Linux-Magazin Gute Connections (Vorschau)

07/14
DIE ZEITSCHRIFT FÜR LINUX-PROFESSIONALS
Downtime-Killer:
Kpatch vs. Kgraft
Red Hat und Suse starten neue Versuche,
Kernelpatches live einzuspielen S. 64
Frosted
Checkt eigenen Python-
Code vorab auf Syntax- und
Tipp fehler S. 92
ERP-Suites
Kivitendo, Wawision für
eigene Server gegen den
Clouddienst Actindo S. 42
Gute Connections
Auf Draht oder mobil: Netzwerke
für besondere Aufgaben
■ Ungewöhnliches Netzwerk-Bonding am Beispiel
eines Notebooks für kipplige Umgebungen S. 22
■ WLAN XXL: Fosdem-Admin erklärt, warum das
Umherlaufen der Besucher das größte
Problem bildet S. 26
■ Zwar nicht anonym, aber cool:
Mesh-Netze im Einsatz S. 30
■ So gehts: Abgelegene Gebäude
per Richtfunk anbinden S. 36
■ Hochauflösende Pings S. 70
■ Crawler für den Eigenbedarf:
Portia aggregiert Webdaten S. 50
Im Test: Linksys WRT 1900 AC, offizieller Nachfolger der Open-WRT-Legende WRT 54G S. 76
www.linux-magazin.de
Deutschland Österreich Schweiz Benelux Spanien Italien
4 6,40 4 7,05 sfr 12,80 4 7,50 4 8,30 4 8,30
4 192587 306401 07

Hirntrauma
Login 07/2014
Editorial
Um zu untersuchen, was beim Programmieren im Kopf vorgeht, haben Passauer,
Magdeburger und amerikanische Wissenschaftler arbeitende Entwickler in einen
Magnetresonanztomografen (MRT) gelegt. Die Ergebnisse der Studie zeigen,
dass das Analysieren von Quellcode dieselben Hirnregionen aktiviert wie beim
Verstehen einer natürlichen Fremdsprache.
Was im Schädel der Firefox-Programmierer vorgegangen ist, als sie begannen, die
Sandbox für das künftige proprietäre DRM-Modul zu entwickeln, ist leider nicht
überliefert. Vermutlich war kein MRT zur Hand, das gut mit Sauerstoff versorgte
Hirnregionen von solchen im Standby-Modus unterscheiden kann.
Browserhersteller, die DRM für Bezahlvideos etwa von Netflix umsetzen wollen,
müssen ein so genanntes Content Decryption Module (CDM) integrieren.
Jan Kleinert, Chefredakteur
Microsoft, Apple und Google haben das für ihre Browser sofort getan, als die
zugehörige EME-Spezifikation (Encrypted Media Extension) des W3C sich stabilisierte.
Mozilla will jetzt nachziehen und die erwähnte Sandbox in Firefox’ Garten aufstellen. Andernfalls,
schreibt Mozilla-Chefin Mitchell Baker, müssten die User jedes Mal einen anderen Browser starten, um ein
DRM-geschütztes Video anzusehen.
In Bakers Hirn sind in diesen Tagen wohl die Regionen gut durchblutet, die für das Streben nach Erfolg zuständig
sind. Das kann man verstehen, denn es ist der Job der Foundation-Vorsitzenden, den eigenen Projekten zu Erfolg
zu verhelfen. Kritikern von der Electronic Frontier Foundation (EFF) oder der Free Software Foundation (FSF)
hält sie entgegen, dass ein Verzicht auf DRM zwar politisch richtig wäre, aber die Nützlichkeit von Firefox und
damit dessen Akzeptanz beschädige. Videos zu schauen nähme ja einen großen Teil der Browsernutzung ein.
Den Grund für Backers Angst, mit einem führenden Browser unterzugehen, kann man mit Blick auf ihren Lebenslauf
verstehen: 1994 bis 2004 war sie in der Rechtsabteilung von Netscape Communications angestellt.
Andererseits darf man die Foundation daran erinnern, was Firefox so bedeutend hat werden lassen. Kostenlose
Browser, die funktionieren, gab es schon zuvor. Es waren doch die (Quell-)Offenheit und das fehlende Gewinnstreben,
welche die Sympathie der Internetnutzer gewannen, oder?!
Zumindest einen Mittelweg hätten Baker und Co. ins Auge fassen sollen, der die Anwender in den Fokus stellt,
die DRM im Grundsatz nicht ablehnen. Es geht um die Web-Zuschauer, die einsehen, dass die Kosten, einen
Spielfilm zu produzieren, wieder eingefahren werden müssen. Denn anders als bei freier Software, wo Firmen
und Projekte über Maintenance oder individuelle Anpassungen Geld in die Kassen bekommen, geht das beim
Fertigprodukt Spielfilm nicht ohne Weiteres. Angelina Jolie kann schwerlich bei bezahlbereiten Zuschauern
persönlich zu Hause auf dem Couchtisch noch ein paar Szenenvarianten nachspielen.
Firefox-Usern, die aus diesem Grund DRM hinzunehmen bereit sind, sollte die Foundation zumindest – und das
wäre der Kompromiss – ein quelloffenes CDM anbieten statt des vernagelten Adobe-Modules, von dem keiner
weiß, was es sonst noch alles anstellt. Der Einwand, der DRM-Algorithmus würde geknackt, dürfte man ihn
studieren, zählt nicht: Die Stärke einer Verschlüsselung, darum handelt es sich ja im Kern, ist so sicher wie ihr
mathematischer Algorithmus gut ist. Ihn zu implementieren würde im Kopf jedes Open-Source-Programmierers
das Belohnungszentrum aktivieren. Könnte ein MRT-Hersteller der Mozilla Foundation ein Gerät spenden?
www.linux-magazin.de
3

Inhalt
www.linux-magazin.de 07/2014 07/2014
4
Ungewöhnliche Netzwerksetups und -Topologien stehen im Mittelpunkt des Linux-Magazin-
Schwerpunkts: Hilfe gibt‘s für Admins, die für eine mittelgroße oder große Konferenz das
WLAN stricken sollen, dazu ein ausgeklügeltes Setup für das Bonding verschiedenartiger
Netzwerkkarten, den Aufbau freier Mesh-Netze und die Richtfunkpraxis.
Aktuell
Titelthema: Netzwerke für besondere Aufgaben
6 N ew s
n Gluster-FS 3.5 erlaubt Snapshots
n EuGH kippt Vorratsdatenspeicherung
n Roundcube 1.0
22 Bonding
Titel
Ausfallsicherheit schadet nie: Bonding
lässt einen Laptop parallel und redundant
in mehreren Netzwerken hängen.
30 Mesh-Netzwerke
Titel
Sie helfen zwar nicht gegen Schnüffler,
erfreuen sich aber dennoch zunehmender
Beliebtheit: Ad-hoc-Netzwerke.
Subnetz
Subnetz
Node 2
Internet-Gateway 2
Node 3
Node 1
Internet-Gateway 1
Subnetz
Node 5 / Backbone 2
Node 4 / Backbone 1
KDEs Dokumentenbetrachter Okular öffnet
nun mehrere PDFs in Tabs.
Gut vernetzt hält besser: Wie die Spinne im Netz
sitzt der Laptop zentral an mehreren Fäden.
Ausschnitt eines Mesh-Netzwerks mit fünf
Knoten, von denen zwei zugleich als Backbones
und zwei als Internet-Gateways fungieren.
12 Zahlen & Trends
n Mozilla implementiert DRM
n Kein Debian-Jessie für Sparc
n Xwayland wird Teil des X-Servers
26 Fosdem-WLAN
Titel
Ein WLAN für tausende Clients ist eine
Herausforderung, mit IPv6 noch mehr.
Leider geht das noch nicht mit OSS.
36 Richtfunk in der Praxis
Titel
Wer ein abgelegenes Gebäude ans Netz
zu bringen hat, muss die Antennen oft
mit der Hand ausrichten.
Die Indie Box will den Nutzern die Hoheit über
ihre Daten zurückgeben.
20 Zacks Kernel-News
n Posix-Ärger um Race Conditions
n Schönere Stack-Dumps
Service
3 Editorial
98 IT-Profimarkt
99 Stellenanzeigen
104 Veranstaltungen
104 Inserenten
105 Impressum
106 Vorschau
Jeder Konferenzbesucher erwartet eine ansprechende
Versorgung, überall, auch beim WLAN.
DELUG-DVD
Kali Linux 1.0.6
TOOL
Vom Linux-Magazin aufgemotzter
Backtrack-Nachfolger mit Heartbleed-Exploit
für Metasploit
Kivitendo 3.1
TOOL
TOOL
TOOL
Virtuelle Debian-7-Maschine mit
der fertig konfigurierten ERP-Suite
zum Ausprobieren plus Doku
Funken mit Verstand: Wer seine Firma erweitert,
kann nicht überall ein LAN-Kabel verlegen.
Details zu DVD-
TOOL
Inhalten auf S. 41
Baloo sucht
Kubuntu 14.04 (32 und 64 Bit,
KDE 4.13) mit Baloo anstelle von
Nepomuk als lokaler Suchmaschine
8 Stunden Video
Von der „Open Source System
Management Conference“ in Bozen
über Nagios 4, Ntop NG und Co.

07/2014 07/2014
Inhalt
42 Verflixte Verwalter
Ein- und Verkauf, Produktion, Zahlungswesen
und Buchhaltung, das ist die Domäne
der Warenwirtschaftssysteme.
Drei davon testet dieser Artikel.
70 Mit der Stoppuhr
In Round Trip Times von Pings zeigt
sich die Infrastruktur des Netzes. Wer
das geschickt einsetzt, kann die Geräte
hochauflösend überwachen.
94 Eine Ziege, wahrscheinlich
Kontra-intuitive Entscheidungen helfen
bei vertrackten Problemen mit bedingten
Wahrscheinlichkeiten. Wie das mit
Perl geht, erklärt Perlmeister Schilli.
www.linux-magazin.de
5
Software
Sysadmin
Know-how
41
Einführung
Auf der DELUG-DVD: Kali Linux, ein dic kes
ERP-Paket, Videos von der OSSMC, Kubuntu
14.04, und ein kostenloser ERP-Artikel
42 Bitparade
Titel
Drei Enterprise-Resource-Planning-
Manager im direkten Vergleich.
63 Einführung
Aus dem Alltag eines Sysadmin: Charly
synct mit Iwatch und Inotify.
64 Kernel-Live-Updater
Titel
Linux-Kernel ohne Reboot zu patchen,
das versprechen Kpatch und Kgraft.
88 Insecurity-Bulletin
Er erschütterte das Vertrauen in Open
Source wie selten zuvor: Eine Nachlese
zum Heartbleed-Bug in Open SSL.
50 Fleißiges Spinnchen
Titel
Webscraping mit dem Tool Portia.
Erste Hilfe für den Kernel: Suse und Red Hat haben
dafür ähnliche Ansätze entwickelt.
Blutendes Herz: Ein Programmierfehler führte
zum aufsehenerregendsten Bug des Jahres.
Ziemlich fokussiert: Portia holt automatisiert
Daten aus Webseiten und webt sie in Json ein.
70 Pinger
Titel
Netze mit Pings detailliert überwachen.
Hardware
Programmieren
92 Frosted
Titel
Der Code-Korrektor prüft Python-Code
schon vor dem Ausführen auf Fehler.
54 Baloo
Vom Kobold zum Bären: Baloo ersetzt
ab KDE 4.13 Nepomuk als semantische
Desktop-Suchmaschine unter KDE.
76 Linksys WRT 1900 AC
Der Nachfolger für Linksys‘ WRT 54 ist
da und glänzt mit moderner Hardware.
Titel
Forum
Probier‘s mal mit Gemütlichkeit: Baloo soll vieles
richtiger machen als sein Vorgänger.
58 Tooltipps
Im Kurztest: Checkit 0.2.0, Ddpt 0.94,
Firejail 0.9.4, Gpgpwd 0.4, Ocserv 0.3.4,
Webalizer 2.23.
80 Entscheidungshilfe
Der Staat als Open-Source-Kunde: Die
EVB-IT und die OSBA-Handreichung.
Ausschreibungen sind
lästig, kompliziert,
vor allem wenn OSS
ins Spiel kommt. Hilfe
naht von der OSBA.
86 Tux liest
Bücher über funktionale Pro grammierung
sowie Open-Source-Städte.
Fehler korrigieren, bevor das Skript um die Ohren
fliegt: Frosted hilft Python-Programmierern.
94 Perl-Snapshot
Bayes-Formeln, diskrete Verteilungen und
Perl knacken mathematische Probleme.
Aus einem Zylinder
mit einer
schwarz-roten, einer
schwarz-schwarzen
und einer rot-roten
Karte zieht ein Proband
Karten.

Aktuell
www.linux-magazin.de News 07/2014
6
News
Nginx 1.6.0 mit SPDY 3.1 und SSL-Updates
Der Webserver Nginx bringt
in seiner stabilen Version 1.6.0
[http://​nginx.​org/​#​1.​6‐stable] Verbesserungen
an SSL mit.
So gibt es die neue »ssl_session_reused«-Variable
und die
»ssl_buffer_size«- sowie die
»ssl_session_tickets«-Direktiven
und Bugfixes am »ssl_session_cache«.
Zudem unterstützt der Server
wesentlich das von Google
entwickelte TCP-basierte SP-
DY-Protokoll nach Draft 3.1.
Nginx erlaubt es in der neuen
Ausgabe, mit Hilfe bedingter
Anfragen abgelaufene Cache-
Inhalte neu zu bewerten.
Das »ngx_http_auth_request_
module« ermöglicht eine
Client -Autorisierung, die auf
dem Resultat einer untergeordneten
Anfrage basiert.
Liefert der Server einen Code
»2xx« zurück, wird der Zugriff
erlaubt, andernfalls gibt die
Anmeldung einen auswertbaren
Fehlercode zurück.
Die Buildoption »‐‐with‐http_
auth_request_module« aktiviert
das Feature.
Herunterladen lässt sich die
stabile Version von Nginx unter
[http://​nginx.​org/​en/​download.​
​html], wo auch die Entwicklerversion
1.7.0 bereitsteht. n
Debian Squeeze erhält Long-Term Support
Das Debian-Projekt lässt seiner
Linux-Distribution in
Version 6.0 (Squeeze) Long-
Term Support (LTS) bis Februar
2016 zukommen. Die regulären
Security-Updates für
Squeeze würden eigentlich
am 31. Mai 2014 enden. Für
die Architekturen i386 und
Amd64 wird es nun die seit
einer Weile diskutierte Verlängerung
geben, insgesamt also
fünf Jahre Pflege seit der Veröffentlichung.
Benutzer anderer
Hardware-Architekturen
sind angehalten, ein Upgrade
auf Debian 7 (Wheezy) vorzunehmen.
Squeeze-LTS wird nicht vom
üblichen Securityteam betreut,
sondern von einigen
Firmen und Ehrenamtlichen.
Das Projekt sucht weitere Unternehmen,
die sich beteiligen
wollen. Einige Pakete sind allerdings
davon ausgenommen,
etwa Webanwendungen. Die
Debianer wollen ein Tool zur
Verfügung stellen, um diese
unbetreuten Pakete auf einem
System aufzuspüren. Die Erfahrungen
mit Squeeze sollen
in den Entscheidungsprozesse
einfließen, ob es auch für
Debian 7 und 8 verlängerten
Support geben wird. n
Gluster-FS 3.5 erlaubt Dateischnappschüsse und steigert Performance
Eine ganze Latte an Neuerungen
bringt Version 3.5 von
Gluster-FS [http://​www.​gluster.​
​org] mit, welche die Red-Hat-
Community Anfang Mai angekündigt
hat. Nennenswert
sind zum Beispiel die File
Snapshots: Sie erlauben es
Gluster-FS, Schnappschüsse
von einzelnen Dateien anzufertigen.
Das neue Feature
verstehen die Entwickler als
Vorgeschmack auf die geplanten
Volume Snapshots, die es
erlauben sollen, die Uhr für
VMs zurückzudrehen.
Im Bugtracker warteten außerdem
noch mehrere Anfragen
zu Logging-Optimierungen,
die sich die Entwickler
in der aktuellen Version zur
Brust genommen haben. Das
Loggen soll jetzt klarer und
aufschlussreicher sein, um
beispielsweise Split-Brain-
Szenarios und die davon betroffenen
Dateien schneller zu
erkennen.
Clients stellen fest, ob ein Volume
den BD-Translator verwendet
und falls ja, welche
von dessen Fähigkeiten. Eine
neue Methode macht Daten
direkt über GFID nutzbar. Das
eröffnet Entwicklern einen
Ankündigung von Gluster-FS 3.5, das nun Dateischnappschüsse erlaubt.
weiteren Zugang zu Gluster
und soll Datei-Operationen in
einem Gluster-Volume vereinfachen.
On-Wire-Kompression und
‐Dekompression soll die Performance
von Gluster-Volumes
steigern, indem sie den
Netzwerk-Overhead reduziert
und ein besseres Verhältnis
beim Einsatz von CPU-Kapazitäten
und Netzwerkressourcen
schafft. Änderungen am
Volume starten in Gluster-FS
3.5 nicht mehr automatisch
den NFS-Server neu. Bestimmte
NFS-Volume-Optionen
lassen sich so bereits
unterbrechungsfrei ändern,
Graph-Modifikationen gehören
aber noch nicht dazu. n

Open Source in Krankenhäusern
In zwei Artikeln beschäftigte
sich das Open Source Observatory
(OSOR, [https://​joinup.​
​ec.​europa.​eu]) im Mai mit dem
Einsatz von Linux in Krankenhäusern.
In Spanien arbeitet
der größte Krankenhausbetreiber
Quirón an einem
Open-Source-Portal auf Basis
von Open Stack, um Patienten
ihre Radiologiedaten zugänglich
zu machen.
Das Projekt sei Teil eines dreijährigen
Forschungsprojekts
mit dem Namen Coco Cloud
[http://​www.​coco‐cloud.​eu], das
2013 rund 2,8 Millionen Euro
von der Europäischen Kommission
erhielt. Coco steht dabei
für Confidential und Compliant
und setzt auf Cloud OS
von HP, das auf Open Stack
basiert, aber auch proprietäre
Komponenten enthält.
Letztere fehlen an Warschaus
Universitätsklinik:
Das integrierte medizinische
Systeme basiert komplett
auf Open-Source-Bauteilen.
Neben teuren Lizenzen würden
proprietäre Systeme es
verhindern, den Austausch
von Gesundheitsdatensätzen
nachzuvollziehen. Sogar innerhalb
des Krankenhauses
sei es kompliziert, Röntgenaufnahmen,
MRIs (Magnetic
Resonance Imaging) und
ECGs (Elektrokardiogramme)
auszutauschen, schreibt
OSOR und bezieht sich dabei
auf Radosław Rzepka, den
Projektleiter.
Der Ansatz beruht unter anderem
auf Ubuntu, dem Webserver
Nginx, der Datenbank
PostgreSQL, der Suchmaschine
Elasticsearch, als Programmiersprachen
kommen
Python und Ruby zum Einsatz,
letztere mit den Web-Application-Frameworks
Rails,
Sinatra und Flask. Nicht nur
kann das Personal dank des
Systems medizinische Daten
inklusive Scans aus verschiedenen
Quellen verwenden,
es unterstützt zudem VPN-
Zugriffe, bei Bedarf auch via
Smartphone.
n
OTRS mit Ticketzuordnung und mehr
Die OTRS AG [http://​www.​otrs.​
​com] stattet ihre quelloffene
Help-Desk-Software mit neuen
Features aus, die besonders
für Callcenter interessant
sind. Da ist zum einen das
Addon Ticket Allocation, es
ordnet Tickets automatisch
Mitarbeitern zu, die gerade
wenige Tickets bearbeiten
oder über die gefragten Kompetenzen
verfügen. Die Regeln
berücksichtigen zudem
hoch eingestufte SLAs.
Das zweite Feature bindet die
Asterisk-basierte Telefonanlage
Moby Dick ein. Sie stammt
vom OTRS-Partner Pascom
und zeichnet sich durch eine
komfortable Weboberfläche
aus, die sich in OTRS integriert.
Der Admin kann sie so
konfigurieren, dass sie automatisch
alle Tickets eines Anrufers
anzeigt.
Die neuen Addons gibt es
vorerst nur für Servicekunden
der OTRS AG. Wird die
Ticket Allocation jedoch stark
nachgefragt, könnte sie in die
Open-Source-Version 3.5 wandern,
sagt der Hersteller. n
Die Ticketzuordnung lässt sich mit zahlreichen Parametern steuern.
News 07/2014
Aktuell
www.linux-magazin.de
7
Europäischer Gerichtshof kippt Vorratsdatenspeicherung
Der Europäische Gerichtshof
bestätigte Anfang April, dass
die Richtlinie zur Vorratsdatenspeicherung
über das Ziel
hinausschießt. Das kann „bei
den Betroffenen das Gefühl
[…] erzeugen, dass ihr Privatleben
Gegenstand einer ständigen
Überwachung ist“.
Weil die Richtlinie aber nicht
die Inhalte der Kommunikation
selbst speichere, bleibe
das Wesen des „Schutzes
personenbezogener Daten“
gewahrt. Zudem diene die
Datensammlung tatsächlich
dem Gemeinwohl, weil sich
damit schwere Kriminalität
bekämpfen lasse.
Allerdings überschreite die
derzeitige Richtlinie mehrfach
die Verhältnismäßigkeit.
Sie erstrecke sich „ohne irgendeine
Differenzierung,
Einschränkung oder Ausnahme“
auf alle Personen, elektronischen
Verkehrsmittel und
Verkehrsdaten, ohne das Ziel
der Bekämpfung schwerer
Straftaten zu berücksichtigen.
Es fehlen objektive Kriterien
von Seiten der nationalen
Behörden, die einen Zugang
zu den Daten rechtfertigen.
Zudem gebe es keine unabhängige
Instanz (ein Gericht
oder eine Verwaltungsstelle),
welche die Zugriffe im Vorfeld
kontrolliert.
Die Speicherfrist sei nicht auf
das Notwendigste begrenzt,
sondern liege irgendwo zwischen
sechs und 24 Monaten,
ohne die Datenkategorien zu
unterscheiden und ohne objektive
Kriterien. Es fehle ein
Schutz vor dem Missbrauch
der Daten. Es gebe keine Garantien,
um die Daten vor
unberechtigtem Zugang und
deren Nutzung zu schützen.
Vielmehr dürften die Dienste-
Anbieter (etwa die Internetprovider)
in das gewählte Sicherheitsniveau
„wirtschaftliche
Erwägungen“ einfließen
lassen.
Nicht zuletzt kritisiert der Gerichtshof,
dass die Richtlinie
weder eine Speicherung der
Daten im Unionsgebiet vorschreibe,
noch die Überwachung
durch eine unabhängige
Stelle. Mit anderen Worten,
die Daten dürfen theoretisch
auch auf Servern lagern, die
nicht den strengeren EU-Datenschutzstandards
folgen. n

Aktuell
www.linux-magazin.de News 07/2014
8
Roundcube in Version 1.0.0
Nach acht Jahren Entwicklung
haben die Macher von Roundcube
Webmail eine erste stabile
Version 1.0.0 ihrer Software
veröffentlicht. Die lässt
sich mit neueren und älteren
Browsern nutzen, steht unter
GPLv3 und spricht IMAP.
Gegenüber der letzten stabilen
Version hat Roundcube einige
Neuerungen an Bord. Die
Konfiguration befindet sich
nun noch in einer einzigen
Datei. Es ist möglich, Kontakte
per Drag & Drop in Gruppen
zu vereinen und Vcards
mit Gruppenzugehörigkeiten
zu importieren, die nun auch
in der Suche auftauchen. E-
Mail-Nachrichten lassen sich
in den aktuell ausgewählten
Ordner importieren.
Roundcube beherrscht zudem
die fortgeschrittenen Funktionen
von LDAP-Adressbüchern.
Ein Button lässt den
Anwender E-Mails wahlweise
im Text- oder HTML-Format
betrachten. Entwürfe speichert
Roundcube lokal ab,
damit sie nicht verloren gehen.
Daneben gibt es eine verbesserte
Keyboard-Navigation
und ein optimiertes User-Interface,
um auf Tablets zu arbeiten.
Nicht zuletzt erinnert
die Software den Anwender
über ein Plugin an vergessene
Attachements. Eine Übersicht
der zahlreichen Features liefert
[http://​roundcube.​net/​about/],
hier lassen sich auch die Anforderungen
an den Server
nachlesen.
n
Kernel 3.15: Zehnmal schneller Aufwachen
Intel-Ingenieur Todd Brandt
hat offenbar einen cleveren
Weg gefunden, auf dem ein
Linux-System nach einem
Sus pend to Disk zehnmal
schnel ler aufwacht, ohne
dass dadurch Änderungen an
der komplexen Powermanagement-Infrastruktur
im Kernel
nötig werden. Seine Lösung
besteht darin, den Treiber für
die ATA-Laufwerke zu optimieren.
Der Resume dauere
laut Brandt bisher so lange,
weil der ATA-Treiber warte,
bis die ATA-Hardware online
sei. In dieser Zeit tue der
Kernel jedoch nichts weiter,
sondern wartet seinerseits auf
die Hardware.
Zwei Patches bewegen nun
den ATA-Port-Treiber dazu,
das Wakeup-Kommando auszuführen
und die Regie gleich
wieder an den Kernel abzugeben.
Letzterer reiht die Befehle
in einer Warteschlange
auf und übergibt sie an das
Laufwerk, sobald es online
ist. Der Rest des Systems müsse
dadurch nicht auf die ATA-
Hardware warten.
Laut seinen privaten Tests
seien seine drei Systeme mit
Ubuntu 13.10 und einem
Upstream-Kernel etwa zehnmal
schneller aus dem Suspend-to-Disk
aufgewacht. Der
Code ist bereits in Kernel 3.15
gelandet.
n
Prominenter Tails-Nutzer
Dass Anonymisierungs-Distributionen
nützlich sind, ist
schon länger klar. Das Livesystem
Tails kann sich nun
auch einen ziemlich prominenten
Nutzer auf die Fahnen
schreiben: Edward Snowden.
Wie der Journalist Klint Finley
in einem Wired-Artikel [http://​
​www.​wired.​com/​2014/​04/​tails] mitteilt,
habe Snowden nicht nur
GPG zum Verschlüsseln seiner
E-Mails verwendet, sondern
auch Tails, um seine Spuren
vor der NSA-Überwachung zu
verwischen.
Edward Snowden habe Tails verwendet, behauptet ein Wired-Artikel.
Die Information erhielt Wired
von Laura Poitras, einer Dokumentarfilmerin,
der Snowden
2013 sein Material anvertraute.
Sie gibt an, er habe
über Tails mit ihr und dem
Journalisten Glenn Greenwald
kommuniziert.
Die Anonymisierungs-Livedistribution
Tails bootet von
USB-Stick oder DVD. Sie speichert
Daten nicht lokal ab und
leitet Verbindungen ins Internet
über das Tor-Netzwerk.
Laut Poitras sei sie nach einer
Einarbeitungsphase, zu der es
gehöre, das Image zu verifizieren,
einfach zu bedienen.
Die Entwickler hinter Tails
sind anonym, der Quellcode
ist frei verfügbar.
Mit an Bord hat Tails diverse
Tools, um Internetverbindungen
zu verschlüsseln, etwa
GPG, Keepassx und das Chat-
Verschlüsselungs-Plugin Off
the Record (OTR). Diese sind
unter anderem nötig, weil
auch Tails keine hundertprozentige
Anonymität im Netz
gewährleisten kann.
Die Freedom of the Press
Foundation jedenfalls lobte
die Rolle der Livedistribution
zur Bewahrung der Pressefreiheit.
Sie fordert ihre Leser
dazu auf, die Tails-Entwickler
mit Spenden zu unterstützen.
Ende April ist zudem nach
einer mehrjährigen Entwicklungszeit
die Version 1.0 der
Software erschienen. n

Pidora 2014 bringt Fedora 20 auf den Pi
News 07/2014
Aktuell
Pidora, ein Fedora-Remix für
den Einplatinen-Computer
Raspberry Pi, ist in Version
2014 mit neuen Features erschienen.
Die Release ist ein
Build von Fedora 20 für die
Architektur ARMv6, fast alle
Fedora-Pakete stehen zur
Installation per Yum bereit.
Pidora bringt ein Kernel-Entwicklungspaket
für Anwender
mit, die eigene Treiber schreiben
wollen.
Daneben haben die Macher
das Booten beschleunigt und
den Headless-Modus verbessert.
Die Konfiguration beim
ersten Booten (»firstboot«)
lässt sich über ein grafisches
Tool vornehmen. Das
Betriebssystem-Image ist zunächst
klein, damit es schnell
lädt, und wächst dann automatisch.
Das Vergrößern des
Root-Dateisystems funktioniert
nun auch auf logischen
Partitionen.
Weitere Details enthält die Release-Mitteilung
[http://​pidora.​
​ca/​pidora/​releases/​20/], am selben
Ort lässt sich Pidora 20
auch herunterladen. n
www.linux-magazin.de
9
Python 2.7 erhält Support bis 2020
Mitte April fand in Kanada die
Pycon statt, eine internationale
Konferenz für Python-Entwickler.
Dort hatte Sprachenerfinder
Guido van Rossum
die größtmögliche Aufmerksamkeit
der Community für
sein Update des PEP 0373 (Python
Enhancement Proposal).
Es definiert die Roadmap für
Python 2.7, das van Rossum
laut seiner Änderung noch
bis ins Jahr 2020 unterstützen
möchte.
Damit will der Entwickler offenbar
für Planungssicherheit
in Firmen und Institutionen
sorgen, die Python noch nicht
auf Version 3 portiert haben.
Python 2.8 werde es nicht geben.
Kritiker stört, dass Python-2-Nutzer
den Übergang
zu Python 3 nun noch länger
hinauszögern könnten. n
Anzeige

