LinuxUser Abhörsicher surfen (Vorschau)

Knoppix 7.2.0f: EFI-Syslinux und
verbesserte USB-Installation S. 8
Anzeige
NeU
siehe
Flinker Distri-Winzling
STRATO
für
iST eRSTeR
I-Nex:
Hosting-Anbieter
Präzise Infos zur
Europas
von Servern mit Intel® Haswell CPU.
jede Hardware: Porteus S. 10 PC-Hardware sammeln S. 66
Seite 2
strato-pro.de
STR0813_DE_TKS_Haswell_120x17_CS3 1
31.07.2013 16:33:41 Uhr
09.2013
ARCH-PAKETE • DIGIKAM • GIMP • LATEX • RASPI TUNEN • YT2MP3 • PRIVACY
Lauschangriffe abwehren, E-Mails sichern, wichtige Daten schützen
Abhörsicher surfen
Unerkannt
im Internet S. 14
Raspberry als
Tor-Proxy S. 20
Surf-Spuren
verwischen S. 24
Eigene Cloud
für die Daten S. 28
E-Mails sicher
verschlüsseln S. 36
Urlaubsfotos einfach S. 44
aufpeppen mit Digikam
Top-Distris
auf zwei
Heft-DVDs
Die besten Tipps und Tricks
fürs Raspberry-Pi-Tuning S. 84
09
www.linux-user.de
EUR 8,50 EUR 9,35 sfr 17,00 EUR 10,85 EUR 11,05 EUR 11,05
Deutschland Österreich Schweiz Benelux Spanien Italien 4 196067 008502 09

Editorial
In der Pflicht
Sehr geehrte Leserinnen und Leser,
ren der NSA und anderer US-Dreibuchstaben-Dienste
gehörte und gehört
auch die Firma Booz Allen Hamilton, der
frühere Brötchengeber des Whistleblowers
Edward Snowden.
Nun ist es zwar ärgerlich, arbeitsaufwendig
und unbequem, sich gegen die
verfassungs- und gesetzwidrige Rundum-Bespitzelung
durch Prism und dessen
rund ein Dutzend Verwandte û – von
vielen kennt man nur die Codenamen,
nicht aber die genaue Funktion – zu wehren.
Unmöglich ist es aber keineswegs,
schon gar nicht mithilfe von und unter
Linu x: Die wichtigsten Techniken dazu
haben wir im Schwerpunkt dieses Hefts
für Sie zusammengefasst.
Den Schnüffeleien technisch einen
Riegel vorzuschieben ist aber nur die halbe
Miete: Wie die Enthüllungen von
„Frontal 21“ zeigen, haben alle großen
Parteien – CDU/​CSU, SPD, FDP, Grüne – in
den jeweils wechselnden Regierungen
von diesen rechtswidrigen Vorgängen
gewusst und nicht nur passiv weggeschaut,
sondern die Bespitzelung auch
noch aktiv gebilligt. Deshalb ist, über das
technische Handeln hinaus, jeder von
uns jetzt als Staatsbürger in der Pflicht.
Wir müssen jenen Leuten, die sich als
unsere Vertreter ausgeben, unmissverständlich
klar machen: Ja, wir schätzen
Sicherheit – aber nicht so sehr, dass wir
bereit sind, dafür unsere von der Verfassung
garantierten Grundrechte einzu-
Jörg Luther
Chefredakteur
Prism, Tempora – und kein Ende. Dabei
sprengen die Enthüllungen über die
gängigen digitalen Abhörpraktiken inzwischen
die Grenzen jeder Vorstellungskraft
– zumindest bei jenen Bürgern,
die bislang dachten, in einem demokratischen
Rechtsstaat zu leben. Immer
klarer kristallisiert sich heraus, dass
die beamteten Schnüffler dabei nicht
nur Metadaten abgreifen und speichern,
sondern alle anfallenden Inhalte û.
Das Potpourri der bespitzelten Dienste
umfasst dabei das gesamte Spektrum
der Online-Kommunikation, von der E-
Mail über Chat und Facebook bis hin
zum Surfverhalten. Über das mächtige
Recherchewerkzeug XKeyScore durchstöbern
die Spitzel anschließend im Stil
einer Google-Suche die gesammelten
Daten – ohne jeden Gerichtsbeschluss,
versteht sich. Das gilt nicht etwa nur für
die US-amerikanische NSA: Auch deutsche
Dienste – zumindest der Bundesnachrichtendienst
und das Bundesamt
für Verfassungsschutz – setzen offenbar
XKeyScore ein û.
Zunehmend wird auch klar, warum
sämtliche deutsche Politiker so grotesk
kleinlaut auf den ungeheuerlichen Abhörskandal
reagieren: Wie ein Bericht
des ZDF-Magazins „Frontal 21“ û aufgedeckt
hat, wussten sie nicht nur von diesen
Vorgängen, sondern haben den USA
sogar die Bespitzelung der Bürger explizit
erlaubt: Die deutschen Regierungen
von 2003 (Rot/​Grün), 2008 (Große Koalition)
und 2011 (Schwarz/​Gelb) haben
über 200 US-Firmen „Sonderrechte für
geheimdienstliche Tätigkeit in Deutschland“
eingeräumt. Zu diesen Kontraktotauschen.
Ja, Abhören muss im Umfeld
von Terrorismus und Schwerkriminalität
wohl sein – aber es darf nur dort, nur anlassbezogen
und nur mit einer richterlichen
Genehmigung erfolgen. Und von
jeder Regierung erwarten wir ungeachtet
der Parteizugehörigkeit, dass sie den
Gesetzen Geltung verschafft und sich für
unsere verfassungsmäßigen Rechte einsetzt
– auch und gerade einer Amok laufenden
Supermacht gegenüber.
Erfreulicherweise ist die Gelegenheit,
diese offenbar völlig in Vergessenheit
geratenen Tatsachen den politischen
Funktionsträgern einmal wieder klar ins
Lastenheft zu schreiben, gerade so gut
wie selten sonst. Ich habe vor, mein diesbezügliches
Memo am 22. September
per Kreuzchen einzureichen.
Herzliche Grüße,
Weitere Infos und
interessante Links
www. linux‐user. de/ qr/29924
09.2013 www.linux-user.de
3

09
44
Für das schnelle Korrigieren und
Aufwerten eines Fotos reichen
die eingebauten Werkzeuge der Fotoverwaltung
Digikam meist vollkommen aus.
90
Arch Linux überzeugt seine Fans
seit Langem durch Stabilität und
ein unglaublich einfaches Konzept. Das
spiegelt sich auch beim Bauen von Paketen
wider: In der Regel genügen dazu ein
Editor und das passende Rezept.
76
Viele Labels stellen Musikvideos
zu Werbezwecken auf Youtube
online. Möchten Sie die kostenlosen Tracks
aus den Clips extrahieren, leistet Youtube
to MP3 Ihnen dabei gute Dienste.
Aktuelles
Angetestet .. . . . . . . . . . . . . . . . . . . . 6
IDE Griffon 1.6.0 für Programmierer,
Webcrawler-Frontend HTTraqt 1.1.0,
Allround-Archivmanager Peazip 5.0,
schlanker Audio-Player Pogo 0.8.2
Knoppix 7.2.0f.. . . . . . . . . . . . . . . . . 8
Nutzen Sie schon jetzt Knoppix 7.2.0f mit
einigen Bugfixes und Verbesserungen, auf
die andere Anwender noch bis zum nächsten
Release warten müssen.
Fedora 19..................... 11
Fedora 19 überzeugt im Test direkt ab Installation.
Freie Treiber und die Integration von
topaktueller Software machen das System zu
einer interessanten Alternative.
Schwerpunkt
Anonym surfen .. . . . . . . . . . . . . . . 14
Tor hilft Ihnen dabei, sich anonym im Netz zu
bewegen. Wir zeigen, wie das Onion-Routing
in der Praxis funktioniert.
Onion Pi.. . . . . . . . . . . . . . . . . . . . . 20
Der Minirechner Raspberry Pi bietet sich als
kostengünstige und schlanke Plattform für
einen Zugangspunkt zum Tor-Netz an.
Tails 0.19. .................... 24
Das Live-System Tails 0.19 verschleiert beim
Surfen und Mailen sämtliche Spuren.
Seafile. ...................... 28
Seit Prism und Tempora ist klar: Daten in der
öffentlichen Cloud sind nicht sicher. Abhilfe
schafft eine selbst gehostete Lösung.
Open-GPG .. . . . . . . . . . . . . . . . . . . 36
Sichern Sie Ihre Mails in Thunderbird und
KMail mithilfe starker Kryptographie gegen
illegales Ausspähen.
Praxis
Digikam .. . . . . . . . . . . . . . . . . . . . . 44
Für einfache Korrekturen an typischen
Schnappschüssen und kleine Effekte zum
Aufpeppen der Fotos leisten die Werkzeuge
in der Bildverwaltung Digikam gute Dienste.
PDFs mit LaTeX .. . . . . . . . . . . . . . . 54
PDF gilt als Standard für den plattformunabhängigen
Datenaustausch. Mit LaTeX und
den Klassen Hyperref und Pdfpages nutzen
Sie die Möglichkeiten dieses Dateiformates
gekonnt aus.
Gimp 2.8: Verzerren. ...........62
Ob für den kreativen Einsatz oder als
schlichtes Mittel zum Zweck – die in Gimp
integrierten Werkzeuge zum Verzerren leisten
hervorragende Arbeit, wenn Sie wissen,
welches Sie wann einsetzen.
Zeroshell (Teil 3).. . . . . . . . . . . . . . 66
Eine Firewall kontrolliert den Fluss der
Daten in einem Netzwerk. Dank einfacher
Konfiguration und umfangreichen Logging-
Funktionen haben Sie mit Zeroshell einen
entsprechenden Dienst aufgesetzt.
8Mit einem verbesserten Installer, vielen
Bugfixes und einem Bootloader, der auf
EFI-Systemen durchstartet, geht das beliebte
Live-System in die Neuauflage.
4 09.2013

54
Das Satzsystem LaTeX erzeugt
nicht nur ein perfektes Druckbild,
sondern bietet auch beim Entwerfen von
PDFs opimale Flexibilität. Unser Workshop
zeigt, wie Sie Dokumenten und Formularen
den letzten Schliff verpassen.
20
Der Mini-PC Raspberry Pi eignet
sich ideal als Plattform für einen
privaten drahtlosen Zugangspunkt zum
weltweiten Tor-Netzwerk. Das ermöglicht
ein anonymes Surfen im Internet.
28
Mit dem NSA-Skandal haben Online-Dienste
viel Vertrauen verspielt.
Zeit, die wertvollen Daten wieder
zurückzuholen – in die eigene Cloud.
Im Test
Leisure Suit Larry Reloaded...... 72
Ein legendärer Schwerenöter ist wieder
da: In seiner dritten Inkarnation seit 1987
kämpft sich Leisure Suite Larry jetzt unter
Linux durch die schummrigen Nachtlokale
des Städtchens Lost Wages.
UBUNTU
user
Youtube to MP3. .............. 76
Der Downloader Youtube to MP3 bringt
eine Reihe Komfortfunktionen mit und
überzeugt durch ein intuitiv bedienbares
Interface. Allerdings ist nicht alles, was er
kann, auch unbedingt erlaubt.
Netz&System
Stresslinux.. . . . . . . . . . . . . . . . . . . 80
Mit der auf Lasttests und Benchmarking
spezialisierten Distribution Stresslinux
optimieren Sie gezielt Ihre Hardware. Auf
diese Weise kitzeln Sie mehr Leistung aus
einzelnen Komponenten, ohne dass dabei
die Integrität der Daten zu kurz käme.
Hardware
RasPi-Tuning. .................84
Der Raspberry Pi ist zwar klein und sparsam,
jedoch auch nur begrenzt leistungsfähig.
Durch gezieltes Tuning mit den entsprechenden
Werkzeugen helfen Sie ihm aber
schnell auf die Beine.
Know-how
Arch-Linux-Pakete. ............90
Ein Template und ein Editor reichen dank
eines cleveren Build-Systems bereits aus,
um die neueste Software nahtlos in Arch
Linux zu integrieren.
72
Er ist wieder da – kultig, schlüpfrig und
immer auf der Jagd: Leisure Suit Larry
driftet in der bereits dritten Auflage des Spieleklassikers
seit 1987 wieder durch den Dunst
der Nachtlokale im Städtchen Lost Wages.
Service
Editorial.. . . . . . . . . . . . . . . . . . . . . . 3
IT-Profimarkt.. . . . . . . . . . . . . . . . . 98
Impressum...................102
Events/Autoren/Inserenten.....103
Vorschau. ...................104
Heft-DVD-Inhalt ..............105
09.2013 www.linux-user.de
5

Aktuelles
Angetestet
Klonmeister
Httraqt 1.1.0 fasst die
essenziellen Funktionen des
Webseiten-Kopierers HTTrack in
einer komfortablen und intuitiven
Oberfläche zusammen.
Inspiriert von Winhttrack, wollten die
Entwickler eine einfach bedienbare Bedienoberfläche
für HTTrack bereitstellen.
Das ist gelungen – zumindest weitgehend:
Nach dem Start listet das Tool in
einer Baumübersicht alle Download-Profile
auf. Sie sehen sofort, welche Dateien
im jeweiligen Profil bereits angelegt und
übertragen wurden. Mit dem Weiter-
Schalter gelangen Sie in die Projektsteuerung.
Hier legen Sie das Basisverzeichnis
fest, in dem sich Profile und Downloads
befinden. Über den Projektnamen
konfigurieren Sie ein bestehendes
Projekt. Geben Sie
einen neuen Namen ein,
legt Httraqt ein neues Projekt
mit den Standardeinstellungen
an. Ein erneutes
Klicken bringt Sie in die
Konfiguration, wo Sie die zu
spiegelnde URL samt den
gegebenenfalls notwendigen
Anmeldedaten angeben.
Hier legen Sie auch Filterregeln
fest, über die Sie
bestimmte Datentypen oder
Formate von der Übertragung ausschließen.
In den Begrenzungen definieren Sie
die maximale Dateigröße und Übertragungsrate
oder begrenzen die Suchtiefe
in einer Site. Weitere Optionen ermöglichen
das Anpassen der Browser-ID, die
Kontrolle des Datenflusses über Verbindungsanzahl
und Timeouts sowie die
Zuordnung von Dateitypen zu MIME-
Entsprechungen. Sie haben die Möglichkeit,
via save as default neue Standardeinstellung
für Projekte zu hinterlegen.
Sind alle Einstellungen getätigt, starten
Sie den Download oder merken ihn für
später vor. In der Status-Ansicht zeigt
Httraqt den Übertragungsfortschritt sowie
die Anzahl der Verbindungen, die
gespeicherten Bytes und die Datenrate.
War die Übertragung erfolgreich, startet
das Tool das Profil beim nächsten Aufruf
mit der Aktion vorhandene Kopie aktualisieren.
Httraqt erlaubt das Vorsetzen abgebrochener
Übertragungen sowie das
Verzweigen zu den enthaltenen Links.
Lizenz: GPLv3
n
Quelle: http:// httraqt. sourceforge. net
Packstation
Die Zahl der von Linux unterstützten
Archivformate wird immer
umfangreicher. Peazip 5.0
erspart die Mühe, hier mit zahlreichen
Kommandozeilenprogrammen
jonglieren zu müssen.
Der Archivmanager Peazip unterstützt
über 100 verschiedene Kompressionsformate
wie 7Z, ARC, ARJ, RAR, TAR, GZ oder
ZIP, kommt aber auch mit Archiven wie
CAB oder ISO zurecht. Während das Tool
Archive in den freien Formaten auch
selbst erzeugen kann, beschränkt es sich
bei anderen Formaten wie ACE auf das
reine Entpacken. Auf den ersten Blick
wirkt Peazip wie ein Dateimanager, in
dem Sie auch tatsächlich durch Verzeichnisse
navigieren und Dateien verschieben,
löschen oder umbenennen. Bei Bedarf
tauschen Sie
die Symbolleiste
des Archiv-Managers
mit wenigen
Klicks gegen eine
Leiste für Dateimanager
aus. Treffen
Sie im Dateisystem
auf eine Archivdatei,
öffnen Sie diese
mit einem Doppelklick
und navigieren in deren Inhalt. Die
Symbole Extract und Extract all to ermöglichen
es, wahlweise nur eine Datei oder
das komplette Archiv zu entpacken. Über
das Symbol Test prüfen Sie die Integrität
einer Archivdatei. Mit add erzeugen Sie
neue Archiv-Dateien, wobei sich je nach
verwendetem Format das Archiv optional
in mehrere Dateien splitten lässt. Außerdem
können Sie den Kompressionsgrad
ändern oder das Archiv mit einem Passwort
vor unbefugtem Zugriff sichern. Darüber
hinaus ist Peazip in der Lage, Archive
von einem Format in ein anderes zu
konvertieren. Möchten Sie das Tool stets
zur Hand haben, ohne es jedes Mal neu
starten zu müssen, minimieren Sie es in
die Symbolleiste des Betriebssystems. Die
entsprechende Funktion finden Sie im
Ausklappmenü Datei. Dann steht Peazip
stets auf Doppelklick parat.
Lizenz: GPLv3
Quelle: http:// peazip. sourceforge. net/
6 www.linux-user.de
09.2013

Angetestet
Aktuelles
Das ursprünglich als kleiner Editor für
Shell-Skripte gestartete Griffon hat sich
mittlerweile zu einer umfangreichen
Entwicklungsumgebung gemausert. Es
bietet noch immer alle wichtigen Funktionen
eines Editors, wartet zudem jedoch
mit zahlreichen Zusatzfunktionen
auf. Dazu zählt ein integriertes Terminal,
in dem Sie Shell-Befehle absetzen. Ebenfalls
enthalten ist ein einfacher Webbrowser
– ideal, um in einer Online-
Dokumentation zu blättern. Notizen und
die eingebaute To-do-Funktion eignen
sich bestens, um Ideen festzuhalten und
Entwicklungsaufgaben zu strukturieren.
Selbst eine Projektverwaltung hält Griffon
parat. Der Zugriff auf externe Dateien
erfolgt wahlweise über FTP oder SSH.
Griffon greift dabei auf die Tools Sftp
Lizenz: GPLv2
Quelle: http:// griffon. lasotel. fr/ en/
nn
und Ftpfs zurück. Für Hobby-Webentwickler
gibt es ein eigenes Ausklappmenü
HTML, das alle wichtigen Tags sowie
eine einfache Page-Vorlage enthält.
Sie müssen nur noch auf das gewünschte
Tag klicken, um es an der Cursor-Position
einzufügen. Darüber hinaus bietet
Griffon für alle ihm bekannten Sprachen
Syntax-Highlighting sowie eine Auto-
Vervollständigung der Befehle
bei der Eingabe. Dabei
unterstützt es zurzeit
das Shell-Scripting, C, Perl,
PHP und HTML. Die Einstellmöglichkeiten
von
Griffon erkunden Sie am
besten im Selbstversuch:
Eine ausführliche Dokumentation
zu der IDE fehlt
bislang. Immerhin bietet
die Webseite einen bebilderten
Schnelleinstieg.
Sprachtalent
Die umfangreiche IDE
Griffon 1.6.0 bietet zahlreiche
Einstellungen und Funktionen,
die sonst nur größere
Programme mitbringen.
Suchen Sie einen einfachen und schnellen
Audio-Player, greifen Sie am besten
zu Pogo. Das in Python implementierte
Tool, ein Fork des Players Decibel, greift
für die Wiedergabe auf die Gstreamer-
Bibliotheken zurück. Seine Gtk-basierte
Oberfläche verzichtet auf jeden Schnickschnack.
Mit dem Dateimanager in der
linken Fensterhälfte navigieren Sie durch
die Verzeichnisstruktur, ein Eingabefeld
oberhalb ermöglicht die Suche nach Dateien
und Ordnern. Ein Rechtsklick auf
einen Eintrag öffnet ein Kontextmenü,
über das Sie einzelne Dateien oder ganze
Verzeichnisse an eine Wiedergabeliste
anfügen. Deren Inhalt zeigt Pogo in der
rechten Fensterhälfte. Hier spielen Sie
per Doppelklick eine Audio-Datei ab. Ein
Lizenz: GPLv2
nn
Quelle: https:// launchpad. net/ pogo
Rechtsklick öffnet dagegen ein Kontextmenü,
über das Sie die Datei entfernen
oder die Wiedergabeliste leeren. Auch
ein Export der Playlist in eine Datei oder
ein Verzeichnis ist möglich. Konfigurieren
lässt sich Pogo über das Symbol in
der rechten oberen Ecke. Hier werten Sie
den Klang über einen Equalizer auf, aktivieren
eine Desktop-Benachrichtigung
beim Titelwechsel oder die Anzeige des
CD-Covers. Mehr Optionen
bietet das Programm
noch nicht. Alternativ
steuern Sie Pogo auch
über die Befehlszeile: Mit
einem der Befehle next,
prev, pause oder play
aufgerufen, führt der
Player die dazu passenden
Aktionen auf den
Tracks aus. (jlu/agr) n
Klangpurist
Wer komplexe Musikdatenbanken
scheut, findet in
Pogo 0.8.2 einen Puristen, der
die Organisation erleichtert, ohne
den Komfort zu schmälern.
09.2013 www.linux-user.de
7

Aktuelles
Knoppix 7.2.0f
Topaktuelle, fehlerbereinigte Knoppix-Version
direkt vom Entwickler
Runderneuert
Das exklusive Knoppix 7.2.0f
bringt Bugfixes und Verbesserungen,
auf die andere Anwender
noch bis zum nächsten
Release warten müssen.
Klaus Knopper
Readme
Das explizit für den Betrieb ohne Festplatteninstallation
konzipierte Knoppix basiert
auf Debian GNU/​Linux. Entwickler Klaus
Knopper passt bereits seit 1999 sein System
kontinuierlich an den aktuellen Stand
der Hardware an und erweitert es regelmäßig
um pfiffige neue Features.
Wenn es unbedingt sein muss, können
Sie Knoppix û auf einer Festplatte installieren.
Allerdings wurde es für den
Live-Betrieb optimiert. Am schnellsten
läuft es von einer USB-Flashdisk, auf die
Sie es mit den Installationsskripten im
Handumdrehen einrichten.
Beim Start erscheint ein Bootscreen
mit dem Knoppix-Logo. Hier können Sie
einige Cheatcodes eingeben, um etwa
einen bestimmten Grafik-Chipsatz einzustellen
oder Hardware gezielt anzusteuern,
für die eine automatische Konfiguration
nicht ohne Weiteres klappt.
UEFI-Boot
UEFI verkompliziert das Boot-Verfahren
dahingehend, dass BIOS-Routinen generell
nicht mehr greifen. Der Bootscreen
sowie das Laden des Betriebssystems
müssen über eine FAT32-Partition sowie
ein von der CPU-Architektur abhängiges
Programm abgewickelt werden, das
auch restriktivere Bootmethoden wie
das berüchtigte (und keineswegs sichere)
UEFI Secure Boot ermöglicht.
Am besten schalten Sie in den Einstellungen
des Rechners das UEFI-Bootverfahren
zugunsten von CSM („Compatibility
Support Module“) ab: UEFI bietet im
Regelfall keinerlei Vorteile, und einige
Hersteller implementieren es zudem so
fehlerhaft, dass es unter bestimmten
Umständen zu einem Versagen der Firmware
mit Totalausfall führt. Unerfreulicherweise
findet sich auf vielen Rechnern
ein vorinstalliertes Betriebssystem,
das den Start nur über UEFI erlaubt.
Damit zumindest die USB-Flashdisk-
Variante von Knoppix auf solchen Rechnern
auch ohne Umstellung des Bootverfahrens
startet, enthält Knoppix 7.2.x
zusätzlich zum bekannten, stabilen
MBR-Syslinux auch eine experimentelle
EFI-Version dieses Bootloaders. Sie verwendet
dieselbe Konfigurationsdatei
(/ boot/syslinux/syslinux.cfg) wie
8 www.linux-user.de
09.2013

Knoppix 7.2.0f
Aktuelles
1 Auf großen USB-Sticks können Sie den
über die maximal 4 GByte für die Boot-
Partition hinausgehenden Platz jetzt als
Dateisystem-Overlay für Knoppix nutzen.
beim Standard-Bootverfahren. Da bei
EFI der Bootloader von der CPU-Architektur
abhängt, bringt die DVD-Version
von Knoppix zum Starten der jeweiligen
Kernel sowohl eine 32- als auch eine
64-Bit-Version des Bootloaders im Verzeichnis
/EFI/BOOT mit. Das Laden einer
Bootgrafik unterstützt Syslinux-EFI derzeit
nicht, sodass hier der übliche Knoppix-Pinguin
zur Begrüßung fehlt.
Flashdisk-Installer
Knoppix läuft von einem USB-Stick bis
zu fünfmal schneller als von der DVD.
Zudem speichert die auf Stick installierte
Version Daten und Einstellungen automatisch.
So erhalten Sie ein System, das
sich zwar wie eine Festplatteninstallation
anfühlt, das sich aber dennoch mobil
auf Rechnern einsetzen lässt. Um es
auf einem USB-Stick zu installieren, wählen
Sie im Menü Knoppix den Punkt
Knoppix auf Flashdisk installieren.
Zur Installation richteten frühere Versionen
auf dem Stick eine virtuelle Festplatte
mit Ext2-Dateisystem als Loopback-Image
ein. Sie befand sich mit den
übrigen Bootdateien auf einem FAT32-
Dateisystem. FAT32 unterstützt jedoch
nur maximal 4 GByte große Dateien. Auf
aktuellen USB-Sticks mit 8 GByte oder
noch mehr Kapazität ließ sich der verbleibende
Platz nicht direkt ins Live-System
integrieren. Der neue Flash-Installer
kann den Stick so partitionieren, dass
neben der FAT32-Bootpartition eine
Linux-Partition wählbarer Größe entsteht,
die das System direkt als Overlay
(optional verschlüsselt) nutzen kann 1 .
Der Standard-Browser Iceweasel (die
Debian-Variante von Firefox) kommt in
Knoppix mitsamt der vorinstallierten Erweiterung
NoScript. Diese sorgt dafür,
dass der Browser für aktive Inhalte wie
Javascript und Plugin-basierte interaktive
Elemente erst Ihre Freigabe abfragt,
bevor er diese ausführt. Das schützt zuverlässig
vor Schädlingen, die versuchen,
über Keylogger Passwörter zu
stehlen, angezeigte Formulare zu manipulieren
oder gar Trojaner als „Browser-
Erweiterung“ zu installieren.
In der Standardkonfiguration von
NoScript müssen Sie jede einzelne Website
für aktive Inhalte freischalten – etwas
paranoid, aber der beste Weg, im
Internet vor Überraschungen sicher zu
sein. Die persönlichen Lieblingsseiten
lassen sich mit einem Mausklick dauerhaft
„entsperren“, vor allem beim Online-
Banking oder Webshopping sollten Sie
NoScript aber in den anderen Tabs aktiviert
haben.
Ein wirkungsvolles Mittel, um zumindest
die eigene IP-Adresse beim Surfen
zu „verstecken“ und so beispielsweise
ortsbezogene Werbung und das Zurückverfolgen
von Verbindungen zu erschweren,
stellt das anonymisierende
Knoppix 7.2.0f (32+64Bit)
bootfähig auf Heft-DVD 2
Netzwerk Tor dar 2 . Mehr dazu lesen
Sie in einem Artikel im Schwerpunkt dieser
Ausgabe û, der auch auf die Stärken
und Schwächen des Konzeptes eingeht.
Um am Tor-Netzwerk teilzunehmen,
bietet Knoppix im Menü einen Starter,
der den eigenen Client als passiven Teilnehmer
registriert – es werden also niemals
Anfragen anderer Tor-Nutzer über
den eigenen Rechner geleitet. Um auch
den Browser für die Benutzung von Tor
vorzubereiten, findet sich im Firefox-
2 Für das anonyme Surfen bindet Knoppix den Rechner ins Tor-Netzwerk ein. Zur
Steuerung dient das komfortable grafische Frontend Vidalia.
09.2013 www.linux-user.de
9

Aktuelles
Knoppix 7.2.0f
TIPP
Weitere Infos und
interessante Links
www. linux‐user. de/ qr/ 30223
Vor allem für Lehrer praktisch ist der Starter
für VNC und RDP, mit dem Sie den gerade
laufenden Desktop wahlweise nur
zum Anschauen oder passwortgeschützt
auch zum Fernsteuern an andere Rechner
freigeben. Mit einer internen Umsetzung
zwischen VNC und RDP klappt der Zugriff
auch für Windows-Clients, die nicht über
einen VNC-Client verfügen.
Menü unter Extras ein einfacher Proxy-
Umschalter, der auf Wunsch alle Webzugriffe
über das Tor-Netzwerk abwickelt.
Koexistenz mit Windows
Dank Ntfs-3g klappt das Lesen und
Schreiben auf NTFS-Partitionen unter
Linux sehr sicher und schnell. Allerdings
weisen neuere Windows-Versionen ein
Feature namens „Quickstart“ auf, das im
Wesentlichen dasselbe leistet wie das
unter Linux lange bekannte Suspend-to-
Disk: Es sichert den Systemzustand inklusive
laufender Programme im RAM
beim Ausschalten (eigentlich eher ein
Schlafenlegen) auf die Festplatte, von
wo es beim Hochfahren den gespeicherten
Systemzustand wiederhergestellt.
Ändert sich nun während des Schlafzustandes
der Inhalt der Systempartition,
erkennt Windows diese „außerplanmäßige“
Änderung am Dateisystem
nach dem Aufwachen nicht und schreibt
folglich ungültige Daten auf die Systempartition
zurück. Darauf reagiert NTFS
meist mit gravierenden Dateisystemschäden
nebst Datenverlust. Um das von
vornherein auszuschließen, bringt Knoppix
einen Workaround mit.
Es stellt dem Mount-Kommando für
NTFS eine Sicherheitsüberprüfung
voran, die Sie über einen Dialog warnt,
wenn sie auf der Partition die Datei
hiberfil.sys und damit ein schlafendes
Windows entdeckt 3 . Nun können
Sie entweder nur lesend auf die Partition
zugreifen oder aber kurzentschlossen
hiberfil.sys vor dem Einbinden löschen.
Windows „vergisst“ dann den gespeicherten
Systemzustand und absolviert
beim nächsten Start einen „Full Restart“.
Das Dateisystem bleibt unbeschädigt.
In Knoppix-Versionen vor 6.0 fand sich
im Menü Einstellungen ein Startskript für
den Samba-Server samt Freigabe diverser
Datenträger, das beim Redesign des
Systems für Knoppix 6.0 „verlorenging“.
Nun findet sich der entsprechende Starter
wieder im Menü. Hinzu kommt ein
grafischer Samba-Netzwerkscanner.
Bugs
Nach Freigabe von Knoppix 7.2.0 fanden
einige Nutzer der Textkonsole (Bootoptionen
adriane oder knoppix 2) heraus,
dass das Einbinden von NTFS-Partitionen
mit mount dort nicht funktioniert.
Darüber hinaus verweigerte der Flashdisk-Installer
aufgrund einer zu großzügig
bemessenen Textfenster-Geometrie
(normalerweise nur 80x25) den Dienst.
Beide Fehler sind in der vorliegenden
Version 7.2.0f behoben.
Noch existent, weil erst nachträglich
entdeckt, ist ein Bug beim Booten der
64-Bit-Version via UEFI. Hier startet automatisch
statt der deutschen GUI-Version
von Knoppix das Adriane-System in Englisch.
Um dies zu beheben, ändern Sie
auf dem erzeugten USB-Stick die Datei
/ boot/syslinux/syslnx64.cfg: Statt
DEFAULT adriane64 tragen Sie DEFAULT
knoppix64 ein und ersetzen in allen
APPEND-Zeilen lang=en durch lang=de.
Weitere Aktualisierungen und Hinweise
zum neuen Release sind in den Release
Notes û.
Ausblick
3 Beim Zugriff auf NTFS-Partitionen umgeht Knoppix mögliche Probleme
mit einem „schlafen gelegten“ Windows automatisch. Hier sehen
Sie noch einen kleinen Bug: Die Meldung sollte natürlich automatisch in
Deutsch erscheinen statt in Englisch.
Zu den geplanten Neuerungen zählen
unter anderem UEFI-Boot-Unterstützung
für das Schnellinstallationsprogramm
0wn, eine automatische Blattlagenerkennung
für das Modul Adriane-ocr und
das Finden einer funktionsfähigen Kombination
des grafischen Screenreaders
Orca mit Firefox/​Iceweasel, damit blinde
Computeranwender diesen Browser wieder
nutzen können. (jlu) n
10 www.linux-user.de
09.2013

Fedora 19
Heft-DVD
Fedora 19 im Test
Schrödingers Pinguin
Die sonst typische Erfahrung bei Fedora
û, bei einem neuen Release zunächst
die ersten Updates abzuwarten, fällt bei
Version 19, Codename „Schroedinger’s
Cat“, weg: Im Test stellt sich gleich nach
dem Installieren – ohne das übliche Warten
auf die ersten Updates – Zufriedenheit
im Umgang mit dem System ein.
Das mag daran liegen, dass das Release
als Fundament für Red Hat Enterprise
Linux 7 vorgesehen ist. Ein Update nach
dem ersten Setup lohnt sich aber trotzdem,
wie schon dessen Umfang verdeutlicht:
Im Test zog diese Funktion nur wenige
Tage nach dem offiziellen Release
nicht weniger als 245 Updates nach.
Fedora 19 steht in verschiedenen Varianten
bereit, so als Installations-DVD, als
installierbare Live-CD mit Gnome û, sowie
in Form verschiedener Live-Medien
und Spin-Varianten û mit KDE, LXDE
oder der Alternative XFCE.
Wie für Fedora üblich nutzt die „Desktop
Edition“ Gnome als Standard-Desktop
û, sowohl in der Live-Version wie
bei der Installations-DVD, allerdings
ohne Klassik-Modus: Bevorzugen oder
benötigen Sie diesen, installieren Sie das
Paket gnome-classic-session nach. Das
hilft aber nichts, wenn die 3D-Unterstützung
fehlt, denn der Klassik-Modus basiert
auf der Gnome Shell. Das Paket bietet
nur ein schlichteres, an Gnome 2
orientiertes Design, wie es insbesondere
viele Unternehmen bevorzugen.
Das Gleiche bietet der Maté-Desktop,
der als populäre Replik auf Gnome 2 in
der aktuellen Version 1.6 û erstmals als
Readme
Das von Red Hat gesponserte Fedora-Projekt
gilt nicht nur als Plattform für Experimente
mit Blick auf die Entwicklung von Red Hat
Enterprise Linux, sondern setzt häufig Trends
– aktuell in Bezug auf UEFI und Secure Boot.
Der Beitrag verrät, ob sich Fedora 19 nur für
Fans freier Software empfiehlt oder ob ein
Wechsel von einem auf mehr Komfort ausgerichteten
System lohnt.
09.2013 www.linux-user.de
11

Heft-DVD
Fedora 19
Installieren Sie mehrere der Desktop-
Umgebungen, stehen diese als Auswahl
im Login-Manager bereit. Bei früheren
Fedora-Versionen konnten Sie alternative
Desktops ausschließlich nachträglich
über das Paketmanagement installieren,
zum Teil nur mithilfe weiterer Repositories.
Maté und Cinnamon waren
bisher gar nicht an Fedora angepasst.
Sie finden Informationen zu sämtlichen
Neuerungen von Fedora in der
Ankündigung û anlässlich der Veröffentlichung
sowie in der Feature List û.
Unter der Haube
1 Vorbildblich: Fedora 19 liefert alle derzeit relevanten Desktops in einer jeweils
aktuellen Version bereits als Installations-Option im Anaconda-Installer mit.
Fedora 19 (installierbare Live-CDs)
Desktop Edition, KDE Spin, LXDE Spin
und XFCE Spin (32+64 Bit)
bootfähig auf Heft-DVD
Features für Administratoren
Fedora 19 eignet sich als eine Art kostenlose
RHEL-Preview mit aktueller Enterprise-
Software und fortgeschrittenen Funktionen
für den Betrieb auf dem Server oder im
Rechenzentrum. So liefern die Entwickler
neben den Standard-Komponenten von
OpenStack-Grizzly die OpenStack-Projekte
Heat und Ceilometer mit. Ferner beherrscht
das System mit der Funktion
Checkpoint & Restore die Live-Migration
von Prozessen zwecks Lastverteilung. Erwähnenswert
ist die Möglichkeit, virtuelle
Maschinen ohne gemeinsamen Speicher
zu verschieben. Das Init-System Systemd
Option in der Auswahl der Software direkt
bei der Installation bereitsteht. Dort
finden Sie darüber hinaus den Gnome-
Fork Cinnamon 1.9.1, KDE Plasma 4.10,
XFCE oder LXDE 1 .
Für das Installieren in einer virtuellen
Maschine unter VirtualBox oder VMware
sollten Sie keinesfalls Gnome mit oder
ohne Klassik-Modus benutzen, da sich
das Bedienen als Katastrophe erweist.
Mit KDE und erst recht mit Maté, LXDE
oder XFCE funktioniert Fedora 19 aber
auf virtueller Hardware recht passabel.
kommt in Version 204 zum Einsatz und
wurde in zahlreichen Punkten verbessert.
Es ermöglicht, die Einstellungen von Diensten
ohne Neustart zu ändern. Allerdings
erschien zwischenzeitlich bereits Sys temd
205, sodass noch einmal umfangreiche
Änderungen anfallen. Für Admins großer
Umgebungen und Rechenzentren ist
OpenLMI interessant, eine Infrastruktur
zum Verwalten von Linux-Systemen. Darüber
hinaus erweitern die „High Availability
Container Resources“ die Hochverfügbarkeitslösung
Corosync/​Pacemaker um Container
in virtuellen Maschinen.
Fedoras Grafik-Stack nutzt als Vorgabe
die Version 1.14.1 des X-Servers von
X.org, Version 1.14.2 kommt mit dem
ersten Update nach. Die Fedora-Entwickler
liefern aber auch Wayland und Weston
mit. Außerdem setzt Fedora 19 bei
Mesa-3D auf einen Snapshot des Entwicklerzweiges,
wodurch Sie in den Genuss
der jeweils aktuellsten Versionen
der quelloffenen Treiber kommen.
So finden Sie den noch in keiner anderen
Distribution integrierten OpenGL-
Treiber radeonsi. Damit steht bisher einzig
für Nutzer von Fedora 19 die 3D-Unterstützung
von Radeon-Karten der Southern-Island-Generation
durch Open-
Source-Treiber bereit.
Einzigartig unter den Distributionen
ist darüber hinaus der Userland-Treiber
für die Video-Beschleunigung auf Radeon-Chips,
Unified Video Decoder (UVD),
der allerdings erst mit einem Kernel 3.10
funktioniert. Das Fedora-Team liefert
„Schroedinger’s Cat“ noch mit dem Kernel
3.9.x aus, Linux 3.10 steht aber bereits
auf dem Plan û.
Das Fedora-Projekt konzentriert sich
ganz auf freie Software. Proprietäre Grafiktreiber
fehlen nach der ersten Installation
von Fedora; bei Bedarf installieren
Sie diese aus dem RPM-Fusion-Repository
nach. Das bietet neben dem aktuellen
Nvidia-Treiber eine offizielle Beta-Version
des proprietären AMD-Treibers.
Als Standard-Büropaket bringt Fedora
19 LibreOffice 4.1 mit. Als Default-
Browser haben die Entwickler Firefox 21
integriert, die Version 22 rutscht über die
12 www.linux-user.de
09.2013

Heft-DVD
2 Firefox 22 kommt direkt nach der Installation von Fedora 19 mit dem ersten Update.
Update-Funktion nach 2 . Ein Novum
sind die mitgelieferten Tools für das Modellieren
und den 3D-Druck, darunter
RepetierHost, Open SCAD, Skeinforge,
SFACT oder Printrun û.
Mit seiner Aktualität macht Fedora 19
als Plattform zum Entwickeln eine gute
Figur und erfreut das Herz von Programmierern
mit Node.js zum Erstellen von
skalierbaren Netzwerkanwendungen.
Daneben bringt es unter anderem Ruby
in den Versionen 2.0.0 und 1.9.3 mit sowie
die IDE Scratch zum Programmieren
des Rasp berry Pi.
Als ein absolutes No-Go für Einsteiger
erweist sich allerdings der Installer Anaconda:
An dem gibt es technisch zwar
wenig auszusetzen, das Bedienkonzept
gibt aber nach wie vor Rätsel auf. Insbesondere
das Modul zum Partitionieren
bringt selbst erfahrene Anwender an der
einen oder anderen Stelle ins Grübeln.
Das entspringt nur teilweise den holprigen
Übersetzungen.
Welchen Vorteil ein nicht linearer Ablauf
der Installation gegenüber dem
klassischen Vorgehen der meisten anderen
Distributionen bringt, erschließt sich
nicht. Möglicherweise spielen Vereinfachungen
beim automatischen Deployment
oder Optionen für Unternehmen
eine Rolle. Für den Benutzer am Heim-
PC wären diese aber unbedeutend.
Die Geschwindigkeit der Installation
hängt ohnehin nicht primär davon ab,
wie schnell Sie sich durch die einzelnen
Dialoge des Assistenten klicken, obwohl
Anaconda es ermöglicht, das Kopieren
der Dateien anzustoßen und dann parallel
Benutzer anzulegen.
Fazit
Fedora gehört zu den wichtigen Distributionen
und gilt technologisch zu Recht
als Trendsetter. Im Gegensatz zu Ubuntu,
das sich derzeit zunehmend ins Abseits
manövriert, ist Fedora in Version 19 eine
hervorragende, stabile und hochaktuelle
Distribution für erfahrene Linux-Anwender.
Im Gegensatz zu manch früherem
Release erweist sich das System vom
Start weg als voll funktionstüchtig.
Der Ehrenrettung halber sei erwähnt,
dass die komplizierte Installation im
Idealfall nur ein Mal zu bewältigen ist.
Erfahrene Nutzer dürften, insbesondere
wenn ihnen Debian zu altbacken, Open-
Suse zu „grün“, Mint zu „braun“ und
Ubuntu zu eigen ist, an Fedora 19 ihre
Freude haben. (agr) n
Weitere Infos und
interessante Links
www. linux‐user. de/ qr/28416
09.2013 www.linux-user.de
13

