LinuxUser Abhörsicher surfen (Vorschau)
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Knoppix 7.2.0f: EFI-Syslinux und<br />
verbesserte USB-Installation S. 8<br />
Anzeige<br />
NeU<br />
siehe<br />
Flinker Distri-Winzling<br />
STRATO<br />
für<br />
iST eRSTeR<br />
I-Nex:<br />
Hosting-Anbieter<br />
Präzise Infos zur<br />
Europas<br />
von Servern mit Intel® Haswell CPU.<br />
jede Hardware: Porteus S. 10 PC-Hardware sammeln S. 66<br />
Seite 2<br />
strato-pro.de<br />
STR0813_DE_TKS_Haswell_120x17_CS3 1<br />
31.07.2013 16:33:41 Uhr<br />
09.2013<br />
ARCH-PAKETE • DIGIKAM • GIMP • LATEX • RASPI TUNEN • YT2MP3 • PRIVACY<br />
Lauschangriffe abwehren, E-Mails sichern, wichtige Daten schützen<br />
<strong>Abhörsicher</strong> <strong>surfen</strong><br />
Unerkannt<br />
im Internet S. 14<br />
Raspberry als<br />
Tor-Proxy S. 20<br />
Surf-Spuren<br />
verwischen S. 24<br />
Eigene Cloud<br />
für die Daten S. 28<br />
E-Mails sicher<br />
verschlüsseln S. 36<br />
Urlaubsfotos einfach S. 44<br />
aufpeppen mit Digikam<br />
Top-Distris<br />
auf zwei<br />
Heft-DVDs<br />
Die besten Tipps und Tricks<br />
fürs Raspberry-Pi-Tuning S. 84<br />
09<br />
www.linux-user.de<br />
EUR 8,50 EUR 9,35 sfr 17,00 EUR 10,85 EUR 11,05 EUR 11,05<br />
Deutschland Österreich Schweiz Benelux Spanien Italien 4 196067 008502 09
Editorial<br />
In der Pflicht<br />
Sehr geehrte Leserinnen und Leser,<br />
ren der NSA und anderer US-Dreibuchstaben-Dienste<br />
gehörte und gehört<br />
auch die Firma Booz Allen Hamilton, der<br />
frühere Brötchengeber des Whistleblowers<br />
Edward Snowden.<br />
Nun ist es zwar ärgerlich, arbeitsaufwendig<br />
und unbequem, sich gegen die<br />
verfassungs- und gesetzwidrige Rundum-Bespitzelung<br />
durch Prism und dessen<br />
rund ein Dutzend Verwandte û – von<br />
vielen kennt man nur die Codenamen,<br />
nicht aber die genaue Funktion – zu wehren.<br />
Unmöglich ist es aber keineswegs,<br />
schon gar nicht mithilfe von und unter<br />
Linu x: Die wichtigsten Techniken dazu<br />
haben wir im Schwerpunkt dieses Hefts<br />
für Sie zusammengefasst.<br />
Den Schnüffeleien technisch einen<br />
Riegel vorzuschieben ist aber nur die halbe<br />
Miete: Wie die Enthüllungen von<br />
„Frontal 21“ zeigen, haben alle großen<br />
Parteien – CDU/CSU, SPD, FDP, Grüne – in<br />
den jeweils wechselnden Regierungen<br />
von diesen rechtswidrigen Vorgängen<br />
gewusst und nicht nur passiv weggeschaut,<br />
sondern die Bespitzelung auch<br />
noch aktiv gebilligt. Deshalb ist, über das<br />
technische Handeln hinaus, jeder von<br />
uns jetzt als Staatsbürger in der Pflicht.<br />
Wir müssen jenen Leuten, die sich als<br />
unsere Vertreter ausgeben, unmissverständlich<br />
klar machen: Ja, wir schätzen<br />
Sicherheit – aber nicht so sehr, dass wir<br />
bereit sind, dafür unsere von der Verfassung<br />
garantierten Grundrechte einzu-<br />
Jörg Luther<br />
Chefredakteur<br />
Prism, Tempora – und kein Ende. Dabei<br />
sprengen die Enthüllungen über die<br />
gängigen digitalen Abhörpraktiken inzwischen<br />
die Grenzen jeder Vorstellungskraft<br />
– zumindest bei jenen Bürgern,<br />
die bislang dachten, in einem demokratischen<br />
Rechtsstaat zu leben. Immer<br />
klarer kristallisiert sich heraus, dass<br />
die beamteten Schnüffler dabei nicht<br />
nur Metadaten abgreifen und speichern,<br />
sondern alle anfallenden Inhalte û.<br />
Das Potpourri der bespitzelten Dienste<br />
umfasst dabei das gesamte Spektrum<br />
der Online-Kommunikation, von der E-<br />
Mail über Chat und Facebook bis hin<br />
zum Surfverhalten. Über das mächtige<br />
Recherchewerkzeug XKeyScore durchstöbern<br />
die Spitzel anschließend im Stil<br />
einer Google-Suche die gesammelten<br />
Daten – ohne jeden Gerichtsbeschluss,<br />
versteht sich. Das gilt nicht etwa nur für<br />
die US-amerikanische NSA: Auch deutsche<br />
Dienste – zumindest der Bundesnachrichtendienst<br />
und das Bundesamt<br />
für Verfassungsschutz – setzen offenbar<br />
XKeyScore ein û.<br />
Zunehmend wird auch klar, warum<br />
sämtliche deutsche Politiker so grotesk<br />
kleinlaut auf den ungeheuerlichen Abhörskandal<br />
reagieren: Wie ein Bericht<br />
des ZDF-Magazins „Frontal 21“ û aufgedeckt<br />
hat, wussten sie nicht nur von diesen<br />
Vorgängen, sondern haben den USA<br />
sogar die Bespitzelung der Bürger explizit<br />
erlaubt: Die deutschen Regierungen<br />
von 2003 (Rot/Grün), 2008 (Große Koalition)<br />
und 2011 (Schwarz/Gelb) haben<br />
über 200 US-Firmen „Sonderrechte für<br />
geheimdienstliche Tätigkeit in Deutschland“<br />
eingeräumt. Zu diesen Kontraktotauschen.<br />
Ja, Abhören muss im Umfeld<br />
von Terrorismus und Schwerkriminalität<br />
wohl sein – aber es darf nur dort, nur anlassbezogen<br />
und nur mit einer richterlichen<br />
Genehmigung erfolgen. Und von<br />
jeder Regierung erwarten wir ungeachtet<br />
der Parteizugehörigkeit, dass sie den<br />
Gesetzen Geltung verschafft und sich für<br />
unsere verfassungsmäßigen Rechte einsetzt<br />
– auch und gerade einer Amok laufenden<br />
Supermacht gegenüber.<br />
Erfreulicherweise ist die Gelegenheit,<br />
diese offenbar völlig in Vergessenheit<br />
geratenen Tatsachen den politischen<br />
Funktionsträgern einmal wieder klar ins<br />
Lastenheft zu schreiben, gerade so gut<br />
wie selten sonst. Ich habe vor, mein diesbezügliches<br />
Memo am 22. September<br />
per Kreuzchen einzureichen.<br />
Herzliche Grüße,<br />
Weitere Infos und<br />
interessante Links<br />
www. linux‐user. de/ qr/29924<br />
09.2013 www.linux-user.de<br />
3
09<br />
44<br />
Für das schnelle Korrigieren und<br />
Aufwerten eines Fotos reichen<br />
die eingebauten Werkzeuge der Fotoverwaltung<br />
Digikam meist vollkommen aus.<br />
90<br />
Arch Linux überzeugt seine Fans<br />
seit Langem durch Stabilität und<br />
ein unglaublich einfaches Konzept. Das<br />
spiegelt sich auch beim Bauen von Paketen<br />
wider: In der Regel genügen dazu ein<br />
Editor und das passende Rezept.<br />
76<br />
Viele Labels stellen Musikvideos<br />
zu Werbezwecken auf Youtube<br />
online. Möchten Sie die kostenlosen Tracks<br />
aus den Clips extrahieren, leistet Youtube<br />
to MP3 Ihnen dabei gute Dienste.<br />
Aktuelles<br />
Angetestet .. . . . . . . . . . . . . . . . . . . . 6<br />
IDE Griffon 1.6.0 für Programmierer,<br />
Webcrawler-Frontend HTTraqt 1.1.0,<br />
Allround-Archivmanager Peazip 5.0,<br />
schlanker Audio-Player Pogo 0.8.2<br />
Knoppix 7.2.0f.. . . . . . . . . . . . . . . . . 8<br />
Nutzen Sie schon jetzt Knoppix 7.2.0f mit<br />
einigen Bugfixes und Verbesserungen, auf<br />
die andere Anwender noch bis zum nächsten<br />
Release warten müssen.<br />
Fedora 19..................... 11<br />
Fedora 19 überzeugt im Test direkt ab Installation.<br />
Freie Treiber und die Integration von<br />
topaktueller Software machen das System zu<br />
einer interessanten Alternative.<br />
Schwerpunkt<br />
Anonym <strong>surfen</strong> .. . . . . . . . . . . . . . . 14<br />
Tor hilft Ihnen dabei, sich anonym im Netz zu<br />
bewegen. Wir zeigen, wie das Onion-Routing<br />
in der Praxis funktioniert.<br />
Onion Pi.. . . . . . . . . . . . . . . . . . . . . 20<br />
Der Minirechner Raspberry Pi bietet sich als<br />
kostengünstige und schlanke Plattform für<br />
einen Zugangspunkt zum Tor-Netz an.<br />
Tails 0.19. .................... 24<br />
Das Live-System Tails 0.19 verschleiert beim<br />
Surfen und Mailen sämtliche Spuren.<br />
Seafile. ...................... 28<br />
Seit Prism und Tempora ist klar: Daten in der<br />
öffentlichen Cloud sind nicht sicher. Abhilfe<br />
schafft eine selbst gehostete Lösung.<br />
Open-GPG .. . . . . . . . . . . . . . . . . . . 36<br />
Sichern Sie Ihre Mails in Thunderbird und<br />
KMail mithilfe starker Kryptographie gegen<br />
illegales Ausspähen.<br />
Praxis<br />
Digikam .. . . . . . . . . . . . . . . . . . . . . 44<br />
Für einfache Korrekturen an typischen<br />
Schnappschüssen und kleine Effekte zum<br />
Aufpeppen der Fotos leisten die Werkzeuge<br />
in der Bildverwaltung Digikam gute Dienste.<br />
PDFs mit LaTeX .. . . . . . . . . . . . . . . 54<br />
PDF gilt als Standard für den plattformunabhängigen<br />
Datenaustausch. Mit LaTeX und<br />
den Klassen Hyperref und Pdfpages nutzen<br />
Sie die Möglichkeiten dieses Dateiformates<br />
gekonnt aus.<br />
Gimp 2.8: Verzerren. ...........62<br />
Ob für den kreativen Einsatz oder als<br />
schlichtes Mittel zum Zweck – die in Gimp<br />
integrierten Werkzeuge zum Verzerren leisten<br />
hervorragende Arbeit, wenn Sie wissen,<br />
welches Sie wann einsetzen.<br />
Zeroshell (Teil 3).. . . . . . . . . . . . . . 66<br />
Eine Firewall kontrolliert den Fluss der<br />
Daten in einem Netzwerk. Dank einfacher<br />
Konfiguration und umfangreichen Logging-<br />
Funktionen haben Sie mit Zeroshell einen<br />
entsprechenden Dienst aufgesetzt.<br />
8Mit einem verbesserten Installer, vielen<br />
Bugfixes und einem Bootloader, der auf<br />
EFI-Systemen durchstartet, geht das beliebte<br />
Live-System in die Neuauflage.<br />
4 09.2013
54<br />
Das Satzsystem LaTeX erzeugt<br />
nicht nur ein perfektes Druckbild,<br />
sondern bietet auch beim Entwerfen von<br />
PDFs opimale Flexibilität. Unser Workshop<br />
zeigt, wie Sie Dokumenten und Formularen<br />
den letzten Schliff verpassen.<br />
20<br />
Der Mini-PC Raspberry Pi eignet<br />
sich ideal als Plattform für einen<br />
privaten drahtlosen Zugangspunkt zum<br />
weltweiten Tor-Netzwerk. Das ermöglicht<br />
ein anonymes Surfen im Internet.<br />
28<br />
Mit dem NSA-Skandal haben Online-Dienste<br />
viel Vertrauen verspielt.<br />
Zeit, die wertvollen Daten wieder<br />
zurückzuholen – in die eigene Cloud.<br />
Im Test<br />
Leisure Suit Larry Reloaded...... 72<br />
Ein legendärer Schwerenöter ist wieder<br />
da: In seiner dritten Inkarnation seit 1987<br />
kämpft sich Leisure Suite Larry jetzt unter<br />
Linux durch die schummrigen Nachtlokale<br />
des Städtchens Lost Wages.<br />
UBUNTU<br />
user<br />
Youtube to MP3. .............. 76<br />
Der Downloader Youtube to MP3 bringt<br />
eine Reihe Komfortfunktionen mit und<br />
überzeugt durch ein intuitiv bedienbares<br />
Interface. Allerdings ist nicht alles, was er<br />
kann, auch unbedingt erlaubt.<br />
Netz&System<br />
Stresslinux.. . . . . . . . . . . . . . . . . . . 80<br />
Mit der auf Lasttests und Benchmarking<br />
spezialisierten Distribution Stresslinux<br />
optimieren Sie gezielt Ihre Hardware. Auf<br />
diese Weise kitzeln Sie mehr Leistung aus<br />
einzelnen Komponenten, ohne dass dabei<br />
die Integrität der Daten zu kurz käme.<br />
Hardware<br />
RasPi-Tuning. .................84<br />
Der Raspberry Pi ist zwar klein und sparsam,<br />
jedoch auch nur begrenzt leistungsfähig.<br />
Durch gezieltes Tuning mit den entsprechenden<br />
Werkzeugen helfen Sie ihm aber<br />
schnell auf die Beine.<br />
Know-how<br />
Arch-Linux-Pakete. ............90<br />
Ein Template und ein Editor reichen dank<br />
eines cleveren Build-Systems bereits aus,<br />
um die neueste Software nahtlos in Arch<br />
Linux zu integrieren.<br />
72<br />
Er ist wieder da – kultig, schlüpfrig und<br />
immer auf der Jagd: Leisure Suit Larry<br />
driftet in der bereits dritten Auflage des Spieleklassikers<br />
seit 1987 wieder durch den Dunst<br />
der Nachtlokale im Städtchen Lost Wages.<br />
Service<br />
Editorial.. . . . . . . . . . . . . . . . . . . . . . 3<br />
IT-Profimarkt.. . . . . . . . . . . . . . . . . 98<br />
Impressum...................102<br />
Events/Autoren/Inserenten.....103<br />
<strong>Vorschau</strong>. ...................104<br />
Heft-DVD-Inhalt ..............105<br />
09.2013 www.linux-user.de<br />
5
Aktuelles<br />
Angetestet<br />
Klonmeister<br />
Httraqt 1.1.0 fasst die<br />
essenziellen Funktionen des<br />
Webseiten-Kopierers HTTrack in<br />
einer komfortablen und intuitiven<br />
Oberfläche zusammen.<br />
Inspiriert von Winhttrack, wollten die<br />
Entwickler eine einfach bedienbare Bedienoberfläche<br />
für HTTrack bereitstellen.<br />
Das ist gelungen – zumindest weitgehend:<br />
Nach dem Start listet das Tool in<br />
einer Baumübersicht alle Download-Profile<br />
auf. Sie sehen sofort, welche Dateien<br />
im jeweiligen Profil bereits angelegt und<br />
übertragen wurden. Mit dem Weiter-<br />
Schalter gelangen Sie in die Projektsteuerung.<br />
Hier legen Sie das Basisverzeichnis<br />
fest, in dem sich Profile und Downloads<br />
befinden. Über den Projektnamen<br />
konfigurieren Sie ein bestehendes<br />
Projekt. Geben Sie<br />
einen neuen Namen ein,<br />
legt Httraqt ein neues Projekt<br />
mit den Standardeinstellungen<br />
an. Ein erneutes<br />
Klicken bringt Sie in die<br />
Konfiguration, wo Sie die zu<br />
spiegelnde URL samt den<br />
gegebenenfalls notwendigen<br />
Anmeldedaten angeben.<br />
Hier legen Sie auch Filterregeln<br />
fest, über die Sie<br />
bestimmte Datentypen oder<br />
Formate von der Übertragung ausschließen.<br />
In den Begrenzungen definieren Sie<br />
die maximale Dateigröße und Übertragungsrate<br />
oder begrenzen die Suchtiefe<br />
in einer Site. Weitere Optionen ermöglichen<br />
das Anpassen der Browser-ID, die<br />
Kontrolle des Datenflusses über Verbindungsanzahl<br />
und Timeouts sowie die<br />
Zuordnung von Dateitypen zu MIME-<br />
Entsprechungen. Sie haben die Möglichkeit,<br />
via save as default neue Standardeinstellung<br />
für Projekte zu hinterlegen.<br />
Sind alle Einstellungen getätigt, starten<br />
Sie den Download oder merken ihn für<br />
später vor. In der Status-Ansicht zeigt<br />
Httraqt den Übertragungsfortschritt sowie<br />
die Anzahl der Verbindungen, die<br />
gespeicherten Bytes und die Datenrate.<br />
War die Übertragung erfolgreich, startet<br />
das Tool das Profil beim nächsten Aufruf<br />
mit der Aktion vorhandene Kopie aktualisieren.<br />
Httraqt erlaubt das Vorsetzen abgebrochener<br />
Übertragungen sowie das<br />
Verzweigen zu den enthaltenen Links.<br />
Lizenz: GPLv3<br />
n<br />
Quelle: http:// httraqt. sourceforge. net<br />
Packstation<br />
Die Zahl der von Linux unterstützten<br />
Archivformate wird immer<br />
umfangreicher. Peazip 5.0<br />
erspart die Mühe, hier mit zahlreichen<br />
Kommandozeilenprogrammen<br />
jonglieren zu müssen.<br />
Der Archivmanager Peazip unterstützt<br />
über 100 verschiedene Kompressionsformate<br />
wie 7Z, ARC, ARJ, RAR, TAR, GZ oder<br />
ZIP, kommt aber auch mit Archiven wie<br />
CAB oder ISO zurecht. Während das Tool<br />
Archive in den freien Formaten auch<br />
selbst erzeugen kann, beschränkt es sich<br />
bei anderen Formaten wie ACE auf das<br />
reine Entpacken. Auf den ersten Blick<br />
wirkt Peazip wie ein Dateimanager, in<br />
dem Sie auch tatsächlich durch Verzeichnisse<br />
navigieren und Dateien verschieben,<br />
löschen oder umbenennen. Bei Bedarf<br />
tauschen Sie<br />
die Symbolleiste<br />
des Archiv-Managers<br />
mit wenigen<br />
Klicks gegen eine<br />
Leiste für Dateimanager<br />
aus. Treffen<br />
Sie im Dateisystem<br />
auf eine Archivdatei,<br />
öffnen Sie diese<br />
mit einem Doppelklick<br />
und navigieren in deren Inhalt. Die<br />
Symbole Extract und Extract all to ermöglichen<br />
es, wahlweise nur eine Datei oder<br />
das komplette Archiv zu entpacken. Über<br />
das Symbol Test prüfen Sie die Integrität<br />
einer Archivdatei. Mit add erzeugen Sie<br />
neue Archiv-Dateien, wobei sich je nach<br />
verwendetem Format das Archiv optional<br />
in mehrere Dateien splitten lässt. Außerdem<br />
können Sie den Kompressionsgrad<br />
ändern oder das Archiv mit einem Passwort<br />
vor unbefugtem Zugriff sichern. Darüber<br />
hinaus ist Peazip in der Lage, Archive<br />
von einem Format in ein anderes zu<br />
konvertieren. Möchten Sie das Tool stets<br />
zur Hand haben, ohne es jedes Mal neu<br />
starten zu müssen, minimieren Sie es in<br />
die Symbolleiste des Betriebssystems. Die<br />
entsprechende Funktion finden Sie im<br />
Ausklappmenü Datei. Dann steht Peazip<br />
stets auf Doppelklick parat.<br />
Lizenz: GPLv3<br />
<br />
Quelle: http:// peazip. sourceforge. net/<br />
6 www.linux-user.de<br />
09.2013
Angetestet<br />
Aktuelles<br />
Das ursprünglich als kleiner Editor für<br />
Shell-Skripte gestartete Griffon hat sich<br />
mittlerweile zu einer umfangreichen<br />
Entwicklungsumgebung gemausert. Es<br />
bietet noch immer alle wichtigen Funktionen<br />
eines Editors, wartet zudem jedoch<br />
mit zahlreichen Zusatzfunktionen<br />
auf. Dazu zählt ein integriertes Terminal,<br />
in dem Sie Shell-Befehle absetzen. Ebenfalls<br />
enthalten ist ein einfacher Webbrowser<br />
– ideal, um in einer Online-<br />
Dokumentation zu blättern. Notizen und<br />
die eingebaute To-do-Funktion eignen<br />
sich bestens, um Ideen festzuhalten und<br />
Entwicklungsaufgaben zu strukturieren.<br />
Selbst eine Projektverwaltung hält Griffon<br />
parat. Der Zugriff auf externe Dateien<br />
erfolgt wahlweise über FTP oder SSH.<br />
Griffon greift dabei auf die Tools Sftp<br />
Lizenz: GPLv2<br />
Quelle: http:// griffon. lasotel. fr/ en/<br />
nn<br />
und Ftpfs zurück. Für Hobby-Webentwickler<br />
gibt es ein eigenes Ausklappmenü<br />
HTML, das alle wichtigen Tags sowie<br />
eine einfache Page-Vorlage enthält.<br />
Sie müssen nur noch auf das gewünschte<br />
Tag klicken, um es an der Cursor-Position<br />
einzufügen. Darüber hinaus bietet<br />
Griffon für alle ihm bekannten Sprachen<br />
Syntax-Highlighting sowie eine Auto-<br />
Vervollständigung der Befehle<br />
bei der Eingabe. Dabei<br />
unterstützt es zurzeit<br />
das Shell-Scripting, C, Perl,<br />
PHP und HTML. Die Einstellmöglichkeiten<br />
von<br />
Griffon erkunden Sie am<br />
besten im Selbstversuch:<br />
Eine ausführliche Dokumentation<br />
zu der IDE fehlt<br />
bislang. Immerhin bietet<br />
die Webseite einen bebilderten<br />
Schnelleinstieg.<br />
Sprachtalent<br />
Die umfangreiche IDE<br />
Griffon 1.6.0 bietet zahlreiche<br />
Einstellungen und Funktionen,<br />
die sonst nur größere<br />
Programme mitbringen.<br />
Suchen Sie einen einfachen und schnellen<br />
Audio-Player, greifen Sie am besten<br />
zu Pogo. Das in Python implementierte<br />
Tool, ein Fork des Players Decibel, greift<br />
für die Wiedergabe auf die Gstreamer-<br />
Bibliotheken zurück. Seine Gtk-basierte<br />
Oberfläche verzichtet auf jeden Schnickschnack.<br />
Mit dem Dateimanager in der<br />
linken Fensterhälfte navigieren Sie durch<br />
die Verzeichnisstruktur, ein Eingabefeld<br />
oberhalb ermöglicht die Suche nach Dateien<br />
und Ordnern. Ein Rechtsklick auf<br />
einen Eintrag öffnet ein Kontextmenü,<br />
über das Sie einzelne Dateien oder ganze<br />
Verzeichnisse an eine Wiedergabeliste<br />
anfügen. Deren Inhalt zeigt Pogo in der<br />
rechten Fensterhälfte. Hier spielen Sie<br />
per Doppelklick eine Audio-Datei ab. Ein<br />
Lizenz: GPLv2<br />
nn<br />
Quelle: https:// launchpad. net/ pogo<br />
Rechtsklick öffnet dagegen ein Kontextmenü,<br />
über das Sie die Datei entfernen<br />
oder die Wiedergabeliste leeren. Auch<br />
ein Export der Playlist in eine Datei oder<br />
ein Verzeichnis ist möglich. Konfigurieren<br />
lässt sich Pogo über das Symbol in<br />
der rechten oberen Ecke. Hier werten Sie<br />
den Klang über einen Equalizer auf, aktivieren<br />
eine Desktop-Benachrichtigung<br />
beim Titelwechsel oder die Anzeige des<br />
CD-Covers. Mehr Optionen<br />
bietet das Programm<br />
noch nicht. Alternativ<br />
steuern Sie Pogo auch<br />
über die Befehlszeile: Mit<br />
einem der Befehle next,<br />
prev, pause oder play<br />
aufgerufen, führt der<br />
Player die dazu passenden<br />
Aktionen auf den<br />
Tracks aus. (jlu/agr) n<br />
Klangpurist<br />
Wer komplexe Musikdatenbanken<br />
scheut, findet in<br />
Pogo 0.8.2 einen Puristen, der<br />
die Organisation erleichtert, ohne<br />
den Komfort zu schmälern.<br />
09.2013 www.linux-user.de<br />
7
Aktuelles<br />
Knoppix 7.2.0f<br />
Topaktuelle, fehlerbereinigte Knoppix-Version<br />
direkt vom Entwickler<br />
Runderneuert<br />
Das exklusive Knoppix 7.2.0f<br />
bringt Bugfixes und Verbesserungen,<br />
auf die andere Anwender<br />
noch bis zum nächsten<br />
Release warten müssen.<br />
Klaus Knopper<br />
Readme<br />
Das explizit für den Betrieb ohne Festplatteninstallation<br />
konzipierte Knoppix basiert<br />
auf Debian GNU/Linux. Entwickler Klaus<br />
Knopper passt bereits seit 1999 sein System<br />
kontinuierlich an den aktuellen Stand<br />
der Hardware an und erweitert es regelmäßig<br />
um pfiffige neue Features.<br />
Wenn es unbedingt sein muss, können<br />
Sie Knoppix û auf einer Festplatte installieren.<br />
Allerdings wurde es für den<br />
Live-Betrieb optimiert. Am schnellsten<br />
läuft es von einer USB-Flashdisk, auf die<br />
Sie es mit den Installationsskripten im<br />
Handumdrehen einrichten.<br />
Beim Start erscheint ein Bootscreen<br />
mit dem Knoppix-Logo. Hier können Sie<br />
einige Cheatcodes eingeben, um etwa<br />
einen bestimmten Grafik-Chipsatz einzustellen<br />
oder Hardware gezielt anzusteuern,<br />
für die eine automatische Konfiguration<br />
nicht ohne Weiteres klappt.<br />
UEFI-Boot<br />
UEFI verkompliziert das Boot-Verfahren<br />
dahingehend, dass BIOS-Routinen generell<br />
nicht mehr greifen. Der Bootscreen<br />
sowie das Laden des Betriebssystems<br />
müssen über eine FAT32-Partition sowie<br />
ein von der CPU-Architektur abhängiges<br />
Programm abgewickelt werden, das<br />
auch restriktivere Bootmethoden wie<br />
das berüchtigte (und keineswegs sichere)<br />
UEFI Secure Boot ermöglicht.<br />
Am besten schalten Sie in den Einstellungen<br />
des Rechners das UEFI-Bootverfahren<br />
zugunsten von CSM („Compatibility<br />
Support Module“) ab: UEFI bietet im<br />
Regelfall keinerlei Vorteile, und einige<br />
Hersteller implementieren es zudem so<br />
fehlerhaft, dass es unter bestimmten<br />
Umständen zu einem Versagen der Firmware<br />
mit Totalausfall führt. Unerfreulicherweise<br />
findet sich auf vielen Rechnern<br />
ein vorinstalliertes Betriebssystem,<br />
das den Start nur über UEFI erlaubt.<br />
Damit zumindest die USB-Flashdisk-<br />
Variante von Knoppix auf solchen Rechnern<br />
auch ohne Umstellung des Bootverfahrens<br />
startet, enthält Knoppix 7.2.x<br />
zusätzlich zum bekannten, stabilen<br />
MBR-Syslinux auch eine experimentelle<br />
EFI-Version dieses Bootloaders. Sie verwendet<br />
dieselbe Konfigurationsdatei<br />
(/ boot/syslinux/syslinux.cfg) wie<br />
8 www.linux-user.de<br />
09.2013
Knoppix 7.2.0f<br />
Aktuelles<br />
1 Auf großen USB-Sticks können Sie den<br />
über die maximal 4 GByte für die Boot-<br />
Partition hinausgehenden Platz jetzt als<br />
Dateisystem-Overlay für Knoppix nutzen.<br />
beim Standard-Bootverfahren. Da bei<br />
EFI der Bootloader von der CPU-Architektur<br />
abhängt, bringt die DVD-Version<br />
von Knoppix zum Starten der jeweiligen<br />
Kernel sowohl eine 32- als auch eine<br />
64-Bit-Version des Bootloaders im Verzeichnis<br />
/EFI/BOOT mit. Das Laden einer<br />
Bootgrafik unterstützt Syslinux-EFI derzeit<br />
nicht, sodass hier der übliche Knoppix-Pinguin<br />
zur Begrüßung fehlt.<br />
Flashdisk-Installer<br />
Knoppix läuft von einem USB-Stick bis<br />
zu fünfmal schneller als von der DVD.<br />
Zudem speichert die auf Stick installierte<br />
Version Daten und Einstellungen automatisch.<br />
So erhalten Sie ein System, das<br />
sich zwar wie eine Festplatteninstallation<br />
anfühlt, das sich aber dennoch mobil<br />
auf Rechnern einsetzen lässt. Um es<br />
auf einem USB-Stick zu installieren, wählen<br />
Sie im Menü Knoppix den Punkt<br />
Knoppix auf Flashdisk installieren.<br />
Zur Installation richteten frühere Versionen<br />
auf dem Stick eine virtuelle Festplatte<br />
mit Ext2-Dateisystem als Loopback-Image<br />
ein. Sie befand sich mit den<br />
übrigen Bootdateien auf einem FAT32-<br />
Dateisystem. FAT32 unterstützt jedoch<br />
nur maximal 4 GByte große Dateien. Auf<br />
aktuellen USB-Sticks mit 8 GByte oder<br />
noch mehr Kapazität ließ sich der verbleibende<br />
Platz nicht direkt ins Live-System<br />
integrieren. Der neue Flash-Installer<br />
kann den Stick so partitionieren, dass<br />
neben der FAT32-Bootpartition eine<br />
Linux-Partition wählbarer Größe entsteht,<br />
die das System direkt als Overlay<br />
(optional verschlüsselt) nutzen kann 1 .<br />
Der Standard-Browser Iceweasel (die<br />
Debian-Variante von Firefox) kommt in<br />
Knoppix mitsamt der vorinstallierten Erweiterung<br />
NoScript. Diese sorgt dafür,<br />
dass der Browser für aktive Inhalte wie<br />
Javascript und Plugin-basierte interaktive<br />
Elemente erst Ihre Freigabe abfragt,<br />
bevor er diese ausführt. Das schützt zuverlässig<br />
vor Schädlingen, die versuchen,<br />
über Keylogger Passwörter zu<br />
stehlen, angezeigte Formulare zu manipulieren<br />
oder gar Trojaner als „Browser-<br />
Erweiterung“ zu installieren.<br />
In der Standardkonfiguration von<br />
NoScript müssen Sie jede einzelne Website<br />
für aktive Inhalte freischalten – etwas<br />
paranoid, aber der beste Weg, im<br />
Internet vor Überraschungen sicher zu<br />
sein. Die persönlichen Lieblingsseiten<br />
lassen sich mit einem Mausklick dauerhaft<br />
„entsperren“, vor allem beim Online-<br />
Banking oder Webshopping sollten Sie<br />
NoScript aber in den anderen Tabs aktiviert<br />
haben.<br />
Ein wirkungsvolles Mittel, um zumindest<br />
die eigene IP-Adresse beim Surfen<br />
zu „verstecken“ und so beispielsweise<br />
ortsbezogene Werbung und das Zurückverfolgen<br />
von Verbindungen zu erschweren,<br />
stellt das anonymisierende<br />
Knoppix 7.2.0f (32+64Bit)<br />
bootfähig auf Heft-DVD 2<br />
Netzwerk Tor dar 2 . Mehr dazu lesen<br />
Sie in einem Artikel im Schwerpunkt dieser<br />
Ausgabe û, der auch auf die Stärken<br />
und Schwächen des Konzeptes eingeht.<br />
Um am Tor-Netzwerk teilzunehmen,<br />
bietet Knoppix im Menü einen Starter,<br />
der den eigenen Client als passiven Teilnehmer<br />
registriert – es werden also niemals<br />
Anfragen anderer Tor-Nutzer über<br />
den eigenen Rechner geleitet. Um auch<br />
den Browser für die Benutzung von Tor<br />
vorzubereiten, findet sich im Firefox-<br />
2 Für das anonyme Surfen bindet Knoppix den Rechner ins Tor-Netzwerk ein. Zur<br />
Steuerung dient das komfortable grafische Frontend Vidalia.<br />
09.2013 www.linux-user.de<br />
9
Aktuelles<br />
Knoppix 7.2.0f<br />
TIPP<br />
Weitere Infos und<br />
interessante Links<br />
www. linux‐user. de/ qr/ 30223<br />
Vor allem für Lehrer praktisch ist der Starter<br />
für VNC und RDP, mit dem Sie den gerade<br />
laufenden Desktop wahlweise nur<br />
zum Anschauen oder passwortgeschützt<br />
auch zum Fernsteuern an andere Rechner<br />
freigeben. Mit einer internen Umsetzung<br />
zwischen VNC und RDP klappt der Zugriff<br />
auch für Windows-Clients, die nicht über<br />
einen VNC-Client verfügen.<br />
Menü unter Extras ein einfacher Proxy-<br />
Umschalter, der auf Wunsch alle Webzugriffe<br />
über das Tor-Netzwerk abwickelt.<br />
Koexistenz mit Windows<br />
Dank Ntfs-3g klappt das Lesen und<br />
Schreiben auf NTFS-Partitionen unter<br />
Linux sehr sicher und schnell. Allerdings<br />
weisen neuere Windows-Versionen ein<br />
Feature namens „Quickstart“ auf, das im<br />
Wesentlichen dasselbe leistet wie das<br />
unter Linux lange bekannte Suspend-to-<br />
Disk: Es sichert den Systemzustand inklusive<br />
laufender Programme im RAM<br />
beim Ausschalten (eigentlich eher ein<br />
Schlafenlegen) auf die Festplatte, von<br />
wo es beim Hochfahren den gespeicherten<br />
Systemzustand wiederhergestellt.<br />
Ändert sich nun während des Schlafzustandes<br />
der Inhalt der Systempartition,<br />
erkennt Windows diese „außerplanmäßige“<br />
Änderung am Dateisystem<br />
nach dem Aufwachen nicht und schreibt<br />
folglich ungültige Daten auf die Systempartition<br />
zurück. Darauf reagiert NTFS<br />
meist mit gravierenden Dateisystemschäden<br />
nebst Datenverlust. Um das von<br />
vornherein auszuschließen, bringt Knoppix<br />
einen Workaround mit.<br />
Es stellt dem Mount-Kommando für<br />
NTFS eine Sicherheitsüberprüfung<br />
voran, die Sie über einen Dialog warnt,<br />
wenn sie auf der Partition die Datei<br />
hiberfil.sys und damit ein schlafendes<br />
Windows entdeckt 3 . Nun können<br />
Sie entweder nur lesend auf die Partition<br />
zugreifen oder aber kurzentschlossen<br />
hiberfil.sys vor dem Einbinden löschen.<br />
Windows „vergisst“ dann den gespeicherten<br />
Systemzustand und absolviert<br />
beim nächsten Start einen „Full Restart“.<br />
Das Dateisystem bleibt unbeschädigt.<br />
In Knoppix-Versionen vor 6.0 fand sich<br />
im Menü Einstellungen ein Startskript für<br />
den Samba-Server samt Freigabe diverser<br />
Datenträger, das beim Redesign des<br />
Systems für Knoppix 6.0 „verlorenging“.<br />
Nun findet sich der entsprechende Starter<br />
wieder im Menü. Hinzu kommt ein<br />
grafischer Samba-Netzwerkscanner.<br />
Bugs<br />
Nach Freigabe von Knoppix 7.2.0 fanden<br />
einige Nutzer der Textkonsole (Bootoptionen<br />
adriane oder knoppix 2) heraus,<br />
dass das Einbinden von NTFS-Partitionen<br />
mit mount dort nicht funktioniert.<br />
Darüber hinaus verweigerte der Flashdisk-Installer<br />
aufgrund einer zu großzügig<br />
bemessenen Textfenster-Geometrie<br />
(normalerweise nur 80x25) den Dienst.<br />
Beide Fehler sind in der vorliegenden<br />
Version 7.2.0f behoben.<br />
Noch existent, weil erst nachträglich<br />
entdeckt, ist ein Bug beim Booten der<br />
64-Bit-Version via UEFI. Hier startet automatisch<br />
statt der deutschen GUI-Version<br />
von Knoppix das Adriane-System in Englisch.<br />
Um dies zu beheben, ändern Sie<br />
auf dem erzeugten USB-Stick die Datei<br />
/ boot/syslinux/syslnx64.cfg: Statt<br />
DEFAULT adriane64 tragen Sie DEFAULT<br />
knoppix64 ein und ersetzen in allen<br />
APPEND-Zeilen lang=en durch lang=de.<br />
Weitere Aktualisierungen und Hinweise<br />
zum neuen Release sind in den Release<br />
Notes û.<br />
Ausblick<br />
3 Beim Zugriff auf NTFS-Partitionen umgeht Knoppix mögliche Probleme<br />
mit einem „schlafen gelegten“ Windows automatisch. Hier sehen<br />
Sie noch einen kleinen Bug: Die Meldung sollte natürlich automatisch in<br />
Deutsch erscheinen statt in Englisch.<br />
Zu den geplanten Neuerungen zählen<br />
unter anderem UEFI-Boot-Unterstützung<br />
für das Schnellinstallationsprogramm<br />
0wn, eine automatische Blattlagenerkennung<br />
für das Modul Adriane-ocr und<br />
das Finden einer funktionsfähigen Kombination<br />
des grafischen Screenreaders<br />
Orca mit Firefox/Iceweasel, damit blinde<br />
Computeranwender diesen Browser wieder<br />
nutzen können. (jlu) n<br />
10 www.linux-user.de<br />
09.2013
Fedora 19<br />
Heft-DVD<br />
Fedora 19 im Test<br />
Schrödingers Pinguin<br />
Die sonst typische Erfahrung bei Fedora<br />
û, bei einem neuen Release zunächst<br />
die ersten Updates abzuwarten, fällt bei<br />
Version 19, Codename „Schroedinger’s<br />
Cat“, weg: Im Test stellt sich gleich nach<br />
dem Installieren – ohne das übliche Warten<br />
auf die ersten Updates – Zufriedenheit<br />
im Umgang mit dem System ein.<br />
Das mag daran liegen, dass das Release<br />
als Fundament für Red Hat Enterprise<br />
Linux 7 vorgesehen ist. Ein Update nach<br />
dem ersten Setup lohnt sich aber trotzdem,<br />
wie schon dessen Umfang verdeutlicht:<br />
Im Test zog diese Funktion nur wenige<br />
Tage nach dem offiziellen Release<br />
nicht weniger als 245 Updates nach.<br />
Fedora 19 steht in verschiedenen Varianten<br />
bereit, so als Installations-DVD, als<br />
installierbare Live-CD mit Gnome û, sowie<br />
in Form verschiedener Live-Medien<br />
und Spin-Varianten û mit KDE, LXDE<br />
oder der Alternative XFCE.<br />
Wie für Fedora üblich nutzt die „Desktop<br />
Edition“ Gnome als Standard-Desktop<br />
û, sowohl in der Live-Version wie<br />
bei der Installations-DVD, allerdings<br />
ohne Klassik-Modus: Bevorzugen oder<br />
benötigen Sie diesen, installieren Sie das<br />
Paket gnome-classic-session nach. Das<br />
hilft aber nichts, wenn die 3D-Unterstützung<br />
fehlt, denn der Klassik-Modus basiert<br />
auf der Gnome Shell. Das Paket bietet<br />
nur ein schlichteres, an Gnome 2<br />
orientiertes Design, wie es insbesondere<br />
viele Unternehmen bevorzugen.<br />
Das Gleiche bietet der Maté-Desktop,<br />
der als populäre Replik auf Gnome 2 in<br />
der aktuellen Version 1.6 û erstmals als<br />
Readme<br />
Das von Red Hat gesponserte Fedora-Projekt<br />
gilt nicht nur als Plattform für Experimente<br />
mit Blick auf die Entwicklung von Red Hat<br />
Enterprise Linux, sondern setzt häufig Trends<br />
– aktuell in Bezug auf UEFI und Secure Boot.<br />
Der Beitrag verrät, ob sich Fedora 19 nur für<br />
Fans freier Software empfiehlt oder ob ein<br />
Wechsel von einem auf mehr Komfort ausgerichteten<br />
System lohnt.<br />
09.2013 www.linux-user.de<br />
11
Heft-DVD<br />
Fedora 19<br />
Installieren Sie mehrere der Desktop-<br />
Umgebungen, stehen diese als Auswahl<br />
im Login-Manager bereit. Bei früheren<br />
Fedora-Versionen konnten Sie alternative<br />
Desktops ausschließlich nachträglich<br />
über das Paketmanagement installieren,<br />
zum Teil nur mithilfe weiterer Repositories.<br />
Maté und Cinnamon waren<br />
bisher gar nicht an Fedora angepasst.<br />
Sie finden Informationen zu sämtlichen<br />
Neuerungen von Fedora in der<br />
Ankündigung û anlässlich der Veröffentlichung<br />
sowie in der Feature List û.<br />
Unter der Haube<br />
1 Vorbildblich: Fedora 19 liefert alle derzeit relevanten Desktops in einer jeweils<br />
aktuellen Version bereits als Installations-Option im Anaconda-Installer mit.<br />
Fedora 19 (installierbare Live-CDs)<br />
Desktop Edition, KDE Spin, LXDE Spin<br />
und XFCE Spin (32+64 Bit)<br />
bootfähig auf Heft-DVD<br />
Features für Administratoren<br />
Fedora 19 eignet sich als eine Art kostenlose<br />
RHEL-Preview mit aktueller Enterprise-<br />
Software und fortgeschrittenen Funktionen<br />
für den Betrieb auf dem Server oder im<br />
Rechenzentrum. So liefern die Entwickler<br />
neben den Standard-Komponenten von<br />
OpenStack-Grizzly die OpenStack-Projekte<br />
Heat und Ceilometer mit. Ferner beherrscht<br />
das System mit der Funktion<br />
Checkpoint & Restore die Live-Migration<br />
von Prozessen zwecks Lastverteilung. Erwähnenswert<br />
ist die Möglichkeit, virtuelle<br />
Maschinen ohne gemeinsamen Speicher<br />
zu verschieben. Das Init-System Systemd<br />
Option in der Auswahl der Software direkt<br />
bei der Installation bereitsteht. Dort<br />
finden Sie darüber hinaus den Gnome-<br />
Fork Cinnamon 1.9.1, KDE Plasma 4.10,<br />
XFCE oder LXDE 1 .<br />
Für das Installieren in einer virtuellen<br />
Maschine unter VirtualBox oder VMware<br />
sollten Sie keinesfalls Gnome mit oder<br />
ohne Klassik-Modus benutzen, da sich<br />
das Bedienen als Katastrophe erweist.<br />
Mit KDE und erst recht mit Maté, LXDE<br />
oder XFCE funktioniert Fedora 19 aber<br />
auf virtueller Hardware recht passabel.<br />
kommt in Version 204 zum Einsatz und<br />
wurde in zahlreichen Punkten verbessert.<br />
Es ermöglicht, die Einstellungen von Diensten<br />
ohne Neustart zu ändern. Allerdings<br />
erschien zwischenzeitlich bereits Sys temd<br />
205, sodass noch einmal umfangreiche<br />
Änderungen anfallen. Für Admins großer<br />
Umgebungen und Rechenzentren ist<br />
OpenLMI interessant, eine Infrastruktur<br />
zum Verwalten von Linux-Systemen. Darüber<br />
hinaus erweitern die „High Availability<br />
Container Resources“ die Hochverfügbarkeitslösung<br />
Corosync/Pacemaker um Container<br />
in virtuellen Maschinen.<br />
Fedoras Grafik-Stack nutzt als Vorgabe<br />
die Version 1.14.1 des X-Servers von<br />
X.org, Version 1.14.2 kommt mit dem<br />
ersten Update nach. Die Fedora-Entwickler<br />
liefern aber auch Wayland und Weston<br />
mit. Außerdem setzt Fedora 19 bei<br />
Mesa-3D auf einen Snapshot des Entwicklerzweiges,<br />
wodurch Sie in den Genuss<br />
der jeweils aktuellsten Versionen<br />
der quelloffenen Treiber kommen.<br />
So finden Sie den noch in keiner anderen<br />
Distribution integrierten OpenGL-<br />
Treiber radeonsi. Damit steht bisher einzig<br />
für Nutzer von Fedora 19 die 3D-Unterstützung<br />
von Radeon-Karten der Southern-Island-Generation<br />
durch Open-<br />
Source-Treiber bereit.<br />
Einzigartig unter den Distributionen<br />
ist darüber hinaus der Userland-Treiber<br />
für die Video-Beschleunigung auf Radeon-Chips,<br />
Unified Video Decoder (UVD),<br />
der allerdings erst mit einem Kernel 3.10<br />
funktioniert. Das Fedora-Team liefert<br />
„Schroedinger’s Cat“ noch mit dem Kernel<br />
3.9.x aus, Linux 3.10 steht aber bereits<br />
auf dem Plan û.<br />
Das Fedora-Projekt konzentriert sich<br />
ganz auf freie Software. Proprietäre Grafiktreiber<br />
fehlen nach der ersten Installation<br />
von Fedora; bei Bedarf installieren<br />
Sie diese aus dem RPM-Fusion-Repository<br />
nach. Das bietet neben dem aktuellen<br />
Nvidia-Treiber eine offizielle Beta-Version<br />
des proprietären AMD-Treibers.<br />
Als Standard-Büropaket bringt Fedora<br />
19 LibreOffice 4.1 mit. Als Default-<br />
Browser haben die Entwickler Firefox 21<br />
integriert, die Version 22 rutscht über die<br />
12 www.linux-user.de<br />
09.2013
Heft-DVD<br />
2 Firefox 22 kommt direkt nach der Installation von Fedora 19 mit dem ersten Update.<br />
Update-Funktion nach 2 . Ein Novum<br />
sind die mitgelieferten Tools für das Modellieren<br />
und den 3D-Druck, darunter<br />
RepetierHost, Open SCAD, Skeinforge,<br />
SFACT oder Printrun û.<br />
Mit seiner Aktualität macht Fedora 19<br />
als Plattform zum Entwickeln eine gute<br />
Figur und erfreut das Herz von Programmierern<br />
mit Node.js zum Erstellen von<br />
skalierbaren Netzwerkanwendungen.<br />
Daneben bringt es unter anderem Ruby<br />
in den Versionen 2.0.0 und 1.9.3 mit sowie<br />
die IDE Scratch zum Programmieren<br />
des Rasp berry Pi.<br />
Als ein absolutes No-Go für Einsteiger<br />
erweist sich allerdings der Installer Anaconda:<br />
An dem gibt es technisch zwar<br />
wenig auszusetzen, das Bedienkonzept<br />
gibt aber nach wie vor Rätsel auf. Insbesondere<br />
das Modul zum Partitionieren<br />
bringt selbst erfahrene Anwender an der<br />
einen oder anderen Stelle ins Grübeln.<br />
Das entspringt nur teilweise den holprigen<br />
Übersetzungen.<br />
Welchen Vorteil ein nicht linearer Ablauf<br />
der Installation gegenüber dem<br />
klassischen Vorgehen der meisten anderen<br />
Distributionen bringt, erschließt sich<br />
nicht. Möglicherweise spielen Vereinfachungen<br />
beim automatischen Deployment<br />
oder Optionen für Unternehmen<br />
eine Rolle. Für den Benutzer am Heim-<br />
PC wären diese aber unbedeutend.<br />
Die Geschwindigkeit der Installation<br />
hängt ohnehin nicht primär davon ab,<br />