Aktuell
www.linux-magazin.de News 07/2014
10
Kurznachrichten
Dada Mail 7.0.0: Freie Mailinglisten-Software mit einer Community- und einer
Pro-Version. Neu: Erstmals lassen sich mit dem Tool geschlossene Mailinglisten
betreiben. Daneben können die Empfänger den Missbrauch der
Mailingliste an den Listeneigentümer melden. Die Datenbankeinträge der
Empfänger erhalten einen Timestamp für den Zeitpunkt der Anmeldung,
Felder lassen sich als verpflichtend konfigurieren und Massenupdates sind
möglich. Zudem haben die Entwickler die Suche erweitert, sodass der
Anwender auch in einzelnen Feldern und in Zeiträumen für die Anmeldung
recherchieren kann. Lizenz: GPLv2 [http://​dadamailproject.​com]
Qemu 2.0: Optionenreiche und flotte Emulationssoftware, die keine
Gast​erweiterungen braucht. Neu: Die Entwickler haben einige On-Board-
Busse umbenannt, damit diese eindeutige Namen erhalten. Der Tiny
Code Generator (TCG) beherrscht ARMv8-Instruktionen im 32-Bit-Modus
und unterstützt alle dem User zugänglichen 64-Bit-Mode-Instruktionen
mit Ausnahme von CRC und den Krypto-Erweiterungen. Für AArch64
praktiziert Qemu 2.0 ein rudimentäres Disassembling, was aber einen
installierten C++-Compiler voraussetzt sowie KVM. Im Zusammenspiel
mit Xen klappt nun das Durchreichen von Laufwerken besser, die ein ROM
verwenden. Beim Live Snapshot Merge lässt sich der aktive Layer eines
Image in einen Snapshot einfügen. Die Live- und Offline-Merge-Funktionen
verändern das Zielimage dabei in der Größe, die Backends für Gluster und
I-SCSI unterstützen Snapshot-Merges. Lizenz: GPLv2 [http://​qemu.​org]
Seafile 3.0: Eine Open-Source-Lösung, die zugleich als sicherer Onlinespeicher
und als Filesharing-System dient. Neu: Die Weboberfläche des
Servers hat ein Redesign erfahren, das mehr Informationen auf einen
Blick anzeigt. Die Entwickler haben das Speichermodell überarbeitet
und so die Performance verbessert. Es ist zudem möglich, das Passwort
einer passwortgeschützten Dateibibliothek zu ändern. Die Neuerungen
führen allerdings zu eingeschränkter Kompatibilität gegenüber mit der
Vorgängerversion: Der volle Umfang an Features lässt sich nur ausschöpfen,
wenn Client und Server in Version 3.0 zum Einsatz kommen. Lizenz:
GPLv3 [http://​seafile.​com]
Redis 2.8.9: Eine schnelle In-Memory-Datenbank, die auf das Key-Value-
Schema setzt. Neu: Eigentlich eine Patch-Release, hat die Version lediglich
neue Features zu bieten. Als Datenstruktur haben die Macher des
In-Memory-Datenspeichers den Hyperloglog-Algorithmus von Philippe
Flajolet in die Codebasis aufgenommen. Er erkennt mit Hilfe von Zufallsalgorithmen
die Anzahl einzigartiger Elemente in einem Datenset. Die
drei neu eingeführten Kommandos »ZRANGEBYLEX«, »ZLEXCOUNT« und
»ZREMRANGEBYLEX« unterstützen lexikografische Reichweiten-Anfragen
für geordnete Datensatzstrukturen, die Redis zum Beispiel in einen performanten
Autocompletion-Server verwandeln. Auch Sekundärindizes und
Graphen erstellt Redis dank der lexikografischen Reichweiten-Anfragen
schneller. Die Änderungen haben dabei weder Einfluss auf den Speicherverbrauch
der geordneten Datensets noch auf das RDB-Dateiformat.
Lizenz: BSD [http://​redis.​io]
Django CMS 3.0: Python-basiertes Contentmanagement-System. Neu: Das
Frontend lässt sich komplett ändern, ohne auf das Backend zurückgreifen
zu müssen. Apps oder Plugins greifen auf eine überarbeitete Toolbar zu.
Alle Seiten verfügen über eine Undo- und Redo-Option, ein Installer hilft
das CMS in Minuten aufzusetzen. Django CMS arbeitet schneller, Inhalte
lassen sich sprachunabhängig publizieren und es gibt neue Bearbeitungsmodi.
Im Content-Modus bearbeitet der Admin Inhalte von Plugins, im
Structure-Modus kümmert er sich um die Baumstruktur der Plugins. Die
wurden aus dem Kern der Software entfernt, sie lassen sich nun kopieren
und einfügen. Schließlich ersetzt Django CMS die bisherigen Standard-
Texteditoren Wymeditor und Tinymce durch Ckeditor. Lizenz: BSD [https://​
​www.​django‐cms.​org]
KDE SC 4.13 verbessert Kontact und Kmail
Utopic Unicorn
Das Open-Source-Projekt KDE
hat seine Desktopanwendungen
sowie die Entwicklerplattform
auf Version 4.13
aktualisiert. Neben Bugfixes
bringt sie auch neue Features:
Der Mailclient Kmail erhielt
Unterstützung für Cloud-
Speicherdienste. Statt eines
Attachment kann der Anwender
einen Link auf Dropbox,
Box, Yousendit oder Kolab-
KDEs Dokumentenbetrachter Okular öffnet nun mehrere PDFs in Tabs.
Server & Co. schicken, wo
die Dateien lagern. Daneben
unterstützen die Sieve-Skripte
Abwesenheitsnachrichten auf
mehreren Servern. Verbesserungen
am Kontact-Cache sollen
die meisten Operationen
beschleunigen.
Der Dokumentenbetrachter
Okular kann mehrere Dokumente
in Tabs öffnen, ein
neuer Maus-Modus dient als
Lupe. Dem Editor Kate haben
die Entwickler eine Animation
beim Schließen von Klammern
sowie einen überarbeiteten
Statusbalken spendiert.
Neu an Bord ist Artikulate, ein
Aussprachetrainer für Fremdsprachen.
Nicht zuletzt haben
die Entwickler an der neuen
Infrastruktur für die semantische
Suche gearbeitet. n
Laut Ubuntus Hauptsponsor
Mark Shuttleworth soll das
nächste Ubuntu 14.10 „Utopic
Unicorn“ heißen. Den Fokus
legt Shuttleworth darin offenbar
auf Devops: Ubuntu soll
nicht nur Aktualisierungen
für Apps sofort ausliefern,
sondern auch in der Cloud
und auf Hardware optimal
skalieren. Zugleich wolle das
Projekt Systemd gut integrieren
und sich von Python 2
verabschieden.
Ubuntus Kernelteam kündigte
bei der Gelegenheit an, den
Kernel 3.13 bis April 2016 weiter
zu pflegen. Damit übernimmt
es den Job von Greg
Kroah-Hartman, der zuvor
den Kernel 3.13.11 zur letzten
von ihm betreuten Version erklärt
hatte. (kki/mfe/mhu) n

Aktuell
www.linux-magazin.de Zahlen & Trends 07/2014
12
Zahlen & Trends
EFF-Dachs soll Privatsphäre schützen
Die Electronic Frontier Foundation
(EFF) hat mit dem
Privacy Badger eine Anti-Tracking-Erweiterung
für Firefox
und Chrome entwickelt und
bittet um Tests. So will die
Organisation auf die Weigerung
der Industrie reagieren,
der „Do not track“-Selbstverpflichtung
nachzukommen,
so wie es Yahoo kürzlich angekündigt
hat.
Die EFF [https://​www.​eff.​org]
zitiert eine Mozilla-Studie,
nach der Privatsphäre das
wichtigste Anliegen der Browserbenutzer
sei. Warum aber
ausgerechnet ein Dachs (englisch
Badger) diese schützen
soll, bleibt wohl das Geheimnis
der EFF.
Die Erweiterung soll spionierende
Werbebanner und unsichtbare
Tracker automatisch
erkennen und blockieren. Sie
behält die Bilder, Skripte und
Werbebanner im Auge, die
Drittanbieter den Besuchern
einer Webseite unterschieben
möchten. Tragen die Drittanbieter
wichtige Funktionen
zur Webseite bei, erlaubt
Privacy Badger zwar den Einsatz,
filtert aber die Tracking
LLVM-Compiler-Projekt gründet Stiftung
Das LLVM-Projekt [http://​www.​
​llvm.​org] will solide werden
und mit der LLVM Foundation
eine Stiftung gründen, die
als unabhängige Instanz über
die Infrastruktur des Projekts
wacht. Über die Jahre sei das
LLVM-Projekt stark gewachsen.
Die Community bestehe
mittlerweile aus vielen Subprojekten
mit Hunderten
Codelieferanten, schreiben die
Compiler-Bauer unter [http://​
​blog.​llvm.​org/​2014/​04/].
Nun sei man den nächsten
Schritt gegangen und habe begonnen
eine unabhängige, gemeinnützige
Stiftung zu gründen,
die LLVM Foundation.
Sie soll Infrastrukturprobleme
lösen, finanzielle Fragen rund
um die Entwicklertreffen und
die Infrastrukturausgaben klären,
mehr Transparenz in den
Geschäftsbetrieb und die Verfahrensweisen
bringen und
nicht zuletzt eine von Unternehmen
unabhängige Organisation
auf die Beine stellen,
um den künftigen Erfolg des
Projekts zu sichern.
Ende 2014, eventuell schon
früher, will die Organisation
loslegen. Der Vorstand solle
aus Freiwilligen und einem
engagierten Verwaltungsleiter
bestehen, die über die notwendigen
Aktualisierungen
der Infrastruktur wachen,
die Entwickler-Meetings organisieren
und die Stiftung
verwalten. Man erwarte aber
kaum Änderungen an der Policy
für Entwickler. n
Cookies heraus. Anbieter, die
gegenüber der EFF ein bindendes
Versprechen abgeben,
die „Do not track“-Policy zu
beachten, nimmt sie von ihrer
Filterung aus.
© http://www.lrz.de/presse/fotos/
Die Erweiterung lässt sich
unter [https://​github.​com/​EFForg]
herunterladen. Sie befindet
sich noch in Entwicklung, sei
aber nach internen Tests nicht
allzu fehlerbehaftet. n
Parallel Computing Center entsteht
Das Münchener Leibniz-Rechenzentrum,
Intel und die
Technische Universität München
gründen ein Zentrum für
Parallel Computing. Ziel sei
es, „die Software-Entwicklung
hochparallelen Programmcodes
für zukünftige Supercomputer
voranzutreiben“.
Der Fokus liege auf Systemen
mit einer „sehr großen Zahl
von Prozessoren“ wie etwa
dem Xeon Phi, der in einer
großen Zahl von Superrechnern
verbaut ist. Für sie will
das neu gegründete Zentrum
vier bestehende Anwendungen,
die bereits auf dem
Super-MUC laufen, für die
nächste Rechnergeneration
optimieren.
Die Anwendungen simulieren
auf dem Garchinger
Linux-Cluster Erdbeben, die
Entwicklung des Kosmos, Methoden
der Molekulardynamik
oder andere „hochdimensionale
Probleme“.
n
Das Münchner Leibniz-Rechenzentrum betreibt einen Supercomputer auf Linux-
Basis, der zu den schnellsten der Welt gehört.

Mozilla implementiert DRM-Technologie
Das proprietäre Content Decryption
Module im Firefox.
© hacks.mozilla.org
Die EME-Spezifikation (Encrypted
Media Extension) des
W3C ist noch nicht in trockenen
Tüchern, da haben deren
Entwickler Microsoft, Apple
und Google sie bereits in ihren
Browsern implementiert. Nun
zieht Mozilla nach.
Für den Hersteller des Browsers
Firefox ist es ein Spagat,
der ihm sichtlich schwerfällt,
denn mit dem Open Web, das
Mozilla als Ideal propagiert,
hat DRM wenig zu tun, im Gegenteil.
Würde Mozilla aber
auf die Implementierung von
EME verzichten, schreibt Mitchell
Baker in Mozillas Blog,
müssten die User jedes Mal
einen anderen Browser starten,
um ein DRM-geschütztes
Video anzusehen.
Man habe sehr stark für ein
anderes Schutzsystem geworben,
etwa für Wasserzeichen,
könne aber der (Content-)
Industrie kein Vorschriften
machen. Auch die Kritik der
Electronic Frontier Founda tion
(EFF) und der Free Software
Foundation (FSF) an EME
blieb bislang wirkungslos.
Ohne Videosupport würde
Firefox aber für viele Nutzer
nicht mehr funktionieren, da
Video stark an der Browsernutzung
beteiligt sei, schreibt
die Vorsitzende der Mozilla
Foundation weiter.
Um DRM umzusetzen, müssen
die Browserhersteller ein
vernageltes Content Decryption
Module (CDM) implementieren,
das die Filme entschlüsselt.
Was es sonst noch
an Daten überträgt, bleibt
verborgen. Fehlt ein CDM,
wird Firefox bestimmte Filme
künftig nicht mehr anzeigen
können, etwa die von Netflix.
In den USA, wo der Dienst
sehr beliebt ist, scheint das
Problem virulenter zu sein als
in Mitteleuropa.
Bei der Firefox-Implementierung
sollen die User selbst
entscheiden, ob sie das Modul
aktivieren. Technisch will
Mozilla auf das CDM von Adobe
setzen, es aber in einer
Open-Source-Sandbox laufen
lassen. Will der User DRM,
lädt Firefox dieses CDM herunter
und aktiviert es. n
Zahlen & Trends 07/2014
Aktuell
www.linux-magazin.de
13
Anzeige

Aktuell
www.linux-magazin.de Zahlen & Trends 07/2014
14
Kein Debian Jessie für Sparc-Rechner
Die kommende Debian-Version
8.0 (Jessie) wird wohl
nicht für Rechner der Sparc-
Architektur zur Verfügung
stehen. Das hat Philipp Kern
vom Release-Team der freien
Distribution auf der Entwickler-Mailingliste
bekanntgegeben.
Er hat die Architektur
aus dem Zweig Testing entfernt,
der sich zur Jessie-Release
entwickeln wird.
Als Gründe führt er besonders
den Mangel an Mitarbeitern
an, die Software portieren,
aber auch Probleme mit der
Toolchain und der Stabilität
Heartbleed-artige Kernelbugs
Seit der Heartbleed-Sicherheitslücke
in Open SSL sucht
die Analyse-Firma Coverity
nach ähnlichen Fehlern in
Open-Source-Code und bringt
solche auch im Linux-Kernel
ans Licht. Das teilte der Red-
Hat-Entwickler Dave Jones,
der die Coverity-Analysen für
die Kernel-Community auswertet,
Anfang Mai mit.
Open SSL nimmt, wie beispielsweise
auch der Python-
Interpreter oder das Apache-
Hadoop-Projekt, an Coveritys
kostenlosen Code-Analysen
für Open-Source-Projekte teil.
Nach Bekanntwerden von
Heartbleed fragte sich das Unternehmen,
warum die statische
Analyse den Fehler nicht
erkannt hat, und entwickelte
binnen Kurzem einen neuen
Algorithmus.
Die fehlerhafte Open-SSL-
Version las über die legitimen
Speicherbereiche einer
Variablen hinaus. Solche
Out-of-Bounds-Reads lassen
sich nicht einfach erkennen,
der Hardware. Ob Sparc auch
noch aus dem Unstable-Zweig
verschwindet, aus dem die
übernächste Debian-Version
entstehen soll, ist bisher unklar.
Eine Diskussion darüber
findet in Debians Bugtracker
statt.
Die Scalable Processor Architecture
(Sparc) fand vor allem
in Workstations und Servern
von Sun Microsystems (Sparc
Station) und Fujitsu Verwendung.
Die jüngsten Prozessordesigns
sind in Open-Source-
Manier unter dem Namen
Open Sparc veröffentlicht. n
interessanterweise kommt im
fehlerhaften Code aber ein
Byte-Swap vor, der die Byte-
Reihenfolge umkehrt. Solche
Swaps suchte Coverity im
Quelltext des Linux-Kernels –
und wurde fündig.
Dave Jones berichtete in seinem
Blog [http://​codemonkey.​
​org.​uk/​2014/​05/] von einer gestiegenen
Zahl bemängelter
Codestellen. In Kernel 3.15-rc3
seien 118 neue Probleme aufgetaucht,
dabei wären es nach
dem ersten RC meist nur ein
paar Dutzend.
Nicht jeder Fund deute jedoch
auf eine ernsthafte Sicherheitslücke
hin, vielmehr
seien Swaps meist ein Zeichen
für schlecht gewarteten Code.
Dazu passe, dass sie sich in
veralteten Komponenten des
Kernels finden, etwa bei der
ISDN-Unterstützung und bei
WLAN-Treibern im Staging-
Verzeichnis. Der Entwickler
empfiehlt der Kernelgemeinde,
den Code zu überprüfen und
bei Bedarf auszumisten. n
Xwayland wird Teil des X-Servers
Ursprünglich war Xwayland
ein X.org-Modul, nun steht es
dank der Glamor-Bibliothek
auf einer Stufe mit Xwin und
Xquartz, den X-Servern für
Win32 und OS X. Die Bibliothek
kümmert sich in X.org
um die 2-D-Funktionen, es
handelt sich um eine Render-
Implementierung auf Open-
GL-Basis. Der Vorteil: Xwayland
braucht so nicht selbst
einige der X.org-Funktionen
zu übernehmen und man
muss es nicht mehr mit Set-
UID-Rechten ausführen.
Xwayland-Entwickler Jasper
St. Pierre zeigte sich Anfang
April in seinem Blog [http://​
​blog.​mecheye.​net/​2014/​04/] erfreut,
auch wenn noch Funktionen
fehlten, etwa Direct Rendering
für Open-GL-Spiele und
eine 2-D-Beschleunigung.
X.org bringe verschiedene
Server mit, die im Verzeichnis
»hw« liegen, etwa Xquartz für
Andreas Gal wird Technikchef bei Mozilla
OS X und Xwin für Windows
oder Xorg, Xephyr und Xnest
für Linux. Code, den sich alle
Server teilen, heißt DIX (Device
Independent X), die Server
für die verschiedenen
Zwecke und Plattformen bezeichnen
die Entwickler hingegen
als DDX (Device Dependent
X), Xwayland sei nun
also ein DDX-Treiber.
Die Codebasis in »w/xwayland«
sei bislang verhältnismäßig
klein, schrieb Pierre,
zudem funktioniere sie plattformunabhängig.
Auch wenn
die Entwickler meist mit Intel-
Grafik testen würden, könne
man Wayland auch mit anderen
GPUs (Nvidia, AMD/​ATI)
ausprobieren. Zumindest Nvidia
wolle ihren Treiber wohl in
Xwayland nutzen, vorzeigbare
Ergebnisse stünden aber noch
aus. Nicht zuletzt werde der
»xf86‐video‐wayland«-Treiber
auf diese Weise überflüssig.n
Brendan Eichs Nachfolger als
Mozillas CTO heißt Andreas
Gal, ist Deutscher und kommt
aus der Firefox-OS-Entwicklung.
Gal, der in der Nähe von
Lübeck aufgewachsen ist, in
Magdeburg studiert hat und
einen Doktorgrad der University
of California, Irvine, besitzt,
hat sich dort mit sicheren
Systemen und Sprachen
beschäftigt. Bei Mozilla behält
er neben seinem neuen Posten
als CTO zugleich seinen alten
als Vice President Mobile und
Research.
Angefangen hat er als Mitbegründer
des Boot-2-Gecko-
Ökosystems, dann wirkte er
an Firefox OS und dem Relaunch
von Firefox für Android
mit. Vor sechs Jahren hat er
bei Mozilla begonnen, an einem
JIT-Compiler für Javascript
zu basteln, der in Tracemonkey
gemündet sei. Kurz
danach hat Google den eigenen
Browser Chrome veröffentlicht
und die Javascript-
Performance-Kriege nahmen
ihren Lauf.
Gal war zudem an Entwicklungen
wie Broadway.js, einem
auf Web GL und Javascript
basierenden Videodecoder,
beteiligt, aber auch am
PDF-Betrachter PDF.js und an
Shumway, einem HTML-5-
Plugin, das den Flashplayer
überflüssig machen soll. n

Aktuell
www.linux-magazin.de Zahlen & Trends 07/2014
16
Indie Box soll Facebook, Google & Co. ersetzen
Mit einer administrierten Personal
Server Appliance auf
Basis von Open-Source-Software
wollen die Entwickler
der Indie Box ihren Usern die
Hoheit über ihre Daten zurückgeben.
Dazu sammeln sie
nun mit einem Crowdfunding
auf Indiegogo Geld.
Die Indie Box setzt auf die
Hardware von [http://​mini‐box.​
​com], bringt 2 GByte RAM mit
sowie zwei Festplatten mit
jeweils 1 Terabyte Kapazität,
die sich gegenseitig spiegeln
sollen. Die Idee: Nicht-Geeks
können sich ihre Personal
Server Appliance als fertige
Hardware für 500 US-Dollar
kaufen, Geeks einfach das auf
Open-Source-Software basierende
Image auf einen alten
Rechner spielen.
Die Indie Box soll den Nutzern die Hoheit über ihre Daten zurückgeben.
Der in den USA lebende Deutsche
Johannes Ernst will mit
dem Projekt „die Daten zurück
nach Hause bringen“.
Besitzer der Box sollen diese
über zwei Netzwerkkarten
als erstes Gerät und noch vor
dem Router an das heimische
Netzwerk anschließen. Sie
lässt sich über Dyn-DNS als
Heimserver nutzen, der Fotos
und Texte im Internet anzeigt,
aber auch lokal Kalender,
Adressbücher und sogar
E-Mails verwaltet. Anstelle
von Facebook, Google & Co.
können die User ihre Daten
selbst verwalten.
Der Server soll auch für Nicht-
Techniker ohne Konfigurationsaufwand
funktionieren.
Software-seitig verwendet
die Indie Box unter anderem
Owncloud, Wordpress, Media
Goblin und Known. Als Wiki
kommt Wagn zum Einsatz, als
sichere E-Mail-Lösung Mailpile.
Über einen App Store
lassen sich weitere Apps installieren.
Software-Updates
spielen Anwender automatisch
oder manuell ein, es
soll periodisch verschlüsselte
Backups auf einer Cloudplattform
geben.
Erreicht die Kampagne, die
noch bis zum 20. Juni läuft,
ihr Ziel von 50 000 US-Dollar,
will ihr Betreiber die Hardware
im vierten Quartal 2014
ausliefern. Noch sucht er nach
Wegen, um die Versandkosten
nach Europa zu senken. n
Red Hat kauft ein
Core Infrastructure Initiative will Open-Source-Projekte fördern
Red Hat hat den Speicherspezialisten
Inktank übernommen.
Bislang hatten die Rothüte
in Sachen Netzwerkspeicher
stets auf das eigene Gluster-FS
gesetzt. 175 Millionen Dollar
lässt sich Red Hat den Kauf
des Netzwerk-Storage-Spezialisten
Inktank kosten.
Nach dem Schwenk zu Open
Stack vollzieht Red Hat auch
in Sachen Storage eine bemerkenswerte
Kehrtwende. Doch
nein – denn „kombiniert mit
Red Hats Gluster-FS“ soll das
Netzwerk-Dateisystem Ceph
jetzt seine größten Stärken
ausspielen und den amerikanischen
Konzern zum „führenden
Open-Source-Storage-
Provider“ machen, schreibt
die Firma aus Raleigh in ihrer
Pressemitteilung [http://​red.​ht/​
​1rNXbPx].
n
Eine Reihe illustrer Namen
zählt die Linux Foundation
zur neu gegründeten Core
Infrastructure Initiative (CII).
Das Multimillionen-Dollar-
Projekt soll für die weltweite
IT-Infrastruktur systemkritische
Open-Source-Projekte
unterstützen.
Neben der Linux Foundation
selbst gehören diverse große
Unternehmen zur neuen Initiative,
darunter Amazon Web
Services (AWS), Cisco, Dell,
Facebook, Fujitsu, Google,
IBM, Intel, Microsoft, Netapp,
Rackspace und VMware. Sie
alle verwenden zwar schon
seit geraumer Zeit Open-
Source-Software für ihre kritische
Infrastruktur, haben aber
offenbar im Zuge der Ereignisse
um den Heartbleed-Bug
erkannt, dass auch freie Software
von finanzieller Unterstützung
profitiert.
Nun wollen sie Projekte unterstützen,
die meist eher
im Schatten leben, weil ihre
Produkte im IT-Bereich zwar
lebenswichtig, aber für die
meisten Computernutzer
unsichtbar bleiben, so etwa
Open SSL. Die wichtigsten
Entwickler des Open-SSL-
Projekts will die Initiative als
Erste finanzieren. Sie können
dank der Förderung nicht nur
mehr Zeit in die Entwicklung
stecken, sondern auch die Sicherheit
der Software weiter
verbessern und etwa externe
Codegutachter finanzieren.
Bislang habe das so wichtige
Projekt lediglich auf Basis von
Spenden in Höhe von etwa
2000 US-Dollar pro Jahr gearbeitet,
so die Foundation.
Was sie für den Kernel tue,
werde die Linux Foundation
dank des neuen Projekts
künftig auch auf einige andere
Projekte ausweiten, erklärt
Jim Zemlin, Kopf der
Linux Foundation. Die globale
Wirtschaft baue ihre IT-
Infrastruktur auf einer Reihe
von Open-Source-Projekten
auf, man sei dankbar für den
Support der Firmen für diese
kritischen Projekte.
Auch Eben Moglen, der Chef
des Software Freedom Law
Center, begrüßt den Schritt:
„Es ist im Interesse aller, die
Gesundheit der Community-
Projekte zu bewahren, deren
Software kritisch für die Sicherheit
des Internethandels
ist.“ Die Initiative erreichen
Interessierte über die Webseite
der Linux Foundation.n

Aktuell
www.linux-magazin.de Zahlen & Trends 07/2014
18
Mailserver-Konferenz: Dovecot strebt Weltherrschaft für 2017 an
Timo Sirainen will die Weltherrschaft für Dovecot.
Auf der Mailserver-Konferenz
der Berliner Firma Heinlein
Support stellte der sympathische
Finne Timo Sirainen
Mitte Mai seine Pläne zur
Weltherrschaft für Dovecot
vor. Nicht ohne Stolz verwies
Sirainen auf die Verbreitung
des Mailservers, der laut Debians
Statistik der meistinstallierte
ist. Sirainens eigene
Messungen auf [http://​www.​
​openemailsurvey.​org] machen
für Dovecot einen Marktanteil
von 52 Prozent aus.
Um seine Weltherrschaftspläne
durchzusetzen, müsse
Dove cot zum Standard-IMAP-
Server in den meisten Linux-
Distributionen werden, das sei
aber bereits geschehen. Daneben
sollten die großen ISPs
und Telekommunikationsanbieter
Dovecot verwenden,
was einen funktionierenden
24/​7-Support voraussetze und
Garantien für eine kontinuierliche
Weiterentwicklung des
Servers. Nicht zuletzt müssten
auch Unternehmen Dovecot
intern einsetzen und sich von
Microsoft verabschieden.
Dank seiner Firma Dovecot
Oy und der kommerziellen
Plugins sei man auf dem Weg,
diese Pläne umzusetzen. Sein
langfristiges Ziel sei es aber,
sich eine Weile in den Urlaub
zu verabschieden, ohne dass
die Firma ihn vermisst. Neben
den allgemeinen Zukunftsplänen
hob Sirainen zwei Punkte
© Heinlein Support
hervor: Die Unterstützung für
Object Storage und die geplante
Botnet Prevention.
Dovecot Oy bietet über ein
kommerzielles Plugin Support
für Mailboxen in verschiedenen
Cloudumgebungen mit
Object Storage an, zu denen S3
(Amazon), Azure (Microsoft),
CDMI (Scality) und Swift
(Rackspace) gehören. Für bis
zu 1000 Nutzer sei das Plugin
zurzeit noch lizenzkostenfrei.
Zu den Problemen gehören
die relativ hohe Latenz und
die Begrenzung auf ein paar
einfache Operationen. Auf der
Haben-Seite sieht Sirainen die
einfache Skalierbarkeit und
die Fähigkeit, theoretisch
auch in Split-Brain-Szenarios
zu funktionieren. In diesem
Fall könne man das Mergen
einfach nachholen.
In Kooperation mit dem Spamhaus-Projekt
arbeiten die
Dove cot-Entwickler außerdem
an einem Anti-Botnet-Plugin.
Noch sind die Pläne nicht
spruchreif, im Vortrag selbst
äußerten die anwesenden
Admins verschiedene Ideen.
Grob geht es darum, über die
schwarzen Listen von Spamhaus
die Botnet-IPs zu blockieren.
Das Problem: Über
die gekaperten Mailserver
läuft häufig weiterhin auch
normaler E-Mail-Traffic. Das
Anti-Botnet-Plugin müsste
also zwischen legitimem und
illegitimem Traffic unterscheiden
und die Nutzer entsprechend
informieren.
Ansonsten soll Dovecot zukünftig
auch als HTTP- und
Proxy-Server arbeiten, auch
wird an einer DNS-Client-Bibliothek
gebastelt, die DNS SEC
unterstützt und asynchron arbeitet.
Außerdem soll Doveadm
ein REST-API erhalten,
es gibt Überlegungen zum
Support für HTTP-basiertes
IMAP 5 sowie für Session
State Saving.
Die Entwickler möchten die
Volltextsuche überarbeiten,
IMAP-Metadaten unterstützen
und denken über experimentellen
IMAP-Annotate-Support
sowie eine Caldav/​Carddav-
Implementierung nach. Die
Folien zum Talk [http://​www.​
​dovecot.​org/​talks/] hat Sirainen
ins Internet gestellt. n
Marktplatz für Open-Shift-Anwendungen
Torvalds erhält Computer Pioneer Award
Red Hat kündigt für seinen
Platform-as-a-Service (PaaS)
Open Shift einen Marketplace
mit Anwendungen an. Das
Angebot ist für die öffentliche
Variante des PaaS gedacht,
auf der Entwickler mietweise
virtuelle Instanzen mit Ruby,
PHP, Python & Co. betreiben.
Neben vorgefertigten so genannten
Cartridges für Datenbanken
oder Proxys sollen
dann auch Anwendungen von
der Stange installierbar sein,
damit sich die Kunden auf
die Anwendungsentwicklung
konzentrieren können.
Die paketierte Software soll
künftig unter [http://​marketplace.​
​openshift.​com] bereitstehen. Zu
den bald verfügbaren Produkten
von Drittanbietern gehören
etwa das Applikations-
Monitoring von New Relic,
Mongo DB, die Continuous-
Integration-Lösung Shippable
oder die E-Mail-Infrastruktur
von Sendgrid.
n
Die renommierte und altehrwürdige
IEEE Computer Society,
die mit ihren Vorläufern
seit 1946 besteht und weltweit
über zahlreiche Ableger
verfügt, hat Linus Torvalds
mit dem 2014er Computer Pioneer
Award ausgezeichnet.
Seit 1981 verleiht die Gesellschaft
den Preis für herausragende
Leistungen auf dem
Gebiet der Informatik, unter
den Preisträgern finden sich
bekannte IT-Größen und ‐Vordenker
wie Dennis Ritchie,
Ken L. Thompson oder Konrad
Zuse.
Jetzt darf sich der Finne für
seine „herausragende Funktion
hinter der Open-Source-
Entwicklung des Linux-Kernels
und des Linux-Betriebssystems“
in die lange Liste
einreihen, meldet die IEEE
Computer Society. Als Preis
erhalten die Ausgezeichneten
eine silberne Medaille mit
Gravur. (kki/mfe/mhu) n

