lösung bereits für tot.
Zu Unrecht wie sich herausstellte, denn
im Oktober 2012 zeigte sich, dass mit
NFtables noch zu rechnen war. Der
zweite Core-Entwickler Ayuso stellte auf
der Netfilter-Mailingliste [3] einen Entwurf
für einen NFtables-Layer vor, der
www.linux-magazin.de
85
Stateful und stateless
Im Bereich der Paketfilter unterscheidet man
üblicherweise die Stateful- von den Stateless-
Filtern. Beide Systeme haben ihre spezifischen
Vor- und Nachteile. Eine Stateless-Firewall
zeichnet sich dadurch aus, dass sie eingehende
Netzwerkpakete einzeln analysiert und für jedes
Paket auf der Grundlage der festgelegten
Regeln eine Entscheidung trifft – aber ohne
den Zusammenhang zwischen den einzelnen
Paketen zu beachten. Bei einer Stateless-
Firewall merkt die Firewall sich also nicht, ob
eingehende Pakete möglicherweise zu einer
bereits aufgebauten und legitimen Verbindung
gehören.
Der Vorteil einer solchen Lösung ist der sehr
geringe Ressourcenbedarf: Weil für jedes einzelne
Paket im Grunde nur eine Hopp-oder-
Top-Entscheidung nötig ist, arbeiten Stateless-
Firewalls sehr genügsam. Der Nachteil liegt
darin, dass solche Lösungen keine Einzelverbindungen
verfolgen können und daher nicht
wissen, welche Pakete zu einer aktiven Verbindung
gehören.
Zustandsvolle Feuerwände
Stateful-Firewalls kennen hingegen den Zusammenhang
zwischen einzelnen Paketen
und ordnen die eingehenden Pakete den vom
System bereits aufgebauten Verbindungen zu.
Das geschieht mittels diverser Memory-Mechanismen
innerhalb des Paketfilters selbst, der
einen Überblick aller Systemverbindungen hat.
Einerseits ist das vorteilhaft, weil der Paketfilter
so viel flexibler funktioniert, andererseits
birgt eine solche Lösung auch einen unschönen
Nachteil: Stateful-Filter sind in aller Regel sehr
viel anspruchsvoller bei den Systemressourcen
als die Stateless-Systeme.
Trotzdem haben sich in den vergangenen Jahren
die Stateful-Tools in der IT weitgehend
durchgesetzt. Angesichts der immer größer
werdenden Hardwarekapazitäten und der immer
sparsamer arbeitenden Programme scheint
es keinen Grund zu geben, die Ressourcen des
Paketfilters zu beschneiden. Die Vorteile eines
gezielten Filterns nach Verbindungen überwiegen
für die meisten Admins offenbar den produzierten
Overhead.

Know-how
www.linux-magazin.de NFtables 01/2014
86
Userspace
Kernelspace
NFtables-
Tool »nftables«
NF-Lib
NFtables-
Core
Netfilter-
API
Network-
Stack
Rule-
Sets
Parser
Filter-
Engine
vollständige Kompatibilität zu IPtables
herstellt und dieses damit faktisch überflüssig
macht. Nach dem üblichen Hickhack
um eine Mainline-Integration ersuchten
die Entwickler Linus Torvalds
um die Aufnahme in den Kernel 3.13
– nun wird es also langsam ernst für den
Nachfolger von IPtables.
Einheitliche Architektur
Compiler
Kernel-
Kommunikation
Netlink-
Interface
»INPUT« ... »OUTPUT«
»FORWARD«
Systemcalls
Interfaces
NFtables unterscheidet sich in vielerlei
Hinsicht von seinem Vorgänger. Die
wichtigste Differenz besteht zweifellos
in der Architektur, die beiden Lösungen
zugrunde liegt: Wirkt IPtables mittlerweile
wie ein großes Flickwerk, greifen
bei NFtables alle Komponenten ineinander:
IPv4, IPv6, ARP und Bridging greifen
im Kernel auf die gleichen, abstrahierten
Features zurück, die ihrerseits die eigent-
Programme
Abbildung 3: Im Jahre 2009 stellte Patrick McHardy erstmals seine Ideen für
NFtables vor, eine neue Art von Paketfilter.
lichen Funktionen
anbieten.
Das ist gut, weil
NFtables auf diese
Netz
Weise jede Menge
duplizierten Code
vermeidet und die
Pflege des ganzen
Projekts deutlich
erleichtert. Zugleich macht sich die Verzahnung
mit dem Netzwerkstack des Linux-Kernels
auch in Sachen Performance
bemerkbar.
Während IPtables stets auf dem Netzwerkstack
aufbaut und sich aus diesem
zum Filtern von Paketen erst die notwendigen
Informationen besorgen muss,
steckt NFtables direkt im Netzwerkstack.
Es ist damit deutlich näher am Geschehen
und kann sich direkt mit den Paketen beschäftigen,
die durch den Stack wandern,
statt sie erst separat anzufordern.
Auch sonst geht NFtables durchaus clever
zu Werke und orientiert sich an den
Berkeley Packet Filters (BPF). Wichtiges
Herzstück der gesamten Lösung ist eine
virtuelle Maschine innerhalb des Kernels,
die das eigentliche Packet Filtering übernimmt.
Das ist genau der Teil, der im
Netzwerkstack eingebettet ist.
Abbildung 4: Hilfswerkzeuge wie Firehol sorgen dafür, dass Benutzer die komplizierte
Syntax von IPtables etwas einfacher nutzen können.
Freilich ist NFtables kein Quasi-Nachbau
von KVM & Co., der neue Paketfilter benötigt
deren Funktionen größtenteils gar
nicht. Aber das Grundprinzip ist dem der
gängigen Virtualisierer sehr ähnlich: Ein
Paket landet im Netzwerkstack, wo es
der Bytecode-Interpreter analysiert, um
dann zu entscheiden, was mit dem Paket
passieren soll.
Letztlich versprechen sich die Entwickler
von NFtables dank der beschriebenen
Architektur massive Performancegewinne,
eine deutlich höhere Flexibilität
des Codes und eine bessere Wartbarkeit
im Kernel. Die größte Herausforderung
besteht aber weniger in der Technik, sondern
eher darin, den Anwendern einen
fließenden Übergang von IPtables hin zu
NFtables zu ermöglichen.
Mühsame Migration
Denn genau dort liegt eigentlich der Hase
im Pfeffer. Nach den Wirren um den
Paketfilter in früheren Linux-Versionen
haben sich die meisten Anwender und
Distributoren mittlerweile mit IPtables
arrangiert. Praktisch alle Firewall-Werkzeuge,
die den gängigen Systemen beiliegen,
sind tief in IPtables verwurzelt
Unter der Haube
Zwar wird NFtables mit einer eingebauten Kompatibilitätsschicht
für IPtables ausgestattet
sein, doch langfristig lautet der Plan eher, die
jetzigen IPtables-Programme auf NFtables umzustellen.
Die Lösung ist ein eigenes Userland-
Werkzeug namens Nft.
Zwei Abhängigkeiten bringt Nft dabei mit:
Abgesehen vom Kernel mit NFtables-Support
benötigt es die Bibliothek Libmnl (Minimalistic
Netlink Library, [4]). Sie exponiert alle im
Netlink-Teil des Kernels vorhandenen Funktionen
ins Userland, wodurch Programme auf
sie zugreifen können. Ihr zur Seite steht die
Bibliothek LibNFtables für NFtables selbst. Sie
wiederum stellt die notwendigen Funktionen
bereit, um Regeln für NFtables in den Kernel zu
integrieren. Im Grunde könnte jede Applikation
unter Einsatz dieser beiden Bibliotheken selbst
NFtables-Regeln erstellen, Nft ist im Normalfall
nur noch ein Frontend von vielen. Diese Art des
Umgangs mit Kernelfunktionen entspricht dem
akzeptierten Standard und ist in vielen anderen
Teilen des Kernels ebenfalls präsent.
Das Nft-Programm
Zumindest anfangs werden Admins wohl auf
Nft setzen, wenn sie Filterregeln im Kernel aktivieren
möchten. Wer die Syntax von IPtables
gewohnt ist, wird sich allerdings an eine neue
Syntax gewöhnen müssen, denn Nft eifert in
Sachen Syntax eher den BSD-Paketfiltern nach,
die beschreibende Regeln nutzen statt die wenig
intuitive Syntax von IPtables nachzubilden.
Die folgende Regel würde beispielsweise Traffic
auf Port 22, also dem SSH-Port, zulassen:
nft add rule ip filter input tcp dport U
22 accept
Ein kleines Trostpflaster ist, dass die Regeln
von NFtables deutlich intuitiver sind als das
bis dato Bekannte. Wer schon einmal IPtables-
Regeln konstruiert hat und diese Erfahrung mit
dem gezeigten Befehl vergleicht, wird die neue
Syntax aufgrund ihrer Einfachheit vermutlich
willkommen heißen.

und darauf ausgelegt, aus ihm das Beste
herauszuholen. Admins haben nicht selten
eigene Skripte verfasst, die spezifische
IPtables-Konfigurationen nach ihren
Wünschen umsetzen. Auch Drittanbieter-
Software wie die des Firehol-Projekts [5]
sind stark mit IPtables verbandelt (Abbildung
4).
Die NFtables -Entwickler müssen die
starken Verbindungen mit bereits existierender
Software beachten, wenn sie ihr
neues Filtersystem in den Kernel integrieren
wollen. Ein inkompatibles System
ließe die Akzeptanz der neuen Lösung
vermutlich auf null sinken, das Projekt
wäre zum Scheitern verurteilt.
Nicht zufällig erhielt NFtables in dem
Augenblick Aufwind, als seine Entwickler
auf der Netfilter-Mailingliste eine
Kompatibilitätsschicht zu IPtables vorstellten.
Der Layer soll ein zu IPtables
kompatibles Kernelinterface anbieten,
das die IPtables- Aufrufe im Hintergrund
auf NFtables umbiegt. So bliebe die Kompatibilität
erhalten, im Kernel wäre dennoch
der neue Paketfilter tätig.
Freilich hängt die Akzeptanz einer solchen
Lösung immer von der technischen
Qualität ihrer Implementation ab, und
relativ sicher ist, dass die Entwickler nur
eine Chance haben, um einen guten ersten
Eindruck zu erzeugen. Dass sie ihren
Code nun in den Kernel bringen wollen,
zeigt jedoch, dass sie zumindest selbst
davon überzeugt sind, eine stabile Codequalität
erreicht zu haben.
Fazit
Mit NFtables könnte erstmals seit Kernel
2.4 eine neue Generation von Paketfilter
in Linux einziehen. Technisch ist die
Software IPtables überlegen, denn sie ist
stateful, modularer, lässt sich einfacher
an Protokolle und Techniken anpassen,
weil sie dafür vorhandenen Code nutzt,
und dürfte aus diesem Grund auch vergleichsweise
wartungsarm sein.
Zwar werden wohl nicht sämtliche Distributoren
sofort auf den neuen Zug
aufspringen, aber sollte es NFtables in
absehbarer Zeit in den Kernel schaffen
und erreicht die IPtables-Kompatibilität
einen stabilen Zustand, wird es für das
altgediente IPtables eng. Bis es jedoch
angepasste Tools gibt, die sich auch die
spezifischen Vorteile von NFtables zunutze
machen, dürfte noch etwas Zeit
vergehen. (kki/mfe)
n
Infos
[1] NFtables-Website:
[http:// netfilter. org/ projects/ NFtables/]
[2] NFtables bereit für den Kernel:
[http:// lwn. net/ Articles/ 570921/]
[3] IPtables-Kompatibilität für NFtables:
[http:// www. spinics. net/ lists/​
netfilter‐devel/ msg23831. html]
[4] Libmnl:
[http://netfilter.org/projects/libmnl/]
[5] Firehol: [http:// www. firehol. org]
NFtables 01/2014
Know-how
www.linux-magazin.de
87