wie schnell Sie sich durch die einzelnen<br />
Dialoge des Assistenten klicken, obwohl<br />
Anaconda es ermöglicht, das Kopieren<br />
der Dateien anzustoßen und dann parallel<br />
Benutzer anzulegen.<br />
Fazit<br />
Fedora gehört zu den wichtigen Distributionen<br />
und gilt technologisch zu Recht<br />
als Trendsetter. Im Gegensatz zu Ubuntu,<br />
das sich derzeit zunehmend ins Abseits<br />
manövriert, ist Fedora in Version 19 eine<br />
hervorragende, stabile und hochaktuelle<br />
Distribution für erfahrene Linux-Anwender.<br />
Im Gegensatz zu manch früherem<br />
Release erweist sich das System vom<br />
Start weg als voll funktionstüchtig.<br />
Der Ehrenrettung halber sei erwähnt,<br />
dass die komplizierte Installation im<br />
Idealfall nur ein Mal zu bewältigen ist.<br />
Erfahrene Nutzer dürften, insbesondere<br />
wenn ihnen Debian zu altbacken, Open-<br />
Suse zu „grün“, Mint zu „braun“ und<br />
Ubuntu zu eigen ist, an Fedora 19 ihre<br />
Freude haben. (agr) n<br />
Weitere Infos und<br />
interessante Links<br />
www. linux‐user. de/ qr/28416<br />
09.2013 www.linux-user.de<br />
13
Schwerpunkt<br />
Anonym <strong>surfen</strong><br />
Das Tor-Netzwerk verstehen und nutzen<br />
Scheibchenweise<br />
© Dionisio Dias Filho, 123RF<br />
Geheimdienste greifen Daten<br />
aus dem Internet ab. Für jeden,<br />
der seine Privatsphäre<br />
schützen möchte, ist Handeln<br />
angesagt. Tor hilft Ihnen<br />
dabei. Thomas Leichtenstern<br />
Readme<br />
Das Tor-Netzwerk bietet dank seines intelligenten<br />
Designs durch Onion-Routing ein<br />
Maximum an Sicherheit, die eigene Identität<br />
zu verschleiern. Übertragungsgeschwindigkeiten<br />
weit jenseits der 100 KByte/s sind<br />
inzwischen die Regel. Das Tor-Browser-<br />
Bundle erlaubt es auch technisch weniger<br />
versierten Anwendern, sich mithilfe des Tor-<br />
Netzwerkes zu schützen.<br />
Wer ohne Schutz im Internet surft, hinterlässt<br />
mehr Spuren, als ihm lieb ist.<br />
Dazu zählt die IP-Adresse, die eine relativ<br />
leichte Zuordnung zu einer Person erlaubt.<br />
Das nutzen nicht nur Ermittler<br />
beim Verfolgen von Straftätern und „Gefährdern“,<br />
sondern auch diverse Webprojekte<br />
und Tracker, die das Surfverhalten<br />
der Nutzer protokollieren, um die erhobenen<br />
Daten zu verkaufen. Davon lebt<br />
inzwischen eine ganze Industrie.<br />
Um der Datensammelei Einhalt zu gebieten,<br />
gilt es, die persönlichen Daten so<br />
weit als möglich zu verschleiern. Dabei<br />
leistet das Tor-Netzwerk û eine wertvolle<br />
Hilfe: Es besteht aus einem Sammelsurium<br />
verschiedener Rechner auf der ganzen<br />
Welt, über die der Datenverkehr verschlüsselt<br />
läuft.<br />
Wie funktioniert Tor<br />
Tor steht als Abkürzung für „The Onion<br />
Routing“ – ein Projekt, das ursprünglich<br />
von der US-Marine û initiiert und umgesetzt<br />
wurde, um die Kommunikation<br />
zwischen Behörden zu schützen.<br />
Im Kern funktioniert Tor folgendermaßen:<br />
Der Client bezieht beim Start von<br />
einem Verzeichnisserver eine Liste sogenannter<br />
Tor-Nodes als Knotenpunkte, an<br />
denen er sich anmeldet. Ruft der Client<br />
eine Seite auf, verbindet er sich via<br />
SOCKS mit einem sogenannten Entry<br />
Guard. Dieser reicht die Anfrage an einen<br />
zweiten Knoten weiter, der sie wiederum<br />
an einen dritten disponiert, den<br />
sogenannten Exit-Node. Aus Effizienzgründen<br />
entschieden die Tor-Entwickler,<br />
jeweils nur drei Knoten zur Verbindung<br />
zu verwenden 1 .<br />
Was die Kommunikation via Tor so<br />
sicher macht, ist die Tatsache, dass jeder<br />
Server durch das Verwenden verschiedener<br />
Verschlüsselungen nur einen Teil der<br />
Verbindungsdaten kennt. So weiß der<br />
Entry Guard nicht, welchen Host der Client<br />
erreichen möchte. Das weiß jeweils<br />
nur der Exit-Node, ohne jedoch die Identität<br />
des Clients zu kennen. Um die Verbindung<br />
aufzudecken, muss der Angreifer<br />
also die komplette Mix-Kaskade unter<br />
seine Kontrolle bringen. Da Tor aber<br />
nach zehn Minuten die Routen automa-<br />
14<br />
www.linux-user.de<br />
09.2013
Anonym <strong>surfen</strong><br />
Schwerpunkt<br />
Tor-Browser-Bundle<br />
LU/tor/<br />
1 Grundsätzlich funktioniert die Kommunikation über das Tor-Netzwerk folgendermaßen:<br />
Der Client versendet an den Entry Guard eine Anfrage, die dieser – ohne das Ziel zu<br />
kennen – verschlüsselt an einen Relay-Node weiterreicht. Dieser kennt weder die Quelle<br />
noch das Ziel der Anfrage und leitet sie lediglich an den Exit-Node weiter. Der Exit-Node<br />
wiederum kennt nur das Ziel der Anfrage, nicht jedoch deren Urheber. Da im Tor-Netzwerk<br />
keiner der Nodes über alle Daten verfügt, ist es für einen Angreifer oder eine Behörde<br />
schwierig, eine Datenverbindung komplett aufzudecken.<br />
tisch und zufällig wechselt, würde der<br />
Angreifer potenziell auch nur einen Teil<br />
der Kommunikation offenlegen können.<br />
Diese Architektur macht es selbst für die<br />
Geheimdienste nahezu unmöglich, die<br />
Verbindungsdaten eines bestimmten<br />
Rechners über einen längeren Zeitraum<br />
zu protokollieren.<br />
Hier grenzt sich Tor von anderen Anonymisierungsproxies<br />
ab: Diese verwenden<br />
in der Regel keine oder statische<br />
Serverkaskaden und gehören meist einem<br />
Unternehmen, das – je nach Serverstandort<br />
– dazu verpflichtet ist, die Verbindungen<br />
zu protokollieren. Entsprechend<br />
fällt es interessierten Behörden<br />
leichter, die Verbindung zu ihrem Ursprung<br />
zurückzuverfolgen.<br />
Die Kommunikation zwischen den<br />
Tor-Nodes und dem Client läuft vollständig<br />
verschlüsselt ab. Lediglich die Verbindung<br />
vom Exit-Node zum Ziel bleibt<br />
dabei unverschlüsselt, sofern der kontaktierte<br />
Server seinen Content nicht<br />
selbst (etwa via SSL) verschlüsselt auslie-<br />
fert. Tor unterstützt neben dem Webbrowsing<br />
auch andere Dienste, wie IRC,<br />
Instant Messaging, E-Mail und SSH. Um<br />
diese zu nutzen, muss der Client die Verbindung<br />
via SOCKS unterstützen.<br />
Tor nutzen<br />
Sowohl Ubuntu als auch OpenSuse stellen<br />
Tor in ihren eigenen Repositories zur<br />
Installation über den jeweiligen Paketmanager<br />
bereit. Sofern dort nicht die aktuelle<br />
Version 0.2.3.25 vorliegt, empfiehlt<br />
das Tor-Projekt die Installation aus den<br />
eigenen Quellen. Das spielt auch deswegen<br />
eine nicht unerhebliche Rolle, weil<br />
einige Tor-Knoten den Kontaktversuch<br />
älterer Versionen ablehnen.<br />
Nach der Installation lädt der Dienst<br />
automatisch. Manuell starten und stoppen<br />
Sie ihn mit den Kommandos sudo<br />
torctl [start|stop] beziehungsweise<br />
/etc/init.d/tor [start|stop]. Er bezieht<br />
seine Direktiven aus der Datei<br />
/ etc/tor/torrc. Eine Konfiguration ist<br />
SOCKS: Kurz für „Sockets“. Internetprotokoll<br />
(RFC1928), über das Anwendun gen protokollunabhängig<br />
und transparent die Dienste<br />
eines Proxy-Servers nutzen können.<br />
09.2013<br />
www.linux-user.de<br />
15
Schwerpunkt<br />
Anonym <strong>surfen</strong><br />
Tor-Browser-Bundle<br />
Das Tor-Projekt stellt neben den Einzelkomponenten<br />
das Tor-Browser-Bundle û<br />
zum Download bereit. Im Kern besteht es<br />
aus einer speziell angepassten Firefox-Version,<br />
derzeit in Version 17, die bereits Erweiterungen<br />
wie HTTPS-Everywhere,<br />
NoScript und den Tor-Button enthält. Ihm<br />
zur Seite steht das grafische Tor-Frontend<br />
Vidalia. Da das Bundle statisch kompiliert<br />
wurde, benötigt es keine Bibliotheken aus<br />
dem System und startet folglich auf allen<br />
Distributionen gleichermaßen. Da es sowohl<br />
die Konfigurationsdateien als auch<br />
den Cache im eigenen Verzeichnis ablegt,<br />
eignet sich das Paket auch als portable<br />
Version zum Mitführen, beispielsweise auf<br />
einem USB-Stick.<br />
Um es zu nutzen, entpacken Sie das<br />
Archiv und starten das enthaltene Skript<br />
start‐tor‐browser. Damit startet<br />
simultan Tor, Vidalia und der Browser, der<br />
direkt eine sichere Verbindung über das<br />
Tor-Netzwerk herstellt. Nach dem Schließen<br />
des Browsers löscht dieser automatisch<br />
sämtliche während der Session angefallenen<br />
Daten wie Verlauf und Cookies.<br />
Diese Kombination bietet sich nicht nur<br />
im Normalfall überflüssig, lohnt sich<br />
aber trotzdem, weil Sie so einige hilfreiche<br />
Zusatzfunktionen erhalten.<br />
Um das Tor-Netzwerk zu nutzen, müssen<br />
Sie den Webbrowser entsprechend<br />
konfigurieren. In Firefox tragen Sie zum<br />
Beispiel in den Netzwerk-Einstellungen<br />
unter SOCKS-Host die Adresse 127.0.0.1<br />
sowie den Port 9050 ein und aktivieren<br />
die Checkbox neben SOCKS v5.<br />
Erweiterte Einstellungen<br />
Half in der Vergangenheit das Firefox-<br />
Addon Tor-Button beim schnellen Umstellen<br />
auf die anonyme Verbindung,<br />
müssen Sie jetzt darauf verzichten. Laut<br />
dessen Entwickler Mike Perry ist dieser<br />
nämlich „ein sicherheitstechnischer Albtraum“<br />
û. Deswegen bietet ihn das Tor-<br />
Projekt nicht mehr als isoliertes Addon<br />
an, sondern nur noch im Paket mit dem<br />
Tor-Browser-Bundle (siehe Kasten Tor-<br />
Browser-Bundle).<br />
wegen ihrer unkomplizierten Handhabung<br />
an, sondern bietet auch ein weiteres<br />
Sicherheitsplus gegenüber dem Standardbrowser:<br />
Viele Webseiten fragen beim Besuch<br />
unter anderem die Konfiguration des<br />
Systems und die ID des Browsers ab. Des<br />
Weiteren protokollieren Seiten wie Facebook<br />
auch dann den Besuch von Websites,<br />
die ihre Plugins verwenden, wenn<br />
Sie sich bei Facebook abgemeldet haben<br />
û. Diese Risiken umgehen Sie mit<br />
dem Gebrauch des Bundles anstelle Ihres<br />
Standardbrowsers.<br />
Vornehmlich dient die Firefox-Erweiterung<br />
Tor-Button zum Umschalten zwischen normalem<br />
und gesichertem Netz. Daneben<br />
bietet sie aber weitere Funktionen an. Sie<br />
konfigurieren das Addon über einen Klick<br />
auf das Zwiebel-Symbol neben der Adressleiste<br />
und die Anwahl von Einstellungen<br />
aus dem Kontextmenü. Die Sicherheitseinstellungen<br />
erlauben es unter anderem,<br />
Plugins während der Tor-Sessions zu deaktivieren<br />
und automatisch generierte<br />
Suchvorschläge abzuschalten. Im Abschnitt<br />
Cookies geben Sie an, wie der Browser<br />
mit Cookies verfahren soll.<br />
Zwar bedarf der normale Betrieb von Tor<br />
keiner Änderung an der Konfiguration.<br />
Das ändert sich jedoch, wenn Sie die<br />
Möglichkeiten des Proxy-Servers ausreizen<br />
möchten.<br />
Bei Tor handelt es sich um ein Mitmachprojekt,<br />
das letztlich davon lebt,<br />
dass möglichst viele Anwender den Service<br />
auch anderen Tor-Nutzern anbieten.<br />
Das ist für den Betreiber zumindest so<br />
lange unkritisch, wie sein Rechner nicht<br />
als Exit-Node arbeitet. Dieser leitet wie<br />
erwähnt die Anfragen als letzte Instanz<br />
an den Zielserver weiter, der entsprechend<br />
die IP-Adresse des letzten Knoten<br />
im Log speichert. Wird der Zielserver<br />
also überwacht, fällt der Verdacht zunächst<br />
auf den Betreiber des Exit-Nodes.<br />
Zwar kennt man bislang keine Fälle, in<br />
denen der Betrieb eines Exit-Nodes zu<br />
einer juristischen Sanktion geführt hätte,<br />
erhebliche Scherereien sind aber dennoch<br />
nicht ausgeschlossen.<br />
Das schließt jedoch nicht aus, sich<br />
trotzdem am Projekt zu beteiligen: Tor<br />
bietet auch die Möglichkeit, den Server<br />
so zu konfigurieren, dass er nicht oder<br />
nur zum Teil als letzter Knoten arbeitet.<br />
Einige Zeilen in der Tor-Konfigurationsdatei<br />
/etc/tor/torrc machen den<br />
Daemon zum Teil des Tor-Netzwerkes,<br />
ohne dass er als letzter Knoten arbeitet.<br />
Mit den Einstellungen aus Listing 1<br />
lauscht der Dienst auf Port 9001, bietet<br />
eine maximale Durchschnittsbandbreite<br />
von 100 KByte/s und weist sämtliche Anfragen,<br />
die nicht von anderen Tor-Servern<br />
kommen, zurück. Betreiben Sie den<br />
Server hinter einem Router, müssen Sie<br />
dort den Port, auf dem Tor auf eingehende<br />
Verbindungen lauscht (im Beispiel<br />
9001), auf den Host weiterleiten.<br />
Beachten Sie, dass die oben angeführte<br />
Exit-Policy-Restriktion lediglich beim<br />
Zugriff aufs öffentliche Internet greift.<br />
Listing 1<br />
ORPort 9001<br />
Nickname MeinTorproxy<br />
RelayBandwidthRate 100 KB<br />
RelayBandwidthBurst 200 KB<br />
ExitPolicy reject *:*<br />
16 www.linux-user.de<br />
09.2013
Anonym <strong>surfen</strong><br />
Schwerpunkt<br />
Den direkten Zugriff auf sogenannte<br />
Hidden Services ermöglichen dagegen<br />
auch normale Relay-Hosts. Wie Sie selbst<br />
einen solchen Hidden Service aufsetzen,<br />
verrät der Kasten Versteckspiel.<br />
Die Tor-Konfiguration bietet aber auch<br />
noch diverse andere Möglichkeiten, auf<br />
das Verhalten des Dienstes einzuwirken.<br />
Möchten Sie ihn zum Beispiel auch aus<br />
dem lokalen Netz erreichen, ergänzen<br />
Sie die Konfiguration um den Eintrag<br />
SocksBindAddress IP‐Adresse:Port,<br />
etwa SocksBindAddress<br />
192.168.1.125:4712.<br />
Da Tor wie beschrieben alle zehn<br />
Minuten zufällig die Routen wechselt,<br />
kommt es durchaus vor, dass sich in der<br />
Kaskade ein langsamer Knoten befindet,<br />
der die Übertragungsgeschwindigkeit<br />
ausbremst. Dem wirken Sie entgegen,<br />
indem Sie hinter den Direktiven Entry‐<br />
Nodes und ExitNodes die von Ihnen bevorzugten<br />
Server eintragen:<br />
ExitNodes Server1,Server2,...<br />
Tor-Konfigurationsdatei ~/.vidalia/<br />
torrc erzeugt und nutzt. Eventuelle<br />
Anpassungen an der ursprünglichen<br />
Steuer datei /etc/tor/torrc ignoriert<br />
das Tool also vollständig.<br />
Zum Start von Tor genügt es, in Vidalias<br />
Kontrollpanel den Schalter Tor starten<br />
2 Die grafische Oberfläche Vidalia erleichtert das<br />
Einrichten sowie An- und Abschalten von Tor.<br />
Möchten Sie die ausschließlich die<br />
bevorzugten Server verwenden, teilen<br />
Sie das Tor über die Direktiven<br />
StrictEntryNodes 1 und StrictExit‐<br />
Nodes 1 mit. Hierbei gilt es aber zu beachten,<br />
dass diese Reduzierung der<br />
Nodes auch eine Reduzierung der Anonymität<br />
mit sich bringt. Um beispielsweise<br />
das Nutzen von in den USA betriebenen<br />
Node-Servern auszuschließen,<br />
verwenden Sie die Anweisung Exclude‐<br />
Nodes, gefolgt von den durch Kommas<br />
getrennten Servernamen. Eine Liste aller<br />
zur Verfügung stehender Direktiven erhalten<br />
Sie mit dem Kommandozeilenaufruf<br />
tor ‐‐list‐torrc‐options. Die<br />
Manpage erklärt diese im Detail.<br />
Vidalia<br />
Eine grafische Oberfläche zur Konfiguration<br />
von Tor bietet Vidalia 2 , das Sie<br />
über den Paketmanager Ihrer Distribution<br />
einrichten. Bereits während der Installation<br />
fragt die Software ab, ob sie<br />
temporär oder dauerhaft für den Zustand<br />
von Tor zuständig zeichnen soll.<br />
Beachten Sie, dass Vidalia û eine eigene<br />
Da das Tor-Netzwerk die Namensauflösung<br />
übernimmt, kann es auch Domain-<br />
Namen auflösen, die es im „normalen“ Internet<br />
nicht gibt. Tor nutzt dazu die interne<br />
TLD *.onion, um sogenannte Hidden<br />
Services anzusteuern, die Sie ausschließlich<br />
über das Tor-Netzwerk erreichen.<br />
Diese bestehen in der Regel aus ganz normalen<br />
Webseiten. Von diesen unterscheiden<br />
sie sich aber grundlegend durch die<br />
Tatsache, dass analog zum Surfen über Tor<br />
sowohl der Webseitenbetreiber als auch<br />
der Webserver für den Zugreifenden unbekannt<br />
bleibt.<br />
Um selbst einen Hidden Service anzubieten,<br />
brauchen Sie einen Webserver, der<br />
die zu veröffentlichenden Daten via HTTP<br />
bereitstellt. Handelt es sich um statischen<br />
Content, genügt normalerweise ein<br />
schlanker Server wie Thttpd û. Sie starten<br />
ihn auf der Kommandozeile mit dem<br />
Befehl:<br />
# thttpd ‐r /WWW‐Verzeichnis/ ‐pU<br />
4711 ‐h 127.0.0.1<br />
Die darauf aufbauende Grundkonfiguration<br />
von Tor beschränkt sich auf folgende<br />
zusätzliche Einträge in /etc/tor/torrc:<br />
Versteckspiel<br />
HiddenServiceDir WWW‐Verzeichnis<br />
HiddenServicePort 80 127.0.0.1:4U<br />
711<br />
Während die erste Direktive den Pfad zum<br />
Verzeichnis angibt, in dem sich die Webseite<br />
befindet, beschreibt die zweite die<br />
Netzwerkadresse. Ausgehend von diesem<br />
Beispiel lauscht Tor danach auch auf<br />
Port 80, der Webserver nimmt Anfragen<br />
über den Localhost auf Port 4711 entgegen.<br />
Das Port-Mapping von 80 auf 4711<br />
übernimmt Tor selbst. Ein Port-Forwarding<br />
auf dem Router entfällt, da sämtliche Anfragen<br />
über den Tor-Tunnel laufen.<br />
Nach dem Speichern der Konfiguration<br />
aktiviert ein Neustart des Tor-Dienstes die<br />
Änderungen. Es legt dabei im WWW-Verzeichnis<br />
zwei Dateien an: Die eine nennt<br />
sich hostname und enthält den Namen<br />
des Rechners, mit dem andere Nutzer den<br />
Hidden Service erreichen. Dieser besteht<br />
aus einem zufällig generierten Hash, gefolgt<br />
von der TLD .onion, etwa zejzzf7bnbf5h7zc.onion.<br />
Die zweite Datei<br />
heißt private_key und enthält den<br />
Schlüssel, mit dem sich der Dienst gegenüber<br />
Tor authentifiziert.<br />
09.2013 www.linux-user.de<br />
17
Schwerpunkt<br />
Anonym <strong>surfen</strong><br />
anzuklicken. Der Schalter Bandbreitengraph<br />
öffnet ein kleines Fenster, das den<br />
jeweils anliegenden Datendurchsatz anzeigt.<br />
Aussagekräftiger gibt sich der Dialog<br />
Netzwerk betrachten: Er zeigt in einer<br />
Grafik, über welche Tor-Hops die aktuelle<br />
Verbindung läuft 3 . Die linke Spalte listet<br />
sämtliche bekannten Server auf, die<br />
Tabelle Verbindungen alle, mit denen der<br />
Tor-Client in Verbindung steht. Ein Klick<br />
auf einen der Einträge zeigt Details zum<br />
jeweiligen Host rechts daneben. Ein<br />
Rechtsklick auf den Eintrag öffnet das<br />
Dialogfeld Kanal schließen, mit dem Sie<br />
die zugehörige Verbindung trennen.<br />
Diese Ansicht eröffnet Ihnen auch<br />
eine einfache Möglichkeit, bestimmte<br />
Hosts wie beschrieben ein- oder auszuschließen.<br />
Um mehrere auszuwählen, klicken<br />
Sie mit der linken Maustaste bei<br />
gedrücktem [Strg] auf die gewünschten<br />
Einträge. Nach Abschluss der Auswahl<br />
rechtsklicken Sie auf den letzten und<br />
wählen aus dem Kontextmenü Kopieren |<br />
Spitzname. Vidalia kopiert die Namen<br />
dann kommasepariert so, dass Sie sie<br />
lediglich hinter die entsprechenden Anweisungen<br />
in der Steuerdatei kopieren<br />
müssen, etwa ExcludeNodes.<br />
Aktiver Content<br />
Die Konfiguration von Tor erreichen Sie<br />
in der Rubrik Einstellungen. Unter dem<br />
Punkt Hilfe finden Sie eine umfassende<br />
Beschreibung zu den meisten Einstellmöglichkeiten.<br />
In der Rubrik Fortgeschritten<br />
finden Sie außerdem den Schalter<br />
Bearbeite aktuellen torrc. Ein Klick darauf<br />
öffnet die momentan verwendete<br />
Konfigurationsdatei in einem Editor. Hier<br />
tragen Sie beispielsweise die genannten<br />
ExcludeNodes ein. Der Abschnitt Tor<br />
Konfigurationsdatei ermöglicht es Ihnen,<br />
ein anderes Setup als das aktuelle zu<br />
verwenden.<br />
3 Über das Modul Netzwerk betrachten von Vidalia erfahren Sie zum einen, mit welchen Servern der Rechner derzeit<br />
verbunden ist, und zum anderen, welche Wege die Daten auf ihrer Reise durch das Netzwerk nehmen. Suchen Sie Kandidaten<br />
für die Ausschlussliste, und kopieren Sie die Spitznamen über das Frontend.<br />
18 www.linux-user.de<br />
09.2013
Anonym <strong>surfen</strong><br />
Schwerpunkt<br />
Tor zeichnet lediglich für die Übertragung<br />
der Daten verantwortlich, nicht jedoch<br />
für die Sicherheit der Inhalte. Soll<br />
heißen: Auch wenn Sie Tor zum Übertragen<br />
der Daten nutzen, ist es durchaus<br />
möglich, beispielsweise über Flash, Cookies<br />
oder Javascript die wahre Identität<br />
des Clients offenzulegen. Hier gilt es,<br />
jenseits von Tor entsprechende Sicherheitsvorkehrungen<br />
zu treffen.<br />
Als derzeit probatestes Mittel dazu gilt<br />
der Content-Filter Privoxy û. Er steht in<br />
den Repositories aller größeren Distributionen<br />
zum Download bereit, sodass Sie<br />
ihn meist bequem über den Paketmanager<br />
installieren. Sie starten den Filter-<br />
Proxy via /etc/init.d/privoxyd start.<br />
Um Privoxy zusammen mit Tor zu nutzen,<br />
öffnen Sie zunächst mit Root-Rechten<br />
die Datei /etc/privoxy/config in einem<br />
Texteditor. Damit Privoxy die empfangenen<br />
Daten weiterreicht, fügen Sie<br />
darin am Anfang folgende Zeile hinzu:<br />
forward‐socks4a / localhost:9050<br />
4 Nach erfolgreichem Setup erscheint im Browser nach der Eingabe von http://g.g<br />
die Startseite von Privoxy, über die Sie den Dienst bei Bedarf einrichten.<br />
Ein Neustart mittels /etc/init.d/privoxyd<br />
restart übernimmt die Änderungen.<br />
Stellen Sie abschließend die Adresse<br />
127.0.0.1:8118 im Browser ein und aktivieren<br />
Sie die Checkbox Für alle Protokolle<br />
diesen Proxy-Server verwenden. Bei<br />
Erfolg öffnet die URL http://p.p 4 die<br />
Übersichtsseite von Privoxy. Ob Tor<br />
ebenfalls in der Kaskade läuft, erfahren<br />
Sie mit dem Aufruf von https:// check.<br />
torproject. com.<br />
Galt Tor noch vor wenigen Jahren aufgrund<br />
seiner niedrigen Transferraten als<br />
weitgehend unbenutzbar, hat sich das<br />
Bild deutlich gewandelt. Im Test lag der<br />
durchschnittliche Datendurchsatz bei<br />
durchgängig über 100 KByte/s, was zum<br />
Surfen ausreicht, bei Downloads aber<br />
die Geduld strapaziert. Allerdings ist das<br />
Tor-Netzwerk für solche Anwendungsfälle<br />
nicht vorgesehen. (tle) n<br />
Weitere Infos und<br />
interessante Links<br />
www. linux‐user. de/ qr/ 30042<br />
Fazit<br />
Das Projekt Tor bietet sicherlich kein Patentrezept<br />
für sicheres Surfen, stellt jedoch<br />
Schnüfflern und Angreifern sehr<br />
hohe Hürden in den Weg. Da das System<br />
dezentral arbeitet, ist es wesentlich widerstandsfähiger<br />
gegen An- und Übergriffe<br />
als andere, kommerzielle Anonymisierungsdienste.<br />
Darüber hinaus bietet<br />
das Design des Onion-Routing im<br />
Moment das sicherste Mittel, das Netz<br />
anonym zu nutzen: Das Prinzip zu kompromittieren,<br />
setzt einen erheblichen<br />
Aufwand voraus, der selbst dann nicht<br />
zwangsläufig von Erfolg gekrönt ist.<br />
Verlosung<br />
Wer mehr über das Thema Privacy erfahren<br />
möchte, dem legen wir das Buch<br />
„Anonym im Netz“ (http://<br />
www. opensourcepress. de/<br />
anonymimnetz) von Open<br />
Source Press ans Herz. In<br />
diesem Werk erfahren Sie,<br />
welche frei verfügbaren<br />
Lösungen zum Schutz Ihrer<br />
Privatsphäre es gibt<br />
und wie Sie diese am<br />
effektivsten einsetzen.<br />
Fünf dieser Bücher hat uns<br />
der Verlag freundlicherweise<br />
für eine Verlosung zur Verfügung<br />
gestellt. Möchten Sie ein Exemplar der lesenswerten<br />
Lektüre gewinnen,<br />
dann beantworten Sie<br />
uns einfach die folgende<br />
Frage: Wofür steht die Abkürzung<br />
„Tor“?<br />
Senden Sie Ihre Antwort<br />
bis zum 15.09.2013 per<br />
E-Mail unter dem Betreff<br />
Anonym im Netz an<br />
redaktion@linux‐user.<br />
de. Der Rechtsweg ist ausgeschlossen.<br />
09.2013 www.linux-user.de<br />
19
Schwerpunkt<br />
Onion Pi<br />
© Adam Vilimek, 123rf<br />
Raspberry Pi als Tor-Proxy nutzen<br />
Tor zur Welt<br />
Wer nicht nur die Kommunikation seines Browsers via Tor schützen möchte, sondern seinen<br />
gesamten Internetdatenverkehr, der kommt um einen externen Proxy-Server nicht herum.<br />
Der Minirechner Raspberry Pi bietet eine kostengünstige Lösung dafür.<br />
Valentin Höbel, Thomas Leichtenstern<br />
Wer einen Tor-Proxy lokal betreibt, der<br />
muss alle Applikationen entsprechend<br />
konfigurieren, die den Dienst nutzen<br />
sollen. Darüber hinaus muss die Anwendung<br />
zwingend via SOCKS kommunizieren<br />
können. Möchten Sie aber Ihren<br />
kompletten Internetdatenverkehr über<br />
das Tor-Netzwerk leiten, hilft nur ein externer<br />
Router. Der Raspberry Pi 1 stellt<br />
dafür die ideale, weil günstige und stromsparende<br />
Hardware-Basis dar. Bekannt<br />
wurde das Projekt unter dem Namen<br />
Onion Pi û. Allerdings sollten Sie sich<br />
auch als Tor-Nutzer nicht zu sehr in<br />
Readme<br />
Das Projekt Tor bietet Ihnen die Möglichkeit, Ihre IP-Adresse und<br />
damit den wichtigsten Anhaltspunkt für Ihre Identität im Netz zu<br />
verschleiern. Lokal installiert, muss dafür aber jede Client-Anwendung<br />
mehr oder weniger umständlich mit Tor verbunden werden.<br />
Einfacher geht es mit einem Tor-Proxy auf einem eigenen Rechner:<br />
Hier genügt es, sich wie im vorliegenden Beispiel via Onion Pi mit<br />
dem entsprechenden WLAN zu verbinden.<br />
Listing 1<br />
subnet 192.168.42.0 netmask 255.255.255.0 {<br />
range 192.168.42.10 192.168.42.50;<br />
option broadcast‐address 192.168.42.255;<br />
option routers 192.168.42.1;<br />
default‐lease‐time 600;<br />
max‐lease‐time 7200;<br />
option domain‐name "local";<br />
option domain‐name‐servers 8.8.8.8, 8.8.8.4;<br />
}<br />
20 www.linux-user.de<br />
09.2013
Onion Pi<br />
Schwerpunkt<br />
1 Der Raspberry Pi, kaum größer als eine Zigarettenschachtel, wickelt bei richtiger Konfiguration<br />
Ihren kompletten Internetverkehr anonymisiert ab.<br />
Sicherheit wiegen: Das Verschleiern der<br />
IP-Adresse ist nur die halbe Miete und<br />
kann Ihre Identität nicht alleine verbergen<br />
(siehe Kasten Die Grenzen von Tor).<br />
Auf los geht’s los<br />
reits eine IP-Adresse, deaktivieren Sie es<br />
mit ifdown wlan0. Als nächsten Schritt<br />
installieren Sie als Root mit dem Befehl<br />
# apt‐get update && apt‐get instaU<br />
ll hostapd isc‐dhcp‐server tor<br />
die benötigten Software-Komponenten.<br />
Rufen Sie danach mit nano /etc/dhcp/<br />
dhcpd.conf die Konfigurationsdatei des<br />
DHCP-Servers auf, und kommentieren<br />
Sie als Erstes mit einer vorangestellten<br />
Raute (#) folgende Zeilen aus:<br />
# option domain‐name "example.org";<br />
# option domain‐name‐servers ns1.U<br />
example.org, ns2.example.org;<br />
Danach entfernen Sie das Kommentarzeichen<br />
vor der Anweisung authorita‐<br />
Diese Beschreibung zum Einrichten von<br />
Onion Pi setzt ein eingerichtetes Image,<br />
etwa Raspian û, auf der SD-Karte des<br />
RasPi voraus. Sämtliche im Artikel aufgeführten<br />
Eingaben und Änderungen erfordern<br />
Root-Rechte. Darüber hinaus benötigen<br />
Sie ein Netzwerkkabel sowie<br />
einen WLAN-Stick.<br />
Zunächst gilt es, den Raspberry als<br />
Access Point und DHCP-Server zu konfigurieren.<br />
Prüfen Sie zunächst mit dem Befehl<br />
ipconfig ‐a, ob das Interface wlan<br />
0 vorhanden ist. Besitzt das Interface betive;.<br />
An das Ende der Datei hängen<br />
Sie den in Listing 1 gezeigten Konfigurationsblock<br />
an. Das Subnetz passen Sie<br />
dabei nach den eigenen Wünschen an.<br />
Mit [Strg]+[O] speichern Sie die Änderungen,<br />
mit [Strg]+[X] verlassen Sie anschließend<br />
den Editor.<br />
In der Datei /etc/default/isc‐dhcpserver<br />
teilen Sie dem Server in der<br />
Direktive INTERFACES= mit, über welche<br />
Schnittstelle er künftig IP-Adressen ver-<br />
Listing 2<br />
iface lo inet loopback<br />
iface eth0 inet dhcp<br />
allow‐hotplug wlan0<br />
iface wlan0 inet static<br />
address 192.168.42.1<br />
netmask 255.255.255.0<br />
Die Grenzen von Tor<br />
Wer Tor nutzt, sollte sich nicht per se in der Sicherheit wiegen, anonym<br />
im Netz zu <strong>surfen</strong>. Hier gilt es, einige Aspekte zu beachten. Aktive<br />
Skripte wie Flash, Javascript aber auch Java sind durchaus in der<br />
Lage, die Identität des Surfers offenzulegen.<br />
Browser-Plugins wie Amazons „1Button App“ tracken darüber hinaus<br />
jeden Seitenaufruf und schicken sogar die Sucheingaben zu<br />
Servern û. Ähnlich verhält es sich mit Cookies, die Aufschluss über<br />
die besuchten Seiten geben. Melden Sie sich bei Diensten wie<br />
Google, Facebook, Twitter und Konsorten an, hebelt das die Tor-<br />
Anonymität naturgemäß komplett aus. Entsprechend gilt es, auch<br />
den Browser mit den richtigen Plugins und Einstellungen zu härten,<br />
um auch hier auf der sicheren Seite zu stehen.<br />
Einen weiteren, gerne übersehenen Aspekt stellen Bad-Exit-Nodes<br />
dar. Generell stellen Exit-Nodes die letzte Instanz in der Mix-Kaskade<br />
dar und übertragen, sofern die aufgerufene Seite nicht selbst SSL<br />
verschlüsselt, die Daten im Klartext. Für Betreiber von Exit-Nodes –<br />
die jeder anbieten kann – ist es damit ein Leichtes, aus dem Datenstrom<br />
Login-Daten oder potenziell sensible Dokumente abzufischen.<br />
Dagegen schützen Sie sich, indem Sie nur vertrauenswürdige Exit-<br />
Nodes verwenden, etwa solche des Chaos Computer Clubs û.<br />
09.2013 www.linux-user.de<br />
21
Schwerpunkt<br />
Onion Pi<br />
Listing 3<br />
interface=wlan0<br />
driver=rtl871xdrv<br />
ssid=OnionPi<br />
hw_mode=g<br />
channel=6<br />
macaddr_acl=0<br />
auth_algs=1<br />
ignore_broadcast_ssid=0<br />
wpa=2<br />
wpa_passphrase=Passwort<br />
wpa_key_mgmt=WPA‐PSK<br />
wpa_pairwise=TKIP<br />
rsn_pairwise=CCMP<br />
Listing 4<br />
# wget http://www.adafruit.com/<br />
downloads/adafruit_hostapd.zip<br />
# unzip adafruit_hostapd.zip<br />
# mv /usr/sbin/hostapd /usr/sbin/<br />
hostapd.ORIG<br />
# mv hostapd /usr/sbin<br />
# chmod 755 /usr/sbin/hostapd<br />
gibt. Für das vorliegende Szenario tragen<br />
Sie den Wert wlan0 ein. Weisen Sie<br />
danach dem Interface wlan0 in der Datei<br />
/etc/network/interfaces eine statische<br />
IP-Adresse zu (Listing 2).<br />
Der Aufruf ifup wlan0 nimmt das<br />
WLAN-Interface in Betrieb. Damit der<br />
Onion Pi als Access Point arbeitet, gilt es,<br />
den Dienst zunächst in der Datei /etc/<br />
hostapd/hostapd.conf zu konfigurieren<br />
(Listing 3). An dieser Stelle empfiehlt es<br />
sich, zumindest den Wert für wpa_passphrase<br />
anzupassen: Dieses Kennwort<br />
dient später zum Login ins WLAN.<br />
Damit Upstart den Daemon automatisch<br />
lädt, tragen Sie in der Konfigurationsdatei<br />
/etc/default/hostapd den<br />
Wert DAEMON_CONF="/etc/hostapd/<br />
hostapd.conf" ein.<br />
Aus Kompatibilitätsgründen mit aktuellen<br />
WLAN-Sticks empfehlen die Entwickler<br />
von Onion Pi zusätzlich ein Update<br />
von Hostapd (Listing 4). Nach dem<br />
Aktualisieren der Access-Point-Software<br />
nehmen Sie die beiden Komponenten<br />
Listing 6<br />
Log notice file /var/log/tor/<br />
notices.log<br />
VirtualAddrNetwork 10.192.0.0/10<br />
AutomapHostsSuffixes .onion,.exit<br />
AutomapHostsOnResolve 1<br />
TransPort 9040<br />
TransListenAddress 192.168.42.1<br />
DNSPort 53<br />
DNSListenAddress 192.168.42.1<br />
Listing 7<br />
# touch /var/log/tor/notices.log<br />
# chown debian‐tor /var/log/tor/<br />
notices.log<br />
# chmod 644 /var/log/tor/notices.<br />
log<br />
mit den Aufrufen service hostapd<br />
start und service isc‐dhcp‐server<br />
start in Betrieb. Damit sie bei folgenden<br />
Systemstarts automatisch wieder laden,<br />
tippen Sie noch die beiden Kommandos<br />
update‐rc.d isc‐dhcp‐server enable<br />
so wie update‐rc.d hostapd enable ein.<br />
Umleitung<br />
Die Kommunikation zwischen dem<br />
WLAN-Subnetz und Tor erfordert einige<br />
Anpassungen der Netzwerkkonfiguration.<br />
Im ersten Schritt öffnen Sie die<br />
Datei /etc/sysctl.conf und hängen an<br />
deren Ende die Anweisung net.ipv4.<br />
ip_forward=1 an. Das Kommando<br />
sysctl ‐p aktiviert die Änderung.<br />
Nun gilt es, die Iptables-Regeln anzupassen<br />
û. Bereits vorhandene löschen<br />
Sie zunächst mit den Aufrufen iptables<br />
‐F und iptables ‐t nat ‐F. Danach aktivieren<br />
Sie die wichtigsten Regeln neu<br />
(Listing 5). Um die Konfiguration zu speichern,<br />
tippen Sie:<br />
# sh ‐c iptables‐save > /etc/iptaU<br />
bles.ipv4.nat<br />
Damit das System die Regeln beim<br />
nächsten Reboot wieder einliest, öffnen<br />
Sie die Datei /etc/network/interfaces<br />
und ergänzen diese nach einer Leerzeile<br />
um den Eintrag up iptables‐restore <<br />
/etc/iptables.ipv4.nat<br />
Tor einrichten<br />
Die Konfigurationsdaten von Tor enthält<br />
die Datei /etc/tor/torrc. Hier fügen Sie<br />
direkt nach der Zeile ## https://www.<br />
torproject.org/docs/faq#torrc die<br />
Passage aus Listing 6 ein. Damit Tor wie<br />
Der Autor<br />
Listing 5<br />
iptables ‐t nat ‐A PREROUTING ‐i wlan0 ‐p tcp ‐‐dport 22 ‐j REDIRECT<br />
‐‐to‐ports 22<br />
iptables ‐t nat ‐A PREROUTING ‐i wlan0 ‐p udp ‐‐dport 53 ‐j REDIRECT<br />
‐‐to‐ports 53<br />
iptables ‐t nat ‐A PREROUTING ‐i wlan0 ‐p tcp ‐‐syn ‐j REDIRECT<br />
‐‐to‐ports 9040<br />
Valentin Höbel arbeitet bei<br />
der Linux Information Systems<br />
AG als Technischer<br />
Projektleiter. Wenn er dort nicht gerade<br />
Kunden von Linux überzeugt, beschäftigt<br />
er sich in seiner Freizeit mit Kickern, seinem<br />
freien Lieblingsbetriebssystem und<br />
dem Raspberry Pi.<br />
22 www.linux-user.de<br />
09.2013
Onion Pi<br />
Schwerpunkt<br />
dort angegeben seine Meldungen in der<br />
Datei notices.log protokollieren kann,<br />
gilt es, diese erst einmal anzulegen und<br />
mit den notwendigen Rechten zu versehen<br />
(Listing 7). Abschließend starten Sie<br />
Tor mit dem Aufruf service tor start.<br />
Damit auch dieser Dienst nach dem Reboot<br />
automatisch startet, tippen Sie<br />
update‐rc.d tor enable ein.<br />
Um Tor zu nutzen, müssen Sie sich zukünftig<br />
nur noch mit dem gewünschten<br />
Device am neuen WLAN einloggen. Ob<br />
das Konstrukt wie gewünscht funktioniert,<br />
zeigt ein Aufruf der Seite https://<br />
check. torproject. org 2 . Im Erfolgsfall<br />
erscheint die Meldung Congratulations.<br />
Your browser is configured to use Tor.<br />
Fazit<br />
Onion Pi ermöglicht Ihnen den transparenten<br />
Betrieb eines Tor-Servers und damit<br />
das Anonymisieren des wichtigsten<br />
Identifikationsmerkmals, sprich: der IP-<br />
2 Sofern alle Einstellungen an Ihrem Onion Pi stimmen, erscheint im Browser beim<br />
Aufruf von https:// check. torproject. org diese Bestätigungsmeldung.<br />
Adresse. Das lästige Konfigurieren von<br />
Client-Anwendungen gehört damit der<br />
Vergangenheit an: Anders als ein lokal<br />
betriebener Tor-Proxy anonymisiert dieses<br />
Konstrukt nicht nur den Datenstrom<br />
einiger Anwendungen, sondern den gesamten<br />
Datenverkehr. (tle) n<br />
Weitere Infos und<br />
interessante Links<br />
www. linux‐user. de/ qr/ 30204<br />
09.2013 www.linux-user.de<br />
23
Schwerpunkt<br />
Tails<br />
Anonym und sicher <strong>surfen</strong> mit Tails<br />
Schutzschicht<br />
Benötigen Sie eine anonyme Verbindung ins Netz, ist Tails 0.19<br />
genau das Richtige für Sie: Das Live-System verschleiert beim Surfen<br />
und Mailen sämtliche Spuren im Netz. Thomas Drilling<br />
© DoortenJ, sxc.hu<br />
Readme<br />
Das auf Debian basierende Live-System<br />
Tails leitet sämtliche Internetverbindungen<br />
durch das Tor-Netzwerk und hinterlässt<br />
zusätzlich keine Spuren auf dem Host-PC.<br />
Beide Techniken ermöglichen es, sich anonym<br />
und geschützt im Netz zu bewegen.<br />
The Amnesic Incognito Live System,<br />
kurz: Tails, ist in erster Linie als System<br />
konzipiert, um sich auf einfache Weise<br />
anonym im Internet zu bewegen û.<br />
Dazu brennen Sie Tails auf eine DVD<br />
oder installieren es auf einen USB-Stick,<br />
booten es und genießen so beim Surfen<br />
den Schutz der Privatsphäre sowie die<br />
bestmögliche Anonymität. Tails nutzt<br />
grundsätzlich bei allen Verbindungen<br />
ins Internet das Tor-Netzwerk û, dazu<br />
brauchen Sie nichts zu konfigurieren.<br />
Bluetooth oder WLAN stehen für das<br />
Verbinden in lokale Netze bereit.<br />
Damit bietet sich Tails insbesondere<br />
für den mobilen Einsatz auf fremden PCs<br />
an, etwa am Firmen-Rechner oder im<br />
Internetcafé. Die Distribution hinterlässt<br />
auf dem Host-System keine Spuren – es<br />
sei denn, Sie stimmen dem Speichern<br />
von Daten ausdrücklich zu. Ferner nutzt<br />
das System zum Verschlüsseln von<br />
Dateien und E-Mails Kryptographie auf<br />
dem aktuellen Stand der Technik.<br />
Verfügen Sie nicht über die DVD-Edition<br />
dieser Ausgabe, dann laden Sie die<br />
brandneue Version 0.19 von Tails als<br />
Datenträger-Abbild von der Projektseite<br />
herunter. Dort finden Sie eine detaillierte<br />
Benutzer-Dokumentation û. Nutzern<br />
der Vorgängerversion rät das Tails-Team,<br />
schnellstmöglich auf die neue Version<br />
0.19 zu aktualisieren, die den aktuellen<br />
Kernel 3.9.5-1, Iceweasel 17.0.7 sowie die<br />
neuesten Versionen von live‐boot und<br />
live‐config mitbringt.<br />
Laut Ankündigung haben die Entwickler<br />
in der Release 0.19 verschiedene Fehler<br />
der Vorgängerversion ausgebügelt<br />
und eine Reihe neuer Lokalisierungen<br />
24 www.linux-user.de<br />
09.2013
Tails<br />
Schwerpunkt<br />
Tails Linux 0.19<br />
bootfähig auf Heft-DVD<br />
1 Weitere Boot-Optionen erschließen unter anderem den Tarnmodus, in dem das System<br />
sich optisch als Windows XP ausgibt.<br />
hinzugefügt. Starten Sie Tails von einem<br />
USB-Stick, richtet es den permanenten<br />
Speicherplatz in der neuen Version 0.19<br />
standardmäßig mit Ext4 ein.<br />
Gut getarnt<br />
Besonders interessant ist der Windows-<br />
XP-Tarnmodus von Tails, den Sie bei Be-<br />
darf beim Booten des Live-Systems per<br />
Option einschalten. Klicken Sie dazu im<br />
Bootmenü bei Weitere Optionen auf Ja.<br />
Die deutsche Sprache und deutsche Tastaturbelegung<br />
stellen Sie unten in der<br />
Fußzeile ein 1 . Mit einem Klick auf Vorwärts<br />
gelangen Sie zum Dialog Willkommen<br />
zu Tails, in dem Sie ein Passwort für<br />
den Root-Account festlegen. Hier finden<br />
2 Im Tarnmodus gibt sich das Live-System Tails zwar als Windows XP aus, bringt aber<br />
ausschließlich etablierte und Linux-Tools mit, um die Aufgaben zu erledigen.<br />
Sie die Option Aktiviere Microsoft Windows<br />
XP Tarnung. Mit dem Tarnmodus<br />
präsentiert sich der Tails-Desktop als<br />
täuschend echter Nachbau der Windows-XP-GUI,<br />
inklusive Startmenü, das<br />
auf eine gut abgestimmte Auswahl an<br />
Linux-Tools verweist 2 . Darunter finden<br />
sich OpenOffice als Büro-Suite, Gimp<br />
und Scribus im Bereich Grafik, Iceweasel<br />
als Browser (im XP-Modus getarnt mit<br />
dem IE-Symbol), Claws Mail als Mail-Client,<br />
Liferea als Feed-Reader und Pidgin<br />
als Instant Messenger. Auch der Multimedia-Bereich<br />
ist mit Audacity, dem Video-Editor<br />
Pitivi, Brasero als Brenn-Software,<br />
dem Multitrack-Recorder Traverso<br />
und dem Totem-Videoplayer für ein Live-<br />
System bestens ausgestattet.<br />
Obwohl es wünschenswert wäre, dass<br />
der XP-Look in absehbarer Zeit dem von<br />