Aktuell
www.linux-magazin.de Kernel-News 07/2014
20
Zacks Kernel-News
Posix-Ärger: Race Conditions bei Datei-Operationen
Michael Kerrisk, Maintainer
der Kernel-Manpages, hat
ein Problem mit der Posix-
Kompatibilität von Linux zur
Sprache gebracht. Offenbar
führen »read()«, »write()« und
ähnliche Systemaufrufe keine
atomaren Ein- und Ausgabe-
Operationen durch, schreibt
er. In seinen Tests hat er festgestellt,
dass Schreibvorgänge
mit mehreren Threads unterschiedliche
Informationen
über die Datei-Offsets erhalten
und sich daher gegenseitig
überschreiben.
Daneben hat Michael Code
zum Reproduzieren des Problems
eingereicht. Seiner Meinung
nach könnte das virtuelle
Dateisystem VFS der Schuldige
sein. Außerdem holte er
aus dem Mailinglistenarchiv
bis zu acht Jahre alte Beiträge,
die ähnliche Fälle diskutierten.
Er schreibt: „Linux hält
sich nicht an die Single Unix
Specification 3 oder 4 und ist
auch nicht konsistent zu anderen
Implementierungen wie
Free BSD oder Solaris. Ich bin
mir sogar sicher, dass Linux
schon in frühen Tagen nicht
Unix-kompatibel war.“
Linus Torvalds räumt ein, der
Pointer auf die Fileposition
»f_pos« könnte Grund für eine
Posix-Verletzung sein. Dabei
holt er aus: „Vor langer, langer
Zeit übergaben wir den Pointer
auf »f_pos« direkt und der
Low-Level-Schreibvorgang aktualisierte
alles unter dem Semaphor
des Inode, und alles
war gut.“
Dann sei es aber zu allerhand
Problemen mit besonderen
Dateien gekommen, mit
Treibern, die unmittelbar auf
»f_pos« zugriffen, sowie zu
schlimmen Race Conditions,
weil es kein Locking gab.
Laut Linus erledigt der Kernel
heute die Ein- und Ausgaben
atomar, aber der Zugriff auf
»f_pos« an sich erfolgt ohne
Die Manpage von »read()« behauptet schlicht, der Linux-Systemaufruf sei Posixkompatibel.
Die Realität sieht etwas komplizierter aus.
Locking. Linus fragte Al Viro
nach einem Lösungsvorschlag,
und dieser verlangte zunächst
die Posix-Anforderungen an
»read()« und »write()«. Michael
lieferte das Zitat: „Rufen
zwei Threads beide eine dieser
Funktionen auf, soll jeder
Aufruf entweder alle Auswirkungen
des anderen Threads
bemerken oder gar keine.“
Das gelte für eine Menge Systemaufrufe,
fügte er an.
Wenige Tage später schickte
Linus ein Patch ein, das einen
Mutex für »f_pos« verwendet
und es so mit Schreibschutz
per Locking ausstattet. Er hält
diese Lösung für recht einfach
und nachvollziehbar. Nur an
einem Punkt geriet er sich mit
Al Viro ein wenig in die Haare:
Linus möchte in seinem
Code Registerpaare zurückgeben
und hält das für eine
gebräuchliche Programmiertechnik.
Al dagegen befürchtet,
dass einige Architekturen
wie Power PC, Mips und ARM
das nicht unterstützen.
Der Kernelchef schlug vor,
die Power-PC- und ARM-Leute
sollten Unterstützung für
Struct-Return in GCC integrieren.
Es genüge, zu diesem
Zweck ein Flag für die Aufrufkonvention
hinzuzufügen.
Al brachte eine alternative Lösung
ein, die Linus schließlich
annahm und auch für Greg
Kroah-Hartmans stabilen Kernelzweig
empfahl. Michael
Kerrisk ließ seine Tests laufen
und bestätigte, das Problem
sei gelöst.
n
Kann warten
Während der Arbeit an Kernel
3.14 schickte der Entwickler
Peter Hurley einige Patches
ein. Deren Aufgabe war es,
frühere Patches zurückzunehmen,
die für ein Problem
gesorgt hatten. Marcel Holtmann
allerdings mochte nicht
alle Änderungen anwenden,
da sich die Entwicklung schon
in der Release-Candidate-Phase
befand. Den Rest wollte er
für das Merge Window von
3.15 aufheben.
Der Niederländer Sander
Eikelenboom bemerkte allerdings
rund einen Monat
später, dass die Patches gar
nicht angewendet worden
waren. John Linville reagierte
und fragte nach einem Pull
Request für die fraglichen
Änderungen. Doch Marcel
antwortete: „Du hast alle drei
Rücknahmen schon in »wireless‐next«
als Teil einer größeren
Änderung an »RFCOMM«
von Peter erhalten.“ Peter bot
an, die wichtigsten Reparaturen
später per Cherry-Picking
in den dann stabilen Kernel
3.14 zu übertragen.
Hier schaltete sich Linus
Torvalds ein: „Wir sollten keinen
Kernel 3.14 mit bekannten
Fehlern veröffentlichen,
nur weil der Fix zu groß für
die RC-Phase sein soll.“ Peter
wies ihn darauf hin, dass es
sich mittlerweile nur noch um
eine Warnung handle, nicht
um ein Oops oder einen Absturz.
Da beschlossen Linus
und Sander, die Patches könnten
doch warten.
n

CPU-Events verfolgen
Perf, ein Tool zur Performance-
Analyse unter Linux, bilde
einige Hardware-Ereignisse
der CPU nicht gut ab. Das hat
der deutsche Intel-Entwickler
Andi Kleen auf der Mailingliste
beklagt. Er schreibt, es
unterstütze zwar High-Level-
Events, aber bei Low-Level-
Ereignissen „muss man die
Events in Rohform angeben
(sehr unpraktisch), alternative
Frontends wie Ocperf
einsetzen oder die Libpfm
patchen“.
Andi fährt fort: „Intel-CPUs
können sehr große Event-Dateien
haben, Haswell hat etwa
336 Core-Events – und noch
mehr, wenn man Uncore- und
Offcore-Kombinationen hinzunimmt.
Das ist zu viel, um
es über die Kernelschnittstelle
zu beschreiben.“
CPU-Hersteller pflegen meist
öffentliche Listen der Events,
wie Andi Kleen erklärt. Die
Oprofile-Entwickler importieren
sie gelegentlich in ihren
Code, doch leider veralten diese
Kopien rasch. Er schickte
Code, der automatisch Intels
aktuelle Event-Liste für lokale
CPUs zur Verwendung mit
Perf herunterlädt. Andi pflegt
die PMU-Tools unter [https://​
​github.​com/​andikleen/​pmu‐tools].
Dabei steht PMU für die Performance
Monitoring Unit, die
die Events zählt.
n
Schönere Stack Dumps
Die Stack Dumps des Kernels
sehen furchtbar aus, findet
Sasha Levin von Oracle. Insbesondere
mit den Kerneladressen,
die als Offsets im
Hexadezimalformat angezeigt
werden, könne niemand etwas
anfangen. Daher hat er
ein Skript eingereicht, das sie
in Quelltextdateien und Zeilennummern
übersetzt.
Linus Torvalds merkt an, Sashas
Absichten finde er gut.
Eines aber macht er klar: „Der
Kernel selbst wird nie die Zeilen
nummerieren“, schreibt
Linus. Auch die Hexadezimalzahlen
will er verschwinden
lassen. Kompiliere man den
Kernel mit zufälligen Basisadressen,
seien sie ohnehin
wertlos.
Daneben gibt der Kernelchef
zu bedenken, dass das
von Sasha verwendete Tool
»addr2line« nicht mit symbolischen
Namen klarkomme.
Daher müsse man entweder
dieses Werkzeug verbessern
oder zu »nm« beziehungsweise
»gdb« greifen.
Sasha dagegen möchte einfach
die Daten aus der »System.map«
verwenden. Das
findet Linus gut, hält aber die
»vmlinux«-Datei für eine bessere
Quelle. Er will noch ein
wenig am Kernel arbeiten und
Sasha an seinem Skript. (Zack
Brown/​mhu)
n
Kernel-News 07/2014
Aktuell
www.linux-magazin.de
21

Titelthema
www.linux-magazin.de Bonding 07/2014
22
Netzwerkverbindungen bündeln
Mehrfach hält besser
Nicht nur im Rechenzentrum kann eine ausfallsichere Verbindung nicht schaden. Mit Hilfe von Bonding,
Hostapd und Dnsmasq lässt sich ein Laptop auch in einen Accesspoint verwandeln, der redundant über mehrere
Fäden im Internet hängt. Kristian Kißling
© Dmitriy Karelin, 123RF.com
Inhalt
22 Im Bündel schneller
Dank Bonding erreichen auch drahtlose
Netzwerke höhere Verfügbarkeit.
26 Konferenz-WLAN
Konferenzen mit miesem Netz sind
ärgerlich. Wie lassen sich WLAN-Strukturen
besser aufsetzen?
30 Mesh-Netze
Mesh-Netzwerke erfahren wieder Zulauf,
neue Protokolle gibt es auch.
36 Richtfunk
In manchen Gegenden klappt die Connection
nur per Richtfunk.
Bonding, also die Möglichkeit, mehrere
Netzwerkgeräte in einem Interface zu
bündeln, ist vor allem in Rechenzentren
beliebt. Die Bonding-Technologie steckte
bereits im Kernel 2.0.30 von 1997 und
wurde im Laufe der Zeit sukzessive ausgebaut.
Das neueste Stück Dokumentation
stammt von 2011 und steht unter [1]
zur Ansicht bereit.
Dank sieben verschiedener Bonding-
Varianten (siehe Kasten „Die sieben
Bonding-Modi“) können Admins wahlweise
Load Balancing betreiben oder für
ihre Netze eine höhere Ausfalltoleranz
erreichen: Stolpert ein Techniker im Data
Center über ein Netzwerkkabel, läuft der
Traffic über ein anderes Kabel im Bonding
weiter.
Doch es gibt auch andere Szenarien, in
denen Bonding nützlich wäre. Auf Konferenzen
mit notorisch anfälligen WLAN-
Netzwerken ließen sich die Laptops der
Redner per Bonding zuverlässiger ans
Internet binden. Veranstalter in einer Gegend
mit eingeschränktem Internetempfang
können UMTS-Verbindungen auf
einem Rechner bündeln, der dann als
Accesspoint (AP) zum Einsatz kommt.
Ein Bond fürs Leben
Im vorgestellten Bonding-Setup besteht
der erste Schritt darin, ein Bündel aus
zwei WLAN- und einem Ethernet-Client
zu schnüren. Dabei hilft das zu installierende
Paket »ifenslave‐2.6«, das ein »sudo
apt-get ifenslave-2.6« auf dem eingesetzten
Lubuntu installiert. Dann bearbeitet
der Netzwerker die Datei »/etc/network/
interfaces«, wie es Listing 1 zeigt, wobei
er am besten erst ein Backup der Originaldatei
anlegt.
Die Einträge sind recht simpel gestrickt,
Bonding funktioniert nach dem Master-
Slave-Prinzip: Die Datei ordnet die Netzwerkgeräte
dem »bond‐master bond0«
zu. Als Bonding-Modus kommt Modus 1
(»active‐backup«) zum Einsatz. Die
Listing 1: »/etc/network/interfaces«
01 auto eth0
02 iface eth0 inet dhcp
03 bond‐master bond0
04 bond‐primary wlan0
05 bond‐mode active‐backup
06
07 auto wlan0
08 iface wlan0 inet dhcp
09 wpa‐conf /etc/network/wpa1.conf
10 bond‐master bond0
11 bond‐primary wlan0
12 bond‐mode active‐backup
13
14 auto wlan1
15 iface wlan1 inet dhcp
16 wpa‐conf /etc/network/wpa1.conf
17 bond‐master bond0
18 bond‐primary wlan0
19 bond‐mode active‐backup
20
21 auto bond0
22 iface bond0 inet dhcp
23 bond‐slaves none
24 bond‐give‐a‐chance 20
25 bond‐mode active‐backup
26 bond‐miimon 100

WLAN-Clients holen sich
die Zugangsdaten für
den Accesspoint aus den
Dateien »/etc/network/
wpa1.conf« (Listing 2)
und »/etc/network/wpa2
.conf«. Die Option »bondslaves
none« ist etwas
kontra-intuitiv: Es geht
darum, die Slaves nicht
erneut zu starten, während
das Gesamtgebilde
»bond0« aktiviert wird.
Der Parameter »bondgive-a-chance
20« lässt
den WLAN-Geräten ein
wenig Zeit, um sich mit
den Accesspoints zu verbinden.
Schaut sich der Netzwerker
nach einem Reboot
über »/sbin/ifconfig«
die vorhandenen
Devices an, sollte der
Anblick Abbildung 1 ähneln.
Es fällt schnell auf,
dass »bond0«, »eth0«,
»wlan0« sowie »wlan1«
die gleiche MAC-Adresse
aufweisen. Ob diese Geräte
online sind, verrät ein einfaches »cat
/proc/net/bonding/bind0«. Die Ausgabe
»MII Status = up« zeigt jeweils, ob ein
Gerät aktiv ist. Pingt ein Admin nun eine
beliebige Webadresse an, sollten auch
dann weiterhin Antworten eintrudeln,
wenn er das Ethernet-Kabel entfernt oder
ein WLAN-Kernelmodul deaktiviert.
Die sieben Bonding-Modi
Modus 0 (»balance‐rr«): Im Round-Robin-
Verfahren senden die Netzwerkkarten, angefangen
bei der ersten, sequenziell. Das
sorgt für Lastverteilung und Fehlertoleranz.
Die Netzwerkkarten müssen aber am selben
Switch hängen.
Modus 1 (»active‐backup«): Nur ein Interface
im Bündel sendet und empfängt. Tritt ein Fehler
auf, übernimmt eine andere Schnittstelle. Die
Netzwerkkarten müssen dabei nicht am selben
Switch hängen.
Modus 2 (»balance‐xor«): Über die MAC-Adressen
sind Quelle und Ziel einander fest zugeordnet.
Hierzu müssen die Netzwerkkarten
am selben Switch hängen.
Modus 3 (»broadcast«): In diesem Modus sendet
der Rechner seine Daten auf allen Netzwerkschnittstellen,
was den Einsatz mehrerer
Abbildung 1: Nach dem Bonding-Prozess existiert nicht nur ein neues Device namens
»bond0«, alle Netzwerk-Clients besitzen auch identische MAC-Adressen.
Switches erlaubt und fehlertolerant ist, aber
kein Load Balancing ermöglicht.
Modus 4 (»802.3ad«): Der Modus lehnt sich an
den 802.3ad-Standard der IEEE an. Verfügen
Netzwerkschnittstellen über die gleiche Übertragungsgeschwindigkeit
und Duplex-Einstellung,
lassen sie sich über das Link Aggregation
Control Protocol (LACP) dynamisch bündeln.
Modus 5 (»balance‐tlb«): Modus 5 funktioniert
wie Modus 2, nur dass das Auswahlverfahren
der Partner auf ausgefeilteren Algorithmen beruht,
keine Änderungen an den Switches nötig
und verschiedene Switches zulässig sind.
Modus 6 (»balance‐alb«): Die Sende- und auch
die Empfangslast verteilt dieser Modus auf die
verschiedenen Interfaces. Das unterscheidet
ihn von Modus 5. Die Bandbreite der Netzwerkkarten
wird dabei berücksichtigt.
Im Testaufbau verfügt der Rechner über
zwei WLAN-Clients und einen Ethernet-
Zugang. Anstelle der WLAN-Clients lassen
sich auch ein oder mehrere UMTS-
Geräte einsetzen, falls keine Accesspoints
zur Verfügung stehen und jemand zum
Beispiel in einer schlecht angebundenen
Gegend eine halbwegs zuverlässige Internetanbindung
benötigt.
Beispiele für Ubuntu
und Debian gibt es etwa
unter [2].
Selfmade AP
Im vorliegenden Szenario
soll der Rechner
mehrere Internetzugänge
bündeln und zugleich als
Accesspoint dienen. Um
das zu erreichen, installiert
der Anwender die
Pakete »hostapd«, »dnsmasq«
und »iw«. Dann
wendet er sich zunächst
der Datei »/etc/network/
interfaces« zu. Hier gilt
es, den WLAN-Client,
der die AP-Funktionen
übernehmen soll, aus
dem Bonding herauszunehmen.
Dazu wird in Listing 1
der mit »auto wlan0«
beginnende Abschnitt
gemäß Listing 3 geändert.
Das WLAN-Device
»wlan0« erhält eine feste
IP-Adresse aus einem anderen Subnetz,
während »wlan1« im Verbund mit »eth0«
die Verbindung ins Internet hält.
Die Authentifizierungssoftware Hostapd
[3] ermöglicht es, »wlan0« als Accesspoint
zu konfigurieren, der auch verschlüsselte
Anmeldungen über WPA 2
Personal erlaubt. Über den »nl80211«-
Treiber unterstützt Hostapd eine Reihe
neuerer WLAN-Chips, für ältere stehen
lediglich »HostAP«, »madwifi« und
»prism54« als Treiber bereit.
Generell ist es für den Einsatz als Accesspoint
von Vorteil, wenn Hardware mit
stabilen und gut unterstützten Treibern
zum Zuge kommt. Andernfalls treten bei
den Zugriffen verschiedener Clients auf
Listing 2: »/etc/network/wpa1.conf«
01 network={
02 ssid="SSID"
03 proto=RSN
04 key_mgmt=WPA‐PSK
05 pairwise=CCMP TKIP
06 group=CCMP TKIP
07 psk="Passwort"
08 }
Bonding 07/2014
Titelthema
www.linux-magazin.de
23

Titelthema
www.linux-magazin.de Bonding 07/2014
24
den Accesspoint Probleme auf. Troubleshooting
erlaubt der Befehl:
tcpdump ‐nn ‐i wlanX
01 # Update zu Listing 2
02 auto wlan0
Er hilft dem Admin den Netzwerk-Traffic,
der über das Device »wlanX« läuft, im
Auge zu behalten und eventuelle Fehler
zu analysieren.
Nach der Installation von »hostapd« legt
der Anwender zunächst die WLAN-Karte
fest, die als Accesspoint auftreten soll, im
Beispiel »wlan0«. Wer sich für die Bedeutung
der einzelnen Optionen interessiert,
kann diese unter [4] nachlesen. Kurz gesagt
wird hier »wlan0« zum Accesspoint
mit dem Namen »SSID« gemacht. Rechner,
die sich mit dem AP verbinden
möchten, brauchen ein entsprechendes
»Passwort« und nutzen eine sichere WPA-
PSK-Verschlüsselung.
Verwendet der AP-Betreiber nur eine
Ethernet-Karte für den Internetzugang,
03 iface wlan0 inet static
04 address 10.10.0.1
05 netmask 255.255.255.0
01 interface=wlan0
02 driver=nl80211
03 ssid=SSID
04 hw_mode=g
05 channel=1
06 macaddr_acl=0
07 auth_algs=1
08 ignore_broadcast_ssid=0
09 wpa=3
10 wpa_passphrase=Passwort
11 wpa_key_mgmt=WPA‐PSK
12 wpa_pairwise=TKIP
13 rsn_pairwise=CCMP
01 bind‐interfaces
02 interface=wlan0
03
04 no‐resolv
05 no‐hosts
06 addn‐hosts=/etc/hosts.ap
07
08 # server=8.8.8.8
09 # server=8.8.4.4
10
11 dhcp‐range=10.10.0.2,10.10.0.20,255.255.255.0,infinite
12 dhcp‐option=3,10.10.0.1
Listing 3: »/etc/network/interfaces«
Listing 4: »/etc/hostapd/hostapd.
conf«
Listing 5: »/etc/dnsmasq.conf«
kann er in der Datei »/etc/network/interfaces«
auch eine Bridge (»br0«) anlegen.
Die ergänzt er ebenfalls in Listing 4,
indem er die Zeile »bridge=br0« nach
»interface=wlan0« einträgt.
Damit der Hostapd-Daemon nach dem
Start des Systems auch gleich automatisch
losrennt, benötigt er noch eine
entsprechende Anweisung in der Datei
»/etc/default/hostapd«. Hier entfernt
der Netzwerker das Kommentarzeichen
vor der Zeile »DAEMON_CONF="/etc/
hostapd/hostapd.conf"«.
Dnsmasq
Dnsmasq ist nicht nur DNS-, sondern
auch DHCP-Server, seine zahlreichen
Funktionen und die möglichen Optionen
für die Konfigurationsdatei beschreibt
[5] ausführlich. Das ist hilfreich, weil der
Accesspoint nach dem Neustart des Rechners
zwar zu sehen ist, aber zunächst
keine IP-Adressen verteilt. Über
sudo cp /etc/dnsmasq.conf /etc/dnsmasq.U
conf.BACKUP
legt der User ein Backup der Default-Konfiguration
für Dnsmasq an und erstellt
dann eine eigene Datei, wie sie Listing
5 zeigt. Dnsmasq wird an das Interface
»wlan0« gebunden, soll aber nicht die
Datei »/etc/hosts« lesen, sondern die
selbst angelegte »/etc/hosts.ap«. In dieser
sollen der Pfad zum Gateway von
»wlan0« sowie der Name des Rechners
stehen, auf dem der Accesspoint läuft:
10.10.0.1 Rechnername
Die Datei »resolv.conf« ignoriert Dnsmasq
dank des Eintrags. Bei Problemen
mit der DNS-Auflösung lassen sich hier
auch eigene DNS-Server eintragen, etwa
die von Google, die Listing 5 auskommentiert.
Der Parameter »dhcp‐range«
legt den Bereich an IP-Adressen fest, die
»/etc/dnsmasq.conf« verteilt, gefolgt von
der Subnetzmaske und der Lease-Time,
die hier auf unendlich (»infinite«) steht.
Der Eintrag »dhcp‐option« setzt die Standardroute
(»3«) auf »10.10.0.1«.
Vorwärts Pakete!
Noch ist nicht alles in Butter, denn das
System soll die Pakete von »bond0« an
»wlan0« weiterreichen, damit die Clients
über den Accesspoint auch Internetzugang
erhalten. Dazu ändert der Admin
zunächst die Datei »/etc/sysctl.conf« und
kommentiert die Zeile
net.ipv4.ip_forward=1
aus. Dann kümmern sich die folgenden
IPtables-Befehle um das Forwarding und
Masquerading. Hier gilt es, in den ersten
beiden Schritten die Forwarding-Regeln
zu löschen und neue zu erstellen. Der
dritte Befehl leitet schließlich Pakete, die
aus dem Subnetz »10.10.0.0« kommen,
an »bond0« weiter:
iptables ‐F FORWARD
iptables ‐P FORWARD ACCEPT
iptables ‐t nat ‐A POSTROUTING ‐s U
10.10.0.0/24 ‐o bond0 ‐j MASQUERADE
Die Befehle kann der Admin in der Datei
»/etc/rc.local« unterbringen, so werden
sie beim Systemstart geladen.
Fazit
Gänzlich stabil lief der selbst gebastelte
Accesspoint im Test noch nicht, was auch
an der Hardware gelegen haben mag.
Gerade die sollte der Admin vor einem
dauerhaften Einsatz ausführlich testen,
damit sie möglichst stabil läuft. Wurden
beim Browsen viele URLs aufgerufen,
kam es nach einiger Zeit zu DNS-Ausfällen.
Dienste ohne große DNS-Anfragen
liefen hingegen deutlich länger stabil, der
Accesspoint und die Bonding-Gemeinschaft
ebenfalls. Insgesamt erwies sich
Bonding als eine recht schnell einzurichtende
Möglichkeit, um ausfallsicher und
redundant ins Internet zu kommen – auf
Wunsch auch drahtlos.
n
Infos
[1] Bonding im Kernel:
[https:// www. kernel. org/ doc/​
Documentation/ networking/ bonding. txt]
[2] Fortgeschrittene Bonding-Fälle:
[https:// www. stgraber. org/ 2012/ 01/ 04/
networking‐in‐ubuntu‐12‐04‐lts/]
[3] Hostapd: [http:// wireless. kernel. org/ en/​
users/ Documentation/ hostapd]
[4] Hostapd-Optionen: [http:// wireless. kernel.​
org/ en/ users/ Documentation/ hostapd#​
Common_Options]
[5] Dnsmasq-Dokumentation: [http:// www.​
thekelleys. org. uk/ dnsmasq/ doc. html]

Titelthema
www.linux-magazin.de Konferenz-WLAN 07/2014
26
Ein Konferenz-WLAN mit IPv6 geht noch nicht mit OSS-Tools
Catering V6
Ein Konferenz-WLAN für Tausende Benutzer zu servieren – das ist eine Aufgabe mit vielen Tücken. Die Veranstalter
der Fosdem 2014 brachten das Kunststück fertig, dies auch gleich durchgehend mit IPv6 anzubieten.
Leider fehlt es noch an freien Accesscontrollern, daher bleibt Open Source außen vor. Richard Hartmann, Markus Feilner
dieses Spektrum bisher, der Frequenzbereich
bleibt meist frei. Wer also öfter auf
Konferenzen mit vielen Teilnehmern unterwegs
ist, sollte die Extrakosten für einen
neuen WLAN-Stick in Kauf nehmen
– nicht selten hat er das bessere Netz.
Accesspoints am besten auf
Kniehöhe anbringen
© Fedor Kondratenko, 123RF.com
Nicht erst seit der massiven Ausbreitung
von Smartphones ist ein funktionierendes
WLAN für Konferenzbesucher eigentlich
selbstverständlich. Umso überraschender,
dass es schon die Veranstalter mittlerer
oder großer Events wie Cebit oder
Linuxtag immer wieder vor große Herausforderungen
stellt, den Besuchern ein
kostenloses und zuverlässiges Funknetzwerk
anzubieten.
Probleme, Probleme
Das es kein Selbstläufer ist, weiß auch
jeder Admin, der nicht mehr mit ein,
zwei oder drei WLAN-Routern auskommt
oder zahlreiche Clients in verschiedenen
Netzen versorgen will. Die Probleme reichen
von der Funktechnik übers Routing,
Roaming, die ausreichende Abdeckung,
böswillige Teilnehmer bis hin zur Hardund
Software.
Der Autor dieses Artikels konnte bei Großveranstaltungen
wie der Debconf 2013 [1]
und der Fosdem 2013 und 2014 ([2], [3])
Erfahrungen sammeln, die zwar zeigen,
wie es gehen kann, aber auch offenbaren,
woran es (noch) hakt, vor allem dann,
wenn der OSS-affine Admin solche Infrastrukturen
mit Open-Source-Tools und
Linux auf die Beine stellen will.
Wifi-Funktechnik
Die IEEE-Norm 802.11 definiert die gängigen
Wifi-Standards: 802.11b und 802.11g
funken im lizenzfreien Frequenzbereich
um 2,4 GHz, 802.11ac ausschließlich
im ebenso lizenzfreien Frequenzbereich
um 5 GHz, und 802.11n kann in beiden
Bereichen funken. Vorteil der höheren
Frequenzen ist die höhere Übertragungsgeschwindigkeit,
Nachteile sind die kürzere
Reichweite und die deutlich höheren
Kosten für die Technik.
Auf der anderen Seite ergibt sich dadurch
(heute noch) ein signifikanter Vorteil von
5 GHz: Die wenigsten Endgeräte nutzen
Für die Antennen gilt: Normale Rundantennen,
auch Stabantennen genannt,
strahlen horizontal im Winkel von 360
Grad, vertikal im Winkel von 10 bis 60
Grad ab. Damit erreichen in Knie- bis
Kopfhöhe montierte Antennen alle normalen
Aufenthaltsbereiche, haben aber,
wenn sie in einer Ecke montiert sind, bis
zu 75 Prozent Verlustleistung.
Ein weiteres Problem ist das so genannte
Übersprechen: Decken mehrere Antennen
gleicher Frequenz denselben Bereich ab,
gibt es unerwünschte Interferenzen, die
sich zwar durch sinnvolle Kanalabstände
mildern lassen (bei 2,4 GHz zum Beispiel
die Kanäle 1, 6, 11). Aber auch dieser Effekt
ist begrenzt, wenn die Nutzerzahlen
oder Bandbreiten-Anforderungen mehr
als drei Accesspoints nahe beieinander
verlangen. Bei höheren Dichten führt
kein Weg entweder an gerichteten Antennen
oder an Accesscontrollern (AC)
vorbei, die zentral und zusammen mit
den Accesspoints (AP) die Sendestärke
der einzelnen Antennen regulieren.
Online PLUS
Die DNS-64- und NAT-64-Konfiguration,
wie sie die Admins der Fosdem verwendet
haben, findet sich auf Linux-Magazin Online
Plus unter: [http:// www. linux‐magazin/​
2014/ 07/ plus]