Schwerpunkt
Anonym surfen
Das Tor-Netzwerk verstehen und nutzen
Scheibchenweise
© Dionisio Dias Filho, 123RF
Geheimdienste greifen Daten
aus dem Internet ab. Für jeden,
der seine Privatsphäre
schützen möchte, ist Handeln
angesagt. Tor hilft Ihnen
dabei. Thomas Leichtenstern
Readme
Das Tor-Netzwerk bietet dank seines intelligenten
Designs durch Onion-Routing ein
Maximum an Sicherheit, die eigene Identität
zu verschleiern. Übertragungsgeschwindigkeiten
weit jenseits der 100 KByte/​s sind
inzwischen die Regel. Das Tor-Browser-
Bundle erlaubt es auch technisch weniger
versierten Anwendern, sich mithilfe des Tor-
Netzwerkes zu schützen.
Wer ohne Schutz im Internet surft, hinterlässt
mehr Spuren, als ihm lieb ist.
Dazu zählt die IP-Adresse, die eine relativ
leichte Zuordnung zu einer Person erlaubt.
Das nutzen nicht nur Ermittler
beim Verfolgen von Straftätern und „Gefährdern“,
sondern auch diverse Webprojekte
und Tracker, die das Surfverhalten
der Nutzer protokollieren, um die erhobenen
Daten zu verkaufen. Davon lebt
inzwischen eine ganze Industrie.
Um der Datensammelei Einhalt zu gebieten,
gilt es, die persönlichen Daten so
weit als möglich zu verschleiern. Dabei
leistet das Tor-Netzwerk û eine wertvolle
Hilfe: Es besteht aus einem Sammelsurium
verschiedener Rechner auf der ganzen
Welt, über die der Datenverkehr verschlüsselt
läuft.
Wie funktioniert Tor
Tor steht als Abkürzung für „The Onion
Routing“ – ein Projekt, das ursprünglich
von der US-Marine û initiiert und umgesetzt
wurde, um die Kommunikation
zwischen Behörden zu schützen.
Im Kern funktioniert Tor folgendermaßen:
Der Client bezieht beim Start von
einem Verzeichnisserver eine Liste sogenannter
Tor-Nodes als Knotenpunkte, an
denen er sich anmeldet. Ruft der Client
eine Seite auf, verbindet er sich via
SOCKS mit einem sogenannten Entry
Guard. Dieser reicht die Anfrage an einen
zweiten Knoten weiter, der sie wiederum
an einen dritten disponiert, den
sogenannten Exit-Node. Aus Effizienzgründen
entschieden die Tor-Entwickler,
jeweils nur drei Knoten zur Verbindung
zu verwenden 1 .
Was die Kommunikation via Tor so
sicher macht, ist die Tatsache, dass jeder
Server durch das Verwenden verschiedener
Verschlüsselungen nur einen Teil der
Verbindungsdaten kennt. So weiß der
Entry Guard nicht, welchen Host der Client
erreichen möchte. Das weiß jeweils
nur der Exit-Node, ohne jedoch die Identität
des Clients zu kennen. Um die Verbindung
aufzudecken, muss der Angreifer
also die komplette Mix-Kaskade unter
seine Kontrolle bringen. Da Tor aber
nach zehn Minuten die Routen automa-
14
www.linux-user.de
09.2013

Anonym surfen
Schwerpunkt
Tor-Browser-Bundle
LU/tor/
1 Grundsätzlich funktioniert die Kommunikation über das Tor-Netzwerk folgendermaßen:
Der Client versendet an den Entry Guard eine Anfrage, die dieser – ohne das Ziel zu
kennen – verschlüsselt an einen Relay-Node weiterreicht. Dieser kennt weder die Quelle
noch das Ziel der Anfrage und leitet sie lediglich an den Exit-Node weiter. Der Exit-Node
wiederum kennt nur das Ziel der Anfrage, nicht jedoch deren Urheber. Da im Tor-Netzwerk
keiner der Nodes über alle Daten verfügt, ist es für einen Angreifer oder eine Behörde
schwierig, eine Datenverbindung komplett aufzudecken.
tisch und zufällig wechselt, würde der
Angreifer potenziell auch nur einen Teil
der Kommunikation offenlegen können.
Diese Architektur macht es selbst für die
Geheimdienste nahezu unmöglich, die
Verbindungsdaten eines bestimmten
Rechners über einen längeren Zeitraum
zu protokollieren.
Hier grenzt sich Tor von anderen Anonymisierungsproxies
ab: Diese verwenden
in der Regel keine oder statische
Serverkaskaden und gehören meist einem
Unternehmen, das – je nach Serverstandort
– dazu verpflichtet ist, die Verbindungen
zu protokollieren. Entsprechend
fällt es interessierten Behörden
leichter, die Verbindung zu ihrem Ursprung
zurückzuverfolgen.
Die Kommunikation zwischen den
Tor-Nodes und dem Client läuft vollständig
verschlüsselt ab. Lediglich die Verbindung
vom Exit-Node zum Ziel bleibt
dabei unverschlüsselt, sofern der kontaktierte
Server seinen Content nicht
selbst (etwa via SSL) verschlüsselt auslie-
fert. Tor unterstützt neben dem Webbrowsing
auch andere Dienste, wie IRC,
Instant Messaging, E-Mail und SSH. Um
diese zu nutzen, muss der Client die Verbindung
via SOCKS unterstützen.
Tor nutzen
Sowohl Ubuntu als auch OpenSuse stellen
Tor in ihren eigenen Repositories zur
Installation über den jeweiligen Paketmanager
bereit. Sofern dort nicht die aktuelle
Version 0.2.3.25 vorliegt, empfiehlt
das Tor-Projekt die Installation aus den
eigenen Quellen. Das spielt auch deswegen
eine nicht unerhebliche Rolle, weil
einige Tor-Knoten den Kontaktversuch
älterer Versionen ablehnen.
Nach der Installation lädt der Dienst
automatisch. Manuell starten und stoppen
Sie ihn mit den Kommandos sudo
torctl [start|stop] beziehungsweise
/etc/init.d/tor [start|stop]. Er bezieht
seine Direktiven aus der Datei
/ etc/tor/torrc. Eine Konfiguration ist
SOCKS: Kurz für „Sockets“. Internetprotokoll
(RFC1928), über das Anwendun gen protokollunabhängig
und transparent die Dienste
eines Proxy-Servers nutzen können.
09.2013
www.linux-user.de
15

Schwerpunkt
Anonym surfen
Tor-Browser-Bundle
Das Tor-Projekt stellt neben den Einzelkomponenten
das Tor-Browser-Bundle û
zum Download bereit. Im Kern besteht es
aus einer speziell angepassten Firefox-Version,
derzeit in Version 17, die bereits Erweiterungen
wie HTTPS-Everywhere,
NoScript und den Tor-Button enthält. Ihm
zur Seite steht das grafische Tor-Frontend
Vidalia. Da das Bundle statisch kompiliert
wurde, benötigt es keine Bibliotheken aus
dem System und startet folglich auf allen
Distributionen gleichermaßen. Da es sowohl
die Konfigurationsdateien als auch
den Cache im eigenen Verzeichnis ablegt,
eignet sich das Paket auch als portable
Version zum Mitführen, beispielsweise auf
einem USB-Stick.
Um es zu nutzen, entpacken Sie das
Archiv und starten das enthaltene Skript
start‐tor‐browser. Damit startet
simultan Tor, Vidalia und der Browser, der
direkt eine sichere Verbindung über das
Tor-Netzwerk herstellt. Nach dem Schließen
des Browsers löscht dieser automatisch
sämtliche während der Session angefallenen
Daten wie Verlauf und Cookies.
Diese Kombination bietet sich nicht nur
im Normalfall überflüssig, lohnt sich
aber trotzdem, weil Sie so einige hilfreiche
Zusatzfunktionen erhalten.
Um das Tor-Netzwerk zu nutzen, müssen
Sie den Webbrowser entsprechend
konfigurieren. In Firefox tragen Sie zum
Beispiel in den Netzwerk-Einstellungen
unter SOCKS-Host die Adresse 127.0.0.1
sowie den Port 9050 ein und aktivieren
die Checkbox neben SOCKS v5.
Erweiterte Einstellungen
Half in der Vergangenheit das Firefox-
Addon Tor-Button beim schnellen Umstellen
auf die anonyme Verbindung,
müssen Sie jetzt darauf verzichten. Laut
dessen Entwickler Mike Perry ist dieser
nämlich „ein sicherheitstechnischer Albtraum“
û. Deswegen bietet ihn das Tor-
Projekt nicht mehr als isoliertes Addon
an, sondern nur noch im Paket mit dem
Tor-Browser-Bundle (siehe Kasten Tor-
Browser-Bundle).
wegen ihrer unkomplizierten Handhabung
an, sondern bietet auch ein weiteres
Sicherheitsplus gegenüber dem Standardbrowser:
Viele Webseiten fragen beim Besuch
unter anderem die Konfiguration des
Systems und die ID des Browsers ab. Des
Weiteren protokollieren Seiten wie Facebook
auch dann den Besuch von Websites,
die ihre Plugins verwenden, wenn
Sie sich bei Facebook abgemeldet haben
û. Diese Risiken umgehen Sie mit
dem Gebrauch des Bundles anstelle Ihres
Standardbrowsers.
Vornehmlich dient die Firefox-Erweiterung
Tor-Button zum Umschalten zwischen normalem
und gesichertem Netz. Daneben
bietet sie aber weitere Funktionen an. Sie
konfigurieren das Addon über einen Klick
auf das Zwiebel-Symbol neben der Adressleiste
und die Anwahl von Einstellungen
aus dem Kontextmenü. Die Sicherheitseinstellungen
erlauben es unter anderem,
Plugins während der Tor-Sessions zu deaktivieren
und automatisch generierte
Suchvorschläge abzuschalten. Im Abschnitt
Cookies geben Sie an, wie der Browser
mit Cookies verfahren soll.
Zwar bedarf der normale Betrieb von Tor
keiner Änderung an der Konfiguration.
Das ändert sich jedoch, wenn Sie die
Möglichkeiten des Proxy-Servers ausreizen
möchten.
Bei Tor handelt es sich um ein Mitmachprojekt,
das letztlich davon lebt,
dass möglichst viele Anwender den Service
auch anderen Tor-Nutzern anbieten.
Das ist für den Betreiber zumindest so
lange unkritisch, wie sein Rechner nicht
als Exit-Node arbeitet. Dieser leitet wie
erwähnt die Anfragen als letzte Instanz
an den Zielserver weiter, der entsprechend
die IP-Adresse des letzten Knoten
im Log speichert. Wird der Zielserver
also überwacht, fällt der Verdacht zunächst
auf den Betreiber des Exit-Nodes.
Zwar kennt man bislang keine Fälle, in
denen der Betrieb eines Exit-Nodes zu
einer juristischen Sanktion geführt hätte,
erhebliche Scherereien sind aber dennoch
nicht ausgeschlossen.
Das schließt jedoch nicht aus, sich
trotzdem am Projekt zu beteiligen: Tor
bietet auch die Möglichkeit, den Server
so zu konfigurieren, dass er nicht oder
nur zum Teil als letzter Knoten arbeitet.
Einige Zeilen in der Tor-Konfigurationsdatei
/etc/tor/torrc machen den
Daemon zum Teil des Tor-Netzwerkes,
ohne dass er als letzter Knoten arbeitet.
Mit den Einstellungen aus Listing 1
lauscht der Dienst auf Port 9001, bietet
eine maximale Durchschnittsbandbreite
von 100 KByte/​s und weist sämtliche Anfragen,
die nicht von anderen Tor-Servern
kommen, zurück. Betreiben Sie den
Server hinter einem Router, müssen Sie
dort den Port, auf dem Tor auf eingehende
Verbindungen lauscht (im Beispiel
9001), auf den Host weiterleiten.
Beachten Sie, dass die oben angeführte
Exit-Policy-Restriktion lediglich beim
Zugriff aufs öffentliche Internet greift.
Listing 1
ORPort 9001
Nickname MeinTorproxy
RelayBandwidthRate 100 KB
RelayBandwidthBurst 200 KB
ExitPolicy reject *:*
16 www.linux-user.de
09.2013

Anonym surfen
Schwerpunkt
Den direkten Zugriff auf sogenannte
Hidden Services ermöglichen dagegen
auch normale Relay-Hosts. Wie Sie selbst
einen solchen Hidden Service aufsetzen,
verrät der Kasten Versteckspiel.
Die Tor-Konfiguration bietet aber auch
noch diverse andere Möglichkeiten, auf
das Verhalten des Dienstes einzuwirken.
Möchten Sie ihn zum Beispiel auch aus
dem lokalen Netz erreichen, ergänzen
Sie die Konfiguration um den Eintrag
SocksBindAddress IP‐Adresse:Port,
etwa SocksBindAddress
192.168.1.125:4712.
Da Tor wie beschrieben alle zehn
Minuten zufällig die Routen wechselt,
kommt es durchaus vor, dass sich in der
Kaskade ein langsamer Knoten befindet,
der die Übertragungsgeschwindigkeit
ausbremst. Dem wirken Sie entgegen,
indem Sie hinter den Direktiven Entry‐
Nodes und ExitNodes die von Ihnen bevorzugten
Server eintragen:
ExitNodes Server1,Server2,...
Tor-Konfigurationsdatei ~/.vidalia/
torrc erzeugt und nutzt. Eventuelle
Anpassungen an der ursprünglichen
Steuer datei /etc/tor/torrc ignoriert
das Tool also vollständig.
Zum Start von Tor genügt es, in Vidalias
Kontrollpanel den Schalter Tor starten
2 Die grafische Oberfläche Vidalia erleichtert das
Einrichten sowie An- und Abschalten von Tor.
Möchten Sie die ausschließlich die
bevorzugten Server verwenden, teilen
Sie das Tor über die Direktiven
StrictEntryNodes 1 und StrictExit‐
Nodes 1 mit. Hierbei gilt es aber zu beachten,
dass diese Reduzierung der
Nodes auch eine Reduzierung der Anonymität
mit sich bringt. Um beispielsweise
das Nutzen von in den USA betriebenen
Node-Servern auszuschließen,
verwenden Sie die Anweisung Exclude‐
Nodes, gefolgt von den durch Kommas
getrennten Servernamen. Eine Liste aller
zur Verfügung stehender Direktiven erhalten
Sie mit dem Kommandozeilenaufruf
tor ‐‐list‐torrc‐options. Die
Manpage erklärt diese im Detail.
Vidalia
Eine grafische Oberfläche zur Konfiguration
von Tor bietet Vidalia 2 , das Sie
über den Paketmanager Ihrer Distribution
einrichten. Bereits während der Installation
fragt die Software ab, ob sie
temporär oder dauerhaft für den Zustand
von Tor zuständig zeichnen soll.
Beachten Sie, dass Vidalia û eine eigene
Da das Tor-Netzwerk die Namensauflösung
übernimmt, kann es auch Domain-
Namen auflösen, die es im „normalen“ Internet
nicht gibt. Tor nutzt dazu die interne
TLD *.onion, um sogenannte Hidden
Services anzusteuern, die Sie ausschließlich
über das Tor-Netzwerk erreichen.
Diese bestehen in der Regel aus ganz normalen
Webseiten. Von diesen unterscheiden
sie sich aber grundlegend durch die
Tatsache, dass analog zum Surfen über Tor
sowohl der Webseitenbetreiber als auch
der Webserver für den Zugreifenden unbekannt
bleibt.
Um selbst einen Hidden Service anzubieten,
brauchen Sie einen Webserver, der
die zu veröffentlichenden Daten via HTTP
bereitstellt. Handelt es sich um statischen
Content, genügt normalerweise ein
schlanker Server wie Thttpd û. Sie starten
ihn auf der Kommandozeile mit dem
Befehl:
# thttpd ‐r /WWW‐Verzeichnis/ ‐pU
4711 ‐h 127.0.0.1
Die darauf aufbauende Grundkonfiguration
von Tor beschränkt sich auf folgende
zusätzliche Einträge in /etc/tor/torrc:
Versteckspiel
HiddenServiceDir WWW‐Verzeichnis
HiddenServicePort 80 127.0.0.1:4U
711
Während die erste Direktive den Pfad zum
Verzeichnis angibt, in dem sich die Webseite
befindet, beschreibt die zweite die
Netzwerkadresse. Ausgehend von diesem
Beispiel lauscht Tor danach auch auf
Port 80, der Webserver nimmt Anfragen
über den Localhost auf Port 4711 entgegen.
Das Port-Mapping von 80 auf 4711
übernimmt Tor selbst. Ein Port-Forwarding
auf dem Router entfällt, da sämtliche Anfragen
über den Tor-Tunnel laufen.
Nach dem Speichern der Konfiguration
aktiviert ein Neustart des Tor-Dienstes die
Änderungen. Es legt dabei im WWW-Verzeichnis
zwei Dateien an: Die eine nennt
sich hostname und enthält den Namen
des Rechners, mit dem andere Nutzer den
Hidden Service erreichen. Dieser besteht
aus einem zufällig generierten Hash, gefolgt
von der TLD .onion, etwa zejzzf7bnbf5h7zc.onion.
Die zweite Datei
heißt private_key und enthält den
Schlüssel, mit dem sich der Dienst gegenüber
Tor authentifiziert.
09.2013 www.linux-user.de
17

Schwerpunkt
Anonym surfen
anzuklicken. Der Schalter Bandbreitengraph
öffnet ein kleines Fenster, das den
jeweils anliegenden Datendurchsatz anzeigt.
Aussagekräftiger gibt sich der Dialog
Netzwerk betrachten: Er zeigt in einer
Grafik, über welche Tor-Hops die aktuelle
Verbindung läuft 3 . Die linke Spalte listet
sämtliche bekannten Server auf, die
Tabelle Verbindungen alle, mit denen der
Tor-Client in Verbindung steht. Ein Klick
auf einen der Einträge zeigt Details zum
jeweiligen Host rechts daneben. Ein
Rechtsklick auf den Eintrag öffnet das
Dialogfeld Kanal schließen, mit dem Sie
die zugehörige Verbindung trennen.
Diese Ansicht eröffnet Ihnen auch
eine einfache Möglichkeit, bestimmte
Hosts wie beschrieben ein- oder auszuschließen.
Um mehrere auszuwählen, klicken
Sie mit der linken Maustaste bei
gedrücktem [Strg] auf die gewünschten
Einträge. Nach Abschluss der Auswahl
rechtsklicken Sie auf den letzten und
wählen aus dem Kontextmenü Kopieren |
Spitzname. Vidalia kopiert die Namen
dann kommasepariert so, dass Sie sie
lediglich hinter die entsprechenden Anweisungen
in der Steuerdatei kopieren
müssen, etwa ExcludeNodes.
Aktiver Content
Die Konfiguration von Tor erreichen Sie
in der Rubrik Einstellungen. Unter dem
Punkt Hilfe finden Sie eine umfassende
Beschreibung zu den meisten Einstellmöglichkeiten.
In der Rubrik Fortgeschritten
finden Sie außerdem den Schalter
Bearbeite aktuellen torrc. Ein Klick darauf
öffnet die momentan verwendete
Konfigurationsdatei in einem Editor. Hier
tragen Sie beispielsweise die genannten
ExcludeNodes ein. Der Abschnitt Tor
Konfigurationsdatei ermöglicht es Ihnen,
ein anderes Setup als das aktuelle zu
verwenden.
3 Über das Modul Netzwerk betrachten von Vidalia erfahren Sie zum einen, mit welchen Servern der Rechner derzeit
verbunden ist, und zum anderen, welche Wege die Daten auf ihrer Reise durch das Netzwerk nehmen. Suchen Sie Kandidaten
für die Ausschlussliste, und kopieren Sie die Spitznamen über das Frontend.
18 www.linux-user.de
09.2013

Anonym surfen
Schwerpunkt
Tor zeichnet lediglich für die Übertragung
der Daten verantwortlich, nicht jedoch
für die Sicherheit der Inhalte. Soll
heißen: Auch wenn Sie Tor zum Übertragen
der Daten nutzen, ist es durchaus
möglich, beispielsweise über Flash, Cookies
oder Javascript die wahre Identität
des Clients offenzulegen. Hier gilt es,
jenseits von Tor entsprechende Sicherheitsvorkehrungen
zu treffen.
Als derzeit probatestes Mittel dazu gilt
der Content-Filter Privoxy û. Er steht in
den Repositories aller größeren Distributionen
zum Download bereit, sodass Sie
ihn meist bequem über den Paketmanager
installieren. Sie starten den Filter-
Proxy via /etc/init.d/privoxyd start.
Um Privoxy zusammen mit Tor zu nutzen,
öffnen Sie zunächst mit Root-Rechten
die Datei /etc/privoxy/config in einem
Texteditor. Damit Privoxy die empfangenen
Daten weiterreicht, fügen Sie
darin am Anfang folgende Zeile hinzu:
forward‐socks4a / localhost:9050
4 Nach erfolgreichem Setup erscheint im Browser nach der Eingabe von http://g.g
die Startseite von Privoxy, über die Sie den Dienst bei Bedarf einrichten.
Ein Neustart mittels /etc/init.d/privoxyd
restart übernimmt die Änderungen.
Stellen Sie abschließend die Adresse
127.0.0.1:8118 im Browser ein und aktivieren
Sie die Checkbox Für alle Protokolle
diesen Proxy-Server verwenden. Bei
Erfolg öffnet die URL http://p.p 4 die
Übersichtsseite von Privoxy. Ob Tor
ebenfalls in der Kaskade läuft, erfahren
Sie mit dem Aufruf von https:// check.​
torproject. com.
Galt Tor noch vor wenigen Jahren aufgrund
seiner niedrigen Transferraten als
weitgehend unbenutzbar, hat sich das
Bild deutlich gewandelt. Im Test lag der
durchschnittliche Datendurchsatz bei
durchgängig über 100 KByte/​s, was zum
Surfen ausreicht, bei Downloads aber
die Geduld strapaziert. Allerdings ist das
Tor-Netzwerk für solche Anwendungsfälle
nicht vorgesehen. (tle) n
Weitere Infos und
interessante Links
www. linux‐user. de/ qr/ 30042
Fazit
Das Projekt Tor bietet sicherlich kein Patentrezept
für sicheres Surfen, stellt jedoch
Schnüfflern und Angreifern sehr
hohe Hürden in den Weg. Da das System
dezentral arbeitet, ist es wesentlich widerstandsfähiger
gegen An- und Übergriffe
als andere, kommerzielle Anonymisierungsdienste.
Darüber hinaus bietet
das Design des Onion-Routing im
Moment das sicherste Mittel, das Netz
anonym zu nutzen: Das Prinzip zu kompromittieren,
setzt einen erheblichen
Aufwand voraus, der selbst dann nicht
zwangsläufig von Erfolg gekrönt ist.
Verlosung
Wer mehr über das Thema Privacy erfahren
möchte, dem legen wir das Buch
„Anonym im Netz“ (http://​
www. opensourcepress. de/​
anonymimnetz) von Open
Source Press ans Herz. In
diesem Werk erfahren Sie,
welche frei verfügbaren
Lösungen zum Schutz Ihrer
Privatsphäre es gibt
und wie Sie diese am
effektivsten einsetzen.
Fünf dieser Bücher hat uns
der Verlag freundlicherweise
für eine Verlosung zur Verfügung
gestellt. Möchten Sie ein Exemplar der lesenswerten
Lektüre gewinnen,
dann beantworten Sie
uns einfach die folgende
Frage: Wofür steht die Abkürzung
„Tor“?
Senden Sie Ihre Antwort
bis zum 15.09.2013 per
E-Mail unter dem Betreff
Anonym im Netz an
redaktion@linux‐user.
de. Der Rechtsweg ist ausgeschlossen.
09.2013 www.linux-user.de
19

Schwerpunkt
Onion Pi
© Adam Vilimek, 123rf
Raspberry Pi als Tor-Proxy nutzen
Tor zur Welt
Wer nicht nur die Kommunikation seines Browsers via Tor schützen möchte, sondern seinen
gesamten Internetdatenverkehr, der kommt um einen externen Proxy-Server nicht herum.
Der Minirechner Raspberry Pi bietet eine kostengünstige Lösung dafür.
Valentin Höbel, Thomas Leichtenstern
Wer einen Tor-Proxy lokal betreibt, der
muss alle Applikationen entsprechend
konfigurieren, die den Dienst nutzen
sollen. Darüber hinaus muss die Anwendung
zwingend via SOCKS kommunizieren
können. Möchten Sie aber Ihren
kompletten Internetdatenverkehr über
das Tor-Netzwerk leiten, hilft nur ein externer
Router. Der Raspberry Pi 1 stellt
dafür die ideale, weil günstige und stromsparende
Hardware-Basis dar. Bekannt
wurde das Projekt unter dem Namen
Onion Pi û. Allerdings sollten Sie sich
auch als Tor-Nutzer nicht zu sehr in
Readme
Das Projekt Tor bietet Ihnen die Möglichkeit, Ihre IP-Adresse und
damit den wichtigsten Anhaltspunkt für Ihre Identität im Netz zu
verschleiern. Lokal installiert, muss dafür aber jede Client-Anwendung
mehr oder weniger umständlich mit Tor verbunden werden.
Einfacher geht es mit einem Tor-Proxy auf einem eigenen Rechner:
Hier genügt es, sich wie im vorliegenden Beispiel via Onion Pi mit
dem entsprechenden WLAN zu verbinden.
Listing 1
subnet 192.168.42.0 netmask 255.255.255.0 {
range 192.168.42.10 192.168.42.50;
option broadcast‐address 192.168.42.255;
option routers 192.168.42.1;
default‐lease‐time 600;
max‐lease‐time 7200;
option domain‐name "local";
option domain‐name‐servers 8.8.8.8, 8.8.8.4;
}
20 www.linux-user.de
09.2013

Onion Pi
Schwerpunkt
1 Der Raspberry Pi, kaum größer als eine Zigarettenschachtel, wickelt bei richtiger Konfiguration
Ihren kompletten Internetverkehr anonymisiert ab.
Sicherheit wiegen: Das Verschleiern der
IP-Adresse ist nur die halbe Miete und
kann Ihre Identität nicht alleine verbergen
(siehe Kasten Die Grenzen von Tor).
Auf los geht’s los
reits eine IP-Adresse, deaktivieren Sie es
mit ifdown wlan0. Als nächsten Schritt
installieren Sie als Root mit dem Befehl
# apt‐get update && apt‐get instaU
ll hostapd isc‐dhcp‐server tor
die benötigten Software-Komponenten.
Rufen Sie danach mit nano /etc/dhcp/
dhcpd.conf die Konfigurationsdatei des
DHCP-Servers auf, und kommentieren
Sie als Erstes mit einer vorangestellten
Raute (#) folgende Zeilen aus:
# option domain‐name "example.org";
# option domain‐name‐servers ns1.U
example.org, ns2.example.org;
Danach entfernen Sie das Kommentarzeichen
vor der Anweisung authorita‐
Diese Beschreibung zum Einrichten von
Onion Pi setzt ein eingerichtetes Image,
etwa Raspian û, auf der SD-Karte des
RasPi voraus. Sämtliche im Artikel aufgeführten
Eingaben und Änderungen erfordern
Root-Rechte. Darüber hinaus benötigen
Sie ein Netzwerkkabel sowie
einen WLAN-Stick.
Zunächst gilt es, den Raspberry als
Access Point und DHCP-Server zu konfigurieren.
Prüfen Sie zunächst mit dem Befehl
ipconfig ‐a, ob das Interface wlan
0 vorhanden ist. Besitzt das Interface betive;.
An das Ende der Datei hängen
Sie den in Listing 1 gezeigten Konfigurationsblock
an. Das Subnetz passen Sie
dabei nach den eigenen Wünschen an.
Mit [Strg]+[O] speichern Sie die Änderungen,
mit [Strg]+[X] verlassen Sie anschließend
den Editor.
In der Datei /etc/default/isc‐dhcpserver
teilen Sie dem Server in der
Direktive INTERFACES= mit, über welche
Schnittstelle er künftig IP-Adressen ver-
Listing 2
iface lo inet loopback
iface eth0 inet dhcp
allow‐hotplug wlan0
iface wlan0 inet static
address 192.168.42.1
netmask 255.255.255.0
Die Grenzen von Tor
Wer Tor nutzt, sollte sich nicht per se in der Sicherheit wiegen, anonym
im Netz zu surfen. Hier gilt es, einige Aspekte zu beachten. Aktive
Skripte wie Flash, Javascript aber auch Java sind durchaus in der
Lage, die Identität des Surfers offenzulegen.
Browser-Plugins wie Amazons „1Button App“ tracken darüber hinaus
jeden Seitenaufruf und schicken sogar die Sucheingaben zu
Servern û. Ähnlich verhält es sich mit Cookies, die Aufschluss über
die besuchten Seiten geben. Melden Sie sich bei Diensten wie
Google, Facebook, Twitter und Konsorten an, hebelt das die Tor-
Anonymität naturgemäß komplett aus. Entsprechend gilt es, auch
den Browser mit den richtigen Plugins und Einstellungen zu härten,
um auch hier auf der sicheren Seite zu stehen.
Einen weiteren, gerne übersehenen Aspekt stellen Bad-Exit-Nodes
dar. Generell stellen Exit-Nodes die letzte Instanz in der Mix-Kaskade
dar und übertragen, sofern die aufgerufene Seite nicht selbst SSL
verschlüsselt, die Daten im Klartext. Für Betreiber von Exit-Nodes –
die jeder anbieten kann – ist es damit ein Leichtes, aus dem Datenstrom
Login-Daten oder potenziell sensible Dokumente abzufischen.
Dagegen schützen Sie sich, indem Sie nur vertrauenswürdige Exit-
Nodes verwenden, etwa solche des Chaos Computer Clubs û.
09.2013 www.linux-user.de
21

Schwerpunkt
Onion Pi
Listing 3
interface=wlan0
driver=rtl871xdrv
ssid=OnionPi
hw_mode=g
channel=6
macaddr_acl=0
auth_algs=1
ignore_broadcast_ssid=0
wpa=2
wpa_passphrase=Passwort
wpa_key_mgmt=WPA‐PSK
wpa_pairwise=TKIP
rsn_pairwise=CCMP
Listing 4
# wget http://www.adafruit.com/
downloads/adafruit_hostapd.zip
# unzip adafruit_hostapd.zip
# mv /usr/sbin/hostapd /usr/sbin/
hostapd.ORIG
# mv hostapd /usr/sbin
# chmod 755 /usr/sbin/hostapd
gibt. Für das vorliegende Szenario tragen
Sie den Wert wlan0 ein. Weisen Sie
danach dem Interface wlan0 in der Datei
/etc/network/interfaces eine statische
IP-Adresse zu (Listing 2).
Der Aufruf ifup wlan0 nimmt das
WLAN-Interface in Betrieb. Damit der
Onion Pi als Access Point arbeitet, gilt es,
den Dienst zunächst in der Datei /etc/
hostapd/hostapd.conf zu konfigurieren
(Listing 3). An dieser Stelle empfiehlt es
sich, zumindest den Wert für wpa_passphrase
anzupassen: Dieses Kennwort
dient später zum Login ins WLAN.
Damit Upstart den Daemon automatisch
lädt, tragen Sie in der Konfigurationsdatei
/etc/default/hostapd den
Wert DAEMON_CONF="/etc/hostapd/
hostapd.conf" ein.
Aus Kompatibilitätsgründen mit aktuellen
WLAN-Sticks empfehlen die Entwickler
von Onion Pi zusätzlich ein Update
von Hostapd (Listing 4). Nach dem
Aktualisieren der Access-Point-Software
nehmen Sie die beiden Komponenten
Listing 6
Log notice file /var/log/tor/
notices.log
VirtualAddrNetwork 10.192.0.0/10
AutomapHostsSuffixes .onion,.exit
AutomapHostsOnResolve 1
TransPort 9040
TransListenAddress 192.168.42.1
DNSPort 53
DNSListenAddress 192.168.42.1
Listing 7
# touch /var/log/tor/notices.log
# chown debian‐tor /var/log/tor/
notices.log
# chmod 644 /var/log/tor/notices.
log
mit den Aufrufen service hostapd
start und service isc‐dhcp‐server
start in Betrieb. Damit sie bei folgenden
Systemstarts automatisch wieder laden,
tippen Sie noch die beiden Kommandos
update‐rc.d isc‐dhcp‐server enable
so wie update‐rc.d hostapd enable ein.
Umleitung
Die Kommunikation zwischen dem
WLAN-Subnetz und Tor erfordert einige
Anpassungen der Netzwerkkonfiguration.
Im ersten Schritt öffnen Sie die
Datei /etc/sysctl.conf und hängen an
deren Ende die Anweisung net.ipv4.
ip_forward=1 an. Das Kommando
sysctl ‐p aktiviert die Änderung.
Nun gilt es, die Iptables-Regeln anzupassen
û. Bereits vorhandene löschen
Sie zunächst mit den Aufrufen iptables
‐F und iptables ‐t nat ‐F. Danach aktivieren
Sie die wichtigsten Regeln neu
(Listing 5). Um die Konfiguration zu speichern,
tippen Sie:
# sh ‐c iptables‐save > /etc/iptaU
bles.ipv4.nat
Damit das System die Regeln beim
nächsten Reboot wieder einliest, öffnen
Sie die Datei /etc/network/interfaces
und ergänzen diese nach einer Leerzeile
um den Eintrag up iptables‐restore <
/etc/iptables.ipv4.nat
Tor einrichten
Die Konfigurationsdaten von Tor enthält
die Datei /etc/tor/torrc. Hier fügen Sie
direkt nach der Zeile ## https://www.
torproject.org/docs/faq#torrc die
Passage aus Listing 6 ein. Damit Tor wie
Der Autor
Listing 5
iptables ‐t nat ‐A PREROUTING ‐i wlan0 ‐p tcp ‐‐dport 22 ‐j REDIRECT
‐‐to‐ports 22
iptables ‐t nat ‐A PREROUTING ‐i wlan0 ‐p udp ‐‐dport 53 ‐j REDIRECT
‐‐to‐ports 53
iptables ‐t nat ‐A PREROUTING ‐i wlan0 ‐p tcp ‐‐syn ‐j REDIRECT
‐‐to‐ports 9040
Valentin Höbel arbeitet bei
der Linux Information Systems
AG als Technischer
Projektleiter. Wenn er dort nicht gerade
Kunden von Linux überzeugt, beschäftigt
er sich in seiner Freizeit mit Kickern, seinem
freien Lieblingsbetriebssystem und
dem Raspberry Pi.
22 www.linux-user.de
09.2013

Onion Pi
Schwerpunkt
dort angegeben seine Meldungen in der
Datei notices.log protokollieren kann,
gilt es, diese erst einmal anzulegen und
mit den notwendigen Rechten zu versehen
(Listing 7). Abschließend starten Sie
Tor mit dem Aufruf service tor start.
Damit auch dieser Dienst nach dem Reboot
automatisch startet, tippen Sie
update‐rc.d tor enable ein.
Um Tor zu nutzen, müssen Sie sich zukünftig
nur noch mit dem gewünschten
Device am neuen WLAN einloggen. Ob
das Konstrukt wie gewünscht funktioniert,
zeigt ein Aufruf der Seite https://​
check. torproject. org 2 . Im Erfolgsfall
erscheint die Meldung Congratulations.
Your browser is configured to use Tor.
Fazit
Onion Pi ermöglicht Ihnen den transparenten
Betrieb eines Tor-Servers und damit
das Anonymisieren des wichtigsten
Identifikationsmerkmals, sprich: der IP-
2 Sofern alle Einstellungen an Ihrem Onion Pi stimmen, erscheint im Browser beim
Aufruf von https:// check. torproject. org diese Bestätigungsmeldung.
Adresse. Das lästige Konfigurieren von
Client-Anwendungen gehört damit der
Vergangenheit an: Anders als ein lokal
betriebener Tor-Proxy anonymisiert dieses
Konstrukt nicht nur den Datenstrom
einiger Anwendungen, sondern den gesamten
Datenverkehr. (tle) n
Weitere Infos und
interessante Links
www. linux‐user. de/ qr/ 30204
09.2013 www.linux-user.de
23

Schwerpunkt
Tails
Anonym und sicher surfen mit Tails
Schutzschicht
Benötigen Sie eine anonyme Verbindung ins Netz, ist Tails 0.19
genau das Richtige für Sie: Das Live-System verschleiert beim Surfen
und Mailen sämtliche Spuren im Netz. Thomas Drilling
© DoortenJ, sxc.hu
Readme
Das auf Debian basierende Live-System
Tails leitet sämtliche Internetverbindungen
durch das Tor-Netzwerk und hinterlässt
zusätzlich keine Spuren auf dem Host-PC.
Beide Techniken ermöglichen es, sich anonym
und geschützt im Netz zu bewegen.
The Amnesic Incognito Live System,
kurz: Tails, ist in erster Linie als System
konzipiert, um sich auf einfache Weise
anonym im Internet zu bewegen û.
Dazu brennen Sie Tails auf eine DVD
oder installieren es auf einen USB-Stick,
booten es und genießen so beim Surfen
den Schutz der Privatsphäre sowie die
bestmögliche Anonymität. Tails nutzt
grundsätzlich bei allen Verbindungen
ins Internet das Tor-Netzwerk û, dazu
brauchen Sie nichts zu konfigurieren.
Bluetooth oder WLAN stehen für das
Verbinden in lokale Netze bereit.
Damit bietet sich Tails insbesondere
für den mobilen Einsatz auf fremden PCs
an, etwa am Firmen-Rechner oder im
Internetcafé. Die Distribution hinterlässt
auf dem Host-System keine Spuren – es
sei denn, Sie stimmen dem Speichern
von Daten ausdrücklich zu. Ferner nutzt
das System zum Verschlüsseln von
Dateien und E-Mails Kryptographie auf
dem aktuellen Stand der Technik.
Verfügen Sie nicht über die DVD-Edition
dieser Ausgabe, dann laden Sie die
brandneue Version 0.19 von Tails als
Datenträger-Abbild von der Projektseite
herunter. Dort finden Sie eine detaillierte
Benutzer-Dokumentation û. Nutzern
der Vorgängerversion rät das Tails-Team,
schnellstmöglich auf die neue Version
0.19 zu aktualisieren, die den aktuellen
Kernel 3.9.5-1, Iceweasel 17.0.7 sowie die
neuesten Versionen von live‐boot und
live‐config mitbringt.
Laut Ankündigung haben die Entwickler
in der Release 0.19 verschiedene Fehler
der Vorgängerversion ausgebügelt
und eine Reihe neuer Lokalisierungen
24 www.linux-user.de
09.2013

Tails
Schwerpunkt
Tails Linux 0.19
bootfähig auf Heft-DVD
1 Weitere Boot-Optionen erschließen unter anderem den Tarnmodus, in dem das System
sich optisch als Windows XP ausgibt.
hinzugefügt. Starten Sie Tails von einem
USB-Stick, richtet es den permanenten
Speicherplatz in der neuen Version 0.19
standardmäßig mit Ext4 ein.
Gut getarnt
Besonders interessant ist der Windows-
XP-Tarnmodus von Tails, den Sie bei Be-
darf beim Booten des Live-Systems per
Option einschalten. Klicken Sie dazu im
Bootmenü bei Weitere Optionen auf Ja.
Die deutsche Sprache und deutsche Tastaturbelegung
stellen Sie unten in der
Fußzeile ein 1 . Mit einem Klick auf Vorwärts
gelangen Sie zum Dialog Willkommen
zu Tails, in dem Sie ein Passwort für
den Root-Account festlegen. Hier finden
2 Im Tarnmodus gibt sich das Live-System Tails zwar als Windows XP aus, bringt aber
ausschließlich etablierte und Linux-Tools mit, um die Aufgaben zu erledigen.
Sie die Option Aktiviere Microsoft Windows
XP Tarnung. Mit dem Tarnmodus
präsentiert sich der Tails-Desktop als
täuschend echter Nachbau der Windows-XP-GUI,
inklusive Startmenü, das
auf eine gut abgestimmte Auswahl an
Linux-Tools verweist 2 . Darunter finden
sich OpenOffice als Büro-Suite, Gimp
und Scribus im Bereich Grafik, Iceweasel
als Browser (im XP-Modus getarnt mit
dem IE-Symbol), Claws Mail als Mail-Client,
Liferea als Feed-Reader und Pidgin
als Instant Messenger. Auch der Multimedia-Bereich
ist mit Audacity, dem Video-Editor
Pitivi, Brasero als Brenn-Software,
dem Multitrack-Recorder Traverso
und dem Totem-Videoplayer für ein Live-
System bestens ausgestattet.
Obwohl es wünschenswert wäre, dass
der XP-Look in absehbarer Zeit dem von
Windows 7 weicht, leistet er gute Dienste:
Einerseits sieht der Desktop nach
Microsoft aus, was Linux-Unkundigen
den Einstieg erleichtert. Andererseits
gibt sich Tails in diesem Modus gegenüber
dem Netz als Windows aus, wobei
die Kennung missverständlich ist 3 .
Verwenden Sie Tails – wie im Test geschehen
– in einer virtuellen Maschine,
weist es als auf Sicherheit spezialisiertes
Betriebssystem darauf hin, dass der Host
weiß, was Sie innerhalb der virtuellen
Umgebung tun.
09.2013 www.linux-user.de
25