Windows 7 weicht, leistet er gute Dienste:<br />
Einerseits sieht der Desktop nach<br />
Microsoft aus, was Linux-Unkundigen<br />
den Einstieg erleichtert. Andererseits<br />
gibt sich Tails in diesem Modus gegenüber<br />
dem Netz als Windows aus, wobei<br />
die Kennung missverständlich ist 3 .<br />
Verwenden Sie Tails – wie im Test geschehen<br />
– in einer virtuellen Maschine,<br />
weist es als auf Sicherheit spezialisiertes<br />
Betriebssystem darauf hin, dass der Host<br />
weiß, was Sie innerhalb der virtuellen<br />
Umgebung tun.<br />
09.2013 www.linux-user.de<br />
25
Schwerpunkt<br />
Tails<br />
4 Zum Installieren von Tails auf den USB-<br />
Stick genügt das Auswählen des Gerätes.<br />
3 Tails gibt sich Webservern gegenüber als Windows-7-Maschine aus.<br />
Die von Tails mitgebrachte Software befindet<br />
sich nicht durch die Bank auf dem<br />
aktuellen Stand (OpenOffice liegt etwa<br />
in Version 3.2.1 bei), allerdings empfiehlt<br />
sich Tails vorrangig für das anonyme Surfen.<br />
Deshalb geht die Iceweasel-Version<br />
17.07 in Ordnung, weil diese besonders<br />
langen Support durch Mozilla erfährt.<br />
Außerdem funktionieren mit der Version<br />
17 die für die voreingestellte Tor-Konfiguration<br />
erforderlichen Firefox-Erweiterungen<br />
hervorragend, so etwa Torbutton<br />
oder FoxyProxy.<br />
Sonstige Software<br />
Im Bereich Zubehör findet sich Julien<br />
Voisins Metadata Anonymisation Toolkit<br />
(MAT), das in der Lage ist, sämtliche<br />
Meta-Informationen aus Dateien zu entfernen<br />
û. Die aktuelle Diskussion um<br />
das US-Überwachungsprogramm Prism<br />
zeigt, dass diese eine Menge über Sie<br />
verraten. Ohnehin empfiehlt es sich, Dateiformate<br />
zu verwenden, die keine Meta-Daten<br />
speichern. MAT unterstützt unter<br />
anderem PNG, JPEG, ODF, OpenXML,<br />
PDF, TAR, ZIP und MPEG-Audio.<br />
Im Bereich Systemwerkzeuge finden<br />
Sie den Tails USB Installer, mit dem Sie<br />
das System auf einen USB-Stick installieren.<br />
Dieser erweist sich im mobilen Einsatz<br />
als weitaus praktikabler, zumal Sie je<br />
nach Größe des Sticks ohne großen Aufwand<br />
eigene Daten speichern. Das Tool<br />
findet sich außerdem im Menü Tails gemeinsam<br />
mit weiteren spezifischen<br />
Werkzeugen. Von den drei Optionen im<br />
Startbildschirm des Assistenten kommt<br />
in der Regel die erste – Clone & Install –<br />
zum Einsatz; die anderen dienen zum<br />
Aktualisieren einer bestehenden Installation<br />
auf einem USB-Stick.<br />
Anschließend wählen Sie aus der angebotenen<br />
Dropdown-Liste Zielgerät<br />
das richtige Medium aus und klicken auf<br />
Erstelle Live USB, bestätigen das Formatieren<br />
des Sticks und starten den Vorgang<br />
schließlich mit einem Klick auf<br />
Nächste. Das Tool extrahiert dann das<br />
Live-Abbild auf den USB-Stick 4 .<br />
Tor-Schluss<br />
Das Anonymisieren der Verbindungen<br />
erledigt Tails über das Tor-Netzwerk.<br />
Dazu ist standardmäßig der SOCKS-<br />
Proxy für alle wichtigen Programme konfiguriert,<br />
zu erkennen am Zwiebel-Symbol<br />
im Systray. Das von den Tor-Machern<br />
vorkonfigurierte Tor Browser Bundle û<br />
für Firefox brauchen Sie nicht, weil alle<br />
Einstellungen bereits konfiguriert und<br />
die benötigen Addons installiert sind,<br />
wie ein Blick die Erweiterungen offenbart<br />
5 . Nicht alle installierten Erweiterungen<br />
haben direkt mit Tor zu tun, viele<br />
26 www.linux-user.de<br />
09.2013
Tails<br />
Schwerpunkt<br />
dienen aber ebenfalls dem Anonymisieren<br />
und dem Schutz der Privatsphäre.<br />
Dazu zählt etwa das Addon HTTPS<br />
Every where û der Electronic Frontier<br />
Foun dation, das sichere Verbindungen<br />
zu zahlreichen populären Webseiten anbietet.<br />
Selbstverständlich bietet Tails die<br />
Möglichkeit, den USB-Stick via LUKS zu<br />
verschlüsseln und OpenPGP zum Verschlüsseln<br />
und Signieren von Mail und<br />
Dokumenten zu nutzen.<br />
Außerdem verschlüsselt Tails Instant<br />
Messaging via OTR. Ferner besteht die<br />
Möglichkeit, mit Nautilus Wipe Festplatten<br />
sicher zu löschen und zu überschreiben.<br />
Sollten Sie doch einmal ohne Anonymisierung<br />
<strong>surfen</strong> wollen, etwa zum<br />
Aufrufen lokal installierter Webapplikationen<br />
oder bei der Kommunikation mit<br />
vertrauten Shops oder anderen Angeboten,<br />
die für das Verwalten einer Session<br />
zwingend auf Cookies angewiesen sind,<br />
setzen Sie Iceweasel mit der Funktion<br />
unsicherer Browser ein. Tails umgeht in<br />
diesem Fall das Tor-Netzwerk und deaktiviert<br />
außerdem sämtliche Funktionen<br />
zum Anonymisieren.<br />
Fazit<br />
Tails ist eine prima Sache, vor allem für<br />
den Ad-Hoc-Einsatz unterwegs via USB-<br />
Stick. Zu Hause lohnt sich dagegen die<br />
Mühe, selbst einen Tor-Proxy einzusetzen<br />
oder zumindest Firefox mithilfe von<br />
5 In Tails haben die Entwickler den Browser Iceweasel (die Debian-Spielart von Firefox)<br />
bereits für den Einsatz des Tor-Netzwerks vorkonfiguriert.<br />
Tools wie dem Tor Browser Bundle für<br />
den anonymen Einsatz fit zu machen.<br />
Mit dem XP-Tarnmodus liefern die Entwickler<br />
ein ausgezeichnetes Stück Arbeit<br />
ab. So bekommt nicht nur von außen<br />
niemand mit, dass Sie gerade anonym<br />
mit Linux unterwegs sind, sondern auch<br />
die Server im Internet glauben, es mit<br />
Windows zu tun zu haben. Allerdings<br />
wäre inzwischen ein Update des Tarnmodus<br />
auf den Windows-7-Look mehr<br />
als angebracht. (agr) n<br />
Weitere Infos und<br />
interessante Links<br />
www. linux‐user. de/ qr/ 30167<br />
DIGITALES ABO<br />
<strong>LinuxUser</strong>: Das Monatsmagazin für die Praxis<br />
DIGISUB *<br />
nur 60, 60 €<br />
im Jahr (12 PDFs)<br />
* Digitales Abo, jederzeit kündbar<br />
JETZT BESTELLEN UNTER:<br />
www.linux-user.de/digisub<br />
Telefon: 07131 /2707 274<br />
09.2013 www.linux-user.de<br />
Fax: 07131 / 2707 78 601<br />
27<br />
E-Mail: abo@linux-user.de
Schwerpunkt<br />
Seafile<br />
© Buchachon Petthanya, 123RF<br />
Privater Dropbox-Ersatz mit Seafile<br />
Eigene Wolke<br />
Spätestens seit Prism und Tempora ist klar: Daten in der öffentlichen<br />
Cloud sind vor dem Zugriff der Geheimdienste nicht<br />
sicher. Abhilfe schafft da<br />
nur eine selbst gehostete<br />
Lösung – Seafile<br />
bietet dafür einen<br />
ebenso simplen wie<br />
genialen Ansatz.<br />
Falko Benthin<br />
Readme<br />
Wer seine Daten nicht großen Storage-<br />
Anbietern wie Google Drive, Amazon oder<br />
Dropbox anvertrauen möchte, der muss<br />
eine selbst gehostete Lösung auf die Beine<br />
stellen. Der Vorreiter Owncloud gilt wegen<br />
seiner Vielzahl an Zusatzfunktionen als<br />
überladen. Eine schlanke Alternative bietet<br />
Seafile, das sich ausschließlich auf das<br />
Hosten, Synchronisieren und Teilen von<br />
Dateien und Verzeichnissen konzentriert.<br />
Cloud-Speicher erfreut sich zunehmender<br />
Popularität. Daten lassen sich dort<br />
zentral ablegen und über mehrere Rechner<br />
synchronisieren, mit Kollegen und<br />
Freunden teilen oder komplett der Öffentlichkeit<br />
zugänglich machen. Im Zuge<br />
des Abhörskandals rund um die NSA fragen<br />
sich allerdings viele Nutzer, ob ihre<br />
Daten in einer solchen Cloud wirklich in<br />
guten Händen sind. Andere denken darüber<br />
nach, was mit den Daten geschieht,<br />
wenn ein Anbieter pleite geht oder aufgekauft<br />
wird. Wieder andere, vor allem<br />
Betreiber eigener Server, sehen keine<br />
Veranlassung, für Speicherkapazitäten zu<br />
zahlen, wo sie doch selbst über ausreichend<br />
ungenutzten Speicher verfügen.<br />
Gerade an Letztere richten sich die<br />
freien Alternativen Owncloud û und<br />
Sea file û. Während Owncloud seine Anwender<br />
mit reichhaltigen Funktionalitäten<br />
jenseits des Datenaustausches zu erschlagen<br />
droht, konzentriert sich Seafile<br />
nur darauf, Daten im Netz zu speichern,<br />
anderen zugänglich zu machen und sie<br />
zu synchronisieren.<br />
Seafile stammt von der in China ansässigen<br />
Firma Seafile Ltd. Die Anwendung<br />
28 www.linux-user.de<br />
09.2013
Seafile<br />
Schwerpunkt<br />
Seafile 1.7<br />
LU/seafile/<br />
1 Seafile kommt mit der übersichtlichen Weboberfläche Seahub. Diese stellt eine Konfigurationsschnittstelle<br />
für den Datensammler bereit.<br />
Listing 1<br />
$ /PfadZuSeafile/seafile.sh start<br />
$ /PfadZuSeafile/seahub.sh start<br />
chronisieren. Die Bibliothek Arbeit könnte<br />
er auch für seine Kollegen freischalten.<br />
Installation<br />
Listing 2<br />
Der Seafile-Server liegt aktuell in Version<br />
1.7 vor. Laden Sie zunächst das Tar-Archiv<br />
der aktuellen Version von der Webseite<br />
des Projektes herunter und entpacken<br />
es. Eventuell müssen Sie auf dem<br />
Zielsystem noch einige Python-Pakete<br />
und deren Abhängigkeiten installieren.<br />
Die Entwickler nennen hier neben Python<br />
2.6 oder 2.7 auch die Bibliotheken<br />
python-setuptools, python-simplejson und<br />
python-imaging. Anwender, deren Linux-<br />
Distribution Seafile nicht nativ unterstützt,<br />
kompilieren die Software aus den<br />
bei Github gehosteten Quelltexten û.<br />
Da der Installationsprozess mehrere<br />
Unterverzeichnisse anlegt, empfehlen<br />
die Entwickler, das Archiv in einem sepasteht<br />
unter der GPLv3 und ist größtenteils<br />
in C und Python implementiert. Der<br />
Seafile-Server steht als Quelltext und<br />
Binärpaket für Debian „Squeeze“, Ubuntu<br />
11.10 und 12.04 sowie CentOS 5.8 und<br />
6.0+ zum Download bereit. Er bringt neben<br />
dem Netzwerk-Daemon einen eigenen<br />
HTTP-Server sowie die auf dem<br />
Django-Framework 1.5 basierende Administrationsoberfläche<br />
Seahub mit. Seafile-Clients<br />
gibt es für Linux, Mac OS X,<br />
Windows, Android und iOS.<br />
Sogenannte Bibliotheken – sie enthalten<br />
die zu synchronisierenden Daten –<br />
ermöglichen es, mehrere Verzeichnisse<br />
auf einem Rechner mit dem Server zu<br />
synchronisieren und unterschiedliche<br />
Verzeichnisse auf verschiedenen Rechnern<br />
über die Online-Festplatte immer<br />
auf einem Stand zu halten. Hat beispielsweise<br />
ein Nutzer die Bibliotheken Privat<br />
und Arbeit, könnte er erstere nutzen, um<br />
Datenbestände auf seinen heimischen<br />
Rechnern und mobilen Geräten zu synraten<br />
Verzeichnis zu extrahieren.<br />
Anschließend führen Sie die Datei<br />
setup‐seafile.sh aus, die sich im neu<br />
entstandenen Verzeichnis seafileserver‐Version/<br />
befindet. Hier fragt<br />
das Skript einige Angaben zur Konfiguration<br />
ab, beispielsweise, auf welchen<br />
Ports Seafile und die zugehörige Weboberfläche<br />
lauschen und in welchem<br />
Verzeichnis es die Nutzerdaten ablegen<br />
soll. Danach starten Sie die Dienste mit<br />
den Kommandos aus Listing 1. Da Seafile<br />
keine privilegierten Ports nutzt, erfordert<br />
sein Start keine Root-Rechte.<br />
Jetzt sollten die in der Konfiguration<br />
angegebenen Ports geöffnet sein; standardmäßig<br />
sind das 8000, 8082, 10001<br />
und 12001. Funktioniert das, erreichen<br />
Sie die Oberfläche der Applikation<br />
Seahub und den Seafile-HTTP-Server via<br />
Browser. Seahub (Port 8000) präsentiert<br />
eine übersichtliche Oberfläche 1 , der<br />
#Iptables‐Rules für Seafile<br />
iptables ‐A INPUT ‐p tcp ‐m multiport ‐‐dports 8000,8082,10001,12001 ‐m<br />
state ‐‐state NEW,ESTABLISHED ‐j ACCEPT<br />
iptables ‐A output ‐p tcp ‐m multiport ‐‐sports 8000,8082,10001,12001<br />
‐m state ‐‐state ESTABLISHED ‐j ACCEPT<br />
09.2013 www.linux-user.de<br />
29
Schwerpunkt<br />
Seafile<br />
Seafile-HTTP-Server zeigt lediglich ein<br />
leeres Browserfenster. Funktioniert etwas<br />
nicht, prüfen Sie via ps, ob die Anwendungen<br />
laufen oder eine Firewall<br />
den privaten Cloud-Speicher blockiert.<br />
Wie Sie die Ports in Iptables freischalten,<br />
zeigt Listing 2.<br />
Client später Datenbank- und Konfigurationsdateien,<br />
die er zum Synchronisieren<br />
benötigt. Anschließend starten Sie den<br />
Seafile- und Ccnet-Daemon mit folgendem<br />
Aufruf:<br />
$ /Client‐Pfad/seaf‐cli start<br />
Client installieren<br />
Um Seafile sinnvoll einzusetzen, benötigen<br />
Sie die korrespondierende Client-<br />
Software. Die kommandozeilenbasierte<br />
Variante stellt das Seafile-Projekt als Tar-<br />
Archiv zum Download bereit û. Die<br />
Seafile-Konfigurationsdateien benötigen<br />
ein separates Verzeichnis. Für die Online-<br />
Festplatte selbst empfiehlt sich ebenfalls<br />
ein eigener Ordner, er ist aber nicht zwingend<br />
notwendig. Beides legen Sie mit<br />
folgendem Befehl an:<br />
$ mkdir ~/.seafile‐client ~/seafiU<br />
le‐sync_dir<br />
Um nach dem Entpacken des Archivs<br />
den Client mit dem Konfigurationsordner<br />
vertraut zu machen, müssen Sie ihn<br />
initialisieren. Dazu dient das Kommando:<br />
$ /Client‐Pfad/seaf‐cli init ‐d ~U<br />
/.seafile‐client<br />
Der Init-Vorgang legt ein Verzeichnis<br />
.ccnet an, in dem sich eine Konfigurationsdatei<br />
für Schlüssel, für das zu synchronisierende<br />
Verzeichnis sowie für den<br />
Verbindungsaufbau zum Server befinden.<br />
In .seafile‐client speichert der<br />
Der Kommandozeilen-Client Seaf-cli<br />
kennt derzeit acht Befehle (siehe Tabelle<br />
Seaf-cli-Befehle). Nicht alle davon funktionierten<br />
im Test: So ließen sich Bibliotheken<br />
weder herunterladen noch neue<br />
erstellen. Außerdem fehlt ein Befehl, um<br />
die IDs der Bibliotheken eines Nutzers<br />
anzuzeigen. Das erfordert ab und zu ein<br />
Login in das Web-Frontend Seahub.<br />
Neben den Unterkommandos benötigt<br />
der Kommandozeilen-Client bei vielen<br />
Aktionen zusätzliche Parameter (siehe<br />
Tabelle Seaf-cli-Parameter). Um beispielsweise<br />
die Bibliothek Dokumente<br />
vom Server auf den heimischen Rechner<br />
zu holen, verwenden Sie einen Befehl<br />
der Struktur:<br />
$ seaf‐cli download ‐l Library‐IDU<br />
‐s http[s]://Server ‐d Sync‐Ordner<br />
Die Library-ID gilt es, derzeit noch in der<br />
Seahub-Oberfläche abzulesen, wo sie als<br />
Repo-ID in jedem die Bibliothek betreffenden<br />
Link auftaucht. Um ein bestehendes<br />
Verzeichnis auf den privaten Online-Speicher<br />
zu schieben, verwenden<br />
Sie einen Befehl der Struktur:<br />
$ seaf‐cli sync ‐l Library‐ID ‐s U<br />
http[s]://Server ‐d Ordner<br />
Seaf-cli-Befehle<br />
2 Das Seafile-Applet des grafischen Clients fragt alle<br />
zum Betrieb nötigen Informationen ab.<br />
Kommando<br />
init<br />
start<br />
stop<br />
list<br />
status<br />
download<br />
sync<br />
desync<br />
Beschreibung<br />
erstellt Konfigurationsdateien des<br />
Seafile-Clients<br />
startet Seafile-Client als Daemon<br />
beendet Seafile-Client<br />
zeigt lokale Bibliotheken<br />
zeigt Synchronisationsstatus<br />
lädt Bibliothek vom Server in ein<br />
angegebenes Zielverzeichnis<br />
synchronisiert Bibliothek auf dem Server mit<br />
dem Datenbestand eines Zielverzeichnisses<br />
beendet Synchronisierung mit Server<br />
30 www.linux-user.de<br />
09.2013
Seafile<br />
Schwerpunkt<br />
Allerdings müssen Sie die Bibliothek zuvor<br />
über die Weboberfläche anlegen.<br />
Das Kommando seaf‐cli status zeigt,<br />
wie es momentan um die Synchronisierung<br />
bestellt ist. Der Befehl seaf‐cli<br />
list führt auf, welche lokalen Verzeichnisse<br />
mit welchen Online-Bibliotheken<br />
verbunden sind.<br />
Grafischer Client<br />
Der grafische Seafile-Client macht das<br />
Einrichten wesentlich komfortabler.<br />
Allerdings steht er nur für Ubuntu und<br />
dessen Derivate als Binärpaket bereit,<br />
Nutzer anderer Distributionen müssen<br />
selbst zum Compiler greifen.<br />
Nach der Installation fragt die Software<br />
beim ersten Start mit dem Seafile-<br />
Applet einige Parameter ab, wie beispielsweise<br />
das Datenverzeichnis 2 .<br />
Letzteres erstellt es automatisch und<br />
nistet sich dann als Icon in der Task leiste<br />
ein. Auch dieser Client bietet keine Möglichkeit,<br />
Bibliotheken zu erstellen oder<br />
auf dem Server abzufragen. Dafür beherrscht<br />
er aber das schnelle Herunterladen<br />
von der Seahub-Oberfläche oder<br />
das Synchronisieren mit einem bestehenden<br />
Verzeichnis.<br />
Der grafische Seafile-Client startet,<br />
wie auch die Kommandozeilenvariante,<br />
einen eigenen HTTP-Server, der allerdings<br />
auf Port 13420 statt auf 13419<br />
lauscht. Um lokale Bibliotheken aufzulisten,<br />
die Synchronisierung zu unterbrechen,<br />
Server-Adressen zu ändern oder<br />
Dateien verschlüsselt zu übertragen, behilft<br />
sich der Client eines Webbrowsers.<br />
3 Im Seahub-Admin-Bereich verwalten Sie Nutzer, Bibliotheken und Gruppen; eine Abfrage<br />
der Bibliotheksinhalte erlaubt er aber nicht.<br />
Seahub-Oberfläche<br />
Die webbasierte Seahub-Oberfläche erlaubt<br />
es Ihnen nicht nur, Bibliotheken<br />
anzulegen, zu löschen, zu veröffentlichen<br />
und deren Inhalte zu verwalten.<br />
Sie erstellen oder entfernen damit auch<br />
Freigaben, definieren (Arbeits-)Gruppen,<br />
legen Kontaktlisten an und pflegen die<br />
bearbeiten Dateien online.<br />
Als Administratoren registrierte Anwender<br />
dürfen Benutzer hinzufügen<br />
und löschen, deren Passwörter zurücksetzen<br />
oder Administratorenrechte vergeben<br />
und entziehen 3 . Neben der Be<br />
Seaf-cli-Parameter<br />
Parameter<br />
Beschreibung<br />
‐c configfile Pfad zur Konfigurationsdatei<br />
‐d Ordner zu synchronisierendes<br />
lokales Verzeichnis<br />
‐l id Bibliothek auf dem<br />
Server<br />
‐p pass Passwort<br />
‐s http[s]:// URL des Seahub-Servers<br />
Server[:Port]<br />
‐u User Benutzername<br />
4 Freigegebene Bibliotheken anderer Nutzer finden Sie unter dem Reiter „Freigaben“.<br />
09.2013 www.linux-user.de<br />
31
Schwerpunkt<br />
Seafile<br />
5 Seahub erlaubt zahlreiche Ordner- und Dateioperationen, auch ohne laufenden Client.<br />
6 Beliebige Bibliotheken geben Sie mit<br />
nur einem Mausklick allen Mitgliedern<br />
einer Gruppe frei.<br />
nutzerverwaltung dürfen Admins auch<br />
Gruppen oder Bibliotheken anderer<br />
Nutzer löschen oder Benachrichtigungen<br />
verfassen, die anschließend bei<br />
allen Nutzern erscheinen.<br />
Bibliotheken<br />
Als normaler Seafile-Nutzer herrschen<br />
Sie lediglich über ihren persönlichen<br />
Arbeits platz. Standardmäßig landen Sie<br />
nach dem Login in der Übersicht ihrer<br />
Bibliotheken, die es auch erlaubt, neue<br />
anzulegen. Ein Reiter zeigt die Freigaben<br />
an, also Bibliotheken anderer Nutzer, für<br />
die Sie Lese- oder Schreibrechte besitzen<br />
4 . Der dritte Bibliotheksreiter enthält<br />
favorisierte Dateien.<br />
Bibliotheken entsprechen Ordnern,<br />
die Sie – wie oben schon erwähnt – separat<br />
herunterladen und synchronisieren<br />
dürfen. Sie können auch mehrere<br />
Bibliotheken besitzen, die Sie auf Ihrem<br />
lokalen Rechner verschiedenen Verzeichnissen<br />
zuordnen. Eine neue Bibliothek<br />
erstellen Sie durch Klicken auf den<br />
gleichnamigen Button. Daraufhin öffnet<br />
sich ein kleines Overlay-Fenster, das den<br />
Namen und eine Beschreibung für die<br />
Bibliothek abfragt.<br />
Die Bibliotheken lassen sich beim Erstellen<br />
mit einem AES-128-Algorithmus verschlüsseln,<br />
später klappt das nicht mehr.<br />
Dazu setzen Sie das entsprechende Häkchen<br />
und geben das gewünschte Passwort<br />
zwei Mal an. Das Passwort wird<br />
nicht auf dem Server gespeichert, sondern<br />
verbleibt beim Nutzer und all denen,<br />
die an der Bibliothek teilhaben. Ein<br />
nachträgliches Ändern des Passwortes<br />
lässt das Programm nicht zu.<br />
Bewegen Sie den Mauszeiger über<br />
den Link zu einer Bibliothek, zeigt der<br />
Browser in der URL die zugehörige ID an,<br />
die Sie für den Kommandozeilen-Client<br />
benötigen. Nutzen Sie dagegen den grafischen<br />
Client, synchronisieren Sie die<br />
gewünschte Bibliothek einfach mittels<br />
des Herunterladen-Schalters mit den lokalen<br />
Datenbeständen. Die Bibliotheksübersicht<br />
erlaubt es auch, eine Bibliothek<br />
für andere Nutzer freizugeben oder<br />
sie zu löschen.<br />
Innerhalb einer geöffneten Bibliothek<br />
lassen sich neue Dateien und Ordner auf<br />
dem Server anlegen, Dateien ohne Client<br />
hochladen oder einzelne Dateien<br />
verwalten. Sie dürfen sie herunterladen,<br />
freigeben, aktualisieren, löschen, umbenennen,<br />
verschieben oder kopieren 5 .<br />
Anders als bei freigegebenen Bibliotheken<br />
benötigen die Nutznießer freigegebener<br />
Dateien oder Ordner zu deren<br />
Nutzung keine ID: Sie bekommen per<br />
E-Mail einen Link zugesandt und dürfen<br />
die Datei anschließend herunterladen<br />
beziehungsweise den Ordner öffnen.<br />
Dateien verschlüsselter Bibliotheken lassen<br />
sich auf diese Weise allerdings nicht<br />
freigeben. Die Applikation gestattet es<br />
auch, den Bearbeitungsverlauf einer<br />
Datei anzuzeigen und frühere Zustände<br />
wiederherzustellen.<br />
Den Verlauf inklusive aller Zugriffe<br />
speichert Seafile nicht nur für einzelne<br />
Dateien, sondern auch für ganze Bibliotheken.<br />
Das Tool legt dazu nach jeder<br />
Änderung einen Schnappschuss an, der<br />
es erlaubt, zu jeder Zeit einen früheren<br />
Zustand wiederherzustellen. Der Verlauf<br />
lässt sich in den Einstellungen der Bibliothek<br />
ändern, komplett ausschalten oder<br />
auf eine definierte Anzahl von Tagen<br />
einschränken.<br />
32 www.linux-user.de<br />
09.2013
Seafile<br />
Schwerpunkt<br />
Gruppen<br />
Seafile eignet sich hervorragend als kollaboratives<br />
Werkzeug. Die Gruppenfunktion<br />
erlaubt es, problemlos verschiedene<br />
Personenkreise zu verwalten, Bibliotheken<br />
ohne großen Aufwand freizugeben<br />
oder Nachrichten zu versenden. Unter<br />
dem dafür vorgesehenen Reiter darf jeder<br />
Nutzer Gruppen anlegen respektive<br />
die ansehen, denen er selbst angehört.<br />
Letztere blendet Seafile auch auf dem<br />
Startbildschirm des Seafile-Arbeitsplatzes<br />
am rechten Bildschirmrand ein.<br />
Ein Klick auf eine existierende Gruppe<br />
ermöglicht es, Bibliotheken oder ein<br />
Wiki für diese anzulegen, eine Diskussion<br />
zu starten, die Mitgliederliste einzusehen<br />
oder die Gruppe zu administrieren.<br />
Der letzte Punkt ermöglicht es, den<br />
Gruppen zusätzliche Mitglieder und<br />
Admins hinzuzufügen. Das vereinfacht<br />
es, eine Bibliothek einer Gruppe zugänglich<br />
zu machen 6 .<br />
Freigaben<br />
Um eine Bibliothek freizugeben und so<br />
mit anderen Team-Mitgliedern zu teilen,<br />
klicken Sie in der Übersicht auf den Freigabe-Button<br />
der entsprechenden Bibliothek.<br />
Sie dürfen diese sowohl für Gruppen<br />
als auch Einzelmitglieder freigeben.<br />
Um Daten mit einzelnen Personen zu<br />
teilen, müssen diese einen Seafile<br />
Account besitzen. Geben Sie statt separater<br />
Nutzer und Gruppen das Schlüsselwort<br />
all an, öffnen Sie die Bibliothek<br />
allen Seafile-Nutzern des Servers.<br />
Erstellte Freigaben zeigt der gleichnamige<br />
Reiter des Seahub-Arbeitsplatzes<br />
an. Bei Bedarf genügt ein Klick, um die<br />
Shares zu widerrufen. Freigaben einzelner<br />
Dateien verwalten Sie in diesem Bereich<br />
ebenfalls. Andere Nutzer sehen die<br />
für sie freigegebenen Bibliotheken unter<br />
Start | Bibliotheken | Freigaben.<br />
Organisation und Kontakte<br />
Unter dem Punkt Organisation verbergen<br />
sich die öffentlichen Bibliotheken,<br />
Gruppen und Mitglieder, die der Seafile-<br />
Server beherbergt. Wie viele das jeweils<br />
7 Andere Benutzer fügen Sie mit einem Klick oder einer Freigabe Ihren Kontakten hinzu.<br />
sind, zeigt die Übersicht im rechten Bildschirmbereich<br />
an. Während normale Anwender<br />
hier nur eigene Gruppen und<br />
öffentliche Bibliotheken anlegen dürfen,<br />
sieht es im Benutzerbereich anders aus:<br />
Hier lassen sich einzelne Benutzer den<br />
eigenen Kontakten hinzufügen 7 .<br />
Das erlaubt es Ihnen, zukünftig diesem<br />
Personenkreis aus Seafile heraus Nachrichten<br />
zu schicken oder Freigaben einzurichten.<br />
Teilen Sie mit anderen Teilnehmern<br />
eine Bibliothek, werden diese automatisch<br />
zu Kontakten. Nutzer sehen innerhalb<br />
der Header-Zeile, ob neue Nachrichten<br />
für sie bereitstehen.<br />
Quotas<br />
Seafile kennt eine eigene Quota-Steuerung,<br />
mit deren Hilfe Sie festlegen, über<br />
wie viel Speicherplatz einzelne Nutzer<br />
verfügen dürfen. Um Verwirrungen bei<br />
der Vergabe von Quotas vorzubeugen,<br />
empfiehlt es sich, auf dem System einen<br />
Nutzer seafile-user anzulegen, dem systemseitig<br />
nur ein gewisses Kontingent<br />
an Speicherplatz zur Verfügung steht,<br />
und den Dienst unter dessen Rechten zu<br />
starten (Listing 3). So lässt sich verhindern,<br />
dass sich der Speicherplatz des<br />
Servers überraschend bis zum Anschlag<br />
füllt, wenn die Benutzer einmal unerwartet<br />
viel speichern möchten.<br />
09.2013 www.linux-user.de<br />
33
Schwerpunkt<br />
Seafile<br />
Listing 3<br />
# neuen Nutzer anlegen<br />
$ sudo useradd seafile‐user<br />
Verschlüsselte Transfers<br />
Wenn Sie die Daten Ihrer Online-Festplatte<br />
schon dem eigenen Server anvertrauen,<br />
dann möchten Sie ganz sicher<br />
auch nicht, dass diese auf dem Weg zum<br />
Ziel an Dritte entfleuchen. Ab der Version<br />
1.7 von Seafile verschlüsseln die<br />
Desktop-Clients den Datentransfer standardmäßig<br />
mit einem AES-128-Algorithmus.<br />
Wer jedoch mangels eines grafischen<br />
Clients für sein System auf die<br />
Weboberfläche oder den Kommandozeilen-Client<br />
angewiesen ist, der findet<br />
das nicht hilfreich.<br />
Während der Seafile-HTTP-Server<br />
HTTPS unterstützt, gilt es, Seahub einen<br />
Apache oder Nginx als Reverse-Proxy-<br />
Server vorzuschalten, der den Datentransfer<br />
dann verschlüsselt ausliefert.<br />
Entsprechende Anleitungen und Beispielkonfigurationen<br />
zeigt das Seafile-<br />
Wiki auf Github û.<br />
# home‐Partition in /etc/fstab mit der Option<br />
# "usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0"<br />
# oder "usrquota,grpquota" versehen<br />
# im Wurzelverzeichnis der zu überwachenden Partition, z.B. /home<br />
$ sudo mount /Mountpoint ‐o remount<br />
$ sudo quotacheck ‐cmugv /mountpoint<br />
# Blocksize der Partition ermitteln<br />
$ sudo tune2fs ‐l /mountpoint<br />
# Soft‐ und Hardlimits sowie Gnadenfrist für<br />
# seafile‐user setzen, 0=kein Limit<br />
# Blöcke = erlaubte Größe / Blocksize<br />
$ sudo edquota ‐u seafile‐user<br />
$ sudo edquota ‐t<br />
#Quota aktivieren<br />
$ sudo quotaon ‐a<br />
#Quota prüfen<br />
Weitere Infos und<br />
interessante Links<br />
www. linux‐user. de/ qr/ 29368<br />
$ sudo quota ‐u seafile‐user<br />
Flott entsorgt<br />
Um Speicherplatz zu sparen, nutzt Seafile<br />
eine Deduplication-Technologie: Verschiedene<br />
Dateiversionen und Bibliotheken<br />
teilen sich dieselben Datenblöcke.<br />
Das Löschen derartiger Bibliotheken<br />
oder Dateien gibt den Speicher nicht<br />
sofort ans System zurück, entsprechend<br />
dümpeln ungenutzte Blöcke auf der<br />
Festplatte des Servers herum und verstopfen<br />
diese mit der Zeit. Um diesen<br />
Speicherplatz aufzuräumen, existiert ein<br />
Abfallbeseitigungsprogramm („Garbage<br />
Collection“), das Sie ab und zu einsetzen<br />
sollten. Eine genaue Anleitung zeigt<br />
auch hierfür das Seafile-Wiki û.<br />
Fazit<br />
Während dem PHP- und MySQL-basierten<br />
Dropbox-Ersatz Owncloud ein entsprechender<br />
Webspace ausreicht, kommen<br />
Sie beim in C und Python umgesetzten<br />
Seafile nicht um den eigenen<br />
Server herum. Anders als Owncloud beschränkt<br />
sich Seafile in seinen Funktionen<br />
aber aufs Wesentliche, nämlich Online-Speicher<br />
und Kollaboration. Letztere<br />
impliziert neben dem Teilen von Bibliotheken<br />
und Dateien das Versenden von<br />
Nachrichten oder das Zusammenfassen<br />
mehrerer Benutzer zu Gruppen.<br />
Da Seafile mit unprivilegierten Ports<br />
arbeitet, erfordert dessen Start keine<br />
Root-Rechte. Die Anwendung ist recht<br />
gut dokumentiert und in momentan<br />
acht Sprachen lokalisiert. Die Software<br />
ließ sich problemlos in Betrieb nehmen<br />
und lief während des mehrwöchigen<br />
Tests stabil. Lediglich für das Software-<br />
Update wurde der Server einmal gestoppt.<br />
Den Seafile-Client gibt es für die<br />
meisten gängigen Betriebssysteme. Die<br />
grafischen Clients glänzen durch eine<br />
einfache Bedienung, aber auch der kommandozeilenbasierte<br />
Client erfordert<br />
nur eine kurze Einarbeitungszeit.<br />
Für all diejenigen, denen Dropbox und<br />
Google Drive inzwischen zu unsicher<br />
sind, die aber dennoch Dateien mit anderen<br />
austauschen oder synchronisieren<br />
möchten, stellt Seafile damit eine echte<br />
Alternative dar. (tle) n<br />
34 www.linux-user.de<br />
09.2013
Schwerpunkt<br />
Mails verschlüsseln<br />
© Almoond, 123RF<br />
E-Mails mit GnuPG verschlüsseln<br />
Ausgezapft<br />
Monatlich greift der US-Geheimdienst etwa<br />
eine halbe Milliarde Verbindungsdaten und<br />
E-Mails alleine an deutschen Backbones ab.<br />
Ein guter Grund, sich über einen sicheren Mailverkehr<br />
Gedanken zu machen. Peter Kreußel<br />
Readme<br />
Mit etwas Grundwissen nutzen Sie die gängigen<br />
Mailprogramme KMail und Thunderbird,<br />
um Nachrichten zu ver- und entschlüsseln.<br />
Das Szenario lässt sich leicht auf andere<br />
Mailprogramme übertragen, die Gnu-<br />
PG unterstützen. Das ist nicht zuletzt deswegen<br />
wichtig, weil sowohl Sender als<br />
auch Empfänger für einen verschlüsselten<br />
Mailverkehr vorbereitet sein müssen.<br />
Wer E-Mails unverschlüsselt versendet,<br />
sollte sich bewusst machen, dass jeder<br />
diese mitlesen kann, der in den Datenstrom<br />
eingreift oder ihn anzapft. Nicht<br />
zuletzt deswegen fordert das Deutsche<br />
Innenministerium dazu auf, die Kommunikation<br />
zu chiffrieren. Zwei Verfahren<br />
zur Verschlüsselung setzten sich im Laufe<br />
der Jahre durch: S/MIME und Open-<br />
PGP. Bei beiden handelt es sich um offen<br />
dokumentierte Standards, die unter der<br />
Überwachung vieler Experten stehen.<br />
S/MIME setzt, wie das HTTPS-Protokoll,<br />
auf von Zertifizierungs-Authoritys nach<br />
Namensprüfung ausgestellte kostenpflichtige<br />
Zertifikate. Aus diesem Grund<br />
kommt es vorwiegend im Firmenumfeld<br />
zum Einsatz, während sich OpenPGP in<br />
der privaten Kommunikation durchgesetzt<br />
hat. Dieser Artikel beschränkt sich<br />
daher auf das im Open-Source-Umfeld<br />
dominierende OpenPGP, das durch die<br />
freie Software GnuPG û auch unter<br />
Linux bereitsteht.<br />
36<br />
www.linux-user.de<br />
09.2013
Mails verschlüsseln<br />
Schwerpunkt<br />
Beide Verfahren setzen auf die Kombination<br />
aus einem öffentlich dokumentierten<br />
Verfahren und einem von den eingesetzten<br />
Algorithmen unabhängigen<br />
Schlüsselcode. Letzterer darf nie an die<br />
Öffentlichkeit dringen – passiert das<br />
doch einmal, so kann man nach einem<br />
Schlüsselwechsel wenigstens alle beteiligten<br />
Programme (GnuPG und den E-<br />
Mail-Client) beruhigt weiterverwenden.<br />
Wie aber gelangt der Schlüssel sicher<br />
vor neugierigen Blicken zu Ihrem Kommunikationspartner?<br />
Die Antwort lautet:<br />
gar nicht. Im Zeitalter der globalen<br />
Überwachung der Telekommunikation<br />
wäre dazu nämlich streng genommen<br />
ein persönlicher Besuch erforderlich.<br />
Asymmetrie<br />
Daher benutzt GnuPG die asymmetrische<br />
Public-Key-Verschlüsselung. Dabei<br />
kommen zwei Schlüssel zum Einsatz, einer<br />
zum Verschlüsseln, einer zum Entschlüsseln<br />
1 . Dem intuitiven Verständnis<br />
erschließt sich gerade noch das zugrunde<br />
liegende Prinzip der Falltürfunktion<br />
– eine mathematische Funktion, zu<br />
der keine mit vertretbarem Aufwand zu<br />
errechnende Umkehrfunktion bekannt<br />
ist. Die Tiefen des Systems bleiben Mathematikern<br />
mit entsprechender Fachkenntnis<br />
vorbehalten.<br />
Wichtiger als mathematische Feinheiten<br />
ist aber die Rolle der Schlüssel im<br />
kryptographischen Prozess: Jeder, der<br />
den öffentlichen Schlüssel eines Schlüsselpaares<br />
kennt, ist in der Lage, Nachrichten<br />
so zu verschlüsseln, dass sie sich<br />
ausschließlich mithilfe des zugehörigen<br />
privaten Schlüssels wieder dekodieren<br />
lassen. Den besitzt im Normalfall nur der<br />
Empfänger – selbst der Absender kann<br />
also die von ihm verschlüsselte Nachricht<br />
nicht mehr entschlüsseln.<br />
Bei Open-PGP sorgen Schlüsselserver<br />
für globale Verfügbarkeit der öffentlichen<br />
Schlüssel. Falls Sie also jemandem<br />
eine chiffrierte Mail senden möchten,<br />
der dort einen GPG-Schlüssel veröffentlicht<br />
hat, müssen Sie lediglich eine Suchanfrage<br />
mit der Mailadresse an einen der<br />
sich selbstständig synchronisierenden<br />
Server im Netz stellen.<br />
Einen Haken hat das System allerdings:<br />
Denn jeder darf Schlüssel für eine beliebige<br />
E-Mail-Adresse erzeugen und veröffentlichen.<br />
Falls Sie eine Mail mit dem<br />
falschen Schlüssel chiffrieren, ist dessen<br />
vermeintlicher Eigentümer nicht in der<br />
Lage, sie wieder zu dechiffrieren, da sein<br />
privater Schlüssel nicht zum von Ihnen<br />
genutzten öffentlichen Key passt.<br />
Kritisch wird es, wenn es dem Fälscher<br />
des Schlüssels gelingt, Ihre Mail abzufangen<br />
2 , da er ja den passenden geheimen<br />
Schlüssel zum Dechiffrieren besitzt.<br />
Nach dem Entschlüsseln kann er, um<br />
eine erfolgreiche Kommunikation mit<br />
dem eigentlichen Adressaten vorzutäuschen,<br />
die Mail noch mit dem richtigen<br />
Schlüssel chiffrieren und weiterleiten –<br />
eventuell sogar mit Änderungen im Text.<br />
Das entspricht einem sogenannten Manin-the-Middle-Szenario,<br />
das weder Empfänger<br />
noch Absender bemerken.<br />
Open-PGP stellt zwei Hilfsmittel zur<br />
Verfügung, um die Authentizität von<br />
Schlüsseln zu gewährleisten: Jeder PGP-<br />
1 Die Public-Key-Verschlüsselung gleicht einem Schloss, bei dem unterschiedliche<br />
Schlüssel auf- und zuschließen. Dass der Schlüssel zum Abschließen (grün) außen an der<br />
Tür hängt, ermöglicht keinen Einbruch. Jeder kann ihn nutzen, um abzusperren, doch<br />
nur der Besitzer des geheimen privaten Schlüssels (rot) kann wieder aufschließen.<br />
09.2013 www.linux-user.de<br />
37
Schwerpunkt<br />
Mails verschlüsseln<br />
Schlüssel besitzt einen Fingerabdruck<br />
aus zehn vierstelligen Hexadezimalzahlen.<br />
Da es technisch nicht möglich ist,<br />
gezielt einen Schlüssel mit einem bestimmten<br />
Fingerabdruck zu erzeugen,<br />
bürgt dieser für die Authentizität.<br />
Vor dem Versand sicherheitskritischer<br />
Mails sollten Sie bei der ersten Kontaktaufnahme<br />
mit dem Kommunikationspartner<br />
telefonieren und den Fingerabdruck<br />
seines OpenPGP-Schlüssels mit<br />
ihm abgleichen. Es nützt Angreifern<br />
nichts, die Korrespondenz beim telefonischen<br />
Schlüsselvergleich abzuhören, solange<br />
sie den Inhalt der Kommunikation<br />
nicht manipulieren können. Danach darf<br />
der Schlüssel für weitere Nachrichten als<br />
vertrauenswürdig gelten.<br />
Das zweite Verfahren, die Authentizität<br />
eines Schlüssels zu gewährleisten, ist<br />
das Signieren von Schlüsseln durch Dritte,<br />
die durch eine solche Unterschrift mit<br />
2 Beim Man-in-the-Middle-Angriff schiebt ein Angreifer dem Sender einen gefälschten<br />
öffentlichen Schlüssel unter (schwarz-grün) und fängt die Mail ab. Er entschlüsselt sie mit<br />
seinem eigenen zum untergeschobenen passenden privaten Schlüssel (schwarz-rot) und<br />
verschlüsselt sie sofort erneut mit dem authentischen öffentlichen Schlüssel (grün). Der<br />
Adressat sieht nur die mit dem richtigen Schlüssel chiffrierte Nachricht.<br />
Ihrem eigenen Open-PGP-Schlüssel dafür<br />
bürgen, dass ein Schlüssel tatsächlich<br />
einer Person mit dem darin genannten<br />
Namen gehört.<br />
Unterschriften helfen wegen der<br />
Fälschbarkeit auch der beglaubigenden<br />
Schlüssel nur weiter, wenn Sie diese anhand<br />
der Fingerabdrücke Ihnen als vertrauenswürdig<br />
bekannten Personen zuordnen<br />
können. Technisch garantiert das<br />
Unterschriftsverfahren nämlich nur, dass<br />
sich bestimmte Fingerabdrücke nicht<br />
gezielt erzeugen lassen, sodass diese<br />
den Besitz eines bestimmten privaten<br />
Schlüssels nachweisen.<br />
Drei Schritte zum Ziel<br />
Um verschlüsselt via OpenPGP/GnuPG<br />
per E-Mail zu kommunizieren, gilt es,<br />
sowohl für den Versender als auch den<br />
Empfänger folgende Vorbereitungen zu<br />
treffen:<br />
• das Erzeugen eines Schlüsselpaares,<br />
• den Tausch der öffentlichen Schlüssel,<br />
• den Import des öffentlichen Schlüssels<br />
des Partners in den eigenen<br />
Schlüsselring.<br />
Als Thunderbird-Anwender installieren<br />
Sie für den Einsatz von GnuPG die Erweiterung<br />
Enigmail û über den Addon-<br />
Manager der Software (Extras | Add-ons |<br />
Add-ons Suchen). Danach erscheint der<br />
Eintrag OpenPGP in der Menüleiste, der<br />
alle Verschlüsselungs- und Signierfunktionen<br />
steuert. In KMail ist die GPG-<br />
Funktion bereits fest eingebaut: Sie erreichen<br />
sie über Extras | Zertifikatsverwaltung.<br />
Beide Programme stellen eine GUI<br />
für die im Folgenden beschriebenen<br />
Konsolenbefehle bereit.<br />
Der Befehl gpg ‐‐gen‐key erzeugt ein<br />
neues Schlüsselpaar. Das Tool fragt nach<br />
Schlüsseltyp und -länge. Die gegenwärtig<br />
in Bezug auf Kompatibilität und Sicherheit<br />
empfohlen Optionen (RSA/RSA,<br />
2048-Bit) bestätigen Sie mit [Eingabe].<br />
Nun legen Sie die Gültigkeitsdauer des<br />
Schlüssels fest. Anfänger sollten hier<br />
nicht die Voreinstellung 0 = Schlüssel verfällt<br />
nie wählen, denn ein veröffentlichter<br />
Public Key, dessen privaten Schlüssel<br />
Sie verloren haben, lässt sich nicht mehr<br />
von den Keyservern zurückholen.<br />
38 www.linux-user.de<br />
09.2013
Mails verschlüsseln<br />
Schwerpunkt<br />
Dann folgt die Eingabe von Name, Mailadresse,<br />
eines (optionalen) Kommentars<br />
sowie eines Passwortes, ohne das sich der<br />
Schlüssel nicht benutzen lässt. Bedenken<br />
Sie bei der Vergabe des Passwortes: Es<br />
fällt Angreifern in der Regel deutlich<br />
leichter, ein zu kurz geratenes Passwort zu<br />
knacken û als eine unkompromittier te<br />
RSA-Verschlüsselung mit 2048 Bit.<br />
Jetzt generiert das Programm den aus<br />
einer 2048 Bit langen Zufallszahlenfolge<br />
bestehenden geheimen Schlüssel. Damit<br />
diese für Angreifer unvorhersagbar<br />
ausfällt, bezieht GnuPG dazu äußere Ereignisse<br />
wie die Mausbewegung oder<br />
Tastatureingaben in die Berechnung mit<br />
ein, sodass das Benutzen von Maus und<br />
Tastatur diesen Vorgang beschleunigt.<br />
In der Regel ist das Schlüsselpaar in<br />