Know-how
www.linux-magazin.de Insecurity Bulletin 01/2014
88
Insecurity-Bulletin: Denial of Service in Glibc
Adressenflut
Unerwartet umfangreiche Eingabedaten können ein Programm zum Absturz bringen, wenn der Platz auf dem
Stack nicht mehr ausreicht. Eine derartige Schwachstelle fand sich jüngst im Code der GNU-C-Bibliothek, der
Hostnamen in IP-Adressen auflöst. Mark Vogelsberger, Mathias Huber
01 #!/usr/bin/env ruby
Gibt es ein Problem in der C-Standard-
Bibliothek eines Linux-Rechners, sind
viele Anwendungen davon betroffen. Im
Oktober 2013 entdeckte der Red-Hat-Mitarbeiter
Siddhesh Poyarekar eine solche
Sicherheitslücke [1] in der GNU-C-Bibliothek
[2], kurz Glibc, die in vielen Linux-
Distributionen zum Einsatz kommt.
Stack Overflow
Die Schwachstelle mit der CVE-Kennung
2013-4458 erlaubt es einem lokalen Angreifer,
Anwendungen zum Absturz zu
bringen, die die Glibc-Bibliotheksfunktion
»getaddrinfo()« verwenden. Diese übersetzt
Hostnamen in IP-Adressen. Durch
geschickt aufgebaute Konfigurationsdateien
und Anfragen lässt sich ein
Stack Overflow auslösen, beispielsweise
02 File.open('/etc/hosts', 'a') do |file|
03 50000.times {|x| file.puts '127.0.0.1 host‐fubar'}
04 50000.times {|x| file.puts '::1 host‐fubar'}
05 end
Abbildung 1: Dieses Patch sorgt für ausreichend Speicher auf dem Heap.
Listing 1: »/etc/hosts« präparieren
durch eine extrem
große Anzahl von
IPv6-Einträgen in
der Datei »/etc/
hosts«.
Zudem beschreibt
Poyarekar in seiner
Meldung noch einen
Proof-of-Concept-Exploit.
Dieser
besteht im
Grunde aus zwei
Schritten:
n Der Angreifer
erzeugt eine
n große »/etc/
hosts«-Datei: 50 000 Einträge mit »127.0.0.1
host‐fubar« und 50 000 mit »::1 host‐fubar«.
n Der Angreifer oder ein Programm ruft
»getaddrinfo()« für »host‐fubar« ohne
Flags sowie mit »AF_INET6« im Feld
»hints‐>ai_family« auf.
Punkt 1 lässt sich mit einem Skript erledigen,
etwa dem Ruby-Code in Listing
1, doch muss es der Angreifer auch
schaffen, die Root gehörende Datei zu
überschreiben. Das Ausführen eines Programms,
das »getaddrinfo()« verwendet
(Punkt 2), führt dann zu einem Segmentation
Fault. Grund ist ein Programmierfehler
in der Quelltextdatei »sysdeps/
posix/getaddrinfo.c« der Glibc. Der Code
verwendet das Makro »extend_alloca()«,
um den Puffer »tmpbuf« zu vergrößern:
tmpbuf = extend_alloca (tmpbuf, tmpbuflen,U
2 * tmpbuflen);
Zuvor alloziert er ihn mit
tmpbuf = __alloca (tmpbuflen);
auf dem Stack. Diese Vergrößerung des
»tmpbuf«-Speichers auf dem Stack besitzt
allerdings eine Obergrenze, bei deren
Überschreiten der Stack-Overflow-Fehler
auftritt.
Mehr Speicher
Ein Patch von Siddhesh Poyarekar (Abbildung
1) löst das Problem, indem es
im Fall einer zu großen Anfrage auf den
Heap ausweicht und dort dynamisch
Speicher alloziert. Die Entscheidung, ob
dies geschehen soll, findet in einer If-
Abfrage statt:
if (!malloc_tmpbuf && __libc_use_allocaU
(alloca_used + 2 * tmpbuflen))
Dabei dient »__libc_use_alloca()« dazu,
zu entscheiden, ob noch genügend Speicher
vorhanden ist. Falls nicht, kommt
der folgende neue Code zum Aufruf:
char *newp = realloc (malloc_tmpbuf ?U
tmpbuf : NULL, 2 * tmpbuflen);
tmpbuf = newp;
Eine ähnliche Schwachstelle, allerdings
für die Adressenfamilie »AF_UNSPEC«,
hatte der Suse-Mitarbeiter Andreas
Schwab bereits im März 2013 entdeckt
(CVE-2013-1914). Übrigens ist auch die
Eglibc, ein Fork der C-Bibliothek, den
etwa die Linux-Distributionen Debian
und Ubuntu einsetzen, durch dieselbe
Art von Angriffen verwundbar [3]. n
Infos
[1] Siddhesh Poyarekar, „Sourceware Bugzilla
– Bug 16072“: [https:// sourceware. org/​
bugzilla/ show_bug. cgi? id=16072]
[2] GNU C Library:
[http:// www. gnu. org/ software/ libc/]
[3] Debian Security Tracker, CVE-2013-4458:
[https:// security‐tracker. debian. org/​
tracker/ CVE‐2013‐4458]

Programmieren
www.linux-magazin.de Tntnet 01/2014
90
Webanwendungen in C++ mit Tntnet
Web plus plus
Angeregt durch die „Reifeprüfung fürs Web“ im Linux-Magazin 11/​13 stellt dieser Artikel das Webframework
Tntnet vor. Mit ihm lassen sich in C++ Webanwendungen mit MVC-Architektur programmieren. Olaf Radicke, Tommi Mäkitalo
© nomadsoul1, 123RF.com
Im Magazin-Schwerpunkt 11/​13 [1] durften
Contao, Rails, Django und Magnolia
CMS zeigen, wie sie eine Programmieraufgabe
lösen. Das inspirierte die Autoren,
die Beispielanwendung für diesen
Artikel in C++ umzusetzen. Der Online-
Veranstaltungskalender (Abbildung 1)
zapft eine Open-Data-Schnittstelle an,
um Straßenfeste anzuzeigen, die in einem
vom Anwender gewählten Zeitraum
stattfinden.
Als Grundlage dient nun Tntnet [2],
Tommi Mäkitalos C++-Framework für
Webanwendungen, das unter LGPLv2.1
steht. Im Jahr 2003 veröffentlichte er die
erste Version, derzeit ist die Release 2.2
aktuell. Tntnet-Anwendungen laufen
etwa bei der Deutschen Börse AG, Tommis
Arbeitgeber. Dieser Artikel verwendet
die jüngste Version aus dem Entwickler-
Repository, die der Kasten „Tntnet installieren“
einrichtet.
C++ als Technologie für Webanwendungen
ist im Vergleich zu Ruby on Rails
und anderen Skriptsprachen sehr Ressourcen-schonend.
So lassen sich damit
auch Weboberflächen für die schwächeren
CPUs von Embedded-Geräten verwirklichen.
Am anderen Ende des Spektrums
ist es für hohe Lasten skalierbar
und unterstützt Multithreading. Zudem
ist C++ seit etwa drei Jahrzehnten ein
fester Bestandteil der IT-Welt und international
standardisiert. Das macht Tntnet
zukunftssicher: Anwender können darauf
vertrauen, dass der Code wartbar bleibt.
Flexibel
Tntnet unterscheidet sich in einem Punkt
wesentlich von verbreiteten Webframeworks
wie Rails oder Django: Es propagiert
nicht das Prinzip „Konvention
vor Konfiguration“. Es möchte dem Anwender
nicht vorschreiben, wie er sein
Projekt zu organisieren und seine Dateien
zu benennen hat, sondern versucht über
dokumentierte Best Practice und Howtos
einen Leitfaden für die Realisierung guter
Software zu geben [3].
Tntnet-Applikationen lassen sich grundsätzlich
auf zwei Arten umsetzen. Entweder
kommt ein Tntnet-Application-Server
zum Einsatz, um Shared Libraries und
Objektdateien zu laden und auszuführen,
oder man erzeugt ein einziges lauffähiges
Binary. Im ersten Fall besteht die Applikation
aus einer Shared Library und
dem Tntnet-Application-Server. Im zweiten
Fall lässt sich alles zu einer einzigen
ausführbaren Datei zusammenfassen,
was das Ausrollen vereinfacht, etwa auf
Embedded-Geräten. Dieser Artikel verwendet
die zweite Variante.
Zur Ansicht
Das Tntnet-Framework nutzt die verbreitete
Anwendungsarchitektur Model
View Controller (MVC). Für die View-
Komponente, die für Ansichten zuständig
ist, sieht es die projekteigene Auszeichnungssprache
ECPP vor, die C++ über
spezielle Tags in HTML einbettet. Beim
Übersetzen wandelt ein Präprozessor sie
in C++-Code um, den ein herkömmlicher
C++-Compiler zu einer ausführbaren Datei
kompilieren kann. Es wäre möglich,
die gesamte Logik als C++-Code in HTML
einzubetten. Bei kleineren Aufgaben
führt das rasch zu einem Resultat, schon
bei etwas umfangreicheren Projekten ist
es aber nicht ratsam.
Getreu dem MVC-Prinzip ist in der Suchseite
(Listing 1) kaum Logik zu finden,
denn sie dient ausschließlich der Ansicht.
Die Datei »strassenfeste.ecpp« deklariert
zu Beginn mit »« die Anfrage-
DELUG-DVD
Auf der DELUG-DVD zu dieser
DELUG-DVD
Ausgabe finden Sie die Aufgabenstellung sowie
die Auswertung aus dem Schwerpunkt „Reifeprüfung
fürs Web“ im Magazin 11/​13.