Schwerpunkt
Tails
4 Zum Installieren von Tails auf den USB-
Stick genügt das Auswählen des Gerätes.
3 Tails gibt sich Webservern gegenüber als Windows-7-Maschine aus.
Die von Tails mitgebrachte Software befindet
sich nicht durch die Bank auf dem
aktuellen Stand (OpenOffice liegt etwa
in Version 3.2.1 bei), allerdings empfiehlt
sich Tails vorrangig für das anonyme Surfen.
Deshalb geht die Iceweasel-Version
17.07 in Ordnung, weil diese besonders
langen Support durch Mozilla erfährt.
Außerdem funktionieren mit der Version
17 die für die voreingestellte Tor-Konfiguration
erforderlichen Firefox-Erweiterungen
hervorragend, so etwa Torbutton
oder FoxyProxy.
Sonstige Software
Im Bereich Zubehör findet sich Julien
Voisins Metadata Anonymisation Toolkit
(MAT), das in der Lage ist, sämtliche
Meta-Informationen aus Dateien zu entfernen
û. Die aktuelle Diskussion um
das US-Überwachungsprogramm Prism
zeigt, dass diese eine Menge über Sie
verraten. Ohnehin empfiehlt es sich, Dateiformate
zu verwenden, die keine Meta-Daten
speichern. MAT unterstützt unter
anderem PNG, JPEG, ODF, OpenXML,
PDF, TAR, ZIP und MPEG-Audio.
Im Bereich Systemwerkzeuge finden
Sie den Tails USB Installer, mit dem Sie
das System auf einen USB-Stick installieren.
Dieser erweist sich im mobilen Einsatz
als weitaus praktikabler, zumal Sie je
nach Größe des Sticks ohne großen Aufwand
eigene Daten speichern. Das Tool
findet sich außerdem im Menü Tails gemeinsam
mit weiteren spezifischen
Werkzeugen. Von den drei Optionen im
Startbildschirm des Assistenten kommt
in der Regel die erste – Clone & Install –
zum Einsatz; die anderen dienen zum
Aktualisieren einer bestehenden Installation
auf einem USB-Stick.
Anschließend wählen Sie aus der angebotenen
Dropdown-Liste Zielgerät
das richtige Medium aus und klicken auf
Erstelle Live USB, bestätigen das Formatieren
des Sticks und starten den Vorgang
schließlich mit einem Klick auf
Nächste. Das Tool extrahiert dann das
Live-Abbild auf den USB-Stick 4 .
Tor-Schluss
Das Anonymisieren der Verbindungen
erledigt Tails über das Tor-Netzwerk.
Dazu ist standardmäßig der SOCKS-
Proxy für alle wichtigen Programme konfiguriert,
zu erkennen am Zwiebel-Symbol
im Systray. Das von den Tor-Machern
vorkonfigurierte Tor Browser Bundle û
für Firefox brauchen Sie nicht, weil alle
Einstellungen bereits konfiguriert und
die benötigen Addons installiert sind,
wie ein Blick die Erweiterungen offenbart
5 . Nicht alle installierten Erweiterungen
haben direkt mit Tor zu tun, viele
26 www.linux-user.de
09.2013

Tails
Schwerpunkt
dienen aber ebenfalls dem Anonymisieren
und dem Schutz der Privatsphäre.
Dazu zählt etwa das Addon HTTPS
Every where û der Electronic Frontier
Foun dation, das sichere Verbindungen
zu zahlreichen populären Webseiten anbietet.
Selbstverständlich bietet Tails die
Möglichkeit, den USB-Stick via LUKS zu
verschlüsseln und OpenPGP zum Verschlüsseln
und Signieren von Mail und
Dokumenten zu nutzen.
Außerdem verschlüsselt Tails Instant
Messaging via OTR. Ferner besteht die
Möglichkeit, mit Nautilus Wipe Festplatten
sicher zu löschen und zu überschreiben.
Sollten Sie doch einmal ohne Anonymisierung
surfen wollen, etwa zum
Aufrufen lokal installierter Webapplikationen
oder bei der Kommunikation mit
vertrauten Shops oder anderen Angeboten,
die für das Verwalten einer Session
zwingend auf Cookies angewiesen sind,
setzen Sie Iceweasel mit der Funktion
unsicherer Browser ein. Tails umgeht in
diesem Fall das Tor-Netzwerk und deaktiviert
außerdem sämtliche Funktionen
zum Anonymisieren.
Fazit
Tails ist eine prima Sache, vor allem für
den Ad-Hoc-Einsatz unterwegs via USB-
Stick. Zu Hause lohnt sich dagegen die
Mühe, selbst einen Tor-Proxy einzusetzen
oder zumindest Firefox mithilfe von
5 In Tails haben die Entwickler den Browser Iceweasel (die Debian-Spielart von Firefox)
bereits für den Einsatz des Tor-Netzwerks vorkonfiguriert.
Tools wie dem Tor Browser Bundle für
den anonymen Einsatz fit zu machen.
Mit dem XP-Tarnmodus liefern die Entwickler
ein ausgezeichnetes Stück Arbeit
ab. So bekommt nicht nur von außen
niemand mit, dass Sie gerade anonym
mit Linux unterwegs sind, sondern auch
die Server im Internet glauben, es mit
Windows zu tun zu haben. Allerdings
wäre inzwischen ein Update des Tarnmodus
auf den Windows-7-Look mehr
als angebracht. (agr) n
Weitere Infos und
interessante Links
www. linux‐user. de/ qr/ 30167
DIGITALES ABO
LinuxUser: Das Monatsmagazin für die Praxis
DIGISUB *
nur 60, 60 €
im Jahr (12 PDFs)
* Digitales Abo, jederzeit kündbar
JETZT BESTELLEN UNTER:
www.linux-user.de/digisub
Telefon: 07131 /2707 274
09.2013 www.linux-user.de
Fax: 07131 / 2707 78 601
27
E-Mail: abo@linux-user.de

Schwerpunkt
Seafile
© Buchachon Petthanya, 123RF
Privater Dropbox-Ersatz mit Seafile
Eigene Wolke
Spätestens seit Prism und Tempora ist klar: Daten in der öffentlichen
Cloud sind vor dem Zugriff der Geheimdienste nicht
sicher. Abhilfe schafft da
nur eine selbst gehostete
Lösung – Seafile
bietet dafür einen
ebenso simplen wie
genialen Ansatz.
Falko Benthin
Readme
Wer seine Daten nicht großen Storage-
Anbietern wie Google Drive, Amazon oder
Dropbox anvertrauen möchte, der muss
eine selbst gehostete Lösung auf die Beine
stellen. Der Vorreiter Owncloud gilt wegen
seiner Vielzahl an Zusatzfunktionen als
überladen. Eine schlanke Alternative bietet
Seafile, das sich ausschließlich auf das
Hosten, Synchronisieren und Teilen von
Dateien und Verzeichnissen konzentriert.
Cloud-Speicher erfreut sich zunehmender
Popularität. Daten lassen sich dort
zentral ablegen und über mehrere Rechner
synchronisieren, mit Kollegen und
Freunden teilen oder komplett der Öffentlichkeit
zugänglich machen. Im Zuge
des Abhörskandals rund um die NSA fragen
sich allerdings viele Nutzer, ob ihre
Daten in einer solchen Cloud wirklich in
guten Händen sind. Andere denken darüber
nach, was mit den Daten geschieht,
wenn ein Anbieter pleite geht oder aufgekauft
wird. Wieder andere, vor allem
Betreiber eigener Server, sehen keine
Veranlassung, für Speicherkapazitäten zu
zahlen, wo sie doch selbst über ausreichend
ungenutzten Speicher verfügen.
Gerade an Letztere richten sich die
freien Alternativen Owncloud û und
Sea file û. Während Owncloud seine Anwender
mit reichhaltigen Funktionalitäten
jenseits des Datenaustausches zu erschlagen
droht, konzentriert sich Seafile
nur darauf, Daten im Netz zu speichern,
anderen zugänglich zu machen und sie
zu synchronisieren.
Seafile stammt von der in China ansässigen
Firma Seafile Ltd. Die Anwendung
28 www.linux-user.de
09.2013

Seafile
Schwerpunkt
Seafile 1.7
LU/seafile/
1 Seafile kommt mit der übersichtlichen Weboberfläche Seahub. Diese stellt eine Konfigurationsschnittstelle
für den Datensammler bereit.
Listing 1
$ /PfadZuSeafile/seafile.sh start
$ /PfadZuSeafile/seahub.sh start
chronisieren. Die Bibliothek Arbeit könnte
er auch für seine Kollegen freischalten.
Installation
Listing 2
Der Seafile-Server liegt aktuell in Version
1.7 vor. Laden Sie zunächst das Tar-Archiv
der aktuellen Version von der Webseite
des Projektes herunter und entpacken
es. Eventuell müssen Sie auf dem
Zielsystem noch einige Python-Pakete
und deren Abhängigkeiten installieren.
Die Entwickler nennen hier neben Python
2.6 oder 2.7 auch die Bibliotheken
python-setuptools, python-simplejson und
python-imaging. Anwender, deren Linux-
Distribution Seafile nicht nativ unterstützt,
kompilieren die Software aus den
bei Github gehosteten Quelltexten û.
Da der Installationsprozess mehrere
Unterverzeichnisse anlegt, empfehlen
die Entwickler, das Archiv in einem sepasteht
unter der GPLv3 und ist größtenteils
in C und Python implementiert. Der
Seafile-Server steht als Quelltext und
Binärpaket für Debian „Squeeze“, Ubuntu
11.10 und 12.04 sowie CentOS 5.8 und
6.0+ zum Download bereit. Er bringt neben
dem Netzwerk-Daemon einen eigenen
HTTP-Server sowie die auf dem
Django-Framework 1.5 basierende Administrationsoberfläche
Seahub mit. Seafile-Clients
gibt es für Linux, Mac OS X,
Windows, Android und iOS.
Sogenannte Bibliotheken – sie enthalten
die zu synchronisierenden Daten –
ermöglichen es, mehrere Verzeichnisse
auf einem Rechner mit dem Server zu
synchronisieren und unterschiedliche
Verzeichnisse auf verschiedenen Rechnern
über die Online-Festplatte immer
auf einem Stand zu halten. Hat beispielsweise
ein Nutzer die Bibliotheken Privat
und Arbeit, könnte er erstere nutzen, um
Datenbestände auf seinen heimischen
Rechnern und mobilen Geräten zu synraten
Verzeichnis zu extrahieren.
Anschließend führen Sie die Datei
setup‐seafile.sh aus, die sich im neu
entstandenen Verzeichnis seafileserver‐Version/
befindet. Hier fragt
das Skript einige Angaben zur Konfiguration
ab, beispielsweise, auf welchen
Ports Seafile und die zugehörige Weboberfläche
lauschen und in welchem
Verzeichnis es die Nutzerdaten ablegen
soll. Danach starten Sie die Dienste mit
den Kommandos aus Listing 1. Da Seafile
keine privilegierten Ports nutzt, erfordert
sein Start keine Root-Rechte.
Jetzt sollten die in der Konfiguration
angegebenen Ports geöffnet sein; standardmäßig
sind das 8000, 8082, 10001
und 12001. Funktioniert das, erreichen
Sie die Oberfläche der Applikation
Seahub und den Seafile-HTTP-Server via
Browser. Seahub (Port 8000) präsentiert
eine übersichtliche Oberfläche 1 , der
#Iptables‐Rules für Seafile
iptables ‐A INPUT ‐p tcp ‐m multiport ‐‐dports 8000,8082,10001,12001 ‐m
state ‐‐state NEW,ESTABLISHED ‐j ACCEPT
iptables ‐A output ‐p tcp ‐m multiport ‐‐sports 8000,8082,10001,12001
‐m state ‐‐state ESTABLISHED ‐j ACCEPT
09.2013 www.linux-user.de
29

Schwerpunkt
Seafile
Seafile-HTTP-Server zeigt lediglich ein
leeres Browserfenster. Funktioniert etwas
nicht, prüfen Sie via ps, ob die Anwendungen
laufen oder eine Firewall
den privaten Cloud-Speicher blockiert.
Wie Sie die Ports in Iptables freischalten,
zeigt Listing 2.
Client später Datenbank- und Konfigurationsdateien,
die er zum Synchronisieren
benötigt. Anschließend starten Sie den
Seafile- und Ccnet-Daemon mit folgendem
Aufruf:
$ /Client‐Pfad/seaf‐cli start
Client installieren
Um Seafile sinnvoll einzusetzen, benötigen
Sie die korrespondierende Client-
Software. Die kommandozeilenbasierte
Variante stellt das Seafile-Projekt als Tar-
Archiv zum Download bereit û. Die
Seafile-Konfigurationsdateien benötigen
ein separates Verzeichnis. Für die Online-
Festplatte selbst empfiehlt sich ebenfalls
ein eigener Ordner, er ist aber nicht zwingend
notwendig. Beides legen Sie mit
folgendem Befehl an:
$ mkdir ~/.seafile‐client ~/seafiU
le‐sync_dir
Um nach dem Entpacken des Archivs
den Client mit dem Konfigurationsordner
vertraut zu machen, müssen Sie ihn
initialisieren. Dazu dient das Kommando:
$ /Client‐Pfad/seaf‐cli init ‐d ~U
/.seafile‐client
Der Init-Vorgang legt ein Verzeichnis
.ccnet an, in dem sich eine Konfigurationsdatei
für Schlüssel, für das zu synchronisierende
Verzeichnis sowie für den
Verbindungsaufbau zum Server befinden.
In .seafile‐client speichert der
Der Kommandozeilen-Client Seaf-cli
kennt derzeit acht Befehle (siehe Tabelle
Seaf-cli-Befehle). Nicht alle davon funktionierten
im Test: So ließen sich Bibliotheken
weder herunterladen noch neue
erstellen. Außerdem fehlt ein Befehl, um
die IDs der Bibliotheken eines Nutzers
anzuzeigen. Das erfordert ab und zu ein
Login in das Web-Frontend Seahub.
Neben den Unterkommandos benötigt
der Kommandozeilen-Client bei vielen
Aktionen zusätzliche Parameter (siehe
Tabelle Seaf-cli-Parameter). Um beispielsweise
die Bibliothek Dokumente
vom Server auf den heimischen Rechner
zu holen, verwenden Sie einen Befehl
der Struktur:
$ seaf‐cli download ‐l Library‐IDU
‐s http[s]://Server ‐d Sync‐Ordner
Die Library-ID gilt es, derzeit noch in der
Seahub-Oberfläche abzulesen, wo sie als
Repo-ID in jedem die Bibliothek betreffenden
Link auftaucht. Um ein bestehendes
Verzeichnis auf den privaten Online-Speicher
zu schieben, verwenden
Sie einen Befehl der Struktur:
$ seaf‐cli sync ‐l Library‐ID ‐s U
http[s]://Server ‐d Ordner
Seaf-cli-Befehle
2 Das Seafile-Applet des grafischen Clients fragt alle
zum Betrieb nötigen Informationen ab.
Kommando
init
start
stop
list
status
download
sync
desync
Beschreibung
erstellt Konfigurationsdateien des
Seafile-Clients
startet Seafile-Client als Daemon
beendet Seafile-Client
zeigt lokale Bibliotheken
zeigt Synchronisationsstatus
lädt Bibliothek vom Server in ein
angegebenes Zielverzeichnis
synchronisiert Bibliothek auf dem Server mit
dem Datenbestand eines Zielverzeichnisses
beendet Synchronisierung mit Server
30 www.linux-user.de
09.2013

Seafile
Schwerpunkt
Allerdings müssen Sie die Bibliothek zuvor
über die Weboberfläche anlegen.
Das Kommando seaf‐cli status zeigt,
wie es momentan um die Synchronisierung
bestellt ist. Der Befehl seaf‐cli
list führt auf, welche lokalen Verzeichnisse
mit welchen Online-Bibliotheken
verbunden sind.
Grafischer Client
Der grafische Seafile-Client macht das
Einrichten wesentlich komfortabler.
Allerdings steht er nur für Ubuntu und
dessen Derivate als Binärpaket bereit,
Nutzer anderer Distributionen müssen
selbst zum Compiler greifen.
Nach der Installation fragt die Software
beim ersten Start mit dem Seafile-
Applet einige Parameter ab, wie beispielsweise
das Datenverzeichnis 2 .
Letzteres erstellt es automatisch und
nistet sich dann als Icon in der Task leiste
ein. Auch dieser Client bietet keine Möglichkeit,
Bibliotheken zu erstellen oder
auf dem Server abzufragen. Dafür beherrscht
er aber das schnelle Herunterladen
von der Seahub-Oberfläche oder
das Synchronisieren mit einem bestehenden
Verzeichnis.
Der grafische Seafile-Client startet,
wie auch die Kommandozeilenvariante,
einen eigenen HTTP-Server, der allerdings
auf Port 13420 statt auf 13419
lauscht. Um lokale Bibliotheken aufzulisten,
die Synchronisierung zu unterbrechen,
Server-Adressen zu ändern oder
Dateien verschlüsselt zu übertragen, behilft
sich der Client eines Webbrowsers.
3 Im Seahub-Admin-Bereich verwalten Sie Nutzer, Bibliotheken und Gruppen; eine Abfrage
der Bibliotheksinhalte erlaubt er aber nicht.
Seahub-Oberfläche
Die webbasierte Seahub-Oberfläche erlaubt
es Ihnen nicht nur, Bibliotheken
anzulegen, zu löschen, zu veröffentlichen
und deren Inhalte zu verwalten.
Sie erstellen oder entfernen damit auch
Freigaben, definieren (Arbeits-)Gruppen,
legen Kontaktlisten an und pflegen die
bearbeiten Dateien online.
Als Administratoren registrierte Anwender
dürfen Benutzer hinzufügen
und löschen, deren Passwörter zurücksetzen
oder Administratorenrechte vergeben
und entziehen 3 . Neben der Be­
Seaf-cli-Parameter
Parameter
Beschreibung
‐c configfile Pfad zur Konfigurationsdatei
‐d Ordner zu synchronisierendes
lokales Verzeichnis
‐l id Bibliothek auf dem
Server
‐p pass Passwort
‐s http[s]:// URL des Seahub-Servers
Server[:Port]
‐u User Benutzername
4 Freigegebene Bibliotheken anderer Nutzer finden Sie unter dem Reiter „Freigaben“.
09.2013 www.linux-user.de
31

Schwerpunkt
Seafile
5 Seahub erlaubt zahlreiche Ordner- und Dateioperationen, auch ohne laufenden Client.
6 Beliebige Bibliotheken geben Sie mit
nur einem Mausklick allen Mitgliedern
einer Gruppe frei.
nutzerverwaltung dürfen Admins auch
Gruppen oder Bibliotheken anderer
Nutzer löschen oder Benachrichtigungen
verfassen, die anschließend bei
allen Nutzern erscheinen.
Bibliotheken
Als normaler Seafile-Nutzer herrschen
Sie lediglich über ihren persönlichen
Arbeits platz. Standardmäßig landen Sie
nach dem Login in der Übersicht ihrer
Bibliotheken, die es auch erlaubt, neue
anzulegen. Ein Reiter zeigt die Freigaben
an, also Bibliotheken anderer Nutzer, für
die Sie Lese- oder Schreibrechte besitzen
4 . Der dritte Bibliotheksreiter enthält
favorisierte Dateien.
Bibliotheken entsprechen Ordnern,
die Sie – wie oben schon erwähnt – separat
herunterladen und synchronisieren
dürfen. Sie können auch mehrere
Bibliotheken besitzen, die Sie auf Ihrem
lokalen Rechner verschiedenen Verzeichnissen
zuordnen. Eine neue Bibliothek
erstellen Sie durch Klicken auf den
gleichnamigen Button. Daraufhin öffnet
sich ein kleines Overlay-Fenster, das den
Namen und eine Beschreibung für die
Bibliothek abfragt.
Die Bibliotheken lassen sich beim Erstellen
mit einem AES-128-Algorithmus verschlüsseln,
später klappt das nicht mehr.
Dazu setzen Sie das entsprechende Häkchen
und geben das gewünschte Passwort
zwei Mal an. Das Passwort wird
nicht auf dem Server gespeichert, sondern
verbleibt beim Nutzer und all denen,
die an der Bibliothek teilhaben. Ein
nachträgliches Ändern des Passwortes
lässt das Programm nicht zu.
Bewegen Sie den Mauszeiger über
den Link zu einer Bibliothek, zeigt der
Browser in der URL die zugehörige ID an,
die Sie für den Kommandozeilen-Client
benötigen. Nutzen Sie dagegen den grafischen
Client, synchronisieren Sie die
gewünschte Bibliothek einfach mittels
des Herunterladen-Schalters mit den lokalen
Datenbeständen. Die Bibliotheksübersicht
erlaubt es auch, eine Bibliothek
für andere Nutzer freizugeben oder
sie zu löschen.
Innerhalb einer geöffneten Bibliothek
lassen sich neue Dateien und Ordner auf
dem Server anlegen, Dateien ohne Client
hochladen oder einzelne Dateien
verwalten. Sie dürfen sie herunterladen,
freigeben, aktualisieren, löschen, umbenennen,
verschieben oder kopieren 5 .
Anders als bei freigegebenen Bibliotheken
benötigen die Nutznießer freigegebener
Dateien oder Ordner zu deren
Nutzung keine ID: Sie bekommen per
E-Mail einen Link zugesandt und dürfen
die Datei anschließend herunterladen
beziehungsweise den Ordner öffnen.
Dateien verschlüsselter Bibliotheken lassen
sich auf diese Weise allerdings nicht
freigeben. Die Applikation gestattet es
auch, den Bearbeitungsverlauf einer
Datei anzuzeigen und frühere Zustände
wiederherzustellen.
Den Verlauf inklusive aller Zugriffe
speichert Seafile nicht nur für einzelne
Dateien, sondern auch für ganze Bibliotheken.
Das Tool legt dazu nach jeder
Änderung einen Schnappschuss an, der
es erlaubt, zu jeder Zeit einen früheren
Zustand wiederherzustellen. Der Verlauf
lässt sich in den Einstellungen der Bibliothek
ändern, komplett ausschalten oder
auf eine definierte Anzahl von Tagen
einschränken.
32 www.linux-user.de
09.2013

Seafile
Schwerpunkt
Gruppen
Seafile eignet sich hervorragend als kollaboratives
Werkzeug. Die Gruppenfunktion
erlaubt es, problemlos verschiedene
Personenkreise zu verwalten, Bibliotheken
ohne großen Aufwand freizugeben
oder Nachrichten zu versenden. Unter
dem dafür vorgesehenen Reiter darf jeder
Nutzer Gruppen anlegen respektive
die ansehen, denen er selbst angehört.
Letztere blendet Seafile auch auf dem
Startbildschirm des Seafile-Arbeitsplatzes
am rechten Bildschirmrand ein.
Ein Klick auf eine existierende Gruppe
ermöglicht es, Bibliotheken oder ein
Wiki für diese anzulegen, eine Diskussion
zu starten, die Mitgliederliste einzusehen
oder die Gruppe zu administrieren.
Der letzte Punkt ermöglicht es, den
Gruppen zusätzliche Mitglieder und
Admins hinzuzufügen. Das vereinfacht
es, eine Bibliothek einer Gruppe zugänglich
zu machen 6 .
Freigaben
Um eine Bibliothek freizugeben und so
mit anderen Team-Mitgliedern zu teilen,
klicken Sie in der Übersicht auf den Freigabe-Button
der entsprechenden Bibliothek.
Sie dürfen diese sowohl für Gruppen
als auch Einzelmitglieder freigeben.
Um Daten mit einzelnen Personen zu
teilen, müssen diese einen Seafile­
Account besitzen. Geben Sie statt separater
Nutzer und Gruppen das Schlüsselwort
all an, öffnen Sie die Bibliothek
allen Seafile-Nutzern des Servers.
Erstellte Freigaben zeigt der gleichnamige
Reiter des Seahub-Arbeitsplatzes
an. Bei Bedarf genügt ein Klick, um die
Shares zu widerrufen. Freigaben einzelner
Dateien verwalten Sie in diesem Bereich
ebenfalls. Andere Nutzer sehen die
für sie freigegebenen Bibliotheken unter
Start | Bibliotheken | Freigaben.
Organisation und Kontakte
Unter dem Punkt Organisation verbergen
sich die öffentlichen Bibliotheken,
Gruppen und Mitglieder, die der Seafile-
Server beherbergt. Wie viele das jeweils
7 Andere Benutzer fügen Sie mit einem Klick oder einer Freigabe Ihren Kontakten hinzu.
sind, zeigt die Übersicht im rechten Bildschirmbereich
an. Während normale Anwender
hier nur eigene Gruppen und
öffentliche Bibliotheken anlegen dürfen,
sieht es im Benutzerbereich anders aus:
Hier lassen sich einzelne Benutzer den
eigenen Kontakten hinzufügen 7 .
Das erlaubt es Ihnen, zukünftig diesem
Personenkreis aus Seafile heraus Nachrichten
zu schicken oder Freigaben einzurichten.
Teilen Sie mit anderen Teilnehmern
eine Bibliothek, werden diese automatisch
zu Kontakten. Nutzer sehen innerhalb
der Header-Zeile, ob neue Nachrichten
für sie bereitstehen.
Quotas
Seafile kennt eine eigene Quota-Steuerung,
mit deren Hilfe Sie festlegen, über
wie viel Speicherplatz einzelne Nutzer
verfügen dürfen. Um Verwirrungen bei
der Vergabe von Quotas vorzubeugen,
empfiehlt es sich, auf dem System einen
Nutzer seafile-user anzulegen, dem systemseitig
nur ein gewisses Kontingent
an Speicherplatz zur Verfügung steht,
und den Dienst unter dessen Rechten zu
starten (Listing 3). So lässt sich verhindern,
dass sich der Speicherplatz des
Servers überraschend bis zum Anschlag
füllt, wenn die Benutzer einmal unerwartet
viel speichern möchten.
09.2013 www.linux-user.de
33

Schwerpunkt
Seafile
Listing 3
# neuen Nutzer anlegen
$ sudo useradd seafile‐user
Verschlüsselte Transfers
Wenn Sie die Daten Ihrer Online-Festplatte
schon dem eigenen Server anvertrauen,
dann möchten Sie ganz sicher
auch nicht, dass diese auf dem Weg zum
Ziel an Dritte entfleuchen. Ab der Version
1.7 von Seafile verschlüsseln die
Desktop-Clients den Datentransfer standardmäßig
mit einem AES-128-Algorithmus.
Wer jedoch mangels eines grafischen
Clients für sein System auf die
Weboberfläche oder den Kommandozeilen-Client
angewiesen ist, der findet
das nicht hilfreich.
Während der Seafile-HTTP-Server
HTTPS unterstützt, gilt es, Seahub einen
Apache oder Nginx als Reverse-Proxy-
Server vorzuschalten, der den Datentransfer
dann verschlüsselt ausliefert.
Entsprechende Anleitungen und Beispielkonfigurationen
zeigt das Seafile-
Wiki auf Github û.
# home‐Partition in /etc/fstab mit der Option
# "usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0"
# oder "usrquota,grpquota" versehen
# im Wurzelverzeichnis der zu überwachenden Partition, z.B. /home
$ sudo mount /Mountpoint ‐o remount
$ sudo quotacheck ‐cmugv /mountpoint
# Blocksize der Partition ermitteln
$ sudo tune2fs ‐l /mountpoint
# Soft‐ und Hardlimits sowie Gnadenfrist für
# seafile‐user setzen, 0=kein Limit
# Blöcke = erlaubte Größe / Blocksize
$ sudo edquota ‐u seafile‐user
$ sudo edquota ‐t
#Quota aktivieren
$ sudo quotaon ‐a
#Quota prüfen
Weitere Infos und
interessante Links
www. linux‐user. de/ qr/ 29368
$ sudo quota ‐u seafile‐user
Flott entsorgt
Um Speicherplatz zu sparen, nutzt Seafile
eine Deduplication-Technologie: Verschiedene
Dateiversionen und Bibliotheken
teilen sich dieselben Datenblöcke.
Das Löschen derartiger Bibliotheken
oder Dateien gibt den Speicher nicht
sofort ans System zurück, entsprechend
dümpeln ungenutzte Blöcke auf der
Festplatte des Servers herum und verstopfen
diese mit der Zeit. Um diesen
Speicherplatz aufzuräumen, existiert ein
Abfallbeseitigungsprogramm („Garbage
Collection“), das Sie ab und zu einsetzen
sollten. Eine genaue Anleitung zeigt
auch hierfür das Seafile-Wiki û.
Fazit
Während dem PHP- und MySQL-basierten
Dropbox-Ersatz Owncloud ein entsprechender
Webspace ausreicht, kommen
Sie beim in C und Python umgesetzten
Seafile nicht um den eigenen
Server herum. Anders als Owncloud beschränkt
sich Seafile in seinen Funktionen
aber aufs Wesentliche, nämlich Online-Speicher
und Kollaboration. Letztere
impliziert neben dem Teilen von Bibliotheken
und Dateien das Versenden von
Nachrichten oder das Zusammenfassen
mehrerer Benutzer zu Gruppen.
Da Seafile mit unprivilegierten Ports
arbeitet, erfordert dessen Start keine
Root-Rechte. Die Anwendung ist recht
gut dokumentiert und in momentan
acht Sprachen lokalisiert. Die Software
ließ sich problemlos in Betrieb nehmen
und lief während des mehrwöchigen
Tests stabil. Lediglich für das Software-
Update wurde der Server einmal gestoppt.
Den Seafile-Client gibt es für die
meisten gängigen Betriebssysteme. Die
grafischen Clients glänzen durch eine
einfache Bedienung, aber auch der kommandozeilenbasierte
Client erfordert
nur eine kurze Einarbeitungszeit.
Für all diejenigen, denen Dropbox und
Google Drive inzwischen zu unsicher
sind, die aber dennoch Dateien mit anderen
austauschen oder synchronisieren
möchten, stellt Seafile damit eine echte
Alternative dar. (tle) n
34 www.linux-user.de
09.2013

Schwerpunkt
Mails verschlüsseln
© Almoond, 123RF
E-Mails mit GnuPG verschlüsseln
Ausgezapft
Monatlich greift der US-Geheimdienst etwa
eine halbe Milliarde Verbindungsdaten und
E-Mails alleine an deutschen Backbones ab.
Ein guter Grund, sich über einen sicheren Mailverkehr
Gedanken zu machen. Peter Kreußel
Readme
Mit etwas Grundwissen nutzen Sie die gängigen
Mailprogramme KMail und Thunderbird,
um Nachrichten zu ver- und entschlüsseln.
Das Szenario lässt sich leicht auf andere
Mailprogramme übertragen, die Gnu-
PG unterstützen. Das ist nicht zuletzt deswegen
wichtig, weil sowohl Sender als
auch Empfänger für einen verschlüsselten
Mailverkehr vorbereitet sein müssen.
Wer E-Mails unverschlüsselt versendet,
sollte sich bewusst machen, dass jeder
diese mitlesen kann, der in den Datenstrom
eingreift oder ihn anzapft. Nicht
zuletzt deswegen fordert das Deutsche
Innenministerium dazu auf, die Kommunikation
zu chiffrieren. Zwei Verfahren
zur Verschlüsselung setzten sich im Laufe
der Jahre durch: S/​MIME und Open-
PGP. Bei beiden handelt es sich um offen
dokumentierte Standards, die unter der
Überwachung vieler Experten stehen.
S/​MIME setzt, wie das HTTPS-Protokoll,
auf von Zertifizierungs-Authoritys nach
Namensprüfung ausgestellte kostenpflichtige
Zertifikate. Aus diesem Grund
kommt es vorwiegend im Firmenumfeld
zum Einsatz, während sich OpenPGP in
der privaten Kommunikation durchgesetzt
hat. Dieser Artikel beschränkt sich
daher auf das im Open-Source-Umfeld
dominierende OpenPGP, das durch die
freie Software GnuPG û auch unter
Linux bereitsteht.
36
www.linux-user.de
09.2013

Mails verschlüsseln
Schwerpunkt
Beide Verfahren setzen auf die Kombination
aus einem öffentlich dokumentierten
Verfahren und einem von den eingesetzten
Algorithmen unabhängigen
Schlüsselcode. Letzterer darf nie an die
Öffentlichkeit dringen – passiert das
doch einmal, so kann man nach einem
Schlüsselwechsel wenigstens alle beteiligten
Programme (GnuPG und den E-
Mail-Client) beruhigt weiterverwenden.
Wie aber gelangt der Schlüssel sicher
vor neugierigen Blicken zu Ihrem Kommunikationspartner?
Die Antwort lautet:
gar nicht. Im Zeitalter der globalen
Überwachung der Telekommunikation
wäre dazu nämlich streng genommen
ein persönlicher Besuch erforderlich.
Asymmetrie
Daher benutzt GnuPG die asymmetrische
Public-Key-Verschlüsselung. Dabei
kommen zwei Schlüssel zum Einsatz, einer
zum Verschlüsseln, einer zum Entschlüsseln
1 . Dem intuitiven Verständnis
erschließt sich gerade noch das zugrunde
liegende Prinzip der Falltürfunktion
– eine mathematische Funktion, zu
der keine mit vertretbarem Aufwand zu
errechnende Umkehrfunktion bekannt
ist. Die Tiefen des Systems bleiben Mathematikern
mit entsprechender Fachkenntnis
vorbehalten.
Wichtiger als mathematische Feinheiten
ist aber die Rolle der Schlüssel im
kryptographischen Prozess: Jeder, der
den öffentlichen Schlüssel eines Schlüsselpaares
kennt, ist in der Lage, Nachrichten
so zu verschlüsseln, dass sie sich
ausschließlich mithilfe des zugehörigen
privaten Schlüssels wieder dekodieren
lassen. Den besitzt im Normalfall nur der
Empfänger – selbst der Absender kann
also die von ihm verschlüsselte Nachricht
nicht mehr entschlüsseln.
Bei Open-PGP sorgen Schlüsselserver
für globale Verfügbarkeit der öffentlichen
Schlüssel. Falls Sie also jemandem
eine chiffrierte Mail senden möchten,
der dort einen GPG-Schlüssel veröffentlicht
hat, müssen Sie lediglich eine Suchanfrage
mit der Mailadresse an einen der
sich selbstständig synchronisierenden
Server im Netz stellen.
Einen Haken hat das System allerdings:
Denn jeder darf Schlüssel für eine beliebige
E-Mail-Adresse erzeugen und veröffentlichen.
Falls Sie eine Mail mit dem
falschen Schlüssel chiffrieren, ist dessen
vermeintlicher Eigentümer nicht in der
Lage, sie wieder zu dechiffrieren, da sein
privater Schlüssel nicht zum von Ihnen
genutzten öffentlichen Key passt.
Kritisch wird es, wenn es dem Fälscher
des Schlüssels gelingt, Ihre Mail abzufangen
2 , da er ja den passenden geheimen
Schlüssel zum Dechiffrieren besitzt.
Nach dem Entschlüsseln kann er, um
eine erfolgreiche Kommunikation mit
dem eigentlichen Adressaten vorzutäuschen,
die Mail noch mit dem richtigen
Schlüssel chiffrieren und weiterleiten –
eventuell sogar mit Änderungen im Text.
Das entspricht einem sogenannten Manin-the-Middle-Szenario,
das weder Empfänger
noch Absender bemerken.
Open-PGP stellt zwei Hilfsmittel zur
Verfügung, um die Authentizität von
Schlüsseln zu gewährleisten: Jeder PGP-
1 Die Public-Key-Verschlüsselung gleicht einem Schloss, bei dem unterschiedliche
Schlüssel auf- und zuschließen. Dass der Schlüssel zum Abschließen (grün) außen an der
Tür hängt, ermöglicht keinen Einbruch. Jeder kann ihn nutzen, um abzusperren, doch
nur der Besitzer des geheimen privaten Schlüssels (rot) kann wieder aufschließen.
09.2013 www.linux-user.de
37

Schwerpunkt
Mails verschlüsseln
Schlüssel besitzt einen Fingerabdruck
aus zehn vierstelligen Hexadezimalzahlen.
Da es technisch nicht möglich ist,
gezielt einen Schlüssel mit einem bestimmten
Fingerabdruck zu erzeugen,
bürgt dieser für die Authentizität.
Vor dem Versand sicherheitskritischer
Mails sollten Sie bei der ersten Kontaktaufnahme
mit dem Kommunikationspartner
telefonieren und den Fingerabdruck
seines OpenPGP-Schlüssels mit
ihm abgleichen. Es nützt Angreifern
nichts, die Korrespondenz beim telefonischen
Schlüsselvergleich abzuhören, solange
sie den Inhalt der Kommunikation
nicht manipulieren können. Danach darf
der Schlüssel für weitere Nachrichten als
vertrauenswürdig gelten.
Das zweite Verfahren, die Authentizität
eines Schlüssels zu gewährleisten, ist
das Signieren von Schlüsseln durch Dritte,
die durch eine solche Unterschrift mit
2 Beim Man-in-the-Middle-Angriff schiebt ein Angreifer dem Sender einen gefälschten
öffentlichen Schlüssel unter (schwarz-grün) und fängt die Mail ab. Er entschlüsselt sie mit
seinem eigenen zum untergeschobenen passenden privaten Schlüssel (schwarz-rot) und
verschlüsselt sie sofort erneut mit dem authentischen öffentlichen Schlüssel (grün). Der
Adressat sieht nur die mit dem richtigen Schlüssel chiffrierte Nachricht.
Ihrem eigenen Open-PGP-Schlüssel dafür
bürgen, dass ein Schlüssel tatsächlich
einer Person mit dem darin genannten
Namen gehört.
Unterschriften helfen wegen der
Fälschbarkeit auch der beglaubigenden
Schlüssel nur weiter, wenn Sie diese anhand
der Fingerabdrücke Ihnen als vertrauenswürdig
bekannten Personen zuordnen
können. Technisch garantiert das
Unterschriftsverfahren nämlich nur, dass
sich bestimmte Fingerabdrücke nicht
gezielt erzeugen lassen, sodass diese
den Besitz eines bestimmten privaten
Schlüssels nachweisen.
Drei Schritte zum Ziel
Um verschlüsselt via OpenPGP/​GnuPG
per E-Mail zu kommunizieren, gilt es,
sowohl für den Versender als auch den
Empfänger folgende Vorbereitungen zu
treffen:
• das Erzeugen eines Schlüsselpaares,
• den Tausch der öffentlichen Schlüssel,
• den Import des öffentlichen Schlüssels
des Partners in den eigenen
Schlüsselring.
Als Thunderbird-Anwender installieren
Sie für den Einsatz von GnuPG die Erweiterung
Enigmail û über den Addon-
Manager der Software (Extras | Add-ons |
Add-ons Suchen). Danach erscheint der
Eintrag OpenPGP in der Menüleiste, der
alle Verschlüsselungs- und Signierfunktionen
steuert. In KMail ist die GPG-
Funktion bereits fest eingebaut: Sie erreichen
sie über Extras | Zertifikatsverwaltung.
Beide Programme stellen eine GUI
für die im Folgenden beschriebenen
Konsolenbefehle bereit.
Der Befehl gpg ‐‐gen‐key erzeugt ein
neues Schlüsselpaar. Das Tool fragt nach
Schlüsseltyp und -länge. Die gegenwärtig
in Bezug auf Kompatibilität und Sicherheit
empfohlen Optionen (RSA/​RSA,
2048-Bit) bestätigen Sie mit [Eingabe].
Nun legen Sie die Gültigkeitsdauer des
Schlüssels fest. Anfänger sollten hier
nicht die Voreinstellung 0 = Schlüssel verfällt
nie wählen, denn ein veröffentlichter
Public Key, dessen privaten Schlüssel
Sie verloren haben, lässt sich nicht mehr
von den Keyservern zurückholen.
38 www.linux-user.de
09.2013