Solange sich keiner der Netzteilnehmer
bewegt, bleibt die ganze Sache simpel,
Client und Accesspoint langweilen sich
und übertragen brav ihre Daten. Doch
das ist bei einer Konferenz sicher nicht
der Fall: Hier bewegen sich viele der Benutzer,
für sie ist nicht nur die Übertragungsstärke
anzupassen.
Der Admin muss auch für einen sauberen
Hand-over des Clients zwischen den Accesspoints
Sorge tragen. Dieses Roaming
ist die mit Abstand wichtigste Funktion
in großen WLAN-Szenarien. Benutzer
wollen sich frei bewegen und erwarten
zu Recht, dass ihre Verbindungen nicht
abreißen oder auch nur temporär ins
Stocken geraten. Gelingt dies, sind sie
zufrieden, andernfalls gib es sehr schnell
lautstarke Beschwerden.
Im einfachsten Fall verbindet sich der
Client mit einem anderen Accesspoint,
sobald er den alten nicht mehr gut genug
empfängt. Das kann allerdings dazu
führen, dass der Switch im Hintergrund
die MAC-Adresse des Clients zunächst
noch beim alten Accesspoint vermutet
und daher den Traffic in die falsche Richtung
schickt.
Abhängig vom Switch-Modell und anderen
Faktoren kann das MAC-Learning
mehrere Sekunden dauern, in denen
der Endbenutzer de facto offline bleibt.
Schlimmer noch: Sitzt ein Client genau
zwischen zwei oder mehr Accesspoints,
dann kann es zu Flapping – kontinuierlichen
Neuverbindungen – kommen. Auch
hier helfen Accesscontroller.
Backend-Verkabelung
Nicht immer lassen sich alle Accesspoints
direkt mit Kabeln versorgen, wenn etwa
die Entfernungen zu groß werden
oder es nicht erlaubt ist,
Kabel zu verlegen. Höherwertige
Accesspoints bieten deswegen
an, die Verbindung mit
dem Netzwerk über – meist
gerichtete – 5-GHz-Antennen
aufzubauen, wobei dann
den Clients nur die 2,4-GHz-
Frequenzen zur Verfügung
stehen. Wer große Strecken
überbrücken muss, kommt
ab ein paar Hundert Metern
kaum ums teure Glasfaserkabel
herum.
Um gute Ergebnisse und hohe Geschwindigkeiten
zu erzielen, sollten alle
Accesspoints direkt per Layer 2, also
Ethernet, verbunden sein. Ist dies nicht
möglich, kommen Details wie die Fragmentgröße
ins Spiel – im LAN üblicherweise
1500 Byte. Ihr sollte der Admin
besonderes Augenmerk schenken, vor
allem wenn er DSL- oder anderen Verbindungsarten
benutzt, die andere Werte
verwenden. Entweder begrenzt er dann
künstlich die Paketgröße von TCP/​IP-
Verbindungen mit MSS Clamping oder
er nutzt IP-Gateways, die Fragmentation
unterstützen. Dann kann der Endbenutzer
Pakete mit einer MTU von 1500 verschicken
und empfangen. Doch Achtung:
Im Hintergrund entsteht Overhead, der
die Performance beeinträchtigt.
Accesscontroller bringen
erweiterte Funktionen
Abbildung 1: Im Hörsaal Janson der Brüsseler Universität fanden die viel besuchten
Fosdem-Keynotes statt. Hunderte Laptops waren hier keine Seltenheit.
Die an sich extrem komplexe Funktechnik
versteckt sich fast komplett hinter
der Hardware. Die meisten Accesspoints
verfügen über nur mäßige Intelligenz,
weshalb es fast obligatorisch wird, einen
Accesscontroller zu verwenden, will
man ein richtig großes WLAN aufbauen.
Außer dem Funken übernimmt der AC
alle Funktionen: Konfigurationen spielt
der Admin nicht mehr auf jedem Accesspoint
einzeln ein, sondern zentral auf
dem Accesscontroller, das Gleiche gilt für
Firmware-Upgrades und das Hardware-
Monitoring.
ACs lassen sich clustern, sie speichern
Listen von Accesspoints inklusive Positionsangaben,
bieten Planungstools für
die Frequenzwahl und verteilen Kanäle
automatisch um. Accesspoints, die aktive
Messungen unterstützen, melden
beispielsweise Überschneidungen der
Netze an ihren Accesscontroller, der sodann
für eine bessere Verteilung sorgt. Er
passt dann kontinuierlich und dynamisch
die Funkstärken der einzelnen Antennen
an, um eine optimale Ausleuchtung aller
Bereiche zu erreichen. Falls zum Beispiel
ein Accesspoint ausfällt, lässt er angrenzende
Nachbarn automatisch stärker
senden.
Hochpreisige Modelle haben aber noch
mehr Tricks in petto: Mit Hilfe von MAC-
Adressenlisten kann der AC auch unerwünschte
„Rogue APs“ feststellen und
den Admin alarmieren, wenn ein Angreifer
im WLAN derlei Man-in-the-Middle-
Angriffe versucht. Durch Triangulierung
grenzen sie den physikalischen Standort
von Clients ein und erfassen Bewegungen,
was Gegenmaßnahmen deutlich
einfacher macht. Zusätzlich können sie
allen Clients, die sich mit dem Rogue
Accesspoint verbinden, automatisch
Deauthenticate - und Disassociate-Nachrichten
schicken, was die Clients dazu
zwingt, sich neu zu verbinden.
Im Idealfall erfassen die Accesspoints die
relativen Positionen der Nutzer und teilen
sie dem Accesscontroller mit. Dieser
kann dann genau im richtigen Moment
die Accesspoints anweisen die Verbindung
mit dem Client ab- respektive aufzubauen.
Manche Accesspoints cachen
Daten kurzfristig und senden sie direkt
nach dem erfolgten Hand-over an den
Client; damit wird Datenverlust minimiert
oder gar ausgeschlossen.
Damit nicht genug, auch die Switches,
die das Netzwerk aufspannen, wollen
informiert sein, das sich die MAC-Adresse
jetzt auf einem anderen Port befindet.
Derlei erledigt in der Regel ein
Gratuitous-ARP-Paket.
Nicht ohne
Leider ist es heute unmöglich,
all diese Funktionen auch
nur mit Accesspoints hinzubekommen,
also ohne Controller.
Roaming funktioniert
zwar, ein schneller Hand-over
oder gar Caching von Paketen
findet aber nicht statt, Anwender
werden immer mindestens
kleine Aussetzer bemerken.E
Konferenz-WLAN 07/2014
Titelthema
www.linux-magazin.de
27

Titelthema
www.linux-magazin.de Konferenz-WLAN 07/2014
28
Abbildung 2: Glasfaser, Switches und Cisco-Hardware halfen den Fosdem-
Organisatoren beim WLAN-Setup.
Abbildung 3: Die Laptops zur Videokodierung wandeln die Vortragsvideos in fürs
Web geeignete Formate um.
Weil freie Accesspoints samt Controlleranbindung
nicht existieren, ist der
Admin auf proprietäre Lösungen angewiesen.
Hersteller, die in Forschung und
Entwicklung sowie in eigene Hardware
investieren, um Accesspoints mit entsprechenden
Fähigkeiten auszustatten,
setzen auf proprietäre, aber komplette
Lösungs-Stacks.
Entwickler freier Software hingegen, die
Accesscontroller programmieren wollen,
haben in der Regel keinen Zugriff auf entsprechende
Hardware. Vielleicht finden
sich auch hier irgendwann die immer
günstiger und leistungsfähiger werdenden
Chipsätze in offeneren Geräten wider,
mit denen Open-Source-Entwickler
spielen können, ähnlich der Open-WRT-
Linksys-Erfolgsstory (siehe Artikel in der
Hardware-Rubrik dieser Ausgabe).
Eine andere Dimension: Das
Fosdem-Netz an der ULB
Bis dahin bleiben nur die proprietären
Geräte, selbst bei der größten Open-
Source-Konferenz Europas, der Fosdem,
die mit Nutzerzahlen zwischen 5000 und
12 000 Besuchern besondere Anforderungen
stellt. Dort sind die Voraussetzungen
gut, das Netz der Université libre de Bruxelles
(ULB), wurde in den vergangenen
Jahren kontinuierlich ausgebaut. Die
meisten Langstrecken hat man auf Single-
Mode-Glasfaser aufgerüstet, an fast allen
wichtigen Punkten sind Accessports oder
zumindest LAN-Dosen vorhanden und
auch die Switches sind sinnvoll verteilt
und erreichbar.
Die Universität spannt ihr normales Wifi-
Netz mit Hilfe von Accesspoints und Controllern
von Cisco auf. Sponsoring macht
es möglich, die besonders stark frequentierten
Bereiche, insbesondere den größten
Hörsaal Janson (Abbildung 1), mit
zusätzlichen Accesspoints auszustatten.
Dabei handelt es sich jedes Jahr um die
neuesten Hochleistungsmodelle; Cisco
verwendet die Leistungsdaten auch intern
zur Forschung und Entwicklung, da
es wenige Gelegenheiten außerhalb der
Labors gibt, die Technik unter solch extremen
Bedingungen zu testen.
Die ULB ihrerseits erlaubt jedes Jahr den
Anschluss der geliehenen Accesspoints
an ihre Controller. Dadurch bieten alle
beteiligten Geräte automatisch alle ES-
SIDs an, für die Konferenz selbst etwa
»Fosdem«, »Fosdem‐dualstack« und
»Fosdem‐v6«. Im Hintergrund wird jede
ESSID auf einem eigenen VLAN terminiert,
was automatisch ein Überspringen
zwischen den Netzen verhindert und es
zugleich erlaubt, für jede ESSID eigene
Subnetze, Default-Gateways, DHCP und
NAT anzubieten.
Das Problem IP-Space
Da jeder Besucher mit einer öffentlichen
IP-Adressen versorgt sein will, IPv4-
Adressen aber bekanntermaßen knapp
werden, kann kein Sponsor mehr den benötigten
IP-Space zur Verfügung stellen.
Die Organisatoren beantragten deswegen
bei der RIPE NCC für die Fosdem eine
eigene permanente AS-Nummer und drei
/48-IPv6-Subnetze. Permanent zugewiesene
IPv4-Subnetze gibt es bereits seit
September 2012 nicht mehr. Es ist aber
immer noch möglich, für kurze Zeit IPv4-
Subnetze zu beantragen, in 2013 und
2014 jeweils ein /18. Diese müssen nach
Ablauf des konkreten Vergabegrunds sofort
zurückgegeben werden, im Fall der
Fosdem nach zwei Wochen.
Das Routing selbst (über eine vom Provider
Colt [4] bereitgestellte Leitung mit
eigener AS-Nummer) wurde von einer
ebenfalls gesponserten Cisco ASR 1001
[5] übernommen, die auch noch gleichzeitig
DHCP und NAT64 anbieten konnte.
Die ASR 1001 wurde zusammen mit zwei
virtuellen Hosts, die Services wie DNS
übernahmen, den Transcodier-Laptops
für das Videoteam in der kombinierten
Heizung-Putzlager-​Abflussanlage direkt
neben dem Fosdem-NOC untergebracht
(Abbildungen 2 und 3). Eine gewisse
Resistenz gegen interessante Düfte entwickelt
sich da jedes Jahr aufs Neue.
Weltweit die erste Konferenz
mit IPv6 per Default
Eine Besonderheit war das Netzwerk der
Fosdem 2014 insofern, weil dies weltweit
die erste öffentliche Konferenzinfrastruktur
war, die per Default nur IPv6 angeboten
hat. Das war eine bewusste Entscheidung
der Organisatoren, die der verbreiteten
Wahrnehmung, IPv6-Umstellungen
erlebten derzeit einen Stillstand, etwas
entgegensetzen wollten.
Zwar gab es auf IETF- und RIPE-Meetings
schon derlei Testnetze, die Nutzer sind
dort aber tendenziell sehr Netzwerk-af-

fin und eignen sich daher eher schlecht
als Querschnitt durch die Computerwelt
oder gar die Gesellschaft. Auf der Fosdem
ist dies anders. Die meisten Besucher
entwickeln oder nutzen freie Software,
einige schnuppern aber auch nur mal
in das Thema hinein. Von der eigentlich
so einsichtigen Idee bis zur konkreten
Umsetzung brauchte es jedoch mehrere
Monate an Vorbereitung mit langen Diskussionen,
technischer Verifikation und
der Erstellung von Fehlerszenarien samt
zugehörigen Notfallplänen.
Obwohl der IPv6-Standard bald zwanzig
Jahre auf dem Buckel hat und in Bälde
Ipv4 ersetzen soll, stellt er Netze, Admins
und Software immer noch regelmäßig vor
Probleme. Trotzdem, so lautete der Anspruch,
sollte IPv6 mindestens so gut
funktionieren wie IPv4. Aber natürlich
muss sich jedes Netzwerk heutzutage
auch noch mit dem IPv4-Internet verbinden
können; ansonsten wäre es leider
noch relativ nutzlos. Andererseits sind
IPv4 und IPv6 aus Effizienzgründen mit
Absicht so entworfen, dass Hosts, die nur
IPv4 sprechen können, sich nicht mit Maschinen
verbinden können, die nur IPv6
sprechen und umgekehrt.
Lügen mit DNS 64 und NAT 64
Die Lösung ist so einfach wie genial: Der
Router lügt beide Seiten der Verbindung
einfach an. Vorsicht: DNSSEC ist genau
dazu gedacht, diese Art der Manipulation
zu verhindern, weswegen es nicht mit
DNS 64 funktioniert. Dessen Schwindelei
ist sogar mehrstufig: Zuerst definiert der
Admin ein /96-Subnetz, in das er den
gesamten IPv4-Adressraum mappt. Dann
stellt er den DNS-Resolver so ein, dass
jede DNS-Anfrage, deren Antwort einen
A-Record, aber keinen AAAA-Record enthält,
umgeschrieben wird.
Dabei werden alle IPv4-Adressen aus
den A-Records in das /96-Netz gemappt
und dann als einzelne AAAA-Records der
Antwort beigefügt. Ein Router schreibt
jede Anfrage an eine Adresse aus diesem
Mapping um und ersetzt die IPv6-Adresse
durch die echte IPv4-Adresse.
Auf dem Rückweg werden die Pakete
dann wieder von IPv4 auf IPv6 umgeschrieben.
Ein Host kann so auch mit
nur einer IPv6-Adresse auf das normale
Legacy-Internet mit IPv4 zugreifen. Die
volle Konfiguration für ein solches Setup,
wird – etwa für Bind9 – auf Linux Magazin
Online Plus [6] beschrieben.
2015 schon ohne IPv4?
Aber selbst ein voll funktionsfähiges
IPv6-only-Netzwerk anzubieten reicht
bisweilen nicht. Obwohl das IPv6-only
Netzwerk der Fosdem durchgängig stabil
lief und es im parallel betriebenen
Dual-Stack-Netzwerk mehrfach Probleme
mit einem zu kleinen DHCP-Pool gab,
nutzten zum Ende der Fosdem 2014 insgesamt
2750 Endgeräte das Dual-Stackund
nur mehr knapp 600 das IPv6-only-
Netzwerk.
Das war sicherlich zum Teil durch funktionale
Einschränkungen bedingt. Zum
Beispiel gab es laut User-Feedback massenhaft
Probleme auf Maschinen mit aktuellem
Ubuntu, so berichteten Anwender
am Ubuntu-Stand, dazu kamen aber auch
Bugs in Server-Systemen und ‐Software,
die Entwickler teils vor Ort beheben
konnten, etwa durch den Network-Manager-Entwickler
Pavel Simerda – der vom
Veranstalter an einem Besucher-Laptop
mit dem Problem konfrontiert wurde und
sich sofort ans Patchen machte.
Als Fazit des Versuchs lässt sich sagen,
dass der Backbone des Internets und fast
alle Serversoftware heute durchgängig in
der Lage sind, IPv6 sauber zu handhaben.
Probleme gibt es vor allem noch bei
Clientsoftware und Endkundenanschlüssen.
Zumindest beim ersten Problem
wird die Fosdem weiterhin versuchen zu
helfen, indem sie nächstes Jahr auf der
Haupt-ESSID wieder nur IPv6 anbietet
und vielleicht sogar für den Samstag IPv4
auch im Dual-Stack-Netz nicht anbietet.
Dann fehlen nur noch Open-Source-Accesscontroller.
n
Infos
[1] Debconf: [http:// www. debconf. org]
[2] Fosdem: [http:// www. fosdem. org]
[3] Markus Feilner, „Brüsseler Spitzen“:
Linux-Magazin 04/​14, S. 22
[4] Colt: [http:// www. colt. net]
[5] Cisco ASR1001:
[http:// www. cisco. com/ c/ en/ us/ products/​
routers/ asr‐1001‐router/ index. html]
[6] DNS-64 und NAT-64-Anleitung:
[http:// www. linux‐magazin/ 2014/ 07/ plus/]
Konferenz-WLAN 07/2014
Titelthema
www.linux-magazin.de
29

Titelthema
www.linux-magazin.de Mesh-Netzwerke 07/2014
30
Drahtlose Ad-hoc-Netzwerke
Chaos mit System
Gegen Überwachung können Mesh-Netzwerke entgegen einer verbreiteten Annahme zwar nur wenig ausrichten,
dennoch sterben die Ad-hoc-Netzwerke trotz kommerzieller Konkurrenz nicht aus. Im Gegenteil: Sie haben
Zulauf, und auf Protokollebene gibt es ständig neue Entwicklungen. Kristian Kißling
© Rin Boonprasan, 123RF.com
Seit etwa einem Jahr greift in der Gesellschaft
die Erkenntnis Raum, dass die
Geheimdienste, allen voran die NSA und
das britische GCHQ, das Internet systematisch
ausspähen. Wer sich die Reaktionen
der Regierungen und der ertappten
Geheimdienste anschaut, dem wird
schnell klar, dass hier weder Einsicht
noch Mäßigung zu erwarten sind.
Also bleibt es der diffus als Internet-
Community bezeichneten Nutzer- und
Entwicklerbasis überlassen, ihre Privatsphäre
selbst zurückzuerobern. „Wir
müssen das Netz wieder dezentralisieren“,
forderte nicht nur Sir Tim Berners-
Lee, der Begründer des WWW.
In welche Richtung das gehen kann,
zeigen einige der Softwareprojekte, die
Redecentralize.org [1] auf der Webseite
vorstellt, darunter etwa Ark OS [2],
Telehash [3], Mailpile [4] oder Media
Goblin [5]. Etablierte Projekte wie Tor
[6] oder Bitcoin [7] nutzen längst P2P-
Technologie, Verschlüsselung und dezentrale
Ansätze, um der Privatsphäre trotz
allem eine Chance zu geben.
Dezentrale Hardware
Doch wie sieht es mit der Hardware aus?
Die von Eben Moglen initiierte Freedom
Box Foundation [8] arbeitet schon recht
lange an Debian-basierten Plug-Servern,
die mit Hilfe von Onion Routing, VPNs
und Verschlüsselung die Privatsphäre
der Nutzer schützen sollen. Nach einem
erfolgreichen Crowdfunding 2011 ist die
Firmware aber erst bei Version 0.2 angekommen.
Blätter wie die „New York Times“ [9],
„Die Zeit“ [10] und „Wired“ [11] suchen
den Stein der Weisen in mobilen Ad-hoc-
Netzwerken, auf Englisch Manet abgekürzt.
Häufig werden solche Netzwerke
auch als vermaschte Netze oder Mesh-
Netzwerke bezeichnet, eine eindeutige
Abgrenzung beider Begriffe fällt schwer
[12]. Gemeint sind drahtlose Verbindun-
gen mobiler Geräte im Ad-hoc-Modus,
wobei die Geräte Daten von Knoten zu
Knoten weiterleiten und spezielle Netzwerkprotokolle
die Routen dynamisch
anpassen (Abbildung 1). In Europa gibt
es solche Mesh-Netzwerke zum Beispiel
in und um Barcelona, Athen, Wien und
Bern, aber auch in deutschen Städten wie
Hamburg, Berlin oder Leipzig.
Glaubt man den Medienberichten, sprechen
im Wesentlichen zwei Argumente
für den Einsatz dieser Netzwerke: Ausfallsicherheit
und Privatsphäre. „Verglichen
mit zentralisierten Netzwerkarchitekturen“,
schreibt die Wired-Autorin
unter [11], „besteht der einzige Weg, um
ein Mesh-Netzwerk abzuschalten, darin,
jeden einzelnen Knoten abzuschalten.“
Vor allem in Ländern mit autoritären Regimen
ist es nicht unwahrscheinlich, dass
Regierungen im Krisenfall auf den großen
Ausschalter drücken, um den politischen
Gegner zu schwächen.
Im Falle von Naturkatastrophen haben
sich Mesh-Netzwerke bereits mehrfach
als robuster erwiesen als kommerzielle
Infrastrukturen. Das gewagtere zweite
Argument lautet, dass solche Netzwerke
es Geheimdiensten schwerer machen, die
Nutzer abzuhören (siehe Kasten „Interview
mit Elektra Wagenrad“), aber dazu
später mehr.
Freifunker
Einige der Leute, die ein solches Mesh-
Netzwerk betreiben, die Berliner Freifunker
[13], sitzen an einem kühlen Mai-
Abend im Berliner Hackerspace „C-Base“
und beantworten die Fragen von Neulingen
zum Thema. So möchte etwa der
angehende Betreiber eines Hostels seine
Gäste per Mesh mit Internet versorgen.

Tatsächlich scheint diese Art der Mesh-
Nutzung populär zu sein: Verschiedene
WLAN-Router verteilen über mehrere
Etagen den Zugang zum Internet-Gateway.
Laut Mario Behling [14], einem
Freifunker, der in Vietnam lebt, verwenden
dort auch Fünf-Sterne-Hotels mitunter
Mesh-Netzwerke, um den Gästen
einen Internetzugang zu ermöglichen,
ohne Kabel verlegen zu müssen.
Die Berliner Freifunker gehören zu den Pionieren
beim Aufbau solcher Netzwerke,
von ihnen stammten auch die ersten für
Mesh-Router angepassten Firmwareversionen
auf Open-WRT-Basis. Mittlerweile
gibt es Freifunker in vielen deutschen
Städten. Sie arbeiten mal lose organisiert,
mal im Verein. Auf ihren Routern läuft
meist Open WRT, in der Regel mit stadteigenen
Anpassungen.
Bei den Berliner Freifunkern kann sich
jeder Interessierte beteiligen, das Netz
deckt einen großen Teil der Stadt ab und
verfügt zurzeit offiziell über 188 Knoten.
Das größte Netz befindet sich aber in
Hamburg mit rund 450 Knoten. Mitunter
laufen noch Dienste auf Servern im
Netzwerk selbst, zum Beispiel Chatserver
oder Blogs, aber auch News- und
Timeserver.
Während einige Leute das Berliner Netzwerk
über Dritte mitnutzen, können sich
Engagierte in drei Stufen direkt beteiligen
[15], die Starter-Kit, Level 2 und Backbone
heißen. Wer sich einen Router aufs
Fensterbrett stellen möchte, greift zum
Starter-Kit und kann seine Internetverbindung
auch für andere freigeben.
Ist der Stadtteil noch nicht im Netz,
bringt ein Level-2-Unterstützer ihn über
einen Outdoor-Router auf die Karte. Dazu
muss der Router auf einem Balkon oder
Dach stehen und Sichtkontakt mit einem
anderen Freifunk-Router in einem 5-Kilometer-Radius
halten. Das Rückgrat des
Freifunk-Netzes aber sind die Backbones:
Sie bilden ein Netz über den Dächern der
Stadt und funken etwa per Richtfunkverbindung
von Kirchtürmen zu Rathausdächern.
In der Regel, erklärt Bastian von den
Berliner Freifunkern, befinden sich auf
den einzelnen Türmen oder strategisch
wichtigen Dächern zwölf Router. Vier
bauen im 5-GHz-Band Richtfunkstrecken
zu anderen Backbones auf, vier weitere
funken im 2,4-GHz-Frequenzband auf die
umliegenden Straßen und noch einmal
vier tun das Gleiche im 5-GHz-Band.
Mehr Privatsphäre? Na ja
Ob Mesh-Netzwerke allerdings mehr
Schutz vor Geheimdiensten bieten, bezweifeln
selbst die Betreiber. Die darunterliegenden
Layer-2-und-3-Protokolle
(OLSR, Batman und weitere) bieten keine
eigenen Sicherheitsmechanismen an. Relativ
anonym kann bleiben, wer sich als
einfacher Nutzer bei einem vorhandenen
Mesh-Knoten anmeldet und zum Beispiel
über HTTPS im Internet surft.
Wer sich jedoch mit seinen persönlichen
Daten bei einem Dienst anmeldet, muss
sich darauf verlassen, dass die Betreiber
des Dienstes eine sichere SSL-Implementierung
anbieten. Zudem können
andere Nutzer – und im Zweifel auch
ein Geheimdienst – den gleichen Knoten
nutzen, um den Rechner einfacher
anzugreifen.
Ein rechtliches Problem: Wer bei den Berliner
Freifunkern per Starter-Kit netterweise
seinen Internetzugang mit anderen
teilt, würde dank der Störerhaftung für
illegale Downloads der Mitnutzer haften.
Um dieses Problem zu umgehen, bieten
die Berliner Freifunker an, den Router per
VPN mit ihrem Internet-Gateway zu verbinden
[16]. Abmahnungen landen dann
bei den Freifunkern, für die aufgrund ihrer
Rolle als ISP in Sachen Störerhaftung
andere Reglungen gelten.
Letztlich kann ein Anwender den über
Mesh-Netzwerke erreichten Grad an Privatsphäre
jedoch auch über konventio-
Mesh-Netzwerke 07/2014
Titelthema
www.linux-magazin.de
31
Subnetz
Subnetz
Node 2
Internet-Gateway 2
Node 3
Node 1
Internet-Gateway 1
Subnetz
Node 5 / Backbone 2
Node 4 / Backbone 1
Abbildung 1: Ausschnitt eines Mesh-Netzwerks mit fünf Knoten, von denen zwei zugleich als Backbones und zwei als Internet-Gateways fungieren.

Titelthema
www.linux-magazin.de Mesh-Netzwerke 07/2014
32
besseren Internetzugang bieten. Zum
Teil handelt es sich um Community-
Netzwerke, zum Teil rollen kommerzielle
Anbieter Mesh-Netzwerke aus.
In einem Vortrag auf der Internetmesse
Re:publica stellte Mario Behling unter
anderem Guifi.net vor ([17], Abbildung
2). Der katalanische Anbieter betreibt
erstaunliche 25 000 aktive Knoten in einem
riesigen Netzwerk, insgesamt sind
es sogar rund 38 000. Grund für die Popularität
sei die schlechte vorhandene
Infra struktur gewesen. Allerdings hat
die Initiative auch selbst Glasfaserleitungen
sogar in ländlichen Gegenden
verlegt, daher ist das Netz kein reines
Community- und auch kein vollständiges
Mesh-Netzwerk.
In Athen sollen immerhin rund 2500
Nutzer am Athens Wireless Metropolitan
Network hängen ([18], Abbildung
3), das aus Frust über den langsamen
Ausbau der Breitbandinfrastruktur in der
Region entstand. Weitere Mesh-Netze finden
sich etwa in Afrika, Südamerika und
Australien – das Phänomen ist global.
Abbildung 2: Sehr beliebt: Im Guifi.net rund um Barcelona gibt es etwa 25 000 aktive Knoten, wobei es sich
nicht um ein reines Mesh-Netzwerk handelt.
nelle Netzwerke erreichen, etwa über Tor
oder eine anonyme VPN-Nutzung. Daher
dürfte dieses Kriterium für die meisten
Mesh-Nutzer nur eine untergeordnete
Rolle spielen.
Mesh in Groß
Noch populärer als in Deutschland sind
Mesh-Netzwerke in anderen Teilen Europas
und der Welt, weil sie häufig den
Hard- und Software
Wer sich mit Mesh-Netzwerken beschäftigt,
stößt schnell auf ein Buch [19], das
Corinna Eichele, die sich Elektra Wagenrad
nennt, 2007 verfasst hat. Es bietet interessante
Einblicke in die Protokolle und
technischen Hintergründen von Mesh-
Netzwerken, allerdings hat sich seit 2007
einiges getan (siehe „Interview“).
Zum Beispiel in puncto Hardware: So
empfehlen die Berliner Freifunker in ihrem
Wiki [20] eine Reihe von Indoorund
Outdoor-Routern, meist von TP-Link
Interview mit Elektra Wagenrad
Elektra Wagenrad ist Autorin
eines Mesh-Buches und
im Freifunk-Projekt aktiv.
Linux-Magazin: Wie haben
sich Mesh-Netzwerke und
die Freifunk-Bewegung in
den vergangenen zehn Jahren entwickelt?
Elektra Wagenrad: Wir hatten eine Vision, die
darauf gewartet hat, dass wir sie realisieren.
Wir haben mit Routingprotokollen gekämpft,
die nichts taugen, und Treibern, die immer abgeschmiert
sind und die Rechner zum Stillstand
gebracht haben. Davon sind wir jetzt weg. Wir
haben eine ganze Auswahl funktionierender
Routingprotokolle. Auch bessere Treiber haben
wir. Aber es gibt neue Probleme, wo wieder
irgendwas instabil wird. Was die Bedeutung von
Freifunk angeht: Es hat viele Leute inspiriert.
Hier in Deutschland haben wir gerade einen
ordentlichen Zulauf.
Linux-Magazin: Was ist es, das die Bewegung
gerade wieder aufleben lässt?
Elektra Wagenrad: Es gibt eine neue Generation
von jungen Leuten, die eingestiegen sind und
die großen Spaß dran haben. Die machen aus
verschiedenen Gründen mit, also etwa aus sozialem
Engagement oder technischem Interesse.
Die Motivation hat sich geändert. Früher waren
wir die Pioniere, die Technik entwickeln wollten.
Außerdem versorgten wir die weißen Flecken.
Heute wollen zwar immer noch Leute gern die
Netze nutzen, aber die Gründe sind andere,
denn die Breitbandversorgung ist ja relativ gut.
Viele Leute mögen die Idee der Freifunk-Netze.
Außerdem sind einige eher besorgt: Sie wollen
mit diesen Netzen ihre Freiheit verteidigen.
Linux-Magazin: Wie haben sich Freifunk-OLSR
und Batman seit dem Erscheinen deines Buches
weiterentwickelt?
Elektra Wagenrad: Batman Advanced, also das
Layer-2-Protokoll, ist dazugekommen. Technisch
ist das aber ein ziemlicher Spagat. Es geht
darum, dass die Mesh-Router ein Layer-2-Netz
aufbauen, das für die Clients so aussieht, als
wäre alles lokal und alle [Knoten; d. Red.] über
einen physikalischen Switch miteinander verbunden.
Das hat viele technische Implikationen.
Zum Beispiel muss man speziell Sorge dafür
tragen, dass das ARP-Protokoll funktioniert.
Man muss einem solchen Batman-Advanced-
Knoten zudem beibringen, dass, wenn er in seinem
LAN-Segment 100 Geräte hat, er diese 100
MAC-Adressen auch mit dem Rest des Netzes
teilt. Das wirft Skalierungsprobleme auf.
Linux-Magazin: Neben der Skalierbarkeit gab es
ja auch Sorgen bezüglich der Sicherheit. Habt
ihr dafür bereits eine Lösung?
Elektra Wagenrad: Das Protokoll basiert auf
MAC-Adressen. Vor allem mobile Geräte haben
aber eine feste MAC-Adresse, die auch nicht
zufällig neu randomisiert wird. Auf einem Linux-
Gerät kannst du die MAC-Adresse ändern, aber
mit einem normalen Telefon ist das nicht drin,
es sei denn, man hackt sich da rein. Ich sehe
das persönlich nicht so sehr als Problem, aber
natürlich gibt es Leute, die dafür jetzt ein Problembewusstsein
entwickeln. Ich komme von
der technischen Seite und möchte, dass das
Netz funktioniert, und bin nicht in erster Linie
um Privatheit besorgt.
Bedenken gegen die Netzwerke hat es immer
gegeben. Ich warne davor, den Heilsversprechungen
zu glauben, die manche Journalisten
sensationsheischend aufbauschen: Die freien
Netze bringen die Freiheit, verteidigen die
Freiheit – da sollte man keine übertriebenen
Erwartungen wecken. (Jan Rähm)

mit Atheros-Chipsätzen, die inzwischen
recht zuverlässig arbeiten.
Das war nicht immer so: Im Buch widmen
sich zahlreiche Seiten den endlosen
Problemen mit der Hardware und den
Unzulänglichkeiten der Treiber. Einige
Routerhersteller behandeln den Ad-hoc-
Modus noch immer recht stiefmütterlich,
sodass benötigte Features nicht korrekt
funktionieren und es zum Beispiel Probleme
beim Einsatz mit mehreren Adhoc-Partnern
gibt, weil die Hersteller
einzelne Szenarios schlicht nicht testen.
Grundsätzlich lassen sich jedoch alle
Router einsetzen, auf denen das Linuxbasierte
Open WRT läuft.
Die Fähigkeiten eines Mesh-Netzwerks
stehen und fallen jedoch mit den eingesetzten
Protokollen. Klassiker, die noch
häufig zum Einsatz kommen, sind OLSR
und Batman. Die beschreibt Elektra in ihrem
Buch recht ausführlich. Die Spezifikation
für das OLSR-Protokoll (Optimized
Link State Routing) stammt ursprünglich
Abbildung 3: Auch in Athens Wireless Metropolitan Network ballen sich zahlreiche Knoten.
von der französischen Forschungseinrichtung
INRIA und ist als RFC 3626 [21]
spezifiziert.
Hierbei verschicken die Knoten im Mesh-
Netzwerk permanent Hello-Nachrichten
an die anderen Knoten und geben so
die Informationen zur Netzwerktopologie
weiter. Das ist wichtig, weil sich die
Topologie eines Mesh-Netzwerks theoretisch
permanent ändert: Neue Knoten
und Internet-Gateways tauchen auf, vorhandene
wechseln ihren Standort, dadurch
ändern sich Routen.
Eine freie Implementierung des RFC unter
BSD-Lizenz haben die Betreiber von
Olsr.org veröffentlicht. Als die Freifunker
diese 2004 in der Praxis mit 25 Knoten
testeten, stellten sie schnell fest, dass
Mesh-Netzwerke 07/2014
Titelthema
www.linux-magazin.de
33