Die Anwendung benutzt ein Formular,
um Werte entgegenzunehmen und zu
übergeben. Sie sind im Parameter des
Typs »tnt::QueryParams« repräsentiert.
Ein einzelnes Feld wie »bezirk« lässt sich
wie folgt auslesen:
Tntnet 01/2014
Programmieren
sessionShared.bezirk =U
qparam.arg("bezirk");
Unerlässlich für interaktive Websites ist
das Session-Handling. Tntnet-Controller
bilden es mit Makros ab, beispielsweise
in Zeile 28:
www.linux-magazin.de
91
TNT_SESSION_SHARED_VAR(SucheSession,U
suche, ());
Abbildung 1: Dank Tntnet lässt sich die Website für die Veranstaltungssuche auch in C++ programmieren.
Parameter der Veranstaltungssuche. Die
unterschiedlichen »scope«-Tags klären
die Geltungsbereiche von Variablen innerhalb
der Anwendung, einer Session
und eines HTTP-Requests. Daneben befüllt
die Datei das Suchformular mit den
Bezirken und gibt Ergebnisse aus, sofern
die Suche welche ergab.
Im Session-Scope referenziert die ECPP-
Datei zudem den Header »suchesession.h«,
der die Klassen der Anwendung
bekannt macht. Daneben deklariert sie
die gemeinsame Variable »suche«, die die
Such-Session für alle Komponenten speichert.
Damit verknüpft sie auch die View
mit dem Controller, der die eigentliche
Arbeit macht.
Die Funktion des Controllers übernimmt
der Code in »controller/suche.cpp«, gewöhnlicher
C++-Code ohne besondere
Tags (Listing 2). Es gibt allerdings keine
Headerdatei, sodass der Anwendungsentwickler
die Instanzierung indirekt durch
eine Tntnet-Factory-Klasse erledigt (Zeile
21). Der Controller erbt von der Klasse
»tnt::Component«, die grundlegende
Funktionen eines Controllers bereitstellt.
Controller
Die eigentliche Arbeit des Controllers
findet dann in der Methode »operator()«
statt, die HTTP-Request und ‐Reply sowie
die Parameter der Anfrage entgegennimmt
(Zeile 23). Die Methode ist ein
Erbstück der Klasse »Component« und
wird bei jedem eingehenden Request
ausgeführt, egal ob es sich um eine GEToder
POST-Anfrage handelt. Darüber hinaus
lässt sich noch eine ganze Reihe
anderer Informationen über die Klasse
»HttpRequest« abfragen.
Es handelt sich hierbei um die Daten, die
der Controller gemeinsam mit der View
nutzt. Das Makro gibt der Instanz von
»SucheSession« eine Lebenszeit über den
einzelnen Request hinaus für die Dauer
der Session. Jeder User erhält eine eigene
Session, um deren Verwaltung sich Tntnet
automatisch kümmert.
Für Werte, die nur die Lebensdauer eines
Requests benötigen, gibt es das Makro
»TNT_REQUEST_SHARED_VAR()«. Diese
Variante genügt, um die Kooperation verschiedener
Komponenten während eines
Requests zu erlauben. Das MVC-Konzept
von Tntnet basiert darauf, dass mehrere
Komponenten oder Controller in Serie
geschaltet eine Anfrage verarbeiten.
Fertig!
Das letzte Element in der Operator-Methode
heißt »return DECLINED;«. Dieser
Return-Wert teilt dem Tntnet-Application-Server
mit: Ich bin fertig, ich konnte
meine Arbeit erfolgreich erledigen. Sollte
noch eine weitere Komponente den Re-
Tntnet installieren
Abbildung 2: Installation geglückt: Tntnet schreibt sein HTTP-Accessund
das Error-Protokoll auf das Terminal.
Das Webframework Tntnet [2] setzt die Bibliothek
Cxx-Tools voraus, die ebenfalls vom
Entwickler Tommi Mäkitalo stammt. Zur Installation
klont man deren Code von einem Github-
Repository [4]. Im entstandenen Verzeichnis
konfigurieren und übersetzen die folgenden
Kommandos den Code:
autoreconf ‐i
./configure
make
Das Kommando »su ‐c 'make
install'« installiert die Tools.
Ebenso lässt sich Tntnet von
[5] klonen und mit den gleichen
Kommandos einsatzbereit
machen.
Ob Tntnet funktioniert, lässt sich mit einer
einfachen Beispielanwendung testen. In einem
beliebigen Verzeichnis erzeugt folgender
Befehl die Grundlage für die Webanwendung
»myfirstproject«:
tntnet‐config ‐‐project=myfirstproject
Im Verzeichnis »myfirstproject/« stößt »make«
die Übersetzung an. Anschließend startet das
Kommando »tntnet« die Anwendung samt
eingebautem Webserver, der sich mit Logmeldungen
bemerkbar macht (Abbildung 2). Im
Browser ist das Projekt unter »http://localhost:8000/myfirstproject«
zu erreichen.

Listing 1: »strassenfeste.ecpp« (gekürzt)
01
02 q;
03 bezirk;
04 [...]
05
06
07 std::vector bezirke;
08
09
10 StrassenfestResult strassenfestResult;
11
12
13 SucheSession suche;
14
15 [...]
16 Suche
17
18
19
20
21 Stichwortsuche:
22
23
24
25 Bezirk:
26
27
28 % for (unsigned n = 0; n < bezirke.size();
++n) {
29

quest weiter bearbeiten wollen, kann sie
das jetzt tun. Das ermöglicht mehrstufige
Bearbeitung.
Model
Die letzte Komponente des MVC-Gespanns
findet ihren Platz im Verzeichnis
»model«. Es gibt unterschiedliche Ansichten
darüber, wie viel Logik das Model
enthalten sollte. Im vorliegenden Beispiel
sind die Klassen sehr schlank und bestehen
fast nur aus Getter-Methoden. Trotzdem
sei hier auf die folgenden Zeilen in
»strassenfestresult.h« hingewiesen:
friend void operator>>= (
const cxxtools::SerializationInfo& si,
StrassenfestResult& strassenfestResult);
Sie überladen den Shift-Operator, um
die Klasse deserialisierbar zu machen.
Die Implementierung in die Datei »strassenfestresult.cpp«
(Listing 3) befüllt die
Klasse mit Werten.
Es ist in Tntnet prinzipiell möglich, beliebige
Datentypen zu verwenden, also
auch primitive Typen wie etwa Integer.
Davon ist aber abzuraten, denn dann
gibt es keine Namensräume, die einzelne
Komponenten voneinander trennen. Bei
sehr großen Projekten kann es dann geschehen,
dass ein Programmierer aus
Versehen einen Variablennamen verwendet,
der bereits an anderer Stelle vergeben
wurde. Kapselt aber jede Komponente
wie in der Beispielanwendung ihre
Listing 3: »model/strassenfestresult.cpp«
01 void operator>>= (
02 const cxxtools::SerializationInfo& si,
03 StrassenfestResult& strassenfestResult)
04 {
05 const cxxtools::SerializationInfo&
siMessages = si.getMember("messages");
06 siMessages.getMember("messages") >>=
strassenfestResult._messages;
07 siMessages.getMember("success") >>=
strassenfestResult._success;
08
Session-Daten in einer eigenen Klasse,
können verschiedene Komponenten dieselben
Variablennamen verwenden. Ist
im Controller der Komponente A zum
Beispiel folgender Code zu finden
TNT_SESSION_SHARED_VAR(U
CompA::SessionShared, sessionInfo, ());
bleiben die Variablen vom Namensraum
»CompB« der Komponente B getrennt.
Das noch fehlende Glied in der Verarbeitungskette
ist der Manager. Die
09 const cxxtools::SerializationInfo&
siResults = si.getMember("results");
10 siResults.getMember("count") >>=
strassenfestResult._resultCount;
11 siResults.getMember("items_per_page") >>=
strassenfestResult._itemsPerPage;
12
13 si.getMember("index") >>=
strassenfestResult._strassenfeste;
14 }
Tntnet 01/2014
Programmieren
www.linux-magazin.de
93