weniger als einer Minute fertig. GnuPG<br />
legt es in Ihrem lokalen Schlüsselbund<br />
ab. Dort steht es für Thunderbird, KMail<br />
und alle Mailprogramme, die GnuPG zur<br />
Verschlüsselung einsetzen, bereit.<br />
Exportware<br />
Überzeugen Sie sich nun davon, dass<br />
der Schlüsselbund die eben erzeugten<br />
Schlüssel tatsächlich enthält: Den privaten<br />
Teil listen gpg ‐‐list‐secret‐keys<br />
oder gpg ‐K auf, den öffentlichen gpg<br />
‐‐list‐keys oder gpg ‐k. Merken Sie<br />
sich dabei die ID des öffentlichen Schlüssels<br />
(rot markiert). Zum Austausch exportieren<br />
Sie diesen als lokale Datei:<br />
$ gpg ‐a ‐‐export ID > my_pubkey.U<br />
asc<br />
Die Option -a wählt ASCII-Text als Ausgabeformat,<br />
was das Versenden des<br />
Schlüssels per Mail erleichtert. Wenn Sie<br />
nun ein Kommunikationspartner nach<br />
Ihrem PGP-Schlüssel fragt, lassen Sie ihm<br />
diese Datei zukommen. Schon das versetzt<br />
ihn bereits in der Lage, Ihnen verschlüsselte<br />
Mails zu schicken.<br />
Um auch anderen zu ermöglichen, Ihnen<br />
ohne Rückfrage verschlüsselte Mails<br />
zu schicken, veröffentlichen Sie den<br />
Schlüssel auf einem Keyserver:<br />
$ gpg ‐‐keyserver hkp://keys.gnupU<br />
g.net ‐‐send‐keys ID<br />
Falls Sie sich über das hkp:// wundern:<br />
Das ist nicht etwa ein Tippfehler, sondern<br />
steht für das HTTP Keyserver Protocol.<br />
Es gibt eine ganze Reihe von Schlüsselservern,<br />
die gängigen davon synchronisieren<br />
sich auch untereinander.<br />
Geschlossene Gesellschaft<br />
Um nun Ihrerseits verschlüsselte Mails<br />
zu versenden, importieren Sie zuerst<br />
den öffentlichen Schlüssel des Adressaten<br />
in Ihren Schlüsselbund:<br />
$ gpg ‐‐import Schlüsseldatei.asc<br />
Die Dateiendung spielt dabei keine Rolle.<br />
Liegt Ihnen der Public Key des Kommunikationspartners<br />
nicht vor, suchen<br />
Sie mit folgendem Kommando auf einem<br />
Schlüsselserver danach:<br />
$ gpg ‐‐keyserver hkp://keys.gnupU<br />
g.net ‐‐search‐keys "Name|E‐Mail"<br />
Zum Importieren geben Sie nur die<br />
Nummer des Treffers ein. Kennt die Software<br />
die ID des zu importierenden<br />
Schlüssels bereits, so lädt ihn folgender<br />
Befehl direkt in den Schlüsselbund:<br />
$ gpg ‐‐keyserver hkp://keys.gnupU<br />
g.net ‐‐recv‐keys ID<br />
Bedenken Sie dabei, dass sich wie schon<br />
erwähnt Schlüssel mit falscher E-Mail-<br />
Adresse oder Namen erzeugen lassen.<br />
Das Kommando gpg ‐‐fingerprint ID<br />
zeigt den Fingerabdruck, den Sie möglichst<br />
über einen manipulationssicheren<br />
Kommunikationskanal mit dem Empfänger<br />
der verschlüsselten Mail abgleichen<br />
sollten. Die Unterschriften eines Schlüssels<br />
prüfen Sie mit gpg ‐‐check‐sigs<br />
ID 3 . Statt der Schlüssel-ID dürfen Sie<br />
auch die E-Mail-Adresse oder den Na-<br />
3 Der Aufruf gpg ‐‐check‐sigs zeigt und prüft die Unterschriften aller im persönlichen Schlüsselbund<br />
namentlich bekannten Personen eines Schlüssels.<br />
09.2013 www.linux-user.de<br />
39
Schwerpunkt<br />
Mails verschlüsseln<br />
Weitere Infos und<br />
interessante Links<br />
www. linux‐user. de/ qr/ 30105<br />
men als Suchstring angeben. In der Regel<br />
werden sich nicht alle beglaubigenden<br />
Schlüssel im Schlüsselbund befinden<br />
(rote Markierung in Abbildung 3 ).<br />
Da ungeprüfte Unterschriften unbekannter<br />
Personen ohnehin kein beglaubigender<br />
Wert zukommt, ignoriert<br />
GnuPG diese. Ein Ausrufezeichen kennzeichnet<br />
in der Befehlsausgabe dagegen<br />
erfolgreich verifizierte Beglaubigungen.<br />
Trau, schau wem<br />
Möchten Sie die Namen aller signierenden<br />
Personen herausfinden, so ermitteln<br />
Sie mit gpg ‐‐list‐sigs ID deren<br />
Schlüssel-IDs (zweite Spalte in der Befehlsausgabe)<br />
und laden die zugehörigen<br />
Schlüssel herunter:<br />
$ gpg ‐‐keyserver hkp://keys.gnupU<br />
g.net ‐‐recv‐keys ID<br />
4 Nach der Konfiguration des eigenen Schlüsselpaares in GnuPG brauchen<br />
Sie in den Mailprogrammen KMail (oben) und Thunderbird (unten) nur noch<br />
pro Identität einen privaten Schlüssel auszuwählen.<br />
Eventuell findet sich der Fingerprint der<br />
Schlüssel auch auf der Homepage der<br />
entsprechenden Personen, was das Fälschungsrisiko<br />
verringert. Haben Sie sich<br />
entschieden, einen Schlüssel als authentisch<br />
zu betrachten, dann öffnen Sie ihn<br />
mit gpg ‐‐edit ID zum Bearbeiten. Sie<br />
signieren ihn für sich persönlich mit<br />
lsign („local sign“) oder mit sign. Um<br />
Ihre Signatur später zu veröffentlichen,<br />
dient folgender Befehl:<br />
$ gpg ‐‐keyserver hkp://keys.gnupU<br />
g.net ‐‐send‐keys ID<br />
KMail zeigt beim Verwenden eines nicht<br />
signierten Schlüssels eine Warnung an,<br />
der Schlüssel lässt sich nach Bestätigung<br />
aber trotzdem benutzen. In Thunderbirds<br />
Enigmail ist nach der Installation in<br />
OpenPGP | Einstellungen die Option<br />
Schlüsseln immer Vertrauen aktiv: Es akzeptiert<br />
also ungefragt jeden Schlüssel,<br />
was sicher nicht im Sinne der GnuPG-Erfinder<br />
ist. Nach dem Deaktivieren dieser<br />
Einstellung verweigert das Programm<br />
das Verwenden unsignierter Schlüssel.<br />
Stehen Sie mit vielen Personen in<br />
Mailkontakt, finden Sie es sicherlich lästig,<br />
die Schlüssel aller Adressaten zu signieren.<br />
Um die Zahl der Unterschriften<br />
zu reduzieren, bietet OpenPGP das Konzept<br />
des „Web of Trust“ (Netz des Vertrauens)<br />
an. Dabei sprechen Sie bestimmten<br />
Personen, deren Schlüssel in<br />
Ihrem Schlüsselbund liegen, eingeschränktes<br />
oder volles Vertrauen aus.<br />
Haben einer für Sie voll vertrauenswürdigen<br />
oder drei teilweise vertrauenswürdigen<br />
Personen einen Schlüssel öffentlich<br />
unterschrieben, so gilt er auf Ihrem<br />
System automatisch als signiert.<br />
Sie passen das Vertrauen mit gpg<br />
‐‐edit ID an, gefolgt von trust an der<br />
GnuPG-Eingabeaufforderung. Den Wert<br />
5 („absolutes Vertrauen“) verdienen konventionsgemäß<br />
nur eigene Schlüssel,<br />
der normale Wert für nahe Bekannte<br />
liegt zwischen 3 und 4. Mit 2 („kein Vertrauen“)<br />
bewerten Sie Personen, die Sie<br />
als unzuverlässig einschätzen.<br />
Nach dem Signieren und Integrieren<br />
der Schlüssel des Adressaten in den<br />
Schlüsselbund gilt es, den E-Mail-Client<br />
40 www.linux-user.de<br />
09.2013
Mails verschlüsseln<br />
Schwerpunkt<br />
zu konfigurieren. Sowohl in Thunderbird<br />
als auch in KMail müssen Sie dazu lediglich<br />
eine Identität mit einem geheimen<br />
Schlüssel verknüpfen 4 , der zur Mailadresse<br />
der Identität passt. Wenn sich<br />
nur ein passender privater Schlüssel im<br />
Schlüsselbund befindet, wählt ihn Thunderbird<br />
automatisch aus.<br />
Nach diesen Vorbereitungen kostet<br />
das Senden einer verschlüsselten Mail<br />
nur noch wenige Mausklicks: Wählen Sie<br />
vor dem Versenden in Thunderbird<br />
OpenPGP | Nachricht verschlüsseln, in<br />
KMail Optionen | Nachricht verschlüsseln.<br />
Der E-Mail-Client fragt dann noch, ob<br />
der auf Basis der Mailadresse gewählte<br />
öffentliche Schlüssel der richtige ist.<br />
Zum Entsperren des Schlüsselbundes<br />
geben Sie zu guter Letzt das Passwort<br />
des mit der Identität verknüpften privaten<br />
Schlüssels ein.<br />
Loslegen<br />
Erhalten Sie eine verschlüsselte Nachricht,<br />
entschlüsselt KMail diese in der<br />
Grundeinstellung erst nach einem Klick<br />
auf Nachricht entschlüsseln. Thunderbird<br />
dechiffriert die Mail je nach Format entweder<br />
ungefragt oder zeigt den Quelltext<br />
der OpenPGP-verschlüsselten Nachricht<br />
an. Ein Klick auf Entschlüsseln fördert<br />
nach Eingabe des Passwortes für<br />
den privaten Schlüssel den Klartext zutage.<br />
Aus offensichtlichen Gründen liegt<br />
dieser nur lokal auf Ihrem Rechner vor,<br />
nicht jedoch auf dem Mailserver. Daher<br />
müssen Sie die Mails nach dem Neustart<br />
des Programms erneut entschlüsseln.<br />
Grund für das je nach Nachricht unterschiedliche<br />
Verhalten von Thunderbird<br />
sind zwei Verfahren, den mit GnuPG verschlüsselten<br />
Text in die Nachricht einzubetten:<br />
Das ältere schreibt den verschlüsselten<br />
Nachrichtentext in den<br />
Mail-Body („Inline OpenPGP“). Das<br />
neuere, OpenPGP/MIME, nutzt die von<br />
Dateianhängen bekannten MIME-Typen,<br />
führt den verschlüsselten Text also als<br />
Attachment vom Typ application/<br />
pgp‐encryp ted. Neuere E-Mail-Programme<br />
bieten solche pgp‐encrypted-<br />
Attachments nicht zum Download an,<br />
sondern entschlüsseln den enthaltenen<br />
Text und zeigen ihn im Nachrichtenfenster<br />
an. Die Vorteile der MIME-Einbettung:<br />
Die Verschlüsselung erfasst versandte<br />
Nachrichtenanhänge stets mit<br />
und ist für Mailprogramme leichter zu<br />
erkennen. Allerdings können alte oder<br />
einfach gestrickte Mailclients nicht mit<br />
diesem MIME-Typ umgehen.<br />
In KMail wählen Sie unter Optionen |<br />
Nachrichtenverschlüsslungsformat zwischen<br />
Inline-OpenPGP und OpenPGP/<br />
MIME. Bei Thunderbird steht dafür die<br />
Option OpenPGP | PGP/MIME verwenden<br />
zur Verfügung.<br />
Aufgepasst!<br />
Mit dem Verlust Ihres privaten Schlüssels<br />
verlieren Sie den Zugriff auf alle bisher<br />
an Sie gerichteten verschlüsselten Mails.<br />
Ein sicheres Backup des Keys auf einem<br />
externen Datenträger ist daher unerlässlich.<br />
Am einfachsten sichern Sie dazu die<br />
Datei secring.gpg aus dem Verzeichnis<br />
~/.gnupg. Spielen Sie diese in dasselbe<br />
Verzeichnis auf einer anderen Linux-Installation,<br />
so stehen dort die darin enthaltenen<br />
privaten Schlüssel zur Verfügung.<br />
Um private Keys hinzuzufügen, exportieren<br />
Sie diese:<br />
$ gpg ‐‐export‐secret‐keys ‐a > GU<br />
eheim.sec<br />
Auf den Schlüsselbund importieren Sie<br />
die privaten Schlüssel mit dem Befehl<br />
gpg ‐‐import geheim.sec. Um umgekehrt<br />
kompromittierte oder nicht mehr<br />
ausreichend sichere Schlüssel auf den<br />
Schlüsselservern zu entfernen erzeugen<br />
Sie ein sogenanntes Revoke-Zertifikat:<br />
$ gpg ‐‐gen‐revoke ID > revoke.asc<br />
Das importieren Sie über gpg ‐‐import<br />
revoke.asc in Ihren Schlüsselbund und<br />
exportieren dann den zurückgerufenen<br />
Schlüssel auf den Keyserver:<br />
$ gpg ‐‐keyserver hkp://keys.gnupU<br />
g.net ‐‐send‐keys ID<br />
Der Revoke-Schlüssel sollte im Fall einer<br />
Kompromittierung eines veröffentlichten<br />
Schlüssels am besten schon vorliegen<br />
und darf zum späteren Zeitpunkt<br />
keinesfalls in falsche Hände gelangen.<br />
Fazit<br />
Die meisten Zeitgenossen schirmen die<br />
Fenster zur Straße mit Vorhängen –<br />
nicht, um Verbrechen zu verbergen, sondern<br />
weil die gewahrte Privatsphäre das<br />
Wohnklima verbessert. Die Erkenntnis,<br />
dass sich an strategischen Eckpunkten<br />
des Internets alle E-Mails abgreifen lassen,<br />
müsste sich dank Edward Snowdens<br />
mutiger Enthüllung langsam verbreiten.<br />
Klagen von Kommunikationspartnern,<br />
die E-Mail-Verschlüsseln als zu umständlich<br />
empfinden, sollte man daher mit<br />
dem Argument kontern, dass das Einrichtung<br />
von GnuPG weniger Mühe bedeutet<br />
als die Montage von Vorhangstangen.<br />
Wer die Benutzung der Konsole<br />
nicht gewohnt ist, kann statt der im Artikel<br />
vorgestellten Befehle die leicht bedienbaren<br />
grafischen Tools von Thunderbird<br />
oder KMail benutzen. (tle) n<br />
09.2013 www.linux-user.de<br />
41
Praxis<br />
Digikam<br />
Bilder bearbeiten mit Digikam<br />
Effektvoll<br />
Für einfache Korrekturen und kleine Effekte leisten die<br />
Werkzeuge in der Fotoverwaltung Digikam gute Dienste.<br />
Andreas Reitmaier<br />
© senoldo, Fotolia<br />
Readme<br />
Digikam gehört zu den ausgesprochenen<br />
Allround-Talenten, wenn es um Fotos geht.<br />
Über die Verwaltungsfunktionen der Software<br />
haben wir in einem Artikel in der letzten<br />
Ausgabe bereits ausführlich berichtet.<br />
Im aktuellen Artikel beschäftigen wir uns<br />
näher mit den Bildbearbeitungsoptionen.<br />
Der Urlaub ist vorbei, auf der heimischen<br />
Festplatte tummeln sich Hunderte<br />
neue Bilder. Idealerweise haben Sie diese<br />
bereits in Digikam importiert, nach<br />
Orten und Zeit sortiert und die schönsten<br />
Erinnerungen mit einem System aus<br />
Sternen oder Farben markiert. Sobald<br />
die Abende wieder länger werden, bietet<br />
es sich an, sich mit dem Bearbeiten<br />
ausgesuchter Fotos zu beschäftigen.<br />
Sie öffnen die Bildbearbeitung aus einer<br />
beliebigen Ansicht heraus über das<br />
Kontextmenü oder [F4]. Je nach Voreinstellung<br />
genügt ein Doppelklick, und Sie<br />
Digikam-Workshop<br />
Sie haben sich noch nicht mit Digikam beschäftigt,<br />
und die Fotos lagern noch auf der<br />
Kamera? Dann schauen Sie doch mal in<br />
die Ausgabe 08/2013 von <strong>LinuxUser</strong>. Dort<br />
finden Sie ab Seite 32 einen Workshop, der<br />
sich mit den Funktionen der Software beschäftigt.<br />
Online lesen Sie ihn unter http://<br />
www. linux‐community. de/ 29918.<br />
landen direkt in der Ansicht mit den Bearbeitungswerkzeugen.<br />
Diese öffnet sich<br />
stets in einem separaten Fenster 1 .<br />
Haben Sie ein Foto im RAW-Format gewählt,<br />
zeigt Digikam zunächst einen Dialog<br />
für den Import, der bereits erste Einstellungen<br />
erlaubt. Bei allen anderen<br />
Fotos gelangen Sie direkt in den Dialog<br />
mit Farbeinstellungen, Auswahlen und<br />
diversen Effekten.<br />
Spezialfall Rohdaten<br />
Laden Sie Rohdaten, öffnet sich automatisch<br />
ein separates Werkzeugfenster 2 .<br />
Hier nehmen Sie bei Bedarf verschiedene<br />
Einstellungen vor, um aus den unbearbeiteten<br />
Daten der Kamera ein Foto zu entwickeln.<br />
Das bearbeiten Sie anschließend<br />
mit den Werkzeugen von Digikam weiter.<br />
Sie finden im Import auf der linken Seite<br />
eine <strong>Vorschau</strong> des Fotos, das die Software<br />
mit Standardwerten berechnet hat. Auf<br />
der rechten Seite sehen Sie ganz oben<br />
ein Histogramm und darunter die Werkzeuge,<br />
aufgeteilt in drei Reiter.<br />
44 www.linux-user.de<br />
09.2013
Digikam<br />
Praxis<br />
Mit den Werkzeugen unter Rohdekodierung<br />
legen Sie fest, wie Digikam eine erste<br />
Ansicht der Fotos berechnet. Achten<br />
Sie darauf, nach Änderungen stets die<br />
Schaltfläche Aktualisieren rechts unten zu<br />
betätigen, damit das Programm die Modifikationen<br />
in der <strong>Vorschau</strong> anzeigt.<br />
Beim Dekodieren geht es im Wesentlichen<br />
um das Festlegen der Helligkeitsbereiche<br />
und den Weißabgleich. Für<br />
Letzteres stehen sowohl automatische<br />
als auch manuelle Methoden bereit.<br />
Beim manuellen Verfahren gehen Sie immer<br />
von den Standardwerten von D65<br />
aus. Allerdings passt die Software die Anzeige<br />
nicht an die gewählten automatischen<br />
Methoden an. Arbeiten Sie häufiger<br />
mit Rohdaten, empfiehlt sich der Einsatz<br />
eines separaten RAW-Konverters: Ein solcher<br />
bietet in der Regel mehr Optionen.<br />
Als weiteres Werkzeug finden Sie unten<br />
eine Rausch- und Farbkorrektur sowie<br />
die Möglichkeit, die Farbverwaltung<br />
anzupassen. Im Reiter Nachbearbeitung<br />
können Sie die Werte der Belichtung<br />
weiter modifizieren. Hier stehen mehr<br />
Optionen bereit als beim Dekodieren.<br />
Änderungen an den Werten zeigt die<br />
Applikation in der <strong>Vorschau</strong> sofort an.<br />
Korrekturen der Helligkeit<br />
Gerade Schnappschüsse aus dem Urlaub<br />
entsprechen nur selten den Vorstellungen<br />
vom perfekten Bild, und so beginnt<br />
die Arbeit an teilweise missratenen Werken<br />
bereits bei der Korrektur von Helligkeit<br />
und Farben. Diese Arbeiten verbirgt<br />
Digikam gesammelt unter dem Menü<br />
Farbe. Bei vielen Fotos bringt die automatische<br />
Korrektur bereits Verbesserungen<br />
– insbesondere, wenn typische Fehler<br />
auftauchen, wie Fehlbelichtung wegen<br />
Sonne oder eindeutige Verschiebungen<br />
bei der Farbe.<br />
Darüber hinaus machen die Fehler fast<br />
immer zusätzlich manuelle Anpassungen<br />
notwendig, die Sie aber mit der Vielzahl<br />
der Tools leicht bewerkstelligen. Ein relativ<br />
einfaches Werkzeug zur Kontrolle der<br />
Helligkeit verbirgt sich hinter dem Regler<br />
Helligkeit, Kontrast, Gamma.<br />
D65: Nach dem CIE-System festgelegtes<br />
Normlicht, das in etwa dem Mittagslicht in<br />
Nord- oder Westeuropa entspricht.<br />
1 Aus den unterschiedlichen Ansichten heraus starten Sie die Ansicht zum Bearbeiten von Bildern per Kontextmenü oder über [F4].<br />
09.2013 www.linux-user.de<br />
45
Praxis<br />
Digikam<br />
2 Bei Bedarf öffnen Sie mit Digikam direkt das RAW-Format der Kamera und geben dem Bild noch vor dem eigentlichen Bearbeiten<br />
die notwendigen Informationen zu Farbwerten und Helligkeit mit.<br />
3 Das Gradationswerkzeug wirkt auf frischgebackene Bildverarbeiter in aller Regel zunächst etwas ungewohnt. Das vielseitige Tool<br />
ermöglicht jedoch schon nach kurzer Einarbeitung eine präzise Kontrolle der Helligkeitswerte in verschiedenen Bildbereichen.<br />
46 www.linux-user.de<br />
09.2013
Digikam<br />
Praxis<br />
Versuchen Sie zunächst die Helligkeit mit<br />
dem Gamma-Regler anzupassen. Das hat<br />
den Vorteil, dass die Randwerte nahe<br />
Schwarz beziehungsweise Weiß weitgehend<br />
konstant bleiben und sich nur die<br />
mittleren Farbwerte verändern. Das erhält<br />
den Gesamteindruck des Bildes: Farben<br />
verändern die Wirkung nicht so sehr,<br />
und die Bilder wirken nicht flau und grau.<br />
Mit dem Regler Leuchtstärke verändern<br />
Sie die gesamte Helligkeit des Fotos,<br />
was auch die Werte für Schwarz und<br />
Weiß betrifft, sodass Fotos schnell missraten<br />
wirken. Mit dem Kontrast-Regler<br />
passen Sie anschließend bei Bedarf noch<br />
ein wenig die Balance zwischen hellen<br />
und dunklen Farbtönen an.<br />
In besonders schwierigen Fällen empfiehlt<br />
sich der Einsatz des Werkzeuges<br />
Gradation 3 . Obwohl als Profi-Werkzeug<br />
verschrien, eignet sich die Gradationskurve<br />
auch für Einsteiger zum Kontrollieren<br />
der Helligkeit in einzelnen Bereichen.<br />
Zunächst sehen Sie eine gerade Linie<br />
durch das Diagramm auf der rechten<br />
Seite laufen. Dort entspricht jeder Eingangswert<br />
dem gleichen Ausgangswert<br />
der Helligkeit. Wählen Sie mit der Maus<br />
eine Stelle auf der Linie an, erscheint<br />
dort ein roter Kontrollpunkt, den Sie<br />
nach oben (heller) oder unten (dunkler)<br />
bewegen. So kontrollieren Sie ganz gezielt<br />
die Helligkeit.<br />
Platzieren Sie zunächst einen (festen)<br />
Punkt in der Mitte, und korrigieren Sie<br />
dann zunächst die Werte oberhalb (helle<br />
Bildbereiche) und unterhalb (dunkle<br />
Bildteile) des Fotos. Sie sollten mit diesem<br />
Werkzeug etwas üben und vorsichtig<br />
umgehen, da Sie anderenfalls die<br />
Helligkeitsbalance des ganzen Bildes<br />
stark verändern und so beschädigen.<br />
Farbkorrekturen<br />
Für Farbkorrekturen steht ebenfalls eine<br />
ganze Reihe an Werkzeugen bereit. Eine<br />
einfache Regelung finden Sie mit Farbschattierung/Sättigung/Helligkeit.<br />
Mit diesem<br />
Werkzeug können Sie sowohl die<br />
4 Verschiedene Werkzeuge ermöglichen eine mehr oder weniger subtile Anpassung der Farben. Mit Farbbalance arbeiten Sie komfortabel<br />
und ohne die Gefahr, das Gesamtbild zu zerstören.<br />
09.2013 www.linux-user.de<br />
47
Praxis<br />
Digikam<br />
5 Digikam bietet beim Werkzeug zum Beschneiden von Bildern eine ganze Reihe von verschiedenen Optionen, um Ergebnisse zu<br />
erzielen, die den menschlichen Sehgewohnheiten entsprechen.<br />
Farben eines Bildes „aufpeppen“ als auch<br />
mit psychedelischen Effekten experimentieren.<br />
Zunächst einmal finden Sie hier<br />
den altbekannten Sättigungsregler, mit<br />
dem Sie die Gesamtsättigung der Farben<br />
und damit die Farbigkeit erhöhen – womit<br />
es viele Anwender übertreiben.<br />
Diese Gefahr besteht beim Werkzeug<br />
Vibrance nicht: Der Regler hebt nur die<br />
Sättigung bei geringer gesättigten Farben<br />
an und bringt so mehr Lebendigkeit<br />
in sonst eventuell zu flau geratene Fotos.<br />
Anschließend korrigieren Sie bei Bedarf<br />
noch die Helligkeit etwas, falls bei etwas<br />
dunkleren Fotos das Erhöhen der Sättigung<br />
zu einem etwas zu dunklen Ergebnis<br />
führt.<br />
Mit dem Regler Farbschattierung verschieben<br />
Sie das gesamte Spektrum innerhalb<br />
des Bildes. Damit erzeugen Sie<br />
Falschfarben-Fotos, was oft für Fotos im<br />
Stil von Andy Warhol zum Einsatz<br />
kommt. Einstellungen an einzelnen Farbwerten<br />
nehmen Sie mit Farbbalance vor.<br />
Über die drei Regler verschieben Sie die<br />
Balance der Primärfarben gegenüber<br />
den jeweiligen Komplementärfarben.<br />
Im Beispiel aus Abbildung 4 ist der<br />
Wert Cyan/Rot um 10 Punkte in Richtung<br />
Rot verschoben und im Gegensatz<br />
dazu Gelb/Blau um 10 Punkte in Richtung<br />
Gelb. Dadurch entsteht eine leichte<br />
Orange-Färbung, die Hautfarben eine<br />
etwas sommerliche Note verleiht. Die<br />
minimale Grünfärbung des Wassers fällt<br />
dabei nur im direkten Vergleich auf.<br />
Schneiden, Drehen, Spiegeln<br />
Bei Schnappschüssen aus dem Urlaub<br />
entspricht oft der Bildausschnitt nicht<br />
den Vorstellungen oder der Horizont<br />
hängt schräg – meist ging es ja eher darum,<br />
Momente einzufangen. Erst später<br />
am Rechner stellt sich heraus, dass man<br />
das Motiv mit der Lupe suchen muss,<br />
das Meer Schlagseite hat oder sich ein<br />
Auto mit ins Bild mogeln konnte.<br />
Das Menü Transformieren stellt verschiedene<br />
Werkzeuge bereit, um solche<br />
Fehler zu bereinigen. Die Tools fallen<br />
weitestgehend intuitiv aus, das Zuschneiden<br />
mit Seitenverhältnis veranschaulicht<br />
deren Funktionsweise.<br />
Möchten Sie Fotos nur am Computer<br />
betrachten, spielt deren Seitenverhältnis<br />
kaum eine Rolle. Wollen Sie die Bilder jedoch<br />
klassisch beim Fotodienst bestellen,<br />
gilt es, das jeweilige Seitenverhältnis<br />
der Ausgabe zu beachten. Eben dabei<br />
hilft das Werkzeug Zuschneiden mit Seitenverhältnis.<br />
Rufen Sie es auf, zeigt Digikam<br />
einen Auswahlrahmen an (siehe<br />
Abbildung 5 ). Dessen Seitenverhältnis<br />
entspricht dabei dem zuletzt von Ihnen<br />
genutzten. Dies ist besonders hilfreich,<br />
wenn Sie mehrere Fotos nacheinander<br />
bearbeiten möchten. Digikam stellt zudem<br />
verschiedene Formate zur Auswahl<br />
bereit, angefangen beim Quadrat über<br />
das klassische Fotoformat 3:2 bis hin zu<br />
bildschirmgemäßen Aspekten von 4:3<br />
oder 5:4. Darüber hinaus gibt es noch<br />
den klassischen Schnitt und das Seitenverhältnis<br />
des aktuellen Fotos.<br />
48 www.linux-user.de<br />
09.2013
Digikam<br />
Praxis<br />
6 Das Menü Dekorationen bietet neben den hier gezeigten Varianten für Rahmen aller Art auch noch die Möglichkeit, Texte und<br />
Wasser zeichen in das Bild einzufügen und die Aufnahme mit verschiedensten Texturen zu überlagern.<br />
Wollen Sie ein Format für den Monitor<br />
oder ein Fernsehgerät erstellen, nutzen<br />
Sie Benutzerdefiniert und geben in den<br />
darunterliegenden Eingabefeldern die<br />
gewünschten Werte ein, etwa 16:9 oder<br />
die Auflösung des Gerätes, wie 1440:900.<br />
Mit den Anfassern an den vier Bildecken<br />
verändern Sie nun die Größe des<br />
Zuschneidebereiches, wobei immer das<br />
einmal festgelegte Seitenverhältnis gewahrt<br />
bleibt. Unterhalb der Einstellungen<br />
finden Sie Angaben zur Position<br />
und der resultierenden Bildgröße. Scrollen<br />
Sie weiter herunter, sehen Sie das<br />
Werkzeug Hilfslinien, das Ihnen beim<br />
Gestalten des Ausschnittes hilft.<br />
Dekoratives<br />
Mit den beschriebenen Werkzeugen optimieren<br />
Sie ein Foto im Handumdrehen.<br />
Möchten Sie nun noch ein paar Informationen<br />
hinzufügen oder der Sache einen<br />
ansprechenden Rahmen geben, bietet<br />
Digikam dazu die passenden Werkzeuge<br />
im Menü Dekorieren. Das relativ kleine<br />
Menü wartet mit einem Textwerkzeug,<br />
einem Rahmengenerator und einer Textur-Option<br />
auf. Auch wenn da erst einmal<br />
die Finger jucken, empfiehlt es sich,<br />
nur eine der Optionen auf ein Foto anzuwenden:<br />
Im Mittelpunkt soll ja schließlich<br />
das Foto stehen.<br />
Wollen Sie Ihre Bilder im Internet präsentieren,<br />
dann bietet es sich erstens an,<br />
diese durch ein Wasserzeichen zu markieren<br />
und sie zweitens mit schlagkräftigen<br />
Titeln zu versehen (was im klassischen<br />
Fotoalbum eher unschön aussieht).<br />
Dazu dient das Textwerkzeug:<br />
Über Texte hinzufügen konfigurieren Sie<br />
Art, Größe, Stil sowie Farbe des Textes.<br />
Zusätzlich haben Sie die Möglichkeit,<br />
den Text zu drehen und anschließend<br />
am Rand zu platzieren. Auf Wunsch umgibt<br />
die Software die Beschriftung mit<br />
einem einfachen Rahmen oder blendet<br />
sie transparent über das Motiv. Sie fügen<br />
weitere Texte hinzu, indem Sie das Werkzeug<br />
mehrfach aufrufen.<br />
09.2013 www.linux-user.de<br />
49
Praxis<br />
Digikam<br />
7 Eine kleine Auswahl an Effekten bietet Digikam ebenfalls an. Hier gilt es, darauf zu achten, dass der Effekt zum bearbeiteten Foto passt.<br />
TIPP<br />
Texturen eignen sich, um Hintergründen<br />
etwas mehr Leben einzuhauchen. Wie bei<br />
allen Effekten gilt hier: Einmal den Hauch<br />
von Leinwand zu verbreiten ist durchaus<br />
legitim; zu häufig angewendet, nutzt sich<br />
der Effekt sehr schnell ab.<br />
Das Rahmenwerkzeug 6 bietet die klassischen<br />
Varianten farbiger Rahmen und<br />
Rahmen mit Texturen. Texturierte Rahmen<br />
sind aber nicht jedermanns Sache<br />
und passen zu den wenigsten Fotos. Eine<br />
attraktive Variante des farbigen Rahmens<br />
nennt sich Niepce. Damit legen Sie einen<br />
schmalen Rahmen direkt um das Bild und<br />
anschließend einen breiten Rahmen in<br />
einer zusätzlichen Farbe dort herum. Das<br />
wirkt bei vielen Fotos besonders edel.<br />
Die Breite des Rahmens legen Sie in<br />
Prozent fest, wenn Sie die Option Seitenverhältnis<br />
beibehalten aktiviert haben.<br />
Dann führt die Software den Rahmen an<br />
der Längsseite des Fotos etwas breiter<br />
aus als auf der kurzen Seite. Anderenfalls<br />
geben Sie die Rahmenbreite in Pixel an.<br />
Dies gilt jeweils für den äußeren, breiten<br />
Rahmen. Das Werkzeug Rahmen hinzufügen<br />
dürfen Sie ebenfalls mehrfach anwenden.<br />
Ebenfalls in den Dekorationen finden<br />
Sie das Werkzeug Textur. Hiermit legen<br />
Sie verschiedene Muster über das Foto,<br />
um den Anschein zu erwecken, das Foto<br />
sei auf Leinwand, Papier oder eine Mauer<br />
gemalt. An Reglern finden Sie bei diesem<br />
Werkzeug wenig, lediglich je einen für<br />
die Auswahl des Musters und die Stärke<br />
des Effektes. Um das Ergebnis zu beurteilen,<br />
sollten Sie in das Bild hineinzoomen.<br />
Effekte-Kiste<br />
Natürlich dürfen richtige Effekte im<br />
Werkzeugkasten von Digikam nicht fehlen:<br />
Insgesamt acht verschiedene Werkzeuge<br />
verschönern (oder verhunzen) bei<br />
Bedarf die Fotos. Von Farbeffekten über<br />
das klassische „Ölgemälde“ bis hin zur<br />
Filmkörnung finden Sie hier die ein oder<br />
andere interessante Option.<br />
Gerade bei solch weitgehenden Effekten<br />
sollten Sie darauf achten, dass sie<br />
tatsächlich zum Motiv passen und nicht<br />
nur um ihrer selbst willen zum Einsatz<br />
kommen. In Abbildung 7 mit den Wasserflächen<br />
und dem blauen Himmel sehen<br />
Sie den Effekt Regentropfen, der bei<br />
einem Hochzeitsmotiv oder einer Häuserfassade<br />
sicher deplatziert wäre.<br />
50 www.linux-user.de<br />
09.2013
Digikam<br />
Praxis<br />
8 Nicht alle Werkzeuge aus dem Menü Verbessern wirken sinnvoll. Das Schärfen-Werkzeug bietet jedoch nützliche Optionen.<br />
Andere Effekte, wie etwa die Gravur oder<br />
Kanten finden aus den Farbeffekten, eignen<br />
sich vor allem, um Fotos für das weitere<br />
Bearbeiten vorzubereiten. Allerdings<br />
bieten Programme wie Gimp oft<br />
ähnliche oder gleiche Filter. Andere<br />
Effekte, wie Ölgemälde oder Kohlezeichnung<br />
wirken sehr gut als solche.<br />
Die Parameter, die Sie bei den Effekten<br />
finden, sind in der Regel selbsterklärend.<br />
Allerdings lohnt es sich, ein wenig mit<br />
den Werten zu experimentieren, um für<br />
das jeweilige Foto eine passende Einstellung<br />
zu finden. Bei den Filtern lohnt es<br />
sich, den Knopf Ausprobieren zu nutzen,<br />
um einen Eindruck des jeweiligen Filters<br />
zu gewinnen.<br />
Halbautomatisch verbessern<br />
Im Menü Verbessern hält Digikam weitere,<br />
zum Teil recht geläufige Werkzeuge<br />
bereit. Zu den Klassikern gehört Rote Augen.<br />
Die Optionen erlauben ein genaue<br />
Kontrolle über den Effekt. Zusätzlich legen<br />
Sie fest, welche Farbe die Korrektur<br />
annimmt, sodass diese sich harmonisch<br />
ins Bild einfügt. Im Gegensatz zu einigen<br />
anderen Rote-Augen-Tools macht die<br />
Digikam-Variante den Einsatz recht leicht.<br />
Zu den weiteren Werkzeugen gehören<br />
Weichzeichnen und Schärfen. Während<br />
Ersteres in Bezug auf die Funktionen<br />
schwach ausgestattet ist, bietet Letzteres<br />
immerhin drei Modi, unter anderem<br />
das oft benötigte Unscharf maskieren mit<br />
den drei wichtigsten Parametern 8 .<br />
Fazit<br />
Die Bildbearbeitungswerkzeuge von<br />
Digikam eignen sich ausgezeichnet, um<br />
Fotos der eigenen Sammlung ein wenig<br />
aufzuhübschen und für gängige Arbeiten<br />
vorzubereiten, wie das Belichten, das<br />
Ausdrucken oder das Zusammenstellen<br />
eines Fotobuchs. Die Bedienung fällt<br />
leicht, die Resultate können sich trotzdem<br />
sehen lassen. Als Kombination aus<br />
Medienverwaltung und Bildbearbeitung<br />
beschleunigt Digikam obendrein den<br />
Workflow ganz erheblich. (agr) n<br />
TIPP<br />
Mit dem Filter Lokaler Kontrast bearbeitet,<br />
erscheinen flaue Fotos oft sehr viel lebendiger<br />
und schärfer. Die Parameter dieses<br />
Filters lassen sich gut kombiniert einsetzen.<br />
Mit etwas Probieren erzielen Sie<br />
schnell beeindruckende Ergebnisse.<br />
09.2013 www.linux-user.de<br />
51
Praxis<br />
PDFs mit LaTeX<br />
PDFs mit Navigation und Links<br />
aus LaTeX generieren<br />
Letzter<br />
Schliff<br />
PDF gilt als Standard für<br />
plattformunabhängige<br />
Dokumente. Mit den LaTeX-<br />
Klassen Hyperref und Pdf pages<br />
reizen Sie die Möglichkeiten des<br />
Dateiformates gekonnt aus. Daniel Tibi<br />
© Tkeys, sxc.hu<br />
Readme<br />
PDF fungiert heute als Standard für den<br />
Austausch von Dokumenten zwischen unterschiedlichen<br />
Plattformen. LaTeX bietet<br />
mit den Klassen hyperref und pdfpages<br />
eine Vielzahl von Einstellungsmöglichkeiten,<br />
mit denen Sie die Funktionen des Formates<br />
gekonnt ausnutzen.<br />
Die Unabhängigkeit von einer Plattform<br />
gehörte seit jeher zu den Designzielen<br />
von LaTeX. Garant dafür war zunächst<br />
das TeX-Format DVI; heute markiert PDF<br />
den Standard für den Austausch. Mit<br />
Pdflatex oder Xelatex û erzeugen Sie<br />
problemlos Dateien in diesem Format.<br />
Um die Möglichkeiten aber richtig auszunutzen,<br />
stehen unter LaTeX die beiden<br />
Pakete hyperref und pdfpages û bereit.<br />
Das Paket hyperref setzt die Metadaten<br />
eines Dokumentes, erzeugt externe<br />
und interne Verweise, legt die Optionen<br />
zum Anzeigen fest und erstellt Formularfelder,<br />
die Sie bei Bedarf ausfüllen. Sie laden<br />
das Paket in der Präambel mit dem<br />
Befehl:<br />
\usepackage[Optionen]{hyperref}<br />
Dabei ist es sinnvoll, es als Letztes aller<br />
Pakete aufzuführen, die Sie einbinden<br />
wollen, damit kein anderes Paket die<br />
Werte überschreibt, die Sie darüber anpassen.<br />
Sie haben die Möglichkeit, die<br />
einzelnen in diesem Artikel beschriebenen<br />
Optionen des Paketes entweder in<br />
eckigen Klammern hinzuzufügen oder in<br />
einem gesonderten Befehl in der Präambel<br />
aufzulisten:<br />
\hypersetup{Optionen}<br />
Das Paket pdfpages bietet umfangreiche<br />
Möglichkeiten, PDF-Dateien in ein Dokument<br />
einzufügen. Sie laden das Paket in<br />
der Präambel mit dem Befehl:<br />
\usepackage{pdfpages}<br />
Externe PDF-Dateien fügen Sie über einen<br />
eigenen Befehl im Hauptteil an der<br />
Stelle ein, an der sie erscheinen sollen.<br />
Metadaten enthalten Informationen<br />
über das Dokument, welche die Datei<br />
zusätzlich zum eigentlichen Inhalt er-<br />
54 www.linux-user.de<br />
09.2013
PDFs mit LaTeX<br />
Praxis<br />
mentes oder zu einer URL außerhalb<br />
weiterleiten. Solche Verweise erzeugen<br />
Sie bei Bedarf mit dem Paket hyperref.<br />
Am einfachsten fügen Sie über<br />
\url{URL} einen Verweis ein.<br />
In die geschweifte Klammer tragen Sie<br />
die vollständige Adresse inklusive Protokoll<br />
ein. Bei Internetseiten verwenden<br />
Sie dazu in der Regel ein führendes<br />
http://, bei E-Mail-Adressen ein führendes<br />
mailto:. Das Verweisziel erscheint<br />
als Text im Dokument in Schrift mit fester<br />
Laufweite. Stört das führende Protokoll<br />
im Fließtext den Lesefluss, bietet es<br />
sich unter Umständen an, bei einigen<br />
Domains das weitverbreitete www. wegzulassen.<br />
Bei Mail-Adressen wirkt das<br />
führende mailto: im Fließtext ebenfalls<br />
störend und verwirrend. Mit dem folgengänzen.<br />
Zu den Metadaten gehören der<br />
Titel, der Autor, die Art des Dokumentes,<br />
Schlagwörter, das Programm, mit dem<br />
Sie die PDF-Datei erstellt haben, sowie<br />
das Datum des Erstellens und letzten<br />
Änderns. Das Paket hyperref bietet Ihnen<br />
die Möglichkeit, diese Metadaten in<br />
ein Dokument einzufügen.<br />
Listing 1 zeigt einen exemplarischen<br />
Block mit solchen Metadaten. Die wichtigsten<br />
Metadaten sind Autor, Titel, Art<br />
des Dokumentes und Schlagwörter (Zeilen<br />
2 bis 5). Für Felder, die Sie nicht verwenden<br />
möchten, sparen Sie die entsprechende<br />
Option aus. Die übrigen Felder<br />
füllt LaTeX automatisch aus, wenn<br />
Sie keine eigenen Werte eintragen 1 .<br />
Im Feld Creator erscheint standardmäßig<br />
der Eintrag LaTeX with hyperref<br />
package, wenn nicht ein anderes Paket<br />
dieses Feld mit einem anderen Wert<br />
überschreibt. Bei Bedarf weisen Sie dem<br />
Feld aber einen anderen Wert zu (Zeile<br />
6). Im Feld Producer speichert LaTeX<br />
standardmäßig die LaTeX-Version, die<br />
Sie verwenden. Alternativ verwenden<br />
Sie hier einen eigenen Wert (Zeile 7).<br />
Verweise<br />
Ähnliches gilt für die Datumsangaben<br />
zum Erstellen des Dokumentes sowie<br />
zur letzten Änderung (Zeilen 8 und 9):<br />
Geben Sie keine eigenen Werte für diese<br />
Felder an, speichert LaTeX das tatsächliche<br />
Erstelldatum. Das Änderungsdatum<br />
bleibt standardmäßig leer, da LaTeX<br />
bei jedem Lauf die PDF-Datei neu anlegt<br />
und nicht eine bestehende ändert.<br />
Wollen Sie eigene Werte für Erstelloder<br />
Änderungsdatum angeben, tragen<br />
Sie dazu Datum und Uhrzeit als eine<br />
vierzehnstellige Zahl ohne Trennzeichen<br />
in der Reihenfolge Jahr, Monat, Tag,<br />
Stunde, Minute, Sekunde in die geschweifte<br />
Klammer der entsprechenden<br />
Option ein. Dabei trägt die Software diese<br />
Daten nur in den Metadaten des PDF-<br />
Dokumentes ein; sie erscheinen jedoch<br />
nicht als Erstell- und Änderungsdatum<br />
der Datei im Dateimanager.<br />
PDF unterstützt, ähnlich zu einer Webseite,<br />
die Integration von Links, die zu einem<br />
Sprungziel innerhalb des Doku-<br />
1 Metadaten enthalten zusätzliche Informationen über eine Datei. Sie sehen<br />
diese in manchen Fällen im Dateimanager oder – je nach Software –<br />
auch im PDF-Betrachter.<br />
Listing 1<br />
01 \hypersetup{<br />
02 pdfauthor={Edwin A. Abbott},<br />
03 pdftitle={Flatland. A Romance of Many Dimensions},<br />
04 pdfsubject={Roman},<br />
05 pdfkeywords={Literatur, Roman, Science‐Fiction},<br />
06 pdfcreator={LaTeX mit den Paketen hyperref und pdfpages},<br />
07 pdfproducer={pdfLaTeX},<br />
08 pdfcreationdate={20130101000000},<br />
09 pdfmoddate={20130228142857},<br />
10 % ... weitere Optionen des hyperref‐Pakets ...<br />
11 }<br />
09.2013 www.linux-user.de<br />
55
Praxis<br />
PDFs mit LaTeX<br />
Listing 2<br />
01 \label{Sprungzielname}<br />
02 \ref{Sprungzielname}<br />
03 \pageref{Sprungzielname}<br />
04 \autoref{Sprungzielname}<br />
05 \autopageref{Sprungzielname}<br />
Listing 3<br />
01 \usepackage[ngerman]{babel}<br />
02 \addto\extrasngerman{<br />
03 \def\<br />
appendixautorefname{Anhang}<br />
04 \def\<br />
chapterautorefname{Kapitel}<br />
05 \def\<br />
equationautorefname{Gleichung}<br />
06 \def\<br />
figureautorefname{Abbildung}<br />
07 \def\<br />
Hfootnoteautorefname{Fußnote}<br />
08 \def\pageautorefname{Seite}<br />
09 \def\partautorefname{Teil}<br />
10 \def\<br />
sectionautorefname{Abschnitt}<br />
11 \def\subsectionautorefname{Unt<br />
erabschnitt}<br />
12 \def\tableautorefname{Tabelle}<br />
13 }<br />
Listing 4<br />
01 urlbordercolor={Farbe}<br />
02 linkbordercolor={Farbe}<br />
03 allbordercolors={Farbe}<br />
den Befehl geben Sie dem eigentlichen<br />
Verweisziel noch einen beschreibenden<br />
Text mit auf den Weg:<br />
\href{Verweisziel}{Text}<br />
Verweise innerhalb des Dokumentes setzen<br />
Sie in zwei Schritten. Zunächst definieren<br />
Sie das Sprungziel, auf den Sie einen<br />
Link setzen möchten. Dazu nutzen<br />
Sie den folgenden Befehl:<br />
\hypertarget{Sprungzielname}{Text}<br />
In die erste geschweifte Klammer tragen<br />
Sie einen Namen für das Sprungziel ein,<br />
das Sie definieren wollen, und in die<br />
zweite geschweifte Klammer den Text,<br />
den der Link umfasst.<br />
Als zweiten Schritt geben Sie einen<br />
anklickbaren Link zu dem definierten<br />
Sprungziel aus. In die erste geschweifte<br />
Klammer tragen Sie den Namen ein, den<br />
Sie für das Sprungziel vergeben haben,<br />
und in die zweite geschweifte Klammer<br />
den Text, den Sie verlinken möchten:<br />
\hyperlink{Sprungzielname}{Text}<br />
Mit dem Befehl aus Listing 2, Zeile 1, erstellen<br />
Sie ein Sprungziel zu Objekten<br />
wie Tabellen, Abbildungen, Gleichungen<br />
oder Ähnlichem, wobei das Sprungziel<br />
auf das Objekt verweist innerhalb dessen<br />
Umgebung der Befehl steht. Steht<br />
der Befehl in keiner speziellen Umgebung,<br />
korrespondiert er mit dem Kapitel<br />
oder dem Abschnitt, in dem er steht. Sie<br />
verweisen auf ein solches Label mit dem<br />
Befehl aus Listing 2, Zeile 2.<br />
Als Verweistext gibt LaTeX die Nummer<br />
der Tabelle, Abbildung, Gleichung<br />
beziehungsweise des Kapitels oder des<br />
Abschnittes aus. Wollen Sie stattdessen<br />
die Seitenzahl ausgeben, nutzen Sie den<br />
Befehl aus Listing 2, Zeile 3.<br />
Diese beiden Befehle verlinken nur die<br />