Mails verschlüsseln
Schwerpunkt
Dann folgt die Eingabe von Name, Mailadresse,
eines (optionalen) Kommentars
sowie eines Passwortes, ohne das sich der
Schlüssel nicht benutzen lässt. Bedenken
Sie bei der Vergabe des Passwortes: Es
fällt Angreifern in der Regel deutlich
leichter, ein zu kurz geratenes Passwort zu
knacken û als eine unkompromittier te
RSA-Verschlüsselung mit 2048 Bit.
Jetzt generiert das Programm den aus
einer 2048 Bit langen Zufallszahlenfolge
bestehenden geheimen Schlüssel. Damit
diese für Angreifer unvorhersagbar
ausfällt, bezieht GnuPG dazu äußere Ereignisse
wie die Mausbewegung oder
Tastatureingaben in die Berechnung mit
ein, sodass das Benutzen von Maus und
Tastatur diesen Vorgang beschleunigt.
In der Regel ist das Schlüsselpaar in
weniger als einer Minute fertig. GnuPG
legt es in Ihrem lokalen Schlüsselbund
ab. Dort steht es für Thunderbird, KMail
und alle Mailprogramme, die GnuPG zur
Verschlüsselung einsetzen, bereit.
Exportware
Überzeugen Sie sich nun davon, dass
der Schlüsselbund die eben erzeugten
Schlüssel tatsächlich enthält: Den privaten
Teil listen gpg ‐‐list‐secret‐keys
oder gpg ‐K auf, den öffentlichen gpg
‐‐list‐keys oder gpg ‐k. Merken Sie
sich dabei die ID des öffentlichen Schlüssels
(rot markiert). Zum Austausch exportieren
Sie diesen als lokale Datei:
$ gpg ‐a ‐‐export ID > my_pubkey.U
asc
Die Option -a wählt ASCII-Text als Ausgabeformat,
was das Versenden des
Schlüssels per Mail erleichtert. Wenn Sie
nun ein Kommunikationspartner nach
Ihrem PGP-Schlüssel fragt, lassen Sie ihm
diese Datei zukommen. Schon das versetzt
ihn bereits in der Lage, Ihnen verschlüsselte
Mails zu schicken.
Um auch anderen zu ermöglichen, Ihnen
ohne Rückfrage verschlüsselte Mails
zu schicken, veröffentlichen Sie den
Schlüssel auf einem Keyserver:
$ gpg ‐‐keyserver hkp://keys.gnupU
g.net ‐‐send‐keys ID
Falls Sie sich über das hkp:// wundern:
Das ist nicht etwa ein Tippfehler, sondern
steht für das HTTP Keyserver Protocol.
Es gibt eine ganze Reihe von Schlüsselservern,
die gängigen davon synchronisieren
sich auch untereinander.
Geschlossene Gesellschaft
Um nun Ihrerseits verschlüsselte Mails
zu versenden, importieren Sie zuerst
den öffentlichen Schlüssel des Adressaten
in Ihren Schlüsselbund:
$ gpg ‐‐import Schlüsseldatei.asc
Die Dateiendung spielt dabei keine Rolle.
Liegt Ihnen der Public Key des Kommunikationspartners
nicht vor, suchen
Sie mit folgendem Kommando auf einem
Schlüsselserver danach:
$ gpg ‐‐keyserver hkp://keys.gnupU
g.net ‐‐search‐keys "Name|E‐Mail"
Zum Importieren geben Sie nur die
Nummer des Treffers ein. Kennt die Software
die ID des zu importierenden
Schlüssels bereits, so lädt ihn folgender
Befehl direkt in den Schlüsselbund:
$ gpg ‐‐keyserver hkp://keys.gnupU
g.net ‐‐recv‐keys ID
Bedenken Sie dabei, dass sich wie schon
erwähnt Schlüssel mit falscher E-Mail-
Adresse oder Namen erzeugen lassen.
Das Kommando gpg ‐‐fingerprint ID
zeigt den Fingerabdruck, den Sie möglichst
über einen manipulationssicheren
Kommunikationskanal mit dem Empfänger
der verschlüsselten Mail abgleichen
sollten. Die Unterschriften eines Schlüssels
prüfen Sie mit gpg ‐‐check‐sigs
ID 3 . Statt der Schlüssel-ID dürfen Sie
auch die E-Mail-Adresse oder den Na-
3 Der Aufruf gpg ‐‐check‐sigs zeigt und prüft die Unterschriften aller im persönlichen Schlüsselbund
namentlich bekannten Personen eines Schlüssels.
09.2013 www.linux-user.de
39

Schwerpunkt
Mails verschlüsseln
Weitere Infos und
interessante Links
www. linux‐user. de/ qr/ 30105
men als Suchstring angeben. In der Regel
werden sich nicht alle beglaubigenden
Schlüssel im Schlüsselbund befinden
(rote Markierung in Abbildung 3 ).
Da ungeprüfte Unterschriften unbekannter
Personen ohnehin kein beglaubigender
Wert zukommt, ignoriert
GnuPG diese. Ein Ausrufezeichen kennzeichnet
in der Befehlsausgabe dagegen
erfolgreich verifizierte Beglaubigungen.
Trau, schau wem
Möchten Sie die Namen aller signierenden
Personen herausfinden, so ermitteln
Sie mit gpg ‐‐list‐sigs ID deren
Schlüssel-IDs (zweite Spalte in der Befehlsausgabe)
und laden die zugehörigen
Schlüssel herunter:
$ gpg ‐‐keyserver hkp://keys.gnupU
g.net ‐‐recv‐keys ID
4 Nach der Konfiguration des eigenen Schlüsselpaares in GnuPG brauchen
Sie in den Mailprogrammen KMail (oben) und Thunderbird (unten) nur noch
pro Identität einen privaten Schlüssel auszuwählen.
Eventuell findet sich der Fingerprint der
Schlüssel auch auf der Homepage der
entsprechenden Personen, was das Fälschungsrisiko
verringert. Haben Sie sich
entschieden, einen Schlüssel als authentisch
zu betrachten, dann öffnen Sie ihn
mit gpg ‐‐edit ID zum Bearbeiten. Sie
signieren ihn für sich persönlich mit
lsign („local sign“) oder mit sign. Um
Ihre Signatur später zu veröffentlichen,
dient folgender Befehl:
$ gpg ‐‐keyserver hkp://keys.gnupU
g.net ‐‐send‐keys ID
KMail zeigt beim Verwenden eines nicht
signierten Schlüssels eine Warnung an,
der Schlüssel lässt sich nach Bestätigung
aber trotzdem benutzen. In Thunderbirds
Enigmail ist nach der Installation in
OpenPGP | Einstellungen die Option
Schlüsseln immer Vertrauen aktiv: Es akzeptiert
also ungefragt jeden Schlüssel,
was sicher nicht im Sinne der GnuPG-Erfinder
ist. Nach dem Deaktivieren dieser
Einstellung verweigert das Programm
das Verwenden unsignierter Schlüssel.
Stehen Sie mit vielen Personen in
Mailkontakt, finden Sie es sicherlich lästig,
die Schlüssel aller Adressaten zu signieren.
Um die Zahl der Unterschriften
zu reduzieren, bietet OpenPGP das Konzept
des „Web of Trust“ (Netz des Vertrauens)
an. Dabei sprechen Sie bestimmten
Personen, deren Schlüssel in
Ihrem Schlüsselbund liegen, eingeschränktes
oder volles Vertrauen aus.
Haben einer für Sie voll vertrauenswürdigen
oder drei teilweise vertrauenswürdigen
Personen einen Schlüssel öffentlich
unterschrieben, so gilt er auf Ihrem
System automatisch als signiert.
Sie passen das Vertrauen mit gpg
‐‐edit ID an, gefolgt von trust an der
GnuPG-Eingabeaufforderung. Den Wert
5 („absolutes Vertrauen“) verdienen konventionsgemäß
nur eigene Schlüssel,
der normale Wert für nahe Bekannte
liegt zwischen 3 und 4. Mit 2 („kein Vertrauen“)
bewerten Sie Personen, die Sie
als unzuverlässig einschätzen.
Nach dem Signieren und Integrieren
der Schlüssel des Adressaten in den
Schlüsselbund gilt es, den E-Mail-Client
40 www.linux-user.de
09.2013

Mails verschlüsseln
Schwerpunkt
zu konfigurieren. Sowohl in Thunderbird
als auch in KMail müssen Sie dazu lediglich
eine Identität mit einem geheimen
Schlüssel verknüpfen 4 , der zur Mailadresse
der Identität passt. Wenn sich
nur ein passender privater Schlüssel im
Schlüsselbund befindet, wählt ihn Thunderbird
automatisch aus.
Nach diesen Vorbereitungen kostet
das Senden einer verschlüsselten Mail
nur noch wenige Mausklicks: Wählen Sie
vor dem Versenden in Thunderbird
OpenPGP | Nachricht verschlüsseln, in
KMail Optionen | Nachricht verschlüsseln.
Der E-Mail-Client fragt dann noch, ob
der auf Basis der Mailadresse gewählte
öffentliche Schlüssel der richtige ist.
Zum Entsperren des Schlüsselbundes
geben Sie zu guter Letzt das Passwort
des mit der Identität verknüpften privaten
Schlüssels ein.
Loslegen
Erhalten Sie eine verschlüsselte Nachricht,
entschlüsselt KMail diese in der
Grundeinstellung erst nach einem Klick
auf Nachricht entschlüsseln. Thunderbird
dechiffriert die Mail je nach Format entweder
ungefragt oder zeigt den Quelltext
der OpenPGP-verschlüsselten Nachricht
an. Ein Klick auf Entschlüsseln fördert
nach Eingabe des Passwortes für
den privaten Schlüssel den Klartext zutage.
Aus offensichtlichen Gründen liegt
dieser nur lokal auf Ihrem Rechner vor,
nicht jedoch auf dem Mailserver. Daher
müssen Sie die Mails nach dem Neustart
des Programms erneut entschlüsseln.
Grund für das je nach Nachricht unterschiedliche
Verhalten von Thunderbird
sind zwei Verfahren, den mit GnuPG verschlüsselten
Text in die Nachricht einzubetten:
Das ältere schreibt den verschlüsselten
Nachrichtentext in den
Mail-Body („Inline OpenPGP“). Das
neuere, OpenPGP/​MIME, nutzt die von
Dateianhängen bekannten MIME-Typen,
führt den verschlüsselten Text also als
Attachment vom Typ application/
pgp‐encryp ted. Neuere E-Mail-Programme
bieten solche pgp‐encrypted-
Attachments nicht zum Download an,
sondern entschlüsseln den enthaltenen
Text und zeigen ihn im Nachrichtenfenster
an. Die Vorteile der MIME-Einbettung:
Die Verschlüsselung erfasst versandte
Nachrichtenanhänge stets mit
und ist für Mailprogramme leichter zu
erkennen. Allerdings können alte oder
einfach gestrickte Mailclients nicht mit
diesem MIME-Typ umgehen.
In KMail wählen Sie unter Optionen |
Nachrichtenverschlüsslungsformat zwischen
Inline-OpenPGP und OpenPGP/​
MIME. Bei Thunderbird steht dafür die
Option OpenPGP | PGP/​MIME verwenden
zur Verfügung.
Aufgepasst!
Mit dem Verlust Ihres privaten Schlüssels
verlieren Sie den Zugriff auf alle bisher
an Sie gerichteten verschlüsselten Mails.
Ein sicheres Backup des Keys auf einem
externen Datenträger ist daher unerlässlich.
Am einfachsten sichern Sie dazu die
Datei secring.gpg aus dem Verzeichnis
~/.gnupg. Spielen Sie diese in dasselbe
Verzeichnis auf einer anderen Linux-Installation,
so stehen dort die darin enthaltenen
privaten Schlüssel zur Verfügung.
Um private Keys hinzuzufügen, exportieren
Sie diese:
$ gpg ‐‐export‐secret‐keys ‐a > GU
eheim.sec
Auf den Schlüsselbund importieren Sie
die privaten Schlüssel mit dem Befehl
gpg ‐‐import geheim.sec. Um umgekehrt
kompromittierte oder nicht mehr
ausreichend sichere Schlüssel auf den
Schlüsselservern zu entfernen erzeugen
Sie ein sogenanntes Revoke-Zertifikat:
$ gpg ‐‐gen‐revoke ID > revoke.asc
Das importieren Sie über gpg ‐‐import
revoke.asc in Ihren Schlüsselbund und
exportieren dann den zurückgerufenen
Schlüssel auf den Keyserver:
$ gpg ‐‐keyserver hkp://keys.gnupU
g.net ‐‐send‐keys ID
Der Revoke-Schlüssel sollte im Fall einer
Kompromittierung eines veröffentlichten
Schlüssels am besten schon vorliegen
und darf zum späteren Zeitpunkt
keinesfalls in falsche Hände gelangen.
Fazit
Die meisten Zeitgenossen schirmen die
Fenster zur Straße mit Vorhängen –
nicht, um Verbrechen zu verbergen, sondern
weil die gewahrte Privatsphäre das
Wohnklima verbessert. Die Erkenntnis,
dass sich an strategischen Eckpunkten
des Internets alle E-Mails abgreifen lassen,
müsste sich dank Edward Snowdens
mutiger Enthüllung langsam verbreiten.
Klagen von Kommunikationspartnern,
die E-Mail-Verschlüsseln als zu umständlich
empfinden, sollte man daher mit
dem Argument kontern, dass das Einrichtung
von GnuPG weniger Mühe bedeutet
als die Montage von Vorhangstangen.
Wer die Benutzung der Konsole
nicht gewohnt ist, kann statt der im Artikel
vorgestellten Befehle die leicht bedienbaren
grafischen Tools von Thunderbird
oder KMail benutzen. (tle) n
09.2013 www.linux-user.de
41

Praxis
Digikam
Bilder bearbeiten mit Digikam
Effektvoll
Für einfache Korrekturen und kleine Effekte leisten die
Werkzeuge in der Fotoverwaltung Digikam gute Dienste.
Andreas Reitmaier
© senoldo, Fotolia
Readme
Digikam gehört zu den ausgesprochenen
Allround-Talenten, wenn es um Fotos geht.
Über die Verwaltungsfunktionen der Software
haben wir in einem Artikel in der letzten
Ausgabe bereits ausführlich berichtet.
Im aktuellen Artikel beschäftigen wir uns
näher mit den Bildbearbeitungsoptionen.
Der Urlaub ist vorbei, auf der heimischen
Festplatte tummeln sich Hunderte
neue Bilder. Idealerweise haben Sie diese
bereits in Digikam importiert, nach
Orten und Zeit sortiert und die schönsten
Erinnerungen mit einem System aus
Sternen oder Farben markiert. Sobald
die Abende wieder länger werden, bietet
es sich an, sich mit dem Bearbeiten
ausgesuchter Fotos zu beschäftigen.
Sie öffnen die Bildbearbeitung aus einer
beliebigen Ansicht heraus über das
Kontextmenü oder [F4]. Je nach Voreinstellung
genügt ein Doppelklick, und Sie
Digikam-Workshop
Sie haben sich noch nicht mit Digikam beschäftigt,
und die Fotos lagern noch auf der
Kamera? Dann schauen Sie doch mal in
die Ausgabe 08/​2013 von LinuxUser. Dort
finden Sie ab Seite 32 einen Workshop, der
sich mit den Funktionen der Software beschäftigt.
Online lesen Sie ihn unter http://​
www. linux‐community. de/ 29918.
landen direkt in der Ansicht mit den Bearbeitungswerkzeugen.
Diese öffnet sich
stets in einem separaten Fenster 1 .
Haben Sie ein Foto im RAW-Format gewählt,
zeigt Digikam zunächst einen Dialog
für den Import, der bereits erste Einstellungen
erlaubt. Bei allen anderen
Fotos gelangen Sie direkt in den Dialog
mit Farbeinstellungen, Auswahlen und
diversen Effekten.
Spezialfall Rohdaten
Laden Sie Rohdaten, öffnet sich automatisch
ein separates Werkzeugfenster 2 .
Hier nehmen Sie bei Bedarf verschiedene
Einstellungen vor, um aus den unbearbeiteten
Daten der Kamera ein Foto zu entwickeln.
Das bearbeiten Sie anschließend
mit den Werkzeugen von Digikam weiter.
Sie finden im Import auf der linken Seite
eine Vorschau des Fotos, das die Software
mit Standardwerten berechnet hat. Auf
der rechten Seite sehen Sie ganz oben
ein Histogramm und darunter die Werkzeuge,
aufgeteilt in drei Reiter.
44 www.linux-user.de
09.2013

Digikam
Praxis
Mit den Werkzeugen unter Rohdekodierung
legen Sie fest, wie Digikam eine erste
Ansicht der Fotos berechnet. Achten
Sie darauf, nach Änderungen stets die
Schaltfläche Aktualisieren rechts unten zu
betätigen, damit das Programm die Modifikationen
in der Vorschau anzeigt.
Beim Dekodieren geht es im Wesentlichen
um das Festlegen der Helligkeitsbereiche
und den Weißabgleich. Für
Letzteres stehen sowohl automatische
als auch manuelle Methoden bereit.
Beim manuellen Verfahren gehen Sie immer
von den Standardwerten von D65
aus. Allerdings passt die Software die Anzeige
nicht an die gewählten automatischen
Methoden an. Arbeiten Sie häufiger
mit Rohdaten, empfiehlt sich der Einsatz
eines separaten RAW-Konverters: Ein solcher
bietet in der Regel mehr Optionen.
Als weiteres Werkzeug finden Sie unten
eine Rausch- und Farbkorrektur sowie
die Möglichkeit, die Farbverwaltung
anzupassen. Im Reiter Nachbearbeitung
können Sie die Werte der Belichtung
weiter modifizieren. Hier stehen mehr
Optionen bereit als beim Dekodieren.
Änderungen an den Werten zeigt die
Applikation in der Vorschau sofort an.
Korrekturen der Helligkeit
Gerade Schnappschüsse aus dem Urlaub
entsprechen nur selten den Vorstellungen
vom perfekten Bild, und so beginnt
die Arbeit an teilweise missratenen Werken
bereits bei der Korrektur von Helligkeit
und Farben. Diese Arbeiten verbirgt
Digikam gesammelt unter dem Menü
Farbe. Bei vielen Fotos bringt die automatische
Korrektur bereits Verbesserungen
– insbesondere, wenn typische Fehler
auftauchen, wie Fehlbelichtung wegen
Sonne oder eindeutige Verschiebungen
bei der Farbe.
Darüber hinaus machen die Fehler fast
immer zusätzlich manuelle Anpassungen
notwendig, die Sie aber mit der Vielzahl
der Tools leicht bewerkstelligen. Ein relativ
einfaches Werkzeug zur Kontrolle der
Helligkeit verbirgt sich hinter dem Regler
Helligkeit, Kontrast, Gamma.
D65: Nach dem CIE-System festgelegtes
Normlicht, das in etwa dem Mittagslicht in
Nord- oder Westeuropa entspricht.
1 Aus den unterschiedlichen Ansichten heraus starten Sie die Ansicht zum Bearbeiten von Bildern per Kontextmenü oder über [F4].
09.2013 www.linux-user.de
45

Praxis
Digikam
2 Bei Bedarf öffnen Sie mit Digikam direkt das RAW-Format der Kamera und geben dem Bild noch vor dem eigentlichen Bearbeiten
die notwendigen Informationen zu Farbwerten und Helligkeit mit.
3 Das Gradationswerkzeug wirkt auf frischgebackene Bildverarbeiter in aller Regel zunächst etwas ungewohnt. Das vielseitige Tool
ermöglicht jedoch schon nach kurzer Einarbeitung eine präzise Kontrolle der Helligkeitswerte in verschiedenen Bildbereichen.
46 www.linux-user.de
09.2013

Digikam
Praxis
Versuchen Sie zunächst die Helligkeit mit
dem Gamma-Regler anzupassen. Das hat
den Vorteil, dass die Randwerte nahe
Schwarz beziehungsweise Weiß weitgehend
konstant bleiben und sich nur die
mittleren Farbwerte verändern. Das erhält
den Gesamteindruck des Bildes: Farben
verändern die Wirkung nicht so sehr,
und die Bilder wirken nicht flau und grau.
Mit dem Regler Leuchtstärke verändern
Sie die gesamte Helligkeit des Fotos,
was auch die Werte für Schwarz und
Weiß betrifft, sodass Fotos schnell missraten
wirken. Mit dem Kontrast-Regler
passen Sie anschließend bei Bedarf noch
ein wenig die Balance zwischen hellen
und dunklen Farbtönen an.
In besonders schwierigen Fällen empfiehlt
sich der Einsatz des Werkzeuges
Gradation 3 . Obwohl als Profi-Werkzeug
verschrien, eignet sich die Gradationskurve
auch für Einsteiger zum Kontrollieren
der Helligkeit in einzelnen Bereichen.
Zunächst sehen Sie eine gerade Linie
durch das Diagramm auf der rechten
Seite laufen. Dort entspricht jeder Eingangswert
dem gleichen Ausgangswert
der Helligkeit. Wählen Sie mit der Maus
eine Stelle auf der Linie an, erscheint
dort ein roter Kontrollpunkt, den Sie
nach oben (heller) oder unten (dunkler)
bewegen. So kontrollieren Sie ganz gezielt
die Helligkeit.
Platzieren Sie zunächst einen (festen)
Punkt in der Mitte, und korrigieren Sie
dann zunächst die Werte oberhalb (helle
Bildbereiche) und unterhalb (dunkle
Bildteile) des Fotos. Sie sollten mit diesem
Werkzeug etwas üben und vorsichtig
umgehen, da Sie anderenfalls die
Helligkeitsbalance des ganzen Bildes
stark verändern und so beschädigen.
Farbkorrekturen
Für Farbkorrekturen steht ebenfalls eine
ganze Reihe an Werkzeugen bereit. Eine
einfache Regelung finden Sie mit Farbschattierung/​Sättigung/​Helligkeit.
Mit diesem
Werkzeug können Sie sowohl die
4 Verschiedene Werkzeuge ermöglichen eine mehr oder weniger subtile Anpassung der Farben. Mit Farbbalance arbeiten Sie komfortabel
und ohne die Gefahr, das Gesamtbild zu zerstören.
09.2013 www.linux-user.de
47

Praxis
Digikam
5 Digikam bietet beim Werkzeug zum Beschneiden von Bildern eine ganze Reihe von verschiedenen Optionen, um Ergebnisse zu
erzielen, die den menschlichen Sehgewohnheiten entsprechen.
Farben eines Bildes „aufpeppen“ als auch
mit psychedelischen Effekten experimentieren.
Zunächst einmal finden Sie hier
den altbekannten Sättigungsregler, mit
dem Sie die Gesamtsättigung der Farben
und damit die Farbigkeit erhöhen – womit
es viele Anwender übertreiben.
Diese Gefahr besteht beim Werkzeug
Vibrance nicht: Der Regler hebt nur die
Sättigung bei geringer gesättigten Farben
an und bringt so mehr Lebendigkeit
in sonst eventuell zu flau geratene Fotos.
Anschließend korrigieren Sie bei Bedarf
noch die Helligkeit etwas, falls bei etwas
dunkleren Fotos das Erhöhen der Sättigung
zu einem etwas zu dunklen Ergebnis
führt.
Mit dem Regler Farbschattierung verschieben
Sie das gesamte Spektrum innerhalb
des Bildes. Damit erzeugen Sie
Falschfarben-Fotos, was oft für Fotos im
Stil von Andy Warhol zum Einsatz
kommt. Einstellungen an einzelnen Farbwerten
nehmen Sie mit Farbbalance vor.
Über die drei Regler verschieben Sie die
Balance der Primärfarben gegenüber
den jeweiligen Komplementärfarben.
Im Beispiel aus Abbildung 4 ist der
Wert Cyan/​Rot um 10 Punkte in Richtung
Rot verschoben und im Gegensatz
dazu Gelb/​Blau um 10 Punkte in Richtung
Gelb. Dadurch entsteht eine leichte
Orange-Färbung, die Hautfarben eine
etwas sommerliche Note verleiht. Die
minimale Grünfärbung des Wassers fällt
dabei nur im direkten Vergleich auf.
Schneiden, Drehen, Spiegeln
Bei Schnappschüssen aus dem Urlaub
entspricht oft der Bildausschnitt nicht
den Vorstellungen oder der Horizont
hängt schräg – meist ging es ja eher darum,
Momente einzufangen. Erst später
am Rechner stellt sich heraus, dass man
das Motiv mit der Lupe suchen muss,
das Meer Schlagseite hat oder sich ein
Auto mit ins Bild mogeln konnte.
Das Menü Transformieren stellt verschiedene
Werkzeuge bereit, um solche
Fehler zu bereinigen. Die Tools fallen
weitestgehend intuitiv aus, das Zuschneiden
mit Seitenverhältnis veranschaulicht
deren Funktionsweise.
Möchten Sie Fotos nur am Computer
betrachten, spielt deren Seitenverhältnis
kaum eine Rolle. Wollen Sie die Bilder jedoch
klassisch beim Fotodienst bestellen,
gilt es, das jeweilige Seitenverhältnis
der Ausgabe zu beachten. Eben dabei
hilft das Werkzeug Zuschneiden mit Seitenverhältnis.
Rufen Sie es auf, zeigt Digikam
einen Auswahlrahmen an (siehe
Abbildung 5 ). Dessen Seitenverhältnis
entspricht dabei dem zuletzt von Ihnen
genutzten. Dies ist besonders hilfreich,
wenn Sie mehrere Fotos nacheinander
bearbeiten möchten. Digikam stellt zudem
verschiedene Formate zur Auswahl
bereit, angefangen beim Quadrat über
das klassische Fotoformat 3:2 bis hin zu
bildschirmgemäßen Aspekten von 4:3
oder 5:4. Darüber hinaus gibt es noch
den klassischen Schnitt und das Seitenverhältnis
des aktuellen Fotos.
48 www.linux-user.de
09.2013

Digikam
Praxis
6 Das Menü Dekorationen bietet neben den hier gezeigten Varianten für Rahmen aller Art auch noch die Möglichkeit, Texte und
Wasser zeichen in das Bild einzufügen und die Aufnahme mit verschiedensten Texturen zu überlagern.
Wollen Sie ein Format für den Monitor
oder ein Fernsehgerät erstellen, nutzen
Sie Benutzerdefiniert und geben in den
darunterliegenden Eingabefeldern die
gewünschten Werte ein, etwa 16:9 oder
die Auflösung des Gerätes, wie 1440:900.
Mit den Anfassern an den vier Bildecken
verändern Sie nun die Größe des
Zuschneidebereiches, wobei immer das
einmal festgelegte Seitenverhältnis gewahrt
bleibt. Unterhalb der Einstellungen
finden Sie Angaben zur Position
und der resultierenden Bildgröße. Scrollen
Sie weiter herunter, sehen Sie das
Werkzeug Hilfslinien, das Ihnen beim
Gestalten des Ausschnittes hilft.
Dekoratives
Mit den beschriebenen Werkzeugen optimieren
Sie ein Foto im Handumdrehen.
Möchten Sie nun noch ein paar Informationen
hinzufügen oder der Sache einen
ansprechenden Rahmen geben, bietet
Digikam dazu die passenden Werkzeuge
im Menü Dekorieren. Das relativ kleine
Menü wartet mit einem Textwerkzeug,
einem Rahmengenerator und einer Textur-Option
auf. Auch wenn da erst einmal
die Finger jucken, empfiehlt es sich,
nur eine der Optionen auf ein Foto anzuwenden:
Im Mittelpunkt soll ja schließlich
das Foto stehen.
Wollen Sie Ihre Bilder im Internet präsentieren,
dann bietet es sich erstens an,
diese durch ein Wasserzeichen zu markieren
und sie zweitens mit schlagkräftigen
Titeln zu versehen (was im klassischen
Fotoalbum eher unschön aussieht).
Dazu dient das Textwerkzeug:
Über Texte hinzufügen konfigurieren Sie
Art, Größe, Stil sowie Farbe des Textes.
Zusätzlich haben Sie die Möglichkeit,
den Text zu drehen und anschließend
am Rand zu platzieren. Auf Wunsch umgibt
die Software die Beschriftung mit
einem einfachen Rahmen oder blendet
sie transparent über das Motiv. Sie fügen
weitere Texte hinzu, indem Sie das Werkzeug
mehrfach aufrufen.
09.2013 www.linux-user.de
49

Praxis
Digikam
7 Eine kleine Auswahl an Effekten bietet Digikam ebenfalls an. Hier gilt es, darauf zu achten, dass der Effekt zum bearbeiteten Foto passt.
TIPP
Texturen eignen sich, um Hintergründen
etwas mehr Leben einzuhauchen. Wie bei
allen Effekten gilt hier: Einmal den Hauch
von Leinwand zu verbreiten ist durchaus
legitim; zu häufig angewendet, nutzt sich
der Effekt sehr schnell ab.
Das Rahmenwerkzeug 6 bietet die klassischen
Varianten farbiger Rahmen und
Rahmen mit Texturen. Texturierte Rahmen
sind aber nicht jedermanns Sache
und passen zu den wenigsten Fotos. Eine
attraktive Variante des farbigen Rahmens
nennt sich Niepce. Damit legen Sie einen
schmalen Rahmen direkt um das Bild und
anschließend einen breiten Rahmen in
einer zusätzlichen Farbe dort herum. Das
wirkt bei vielen Fotos besonders edel.
Die Breite des Rahmens legen Sie in
Prozent fest, wenn Sie die Option Seitenverhältnis
beibehalten aktiviert haben.
Dann führt die Software den Rahmen an
der Längsseite des Fotos etwas breiter
aus als auf der kurzen Seite. Anderenfalls
geben Sie die Rahmenbreite in Pixel an.
Dies gilt jeweils für den äußeren, breiten
Rahmen. Das Werkzeug Rahmen hinzufügen
dürfen Sie ebenfalls mehrfach anwenden.
Ebenfalls in den Dekorationen finden
Sie das Werkzeug Textur. Hiermit legen
Sie verschiedene Muster über das Foto,
um den Anschein zu erwecken, das Foto
sei auf Leinwand, Papier oder eine Mauer
gemalt. An Reglern finden Sie bei diesem
Werkzeug wenig, lediglich je einen für
die Auswahl des Musters und die Stärke
des Effektes. Um das Ergebnis zu beurteilen,
sollten Sie in das Bild hineinzoomen.
Effekte-Kiste
Natürlich dürfen richtige Effekte im
Werkzeugkasten von Digikam nicht fehlen:
Insgesamt acht verschiedene Werkzeuge
verschönern (oder verhunzen) bei
Bedarf die Fotos. Von Farbeffekten über
das klassische „Ölgemälde“ bis hin zur
Filmkörnung finden Sie hier die ein oder
andere interessante Option.
Gerade bei solch weitgehenden Effekten
sollten Sie darauf achten, dass sie
tatsächlich zum Motiv passen und nicht
nur um ihrer selbst willen zum Einsatz
kommen. In Abbildung 7 mit den Wasserflächen
und dem blauen Himmel sehen
Sie den Effekt Regentropfen, der bei
einem Hochzeitsmotiv oder einer Häuserfassade
sicher deplatziert wäre.
50 www.linux-user.de
09.2013

Digikam
Praxis
8 Nicht alle Werkzeuge aus dem Menü Verbessern wirken sinnvoll. Das Schärfen-Werkzeug bietet jedoch nützliche Optionen.
Andere Effekte, wie etwa die Gravur oder
Kanten finden aus den Farbeffekten, eignen
sich vor allem, um Fotos für das weitere
Bearbeiten vorzubereiten. Allerdings
bieten Programme wie Gimp oft
ähnliche oder gleiche Filter. Andere
Effekte, wie Ölgemälde oder Kohlezeichnung
wirken sehr gut als solche.
Die Parameter, die Sie bei den Effekten
finden, sind in der Regel selbsterklärend.
Allerdings lohnt es sich, ein wenig mit
den Werten zu experimentieren, um für
das jeweilige Foto eine passende Einstellung
zu finden. Bei den Filtern lohnt es
sich, den Knopf Ausprobieren zu nutzen,
um einen Eindruck des jeweiligen Filters
zu gewinnen.
Halbautomatisch verbessern
Im Menü Verbessern hält Digikam weitere,
zum Teil recht geläufige Werkzeuge
bereit. Zu den Klassikern gehört Rote Augen.
Die Optionen erlauben ein genaue
Kontrolle über den Effekt. Zusätzlich legen
Sie fest, welche Farbe die Korrektur
annimmt, sodass diese sich harmonisch
ins Bild einfügt. Im Gegensatz zu einigen
anderen Rote-Augen-Tools macht die
Digikam-Variante den Einsatz recht leicht.
Zu den weiteren Werkzeugen gehören
Weichzeichnen und Schärfen. Während
Ersteres in Bezug auf die Funktionen
schwach ausgestattet ist, bietet Letzteres
immerhin drei Modi, unter anderem
das oft benötigte Unscharf maskieren mit
den drei wichtigsten Parametern 8 .
Fazit
Die Bildbearbeitungswerkzeuge von
Digikam eignen sich ausgezeichnet, um
Fotos der eigenen Sammlung ein wenig
aufzuhübschen und für gängige Arbeiten
vorzubereiten, wie das Belichten, das
Ausdrucken oder das Zusammenstellen
eines Fotobuchs. Die Bedienung fällt
leicht, die Resultate können sich trotzdem
sehen lassen. Als Kombination aus
Medienverwaltung und Bildbearbeitung
beschleunigt Digikam obendrein den
Workflow ganz erheblich. (agr) n
TIPP
Mit dem Filter Lokaler Kontrast bearbeitet,
erscheinen flaue Fotos oft sehr viel lebendiger
und schärfer. Die Parameter dieses
Filters lassen sich gut kombiniert einsetzen.
Mit etwas Probieren erzielen Sie
schnell beeindruckende Ergebnisse.
09.2013 www.linux-user.de
51

Praxis
PDFs mit LaTeX
PDFs mit Navigation und Links
aus LaTeX generieren
Letzter
Schliff
PDF gilt als Standard für
plattformunabhängige
Dokumente. Mit den LaTeX-
Klassen Hyperref und Pdf pages
reizen Sie die Möglichkeiten des
Dateiformates gekonnt aus. Daniel Tibi
© Tkeys, sxc.hu
Readme
PDF fungiert heute als Standard für den
Austausch von Dokumenten zwischen unterschiedlichen
Plattformen. LaTeX bietet
mit den Klassen hyperref und pdfpages
eine Vielzahl von Einstellungsmöglichkeiten,
mit denen Sie die Funktionen des Formates
gekonnt ausnutzen.
Die Unabhängigkeit von einer Plattform
gehörte seit jeher zu den Designzielen
von LaTeX. Garant dafür war zunächst
das TeX-Format DVI; heute markiert PDF
den Standard für den Austausch. Mit
Pdflatex oder Xelatex û erzeugen Sie
problemlos Dateien in diesem Format.
Um die Möglichkeiten aber richtig auszunutzen,
stehen unter LaTeX die beiden
Pakete hyperref und pdfpages û bereit.
Das Paket hyperref setzt die Metadaten
eines Dokumentes, erzeugt externe
und interne Verweise, legt die Optionen
zum Anzeigen fest und erstellt Formularfelder,
die Sie bei Bedarf ausfüllen. Sie laden
das Paket in der Präambel mit dem
Befehl:
\usepackage[Optionen]{hyperref}
Dabei ist es sinnvoll, es als Letztes aller
Pakete aufzuführen, die Sie einbinden
wollen, damit kein anderes Paket die
Werte überschreibt, die Sie darüber anpassen.
Sie haben die Möglichkeit, die
einzelnen in diesem Artikel beschriebenen
Optionen des Paketes entweder in
eckigen Klammern hinzuzufügen oder in
einem gesonderten Befehl in der Präambel
aufzulisten:
\hypersetup{Optionen}
Das Paket pdfpages bietet umfangreiche
Möglichkeiten, PDF-Dateien in ein Dokument
einzufügen. Sie laden das Paket in
der Präambel mit dem Befehl:
\usepackage{pdfpages}
Externe PDF-Dateien fügen Sie über einen
eigenen Befehl im Hauptteil an der
Stelle ein, an der sie erscheinen sollen.
Metadaten enthalten Informationen
über das Dokument, welche die Datei
zusätzlich zum eigentlichen Inhalt er-
54 www.linux-user.de
09.2013

PDFs mit LaTeX
Praxis
mentes oder zu einer URL außerhalb
weiterleiten. Solche Verweise erzeugen
Sie bei Bedarf mit dem Paket hyperref.
Am einfachsten fügen Sie über
\url{URL} einen Verweis ein.
In die geschweifte Klammer tragen Sie
die vollständige Adresse inklusive Protokoll
ein. Bei Internetseiten verwenden
Sie dazu in der Regel ein führendes
http://, bei E-Mail-Adressen ein führendes
mailto:. Das Verweisziel erscheint
als Text im Dokument in Schrift mit fester
Laufweite. Stört das führende Protokoll
im Fließtext den Lesefluss, bietet es
sich unter Umständen an, bei einigen
Domains das weitverbreitete www. wegzulassen.
Bei Mail-Adressen wirkt das
führende mailto: im Fließtext ebenfalls
störend und verwirrend. Mit dem folgengänzen.
Zu den Metadaten gehören der
Titel, der Autor, die Art des Dokumentes,
Schlagwörter, das Programm, mit dem
Sie die PDF-Datei erstellt haben, sowie
das Datum des Erstellens und letzten
Änderns. Das Paket hyperref bietet Ihnen
die Möglichkeit, diese Metadaten in
ein Dokument einzufügen.
Listing 1 zeigt einen exemplarischen
Block mit solchen Metadaten. Die wichtigsten
Metadaten sind Autor, Titel, Art
des Dokumentes und Schlagwörter (Zeilen
2 bis 5). Für Felder, die Sie nicht verwenden
möchten, sparen Sie die entsprechende
Option aus. Die übrigen Felder
füllt LaTeX automatisch aus, wenn
Sie keine eigenen Werte eintragen 1 .
Im Feld Creator erscheint standardmäßig
der Eintrag LaTeX with hyperref
package, wenn nicht ein anderes Paket
dieses Feld mit einem anderen Wert
überschreibt. Bei Bedarf weisen Sie dem
Feld aber einen anderen Wert zu (Zeile
6). Im Feld Producer speichert LaTeX
standardmäßig die LaTeX-Version, die
Sie verwenden. Alternativ verwenden
Sie hier einen eigenen Wert (Zeile 7).
Verweise
Ähnliches gilt für die Datumsangaben
zum Erstellen des Dokumentes sowie
zur letzten Änderung (Zeilen 8 und 9):
Geben Sie keine eigenen Werte für diese
Felder an, speichert LaTeX das tatsächliche
Erstelldatum. Das Änderungsdatum
bleibt standardmäßig leer, da LaTeX
bei jedem Lauf die PDF-Datei neu anlegt
und nicht eine bestehende ändert.
Wollen Sie eigene Werte für Erstelloder
Änderungsdatum angeben, tragen
Sie dazu Datum und Uhrzeit als eine
vierzehnstellige Zahl ohne Trennzeichen
in der Reihenfolge Jahr, Monat, Tag,
Stunde, Minute, Sekunde in die geschweifte
Klammer der entsprechenden
Option ein. Dabei trägt die Software diese
Daten nur in den Metadaten des PDF-
Dokumentes ein; sie erscheinen jedoch
nicht als Erstell- und Änderungsdatum
der Datei im Dateimanager.
PDF unterstützt, ähnlich zu einer Webseite,
die Integration von Links, die zu einem
Sprungziel innerhalb des Doku-
1 Metadaten enthalten zusätzliche Informationen über eine Datei. Sie sehen
diese in manchen Fällen im Dateimanager oder – je nach Software –
auch im PDF-Betrachter.
Listing 1
01 \hypersetup{
02 pdfauthor={Edwin A. Abbott},
03 pdftitle={Flatland. A Romance of Many Dimensions},
04 pdfsubject={Roman},
05 pdfkeywords={Literatur, Roman, Science‐Fiction},
06 pdfcreator={LaTeX mit den Paketen hyperref und pdfpages},
07 pdfproducer={pdfLaTeX},
08 pdfcreationdate={20130101000000},
09 pdfmoddate={20130228142857},
10 % ... weitere Optionen des hyperref‐Pakets ...
11 }
09.2013 www.linux-user.de
55

Praxis
PDFs mit LaTeX
Listing 2
01 \label{Sprungzielname}
02 \ref{Sprungzielname}
03 \pageref{Sprungzielname}
04 \autoref{Sprungzielname}
05 \autopageref{Sprungzielname}
Listing 3
01 \usepackage[ngerman]{babel}
02 \addto\extrasngerman{
03 \def\
appendixautorefname{Anhang}
04 \def\
chapterautorefname{Kapitel}
05 \def\
equationautorefname{Gleichung}
06 \def\
figureautorefname{Abbildung}
07 \def\
Hfootnoteautorefname{Fußnote}
08 \def\pageautorefname{Seite}
09 \def\partautorefname{Teil}
10 \def\
sectionautorefname{Abschnitt}
11 \def\subsectionautorefname{Unt
erabschnitt}
12 \def\tableautorefname{Tabelle}
13 }
Listing 4
01 urlbordercolor={Farbe}
02 linkbordercolor={Farbe}
03 allbordercolors={Farbe}
den Befehl geben Sie dem eigentlichen
Verweisziel noch einen beschreibenden
Text mit auf den Weg:
\href{Verweisziel}{Text}
Verweise innerhalb des Dokumentes setzen
Sie in zwei Schritten. Zunächst definieren
Sie das Sprungziel, auf den Sie einen
Link setzen möchten. Dazu nutzen
Sie den folgenden Befehl:
\hypertarget{Sprungzielname}{Text}
In die erste geschweifte Klammer tragen
Sie einen Namen für das Sprungziel ein,
das Sie definieren wollen, und in die
zweite geschweifte Klammer den Text,
den der Link umfasst.
Als zweiten Schritt geben Sie einen
anklickbaren Link zu dem definierten
Sprungziel aus. In die erste geschweifte
Klammer tragen Sie den Namen ein, den
Sie für das Sprungziel vergeben haben,
und in die zweite geschweifte Klammer
den Text, den Sie verlinken möchten:
\hyperlink{Sprungzielname}{Text}
Mit dem Befehl aus Listing 2, Zeile 1, erstellen
Sie ein Sprungziel zu Objekten
wie Tabellen, Abbildungen, Gleichungen
oder Ähnlichem, wobei das Sprungziel
auf das Objekt verweist innerhalb dessen
Umgebung der Befehl steht. Steht
der Befehl in keiner speziellen Umgebung,
korrespondiert er mit dem Kapitel
oder dem Abschnitt, in dem er steht. Sie
verweisen auf ein solches Label mit dem
Befehl aus Listing 2, Zeile 2.
Als Verweistext gibt LaTeX die Nummer
der Tabelle, Abbildung, Gleichung
beziehungsweise des Kapitels oder des
Abschnittes aus. Wollen Sie stattdessen
die Seitenzahl ausgeben, nutzen Sie den
Befehl aus Listing 2, Zeile 3.
Diese beiden Befehle verlinken nur die
eigentliche Zahl. Wollen Sie zusätzlich
zur Zahl noch die Bezeichnung, also das
Wort „Kapitel“, „Abschnitt“, „Tabelle“, „Abbildung“,
„Gleichung“, „Seite“ oder Ähnliches
verlinken, stehen Ihnen dazu die
Befehle in Zeile 4 beziehungsweise in
der Zeile 5 zur Verfügung.
Standardmäßig verwendet LaTeX dabei
englische Bezeichnungen, auch wenn
Sie in der Präambel Deutsch als Sprache
eingestellt haben. Das Paket babel stellt
einen Befehl bereit, um die Bezeichnungen
neu zu definieren.
Listing 3 enthält einen exemplarischen
Block mit den wichtigsten Bezeichnungen.
Zunächst laden Sie das Paket
babel (Zeile 1) mit Deutsch in neuer
Rechtschreibung (ngerman). Alte Rechtschreibung
stellen Sie über die Option
german in den eckigen Klammern ein.
Es folgt der Befehlsblock, mit dem Sie
die Bezeichnungen umdefinieren (Zeilen
2 bis 13). Haben Sie die alte Rechtschreibung
ausgewählt, heißt der Befehl
in Zeile 2 \extrasgerman. Bestimmte interne
Verweise setzt LaTeX automatisch
und verlinkt beispielsweise Fußnoten
und die Einträge im Inhaltsverzeichnis
automatisch.
Standardmäßig umrandet LaTeX Verweise,
wobei die Software für externe
und interne Links verschiedene Farben
nutzt 2 . Möchten Sie dies beibehalten
und nur die Farben des Randes ändern,
nutzen Sie dazu als Option oder im Befehl
\hypersetup in der Präambel das
Kommando aus Listing 4, Zeile 1 für externe
Verweise und die Option aus Zeile
2 für interne Verweise. Möchten Sie
beide Arten von Verweisen in derselben
Farben umranden, legen Sie die Farbe
einheitlich fest (Zeile 3).
Die Farbe geben Sie als drei Zahlen
zwischen 0 und 1 durch ein Leerzeichen
getrennt im RGB-Schema an û. So definieren
Sie die Farbe Blau mit 0 0 1 oder
die Farbe Braun mit 0.5 0.25 0.
Darüber können Sie das Umranden
der Verweise abschalten und stattdessen
deren Text in einer anderen Farbe darstellen.
Dazu dient die Option
colorlinks=true. Hier haben Sie ebenfalls
die Möglichkeit, die Farben der Verweise
zu ändern. Dazu steht die Option
aus Listing 5, Zeile 1 für Verweise mit
URLs, die aus Zeile 2 für interne Verweise,
für die einheitliche Darstellung externer
und interner Verweise bereit.
Anders als bei Umrandungen geben
Sie hier den Namen der Farbe an, die Sie
auswählen möchten. Vordefiniert sind
56 www.linux-user.de
09.2013