Programmieren
www.linux-magazin.de Tntnet 01/2014
94
Manager-Klasse »StrassenfestManager«
baut die Verbindung zum Berliner Open-
Data-Server auf, holt die Daten im Json-
Format, deserialisiert sie und wandelt sie
in Model-Klassen um. Nun ist die Kette
vollständig: Die Manager-Klasse generiert
die Model-Klasse und übergibt sie dem
Controller, der die Model-Klasse wiederum
der View zur Verfügung stellt.
Deserialisiert
Die Deserialisierung findet in »manager/StrassenfestManager.cpp«
statt. Die
Hauptarbeit leistet eine Klasse aus der
Bibliothek »cxxtools«. Die Library stellt
01 cxxtools::net::Uri uri = Configuration::
01 tnt::Tntnet app;
02 [...]
03
04 // index page
05 app.mapUrl("^/$", "webmain")
06 .setArg("next", "index");
07
08 // controller
09 app.mapUrl("^/(.*)$", "controller/$1");
10
11 // view
12 app.mapUrl("^/(.*)$", "webmain")
13 .setArg("next", "view/$1");
14
it().berlinUrl();
02 cxxtools::QueryParams q;
03 q.add("q", keyword);
04 [...]
15 app.run();
Bewertung der Redaktion
Listing 4: »manager/strassenfestmanager.cpp«
(Auszug)
05 std::string results = _client.get(uri.path() + '?' +
q.getUrl());
06 std::istringstream in(results);
07 StrassenfestResult r;
08 in >> cxxtools::Json(r);
Listing 5: Routing in »main.cpp«
Mit Tntnet hat Tommi Mäkitalo eine korrekte
Lösung der Aufgabenstellung auf die Beine gestellt
[9]. Als Extras bietet sie sogar die Auswahl
unter den Bezirken sowie Freitextsuche in
den Veranstaltungsdaten. Die Architektur folgt
dem MVC-Modell, das vielen Entwicklern von
Webanwendungen vertraut ist [10].
Tntnet erlaubt daneben die Arbeitsteilung
zwischen einem Webdesigner und dem Anwendungsprogrammierer,
weil sich der Quelltext
in ECCP-Templates mit HTML und Steuerungstags
einerseits und reinen C++-Programmcode
andererseits aufteilt. Jegliche Änderung, und
sei es nur ein korrigierter Rechtschreibfehler,
verlangt allerdings das Neukompilieren der
Webanwendung.
Fortgeschrittene C++-Entwickler finden im
Framework Tntnet eine vertraute Welt vor, Umsteiger
von Skriptsprachen wie PHP und Ruby
dürften sich mit manchen fortgeschrittenen
C++-Programmierkonzepten aber schwertun.
(Mathias Huber)
fundamentale Funktionen zur Verfügung,
die Tntnet benötigt.
In Listing 4 ist ein gekürzter Teil des
Codes zu sehen, der die Json-Daten vom
Open-Data-Server holt und aufbereitet.
Die Klasse »Configuration« ist dafür zuständig,
die Konfiguration auszulesen
und deren Daten für das Programm vorzuhalten.
In diesem Fall lässt sich der Anwendungsentwickler
die URL zum Server
in Berlin zurückgeben.
Die Klasse »cxxtools::QueryParams« dient
dazu, elegant den Query-Teil einer URL zu
generieren. Die darauf folgende Zeile füllt
die Klasse mit Werten. »_client« ist eine
Instanz vom Typ »cxxtools::http::Client«,
mit der das Programm die HTTP-Verbindung
aufbaut. Das Resultat der Abfrage
wird in einen String-Stream umgewandelt,
von dem der Deserialisierer
»cxxtools::Json()« liest und die Klasse
»StrassenfestResult« befüllt.
Routing
Das Routing legt fest, über welche URLs
sich die Komponenten der Tntnet-Anwendung
aufrufen lassen. Es ist in der
Datei »main.cpp« festgelegt (Listing 5).
Die Funktion »mapUrl()« teilt dem Application-Server
»tnt::Tntnet« die Routen
mit. Der erste Parameter ist ein regulärer
Ausdruck. Die erste Route legt also fest,
dass für »/« die Komponente »webmain«
aufgerufen wird. Die zweite Route ruft
alle Controller auf, für die der reguläre
Ausdruck passt. Konkretes Beispiel: Ruft
ein Benutzer die URL »http://example.
com/suche« auf, kommt der Controller
»controller/suche« ins Spiel.
Findet sich kein passender Controller,
passiert nichts. Das gilt auch für die View.
In der Reihenfolge, in der die Routen gesetzt
sind, arbeitet Tntnet sie auch beim
Matching ab – zunächst die Controller
und dann die Views. Das ist wichtig, da
die Controller erst die Daten für die Views
aufbereiten müssen.
Alternativen
Der Ansatz von Tntnet mag ungewohnt
erscheinen, wie auch der Kasten „Bewertung
der Redaktion“ anmerkt. Es
gibt aber keinen Grund, die Programmiersprache
C++ für die Web entwicklung
grundsätzlich zu verwerfen. Mit Tntdb
[6] existiert zudem eine flexible und
robuste Möglichkeit, die Datenbanken
MySQL, PostgreSQL, SQlite oder Oracle
anzubinden.
Tntnet ist auch nicht das einzige Projekt,
das ein Webframework für C++ bereitstellt.
Daneben existiert beispielsweise
das Web-Toolkit Wt [7]. Dessen erklärtes
Ziel ist es, die Webprogrammierung
möglichst der GUI-Programmierung mit
Qt nachzuempfinden. Das macht es vor
allem für Single-page Web Applications
interessant, die dem Desktop-Feeling
möglichst nahe kommen sollen.
Wer nicht auf MVC verzichten möchte
und nach einer Art „C++ on Rails“ sucht,
sollte sich das Treefrog-Projekt [8] ansehen.
Es ist das jüngste Projekt der drei.
Das Framework bietet sogar einen C++-
Laufzeit-Interpreter an. Daneben setzt
es auf die Philosophie „Konvention vor
Konfiguration“, die sich in den letzten
Jahren großer Beliebtheit unter den Webentwicklern
erfreut. (mhu) n
Infos
[1] Mathias Huber, „Reifeprüfung fürs Web“:
Linux-Magazin 11/​13, S. 21
[2] Tntnet: [http:// www. tntnet. org]
[3] Tntnet-Howtos:
[http:// www. tntnet. org/ howto. html]
[4] Code der Cxx-Tools:
[https:// github. com/ maekitalo/ cxxtools]
[5] Code von Tntnet: [https:// github. com/​
maekitalo/ tntnet]
[6] Tntdb: [http:// www. tntnet. org/ tntdb. html]
[7] Wt: [http:// www. webtoolkit. eu]
[8] Treefrog:
[http:// www. treefrogframework. org]
[9] Code zur Programmieraufgabe: [https://​
github. com/ maekitalo/ bbstrassenfest]
[10] Mathias Huber, „Sieg programmiert“:
Linux-Magazin 11/​13, S. 46

Programmieren
www.linux-magazin.de Perl-Snapshot 01/2014
96
Bastelprojekt mit der vielseitigen Arduino-Platine
Wie von Geisterhand
Zauberhaft einfach: Mit ein paar Zeilen selbst geschriebener Firmware und einem simplen Perl-Skript lässt
Perlmeister Schilli einen seiner Linux-Rechner mit angestöpseltem Arduino-Board elektrische Geräte jeder Art
per Relais ein- und ausschalten. Michael Schilli
© Katrin Bpunkt, Photocase.com
Jeden morgen um vier Uhr früh schaltet
das Ubuntu-System in meinem Büro einen
uralten Debian-PC in der Ecke mit 6
TByte Plattenplatz an, um per Rsync ein
Backup wichtiger Daten zu ziehen. Dazu
stellt es per Heim-Vernetzungsprotokoll
X10, das in den USA populär ist, über das
Stromnetz den Strom am Backup-PC an.
Dieser fährt selbsttätig hoch, da in seinem
Bios die Option »After Power Loss«
01 /* Simple relay controlling firmware
02 * Mike Schilli, 2013 (m@perlmeister.com)
03 */
04
05 void setup() {
06 Serial.begin(9600);
07 pinMode(11, OUTPUT);
08 digitalWrite( 11, HIGH );
09 pinMode(13, OUTPUT);
10 digitalWrite( 13, LOW );
11 }
12
13 void loop() {
Listing 1: »relay_on_off.ino«
auf »On« gesetzt ist. Sobald der SSH-
Server des gestarteten Debian-Systems
antwortet, startet das Backup. Nach dem
Schlussakkord fährt der PC wieder herunter
und der steuernde Rechner entzieht
ihm wieder den Strom.
Da mein X10-Setup aber aus unerfindlichen
Gründen in geschätzt einem von
100 Fällen versagt, habe ich die PC-an/​
PC-aus-Steuerung auf ein Arduino-Board
14 while( Serial.available() > 0 ) {
15 int val = Serial.read();
16 Serial.print( val );
17 if( val == '1' ) {
18 digitalWrite( 11, LOW );
19 digitalWrite( 13, HIGH );
20 } else {
21 digitalWrite( 11, HIGH );
22 digitalWrite( 13, LOW );
23 }
24 }
25 }
(rund 20 Euro) mit angeschlossenem
Relaisboard (5 bis 10 Euro) umgestellt.
Über den USB-Port schickt der steuernde
Ubuntu-Rechner ein Kommando zu dem
an einer seriellen Schnittstelle lauschenden
Microcontroller.
Dessen Firmware schaltet den Pegel auf
einem Ausgangs-Pin um, den ich mit einem
von zwei Relais einer extra Platine
verbunden habe [2]. Abbildung 1 zeigt
die mit einem so genannten Breadboard
aufgebaute simple Schaltung, die zu
Testzwecken auch noch per Leuchtdiode
anzeigt, ob ein bestimmter Ausgangs-Pin
des Arduino an oder aus ist.
Das ans Stromnetz angeschlossene Relais
zieht mit einem Klicken an, der am anderen
Ende des Relais verkabelte Stecker
bekommt Netzspannung und der dort
eingesteckte Verbraucher erwacht. Das
verwendete Relais verträgt bis zu 5 Ampere
bei 250 Volt (Abbildung 2).
Einfach programmierbar
Anders als Industrie-übliche Microcontroller
lässt sich das Arduino-Board direkt
über ein USB-Interface programmieren.
Ein PC oder Mac schickt kompilierten,
C-ähnlichen Code rüber, den der Arduino
speichert. Dank seines Urladers läuft
diese eingespielte Firmware bis zum
Sankt-Nimmerleins-Tag.
Der USB-Port versorgt das Board nicht
nur mit Signalen zum Steuern der Firmware,
sondern auch mit der nötigen Betriebsspannung
zum Betrieb der Elektronikkomponenten.
Das Board und die Relaisplatine
benötigen also keine externe
Spannungsquelle. Nach jedem Kaltboot
fängt der Code sofort wieder an zu laufen.
Um die Pins des Arduino von einem
PC aus an- und auszuschalten, muss auf