eigentliche Zahl. Wollen Sie zusätzlich<br />
zur Zahl noch die Bezeichnung, also das<br />
Wort „Kapitel“, „Abschnitt“, „Tabelle“, „Abbildung“,<br />
„Gleichung“, „Seite“ oder Ähnliches<br />
verlinken, stehen Ihnen dazu die<br />
Befehle in Zeile 4 beziehungsweise in<br />
der Zeile 5 zur Verfügung.<br />
Standardmäßig verwendet LaTeX dabei<br />
englische Bezeichnungen, auch wenn<br />
Sie in der Präambel Deutsch als Sprache<br />
eingestellt haben. Das Paket babel stellt<br />
einen Befehl bereit, um die Bezeichnungen<br />
neu zu definieren.<br />
Listing 3 enthält einen exemplarischen<br />
Block mit den wichtigsten Bezeichnungen.<br />
Zunächst laden Sie das Paket<br />
babel (Zeile 1) mit Deutsch in neuer<br />
Rechtschreibung (ngerman). Alte Rechtschreibung<br />
stellen Sie über die Option<br />
german in den eckigen Klammern ein.<br />
Es folgt der Befehlsblock, mit dem Sie<br />
die Bezeichnungen umdefinieren (Zeilen<br />
2 bis 13). Haben Sie die alte Rechtschreibung<br />
ausgewählt, heißt der Befehl<br />
in Zeile 2 \extrasgerman. Bestimmte interne<br />
Verweise setzt LaTeX automatisch<br />
und verlinkt beispielsweise Fußnoten<br />
und die Einträge im Inhaltsverzeichnis<br />
automatisch.<br />
Standardmäßig umrandet LaTeX Verweise,<br />
wobei die Software für externe<br />
und interne Links verschiedene Farben<br />
nutzt 2 . Möchten Sie dies beibehalten<br />
und nur die Farben des Randes ändern,<br />
nutzen Sie dazu als Option oder im Befehl<br />
\hypersetup in der Präambel das<br />
Kommando aus Listing 4, Zeile 1 für externe<br />
Verweise und die Option aus Zeile<br />
2 für interne Verweise. Möchten Sie<br />
beide Arten von Verweisen in derselben<br />
Farben umranden, legen Sie die Farbe<br />
einheitlich fest (Zeile 3).<br />
Die Farbe geben Sie als drei Zahlen<br />
zwischen 0 und 1 durch ein Leerzeichen<br />
getrennt im RGB-Schema an û. So definieren<br />
Sie die Farbe Blau mit 0 0 1 oder<br />
die Farbe Braun mit 0.5 0.25 0.<br />
Darüber können Sie das Umranden<br />
der Verweise abschalten und stattdessen<br />
deren Text in einer anderen Farbe darstellen.<br />
Dazu dient die Option<br />
colorlinks=true. Hier haben Sie ebenfalls<br />
die Möglichkeit, die Farben der Verweise<br />
zu ändern. Dazu steht die Option<br />
aus Listing 5, Zeile 1 für Verweise mit<br />
URLs, die aus Zeile 2 für interne Verweise,<br />
für die einheitliche Darstellung externer<br />
und interner Verweise bereit.<br />
Anders als bei Umrandungen geben<br />
Sie hier den Namen der Farbe an, die Sie<br />
auswählen möchten. Vordefiniert sind<br />
56 www.linux-user.de<br />
09.2013
PDFs mit LaTeX<br />
Praxis<br />
die Farben Schwarz (black), Weiß<br />
(white), Rot (red), Blau (blue), Grün<br />
(green), Cyan (cyan), Magenta (magenta)<br />
und Gelb (yellow). Möchten Sie andere<br />
Farben verwenden, definieren Sie diese<br />
zunächst mit dem color-Paket û.<br />
Anzeige<br />
Mit dem Paket hyperref beeinflussen<br />
Sie über bestimmte Einstellungen, wie<br />
die PDF-Datei im Anzeigeprogramm erscheint.<br />
Listing 6 enthält ein Beispiel mit<br />
essenziellen Einstellungen.<br />
So bestimmen Sie, welche Seite beim<br />
Öffnen der Datei als Erstes erscheint<br />
(Zeile 2) oder dass statt des Pfades der<br />
Datei der Titel des Dokumentes in der<br />
Titelleiste des Betrachters erscheint (Zeile<br />
3). Außerdem schalten Sie auf diese<br />
Weise bei Bedarf die Anzeige der Menüund<br />
Symbolleiste im PDF-Betrachter ab.<br />
Ob diese Einstellungen tatsächlich funktionieren,<br />
hängt allerdings vom eingesetzten<br />
Programm ab.<br />
Formulare<br />
Mit dem Paket hyperref erzeugen Sie<br />
Formulare, die der Leser am Bildschirm<br />
ausfüllen und ausdrucken oder (je nach<br />
PDF-Betrachter) ausgefüllt abspeichern<br />
kann. Dazu stellt das Paket die Umgebung<br />
Form bereit, die Sie pro Datei allerdings<br />
nur einmal verwenden dürfen.<br />
Listing 5<br />
01 urlcolor={Farbe}<br />
02 linkcolor={Farbe}<br />
03 allcolors={Farbe}<br />
Listing 6<br />
01 \hypersetup{<br />
02 pdfstartpage=2,<br />
03 pdfdisplaydoctitle=true,<br />
04 pdfmenubar=false,<br />
05 pdftoolbar=false,<br />
06 % ... weitere Optionen des<br />
hyperref‐Pakets ...<br />
07 }<br />
2 Standardmäßig kennzeichnet LaTeX Verweise durch einen farbigen Rand, wobei die<br />
Software zwischen externen und internen Verweisen durch verschiedene Farben unterscheidet.<br />
Alternativ entfernen Sie den Rand und färben stattdessen den Text ein.<br />
Listing 7 enthält ein einfaches Beispiel,<br />
Abbildung 3 zeigt das Ergebnis. Der<br />
Code in Zeile 2 erzeugt ein Textfeld, der<br />
in Zeile 3 eine Auswahlliste. In der ersten<br />
geschweiften Klammer steht jeweils der<br />
Text, der vor dem Feld erscheint. Der<br />
Befehl für die Auswahlliste hat noch eine<br />
zweite geschweifte Klammer, in die Sie<br />
die einzelnen Auswahlpunkte durch<br />
Kommas getrennt eintragen.<br />
Durch die Angaben in den eckigen<br />
Klammer beeinflussen Sie das Aussehen<br />
der Felder. Die fünf Befehle im Beispiel<br />
sind beiden Typen gemeinsam und bestimmen<br />
die Breite, die Farbe des Textes,<br />
die Farbe für den Hintergrund sowie die<br />
Dicke des Rahmens und die Farbe des<br />
Formularfeldes. Farben geben Sie auch<br />
hier jeweils als drei Zahlen zwischen 0<br />
und 1 im RGB-Schema an.<br />
Listing 7<br />
01 \begin{Form}<br />
02 \TextField[width=50mm,color=0 0 0,backgroundcolor=0.9 0.9 0.9,border<br />
width=0.5,bordercolor=0 0 0]{Name:}\\<br />
03 \ChoiceMenu[width=50mm,color=0 0 0,backgroundcolor=0.9 0.9 0.9,bor<br />
derwidth=0.5,bordercolor=0 0 0]{Wie geht es dir?}{Super!, Na ja.,<br />
Könnte besser sein.}\\<br />
04 \end{Form}<br />
09.2013 www.linux-user.de<br />
57
Praxis<br />
PDFs mit LaTeX<br />
Listing 8<br />
addtotoc={<br />
Seitenzahl,<br />
Ebene,<br />
Ebenentiefe,<br />
Überschrift,<br />
Label<br />
}<br />
Listing 9<br />
addtolist={<br />
Seitenzahl,<br />
Verzeichnis,<br />
Überschrift,<br />
Label<br />
}<br />
Listing10<br />
Möchten Sie ein mehrzeiliges Textfeld<br />
erzeugen, dann fügen Sie den Befehl<br />
multiline in die eckige Klammer des<br />
Befehls für das Textfeld ein. Bei Auswahllisten<br />
erzeugt LaTeX standardmäßig ein<br />
mehrzeiliges Auswahlfeld.<br />
Wenn Sie den Befehl popdown in die<br />
eckige Klammer des Befehls für die Auswahlliste<br />
eintragen, erhalten Sie stattdessen<br />
ein Ausklappmenü. Der Befehl<br />
radio erzeugt eine Liste, die die Auswahl<br />
eines Punktes erlaubt.<br />
Externe PDF-Dateien<br />
Mit dem Paket pdfpages fügen Sie externe<br />
PDF-Dateien in ein Dokument ein.<br />
Dazu stellt das Paket den folgenden Befehl<br />
bereit:<br />
\includepdf[Optionen]{Dateiname}<br />
Diesen setzen Sie an diejenige Stelle im<br />
Hauptteil, an der Sie die PDF-Datei einfügen<br />
möchten. Der Dateiname darf dabei<br />
keine Leerstellen enthalten. Allerdings<br />
gehen dabei alle anklickbaren Verweise<br />
der externen Datei verloren – etwa solche,<br />
die Sie mit dem Paket hyperref erzeugt<br />
haben.<br />
Das pdfpages-Paket stellt eine Vielzahl<br />
von Optionen bereit. Mit dem Parameter<br />
pages=Seitenzahlen geben Sie die Seiten<br />
an, die Sie einfügen möchten. Standardmäßig<br />
wählt das Paket nur die erste<br />
Seite aus. Als Parameter geben Sie die<br />
Seiten an, die Sie einfügen wollen, jeweils<br />
durch Kommas getrennt. Dabei<br />
dürfen Sie allerdings aufeinanderfolgende<br />
Seiten durch einen Bindestrich zusammenfassen.<br />
Möchten Sie alle Seiten einfügen, geben<br />
Sie einfach einen Bindestrich an. Die<br />
letzte Seite des Dokumentes sprechen<br />
Sie mit last an. So fügt last‐1 alle Seiten<br />
in umgekehrter Reihenfolge ein.<br />
Eine Leerseite fügen Sie ein, indem Sie<br />
statt einer Seitenzahl eine leere geschweifte<br />
Klammer ({}) angeben.<br />
\includepdfmerge{datei1.pdf, ‐, datei2.pdf, 2‐5, datei3.pdf, 3,5,7‐21}<br />
Das Paket erlaubt es zusätzlich, mehrere<br />
Seiten einer externen PDF-Datei auf einer<br />
Seite des Dokumentes zusammenzufassen.<br />
Nutzen Sie dazu die Option<br />
nup=Anzahl BreitexAnzahl Höhe<br />
So fügt die Option nup=2x3 zwei Spalten<br />
mit je drei Seiten der externen PDF-Datei<br />
zu einer Seite im Dokument zusammen.<br />
Mit der Option<br />
delta=Horizontaler Zwischenraum U<br />
Vertikaler Zwischenraum<br />
fügen Sie einen Zwischenraum der angegebenen<br />
Größe zwischen die einzelnen<br />
Seiten ein. Wollen Sie jede Seite umranden,<br />
nutzen Sie dazu die Option<br />
frame=true.<br />
Standardmäßig verteilt LaTeX die einzelnen<br />
Seiten der externen Datei reihenweise<br />
von links nach rechts über die Seite<br />
Ihres Dokumentes. Wollen Sie die Seiten<br />
stattdessen spaltenweise von oben<br />
nach unten verteilen, ergänzen Sie die<br />
Option column=true.<br />
Gut gedreht<br />
Je nach der Ausrichtung des Dokumentes<br />
und jener der externen Datei, die Sie<br />
einfügen wollen, kann es manchmal nötig<br />
werden, entweder die Seiten der eigenen<br />
Datei oder die Seiten der einzufügenden<br />
externen Datei vom Hoch- ins<br />
Querformat zu drehen.<br />
Die Ausrichtung des Dokumentes drehen<br />
Sie mit der Option landscape vom<br />
Hochformat ins Querformat, wobei die<br />
Ausrichtung der externen Datei erhalten<br />
bleibt. Die externen Seiten drehen Sie<br />
mit der Option angle=Winkel um einen<br />
beliebigen Winkel, wobei die Ausrichtung<br />
der eigenen Datei erhalten bleibt.<br />
Mit der Option<br />
pagecommand={[Text|LaTeX‐Befehle]}<br />
geben Sie auf jeder Seite des Dokumentes,<br />
auf der Sie eine Seite der externen<br />
Datei eingefügt haben, den angegebenen<br />
Inhalt aus. Das ist entweder einfacher<br />
Text, oder Sie ändern mittels eines<br />
58 www.linux-user.de<br />
09.2013
3 Ein einfaches Beispiel für ein Formular mit mehreren Feldern.<br />
Befehls den Seitenstil. So unterdrücken Sie die Ausgabe der<br />
Kopf- und Fußzeile beispielsweise mit:<br />
pagecommand={\thispagestyle{empty}}<br />
Wollen Sie eine PDF-Datei als Broschüre drucken, arrangieren<br />
Sie die Seiten neu. Dabei hilft Ihnen die Option booklet, die<br />
die Seiten der externen PDF-Datei so einfügt, dass eine Broschüre<br />
entsteht. Um aus einem A4-Dokument eine A5-Broschüre<br />
zu generieren, verwenden Sie folgenden Befehl:<br />
\includepdf[landscape,booklet,pages=‐]{Quelldatei}<br />
Bei Bedarf ergänzen Sie für die eingefügten Seiten die entsprechenden<br />
Einträge im Inhaltsverzeichnis. Listing 8 zeigt die<br />
dazu notwendigen Befehle. Als Seitenzahl geben Sie die Seite<br />
an, die im Inhaltsverzeichnis erscheinen soll. Es folgt die Ebene,<br />
also chapter, section, danach die Tiefe der Ebene, die von der<br />
Klasse des Dokumentes abhängt.<br />
In der Klasse article beziehungsweise scrartcl hat<br />
section die Ebenentiefe 1, subsection die Ebenentiefe 2. Als<br />
Nächstes tragen Sie den Text ein, den Sie im Inhaltsverzeichnis<br />
sehen möchten. Schließlich geben Sie noch ein Label an, mit<br />
dem Sie über den Befehl \ref{Label} oder \pageref{Label}<br />
einen internen Verweis erstellen.<br />
Auf die gleiche Weise erzeugen Sie Einträge in andere Listen,<br />
wie die Verzeichnisse für Tabellen oder Abbildungen. Dazu nutzen<br />
Sie den Befehl aus Listing 9. Als Seitenzahl tragen Sie die<br />
Seite ein, die Sie im Verzeichnis sehen möchten. Es folgt das<br />
Verzeichnis, für das Sie den Eintrag vorgesehen haben. So erzeugt<br />
figure einen Eintrag im Verzeichnis der Abbildungen<br />
und table in dem für Tabellen. Anschließend ergänzen Sie<br />
noch den Text, der in diesem Verzeichnis erscheinen soll, sowie<br />
ein Label für interne Verweise.<br />
Möchten Sie mehrere PDF-Dateien hintereinander in Ihr Dokument<br />
einfügen, bietet sich der Befehl \includepdfmerge an.<br />
Die Optionen, die Sie in den eckigen Klammern angeben dürfen,<br />
sind dieselben wie beim Befehl \includepdf – mit einer<br />
Ausnahme: Sie geben die Seiten, die Sie einfügen möchten,<br />
nicht als Option an, sondern nach dem jeweiligen Dateinamen<br />
durch ein Komma getrennt. Listing 10 zeigt ein Beispiel.<br />
Wenn Sie in Ihr Dokument mehrfach externe PDF-Dateien<br />
einfügen und immer dieselben Optionen verwenden, brauchen<br />
Sie die Optionen nicht immer neu in die eckigen Klam-<br />
09.2013 59
Praxis<br />
PDFs mit LaTeX<br />
Der Autor<br />
Weitere Infos und<br />
interessante Links<br />
www. linux‐user. de/ qr/ 29691<br />
Daniel Tibi ist Benediktinermönch<br />
der Abtei Kornelimünster.<br />
Er studiert Theologie<br />
an der Ruhr-Universität<br />
Bochum und arbeitet dort als studentische<br />
Hilfskraft am Lehrstuhl für Philosophisch-Theologische<br />
Grenzfragen. Als<br />
Geis teswissenschaftler nutzt er gekonnt<br />
die umfangreichen Möglichkeiten von<br />
LaTeX aus. Neben seiner Tätigkeit in der<br />
Lehre schreibt er als freier Autor über<br />
seine Erfahrungen mit dem Satzsystem.<br />
mern des Befehls einzutragen. Geben<br />
Sie die Optionen stattdessen einmalig in<br />
der folgenden Weise in der Präambel an:<br />
\includepdfset{Optionen}<br />
Diese gelten dann für das ganze Dokument,<br />
wobei Sie bei den einzelnen<br />
\includepdf-Befehlen im Hauptteil<br />
Optionen ergänzen oder überschreiben<br />
dürfen.<br />
Das Paket pdfpages nutzt intern den<br />
Befehl \includegraphics aus dem Paket<br />
graphicx û, sodass alle Optionen,<br />
dieses Befehls auch als Option bei<br />
\includepdf funktionieren. Interessant<br />
ist beispielsweise die Option zum Beschneiden<br />
des eingefügten Objektes:<br />
trim=l b r t<br />
Die für links (l), unten (b), rechts (r) und<br />
oben (t) angegebenen Längen schneidet<br />
die Software von der externen PDF-<br />
Seite ab und fügt den verbleibenden<br />
Rest ein. Geben Sie negative Längen an,<br />
ziehen Sie auf diese Weise einen Rand<br />
um die externe PDF-Seite. Damit diese<br />
Option jedoch funktioniert, ergänzen Sie<br />
noch clip=true.<br />
Haben Sie alle PDF-Seiten richtig eingebunden,<br />
alle Formulare ausgefüllt,<br />
fehlt manchmal nur noch ein kleines<br />
Stück im großen Puzzle. Das mag eine<br />
Unterschrift sein oder eine Grafik, die Sie<br />
an der richtigen Stelle einfügen möchte.<br />
Hier hilft das Paket overpic û, das Ihnen<br />
erlaubt, Text oder sonstigen LaTeX-<br />
Code über eine PDF-Datei (oder eine<br />
Listing 11<br />
01 \begin{overpic}{formular.pdf}<br />
02 \unitlength1mm<br />
03 \put(50,20)<br />
04 {<br />
05 \begin{minipage}{100mm}<br />
06 Flatland, 01.01.2000\\<br />
07 \includegraphics{unterschrift.<br />
png}\\<br />
08 A. Square\\<br />
09 \end{minipage}<br />
10 }<br />
11 \end{overpic}<br />
Grafik) zu schreiben. Laden Sie das Paket<br />
in der Präambel mit dem Befehl:<br />
\usepackage{overpic}<br />
An der Stelle, an der Sie im Dokument<br />
die PDF-Datei mit dem zusätzlichen Text<br />
einfügen möchten, setzen Sie die Umgebung<br />
overpic ein. In Listing 11 kommt<br />
diese Funktion zum Einsatz, um Ort, Datum<br />
und eine eingescannte Unterschrift<br />
in ein Formular einzufügen, das als PDF-<br />
Datei vorliegt. Zeile 1 etabliert die Umgebung<br />
overpic. In den eckigen Klammern<br />
geben Sie bei Bedarf Optionen an,<br />
in geschweiften Klammern den Namen<br />
der Datei, die Sie einfügen wollen.<br />
Möchten Sie die Datei skalieren, nutzen<br />
Sie dazu die Option scale=Faktor in<br />
eckigen Klammern. Um die Position des<br />
Textes zu bestimmen, gibt es zwei Möglichkeiten:<br />
Sie geben diese relativ an. La-<br />
TeX teilt dazu die längere Seite der Datei<br />
in 100 Einheiten ein und legt darauf aufbauend<br />
ein Gitter mit gleich großen<br />
Quadraten über die Datei. Um den Text<br />
noch genauer zu positionieren und eine<br />
Einteilung in 1000 Einheiten zu erreichen,<br />
verwenden Sie die Option permil<br />
in eckigen Klammern in Zeile 1.<br />
Um die Position besser einzuschätzen,<br />
steht die Option grid bereit. Starten Sie<br />
einen LaTeX-Lauf mit dieser Option, erscheint<br />
über der eingefügten Datei ein<br />
Raster, an dem Sie die Koordinaten ablesen<br />
(Zeile 3). Alternativ machen Sie absolute<br />
Angaben zur Position.<br />
Die Zahlen in Zeile 3 stehen hier ohne<br />
Einheit. Die Größe der Einheit geben Sie<br />
über einen eigenen Befehl an (Zeile 2).<br />
Es folgt der Text oder LaTeX-Code. Dazu<br />
kommt eine Minipage-Umgebung zum<br />
Einsatz, deren Breite Sie beim Eröffnen<br />
angeben (Zeile 5). Daran schließt sich<br />
der Text oder LaTeX-Code an.<br />
Fazit<br />
Wenige Erweiterungen genügen bereits,<br />
um ein LaTeX-Dokument als Ausgangsmaterial<br />
für ein PDF mit sinnvollen Funktionen<br />
zu versehen. Mit diesen Möglichkeiten<br />
geben Sie Ihren Dokumenten den<br />
letzten Schliff. (agr) n<br />
60 www.linux-user.de<br />
09.2013
Praxis<br />
Gimp-Workshop Verzerren<br />
Mit Gimp Verzeichnungen beheben und<br />
Motive gekonnt ins Bild rücken<br />
Hingezupft<br />
Ob kreativer Einsatz oder Mittel zum Zweck: Gimps Werkzeuge zum<br />
Verzerren digitaler Bilder leisten hervorragende Arbeit. Sie müssen nur<br />
wissen, welches Sie wann einsetzen. Karsten Günther<br />
© Stocker, sxc.hu<br />
Readme<br />
Das Thema „Verzerren“ fasziniert in mehrfacher<br />
Hinsicht: Es ist technisch anspruchsvoll<br />
und ermöglicht interessante bis verrückte<br />
Ergebnisse. Die freie Bildbearbeitung<br />
Gimp stellt eine Reihe von Werkzeugen und<br />
viele Filter für diesen Zweck bereit.<br />
Die in Gimp enthaltenen Funktionen<br />
zum Verzerren ermöglichen es, aus gewöhnlichen<br />
Aufnahmen ungewöhnliche<br />
Bilder zu zaubern. Bevor Sie sich aber<br />
dem kreativen Einsatz widmen, lohnt es<br />
sich, die entsprechenden Werkzeuge zur<br />
manuellen Korrektur von Objektivfehlern<br />
zu nutzen – sie bringen Abhilfe bei<br />
moderaten Verzeichnungen. Allerdings<br />
bleibt die Wirkung begrenzt. Oft lohnt es<br />
sich deshalb auch, zusätzlich das Perspektiv-Werkzeug<br />
zu bemühen.<br />
Werkzeuge<br />
Die Werkzeuge zum Drehen, Scheren<br />
und perspektivische Modifikationen gehören<br />
zur Grundausstattung von Gimp.<br />
Alle arbeiten im Transformationsmodus:<br />
Sie sehen also zunächst nur eine <strong>Vorschau</strong>,<br />
die Sie Ihren Vorstellungen entsprechend<br />
manipulieren. Erst in einem<br />
weiteren Schritt – nach dem Bestätigen<br />
der Aktion – führt Gimp die rechenintensiven<br />
Arbeiten auf den Bilddaten aus.<br />
Ganz neu ist in Gimp 2.8 bei den Werkzeugen<br />
zum Verformen die Käfig-Transformation<br />
hinzugekommen – allerdings<br />
nur mit eingeschränktem Funktionsumfang.<br />
So beschränkt sich deren Einsatz<br />
bisher auf Ebenen; Pfade oder eine Auswahl<br />
unterstützt das Tool noch nicht.<br />
Dafür ist das Bedienkonzept sehr einfach:<br />
Sie ziehen einen Rahmen um den<br />
gewünschten Bildbereich und setzen<br />
überall dort Stützpunkte, wo Sie später<br />
Verformungen vornehmen wollen. Sobald<br />
dieser Rahmen geschlossen ist, berechnet<br />
die Software die benötigten Parameter.<br />
Anschließend verschieben Sie<br />
die Stützpunkte, was den Inhalt entsprechend<br />
verzerrt 1 .<br />
Auswahl und Pfad<br />
Das Verzerren einer Auswahl gehört zu<br />
den speziellen Aktionen, die in mehrfacher<br />
Hinsicht Bedeutung haben: Eine<br />
Auswahl dient als Begrenzung beim Kopieren,<br />
Löschen und für weitere Aufgaben<br />
und kommt darüber hinaus häufig<br />
beim Malen zum Einsatz.<br />
62 www.linux-user.de<br />
09.2013
Gimp-Workshop Verzerren<br />
Praxis<br />
1 Bei der Arbeit mit der Käfig-Transformation definieren Sie zunächst den Rahmen<br />
(oben links), anschließend verschieben Sie die Stützpunkte so lange, bis Sie dadurch das<br />
gewünschte Ergebnis (rechts, hier nachträglich eingefärbt) erhalten.<br />
Alle Standardwerkzeuge – mit Ausnahme<br />
des Werkzeugs zur Käfig-Transformation<br />
– erlauben Ihnen das gezielte Verzerren<br />
einer Auswahl innerhalb des Bildes.<br />
In den Optionen des jeweiligen<br />
Werkzeugs steht dafür hinter dem Punkt<br />
Transformation als zweites der Eintrag<br />
Auswahl bereit. Ein weiterer Punkt im<br />
Hauptmenü Auswahl ermöglicht es<br />
Ihnen hingegen, eine Auswahl entsprechend<br />
festgelegter Parameter entlang<br />
deren Kante zu verzerren 2 .<br />
Das Skript, das Sie mit dem Dialog steuern,<br />
wandelt eine einfache (meist geometrische)<br />
Auswahl in eine etwas organischere<br />
Form um. Das funktioniert neben<br />
einer klassischen Auswahl sehr gut<br />
mit Buchstaben in Textebenen, sobald<br />
Sie diese mittels Auswahl aus Alphakanal<br />
angewählt haben.<br />
Über Schwellwert legen Sie grundlegend<br />
fest, wie die Software die Auswahl<br />
verzerrt. Kleine Werte vergrößern dabei<br />
die Auswahl. Verteilen und Körnigkeit ver<br />
2 Für das Verzerren einer Auswahl bietet Gimp zusätzlich<br />
einen speziellen Dialog an, der die Kante der Auswahl entsprechend<br />
der vorgegebenen Parameter modifiziert.<br />
3 Pfade verzerren Sie unter anderem über das Perspektiv-Werkzeug.<br />
09.2013 www.linux-user.de<br />
63
Praxis<br />
Gimp-Workshop Verzerren<br />
4 Im IWrap-Filter wählen Sie die gewünschte Funktion aus. Anschließend führen<br />
Sie diese im <strong>Vorschau</strong>fenster aus. Gefällt das Ergebnis, wendet OK den Filter an.<br />
5 Über zwei Kurven steuern Sie das Ergebnis des Filters Verbiegen. Die <strong>Vorschau</strong><br />
zeigt, welche Änderungen am Bild die veränderten Parameter nach sich ziehen.<br />
größern das Verzerren, Glätten reduziert<br />
es. Mit Horizontal glätten beziehungsweise<br />
Vertikal glätten steuern Sie dies<br />
noch feiner.<br />
Einen Pfad bearbeiten Sie mit den<br />
Standardwerkzeugen analog zu einer<br />
Auswahl. Insbesondere das perspektivische<br />
Verzerren bietet dabei viele Möglichkeiten<br />
3 . Darüber hinaus ist das<br />
Pfadwerkzeug so konzipiert, dass es das<br />
manuelle Verzerren von Pfaden besonders<br />
unterstützt. Pfade eignen sich dabei<br />
als Grundlagen für Auswahlen, zum<br />
Zeichnen oder als Hilfslinien.<br />
Grundsätzlich können Sie sowohl die<br />
Stützpunkte als auch die Linien („Segmente“<br />
im Gimp-Jargon) von Pfaden beeinflussen.<br />
Dieses Werkzeug kennt drei<br />
Modi: Design zum Erstellen neuer Pfade,<br />
Bearbeiten und das Verschieben von bestehenden<br />
Pfaden.<br />
Über [Strg] aktivieren Sie den Modus<br />
zum Bearbeiten. In diesem Fall erzeugt<br />
jeder Klick einen neuen Stützpunkt. Segmente<br />
verschieben Sie direkt mit der<br />
Maus oder deformieren sie durch die<br />
Hilfslinien an den Endpunkten. Mit<br />
[Strg]+[Umschalt] entfernt ein Mausklick<br />
einen Stützpunkt oder ein Segment.<br />
Filter<br />
Das Menü Filter enthält im Untermenü<br />
Verzerren eine Reihe von Funktionen<br />
zum Verzerren von Bildern, darunter<br />
IWrap und Objektivfehler … sowie Wrap<br />
text…. Hinter IWrap verbirgt sich ein interaktiver<br />
Filter, mit dem Sie bei Bedarf<br />
Teile des Bildes bewegen, vergrößern,<br />
verkleinern oder verdrehen. Entfernen<br />
hilft Ihnen, unnötige Verformungen<br />
rückgängig zu machen. Dabei haben Sie<br />
die Möglichkeit, die Modifikation im Bild<br />
vorzunehmen oder als Animation zu<br />
speichern. Abbildung 4 zeigt den Filter<br />
und einige Beispiele.<br />
Dieser Filter erfordert zwar etwas<br />
Übung, danach erzielen Sie aber schnell<br />
brauchbare Ergebnisse. Die recht kleine<br />
<strong>Vorschau</strong> erschwert das Bearbeiten von<br />
Details. Hier ist es sinnvoll, diese auf einer<br />
separaten Ebene getrennt zu bearbeiten<br />
und dann das Ergebnis wieder in<br />
das Bild einzufügen.<br />
64<br />
www.linux-user.de<br />
09.2013
Gimp-Workshop Verzerren<br />
Praxis<br />
Sie steuern die Deformation über mehrere<br />
Parameter: Der Deformationsradius<br />
wirkt wie ein weicher Pinsel, mit dem Sie<br />
die Verformung vornehmen, Deformierung<br />
beeinflusst die Stärke des Effektes.<br />
Die Option Bilinear verbessert die Qualität<br />
der Deformation, was Anpassendes<br />
Hochrechnen noch im Detail verstärkt.<br />
Über Maximale Tiefe legen Sie die Zahl<br />
der Durchläufe beim Berechnen der Pixel<br />
fest, die mehr als den eingestellten<br />
Schwellwert verändern. Im zweiten Reiter<br />
bietet der IWrap-Filter an, eine Animation<br />
mit bis zu 200 Einzelbildern aus<br />
der Deformation zu erzeugen.<br />
Der Filter Verbiegen … funktioniert<br />
ähnlich wie IWrap im Modus Verschiebe:<br />
Über zwei Kurven definieren Sie die<br />
Transformation, die Sie bei Bedarf speichern,<br />
um sie später auf weitere Bilder<br />
anzuwenden. In der <strong>Vorschau</strong> sehen Sie<br />
die Kontur des Bildes, rechts daneben<br />
die Linie, über die Sie die Modifikation<br />
an dem Bild steuern 5 .<br />
In der Regel erzielen Sie mit glatten<br />
Kurven den richtigen Effekt, um weiche<br />
Übergänge zwischen den Segmenten zu<br />
erhalten. Freie Kurven ermöglichen dagegen<br />
ganz ungewöhnliche Strukturen.<br />
In beiden Modi haben Sie zudem die<br />
Möglichkeit, zusätzlich die Endpunkte<br />
der Kurven zu verschieben.<br />
Gefällt Ihnen die horizontale Ausrichtung<br />
der Kurven nicht, dann legen Sie einen<br />
neuen Winkel unter Drehen fest.<br />
Glätten und Kantenglättung verbessern<br />
in vielen Fällen das Ergebnis. Gimp erlaubt<br />
es darüber hinaus, einmal erzeugte<br />
Kurven für den erneuten Einsatz in einem<br />
anderen Bild abzuspeichern.<br />
Wählen Sie den Punkt Mit Kopie arbeiten,<br />
dann erhält Gimp die Ebene des Originals<br />
und erstellt stattdessen ein neues<br />
Layer mit dem verbogenen Inhalt. Diese<br />
Ebene erhält zunächst den Namen<br />
curve_bend_dummylayer_b, den Sie aber<br />
ändern dürfen.<br />
eine ganz einfache Variante dieser Filter<br />
dar 6 und tut genau das, was der Name<br />
des Filters verspricht.<br />
Fazit<br />
Wie bei vielen anderen Aufgaben bietet<br />
Gimp auch beim Verzerren eine Menge<br />
Möglichkeiten. Neben den Standardwerkzeugen<br />
verbergen sich auch bei<br />
den Filtern interessante Funktionen. Allerdings<br />
bietet sich bei der Käfig-Transformation<br />
den Entwicklern noch eine<br />
Menge Potenzial zum Optimieren: Hier<br />
berechnet die Software die Transformation<br />
derzeit nach einem unnötig aufwendigen<br />
Verfahren, was die Operation<br />
entsprechend verlängert.<br />
Alle anderen Werkzeuge, die Gimp für<br />
diese Art der Modifikation mitbringt, haben<br />
sich im Alltag bereits oft bewährt.<br />
Mit den Filtern stehen darüber hinaus<br />
umfangreiche Tools bereit, mit denen<br />
Sie Ihr kreatives Können gezielt am Bild<br />
umsetzen. (agr) n<br />
Wind und Wellen<br />
Filter wie Wellen und Wind funktionieren<br />
ähnlich. Sie bieten zwar weniger Flexibilität,<br />
sind dafür aber noch einfacher anzuwenden.<br />
Drehen und Drücken … stellt<br />
6 Hinter Drehen und Drücken … verbirgt sich ein einfacher Effektfilter.<br />
Der Radius steuert die Größe des beeinflussten Bereichs, mit der Druckstärke<br />
beeinflussen Sie die Wirkung der Modifikation.<br />
09.2013 www.linux-user.de<br />
65
Netz&System<br />
Zeroshell (Teil 3)<br />
Zeroshell-Workshop Teil 3: Firewall-Konfiguration<br />
Zugangskontrolle<br />
© Arkosfl, sxc.hu<br />
Eine Firewall kontrolliert den<br />
Fluss der Daten in einem<br />
Netzwerk. Dank einfacher<br />
Konfiguration und umfangreicher<br />
Logging-Funktionen<br />
haben Sie mit Zeroshell<br />
schnell und einfach einen<br />
entsprechenden Dienst aufgesetzt.<br />
Erik Bärwaldt<br />
Readme<br />
Die Inbetriebnahme einer Firewall gehört<br />
bei jedem Netzwerk, das mit dem<br />
Internet kommuniziert, zu den grundlegenden<br />
Arbeiten. Zwar regulieren die<br />
meisten Router bereits den Datenverkehr,<br />
doch die wenigsten bieten eine<br />
Möglichkeit, die Regeln für die Pakete an<br />
eigene Bedürfnisse anzupassen. Zeroshell<br />
springt mit seinem Firewall-Dienst<br />
in die Bresche.<br />
Filter und Tabellen<br />
Der Firewall-Dienst von Zeroshell û<br />
setzt auf das bewährte Duo Netfilter und<br />
Iptables û auf, das unter Linux seit Kernel<br />
2.4 als Paketfilter fungiert. Die beiden<br />
Techniken im Duett ermöglichen es,<br />
anhand von klar definierten Regeln Pakete<br />
zu prüfen und über deren weiteren<br />
Weg zu entscheiden. Jedes Paket durchläuft<br />
unterschiedliche Regelketten, bis<br />
eine Regel zutrifft und das System die<br />
passende Aktion ausführt.<br />
Die drei Tabellen filter für den eigentlichen<br />
Paketfilter, nat für die Network<br />
Address Translation sowie mangle zum<br />
Markieren einzelner Pakete bilden die<br />
grundlegenden Funktionen ab. In ihnen<br />
verwalten Sie die Regellisten in den Kategorien<br />
INPUT, FORWARD und OUTPUT in<br />
der Tabelle filter und PREROUTING, OUTPUT<br />
und POSTROUTING in der Tabelle nat.<br />
Die Tabelle mangle differenziert nach<br />
PREROUTING, INPUT, FORWARD, OUTPUT und<br />
POSTROUTING. Für jede einzelne Regel in<br />
Zeroshell nimmt Ihnen das umständliche<br />
Konfigurieren der Firewall auf der Kommandozeile<br />
ab und bietet neben Stateful Packet<br />
Inspection zusätzlich Logging-Dienste an.<br />
Serie: Zeroshell-Workshop<br />
Zentrale Dienste LU 07/2013, S. 22 http:// www. linux‐community. de/ 29626<br />
Routing und WLAN LU 08/2013, S. 38 http:// www. linux‐community. de/ 29993<br />
Firewall einrichten LU 09/2013, S. 66 http:// www. linux‐community. de/ 30220<br />
66 www.linux-user.de<br />
09.2013
Zeroshell (Teil 3)<br />
Netz&System<br />
diesen Ketten definieren Sie ein sogenanntes<br />
target, also ein Ziel, das festlegt,<br />
was mit dem betreffenden Datenpaket<br />
geschieht. Die häufigsten Targets<br />
sind ACCEPT, DROP und REJECT, die dafür<br />
sorgen, dass das System ein Paket akzeptiert,<br />
verwirft oder zurückweist.<br />
Neben dem reinen Filtern von Paketen<br />
beherrscht das Duo Netfilter und Iptables<br />
zusätzlich die sogenannte Stateful<br />
Packet Inspection (SPI, û), die neben<br />
der Analyse der einzelnen Pakete den<br />
Zustand der Verbindung beim Prüfen<br />
mit einbezieht. Die Firewall merkt sich<br />
diesen in einer internen Tabelle und<br />
wendet auf die einzelnen Pakete nach<br />
dem Prüfen die vorgegebenen Regeln<br />
an. Den Status definiert das System über<br />
die Parameter NEW, ESTABLISHED, RELA-<br />
TED oder INVALID.<br />
Kriterien<br />
Um das Regelwerk sehr fein zu justieren,<br />
bietet Netfilter/Iptables außerdem die<br />
Möglichkeit, einzelne Kriterien auf die<br />
Quell- und Zieladressen der Datenpakete<br />
anzuwenden. Neben der Angabe der<br />
IP-Adressen besteht hier die Option,<br />
physikalisch vorhandene Netzwerkschnittstellen<br />
oder MAC-Adressen zu definieren.<br />
Zudem können Sie die Regeln<br />
auf unterschiedliche Protokolle und Verbindungs-Flags<br />
eingrenzen.<br />
Durch die vielen Parameter wächst<br />
eine manuell angelegte und gepflegte<br />
Firewall bei größeren Netzwerken mit<br />
unterschiedlichsten Anwendungen sehr<br />
schnell zu einer komplexen und wartungsintensiven<br />
Angelegenheit. Bei zunehmender<br />
Komplexität schleichen sich<br />
zudem gerne Fehler ein.<br />
1 Ping-Attacken verhindern Sie mit wenigen Mausklicks.<br />
Um eine vorhandene Firewall durch eigene<br />
Regeln zu ergänzen, suchen Sie<br />
sich zunächst die entsprechende Kategorie<br />
mittig oben im Fenster aus, indem<br />
Sie diese in der entsprechenden Schaltfläche<br />
Policy aktivieren. Anschließend<br />
definieren Sie die Regelkette, wobei es<br />
sich aus der Proaxis empfiehlt, dabei in<br />
der Reihenfolge INPUT, FORWARD und<br />
OUTPUT vorzugehen.<br />
Grafisches Management<br />
Zeroshell vereinfacht durch eine grafische<br />
Oberfläche die Pflege der Firewall<br />
erheblich. Sie öffnen als Administrator<br />
die GUI über das Menü Security |<br />
Firewall links in der vertikalen Leiste<br />
der Oberfläche. Zeroshell wechselt nun<br />
in die Kette INPUT und zeigt einen leeren<br />
Bildschirm, in dem Sie Ihre individuellen<br />
Regeln definieren.<br />
2 Einmal eingerichtet, ist die neue Regel sofort aktiv.<br />
09.2013 www.linux-user.de<br />
67
Netz&System<br />
Zeroshell (Teil 3)<br />
3 Dem Log Viewer entgeht bei korrekten Einstellungen nichts.<br />
Danach klicken Sie auf den kleinen<br />
Schalter Add oben rechts. In einem neuen<br />
Fenster finden Sie nun alle möglichen<br />
Optionen inklusive jener für die Stateful<br />
Packet Inspection (SPI). Da eine fehlerhaft<br />
eingestellte Firewall ein Sicherheitsrisiko<br />
darstellt, empfiehlt es sich, die<br />
Funktion von Netzwerken in Grundzügen<br />
zu verstehen. Die beim Übertragen<br />
genutzten Protokolle sollten ebenfalls<br />
bekannt sein. Vergegenwärtigen Sie sich<br />
zudem, in welcher Richtung Datenpakete<br />
die einzelnen Schnittstellen Ihres<br />
Zeroshell-Rechners durchlaufen, da die<br />
Angabe eines falschen Interface den<br />
Effekt des Filters zunichte macht.<br />
Beispiel<br />
Im nachfolgenden Beispiel 1 für eine<br />
Firewall-Regel geht es darum, von außen<br />
ins Intranet geleitete ICMP-Pakete zu unterbinden.<br />
Massenhafte Anfragen über<br />
das ICMP-Protokoll sind vor allem bei<br />
Skript-Kiddies immer noch das Mittel<br />
der Wahl, um schwächere Computersysteme<br />
mit einer löchrigen Firewall außer<br />
Gefecht zu setzen, indem sie Zielrechner<br />
mit solchen Anfragen überlasten.<br />
Um eingehende Ping-Anfragen zu blockieren,<br />
definieren Sie zunächst in der<br />
Policy DROP und der INPUT-Kette das passende<br />
Interface. Hierbei handelt es sich<br />
nicht um die Schnittstelle, die ins Intranet<br />
führt, sondern um jenen Netzanschluss,<br />
der dem DSL-Gateway zugewandt<br />
ist. Anschließend tragen Sie in<br />
den Feldern Source IP und Destination IP<br />
jeweils gültige IP-Adressen mitsamt ihren<br />
Subnetzmasken ein.<br />
Dabei dürfen Sie – sofern das Intranet<br />
aus mehreren angeschlossenen Computern<br />
und Peripheriegeräten besteht –<br />
komplette Netze als Quell- oder Ziel-IP<br />
angeben. Im nächsten Schritt wählen Sie<br />
links mittig im Fenster das betreffende<br />
Protokoll. Ein Klick auf das kleine Dreieck<br />
rechts neben der Anzeige Protocol Matching<br />
zeigt eine stattliche Liste.<br />
Wählen Sie das ICMP-Protokoll und<br />
danach rechts im Feld ICMP Type den<br />
Eintrag echo-request (ping). Im letzten<br />
Schritt definieren Sie ganz unten, was<br />
mit entsprechenden Paketen passiert,<br />
die von außen einen Ihrer Rechner ansprechen<br />
wollen. Hier stehen im Bereich<br />
ACTION die Alternativen ACCEPT, DROP,<br />
REJECT, CHAIN und RETURN zur Auswahl.<br />
Überwachung<br />
Im Beispiel empfiehlt es sich, die Aktion<br />
DROP zu wählen, da bei dieser das System<br />
das Paket verwirft, ohne dass der<br />
Quellrechner eine Rückmeldung erhält –<br />
für den absendenden Computer bleibt<br />
unklar, ob der angefragte Rechner existiert.<br />
Ein Feedback mithilfe der Aktion<br />
REJECT würde dem absendenden System<br />
die Existenz des Rechners bestätigen.<br />
Der Angreifer hätte die Möglichkeit,<br />
daraus Rückschlüsse zu ziehen, um weitere<br />
Aktivitäten zu planen.<br />
Um die neue Regel in die Firewall einzugliedern,<br />
klicken Sie abschließend auf<br />
die Schaltfläche Confirm. Sofern die<br />
neue Regel korrekt konfiguriert ist, zeigt<br />
das System sie nun im Hauptfenster an.<br />
Ein Häkchen in der Spalte Active signalisiert,<br />
dass die Regel bereits aktiv ist 2 .<br />
Falls die Firewall oder ein Dienst nicht<br />
korrekt arbeitet, bietet Ihnen Zeroshell<br />
die Option, Fehler anhand von Log-Da<br />
68<br />
www.linux-user.de<br />
09.2013
Zeroshell (Teil 3)<br />
Netz&System<br />
teien aufzuspüren. Es zeigt diese Protokolle<br />
als übersichtliche Liste an. Klicken<br />
Sie dazu oben rechts im Konfigurationsfenster<br />
auf die Schaltfläche Show Log.<br />
Zeroshell öffnet nun ein weiteres<br />
Fenster mit dem Log Viewer, in welchem<br />
Sie genaue Angaben zum Datenverkehr<br />
finden 3 . Anhand der Angaben zur<br />
Schnittstelle sowie der Uhrzeit haben Sie<br />
Probleme schnell ermittelt. Log-Dateien<br />
anderer Dienste von Zeroshell erreichen<br />
Sie zusätzlich aus dem Hauptmenü heraus<br />
durch Anklicken von System | Logs.<br />
Verfolger<br />
Damit Sie die Verbindungen im Netzwerk<br />
stets im Blick behalten, ermöglicht<br />
Ihnen Zeroshell das Verfolgen der Kommunikation<br />
in Echtzeit. Über den Menüpunkt<br />
Firewall | Connection Tracking erreichen<br />
Sie den entsprechenden Dialog.<br />
Ab Werk ist das Logging ausgeschaltet,<br />
obwohl Zeroshell bereits die komplette<br />
Datenkommunikation visualisiert. Die<br />
Grafik fällt jedoch sehr unübersichtlich<br />
aus. Es bietet sich an, das Protokollieren<br />
anhand von Filterregeln vorzunehmen.<br />
Oben mittig gibt es dazu eine Eingabezeile<br />
Filter, in der Sie ein Suchkriterium<br />
eingeben. Als solches kommen dabei<br />
IP-Adressen, Port-Nummern oder der<br />
Status der Verbindung infrage. Darüber<br />
hinaus haben Sie die Möglichkeit, die<br />
Liste durch einen Klick auf die Schaltfläche<br />
Flush zunächst zu leeren, um neue<br />
Einträge zu filtern und so mehr Übersicht<br />
zu erhalten.<br />
Um die Kommunikation im Netzwerk<br />
dauerhaft nach voreingestellten Kriterien<br />
zu verfolgen, bietet Zeroshell mithilfe<br />
des Logging-Dienstes die Option, gleich<br />
mehrere Filter zu definieren und die Log-<br />
Dateien somit klein zu halten. Um entsprechende<br />
Filter festzulegen, klicken<br />
Sie oben rechts im Einstellfenster des<br />
Trackings auf den Schalter Configure.<br />
Es öffnet sich ein Eingabefenster, das<br />
allerdings nur maximal neun Regeln aufnimmt.<br />
Zunächst aktivieren Sie das Häkchen<br />
für Enabled, um die Protokollfunktion<br />
einzuschalten, danach geben Sie<br />
die Filterfunktionen ein. So legen Sie die<br />
zur Kontrolle benötigten Filter an.<br />
Die Syntax der Regeln im Connection<br />
Tracking Logger folgt zwar sehr einfachen<br />
Prinzipien, die aber nicht dokumentiert<br />
sind. Das erfordert unter Umständen<br />
einige Experimente, um korrekte<br />
Log-Regeln anzulegen. Grundsätzlich<br />
sind Quellen (Source) und Ziele (Destination)<br />
anzugeben. Außerdem legen Sie<br />
fest, ob Sie Quelle und Ziel der jeweiligen<br />
Regel im Protokoll sehen möchten.<br />
Um alle Pakete zu protokollieren, die<br />
einen Client im Netz 192.168.2.0/24 als<br />
Ziel haben, geben Sie als Filter<br />
dst=192.168.2.* ein. Als Kriterium wäh<br />
4 Filter für die Logdateien definieren Sie ebenfalls grafisch.<br />
5 Bei Bedarf fügen Sie der Firewall problemlos Regeln für proprietäre<br />
Protokolle hinzu.<br />
09.2013 www.linux-user.de<br />
69
Netz&System<br />
Zeroshell (Teil 3)<br />
Weitere Infos und<br />
interessante Links<br />
www. linux‐user. de/ qr/ 30220<br />
len Sie am Ende der Zeile Include und<br />
um den Filter zu aktivieren, setzen Sie<br />
vor der Zeile ein Häkchen.<br />
Möchten Sie alle Pakete ausschließen,<br />