PDFs mit LaTeX
Praxis
die Farben Schwarz (black), Weiß
(white), Rot (red), Blau (blue), Grün
(green), Cyan (cyan), Magenta (magenta)
und Gelb (yellow). Möchten Sie andere
Farben verwenden, definieren Sie diese
zunächst mit dem color-Paket û.
Anzeige
Mit dem Paket hyperref beeinflussen
Sie über bestimmte Einstellungen, wie
die PDF-Datei im Anzeigeprogramm erscheint.
Listing 6 enthält ein Beispiel mit
essenziellen Einstellungen.
So bestimmen Sie, welche Seite beim
Öffnen der Datei als Erstes erscheint
(Zeile 2) oder dass statt des Pfades der
Datei der Titel des Dokumentes in der
Titelleiste des Betrachters erscheint (Zeile
3). Außerdem schalten Sie auf diese
Weise bei Bedarf die Anzeige der Menüund
Symbolleiste im PDF-Betrachter ab.
Ob diese Einstellungen tatsächlich funktionieren,
hängt allerdings vom eingesetzten
Programm ab.
Formulare
Mit dem Paket hyperref erzeugen Sie
Formulare, die der Leser am Bildschirm
ausfüllen und ausdrucken oder (je nach
PDF-Betrachter) ausgefüllt abspeichern
kann. Dazu stellt das Paket die Umgebung
Form bereit, die Sie pro Datei allerdings
nur einmal verwenden dürfen.
Listing 5
01 urlcolor={Farbe}
02 linkcolor={Farbe}
03 allcolors={Farbe}
Listing 6
01 \hypersetup{
02 pdfstartpage=2,
03 pdfdisplaydoctitle=true,
04 pdfmenubar=false,
05 pdftoolbar=false,
06 % ... weitere Optionen des
hyperref‐Pakets ...
07 }
2 Standardmäßig kennzeichnet LaTeX Verweise durch einen farbigen Rand, wobei die
Software zwischen externen und internen Verweisen durch verschiedene Farben unterscheidet.
Alternativ entfernen Sie den Rand und färben stattdessen den Text ein.
Listing 7 enthält ein einfaches Beispiel,
Abbildung 3 zeigt das Ergebnis. Der
Code in Zeile 2 erzeugt ein Textfeld, der
in Zeile 3 eine Auswahlliste. In der ersten
geschweiften Klammer steht jeweils der
Text, der vor dem Feld erscheint. Der
Befehl für die Auswahlliste hat noch eine
zweite geschweifte Klammer, in die Sie
die einzelnen Auswahlpunkte durch
Kommas getrennt eintragen.
Durch die Angaben in den eckigen
Klammer beeinflussen Sie das Aussehen
der Felder. Die fünf Befehle im Beispiel
sind beiden Typen gemeinsam und bestimmen
die Breite, die Farbe des Textes,
die Farbe für den Hintergrund sowie die
Dicke des Rahmens und die Farbe des
Formularfeldes. Farben geben Sie auch
hier jeweils als drei Zahlen zwischen 0
und 1 im RGB-Schema an.
Listing 7
01 \begin{Form}
02 \TextField[width=50mm,color=0 0 0,backgroundcolor=0.9 0.9 0.9,border
width=0.5,bordercolor=0 0 0]{Name:}\\
03 \ChoiceMenu[width=50mm,color=0 0 0,backgroundcolor=0.9 0.9 0.9,bor
derwidth=0.5,bordercolor=0 0 0]{Wie geht es dir?}{Super!, Na ja.,
Könnte besser sein.}\\
04 \end{Form}
09.2013 www.linux-user.de
57

Praxis
PDFs mit LaTeX
Listing 8
addtotoc={
Seitenzahl,
Ebene,
Ebenentiefe,
Überschrift,
Label
}
Listing 9
addtolist={
Seitenzahl,
Verzeichnis,
Überschrift,
Label
}
Listing10
Möchten Sie ein mehrzeiliges Textfeld
erzeugen, dann fügen Sie den Befehl
multiline in die eckige Klammer des
Befehls für das Textfeld ein. Bei Auswahllisten
erzeugt LaTeX standardmäßig ein
mehrzeiliges Auswahlfeld.
Wenn Sie den Befehl popdown in die
eckige Klammer des Befehls für die Auswahlliste
eintragen, erhalten Sie stattdessen
ein Ausklappmenü. Der Befehl
radio erzeugt eine Liste, die die Auswahl
eines Punktes erlaubt.
Externe PDF-Dateien
Mit dem Paket pdfpages fügen Sie externe
PDF-Dateien in ein Dokument ein.
Dazu stellt das Paket den folgenden Befehl
bereit:
\includepdf[Optionen]{Dateiname}
Diesen setzen Sie an diejenige Stelle im
Hauptteil, an der Sie die PDF-Datei einfügen
möchten. Der Dateiname darf dabei
keine Leerstellen enthalten. Allerdings
gehen dabei alle anklickbaren Verweise
der externen Datei verloren – etwa solche,
die Sie mit dem Paket hyperref erzeugt
haben.
Das pdfpages-Paket stellt eine Vielzahl
von Optionen bereit. Mit dem Parameter
pages=Seitenzahlen geben Sie die Seiten
an, die Sie einfügen möchten. Standardmäßig
wählt das Paket nur die erste
Seite aus. Als Parameter geben Sie die
Seiten an, die Sie einfügen wollen, jeweils
durch Kommas getrennt. Dabei
dürfen Sie allerdings aufeinanderfolgende
Seiten durch einen Bindestrich zusammenfassen.
Möchten Sie alle Seiten einfügen, geben
Sie einfach einen Bindestrich an. Die
letzte Seite des Dokumentes sprechen
Sie mit last an. So fügt last‐1 alle Seiten
in umgekehrter Reihenfolge ein.
Eine Leerseite fügen Sie ein, indem Sie
statt einer Seitenzahl eine leere geschweifte
Klammer ({}) angeben.
\includepdfmerge{datei1.pdf, ‐, datei2.pdf, 2‐5, datei3.pdf, 3,5,7‐21}
Das Paket erlaubt es zusätzlich, mehrere
Seiten einer externen PDF-Datei auf einer
Seite des Dokumentes zusammenzufassen.
Nutzen Sie dazu die Option
nup=Anzahl BreitexAnzahl Höhe
So fügt die Option nup=2x3 zwei Spalten
mit je drei Seiten der externen PDF-Datei
zu einer Seite im Dokument zusammen.
Mit der Option
delta=Horizontaler Zwischenraum U
Vertikaler Zwischenraum
fügen Sie einen Zwischenraum der angegebenen
Größe zwischen die einzelnen
Seiten ein. Wollen Sie jede Seite umranden,
nutzen Sie dazu die Option
frame=true.
Standardmäßig verteilt LaTeX die einzelnen
Seiten der externen Datei reihenweise
von links nach rechts über die Seite
Ihres Dokumentes. Wollen Sie die Seiten
stattdessen spaltenweise von oben
nach unten verteilen, ergänzen Sie die
Option column=true.
Gut gedreht
Je nach der Ausrichtung des Dokumentes
und jener der externen Datei, die Sie
einfügen wollen, kann es manchmal nötig
werden, entweder die Seiten der eigenen
Datei oder die Seiten der einzufügenden
externen Datei vom Hoch- ins
Querformat zu drehen.
Die Ausrichtung des Dokumentes drehen
Sie mit der Option landscape vom
Hochformat ins Querformat, wobei die
Ausrichtung der externen Datei erhalten
bleibt. Die externen Seiten drehen Sie
mit der Option angle=Winkel um einen
beliebigen Winkel, wobei die Ausrichtung
der eigenen Datei erhalten bleibt.
Mit der Option
pagecommand={[Text|LaTeX‐Befehle]}
geben Sie auf jeder Seite des Dokumentes,
auf der Sie eine Seite der externen
Datei eingefügt haben, den angegebenen
Inhalt aus. Das ist entweder einfacher
Text, oder Sie ändern mittels eines
58 www.linux-user.de
09.2013

3 Ein einfaches Beispiel für ein Formular mit mehreren Feldern.
Befehls den Seitenstil. So unterdrücken Sie die Ausgabe der
Kopf- und Fußzeile beispielsweise mit:
pagecommand={\thispagestyle{empty}}
Wollen Sie eine PDF-Datei als Broschüre drucken, arrangieren
Sie die Seiten neu. Dabei hilft Ihnen die Option booklet, die
die Seiten der externen PDF-Datei so einfügt, dass eine Broschüre
entsteht. Um aus einem A4-Dokument eine A5-Broschüre
zu generieren, verwenden Sie folgenden Befehl:
\includepdf[landscape,booklet,pages=‐]{Quelldatei}
Bei Bedarf ergänzen Sie für die eingefügten Seiten die entsprechenden
Einträge im Inhaltsverzeichnis. Listing 8 zeigt die
dazu notwendigen Befehle. Als Seitenzahl geben Sie die Seite
an, die im Inhaltsverzeichnis erscheinen soll. Es folgt die Ebene,
also chapter, section, danach die Tiefe der Ebene, die von der
Klasse des Dokumentes abhängt.
In der Klasse article beziehungsweise scrartcl hat
section die Ebenentiefe 1, subsection die Ebenentiefe 2. Als
Nächstes tragen Sie den Text ein, den Sie im Inhaltsverzeichnis
sehen möchten. Schließlich geben Sie noch ein Label an, mit
dem Sie über den Befehl \ref{Label} oder \pageref{Label}
einen internen Verweis erstellen.
Auf die gleiche Weise erzeugen Sie Einträge in andere Listen,
wie die Verzeichnisse für Tabellen oder Abbildungen. Dazu nutzen
Sie den Befehl aus Listing 9. Als Seitenzahl tragen Sie die
Seite ein, die Sie im Verzeichnis sehen möchten. Es folgt das
Verzeichnis, für das Sie den Eintrag vorgesehen haben. So erzeugt
figure einen Eintrag im Verzeichnis der Abbildungen
und table in dem für Tabellen. Anschließend ergänzen Sie
noch den Text, der in diesem Verzeichnis erscheinen soll, sowie
ein Label für interne Verweise.
Möchten Sie mehrere PDF-Dateien hintereinander in Ihr Dokument
einfügen, bietet sich der Befehl \includepdfmerge an.
Die Optionen, die Sie in den eckigen Klammern angeben dürfen,
sind dieselben wie beim Befehl \includepdf – mit einer
Ausnahme: Sie geben die Seiten, die Sie einfügen möchten,
nicht als Option an, sondern nach dem jeweiligen Dateinamen
durch ein Komma getrennt. Listing 10 zeigt ein Beispiel.
Wenn Sie in Ihr Dokument mehrfach externe PDF-Dateien
einfügen und immer dieselben Optionen verwenden, brauchen
Sie die Optionen nicht immer neu in die eckigen Klam-
09.2013 59

Praxis
PDFs mit LaTeX
Der Autor
Weitere Infos und
interessante Links
www. linux‐user. de/ qr/ 29691
Daniel Tibi ist Benediktinermönch
der Abtei Kornelimünster.
Er studiert Theologie
an der Ruhr-Universität
Bochum und arbeitet dort als studentische
Hilfskraft am Lehrstuhl für Philosophisch-Theologische
Grenzfragen. Als
Geis teswissenschaftler nutzt er gekonnt
die umfangreichen Möglichkeiten von
LaTeX aus. Neben seiner Tätigkeit in der
Lehre schreibt er als freier Autor über
seine Erfahrungen mit dem Satzsystem.
mern des Befehls einzutragen. Geben
Sie die Optionen stattdessen einmalig in
der folgenden Weise in der Präambel an:
\includepdfset{Optionen}
Diese gelten dann für das ganze Dokument,
wobei Sie bei den einzelnen
\includepdf-Befehlen im Hauptteil
Optionen ergänzen oder überschreiben
dürfen.
Das Paket pdfpages nutzt intern den
Befehl \includegraphics aus dem Paket
graphicx û, sodass alle Optionen,
dieses Befehls auch als Option bei
\includepdf funktionieren. Interessant
ist beispielsweise die Option zum Beschneiden
des eingefügten Objektes:
trim=l b r t
Die für links (l), unten (b), rechts (r) und
oben (t) angegebenen Längen schneidet
die Software von der externen PDF-
Seite ab und fügt den verbleibenden
Rest ein. Geben Sie negative Längen an,
ziehen Sie auf diese Weise einen Rand
um die externe PDF-Seite. Damit diese
Option jedoch funktioniert, ergänzen Sie
noch clip=true.
Haben Sie alle PDF-Seiten richtig eingebunden,
alle Formulare ausgefüllt,
fehlt manchmal nur noch ein kleines
Stück im großen Puzzle. Das mag eine
Unterschrift sein oder eine Grafik, die Sie
an der richtigen Stelle einfügen möchte.
Hier hilft das Paket overpic û, das Ihnen
erlaubt, Text oder sonstigen LaTeX-
Code über eine PDF-Datei (oder eine
Listing 11
01 \begin{overpic}{formular.pdf}
02 \unitlength1mm
03 \put(50,20)
04 {
05 \begin{minipage}{100mm}
06 Flatland, 01.01.2000\\
07 \includegraphics{unterschrift.
png}\\
08 A. Square\\
09 \end{minipage}
10 }
11 \end{overpic}
Grafik) zu schreiben. Laden Sie das Paket
in der Präambel mit dem Befehl:
\usepackage{overpic}
An der Stelle, an der Sie im Dokument
die PDF-Datei mit dem zusätzlichen Text
einfügen möchten, setzen Sie die Umgebung
overpic ein. In Listing 11 kommt
diese Funktion zum Einsatz, um Ort, Datum
und eine eingescannte Unterschrift
in ein Formular einzufügen, das als PDF-
Datei vorliegt. Zeile 1 etabliert die Umgebung
overpic. In den eckigen Klammern
geben Sie bei Bedarf Optionen an,
in geschweiften Klammern den Namen
der Datei, die Sie einfügen wollen.
Möchten Sie die Datei skalieren, nutzen
Sie dazu die Option scale=Faktor in
eckigen Klammern. Um die Position des
Textes zu bestimmen, gibt es zwei Möglichkeiten:
Sie geben diese relativ an. La-
TeX teilt dazu die längere Seite der Datei
in 100 Einheiten ein und legt darauf aufbauend
ein Gitter mit gleich großen
Quadraten über die Datei. Um den Text
noch genauer zu positionieren und eine
Einteilung in 1000 Einheiten zu erreichen,
verwenden Sie die Option permil
in eckigen Klammern in Zeile 1.
Um die Position besser einzuschätzen,
steht die Option grid bereit. Starten Sie
einen LaTeX-Lauf mit dieser Option, erscheint
über der eingefügten Datei ein
Raster, an dem Sie die Koordinaten ablesen
(Zeile 3). Alternativ machen Sie absolute
Angaben zur Position.
Die Zahlen in Zeile 3 stehen hier ohne
Einheit. Die Größe der Einheit geben Sie
über einen eigenen Befehl an (Zeile 2).
Es folgt der Text oder LaTeX-Code. Dazu
kommt eine Minipage-Umgebung zum
Einsatz, deren Breite Sie beim Eröffnen
angeben (Zeile 5). Daran schließt sich
der Text oder LaTeX-Code an.
Fazit
Wenige Erweiterungen genügen bereits,
um ein LaTeX-Dokument als Ausgangsmaterial
für ein PDF mit sinnvollen Funktionen
zu versehen. Mit diesen Möglichkeiten
geben Sie Ihren Dokumenten den
letzten Schliff. (agr) n
60 www.linux-user.de
09.2013

Praxis
Gimp-Workshop Verzerren
Mit Gimp Verzeichnungen beheben und
Motive gekonnt ins Bild rücken
Hingezupft
Ob kreativer Einsatz oder Mittel zum Zweck: Gimps Werkzeuge zum
Verzerren digitaler Bilder leisten hervorragende Arbeit. Sie müssen nur
wissen, welches Sie wann einsetzen. Karsten Günther
© Stocker, sxc.hu
Readme
Das Thema „Verzerren“ fasziniert in mehrfacher
Hinsicht: Es ist technisch anspruchsvoll
und ermöglicht interessante bis verrückte
Ergebnisse. Die freie Bildbearbeitung
Gimp stellt eine Reihe von Werkzeugen und
viele Filter für diesen Zweck bereit.
Die in Gimp enthaltenen Funktionen
zum Verzerren ermöglichen es, aus gewöhnlichen
Aufnahmen ungewöhnliche
Bilder zu zaubern. Bevor Sie sich aber
dem kreativen Einsatz widmen, lohnt es
sich, die entsprechenden Werkzeuge zur
manuellen Korrektur von Objektivfehlern
zu nutzen – sie bringen Abhilfe bei
moderaten Verzeichnungen. Allerdings
bleibt die Wirkung begrenzt. Oft lohnt es
sich deshalb auch, zusätzlich das Perspektiv-Werkzeug
zu bemühen.
Werkzeuge
Die Werkzeuge zum Drehen, Scheren
und perspektivische Modifikationen gehören
zur Grundausstattung von Gimp.
Alle arbeiten im Transformationsmodus:
Sie sehen also zunächst nur eine Vorschau,
die Sie Ihren Vorstellungen entsprechend
manipulieren. Erst in einem
weiteren Schritt – nach dem Bestätigen
der Aktion – führt Gimp die rechenintensiven
Arbeiten auf den Bilddaten aus.
Ganz neu ist in Gimp 2.8 bei den Werkzeugen
zum Verformen die Käfig-Transformation
hinzugekommen – allerdings
nur mit eingeschränktem Funktionsumfang.
So beschränkt sich deren Einsatz
bisher auf Ebenen; Pfade oder eine Auswahl
unterstützt das Tool noch nicht.
Dafür ist das Bedienkonzept sehr einfach:
Sie ziehen einen Rahmen um den
gewünschten Bildbereich und setzen
überall dort Stützpunkte, wo Sie später
Verformungen vornehmen wollen. Sobald
dieser Rahmen geschlossen ist, berechnet
die Software die benötigten Parameter.
Anschließend verschieben Sie
die Stützpunkte, was den Inhalt entsprechend
verzerrt 1 .
Auswahl und Pfad
Das Verzerren einer Auswahl gehört zu
den speziellen Aktionen, die in mehrfacher
Hinsicht Bedeutung haben: Eine
Auswahl dient als Begrenzung beim Kopieren,
Löschen und für weitere Aufgaben
und kommt darüber hinaus häufig
beim Malen zum Einsatz.
62 www.linux-user.de
09.2013

Gimp-Workshop Verzerren
Praxis
1 Bei der Arbeit mit der Käfig-Transformation definieren Sie zunächst den Rahmen
(oben links), anschließend verschieben Sie die Stützpunkte so lange, bis Sie dadurch das
gewünschte Ergebnis (rechts, hier nachträglich eingefärbt) erhalten.
Alle Standardwerkzeuge – mit Ausnahme
des Werkzeugs zur Käfig-Transformation
– erlauben Ihnen das gezielte Verzerren
einer Auswahl innerhalb des Bildes.
In den Optionen des jeweiligen
Werkzeugs steht dafür hinter dem Punkt
Transformation als zweites der Eintrag
Auswahl bereit. Ein weiterer Punkt im
Hauptmenü Auswahl ermöglicht es
Ihnen hingegen, eine Auswahl entsprechend
festgelegter Parameter entlang
deren Kante zu verzerren 2 .
Das Skript, das Sie mit dem Dialog steuern,
wandelt eine einfache (meist geometrische)
Auswahl in eine etwas organischere
Form um. Das funktioniert neben
einer klassischen Auswahl sehr gut
mit Buchstaben in Textebenen, sobald
Sie diese mittels Auswahl aus Alphakanal
angewählt haben.
Über Schwellwert legen Sie grundlegend
fest, wie die Software die Auswahl
verzerrt. Kleine Werte vergrößern dabei
die Auswahl. Verteilen und Körnigkeit ver­
2 Für das Verzerren einer Auswahl bietet Gimp zusätzlich
einen speziellen Dialog an, der die Kante der Auswahl entsprechend
der vorgegebenen Parameter modifiziert.
3 Pfade verzerren Sie unter anderem über das Perspektiv-Werkzeug.
09.2013 www.linux-user.de
63

Praxis
Gimp-Workshop Verzerren
4 Im IWrap-Filter wählen Sie die gewünschte Funktion aus. Anschließend führen
Sie diese im Vorschaufenster aus. Gefällt das Ergebnis, wendet OK den Filter an.
5 Über zwei Kurven steuern Sie das Ergebnis des Filters Verbiegen. Die Vorschau
zeigt, welche Änderungen am Bild die veränderten Parameter nach sich ziehen.
größern das Verzerren, Glätten reduziert
es. Mit Horizontal glätten beziehungsweise
Vertikal glätten steuern Sie dies
noch feiner.
Einen Pfad bearbeiten Sie mit den
Standardwerkzeugen analog zu einer
Auswahl. Insbesondere das perspektivische
Verzerren bietet dabei viele Möglichkeiten
3 . Darüber hinaus ist das
Pfadwerkzeug so konzipiert, dass es das
manuelle Verzerren von Pfaden besonders
unterstützt. Pfade eignen sich dabei
als Grundlagen für Auswahlen, zum
Zeichnen oder als Hilfslinien.
Grundsätzlich können Sie sowohl die
Stützpunkte als auch die Linien („Segmente“
im Gimp-Jargon) von Pfaden beeinflussen.
Dieses Werkzeug kennt drei
Modi: Design zum Erstellen neuer Pfade,
Bearbeiten und das Verschieben von bestehenden
Pfaden.
Über [Strg] aktivieren Sie den Modus
zum Bearbeiten. In diesem Fall erzeugt
jeder Klick einen neuen Stützpunkt. Segmente
verschieben Sie direkt mit der
Maus oder deformieren sie durch die
Hilfslinien an den Endpunkten. Mit
[Strg]+[Umschalt] entfernt ein Mausklick
einen Stützpunkt oder ein Segment.
Filter
Das Menü Filter enthält im Untermenü
Verzerren eine Reihe von Funktionen
zum Verzerren von Bildern, darunter
IWrap und Objektivfehler … sowie Wrap
text…. Hinter IWrap verbirgt sich ein interaktiver
Filter, mit dem Sie bei Bedarf
Teile des Bildes bewegen, vergrößern,
verkleinern oder verdrehen. Entfernen
hilft Ihnen, unnötige Verformungen
rückgängig zu machen. Dabei haben Sie
die Möglichkeit, die Modifikation im Bild
vorzunehmen oder als Animation zu
speichern. Abbildung 4 zeigt den Filter
und einige Beispiele.
Dieser Filter erfordert zwar etwas
Übung, danach erzielen Sie aber schnell
brauchbare Ergebnisse. Die recht kleine
Vorschau erschwert das Bearbeiten von
Details. Hier ist es sinnvoll, diese auf einer
separaten Ebene getrennt zu bearbeiten
und dann das Ergebnis wieder in
das Bild einzufügen.
64
www.linux-user.de
09.2013

Gimp-Workshop Verzerren
Praxis
Sie steuern die Deformation über mehrere
Parameter: Der Deformationsradius
wirkt wie ein weicher Pinsel, mit dem Sie
die Verformung vornehmen, Deformierung
beeinflusst die Stärke des Effektes.
Die Option Bilinear verbessert die Qualität
der Deformation, was Anpassendes
Hochrechnen noch im Detail verstärkt.
Über Maximale Tiefe legen Sie die Zahl
der Durchläufe beim Berechnen der Pixel
fest, die mehr als den eingestellten
Schwellwert verändern. Im zweiten Reiter
bietet der IWrap-Filter an, eine Animation
mit bis zu 200 Einzelbildern aus
der Deformation zu erzeugen.
Der Filter Verbiegen … funktioniert
ähnlich wie IWrap im Modus Verschiebe:
Über zwei Kurven definieren Sie die
Transformation, die Sie bei Bedarf speichern,
um sie später auf weitere Bilder
anzuwenden. In der Vorschau sehen Sie
die Kontur des Bildes, rechts daneben
die Linie, über die Sie die Modifikation
an dem Bild steuern 5 .
In der Regel erzielen Sie mit glatten
Kurven den richtigen Effekt, um weiche
Übergänge zwischen den Segmenten zu
erhalten. Freie Kurven ermöglichen dagegen
ganz ungewöhnliche Strukturen.
In beiden Modi haben Sie zudem die
Möglichkeit, zusätzlich die Endpunkte
der Kurven zu verschieben.
Gefällt Ihnen die horizontale Ausrichtung
der Kurven nicht, dann legen Sie einen
neuen Winkel unter Drehen fest.
Glätten und Kantenglättung verbessern
in vielen Fällen das Ergebnis. Gimp erlaubt
es darüber hinaus, einmal erzeugte
Kurven für den erneuten Einsatz in einem
anderen Bild abzuspeichern.
Wählen Sie den Punkt Mit Kopie arbeiten,
dann erhält Gimp die Ebene des Originals
und erstellt stattdessen ein neues
Layer mit dem verbogenen Inhalt. Diese
Ebene erhält zunächst den Namen
curve_bend_dummylayer_b, den Sie aber
ändern dürfen.
eine ganz einfache Variante dieser Filter
dar 6 und tut genau das, was der Name
des Filters verspricht.
Fazit
Wie bei vielen anderen Aufgaben bietet
Gimp auch beim Verzerren eine Menge
Möglichkeiten. Neben den Standardwerkzeugen
verbergen sich auch bei
den Filtern interessante Funktionen. Allerdings
bietet sich bei der Käfig-Transformation
den Entwicklern noch eine
Menge Potenzial zum Optimieren: Hier
berechnet die Software die Transformation
derzeit nach einem unnötig aufwendigen
Verfahren, was die Operation
entsprechend verlängert.
Alle anderen Werkzeuge, die Gimp für
diese Art der Modifikation mitbringt, haben
sich im Alltag bereits oft bewährt.
Mit den Filtern stehen darüber hinaus
umfangreiche Tools bereit, mit denen
Sie Ihr kreatives Können gezielt am Bild
umsetzen. (agr) n
Wind und Wellen
Filter wie Wellen und Wind funktionieren
ähnlich. Sie bieten zwar weniger Flexibilität,
sind dafür aber noch einfacher anzuwenden.
Drehen und Drücken … stellt
6 Hinter Drehen und Drücken … verbirgt sich ein einfacher Effektfilter.
Der Radius steuert die Größe des beeinflussten Bereichs, mit der Druckstärke
beeinflussen Sie die Wirkung der Modifikation.
09.2013 www.linux-user.de
65

Netz&System
Zeroshell (Teil 3)
Zeroshell-Workshop Teil 3: Firewall-Konfiguration
Zugangskontrolle
© Arkosfl, sxc.hu
Eine Firewall kontrolliert den
Fluss der Daten in einem
Netzwerk. Dank einfacher
Konfiguration und umfangreicher
Logging-Funktionen
haben Sie mit Zeroshell
schnell und einfach einen
entsprechenden Dienst aufgesetzt.
Erik Bärwaldt
Readme
Die Inbetriebnahme einer Firewall gehört
bei jedem Netzwerk, das mit dem
Internet kommuniziert, zu den grundlegenden
Arbeiten. Zwar regulieren die
meisten Router bereits den Datenverkehr,
doch die wenigsten bieten eine
Möglichkeit, die Regeln für die Pakete an
eigene Bedürfnisse anzupassen. Zeroshell
springt mit seinem Firewall-Dienst
in die Bresche.
Filter und Tabellen
Der Firewall-Dienst von Zeroshell û
setzt auf das bewährte Duo Netfilter und
Iptables û auf, das unter Linux seit Kernel
2.4 als Paketfilter fungiert. Die beiden
Techniken im Duett ermöglichen es,
anhand von klar definierten Regeln Pakete
zu prüfen und über deren weiteren
Weg zu entscheiden. Jedes Paket durchläuft
unterschiedliche Regelketten, bis
eine Regel zutrifft und das System die
passende Aktion ausführt.
Die drei Tabellen filter für den eigentlichen
Paketfilter, nat für die Network
Address Translation sowie mangle zum
Markieren einzelner Pakete bilden die
grundlegenden Funktionen ab. In ihnen
verwalten Sie die Regellisten in den Kategorien
INPUT, FORWARD und OUTPUT in
der Tabelle filter und PREROUTING, OUTPUT
und POSTROUTING in der Tabelle nat.
Die Tabelle mangle differenziert nach
PREROUTING, INPUT, FORWARD, OUTPUT und
POSTROUTING. Für jede einzelne Regel in
Zeroshell nimmt Ihnen das umständliche
Konfigurieren der Firewall auf der Kommandozeile
ab und bietet neben Stateful Packet
Inspection zusätzlich Logging-Dienste an.
Serie: Zeroshell-Workshop
Zentrale Dienste LU 07/​2013, S. 22 http:// www. linux‐community. de/ 29626
Routing und WLAN LU 08/​2013, S. 38 http:// www. linux‐community. de/ 29993
Firewall einrichten LU 09/​2013, S. 66 http:// www. linux‐community. de/ 30220
66 www.linux-user.de
09.2013

Zeroshell (Teil 3)
Netz&System
diesen Ketten definieren Sie ein sogenanntes
target, also ein Ziel, das festlegt,
was mit dem betreffenden Datenpaket
geschieht. Die häufigsten Targets
sind ACCEPT, DROP und REJECT, die dafür
sorgen, dass das System ein Paket akzeptiert,
verwirft oder zurückweist.
Neben dem reinen Filtern von Paketen
beherrscht das Duo Netfilter und Iptables
zusätzlich die sogenannte Stateful
Packet Inspection (SPI, û), die neben
der Analyse der einzelnen Pakete den
Zustand der Verbindung beim Prüfen
mit einbezieht. Die Firewall merkt sich
diesen in einer internen Tabelle und
wendet auf die einzelnen Pakete nach
dem Prüfen die vorgegebenen Regeln
an. Den Status definiert das System über
die Parameter NEW, ESTABLISHED, RELA-
TED oder INVALID.
Kriterien
Um das Regelwerk sehr fein zu justieren,
bietet Netfilter/​Iptables außerdem die
Möglichkeit, einzelne Kriterien auf die
Quell- und Zieladressen der Datenpakete
anzuwenden. Neben der Angabe der
IP-Adressen besteht hier die Option,
physikalisch vorhandene Netzwerkschnittstellen
oder MAC-Adressen zu definieren.
Zudem können Sie die Regeln
auf unterschiedliche Protokolle und Verbindungs-Flags
eingrenzen.
Durch die vielen Parameter wächst
eine manuell angelegte und gepflegte
Firewall bei größeren Netzwerken mit
unterschiedlichsten Anwendungen sehr
schnell zu einer komplexen und wartungsintensiven
Angelegenheit. Bei zunehmender
Komplexität schleichen sich
zudem gerne Fehler ein.
1 Ping-Attacken verhindern Sie mit wenigen Mausklicks.
Um eine vorhandene Firewall durch eigene
Regeln zu ergänzen, suchen Sie
sich zunächst die entsprechende Kategorie
mittig oben im Fenster aus, indem
Sie diese in der entsprechenden Schaltfläche
Policy aktivieren. Anschließend
definieren Sie die Regelkette, wobei es
sich aus der Proaxis empfiehlt, dabei in
der Reihenfolge INPUT, FORWARD und
OUTPUT vorzugehen.
Grafisches Management
Zeroshell vereinfacht durch eine grafische
Oberfläche die Pflege der Firewall
erheblich. Sie öffnen als Administrator
die GUI über das Menü Security |
Firewall links in der vertikalen Leiste
der Oberfläche. Zeroshell wechselt nun
in die Kette INPUT und zeigt einen leeren
Bildschirm, in dem Sie Ihre individuellen
Regeln definieren.
2 Einmal eingerichtet, ist die neue Regel sofort aktiv.
09.2013 www.linux-user.de
67

Netz&System
Zeroshell (Teil 3)
3 Dem Log Viewer entgeht bei korrekten Einstellungen nichts.
Danach klicken Sie auf den kleinen
Schalter Add oben rechts. In einem neuen
Fenster finden Sie nun alle möglichen
Optionen inklusive jener für die Stateful
Packet Inspection (SPI). Da eine fehlerhaft
eingestellte Firewall ein Sicherheitsrisiko
darstellt, empfiehlt es sich, die
Funktion von Netzwerken in Grundzügen
zu verstehen. Die beim Übertragen
genutzten Protokolle sollten ebenfalls
bekannt sein. Vergegenwärtigen Sie sich
zudem, in welcher Richtung Datenpakete
die einzelnen Schnittstellen Ihres
Zeroshell-Rechners durchlaufen, da die
Angabe eines falschen Interface den
Effekt des Filters zunichte macht.
Beispiel
Im nachfolgenden Beispiel 1 für eine
Firewall-Regel geht es darum, von außen
ins Intranet geleitete ICMP-Pakete zu unterbinden.
Massenhafte Anfragen über
das ICMP-Protokoll sind vor allem bei
Skript-Kiddies immer noch das Mittel
der Wahl, um schwächere Computersysteme
mit einer löchrigen Firewall außer
Gefecht zu setzen, indem sie Zielrechner
mit solchen Anfragen überlasten.
Um eingehende Ping-Anfragen zu blockieren,
definieren Sie zunächst in der
Policy DROP und der INPUT-Kette das passende
Interface. Hierbei handelt es sich
nicht um die Schnittstelle, die ins Intranet
führt, sondern um jenen Netzanschluss,
der dem DSL-Gateway zugewandt
ist. Anschließend tragen Sie in
den Feldern Source IP und Destination IP
jeweils gültige IP-Adressen mitsamt ihren
Subnetzmasken ein.
Dabei dürfen Sie – sofern das Intranet
aus mehreren angeschlossenen Computern
und Peripheriegeräten besteht –
komplette Netze als Quell- oder Ziel-IP
angeben. Im nächsten Schritt wählen Sie
links mittig im Fenster das betreffende
Protokoll. Ein Klick auf das kleine Dreieck
rechts neben der Anzeige Protocol Matching
zeigt eine stattliche Liste.
Wählen Sie das ICMP-Protokoll und
danach rechts im Feld ICMP Type den
Eintrag echo-request (ping). Im letzten
Schritt definieren Sie ganz unten, was
mit entsprechenden Paketen passiert,
die von außen einen Ihrer Rechner ansprechen
wollen. Hier stehen im Bereich
ACTION die Alternativen ACCEPT, DROP,
REJECT, CHAIN und RETURN zur Auswahl.
Überwachung
Im Beispiel empfiehlt es sich, die Aktion
DROP zu wählen, da bei dieser das System
das Paket verwirft, ohne dass der
Quellrechner eine Rückmeldung erhält –
für den absendenden Computer bleibt
unklar, ob der angefragte Rechner existiert.
Ein Feedback mithilfe der Aktion
REJECT würde dem absendenden System
die Existenz des Rechners bestätigen.
Der Angreifer hätte die Möglichkeit,
daraus Rückschlüsse zu ziehen, um weitere
Aktivitäten zu planen.
Um die neue Regel in die Firewall einzugliedern,
klicken Sie abschließend auf
die Schaltfläche Confirm. Sofern die
neue Regel korrekt konfiguriert ist, zeigt
das System sie nun im Hauptfenster an.
Ein Häkchen in der Spalte Active signalisiert,
dass die Regel bereits aktiv ist 2 .
Falls die Firewall oder ein Dienst nicht
korrekt arbeitet, bietet Ihnen Zeroshell
die Option, Fehler anhand von Log-Da­
68
www.linux-user.de
09.2013

Zeroshell (Teil 3)
Netz&System
teien aufzuspüren. Es zeigt diese Protokolle
als übersichtliche Liste an. Klicken
Sie dazu oben rechts im Konfigurationsfenster
auf die Schaltfläche Show Log.
Zeroshell öffnet nun ein weiteres
Fenster mit dem Log Viewer, in welchem
Sie genaue Angaben zum Datenverkehr
finden 3 . Anhand der Angaben zur
Schnittstelle sowie der Uhrzeit haben Sie
Probleme schnell ermittelt. Log-Dateien
anderer Dienste von Zeroshell erreichen
Sie zusätzlich aus dem Hauptmenü heraus
durch Anklicken von System | Logs.
Verfolger
Damit Sie die Verbindungen im Netzwerk
stets im Blick behalten, ermöglicht
Ihnen Zeroshell das Verfolgen der Kommunikation
in Echtzeit. Über den Menüpunkt
Firewall | Connection Tracking erreichen
Sie den entsprechenden Dialog.
Ab Werk ist das Logging ausgeschaltet,
obwohl Zeroshell bereits die komplette
Datenkommunikation visualisiert. Die
Grafik fällt jedoch sehr unübersichtlich
aus. Es bietet sich an, das Protokollieren
anhand von Filterregeln vorzunehmen.
Oben mittig gibt es dazu eine Eingabezeile
Filter, in der Sie ein Suchkriterium
eingeben. Als solches kommen dabei
IP-Adressen, Port-Nummern oder der
Status der Verbindung infrage. Darüber
hinaus haben Sie die Möglichkeit, die
Liste durch einen Klick auf die Schaltfläche
Flush zunächst zu leeren, um neue
Einträge zu filtern und so mehr Übersicht
zu erhalten.
Um die Kommunikation im Netzwerk
dauerhaft nach voreingestellten Kriterien
zu verfolgen, bietet Zeroshell mithilfe
des Logging-Dienstes die Option, gleich
mehrere Filter zu definieren und die Log-
Dateien somit klein zu halten. Um entsprechende
Filter festzulegen, klicken
Sie oben rechts im Einstellfenster des
Trackings auf den Schalter Configure.
Es öffnet sich ein Eingabefenster, das
allerdings nur maximal neun Regeln aufnimmt.
Zunächst aktivieren Sie das Häkchen
für Enabled, um die Protokollfunktion
einzuschalten, danach geben Sie
die Filterfunktionen ein. So legen Sie die
zur Kontrolle benötigten Filter an.
Die Syntax der Regeln im Connection
Tracking Logger folgt zwar sehr einfachen
Prinzipien, die aber nicht dokumentiert
sind. Das erfordert unter Umständen
einige Experimente, um korrekte
Log-Regeln anzulegen. Grundsätzlich
sind Quellen (Source) und Ziele (Destination)
anzugeben. Außerdem legen Sie
fest, ob Sie Quelle und Ziel der jeweiligen
Regel im Protokoll sehen möchten.
Um alle Pakete zu protokollieren, die
einen Client im Netz 192.168.2.0/​24 als
Ziel haben, geben Sie als Filter
dst=192.168.2.* ein. Als Kriterium wäh­
4 Filter für die Logdateien definieren Sie ebenfalls grafisch.
5 Bei Bedarf fügen Sie der Firewall problemlos Regeln für proprietäre
Protokolle hinzu.
09.2013 www.linux-user.de
69