www.linux-magazin.de
Perl-Snapshot 01/2014
Programmieren
97
Abbildung 1: Versuchsaufbau der Schaltung mit Arduino, Leuchtdiode und netzspannungstauglichem
Relaisboard.
Abbildung 2: Das Schaltboard mit zwei Relais, die Geräte bis 5 Ampere bei 250
Volt steuern können.
dem Arduino ein Programm auf Befehle
von der USB-Schnittstelle horchen und
diese ausführen.
Wenn nicht Stangenware,
dann eben Maßanzug
Als Fertiglösung käme statt eines selbst
geschriebenen Programms auch Firmata
[3] in Betracht, eine freie, generell verwendbare
Firmware. Einmal auf den Arduino
geladen, erwartet sie Kommandos
über das USB-Interface nach dem Firmata-Protokoll,
manipuliert auf Anfrage
den Strom auf den Pins oder liest ihre
Werte aus und liefert Antworten zum
anfragenden Hostrechner zurück.
Allerdings operiert das gekaufte Relaisboard
von der Firma Sainsmart [2] im
Low-Active-Modus, das Relais schnappt
also zu, falls die Spannung am Eingang
abfällt, und lässt los, falls 5 Volt anliegen.
Da Firmata die Ausgangs-Pins aber beim
Hochfahren immer auf Low stellt, würde
das jedes Mal nach dem Einstöpseln des
USB-Steckers den elektrischen Verbraucher
einschalten, bevor ein Programm die
Kontrolle übernehmen könnte.
Mein selbst geschriebener Arduino-Sketch
– so nennt die Arduino-Community
Source code für die Firmware – in Listing
1 setzt deswegen in der Funktion »setup()«
die Ausgangsspannung am Pin 11 mit
digitalWrite( 11, HIGH );
sofort auf 5 Volt, sobald der Arduino
hochfährt. Später, in der Hauptschleife
»loop()«, prüft die Methode »available()«
des Moduls »Serial«, ob Daten an der
seriellen Schnittstelle des Arduino anliegen.
Falls ja, liest »Serial.read()« ein
anliegendes Byte aus und speichert es in
der Variablen »val«. Hat der Host das Zeichen
»1« geschickt (Ascii-Code 49), setzt
die Firmware Pin 11 auf Low – und auf
Listing 2: »relay«
01 #!/usr/local/bin/perl ‐w
02 use strict;
03 use Device::SerialPort;
04 use Pod::Usage;
05 use Log::Log4perl qw(:easy);
06 Log::Log4perl‐>easy_init($DEBUG);
07
08 my( $cmd ) = @ARGV;
09
10 if( !defined $cmd ) {
11 pod2usage();
12 }
13
14 my $byte;
15
16 if( $cmd eq "on" ) {
17 $byte = "1";
18 } elsif( $cmd eq "off" ) {
19 $byte = "0";
20 } else {
21 pod2usage();
22 }
23
24 my $dev = Device::SerialPort‐>new(
25 "/dev/ttyACM0",
26 1,
27 );
28
29 {
30 DEBUG "Writing ...";
31 $dev‐>write( $byte );
32
33 DEBUG "Reading ...";
34 my $bytes = 2;
35 my( $count, $data ) = $dev‐>read( $bytes );
36
37 DEBUG "Got $count bytes";
38
39 if( $count != $bytes ) {
40 sleep 1;
41 redo;
42 }
43 DEBUG "Received: \"$data\"\n";
44 }
45
46 $dev‐>close();
47
48 __END__
49
50 =head1 NAME
51
52
53
relay ‐ Switch relay on and off
54 =head1 SYNOPSIS
55
56
57
relay on|off
58 =head1 AUTHOR
59
60 2013, Mike Schilli

Programmieren
www.linux-magazin.de Perl-Snapshot 01/2014
98
Abbildung 3: Die Arduino-IDE lädt die Firmware in den Microcontroller, hier das
Skript aus Listing 1. Der speichert das Programm auf Dauer.
Abbildung 4: Auf der seriellen Konsole der IDE schickt der Host-Benutzer Kommandos
zum Ein- und Ausschalten des Relais.
der dort angeschlossenen Relaisplatine
zieht das Relais an.
USB oder seriell
Microcontroller hören traditionsgemäß
auf Kommandos, die vom Host über eine
serielle Schnittstelle ankommen. Doch
bieten PCs seit vielen Jahren schon keine
9-Pin-Buchsen mehr an, sondern eine
Reihe von USB-Steckplätzen. Das ist auch
nicht weiter schlimm, denn USB und das
serielle Interface lassen sich leicht mit
einem Chip (USB-to-Serial Con verter) ineinander
umwandeln.
Auf alten Arduino-Boards steckt deswegen
noch ein extra Chip, der die USB-Signale
Abbildung 5: Nach dem vierten Write-Kommando
kommt die Antwort des Arduino zurück.
in serielle Kommandos umwandelt, die
der Microcontroller versteht. Der relativ
neue Arduino Leonardo kommt erstmals
mit einem Microcontroller daher, der von
Haus aus USB versteht. Der Host schickt
aber weiterhin serielle Signale.
Auf dem Breadboard in Abbildung 1 habe
ich auf Pin 13 auch noch eine Leuchtdiode
mit 220-Ohm-Widerstand angeschlossen,
und da die Firmware Pin 13 entsprechend
dem eingegangenen Kommando setzt
(also invers zum Relais-Ausgangs-Pin),
schaltet sich die LED an, wenn das Relais
aktiv ist.
Mit der in Java geschriebenen Arduino-
IDE ([3], [4]) lässt sich die Firmware
nun hochladen, wie in Abbildung 3 zu
sehen ist. Die IDE findet an ein Linux-
System angeschlossene Arduinos normalerweise
selbstständig, allerdings ist zu
beachten, dass manche älteren Arduino-
Boards andere Device-Schnittstellen verwenden:
Die serielle Schnittstelle eines
relativ aktuellen „Arduino Uno“-Board
ist auf dem Hostsystem so unter »/dev/
ttyACM0« zu erreichen, während ein
schon etwas in die Jahre gekommener
„Arduino Duemilanove“ auf »/dev/tty-
USB1« horcht.
Die IDE unterstützt alle jemals herausgekommenen
Boardversionen, und der User
kann das aktuell verwendete Board in
einem Drop-Down-Menü auswählen.
Klick and dirty
Zum schnellen Testen der Firmware eignet
sich der »Serial Monitor« im »Tools«-
Menü der IDE, der Zeichen zum Arduino
sendet und die Antwort der Firmware
im Textfenster darstellt. Der Sketch in
Listing 1 schickt jedes empfangene Zeichen
mittels »Serial.print()« wieder an
den Host zurück. Abbildung 4 zeigt, wie
ich das Zeichen 1 an den Arduino sende
und von der Firmware mittels »Serial.
print()« den Ascii-Code 49 zurückerhalte.
Gleichzeitig zieht das Relais an und die
LED leuchtet.
Was nun noch fehlt, ist ein Perl-Skript,
das sich an der seriellen Schnittstelle am
USB-Port andockt und dem Arduino
Kommandos schickt: Listing 2. Es nimmt
von der Kommandozeile entweder »on«
oder »off« entgegen. Das über das serielle
Interface zu übermittelnde Zeichen ist
Online PLUS
In einem Screencast demonstriert
Michael Schilli das Beispiel: [http://​
www.linux-magazin.de/​2014/01/​plus]

www.linux-magazin.de
Perl-Snapshot 01/2014
Programmieren
99
Abbildung 6: In ein Gehäuse frisch aus dem Baumarkt eingebaut …
Abbildung 7: … ergibt sich eine Art industrielles Design.
also 1 oder 0, das Zeile 31 an den mit dem
CPAN-Modul Device::SerialPort gebundenen
Port schickt.
Um zu verifizieren, dass der Arduino
das Kommando auch erhalten und den
gewünschten Ausgangs-Pin gesetzt hat,
liest das Skript in Zeile 35 mit »read()«
die von der Firmware zurückgeschickten
Daten. Kommt nichts an, geht das Skript
mit »redo« in die nächste Runde und unternimmt
einen weiteren Schreibversuch.
Wie Abbildung 5 zeigt, können einige
Durchgänge nötig werden, insbesondere
wenn ich den Arduino gerade erst eingestöpselt
habe. Das Skript nutzt Log4perl
im »$DEBUG«-Modus; wer es weniger
geschwätzig mag, sollte Zeile 6 dahingehend
modifizieren, dass der Loglevel
»$ERROR« beträgt.
Netzspannung einhegen
Da am Relais saftige 230 Volt Wechselspannung
anliegen, habe ich die endgültige
Version meines Selbstbauprojekts
ohne das Breadboard mit einem stabilen
Gehäuse umhüllt und die Niedervolt-
Platine sauber von herumbaumelnden
Netzkabeln getrennt (Abbildung 6). Die
Relaisplatine verfügt zum Glück über stabile
Schraubklemmen, um die Netzkabel
mit dem Relais zu verbinden.
Wer mit verpolungssicheren Steckern
hantiert, sollte mit dem Relais die Phasenleitung
schalten, nicht etwa den Nullleiter.
Softwerker, die sich nicht ganz sicher
sind oder nicht genug Erfahrung
beim Arbeiten mit Netzspannung haben,
sollten einen Fachmann hinzuziehen statt
Experimente auf gut Glück anzustellen –
das Linux-Magazin will seine Leserschaft
nicht durch Herzkammerflimmern dezimiert
sehen.
Abbildung 7 zeigt die amerikanische
Version des USB-Schalters, mit den in
den USA üblichen 110-Volt-Flachsteckern.
Auch verwenden amerikanische Elektriker
keine Lüsterklemmen zum Verbinden
von Litzenkabeln, sondern schrauben
pragmatisch farbige Hütchen mit innenliegendem
Metallgewinde auf, die „Twiston
Wire Connectors“ [6].
Das robuste Gehäuse aus dem Baumarkt
ist eigentlich für die wetterfeste Verdrahtung
von Stromkabeln im Haus gedacht
und verleiht meinem Hobbyprojekt einen
rustikal-industriellen Touch – vielleicht
ist ja einer der Einkäufer bei Manufactum
(„Es gibt sie noch, die guten Dinge“) unter
den Linux-Magazin-Lesern?
Ein großes Reich für
König Arduino
Der Autor
Michael Schilli arbeitet
als Software-Engineer bei
Yahoo in Sunnyvale, Kalifornien.
In seiner seit 1997
laufenden Kolumne forscht
er jeden Monat nach praktischen
Anwendungen der Skriptsprache Perl.
Unter [mschilli@perlmeister. com] beantwortet
er gerne Fragen.
Mein Schalt-den-Debian-an-Aufbau siedelt
am unteren Ende der Möglichkeiten
der Arduino-Technik. Die Zahl der
Selbstbauprojekte mit der günstigen Platine
ist nicht nur über die Jahre enorm
angewachsen, es hat sich auch ein sympathisches
Ökosystem aus Erfindern und
Produktanbietern entwickelt.
Wer Details zur Arduino-Programmierung
sucht, dem bietet [7] eine ausgezeichnet
fundierte und detaillierte Einführung. Der
Name des Open-Source-Boards soll übrigens
gastronomischen Ursprungs sein:
In der norditalienischen Kleinstadt Ivrea
gibt es die „Bar di Re Arduino“ (Bar des
Königs Arduin, [8]), die den Arduino-
Erfindern wohlbekannt ist. (jk) n
Infos
[1] Listings zu diesem Artikel:
[ftp:// www. linux‐magazin. de/ pub/ listings/​
magazin/ 2014/ 01/ Perl]
[2] Sainsmart 2-Channel Relay Module:
[http:// www. amazon. com/ gp/ product/​
B0057OC6D8] (USA), [http:// www. sainstore
. de/ sainsmart‐2‐kanal‐5v‐relay‐modul‐fur
‐arduino‐dsp‐avr‐pic‐arm. html] (DACH)
[3] Firmata: [http:// firmata. org]
[4] Arduino-IDE: [http:// arduino. cc]
[5] Installationsanleitung für Ubuntu: [http://​
www. arduino. cc/ playground/ Linux/ Ubuntu]
[6] Michael Schilli, „Schraub- statt Lüsterklemmen“:
[http:// usarundbrief. com/ 62/ p6. html]
[7] Jeremy Blum, „Exploring Arduino – Tools
and Techniques for Engineering Wizardry“:
2013, John Wiley & Sons
[8] (Markgraf) Arduin von Ivrea, 1002 bis 1004
König von Italien: [http:// de. wikipedia. org/​
wiki/ Arduin_von_Ivrea]