die vom Quell-Port 80 stammen, so geben<br />
Sie in der entsprechenden Zeile<br />
sport=80 an, als Kriterium jedoch<br />
Exclude. Alle Pakete, die von der IP-Adresse<br />
127.0.0.1 ausgehen, also von Localhost,<br />
erscheinen nicht in den Logs. Diese<br />
Regel ist bereits voreingestellt 4 .<br />
Sobald Sie Ihre Filterliste komplettiert<br />
und mit einem Klick auf den Button Save<br />
gespeichert haben, werden die Log-Dateien<br />
den Vorgaben entsprechend gefüllt.<br />
Um die aktuelle Log-Datei einzusehen,<br />
können Sie nun auf die Schaltfläche<br />
Show oben rechts im Konfigurationsfenster<br />
klicken. Es öffnet sich der Log<br />
Viewer, der Ihnen neben den protokollierten<br />
Paketen auch die aktiven Filterregeln<br />
anzeigt.<br />
Proprietäre Protokolle<br />
Durch das Internet haben sich neue Formen<br />
der Kommunikation entwickelt, in<br />
manchen Fällen abseits der herkömmlichen<br />
Standards. So entstanden neue,<br />
meist proprietäre und anwendungsspezifische<br />
Protokolle. Diese siedeln sich<br />
meist auf Layer 7 – der Anwendungsschicht<br />
– des ISO/OSI-Schichtenmodells<br />
an und verwenden eigene Ports. Vor allem<br />
Online-Spiele erweisen sich in dieser<br />
Hinsicht als sehr aktiv.<br />
Zeroshell nimmt Ihnen auch in diesem<br />
Fall eine Menge Arbeit ab: So finden Sie<br />
in den Einstellungen zur Firewall eine<br />
Reihe Layer 7 Filters, die nach einem Klick<br />
auf den Button L7 Manager rechts in dieser<br />
Zeile den Layer 7 Filter Manager öffnet.<br />
Hier wählen Sie zunächst im Feld<br />
Group eine Protokollgruppe aus und rufen<br />
anschließend über ein spezifisches<br />
Protokoll aus dieser Gruppe, für das Sie<br />
eine Firewall-Regel anlegen möchten,<br />
nähere Informationen ab.<br />
Die zugehörige Regel legen Sie über<br />
einen Klick auf das kleine Dreieck rechts<br />
neben der Zeile im Konfigurationsfenster<br />
der Firewall an. Sie wählen hier das<br />
gewünschte Protokoll aus und fügen es<br />
der aktiven Regelkette zu 5 .<br />
Firewall im Test<br />
Nach Abschluss Ihrer Konfiguration<br />
empfiehlt es sich, die Einstellungen auf<br />
ihre Wirksamkeit hin zu überprüfen.<br />
Dazu bieten sich Online-Dienste, wie PC<br />
Flank û an, die verschiedene Tests vornehmen<br />
und Ihnen die Ergebnisse<br />
gleich am Bildschirm präsentieren. Ein<br />
erfolgreich durchlaufener Intensivtest<br />
sollte keine Schwachstellen der Firewall<br />
mehr anzeigen 6 .<br />
Fazit<br />
6 Alles im grünen Bereich dank der Zeroshell-Firewall.<br />
Der Firewall-Dienst von Zeroshell eignet<br />
sich für lokale Netze jedweder Größe<br />
und nimmt Ihnen viel Arbeit ab. Die<br />
Konfiguration einer Firewall erfordert<br />
zwar nach wie vor detaillierte Kenntnisse,<br />
Zeroshell macht es Ihnen aber so einfach<br />
wie möglich.<br />
Eine wirkungsvolle Firewall besteht<br />
zwar aus einer stattlichen Anzahl von<br />
Regeln, diese haben Sie jedoch in den<br />
Eingabemasken relativ schnell zusammen<br />
gestellt. Einmal angelegt, hilft die<br />
Logging-Funktion zudem, Schwachstellen<br />
ausfindig zu machen und im Bedarfsfall<br />
für forensische Zwecke zu dokumentieren.<br />
(agr) n<br />
70 www.linux-user.de<br />
09.2013
Im Test<br />
Leisure Suit Larry<br />
Leisure Suit Larry Reloaded<br />
Alter Herzensbrecher<br />
Ein legendärer Schwerenöter<br />
ist wieder da: In der dritten<br />
Inkarnation seit 1987 kämpft<br />
sich Leisure Suite Larry jetzt<br />
auch unter Linux durch die<br />
Nachtlokale des Städtchens<br />
Lost Wages. Tim Schürmann<br />
Die Stadt Lost Wages ist ein kleines Las<br />
Vegas – nur weniger glitzernd und sichtlich<br />
heruntergekommen. Dort stürzt sich<br />
Larry Laffer übermütig ins Nachtleben.<br />
Als mit Ende 30 immer noch unberührter<br />
Mann möchte er endlich einmal eine Frau<br />
aufreißen. Die Voraussetzungen dazu<br />
scheinen jedoch sub optimal: Neben einem<br />
riesigen Selbstbewusstsein besitzt<br />
Larry unübersehbare Geheimratsecken,<br />
chronischen Mundgeruch, keinerlei Taktgefühl<br />
– und einen schicken weißen Polyesteranzug,<br />
den Leisure Suit.<br />
Im Adventure Leisure Suit Larry Reloaded<br />
dirigieren Sie Larry per Mausklick<br />
durch die Straßen von Lost Wages. Damit<br />
er eine Aktion ausführt oder einen<br />
Gegenstand aufhebt, gilt es zunächst,<br />
den Mauszeiger in ein passendes Symbol<br />
zu verwandeln. Das geschieht wahlweise<br />
über ein Menü oder wiederholtes<br />
Drücken der rechten Maustaste 1 .<br />
Dabei stehen nicht nur gebräuchliche<br />
Aktionen parat, wie Nehmen oder Benutzen:<br />
Larry kann an allen möglichen<br />
Dingen riechen, lecken, herumfummeln<br />
sowie den Reißverschluss seiner Hose<br />
öffnen. Mit diesen nahezu unbegrenzten<br />
Möglichkeiten müssen Sie zahlreiche<br />
Kombinationsrätsel lösen, um so wiederum<br />
möglichst viele Damen in ein noch<br />
zu mietendes Bett zu locken.<br />
Readme<br />
Replay Games lassen in ihrem Point-and-Click-Adventure einen<br />
egendären Frauenheld auferstehen: Leisure Suit Larry Reloaded ist<br />
eine Neuauflage des gleichnamigen Adventures aus dem Jahr 1987.<br />
Finanziert haben die Rückkehr enthusiastische Spieler über Kickstarter.<br />
Das Ergebnis kämpft jedoch mit einigen Problemen.<br />
Leisure Suit Larry Reloaded<br />
Bezugsquelle https:// www. replaygamesinc. com/<br />
Entwickler Replay Games und N-Fusion<br />
Altersfreigabe Ab 16<br />
Lizenz<br />
Kommerziell<br />
Preis<br />
20 Dollar<br />
Voraussetzungen Aktuelle Linux-Distribution mit aktivierter<br />
3D-Grafik<br />
72 www.linux-user.de<br />
09.2013
Leisure Suit Larry<br />
Im Test<br />
Déjà-vu …<br />
Leisure Suit Larry Reloaded ist schon die<br />
zweite Neuauflage eines alten Kultspiels.<br />
Die ursprüngliche Fassung veröffentlichte<br />
der Adventure-Spezialist Sierra bereits<br />
1987 unter dem zungenbrecherischen<br />
Namen „Leisure Suit Larry in the Land of<br />
the Lounge Lizards“. Vor allem durch die<br />
Mundpropaganda von männlichen pubertierenden<br />
Jugendlichen erreichte das<br />
Spiel schnell einen hohen Bekanntheitsgrad.<br />
Es wurde so erfolgreich, dass Larry<br />
in den kommenden Jahren noch fünf<br />
weitere Abenteuer bestehen musste.<br />
Beflügelt vom Erfolg brachte Sierra<br />
1991 den ersten Teil mit modernisierter<br />
Grafik und einer verbesserten Bedienung<br />
noch einmal auf den Markt. Musste<br />
man in der ursprünglichen Fassung<br />
noch Textkommandos eintippen, konnte<br />
man im Remake den Helden nun in einer<br />
quietschbunten Comic-Grafik bequem<br />
Anweisungen mit der Maus erteilen.<br />
Nach dem Untergang von Sierra wanderte<br />
die Marke Larry Laffer zur Firma<br />
Codemasters. Von ihr erwarb 2012 der<br />
amerikanische Spielehersteller Replay<br />
Games û eine Lizenz für ein erneutes<br />
Remake. Dieses sollte mit zeitgemäßer<br />
Grafik, leicht überholten Inhalten und einigen<br />
neuen Rätseln aufwarten. Die Entwickler<br />
orientierten sich dabei vorwiegend<br />
am zweiten Remake, von dem sie<br />
die Steuerung und den Grafikstil übernahmen.<br />
Als Berater konnte man zudem<br />
Al Lowe gewinnen, den geistigen Vater<br />
und Autor der alten Larry-Adventures.<br />
Das Geld für die Produktion sammelte<br />
Replay Games über die Plattform Kickstarter<br />
û. Wer dort mindestens 15 US-<br />
Dollar spendete, erhielt später eine Kopie<br />
des Spiels. Für höhere Beiträge gab<br />
es exklusive Devotionalien, wie den<br />
Soundtrack oder ein T-Shirt. Bis zum<br />
Ende der Kampagne kamen so über<br />
650 000 Dollar zusammen.<br />
Das fertige Leisure Suit Larry Reloaded<br />
vertreibt Replay Games seit Mitte Juni<br />
über Steam û sowie ohne Kopierschutz<br />
auf seiner eigenen Homepage. Die in<br />
Elektronikmärkten angebotene Schachtel<br />
mit einer DVD enthält nur die Windowsund<br />
Mac-OS-X-Version, Linux-Spieler soll<br />
1 Um eine Aktion auszulösen, wählen Sie zunächst das passende Symbol am oberen<br />
Bildschirmrand und klicken dann den Gegenstand an. Einige Personen im Spiel sind übrigens<br />
Unterstützer aus der Kickstarter-Aktion.<br />
ten sie folglich im Regal stehen lassen.<br />
Wie das Original verzichtet auch Leisure<br />
Suit Larry Reloaded auf erotische oder<br />
pornografische Darstellungen, aufgrund<br />
der teilweise derben Witze und Anspielungen<br />
kassierte es hierzulande jedoch<br />
eine Altersfreigabe ab 16 Jahren.<br />
… mit Fehlzündungen<br />
Die von uns direkt beim Hersteller erworbene<br />
Linux-Version sprach ausschließlich<br />
englisch, das Windows-Pendant bietet<br />
auch deutsche Untertitel. Das Spiel liegt<br />
zudem nur als 32-Bit-Version vor, auf<br />
64-Bit-Systemen muss man folglich die<br />
Abkürzungen<br />
Zu Beginn versucht das Spiel anhand<br />
eines Multiple-Choice-Tests zu prüfen,<br />
ober der Spieler auch das notwendige<br />
Alter für das etwas schlüpfrige Adventure<br />
aufweist. Allerdings sind alle Fragen vollständig<br />
auf US-Amerikaner zugeschnitten<br />
und treiben Europäer in die Verzweiflung,<br />
selbst solche fortgeschrittenen Alters.<br />
Glücklicherweise lässt sich die lästige<br />
Quizrunde mit der Tastenkombination<br />
[Strg]+[Alt]+[X] überspringen. Um an<br />
Glücksspielautomaten dem Zufall etwas<br />
auf die Sprünge zu helfen, speichern Sie<br />
den Spielstand, setzen das komplette Geld<br />
(über die lilafarbenen Tasten) und starten<br />
den Automaten. Verlieren Sie, laden Sie<br />
einfach wieder den gespeicherten Spielstand<br />
und versuchen ihr Glück erneut.<br />
09.2013 www.linux-user.de<br />
73
Im Test<br />
Leisure Suit Larry<br />
Die Angabe des LANG-Parameters umgeht<br />
einen Bug, der anderenfalls zu zerstörten<br />
Speicherständen führt. Die Bildschirmauflösung<br />
müssen Sie nicht zwingend<br />
definieren. Allerdings verwendet<br />
das Spiel standardmäßig eine Auflösung<br />
im 4:3-Format, die je nach Monitor zu einer<br />
verzerrten Darstellung führt.<br />
Zu Redaktionsschluss war noch nicht<br />
bekannt, ob und wann die Entwickler<br />
diese Unzulänglichkeiten und kleinen<br />
Fehler beheben.<br />
Abgestanden<br />
2 Der Türsteher des Studio 69 lässt nur Personen mit Ausweis in die Disco.<br />
Weitere Infos und<br />
interessante Links<br />
www. linux‐user. de/ qr/ 30180<br />
entsprechenden Kompatibilitätspakete<br />
einspielen. Um das Spiel zu starten, verwenden<br />
Sie folgenden Befehl:<br />
$ LANG=C ./Larry‐Linux ‐screen‐wiU<br />
dth 1024 ‐screen‐height 768<br />
Das ursprüngliche Leisure Suit Larry zog<br />
seinen Reiz vor allem aus seinem ebenso<br />
abgedrehten wie originellen Szenario,<br />
seinem schlüpfrigen Ruf, den teilweise<br />
irrwitzigen Reaktionen auf die Textkommandos<br />
und nicht zuletzt seiner Pixelgrafik,<br />
die der Fantasie reichlich Spielraum<br />
ließ. Mit all dem kann die Neufassung<br />
nicht aufwarten. Vielmehr fördert<br />
sie die großen, grundlegenden Schwächen<br />
des Spieles zutage: Die wenigen<br />
vorhandenen Rätsel sind teilweise völlig<br />
unlogisch, die ständige Geldnot nervt,<br />
jeden Augenblick kann man sterben,<br />
und eine stringente Hintergrundgeschichte<br />
fehlt komplett.<br />
Als wäre das noch nicht genug, fügt<br />
das Remake ein paar weitere Mängel<br />
hinzu: Die Grafik schwankt zwischen detailverliebter<br />
und laienhafter Comic-Optik<br />
2 , die Animationen wirken teilweise<br />
recht hölzern, und aufgrund der umständlichen<br />
Steuerung klickt man sich<br />
im Laufe des Spieles halb zu Tode 3 .<br />
Wirklich hören lassen kann sich hingegen<br />
der Soundtrack, für den sogar eine<br />
Big Band aufspielte.<br />
Fazit<br />
3 In Diskussionen muss der Spieler stets brav alle Gesprächsmöglichkeiten durchklicken.<br />
Unter dem Strich zählt Leisure Suit Larry<br />
Reloaded eindeutig zu den weniger guten<br />
Adventures – das galt aber eigentlich<br />
auch schon für das Original von Sierra.<br />
So richtet sich die 20 Dollar teure Neuauflage<br />
wohl in erster Linie an eingefleischte<br />
Nostalgiker, die schon 1987 im<br />
Lefty’s einen Drink bestellt haben. Nach<br />
dem Erfolg der Kickstarter-Kampagne zu<br />
schließen, scheint es davon ja durchaus<br />
einige zu geben. (jlu) n<br />
74 www.linux-user.de<br />
09.2013
Schwerpunkt<br />
UBUNTU<br />
user<br />
Youtube to MP3<br />
Musikvideos nach MP3<br />
konvertieren<br />
Abgezapft<br />
© Asifthebes, sxc.hu<br />
Der Downloader Youtube to<br />
MP3 bringt eine Reihe Komfortfunktionen<br />
mit und überzeugt<br />
durch ein intuitives<br />
Interface. Thomas Drilling<br />
Readme<br />
Youtube to MP3 fungiert als Downloader<br />
und Konverter, der die Tonspur aus Videos<br />
im MP3- oder OGG-Format extrahiert. Er<br />
lässt sich einfach bedienen, Einstellungen<br />
gibt es kaum, und deren Vorgaben passen<br />
in vielen Fällen. Auf Wunsch bearbeitet die<br />
Software mehrere Videos parallel und überwacht<br />
automatisch die Zwischenablage.<br />
MP3-Konverter, die Youtube als Quelle<br />
unterstützen, gibt es trotz der manchmal<br />
schwammigen Rechtslage (siehe<br />
Kasten „Urheberrecht und Privatkopie“)<br />
in stattlicher Anzahl. Deren Namen ähneln<br />
sich oft stark, und darunter finden<br />
sich auch einige Online-Dienste, wie<br />
Filsh.net, Convert2mp3.net oder<br />
Youtube-mp3.org. Sogar als Firefox-<br />
Plugin gibt es solche Tools û.<br />
Unter den nativen Konvertern findet<br />
sich unter anderem der Free YouTube to<br />
MP3 Konverter û als sehr beliebtes<br />
Werkzeug. Ubuntu-Nutzer finden im<br />
Ubuntu Apps Directory unter anderem<br />
das Tool YouTube to MP3 û von Human-<br />
Listing 1<br />
Media, das seit Langem unter den Top-<br />
10 Free-Apps û für Ubuntu rangiert.<br />
Das proprietäre Freeware-Tool findet<br />
sich im Ubuntu Software-Center. Von<br />
dort installieren Sie es komfortabel mit<br />
den üblichen Handgriffen, allerdings nur<br />
in der Version 2.6.8 1 .<br />
Warum das Tool allerdings im Software-Center<br />
als Kauf-Software erscheint,<br />
obwohl es sowohl im Developer-Verzeichnis<br />
von Ubuntu als auch auf der<br />
Webseite kostenlos bereitsteht, erschloss<br />
sich uns auf den ersten Blick<br />
nicht. Bei Bedarf bietet es sich also an,<br />
das Tool direkt von der Webseite des<br />
Herstellers zu installieren û.<br />
$ sudo add‐apt‐repository 'http://www.mediahuman.com/packages/ubuntu'<br />
$ sudo apt‐key adv ‐‐keyserver pgp.mit.edu ‐‐recv‐keys D808832C7D19F1F3<br />
$ sudo apt‐get update<br />
$ sudo apt‐get install youtube‐to‐mp3<br />
76 www.linux-user.de<br />
09.2013
Youtube to MP3<br />
UBUNTU<br />
Schwerpunkt<br />
user<br />
In seinem Download-Bereich offeriert<br />
der Hersteller fertig geschnürte 32/<br />
64-Bit-DEB-Pakete für Debian oder<br />
Ubuntu nur in der ebenfalls veralteten<br />
Version 2.6.7, während die via Apt-Repository<br />
angebotene Variante bereits die<br />
Versionsnummer 2.8.6 trägt.<br />
Im Test fiel die Wahl daher auf diese<br />
Version, die Sie am schnellsten via Kommandozeile<br />
ins System integrieren. Die<br />
Zeilen in Listing 1 importieren das Repository<br />
sowie den zugehörigen PGP-Key.<br />
Anschließend ist ein Update der Liste<br />
der Paketquellen obligatorisch, bevor<br />
die Software bereitsteht.<br />
Download und Installation<br />
Youtube to MP3 basiert auf Qt 4.8.3, die<br />
Software setzt ffmpeg, libmp3lame0 und<br />
libavcodec-extra53 voraus. Was es mit<br />
der Kaufversion auf sich hat, wurde klar,<br />
als wir die Version aus dem Repository<br />
unter Ubuntu 13.04 zum ersten Mal starteten:<br />
Über Ubuntu Web Apps verwies<br />
diese Version aus dem Dash zunächst<br />
auf die Herstellerseite und forderte zum<br />
Kauf oder zum Freischalten mit dem angezeigten<br />
Lizenz-Code auf 2 .<br />
In einem zweiten Versuch kam wieder<br />
die Version aus dem Hersteller-Repository<br />
zum Einsatz, diesmal unter Ubuntu<br />
12.04 und 12.10. Hier funktioniert das<br />
Programm problemlos in der kostenlosen<br />
Version. Ob das Absicht ist oder der<br />
Hersteller nur den Aufwand scheut, eine<br />
andere Methode zum Bezahlen als via<br />
USC oder Ubuntu Web Apps zu implementieren,<br />
ließ sich auf die Schnelle<br />
nicht in Erfahrung bringen.<br />
1 Das Tool „YouTube to MP3“ steht im Software-Center von Ubuntu bereit.<br />
Funktionsweise<br />
YouTube to MP3 arbeitet gleichermaßen<br />
als Downloader wie Konverter. Es bietet<br />
mehrere Möglichkeiten, die URL der gewünschten<br />
Musikstücke hinzuzufügen.<br />
Die einfachste besteht darin, die URL aus<br />
dem Youtube-Fenster per Drag & Drop<br />
ins Fenster des Tools zu ziehen. Der Bereich<br />
mit dem Schriftzug Hierhin ziehen<br />
ist nicht zu übersehen 3 . Die Software<br />
überprüft dann den Link und zeigt den<br />
Titel des Videos an. Alternativ nutzen Sie<br />
Urheberrecht und Privatkopie<br />
Das Herunterladen von Youtube-Videos – selbst, wenn es sich nur<br />
um die Tonspuren handelt – tangiert aus rechtlicher Sicht mindestens<br />
zwei Aspekte: das Urheberrecht und die Nutzungsbedingungen<br />
von Youtube. Falls Sie unsicher sind, sollten Sie Letztere im Zweifelsfall<br />
eingehend studieren oder einen Fachmann konsultieren.<br />
Prinzipiell erlaubt das deutsche Urheberrecht unter engen Einschränkungen<br />
sogenannte Privatkopien urheberrechtlich geschützter<br />
Werke. Allerdings sind die hier zugrunde liegenden Rechtsansichten<br />
nicht klar umrissen. Das Problem ergibt sich in gleicher Weise beim<br />
Rippen von Audio-CD und Video-DVDs.<br />
Das Herunterladen eines Youtube-Videos wäre eine legale Privatkopie,<br />
wenn der Uploader der Urheber wäre – und genau hier liegt<br />
das Problem: Youtube erlaubt es Nutzern, selbst Videos hochzuladen.<br />
Handelt es sich dabei nicht um eigenes Material, wäre das Verbreiten<br />
durch das Herunterladen unrechtmäßig.<br />
Möglich ist aber auch der Fall, dass ein Musik-Label eigene Accounts<br />
und Kanäle nutzt, um Videos online zu stellen. Vergewissern Sie sich<br />
also vor dem Herunterladen, dass der Rechtsrahmen eindeutig ist.<br />
Gemäß Youtube ist das Herunterladen urheberrechtlich geschützter<br />
Inhalte aus einem fremden Kanal nicht erlaubt.<br />
09.2013 www.linux-user.de<br />
77
Schwerpunkt<br />
UBUNTU<br />
user<br />
Youtube to MP3<br />
die bekannten Tastaturkombinationen<br />
zum Kopieren oder legen eine URL in die<br />
Zwischenablage ab und klicken dann<br />
auf das Symbol URL einfügen.<br />
YouTube to MP3 erlaubt es auch, diesen<br />
Vorgang zu automatisieren. Dazu klicken<br />
Sie in der Fußzeile auf das Symbol<br />
mit dem Zahnrad und wählen dann den<br />
Eintrag Automatisch aus der Zwischenablage<br />
hinzufügen. Noch einen Schritt weiter<br />
geht die Funktion Automatisch herunterladen,<br />
die gleich noch den erforderlichen<br />
Download einleitet.<br />
Haben Sie das automatische Herunterladen<br />
nicht eingeschaltet, klicken Sie<br />
rechts im jeweiligen Titeleintrag auf das<br />
Download-Symbol mit dem kleinen<br />
Pfeil, um das betreffende Video herunterzuladen.<br />
Im Unterschied zu anderen<br />
Tools dieser Kategorie lädt Youtube to<br />
MP3 tatsächlich nur die extrahierte Ton-<br />
Spur herunter.<br />
Das Konvertieren erfolgt automatisch,<br />
die fertigen Dateien finden Sie anschließend<br />
in Ihrem Home-Verzeichnis unter<br />
Musik/Downloads by MediaHuman. Mehr<br />
ist nicht zu tun, denn das Programm hat<br />
offensichtlich das primäre Ziel, den Nutzer<br />
ohne weitere Konfiguration durch<br />
Download und Konvertieren zu leiten.<br />
2 Kostenlos oder nicht? Ab der Ubuntu-Version 13.04 bittet der Hersteller des Downloaders<br />
den Benutzer beim ersten Start der Applikation zur Kasse.<br />
Gewisse Extras<br />
Ein paar Gelegenheiten zum Herumspielen<br />
mit den Einstellungen gibt es dennoch:<br />
So bringt die Applikation unter<br />
anderem eine Funktion für den Batch-<br />
Betrieb mit. Diese erlaubt es, eine beliebige<br />
Anzahl von Videos in einem Rutsch<br />
zu konvertieren, ohne jedes Mal eingreifen<br />
zu müssen. Dazu wählen Sie den Eintrag<br />
Mehrere URLs hinzufügen aus dem<br />
Kontextmenü der Einstellungen.<br />
Möchten Sie die MP3-Datei vor dem<br />
Konvertieren mit individuellen Tags versehen,<br />
klicken Sie im Einstellungsmenü<br />
den Eintrag Einstellungen und wechseln<br />
zum Reiter Stichworte<br />
Im Reiter Musik stellen Sie das Zielformat<br />
ein. Das Programm unterstützt neben<br />
MP3 auch OGG sowie das Containerformat<br />
M4A. Mit der Option Original<br />
M4A schalten Sie das Konvertieren komplett<br />
aus. Außerdem geben Sie an dieser<br />
Stelle gezielt Bitrate oder Qualität vor.<br />
TIPP<br />
3 Die URL des Videos fügen Sie komfortabel via Drag & Drop hinzu.<br />
Youtube to MP3 kennt einen Tempolimit-<br />
Modus. Sie aktivieren ihn über das Symbol<br />
mit der Schnecke in der Fußzeile der<br />
Applikation.<br />
78 www.linux-user.de<br />
09.2013
Youtube to MP3<br />
UBUNTU<br />
Schwerpunkt<br />
user<br />
Im Reiter Netzwerk haben Sie die Möglichkeit,<br />
den Betrieb über einen SOCKS5-<br />
oder HTTP-Proxy einzurichten, während<br />
Sie unter Herunterladen bei Bedarf ein<br />
globales Limit für die Bandbreite oder<br />
die Anzahl gleichzeitiger Downloads<br />
festlegen 4 .<br />
Im ersten Reiter Allgemein schließlich<br />
finden Sie die Optionen wieder, die Sie<br />
schon im Kontextmenü des Hauptfensters<br />
kennengelernt haben, etwa zum Aktivieren<br />
der jeweiligen Automatik-Modi<br />
für das Herunterladen und Konvertieren<br />
aus der Zwischenablage. Außerdem<br />
schalten Sie hier die automatische Suche<br />
nach Updates ein oder aus.<br />
Fazit<br />
YouTube to MP3 gehört zu der angenehmen<br />
Sorte Software, die durch unspektakuläres<br />
Funktionieren überzeugt. Das<br />
Programm tut, was man erwartet, und<br />
überfordert Gelegenheitsnutzer nicht<br />
4 Das gezielte Begrenzen der zu nutzenden<br />
Bandbreite schont die Nerven anderer<br />
Benutzer im gleichen Netzwerk.<br />
mit zahllosen Parametern. Etwas befremdlich<br />
wirkt allerdings die enge Kooperation<br />
des Herstellers mit Canonical<br />
und Youtube. Die Partnerschaft erleichtert<br />
zwar das Installieren unter Ubuntu<br />
und ermöglicht ein einfaches Bezahlen,<br />
das Programm würde aber unter Open-<br />
Suse oder Fedora eine ebenso gute Figur<br />
machen. (agr) n<br />
Weitere Infos und<br />
interessante Links<br />
www. linux‐user. de/ qr/ 30107<br />
09.2013 www.linux-user.de<br />
79
Netz&System<br />
Stresslinux<br />
Hardware-Lasttests mit Stresslinux<br />
Voll im Stress<br />
Readme<br />
Moderne Hardware bietet nicht nur enorme<br />
Leistung, sondern produziert auch große<br />
Mengen Abwärme. Die Live-Distribution<br />
Stresslinux deckt Problemzonen auf und<br />
schützt so das System vor Überhitzungsschäden.<br />
Obendrein eignet sie sich auch<br />
noch für das Benchmarking.<br />
Mit Stresslinux optimieren<br />
Sie Ihre Hardware und kitzeln<br />
so mehr Leistung aus<br />
einzelnen Komponenten.<br />
Auch zur Datensicherheit<br />
leistet die Distribution ihren<br />
Beitrag. Erik Bärwaldt<br />
© Stuart Miles, 123RF<br />
Als universelles Betriebssystem lässt<br />
sich Linux aufgrund seiner vielen positiven<br />
Eigenschaften sehr flexibel nutzen.<br />
Eines der bislang weniger beachteten<br />
Einsatzgebiete stellt dabei die Hardware-Diagnose<br />
dar. Für Funktions- und<br />
Geschwindigkeitstests nutzen viele Anwender<br />
noch immer teure Speziallösungen<br />
unter anderen Betriebssystemen.<br />
Mit der kleinen Live-Distribution Stresslinux<br />
können Sie jedoch ohne umständliches<br />
Handling und ohne hohe Kosten<br />
jedes PC-System umfassend auf Herz<br />
und Nieren testen.<br />
Das auf OpenSuse 11.4 und Busybox<br />
basierende Stresslinux steht als lediglich<br />
rund 200 MByte großes ISO-Image für<br />
32- und 64-Bit-PCs zum Download bereit<br />
û. Daneben gibt es auch Archive für<br />
den Einsatz in einer virtuellen Maschine<br />
oder auf USB-Speichermedien. Eine<br />
leicht verständliche Dokumentation zum<br />
Anlegen eines bootfähigen USB-Mediums<br />
finden Sie im Stresslinux-Wiki û.<br />
Blackbox<br />
Nach dem Start präsentiert sich Stresslinux<br />
zunächst mit einem anachronistisch<br />
anmutenden Textbildschirm und<br />
rudimentärer Liniengrafik vor schwarzem<br />
Hintergrund. Ist das Betriebssystem<br />
einsatzbereit, müssen Sie sich anmelden,<br />
wobei Benutzername und Passwort<br />
stress lauten.<br />
Nun verzweigt die Routine in das Konfigurationstool<br />
YaST 2 im Textmodus, der<br />
zunächst in einem blau eingefärbten<br />
Fenster die Tastaturbelegung erfragt.<br />
Anschließend will die Software den Typ<br />
des vorhandenen Motherboards wissen.<br />
Sind Sie sich nicht sicher, welche Hauptplatine<br />
im Rechner verbaut ist, dann aktivieren<br />
Sie mit der Schaltfläche OK ein-<br />
80 www.linux-user.de<br />
09.2013
Stresslinux<br />
Netz&System<br />
Stresslinux 11.4 (32+64 Bit) bootfähig<br />
auf Heft-DVD<br />
Stresslinux 11.4 USB-Images (32+64 Bit)<br />
auf Heft-DVD Seite B<br />
1 Qual der Wahl: Stresslinux bietet eine ganze Reihe Belastungstests an.<br />
Für den Test unterschiedlichster Prozessoren<br />
und Chipsätze bieten sich die ersten<br />
sechs aufgelisteten Programme an.<br />
Diese zählen zum Fundus der auch in einigen<br />
Software-Repositories eingepflegten<br />
Suite Cpuburn. Sie betreiben Intel-<br />
CPUs sowie AMD-Prozessoren der älteren<br />
Baureihen K6 und K7 sowie die jeweils<br />
dazu kompatiblen modernen Systeme<br />
unter höchstmöglicher Auslastung.<br />
Dabei lässt sich nicht nur feststelfach<br />
den ersten in der Liste befindlichen<br />
Eintrag Run_sensors-detect. Dasselbe gilt,<br />
wenn Sie ein Notebook mit einem eigens<br />
für den mobilen Einsatz konstruierten<br />
Motherboard nutzen.<br />
Danach überprüft Stresslinux die Hardware<br />
in mehreren Schritten auf die Verfügbarkeit<br />
diverser Sensoren hin. Nach<br />
Abschluss dieses Vorgangs zeigt die Distribution<br />
mögliche Test- und Benchmark-<br />
Befehle in einer Tabelle an und wartet<br />
am Prompt auf Ihre Eingabe 1 .<br />
Im oberen Bereich der Tabelle bietet<br />
Stresslinux eine stattliche Anzahl von<br />
Testroutinen für spezielle Hardware an.<br />
Diese sortiert es nach den Herstellern<br />
Intel und AMD. Weiter unten finden Sie<br />
dann Programme, die ein breiteres Spektrum<br />
von Tests abdecken, sowie solche<br />
zum Prüfen der Netzwerkgeschwindigkeit<br />
und der Massenspeicher.<br />
Falls Sie nicht genau wissen, welche<br />
Hardware im Einzelnen im System verbaut<br />
ist, dann lassen Sie sich die wichtigsten<br />
Komponenten zunächst durch<br />
Eingabe des Befehls lshw anzeigen. Da<br />
die resultierende Anzeige außerordentlich<br />
umfangreich ausfällt, empfiehlt es<br />
sich, die Listenausgabe am Bildschirm<br />
durch die Befehlsfolge lshw | more zu<br />
begrenzen, sodass Sie die einzelnen Angaben<br />
in Ruhe sichten können.<br />
Um den genauen Prozessortyp festzustellen,<br />
geben Sie am Prompt den Befehl<br />
x86info ein und erhalten umgehend die<br />
wichtigsten technischen Daten zur verbauten<br />
CPU 2 .<br />
CPU und Chipsatz testen<br />
len, inwieweit ein Prozessor für das<br />
Overclocking geeignet ist, sondern man<br />
kann auf diese Weise auch Hardware-<br />
Probleme eingrenzen: Schaltet beispielsweise<br />
ein System unter voller Belastung<br />
bereits nach wenigen Minuten ab, so<br />
deutet dies auf eine defekte oder ungenügende<br />
Kühlung des Prozessors hin.<br />
Sie starten das jeweilige Testprogramm<br />
über den in der Liste angegebenen Konsolenbefehl.<br />
Dazu sind keine Administratorrechte<br />
notwendig. Da die meisten<br />
Programme ohne explizite Aufforderung<br />
keine Ausgabe im Terminal anzeigen,<br />
sollten Sie die Hardwaretests im Hintergrund<br />
ablaufen lassen, um so trotz laufender<br />
Applikation an der Konsole arbeiten<br />
zu können. Damit Sie beispielsweise<br />
einen Intel-Prozessor aktueller Bauart<br />
2 Kurz und bündig: Stresslinux liefert die wichtigsten Informationen zur CPU.<br />
09.2013 www.linux-user.de<br />
81
Netz&System<br />
Stresslinux<br />
Mithilfe des Befehls stress starten Sie<br />
einen umfangreichen Systemtest, der<br />
neben der CPU auch das Speicher-Interface,<br />
den Arbeitsspeicher sowie bei Bedarf<br />
die Massenspeicher mit einbezieht.<br />
Da diese Testsuite über eine stattliche<br />
Anzahl von Parametern verfügt, mit denen<br />
Sie die einzelnen Prüfroutinen justieren<br />
können, sollten Sie zunächst<br />
stress ‐‐help aufrufen, um sich einen<br />
Überblick über die möglichen Optionen<br />
zu verschaffen. Der Prüflauf mittels stress<br />
lässt sich auch zeitlich eingrenzen, sodass<br />
die Tests automatisiert ablaufen,<br />
ohne das System durch eine zu lange<br />
Laufzeit zu überlasten.<br />
Massenspeicher<br />
3 Smartctl kitzelt alle Informationen aus Ihrem Massenspeicher.<br />
ausgiebig testen können, geben Sie im<br />
Terminal folgende Befehlsfolge ein:<br />
$ burnP6 || echo $? &<br />
Nun wird die CPU voll ausgelastet. Wenn<br />
Sie sich auf der Konsole anschließend<br />
mithilfe des Befehls top die prozentuale<br />
Systemauslastung durch die unterschiedlichen<br />
Prozesse anzeigen lassen,<br />
taucht burnP6 stets ganz oben in der Liste<br />
auf, mit einem CPU-Load von permanent<br />
deutlich über 95 Prozent.<br />
Damit Sie die thermische Entwicklung<br />
des Systems unter Last nahezu in Echtzeit<br />
verfolgen können, hält Stresslinux<br />
auf den über [F10] bis [F12] erreichbaren<br />
Konsolen während des Testlaufs die relevanten<br />
Informationen bereit. Mit der Tastenkombination<br />
[Strg]+[Alt]+F12] erreichen<br />
Sie die aktuelle Temperaturanzeige<br />
aller im System gefundenen Sensoren.<br />
Zusätzlich zeigt Stresslinux auch die jeweilige<br />
Drehzahl der Lüfter an.<br />
Etwas abgesetzt findet sich die Anzeige<br />
der CPU-Temperatur, bei der sich zusätzlich<br />
ein Hinweis auf die maximal zulässige<br />
Betriebstemperatur findet. Zeigt<br />
sich in der Anzeige, dass die Sensortemperaturen<br />
bereits nach kurzer Zeit stark<br />
steigen und auch eine höhere Lüfterdrehzahl<br />
keinen Einfluss auf die Wärmeentwicklung<br />
der Sensoren ausübt, empfiehlt<br />
es sich, die Kühlsysteme zu prüfen.<br />
Dies gilt insbesondere für die CPU-Kühlung,<br />
bei der eine im Laufe der Zeit direkt<br />
auf dem Prozessor eingetrocknete<br />
Wärmeleitpaste isolierend wirkt und daher<br />
im schlimmsten Fall zu Schäden am<br />
System führen kann.<br />
Die Tastenkombination [Strg]+[Alt]+<br />
[F11] zeigt lediglich die aktuelle Temperatur<br />
des Massenspeichers an. Unter<br />
Volllast des Systems sollte dabei nach<br />
einer längeren Zeit der Beanspruchung<br />
die Betriebstemperatur der Festplatte<br />
nicht über 50 Grad Celsius ansteigen, da<br />
ansonsten Datenverlust und Defekte<br />
auftreten können.<br />
Mit [Strg]+[Alt]+[F10] gelangen Sie in<br />
eine grafisch aufbereitete Anzeige des<br />
Netzdurchsatzes, wobei Stresslinux hier<br />
lediglich die Schnittstelle eth0 überwacht.<br />
Diese Anzeige bleibt bei CPUund<br />
Chipsatz-Tests inaktiv.<br />
Systemtest<br />
Festplatten werden oftmals mit zunehmendem<br />
Alter und bei intensiver Nutzung<br />
zu einer neuralgischen Komponente<br />
des Gesamtsystems. Da auf ihnen in<br />
der Regel wichtige Daten liegen, kann<br />
ein Datenverlust aufgrund eines technischen<br />
Defektes fatale Folgen haben.<br />
Stresslinux ermöglicht Ihnen daher, mithilfe<br />
der beiden Programme bonnie++<br />
und smartctl die „Gesundheit“ der Festplatten<br />
zu testen.<br />
Während es sich bei Bonnie++ eher<br />
um ein Werkzeug zum Benchmarking<br />
des Massenspeichers handelt, ermöglicht<br />
Smartctl Prüfläufe und zeigt den jeweiligen<br />
technischen Zustand der Festplatte<br />
an. Um dieses nützliche Tool starten<br />
zu können, müssen Sie unter Stresslinux<br />
als Administrator eingeloggt sein.<br />
Mit dem Befehl su ‐ erhalten Sie nach<br />
Eingabe des Root-Passwortes stresslinux<br />
administrative Rechte. Nun rufen Sie<br />
Smartctl mit folgendem Befehl auf:<br />
# smartctl ‐a Device | more<br />
Tauchen nun in den Protokolldaten Fehler<br />
auf, sollten Sie zumindest Ihre wichtigen<br />
Dateien zusätzlich sichern. Möchten<br />
Sie zusätzliche Testläufe vornehmen, so<br />
zeigt Ihnen smartctl ‐‐help die umfangreichen<br />
Parameter des Befehls an<br />
und führt einige Beispiele auf 3 .<br />
Netzwerk<br />
Um den Durchsatz von Netzwerkschnittstellen<br />
zu messen, stellt Stresslinux das<br />
Programm netio bereit. Es misst den Da-<br />
82 www.linux-user.de<br />
09.2013
Stresslinux<br />
Netz&System<br />
tentransfer zwischen zwei Rechnern,<br />
wobei einer der Computer als Server<br />
fungiert. Wenn Sie Stresslinux auf beiden<br />
Maschinen im Live-Betrieb starten,<br />
rufen Sie dazu das Programm auf dem<br />
Server mit dem Befehl netio ‐s auf. Auf<br />
dem Client aktivieren Sie die Software<br />
durch Eingabe von netio Server‐IP.<br />
Danach zeigt Stresslinux den Datendurchsatz<br />
bei verschiedenen Paketgrößen<br />
in Form einer Liste an. Alternativ lassen<br />
Sie sich die Transfergeschwindigkeiten<br />
auch im via [Strg]+[Alt]+[F10] erreichbaren<br />
Terminal in einer schlichten<br />
Balkengrafik anzeigen.<br />
Fazit<br />
Mit Stresslinux erhalten Sie einen ganzen<br />
Satz nützlicher Werkzeuge, um PC-<br />
Hardware auf Herz und Nieren zu testen.<br />
Zwar glänzt die von der Distribution mitgebrachte<br />
Software nicht durch aufwendige<br />
grafische Gimmicks und fordert darüber<br />
hinaus dem Benutzer auch einige<br />
Kenntnisse im Umgang mit Befehlen auf<br />
der Kommandozeile ab. Dafür lokalisiert<br />
Stresslinux aber mögliche Fehlerquellen<br />
und Engstellen im System schnell und<br />
zuverlässig, ohne dazu eine umständliche<br />
Installation zu erfordern.<br />
Insbesondere, wenn es Probleme mit<br />
der Prozessor- oder Systemkühlung ausfindig<br />
zu machen gilt, erweist sich<br />
Stresslinux als exzellentes Tool. Hierbei<br />
sollten Sie jedoch die thermische Entwicklung<br />
des Systems unter Last während<br />
der Tests genauestens im Auge<br />
behalten, um im Falle einer zu geringen<br />
Kühlleistung Schäden durch Überhitzung<br />
zu vermeiden.<br />
Sowohl für den ambitionierten PC-Anwender<br />
wie auch für den IT-Techniker erweist<br />
sich Stresslinux bei der Diagnose<br />
von Hardware-Problemen aller Art als<br />
unentbehrliches Hilfsmittel und gehört<br />
aus diesem Grund in jeden gut sortierten<br />
Werkzeugkasten. (tle/jlu) n<br />
Weitere Infos und<br />
interessante Links<br />
www. linux‐user. de/ qr/30168<br />
09.2013 www.linux-user.de<br />
83
Schwerpunkt<br />
RasPi-Tuning<br />
Die Raspberry-Pi-Hardware optimal ausreizen<br />
Need for Speed<br />
© Steve Mann, 123RF<br />
Der Raspberry Pi ist zwar<br />
klein und sparsam, jedoch<br />
auch nur begrenzt leistungsfähig.<br />
Gezieltes Tuning hilft<br />
ihm aber schnell auf die<br />
Beine. Bernhard Bablok<br />
Readme<br />
In Sachen Performance bietet der Raspberry<br />
Pi bekanntermaßen eher Schonkost. Als<br />
Tempobremse erweisen sich hier neben der<br />
700-MHz-CPU überraschenderweise auch<br />
Komponenten wie die Stromversorgung.<br />
Der Artikel zeigt, wie Sie die Leistung des<br />
RasPi ausloten und dann durch gezielte Eingriffe<br />
um bis zu 50 Prozent verbessern.<br />
Der Raspberry Pi eignet sich aus vielen<br />
Gründe beinahe perfekt zum Hosten eigener<br />
Webprojekte. Bei komplexeren<br />
Anwendungen kommt der Knirps aber<br />
mächtig ins Schwitzen, wie etwa bei<br />
Owncloud û. Zwar läuft dessen Installation<br />
problemlos durch, doch die Antwortzeiten<br />
erweisen sich dann selbst<br />
beim bestem Willen als nicht erträglich<br />
(siehe Kasten Owncloud-Tuning). Entsprechend<br />
gilt es, etwas an der Performance-Schraube<br />
zu drehen.<br />
Bei solchen Problemen gilt unabhängig<br />
von der Hardware immer die Reihenfolge:<br />
messen, ändern, messen. Nur so<br />
erhalten Sie sicheren Aufschluss darüber,<br />
welche Maßnahmen erfolgreich waren.<br />
Messen, messen, messen<br />
Bei Performance-Problemen greift der<br />
erfahrene Linux-Anwender naturgemäß<br />
erst einmal zum Unix-Urgestein top, das<br />
Auskunft über die Systemlast gibt.<br />
Abbildung 1 zeigt die Ausgabe von<br />
Top für eine Situation mit sehr hoher<br />
CPU-Last. Das bereitet in der Regel an<br />
sich keine Probleme, aber wenn dadurch<br />
Antwortzeiten leiden, wäre eine schnellere<br />
CPU gefordert. Anders sieht es in<br />
Abbildung 2 aus, wo der wa-Wert<br />
(„wait“) sehr hoch ausfällt. Hier wartet<br />
die CPU auf Daten von einem Speichermedium<br />
und dreht derweil Däumchen.<br />
Ein schnellerer Prozessor würde hier nur<br />
mehr Zyklen lang nichts tun.<br />
Top gibt zwar wichtige Hinweise, zeigt<br />
aber immer nur den momentanen Status<br />
an. Ausgefeiltere Monitoring-Programme<br />
zeichnen dagegen den Stand<br />
verschiedenster Messwerte regelmäßig<br />
auf und stellen so auch Verlaufsdaten<br />
bereit. Das erspart Ihnen die Mühe, bei<br />
Tests ständig ein Fenster mit der Top-<br />
Ausgabe im Blick behalten zu müssen.<br />
Hier bietet sich der Einsatz von Ganglia<br />
an, das zwar für das Performance-<br />
Monitoring von Clustern gedacht ist,<br />
sich aber durchaus auch für Einzelrechner<br />
eignet. Unter Raspbian müssen Sie<br />
lediglich die Ganglia-Pakete einrichten.<br />
So kommen Sie in den Genuss grafisch<br />
aufbereiteter Ergebnisse (siehe auch<br />
Kasten Ganglia installieren).<br />
84 www.linux-user.de<br />
09.2013
RasPi-Tuning<br />
Schwerpunkt<br />
Benötigen Sie keine grafische Analyse,<br />
installieren Sie statt Ganglia das Paket<br />
sysstat. Auch hier sammelt eine Komponente<br />
die Messwerte im Hintergrund.<br />
Das Kommando sar zeigt die Ergebnisse<br />
im Terminal an. Das Sysstat-Paket enthält<br />
darüber hinaus auch iostat, mit dem<br />
Sie die Schreib- und Leseleistung von<br />
Massenspeichern messen.<br />
Zusätzlich benötigen Sie noch Programme,<br />
die für Tests entsprechende<br />
Lasten auf dem System erzeugen. Idealerweise<br />
handelt es sich hier um solche,<br />
die Ihrem Anwendungsfall nahekommen.<br />
Alternativ dazu gibt es in der freien<br />
Wildbahn diverse Benchmark-Programme,<br />
die einzelne Komponenten wie die<br />
CPU oder den Massenspeicher gezielt<br />
belasten, aber für sich genommen realitätsfremd<br />
sind. Diese Programme (etwa<br />
der berühmte Linpack-Benchmark für<br />
Floating-Point-Leistung oder Bonnie++<br />
für die I/O-Leistung) geben zusätzlich für<br />
einen Vorher/Nachher-Vergleich relevante<br />
Messwerte aus.<br />
USB verleiht Flüüügel ...<br />
1 Gewusst, wo: Bei hohen Werten für die CPU-Last könnte ein schnellerer Prozessor<br />
möglicherweise das Problem beseitigen, doch …<br />