Netz&System
Zeroshell (Teil 3)
Weitere Infos und
interessante Links
www. linux‐user. de/ qr/ 30220
len Sie am Ende der Zeile Include und
um den Filter zu aktivieren, setzen Sie
vor der Zeile ein Häkchen.
Möchten Sie alle Pakete ausschließen,
die vom Quell-Port 80 stammen, so geben
Sie in der entsprechenden Zeile
sport=80 an, als Kriterium jedoch
Exclude. Alle Pakete, die von der IP-Adresse
127.0.0.1 ausgehen, also von Localhost,
erscheinen nicht in den Logs. Diese
Regel ist bereits voreingestellt 4 .
Sobald Sie Ihre Filterliste komplettiert
und mit einem Klick auf den Button Save
gespeichert haben, werden die Log-Dateien
den Vorgaben entsprechend gefüllt.
Um die aktuelle Log-Datei einzusehen,
können Sie nun auf die Schaltfläche
Show oben rechts im Konfigurationsfenster
klicken. Es öffnet sich der Log
Viewer, der Ihnen neben den protokollierten
Paketen auch die aktiven Filterregeln
anzeigt.
Proprietäre Protokolle
Durch das Internet haben sich neue Formen
der Kommunikation entwickelt, in
manchen Fällen abseits der herkömmlichen
Standards. So entstanden neue,
meist proprietäre und anwendungsspezifische
Protokolle. Diese siedeln sich
meist auf Layer 7 – der Anwendungsschicht
– des ISO/​OSI-Schichtenmodells
an und verwenden eigene Ports. Vor allem
Online-Spiele erweisen sich in dieser
Hinsicht als sehr aktiv.
Zeroshell nimmt Ihnen auch in diesem
Fall eine Menge Arbeit ab: So finden Sie
in den Einstellungen zur Firewall eine
Reihe Layer 7 Filters, die nach einem Klick
auf den Button L7 Manager rechts in dieser
Zeile den Layer 7 Filter Manager öffnet.
Hier wählen Sie zunächst im Feld
Group eine Protokollgruppe aus und rufen
anschließend über ein spezifisches
Protokoll aus dieser Gruppe, für das Sie
eine Firewall-Regel anlegen möchten,
nähere Informationen ab.
Die zugehörige Regel legen Sie über
einen Klick auf das kleine Dreieck rechts
neben der Zeile im Konfigurationsfenster
der Firewall an. Sie wählen hier das
gewünschte Protokoll aus und fügen es
der aktiven Regelkette zu 5 .
Firewall im Test
Nach Abschluss Ihrer Konfiguration
empfiehlt es sich, die Einstellungen auf
ihre Wirksamkeit hin zu überprüfen.
Dazu bieten sich Online-Dienste, wie PC
Flank û an, die verschiedene Tests vornehmen
und Ihnen die Ergebnisse
gleich am Bildschirm präsentieren. Ein
erfolgreich durchlaufener Intensivtest
sollte keine Schwachstellen der Firewall
mehr anzeigen 6 .
Fazit
6 Alles im grünen Bereich dank der Zeroshell-Firewall.
Der Firewall-Dienst von Zeroshell eignet
sich für lokale Netze jedweder Größe
und nimmt Ihnen viel Arbeit ab. Die
Konfiguration einer Firewall erfordert
zwar nach wie vor detaillierte Kenntnisse,
Zeroshell macht es Ihnen aber so einfach
wie möglich.
Eine wirkungsvolle Firewall besteht
zwar aus einer stattlichen Anzahl von
Regeln, diese haben Sie jedoch in den
Eingabemasken relativ schnell zusammen
gestellt. Einmal angelegt, hilft die
Logging-Funktion zudem, Schwachstellen
ausfindig zu machen und im Bedarfsfall
für forensische Zwecke zu dokumentieren.
(agr) n
70 www.linux-user.de
09.2013

Im Test
Leisure Suit Larry
Leisure Suit Larry Reloaded
Alter Herzensbrecher
Ein legendärer Schwerenöter
ist wieder da: In der dritten
Inkarnation seit 1987 kämpft
sich Leisure Suite Larry jetzt
auch unter Linux durch die
Nachtlokale des Städtchens
Lost Wages. Tim Schürmann
Die Stadt Lost Wages ist ein kleines Las
Vegas – nur weniger glitzernd und sichtlich
heruntergekommen. Dort stürzt sich
Larry Laffer übermütig ins Nachtleben.
Als mit Ende 30 immer noch unberührter
Mann möchte er endlich einmal eine Frau
aufreißen. Die Voraussetzungen dazu
scheinen jedoch sub optimal: Neben einem
riesigen Selbstbewusstsein besitzt
Larry unübersehbare Geheimratsecken,
chronischen Mundgeruch, keinerlei Taktgefühl
– und einen schicken weißen Polyesteranzug,
den Leisure Suit.
Im Adventure Leisure Suit Larry Reloaded
dirigieren Sie Larry per Mausklick
durch die Straßen von Lost Wages. Damit
er eine Aktion ausführt oder einen
Gegenstand aufhebt, gilt es zunächst,
den Mauszeiger in ein passendes Symbol
zu verwandeln. Das geschieht wahlweise
über ein Menü oder wiederholtes
Drücken der rechten Maustaste 1 .
Dabei stehen nicht nur gebräuchliche
Aktionen parat, wie Nehmen oder Benutzen:
Larry kann an allen möglichen
Dingen riechen, lecken, herumfummeln
sowie den Reißverschluss seiner Hose
öffnen. Mit diesen nahezu unbegrenzten
Möglichkeiten müssen Sie zahlreiche
Kombinationsrätsel lösen, um so wiederum
möglichst viele Damen in ein noch
zu mietendes Bett zu locken.
Readme
Replay Games lassen in ihrem Point-and-Click-Adventure einen
egendären Frauenheld auferstehen: Leisure Suit Larry Reloaded ist
eine Neuauflage des gleichnamigen Adventures aus dem Jahr 1987.
Finanziert haben die Rückkehr enthusiastische Spieler über Kickstarter.
Das Ergebnis kämpft jedoch mit einigen Problemen.
Leisure Suit Larry Reloaded
Bezugsquelle https:// www. replaygamesinc. com/
Entwickler Replay Games und N-Fusion
Altersfreigabe Ab 16
Lizenz
Kommerziell
Preis
20 Dollar
Voraussetzungen Aktuelle Linux-Distribution mit aktivierter
3D-Grafik
72 www.linux-user.de
09.2013

Leisure Suit Larry
Im Test
Déjà-vu …
Leisure Suit Larry Reloaded ist schon die
zweite Neuauflage eines alten Kultspiels.
Die ursprüngliche Fassung veröffentlichte
der Adventure-Spezialist Sierra bereits
1987 unter dem zungenbrecherischen
Namen „Leisure Suit Larry in the Land of
the Lounge Lizards“. Vor allem durch die
Mundpropaganda von männlichen pubertierenden
Jugendlichen erreichte das
Spiel schnell einen hohen Bekanntheitsgrad.
Es wurde so erfolgreich, dass Larry
in den kommenden Jahren noch fünf
weitere Abenteuer bestehen musste.
Beflügelt vom Erfolg brachte Sierra
1991 den ersten Teil mit modernisierter
Grafik und einer verbesserten Bedienung
noch einmal auf den Markt. Musste
man in der ursprünglichen Fassung
noch Textkommandos eintippen, konnte
man im Remake den Helden nun in einer
quietschbunten Comic-Grafik bequem
Anweisungen mit der Maus erteilen.
Nach dem Untergang von Sierra wanderte
die Marke Larry Laffer zur Firma
Codemasters. Von ihr erwarb 2012 der
amerikanische Spielehersteller Replay
Games û eine Lizenz für ein erneutes
Remake. Dieses sollte mit zeitgemäßer
Grafik, leicht überholten Inhalten und einigen
neuen Rätseln aufwarten. Die Entwickler
orientierten sich dabei vorwiegend
am zweiten Remake, von dem sie
die Steuerung und den Grafikstil übernahmen.
Als Berater konnte man zudem
Al Lowe gewinnen, den geistigen Vater
und Autor der alten Larry-Adventures.
Das Geld für die Produktion sammelte
Replay Games über die Plattform Kickstarter
û. Wer dort mindestens 15 US-
Dollar spendete, erhielt später eine Kopie
des Spiels. Für höhere Beiträge gab
es exklusive Devotionalien, wie den
Soundtrack oder ein T-Shirt. Bis zum
Ende der Kampagne kamen so über
650 000 Dollar zusammen.
Das fertige Leisure Suit Larry Reloaded
vertreibt Replay Games seit Mitte Juni
über Steam û sowie ohne Kopierschutz
auf seiner eigenen Homepage. Die in
Elektronikmärkten angebotene Schachtel
mit einer DVD enthält nur die Windowsund
Mac-OS-X-Version, Linux-Spieler soll­
1 Um eine Aktion auszulösen, wählen Sie zunächst das passende Symbol am oberen
Bildschirmrand und klicken dann den Gegenstand an. Einige Personen im Spiel sind übrigens
Unterstützer aus der Kickstarter-Aktion.
ten sie folglich im Regal stehen lassen.
Wie das Original verzichtet auch Leisure
Suit Larry Reloaded auf erotische oder
pornografische Darstellungen, aufgrund
der teilweise derben Witze und Anspielungen
kassierte es hierzulande jedoch
eine Altersfreigabe ab 16 Jahren.
… mit Fehlzündungen
Die von uns direkt beim Hersteller erworbene
Linux-Version sprach ausschließlich
englisch, das Windows-Pendant bietet
auch deutsche Untertitel. Das Spiel liegt
zudem nur als 32-Bit-Version vor, auf
64-Bit-Systemen muss man folglich die
Abkürzungen
Zu Beginn versucht das Spiel anhand
eines Multiple-Choice-Tests zu prüfen,
ober der Spieler auch das notwendige
Alter für das etwas schlüpfrige Adventure
aufweist. Allerdings sind alle Fragen vollständig
auf US-Amerikaner zugeschnitten
und treiben Europäer in die Verzweiflung,
selbst solche fortgeschrittenen Alters.
Glücklicherweise lässt sich die lästige
Quizrunde mit der Tastenkombination
[Strg]+[Alt]+[X] überspringen. Um an
Glücksspielautomaten dem Zufall etwas
auf die Sprünge zu helfen, speichern Sie
den Spielstand, setzen das komplette Geld
(über die lilafarbenen Tasten) und starten
den Automaten. Verlieren Sie, laden Sie
einfach wieder den gespeicherten Spielstand
und versuchen ihr Glück erneut.
09.2013 www.linux-user.de
73

Im Test
Leisure Suit Larry
Die Angabe des LANG-Parameters umgeht
einen Bug, der anderenfalls zu zerstörten
Speicherständen führt. Die Bildschirmauflösung
müssen Sie nicht zwingend
definieren. Allerdings verwendet
das Spiel standardmäßig eine Auflösung
im 4:3-Format, die je nach Monitor zu einer
verzerrten Darstellung führt.
Zu Redaktionsschluss war noch nicht
bekannt, ob und wann die Entwickler
diese Unzulänglichkeiten und kleinen
Fehler beheben.
Abgestanden
2 Der Türsteher des Studio 69 lässt nur Personen mit Ausweis in die Disco.
Weitere Infos und
interessante Links
www. linux‐user. de/ qr/ 30180
entsprechenden Kompatibilitätspakete
einspielen. Um das Spiel zu starten, verwenden
Sie folgenden Befehl:
$ LANG=C ./Larry‐Linux ‐screen‐wiU
dth 1024 ‐screen‐height 768
Das ursprüngliche Leisure Suit Larry zog
seinen Reiz vor allem aus seinem ebenso
abgedrehten wie originellen Szenario,
seinem schlüpfrigen Ruf, den teilweise
irrwitzigen Reaktionen auf die Textkommandos
und nicht zuletzt seiner Pixelgrafik,
die der Fantasie reichlich Spielraum
ließ. Mit all dem kann die Neufassung
nicht aufwarten. Vielmehr fördert
sie die großen, grundlegenden Schwächen
des Spieles zutage: Die wenigen
vorhandenen Rätsel sind teilweise völlig
unlogisch, die ständige Geldnot nervt,
jeden Augenblick kann man sterben,
und eine stringente Hintergrundgeschichte
fehlt komplett.
Als wäre das noch nicht genug, fügt
das Remake ein paar weitere Mängel
hinzu: Die Grafik schwankt zwischen detailverliebter
und laienhafter Comic-Optik
2 , die Animationen wirken teilweise
recht hölzern, und aufgrund der umständlichen
Steuerung klickt man sich
im Laufe des Spieles halb zu Tode 3 .
Wirklich hören lassen kann sich hingegen
der Soundtrack, für den sogar eine
Big Band aufspielte.
Fazit
3 In Diskussionen muss der Spieler stets brav alle Gesprächsmöglichkeiten durchklicken.
Unter dem Strich zählt Leisure Suit Larry
Reloaded eindeutig zu den weniger guten
Adventures – das galt aber eigentlich
auch schon für das Original von Sierra.
So richtet sich die 20 Dollar teure Neuauflage
wohl in erster Linie an eingefleischte
Nostalgiker, die schon 1987 im
Lefty’s einen Drink bestellt haben. Nach
dem Erfolg der Kickstarter-Kampagne zu
schließen, scheint es davon ja durchaus
einige zu geben. (jlu) n
74 www.linux-user.de
09.2013

Schwerpunkt
UBUNTU
user
Youtube to MP3
Musikvideos nach MP3
konvertieren
Abgezapft
© Asifthebes, sxc.hu
Der Downloader Youtube to
MP3 bringt eine Reihe Komfortfunktionen
mit und überzeugt
durch ein intuitives
Interface. Thomas Drilling
Readme
Youtube to MP3 fungiert als Downloader
und Konverter, der die Tonspur aus Videos
im MP3- oder OGG-Format extrahiert. Er
lässt sich einfach bedienen, Einstellungen
gibt es kaum, und deren Vorgaben passen
in vielen Fällen. Auf Wunsch bearbeitet die
Software mehrere Videos parallel und überwacht
automatisch die Zwischenablage.
MP3-Konverter, die Youtube als Quelle
unterstützen, gibt es trotz der manchmal
schwammigen Rechtslage (siehe
Kasten „Urheberrecht und Privatkopie“)
in stattlicher Anzahl. Deren Namen ähneln
sich oft stark, und darunter finden
sich auch einige Online-Dienste, wie
Filsh.net, Convert2mp3.net oder
Youtube-mp3.org. Sogar als Firefox-
Plugin gibt es solche Tools û.
Unter den nativen Konvertern findet
sich unter anderem der Free YouTube to
MP3 Konverter û als sehr beliebtes
Werkzeug. Ubuntu-Nutzer finden im
Ubuntu Apps Directory unter anderem
das Tool YouTube to MP3 û von Human-
Listing 1
Media, das seit Langem unter den Top-
10 Free-Apps û für Ubuntu rangiert.
Das proprietäre Freeware-Tool findet
sich im Ubuntu Software-Center. Von
dort installieren Sie es komfortabel mit
den üblichen Handgriffen, allerdings nur
in der Version 2.6.8 1 .
Warum das Tool allerdings im Software-Center
als Kauf-Software erscheint,
obwohl es sowohl im Developer-Verzeichnis
von Ubuntu als auch auf der
Webseite kostenlos bereitsteht, erschloss
sich uns auf den ersten Blick
nicht. Bei Bedarf bietet es sich also an,
das Tool direkt von der Webseite des
Herstellers zu installieren û.
$ sudo add‐apt‐repository 'http://www.mediahuman.com/packages/ubuntu'
$ sudo apt‐key adv ‐‐keyserver pgp.mit.edu ‐‐recv‐keys D808832C7D19F1F3
$ sudo apt‐get update
$ sudo apt‐get install youtube‐to‐mp3
76 www.linux-user.de
09.2013

Youtube to MP3
UBUNTU
Schwerpunkt
user
In seinem Download-Bereich offeriert
der Hersteller fertig geschnürte 32/​
64-Bit-DEB-Pakete für Debian oder
Ubuntu nur in der ebenfalls veralteten
Version 2.6.7, während die via Apt-Repository
angebotene Variante bereits die
Versionsnummer 2.8.6 trägt.
Im Test fiel die Wahl daher auf diese
Version, die Sie am schnellsten via Kommandozeile
ins System integrieren. Die
Zeilen in Listing 1 importieren das Repository
sowie den zugehörigen PGP-Key.
Anschließend ist ein Update der Liste
der Paketquellen obligatorisch, bevor
die Software bereitsteht.
Download und Installation
Youtube to MP3 basiert auf Qt 4.8.3, die
Software setzt ffmpeg, libmp3lame0 und
libavcodec-extra53 voraus. Was es mit
der Kaufversion auf sich hat, wurde klar,
als wir die Version aus dem Repository
unter Ubuntu 13.04 zum ersten Mal starteten:
Über Ubuntu Web Apps verwies
diese Version aus dem Dash zunächst
auf die Herstellerseite und forderte zum
Kauf oder zum Freischalten mit dem angezeigten
Lizenz-Code auf 2 .
In einem zweiten Versuch kam wieder
die Version aus dem Hersteller-Repository
zum Einsatz, diesmal unter Ubuntu
12.04 und 12.10. Hier funktioniert das
Programm problemlos in der kostenlosen
Version. Ob das Absicht ist oder der
Hersteller nur den Aufwand scheut, eine
andere Methode zum Bezahlen als via
USC oder Ubuntu Web Apps zu implementieren,
ließ sich auf die Schnelle
nicht in Erfahrung bringen.
1 Das Tool „YouTube to MP3“ steht im Software-Center von Ubuntu bereit.
Funktionsweise
YouTube to MP3 arbeitet gleichermaßen
als Downloader wie Konverter. Es bietet
mehrere Möglichkeiten, die URL der gewünschten
Musikstücke hinzuzufügen.
Die einfachste besteht darin, die URL aus
dem Youtube-Fenster per Drag & Drop
ins Fenster des Tools zu ziehen. Der Bereich
mit dem Schriftzug Hierhin ziehen
ist nicht zu übersehen 3 . Die Software
überprüft dann den Link und zeigt den
Titel des Videos an. Alternativ nutzen Sie
Urheberrecht und Privatkopie
Das Herunterladen von Youtube-Videos – selbst, wenn es sich nur
um die Tonspuren handelt – tangiert aus rechtlicher Sicht mindestens
zwei Aspekte: das Urheberrecht und die Nutzungsbedingungen
von Youtube. Falls Sie unsicher sind, sollten Sie Letztere im Zweifelsfall
eingehend studieren oder einen Fachmann konsultieren.
Prinzipiell erlaubt das deutsche Urheberrecht unter engen Einschränkungen
sogenannte Privatkopien urheberrechtlich geschützter
Werke. Allerdings sind die hier zugrunde liegenden Rechtsansichten
nicht klar umrissen. Das Problem ergibt sich in gleicher Weise beim
Rippen von Audio-CD und Video-DVDs.
Das Herunterladen eines Youtube-Videos wäre eine legale Privatkopie,
wenn der Uploader der Urheber wäre – und genau hier liegt
das Problem: Youtube erlaubt es Nutzern, selbst Videos hochzuladen.
Handelt es sich dabei nicht um eigenes Material, wäre das Verbreiten
durch das Herunterladen unrechtmäßig.
Möglich ist aber auch der Fall, dass ein Musik-Label eigene Accounts
und Kanäle nutzt, um Videos online zu stellen. Vergewissern Sie sich
also vor dem Herunterladen, dass der Rechtsrahmen eindeutig ist.
Gemäß Youtube ist das Herunterladen urheberrechtlich geschützter
Inhalte aus einem fremden Kanal nicht erlaubt.
09.2013 www.linux-user.de
77

Schwerpunkt
UBUNTU
user
Youtube to MP3
die bekannten Tastaturkombinationen
zum Kopieren oder legen eine URL in die
Zwischenablage ab und klicken dann
auf das Symbol URL einfügen.
YouTube to MP3 erlaubt es auch, diesen
Vorgang zu automatisieren. Dazu klicken
Sie in der Fußzeile auf das Symbol
mit dem Zahnrad und wählen dann den
Eintrag Automatisch aus der Zwischenablage
hinzufügen. Noch einen Schritt weiter
geht die Funktion Automatisch herunterladen,
die gleich noch den erforderlichen
Download einleitet.
Haben Sie das automatische Herunterladen
nicht eingeschaltet, klicken Sie
rechts im jeweiligen Titeleintrag auf das
Download-Symbol mit dem kleinen
Pfeil, um das betreffende Video herunterzuladen.
Im Unterschied zu anderen
Tools dieser Kategorie lädt Youtube to
MP3 tatsächlich nur die extrahierte Ton-
Spur herunter.
Das Konvertieren erfolgt automatisch,
die fertigen Dateien finden Sie anschließend
in Ihrem Home-Verzeichnis unter
Musik/Downloads by MediaHuman. Mehr
ist nicht zu tun, denn das Programm hat
offensichtlich das primäre Ziel, den Nutzer
ohne weitere Konfiguration durch
Download und Konvertieren zu leiten.
2 Kostenlos oder nicht? Ab der Ubuntu-Version 13.04 bittet der Hersteller des Downloaders
den Benutzer beim ersten Start der Applikation zur Kasse.
Gewisse Extras
Ein paar Gelegenheiten zum Herumspielen
mit den Einstellungen gibt es dennoch:
So bringt die Applikation unter
anderem eine Funktion für den Batch-
Betrieb mit. Diese erlaubt es, eine beliebige
Anzahl von Videos in einem Rutsch
zu konvertieren, ohne jedes Mal eingreifen
zu müssen. Dazu wählen Sie den Eintrag
Mehrere URLs hinzufügen aus dem
Kontextmenü der Einstellungen.
Möchten Sie die MP3-Datei vor dem
Konvertieren mit individuellen Tags versehen,
klicken Sie im Einstellungsmenü
den Eintrag Einstellungen und wechseln
zum Reiter Stichworte
Im Reiter Musik stellen Sie das Zielformat
ein. Das Programm unterstützt neben
MP3 auch OGG sowie das Containerformat
M4A. Mit der Option Original
M4A schalten Sie das Konvertieren komplett
aus. Außerdem geben Sie an dieser
Stelle gezielt Bitrate oder Qualität vor.
TIPP
3 Die URL des Videos fügen Sie komfortabel via Drag & Drop hinzu.
Youtube to MP3 kennt einen Tempolimit-
Modus. Sie aktivieren ihn über das Symbol
mit der Schnecke in der Fußzeile der
Applikation.
78 www.linux-user.de
09.2013

Youtube to MP3
UBUNTU
Schwerpunkt
user
Im Reiter Netzwerk haben Sie die Möglichkeit,
den Betrieb über einen SOCKS5-
oder HTTP-Proxy einzurichten, während
Sie unter Herunterladen bei Bedarf ein
globales Limit für die Bandbreite oder
die Anzahl gleichzeitiger Downloads
festlegen 4 .
Im ersten Reiter Allgemein schließlich
finden Sie die Optionen wieder, die Sie
schon im Kontextmenü des Hauptfensters
kennengelernt haben, etwa zum Aktivieren
der jeweiligen Automatik-Modi
für das Herunterladen und Konvertieren
aus der Zwischenablage. Außerdem
schalten Sie hier die automatische Suche
nach Updates ein oder aus.
Fazit
YouTube to MP3 gehört zu der angenehmen
Sorte Software, die durch unspektakuläres
Funktionieren überzeugt. Das
Programm tut, was man erwartet, und
überfordert Gelegenheitsnutzer nicht
4 Das gezielte Begrenzen der zu nutzenden
Bandbreite schont die Nerven anderer
Benutzer im gleichen Netzwerk.
mit zahllosen Parametern. Etwas befremdlich
wirkt allerdings die enge Kooperation
des Herstellers mit Canonical
und Youtube. Die Partnerschaft erleichtert
zwar das Installieren unter Ubuntu
und ermöglicht ein einfaches Bezahlen,
das Programm würde aber unter Open-
Suse oder Fedora eine ebenso gute Figur
machen. (agr) n
Weitere Infos und
interessante Links
www. linux‐user. de/ qr/ 30107
09.2013 www.linux-user.de
79

Netz&System
Stresslinux
Hardware-Lasttests mit Stresslinux
Voll im Stress
Readme
Moderne Hardware bietet nicht nur enorme
Leistung, sondern produziert auch große
Mengen Abwärme. Die Live-Distribution
Stresslinux deckt Problemzonen auf und
schützt so das System vor Überhitzungsschäden.
Obendrein eignet sie sich auch
noch für das Benchmarking.
Mit Stresslinux optimieren
Sie Ihre Hardware und kitzeln
so mehr Leistung aus
einzelnen Komponenten.
Auch zur Datensicherheit
leistet die Distribution ihren
Beitrag. Erik Bärwaldt
© Stuart Miles, 123RF
Als universelles Betriebssystem lässt
sich Linux aufgrund seiner vielen positiven
Eigenschaften sehr flexibel nutzen.
Eines der bislang weniger beachteten
Einsatzgebiete stellt dabei die Hardware-Diagnose
dar. Für Funktions- und
Geschwindigkeitstests nutzen viele Anwender
noch immer teure Speziallösungen
unter anderen Betriebssystemen.
Mit der kleinen Live-Distribution Stresslinux
können Sie jedoch ohne umständliches
Handling und ohne hohe Kosten
jedes PC-System umfassend auf Herz
und Nieren testen.
Das auf OpenSuse 11.4 und Busybox
basierende Stresslinux steht als lediglich
rund 200 MByte großes ISO-Image für
32- und 64-Bit-PCs zum Download bereit
û. Daneben gibt es auch Archive für
den Einsatz in einer virtuellen Maschine
oder auf USB-Speichermedien. Eine
leicht verständliche Dokumentation zum
Anlegen eines bootfähigen USB-Mediums
finden Sie im Stresslinux-Wiki û.
Blackbox
Nach dem Start präsentiert sich Stresslinux
zunächst mit einem anachronistisch
anmutenden Textbildschirm und
rudimentärer Liniengrafik vor schwarzem
Hintergrund. Ist das Betriebssystem
einsatzbereit, müssen Sie sich anmelden,
wobei Benutzername und Passwort
stress lauten.
Nun verzweigt die Routine in das Konfigurationstool
YaST 2 im Textmodus, der
zunächst in einem blau eingefärbten
Fenster die Tastaturbelegung erfragt.
Anschließend will die Software den Typ
des vorhandenen Motherboards wissen.
Sind Sie sich nicht sicher, welche Hauptplatine
im Rechner verbaut ist, dann aktivieren
Sie mit der Schaltfläche OK ein-
80 www.linux-user.de
09.2013

Stresslinux
Netz&System
Stresslinux 11.4 (32+64 Bit) bootfähig
auf Heft-DVD
Stresslinux 11.4 USB-Images (32+64 Bit)
auf Heft-DVD Seite B
1 Qual der Wahl: Stresslinux bietet eine ganze Reihe Belastungstests an.
Für den Test unterschiedlichster Prozessoren
und Chipsätze bieten sich die ersten
sechs aufgelisteten Programme an.
Diese zählen zum Fundus der auch in einigen
Software-Repositories eingepflegten
Suite Cpuburn. Sie betreiben Intel-
CPUs sowie AMD-Prozessoren der älteren
Baureihen K6 und K7 sowie die jeweils
dazu kompatiblen modernen Systeme
unter höchstmöglicher Auslastung.
Dabei lässt sich nicht nur feststelfach
den ersten in der Liste befindlichen
Eintrag Run_sensors-detect. Dasselbe gilt,
wenn Sie ein Notebook mit einem eigens
für den mobilen Einsatz konstruierten
Motherboard nutzen.
Danach überprüft Stresslinux die Hardware
in mehreren Schritten auf die Verfügbarkeit
diverser Sensoren hin. Nach
Abschluss dieses Vorgangs zeigt die Distribution
mögliche Test- und Benchmark-
Befehle in einer Tabelle an und wartet
am Prompt auf Ihre Eingabe 1 .
Im oberen Bereich der Tabelle bietet
Stresslinux eine stattliche Anzahl von
Testroutinen für spezielle Hardware an.
Diese sortiert es nach den Herstellern
Intel und AMD. Weiter unten finden Sie
dann Programme, die ein breiteres Spektrum
von Tests abdecken, sowie solche
zum Prüfen der Netzwerkgeschwindigkeit
und der Massenspeicher.
Falls Sie nicht genau wissen, welche
Hardware im Einzelnen im System verbaut
ist, dann lassen Sie sich die wichtigsten
Komponenten zunächst durch
Eingabe des Befehls lshw anzeigen. Da
die resultierende Anzeige außerordentlich
umfangreich ausfällt, empfiehlt es
sich, die Listenausgabe am Bildschirm
durch die Befehlsfolge lshw | more zu
begrenzen, sodass Sie die einzelnen Angaben
in Ruhe sichten können.
Um den genauen Prozessortyp festzustellen,
geben Sie am Prompt den Befehl
x86info ein und erhalten umgehend die
wichtigsten technischen Daten zur verbauten
CPU 2 .
CPU und Chipsatz testen
len, inwieweit ein Prozessor für das
Overclocking geeignet ist, sondern man
kann auf diese Weise auch Hardware-
Probleme eingrenzen: Schaltet beispielsweise
ein System unter voller Belastung
bereits nach wenigen Minuten ab, so
deutet dies auf eine defekte oder ungenügende
Kühlung des Prozessors hin.
Sie starten das jeweilige Testprogramm
über den in der Liste angegebenen Konsolenbefehl.
Dazu sind keine Administratorrechte
notwendig. Da die meisten
Programme ohne explizite Aufforderung
keine Ausgabe im Terminal anzeigen,
sollten Sie die Hardwaretests im Hintergrund
ablaufen lassen, um so trotz laufender
Applikation an der Konsole arbeiten
zu können. Damit Sie beispielsweise
einen Intel-Prozessor aktueller Bauart
2 Kurz und bündig: Stresslinux liefert die wichtigsten Informationen zur CPU.
09.2013 www.linux-user.de
81

Netz&System
Stresslinux
Mithilfe des Befehls stress starten Sie
einen umfangreichen Systemtest, der
neben der CPU auch das Speicher-Interface,
den Arbeitsspeicher sowie bei Bedarf
die Massenspeicher mit einbezieht.
Da diese Testsuite über eine stattliche
Anzahl von Parametern verfügt, mit denen
Sie die einzelnen Prüfroutinen justieren
können, sollten Sie zunächst
stress ‐‐help aufrufen, um sich einen
Überblick über die möglichen Optionen
zu verschaffen. Der Prüflauf mittels stress
lässt sich auch zeitlich eingrenzen, sodass
die Tests automatisiert ablaufen,
ohne das System durch eine zu lange
Laufzeit zu überlasten.
Massenspeicher
3 Smartctl kitzelt alle Informationen aus Ihrem Massenspeicher.
ausgiebig testen können, geben Sie im
Terminal folgende Befehlsfolge ein:
$ burnP6 || echo $? &
Nun wird die CPU voll ausgelastet. Wenn
Sie sich auf der Konsole anschließend
mithilfe des Befehls top die prozentuale
Systemauslastung durch die unterschiedlichen
Prozesse anzeigen lassen,
taucht burnP6 stets ganz oben in der Liste
auf, mit einem CPU-Load von permanent
deutlich über 95 Prozent.
Damit Sie die thermische Entwicklung
des Systems unter Last nahezu in Echtzeit
verfolgen können, hält Stresslinux
auf den über [F10] bis [F12] erreichbaren
Konsolen während des Testlaufs die relevanten
Informationen bereit. Mit der Tastenkombination
[Strg]+[Alt]+F12] erreichen
Sie die aktuelle Temperaturanzeige
aller im System gefundenen Sensoren.
Zusätzlich zeigt Stresslinux auch die jeweilige
Drehzahl der Lüfter an.
Etwas abgesetzt findet sich die Anzeige
der CPU-Temperatur, bei der sich zusätzlich
ein Hinweis auf die maximal zulässige
Betriebstemperatur findet. Zeigt
sich in der Anzeige, dass die Sensortemperaturen
bereits nach kurzer Zeit stark
steigen und auch eine höhere Lüfterdrehzahl
keinen Einfluss auf die Wärmeentwicklung
der Sensoren ausübt, empfiehlt
es sich, die Kühlsysteme zu prüfen.
Dies gilt insbesondere für die CPU-Kühlung,
bei der eine im Laufe der Zeit direkt
auf dem Prozessor eingetrocknete
Wärmeleitpaste isolierend wirkt und daher
im schlimmsten Fall zu Schäden am
System führen kann.
Die Tastenkombination [Strg]+[Alt]+
[F11] zeigt lediglich die aktuelle Temperatur
des Massenspeichers an. Unter
Volllast des Systems sollte dabei nach
einer längeren Zeit der Beanspruchung
die Betriebstemperatur der Festplatte
nicht über 50 Grad Celsius ansteigen, da
ansonsten Datenverlust und Defekte
auftreten können.
Mit [Strg]+[Alt]+[F10] gelangen Sie in
eine grafisch aufbereitete Anzeige des
Netzdurchsatzes, wobei Stresslinux hier
lediglich die Schnittstelle eth0 überwacht.
Diese Anzeige bleibt bei CPUund
Chipsatz-Tests inaktiv.
Systemtest
Festplatten werden oftmals mit zunehmendem
Alter und bei intensiver Nutzung
zu einer neuralgischen Komponente
des Gesamtsystems. Da auf ihnen in
der Regel wichtige Daten liegen, kann
ein Datenverlust aufgrund eines technischen
Defektes fatale Folgen haben.
Stresslinux ermöglicht Ihnen daher, mithilfe
der beiden Programme bonnie++
und smartctl die „Gesundheit“ der Festplatten
zu testen.
Während es sich bei Bonnie++ eher
um ein Werkzeug zum Benchmarking
des Massenspeichers handelt, ermöglicht
Smartctl Prüfläufe und zeigt den jeweiligen
technischen Zustand der Festplatte
an. Um dieses nützliche Tool starten
zu können, müssen Sie unter Stresslinux
als Administrator eingeloggt sein.
Mit dem Befehl su ‐ erhalten Sie nach
Eingabe des Root-Passwortes stresslinux
administrative Rechte. Nun rufen Sie
Smartctl mit folgendem Befehl auf:
# smartctl ‐a Device | more
Tauchen nun in den Protokolldaten Fehler
auf, sollten Sie zumindest Ihre wichtigen
Dateien zusätzlich sichern. Möchten
Sie zusätzliche Testläufe vornehmen, so
zeigt Ihnen smartctl ‐‐help die umfangreichen
Parameter des Befehls an
und führt einige Beispiele auf 3 .
Netzwerk
Um den Durchsatz von Netzwerkschnittstellen
zu messen, stellt Stresslinux das
Programm netio bereit. Es misst den Da-
82 www.linux-user.de
09.2013

Stresslinux
Netz&System
tentransfer zwischen zwei Rechnern,
wobei einer der Computer als Server
fungiert. Wenn Sie Stresslinux auf beiden
Maschinen im Live-Betrieb starten,
rufen Sie dazu das Programm auf dem
Server mit dem Befehl netio ‐s auf. Auf
dem Client aktivieren Sie die Software
durch Eingabe von netio Server‐IP.
Danach zeigt Stresslinux den Datendurchsatz
bei verschiedenen Paketgrößen
in Form einer Liste an. Alternativ lassen
Sie sich die Transfergeschwindigkeiten
auch im via [Strg]+[Alt]+[F10] erreichbaren
Terminal in einer schlichten
Balkengrafik anzeigen.
Fazit
Mit Stresslinux erhalten Sie einen ganzen
Satz nützlicher Werkzeuge, um PC-
Hardware auf Herz und Nieren zu testen.
Zwar glänzt die von der Distribution mitgebrachte
Software nicht durch aufwendige
grafische Gimmicks und fordert darüber
hinaus dem Benutzer auch einige
Kenntnisse im Umgang mit Befehlen auf
der Kommandozeile ab. Dafür lokalisiert
Stresslinux aber mögliche Fehlerquellen
und Engstellen im System schnell und
zuverlässig, ohne dazu eine umständliche
Installation zu erfordern.
Insbesondere, wenn es Probleme mit
der Prozessor- oder Systemkühlung ausfindig
zu machen gilt, erweist sich
Stresslinux als exzellentes Tool. Hierbei
sollten Sie jedoch die thermische Entwicklung
des Systems unter Last während
der Tests genauestens im Auge
behalten, um im Falle einer zu geringen
Kühlleistung Schäden durch Überhitzung
zu vermeiden.
Sowohl für den ambitionierten PC-Anwender
wie auch für den IT-Techniker erweist
sich Stresslinux bei der Diagnose
von Hardware-Problemen aller Art als
unentbehrliches Hilfsmittel und gehört
aus diesem Grund in jeden gut sortierten
Werkzeugkasten. (tle/​jlu) n
Weitere Infos und
interessante Links
www. linux‐user. de/ qr/30168
09.2013 www.linux-user.de
83

Schwerpunkt
RasPi-Tuning
Die Raspberry-Pi-Hardware optimal ausreizen
Need for Speed
© Steve Mann, 123RF
Der Raspberry Pi ist zwar
klein und sparsam, jedoch
auch nur begrenzt leistungsfähig.
Gezieltes Tuning hilft
ihm aber schnell auf die
Beine. Bernhard Bablok
Readme
In Sachen Performance bietet der Raspberry
Pi bekanntermaßen eher Schonkost. Als
Tempobremse erweisen sich hier neben der
700-MHz-CPU überraschenderweise auch
Komponenten wie die Stromversorgung.
Der Artikel zeigt, wie Sie die Leistung des
RasPi ausloten und dann durch gezielte Eingriffe
um bis zu 50 Prozent verbessern.
Der Raspberry Pi eignet sich aus vielen
Gründe beinahe perfekt zum Hosten eigener
Webprojekte. Bei komplexeren
Anwendungen kommt der Knirps aber
mächtig ins Schwitzen, wie etwa bei
Owncloud û. Zwar läuft dessen Installation
problemlos durch, doch die Antwortzeiten
erweisen sich dann selbst
beim bestem Willen als nicht erträglich
(siehe Kasten Owncloud-Tuning). Entsprechend
gilt es, etwas an der Performance-Schraube
zu drehen.
Bei solchen Problemen gilt unabhängig
von der Hardware immer die Reihenfolge:
messen, ändern, messen. Nur so
erhalten Sie sicheren Aufschluss darüber,
welche Maßnahmen erfolgreich waren.
Messen, messen, messen
Bei Performance-Problemen greift der
erfahrene Linux-Anwender naturgemäß
erst einmal zum Unix-Urgestein top, das
Auskunft über die Systemlast gibt.
Abbildung 1 zeigt die Ausgabe von
Top für eine Situation mit sehr hoher
CPU-Last. Das bereitet in der Regel an
sich keine Probleme, aber wenn dadurch
Antwortzeiten leiden, wäre eine schnellere
CPU gefordert. Anders sieht es in
Abbildung 2 aus, wo der wa-Wert
(„wait“) sehr hoch ausfällt. Hier wartet
die CPU auf Daten von einem Speichermedium
und dreht derweil Däumchen.
Ein schnellerer Prozessor würde hier nur
mehr Zyklen lang nichts tun.
Top gibt zwar wichtige Hinweise, zeigt
aber immer nur den momentanen Status
an. Ausgefeiltere Monitoring-Programme
zeichnen dagegen den Stand
verschiedenster Messwerte regelmäßig
auf und stellen so auch Verlaufsdaten
bereit. Das erspart Ihnen die Mühe, bei
Tests ständig ein Fenster mit der Top-
Ausgabe im Blick behalten zu müssen.
Hier bietet sich der Einsatz von Ganglia
an, das zwar für das Performance-
Monitoring von Clustern gedacht ist,
sich aber durchaus auch für Einzelrechner
eignet. Unter Raspbian müssen Sie
lediglich die Ganglia-Pakete einrichten.
So kommen Sie in den Genuss grafisch
aufbereiteter Ergebnisse (siehe auch
Kasten Ganglia installieren).
84 www.linux-user.de
09.2013

RasPi-Tuning
Schwerpunkt
Benötigen Sie keine grafische Analyse,
installieren Sie statt Ganglia das Paket
sysstat. Auch hier sammelt eine Komponente
die Messwerte im Hintergrund.
Das Kommando sar zeigt die Ergebnisse
im Terminal an. Das Sysstat-Paket enthält
darüber hinaus auch iostat, mit dem
Sie die Schreib- und Leseleistung von
Massenspeichern messen.
Zusätzlich benötigen Sie noch Programme,
die für Tests entsprechende
Lasten auf dem System erzeugen. Idealerweise
handelt es sich hier um solche,
die Ihrem Anwendungsfall nahekommen.
Alternativ dazu gibt es in der freien
Wildbahn diverse Benchmark-Programme,
die einzelne Komponenten wie die
CPU oder den Massenspeicher gezielt
belasten, aber für sich genommen realitätsfremd
sind. Diese Programme (etwa
der berühmte Linpack-Benchmark für
Floating-Point-Leistung oder Bonnie++
für die I/​O-Leistung) geben zusätzlich für
einen Vorher/​Nachher-Vergleich relevante
Messwerte aus.
USB verleiht Flüüügel ...
1 Gewusst, wo: Bei hohen Werten für die CPU-Last könnte ein schnellerer Prozessor
möglicherweise das Problem beseitigen, doch …
2 … bei einem hohen Wert für „Waits“ hilft das rein gar nichts: Hier wartet selbst eine
leistungsfähigere CPU einfach nur genauso lange auf Daten zum Verarbeiten.
beim Schreiben auf die SD-Karte auf
eine mangelhafte Stromversorgung hin.
Overclocking
Als Wurzel allen Übels beim Betrieb des
RasPi entpuppt sich überraschenderweise
die Stromversorgung. Das Gerät bezieht
den Strom über einen Micro-USB-
Anschluss und benötigt relativ konstante
5 Volt bei mindestens 700 mAh. Manche
USB-Steckernetzteile liefern jedoch
stur 500 mAh und simulieren damit einen
PC-Anschluss. Andere besitzen zwei
Buchsen, die vorgeblich je 2100 mAh liefern,
obwohl die Gesamtstromstärke des
Netzteils nur 3600 mAh beträgt. Solche
Ladenetzteile reduzieren die Spannung
bei sinkender Stromabnahme – für (fast)
aufgeladene Tablets oder Smartphones
durchaus sinnvoll, für den Raspberry Pi
ein Problem.
Der per Micro-USB aufgenommene
Strom versorgt CPU, GPU sowie alle per
USB angeschlossenen Komponenten,
insbesondere auch den Netzwerkchip.
Die maximale Stromaufnahme des RasPi
beträgt circa 1100 mAh. Das gilt es bei
allen folgenden Tuning-Schritte stets zu
berücksichtigen. Aber auch im Normalbetrieb
deuten Instabilitäten oder Fehler
Es ist immer problematisch, empfindliche
Hardware außerhalb der Spezifikation
zu betreiben. In der ersten Revision
des Pi änderte ein einziger Overclocking-
Versuch irreversibel ein Bit im Prozessor
– die Garantie war damit verwirkt. Inzwischen
erlauben die Macher ein Overclocking
innerhalb gewisser Grenzen.
Außerhalb dieser verlieren Sie aber wie
früher den Garantieanspruch.
Owncloud-Tuning
Es war das träge Verhalten von Owncloud
auf dem RasPi, das den Autor ursprünglich
zur Arbeit an diesem Artikel animierte. Dabei
bot die Privat-Cloud auch abseits der
Hardware Anlass zu weitergehenden Performance-Untersuchungen.
Tatsächlich
steigerten schon Maßnahmen innerhalb
der Anwendung deren Geschwindigkeit.
Eine Analyse mit Firebug ergab zum Beispiel,
dass jeder Seitenabruf sehr viel Zeit
im Skript cron.php vertrödelte, über das
Owncloud regelmäßige interne Aufräumarbeiten
anstößt. Als Vorgabe erfolgt eine
Aktivität pro Seitenabruf. Stellen Sie, wie in
der Owncloud-Dokumentation beschrieben,
direkt auf cron um, dann erfolgt das
Ausmisten im Hintergrund, die Benutzer
bekommen die abgerufenen Seiten deutlich
schneller zu sehen.
Die Installation des PHP-Caches APC mit
apt‐get install php‐apc bringt
ebenfalls zusätzliche Leistung, genauso
wie die direkte Auslieferung von statischen
Seiten ohne den Umweg über PHP.
09.2013 www.linux-user.de
85