Service
www.linux-magazin.de IT-Profimarkt 01/2014
100
PROFI
MARKT
Sie fragen sich, wo Sie maßgeschneiderte
Linux-Systeme und kompetente
Ansprechpartner zu Open-Source-Themen
finden? Der IT-Profimarkt weist Ihnen
als zuverlässiges Nachschlagewerk
den Weg. Die hier gelisteten Unternehmen
beschäftigen Experten auf ihrem
Gebiet und bieten hochwertige Produkte
und Leistungen.
Die exakten Angebote jeder Firma entnehmen
Sie deren Homepage. Der ersten
Orientierung dienen die Kategorien
Hardware, Software, Seminaranbieter,
Systemhaus, Netzwerk/TK und Schulung/Beratung.
Der IT-Profimarkt-Eintrag
ist ein Service von Linux-Magazin
und LinuxUser.
Online-Suche
Besonders bequem finden Sie einen
Linux-Anbieter in Ihrer Nähe über die
neue Online-Umkreis-Suche unter:
[http://www.it-profimarkt.de]
Informationen
fordern Sie bitte an bei:
Medialinx AG
Anzeigenabteilung
Putzbrunner Str. 71
D-81739 München
Tel.: +49 (0)89/99 34 11-23
Fax: +49 (0)89/99 34 11-99
E-Mail: anzeigen@linux-magazin.de
IT-Profimarkt – Liste sortiert nach Postleitzahl
1 = Hardware 2 = Netzwerk/TK 3 = Systemhaus
4= Fachliteratur 4= Seminaranbieter 5 = Software 5 = Software 6 = Schulung/Beratung 6 = Firma Anschrift Telefon Web 1 2 3 4 5 6
Schlittermann internet & unix support 01099 Dresden, Tannenstr. 2 0351-802998-1 www.schlittermann.de √ √ √ √
imunixx GmbH UNIX consultants 01468 Moritzburg, Heinrich-Heine-Str. 4 0351-83975-0 www.imunixx.de √ √ √ √ √
Heinlein Support GmbH 10119 Berlin, Schwedter Straße 8/​9b 030-405051-0 www.heinlein-support.de √ √ √ √ √
TUXMAN Computer 10369 Berlin, Anton-Saefkow-Platz 8 030-97609773 www.tuxman.de √ √ √ √ √
Compaso GmbH 10439 Berlin, Driesener Strasse 23 030-3269330 www.compaso.de √ √ √ √ √
elego Software Solutions GmbH 13355 Berlin, Gustav-Meyer-Allee 25 030-2345869-6 www.elegosoft.com √ √ √ √
verion GmbH 16244 Altenhof, Unter den Buchen 22 e 033363-4610-0 www.verion.de √ √ √
Logic Way GmbH 19061 Schwerin, Hagenower Str. 73 0385-39934-48 www.logicway.de √ √ √ √
Sybuca GmbH 20459 Hamburg, Herrengraben 26 040-27863190 www.sybuca.de √ √ √ √ √
JEL Ingenieurbuero 23911 Einhaus, Hauptstr. 7 04541-8911-71 www.jeltimer.de √
beitco - Behrens IT-Consulting 26197 Ahlhorn, Lessingstr. 27 04435-9537330-0 www.beitco.de √ √ √ √ √
talicom GmbH
30169 Hannover, Calenberger Esplanade
3
0511-123599-0 www.talicom.de √ √ √ √ √
teuto.net Netzdienste GmbH 33602 Bielefeld, Niedenstr. 26 0521-96686-0 www.teuto.net √ √ √ √ √
LINET Services GmbH 38118 Braunschweig, Cyriaksring 10a 0531-180508-0 www.linet-services.de √ √ √ √ √ √
OpenIT GmbH 40599 Düsseldorf, In der Steele 33a-41 0211-239577-0 www.OpenIT.de √ √ √ √ √
Linux-Systeme GmbH 45277 Essen, Langenbergerstr. 179 0201-298830 www.linux-systeme.de √ √ √ √ √
Linuxhotel GmbH 45279 Essen, Antonienallee 1 0201-8536-600 www.linuxhotel.de √
OpenSource Training Ralf Spenneberg 48565 Steinfurt, Am Bahnhof 3-5 02552-638755 www.opensource-training.
de
Intevation GmbH 49074 Osnabrück, Neuer Graben 17 0541-33508-30 intevation.de √ √ √ √
Sigs Datacom GmbH 53842 Troisdorf, Lindlaustraße 2c 02241-2341-201 sigs-datacom.de √
uib gmbh 55118 Mainz, Bonifaziusplatz 1b 06131-27561-0 www.uib.de √ √ √ √
LISA GmbH 55411 Bingen, Elisenhöhe 47 06721-49960 www.lisa-gmbh.de √ √ √ √ √
GONICUS GmbH 59755 Arnsberg, Moehnestr. 55 02932-9160 www.gonicus.com √ √ √ √ √
saveIP GmbH 64283 Darmstadt, Saalbaustr. 8-10 06151-666266 www.saveip.de √ √ √ √ √
LAMARC EDV-Schulungen u. Beratung
GmbH
65193 Wiesbaden, Sonnenberger Straße
14
0611-260023 www.lamarc.com √ √ √ √
LinuxHaus Stuttgart 70565 Stuttgart, Hessenwiesenstrasse 10 0711-2851905 www.linuxhaus.de √ √ √ √ √
Manfred Heubach EDV und
Kommunikation
73728 Esslingen, Hindenburgstr. 47 0711-4904930 www.heubach-edv.de √ √ √ √
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um Linux bieten. Alle Angaben ohne Gewähr.
√
(S.102)

Seminare
IT-Onlinetrainings
Mit Experten lernen.
LPIC-1 / LPIC-2 Training
LPIC-1 (LPI 101 + 102)
mit Ingo Wichmann,
Linuxhotel
499 €
LPIC-2 (LPI 201 + 202)
mit Marco Göbel,
Com Computertraining GmbH
499 €
MEDIALINX
IT-ACADEMY
www.medialinx-academy.de
IT-Onlinetrainings
Mit Experten lernen.
MEDIALINX
IT-ACADEMY
Einfache IMAP-Server
mit Dovecot
mit Peer Heinlein,
Heinlein Support GmbH
249 €
www.medialinx-academy.de
X25
IT-Academy_1-9_LPIC-Schulungen.indd 1
02.08.2013 11:53:58 IT-Academy_1-9_Dovecot-Schulung.indd Uhr
1
02.08.2013 11:53:34 Uhr
IT-Onlinetrainings
Mit Experten lernen.
mit Klaus Knopper,
Gründer der
Knoppix-Distribution,
KNOPPER.NET
199 €
MEDIALINX
IT-ACADEMY
Effiziente BASH-Skripte
Automatisieren Sie komplexe
Aufgaben mit Hilfe effizienter Skripte!
www.medialinx-academy.de
IT-Onlinetrainings
Mit Experten lernen.
MEDIALINX
IT-ACADEMY
Python für
Systemadministratoren
mit Rainer Grimm,
science + computing AG
199 €
Vereinfachen Sie Ihren Sysadmin-Alltag
mit Skripting-Know-How für Profis!
www.medialinx-academy.de
IT-Academy_1-9_Bash-Schulung.indd 1
02.08.2013 11:53:16 IT-Academy_1-9_Python-Schulung.indd Uhr
1
02.08.2013 11:54:11 Uhr
IT-Onlinetrainings
MEDIALINX
Mit Experten lernen. IT-ACADEMY
IT-Sicherheit Grundlagen
mit Prof. Dr.
Tobias Eggendorfer,
Hochschule
Ravensburg-Weingarten
299 €
www.medialinx-academy.de
IT-Onlinetrainings
Mit Experten lernen.
MEDIALINX
IT-ACADEMY
– die offiziellen Trainings
mit Marco Welter,
Zarafa Deutschland GmbH
Zarafa Administrator
249 €
Zarafa Engineer
249 €
www.medialinx-academy.de
IT-Onlinetrainings
Mit Experten lernen.
MEDIALINX
IT-ACADEMY
Puppet Fundamentals
– das offizielle Training
NETWAYS ®
mit Achim Ledermüller,
Netways GmbH
299 €
www.medialinx-academy.de
1-9-Anzeige-IT-Sicherheit-Grundlagen.indd 1
02.08.2013 11:52:51 IT-Academy_1-9_Zarafa-Schulung.indd Uhr
1
02.08.2013 11:55:03 IT-Academy_1-9_Netways-Schulung.indd Uhr
1
16.09.2013 12:34:33 Uhr