Titelthema
www.linux-magazin.de Mesh-Netzwerke 07/2014
34
Die Entwickler des Batman-Protokolls
(Better
Approach To Mobile Adbester
ETX-Wert
TTL=1
A
TTL=1
B
D
C
TTL=2
TTL=3
bester
ETX-Wert
TTL=3
TTL=2
E
einige der implementierten Features nicht
wirklich gut funktionierten, namentlich
der Hysterese-Algorithmus und die Multipoint-Relays
[22]. Daher entstand eine
Freifunk-Implementierung von OLSR, die
nicht mehr kompatibel zur der von Olsr.
org war. Während letztere ungeachtet der
Qualität stets nach der kürzesten Route
sucht, haben die Freifunker einen anderen
Ansatz verfolgt.
Danach errechnen die Knoten aus der
Qualität der Verbindungen zu sich selbst
(LQ) und der zu den Nachbarn (NLQ) die
Wahrscheinlichkeit, mit der ein Paket einen
bestimmten Nachbarn erreicht: ETX
= 1/(LQ * NLQ). Liegt der ETX-Wert
(Expected Transmis sion Count) bei 1.0,
geht kein Paket verloren, liegt er bei 4.0,
kommt nur jedes vierte abgeschickte Paket
durch.
Das Freifunk-OLSR errechnet nicht nur
ständig ETX-Werte, sondern feilt darüber
hinaus auch mit Hilfe von Topology Control
Messages (TCM) ständig an topologischen
Karten des Mesh-Netzwerks, die
an alle Knoten gehen.
Dank des Fisheye-Algorithmus flutet
Freifunk-OLSR nicht ständig alle Nodes
mit TCMs, sondern versieht nur jedes
13. Paket mit einer langen TTL (Time to
Live), während alle anderen Pakete nur
ein bis drei Schritte weit kommen. Das
schärft den Blick auf die direkten Nachbarn,
lässt aber weit entfernte Knoten
eher trübe erscheinen (Abbildung 4).
F
Z
entfernter
Knoten
TTL=255
Abbildung 4: Über TCMs mit variabler TTL behält das Freifunk-OLSR-Protokoll
das Netzwerk im Fischauge, ohne zu viel Overhead zu erzeugen.
Über Host Network Announcements
(HNA)
kündigt ein Knoten an,
dass er zugleich als
Gateway für ein Subnetz
dient, dessen Adressen
im Mesh-Netzwerk einmalig
sein müssen. Das
OLSR-Plugin Httpinfo
listet alle HNA-Ankündigungen
unter »http://
localhost:8080« auf.
IP-Adresse, Netzmaske
sowie die Domain-Name-
Server-Ad resse muss der
User aber selbst im Router
eintragen, Elektras
Buch schlüsselt zudem
die zahlreichen Parameter
in der Datei »/etc/
olsrd.conf« auf.
Der Einsatz von OLSR
birgt auch Probleme in sich: Besonders
in großen Netzen mit Hunderten Knoten
dauert die Kalkulation des Topologie-Graphen
mitunter einige Sekunden,
was zu Verzögerungen und anderen Problemen
führt, weil die Routingtabellen
nicht überall auf dem gleichen Stand
sind. Zudem verursacht das Umschalten
zwischen Internet-Gateways aufgrund
der Network Address Translation (NAT)
Probleme.
Der 2013 implementierte Multismart-
Gateway-Mode routet den Traffic der
verschiedenen Internet-
Gateways ohne NAT an
einen zentralen Proxy,
der dann die Antworten
an die Gateways
zurückschickt. Neben
dem höheren Konfigurationsaufwand
entstehen
dadurch allerdings auch
ein Single Point of Failure,
unter Umständen
mehr Kosten sowie ein
Minus an Sicherheit,
denn der Traffic lässt
sich an einem einzigen
Punkt mitschneiden.
Batman
nächster
Nachbar
A
hoc Networking, [23]), zu denen auch
Elektra gehört, lösen das letztgenannte
Problem, indem sie automatisch UDP-
Tunnel zu einem Internet-Gateway aushandeln.
Aber nicht nur das: Batman
senkt auch den Overhead. Nicht alle
Knoten müssen die komplette Topologie
kennen und diese Daten permanent erneuern.
Bei Bedarf visualisiert ein externer
Server diese Topologie.
Das Protokoll überflutet das Netzwerk per
UDP-Broadcast mit so genannten Originator
Messages (OMs), die die Ursprungs-
IP, eine Sequenznummer, eine TTL sowie
die IP des letzten Absenders enthalten –
jedoch keine Zieladresse (Abbildung 5).
Die Pakete sind typischerweise 52 Byte
groß und suchen sich automatisch den
schnellsten Weg durchs Netz.
Angenommen es gibt drei Routen 1, 2
und 3 von Punkt A nach Punkt Z. Gelangen
zum Beispiel die OMs mit der
Ursprungs-IP von Punkt A am schnellsten
über Route 2 zum Punkt Z, weiß
der Mesh-Knoten Z jetzt nicht nur die
IP-Adresse von Punkt A, sondern auch
die des Nachbarn, über den eine Route
dorthin führt. Auch wenn er kurze Zeit
später alle drei Routen kennt, würde er
seine Daten über den schnellsten Nachbarn
auf Route 2 in die Richtung von
Punkt A schicken.
Batman gibt dabei nur bidirektionale
Nachrichten weiter, stellt also sicher,
dass ein Knoten nicht nur sendet, son-
B
D
C
nächster
Nachbar
Abbildung 5: Die Originator Messages (OM) des Batman-Protokolls
enthalten die Ursprungs-IP, die IP des letzten Absenders, einen TTL-Wert
sowie eine Sequenznummer.
F
E
Z

MAC 00:19:00:E0:00:00:02
nächster
Nachbar
A
B
D
C
dern auch empfängt. Knoten, die auf das
Internet zugreifen, können dies zudem
ankündigen.
Batman Advanced
nächster
Nachbar
MAC 00:19:00:E0:00:00:01
MAC 00:19:00:E0:00:00:07
Wer sich die Karte der deutschen Freifunk-Communities
[20] anschaut, entdeckt,
dass einige Netze auch bereits Batman
Advanced (»batman‐adv«) einsetzen.
Im Gegensatz zu OLSR und Batman
verursacht die neue Version [24] weniger
nächster
Nachbar
MAC 00:19:00:E0:00:00:06
OSI-Layer 2 / Link.local
Abbildung 6: In Batman Advanced operieren die Knoten auf OSI-Layer 2,
nutzen virtuelle Switches und identifizieren sich über ARP und Tabellen,
welche die MAC-Adressen enthalten.
F
E
Z
Datenverkehr im Mesh-
Netz und macht auch
sonst einiges anders als
der Vorläufer.
Das Protokoll beruht
zwar auf Batman, operiert
aber dank eines
Kernelmoduls auf dem
OSI-Layer 2 (Abbildung
6). Es tauscht also Routing-Informationen
nicht
über UDP-Pakete aus
und ändert auch keine
Routingtabellen. Vielmehr
verfügen alle Knoten
im Netz über einen
virtuellen Switch-Port,
den eine virtuelle Ethernet-Schnittstelle
(»tap«)
emuliert.
So agiert das komplette
Mesh-Netz wie ein riesiger
verteilter Switch.
Die Daten und Routing-
Informationen tauschen
die Knoten dabei über nackte Ethernet-
Frames aus, während der Übertragung
verlassen die Pakete Layer 2 nicht.
Die Teilnehmer brauchen auch keine
IP-Adressen, denn Batman Advanced
verwendet ARP und Tabellen mit MAC-
Adressen.
Damit lassen sich auf dem übergeordneten
OSI-Layer-3 alle möglichen Protokolle
betreiben und aus der Sicht von Ebene 3
sind alle Nodes im Mesh-Netzwerk nur
einen Hop voneinander entfernt. Über
Bridges kann der Admin nicht vermaschte
Clients (etwa Mobilgeräte) einbinden:
HNA-Nachrichten schicken Listen mit
MAC-Adressen der Geräte aus dem Subnetz
ins Netzwerk, was sogar Roaming
ermöglicht. Da das Routing im Kernelspace
und nicht im Userspace erfolgt,
verursacht Batman Advanced kaum Rechenlast
beim Prozessieren der Pakete.
Battlemesh
Auch wenn die hier vorgestellten Protokolle
in Deutschland, Österreich und
der Schweiz durchaus populär sind, gibt
es noch einige weitere, zu denen unter
anderen BMX, Babel oder Open 802.11s
zählen. Das letztere Protokoll ist eine
Teilspezifikation des IEEE-Standards
802.11, ebenfalls auf Layer 2 verankert
und soll eine offene Implementierung
von 802.11s werden.
In einer löblichen Tradition treffen sich
viele der Betreiber weltweiter Mesh-Netzwerke
einmal im Jahr zum Battlemesh
[25], Version 7 fand Mitte Mai in Leipzig
statt. Der Name ist Programm, denn die
Teilnehmer lassen dabei die verschiedenen
Protokolle in Feldtests gegeneinander
antreten und diskutieren in Talks und
Workshops aktuelle Probleme, etwa den
Umgang mit Störungen im Frequenzband.
Sie besprechen neue Entwicklungen in
Protokollen oder tauschen sich über ihre
Erfahrungen als Freizeit-ISPs aus. Es sieht
so aus, als würde die Evolution der selbst
organisierten Netze weitergehen. n
Mesh-Netzwerke 07/2014
Titelthema
www.linux-magazin.de
35
Infos
[1] Redecentralize.org:
[http:// redecentralize. org]
[2] Ark OS: [https:// arkos. io]
[3] Telehash: [http:// telehash. org]
[4] Mailpile: [https:// www. mailpile. is]
[5] Media Goblin: [http:// mediagoblin. org]
[6] Tor-Projekt: [https:// www. torproject. org]
[7] Bitcoin: [https:// bitcoin. org]
[8] Freedom Box:
[https:// freedomboxfoundation. org]
[9] New York Times zu Mesh-Netzwerken:
[http:// www. nytimes. com/ 2013/ 11/ 14/​
technology/ personaltech/ homemade‐wireless‐networks‐keep‐the‐snoops‐away.
html]
[10] Zeit-Artikel zum Mesh:
[http:// www. zeit. de/ digital/ internet/​
2013‐10/ freifunk‐berlin‐nsa]
[11] Wired zum Mesh:
[http:// www. wired. com/ 2014/ 01/ its‐timeto‐take‐mesh‐networks‐seriously‐andnot‐just‐for‐the‐reasons‐you‐think/]
[12] Manet vs. WMN: [http:// dev. laptop. org/​
~cscott/ 802. 11s/ 80211s‐a5‐bahr. pdf]
[13] Freifunk Berlin: [http:// berlin. freifunk. net]
[14] Marios Blog: [http:// mariobehling. de/​
taxonomy/ term/ 486]
[15] Freifunk-Teilnahme: [http:// berlin. freifunk.​
net/ participate/ overview/]
[16] Freifunk-VPN:
[http:// wiki. freifunk. net/ Vpn03]
[17] Guifi.net:
[http:// guifi. net/ en/ node/ 38392]
[18] Athener Mesh-Netz: [http:// www. awmn.​
net/ content. php? langid=1]
[19] Corinna ,Elektra’ Aichele, „Mesh – Drahtlose
Ad-hoc-Netze: Open Source Press,
2007
[20] Freifunk-Netze: [http:// freifunk. net/​
wie‐mache‐ich‐mit/ community‐finden/]
[21] RFC 3626: [http:// www. rfc‐base. org/ txt/​
rfc‐3626. txt]
[22] Geschichte von OLSR:
[https:// www. open‐mesh. org/ projects/​
open‐mesh/ wiki/ The‐olsr‐story]
[23] Batman-Protokoll (2007):
[http:// downloads. open‐mesh. org/​
batman/ papers/ batman‐status. pdf]
[24] Batman Advanced:
[http:// www. open‐mesh. org/ projects/​
batman‐adv/ wiki]
[25] Battlemesh.org: [http:// battlemesh. org]

Titelthema
www.linux-magazin.de Richtfunk 07/2014
36
Abgelegene Gebäude ans Netz bringen
Funken mit Verstand
Seit vernetzte IT alle betrieblichen Prozesse begleitet, lässt sich für ein abgelegenes Firmengebäude kaum
noch Verwendung finden. Wo Zugangsprovider abwinken und man selbst keinen Graben bis zum Horizont
schaufeln will oder kann, schlägt die Stunde des Richtfunks. Jan Kleinert
n Mit welcher Leistung soll und darf
man senden, um den gewünschten
Datendurchsatz zu erreichen?
In der Praxis arbeiten die meisten Richtfunkstrecken
bidirektional – beide Seiten
sind zugleich Sender und Empfänger.
Fresnelzonen
© Katarzyna Kluczyk, 123RF.com
In den 1990er Jahren hatte die Bedeutung
des kommerziellen Richtfunks deutlich
abgenommen, da kostengünstige Glasfaserverbindungen
vielerorts verfügbar
wurden. Lediglich als Versorgung von
Mobilfunkstationen feierte die elektromagnetische
Punkt-zu-Punkt-Technik eine
kleine Renaissance.
Doch auch jenseits dieser Nische gibt es
Anwendungen für digitale Luftnummern
– das eingangs erwähnte Anbinden abgelegener
Firmenteile in ländlichen Gebieten
gehört dazu, Ferienhäuser oder
Gasthöfe auf Bergen oder Inseln genauso.
Selbst wenn die bislang netzlose Stelle
nur einen Steinwurf weit zum Ausgangpunkt
liegt, kommt manchmal nur Funk
infrage, da vielleicht eine dazwischen
verlaufende Straße oder ein asphaltierter
Platz jegliche privat motivierte Erdhubarbeiten
verhindert.
Selbst wer gewöhnlich in infrastrukturell
gut versorgter Umgebung arbeitet, kann
zu einer Richtfunkstrecke veranlasst sein,
und zwar zu einer temporären: Wenn Firmenevents
oder Verein- oder Volksfeste
irgendwo im Freien stattfinden, kommt
der Strom aus dem Generator oder einem
Lichtmasten – aber woher bitte das breitbandige
Internet? In all diesen Fällen und
noch einigen mehr sollte sich der Admin
der Richtfunktechnk erinnern.
Vorteilhaft sind die niedrigen Betriebskosten
und der schnelle Aufbau. Zwar ist
Richtfunkt anfälliger für Störungen, beispielsweise
durch Starkregen, als Standleitungen.
Er ist aber auch besser entstörbar,
sodass die Gesamtverfügbarkeit
nicht schlechter als die einer Mietleitung
sein muss.
Bei der Auslegung der Funkstrecken sind
ein paar Eckfragen zu klären:
n Mit welchen Frequenzen sollen Sender
und Empfänger arbeiten?
n Welche Antennen eignen sich?
n Wie müssen die Antennen positioniert
sein, damit die Verbindung sicher zu
Stande kommt?
Alle im Richtfunk eingesetzten Antennen
strahlen ihre Leistung nicht linear,
sondern in einem vom Modell abhängigen
Winkel ab. Bei der Ausbreitung
der Wellen vom Sender zum Empfänger
kommt es in bestimmten Abständen zur
Verstärkung oder zur Auslöschung der
effektiven Feldstärke. Diese Bereiche heißen
Fresnelzonen [1].
Die so genannte erste Fresnelzone ist hier
die wichtige, weil über sie der Hauptteil
der Energie übertragen wird. Physikalisch
betrachtet handelt es sich um ein Rotationsellipsoid,
an dessen Brennpunkten
die beiden Antennen stehen.
Die Zone sollte frei von Hindernissen wie
Bäumen oder Häusern sein – so wie in
Abbildung 1. Andernfalls ist die Übertragung
gedämpft oder gar unmöglich. Ist
die erste Fresnelzone zur Hälfte verdeckt,
so beträgt die Zusatzdämpfung an der
Empfangsantenne 6 dB (Dezibel).
Lizenzfreier Richtfunk
Ohne behördliche Spezialgenehmigung
funken darf man nur auf einigen lizenzfreien
Frequenzbändern – die gängigen
sind:
n 2,4 GHz: Wegen der massiven Nutzung
durch WLANs eigentlich nicht
mehr zu empfehlen.
n 5 GHz: Erreichbar sind Full Duplex
100 MBit/​Sekunde und mehr (bis 3

Kilometer) oder 80 MBit/​Sekunde bis
rund 8 Kilometer.
n 24 GHz: 350 MBit/​Sekunde Full Duplex
(bis zu 1 Kilometer) oder 100
MBit/​Sekunde (bis rund 2 Kilometer).
n 60 GHz: 100 MBit bis 1 GBit/​Sekunde
(Distanzen bis zu 1 Kilometer).
Die Sender und Empfänger für 2,4 GHz
und 5 GHz können, müssen aber nicht
auf der gängigen WLAN-Technik beruhen.
Auf Richtfunk-Hardware spezialisierte
Firmen wie Lancom Systems [2]
funken gerne auf 5 GHz, weil das Band
weniger von Haushalts-WLANs frequentiert
ist. Ein weiterer auf Digitalfunk
spezialisierter Anbieter, Meconet [3],
empfiehlt sogar eine andere Outdoor-
Übertragungstechnik als Standard-WLAN
und erreichen damit eine deutlich höhere
Datenübertragungsrate.
Die Entfernung ist letztlich
eine Frage der Dezibel
Lutz Kleemann von Meconet, antwortet
auf die Frage, welche Strecken mit Profimitteln
überbrückbar sind, mit: „Nahezu
jede, kommt darauf an, welcher
Netto-Datendurchsatz gefordert ist.“ Er
rechnet vor, dass bei 5-GHz-Technik und
mit 28-dBi-Antennen die äquivalente isotrope
Sendeleistung (EIRP) an der Sendeantenne
30 dBm beträgt. An der Empfangseite,
wo die Antenne wieder 28 dBi
Gewinn bringt, reichen erfahrungsgemäß
‐90 dBm, um gerade noch einen Link
zu Stande zu bringen Die Differenz, 148
dB, steht für den Übertragungsverlust zur
Verfügung, die so genannte Freiraumdämpfung
(FSL), was ziemlich genau 100
Kilometer Entfernung entspricht.
Braucht man nur die halbe Distanz zu
überbrücken, fällt die FSL 6 dB geringer
aus, womit als moduliertes Signal ‐84
dBm beim Empfänger ankommen, was
für eine stabile und einigermaßen durchsatzstarke
Verbindung reicht. Es versteht
sich von selbst, dass man bei 50 Kilometern
das Ausrichten der Antennen Profis
überlassen sollte.
Wer als kommerzieller Netzbetreiber auftritt,
darf statt mit 1 Watt im 5-GHz-Band
mit 4 Watt (36 dBm) im BFWA-Band
(Broad band Fixed Wireless Access bei
5,8 GHz) arbeiten, könnte nach obiger
Rechnung sogar 200 Kilometer überbrücken.
Bei Kleemanns Firma betreffen die
meisten Kundenanfragen den Bereich
zwischen 100 Meter und 5 Kilometern.
Kleemann salopp über sein Brot-und-Butter-Geschäft:
„Die Technik ist immer die
gleiche, nur die Antenne ändert sich.“
Im nächsten lizenzfrei nutzbaren Bereich,
bei 24 GHz, verhalten sich die Funkwellen
schon fast wie Licht. Das verkürzt einerseits
die maximale Reichweite – schon
wegen der Erdkrümmung. Andererseits
sind die Datenübertragungsraten beachtlich:
Laut Kleemann 920 MBit/Sekunde
auf 1 Kilometer und 200 MBit/Sekunde
bei 4 Kliometer.
Großes Antennenangebot
Für kurze Entfernungen von Haus zu
Haus und wenn das bereitstehende Budget
klein ist, können Anwender Experimente
anstellen mit normalen 2,4-GHz-
WLAN-Routern und auf Sender- und
Empfängerseite Flach-, Helix-, Gitterspiegel-,
Vollspiegel-, Yagi-, Sektor- oder
Patch-Antennen für den Außeneinsatz
anstellen (Abbildung 2 und 3). Es gibt
Richtfunk 07/2014
Rubrik
www.linux-magazin.de
37
© Jcmcclurg, Wikipedia
Abbildung 1: Erste Fresnelzone über dem hügeligen Gelände einer Richtfunkstrecke.

Titelthema
www.linux-magazin.de Richtfunk 07/2014
38
© logilink.de
Abbildung 2: Ein Beispiel für eine einfache Gitterspiegel-Antenne ist das Modell
Logilink WL 0097 für rund 60 Euro.
Abbildung 3: Bei Meconet kostet das kleinste System, es trägt den Namen RB/
SXT, pro Seite 44 Euro, für das passende Mountingkit kommen rund 8 Euro hinzu.
auch Modelle, die gleich mit einem wassergeschützten
Routerleergehäuse versehen
sind. Den Router nah an der Antenne
zu haben, ist von Vorteil, weil die
Dämpfungsverluste des Antennenkabels
niedriger ausfallen.
Solche Amateurtechnik findet man überall
im Internet, die Kosten liegen bei 50
bis 100 Euro pro Antenne. Daneben hat
sich eine Antennen-Selbstbauszene entwickelt,
die mit Teilen aus dem Baumarkt
oder gar Alltagsgegenständen individuelle
Strahler schrauben und löten. Wirtschaftlich
und technisch herausragend ist
das natürlich nicht, gibt der Sache aber
einen kultig-nerdigen Touch.
Optischer Richt-„Funk“
Free-Space Optics ist eine Alternative zu
Richtfunk per elektromagnetischen Wellen.
Die meist mit Laser arbeitenden Systeme
reichen bis zu einigen Kilometern weit. Dank
der Übertragung via Laser schaffen solche
Systeme bei kommerzieller Auslegung aber
höhere Datenraten – STM-16 beispielsweise
bis zu 2,5 GBit/​Sekunde.
Andererseits reagiert der Infrarot-Laserstrahl
relativ empfindlich auf Luftflimmern und
Wettereinflüsse, Umweltverschmutzung und
Rauch, Umgebungslicht und Abschattung. Da
ein Laserstrahl sehr schmal ist, werden sogar
Bewegungen, die das Gebäude vollführt, an
dem der Sender befestigt ist, zum Problem.
Bei diesen vergleichsweise kurzen Entfernungen
gelingt das Ausrichten der
Antennen per Hand noch ganz gut, da
die Gegenstelle mit bloßen Auge stets gut
erkennbar ist. Zum Blitzschutz, den man
Outdoor nicht unbeachtet lassen sollte,
macht der VDE in Deutschland detaillierte
Vorschriften. In der Praxis wichtig
ist, dass die Antennen und auch die Elektronik(!)
vernünftig geerdet sind.
Router mit Ethernet
Bei den Wireless-Chipsätzen schwört
Lutz Kleemann von Meconet auf Atheros:
„Er ist für uns der Beste, was Stabilität,
Zusatzfeatures und vor allem Empfangsempfindlichkeit
angeht.“ Wegen der
Atheros-Chips läuft in den Geräten seiner
Firma Router OS vom Mikrotik [4], ein
gekapseltes, zum Teil proprietäres Linux.
Kleemann: „Weil wir dann kein 802.11
mehr machen, sondern eigene Outdoor-
Protokolle mit genialer QoS verwenden.
Der Treiber und das System bieten auch
deutlich mehr Wireless-Features als alles
sonst auf dem Markt.“
Selbst die Frage, ob es obligatorisch sei,
ein verschlüsseltes VPN über die Distanz
zu schicken, damit niemand die Kommunikation
abhört, bringt Kleemann nicht
vom Thema Chipsätze weg: „VPN? Nein,
warum?! Moderne WLAN-Interfaces machen
AES 128 in der Hardware selbst.
Wie soll ich 450 MBit/​Sekunde brutto,
also circa 330 MBit/​Sekunde netto in
Software verschlüsseln?“
Egal, ob Profi- oder Amateurtechnik: Die
meisten Router setzen die übertragenen
Daten auf Ethernet um. Nur einige Spezialsysteme
besitzen zum Beispiel E1-
Schnittstellen, um zwei klassische Telefonanlagen
ohne Umweg über TCP/​IP
miteinander zu verbinden.
Kleiner Schluss-Spurt
Steht die Richtfunkstrecke mit zufriedenstellender
Geschwindigkeit, bleibt dank
Standard-Ethernet für den Admin wenig
zu tun. Er wird die Strecke in der Regel
als Bridge konfigurieren und bekommt
alle Hosts im nunmehr nur noch geografisch
abgelegenen Gebäude topologisch
in sein Netz gestellt.
n
Infos
[1] Fresnelzonen:
[http:// de. wikipedia. org/ wiki/ Fresnelzone]
[2] Lancom Systems: [http:// www. lancomsystems.
de/ loesungen/ wireless‐lan/​
wlan‐funkstrecken/]
[3] Meconet: [http:// www. meconet. de]
[4] Router OS:
[http:// wiki. mikrotik. com/ wiki/ Manual:TOC]

In eigener Sache: DELUG-DVD
Kali, ERP, OSSMC-Videos, Kubuntu
Einführung 07/2014 12/2010
Software
Auch diesen Monat bekommen die DELUG-Käufer die doppelte Datenmenge zum einfachen Preis: Von der einen
Seite der DVD bootet ein exklusiv erweitertes Kali Linux, auf der anderen gibt’s alle Videos von der OSSMC 2014,
ein ERP-Paket mit virtueller Maschine, Dokumentation und Video von Kivitendo und vieles mehr. Markus Feilner
www.linux-magazin.de
41
Inhalt
42 Bitparade
Drei Enterprise-Ressource-Planning-
Manager im Vergleich.
50 Portia
Screengrabbing mit dem Python-Tool.
54 Baloo
Der neue Suchdienst für KDE will die
Probleme von Nepomuk vergessen
machen.
58 Tooltipps
Im Kurztest: Checkit 0.2.0, Ddpt 0.94,
Firejail 0.9.4, Gpgpwd 0.4, Ocserv 0.3.4,
Webalizer 2.23.
Neben einem normalen Linux-Magazin
ohne Datenträger gibt es die DELUG-Ausgabe
mit Monats-DVD, bei der die Redaktion
den Datenträger nach einem speziellen
Konzept zusammenstellt: In einer Art
modularem System enthält er Programme
und Tools, die in der jeweiligen Magazin-Ausgabe
getestet und besprochen
werden. Zudem gibt es nicht im Heft
abgehandelte Software, die die Redak-
tion besonders empfiehlt,
alles gebündelt unter einer
HTML-Oberfläche.
Seite A: Exklusives
Kali Linux
Von Seite A der-DVD bootet
die 64-Bit-Ausgabe von
Kali Linux, der Pentesting-
Distribution. Sie ist die
Nachfolgerin von Backtrack
Linux, beruht auf
Debian und bringt viele
Securitytools mit.
Das Linux-Magazin hat
der jüngsten Release 1.0.6
ein Update verpasst, um
die Exploits für den Heartbleed-Bug
in Metasploit 4.9.2 zu integrieren
(siehe „Insecurity Bulletin“ in diesem
Heft). Daneben sind auch Wireshark
1.10.2, Burpsuite Free Edition 1.6, Zed
Attack Proxy 2.3 und Forensiktools wie
Bulk_extractor 1.3 und Sleuthkit 3.2.3 an
Bord (Abbildung 1).
Abbildung 1: Exklusiv beim Linux-Magazin: Kali 1.0.6 mit Metasploit 4.9.2.
mit Kivitendo 3.1 (die Software selbst
liegt ebenfalls auf der DVD), ein Einsteigertutorial
ist in der virtuellen Maschine
verfügbar. Damit nicht genug, ebenfalls
im Bundle steckt noch ein kostenloser
ERP-Artikel aus der Fachzeitschrift „IT
im Mittelstand“.
Abbildung 2: Eine virtuelle Maschine mit Demodaten, viel Dokumentation,
einem Video und diversen Howtos - dieses Paket des ERP Kivitendo gibt es
nur auf der DELUG-DVD.
ERP-Bundle
Wer die Silberscheibe
umdreht und mit
dem Browser darauf
zugreift, landet
im HTML-Menü mit
zahlreichen weiteren
exklusiven Inhalten.
Gleich als Erstes
sticht dort das ERP-
Bundle heraus, das
der Hersteller des
OSS-Werkzeugs Kivitendo
geschnürt hat
(Abbildung 2). In der
VM bootet Debian 7
Baloo und Kubuntu
In KDE gab es immer wieder Ärger um
den Suchdienst Nepomuk, deshalb bringt
KDE 4.13 erstmals den Nachfolger Baloo,
der alles besser machen soll. Auf der
DELUG-DVD finden sich sowohl Kubuntu
14.04 (32 und 64 Bit) mit Baloo als Standardsuchmaschine
(passend zum Artikel
in diesem Magazin) wie auch der Quelltext
der aktuellen Baloo-Version.
Wem das alles nicht reicht, der schaut
sich knapp acht Stunden Videos von der
„Open Source System Management“ an,
vertieft sich in Software zu den Artikeln
dieses Heftes oder spielt mit Pidora, dem
Fedora für den Raspberry Pi. n