2 … bei einem hohen Wert für „Waits“ hilft das rein gar nichts: Hier wartet selbst eine<br />
leistungsfähigere CPU einfach nur genauso lange auf Daten zum Verarbeiten.<br />
beim Schreiben auf die SD-Karte auf<br />
eine mangelhafte Stromversorgung hin.<br />
Overclocking<br />
Als Wurzel allen Übels beim Betrieb des<br />
RasPi entpuppt sich überraschenderweise<br />
die Stromversorgung. Das Gerät bezieht<br />
den Strom über einen Micro-USB-<br />
Anschluss und benötigt relativ konstante<br />
5 Volt bei mindestens 700 mAh. Manche<br />
USB-Steckernetzteile liefern jedoch<br />
stur 500 mAh und simulieren damit einen<br />
PC-Anschluss. Andere besitzen zwei<br />
Buchsen, die vorgeblich je 2100 mAh liefern,<br />
obwohl die Gesamtstromstärke des<br />
Netzteils nur 3600 mAh beträgt. Solche<br />
Ladenetzteile reduzieren die Spannung<br />
bei sinkender Stromabnahme – für (fast)<br />
aufgeladene Tablets oder Smartphones<br />
durchaus sinnvoll, für den Raspberry Pi<br />
ein Problem.<br />
Der per Micro-USB aufgenommene<br />
Strom versorgt CPU, GPU sowie alle per<br />
USB angeschlossenen Komponenten,<br />
insbesondere auch den Netzwerkchip.<br />
Die maximale Stromaufnahme des RasPi<br />
beträgt circa 1100 mAh. Das gilt es bei<br />
allen folgenden Tuning-Schritte stets zu<br />
berücksichtigen. Aber auch im Normalbetrieb<br />
deuten Instabilitäten oder Fehler<br />
Es ist immer problematisch, empfindliche<br />
Hardware außerhalb der Spezifikation<br />
zu betreiben. In der ersten Revision<br />
des Pi änderte ein einziger Overclocking-<br />
Versuch irreversibel ein Bit im Prozessor<br />
– die Garantie war damit verwirkt. Inzwischen<br />
erlauben die Macher ein Overclocking<br />
innerhalb gewisser Grenzen.<br />
Außerhalb dieser verlieren Sie aber wie<br />
früher den Garantieanspruch.<br />
Owncloud-Tuning<br />
Es war das träge Verhalten von Owncloud<br />
auf dem RasPi, das den Autor ursprünglich<br />
zur Arbeit an diesem Artikel animierte. Dabei<br />
bot die Privat-Cloud auch abseits der<br />
Hardware Anlass zu weitergehenden Performance-Untersuchungen.<br />
Tatsächlich<br />
steigerten schon Maßnahmen innerhalb<br />
der Anwendung deren Geschwindigkeit.<br />
Eine Analyse mit Firebug ergab zum Beispiel,<br />
dass jeder Seitenabruf sehr viel Zeit<br />
im Skript cron.php vertrödelte, über das<br />
Owncloud regelmäßige interne Aufräumarbeiten<br />
anstößt. Als Vorgabe erfolgt eine<br />
Aktivität pro Seitenabruf. Stellen Sie, wie in<br />
der Owncloud-Dokumentation beschrieben,<br />
direkt auf cron um, dann erfolgt das<br />
Ausmisten im Hintergrund, die Benutzer<br />
bekommen die abgerufenen Seiten deutlich<br />
schneller zu sehen.<br />
Die Installation des PHP-Caches APC mit<br />
apt‐get install php‐apc bringt<br />
ebenfalls zusätzliche Leistung, genauso<br />
wie die direkte Auslieferung von statischen<br />
Seiten ohne den Umweg über PHP.<br />
09.2013 www.linux-user.de<br />
85
Schwerpunkt<br />
RasPi-Tuning<br />
3 Die Ausgabe von cpustatus.sh gibt<br />
auf der Konsole Auskunft über den aktuellen<br />
Zustand der CPU.<br />
Listing 1<br />
<br />
<br />
<br />
Ganglia installieren<br />
Overclocking erhöht den Systemtakt des<br />
RasPi – wobei es diesen eigentlich nicht<br />
explizit gibt, sondern vielmehr mehrere<br />
verschiedene, voneinander abhängige<br />
Taktungen. Für jede davon existiert eine<br />
Konfigurationskonstante in der Datei<br />
/ boot/config.txt. So steht dort arm_<br />
freq für die CPU-Frequenz, core_freq<br />
für den allgemeinen Systemtakt und<br />
sdram_freq für den Takt des Hauptspeichers.<br />
Details zu diesen wie zu den weiteren<br />
Konstanten liefert das Elinux-<br />
Wiki û. Als Hauptstellgrößen dienen<br />
dabei arm_freq und core_freq.<br />
Sie passen die Konfigurationsdatei<br />
/ boot/config.txt entweder mit einem<br />
Texteditor Ihrer Wahl oder – einfacher –<br />
über das Konfigurationsprogramm<br />
raspi‐config an. Hier definiert der<br />
Menüpunkt Overclocking schon verschiedene<br />
Stufen. Nicht jede davon funktioniert,<br />
denn die Grenze nach oben hängt<br />
von der Hardware ab, insbesondere von<br />
Produktionsvarianten, angeschlossenen<br />
Komponenten und der Stromversorgung.<br />
Sie müssen sich also Stück für<br />
Stück an das Optimum herantasten.<br />
Selbst wenn Sie letztlich die Konfiguration<br />
per Hand anpassen, sollten Sie<br />
das Overclocking trotzdem vorher einmal<br />
mit Raspi-config durchspielen: Das<br />
Programm ändert nicht nur die Systemtakte,<br />
sondern aktiviert auch die Linux-<br />
Systemkomponente Ondemand-<br />
Governor. Diese wacht über den Systemtakt,<br />
ohne sie bleibt die Frequenz beim<br />
festen Vorgabewert.<br />
Zudem gilt es, in der /boot/config.<br />
txt zusätzlich den Schalter force_turbo=1<br />
zu setzen, sonst sehen Sie vom höheren<br />
CPU-Takt erst einmal gar nichts:<br />
Ganglia û selbst benötigt lediglich die Pakete<br />
ganglia-monitor und gmetad. Der<br />
Einsatz des Web-Frontends (ganglia-webfrontend)<br />
setzt dagegen neben einem<br />
Webserver auch eine lauffähige PHP-Installation<br />
voraus. Das Setup via apt‐get<br />
zieht aber neben PHP selbst auch gleich<br />
noch den kompletten Apache-Stack mit<br />
auf den RasPi. Um das zu verhindern, installieren<br />
Sie zuvor den leichtgewichtigen<br />
Lighttpd, erst danach folgen PHP und zum<br />
Schluss das Web-Frontend für Ganglia. Die<br />
dazu notwendigen Kommandos zeigt<br />
Listing 1. Dessen letzter Befehl verlinkt das<br />
Web-Frontend in den Dateibaum, den<br />
Lighttpd ausliefert. Anschließend funktioniert<br />
der Zugriff über die Adresse http://<br />
[Host|IP]/ganglia/.<br />
Der Governor taktet ja nur bei Bedarf<br />
hoch. Der vorgegebene Grenzwert beim<br />
Raspbian-Image liegt hier bei 95 Prozent<br />
Last. Um das zu ändern, schreiben Sie als<br />
Root den neuen Grenzwert in die entsprechende<br />
Steuerdatei, am besten<br />
gleich aus der /etc/rc.local heraus<br />
während des Systemstarts. Dazu fügen<br />
Sie dort folgende Zeile ein:<br />
echo 60 > /sys/devices/system/cpuU<br />
/cpufreq/ondemand/up_threshold<br />
Falls der Raspberry danach nicht mehr<br />
bootet, müssen Sie die Datei auf der SD-<br />
Karte an einem anderen Rechner ändern.<br />
Sofern sie den RasPi nicht headless<br />
betreiben, genügt es alternativ, während<br />
des Bootvorgangs die Umschalttaste gedrückt<br />
zu halten.<br />
Risiken<br />
Ein höherer CPU-Takt führt auch dazu,<br />
dass sich der RasPi schneller erwärmt.<br />
Ohne Overclocking bewegt sich die<br />
Temperatur im Gehäuse meist um die<br />
50 Grad Celsius. Ein kleines Skript namens<br />
cpustatus.sh û gibt den aktuellen<br />
Status des Prozessors übersichtlich<br />
aus 3 . Wen mehr als nur eine Momentaufnahme<br />
interessiert, der ruft dagegen<br />
das Skript aus Listing 2 aus der /etc/rc.<br />
local auf. Es sendet alle 60 Sekunden<br />
die aktuelle Temperatur und die CPU-<br />
Frequenz an Ganglia 4 .<br />
Ein kleiner Stresstest zeigt die Auswirkungen<br />
des Overclocking: Dem Raspberry<br />
Pi zu Ehren berechnen wir die Zahl Pi<br />
auf 3400 Nachkommastellen genau.<br />
Dazu installieren wir den Kommandozeilentaschenrechner<br />
bc, der es erlaubt, beliebig<br />
präzise zu rechnen:<br />
$ bc ‐l
RasPi-Tuning<br />
Schwerpunkt<br />
config) dauert die Berechnung nur noch<br />
85 Sekunden, die Temperatur steigt aber<br />
kurzzeitig um fast fünf Grad an.<br />
Erscheint Ihnen der Temperaturanstieg<br />
als zu kritisch, können Sie den Ras-<br />
Pi mit kleinen Kühlkörpern ausrüsten.<br />
Ein Satz aus drei Stück für CPU, Spannungsregler<br />
und LAN/USB-Controller<br />
kostet rund 10 Euro. Ein längerer Belastungstest<br />
zeigte aber, dass die Ausrichtung<br />
des RasPi-Gehäuses viel mehr Auswirkung<br />
auf die Temperatur hat. Ärgerlicherweise<br />
zeigen die Belüftungsöffnungen<br />
in den Standardgehäusen nach unten,<br />
sodass sich die Hitze darunter staut.<br />
Als wir im Test das Gehäuse schlicht auf<br />
die Schmalseite stellten, sank die Temperatur<br />
schlagartig um fast zehn Grad.<br />
Ein Test mit Linpack ergab eine Steigerung<br />
von 44 MFlops ohne Overclocking<br />
auf 66 MFlops bei arm_freq=1000 und<br />
core_freq=400. Stellten wir in Raspiconfig<br />
core_freq=500 ein, hängte sich<br />
der Rechner auf.<br />
Sowohl die Pi-Berechnung als auch<br />
Linpack testen die Floating-Point-Rechenleistung,<br />
die im Normalbetrieb allerdings<br />
nur eine eher untergeordnete<br />
Rolle spielt. Die Relation der Zahlen<br />
dürfte aber auch für die Integer-Performance<br />
gelten, was bedeutet, dass bei<br />
günstigen Bedingungen eine Leistungssteigerung<br />
von bis zu 50 Prozent möglich<br />
sein dürfte.<br />
Wie stabil die Hardware und Software<br />
bei dauerhaft hochgetakteter CPU läuft,<br />
muss jeder selbst testen. Eine Wiki-Seite<br />
von Elinux.org û weist jedoch darauf<br />
hin, dass der SD-Kartentreiber Probleme<br />
mit übertakteten CPUs bekommt – nach<br />
Tagen oder Wochen soll es zur Korruption<br />
des Dateisystems kommen. Allerdings<br />
taucht das Problem scheinbar nur<br />
bei neueren Kerneln auf, Version 3.6.11<br />
aus aktuellen Raspbian-Distributionen<br />
ist davon nicht betroffen. Sie können<br />
den Raspberry so konfigurieren, dass er<br />
von der SD-Karte nur bootet und ansonsten<br />
einen USB-Speicher nutzt û.<br />
Der Overclock stability test aus dem<br />
oben genannten Elinux.org-Wiki ist übrigens<br />
nicht wirklich geeignet: Das Programm<br />
triggert selbst ohne Overclocking<br />
Speicherallokationsfehler, die<br />
dann im Systemlog /var/log/messages<br />
auftauchen. Hier scheint ein Problem im<br />
Raspbian-Kernel vorzuliegen – im Normalbetrieb<br />
oder bei Tests mit bonnie++<br />
trat der Fehler nie auf.<br />
Auf dem Rechner des Autors bewährt<br />
sich Overclocking im Übrigen bestens,<br />
das System reagiert merklich schneller.<br />
Da der Takt nur jeweils kurzzeitig hochgeht,<br />
entsteht auch kein dauerhaftes<br />
thermisches Problem.<br />
Hauptspeicher-Tuning<br />
In Zeiten, in denen sogar Einsteiger-PCs<br />
von der Rampe mehrere GByte an<br />
Hauptspeicher mitbringen, muten die<br />
256 beziehungsweise 512 MByte des<br />
Raspberry Pi anachronistisch an. Hauptspeicher-Tuning<br />
bedeutet hier vor allem,<br />
genügsame Programme einzusetzen.<br />
Zwar lässt sich auch der Hauptspeicher<br />
übertakten, allerdings ohne spürbare<br />
Verbesserungen. Wichtiger ist es,<br />
den Speicher sinnvoll zwischen Betriebssystem<br />
(normaler Nutzung) und GPU<br />
aufzuteilen. Sie ordnen das RAM in<br />
Schritten von 16 MByte mit dem Konfigurationsparameter<br />
gpu_mem der GPU zu.<br />
Das erledigen Sie entweder mit Raspiconfig<br />
oder in / boot/config.txt. Für<br />
Server ohne angeschlossenen Monitor<br />
stellen Sie den Wert logischerweise auf<br />
das Minimum von 16M. Die aktuelle Firmware<br />
unterstützt das dynamische Aufteilen<br />
des Speichers û.<br />
Gut vernetzt?<br />
Das Modell B des Raspberry Pi enthält<br />
einen Fast-Ethernet-Port mit einer nominellen<br />
Übertragungsgeschwindigkeit<br />
von 100 Mbit/s, was den Durchsatz auf<br />
etwa 10 MByte/s limitiert. Da der Chip<br />
am USB-Bus hängt, muss er sich dessen<br />
Durchsatz mit anderen Geräten teilen,<br />
etwa mit USB-Festplatten. Zudem verursacht<br />
der einfach gestrickte Baustein<br />
eine höhere CPU-Last als seine Genossen<br />
auf typischen Desktop-Boards.<br />
Den Netzwerkdurchsatz testen Sie mit<br />
dem Tool iperf, das Sie mit administrativen<br />
Rechten via apt‐get install iperf<br />
auf dem Raspberry sowie einem weiteheadless:<br />
Betriebsmodus ohne Tastatur und<br />
Monitor. Der Zugriff erfolgt beim Headless-<br />
Betrieb via SSH aus der Ferne û.<br />
Listing 2<br />
#!/bin/sh<br />
TEMP_FILE="/sys/class/thermal/<br />
thermal_zone0/temp"<br />
FREQ_FILE="/sys/devices/system/<br />
cpu/cpu0/cpufreq/cpuinfo_cur_<br />
freq"<br />
INTERVAL="60"<br />
( while true; do<br />
gmetric ‐n temp \<br />
‐v `sed ‐e "s/\<br />
(^..\)/\1\./" "$TEMP_FILE"`\<br />
‐t float \<br />
‐u Celsius \<br />
‐x "$INTERVAL" \<br />
‐g other \<br />
‐D "Temperature of<br />
`hostname`" \<br />
‐T "Temperature"<br />
gmetric ‐n freq \<br />
‐v `sed ‐e "s/\<br />
(^...\)/\1\./" "$FREQ_FILE"`\<br />
‐t float \<br />
‐u MHz \<br />
‐x "$INTERVAL" \<br />
‐g other \<br />
‐D "CPU frequency of<br />
`hostname`" \<br />
‐T "CPU Frequency"<br />
sleep "$INTERVAL"<br />
done ) &<br />
09.2013 www.linux-user.de<br />
87
Schwerpunkt<br />
RasPi-Tuning<br />
ren Rechner installieren. Idealerweise<br />
hängen beide Computer an einem Gigabit-Switch,<br />
auch sollte die Netzwerkkarte<br />
des zweiten Rechners Gigabit-Ethernet<br />
unterstützen. Das stellt sicher, dass<br />
ausschließlich die Performance des RasPi<br />
die Bandbreite limitiert. Sie starten Iperf<br />
zuerst auf dem zweiten Rechner mit<br />
dem Aufruf iperf ‐s im Server-Modus<br />
und danach auf dem Raspberry mit dem<br />
Kommando:<br />
# iperf ‐c IP_der_Gegenstelle<br />
Die synthetischen Ergebnisse von Iperf<br />
berücksichtigen jedoch nicht, dass<br />
Ethernet-Verbindung und Festplattenzugriff<br />
über denselben USB-Chip laufen.<br />
Realistischer ist etwa das Einrichten von<br />
NFS oder Samba und der Zugriff auf ein<br />
Der so angestoßene Test läuft rund<br />
zwölf Minuten lang. Bonnie++ schreibt<br />
das Resultat auf die Konsole und zusätzlich<br />
in eine CSV-Datei. Beachten Sie, dass<br />
Bonnie unter testdir ein beschreibbares<br />
Verzeichnis erwartet.<br />
Das eingangs beschriebene Szenario<br />
einer Owncloud-Instanz auf dem RasPi<br />
passt im Grunde gar nicht in das bevorzugte<br />
Zugriffsmuster für SD-Karten: Hier<br />
werkelt im Hintergrund eine Datenbank,<br />
und so legt das Laden einer ICS-Datei<br />
mit vielen Kalenderdaten das I/O-System<br />
erstmal eine ganze Weile lahm 5 . Das<br />
ist zwar nicht der Normalfall, denn das<br />
Anlegen einzelner Termine oder Kontakte<br />
klappt in vertretbarer Laufzeit, und<br />
auch das Synchronisieren größerer Dadurch<br />
den RasPi bereitgestelltes Netzlaufwerk.<br />
Zwar eignet sich der Minirechner<br />
nicht als Backup-Medium für Riesendateien,<br />
fürs Multimedia-Streaming genügen<br />
seine Fähigkeiten aber durchaus.<br />
Da der Treiber bei starker Netzwerklast<br />
Probleme bekommt, empfiehlt dessen<br />
Autor auf Rechnern mit schwacher CPU<br />
den Boot-Parameter smsc95xx.turbo_<br />
mode=N in der Datei /boot/cmdline.txt<br />
zu setzen. Das reduziert zwar den Durchsatz<br />
geringfügig, dafür kommt es aber<br />
nicht mehr zu Fehlern.<br />
Ansonsten unterscheidet sich das<br />
Netzwerk-Tuning nicht wesentlich von<br />
den Möglichkeiten, die ein Linux auf anderen<br />
Plattformen bietet. Allgemeine<br />
Ratschläge sind nicht möglich, da die<br />
Einstellungen sehr von der Anwendung<br />
und auch den Gegenstellen abhängt.<br />
Datengrab<br />
Als Bootmedium benötigt der RasPi<br />
zwingend eine SD-Karte. Das aktuelle<br />
Debian-Image Raspbian benötigt knapp<br />
2 GByte Platz, auf Karten mit höherer Kapazität<br />
bleibt also noch Platz für Anwendungsdaten.<br />
Trotzdem ist die SD-Karte<br />
nicht wirklich die erste Wahl für einen<br />
Massenspeicher.<br />
Das liegt zuallererst an der Schreibund<br />
Lesegeschwindigkeit. Zwar teilen<br />
sich SD-Karten in Geschwindigkeitsklassen<br />
ein (eine Class-10-Karte sollte einen<br />
Durchsatz von mindestens 10 MByte/s<br />
aufweisen), aber diese Werte sind eher<br />
theoretischer Natur und lassen sich nur<br />
in ganz speziellen Situationen wirklich<br />
erzielen. Insbesondere sind SD-Karten<br />
darauf ausgelegt, Bilder und Filme – also<br />
große zusammenhängende Datenmengen<br />
– sequenziell zu schreiben.<br />
Die I/O-Performance einer SD-Card<br />
messen Sie mit dem Kommando iostat<br />
aus dem Sysstat-Paket. Für Ganglia gibt<br />
es zwar auch ein spezielles Modul, das<br />
I/O-Metriken aufzeichnet, allerdings<br />
funktioniert es nicht im aktuellen Debian-Image<br />
auf dem RasPi. Ohne Parameter<br />
aufgerufen, gibt Iostat die Durchsatzwerte<br />
seit dem letzten Boot aus. Der<br />
Aufruf iostat ‐t ‐d 5 10 erzeugt<br />
zehn Ausgaben im Abstand von fünf<br />
Sekunden. Alternativ nutzen Sie das<br />
Benchmark-Programm bonnie++:<br />
$ bonnie++ ‐d testdir ‐m Raspi ‐fU<br />
‐q >> bonnie.csv<br />
4 Die ins Web -Interface<br />
von Ganglia<br />
integrierte Temperatur-<br />
und Frequenzanzeige<br />
informiert Sie<br />
in grafisch aufbereiteter<br />
Form über das<br />
Verhalten des Prozessors,<br />
beispielsweise<br />
unter Last.<br />
88 www.linux-user.de<br />
09.2013
RasPi-Tuning<br />
Schwerpunkt<br />
teien (etwa Bilder für die Owncloud-Galerie)<br />
funktioniert gut. Ein anderer Massenspeicher<br />
wäre aber besser geeignet.<br />
Als Alternative zur SD-Karte bietet sich<br />
eine USB-Festplatte an – doch hier fangen<br />
die Probleme erst an. Festplatten<br />
ohne externe Spannungsquelle fressen<br />
viel Strom, was schon beim Anstecken in<br />
der Regel für den Totalabsturz sorgt. Die<br />
erste Revision der Boards besaß sogar<br />
eine 140-mAh-Sicherung vor den USB-<br />
Ports: Das liegt so weit unterhalb der<br />
USB-Spezifikation, dass es selbst den Betrieb<br />
anderer USB-Peripherie wie WLAN-<br />
Dongles unmöglich macht.<br />
Besitzt die externe Festplatte keine eigene<br />
Stromversorgung, kann ein aktiver<br />
USB-Hubs weiterhelfen – doch die bringen<br />
ihre eigenen Probleme mit sich. Verhalten<br />
sie sich konform zur Spezifikation,<br />
dann liefern sie stur 500 mAh pro Port.<br />
Viele Festplatten brauchen aber beim<br />
Anlaufen kurzzeitig mehr Strom. Ein weiteres<br />
Manko: USB-Hubs kommen überwiegend<br />
aus der Fernost-Billigstproduktion.<br />
Im Internet finden sich zahlreiche<br />
Berichte, die von mechanischen Problemen<br />
bis hin zu in Flammen aufgehenden<br />
Netzteilen berichten. Ein explizit für<br />
den Dauerbetrieb entworfener aktiver<br />
USB-Hub ist dem Autor nicht bekannt.<br />
Als letzte Alternative bleiben noch<br />
USB-Sticks, die allerdings ähnliche Zugriffsmuster<br />
wie SD-Karten aufweisen<br />
und damit im Owncloud-Szenario im<br />
Test dieselben Probleme bereiteten. Zusätzlich<br />
legen die meisten Hersteller den<br />
inneren Aufbau der Sticks nicht offen –<br />
womit unklar bleibt, wie sie die Flash-<br />
Chips ansteuern.<br />
Wie empfindlich der RasPi mit USB-<br />
Geräten interagiert, zeigt eine Konfiguration<br />
des Autors: Eine wegen eines Laptop-Umbaus<br />
verfügbare mSATA-SSD<br />
wurde mit einem externen mSATA-<br />
USB3-Gehäuse an den Minirechner angeschlossen.<br />
Erfolgte das im laufenden<br />
Betrieb, stürzte der Raspberry reproduzierbar<br />
ab. Wurde die SSD dagegen vor<br />
dem Booten schon angestöpselt, startete<br />
und arbeitete das System ohne Probleme.<br />
In dieser – zugegeben überteuerten<br />
– Kombi bleibt das System kompakt<br />
und liefert ausreichend I/O-Performance,<br />
5 Eine hohe Last bei langsamen I/O-System bremst – unabhängig von der CPU – das<br />
gesamte System aus. Da hilft nur der Umstieg auf einen schnelleren Datenträger.<br />
auch wenn sich die Möglichkeiten der<br />
SSD an der USB-2-Schnittstelle des RasPi<br />
nicht ausreizen lassen.<br />
Fazit<br />
Sind Sie bereit, ein wenig Zeit zu investieren,<br />
dann können Sie aus dem Raspberry<br />
Pi problemlos 10 bis 50 Prozent<br />
mehr Leistung herausholen. In vielen<br />
Anwendungsszenarien macht das den<br />
subjektiven Unterschied zwischen „zu<br />
langsam“ und „ausreichend schnell“ aus.<br />
Sicher: Es gibt Plattformen mit mehr Performance,<br />
die weniger Mühe machen.<br />
Aber gerade das Ausloten von Grenzen<br />
macht einen Teil des Bastelspaßes aus.<br />
Genügt aber trotz Tunings die Leistung<br />
nicht, ist dennoch Abhilfe möglich:<br />
RasPi-ähnliche Kleinrechner mit besserer<br />
Ausstattung sprießen derzeit förmlich<br />
wie Pilze aus dem Boden. Allerdings<br />
konnte der Autor in dieser Riege noch<br />
keinen entdecken, der sowohl deutlich<br />
mehr Rechenleistung als auch eine bessere<br />
I/O-Performance bietet.<br />
Im Vergleich zur Raspberry-Pi-Gemeinde<br />
fallen die Communities um die Alternativ-Boards<br />
allerdings viel kleiner aus –<br />
und der Hardware- beziehungsweise<br />
Distributionssupport entsprechend geringer.<br />
Das erweist sich in der Praxis oft<br />
als viel hinderlicher als die zugegebenermaßen<br />
beschränkte Performance des<br />
Raspberry Pi. (tle/jlu) n<br />
Der Autor<br />
Weitere Infos und<br />
interessante Links<br />
www. linux‐user. de/ qr/ 27792<br />
Bernhard Bablok arbeitet<br />
bei der Allianz Managed &<br />
Operations Services SE als<br />
SAP-HR-Entwickler. Wenn er<br />
nicht Musik hört, mit dem<br />
Radl oder zu Fuß unterwegs ist, beschäftigt<br />
er sich mit Themen rund um Linux<br />
und Objektorientierung. Sie erreichen ihn<br />
unter mail@bablokb.de.<br />
09.2013 www.linux-user.de<br />
89
Know-how<br />
Arch-Pakete<br />
Pakete für Arch Linux im Eigenbau<br />
Leichtbau<br />
© Stroszko, sxc.hu<br />
Mit dem Build System von<br />
Arch Linux haben Sie im<br />
Handumdrehen aktuelle<br />
Software nahtlos ins System<br />
integriert. Dazu reicht ein<br />
wenig Grundwissen über<br />
die Shell und ein Editor.<br />
Peter Kreußel<br />
Readme<br />
Obwohl unter Arch Linux das Gros der Software<br />
in Form von Binärpaketen vorliegt,<br />
spielen Bauanleitungen eine wichtige Rolle.<br />
Ein Build System kompiliert nach diesen<br />
vollautomatisch Programme: Das Arch User<br />
Repository ergänzt so den offiziellen Bestand.<br />
Außerdem gelingt es auf diese Weise<br />
sehr leicht, eigene Pakete zu erstellen.<br />
Serie: Pakete im Eigenbau<br />
Das einfach zu bedienende System zum<br />
Bauen von Paketen 1 gehört zu jenen<br />
Stärken von Arch Linux, die vor allem<br />
viele Power user für die leichtgewichtige<br />
Distribution einnehmen: Pakete, die Sie<br />
über den Arch-Linux-Paketmanager Pacman<br />
administrieren, entstehen auf der<br />
Basis eines einzigen Bash-Skripts mit<br />
dem Namen PKGBUILD, dessen Aufbau<br />
sich Anwendern mit Shell-Grundwissen<br />
schnell erschließt. Arch Linux veröffentlicht<br />
diese Dateien für alle offiziellen<br />
Pakete über das Build System: Das Kommando<br />
abs spielt sie in der aktuellen<br />
Version nach /var/abs ein.<br />
Der Paketmanager von Arch Linux installiert<br />
ohne weitere Umstände lokal<br />
vorliegende Pakete. Es fällt jedoch nicht<br />
schwer, ein eigenes Repository zu erzeugen.<br />
Bei Bedarf ließe sich dies über einen<br />
HTTP- oder FTP-Server im Netz verteilen,<br />
sodass mehrere Systeme es bei<br />
jedem Upgrade der Rolling-Release-Distribution<br />
mit einbeziehen. Zum Erzeugen<br />
des Repositories reicht der Aufruf<br />
repo‐add Reponame.db.tar.gz Paketdatei<br />
im Verzeichnis, in dem die Paketdateien<br />
liegen.<br />
Wie bei anderen Distributionen verhindert<br />
das Paketmanagementsystem,<br />
dass neue Pakete Dateien aus bereits<br />
installierten überschreiben und schützen<br />
damit das System vor Schaden. Auf<br />
das unkontrollierte und oft irreversible<br />
Einspielen über make install brauchen<br />
Sie sich nicht einzulassen; erzeugen Sie<br />
besser gleich ein Paket.<br />
Bauplan<br />
Um ein offizielles Paket aus den Arch-Repositories<br />
selbst zu kompilieren, genügt<br />
RPM-Pakete im Eigenbau LU 07/2013, S. 88 http:// www. linux‐community. de/ 28508<br />
DEB-Pakete im Eigenbau LU 08/2013, S. 88 http:// www. linux‐community. de/ 28514<br />
Arch-Pakete im Eigenbau LU 09/2013, S. 90 http:// www. linux‐community. de/ 28515<br />
90 www.linux-user.de<br />
09.2013
Arch-Pakete<br />
Know-how<br />
es, den Ordner /var/abs/Repository/<br />
Paketname zu kopieren und dann aus<br />
diesem Verzeichnis heraus das im Paket<br />
pacman enthaltene Tool makepkg aufzurufen.<br />
Die Option ‐s gestattet es makepkg,<br />
fehlende Abhängigkeiten nachzuziehen,<br />
mit ‐i installiert die Software das Paket<br />
bei Erfolg.<br />
Dasselbe Vorgehen kommt auch bei<br />
nicht offiziell unterstützten Paketen aus<br />
dem Arch User Repository (AUR) zum<br />
Einsatz, bis auf den Unterschied, dass die<br />
zum Paketbau nötigen Dateien hier zunächst<br />
als Tar-Archiv vorliegen.<br />
Außer dem zentralen Skript liegen im<br />
Verzeichnis unter /var/abs oder im AUR<br />
manchmal noch Patch-Dateien, Desktop-Dateien<br />
für Menüeinträge oder andere<br />
Kleinigkeiten, die im ursprünglichen<br />
Quellcode des Programmes fehlen.<br />
Den umfangreichen Quellcode<br />
selbst lädt dagegen erst der Aufruf von<br />
make pkg herunter.<br />
Die Grundstruktur der Datei PKGBUILD<br />
erschließt sich schnell: Bash-Variablen<br />
definieren den Namen des Paketes und<br />
dessen Version sowie Abhängigkeiten,<br />
die Upstream-URL der Quelldateien sowie<br />
einige weitere Daten. In den Funktionen<br />
build() und package() stehen die<br />
Befehle, die Sie auf der Konsole zum<br />
Kompilieren und Installieren eintippen<br />
würden. Die Befehle, die Root-Rechte<br />
brauchen, gehören nach package(), alle<br />
anderen nach build(), das vor package()<br />
läuft. Weitere Elemente erläutert die Tabelle<br />
PKGBUILD im Detail.<br />
Alles Weitere, insbesondere das Herunterladen<br />
und Entpacken des Quellcodes,<br />
das Prüfen der Abhängigkeiten<br />
sowie das Verpacken in ein Arch-Programmpaket<br />
übernimmt Makepkg, ein<br />
etwa 3000 Zeilen langes Shell-Skript.<br />
Sind die beiden Funktionen fehlerfrei<br />
durchgelaufen, landen alle Dateien, die<br />
make install nach ${pkgdir} geschaufelt<br />
hat, im Paket.<br />
abs unter /var/abs/extra/audacious<br />
findet. Die Zeilen 1 bis 16 enthalten die<br />
Definitionen für elementare Daten, die<br />
das spätere Softwarepaket enthält: pkgname,<br />
pkgver und pkgdesc nennen den<br />
Paketnamen, die Programmversion sowie<br />
eine Beschreibung, deren Länge 80<br />
Zeichen nicht überschreiten sollte.<br />
Die Variablen license und url liefern<br />
für den Anwender wichtige Informationen,<br />
haben aber keinerlei technische<br />
Bedeutung beim Paketbau. Das Hochzählen<br />
der pkgrel (Paket-Release-Version)<br />
dagegen erzeugt Pakete, die der<br />
Paketmanager als Updates erkennt, obwohl<br />
sich die enthaltene Programmversion<br />
nicht geändert hat.<br />
Das Bash-Array depends listet die Abhängigkeiten<br />
des Paketes auf. Leerzeichen<br />
trennen die einzelnen Einträge, die<br />
ihrerseits in einfachen Anführungszeichen<br />
stehen. Sie dürfen hier nach Lust<br />
und Laune Zeilenumbrüche und Tabs<br />
zwischen den Elementen zum Formatieren<br />
verwenden – das stört die Bash<br />
nicht. Bei Leerzeichen vor oder nach<br />
dem Gleichheitszeichen versteht sie<br />
allerdings keinerlei Spaß.<br />
Das Array makedepends enthält die Abhängigkeiten,<br />
die nur zum Kompilieren<br />
Datenerhebung<br />
Listing 1 zeigt die Datei PKGBUILD für das<br />
offizielle Paket des Audio-Players Audacious,<br />
das sich nach Installation von abs<br />
und dem Abgleich mit einem Aufruf von<br />
1 Um den Paketmanager Pacman herum haben die Entwickler von Arch<br />
Linux ein Ökosystem an Tools gestrickt, mit dem Sie offizielle Pakete abgewandelt<br />
kompilieren oder eigene Pakete und Repositories erzeugen.<br />
09.2013 www.linux-user.de<br />
91
Know-how<br />
Arch-Pakete<br />
Listing 1<br />
01 pkgname=audacious<br />
02 pkgver=3.3.4<br />
03 pkgrel=1<br />
04 pkgdesc='Lightweight, advanced<br />
audio player focused on audio<br />
quality'<br />
05 url='http://<br />
audacious‐media‐player.org/'<br />
06 license=('custom:BSD')<br />
07 arch=('i686' 'x86_64')<br />
08 depends=('gtk3' 'dbus‐glib'<br />
'libguess' 'libsm'<br />
'audacious‐plugins'<br />
09 'hicolor‐icon‐theme'<br />
'desktop‐file‐utils')<br />
10 optdepends=('unzip: zipped<br />
skins support')<br />
11 source=("http://distfiles.<br />
audacious‐media‐player.<br />
org/${pkgname}‐${pkgver}.tar.<br />
bz2")<br />
12 sha1sums=('d1050fb88a59b46c0c9<br />
bbb1af0e7efc2b02f2b4d')<br />
13 <br />
14 provides=('audacious‐player')<br />
15 replaces=('audacious‐player')<br />
16 install=install<br />
17 <br />
18 build() {<br />
19 cd "${srcdir}/${pkgname}‐<br />
${pkgver}"<br />
20 ./configure ‐‐prefix=/usr<br />
‐‐with‐buildstamp='Arch Linux'<br />
21 make<br />
22 }<br />
23 <br />
24 package() {<br />
25 cd "${srcdir}/${pkgname}‐<br />
${pkgver}"<br />
26 make DESTDIR="${pkgdir}"<br />
install<br />
27 install ‐Dm644 COPYING<br />
"${pkgdir}/usr/share/<br />
licenses/${pkgname}/LICENSE"<br />
28 }<br />
erforderlich sind, nicht aber zur Laufzeit<br />
des Programms. Bei Audacious gibt es<br />
jedoch keine solchen speziellen Abhängigkeiten,<br />
da Arch Linux keine gesonderten<br />
Devel-Pakete kennt. Der Eintrag<br />
optdepends listet schließlich noch optionale<br />
Abhängigkeiten, die zusätzliche<br />
Funktionalität bereitstellen. Die Einträge<br />
folgen der allgemeinen Form Paketname:<br />
Funk ti ons erweiterung.<br />
Die Variable replaces teilt Pacman<br />
mit, dass das vorliegende Paket ein älteres<br />
mit anderem Namen ersetzt. Das<br />
Feld provides kommt dagegen zum Einsatz,<br />
wenn mehrere Pakete einen funktional<br />
äquivalenten Inhalt bereitstellen.<br />
Eine selbstkompilierte Version von Qt4<br />
hieße eventuell qt4‐with‐xxx. Trotzdem<br />
zöge der Paketmanager es als erfüllte<br />
Abhängigkeit für Qt4 in Betracht, sofern<br />
PKGBUILD den Eintrag provides=('qt4')<br />
enthielte.<br />
In die Kategorie Paketabhängigkeiten<br />
gehört auch das Array conflicts=<br />
('...' ['...']), das das gleichzeitige<br />
Installieren bestimmter Pakete verbietet.<br />
Im Audacious-Beispiel gibt es keine solchen<br />
Kandidaten.<br />
Aus der Quelle<br />
Von den Elementen der Datei PKGBUILD,<br />
die den Paketbau selbst steuern, ist eine<br />
der wichtigsten Variablen das Array<br />
source, das alle für das Kompilieren und<br />
den Bau erforderlichen Dateien enthält.<br />
Das umfasst auch Dateien, die Sie über<br />
HTTP oder FTP erreichen.<br />
Für den oft mehrere Megabytes großen<br />
eigentlichen Quellcode sind in den<br />
offiziellen Repositories und im Arch User<br />
Repository (AUR) lokale Dateien sogar<br />
verboten, damit das Arch Build System<br />
(Abs) und das AUR performant bleiben.<br />
Nur wenige Kilobytes große Dateien wie<br />
Patches, Icons oder Desktop-Dateien für<br />
Einträge im Startmenü dürfen direkt im<br />
selben Verzeichnis wie PKGBUILD liegen.<br />
In source referenzieren Sie diese lokalen<br />
Dateien mit dem bloßen Dateinamen.<br />
Das Build System prüft bei allen Dateien<br />
in source, ob es sich bei ihnen um ein<br />
Archiv in einem bekannten Format handelt,<br />
und packt sie gegebenenfalls aus.<br />
Die Befehle dafür braucht PKGBUILD also<br />
nicht gesondert zu enthalten.<br />
Jedem Eintrag in source entspricht<br />
eine Checksumme in den Arrays<br />
md5sums, sha1sums, sha256sums, sha‐<br />
384sums oder sha512sums, die verhindert,<br />
dass der Online-Quellcode sich unbemerkt<br />
ändert. Die Prüfsummen entstehen<br />
mithilfe des Kommandozeilen-<br />
Tools mit dem Namen der Hash-Variablen.<br />
Jedes PKGBUILD muss sich für eine<br />
der genannten Alternativen entscheiden<br />
und die Checksummen in der gleichen<br />
Reihenfolge auflisten wie die Quelldateien<br />
in source.<br />
Bleibt noch die Variable install, die<br />
auf ein Shell-Skript mit den sechs Funktionen<br />
pre_install(), post_install(),<br />
pre_upgrade(), post_upgrade(), pre_<br />
remove() und post_remove() verweist.<br />
Ist ein solches Skript angegeben, ruft<br />
Pacman es beim Installieren beziehungsweise<br />
Deinstallieren auf.<br />
Im Audacious-Beispiel (Listing 1)<br />
nimmt das Skript install nach dem Installieren,<br />
Upgrade oder Entfernen des<br />
Paketes ein Update der systemweiten<br />
Mimetype-Datenbank sowie des Gtk-<br />
Icon-Caches vor. Dabei braucht das<br />
Skript nur die tatsächlich benötigten<br />
Hooks zu enthalten. Er muss im selben<br />
Verzeichnis liegen wie PKGBUILD.<br />
Arbeitstiere<br />
Die Funktionen build() und package()<br />
leisten die eigentliche Arbeit beim Bauen<br />
des Paketes. In ihnen stehen die Befehle,<br />
die die Software kompilieren und<br />
in ein Unterverzeichnis relativ zum<br />
Home des Benutzers („fake root“) installieren.<br />
Diese Befehle fallen in der Regel<br />
für jede Software anders aus, obwohl oft<br />
der Dreischritt ./configure; make;<br />
make install zum Einsatz kommt.<br />
Das bedeutet, dass Sie die Funktionen<br />
für jede Build-Datei neu schreiben müssen.<br />
Allerdings finden Sie unter /usr/<br />
share/pacman Templates, die nach Ausfüllen<br />
der Variablen für unkomplizierte<br />
Software direkt funktionieren.<br />
Die Entwickler haben das Bauen und<br />
Kompilieren nicht ohne Grund in zwei<br />
Funktionen aufgeteilt: package() läuft in<br />
92 www.linux-user.de<br />
09.2013
Arch-Pakete<br />
Know-how<br />
einer sogenannten Fakeroot-Umgebung,<br />
in der die Funktion Dateien erstellen<br />
darf, die Root gehören. Das trifft aus<br />
Sicherheitsgründen auf fast alle Dateien<br />
in Programmpaketen zu. Verzeichnisse,<br />
für die nur Root Schreibrechte besitzt,<br />
bleiben ihr aber trotzdem verschlossen.<br />
Das ist wichtig, falls ein aus dem Ruder<br />
laufender Prozess versucht, Dateien direkt<br />
im echten Root des Dateisystems zu<br />
installieren und dabei das System zu beschädigen.<br />
Insbesondere die Tests von<br />
configure schlagen allerdings in einer<br />
solchen Umgebung zum Teil fehl. Deshalb<br />
gehören nur die Befehle, die die simulierten<br />
Root-Rechte wirklich brauchen,<br />
in die Funktion package().<br />
Bauen und Packen<br />
Im Audacious-Beispiel steht am Anfang<br />
jeweils ein Wechsel ins Verzeichnis<br />
${srcdir}/${pkgname}‐${pkg ver} an.<br />
Diese Kombination aus Variablen expandiert<br />
zum Verzeichnis, in das der Aufruf<br />
makepkg die Quellen entpackt hat. Es<br />
handelt sich dabei im Beispiel um src/<br />
audacious‐3.3.4 unterhalb des Arbeitsverzeichnisses<br />
oder an der in /etc/<br />
make pkg.con für SRCDEST festgelegten<br />
Stelle. Das braucht Sie innerhalb von<br />
PKGBUILD aber nicht weiter zu kümmern.<br />
In build() folgt auf den Wechsel ins<br />
Verzeichnis der Aufruf von Configure.<br />
Wichtig ist dabei die Option ‐‐prefix=<br />
/usr: Meistens landen die Programmdateien<br />
ohne diesen Parameter in /usr/<br />
local, um nicht mit dem über das Paketsystem<br />
installierten Programm zu kollidieren.<br />
Darum findet sich die Prefix-Angabe<br />
/usr in allen offiziellen Arch-Paketen.<br />
Der Parameter ‐‐with‐buildstamp<br />
ist Audacious-spezifisch und hängt nicht<br />
direkt mit dem Bau des Paketes unter<br />
Arch Linux zusammen.<br />
In package() steht direkt nach dem<br />
Wechsel ins Quellcodeverzeichnis der<br />
Aufruf von make install. Dem Parameter<br />
DESTDIR="${pkgdir}" kommt besondere<br />
Bedeutung zu: Er sorgt dafür, dass<br />
der Aufruf make install die Dateien in<br />
eine Verzeichnishierarchie relativ zu<br />
${pkgdir}, dem „fake root“, und nicht im<br />
echten Root des Dateisystems installiert.<br />
Es hängt vom Makefile des Programms<br />
ab, ob der Trick mit DESTDIR funktioniert<br />
oder nicht. Wenn nicht, dann fällt es in<br />
der Regel schwer, ein Paket zu bauen û.<br />
Egal, ob nun unter Arch Linux, Debian,<br />
Ubuntu oder OpenSuse: Ein make install<br />
scheitert, weil es versucht, ohne<br />
Root-Rechte nach /usr oder in andere<br />
nur root zugängliche Verzeichnisse zu<br />
schreiben. Die meisten Entwickler be-<br />
PKGBUILD im Detail<br />
Variable<br />
pkgname<br />
pkgver<br />
Bedeutung<br />
Paketname<br />
Version der verpackten Software<br />
pkgrel<br />
signalisiert neue Version der Bauvorschrift bei gleicher Version der<br />
Software<br />
pkgdesc<br />
Kurzbeschreibung für die verpackte Software<br />
arch<br />
Rechnerarchitektur, Standard ('i686' 'x86_64'), eventuell nur<br />
eine der beiden<br />
url<br />
Upstream-URL<br />
license<br />
Lizenz<br />
groups<br />
thematische Paketgruppe (PKGBUILD eines ähnlichen Programms<br />
konsultieren)<br />
depends<br />
Abhängigkeiten, Beispiel: ('gtk3' 'dbus‐glib' 'libguess'),<br />
Versionen: 'paketname>=2.5.1'<br />
optdepends<br />
optionale Abhängigkeiten, Array mit Einträgen der Form cups:<br />
printing support<br />
makedepends<br />
Array mit nur zum Kompilieren benötigten Abhängigkeiten<br />
provides<br />
Abhängigkeiten, die das Paket bedient, Beispiel: ('qt4=4.8.4')<br />
conflicts<br />
Pakete, die mit diesem Paket kollidieren<br />
replaces<br />
Namen älterer Pakete, die dieses Paket ersetzt<br />
options<br />
Einstellungen aus /etc/makepkg.conf für dieses Paket überschreiben<br />
install Install-Skript (vergleiche Listing 2)<br />
changelog<br />
ChangeLog-Datei (vergleiche /usr/share/pacman/ChangeLog.<br />
proto)<br />
source<br />
URLs der zum Kompilieren benötigten Dateien, bekannte Archivtypen<br />
packt die Software automatisch aus, Versionrepositories<br />
(URL: git://Pfad oder git+http://Pfad, analog hg für<br />
Mercurial, bzr für Bazaar und svn für Subversion)<br />
md5sums/sha1sums/<br />
sha256sums/sha‐<br />
384sums/sha512sums<br />
noextract<br />
Funktionen<br />
Checksummen für jeden Eintrag in source, lautet bei Sourcen aus<br />
Versionrepositories SKIP, generierbar mit makepkg ‐g<br />
Archive aus source, die Makepkg nicht auspacken soll<br />
prepare() optional, ab Pacman 4.1, Quellcode vorbereiten, makepkg ‐e<br />
überspringt den Schritt<br />
build()<br />
check()<br />
package()<br />
version()<br />
./configure und make oder entsprechende Befehle<br />
optional, zum Beispiel make tests, wenn für die Software<br />
definiert<br />
make install oder Entsprechung, läuft unter Fakeroot (schreibt<br />
Dateien mit Eigentümer root, aber aus Sicherheitsgründen keine<br />
echten administrativen Schreibrechte)<br />
optional, für Git-, SVN-Pakete, Rückgabewert überschreibt pkgver<br />
09.2013 www.linux-user.de<br />
93
Know-how<br />
Arch-Pakete<br />
Listing 2<br />
01 pkgname=audacious‐git<br />
02 pkgver=0<br />
03 pkgrel=1<br />
rücksichtigen DESTDIR in den Makefiles,<br />
da sie wissen, dass die Paketsysteme der<br />
Distributionen darauf setzen.<br />
In der letzten Zeile von package()<br />
folgt noch ein Aufruf von GNU Install. Er<br />
kopiert lediglich die Datei COPYING in das<br />
dafür übliche Verzeichnis. Der Parameter<br />
‐DM644 erstellt dieses, falls es noch nicht<br />
existiert, und sorgt für angemessene<br />
Dateirechte. Abbildung 2 zeigt den<br />
Ablauf bei einem Aufruf von makepkg.<br />
Vorwissen<br />
Mit dem bisher erworbenen Wissen gelingt<br />
es Ihnen bereits, Pakete für viele<br />
04 pkgdesc='Lightweight, advanced audio player focused on audio<br />
quality'<br />
05 url='http://audacious‐media‐player.org/'<br />
06 license=('custom:BSD')<br />
07 arch=('i686' 'x86_64')<br />