Service
www.linux-magazin.de IT-Profimarkt Markt 01/2014
102
IT-Profimarkt/Markt
IT-Profimarkt – Liste sortiert nach Postleitzahl (Fortsetzung von S. 100)
Firma Anschrift Telefon Web 1 2 3 4 5 6
Waldmann EDV Systeme + Service
74321 Bietigheim-Bissingen,
Pleidelsheimer Str. 25
07142-21516 www.waldmann-edv.de √ √ √ √ √
in-put Das Linux-Systemhaus 76133 Karlsruhe, Moltkestr. 49 0721-6803288-0 www.in-put.de √ √ √ √ √ √
Bodenseo 78224 Singen, Pomeziastr. 9 07731-1476120 www.bodenseo.de √ √ √
Linux Information Systems AG 81739 München, Putzbrunnerstr. 71 089-993412-0 www.linux-ag.com √ √ √ √ √
LinuxLand International GmbH 81739 München, Putzbrunnerstr. 71 089-99341441 www.linuxland.de √ √ √ √ √ √
Synergy Systems GmbH 81829 München, Konrad-Zuse-Platz 8 089-89080500 www.synergysystems.de √ √ √ √ √
B1 Systems GmbH 85088 Vohburg, Osterfeldstrasse 7 08457-931096 www.b1-systems.de √ √ √ √ √
ATIX AG 85716 Unterschleißheim, Einsteinstr. 10 089-4523538-0 www.atix.de √ √ √ √ √ √
Tuxedo Computers GmbH 86343 Königsbrunn , Zeppelinstr. 3 0921 / 16 49 87 87 - 0 www.linux-onlineshop.de √ √ √ √
OSTC Open Source Training and
Consulting GmbH
90425 Nürnberg, Waldemar-Klink-Str. 10 0911-3474544 www.ostc.de √ √ √ √ √ √
Dipl.-Ing. Christoph Stockmayer GmbH 90571 Schwaig, Dreihöhenstr. 1 0911-505241 www.stockmayer.de √ √ √
pascom - Netzwerktechnik GmbH & Co.KG 94469 Deggendorf, Berger Str. 42 0991-270060 www.pascom.net √ √ √ √ √
RealStuff Informatik AG CH-3007 Bern, Chutzenstrasse 24 0041-31-3824444 www.realstuff.ch √ √ √
CATATEC CH-3013 Bern, Dammweg 43 0041-31-3302630 www.catatec.ch √ √ √
Syscon Systemberatungs AG CH-8003 Zürich, Zweierstrasse 129 0041-44-4542010 www.syscon.ch √ √ √ √ √
Würth Phoenix GmbH IT-39100 Bozen, Kravoglstraße 4 0039 0471 56 41 11 www.wuerth-phoenix.com √ √ √ √
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um Linux bieten. Alle Angaben ohne Gewähr.
n
MAGAZIN
SondErAkTion
Testen Sie jetzt
3 Ausgaben
für 3 Euro!
nUr
MiT dVd!
Jetzt schnell bestellen:
• Telefon: 07131 / 2707 274
• Fax 07131 / 2707 78 601
• Mail abo@linux-magazin.de
• http://linux-magazin.de/probeabo
Mit großem Gewinnspiel (Infos unter: www.linux-magazin.de/probeabo)
*Preis gilt für Deutschland
LM_1-4DIN_Sonderaktion_3Euro_2810-2013.indd 1
05.11.2013 13:57:09 Uhr

Service
www.linux-magazin.de Inserenten 01/2014
104
Inserentenverzeichnis
1&1 Internet AG http://​www.einsundeins.de 34, 35
ADMIN http://​www.admin-magazin.de 69
Android User GY http://​www.android-user.de 53
CANDAN THE WEB COMPANY http://​www.canhost.de 29
ConSol Software GmbH http://​www.consol.de 13
Contabo http://​www.contabo.de 51, 61
Deutsche Messe AG http://​www.cebit.de 2
Easy Linux http://www.easylinux.de 43, 82
embedded projects GmbH http://​www.embedded-projects.net 102
Fernschule Weber GmbH http://​www.fernschule-weber.de 101
Linux-Hotel http://​www.linuxhotel.de 15
Linux-Magazin http://​www.linux-magazin.de 67, 79, 102
Linux-Magazin Online http://​www.linux-magazin.de 93
LinuxUser http://​www.linuxuser.de 103
Medialinx AG http://​www.medialinx-gruppe.de 83, 83
Medialinx IT-Academy
http://​www.medialinx-academy.de
19, 54, 87, 101
Netways GmbH http://​www.netways.de 75
Open Source Press GmbH http://​www.opensourcepress.de 49
PlusServer AG http://​www.plusserver.de 17, 27,
45, 81, 89, 95
Galileo Press http://​www.galileo-press.de 9
Raspberry Pi Geek http://​www.raspberry-pi-geek.de 41
GIMP-Magazin http://​www.gimp-magazin.de 63
Spenneberg Training & Consulting http://​www.spenneberg.com 101
Heinlein Support GmbH http://​www.heinlein-support.de 39, 65
Thomas Krenn AG http://​www.thomas-krenn.com 108
Host Europe GmbH http://​www.hosteurope.de 11
Tuxedo Computers GmbH http://​www.linux-onlineshop.de 107
Ico Innovative Computer GmbH http://​www.ico.de 33
Webtropia http://​www.webtropia.com 25, 31
Veranstaltungen
01.-02.02.2014
FOSDEM’14
ULB Campus Solbosch
1050 Brüssel, Belgien
https://fosdem.org/2014/
17.-20.02.2014
USENIX FAST ’14
Santa Clara, CA, USA
https://www.usenix.org/conference/fast14
21.-23.02.2014
SCALE 12x
Los Angeles, CA, USA
https://www.socallinuxexpo.org/scale12x
25.-27.02.2014
Wearables DevCon 2014
San Francisco, CA, USA
http://wearablesdevcon.com
26.-27.02.2014
Cloud Expo Europe 2014
London, UK
http://www.cloudexpoeurope.com
26.-27.02.2014
Data Centre World
London, UK
http://www.datacentreworld.com
31.03.-02.04.2014
Big Data TechCon
Boston, MA, USA
http://www.bigdatatechcon.com
02.-04.04.2014
USENIX NSDI ’14
Seattle, WA, USA
https://www.usenix.org/conference/nsdi14
26.-27.04.2014
LinuxFest Northwest 2014
Bellingham, WA, USA
http://www.linuxfestnorthwest.org
29.04.-01.05.2014
Android Builders Summit
San Jose, CA, USA
http://events.linuxfoundation.org/events/androidbuilders-summit
29.04.-01.05.2014
Embedded Linux Conference 2014
San Jose, CA, USA
http://events.linuxfoundation.org/events/embeddedlinux-conference
27.-30.05.2014
Android DevCon 2014
Boston, MA, USA
www.andevcon.com
02.-03.06.2014
Automotive Linux Summit
Tokyo, Japan
http://events.linuxfoundation.org/events/automotivelinux-summit-spring
04.-06.06.2014
CloudOpen Japan 2014
Tokyo, Japan
http://events.linuxfoundation.org/events/cloudopenjapan
04.-06.06.2014
LinuxCon Japan 2014
Tokyo, Japan
http://events.linuxfoundation.org/events/linuxcon-japan
13.-14.06.2014
Texas Linux Fest 2014
Austin, Texas, USA
http://2014.texaslinuxfest.org
23.-24.06.2014
Enterprise End User Summit
New York, NY, USA
http://events.linuxfoundation.org/events/enterpriseend-user-summit
23.-25.06.2014
Cloud DevCon: AWS Developer Con 2014
San Francisco, CA, USA
www.clouddevcon.net
20.-22.08.2014
CloudOpen North America 2014
Chicago, IL, USA
http://events.linuxfoundation.org/events/cloudopennorth-america
20.-22.08.2014
LinuxCon North America 2014
Chicago, IL, USA
http://events.linuxfoundation.org/events/linuxconnorth-america
20.-22.08.2014
USENIX Security ’14
San Diego, CA, USA
https://www.usenix.org/conference/usenixsecurity14
13.-15.10.2014
CloudOpen Europe 2014
Düsseldorf, Germany
http://events.linuxfoundation.org/events/cloudopeneurope
13.-15.10.2014
LinuxCon Europe 2014
Düsseldorf, Germany
http://events.linuxfoundation.org/events/linuxconeurope
09.-14.11.2014
USENIX LISA ’14
Seattle, WA, USA
https://www.usenix.org/conference/lisa14
18.-21.11.2014
Android DevCon Fall 2014
San Francisco, CA, USA
www.andevcon.com