Software
www.linux-magazin.de Bitparade 07/2014
42
Drei ERP-Systeme im Test
Verflixte Verwalter
Einkauf, Produktion, Verkauf, Zahlungswesen und Buchhaltung – um komplexe Unternehmensabläufe zu organisieren
und Prozesse zu optimieren, setzen auch kleine Händler gerne ERP- oder Warenwirtschaftssysteme
ein. Die Bitparade testet zwei Programme für den eigenen Server und eine Cloudlösung. Katja Flinzner, Heike Jurzik
© Alphaspirit, 123RF
Ob Händler, Handwerker oder Dienstleister
– wer ein Unternehmen betreibt, der
hat es mit komplexen Prozessen zu tun.
Von Wareneinkauf und Lieferantenverwaltung
über Bestellabwicklung und Versand
bis hin zu Zahlungs- und Mahnverfahren
greifen zahlreiche Einzelaspekte
wie viele kleine Zahnrädchen ineinander.
Kommt zum reinen Ein- und Verkauf
noch die Produktion hinzu, bietet ein
Unternehmen seine Waren oder Leistungen
auf mehreren Kanälen an oder will es
schlicht die Arbeitsschritte der Mitarbeiter
koordinieren, nehmen die täglich zu
bewältigenden Abläufe unübersichtliche
Ausmaße an.
Wo gängige Shopsysteme an ihre Grenzen
stoßen, übernehmen ERP- oder Warenwirtschaftssysteme,
die neben reinen
Stammdaten auch die Lagerbestände
verwalten und Bestellprozesse strukturiert
abbilden. Am Markt tummeln sich
unterschiedliche Lösungen für diverse
Betriebssysteme und Plattformen. Geringste
Abhängigkeit und größte Flexibilität
versprechen Web-basierte Lösungen,
von denen die Bitparade drei vorstellt. Im
Test treten Kivitendo [1] und Wawision
[2] für den eigenen Server gegen den
Clouddienst Actindo [3] an.
Die ersten beiden Kandidaten sollten
auf einem typischen LAMP-Server mit
Debian 7.4 zeigen, wie komfortabel die
Einrichtung ist. Die Tester schauten sich
außerdem die Artikelverwaltung, die Bestellabwicklung,
die Buchhaltungs- und
Teamfunktionen an und prüften, wie gut
die Anbindung an externe Shopsysteme
und Marktplätze gelingt.
E Kivitendo
Der erste Testkandidat hieß ursprünglich
Lx-Office; seit 2012 lautet der Name Kivitendo
[1]. Hinter dieser Warenwirtschaftsund
Finanzbuchhaltungs-Software steht
die Bonner Firma Richardson & Büren
GmbH. Das unter der GPL veröffentlichte
Programm ist kostenlos. Zudem bietet
der Hersteller mehrere kostenpflichtige
Supportpakete an, von der einfachen Beratung
(90 Euro pro Stunde) über eine
Vollwartung (2000 Euro monatlich), eine
Projekt-Flatrate (6000 Euro monatlich)
bis hin zum Hosting eines eigenen Kivitendo-Servers
(ab 43 Euro pro Monat).
Die Homepage beschreibt die enthaltenen
Leistungen im Detail.
Die Tester installierten Version 3.1.0 vom
Februar 2014, die neben Apache auch
PostgreSQL sowie diverse Perl-Pakete
voraussetzt. Die von der Homepage aus
verlinkte Installationsanleitung listet alle
benötigten Komponenten auf. Alternativ
rufen Administratoren »./scripts/installation_check.pl«
auf, welches das eigene
System auf Vollständigkeit überprüft:
Checking Required Modules:
Looking for parent .................. 0.225
Looking for Archive::Zip 1.16 ........ 1.30
Looking for Clone .................... 0.31
Looking for Config::Std.................0.9
...
Result:
All .................................... OK
Danach erzeugt der Benutzer im Kivitendo-Verzeichnis
einen neuen Ordner
namens »webdav« und passt die Benutzer-
und Gruppenzugehörigkeit der
gesamten Verzeichnisstruktur an. Auf
ERP-Systeme
DELUG-DVD
Auf der DELUG-DVD dieses
Magazins befinden sich die getesteten Programme
Kivitendo (Version 3.1.0 vom Februar
2014) und Wawision (Version 2.3.1552 vom 21.
April 2014). Außerdem enthält der Datenträger
ein Kivitendo-Tutorial, einen Videovortrag
und eine vom Hersteller maßgeschneiderte
virtuelle Maschine mit Kivitendo 3.1.

dem Debian-Testrechner gehört alles
dem Apache-User beziehungsweise der
‐Gruppe »www‐data«. Danach kopiert
der Admin die Vorlage, um eine Einrichtungsdatei
zu erzeugen:
cp config/kivitendo.conf.default config/U
kivitendo.conf
Er passt sie danach im Texteditor an eigene
Bedürfnisse an. Das sehr ausführliche
und gut geschriebene Handbuch
hilft bei allen Fragen hierzu weiter und
unterstützt den Admin auch dabei, eine
PostgreSQL-Datenbank, einen DB-Cluster
im UTF-8-Encoding, einen Benutzer und
ein Kennwort für die Datenbank anzulegen.
Danach kann er sich als Benutzer
»admin« mit dem in der Datei »kivitendo.
conf« im Klartext hinterlegten Passwort
am Webinterface anmelden.
Umwege
Kivitendo bietet ein ausgeklügeltes Berechtigungssystem.
Der Verwalter erzeugt
zunächst über »Benutzer, Mandanten
und Benutzergruppen« einen oder mehrere
unprivilegierte Accounts für die tägliche
Arbeit. Über Checkboxen definiert
er ganz genau, auf welche Funktionen
ein Anwender Zugriff hat (siehe Abbildung
1). Wie im Handbuch beschrieben,
legt er außerdem Mandanten und Gruppen
an. Danach geht es über »System |
Zum Benutzerlogin« zur Anmeldemaske
zurück, und der Mitarbeiter kann sich
einloggen.
Neben der großen Kiwi auf dem Startbildschirm
stehen ein paar grundlegende
Systeminformationen, über das Menü
am oberen Rand erreicht der Nutzer alle
Funktionen. Unter »System« findet er die
Einstellungen zu Konten, Artikeln, Preisen,
Zahlungs- und Lieferbedingungen.
Der nächste Schritt sollte zur Abteilung
»Stammdaten« führen. Hier erfasst er
Kunden und Lieferanten ebenso wie Waren,
Dienstleistungen, Erzeugnisse oder
Projekte. Etwas gewöhnungsbedürftig
ist allerdings, dass er zum Bearbeiten
vorhandener Daten den Menüpunkt »Berichte«
öffnen und die gewünschte Rubrik
auswählen muss.
Kivitendo verknüpft einige Arbeitsschritte
miteinander. Manchmal sind die Optionen
jedoch so willkürlich angeordnet,
dass es schwer ist, sich einen schnellen
Überblick zu verschaffen. So kann der Benutzer
aus der Kundenmaske heraus zum
Beispiel »Speichern und Auftrag erfassen«
oder »Speichern und Rechnung erfassen«
wählen und die Kundendaten direkt in
den entsprechenden Dialog übernehmen
(siehe Abbildung 2). Das Anlegen von
Angeboten, Aufträgen, Lieferscheinen,
Rechnungen und Gutschriften erfolgt
alternativ über die entsprechenden Einträge
unter »Verkauf«.
Ein Dropdown-Menü zeigt vorhandene
Kunden an. Das Übernehmen von Artikelstammdaten
ist jedoch nur über einen
kleinen Umweg möglich: Gibt der Anwender
einen Teil des Namens oder der
Nummer eines Artikels ins entsprechende
Feld ein und klickt dann auf »Erneuern«,
so zeigt das ERP-System alle passenden
Datensätze in einer Liste an.
Ähnlich sehen die Prozesse im Einkaufsbereich
aus. Hier erfasst die Software
Preisanfragen, Lieferantenaufträge, Lieferscheine
und Einkaufsrechnungen. Die
Bearbeitungsschritte gehen teilweise ineinander
über. Im Workflow »Preisanfrage«
kann der Benutzer die Anfrage beispielsweise
in einen Lieferantenauftrag oder in
eine Rechnung überführen.
Zu Papier
Die verschiedenen Dokumente im Rahmen
der Lieferanten- oder Kundenkommunikation
speichert Kivitendo wahlweise
im PDF-, Postscript-, HTML- oder Open-
Document-Format. Alternativ verschickt
es die Schriftstücke als Mailanhang. Für
Abbildung 1: Der Kivitendo-Administrator weist den
Benutzergruppen gezielt Rechte zu.
Bitparade 07/2014
Software
www.linux-magazin.de
43

Software
www.linux-magazin.de Bitparade 07/2014
44
Abbildung 2: Den Dialog zum Erfassen von Rechnungen erreichen Kivitendo-Anwender entweder über das
Menü »Verkauf« oder direkt aus der Kundenmaske heraus.
den PDF-Druck nutzt das Programm im
Hintergrund das Textsatzsystem Latex.
Wer hier Fehlermeldungen über fehlende
Komponenten erhält, der sollte auf dem
Server das bereits erwähnte Skript mit
den Parametern »‐lv« befragen, welche
Latex-Pakete fehlen:
./scripts/installation_check.pl ‐lv
Das nachträgliche Bearbeiten der Dokumente
gelang im Test nur eingeschränkt.
Lediglich Aufträge waren über die Berichtsliste
modifizierbar. Nutzer dürfen
mehrere Kundenaufträge auswählen und
sie damit zusammenfassen.
Angebote und Rechnungen sowie Preisanfragen
und Lieferantenaufträge konnten
die Tester im Nachhinein nicht mehr
verändern, obwohl in der Mandantenkonfiguration
für Rechnungen die entsprechende
Option gesetzt war. Ähnliches
galt für Lieferscheine: Diese wandeln die
Berichtslisten immerhin in Rechnungen
um. Praktisch ist die Wiedervorlagefunktion,
welche die Dokumente zu einem
selbst definierten Zeitpunkt einem bestimmten
Mitarbeiter erneut unterbreitet.
Das hilft dabei, Angebote oder Preisanfragen
zu verfolgen.
Zahlen und Fakten
Nachdem der Benutzer über »System |
Lager« Plätze für seine Waren definiert
hat, verbucht das ERP-System auch die
Lagerbewegungen. Dafür sucht der Mit-
arbeiter nach den entsprechenden Artikeln,
weist ihnen Zielort und Platz zu
und hält die Chargennummer und den
EAN-Code fest. Unterhalb des Formulars
zeigt Kivitendo die letzten zehn Lagertransaktionen
und Bewegungen für den
ausgewählten Artikel an, was die Zuordnung
erleichtert. Auch das Umsortieren
und die Entnahme von Waren bildet die
Software ganz ähnlich ab. Das Einlagern
von Erzeugnissen erfolgt über einen separaten
Menüpunkt.
Das Herz von Kivitendo ist die Buchhaltung.
Anwender können im System
angelegte Rechnungen direkt buchen. Alternativ
erfassen sie Vorgänge über »Dialogbuchen«,
»Debitorenbuchung« oder
»Kreditorenbuchung« aus dem Menü
»Finanzbuchhaltung«. Vorher legen sie
über »System | Mandantenkonfiguration«
Standardkonten fest, wählen die
Währung, eventuelle Wechselkurse, die
Versteuerungsart (Ist- oder Soll-Versteuerung)
und so weiter.
Außerdem ist eine automatisierte Datev-
Prüfung möglich. Die für Handel, Banken
und Versicherungen gängigsten Musterkontenrahmen
SKR03 und SKR04 sind
bereits angelegt, Nutzer dürfen sie laut
Hersteller nach eigenem Gusto anpassen.
Die Tester konnten jedoch keine Auswahlmöglichkeit
zwischen den beiden
Kontenrahmen finden. Die Funktionen,
um neue Buchungskonten anzulegen und
vorhandene zu bearbeiten, stecken im
Menü »System | Kontenübersicht«.
Sehr ausführlich fällt auch der buchhalterische
Berichtsteil von Kivitendo aus.
Anwender können außer einer Kontenübersicht
auch Summen- und Salden-Listen
aufrufen und erhalten Unterstützung
bei Gewinn- und Verlustrechnung, der
betriebswirtschaftlichen Auswertung, der
Umsatzsteuervoranmeldung und bei der
Bilanz. Letztere entspricht aber nicht den
Vorgaben des deutschen Handelsgesetzbuches,
sondern orientiert sich am angloamerikanischen
Modell und hat damit
eher informativen Charakter.
Den Steuerberater ersetzt die Software
also nicht, erleichtert aber dank des integrierten
Datev-Exports die Zusammenarbeit
mit diesem beim Jahresabschluss.
Wer gerne vorher informiert ist, der dürfte
sich über die monatlichen Auflistungen
zu Angebotssummen, Aufträgen, Rechnungen,
Preisanfragen und Einkaufsrechnungen
freuen.
Im Menü »Zahlungsverkehr« speichern
Benutzer Ein- und Ausgänge von Zahlungen
per Hand. Ein automatisiertes Erfassen
über ein angebundenes Bankkonto,
wie es Wawision bietet, fehlt Kivitendo.
Dafür ist es aber möglich, Bankeinzugsund
Überweisungsaufträge mittels Sepa-
XML-Exportdateien vorzubereiten. Das
ERP-System enthält anders als die anderen
beiden Kandidaten keine Backupfunktion.
Administratoren umgehen das
Problem, indem sie auf dem Server mit
der Shell per
sudo ‐u postgres pg_dumpall > kivitendo.dump
alle Kivitendo-Datenbanken sichern. Der
Befehl
sudo ‐u postgres psql ‐f kivitendo.dump U
postgres
stellt sie wieder her. Diese Herangehensweise
ist auch Mittel der Wahl, wenn
die Installation zu einem anderen Server
umziehen soll.
E Wawision
Die Firma Embedded Projects GmbH [4]
entwickelte Wawision [2] ursprünglich
als Lösung für die eigenen Geschäftsprozesse.
Zahlreiche Kundenanfragen motivierten
die Augsburger Programmierer
dazu, die Software auch für die Öffentlichkeit
bereitzustellen. Sie steht unter
der AGPL und ist in der Basisvariante

kostenlos. Zudem bietet der Hersteller
zwei Kaufversionen an. Die Enterprise-
Variante gibt es für rund 1400 Euro. Sie
enthält Support bei der Einrichtung, ein
Jahr lang Updates, Module für die Buchhaltung,
den Zahlungseingang und Autoversand
sowie ein Ticketsystem.
Die Premium-Ausgabe (Preise auf Anfrage)
enthält zusätzliche Module, einen
Entwicklerzugang inklusive Versionsverwaltung
und sie entfernt auf Wunsch den
Namen Wawision aus den sichtbaren
Oberflächen. Die einfache Installation auf
einem Kundenserver schlägt einmalig mit
rund 240 Euro zu Buche. Eine Anbindung
von Shopware oder anderer Onlineshop-
Systeme ist möglich; Preise erfragen Interessierte
ebenfalls beim Hersteller.
Bitparade 07/2014
Software
www.linux-magazin.de
45
Große Auswahl
Der zweite Kandidat versteht sich als
ERP-System, das mehrere Vertriebssatelliten
zentral bündelt und dabei alle Prozesse
abdeckt, die in einem Unternehmen
anfallen. Das ist ein ehrgeiziges Ziel – die
Tester wollten zunächst wissen, wie sich
die kostenlose Version schlägt und ob sie
die typischen Prozesse von KMUs standardisieren
und kanalisieren kann. Sie
schauten sich die Version 2.3.1552 vom
April 2014 an. Darüber hinaus warfen sie
einen kurzen Blick auf die kostenpflichtige
Enterprise-Version, um zu begutachten,
was diese zusätzlich leistet.
Die Installation auf dem eigenen Server
erfordert ein typisches LAMP-System
mit PHP 5 und MySQL. Zudem benötigt
die Software die Pakete »php5‐curl«,
»php5‐imap«, »php5‐cli« und »cron«.
Nach dem Auspacken des Tar.gz-Archivs
passen Anwender gegebenenfalls Benutzer-
und Gruppenzugehörigkeit des
Verzeichnisses »wawision_oss_testing«
an. Unter Debian ordnen sie alles dem
Systembenutzer »www‐data« zu. Danach
wechseln sie nach »wawision_oss_testing«
und stellen sicher, dass der Ordner
»conf« Schreibrechte hat.
Aus Sicherheitsgründen sollten Admins
in der Apache-Konfiguration den Document-Root-Pfad
auf »wawision/www«
setzen, damit sensible Daten aus den
Verzeichnissen »wawision/userdata«
und »wawision/conf« nicht durch eine
fehlerhafte ».htaccess«-Datei online stehen.
Mit der »mysql«-Shell oder einem
Abbildung 3: Per Mausklick vergeben Wawision-Admins gezielt Rechte in den einzelnen Abteilungen. Die
grauen Schaltflächen sind deaktiviert, die blauen freigeschaltet.
anderen Werkzeug erzeugen Benutzer
eine leere Datenbank und legen für diese
unbedingt einen Benutzernamen und ein
Passwort fest. Anschließend öffnen sie
»www/setup/setup.php« im Browser und
folgen den Anweisungen. Nach erfolgreicher
Installation sollten Anwender aus
Sicherheitsgründen den Ordner »setup«
löschen. Sie können sich nun mit dem
Benutzernamen »admin« und dem Passwort
»admin« anmelden.
Auf den ersten Blick präsentiert sich Wawision
übersichtlich und aufgeräumt.
Dazu trägt auch das Berechtigungssystem
bei, das dafür sorgt, dass jeder im
Dashboard nur die Reiter sieht, die der
Verwalter für ihn freigeschaltet hat. Das
Hauptmenü auf der linken Seite ist für
alle jederzeit sichtbar.
In der Abteilung »Administration | Einstellungen
| Benutzer« erzeugen Admins
neue Accounts, bearbeiten und löschen
vorhandene. Über den Reiter »Rechte«
weisen sie per Mausklick auf die Schaltflächen
ganz gezielt Freigaben auf einzelne
Wawision-Komponenten zu (siehe
Abbildung 3). Alternativ erreichen sie
über »Vorlagen« die Templates »Mitarbeiter«,
»Verwalter«, »Vollzugriff« und
»Admin«, die automatisch bestimmte Befugnisse
zuweisen.
Um alle Möglichkeiten auszureizen, sollten
Anwender allerdings viel Zeit einplanen,
denn nicht immer ist das Ineinandergreifen
der zahlreichen Einzelmodule
offensichtlich. Damit steht die Benutzerund
Rechteverwaltung beispielhaft für die
Grundproblematik von Wawision: Das
umfangreiche System kann sehr viel –
man muss sich aber gut damit auskennen
und viel experimentieren, um alles fehlerfrei
zum Laufen zu bringen. Die vielen
Optionen und Felder ermöglichen zwar
eine sehr individuelle Feinabstimmung,
sind aber häufig eher knapp betitelt und
deshalb nicht selbsterklärend.
Das Wawision-Handbuch und die Videotutorials
beschreiben nur kleine Ausschnitte
des immensen Funktionsumfangs.
Hier sollte der Hersteller nachlegen
und eine ausführliche Anleitung anbieten.
Derzeit kommen Neueinsteiger ohne
Nachfragen beim freundlichen Support
kaum ans Ziel.
Angebot und Nachfrage
Ein typischer Workflow bei Wawision
beginnt mit dem Erfassen der Adressen.
Dabei spielt es keine Rolle, ob der Benutzer
zuerst Mitarbeiter, Kunden oder Lieferanten
im System anlegt – alle Optionen
sind unter dem Menüpunkt »Stammdaten
| Adressen« gebündelt. Da Wawision
die Rollen erst nach dem Speichern zuweist,
ist das zunächst verwirrend. Unter
»Stammdaten« versammelt das ERP-
System auch die »Artikel«. Die Software
unterscheidet dabei zwischen Lagerartikeln
und Porto, behandelt also auch die

Software
www.linux-magazin.de Bitparade 07/2014
46
Abbildung 4: Wawision vervollständigt die Artikelnamen automatisch und klappt ein Dropdown-Menü mit im
System gespeicherten Produkten aus. So sparen Benutzer Tipparbeit.
verschiedenen Versandkostensätze als
Artikel. Beim Eintragen der Artikel hilft
ein Assistent.
Alternativ geben Benutzer die Daten von
Hand ein. Neben etlichen Checkboxen
zum Anklicken finden sie hier auch
Felder für eigene Beschreibungen und
Texte. So nimmt das ERP-System neben
Standardinformationen zu Hersteller,
Lieferant, Gewicht oder Mindestbestellmenge
auch Produktbeschreibungen auf
Deutsch und Englisch entgegen. Optional
tragen Anwender Katalogtexte ein, die
das System in der Enterprise-Version über
»Marketing | Katalog« als PDF-Dokument
bereitstellt. Einen Einfluss auf das Layout
haben sie nicht.
Geschäftseröffnung
Nutzer dürfen Artikel einem oder mehreren
Shops zuordnen und Warengruppen,
Varianten und individuelle Lieferzeiten
definieren. Über weitere Reiter legen sie
Einkaufspreise und ‐konditionen sowie
Verkaufspreise fest. Zusätzlich bietet Wawision
an, externe Dateien wie Bilder,
Datenblätter und Ähnliches zu Artikeln
hochzuladen. Die Software hält alle mit
dem Produkt verknüpften Bewegungen
fest und bietet Informationen auf den
Reitern »Statistik«, »Bestellungen« und
»Aufträge« sowie im Menü »Lager«, das
Anwender in der oberen Reihe im Dashboard
finden. Wer mehrere Vertriebskanäle
oder Produktionssparten voneinander
trennen möchte, der verwaltet diese
unter »Stammdaten | Projekte«.
Nachdem der Anwender die Lieferanten,
Kunden und Artikel im System gespeichert
hat, kann er die ersten Geschäftsbewegungen
abbilden. Gut gefällt der prozessuale
Ansatz von Wawision: Benutzer
ckung und eventuelle Annahmekosten,
bevor die Lieferung eine Eingangsnummer
erhält, die sie auf dem Paket vermerken
können. In den folgenden Schritten
können Anwender die Sendung öffnen,
die Inhalte verarbeiten und auf die entsprechenden
Lagerplätze verteilen, die
sie zuvor in Wawision über das Menü
»Lager« angelegt haben. Die Software
greift wiederum komfortabel auf vorhandene
Bestelldaten zurück.
Ähnlich gut organisiert verläuft der Verkaufsprozess.
Der Benutzer kann alle
klassischen Dokumente (etwa Angebot,
Auftrag, Rechnung, Lieferschein oder
Gutschrift) direkt aus den Kundendaten
heraus oder auch separat anstoßen und
nacheinander abarbeiten. Ein Angebot
führt er so etwa als Auftrag weiter, einen
Auftrag überführt er in eine Rechnung
oder einen Lieferschein, aus einer
Rechnung wird eine Gutschrift. Alle diese
Dokumente verschickt er mit individuellen
Anschreiben direkt aus dem System
heraus per E-Mail oder druckt sie für
Brief- oder Faxversand aus.
Briefköpfe und Textvorlagen gestalten
Verwalter über »Administration | Einstellungen«,
und Benutzer dürfen während
des Bearbeitens eventuelle Textänderungen
vornehmen. Ein zusätzlich erhältliches
Modul der Kaufversion rüstet die
Zahlungsabwicklung mit Prozessen zum
Mahnwesen nach. Eine Autoversand-
Funktion bietet Unterstützung beim Packen
und Verschicken verkaufter Artikel.
In der Open-Source-Variante klappt das
jedoch nur sehr eingeschränkt.
Wer auf dieses Feature Wert legt, der sollte
sich die Enterprise-Variante ansehen, in
der auch die Bereiche »Buchhaltung«
und »Marketing« deutlich umfangreicher
ausfallen. Ersterer erhält in der kostenpflichtigen
Version zusätzliche Module
für Zahlungseingänge, Verbindlichkeiten,
Arbeitsnachweise und Lastschriften, der
zweite wartet außerdem mit der erwähnten
Katalog-Option und einem Modul für
Partnerprogramme auf.
In der Enterprise-Ausgabe erfassen Anwender
unter »Finanzbuchhaltung« über
die im System bereits hinterlegten Rechnungen
hinausgehende Buchungen. Die
vollständige Buchhaltung exportieren
sie dann im CSV-Format etwa für Datev.
Auch den Einkaufsbereich hat der Hersteller
ergänzt. Zusätzlich zu Bestellundürfen
aus der Adressenverwaltung heraus
direkt Angebote, Aufträge, Rechnungen,
Lieferscheine und Gutschriften für
ihre Kunden erstellen und auch Bestellungen
bei ihren Lieferanten aufgeben.
Auf dem Reiter »Positionen« tragen sie
jeweils die Artikel ein. Dabei spart die
Instant-Search-Funktion Tipparbeit und
macht bereits beim Eintippen des ersten
Buchstabens Vorschläge aus dem eigenen
Lager (siehe Abbildung 4). Wawision
übernimmt Projekt, Artikelnummer und
Preis dann automatisch.
Alternativ suchen Benutzer die Artikel
selbst aus der Liste aus oder legen sie im
Rahmen der Bestellung neu an. Über das
Dropdown-Menü »Aktion« erreichen sie
Funktionen zum Stornieren, Kopieren,
Freigeben und Abschicken. Wawision
erzeugt per Mausklick PDFs der Buchungen,
die als Vorschau gute Dienste
leisten oder ausgedruckt als Brief oder
Fax rausgehen. Optional ergänzen Anwender
Dateien als Anhang. Das ERP-
System versendet auf Wunsch E-Mails
und nutzt dazu entweder direkt SMTP
oder die PHP-Mailer-Funktion. Wer eine
Bestellung telefonisch oder persönlich
entgegengenommen hat, der kann auch
dies entsprechend vermerken.
Vernetzt
Das ERP-System geht auch bei der Warenannahme
zur Hand. Mit einer beim
Hersteller erhältlichen Adapterbox
schließt der Benutzer eine Kombination
aus Kamera und Waage an und registriert
so Gewicht und Foto aller eingehenden
Pakete. Mitarbeiter in der Warenannahme
suchen über die Absenderadresse den
passenden Lieferanten heraus und notieren
Angaben zum Zustand der Verpa-

gen steuern Benutzer hier nun Produktionen
und die zugehörigen Bauteile. Wer
einen externen Onlineshop integrieren
möchte, erhält von den Wawision-Entwicklern
auf Anfrage ein Modul für die
Shopware-Anbindung.
Pluspunkte vergeben die Tester für die
in beiden Versionen vorhandenen Teamfunktionen,
die keiner der anderen beiden
Kandidaten in dieser Form bietet.
Mit einem Kalender und der Pinnwand
verwalten Mitarbeiter gemeinsame Termine
und Aufgaben, und ein Wiki sorgt
für schnellen Wissensaustausch. Die integrierte
Zeiterfassung arbeitet Hand in
Hand mit der Lohnabrechnungs-Komponente
zusammen.
E Actindo
Actindo [3] ist eine Cloud-ERP-Lösung,
die auf den Servern des Herstellers, der
Actindo GmbH in Ismaning, läuft und
vor allem für Versandhandel und E-
Commerce konzipiert ist. Die Nutzung
ist gebührenpflichtig. Im Angebot sind
verschiedene Pakete, die zwischen rund
35 Euro und zirka 590 Euro monatlich
kosten. Die Firma gibt Rabatt bei längerer
Laufzeit. Interessierte Nutzer kontaktieren
den Anbieter.
Die Actindo-Zugänge unterscheiden
sich durch die Anzahl der enthaltenen
Transaktionen (100 Bestellungen in der
günstigsten Version One, unbegrenzte
Anzahl in der Enterprise-ERP-Suite)
und durch ihren Funktionsumfang. Seriennummern-
und Chargenverwaltung
inklusive Überwachung des Mindesthaltbarkeitsdatums,
Retouren-Abwicklung,
Bestelltermin-Überwachung und Kommissionssplitting
sind beispielsweise nur
im Enterprise-Paket enthalten. Kunden
dieser Komplettlösung erhalten darüber
hinaus priorisierten Support.
Grundlage für die Bitparade war die
30-Tage-Testversion, die es zum Nulltarif
gibt und die laut Anbieter die vollständige
Enterprise-ERP-Suite abbildet. Die Benutzeroberfläche
macht auf den ersten Blick
einen äußerst professionellen Eindruck.
Die Startseite zeigt Umsätze, Tagesumsatzentwicklung,
durchschnittliche Bestellwerte,
aktuell zu versendende Bestellungen
und andere statistische Auswertungen
an. Etwas gewöhnungsbedürftig
ist, dass die Menüpunkte in der linken
Abbildung 5: Ein Installationsassistent führt durch die Konteneinrichtung im »PaymentManager« von Actindo.
Benutzer haben die Wahl zwischen Bank- und Paypal-Konten sowie Kreditkarten-Service-Anbietern.
Spalte ständig ihre Reihenfolge ändern
– sobald der Anwender eine neue Abteilung
aufruft, wandern die zuletzt aufgerufenen
Einträge nach oben.
Der erste Besuch sollte im »PaymentManager«
erfolgen. Hier verwalten Benutzer
unter anderem Kontoauszüge, Überweisungen,
Lastschriften und Paypal-Anbindungen.
Ein Einrichtungsassistent hilft
bei der Konfiguration. Anwender legen
hier Schritt für Schritt eines oder mehrere
Firmenkonten an und binden diese via
HBCI oder Financial Transaction Services
an. Actindo unterstützt die Zusammenarbeit
mit Bank- und Paypal-Konten sowie
Kreditkarten-Service-Anbietern (siehe
Abbildung 5).
Vielfältig
Der zentrale Bereich der Software ist über
den Menüpunkt »Faktura« zu erreichen.
Hier trägt der Benutzer Kunden- und
Lieferantendaten sowie Artikel ein und
erfasst die Ein- und Verkäufe. Was auf
den ersten Blick übersichtlich wirkt, entpuppt
sich bei näherer Betrachtung als
kleiner Irrgarten. Nicht weniger als neun
Reiter erschlagen den Anwender – die zusätzlichen
Tabs für die Märktplätze nicht
mitgerechnet. Wer Shop-spezifische Inhalte
erfassen möchte, der wechselt zum
Reiter »Beschreibung« und trägt dort Tags
und Stichworte für Oxid-Templates beziehungsweise
Seo-URLs für XT-Commerce
4 (Veyton) ein.
Verwirrend und wenig selbsterklärend
sind auch die Felder unter »Preise«. Hier
dürfen Nutzer lediglich Einkaufs- und
Grundpreise sowie Rabatte definieren.
Wer bei der Bezeichnung Grundpreise
zunächst an Preise je Mengeneinheit
nach der Grundpreisverordnung denkt,
der sucht vergeblich nach einem Feld namens
Verkaufspreis oder einer Mengendefinition.
Dass die Kürzel »B« und »N«
vermutlich für brutto und netto stehen,
muss der Anwender ebenfalls erraten,
denn das Actindo-Wiki [5] zeigt hierzu
nur eine leere Seite.
Actindo punktet dafür mit seinen zahlreichen
Möglichkeiten zur Shop- und
Marktanbindung und dürfte allen
Händlern gute Dienste leisten, die im
E-Commerce unterwegs sind und dort
mehrere Plattformen zu bedienen haben.
Das ERP-System bietet unter anderem
Schnittstellen für die Onlineshop-Systeme
XT-Commerce 3.04 und 4, Shopware,
Oxid, Intellishop und Magento sowie für
Marktplätze wie E-Bay, Amazon, Yatego,
Hitmeister und Shopgate. Zudem sind
diverse Zahlungsanbieter angebunden,
zum Beispiel Paypal, Billsafe und Sofortüberweisung.
Gut gefiel den Testern ebenfalls das umfangreiche
Buchhaltungsmodul. Anwender
legen Datensätze entweder von Hand
an oder nutzen die Importfunktionen aus
der Abteilung »Extras«. Actindo liest sieben
Formate ein (siehe Abbildung 6) und
sorgt damit für eine deutliche Arbeitserleichterung.
Darüber hinaus steht die
Software hilfreich zur Seite bei der Umsatzsteuervoranmeldung
und versendet
diese direkt. Auch der Datev-Export ist
Bitparade 07/2014
Software
www.linux-magazin.de
47