Schwerpunkt
RasPi-Tuning
3 Die Ausgabe von cpustatus.sh gibt
auf der Konsole Auskunft über den aktuellen
Zustand der CPU.
Listing 1
Ganglia installieren
Overclocking erhöht den Systemtakt des
RasPi – wobei es diesen eigentlich nicht
explizit gibt, sondern vielmehr mehrere
verschiedene, voneinander abhängige
Taktungen. Für jede davon existiert eine
Konfigurationskonstante in der Datei
/ boot/config.txt. So steht dort arm_
freq für die CPU-Frequenz, core_freq
für den allgemeinen Systemtakt und
sdram_freq für den Takt des Hauptspeichers.
Details zu diesen wie zu den weiteren
Konstanten liefert das Elinux-
Wiki û. Als Hauptstellgrößen dienen
dabei arm_freq und core_freq.
Sie passen die Konfigurationsdatei
/ boot/config.txt entweder mit einem
Texteditor Ihrer Wahl oder – einfacher –
über das Konfigurationsprogramm
raspi‐config an. Hier definiert der
Menüpunkt Overclocking schon verschiedene
Stufen. Nicht jede davon funktioniert,
denn die Grenze nach oben hängt
von der Hardware ab, insbesondere von
Produktionsvarianten, angeschlossenen
Komponenten und der Stromversorgung.
Sie müssen sich also Stück für
Stück an das Optimum herantasten.
Selbst wenn Sie letztlich die Konfiguration
per Hand anpassen, sollten Sie
das Overclocking trotzdem vorher einmal
mit Raspi-config durchspielen: Das
Programm ändert nicht nur die Systemtakte,
sondern aktiviert auch die Linux-
Systemkomponente Ondemand-
Governor. Diese wacht über den Systemtakt,
ohne sie bleibt die Frequenz beim
festen Vorgabewert.
Zudem gilt es, in der /boot/config.
txt zusätzlich den Schalter force_turbo=1
zu setzen, sonst sehen Sie vom höheren
CPU-Takt erst einmal gar nichts:
Ganglia û selbst benötigt lediglich die Pakete
ganglia-monitor und gmetad. Der
Einsatz des Web-Frontends (ganglia-webfrontend)
setzt dagegen neben einem
Webserver auch eine lauffähige PHP-Installation
voraus. Das Setup via apt‐get
zieht aber neben PHP selbst auch gleich
noch den kompletten Apache-Stack mit
auf den RasPi. Um das zu verhindern, installieren
Sie zuvor den leichtgewichtigen
Lighttpd, erst danach folgen PHP und zum
Schluss das Web-Frontend für Ganglia. Die
dazu notwendigen Kommandos zeigt
Listing 1. Dessen letzter Befehl verlinkt das
Web-Frontend in den Dateibaum, den
Lighttpd ausliefert. Anschließend funktioniert
der Zugriff über die Adresse http://
[Host|IP]/ganglia/.
Der Governor taktet ja nur bei Bedarf
hoch. Der vorgegebene Grenzwert beim
Raspbian-Image liegt hier bei 95 Prozent
Last. Um das zu ändern, schreiben Sie als
Root den neuen Grenzwert in die entsprechende
Steuerdatei, am besten
gleich aus der /etc/rc.local heraus
während des Systemstarts. Dazu fügen
Sie dort folgende Zeile ein:
echo 60 > /sys/devices/system/cpuU
/cpufreq/ondemand/up_threshold
Falls der Raspberry danach nicht mehr
bootet, müssen Sie die Datei auf der SD-
Karte an einem anderen Rechner ändern.
Sofern sie den RasPi nicht headless
betreiben, genügt es alternativ, während
des Bootvorgangs die Umschalttaste gedrückt
zu halten.
Risiken
Ein höherer CPU-Takt führt auch dazu,
dass sich der RasPi schneller erwärmt.
Ohne Overclocking bewegt sich die
Temperatur im Gehäuse meist um die
50 Grad Celsius. Ein kleines Skript namens
cpustatus.sh û gibt den aktuellen
Status des Prozessors übersichtlich
aus 3 . Wen mehr als nur eine Momentaufnahme
interessiert, der ruft dagegen
das Skript aus Listing 2 aus der /etc/rc.
local auf. Es sendet alle 60 Sekunden
die aktuelle Temperatur und die CPU-
Frequenz an Ganglia 4 .
Ein kleiner Stresstest zeigt die Auswirkungen
des Overclocking: Dem Raspberry
Pi zu Ehren berechnen wir die Zahl Pi
auf 3400 Nachkommastellen genau.
Dazu installieren wir den Kommandozeilentaschenrechner
bc, der es erlaubt, beliebig
präzise zu rechnen:
$ bc ‐l

RasPi-Tuning
Schwerpunkt
config) dauert die Berechnung nur noch
85 Sekunden, die Temperatur steigt aber
kurzzeitig um fast fünf Grad an.
Erscheint Ihnen der Temperaturanstieg
als zu kritisch, können Sie den Ras-
Pi mit kleinen Kühlkörpern ausrüsten.
Ein Satz aus drei Stück für CPU, Spannungsregler
und LAN/​USB-Controller
kostet rund 10 Euro. Ein längerer Belastungstest
zeigte aber, dass die Ausrichtung
des RasPi-Gehäuses viel mehr Auswirkung
auf die Temperatur hat. Ärgerlicherweise
zeigen die Belüftungsöffnungen
in den Standardgehäusen nach unten,
sodass sich die Hitze darunter staut.
Als wir im Test das Gehäuse schlicht auf
die Schmalseite stellten, sank die Temperatur
schlagartig um fast zehn Grad.
Ein Test mit Linpack ergab eine Steigerung
von 44 MFlops ohne Overclocking
auf 66 MFlops bei arm_freq=1000 und
core_freq=400. Stellten wir in Raspiconfig
core_freq=500 ein, hängte sich
der Rechner auf.
Sowohl die Pi-Berechnung als auch
Linpack testen die Floating-Point-Rechenleistung,
die im Normalbetrieb allerdings
nur eine eher untergeordnete
Rolle spielt. Die Relation der Zahlen
dürfte aber auch für die Integer-Performance
gelten, was bedeutet, dass bei
günstigen Bedingungen eine Leistungssteigerung
von bis zu 50 Prozent möglich
sein dürfte.
Wie stabil die Hardware und Software
bei dauerhaft hochgetakteter CPU läuft,
muss jeder selbst testen. Eine Wiki-Seite
von Elinux.org û weist jedoch darauf
hin, dass der SD-Kartentreiber Probleme
mit übertakteten CPUs bekommt – nach
Tagen oder Wochen soll es zur Korruption
des Dateisystems kommen. Allerdings
taucht das Problem scheinbar nur
bei neueren Kerneln auf, Version 3.6.11
aus aktuellen Raspbian-Distributionen
ist davon nicht betroffen. Sie können
den Raspberry so konfigurieren, dass er
von der SD-Karte nur bootet und ansonsten
einen USB-Speicher nutzt û.
Der Overclock stability test aus dem
oben genannten Elinux.org-Wiki ist übrigens
nicht wirklich geeignet: Das Programm
triggert selbst ohne Overclocking
Speicherallokationsfehler, die
dann im Systemlog /var/log/messages
auftauchen. Hier scheint ein Problem im
Raspbian-Kernel vorzuliegen – im Normalbetrieb
oder bei Tests mit bonnie++
trat der Fehler nie auf.
Auf dem Rechner des Autors bewährt
sich Overclocking im Übrigen bestens,
das System reagiert merklich schneller.
Da der Takt nur jeweils kurzzeitig hochgeht,
entsteht auch kein dauerhaftes
thermisches Problem.
Hauptspeicher-Tuning
In Zeiten, in denen sogar Einsteiger-PCs
von der Rampe mehrere GByte an
Hauptspeicher mitbringen, muten die
256 beziehungsweise 512 MByte des
Raspberry Pi anachronistisch an. Hauptspeicher-Tuning
bedeutet hier vor allem,
genügsame Programme einzusetzen.
Zwar lässt sich auch der Hauptspeicher
übertakten, allerdings ohne spürbare
Verbesserungen. Wichtiger ist es,
den Speicher sinnvoll zwischen Betriebssystem
(normaler Nutzung) und GPU
aufzuteilen. Sie ordnen das RAM in
Schritten von 16 MByte mit dem Konfigurationsparameter
gpu_mem der GPU zu.
Das erledigen Sie entweder mit Raspiconfig
oder in / boot/config.txt. Für
Server ohne angeschlossenen Monitor
stellen Sie den Wert logischerweise auf
das Minimum von 16M. Die aktuelle Firmware
unterstützt das dynamische Aufteilen
des Speichers û.
Gut vernetzt?
Das Modell B des Raspberry Pi enthält
einen Fast-Ethernet-Port mit einer nominellen
Übertragungsgeschwindigkeit
von 100 Mbit/​s, was den Durchsatz auf
etwa 10 MByte/​s limitiert. Da der Chip
am USB-Bus hängt, muss er sich dessen
Durchsatz mit anderen Geräten teilen,
etwa mit USB-Festplatten. Zudem verursacht
der einfach gestrickte Baustein
eine höhere CPU-Last als seine Genossen
auf typischen Desktop-Boards.
Den Netzwerkdurchsatz testen Sie mit
dem Tool iperf, das Sie mit administrativen
Rechten via apt‐get install iperf
auf dem Raspberry sowie einem weiteheadless:
Betriebsmodus ohne Tastatur und
Monitor. Der Zugriff erfolgt beim Headless-
Betrieb via SSH aus der Ferne û.
Listing 2
#!/bin/sh
TEMP_FILE="/sys/class/thermal/
thermal_zone0/temp"
FREQ_FILE="/sys/devices/system/
cpu/cpu0/cpufreq/cpuinfo_cur_
freq"
INTERVAL="60"
( while true; do
gmetric ‐n temp \
‐v `sed ‐e "s/\
(^..\)/\1\./" "$TEMP_FILE"`\
‐t float \
‐u Celsius \
‐x "$INTERVAL" \
‐g other \
‐D "Temperature of
`hostname`" \
‐T "Temperature"
gmetric ‐n freq \
‐v `sed ‐e "s/\
(^...\)/\1\./" "$FREQ_FILE"`\
‐t float \
‐u MHz \
‐x "$INTERVAL" \
‐g other \
‐D "CPU frequency of
`hostname`" \
‐T "CPU Frequency"
sleep "$INTERVAL"
done ) &
09.2013 www.linux-user.de
87

Schwerpunkt
RasPi-Tuning
ren Rechner installieren. Idealerweise
hängen beide Computer an einem Gigabit-Switch,
auch sollte die Netzwerkkarte
des zweiten Rechners Gigabit-Ethernet
unterstützen. Das stellt sicher, dass
ausschließlich die Performance des RasPi
die Bandbreite limitiert. Sie starten Iperf
zuerst auf dem zweiten Rechner mit
dem Aufruf iperf ‐s im Server-Modus
und danach auf dem Raspberry mit dem
Kommando:
# iperf ‐c IP_der_Gegenstelle
Die synthetischen Ergebnisse von Iperf
berücksichtigen jedoch nicht, dass
Ethernet-Verbindung und Festplattenzugriff
über denselben USB-Chip laufen.
Realistischer ist etwa das Einrichten von
NFS oder Samba und der Zugriff auf ein
Der so angestoßene Test läuft rund
zwölf Minuten lang. Bonnie++ schreibt
das Resultat auf die Konsole und zusätzlich
in eine CSV-Datei. Beachten Sie, dass
Bonnie unter testdir ein beschreibbares
Verzeichnis erwartet.
Das eingangs beschriebene Szenario
einer Owncloud-Instanz auf dem RasPi
passt im Grunde gar nicht in das bevorzugte
Zugriffsmuster für SD-Karten: Hier
werkelt im Hintergrund eine Datenbank,
und so legt das Laden einer ICS-Datei
mit vielen Kalenderdaten das I/​O-System
erstmal eine ganze Weile lahm 5 . Das
ist zwar nicht der Normalfall, denn das
Anlegen einzelner Termine oder Kontakte
klappt in vertretbarer Laufzeit, und
auch das Synchronisieren größerer Dadurch
den RasPi bereitgestelltes Netzlaufwerk.
Zwar eignet sich der Minirechner
nicht als Backup-Medium für Riesendateien,
fürs Multimedia-Streaming genügen
seine Fähigkeiten aber durchaus.
Da der Treiber bei starker Netzwerklast
Probleme bekommt, empfiehlt dessen
Autor auf Rechnern mit schwacher CPU
den Boot-Parameter smsc95xx.turbo_
mode=N in der Datei /boot/cmdline.txt
zu setzen. Das reduziert zwar den Durchsatz
geringfügig, dafür kommt es aber
nicht mehr zu Fehlern.
Ansonsten unterscheidet sich das
Netzwerk-Tuning nicht wesentlich von
den Möglichkeiten, die ein Linux auf anderen
Plattformen bietet. Allgemeine
Ratschläge sind nicht möglich, da die
Einstellungen sehr von der Anwendung
und auch den Gegenstellen abhängt.
Datengrab
Als Bootmedium benötigt der RasPi
zwingend eine SD-Karte. Das aktuelle
Debian-Image Raspbian benötigt knapp
2 GByte Platz, auf Karten mit höherer Kapazität
bleibt also noch Platz für Anwendungsdaten.
Trotzdem ist die SD-Karte
nicht wirklich die erste Wahl für einen
Massenspeicher.
Das liegt zuallererst an der Schreibund
Lesegeschwindigkeit. Zwar teilen
sich SD-Karten in Geschwindigkeitsklassen
ein (eine Class-10-Karte sollte einen
Durchsatz von mindestens 10 MByte/​s
aufweisen), aber diese Werte sind eher
theoretischer Natur und lassen sich nur
in ganz speziellen Situationen wirklich
erzielen. Insbesondere sind SD-Karten
darauf ausgelegt, Bilder und Filme – also
große zusammenhängende Datenmengen
– sequenziell zu schreiben.
Die I/​O-Performance einer SD-Card
messen Sie mit dem Kommando iostat
aus dem Sysstat-Paket. Für Ganglia gibt
es zwar auch ein spezielles Modul, das
I/​O-Metriken aufzeichnet, allerdings
funktioniert es nicht im aktuellen Debian-Image
auf dem RasPi. Ohne Parameter
aufgerufen, gibt Iostat die Durchsatzwerte
seit dem letzten Boot aus. Der
Aufruf iostat ‐t ‐d 5 10 erzeugt
zehn Ausgaben im Abstand von fünf
Sekunden. Alternativ nutzen Sie das
Benchmark-Programm bonnie++:
$ bonnie++ ‐d testdir ‐m Raspi ‐fU
‐q >> bonnie.csv
4 Die ins Web -Interface
von Ganglia
integrierte Temperatur-
und Frequenzanzeige
informiert Sie
in grafisch aufbereiteter
Form über das
Verhalten des Prozessors,
beispielsweise
unter Last.
88 www.linux-user.de
09.2013

RasPi-Tuning
Schwerpunkt
teien (etwa Bilder für die Owncloud-Galerie)
funktioniert gut. Ein anderer Massenspeicher
wäre aber besser geeignet.
Als Alternative zur SD-Karte bietet sich
eine USB-Festplatte an – doch hier fangen
die Probleme erst an. Festplatten
ohne externe Spannungsquelle fressen
viel Strom, was schon beim Anstecken in
der Regel für den Totalabsturz sorgt. Die
erste Revision der Boards besaß sogar
eine 140-mAh-Sicherung vor den USB-
Ports: Das liegt so weit unterhalb der
USB-Spezifikation, dass es selbst den Betrieb
anderer USB-Peripherie wie WLAN-
Dongles unmöglich macht.
Besitzt die externe Festplatte keine eigene
Stromversorgung, kann ein aktiver
USB-Hubs weiterhelfen – doch die bringen
ihre eigenen Probleme mit sich. Verhalten
sie sich konform zur Spezifikation,
dann liefern sie stur 500 mAh pro Port.
Viele Festplatten brauchen aber beim
Anlaufen kurzzeitig mehr Strom. Ein weiteres
Manko: USB-Hubs kommen überwiegend
aus der Fernost-Billigstproduktion.
Im Internet finden sich zahlreiche
Berichte, die von mechanischen Problemen
bis hin zu in Flammen aufgehenden
Netzteilen berichten. Ein explizit für
den Dauerbetrieb entworfener aktiver
USB-Hub ist dem Autor nicht bekannt.
Als letzte Alternative bleiben noch
USB-Sticks, die allerdings ähnliche Zugriffsmuster
wie SD-Karten aufweisen
und damit im Owncloud-Szenario im
Test dieselben Probleme bereiteten. Zusätzlich
legen die meisten Hersteller den
inneren Aufbau der Sticks nicht offen –
womit unklar bleibt, wie sie die Flash-
Chips ansteuern.
Wie empfindlich der RasPi mit USB-
Geräten interagiert, zeigt eine Konfiguration
des Autors: Eine wegen eines Laptop-Umbaus
verfügbare mSATA-SSD
wurde mit einem externen mSATA-
USB3-Gehäuse an den Minirechner angeschlossen.
Erfolgte das im laufenden
Betrieb, stürzte der Raspberry reproduzierbar
ab. Wurde die SSD dagegen vor
dem Booten schon angestöpselt, startete
und arbeitete das System ohne Probleme.
In dieser – zugegeben überteuerten
– Kombi bleibt das System kompakt
und liefert ausreichend I/​O-Performance,
5 Eine hohe Last bei langsamen I/​O-System bremst – unabhängig von der CPU – das
gesamte System aus. Da hilft nur der Umstieg auf einen schnelleren Datenträger.
auch wenn sich die Möglichkeiten der
SSD an der USB-2-Schnittstelle des RasPi
nicht ausreizen lassen.
Fazit
Sind Sie bereit, ein wenig Zeit zu investieren,
dann können Sie aus dem Raspberry
Pi problemlos 10 bis 50 Prozent
mehr Leistung herausholen. In vielen
Anwendungsszenarien macht das den
subjektiven Unterschied zwischen „zu
langsam“ und „ausreichend schnell“ aus.
Sicher: Es gibt Plattformen mit mehr Performance,
die weniger Mühe machen.
Aber gerade das Ausloten von Grenzen
macht einen Teil des Bastelspaßes aus.
Genügt aber trotz Tunings die Leistung
nicht, ist dennoch Abhilfe möglich:
RasPi-ähnliche Kleinrechner mit besserer
Ausstattung sprießen derzeit förmlich
wie Pilze aus dem Boden. Allerdings
konnte der Autor in dieser Riege noch
keinen entdecken, der sowohl deutlich
mehr Rechenleistung als auch eine bessere
I/​O-Performance bietet.
Im Vergleich zur Raspberry-Pi-Gemeinde
fallen die Communities um die Alternativ-Boards
allerdings viel kleiner aus –
und der Hardware- beziehungsweise
Distributionssupport entsprechend geringer.
Das erweist sich in der Praxis oft
als viel hinderlicher als die zugegebenermaßen
beschränkte Performance des
Raspberry Pi. (tle/​jlu) n
Der Autor
Weitere Infos und
interessante Links
www. linux‐user. de/ qr/ 27792
Bernhard Bablok arbeitet
bei der Allianz Managed &
Operations Services SE als
SAP-HR-Entwickler. Wenn er
nicht Musik hört, mit dem
Radl oder zu Fuß unterwegs ist, beschäftigt
er sich mit Themen rund um Linux
und Objektorientierung. Sie erreichen ihn
unter mail@bablokb.de.
09.2013 www.linux-user.de
89

Know-how
Arch-Pakete
Pakete für Arch Linux im Eigenbau
Leichtbau
© Stroszko, sxc.hu
Mit dem Build System von
Arch Linux haben Sie im
Handumdrehen aktuelle
Software nahtlos ins System
integriert. Dazu reicht ein
wenig Grundwissen über
die Shell und ein Editor.
Peter Kreußel
Readme
Obwohl unter Arch Linux das Gros der Software
in Form von Binärpaketen vorliegt,
spielen Bauanleitungen eine wichtige Rolle.
Ein Build System kompiliert nach diesen
vollautomatisch Programme: Das Arch User
Repository ergänzt so den offiziellen Bestand.
Außerdem gelingt es auf diese Weise
sehr leicht, eigene Pakete zu erstellen.
Serie: Pakete im Eigenbau
Das einfach zu bedienende System zum
Bauen von Paketen 1 gehört zu jenen
Stärken von Arch Linux, die vor allem
viele Power user für die leichtgewichtige
Distribution einnehmen: Pakete, die Sie
über den Arch-Linux-Paketmanager Pacman
administrieren, entstehen auf der
Basis eines einzigen Bash-Skripts mit
dem Namen PKGBUILD, dessen Aufbau
sich Anwendern mit Shell-Grundwissen
schnell erschließt. Arch Linux veröffentlicht
diese Dateien für alle offiziellen
Pakete über das Build System: Das Kommando
abs spielt sie in der aktuellen
Version nach /var/abs ein.
Der Paketmanager von Arch Linux installiert
ohne weitere Umstände lokal
vorliegende Pakete. Es fällt jedoch nicht
schwer, ein eigenes Repository zu erzeugen.
Bei Bedarf ließe sich dies über einen
HTTP- oder FTP-Server im Netz verteilen,
sodass mehrere Systeme es bei
jedem Upgrade der Rolling-Release-Distribution
mit einbeziehen. Zum Erzeugen
des Repositories reicht der Aufruf
repo‐add Reponame.db.tar.gz Paketdatei
im Verzeichnis, in dem die Paketdateien
liegen.
Wie bei anderen Distributionen verhindert
das Paketmanagementsystem,
dass neue Pakete Dateien aus bereits
installierten überschreiben und schützen
damit das System vor Schaden. Auf
das unkontrollierte und oft irreversible
Einspielen über make install brauchen
Sie sich nicht einzulassen; erzeugen Sie
besser gleich ein Paket.
Bauplan
Um ein offizielles Paket aus den Arch-Repositories
selbst zu kompilieren, genügt
RPM-Pakete im Eigenbau LU 07/​2013, S. 88 http:// www. linux‐community. de/ 28508
DEB-Pakete im Eigenbau LU 08/​2013, S. 88 http:// www. linux‐community. de/ 28514
Arch-Pakete im Eigenbau LU 09/​2013, S. 90 http:// www. linux‐community. de/ 28515
90 www.linux-user.de
09.2013

Arch-Pakete
Know-how
es, den Ordner /var/abs/Repository/
Paketname zu kopieren und dann aus
diesem Verzeichnis heraus das im Paket
pacman enthaltene Tool makepkg aufzurufen.
Die Option ‐s gestattet es makepkg,
fehlende Abhängigkeiten nachzuziehen,
mit ‐i installiert die Software das Paket
bei Erfolg.
Dasselbe Vorgehen kommt auch bei
nicht offiziell unterstützten Paketen aus
dem Arch User Repository (AUR) zum
Einsatz, bis auf den Unterschied, dass die
zum Paketbau nötigen Dateien hier zunächst
als Tar-Archiv vorliegen.
Außer dem zentralen Skript liegen im
Verzeichnis unter /var/​abs oder im AUR
manchmal noch Patch-Dateien, Desktop-Dateien
für Menüeinträge oder andere
Kleinigkeiten, die im ursprünglichen
Quellcode des Programmes fehlen.
Den umfangreichen Quellcode
selbst lädt dagegen erst der Aufruf von
make pkg herunter.
Die Grundstruktur der Datei PKGBUILD
erschließt sich schnell: Bash-Variablen
definieren den Namen des Paketes und
dessen Version sowie Abhängigkeiten,
die Upstream-URL der Quelldateien sowie
einige weitere Daten. In den Funktionen
build() und package() stehen die
Befehle, die Sie auf der Konsole zum
Kompilieren und Installieren eintippen
würden. Die Befehle, die Root-Rechte
brauchen, gehören nach package(), alle
anderen nach build(), das vor package()
läuft. Weitere Elemente erläutert die Tabelle
PKGBUILD im Detail.
Alles Weitere, insbesondere das Herunterladen
und Entpacken des Quellcodes,
das Prüfen der Abhängigkeiten
sowie das Verpacken in ein Arch-Programmpaket
übernimmt Makepkg, ein
etwa 3000 Zeilen langes Shell-Skript.
Sind die beiden Funktionen fehlerfrei
durchgelaufen, landen alle Dateien, die
make install nach ${pkgdir} geschaufelt
hat, im Paket.
abs unter /var/abs/extra/audacious
findet. Die Zeilen 1 bis 16 enthalten die
Definitionen für elementare Daten, die
das spätere Softwarepaket enthält: pkgname,
pkgver und pkgdesc nennen den
Paketnamen, die Programmversion sowie
eine Beschreibung, deren Länge 80
Zeichen nicht überschreiten sollte.
Die Variablen license und url liefern
für den Anwender wichtige Informationen,
haben aber keinerlei technische
Bedeutung beim Paketbau. Das Hochzählen
der pkgrel (Paket-Release-Version)
dagegen erzeugt Pakete, die der
Paketmanager als Updates erkennt, obwohl
sich die enthaltene Programmversion
nicht geändert hat.
Das Bash-Array depends listet die Abhängigkeiten
des Paketes auf. Leerzeichen
trennen die einzelnen Einträge, die
ihrerseits in einfachen Anführungszeichen
stehen. Sie dürfen hier nach Lust
und Laune Zeilenumbrüche und Tabs
zwischen den Elementen zum Formatieren
verwenden – das stört die Bash
nicht. Bei Leerzeichen vor oder nach
dem Gleichheitszeichen versteht sie
allerdings keinerlei Spaß.
Das Array makedepends enthält die Abhängigkeiten,
die nur zum Kompilieren
Datenerhebung
Listing 1 zeigt die Datei PKGBUILD für das
offizielle Paket des Audio-Players Audacious,
das sich nach Installation von abs
und dem Abgleich mit einem Aufruf von
1 Um den Paketmanager Pacman herum haben die Entwickler von Arch
Linux ein Ökosystem an Tools gestrickt, mit dem Sie offizielle Pakete abgewandelt
kompilieren oder eigene Pakete und Repositories erzeugen.
09.2013 www.linux-user.de
91

Know-how
Arch-Pakete
Listing 1
01 pkgname=audacious
02 pkgver=3.3.4
03 pkgrel=1
04 pkgdesc='Lightweight, advanced
audio player focused on audio
quality'
05 url='http://
audacious‐media‐player.org/'
06 license=('custom:BSD')
07 arch=('i686' 'x86_64')
08 depends=('gtk3' 'dbus‐glib'
'libguess' 'libsm'
'audacious‐plugins'
09 'hicolor‐icon‐theme'
'desktop‐file‐utils')
10 optdepends=('unzip: zipped
skins support')
11 source=("http://distfiles.
audacious‐media‐player.
org/${pkgname}‐${pkgver}.tar.
bz2")
12 sha1sums=('d1050fb88a59b46c0c9
bbb1af0e7efc2b02f2b4d')
13
14 provides=('audacious‐player')
15 replaces=('audacious‐player')
16 install=install
17
18 build() {
19 cd "${srcdir}/${pkgname}‐
${pkgver}"
20 ./configure ‐‐prefix=/usr
‐‐with‐buildstamp='Arch Linux'
21 make
22 }
23
24 package() {
25 cd "${srcdir}/${pkgname}‐
${pkgver}"
26 make DESTDIR="${pkgdir}"
install
27 install ‐Dm644 COPYING
"${pkgdir}/usr/share/
licenses/${pkgname}/LICENSE"
28 }
erforderlich sind, nicht aber zur Laufzeit
des Programms. Bei Audacious gibt es
jedoch keine solchen speziellen Abhängigkeiten,
da Arch Linux keine gesonderten
Devel-Pakete kennt. Der Eintrag
optdepends listet schließlich noch optionale
Abhängigkeiten, die zusätzliche
Funktionalität bereitstellen. Die Einträge
folgen der allgemeinen Form Paketname:
Funk ti ons erweiterung.
Die Variable replaces teilt Pacman
mit, dass das vorliegende Paket ein älteres
mit anderem Namen ersetzt. Das
Feld provides kommt dagegen zum Einsatz,
wenn mehrere Pakete einen funktional
äquivalenten Inhalt bereitstellen.
Eine selbstkompilierte Version von Qt4
hieße eventuell qt4‐with‐xxx. Trotzdem
zöge der Paketmanager es als erfüllte
Abhängigkeit für Qt4 in Betracht, sofern
PKGBUILD den Eintrag provides=('qt4')
enthielte.
In die Kategorie Paketabhängigkeiten
gehört auch das Array conflicts=
('...' ['...']), das das gleichzeitige
Installieren bestimmter Pakete verbietet.
Im Audacious-Beispiel gibt es keine solchen
Kandidaten.
Aus der Quelle
Von den Elementen der Datei PKGBUILD,
die den Paketbau selbst steuern, ist eine
der wichtigsten Variablen das Array
source, das alle für das Kompilieren und
den Bau erforderlichen Dateien enthält.
Das umfasst auch Dateien, die Sie über
HTTP oder FTP erreichen.
Für den oft mehrere Megabytes großen
eigentlichen Quellcode sind in den
offiziellen Repositories und im Arch User
Repository (AUR) lokale Dateien sogar
verboten, damit das Arch Build System
(Abs) und das AUR performant bleiben.
Nur wenige Kilobytes große Dateien wie
Patches, Icons oder Desktop-Dateien für
Einträge im Startmenü dürfen direkt im
selben Verzeichnis wie PKGBUILD liegen.
In source referenzieren Sie diese lokalen
Dateien mit dem bloßen Dateinamen.
Das Build System prüft bei allen Dateien
in source, ob es sich bei ihnen um ein
Archiv in einem bekannten Format handelt,
und packt sie gegebenenfalls aus.
Die Befehle dafür braucht PKGBUILD also
nicht gesondert zu enthalten.
Jedem Eintrag in source entspricht
eine Checksumme in den Arrays
md5sums, sha1sums, sha256sums, sha‐
384sums oder sha512sums, die verhindert,
dass der Online-Quellcode sich unbemerkt
ändert. Die Prüfsummen entstehen
mithilfe des Kommandozeilen-
Tools mit dem Namen der Hash-Variablen.
Jedes PKGBUILD muss sich für eine
der genannten Alternativen entscheiden
und die Checksummen in der gleichen
Reihenfolge auflisten wie die Quelldateien
in source.
Bleibt noch die Variable install, die
auf ein Shell-Skript mit den sechs Funktionen
pre_install(), post_install(),
pre_upgrade(), post_upgrade(), pre_
remove() und post_remove() verweist.
Ist ein solches Skript angegeben, ruft
Pacman es beim Installieren beziehungsweise
Deinstallieren auf.
Im Audacious-Beispiel (Listing 1)
nimmt das Skript install nach dem Installieren,
Upgrade oder Entfernen des
Paketes ein Update der systemweiten
Mimetype-Datenbank sowie des Gtk-
Icon-Caches vor. Dabei braucht das
Skript nur die tatsächlich benötigten
Hooks zu enthalten. Er muss im selben
Verzeichnis liegen wie PKGBUILD.
Arbeitstiere
Die Funktionen build() und package()
leisten die eigentliche Arbeit beim Bauen
des Paketes. In ihnen stehen die Befehle,
die die Software kompilieren und
in ein Unterverzeichnis relativ zum
Home des Benutzers („fake root“) installieren.
Diese Befehle fallen in der Regel
für jede Software anders aus, obwohl oft
der Dreischritt ./configure; make;
make install zum Einsatz kommt.
Das bedeutet, dass Sie die Funktionen
für jede Build-Datei neu schreiben müssen.
Allerdings finden Sie unter /usr/
share/pacman Templates, die nach Ausfüllen
der Variablen für unkomplizierte
Software direkt funktionieren.
Die Entwickler haben das Bauen und
Kompilieren nicht ohne Grund in zwei
Funktionen aufgeteilt: package() läuft in
92 www.linux-user.de
09.2013

Arch-Pakete
Know-how
einer sogenannten Fakeroot-Umgebung,
in der die Funktion Dateien erstellen
darf, die Root gehören. Das trifft aus
Sicherheitsgründen auf fast alle Dateien
in Programmpaketen zu. Verzeichnisse,
für die nur Root Schreibrechte besitzt,
bleiben ihr aber trotzdem verschlossen.
Das ist wichtig, falls ein aus dem Ruder
laufender Prozess versucht, Dateien direkt
im echten Root des Dateisystems zu
installieren und dabei das System zu beschädigen.
Insbesondere die Tests von
configure schlagen allerdings in einer
solchen Umgebung zum Teil fehl. Deshalb
gehören nur die Befehle, die die simulierten
Root-Rechte wirklich brauchen,
in die Funktion package().
Bauen und Packen
Im Audacious-Beispiel steht am Anfang
jeweils ein Wechsel ins Verzeichnis
${srcdir}/${pkgname}‐${pkg ver} an.
Diese Kombination aus Variablen expandiert
zum Verzeichnis, in das der Aufruf
makepkg die Quellen entpackt hat. Es
handelt sich dabei im Beispiel um src/
audacious‐3.3.4 unterhalb des Arbeitsverzeichnisses
oder an der in /etc/
make pkg.con für SRCDEST festgelegten
Stelle. Das braucht Sie innerhalb von
PKGBUILD aber nicht weiter zu kümmern.
In build() folgt auf den Wechsel ins
Verzeichnis der Aufruf von Configure.
Wichtig ist dabei die Option ‐‐prefix=
/usr: Meistens landen die Programmdateien
ohne diesen Parameter in /usr/
local, um nicht mit dem über das Paketsystem
installierten Programm zu kollidieren.
Darum findet sich die Prefix-Angabe
/usr in allen offiziellen Arch-Paketen.
Der Parameter ‐‐with‐buildstamp
ist Audacious-spezifisch und hängt nicht
direkt mit dem Bau des Paketes unter
Arch Linux zusammen.
In package() steht direkt nach dem
Wechsel ins Quellcodeverzeichnis der
Aufruf von make install. Dem Parameter
DESTDIR="${pkgdir}" kommt besondere
Bedeutung zu: Er sorgt dafür, dass
der Aufruf make install die Dateien in
eine Verzeichnishierarchie relativ zu
${pkgdir}, dem „fake root“, und nicht im
echten Root des Dateisystems installiert.
Es hängt vom Makefile des Programms
ab, ob der Trick mit DESTDIR funktioniert
oder nicht. Wenn nicht, dann fällt es in
der Regel schwer, ein Paket zu bauen û.
Egal, ob nun unter Arch Linux, Debian,
Ubuntu oder OpenSuse: Ein make install
scheitert, weil es versucht, ohne
Root-Rechte nach /usr oder in andere
nur root zugängliche Verzeichnisse zu
schreiben. Die meisten Entwickler be-
PKGBUILD im Detail
Variable
pkgname
pkgver
Bedeutung
Paketname
Version der verpackten Software
pkgrel
signalisiert neue Version der Bauvorschrift bei gleicher Version der
Software
pkgdesc
Kurzbeschreibung für die verpackte Software
arch
Rechnerarchitektur, Standard ('i686' 'x86_64'), eventuell nur
eine der beiden
url
Upstream-URL
license
Lizenz
groups
thematische Paketgruppe (PKGBUILD eines ähnlichen Programms
konsultieren)
depends
Abhängigkeiten, Beispiel: ('gtk3' 'dbus‐glib' 'libguess'),
Versionen: 'paketname>=2.5.1'
optdepends
optionale Abhängigkeiten, Array mit Einträgen der Form cups:
printing support
makedepends
Array mit nur zum Kompilieren benötigten Abhängigkeiten
provides
Abhängigkeiten, die das Paket bedient, Beispiel: ('qt4=4.8.4')
conflicts
Pakete, die mit diesem Paket kollidieren
replaces
Namen älterer Pakete, die dieses Paket ersetzt
options
Einstellungen aus /etc/makepkg.conf für dieses Paket überschreiben
install Install-Skript (vergleiche Listing 2)
changelog
ChangeLog-Datei (vergleiche /usr/share/pacman/ChangeLog.
proto)
source
URLs der zum Kompilieren benötigten Dateien, bekannte Archivtypen
packt die Software automatisch aus, Versionrepositories
(URL: git://Pfad oder git+http://Pfad, analog hg für
Mercurial, bzr für Bazaar und svn für Subversion)
md5sums/sha1sums/
sha256sums/sha‐
384sums/sha512sums
noextract
Funktionen
Checksummen für jeden Eintrag in source, lautet bei Sourcen aus
Versionrepositories SKIP, generierbar mit makepkg ‐g
Archive aus source, die Makepkg nicht auspacken soll
prepare() optional, ab Pacman 4.1, Quellcode vorbereiten, makepkg ‐e
überspringt den Schritt
build()
check()
package()
version()
./configure und make oder entsprechende Befehle
optional, zum Beispiel make tests, wenn für die Software
definiert
make install oder Entsprechung, läuft unter Fakeroot (schreibt
Dateien mit Eigentümer root, aber aus Sicherheitsgründen keine
echten administrativen Schreibrechte)
optional, für Git-, SVN-Pakete, Rückgabewert überschreibt pkgver
09.2013 www.linux-user.de
93

Know-how
Arch-Pakete
Listing 2
01 pkgname=audacious‐git
02 pkgver=0
03 pkgrel=1
rücksichtigen DESTDIR in den Makefiles,
da sie wissen, dass die Paketsysteme der
Distributionen darauf setzen.
In der letzten Zeile von package()
folgt noch ein Aufruf von GNU Install. Er
kopiert lediglich die Datei COPYING in das
dafür übliche Verzeichnis. Der Parameter
‐DM644 erstellt dieses, falls es noch nicht
existiert, und sorgt für angemessene
Dateirechte. Abbildung 2 zeigt den
Ablauf bei einem Aufruf von makepkg.
Vorwissen
Mit dem bisher erworbenen Wissen gelingt
es Ihnen bereits, Pakete für viele
04 pkgdesc='Lightweight, advanced audio player focused on audio
quality'
05 url='http://audacious‐media‐player.org/'
06 license=('custom:BSD')
07 arch=('i686' 'x86_64')
08 depends=('gtk3' 'dbus‐glib' 'libguess' 'libsm' 'hicolor‐icon‐theme'
'desktop‐file‐utils')
09 makedepends=('git')
10 optdepends=('unzip: zipped skins support')
11 provides=('audacious')
12 conflicts=('audacious' 'audacious‐player‐hg')
13 source=('git://github.com/audacious‐media‐player/audacious.git')
14 install=$pkgname.install
15 sha256sums=('SKIP')
16
17 pkgver() {
18 cd "$srcdir/audacious"
19 git describe ‐‐always | sed 's|‐|.|g'
20 }
21
22 build() {
23 cd "$srcdir/audacious"
24 autoreconf
25 ./configure ‐‐prefix=/usr ‐‐with‐buildstamp="$(date +%x)"
26 make
27 }
28
29 package() {
30 cd "$srcdir/audacious"
31 make DESTDIR="${pkgdir}" install
32 install ‐Dm644 COPYING "${pkgdir}/usr/share/licenses/${pkgname}/
LICENSE"
33 }
Programme zu erzeugen, die Sie erfolgreich
kompiliert haben. Bereits dieses
Übersetzen aus den Quellen entpuppt
sich jedoch in vielen Fällen als ein recht
mühsames Unterfangen.
Das Experimentieren mit dem Compiler
bleibt Ihnen erfreulicherweise häufig
erspart, wenn Sie ein bestehendes Paket
aus dem Arch Build System oder dem
Arch User Repository auf eine neue Programmversion
aktualisieren. Wie Sie im
PKGBUILD für das Beispiel Audacious sehen,
bezieht die URL des Quellcodes in
source die Variable pkgver ein.
Die Templates für PKGBUILD geben
diesen Einsatz der Variablen für Versionsnummern
vor, und die offiziellen Arch-
Pakete halten sich auch brav an diese
Konvention – schon weil das Aktualisieren
der ganzen Distribution anders
kaum zu stemmen wäre.
Mit etwas Glück brauchen Sie daher
nur pkgver anzupassen, sobald Version
3.3.5 von Audacious erscheint. Das Tool
updpkgsums aktualisiert daraufhin die
Prüfsummen. Wenn sich in der Quellcode-URL
tatsächlich nur die Versionsnummer
verändert hat, und das Programm
wie bei der Vorgängerversion
kompiliert, erzeugt makepkg ein aktuelles
Audacious-Paket.
Freilich ist es keineswegs sicher, dass
ein selbst ansonsten völlig unverändertes
PKGBUILD nach dem Erhöhen der Versionsnummer
noch funktioniert: Es
könnten beispielsweise neue Optionen
beim Configure hinzugekommen sein
oder aber die installierten Bibliotheken
passen in Bezug auf die Version nicht zu
denen, auf die das Programm aufsetzt.
Bei Sprüngen in der Minor-Version,
also bei der Zahl hinter dem ersten
Punkt, kommt es jedoch erfahrungsgemäß
eher selten zu Problemen. Rührt
sich der Maintainer also trotz Out-of-
Date-Flag 3 nicht, dann holen Sie sich
mit abs die passende Datei PKGBUILD,
passen die pkgver an und probieren
dann einfach Ihr Glück.
Das Gleiche gilt natürlich auch dann,
wenn Sie beispielsweise eine Beta-Version
ausprobieren möchten oder in die offizielle
Version ein zusätzliches Feature
einkompilieren möchten.
94 www.linux-user.de
09.2013