08 depends=('gtk3' 'dbus‐glib' 'libguess' 'libsm' 'hicolor‐icon‐theme'<br />
'desktop‐file‐utils')<br />
09 makedepends=('git')<br />
10 optdepends=('unzip: zipped skins support')<br />
11 provides=('audacious')<br />
12 conflicts=('audacious' 'audacious‐player‐hg')<br />
13 source=('git://github.com/audacious‐media‐player/audacious.git')<br />
14 install=$pkgname.install<br />
15 sha256sums=('SKIP')<br />
16 <br />
17 pkgver() {<br />
18 cd "$srcdir/audacious"<br />
19 git describe ‐‐always | sed 's|‐|.|g'<br />
20 }<br />
21 <br />
22 build() {<br />
23 cd "$srcdir/audacious"<br />
24 autoreconf<br />
25 ./configure ‐‐prefix=/usr ‐‐with‐buildstamp="$(date +%x)"<br />
26 make<br />
27 }<br />
28 <br />
29 package() {<br />
30 cd "$srcdir/audacious"<br />
31 make DESTDIR="${pkgdir}" install<br />
32 install ‐Dm644 COPYING "${pkgdir}/usr/share/licenses/${pkgname}/<br />
LICENSE"<br />
33 }<br />
Programme zu erzeugen, die Sie erfolgreich<br />
kompiliert haben. Bereits dieses<br />
Übersetzen aus den Quellen entpuppt<br />
sich jedoch in vielen Fällen als ein recht<br />
mühsames Unterfangen.<br />
Das Experimentieren mit dem Compiler<br />
bleibt Ihnen erfreulicherweise häufig<br />
erspart, wenn Sie ein bestehendes Paket<br />
aus dem Arch Build System oder dem<br />
Arch User Repository auf eine neue Programmversion<br />
aktualisieren. Wie Sie im<br />
PKGBUILD für das Beispiel Audacious sehen,<br />
bezieht die URL des Quellcodes in<br />
source die Variable pkgver ein.<br />
Die Templates für PKGBUILD geben<br />
diesen Einsatz der Variablen für Versionsnummern<br />
vor, und die offiziellen Arch-<br />
Pakete halten sich auch brav an diese<br />
Konvention – schon weil das Aktualisieren<br />
der ganzen Distribution anders<br />
kaum zu stemmen wäre.<br />
Mit etwas Glück brauchen Sie daher<br />
nur pkgver anzupassen, sobald Version<br />
3.3.5 von Audacious erscheint. Das Tool<br />
updpkgsums aktualisiert daraufhin die<br />
Prüfsummen. Wenn sich in der Quellcode-URL<br />
tatsächlich nur die Versionsnummer<br />
verändert hat, und das Programm<br />
wie bei der Vorgängerversion<br />
kompiliert, erzeugt makepkg ein aktuelles<br />
Audacious-Paket.<br />
Freilich ist es keineswegs sicher, dass<br />
ein selbst ansonsten völlig unverändertes<br />
PKGBUILD nach dem Erhöhen der Versionsnummer<br />
noch funktioniert: Es<br />
könnten beispielsweise neue Optionen<br />
beim Configure hinzugekommen sein<br />
oder aber die installierten Bibliotheken<br />
passen in Bezug auf die Version nicht zu<br />
denen, auf die das Programm aufsetzt.<br />
Bei Sprüngen in der Minor-Version,<br />
also bei der Zahl hinter dem ersten<br />
Punkt, kommt es jedoch erfahrungsgemäß<br />
eher selten zu Problemen. Rührt<br />
sich der Maintainer also trotz Out-of-<br />
Date-Flag 3 nicht, dann holen Sie sich<br />
mit abs die passende Datei PKGBUILD,<br />
passen die pkgver an und probieren<br />
dann einfach Ihr Glück.<br />
Das Gleiche gilt natürlich auch dann,<br />
wenn Sie beispielsweise eine Beta-Version<br />
ausprobieren möchten oder in die offizielle<br />
Version ein zusätzliches Feature<br />
einkompilieren möchten.<br />
94 www.linux-user.de<br />
09.2013
Arch-Pakete<br />
Know-how<br />
Tagesaktuell<br />
Es gibt Gründe, Pakete aus den offiziellen<br />
Repositories leicht abgewandelt auf<br />
dem eigenen Rechner neu zu übersetzen.<br />
So richtig stellt das Arch Build System<br />
seine Leistungsfähigkeit bei Paketen<br />
unter Beweis, deren Quellcode aus<br />
einem Versionsmanagementsystem<br />
stammt. Hier lohnt es sich, den Compiler<br />
öfters, vielleicht sogar täglich anzuwerfen.<br />
Solche Pakete finden sich naturgemäß<br />
nicht in den stabilen Repositories,<br />
aber im AUR stehen viele bereit.<br />
Pacman 4.1 ersetzt dabei das frühere,<br />
etwas undurchsichtige Verfahren, bei<br />
dem makepkg bei allen Paketen, deren<br />
Name auf ‐git, ‐svn, ‐hg, ‐darcs oder<br />
‐bzr endete, das aktuelle Datum als Versionsnummer<br />
verwendet hat.<br />
Bei diesem neuen Verfahren ist es<br />
nicht einmal mehr nötig, die Befehle für<br />
den Checkout oder das Update des<br />
Quellcodes in das Build-Skript zu schreiben.<br />
Vielmehr akzeptiert makepkg nun<br />
direkt im Array source URLs, die auf ein<br />
Repository deuten und automatisiert<br />
den Checkout ähnlich dem Auspacken<br />
von Archiven mit Quellcode.<br />
vorliegenden Fall den Hash des aktuellen<br />
Checkins zurück û. makepkg verwendet<br />
den Rückgabewert als Paketversion.<br />
Das erlaubt es, jedes neu übersetzte Paket<br />
einzuordnen. Aus diesem Grund darf<br />
die Variable pkgver mit einem beliebigen<br />
Wert starten.<br />
Über makepkg ‐‐holdver stoßen Sie<br />
ein Neukompilieren ohne Update des<br />
Quellcodes an. Dies ist aber nur beim<br />
Testen während des Schreibens von<br />
PKGBUILD-Dateien erforderlich, da ein<br />
Neubau des Paketes andere, bereits erzeugte<br />
Versionen nicht überschreibt. Solange<br />
Sie diese nicht löschen, bleibt daher<br />
immer die Option auf ein Downgrade<br />
zu einer der Versionen aus einem<br />
früheren Aufruf.<br />
Eine kleine Änderung ergibt sich beim<br />
Wechsel in das Quellcode-Verzeichnis<br />
am Anfang der drei Funktionen: Während<br />
makepkg den Ordner explizit nach<br />
dem Paketnamen und der Versionsnummer<br />
benennt, wenn es ein Tar auspackt,<br />
ergibt sich der Verzeichnisname hier<br />
Version für Version<br />
Das Listing 2 zeigt als Beispiel das<br />
PKGBUILD für eine Git-Version von Audacious.<br />
Die offensichtlichste Änderung im<br />
Vergleich zur auf einem statischen Tar-<br />
Archiv basierenden Fassung (Listing 1)<br />
besteht in der Git-URL in source (Zeile<br />
14). Anhand des Protokolls erkennt<br />
makepkg das Versionskontrollsystem und<br />
sorgt dementsprechend dafür, dass der<br />
Quellcode vor dem Aufruf von build()<br />
in der neuesten Version vorliegt.<br />
Nach wie vor darf source mehrere<br />
Quellen bündeln und dabei statische<br />
und versionierte Elemente mischen. Da<br />
Checksummen bei Letzteren keinen Sinn<br />
ergeben, lautet der zugehörige Eintrag<br />
sha256sums schlicht SKIP. Falls Sie statt<br />
des Git-eigenen Protokolls lieber Git<br />
über HTTP verwenden möchten, beginnt<br />
die URL mit git+http.<br />
Hinzugekommen ist außerdem die<br />
Funktion pkgver() (Zeile 18). Sie gibt im<br />
2 Ein makepkg führt bis zu vier in PKGBUILD definierte Funktionen aus.<br />
Die gestrichelt Dargestellten dürfen wegfallen. Parameter beschränken<br />
den Ablauf auf bestimmte Phasen (rechts im Bild).<br />
09.2013 www.linux-user.de<br />
95
Know-how<br />
Arch-Pakete<br />
3 Ein Klick auf Flag Package Out-of-Date in der Arch-Linux-Paketdatenbank benachrichtigt<br />
den Maintainer. Statt auf seine Reaktion zu warten, gelingt es oft, mit wenig Aufwand<br />
selbst ein aktualisiertes Paket zu bauen.<br />
Weitere Infos und<br />
interessante Links<br />
www. linux‐user. de/ qr/ 28515<br />
beim Checkout, den Namen audacious<br />
gibt das Versionsrepository vor.<br />
Vor dem Aufruf von Configure in<br />
build() muss autoreconf das Skript erst<br />
noch erzeugen, da es nicht üblich ist, es<br />
ins Repository einzuchecken. Darüber<br />
hinaus passen Sie das Array conflicts an,<br />
das die Deinstallation des offiziellen<br />
Audacious-Pakets erzwingt. Es enthält in<br />
Konflikt stehende Dateien.<br />
Leichtbauweise<br />
Arch Linux strebt beim Thema Paketbau<br />
nach Einfachheit, dem erklärten Kernziel<br />
seiner Entwickler: Das Build System setzt<br />
auf die altbewährte Bash, und erschwert<br />
den Einstieg nicht durch unnötige Komplexität.<br />
Weitere Details zum Paketbauprozesses<br />
liefert umfassend und aktuell<br />
das Arch-Wiki û oder die Manpages zu<br />
makepkg und PKGBUILD.<br />
Allerdings hält das Paketmanagement<br />
von Arch Linux beim Verwalten von Abhängigkeiten<br />
nicht mit seinen Geschwistern<br />
aus der Debian- und RPM-Welt mit:<br />
Beide Systeme klopfen beim Bau alle<br />
Binärdateien auf verlinkte Libraries ab,<br />
der Entwickler braucht nur in Ausnahmefällen<br />
Abhängigkeiten per Hand einzutragen.<br />
Arch-Pakete prüfen dagegen<br />
immer nur in PKGBUILD eingetragene Abhängigkeiten,<br />
die Sie aber leicht mithilfe<br />
von Namcap û ermitteln.<br />
Wer schon einmal selbst übersetzte<br />
Pakete aus dem AUR auf seinem System<br />
installiert hat, der ist mitunter auf das<br />
Problem gestoßen, dass ein solches Programm<br />
mit Meldungen wie libxxx.so.y.z:<br />
Kann die Shared-Object-Datei nicht öffnen<br />
abstürzt. Um solche unliebsamen Überraschungen<br />
zu vermeiden – die keineswegs<br />
immer gleich beim Start zutage<br />
treten – enthalten RPM- und Debian-<br />
Pakete Informationen zum sogenannten<br />
Soname û der verlinkten Bibliotheken,<br />
der sich aus der an die Dateiendung .so<br />
angehängten Versionsnummer der<br />
Bibliotheksdatei ableitet.<br />
Mit einer Veränderung des Sonames<br />
signalisieren die Entwickler der Bibliothek<br />
einen Bruch der Binärkompatibiltät,<br />
die ein Neukompilieren aller verlinkten<br />
Programmdateien erforderlich macht. Er<br />
steht in keinem direkten Zusammenhang<br />
zu den Releases einer Bibliothek.<br />
Darum hilft das Management der Abhängigkeiten<br />
in Pacman, das nur Paketversionen<br />
erfasst, hier nicht weiter.<br />
In der Praxis sind Pakete unter Arch<br />
Linux daher meist überhaupt nicht an<br />
eine bestimmte Library-Version gebunden,<br />
denn ein Bruch der Binärkompatibilität<br />
bei neuen Versionen einer Bibliothek<br />
gehört eher zu den Ausnahmen als der<br />
Regel. Bei den offiziellen Repositories<br />
schützt ein gleichzeitiges Update aller Pakete<br />
aus dem immer im Zusammenhang<br />
getesteten Pool von Paketen vor dem beschriebenen<br />
Problem. Das gilt jedoch<br />
nicht bei selbst gebauten Paketen.<br />
Fazit<br />
Arch Linux gehört zu den wenigen Distributionen,<br />
die das Bauen von Paketen<br />
nicht primär an den Anforderungen professioneller<br />
Maintainer ausrichten. Darum<br />
genügen für Archive der Marke Eigenbau<br />
ein Template und ein Editor, mit<br />
dem Sie Daten wie Paketname oder Version<br />
ergänzen. (agr) n<br />
96 www.linux-user.de<br />
09.2013
Service<br />
IT-Profimarkt<br />
PROFI<br />
MARKT<br />
Sie fragen sich, wo Sie maßgeschneiderte<br />
Linux-Systeme sowie kompetente Ansprechpartner<br />
zu Open-Source-Themen<br />
finden? Der IT-Profimarkt weist Ihnen<br />
hier als zuverlässiges Nachschlagewerk<br />
den Weg. Die im Folgenden gelisteten<br />
Unternehmen beschäftigen Experten auf<br />
ihrem Gebiet und bieten hochwertige<br />
Produkte und Leistungen.<br />
Die exakten Angebote jeder Firma entnehmen<br />
Sie deren Homepage. Der ersten<br />
Orientierung dienen die Kategorien<br />
Hardware, Software, Seminaranbieter,<br />
Systemhaus, Netzwerk/TK sowie Schulung/Beratung.<br />
Der IT-Profimarkt-Eintrag<br />
ist ein Service von Linux-Magazin und<br />
<strong>LinuxUser</strong>.<br />
Online-Suche<br />
Besonders komfortabel finden Sie einen<br />
Linux-Anbieter in Ihrer Nähe online über<br />
die neue Umkreis-Suche unter:<br />
[http://www.it-profimarkt.de]<br />
Weitere Informationen:<br />
Medialinx AG<br />
Anzeigenabteilung<br />
Putzbrunner Str. 71<br />
D-81739 München<br />
Tel: +49 (0) 89 / 99 34 11-23<br />
Fax: +49 (0) 89 / 99 34 11-99<br />
E-Mail: anzeigen@linux-user.de<br />
IT-Profimarkt<br />
Firma Anschrift Telefon Web 1 2 3 4 5 6<br />
Schlittermann internet & unix support 01099 Dresden, Tannenstr. 2 0351-802998-1 www.schlittermann.de √ √ √ √<br />
imunixx GmbH UNIX consultants 01468 Moritzburg, Heinrich-Heine-Str. 4 0351-83975-0 www.imunixx.de √ √ √ √ √<br />
Heinlein Support GmbH 10119 Berlin, Schwedter Straße 8/9b 030-405051-0 www.heinlein-support.de √ √ √ √ √<br />
TUXMAN Computer 10369 Berlin, Anton-Saefkow-Platz 8 030-97609773 www.tuxman.de √ √ √ √ √<br />
Compaso GmbH 10439 Berlin, Driesener Straße 23 030-3269330 www.compaso.de √ √ √ √ √<br />
elego Software Solutions GmbH 13355 Berlin, Gustav-Meyer-Allee 25 030-2345869-6 www.elegosoft.com √ √ √ √<br />
verion GmbH 16244 Altenhof, Unter den Buchen 22 e 033363-4610-0 www.verion.de √ √ √<br />
Logic Way GmbH 19061 Schwerin, Hagenower Str. 73 0385-39934-48 www.logicway.de √ √ √ √<br />
Sybuca GmbH 20459 Hamburg, Herrengraben 26 040-27863190 www.sybuca.de √ √ √ √ √<br />
iTechnology GmbH 22083 Hamburg, Osterbekstraße 90b 040 / 69 64 37 20 www.itechnology.de √ √ √ √<br />
JEL Ingenieurbuero 23911 Einhaus, Hauptstr. 7 04541-8911-71 www.jeltimer.de √<br />
beitco - Behrens IT-Consulting 26197 Ahlhorn, Lessingstr. 27 04435-9537330-0 www.beitco.de √ √ √ √ √<br />
talicom GmbH 30169 Hannover, Calenberger Esplanade 3 0511-123599-0 www.talicom.de √ √ √ √ √<br />
primeLine Solutions GmbH 32549 Bad Oeynhausen, Dornenbreite 18a 05731/86940 www.primeline-solutions.de √ √ √ √<br />
teuto.net Netzdienste GmbH 33602 Bielefeld, Niedenstr. 26 0521-96686-0 www.teuto.net √ √ √ √ √<br />
MarcanT GmbH 33602 Bielefeld, Ravensberger Str. 10 G 0521-95945-0 www.marcant.net √ √ √ √ √ √<br />
LINET Services GmbH 38118 Braunschweig, Cyriaksring 10a 0531-180508-0 www.linet-services.de √ √ √ √ √ √<br />
OpenIT GmbH 40599 Düsseldorf, In der Steele 33a-41 0211-239577-0 www.OpenIT.de √ √ √ √ √<br />
Linux-Systeme GmbH 45277 Essen, Langenbergerstr. 179 0201-298830 www.linux-systeme.de √ √ √ √ √<br />
Linuxhotel GmbH 45279 Essen, Antonienallee 1 0201-8536-600 www.linuxhotel.de √<br />
OpenSource Training Ralf Spenneberg 48565 Steinfurt, Am Bahnhof 3-5 02552-638755 www.opensource-training.de √<br />
Intevation GmbH 49074 Osnabrück, Neuer Graben 17 0541-33508-30 osnabrueck.intevation.de √ √ √ √<br />
Sigs Datacom GmbH 53842 Troisdorf, Lindlaustraße 2c 02241-2341-201 sigs-datacom.de √<br />
uib gmbh 55118 Mainz, Bonifaziusplatz 1b 06131-27561-0 www.uib.de √ √ √ √<br />
LISA GmbH 55411 Bingen, Elisenhöhe 47 06721-49960 www.lisa-gmbh.de √ √ √ √ √<br />
GONICUS GmbH 59755 Arnsberg, Moehnestr. 55 02932-9160 www.gonicus.com √ √ √ √ √<br />
saveIP GmbH 64283 Darmstadt, Schleiermacherstr. 23 06151-666266 www.saveip.de √ √ √ √ √<br />
LAMARC EDV-Schulungen u. Beratung GmbH 65193 Wiesbaden, Sonnenberger Straße 14 0611-260023 www.lamarc.com √ √ √ √<br />
1 = Hardware 2 = Netzwerk/TK 3 = Systemhaus 4 = Seminaranbieter 5 = Software 6 = Schulung/Beratung <br />
98 www.linux-user.de<br />
09.2013
IT-Profimarkt<br />
Service<br />
IT-Profimarkt<br />
Firma Anschrift Telefon Web 1 2 3 4 5 6<br />
ORDIX AG 65205 Wiesbaden, Kreuzberger Ring 13 0611-77840-00 www.ordix.de √ √ √ √ √<br />
LinuxHaus Stuttgart 70565 Stuttgart, Hessenwiesenstraße 10 0711-2851905 www.linuxhaus.de √ √ √ √ √<br />
Manfred Heubach EDV und<br />
73728 Esslingen, Hindenburgstr. 47 0711-4904930 www.heubach-edv.de √ √ √ √<br />
Kommunikation<br />
Waldmann EDV Systeme + Service<br />
74321 Bietigheim-Bissingen,<br />
07142-21516 www.waldmann-edv.de √ √ √ √ √<br />
Pleidelsheimer Str. 25<br />
in-put Das Linux-Systemhaus 76133 Karlsruhe, Moltkestr. 49 0721-6803288-0 www.in-put.de √ √ √ √ √ √<br />
Bodenseo 78224 Singen, Pomeziastr. 9 07731-1476120 www.bodenseo.de √ √ √<br />
Linux Information Systems AG 81739 München, Putzbrunnerstr. 71 089-993412-0 www.linux-ag.com √ √ √ √ √<br />
LinuxLand International GmbH 81739 München, Putzbrunnerstr. 71 089-99341441 www.linuxland.de √ √ √ √ √ √<br />
Synergy Systems GmbH 81829 München, Konrad-Zuse-Platz 8 089-89080500 www.synergysystems.de √ √ √ √ √<br />
B1 Systems GmbH 85088 Vohburg, Osterfeldstraße 7 08457-931096 www.b1-systems.de √ √ √ √ √<br />
ATIX AG 85716 Unterschleißheim, Einsteinstr. 10 089-4523538-0 www.atix.de √ √ √ √ √ √<br />
Tuxedo Computers GmbH 86343 Königsbrunn , Zeppelinstr. 3 0921-16 49 87 87-0 www.linux-onlineshop.de √ √ √ √<br />
OSTC Open Source Training and<br />
90425 Nürnberg,<br />
0911-3474544 www.ostc.de √ √ √ √ √ √<br />
Consulting GmbH<br />
Waldemar-Klink-Str. 10<br />
Dipl.-Ing. Christoph Stockmayer GmbH 90571 Schwaig, Dreihöhenstr. 1 0911-505241 www.stockmayer.de √ √ √<br />
pascom - Netzwerktechnik GmbH & Co.KG 94469 Deggendorf, Berger Str. 42 0991-270060 www.pascom.net √ √ √ √ √<br />
RealStuff Informatik AG CH-3007 Bern, Chutzenstrasse 24 0041-31-3824444 www.realstuff.ch √ √ √<br />
CATATEC CH-3013 Bern, Dammweg 43 0041-31-3302630 www.catatec.ch √ √ √<br />
Syscon Systemberatungs AG CH-8003 Zürich, Zweierstrasse 129 0041-44-4542010 www.syscon.ch √ √ √ √ √<br />
Würth Phoenix GmbH IT-39100 Bozen, Kravoglstraße 4 0039 0471 56 41 11 www.wuerth-phoenix.com √ √ √ √<br />
1 = Hardware 2 = Netzwerk/TK 3 = Systemhaus 4 = Seminaranbieter 5 = Software 6 = Schulung/Beratung <br />
99
Seminare<br />
Service<br />
DiD you<br />
know?<br />
IT-Onlinetrainings<br />
Mit Experten lernen.<br />
LPIC-1 / LPIC-2 Training<br />
LPIC-1 (LPI 101 + 102)<br />
mit Ingo Wichmann,<br />
Linuxhotel<br />
499 €<br />
LPIC-2 (LPI 201 + 202)<br />
mit Marco Göbel,<br />
Com Computertraining GmbH<br />
499 €<br />
MEDIALINX<br />
IT-ACADEMY<br />
www.medialinx-academy.de<br />
IT-Academy_1-9_LPIC-Schulungen.indd 1<br />
IT-Onlinetrainings<br />
Mit Experten lernen.<br />
18.03.2013 17:05:57 Uhr<br />
MEDIALINX<br />
IT-ACADEMY<br />
IT-Onlinetrainings<br />
Mit Experten lernen.<br />
MEDIALINX<br />
IT-ACADEMY<br />
Python für<br />
Systemadministratoren<br />
mit Rainer Grimm,<br />
science + computing AG<br />
199 €<br />
Vereinfachen Sie Ihren Sysadmin-Alltag<br />
mit Skripting-Know-How für Profis!<br />
www.medialinx-academy.de<br />
Effiziente BASH-Skripte<br />
mit Klaus Knopper,<br />
Gründer der<br />
Knoppix-Distribution,<br />
KNOPPER.NET<br />
199 €<br />
Automatisieren Sie komplexe<br />
Aufgaben mit Hilfe effizienter Skripte!<br />
www.medialinx-academy.de<br />
WusstEn siE’s?<br />
Linux-Magazin und <strong>LinuxUser</strong><br />
haben ein englisches<br />
Schwester magazin!<br />
Am besten, Sie informieren gleich<br />
Ihre Linux-Freunde in aller Welt...<br />
www.linux-magazine.com<br />
IT-Academy_1-9_Python-Schulung.indd 1<br />
IT-Onlinetrainings<br />
Mit Experten lernen.<br />
www.medialinx-academy.de<br />
18.03.2013 17:07:32 IT-Academy_1-9_Bash-Schulung.indd Uhr<br />
1<br />
MEDIALINX<br />
IT-ACADEMY<br />
Einfache IMAP-Server<br />
mit Dovecot<br />
mit Peer Heinlein,<br />
Heinlein Support GmbH<br />
249 €<br />
IT-Onlinetrainings<br />
Mit Experten lernen.<br />
18.03.2013 17:04:16 Uhr<br />
MEDIALINX<br />
IT-ACADEMY<br />
– die offiziellen Trainings<br />
mit Marco Welter,<br />
Zarafa Deutschland GmbH<br />
Zarafa Administrator<br />
249 €<br />
Zarafa Engineer<br />
249 €<br />
www.medialinx-academy.de<br />
09.2013 IT-Academy_1-9_Dovecot-Schulung.indd www.linux-user.de 1 18.03.2013 17:05:11 IT-Academy_1-9_Zarafa-Schulung.indd Uhr<br />
1<br />
101<br />
18.03.2013 17:08:02 Uhr<br />
LMI_3-9h_german_2504-2013.indd 1<br />
25.04.2013 15:06:17 Uhr
Service<br />
Impressum<br />
Impressum<br />
<strong>LinuxUser</strong> ist eine monatlich erscheinende Publikation der<br />
Linux New Media, eines Geschäftsbereichs der Medialinx AG.<br />
Anschrift Putzbrunner Str. 71<br />
81739 München<br />
Telefon: (089) 99 34 11-0<br />
Fax: (089) 99 34 11-99<br />
Homepage<br />
Artikel und Foren<br />
Abo/Nachbestellung<br />
E-Mail (Leserbriefe)<br />
E-Mail (Datenträger)<br />
Abo-Service<br />
Pressemitteilungen<br />
Chefredakteur<br />
Stellv. Chefredakteur<br />
Redaktion<br />
Linux-Community<br />
Datenträger<br />
Ständige Mitarbeiter<br />
Grafik<br />
Sprachlektorat<br />
Produktion<br />
Druck<br />
Geschäftsleitung<br />
Mediaberatung<br />
D / A / CH<br />
USA / Kanada<br />
Andere Länder<br />
http://www.linux-user.de<br />
http://www.linux-community.de<br />
http://www.linux-user.de/bestellen/<br />
<br />
<br />
<br />
<br />
Jörg Luther (jlu, v. i. S. d. P.)<br />
<br />
Andreas Bohle (agr)<br />
<br />
Thomas Leichtenstern (tle)<br />
<br />
Andreas Bohle (agr)<br />
<br />
Thomas Leichtenstern (tle)<br />
<br />
Mirko Albrecht, Erik Bärwaldt, Falko Benthin,<br />
Mario Blättermann, Marko Dragicevic, Thomas Drilling,<br />
Florian Effenberger, Karsten Günther, Frank Hofmann,<br />
Christoph Langer, Tim Schürmann, Dr. Karl Sarnow,<br />
Vincze-Áron Szabó, Uwe Vollbracht<br />
Elgin Grabe (Titel und Layout)<br />
Titelgrafik: Electronic Frontier Foundation, CC BY 3.0 US,<br />
https://www.eff.org/files/nsa-eagle-no-circle.jpg<br />
Bildnachweis: Stock.xchng, 123rf.com, Fotolia.de u. a.<br />
Astrid Hillmer-Bruer<br />
Christian Ullrich<br />
<br />
Vogel Druck und Medienservice GmbH & Co. KG<br />
97204 Höchberg<br />
Brian Osborn (Vorstand,<br />
verantwortlich für den Anzeigenteil)<br />
<br />
Hermann Plank (Vorstand)<br />
<br />
Petra Jaser<br />
<br />
Tel.: +49 (0)89 / 99 34 11 24<br />
Fax: +49 (0)89 / 99 34 11 99<br />
Michael Seiter<br />
<br />
Tel.: +49 (0)89 / 99 34 11 23<br />
Fax: +49 (0)89 / 99 34 11 99<br />
Ann Jesse<br />
<br />
Tel.: +1 785 841 88 34<br />
Darrah Buren<br />
<br />
Tel.: +1 785 856 3082<br />
Penny Wilby<br />
<br />
Tel.: +44 1787 21 11 00<br />
Es gilt die Anzeigenpreisliste vom 01.01.2013.<br />
Pressevertrieb<br />
MZV Moderner Zeitschriften Vertrieb GmbH & Co. KG<br />
Ohmstraße 1<br />
85716 Unterschleißheim<br />
Tel.: (089) 3 19 06-0<br />
Fax: (089) 3 19 06-113<br />
Abonnentenservice Gudrun Blanz (Teamleitung) <br />
D / A / CH Postfach 1165<br />
74001 Heilbronn<br />
Telefon: +49 (0)7131 27 07-274<br />
Fax: +49 (0)7131 27 07 -78-601<br />
Abo-Preise <strong>LinuxUser</strong> Deutschland Österreich Schweiz Ausland EU<br />
No-Media-Ausgabe<br />
(ohne Datenträger 1 )<br />
€ 5,95 € 6,70 Sfr 11,90 (siehe Titel)<br />
DVD-Ausgabe<br />
(mit 2 Datenträgern)<br />
€ 8,50 € 9,35 Sfr 17,00 (siehe Titel)<br />
Jahres-DVD<br />
(Einzelpreis)<br />
€ 14,95 € 14,95 Sfr 18,90 € 14,95<br />
Jahres-DVD<br />
(zum Abo 2 )<br />
€ 6,70 € 6,70 Sfr 8,50 € 6,70<br />
Mini-Abo<br />
(3 Ausgaben)<br />
€ 3,00 € 3,00 Sfr 4,50 € 3,00<br />
Jahres-Abo<br />
(No-Media-Ausgabe)<br />
€ 60,60 € 68,30 Sfr 99,90 € 81,00<br />
Jahres-Abo<br />
(DVD-Ausgabe)<br />
€ 86,70 € 95,00 Sfr 142,80 € 99,00<br />
Preise Digital Deutschland Österreich Schweiz Ausland EU<br />
Heft-PDF<br />
(Einzelausgabe)<br />
€ 5,95 € 5,95 Sfr 7,70 € 5,95<br />
Digi-Sub<br />
(12 Ausgaben)<br />
€ 60,60 € 60,60 Sfr 78,70 € 60,60<br />
Digi-Sub<br />
(zum Abo 2 )<br />
€ 12,00 € 12,00 Sfr 12,00 € 12,00<br />
HTML-Archiv<br />
(zum Abo 2 )<br />
€ 12,00 € 12,00 Sfr 12,00 € 12,00<br />
Preise Kombi-Abos Deutschland Österreich Schweiz Ausland EU<br />
Mega-Kombi-Abo<br />
(LU plus LM 3 )<br />
€ 143,40 € 163,90 Sfr 199,90 € 173,90<br />
(1) Die No-Media-Ausgabe erhalten Sie ausschließlich in unserem Webshop unter<br />
http://www.medialinx-shop.de, die Auslieferung erfolgt versandkostenfrei.<br />
(2) Ausschließlich erhältlich in Verbindung mit einem Jahresabonnement der<br />
Print- oder Digital-Ausgabe von <strong>LinuxUser</strong>.<br />
(3) Das Mega-Kombi-Abo umfasst das <strong>LinuxUser</strong>-Abonnement (DVD-Ausgabe)<br />
plus das Linux-Magazin-Abonnement inklusive DELUG-Mitgliedschaft<br />
(monatliche DELUG-DVD) sowie die Jahres-DVDs beider Magazine.<br />
Informationen zu anderen Abo-Formen und weiteren Produkten der Medialinx AG<br />
finden Sie in unserem Webshop unter http://www.medialinx-shop.de.<br />
Gegen Vorlage eines gültigen Schülerausweises oder einer aktuellen Immatrikulationsbescheinigung<br />
erhalten Schüler und Studenten eine Ermäßigung von 20 Prozent<br />
auf alle Abo-Preise. Der Nachweis ist jeweils bei Verlängerung neu zu erbringen.<br />
Bitte teilen Sie Adressänderungen unserem Abo-Service ()<br />
umgehend mit, da Nachsendeaufträge bei der Post nicht für Zeitschriften gelten.<br />
Linux ist ein eingetragenes Warenzeichen von Linus Torvalds und wird von uns mit<br />
seiner freundlichen Genehmigung verwendet. »Unix« wird als Sammelbegriff für die<br />
Gruppe der Unix-ähnlichen Betriebssysteme (wie beispielsweise HP/UX, FreeBSD,<br />
Solaris, u.a.) verwendet, nicht als Bezeichnung für das Trademark »UNIX« der Open<br />
Group. Der Linux-Pinguin wurde von Larry Ewing mit dem Pixelgrafikprogramm<br />
»The GIMP« erstellt.<br />
Eine Haftung für die Richtigkeit von Veröffentlichungen kann – trotz sorgfältiger Prüfung<br />
durch die Redaktion – vom Verlag nicht übernommen werden. Mit der Einsendung<br />
von Manuskripten oder Leserbriefen gibt der Verfasser seine Einwilligung zur<br />
Veröffent lich ung in einer Publikation der Medialinx AG. Für unverlangt eingesandte<br />
Manuskripte oder Beiträge übernehmen Redaktion und Verlag keinerlei Haftung.<br />
Autoreninformationen finden Sie unter http://www.linux-user.de/Autorenhinweise.<br />
Die Redaktion behält sich vor, Einsendungen zu kürzen und zu überarbeiten. Das exklusive<br />
Urheber- und Verwertungsrecht für angenommene Manus kripte liegt beim<br />
Verlag. Es darf kein Teil des Inhalts ohne schriftliche Genehmigung des Verlags in<br />
irgendeiner Form vervielfältigt oder verbreitet werden.<br />
Copyright © 1999 - 2013 Medialinx AG ISSN: 1615-4444<br />
102 www.linux-user.de<br />
09.2013
Veranstaltungen/Autoren/Inserenten<br />
Service<br />
Veranstaltungen<br />
01.-08.08.2013<br />
Guadec 2013<br />
Brünn, Tschechien<br />
http://guadec.org<br />
14.-16.08.2013<br />
USENIX Security ’13<br />
Washington, D.C., USA<br />
https://www.usenix.org/conference/usenixsecurity13<br />
24.-25.08.2013<br />
FrOSCon 2013<br />
Hochschule Bonn-Rhein-Sieg<br />
Grantham-Allee 20<br />
53757 Sankt Augustin<br />
http://www.froscon.de<br />
03.-05.09.2013<br />
Uplinq 2013 Mobile CodeFest & Hackathon<br />
San Diego, CA, USA<br />
https://www.uplinq.com<br />
09.09.2013<br />
2013 High Performance Computing for Wall Street<br />
New York, NY, USA<br />
http://www.flaggmgmt.com/hpc/<br />
23.-24.09.2013<br />
Data Modeling Zone Europe<br />
Mariott Hotel<br />
Arthur-Menge-Ufer 3<br />
30169 Hannover<br />
http://www.datamodelingzone.com/<br />
11.-13.10.2013<br />
Ubucon 2013<br />
SRH Berufsförderungswerk Heidelberg<br />
Bonhoefferstraße 6<br />
69115 Heidelberg<br />
http://www.ubucon.de<br />
14.-19.10.2013<br />
PyCon.DE 2013<br />
KOMED<br />
Im MediaPark 7<br />
50670 Köln<br />
https://2013.de.pycon.org/<br />
16.-18.10.2013<br />
Medientage München<br />
ICM Internationales Congress Center<br />
81823 München<br />
http://www.medientage.de<br />
21.-23.10.2013<br />
CloudOpen Europe 2013<br />
Edinburgh, Großbritannien<br />
http://events.linuxfoundation.org/events/cloudopeneurope<br />
21.-23.10.2013<br />
LinuxCon Europe 2013<br />
Edinburgh, Großbritannien<br />
http://events.linuxfoundation.org/events/linuxconeurope<br />
24.-25.10.2013<br />
Embedded Linux Conference Europe 2013<br />
Edinburgh, Großbritannien<br />
http://events.linuxfoundation.org/events/embeddedlinux-conference-europe<br />
Autoren<br />
Inserenten<br />
Bernhard Bablok Tuning für den Raspberry Pi (84)<br />
Erik Bärwaldt Zeroshell-Workshop (Teil 3): Firewall aufsetzen (66),<br />
PC-Diagnose und Benchmarking mit Stresslinux (80)<br />
Falko Benthin Seafile: Private Cloud für sensible Daten (28)<br />
Thomas Drilling Kurzvorstellung Fedora 19 „Schroedinger‘s Cat“ (11),<br />
Anonym und spurenfrei <strong>surfen</strong> mit Tails 0.19 (24),<br />
Audio-Spuren absaugen mit Youtube to MP3 (76)<br />
Karsten Günther Funktionen zum Verzerren in Gimp 2.8 (62)<br />
Valentin Höbel Onion Pi: Raspberry Pi als Wireless-Tor-Proxy (20)<br />
Klaus Knopper Knoppix 7.2.0f mit vielen Bugfixes (8)<br />
Peter Kreußel E-Mail-Verschlüsselung in Thunderbird und KMail (36),<br />
Arch-Linux-Pakete im Eigenbau erstellen (90)<br />
Thomas Leichtenstern Workshop: Anonym <strong>surfen</strong> mit Tor und Vidalia (14),<br />
Onion Pi: Raspberry Pi als Wireless-Tor-Proxy (20),<br />
Neues auf den Heft-DVDs (105)<br />
Andreas Reitmaier Bildbearbeitung mit Digikam (44)<br />
Tim Schürmann Retro-Adventure Leisure Suite Larry Reloaded (72)<br />
Daniel Tibi PDF-Dokumente und -Formulare mit LaTeX (54)<br />
Uwe Vollbracht Angetestet: Aktuelle Software im Kurztest (6)<br />
Android User GY www.android-user.de 59<br />
Fernschule Weber GmbH www.fernschule-weber.de 7<br />
FrOSCon e.V. www.froscon.de 99<br />
Galileo Press www.galileo-press.de 79<br />
KITZ Kieler Linux Tage www.kielux.de 59<br />
Linux Magazine www.linux-magazine.com 101<br />
Linux-Hotel www.linuxhotel.de 23<br />
Linux-Magazin www.linux-magazin.de 100<br />
<strong>LinuxUser</strong> www.linuxuser.de 27, 103<br />
Medialinx IT-Academy www.medialinx-academy.de 61, 101<br />
PlusServer AG www.plusserver.de 35, 42, 52, 71, 75, 97<br />
Raspberry Pi Geek www.raspberry-pi-geek.de 108<br />
Spenneberg Training www.spenneberg.com 101<br />
Strato AG www.strato.de 1, 2<br />
Tuxedo Computers GmbH www.linux-onlineshop.de 107<br />
Ubuntu User www.ubuntu-user.de 83<br />
Webtropia www.webtropia.com 13<br />
08.2013 www.linux-user.de<br />
103
<strong>Vorschau</strong><br />
auf 10/2013<br />
Die nächste Ausgabe<br />
erscheint am 19.09.2013<br />
Optimale Office-Tools<br />
Die Arbeit mit Büroprogrammen gehört<br />
zu den ureigensten Tätigkeiten am PC.<br />
Von der Textverarbeitung über das Komplettpaket<br />
mit Tabellenkalkulation und<br />
Präsentationsprogramm bis hin zu ausgefeilten<br />
Formeleditoren verfügt ein<br />
Rechner unter Linux heute über eine<br />
breite Palette an ausgefeilten Werkzeugen.<br />
Unser Schwerpunkt in der kommenden<br />
Ausgabe nimmt nicht nur die beiden<br />
Platzhirsche LibreOffice und OpenOffice<br />
unter die Lupe, sondern wirft zudem ein<br />
Schlaglicht auf die kleinen, aber nicht<br />
minder nützlichen Programme.<br />
Alles im Paket<br />
Nur eine Minute dauert es im günstigsten<br />
Fall, bis der Effing Package Manager<br />
aus einem Quelltext ein fertiges RPModer<br />
Debian-Paket geschnürt hat – eine<br />
willkommene Hilfe für geplagte Maintainer<br />
und experimentierfreudige User.<br />
Desktop im Eigenbau<br />
Linux bietet Desktops, bei denen alles<br />
nahtlos ineinandergreift. Diese bringen<br />
jedoch unerwünschten Overhead mit<br />
sich. Mit etwas Know-how stellen Sie einen<br />
schlanken Desktop zusammen, der<br />
seinen großen Brüdern kaum nachsteht.<br />
© Arinas74, sxc.hu<br />
Die Redaktion behält sich vor,<br />
Themen zu ändern oder zu streichen.<br />
Ausgabe 03/2013 ist am 11.07.2013 erschienen<br />
10 Jahre EasyLinux<br />
Ende Mai 2003 erschien mit dem Heft<br />
06/2003 die erste EasyLinux-Ausgabe.<br />
Zum Jubiläum blicken wir auf die zehn<br />
vergangenen EasyLinux-Jahre zurück<br />
und schauen, was sich geändert hat –<br />
nicht nur für Linux selbst, sondern auch<br />
hinsichtlich der Vorstellungen und Erwartungen<br />
von Linux-Einsteigern.<br />
Enlightenment E17<br />
Zu KDE, Gnome, XFCE und LXDE gibt es<br />
seit vielen Jahren eine Alternative namens<br />
Enlightenment, die aber in der<br />
Regel nur Insider kennen. Die Entwickler<br />
haben an Version E17 ungewöhnlich lange<br />
gearbeitet. Sie bietet neuartige Features.<br />
Wir prüfen mit einem Praxistest,<br />
ob sich der Aufwand gelohnt hat.<br />
MAGAZIN<br />
Ausgabe 10/2013 erscheint am 05.09.2013<br />
© © Anatoliy Samara, 123RF<br />
Gutes Projektmanagement<br />
Das nächste Linux-Magazin untersucht<br />
anhand knackiger Beispiele, was erfolgreiche<br />
Communities von versandeten<br />
unterscheidet. Wie organisieren sich Akteure,<br />
nach welchen Entwicklungsmethoden<br />
arbeiten sie? Es gilt zu erfassen,<br />
wie erfolgreiche Open-Source-Projekte<br />
in der Praxis funktionieren – oder eben<br />
an der Praxis scheitert.<br />
Aggregatoren im Vergleich<br />
Planet-Software nennen sich Aggregatoren,<br />
die einen „Planet“ mit thematisch<br />
passenden Inhalten fremder Blogs, Podund<br />
Videocasts, Newsfeeds oder Webcomics<br />
bevölkern und auf diese Weise<br />
einen ansprechenden Themenmix erzeugen.<br />
Die nächste Bitparade richtet<br />
ihre Teleskope auf Planet, Moonmoon,<br />
Planet Venus und Tiny Tiny RSS.<br />
104 www.linux-user.de<br />
09.2013
Heft-DVD-Inhalt<br />
Service<br />
Neues auf den Heft-DVDs<br />
Fedora 19: Schrödingers Katze lebt!<br />
Neueste Desktops, jede Menge topaktu elle<br />
Software, zahlreiche Treiber und die neuesten<br />
Linux-Features: Das zeichnet Fedora<br />
19 aus. Im Ganzen bietet die Distribution<br />
neben aktualisierter Software rund 60<br />
neue Funktionen. Dazu zählen der Developers<br />
Assistant für Entwickler, Tools für die<br />
Modellierung und den 3D-Druck sowie<br />
Open Shift Origin zur Cloud-Verwaltung.<br />
Zum Funktionsumfang zählen jetzt neben<br />
der bekannten Javascript-Plattform<br />
Node.js zum Erstellen von skalierbaren<br />
Netzwerkanwendungen auch Ruby 2.0.0,<br />
PHP 5.5.0 sowie eine Technical Preview von<br />
OpenJDK8. Für Systemadministratoren<br />
bietet Fedora aktualisierte Werkzeuge für<br />
Migration, Diagnose und Protokollierung.<br />
Die freie Cloud-Verwaltung OpenStack<br />
liegt jetzt in der jüngsten Version „Grizzly“<br />
vor. Als Standard-MySQL-Server kommt<br />
MariaDB zum Einsatz.<br />
Fedora nutzt den Kernel 3.9.0 als<br />
Grundlage. Als Desktop-Umgebung<br />
kommt standardmäßig Gnome 3.8 zum<br />
Einsatz. Als Alternativen stehen daneben<br />
die Window-Manager KDE Plasma Workspaces<br />
4.10, XFCE 4.10, LXDE 0.3.2 sowie<br />
die Gnome-2-Weiterentwicklung Maté 1.6<br />
zur Verfügung. OpenOffice wurde auf Version<br />
4.0 aktualisiert.<br />
Tails 0.19: Anonym im Netz <strong>surfen</strong><br />
The Amnesic Incognito Live System, kurz:<br />
Tails 0.19, ist in erster Linie dafür konzipiert,<br />
um sich auf einfache Weise via Tor<br />
anonym im Internet zu bewegen. Den Zugriff<br />
auf Tor erleichtert dabei unter anderem<br />
der speziell präparierte Browser Iceweasel<br />
in Version 17, den das Projekt darüber<br />
hinaus mit einigen Zusatzapps versah,<br />
welche die Sicherheit nochmals erhöhen.<br />
Systembedingt verschwinden nach dem<br />
Herunterfahren des Live-Systems auch<br />
sämtliche Nutzerdaten.<br />
Daneben enthält der Bereich Zubehör unter<br />
anderem das Metadata Anonymisation<br />
Toolkit (MAT), mit dem Sie sämtliche Meta-Informationen<br />
aus Dateien entfernen.<br />
Darüber hinaus erlaubt Ihnen das in die<br />
Distribution integrierte LUKS das Verschlüsseln<br />
von Datenträgern. Tails erlaubt<br />
auch eine Installation beispielsweise<br />
auf einem USB-Stick. Alle Features und<br />
Vorzüge von Tails 0.19 beschreibt ausführlich<br />
ein Artikel im Schwerpunkt „Privacy“<br />
ab Seite 24 in dieser Ausgabe.<br />
Stresslinux 0.7.106: Auf Herz und Nieren<br />
Um Ihr System unter Volllast vor Schäden<br />
durch Überhitzung zu schützen, deckt die<br />
Live-Distribution Stresslinux Problemzonen<br />
auf und eignet sich obendrein auch<br />
noch für das Benchmarking. Die auf Open-<br />
Suse 11.4 und Busybox basierende Distribution<br />
glänzt zwar nicht durch aufwendige<br />
grafische Gimmicks und fordert dem<br />
Benutzer auch einige Kenntnisse im Umgang<br />
mit Befehlen auf der Kommandozeile<br />
ab. Dafür bietet sie ein vollumfängliches<br />
und gut organisiertes Arsenal an Programmen,<br />
die es Ihnen erlauben, mögliche<br />
Fehlerquellen sowohl in der CPU als auch<br />
dem Massenspeicher oder dem Mainboard<br />
offenzulegen. Da es sich um eine<br />
Live-Distribution handelt, erfordert der<br />
Betrieb auch keine Installation. Welche<br />
Möglichkeiten Ihnen Stresslinux im Detail<br />
eröffnet und worauf Sie beim Benutzen<br />
unbedingt achten sollten, das lesen Sie im<br />
zugehörigen Artikel ab Seite 80.<br />
09.2013 www.linux-user.de<br />
105
Service<br />
Heft-DVD-Inhalt<br />
Knoppix 7.2.0f<br />
Das auf der zweiten Heft-DVD enthaltene<br />
aktuellste Release der beliebten Live-<br />
Distribution Knoppix wartet gegenüber<br />
dem Vorgänger mit etlichen Bugfixes<br />
und Verbesserungen auf. Das<br />
System unterstützt jetzt experimentell<br />
das Booten auf PCs<br />
mit UEFI, der Kernel 3.9.6<br />
wurde mit AUFS und Cloop<br />
nachgerüstet. Die Software-Mischung<br />
aus Debian<br />
„Wheezy“, „Testing“ und<br />
„Unstable“ umfasst unter<br />
anderem LibreOffice 4.0.3,<br />
Gimp 2.8 und Chromium<br />
27.0.1453.110 sowie Iceweasel<br />
21.0 mit Adblock<br />
Plus 2.2.4 und NoScript<br />
2.6.6.1. Mit an Bord sind<br />
auch VirtualBox 4.2.10 und<br />
Wine 1.5. Anonymisiertes Surfen<br />
im Internet ermöglicht das integrierte<br />
Tor. Mehr zu seinem jüngsten<br />
Kind verrät der Entwickler Klaus<br />
Knopper im Artikel ab Seite 8. (tle) n<br />
Bei der DVD-Edition von <strong>LinuxUser</strong> ist an dieser Stelle der zweite Heft-Datenträger eingeklebt.<br />
Bitte wenden Sie sich per E-Mail an cdredaktion@linux-user.de, falls es Probleme mit der Disk gibt.<br />
Neue Programme<br />
Die übersichtliche Entwicklungsumgebung Griffon 1.6.0 eignet sich<br />
für zahlreiche Programmiersprachen wie Bash, C oder PHP. Neben<br />
den Standardfunktionen beherrscht die Software das Auto-Vervollständigen,<br />
die Datenübertragung per SFTP sowie ein einfaches Projektmanagement<br />
für C-Programme.<br />
Die Software Httraqt 1.1.0 stellt in erster Linie eine Qt-basierte<br />
Oberfläche für den Web Crawler und Offline-Browser HTTrack dar.<br />
Das Tor-Netzwerk bietet dank seines intelligenten Designs des<br />
Onion-Routings ein Maximum an möglicher Sicherheit, die eigene<br />
Identität zu verschleiern. Das Tor Browser Bundle 2.3.25 erlaubt<br />
auch technisch weniger versierten Anwendern, sich über das Tor-<br />
Netzwerk zuverlässig zu schützen.<br />
Wer seine Daten nicht den großen Storage-Anbietern wie Google,<br />
Amazon oder Dropbox anvertrauen möchte, der kommt kaum umhin,<br />
eine selbst gehostete Lösung auf die Beine zu stellen. Allerdings<br />
gilt der Private-Cloud-Vorreiter Owncloud gemeinhin wegen<br />
seiner Vielzahl an Zusatzfunktionen als überladen. Eine gertenschlanke<br />
und gleichzeitig einfach aufzusetzende Alternative bietet<br />
Seafile 1.7, das sich ausschließlich auf das Hosten, Synchronisieren<br />
und Teilen von Dateien und Verzeichnissen konzentriert.<br />
Nur 5 MByte groß ist das Kern-System von 4MLinux 7.0, das den<br />
anderen Paketen der Serie als Basis dient. Darin steckt topaktuelle<br />
Linux-Software: Kernel 3.10.0, Glibc 2.17 und Busybox 1.21.1.<br />
Der freie Feed-Reader Liferea 1.10 bietet sich unter anderem als<br />
Ersatz für den eingestellten Google Reader an. Das aktuelle Release<br />
besitzt dazu eine Option, um Google-Reader-Abonnements in lokale<br />
umzuwandeln. Daneben gibt es experimentelle Synchronisation<br />
mit der Anwendung The Old Reader.<br />
Nach 15 Jahren wandelt sich Ntop zu Ntop-NG 1.0. Das Unix-Topähnliche<br />
Tool hat seinen kompletten Codebestand runderneuert.<br />
Neu ist zudem ein Web-Interface, das nicht nur den IPv4- und IPv6-<br />
Datenverkehr eines Hosts per HTML5 und Ajax darstellt, sondern<br />
auch das Konfigurieren der Monitoringparameter erlaubt.<br />
Auf der Shell erstellt und verwaltet Tomb 1.4 verschlüsselte Container.<br />
Dazu verwendet es keine eigenen Algorithmen, sondern setzt<br />
als Wrapper auf bewährte Werkzeuge wie Dm-Crypt und Cryptsetup.<br />
106 www.linux-user.de<br />
09.2013