Impressum
Linux-Magazin eine Publikation der Linux New Media, einem
Geschäftsbereich der Medialinx AG
Redaktionsanschrift Putzbrunner Str. 71
81739 München
Tel.: 089/993411-0
Fax: 089/993411-99 oder -96
Internet
www.linux-magazin.de
E-Mail
redaktion@linux-magazin.de
Geschäftsleitung
Chefredakteur
stv. Chefredakteure
Redaktionsltg. Online
Brian Osborn (Vorstand), bosborn@medialinx-gruppe.de
Hermann Plank (Vorstand), hplank@medialinx-gruppe.de
Jan Kleinert (V.i.S.d.P.), jkleinert@linux-magazin.de (jk)
Markus Feilner, mfeilner@linux-magazin.de (mfe)
Mathias Huber, mhuber@linux-magazin.de (mhu)
Mathias Huber, mhuber@linux-magazin.de (mhu)
Print- und Onlineredaktion
Aktuell, Forum, Software, Kristian Kissling, kkissling@linux-magazin.de (kki)
Programmierung Mathias Huber, mhuber@linux-magazin.de (mhu)
Sysadmin, Know-how Markus Feilner, mfeilner@linux-magazin.de (mfe)
Ständige Mitarbeiter Fred Andresen, Zack Brown, Mela Eckenfels, Heike Jurzik (hej),
Charly Kühnast, Martin Loschwitz, Michael Schilli, Tim
Schürmann, Mark Vogelsberger, Uwe Vollbracht, Arnold
Zimprich (azi)
Schlussredaktion
Grafik
Bildnachweis
DELUG-DVD
Chefredaktionen
International
Produktion
Onlineshop
Abo-Infoseite
Abonnenten-Service
ISSN 1432 – 640 X
Jürgen Manthey
Klaus Rehfeld, Judith Erb (Art Director)
xhoch4, München (Titel-Illustration)
123RF.com, Fotolia.de, Photocase.com, Pixelio.de und andere
Thomas Leichtenstern, tleichtenstern@linux-magazin.de (tle)
Linux Magazine International
Joe Casad (jcasad@linux-magazine.com)
Linux Magazine Poland
Artur Skura (askura@linux-magazine.pl)
Linux Magazine Spain
Paul C. Brown (pbrown@linux-magazine.es)
Linux Magazine Brasil
Rafael Peregrino (rperegrino@linuxmagazine.com.br)
Christian Ullrich, cullrich@linux-magazin.de
www.medialinx-shop.de
www.linux-magazin.de/Produkte
A.B.O. Verlagservice GmbH
Gudrun Blanz (Teamleitung)
abo@medialinx-gruppe.de
Tel.: +49-(0)7131-2707-274
Fax: +49-(0)7131-2707-78-601
Preise Print Deutschland Österreich Schweiz Ausland EU
No-Media-Ausgabe 4 6,40 4 7,05 Sfr 12,80 (siehe Titel)
DELUG-DVD-Ausgabe 4 8,50 4 9,35 Sfr 17,— (siehe Titel)
Jahres-DVD (Einzelpreis) 4 14,95 4 14,95 Sfr 18,90 4 14,95
Jahres-DVD (zum Abo 1 ) 4 6,70 4 6,70 Sfr 8,50 4 6,70
Mini-Abo (3 Ausgaben) 4 3,— 4 3,— Sfr 4,50 4 3,—
Jahresabo No Media 4 65,20 4 71,90 Sfr 107,50 4 84,60
Jahresabo DELUG-DVD 4 87,90 4 96,90 Sfr 142,80 4 99,90
Preise Digital Deutschland Österreich Schweiz Ausland EU
Heft-PDF Einzelausgabe 4 6,40 4 6,40 Sfr 8,30 4 6,40
DigiSub (12 Ausgaben) 4 65,20 4 65,20 Sfr 84,80 4 65,20
DigiSub (zum Printabo) 4 12,— 4 12,— Sfr 12,— 4 12,—
HTML-Archiv (zum Abo 1 ) 4 12,— 4 12,— Sfr 12,— 4 12,—
Preise Kombiabos Deutschland Österreich Schweiz Ausland EU
Mega-Kombi-Abo 2 4 143,40 4 163,90 Sfr 199,90 4 173,90
Profi-Abo 3 4 136,60 4 151,70 Sfr 168,90 4 165,70
1
nur erhältlich in Verbindung mit einem Jahresabo Print oder Digital
2
mit LinuxUser-Abo (DVD) und beiden Jahres-DVDs, inkl. DELUG-Mitgliedschaft (monatl.
DELUG-DVD)
3
mit ADMIN-Abo und beiden Jahres-DVDs
Schüler- und Studentenermäßigung: 20 Prozent gegen Vorlage eines Schülerausweises
oder einer aktuellen Immatrikulationsbescheinigung. Der aktuelle Nachweis ist bei
Verlän gerung neu zu erbringen. Andere Abo-Formen, Ermäßigungen im Ausland etc.
auf Anfrage.
Adressänderungen bitte umgehend mitteilen, da Nachsendeaufträge bei der Post nicht
für Zeitschriften gelten.
Pressemitteilungen
Marketing und Vertrieb
Mediaberatung D, A, CH
presse-info@linux-magazin.de
Petra Jaser, pjaser@linux-magazin.de
Tel.: +49 (0)89 / 99 34 11 – 24
Fax: +49 (0)89 / 99 34 11 – 99
Michael Seiter, mseiter@linux-magazin.de
Tel.: +49 (0)89 / 99 34 11 – 23
Mediaberatung USA Ann Jesse, ajesse@linux-magazine.com
und weitere Länder Tel.: +1 785 841 8834
Darrah Buren, dburen@linux-magazine.com
Tel.:+1 785 856 3082
Pressevertrieb
Druck
Es gilt die Anzeigen-Preisliste vom 01.01.2013.
MZV Moderner Zeitschriften Vertrieb GmbH & Co. KG
Ohmstraße 1, 85716 Unterschleißheim
Tel.: 089/31906-0, Fax: 089/31906-113
Vogel Druck GmbH, 97204 Höchberg
Der Begriff Unix wird in dieser Schreibweise als generelle Bezeichnung für die Unixähnlichen
Betriebssysteme verschiedener Hersteller benutzt. Linux ist eingetragenes
Marken zeichen von Linus Torvalds und wird in unserem Markennamen mit seiner
Erlaubnis verwendet.
Eine Haftung für die Richtigkeit von Veröffentlichungen kann trotz sorgfältiger Prüfung
durch die Redaktion vom Verlag nicht übernommen werden. Mit der Einsendung von
Manus kripten gibt der Verfasser seine Zustimmung zum Abdruck. Für unverlangt
eingesandte Manuskripte kann keine Haftung übernommen werden.
Das Exklusiv- und Verfügungsrecht für angenommene Manuskripte liegt beim Verlag. Es
darf kein Teil des Inhalts ohne ausdrückliche schriftliche Genehmigung des Verlags in
irgendeiner Form vervielfältigt oder verbreitet werden.
Copyright © 1994 – 2013 Medialinx AG
Impressum 01/2014
Service
www.linux-magazin.de
105
Krypto-Info
GnuPG-Schlüssel der Linux-Magazin-Redaktion:
pub 1024D/44F0F2B3 2000-05-08 Redaktion Linux-Magazin
Key fingerprint = C60B 1C94 316B 7F38 E8CC E1C1 8EA6 1F22 44F0 F2B3
Public-Key der DFN-PCA:
pub 2048R/7282B245 2007-12-12,
DFN-PGP-PCA, CERTIFICATION ONLY KEY (DFN-PGP-Policy: 2008-2009)
Key fingerprint = 39 D9 D7 7F 98 A8 F1 1B 26 6B D8 F2 EE 8F BB 5A
PGP-Zertifikat der DFN-User-CA:
pub 2048R/6362BE8B (2007-12-12),
DFN-PGP-User-CA, CERTIFICATION ONLY KEY (DFN-PGP-Policy: 2008-2009)
Key fingerprint = 30 96 47 77 58 48 22 C5 89 2A 85 19 9A D1 D4 06
Root-Zertifikat der CAcert:
Subject: O=Root CA, OU=http://www.cacert.org, CN=CA Cert Signing Authority/
Email=support@cacert.org
SHA1 Fingerprint=13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
MD5 Fingerprint=A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B
GPG-Schlüssel der CAcert:
pub 1024D/​65D0FD58 2003-07-11 [expires: 2033-07-03]
Key fingerprint = A31D 4F81 EF4E BD07 B456 FA04 D2BB 0D01 65D0 FD58
uid CA Cert Signing Authority (Root CA)
Autoren dieser Ausgabe
Konstantin Agouros Wellenreiten 30
Zack Brown Zacks Kernel-News 18
Tobias Eggendorfer Jenseits der Bedrohung 64
Charly Kühnast I'll be back-up 71
Martin Loschwitz Datensilos für Daheim 46
Martin Loschwitz Neue Türpolitik 84
Tommi Mäkitalo Web plus plus 90
Sebastian Mogilowski Intelligenz im Hause 24
Olaf Radicke Web plus plus 90
Michael Schilli Wie von Geisterhand 96
Sven Seeberg Sesam öffne Dich! 28
Tim Schürmann Organisationstalente 56
Tim Schürmann Schnappschuss 72
Sabine Sobola Aufgehübscht 76
Mark Vogelsberger Adressflut 88
Uwe Vollbracht Tooltipps 68

Service
www.linux-magazin.de Vorschau 02/2014 02/2013 01/2014 01/2013
106
Vorschau
02/2014 Dachzeile
MAGAZIN
Webshop-Software im Vergleichstest
© Lyudmyla Kharlamova, 123RF.com
Dokumentieren und Publizieren
Der nächste Magazin-Schwerpunkt will keinem Linuxer einreden,
dass er Readmes besser in Libre Office verfassen soll, um
modern zu sein. Gleichwohl gibt es beim Dokumentieren und
Publizieren genug Teilgebiete, bei denen selbst eingefleischte
Ascii-Kämpfer nach kurzer Überlegung sagen: Ja, das ist
gleichmaßen schön und cool.
Genau nach solchen Fällen hält das Linux-Magazin Ausschau,
nach dem HTML-5-Framework Reveal.js beispielsweise, das
animierte Präsentationsfoliensätze erzeugt, insbesondere im
Gespann mit Emacs und Org-Mode, oder nach Dokumentationssysteme
für Admins oder nach der Software IRC 2 Doc.
Assemblies und eine große Vielfalt in den Ausgabenformaten
fördern die Neuerungen in Docbook 5 zu Tage. Außerdem: Die
schwierige Suche nach dem perfekten PDF-Programm.
Überschrift
Es gibt kaum eine Softwaregattung, deren Beitrag zur betrieblichen
Wertschöpfung besser sichtbar wäre, als Webshops. Moderne
Vertreter zeigen nicht nur ihre kaufanreizende Oberfläche,
sondern managen am Hinterausgang auch Bezahlsysteme
oder CRMs. Das nächste Magazin lädt zu einer Inventur ein.
Kern-Technik
Etwa so alt wie Linux ist der serielle I 2 C-Bus. PCs verwenden
ihn nur intern, zum Messen der Motherboard-Temperatur beispielsweise,
Embedded-Systeme wie der Raspberry Pi verschalten
damit Sensoren und Aktoren auch extern. Der Linux-Kernel
spricht I 2 C-Komponenten durch ein separates Subsystem an.
Angular JS
Webentwickler, die Googles Javascript-Toolkit Angular JS benutzen,
bekommen es mit einem modularen Konzept zu tun,
das auf Webclient-Seite bewährte Entwicklungsmethoden kombiniert
und dem der Willen anzumerken ist, manch Programmierers
Neigung zu Spaghetticode zu widerstehen.
Die Ausgabe 02/2014
erscheint am 2. Januar 2014
© Paolo De Santis, 123RF.com
Vorschau
auf 01/2014
Die nächste Ausgabe erscheint am 19.12.2013
Entertainment
Ein Linux-PC eignet sich nicht nur zum Arbeiten: Wer sich entspannen
möchte, der wirft den Audioplayer an, legt eine DVD
ein oder surft in den Mediatheken der öffentlich-rechtlichen
Sendeanstalten nach spannenden Dokumentationen und interessanten
Eigenproduktionen.
Wem das nicht genügt, dem bieten die einschlägigen Videoplattformen
genug Bewegtbild für mehrere wLeben. Für alle
diese Spielarten des digitalen Entertainments gibt es passende
Tools, die den Konsum vereinfachen und oft sogar eigene Archivfunktionen
mitbringen.
Optimale Diagramme
Das knifflige an Diagrammen liegt in der Anordnung der einzelnen
Elemente. An diesem Punkt setzt Graphviz an, das Ihnen
die Gestaltung der Diagrammelemente zum großen Teil
abnimmt, sodass Sie den Kopf für die Inhalte freihaben.
Minimalistischer Editor
Der Editor Scribes unterstützt zwar die Tipparbeit durch zahlreiche
Features, versucht aber, diese nicht als Selbstzweck in
den Vordergrund zu stellen. Wie sich dieser Ansatz in der Praxis
bewährt, zeigt ein Test in der kommenden Ausgabe.