Arch-Pakete
Know-how
Tagesaktuell
Es gibt Gründe, Pakete aus den offiziellen
Repositories leicht abgewandelt auf
dem eigenen Rechner neu zu übersetzen.
So richtig stellt das Arch Build System
seine Leistungsfähigkeit bei Paketen
unter Beweis, deren Quellcode aus
einem Versionsmanagementsystem
stammt. Hier lohnt es sich, den Compiler
öfters, vielleicht sogar täglich anzuwerfen.
Solche Pakete finden sich naturgemäß
nicht in den stabilen Repositories,
aber im AUR stehen viele bereit.
Pacman 4.1 ersetzt dabei das frühere,
etwas undurchsichtige Verfahren, bei
dem makepkg bei allen Paketen, deren
Name auf ‐git, ‐svn, ‐hg, ‐darcs oder
‐bzr endete, das aktuelle Datum als Versionsnummer
verwendet hat.
Bei diesem neuen Verfahren ist es
nicht einmal mehr nötig, die Befehle für
den Checkout oder das Update des
Quellcodes in das Build-Skript zu schreiben.
Vielmehr akzeptiert makepkg nun
direkt im Array source URLs, die auf ein
Repository deuten und automatisiert
den Checkout ähnlich dem Auspacken
von Archiven mit Quellcode.
vorliegenden Fall den Hash des aktuellen
Checkins zurück û. makepkg verwendet
den Rückgabewert als Paketversion.
Das erlaubt es, jedes neu übersetzte Paket
einzuordnen. Aus diesem Grund darf
die Variable pkgver mit einem beliebigen
Wert starten.
Über makepkg ‐‐holdver stoßen Sie
ein Neukompilieren ohne Update des
Quellcodes an. Dies ist aber nur beim
Testen während des Schreibens von
PKGBUILD-Dateien erforderlich, da ein
Neubau des Paketes andere, bereits erzeugte
Versionen nicht überschreibt. Solange
Sie diese nicht löschen, bleibt daher
immer die Option auf ein Downgrade
zu einer der Versionen aus einem
früheren Aufruf.
Eine kleine Änderung ergibt sich beim
Wechsel in das Quellcode-Verzeichnis
am Anfang der drei Funktionen: Während
makepkg den Ordner explizit nach
dem Paketnamen und der Versionsnummer
benennt, wenn es ein Tar auspackt,
ergibt sich der Verzeichnisname hier
Version für Version
Das Listing 2 zeigt als Beispiel das
PKGBUILD für eine Git-Version von Audacious.
Die offensichtlichste Änderung im
Vergleich zur auf einem statischen Tar-
Archiv basierenden Fassung (Listing 1)
besteht in der Git-URL in source (Zeile
14). Anhand des Protokolls erkennt
makepkg das Versionskontrollsystem und
sorgt dementsprechend dafür, dass der
Quellcode vor dem Aufruf von build()
in der neuesten Version vorliegt.
Nach wie vor darf source mehrere
Quellen bündeln und dabei statische
und versionierte Elemente mischen. Da
Checksummen bei Letzteren keinen Sinn
ergeben, lautet der zugehörige Eintrag
sha256sums schlicht SKIP. Falls Sie statt
des Git-eigenen Protokolls lieber Git
über HTTP verwenden möchten, beginnt
die URL mit git+http.
Hinzugekommen ist außerdem die
Funktion pkgver() (Zeile 18). Sie gibt im
2 Ein makepkg führt bis zu vier in PKGBUILD definierte Funktionen aus.
Die gestrichelt Dargestellten dürfen wegfallen. Parameter beschränken
den Ablauf auf bestimmte Phasen (rechts im Bild).
09.2013 www.linux-user.de
95

Know-how
Arch-Pakete
3 Ein Klick auf Flag Package Out-of-Date in der Arch-Linux-Paketdatenbank benachrichtigt
den Maintainer. Statt auf seine Reaktion zu warten, gelingt es oft, mit wenig Aufwand
selbst ein aktualisiertes Paket zu bauen.
Weitere Infos und
interessante Links
www. linux‐user. de/ qr/ 28515
beim Checkout, den Namen audacious
gibt das Versionsrepository vor.
Vor dem Aufruf von Configure in
build() muss autoreconf das Skript erst
noch erzeugen, da es nicht üblich ist, es
ins Repository einzuchecken. Darüber
hinaus passen Sie das Array conflicts an,
das die Deinstallation des offiziellen
Audacious-Pakets erzwingt. Es enthält in
Konflikt stehende Dateien.
Leichtbauweise
Arch Linux strebt beim Thema Paketbau
nach Einfachheit, dem erklärten Kernziel
seiner Entwickler: Das Build System setzt
auf die altbewährte Bash, und erschwert
den Einstieg nicht durch unnötige Komplexität.
Weitere Details zum Paketbauprozesses
liefert umfassend und aktuell
das Arch-Wiki û oder die Manpages zu
makepkg und PKGBUILD.
Allerdings hält das Paketmanagement
von Arch Linux beim Verwalten von Abhängigkeiten
nicht mit seinen Geschwistern
aus der Debian- und RPM-Welt mit:
Beide Systeme klopfen beim Bau alle
Binärdateien auf verlinkte Libraries ab,
der Entwickler braucht nur in Ausnahmefällen
Abhängigkeiten per Hand einzutragen.
Arch-Pakete prüfen dagegen
immer nur in PKGBUILD eingetragene Abhängigkeiten,
die Sie aber leicht mithilfe
von Namcap û ermitteln.
Wer schon einmal selbst übersetzte
Pakete aus dem AUR auf seinem System
installiert hat, der ist mitunter auf das
Problem gestoßen, dass ein solches Programm
mit Meldungen wie libxxx.so.y.z:
Kann die Shared-Object-Datei nicht öffnen
abstürzt. Um solche unliebsamen Überraschungen
zu vermeiden – die keineswegs
immer gleich beim Start zutage
treten – enthalten RPM- und Debian-
Pakete Informationen zum sogenannten
Soname û der verlinkten Bibliotheken,
der sich aus der an die Dateiendung .so
angehängten Versionsnummer der
Bibliotheksdatei ableitet.
Mit einer Veränderung des Sonames
signalisieren die Entwickler der Bibliothek
einen Bruch der Binärkompatibiltät,
die ein Neukompilieren aller verlinkten
Programmdateien erforderlich macht. Er
steht in keinem direkten Zusammenhang
zu den Releases einer Bibliothek.
Darum hilft das Management der Abhängigkeiten
in Pacman, das nur Paketversionen
erfasst, hier nicht weiter.
In der Praxis sind Pakete unter Arch
Linux daher meist überhaupt nicht an
eine bestimmte Library-Version gebunden,
denn ein Bruch der Binärkompatibilität
bei neuen Versionen einer Bibliothek
gehört eher zu den Ausnahmen als der
Regel. Bei den offiziellen Repositories
schützt ein gleichzeitiges Update aller Pakete
aus dem immer im Zusammenhang
getesteten Pool von Paketen vor dem beschriebenen
Problem. Das gilt jedoch
nicht bei selbst gebauten Paketen.
Fazit
Arch Linux gehört zu den wenigen Distributionen,
die das Bauen von Paketen
nicht primär an den Anforderungen professioneller
Maintainer ausrichten. Darum
genügen für Archive der Marke Eigenbau
ein Template und ein Editor, mit
dem Sie Daten wie Paketname oder Version
ergänzen. (agr) n
96 www.linux-user.de
09.2013

Service
IT-Profimarkt
PROFI
MARKT
Sie fragen sich, wo Sie maßgeschneiderte
Linux-Systeme sowie kompetente Ansprechpartner
zu Open-Source-Themen
finden? Der IT-Profimarkt weist Ihnen
hier als zuverlässiges Nachschlagewerk
den Weg. Die im Folgenden gelisteten
Unternehmen beschäftigen Experten auf
ihrem Gebiet und bieten hochwertige
Produkte und Leistungen.
Die exakten Angebote jeder Firma entnehmen
Sie deren Homepage. Der ersten
Orientierung dienen die Kategorien
Hardware, Software, Seminaranbieter,
Systemhaus, Netzwerk/TK sowie Schulung/Beratung.
Der IT-Profimarkt-Eintrag
ist ein Service von Linux-Magazin und
LinuxUser.
Online-Suche
Besonders komfortabel finden Sie einen
Linux-Anbieter in Ihrer Nähe online über
die neue Umkreis-Suche unter:
[http://www.it-profimarkt.de]
Weitere Informationen:
Medialinx AG
Anzeigenabteilung
Putzbrunner Str. 71
D-81739 München
Tel: +49 (0) 89 / 99 34 11-23
Fax: +49 (0) 89 / 99 34 11-99
E-Mail: anzeigen@linux-user.de
IT-Profimarkt
Firma Anschrift Telefon Web 1 2 3 4 5 6
Schlittermann internet & unix support 01099 Dresden, Tannenstr. 2 0351-802998-1 www.schlittermann.de √ √ √ √
imunixx GmbH UNIX consultants 01468 Moritzburg, Heinrich-Heine-Str. 4 0351-83975-0 www.imunixx.de √ √ √ √ √
Heinlein Support GmbH 10119 Berlin, Schwedter Straße 8/​9b 030-405051-0 www.heinlein-support.de √ √ √ √ √
TUXMAN Computer 10369 Berlin, Anton-Saefkow-Platz 8 030-97609773 www.tuxman.de √ √ √ √ √
Compaso GmbH 10439 Berlin, Driesener Straße 23 030-3269330 www.compaso.de √ √ √ √ √
elego Software Solutions GmbH 13355 Berlin, Gustav-Meyer-Allee 25 030-2345869-6 www.elegosoft.com √ √ √ √
verion GmbH 16244 Altenhof, Unter den Buchen 22 e 033363-4610-0 www.verion.de √ √ √
Logic Way GmbH 19061 Schwerin, Hagenower Str. 73 0385-39934-48 www.logicway.de √ √ √ √
Sybuca GmbH 20459 Hamburg, Herrengraben 26 040-27863190 www.sybuca.de √ √ √ √ √
iTechnology GmbH 22083 Hamburg, Osterbekstraße 90b 040 / 69 64 37 20 www.itechnology.de √ √ √ √
JEL Ingenieurbuero 23911 Einhaus, Hauptstr. 7 04541-8911-71 www.jeltimer.de √
beitco - Behrens IT-Consulting 26197 Ahlhorn, Lessingstr. 27 04435-9537330-0 www.beitco.de √ √ √ √ √
talicom GmbH 30169 Hannover, Calenberger Esplanade 3 0511-123599-0 www.talicom.de √ √ √ √ √
primeLine Solutions GmbH 32549 Bad Oeynhausen, Dornenbreite 18a 05731/​86940 www.primeline-solutions.de √ √ √ √
teuto.net Netzdienste GmbH 33602 Bielefeld, Niedenstr. 26 0521-96686-0 www.teuto.net √ √ √ √ √
MarcanT GmbH 33602 Bielefeld, Ravensberger Str. 10 G 0521-95945-0 www.marcant.net √ √ √ √ √ √
LINET Services GmbH 38118 Braunschweig, Cyriaksring 10a 0531-180508-0 www.linet-services.de √ √ √ √ √ √
OpenIT GmbH 40599 Düsseldorf, In der Steele 33a-41 0211-239577-0 www.OpenIT.de √ √ √ √ √
Linux-Systeme GmbH 45277 Essen, Langenbergerstr. 179 0201-298830 www.linux-systeme.de √ √ √ √ √
Linuxhotel GmbH 45279 Essen, Antonienallee 1 0201-8536-600 www.linuxhotel.de √
OpenSource Training Ralf Spenneberg 48565 Steinfurt, Am Bahnhof 3-5 02552-638755 www.opensource-training.de √
Intevation GmbH 49074 Osnabrück, Neuer Graben 17 0541-33508-30 osnabrueck.intevation.de √ √ √ √
Sigs Datacom GmbH 53842 Troisdorf, Lindlaustraße 2c 02241-2341-201 sigs-datacom.de √
uib gmbh 55118 Mainz, Bonifaziusplatz 1b 06131-27561-0 www.uib.de √ √ √ √
LISA GmbH 55411 Bingen, Elisenhöhe 47 06721-49960 www.lisa-gmbh.de √ √ √ √ √
GONICUS GmbH 59755 Arnsberg, Moehnestr. 55 02932-9160 www.gonicus.com √ √ √ √ √
saveIP GmbH 64283 Darmstadt, Schleiermacherstr. 23 06151-666266 www.saveip.de √ √ √ √ √
LAMARC EDV-Schulungen u. Beratung GmbH 65193 Wiesbaden, Sonnenberger Straße 14 0611-260023 www.lamarc.com √ √ √ √
1 = Hardware 2 = Netzwerk/TK 3 = Systemhaus 4 = Seminaranbieter 5 = Software 6 = Schulung/Beratung
98 www.linux-user.de
09.2013

IT-Profimarkt
Service
IT-Profimarkt
Firma Anschrift Telefon Web 1 2 3 4 5 6
ORDIX AG 65205 Wiesbaden, Kreuzberger Ring 13 0611-77840-00 www.ordix.de √ √ √ √ √
LinuxHaus Stuttgart 70565 Stuttgart, Hessenwiesenstraße 10 0711-2851905 www.linuxhaus.de √ √ √ √ √
Manfred Heubach EDV und
73728 Esslingen, Hindenburgstr. 47 0711-4904930 www.heubach-edv.de √ √ √ √
Kommunikation
Waldmann EDV Systeme + Service
74321 Bietigheim-Bissingen,
07142-21516 www.waldmann-edv.de √ √ √ √ √
Pleidelsheimer Str. 25
in-put Das Linux-Systemhaus 76133 Karlsruhe, Moltkestr. 49 0721-6803288-0 www.in-put.de √ √ √ √ √ √
Bodenseo 78224 Singen, Pomeziastr. 9 07731-1476120 www.bodenseo.de √ √ √
Linux Information Systems AG 81739 München, Putzbrunnerstr. 71 089-993412-0 www.linux-ag.com √ √ √ √ √
LinuxLand International GmbH 81739 München, Putzbrunnerstr. 71 089-99341441 www.linuxland.de √ √ √ √ √ √
Synergy Systems GmbH 81829 München, Konrad-Zuse-Platz 8 089-89080500 www.synergysystems.de √ √ √ √ √
B1 Systems GmbH 85088 Vohburg, Osterfeldstraße 7 08457-931096 www.b1-systems.de √ √ √ √ √
ATIX AG 85716 Unterschleißheim, Einsteinstr. 10 089-4523538-0 www.atix.de √ √ √ √ √ √
Tuxedo Computers GmbH 86343 Königsbrunn , Zeppelinstr. 3 0921-16 49 87 87-0 www.linux-onlineshop.de √ √ √ √
OSTC Open Source Training and
90425 Nürnberg,
0911-3474544 www.ostc.de √ √ √ √ √ √
Consulting GmbH
Waldemar-Klink-Str. 10
Dipl.-Ing. Christoph Stockmayer GmbH 90571 Schwaig, Dreihöhenstr. 1 0911-505241 www.stockmayer.de √ √ √
pascom - Netzwerktechnik GmbH & Co.KG 94469 Deggendorf, Berger Str. 42 0991-270060 www.pascom.net √ √ √ √ √
RealStuff Informatik AG CH-3007 Bern, Chutzenstrasse 24 0041-31-3824444 www.realstuff.ch √ √ √
CATATEC CH-3013 Bern, Dammweg 43 0041-31-3302630 www.catatec.ch √ √ √
Syscon Systemberatungs AG CH-8003 Zürich, Zweierstrasse 129 0041-44-4542010 www.syscon.ch √ √ √ √ √
Würth Phoenix GmbH IT-39100 Bozen, Kravoglstraße 4 0039 0471 56 41 11 www.wuerth-phoenix.com √ √ √ √
1 = Hardware 2 = Netzwerk/TK 3 = Systemhaus 4 = Seminaranbieter 5 = Software 6 = Schulung/Beratung
99

Seminare
Service
DiD you
know?
IT-Onlinetrainings
Mit Experten lernen.
LPIC-1 / LPIC-2 Training
LPIC-1 (LPI 101 + 102)
mit Ingo Wichmann,
Linuxhotel
499 €
LPIC-2 (LPI 201 + 202)
mit Marco Göbel,
Com Computertraining GmbH
499 €
MEDIALINX
IT-ACADEMY
www.medialinx-academy.de
IT-Academy_1-9_LPIC-Schulungen.indd 1
IT-Onlinetrainings
Mit Experten lernen.
18.03.2013 17:05:57 Uhr
MEDIALINX
IT-ACADEMY
IT-Onlinetrainings
Mit Experten lernen.
MEDIALINX
IT-ACADEMY
Python für
Systemadministratoren
mit Rainer Grimm,
science + computing AG
199 €
Vereinfachen Sie Ihren Sysadmin-Alltag
mit Skripting-Know-How für Profis!
www.medialinx-academy.de
Effiziente BASH-Skripte
mit Klaus Knopper,
Gründer der
Knoppix-Distribution,
KNOPPER.NET
199 €
Automatisieren Sie komplexe
Aufgaben mit Hilfe effizienter Skripte!
www.medialinx-academy.de
WusstEn siE’s?
Linux-Magazin und LinuxUser
haben ein englisches
Schwester magazin!
Am besten, Sie informieren gleich
Ihre Linux-Freunde in aller Welt...
www.linux-magazine.com
IT-Academy_1-9_Python-Schulung.indd 1
IT-Onlinetrainings
Mit Experten lernen.
www.medialinx-academy.de
18.03.2013 17:07:32 IT-Academy_1-9_Bash-Schulung.indd Uhr
1
MEDIALINX
IT-ACADEMY
Einfache IMAP-Server
mit Dovecot
mit Peer Heinlein,
Heinlein Support GmbH
249 €
IT-Onlinetrainings
Mit Experten lernen.
18.03.2013 17:04:16 Uhr
MEDIALINX
IT-ACADEMY
– die offiziellen Trainings
mit Marco Welter,
Zarafa Deutschland GmbH
Zarafa Administrator
249 €
Zarafa Engineer
249 €
www.medialinx-academy.de
09.2013 IT-Academy_1-9_Dovecot-Schulung.indd www.linux-user.de 1 18.03.2013 17:05:11 IT-Academy_1-9_Zarafa-Schulung.indd Uhr
1
101
18.03.2013 17:08:02 Uhr
LMI_3-9h_german_2504-2013.indd 1
25.04.2013 15:06:17 Uhr

Service
Impressum
Impressum
LinuxUser ist eine monatlich erscheinende Publikation der
Linux New Media, eines Geschäftsbereichs der Medialinx AG.
Anschrift Putzbrunner Str. 71
81739 München
Telefon: (089) 99 34 11-0
Fax: (089) 99 34 11-99
Homepage
Artikel und Foren
Abo/Nachbestellung
E-Mail (Leserbriefe)
E-Mail (Datenträger)
Abo-Service
Pressemitteilungen
Chefredakteur
Stellv. Chefredakteur
Redaktion
Linux-Community
Datenträger
Ständige Mitarbeiter
Grafik
Sprachlektorat
Produktion
Druck
Geschäftsleitung
Mediaberatung
D / A / CH
USA / Kanada
Andere Länder
http://www.linux-user.de
http://www.linux-community.de
http://www.linux-user.de/bestellen/
Jörg Luther (jlu, v. i. S. d. P.)
Andreas Bohle (agr)
Thomas Leichtenstern (tle)
Andreas Bohle (agr)
Thomas Leichtenstern (tle)
Mirko Albrecht, Erik Bärwaldt, Falko Benthin,
Mario Blättermann, Marko Dragicevic, Thomas Drilling,
Florian Effenberger, Karsten Günther, Frank Hofmann,
Christoph Langer, Tim Schürmann, Dr. Karl Sarnow,
Vincze-Áron Szabó, Uwe Vollbracht
Elgin Grabe (Titel und Layout)
Titelgrafik: Electronic Frontier Foundation, CC BY 3.0 US,
https://www.eff.org/files/nsa-eagle-no-circle.jpg
Bildnachweis: Stock.xchng, 123rf.com, Fotolia.de u. a.
Astrid Hillmer-Bruer
Christian Ullrich
Vogel Druck und Medienservice GmbH & Co. KG
97204 Höchberg
Brian Osborn (Vorstand,
verantwortlich für den Anzeigenteil)
Hermann Plank (Vorstand)
Petra Jaser
Tel.: +49 (0)89 / 99 34 11 24
Fax: +49 (0)89 / 99 34 11 99
Michael Seiter
Tel.: +49 (0)89 / 99 34 11 23
Fax: +49 (0)89 / 99 34 11 99
Ann Jesse
Tel.: +1 785 841 88 34
Darrah Buren
Tel.: +1 785 856 3082
Penny Wilby
Tel.: +44 1787 21 11 00
Es gilt die Anzeigenpreisliste vom 01.01.2013.
Pressevertrieb
MZV Moderner Zeitschriften Vertrieb GmbH & Co. KG
Ohmstraße 1
85716 Unterschleißheim
Tel.: (089) 3 19 06-0
Fax: (089) 3 19 06-113
Abonnentenservice Gudrun Blanz (Teamleitung)
D / A / CH Postfach 1165
74001 Heilbronn
Telefon: +49 (0)7131 27 07-274
Fax: +49 (0)7131 27 07 -78-601
Abo-Preise LinuxUser Deutschland Österreich Schweiz Ausland EU
No-Media-Ausgabe
(ohne Datenträger 1 )
€ 5,95 € 6,70 Sfr 11,90 (siehe Titel)
DVD-Ausgabe
(mit 2 Datenträgern)
€ 8,50 € 9,35 Sfr 17,00 (siehe Titel)
Jahres-DVD
(Einzelpreis)
€ 14,95 € 14,95 Sfr 18,90 € 14,95
Jahres-DVD
(zum Abo 2 )
€ 6,70 € 6,70 Sfr 8,50 € 6,70
Mini-Abo
(3 Ausgaben)
€ 3,00 € 3,00 Sfr 4,50 € 3,00
Jahres-Abo
(No-Media-Ausgabe)
€ 60,60 € 68,30 Sfr 99,90 € 81,00
Jahres-Abo
(DVD-Ausgabe)
€ 86,70 € 95,00 Sfr 142,80 € 99,00
Preise Digital Deutschland Österreich Schweiz Ausland EU
Heft-PDF
(Einzelausgabe)
€ 5,95 € 5,95 Sfr 7,70 € 5,95
Digi-Sub
(12 Ausgaben)
€ 60,60 € 60,60 Sfr 78,70 € 60,60
Digi-Sub
(zum Abo 2 )
€ 12,00 € 12,00 Sfr 12,00 € 12,00
HTML-Archiv
(zum Abo 2 )
€ 12,00 € 12,00 Sfr 12,00 € 12,00
Preise Kombi-Abos Deutschland Österreich Schweiz Ausland EU
Mega-Kombi-Abo
(LU plus LM 3 )
€ 143,40 € 163,90 Sfr 199,90 € 173,90
(1) Die No-Media-Ausgabe erhalten Sie ausschließlich in unserem Webshop unter
http://www.medialinx-shop.de, die Auslieferung erfolgt versandkostenfrei.
(2) Ausschließlich erhältlich in Verbindung mit einem Jahresabonnement der
Print- oder Digital-Ausgabe von LinuxUser.
(3) Das Mega-Kombi-Abo umfasst das LinuxUser-Abonnement (DVD-Ausgabe)
plus das Linux-Magazin-Abonnement inklusive DELUG-Mitgliedschaft
(monatliche DELUG-DVD) sowie die Jahres-DVDs beider Magazine.
Informationen zu anderen Abo-Formen und weiteren Produkten der Medialinx AG
finden Sie in unserem Webshop unter http://www.medialinx-shop.de.
Gegen Vorlage eines gültigen Schülerausweises oder einer aktuellen Immatrikulationsbescheinigung
erhalten Schüler und Studenten eine Ermäßigung von 20 Prozent
auf alle Abo-Preise. Der Nachweis ist jeweils bei Verlängerung neu zu erbringen.
Bitte teilen Sie Adressänderungen unserem Abo-Service ()
umgehend mit, da Nachsendeaufträge bei der Post nicht für Zeitschriften gelten.
Linux ist ein eingetragenes Warenzeichen von Linus Torvalds und wird von uns mit
seiner freundlichen Genehmigung verwendet. »Unix« wird als Sammelbegriff für die
Gruppe der Unix-ähnlichen Betriebssysteme (wie beispielsweise HP/UX, FreeBSD,
Solaris, u.a.) verwendet, nicht als Bezeichnung für das Trademark »UNIX« der Open
Group. Der Linux-Pinguin wurde von Larry Ewing mit dem Pixelgrafikprogramm
»The GIMP« erstellt.
Eine Haftung für die Richtigkeit von Veröffentlichungen kann – trotz sorgfältiger Prüfung
durch die Redaktion – vom Verlag nicht übernommen werden. Mit der Einsendung
von Manuskripten oder Leserbriefen gibt der Verfasser seine Einwilligung zur
Veröffent lich ung in einer Publikation der Medialinx AG. Für unverlangt eingesandte
Manuskripte oder Beiträge übernehmen Redaktion und Verlag keinerlei Haftung.
Autoreninformationen finden Sie unter http://www.linux-user.de/Autorenhinweise.
Die Redaktion behält sich vor, Einsendungen zu kürzen und zu überarbeiten. Das exklusive
Urheber- und Verwertungsrecht für angenommene Manus kripte liegt beim
Verlag. Es darf kein Teil des Inhalts ohne schriftliche Genehmigung des Verlags in
irgendeiner Form vervielfältigt oder verbreitet werden.
Copyright © 1999 - 2013 Medialinx AG ISSN: 1615-4444
102 www.linux-user.de
09.2013

Veranstaltungen/Autoren/Inserenten
Service
Veranstaltungen
01.-08.08.2013
Guadec 2013
Brünn, Tschechien
http://guadec.org
14.-16.08.2013
USENIX Security ’13
Washington, D.C., USA
https://www.usenix.org/conference/usenixsecurity13
24.-25.08.2013
FrOSCon 2013
Hochschule Bonn-Rhein-Sieg
Grantham-Allee 20
53757 Sankt Augustin
http://www.froscon.de
03.-05.09.2013
Uplinq 2013 Mobile CodeFest & Hackathon
San Diego, CA, USA
https://www.uplinq.com
09.09.2013
2013 High Performance Computing for Wall Street
New York, NY, USA
http://www.flaggmgmt.com/hpc/
23.-24.09.2013
Data Modeling Zone Europe
Mariott Hotel
Arthur-Menge-Ufer 3
30169 Hannover
http://www.datamodelingzone.com/
11.-13.10.2013
Ubucon 2013
SRH Berufsförderungswerk Heidelberg
Bonhoefferstraße 6
69115 Heidelberg
http://www.ubucon.de
14.-19.10.2013
PyCon.DE 2013
KOMED
Im MediaPark 7
50670 Köln
https://2013.de.pycon.org/
16.-18.10.2013
Medientage München
ICM Internationales Congress Center
81823 München
http://www.medientage.de
21.-23.10.2013
CloudOpen Europe 2013
Edinburgh, Großbritannien
http://events.linuxfoundation.org/events/cloudopeneurope
21.-23.10.2013
LinuxCon Europe 2013
Edinburgh, Großbritannien
http://events.linuxfoundation.org/events/linuxconeurope
24.-25.10.2013
Embedded Linux Conference Europe 2013
Edinburgh, Großbritannien
http://events.linuxfoundation.org/events/embeddedlinux-conference-europe
Autoren
Inserenten
Bernhard Bablok Tuning für den Raspberry Pi (84)
Erik Bärwaldt Zeroshell-Workshop (Teil 3): Firewall aufsetzen (66),
PC-Diagnose und Benchmarking mit Stresslinux (80)
Falko Benthin Seafile: Private Cloud für sensible Daten (28)
Thomas Drilling Kurzvorstellung Fedora 19 „Schroedinger‘s Cat“ (11),
Anonym und spurenfrei surfen mit Tails 0.19 (24),
Audio-Spuren absaugen mit Youtube to MP3 (76)
Karsten Günther Funktionen zum Verzerren in Gimp 2.8 (62)
Valentin Höbel Onion Pi: Raspberry Pi als Wireless-Tor-Proxy (20)
Klaus Knopper Knoppix 7.2.0f mit vielen Bugfixes (8)
Peter Kreußel E-Mail-Verschlüsselung in Thunderbird und KMail (36),
Arch-Linux-Pakete im Eigenbau erstellen (90)
Thomas Leichtenstern Workshop: Anonym surfen mit Tor und Vidalia (14),
Onion Pi: Raspberry Pi als Wireless-Tor-Proxy (20),
Neues auf den Heft-DVDs (105)
Andreas Reitmaier Bildbearbeitung mit Digikam (44)
Tim Schürmann Retro-Adventure Leisure Suite Larry Reloaded (72)
Daniel Tibi PDF-Dokumente und -Formulare mit LaTeX (54)
Uwe Vollbracht Angetestet: Aktuelle Software im Kurztest (6)
Android User GY www.android-user.de 59
Fernschule Weber GmbH www.fernschule-weber.de 7
FrOSCon e.V. www.froscon.de 99
Galileo Press www.galileo-press.de 79
KITZ Kieler Linux Tage www.kielux.de 59
Linux Magazine www.linux-magazine.com 101
Linux-Hotel www.linuxhotel.de 23
Linux-Magazin www.linux-magazin.de 100
LinuxUser www.linuxuser.de 27, 103
Medialinx IT-Academy www.medialinx-academy.de 61, 101
PlusServer AG www.plusserver.de 35, 42, 52, 71, 75, 97
Raspberry Pi Geek www.raspberry-pi-geek.de 108
Spenneberg Training www.spenneberg.com 101
Strato AG www.strato.de 1, 2
Tuxedo Computers GmbH www.linux-onlineshop.de 107
Ubuntu User www.ubuntu-user.de 83
Webtropia www.webtropia.com 13
08.2013 www.linux-user.de
103

Vorschau
auf 10/2013
Die nächste Ausgabe
erscheint am 19.09.2013
Optimale Office-Tools
Die Arbeit mit Büroprogrammen gehört
zu den ureigensten Tätigkeiten am PC.
Von der Textverarbeitung über das Komplettpaket
mit Tabellenkalkulation und
Präsentationsprogramm bis hin zu ausgefeilten
Formeleditoren verfügt ein
Rechner unter Linux heute über eine
breite Palette an ausgefeilten Werkzeugen.
Unser Schwerpunkt in der kommenden
Ausgabe nimmt nicht nur die beiden
Platzhirsche LibreOffice und OpenOffice
unter die Lupe, sondern wirft zudem ein
Schlaglicht auf die kleinen, aber nicht
minder nützlichen Programme.
Alles im Paket
Nur eine Minute dauert es im günstigsten
Fall, bis der Effing Package Manager
aus einem Quelltext ein fertiges RPModer
Debian-Paket geschnürt hat – eine
willkommene Hilfe für geplagte Maintainer
und experimentierfreudige User.
Desktop im Eigenbau
Linux bietet Desktops, bei denen alles
nahtlos ineinandergreift. Diese bringen
jedoch unerwünschten Overhead mit
sich. Mit etwas Know-how stellen Sie einen
schlanken Desktop zusammen, der
seinen großen Brüdern kaum nachsteht.
© Arinas74, sxc.hu
Die Redaktion behält sich vor,
Themen zu ändern oder zu streichen.
Ausgabe 03/2013 ist am 11.07.2013 erschienen
10 Jahre EasyLinux
Ende Mai 2003 erschien mit dem Heft
06/​2003 die erste EasyLinux-Ausgabe.
Zum Jubiläum blicken wir auf die zehn
vergangenen EasyLinux-Jahre zurück
und schauen, was sich geändert hat –
nicht nur für Linux selbst, sondern auch
hinsichtlich der Vorstellungen und Erwartungen
von Linux-Einsteigern.
Enlightenment E17
Zu KDE, Gnome, XFCE und LXDE gibt es
seit vielen Jahren eine Alternative namens
Enlightenment, die aber in der
Regel nur Insider kennen. Die Entwickler
haben an Version E17 ungewöhnlich lange
gearbeitet. Sie bietet neuartige Features.
Wir prüfen mit einem Praxistest,
ob sich der Aufwand gelohnt hat.
MAGAZIN
Ausgabe 10/2013 erscheint am 05.09.2013
© © Anatoliy Samara, 123RF
Gutes Projektmanagement
Das nächste Linux-Magazin untersucht
anhand knackiger Beispiele, was erfolgreiche
Communities von versandeten
unterscheidet. Wie organisieren sich Akteure,
nach welchen Entwicklungsmethoden
arbeiten sie? Es gilt zu erfassen,
wie erfolgreiche Open-Source-Projekte
in der Praxis funktionieren – oder eben
an der Praxis scheitert.
Aggregatoren im Vergleich
Planet-Software nennen sich Aggregatoren,
die einen „Planet“ mit thematisch
passenden Inhalten fremder Blogs, Podund
Videocasts, Newsfeeds oder Webcomics
bevölkern und auf diese Weise
einen ansprechenden Themenmix erzeugen.
Die nächste Bitparade richtet
ihre Teleskope auf Planet, Moonmoon,
Planet Venus und Tiny Tiny RSS.
104 www.linux-user.de
09.2013

Heft-DVD-Inhalt
Service
Neues auf den Heft-DVDs
Fedora 19: Schrödingers Katze lebt!
Neueste Desktops, jede Menge topaktu elle
Software, zahlreiche Treiber und die neuesten
Linux-Features: Das zeichnet Fedora
19 aus. Im Ganzen bietet die Distribution
neben aktualisierter Software rund 60
neue Funktionen. Dazu zählen der Developers
Assistant für Entwickler, Tools für die
Modellierung und den 3D-Druck sowie
Open Shift Origin zur Cloud-Verwaltung.
Zum Funktionsumfang zählen jetzt neben
der bekannten Javascript-Plattform
Node.js zum Erstellen von skalierbaren
Netzwerkanwendungen auch Ruby 2.0.0,
PHP 5.5.0 sowie eine Technical Preview von
OpenJDK8. Für Systemadministratoren
bietet Fedora aktualisierte Werkzeuge für
Migration, Diagnose und Protokollierung.
Die freie Cloud-Verwaltung OpenStack
liegt jetzt in der jüngsten Version „Grizzly“
vor. Als Standard-MySQL-Server kommt
MariaDB zum Einsatz.
Fedora nutzt den Kernel 3.9.0 als
Grundlage. Als Desktop-Umgebung
kommt standardmäßig Gnome 3.8 zum
Einsatz. Als Alternativen stehen daneben
die Window-Manager KDE Plasma Workspaces
4.10, XFCE 4.10, LXDE 0.3.2 sowie
die Gnome-2-Weiterentwicklung Maté 1.6
zur Verfügung. OpenOffice wurde auf Version
4.0 aktualisiert.
Tails 0.19: Anonym im Netz surfen
The Amnesic Incognito Live System, kurz:
Tails 0.19, ist in erster Linie dafür konzipiert,
um sich auf einfache Weise via Tor
anonym im Internet zu bewegen. Den Zugriff
auf Tor erleichtert dabei unter anderem
der speziell präparierte Browser Iceweasel
in Version 17, den das Projekt darüber
hinaus mit einigen Zusatzapps versah,
welche die Sicherheit nochmals erhöhen.
Systembedingt verschwinden nach dem
Herunterfahren des Live-Systems auch
sämtliche Nutzerdaten.
Daneben enthält der Bereich Zubehör unter
anderem das Metadata Anonymisation
Toolkit (MAT), mit dem Sie sämtliche Meta-Informationen
aus Dateien entfernen.
Darüber hinaus erlaubt Ihnen das in die
Distribution integrierte LUKS das Verschlüsseln
von Datenträgern. Tails erlaubt
auch eine Installation beispielsweise
auf einem USB-Stick. Alle Features und
Vorzüge von Tails 0.19 beschreibt ausführlich
ein Artikel im Schwerpunkt „Privacy“
ab Seite 24 in dieser Ausgabe.
Stresslinux 0.7.106: Auf Herz und Nieren
Um Ihr System unter Volllast vor Schäden
durch Überhitzung zu schützen, deckt die
Live-Distribution Stresslinux Problemzonen
auf und eignet sich obendrein auch
noch für das Benchmarking. Die auf Open-
Suse 11.4 und Busybox basierende Distribution
glänzt zwar nicht durch aufwendige
grafische Gimmicks und fordert dem
Benutzer auch einige Kenntnisse im Umgang
mit Befehlen auf der Kommandozeile
ab. Dafür bietet sie ein vollumfängliches
und gut organisiertes Arsenal an Programmen,
die es Ihnen erlauben, mögliche
Fehlerquellen sowohl in der CPU als auch
dem Massenspeicher oder dem Mainboard
offenzulegen. Da es sich um eine
Live-Distribution handelt, erfordert der
Betrieb auch keine Installation. Welche
Möglichkeiten Ihnen Stresslinux im Detail
eröffnet und worauf Sie beim Benutzen
unbedingt achten sollten, das lesen Sie im
zugehörigen Artikel ab Seite 80.
09.2013 www.linux-user.de
105

Service
Heft-DVD-Inhalt
Knoppix 7.2.0f
Das auf der zweiten Heft-DVD enthaltene
aktuellste Release der beliebten Live-
Distribution Knoppix wartet gegenüber
dem Vorgänger mit etlichen Bugfixes
und Verbesserungen auf. Das
System unterstützt jetzt experimentell
das Booten auf PCs
mit UEFI, der Kernel 3.9.6
wurde mit AUFS und Cloop
nachgerüstet. Die Software-Mischung
aus Debian
„Wheezy“, „Testing“ und
„Unstable“ umfasst unter
anderem LibreOffice 4.0.3,
Gimp 2.8 und Chromium
27.0.1453.110 sowie Iceweasel
21.0 mit Adblock
Plus 2.2.4 und NoScript
2.6.6.1. Mit an Bord sind
auch VirtualBox 4.2.10 und
Wine 1.5. Anonymisiertes Surfen
im Internet ermöglicht das integrierte
Tor. Mehr zu seinem jüngsten
Kind verrät der Entwickler Klaus
Knopper im Artikel ab Seite 8. (tle) n
Bei der DVD-Edition von LinuxUser ist an dieser Stelle der zweite Heft-Datenträger eingeklebt.
Bitte wenden Sie sich per E-Mail an cdredaktion@linux-user.de, falls es Probleme mit der Disk gibt.
Neue Programme
Die übersichtliche Entwicklungsumgebung Griffon 1.6.0 eignet sich
für zahlreiche Programmiersprachen wie Bash, C oder PHP. Neben
den Standardfunktionen beherrscht die Software das Auto-Vervollständigen,
die Datenübertragung per SFTP sowie ein einfaches Projektmanagement
für C-Programme.
Die Software Httraqt 1.1.0 stellt in erster Linie eine Qt-basierte
Oberfläche für den Web Crawler und Offline-Browser HTTrack dar.
Das Tor-Netzwerk bietet dank seines intelligenten Designs des
Onion-Routings ein Maximum an möglicher Sicherheit, die eigene
Identität zu verschleiern. Das Tor Browser Bundle 2.3.25 erlaubt
auch technisch weniger versierten Anwendern, sich über das Tor-
Netzwerk zuverlässig zu schützen.
Wer seine Daten nicht den großen Storage-Anbietern wie Google,
Amazon oder Dropbox anvertrauen möchte, der kommt kaum umhin,
eine selbst gehostete Lösung auf die Beine zu stellen. Allerdings
gilt der Private-Cloud-Vorreiter Owncloud gemeinhin wegen
seiner Vielzahl an Zusatzfunktionen als überladen. Eine gertenschlanke
und gleichzeitig einfach aufzusetzende Alternative bietet
Seafile 1.7, das sich ausschließlich auf das Hosten, Synchronisieren
und Teilen von Dateien und Verzeichnissen konzentriert.
Nur 5 MByte groß ist das Kern-System von 4MLinux 7.0, das den
anderen Paketen der Serie als Basis dient. Darin steckt topaktuelle
Linux-Software: Kernel 3.10.0, Glibc 2.17 und Busybox 1.21.1.
Der freie Feed-Reader Liferea 1.10 bietet sich unter anderem als
Ersatz für den eingestellten Google Reader an. Das aktuelle Release
besitzt dazu eine Option, um Google-Reader-Abonnements in lokale
umzuwandeln. Daneben gibt es experimentelle Synchronisation
mit der Anwendung The Old Reader.
Nach 15 Jahren wandelt sich Ntop zu Ntop-NG 1.0. Das Unix-Topähnliche
Tool hat seinen kompletten Codebestand runderneuert.
Neu ist zudem ein Web-Interface, das nicht nur den IPv4- und IPv6-
Datenverkehr eines Hosts per HTML5 und Ajax darstellt, sondern
auch das Konfigurieren der Monitoringparameter erlaubt.
Auf der Shell erstellt und verwaltet Tomb 1.4 verschlüsselte Container.
Dazu verwendet es keine eigenen Algorithmen, sondern setzt
als Wrapper auf bewährte Werkzeuge wie Dm-Crypt und Cryptsetup.
106 www.linux-user.de
09.2013