Software
www.linux-magazin.de Bitparade 07/2014
48
integriert, und so bereiten Anwender alle
Buchungen für den Jahresabschluss für
den Steuerberater auf.
Kompliziert
Die von Actindo angebotenen Möglichkeiten
sind vielfältig und decken die
meisten Standardprozesse von Unterneh-
Tabelle 1: Feature-Übersicht ERP-Systeme
men aus den Bereichen Einkauf, Versand
und Buchhaltung ab. Features wie ein
Etikettendruck für Produkte oder eine
1-Klick-Zahlungserinnerung sind komfortabel
und erleichtern kleinen und großen
Unternehmen das Leben.
Allerdings sollten Anwender in jedem Fall
eine längere Einarbeitungszeit einplanen,
um die zahlreichen Möglichkeiten des
Name Kivitendo Wawision Actindo
Allgemeines
Version 3.1.0 2.3.1552 Enterprise
Lizenz GPL AGPL proprietär
Benutzer- und Rechteverwaltung ja ja ja
Integriertes CMS nein ja nein
Mehrsprachig ja ja ja
Backupfunktion nein ja ja
Shopanbindung
Eigener Shop nein optional nein
Anbindung externer Shop nein Shopware (optional andere
Systeme)
ERP-Systems auszureizen und sich in
der Oberfläche zurechtzufinden. In den
komplexen Dialogen und Eingabemasken
verbergen sich einige Stolperfallen,
auch die Menüs reagieren nicht immer
zuverlässig. Im Test dauerte es rund 15
Minuten, bis es nach etlichen Versuchen
doch noch gelang, einen neuen Artikel
hinzuzufügen.
XT-Commerce 3.04 und 4, Magento, Intellishop,
Gambio, Oxid E-Shop, Ecombase, Shopware 3 und
4, Modified E-Commerce Shopsoftware usw.
Mehrere Shops möglich nein ja ja
Anbindung Marktplätze nein nein Yatego, E-Bay, Amazon, Shopgate usw.
Artikelverwaltung
Lieferanten ja ja ja
Bestellwesen und Wareneingang ja ja ja
Stücklisten ja ja ja (Zusatzmodul)
Lager ja ja ja
Inventurfunktion nein ja* ja
Bulk-Bearbeitung nein nein ja
CRM-Funktionen
Kunden- und Adressenverwaltung ja ja ja
Formulare/​Dokumentvorlagen ja (Latex) ja (Libre und Open Office) ja (nur Schriftgröße und -art)
gestalten
Integriertes Ticketsystem nein ja* nein
Versandoptionen (E-Mail, Fax usw.) ja ja ja
Bestellabwicklung
Manuelles Anlegen ja ja ja
Logistik-Dienstleister-Anbindung nein DHL DHL, DPD, GLS, UPS usw.
Rechnung-/​Lieferschein-Erstellung ja ja ja
Finanzen
Integrierte Buchhaltung ja ja* ja
Datev-Export ja ja* ja
Automat. Zahlungseingang-Prüfung nein ja* ja
Mahnwesen ja ja* (Zusatzmodul) ja
Berichte ja nein ja
Teamfunktionen
Kalender nein ja nein
Team- und Gruppenkalender nein ja nein
Zeiterfassung nein ja ja (Zusatzmodul)
Wiki nein ja nein
* Nur in der Enterprise-Version

Insgesamt ist das manuelle Einpflegen
von Adressen und Artikeln mühsam und
deutlich weniger komfortabel als in gängigen
Shopsystemen. Umso besser, dass
Actindo Daten aus angebundenen Shops
importiert. Berichten in Benutzerforen
zufolge ist offenbar häufig einiges an
Nacharbeit notwendig. Einen eigenen
Eindruck konnten die Tester hiervon
leider nicht gewinnen, da die Anbindung
einer Shopware-Instanz an einem
angeblich falschen Kennwort scheiterte
und der Shop Connector trotz ausgiebiger
Bemühungen nichts zum Laufen zu
bringen war.
Angesichts der nicht gerade geringen
Kosten, die für die Actindo-Nutzung anfallen,
wären eindeutige Bezeichnungen
der Menüpunkte und Felder und vor
allem eine vollständige Dokumentation
schön. Die Anleitung behandelt jedoch
nur ausgewählte Bereiche, einige etwas
langatmige Videotutorials reichen als Ergänzung
nicht aus.
Support gibt es vom Hersteller ausschließlich
über Tickets. Anwender erreichen
das Hilfecenter im Dashboard über das
Menü »Support & Helpcenter«. Je nach
gewähltem Paket steht eine bestimmte
Anzahl kostenloser Tickets monatlich zur
Verfügung, jede darüber hinausgehende
Anfrage stellt die Firma mit rund 6 Euro
und Expresswünsche mit zirka 18 Euro
in Rechnung.
Inventur
Alle getesteten ERP-Systeme bilden sehr
komplexe Prozesse ab und verlangen dem
Benutzer einigen Konfigurations- und
Einarbeitungsaufwand ab. Dabei unterstützen
je nach Software unterschiedlich
gute Handbücher oder Video-Anleitungen.
Nach den ersten Anlaufschwierigkeiten
zeigten sich die drei Programme
aber ihren Aufgaben gewachsen und
überzeugten mit ganz unterschiedlichen
Funktionen und Extras (Tabelle 1). So ist
es schwer, eine eindeutige Empfehlung
auszusprechen – zu verschieden sind die
Schwerpunkte und Ansätze.
Kivitendo punktet vor allem mit den
Buchhaltungsfeatures, mit den Berichten
und dem sehr ausführlichen Handbuch,
das keine Fragen offen lässt. Dafür fehlen
Importmöglichkeiten für Stammdaten
und Schnittstellen zum Anbinden von
Abbildung 6: Actindo bündelt insgesamt sieben Importfunktionen in einem Dialog und erleichtert die Buchhaltung
damit ungemein, weil das mühsame Einpflegen von Hand entfällt.
Onlineshops. Der erste Kandidat ist daher
für den Handelsbereich weniger interessant
und richtet sich hauptsächlich an
kleine Unternehmen im Handwerks- und
Dienstleistungsbereich.
Wawision punktet mit durchdachten Prozessen
und seiner Vielseitigkeit. Die Software
eignet sich für kleine und mittlere
Handels- und Produktionsunternehmen.
Das jüngste Projekt im Test kämpfte anfangs
noch mit ein paar Kinderkrankheiten,
die der hilfsbereite Support jedoch
zügig ausbügelte. Anwender sollten die
Enterprise-Version in Betracht ziehen,
die neben einem erweiterten Funktionsumfang
ein Jahr lang Zugang zum Updateserver
und Unterstützung vom Hersteller
bietet. Abzüge gibt es derzeit vor
allem für die fehlende Dokumentation.
Hier sollte die Firma nachlegen und im
gleichen Atemzug die Tippfehler in der
Weboberfläche beheben.
Die Vermutung, dass eine kostenpflichtige
Cloudlösung komfortabler zu bedienen
sei und schneller zum Ziel führe als
ein selbst gehostetes System, konnten die
Tester nicht bestätigen. Zwar entfällt bei
Actindo die Installation auf dem eigenen
Server, aber auch hier gibt es Unwägbarkeiten,
die neben dem finanziellen
auch erheblichen zeitlichen Aufwand
mit sich bringen. Eine unvollständige
Anleitung verlangt dem Anwender einiges
an Durchhaltevermögen ab – wer die
Einstiegshürden jedoch überwindet, der
kann seine Unternehmensprozesse mit
Actindo sehr detailreich abbilden. Die
anfallenden Kosten lohnen sich jedoch
nur für Händler, denen die Integration
verschiedener Onlineshops und Marketplaces
wichtig ist.
n
Infos
[1] Kivitendo: [http:// www. kivitendo. de]
[2] Wawision: [http:// www. wawision. de]
[3] Actindo: [http:// www. actindo. de]
[4] Embedded Projects:
[http:// www. embedded‐projects. net]
[5] Actindo-Wiki: [http:// wiki. actindo. de]
Die Autorin
Dr. Katja Flinzner ist Redakteurin,
Lektorin und Übersetzerin
mit den Schwerpunkten
im IT- und E-Commerce-Bereich.
Mit ihrem
Unternehmen „Mehrsprachig
handeln“ ([http:// www. mehrsprachig‐handeln.​
de]) unterstützt sie vor allem Onlineshops bei
Internationalisierungs-Projekten und bei der
Qualitätssicherung.
Bitparade 07/2014
Software
www.linux-magazin.de
49

Software
www.linux-magazin.de Portia 07/2014
50
Daten aggregieren mit Portia
Fokussiertes Spinnchen
Die Börsenkurse in maschinenlesbarer Form mal eben aus dem Internet holen? Kein Problem: Nach ein paar
Mausklicks auf eine Börsen-Webseite webt Portia einen geeigneten Kommandozeilenbefehl und wickelt die
gewünschten Daten in das passende Json-Format ein. Tim Schürmann
lerpakete zu »libffi«, »libxml2«, »libxslt«,
»libssl« und Python. Unter Ubuntu spielt
der folgende Bandwurm alles Notwendige
ein:
sudo apt‐get install python‐virtualenv U
python‐dev libffi‐dev libxml2‐dev U
libxslt1‐dev libssl‐dev git
Jetzt können Anwender den Quellcode
von Github holen:
© James Anak Anthony Collin, 123RF
01 virtualenv portiaenv
Im Internet verstecken sich nützliche
Informationen und Texte oft auf bunten
HTML-Seiten, die Interessierte nicht
ohne Weiteres extrahieren und maschinell
weiterverarbeiten können. Wer etwa
automatisiert die aktuellen Börsenkurse
aufbereiten oder neue Nachrichten aggregieren
möchte, muss erst umständlich
den HTML-Code von News-Portalen wie
N-TV oder Slashdot zerlegen.
Abhilfe verspricht das in Python geschriebene
Portia [1], dessen Name zugleich
auf eine Spinnengattung verweist,
was im World Wide Web ja Sinn ergibt.
Das Tool besteht aus einer Webanwendung,
dank der ein Anwender einfach per
02 source ./portiaenv/bin/activate
03 cd portia/slyd
Listing 1: Notwendige Python-
Komponenten installieren
04 pip install ‐r requirements.txt
Mausklick die Börsenkurse, Nachrichten
und alle anderen gewünschten Inhalte
markiert. Anschließend extrahiert Portia
diese Daten und spuckt sie im Json-Format
wieder aus.
Unterstützt von einem mitgelieferten
Webcrawler durchwühlt Portia zudem
komplette Internetauftritte. Benötigt ein
Entwickler die Überschriften aller Wikipedia-Artikel,
zeigt er Portia lediglich einmal,
wo auf einer Wikipedia-
Seite die Überschrift klebt.
Anschließend durchläuft der
Crawler den kompletten Internetauftritt
und liefert alle
passenden Überschriften im
Json-Format zurück.
Spinnennetz
Portia verlangt Python in der
Version 2.7, einen C-Compiler,
Git, das Paket mit Virtualenv
sowie die Entwick-
git clone https://github.com/scrapinghub/U
portia.git
Portia besteht aus mehreren Einzelteilen:
Zunächst stellt Slyd die eigentliche Webanwendung
bereit. Sein Kollege Slybot
ist ein Webcrawler, der die ausgesuchten
Webseiten durchläuft und die gewünschten
Informationen ausschneidet. Dazu
greift Slybot auf die Dienste von Scrapy
[2] zurück. Slyd wiederum liefert seine
Seiten über Twisted [3] aus.
Die Befehle aus Listing 1 installieren alle
Bestandteile. Die erste Zeile erstellt dabei
eine virtuelle Python-Umgebung, die
zweite aktiviert sie. Auf diese Weise vermischen
sich nicht die in der letzten Zeile
nachinstallierten Python-Komponenten
mit denen aus der Distribution.
Abbildung 1: Die Webanwendung gibt sich nach ihrem ersten Aufruf
noch recht aufgeräumt.

Gelingt die Installation ohne Fehler, startet
der Anwender Slyd:
twistd ‐n slyd
Der Befehl ist korrekt geschrieben –
»twistd« ist der Twisted-Daemon.
Schraubstock
Steuert der Portianer nun im Browser
die URL »http://localhost:9001/static/
main.html« an, erscheint die Seite aus
Abbildung 1. Portia unterstützt derzeit
nur Chrome und Firefox, wobei die Entwickler
Chrome empfehlen.
Zunächst tippt der Anwender in das Eingabefeld
am oberen Rand die URL der
Seite ein, die er anzapfen möchte. Nach
einem Klick auf »Start« lädt Portia die
Seite und zeigt sie im großen Bereich
darunter an. Das kann ein paar Sekunden
dauern und funktioniert nicht mit
allen Websites: So weigerte sich Portia
im Test, die Seiten des Linux-Magazins
zu laden. Sofern die gewünschte Seite
erscheint, limitiert Portia die Navigationsmöglichkeiten.
Auf der Wikipedia legt die
Webanwendung etwa die Suchfunktion
lahm, die Links funktionierten jedoch
weiterhin.
Jetzt muss der Schnittmeister die benötigten
Informationen markieren. Dazu
klickt er am oberen Rand auf »Annotate
this page«. Portia wechselt jetzt in einen
Auswahlmodus: Fährt er mit dem Mauszeiger
über ein Element der Seite, das
sich ausschneiden lässt, hebt Portia es
blau hervor. Der HTML-Code taucht im
schwarzen Kasten links oben auf.
Nach einem Klick auf den blauen Bereich
erscheint das Fenster aus Abbildung 2.
In ihm stellt der Anwender in der linken
Dropdown-Liste das HTML-Attribut
ein, dessen Inhalt er später übernehmen
möchte. »Content« würde den Inhalt des
HTML-Elements liefern, bei einer Überschrift
also die Überschrift selbst.
Skalpell
Anschließend wählt der Zuschneider unter
»To Field« den Punkt »Create New«. Es
öffnet sich ein weiteres Fenster, in dem
er festlegt, wie das Feld später in den
Json-Daten heißen soll und um welchen
Datentyp es sich handelt. Zur Auswahl
stehen die üblichen Verdächtigen, etwa
Zahlen und Text. Mit einem Klick auf
den Haken geht es wieder zurück. Analog
markiert der Anwender alle weiteren
benötigten Daten. Dann schaltet er mit
»Continue Browsing« wieder in den normalen
Modus zurück. Über »Show Items«
blendet Portia noch einmal alle bislang
extrahierten Daten ein.
Ausgehend von der gerade geladenen
Seite folgt Slybot nun allen Links, schneidet
dort jeweils die markierten Informationen
aus und liefert sie zurück. Dieses
Verhalten kann der Spinnenmeister über
Einstellungen beeinflussen, die sich nach
einem Klick auf das graue Dreieck am
rechten Seitenrand offenbaren.
Über den Slider »Initialize« fügt der Anwender
dem Projekt noch weitere Internetseiten
hinzu. Dazu tippt er einfach die
URL in das leere Feld und klickt anschließend
auf das Plussymbol, ein Klick auf
die URL öffnet die entsprechende Seite
wieder im Hauptbereich. Dort kann er
dann weitere auszuschneidende Bereiche
markieren. Verwendet eine der Seiten einen
Passwortschutz, setzt der Anwender
einen Haken vor »Performe Login« und
tippt dann die Login-Daten ein.
Routenplanung
Auf dem Slider »Crawling« steuert der
Nutzer das Verhalten von Slybot. Er legt
fest, ob Slybot sich an die vom Webmaster
in der »robots.txt« vorgegebenen Zugriffsregeln
hält (»Respect Nofollow«). Soll der
Spider bestimmte Seiten ignorieren, setzt
der Anwender die Dropdown-Liste auf
»Configure Follow And Exclude Patterns«.
Slybot folgt jetzt nur noch jenen Links,
die mit dem regulären Ausdruck im oberen
Feld übereinstimmen. Analog folgt
Slybot keinem Link, auf den der reguläre
Ausdruck im unteren Feld passt. Wer
»Overlay Blocked Links« anhakt, sieht
links in der Vorschau, welchen Links der
Spider derzeit folgen würde und welchen
nicht (Abbildung 3).
Die zuvor auf einer Seite hellblau markierten
Stellen merkt sich Portia in einem
so genannten Template. Der Slider »Extraction«
listet alle derzeit vorhandenen
Templates auf. Ein Klick auf einen der Bezeichner
öffnet das entsprechende Template
im Markierungsmodus. Hier bringt
der Anwender jetzt noch auf gewohnte
Weise weitere Markierungen an. Die einzelnen
ausgewählten Elemente kann er
auf dem Slider »Annotations« noch einmal
nachbearbeiten.
E
Portia 07/2014
Software
www.linux-magazin.de
51
Warnung
Die Daten auf fremden Webseiten sind in den
meisten Fällen urheberrechtlich geschützt.
Entwickler dürfen folglich nur mit einer Erlaubnis
die Informationen und Texte in ihre
eigenen Projekte übernehmen.
Die Abfrage der Daten erzeugt zudem eine
kontinuierliche Last: Je mehr Unterseiten
eine Website besitzt, desto länger saugt
Portia am fremden Webserver. Dessen Besitzer
dürfte darüber alles andere als erfreut
sein und im schlimmsten Fall entsprechende
Gegenmaßnahmen treffen.
Abbildung 2: Wer einem Feld Inhalte zuweisen will, braucht ruhige Finger: Sobald die Maus den schwarzen
Kasten verlässt, blendet Portia ihn umgehend aus.

Software
www.linux-magazin.de Portia 07/2014
52
Alle Projekte listet die Seitenleiste nach
einem Klick auf das Haussymbol.
Dauerlauf
Portia platziert alle Projekte in Unterverzeichnissen
unterhalb von »slyd/data/
projects«, die zugleich als Name des Projekts
dient. Welche Spider das Projekt
»new_project« anbietet, verrät auf der
Kommandozeile:
portiacrawl slyd/data/projects/new_project
Um nun endlich die Informationen aus
den Seiten zu schneiden, ruft der Schnittmeister
über »portiacrawl« einfach den
entsprechenden Spider auf:
Abbildung 3: Allen grün markierten Links würde Slybot folgen, den rot hervorgehobenen hingegen nicht.
Mitunter wählt ein Anwender den gewünschten
Text nur grob mit der Maus
aus und verfeinert die Auswahl auf dem
Slider »Extractors« mit einem regulären
Ausdruck. Er klickt auf »New Extractor«,
zieht den Ausdruck auf das entsprechende
Feld darüber, und Slybot wendet
ihn auf den ausgeschnittenen Text an und
liefert nur das Ergebnis zurück.
Familienzuwachs
Die jetzt komplette Konfiguration bezeichnet
Portia als Spider, mit den darin
gespeicherten Einstellungen beschneidet
Slybot später Seiten, die den gleichen
Aufbau aufweisen wie die gerade angezeigte.
Ein Spider gilt meist für eine
bestimmte Domain, über die Webanwen-
dung legt der Anwender weitere Spinnen
an. Diese gruppiert Portia zu so genannten
Projekten. So lässt sich etwa ein Projekt
»Nachrichten« anlegen, das einen
Spider mit allen Einstellungen für »theregister.co.uk«
und einen für »slashdot.org«
enthält (Abbildung 4).
Standardmäßig erstellt Portia selbst ein
Projekt namens »New_Project«. Welche
Spider in einem Projekt stecken, erfährt
der Anwender, wenn er links oben in der
Ecke auf den Projektnamen klickt. Die
Seitenleiste listet dann die Spider auf,
ein Klick auf diese zeigt die darin abgelegten
Einstellungen. Einen neuen Spider
ergänzt der Anwender, indem er auf
den Projektnamen klickt und dann eine
neue URL aufruft. Jeder Spider erhält
standardmäßig den Namen der Domain.
portiacrawl slyd/data/projects/new_project U
de.wikipedia.com
Die Ausgaben landen im Json-Format auf
der Standardausgabe, der Parameter »‐o«
lenkt die Daten in eine Datei um:
portiacrawl slyd/data/projects/new_project U
de.wikipedia.com ‐o ausgabe.txt
»portiacrawl« ist eigentlich nur ein Wrapper-Skript
für Slybot. Dessen Dokumentation
findet sich unter [4].
Fazit
Mit Portia schneiden Anwender schnell
und komfortabel Datenhäppchen aus
fremden Websites. Dank des Json-Formats
lassen sich die zurückgelieferten
Daten in eigenen Anwendungen aggregieren
und weiternutzen. Mit Hilfe von
Cronjobs lasen sich auch fehlende RSS-
Feeds ersetzen. Es braucht jedoch einige
Klicks, bis der Suchende die Informationen
in einer Tabelle markiert hat. Portia
verführt allerdings dazu, „einfach mal
eben“ Informationen von fremden Webseiten
zu klauen. Verantwortungsvolle
User erhalten mit Portia aber ein praktisches
Tool, das ihnen die stundenlange
Analyse fremden Codes erspart. (kki) n
Abbildung 4: Hier befinden sich im Projekt »Nachrichten« zwei Spider. Mit einem Klick auf den Namen
benennt der Anwender das Projekt in dieser Ansicht um.
Infos
[1] Portia auf Github:
[https://github.com/scrapinghub/portia]
[2] Scrapy: [http://scrapy.org]
[3] Twisted: [https://twistedmatrix.com/trac/]
[4] Anleitung zu Slybot:
[http://slybot.readthedocs.org/en/latest/]

Software
www.linux-magazin.de Baloo 07/2014
54
Baloo ersetzt Nepomuk als semantische Desktop-Suchmaschine unter KDE
Bärendienst
Die semantische Suche Nepomuk war seit ihrer Einführung in KDE heftig umstritten – sowohl bei Benutzern als
auch bei Anwendungsentwicklern. Mit den KDE Applications 4.13 weicht sie nun einer neuen Lösung namens
Baloo. Auch die legt einen holprigen Start hin. Tim Schürmann
© Tammy Scott, 123RF
Desktop-Umgebungen sind recht dumm.
Das merkt der Anwender spätestens
dann, wenn er eine Datei sucht, sich aber
partout nicht mehr an ihren Namen erinnern
kann. Abhilfe soll der so genannte
semantische Desktop schaffen.
Semantische Suche
Ein solcher Desktop merkt sich, wann
welche Daten angefallen sind und in welcher
Beziehung sie zueinander stehen.
Dank dieser Informationen kann ein User
beispielsweise eine Datei auf der Festplatte
suchen lassen, die der Kollege Müller
im März per E-Mail geschickt hatte.
DELUG-DVD
Auf der DELUG-DVD dieses Magazins
liegen die aktuellen Quelltexte von
Baloo sowie Kubuntu 14.04 in der 64- und
32-Bit-Version, die die neueste KDE-Desktop-
Version 4.13 bringen.
DELUG-DVD
Auch die KDE-Entwickler wollten ihrer
Desktop-Umgebung eine passende semantische
Suche spendieren. Sie griffen
dabei auf die Ergebnisse des Forschungsprojekts
Nepomuk (Networked Environment
for Personalized, Ontology-based
Management of Unified Knowledge, Abbildung
1, [1]).
Das Projekt hatte die Europäische Union
von 2006 bis 2008 mit mehreren Millionen
Euro finanziert. Es sollte alles
Notwendige liefern, um die Entwicklung
eines semantischen Desktops voranzutreiben
und zu vereinfachen.
Nepomuk, RDF und andere
Kalamitäten
So schrieb Nepomuk beispielsweise das
Resource Description Framework, kurz
RDF, zur Beschreibung und Speicherung
der Beziehungen vor [2]. Die Implementierung
von Nepomuk in KDE sammelt
bei allen KDE-Anwendungen Informati-
onen über die gespeicherten Daten ein,
verknüpft sie, bereitet sie auf und stellt
sie dann der eigentlichen Suchfunktion
zur Verfügung.
Seit der Einführung von Nepomuk unter
KDE 4 beklagten viele Benutzer immer
wieder dessen schlechte Performance
und mangelnde Stabilität. Anwendungsentwickler
wiederum fanden das API zu
kompliziert und wünschten sich zusätzliche
Funktionen. Die KDE-Entwickler
besserten im Laufe der Jahre zwar nach,
viele Anwender deaktivierten Nepomuk
aber auch weiterhin. Insbesondere bei
der Interaktion mit Akonadi, dem Unterbau
der PIM-Programme, erzeugte Nepomuk
eine zu hohe Last.
Virtuoso, Vishuoso und ein
Neustart
Als wesentlichen Bremsklotz identifizierten
die KDE-Entwickler die im Hintergrund
werkelnde Virtuoso-Datenbank,
in der Nepomuk seine RDF-Daten einlagerte.
Virtuoso selbst ging zwar recht
flott zu Werke, beanspruchte aber extrem
viel Hauptspeicher. Die KDE-Entwickler
begannen daher, einen eigenen RDF-
Speicher namens Vishuoso zu implementieren
[3]. Dabei stolperten sie jedoch
immer wieder über die Vorgaben aus dem
Forschungsprojekt der EU. Die waren teilweise
vage, lückenhaft und mitunter sogar
doppelt [4].
Aus diesen Gründen entschlossen sich
die KDE-Entwickler zu einem radikalen
Schritt: Sie warfen RDF samt dem alten
Nepomuk über Bord und entwickelten
einen Nachfolger namens Baloo [5]. Im
Gegensatz zu Nepomuk soll die Software
mit dem Namen eines Dschungelbuch-
Protagonisten („Probier’s mal mit Gemüt-

lichkeit“) weniger Ressourcen verbrauchen,
zuverlässiger zu Werke gehen und
schneller bessere Suchergebnisse liefern.
Intern ist Baloo modular aufgebaut, sodass
sich zukünftig einfacher neue Funktionen
hinzufügen und die vorhandenen
leichter verbessern lassen. Zudem soll
das generalüberholte Design Ausfälle
verhindern.
Die KDE-Entwickler haben Baloo allerdings
nicht komplett neu programmiert,
sondern Codeteile wiederverwendet. Sie
bezeichnen daher Baloo auch als die
„nächste Generation der Nepomuk-Suche“.
Die Änderungen an der Programmierschnittstelle
fallen daher ebenfalls
überschaubar aus, Anwendungsentwickler
sollen ihre Software relativ einfach
anpassen können.
Abbildung 1: Nepomuk sollte den semantischen Desktop salonfähig machen.
Baloo 07/2014
Software
www.linux-magazin.de
55
Relationen und Stores
Baloo verwaltet Relationen zwischen
zwei „eindeutig identifizierbaren Bezeichnern“
(Uniquely Identifiable Identifiers).
Ein File »Datei« besitzt beispielsweise
den Unique Identifier »file:x«,
während Akonadi für die meisten PIM-
Daten einen Unique Identifier der Form
»akonadi:?item=x« erstellt.
Jede Relation wandert wiederum in einen
eigenen, für sie passenden Data Store. Im
einfachsten Fall ist das eine Tabelle mit
zwei Spalten in einer SQlite-Datenbank.
Das Speicherformat und das API der Data
Stores schreibt Baloo absichtlich nicht
vor. Das hat den Vorteil, dass sich der
Data Store auf die zu speichernden Informationen
maßschneidern lässt und Baloo
so Daten optimal speichert.
Die eigentliche Suche führen die so genannten
Search Stores aus. Jeder Search
Store kümmert sich nur um ganz bestimmte
Daten. So sucht beispielsweise
einer ausschließlich nach Dateien (File
Search), während ein Kollege in E-Mails
wühlt (E-Mail Search) und ein dritter in
Kontakten fahndet (Contact Search). Jeder
dieser Search Stores muss ein vorgegebenes
API anbieten, über das sich die
Suche anstoßen lässt. Zusätzlich dürfen
sie aber auch noch weitere eigene APIs
bereitstellen.
Derzeit verwaltet Baloo selbst ausschließlich
Dateien und bringt dafür einen passenden
Search Store und einen Data Store
mit. Die gesammelten Daten landen in einer
SQlite-Datenbank. Bei der Suche hilft
zusätzlich die Software Xapian, welche
den gesammelten Datenbestand indexiert.
Akonadi speichert bereits alle seine
PIM-Daten selbst, die Suche in diesem
Bestand übernimmt jeweils ein Search
Store für die Kontakte und für die E-Mails
[6]. Dank dieser neuen Architektur aus
einzelnen Data- und Search-Stores soll
Baloo nur noch wenig Speicher mit Beschlag
belegen und extrem schnell Suchergebnisse
liefern.
Ein ungezähmter Bär auf
der freien Wildbahn
Bereits nach zwei Monaten Entwicklungszeit
lief die neue semantische Suche
so stabil, dass sich die KDE-Entwickler
dazu entschlossen, Baloo anstelle von
Nepomuk den KDE Applications 4.13
beizulegen. Wer schon die KDE SC 4.13
nutzt – beispielsweise mit Kubuntu 14.04
Abbildung 2: Die Systemeinstellungen von KDE enthalten den neuen Punkt
»Desktop Suche«, über den der Benutzer …
Abbildung 3: … einzelne Verzeichnisse von der Behandlung durch Baloo ausschließen
kann. Weitere Einstellungen sind derzeit noch nicht möglich.

Software
www.linux-magazin.de Baloo 07/2014
56
Abbildung 4: Über die Konfigurationsdatei »$HOME/.kde/share/config/
baloofilerc« lässt sich das Verhalten von Baloo steuern.
Darüber hinaus hat Lindsay Mathieson
den recht kargen Konfigurationsdialog
überarbeitet [13]. Bei Redaktionsschluss
war jedoch noch nicht bekannt, ob, wann
und wie er in den KDE Applications lanvon
der Heft-DVD –, sucht auch schon
mit Baloo, vorausgesetzt die entsprechende
Anwendung unterstützt die neue
semantische Suche.
Umgestellt sind bereits unter anderem
die Kontact-Programme, der Dateimanager
Dolphin, Gwenview und der Plasma
Desktop. Den aktuellen Stand verrät die
Wiki-Seite unter [7]. Steigt ein Anwender
auf die KDE Applications 4.13 um, migriert
diese bereits alle vorhandenen Tags,
Bewertungen und Kommentare nach Baloo.
Dafür zuständig ist der »nepomukbaloomigrator«.
Holpriger Start mit vielen
Problemen
Schon kurz nach der Veröffentlichung
der KDE Applications 4.13 mehrten sich
in Internetforen die Problemmeldungen
(etwa [8]). Offenbar erzeugt der Indexer
auf einigen Systemen eine extrem hohe
Last, frisst dabei mächtig viel Hauptspeicher
und foltert die Festplatte. Im Gegensatz
zu Nepomuk lässt sich Baloo jedoch
nicht mehr abschalten.
Als Workaround raten die Entwickler
dazu, das Homeverzeichnis von der Suche
auszunehmen (Abbildungen 2 und
3). Da Baloo ausschließlich das Heimatverzeichnis
betrachtet, schaltet diese
Maßnahme gleichzeitig auch die Indexierung
ab. Unter Umständen starten al-
Listing 1: Baloo töten
01 sudo mv /usr/bin/baloo_file_extractor /usr/bin/
baloo_file_extractor.backup
02 sudo mv /usr/bin/baloo_file_extractor /usr/bin/
baloo_file_cleaner.backup
03 sudo ln ‐s /bin/true /usr/bin/baloo_file_extractor
04 sudo ln ‐s /bin/true /usr/bin/baloo_file_cleaner
lerdings trotzdem die
beiden Dienste »baloo_file_cleaner«
und
»baloo_file_extractor«,
die munter weiter das
System belasten und
sogar in bestimmten
Situationen vorhandene
Dateien und Dokumente
beschädigen
können.
Der Anwender sollte
daher zusätzlich auch
noch den automatischen
Start von Baloo
abschalten. Unter Kubuntu reicht dazu
der folgende Befehl völlig aus:
sudo mv /usr/share/autostart/baloo_file.U
desktop /usr/share/autostart/baloo_file.U
desktop.backup
Eine andere Möglichkeit wäre, die versteckte
Datei »$HOME/.kde/share/config/baloofilerc«
(Abbildung 4) zu öffnen
und darin »Indexing‐​Enabled=true« auf
»false« zu setzen. Schließlich lässt sich
der Indexer auch manuell anhalten [9]:
qdbus org.kde.baloo.file /indexer suspend
Dieser Befehl kann auf einigen Systemen
jedoch den kompletten KDE-Desktop zu
Fall bringen. Einige Nutzer griffen sogar
zur ganz harten Keule und ersetzten die
Baloo-Programmdateien durch Symlinks
auf »/dev/true«, doch empfehlenswert
scheint das nicht.
Diskussionen
Wer die Links wie in Listing 1 umbiegt,
muss folglich mit „interessanten“ Seiteneffekten
rechnen. Auf Notebooks, die gerade
an einer Batterie nuckeln, pausiert
Baloo übrigens automatisch. Der stets
aktive Indexer sorgte auch auf der Open-
Suse-Mailingliste für heftige Diskussionen
[10]. Jos Poortvliet, Mitglied der
KDE Marketing Working Group, sah sich
schließlich zu einer Erklärung in seinem
Blog genötigt.
Unter dem Titel „Stürme und Wassergläser“
[11] weist er zunächst den Vorwurf
zurück, Baloo sei zu wenig getestet worden.
Der Hauptentwickler Vishesh Handa
und viele andere Helfer hätten alles dafür
getan, eine stabile Suchfunktion auszuliefern.
Es habe auch vor der Release
explizit die öffentliche Aufforderung
zum Testen gegeben [12]. Es sei daher
frustrierend, dass viele Leute mit dem
Finger auf die Entwickler zeigen würden.
Wer keine Zeit zum Testen hätte, müsse
akzeptieren, dass sein System ungetestet
ist. Die KDE-Entwickler würden eine
Software genau dann veröffentlichen,
wenn sie auf den Systemen aller Tester
laufen würde.
Überwältigend – leider für
das System
Jos Poortvliet gesteht aber auch ein, dass
die neue Suche das I/​O-System auf bestimmten
Systemen „überwältigt“. Der
neue Indexer kann zwar mehrere Gigabyte
in wenigen Minuten indexieren, verschluckt
sich aber an sehr großen Dateien.
Als Beispiel nennt Jos Poortvliet Textdateien
über 20 MByte. Solche Dateien
klassifiziert der Indexer als „schlechte
Dateien“ und fasst sie anschließend nicht
mehr an. Um sich schneller durch den
Dateibestand zu fräsen, bearbeitet der
Indexer allerdings immer 40 Dateien in
einem Schub.
Baloo aus den KDE Applications 4.13
verwendet dabei einen Timeout von 5
Minuten. Sind die überschritten, teilt der
Indexer die 40 Dateien in zwei Gruppen.
Anschließend versucht er, jede der
beiden Gruppen erneut zu indexieren.
Beschäftigt er sich wieder 5 Minuten mit
einer der beiden Gruppen, teilt er auch
diese Gruppe auf. Das ganze Spiel läuft
so lange, bis der Indexer auf die problematische
Datei gestoßen ist.
Durch den langen Timeout ist der Indexer
jedoch relativ lange beschäftigt. Die Entwickler
haben deshalb mittlerweile den
Timeout auf 2 Minuten reduziert. Zudem
soll der Indexer mit den problematischen
Dateien besser umgehen können. Die Änderungen
dürften die meisten Anwender
jedoch erst mit der nächsten Version der
KDE Applications erreichen.
Mehr Konfiguration, wenn
es der User wünscht

www.linux-magazin.de
Baloo 07/2014
Software
57
Abbildung 5: Der überarbeitete Konfigurationsdialog von Lindsay Mathieson bietet mehr Eingriffsmöglichkeiten.
det. Im Gegensatz zur aktuellen Version
erlaubt er nicht nur das Abschalten des
Indexers, sondern auch das einfache Definieren
von Ausnahmeregeln für Verzeichnisse,
Dateien und MIME-Typen (Abbildung
5). Den Suchdienst Baloo wollen
die KDE-Entwickler noch erweitern und
um weitere Anwendungen ergänzen. So
soll es mit Balooctl ein Kommandozeilentool
zum Starten und Stoppen des Dienstes
geben (analog zu Nepomukctl und
Akonadictl, [14]).
Roadmap
Geplant ist zudem eine Rechtschreibkorrektur,
die Unterstützung von entfernbaren
Datenträgern und das Milou-Plasmoid
zu einer kompletten Suche [15]
zu erweitern. Des Weiteren arbeiten die
KDE-Entwickler an einer Portierung von
Baloo auf die KDE Frameworks 5. Diese
Version soll vollständig kompatibel zur
aktuellen Version sein.
Die KDE-Entwickler treiben Baloo weiter
voran. Benutzer und Programmierer
werden sich mit der semantischen Suche
anfreunden müssen. Ob sie schließlich
wirklich schneller und stabiler arbeitet,
muss sie jedoch erst noch in der Praxis
beweisen, wenn weitere KDE-Anwendungen
sie nutzen. (mfe)
n
Infos
[1] Nepomuk-Projekt:
[http:// nepomuk. semanticdesktop. org]
[2] RDF: [http:// www. w3. org/ RDF/]
[3] Vishesh Handa, „Nepomuk in 4.13 and
beyond“: [http:// mail. kde. org/ pipermail/​
nepomuk/ 2013‐December/ 004858. html]
[4] Jos Poortvliet, „KDE’s Next Generation
Semantic Search“:
[http:// dot. kde. org/ 2014/ 02/ 24/ kdes‐next
‐generation‐semantic‐search]
[5] Baloo: [https:// community. kde. org/ Baloo]
[6] Baloos Architektur: [http:// community.​
kde. org/ Baloo/ Architecture]
[7] Von Nepomuk auf Baloo portierte (KDE-)
Anwendungen: [http:// community. kde. org/​
Baloo/ NepomukPort]
[8] Ask Ubuntu – „How to turn off baloo“:
[http:// askubuntu. com/ questions/ 437635/ h
ow‐to‐turn‐off‐baloo‐in‐kde‐4‐13]
[9] KDE-Forum – „How do I pause indexing?“:
[https:// forum. kde. org/ viewtopic. php?​
f=154& t=120047# p304335]
[10] Baloo-Diskussion auf der Suse-Mailingliste:
[http:// lists. opensuse. org/ archive/​
opensuse‐kde/ 2014‐05/ msg00008. html]
[11] Jos Poortvliet, „Teacups and Storms“:
[http:// blog. jospoortvliet. com/ 2014/ 05/​
teacups‐and‐storms. html]
[12] „Come and help us test“:
[http:// dot. kde. org/ 2014/ 03/ 12/ applications
‐413‐coming‐soon‐help‐us‐test]
[13] Überarbeiteter Baloo-Dialog:
[https:// gitorious. org/ baloo‐kcmadv]
[14] Markus Feilner, „Pannenhelfer – Kontact-
Debugging“: Linux User 07/​14
[15] Ausstehende Tasks:
[http:// community. kde. org/ Baloo/ Tasks]

Software
www.linux-magazin.de Tooltipps 07/2014
58
Werkzeuge im Kurztest
Tooltipps
Firejail 0.9.4
Sandboxing-Tool
Quelle: [http:// l3net. wordpress. com/​
projects/ firejail]
Lizenz: GPLv2
Alternativen: Containers, Chroot
Ocserv 0.3.4
VPN-Server
Quelle: [http:// www. infradead. org/ ocserv]
Lizenz: GPLv2
Alternativen: Open VPN, Tinc
Gpgpwd 0.4
Passwortmanager für die Shell
Quelle: [http:// random. zerodogg. org/​
gpgpwd]
Lizenz: GPLv3
Alternativen: Yapet, Console Password
Manager
Das Sandboxing-Tool Firejail nutzt die
Kernel-Namespaces, um den Zugriff von
Prozessen auf die Rechner-Ressourcen
einzuschränken. Es stellt dazu ein eigenes
Verzeichnissystem, einen separaten
Netzwerkstack, eigene Hostnamen sowie
eine isolierte Interprozesskommunikation
mit eigenen PIDs bereit.
Firejail führt einzelne Kommandos aus
oder arbeitet mit Konfigurationsprofilen.
Da das Tool ursprünglich als Sandbox für
den Browser Firefox diente, liegen dem
Archiv bereits Profildateien für Firefox
beziehungsweise Iceweasel bei. In der aktuellen
Version 0.9.4 haben die Entwickler
ebenfalls Sandboxprofile für Evince
und Midori hinzugefügt. Sie eignen sich
als Vorlage für eigene Entwürfe.
Einrichtungswünsche nimmt das C-Programm
beim Aufruf entgegen. Parameter
definieren, in welches Verzeichnis Firejail
beim Start wechseln soll, ob die Sandbox
einen Netzwerkzugang und ein Homeverzeichnis
hat. Optional weisen Anwender
der Umgebung eine Schnittstelle und
eine eigene IP-Adresse zu. Wer Firejail als
Login-Shell für einen Account einrichten
möchte, der trägt die notwendigen Optionen
in die Datei »/etc/firejail/login.
users« ein.
★★★★★ Firejail schließt Programme sicher
weg. Die Konfiguration ist intuitiv
und schnell erledigt.
n
Der schlanke Open-Connect-VPN-Server,
kurz Ocserv, verwendet das Any-Connect-VPN-Protokoll,
das auch zahlreiche
Cisco-Router beherrschen. Nach dem Programmstart
lauscht der Server auf Port
3333 auf eingehende TCP-Verbindungen.
Wenn sich der Benutzer erfolgreich authentisiert
hat, wandern die Daten über
eine dedizierte, mit Datagram Transport
Layer Security (DTLS) verschlüsselte
UDP-Verbindung. Das Tool ermöglicht die
Authentisierung via Zertifikat und PAM.
Letzteres erwartet die Anmeldung mit
dem Standard-Benutzerpasswort. Alternativ
erzeugt das im Archiv enthaltene
Programm »ocpasswd« eine neue Kennwortdatei.
Beide Methoden sind auch
kombinierbar.
Wenn ein Client eine Verbindung aufgebaut
hat, weist Ocserv ihm eine
IP-Adresse zu und reicht die Routing-
Informationen weiter. Der Server unterstützt
IPv4 und IPv6. Admins schränken
optional mit Cgroups den Ressourcenverbrauch
ein. Dazu nutzen sie die mitgelieferte
Einrichtungsdatei als Vorlage
und legen sie unter »/etc/ocserv/ocserv.
conf« ab. Das Archiv enthält außerdem
das kleine Monitoring-Werkzeug Occtl,
das den Serverstatus oder eine Liste mit
aktiven Verbindungen ausgibt.
★★★★★ Ocserv ist eine interessante Alternative
zu den bewährten VPN-Lösungen
und eignet sich besonders für alle,
die bereits Systeme mit Any-Connect-
VPN im Einsatz haben.
n
Wer nach einer Alternative zu grafischen
Passwortmanagern sucht, der sollte sich
Gpgpwd ansehen. Wie der Namen vermuten
lässt, setzt das Tool auf Gnu PG,
um die Kennwörter sicher in der verschlüsselten
Datei »~/.gpgpwddb« wegzuschließen.
Das Kommando »gpgpwd set«, gefolgt
von einem eindeutigen Namen, trägt ein
neues Passwort in die Datei ein oder aktualisiert
ein bestehendes. Nachdem der
Benutzer sich mit seiner Gnu-PG-Passphrase
authentisiert hat, gibt er auf Aufforderung
das Kennwort ein. Alternativ
drückt er die Eingabetaste, und Gpgpwd
schlägt ein zufälliges Passwort für den
Dienst vor.
Um es wieder auszulesen, ruft der Nutzer
»gpgpwd get« zusammen mit dem
Namen auf. Wer sich genau erinnert, der
darf einen regulären Ausdruck verwenden.
Findet das Tool keinen Eintrag in
der Passwortdatei, stößt es selbstständig
eine Suche nach ähnlichen Begriffen an.
Andernfalls tippen Anwender »gpgpwd
get .«, um alle enthaltenen Einträge anzuzeigen.
Die Option »remove« entfernt
ein Kennwort, »rename« ändert den Bezeichner
für den Eintrag.
★★★★★ Gpgpwd ist ein schneller und
sicherer Passwortmanager, der auf das
bewährte Kryptographiesystem Gnu PG
setzt. Das Tool ist kinderleicht zu bedienen
und arbeitet auch via SSH. n

Software
www.linux-magazin.de Tooltipps 07/2014
60
Checkit 0.2.0
Integrität von Dateien testen
Quelle: [http:// dennisk. customer. netspace.​
net. au/ checkit. html]
Lizenz: GPLv3
Alternativen: Integrit, Afick
Ddpt 0.94
Daten blockweise kopieren
Quelle: [http:// sg. danny. cz/ sg/ ddpt. html]
Lizenz: BSD
Alternativen: Dd
Webalizer Xtended 2.23-08-RB30
Traffic-Analyse für Webserver
Quelle: [http:// www. patrickfrei. ch/​
webalizer]
Lizenz: GPLv2
Alternativen: Webalizer, Awstats, Piwik
Dateisysteme wie Btr-FS oder ZFS versehen
alle Dateien mit einer Prüfsumme
und erkennen fehlerhafte Daten praktisch
sofort. Dies ermöglicht es dem Anwender,
jederzeit die Datei-Integrität zu kontrollieren.
Andere Dateisysteme bieten ein
solches Feature nicht von Haus aus – hier
schafft Checkit Abhilfe. Das Konsolentool
erzeugt, verwaltet und kontrolliert Prüfsummen
im Verzeichnissystem und nutzt
dazu den CRC-64-Algorithmus.
Um eine Prüfsumme anzulegen, rufen
Anwender »checkit ‐s« gefolgt vom Dateinamen
auf. Die Option »‐r« erfasst rekursiv
ganze Verzeichnisbäume. Das Tool
ermittelt die Prüfsummen und schreibt
das Ergebnis auf die Standardausgabe.
Außerdem speichert es den CRC-Wert als
ein erweitertes Attribut im Dateisystem
oder optional in einer versteckten Datei.
Das Programm unterstützt daher nur
Dateisysteme, die erweiterte Attribute unterstützen.
Dazu gehören unter anderem
Ext 2, Ext 3, Ext 4, XFS, JFS und Btr-FS.
Die Windows-Version des Tools arbeitet
mit Vfat und NTFS.
Zum späteren Vergleich rufen Benutzer
das Tool mit dem Parameter »‐c« und dem
Dateinamen auf. Benötigen sie die Prüfsumme
einer Datei nicht mehr, entfernt
die Option »‐x« sie wieder. Hat sich eine
Datei verändert, müssen Anwender die
Prüfsumme nicht erst löschen und neu
anlegen. In diesem Fall reicht es aus, sie
mit »‐o« zu aktualisieren.
★★★★★ Checkit ist ein junges Projekt,
das Dateisysteme um eine Integritätskontrolle
mittels Prüfsummen erweitert. Da
es auf der Konsole arbeitet, binden Anwender
es bequem in eigene Skripte ein
und automatisieren ihre Analysen. n
Das Shellprogramm Ddpt überträgt
Daten zwischen Dateien oder Speichermedien.
Da das Tool Blöcke transferiert,
eignet es sich gut für blockorientierte
Geräte wie Band-, Disketten- und CD/​
DVD-Laufwerke, USB-Sticks und SD-Karten
sowie für andere Devices, die den
SCSI-Befehlssatz unterstützen.
Nicht nur der Name erinnert an das klassische
Dd-Tool – die Entwickler haben
auch viele Funktionen und Parameter
übernommen. So passen Anwender zum
Beispiel mit den Optionen »bs«, »ibs« und
»obs« die Blockgröße an, auch »count«
funktioniert genauso und legt die Anzahl
der übertragenen Blöcke fest.
Anders als Dd akzeptiert Ddpt einen
Punkt als Ausgabedatei und interpretiert
ihn als Null-Device. Zudem überschreibt
Ddpt nicht automatisch die Ausgabedatei.
Wer das möchte, der muss dies explizit
mit der Angabe »oflag=trunc« einschalten.
In Kombination mit »coe« (continue
on error) eignet sich das Tool damit
auch für Datenrettungsversuche. Mögliche
Aufrufoptionen sind »iflag=coe«,
»oflag=coe« oder auch »coe=1«.
Weitere nützliche Parameter lenken die
Ausgabe parallel in eine zweite Datei
um oder nehmen eine abgebrochene
Übertragung wieder auf. Auch die Datendurchsatzrate
schränken Anwender
bei Bedarf ein. Die Manpage und die Anleitung
auf der Projektseite beschreiben
alle Features und geben aussagekräftige
Beispiele.
★★★★★ Wer Dd oft und intensiv nutzt,
der sollte einen Blick auf Ddpt werfen.
Das Tool kombiniert Altbewährtes mit
neuen Funktionen. Da sich die Befehlssyntax
ähnelt, hält sich der Lernaufwand
in Grenzen.
n
Webalizer wertet die Logdateien von
Webservern aus und erzeugt Berichte
im HTML-Format. Das Tool beachtet
allerdings keine 404-HTTP-Fehlercodes.
Hier springt Webalizer Xtended in die
Bresche. Die Weiterentwicklung punktet
außerdem mit übersichtlicheren Beschriftungen,
benutzerdefinierten Tabellen und
eigenen Farbschemata.
Beim Aufruf nimmt das Tool die Protokolle
entgegen. Es erwartet sie im Common-
oder auch Combined-Log-Format,
versteht Xferlog-Dateien gängiger FTP-
Server sowie das W3C Extended Log File
Format. Anwender geben außerdem das
Verzeichnis für die Berichte und optional
deren Titel an. Häufig benötigte Optionen
tragen Nutzer am besten in eine Konfigurationsdatei
ein. In der Voreinstellung
sucht das Tool nach der Datei »webalizer.
conf«, zuerst im aktuellen Verzeichnis
und danach in »/etc«.
Das Archiv enthält eine Beispieldatei namens
»sample.conf«, die sich zur Vorlage
eignet. Neben Angaben zu Verzeichnissen
und zu erstellenden Statistiken ist
hier auch das HTML-Grundgerüst der
Berichte definiert. Wer die protokollierten
IP-Adressen mit einer Geo-Datenbank
abgleichen möchte, findet hier ebenfalls
entsprechende Einträge.
★★★★★ Webalizer Xtended ist eine
gelungene Weiterentwicklung eines bewährten
Analysetools, die oft vermisste
Features nachrüstet. Wer die Logfiles
optimal auswerten möchte, sollte die
Beispielkonfiguration und die Manpage
studieren. (U. Vollbracht/​hej) n

JETZT NEU
AM KIOSK!
Mit DVD für
nur 12,80 Euro
Hier gleich bestellen:
medialinx-shop.de/ubuntu-spezial

Aus dem Alltag eines Sysadmin: Iwatch
Aber gleich!
Einführung 07 /2014
Sysadmin
Kürzlich stand Autor Charly vor der Aufgabe, ein Verzeichnis auf einem Server mit zwei NFS-gemounteten
Clients zu synchronisieren. Das Ganze sollte schnell passieren und leicht handhabbar sein. Damit waren DRBD
und Gluster-FS schon mal raus. Charly Kühnast
www.linux-magazin.de
63
Inhalt
64 Live-Kernelupdate
Den Linux-Kernel ohne Reboot zu patchen,
das versprechen Red Hats Kpatch
und Suses Kgraft.
70 Pinger
Hochauflösende Netzwerküberwachung
lässt sich schon mit gut durchdachten
Pings bewerkstelligen.
Mein Synchronisier-Setup schaut im
Groben so aus: Ein Applikationsserver
liest zyklisch Werte aus einer Datenbank,
flicht daraus HTML-Dateien und einige
Bilder und legt alles in dem Verzeichnis
»/source« ab. Per NFS 4 eingehängt sind
die Verzeichnisse »/dest1« und »/dest2«.
Wann immer es neue Daten in »/source«
gibt, sollen diese baldmöglichst in die
beiden Zielverzeichnisse gelangen.
Einfach und schon
lange dabei
Da komplexere Lösungen nicht in Frage
kommen, bleibt eigentlich nur noch übrig,
die Aufgabe dem Inotify-Subsystem
in den Schoß zu werfen. Inotify ist seit
2.6.13 Bestandteil des Kernels und bietet
Userspace-Programmen eine Schnittstelle
zu Dateisystem-Ereignissen an. Abseits
von Incron [1] habe ich dafür bisher kaum
Verwendung gefunden, aber für das zeitnahe
Syncen von Verzeichnissen sollte
Der Autor
Charly Kühnast administriert
Unix-Syste me im Rechenzentrum
Niederrhein. Zu seinen
Aufgaben gehören Sicherheit
und Verfügbarkeit der
Firewalls und der DMZ.
es ideal sein – so
meine Überlegung.
Fehlt nur noch das
passende Tool für
die Aufgabe.
Eine kurze Recherche
brachte gleich
zwei Kandidaten
ans Licht: Lsyncd
und Iwatch. Da zu
Lsyncd bereits ein
guter Linux-Magazin-Artikel
[2] erschien,
kon zentrie
re ich mich hier
auf Iwatch.
Der Wächter eignet
sich für den Betrieb im Vordergrund
genauso wie als Daemon. Im einfachsten
Fall lasse ich beispielsweise mit »iwatch
‐r /var« ein Verzeichnis lediglich beobachten,
ohne eine Aktion auszulösen.
Iwatch meldet dann:
[ 6/May/2014 20:49:30] IN_CREATEU
/var/tmp/etilqs_SqorfaOvdiBaBI7
[ 6/May/2014 20:49:30] IN_DELETEU
/var/tmp/etilqs_SqorfaOvdiBaBI7
Mit dem Parameter »‐c Aktion« weise
ich Iwatch dagegen an, auf Ereignisse
zu reagieren. Um der Parameterhölle zu
entfliehen, erscheint mir eine Konfigurationsdatei
wie in Abbildung 1 besser
zu sein. Der spannende Teil der Konfiguration
steht im »«-Tag. Dort
bestimme ich mit »type=recursive«, dass
Iwatch auch Verzeichnisse unterhalb von
»/source« einbeziehen möge.
Im Falle eines Dateisystem-Ereignisses
startet der Mechanismus das Shellskript
»/home/charly/bash/sync.sh«. Dabei
übergibt Iwatch dem Skript die Variable
»%f«. Darin steht der vollständige Pfad
der Datei, die sich geändert hat.
Abbildung 1: Iwatch lässt sich per Konfigurationsdatei besser steuern als über die Kommandozeile.
Die zu überwachenden Verzeichnisse gehören in »«-Tags.
Das Skript »sync.sh« wiederum ist ein
schlanker Zweizeiler:
#!/bin/bash
rsync ‐a ‐‐delete $1 /dest1/$1 &
rsync ‐a ‐‐delete $1 /dest2/$1 &
Das klappt recht gut, wenn die Anzahl
der zu verarbeitenden Ereignisse nicht
exorbitant ansteigt. Wenn doch – wie
etwa beim Syncen einer sechsstelligen
Anzahl sehr kleiner Dateien, die der Server
in maximaler Geschwindigkeit auf
die Platte nagelt –, kommt es zu einer
beachtlichen Menge Schlange stehender
Rsync-Prozesse. Nicht, dass mir das
schon mal passiert wäre – hust! (jk) n
Infos
[1] Charly Kühnast, „Aus dem Alltag eines Sysadmin:
Incron“: Linux-Magazin 02/​07, S. 71,
[http:// www. linux‐magazin. de/ Ausgaben/​
2007/ 02/ Event‐gesteuert] (HTML) sowie
auf vorliegender Delug-DVD (PDF)
[2] „Tooltipps Extended: Lsyncd“:
[http:// www. linux‐magazin. de/ NEWS/​
Tooltipps‐Extended‐Lsyncd]

Sysadmin
www.linux-magazin.de Kernel-Patcher 07/2014
64
Kpatch und Kgraft
Erste Hilfe
Den Kernel mit Security-Updates im laufenden Betrieb patchen, das ist das Ziel von zwei Projekten, mit denen
derzeit Red Hat und Suse vorpreschen. Kpatch und Kgraft teilen manche Ansätze, unterscheiden sich aber
auch in vielen Details und sind derzeit noch nicht für den produktiven Einsatz geeignet. Martin Loschwitz
freuen. Kernel- und Treiberentwickler
könnten deutlich effizienter arbeiten,
wenn sie nicht nach jedem Code-Update
einen Neustart durchführen müssten –
so genannte Hotpatches stehen auch bei
ihnen hoch im Kurs.
Ksplice
© Anatoliy Samara, 123RF
Bei Verbesserungen des Linux-Kernels
oder bei Security-Updates vertrauen
Admins meist der uralten Binärprozedur:
Sie installieren aktualisierte Pakete des
Kernels von ihrem Distributor oder bauen
sich selbst einen neuen Kern, um dann
das System neu zu starten.
Wer die Kernelupdates diverser Distributionen
in den vergangenen Monaten und
Jahren aufmerksam verfolgt hat, mag
dabei schnell zu dem Schluss kommen,
dass die jahrelangen, legendären Linux-
Uptimes heute nur mehr mit unterlassenen
Kernelpatches und damit einhergehenden
Sicherheitslücken oder anderen
Risiken machbar seien.
Geht gar nicht mehr:
Cluster rebooten
Erst nach dem Reboot stehen schließlich
die neuen Kernelfunktionen beziehungsweise
die gewünschten Security-Fixes
zur Verfügung. Dieser Vorgang, obgleich
täglich tausendfach überall auf der Welt
durchgeführt, wirkt zunächst völlig unspektakulär,
sorgt aber im Hintergrund
gelegentlich für Geräusche, die jeder
Admin sich lieber ersparen würde.
Gehört der neu zu startende Server zum
Beispiel zu einem Cluster, muss der
Administrator Sorge dafür tragen, dass
Pacemaker oder ein anderer Clustermanager
nicht versehentlich einen Ausfall
entdeckt und Notfallmaßnahmen einleitet.
Laufende Services verschiebt der
Cluster-Admin in der Regel manuell vor
dem Reboot auf andere Systeme.
Doch der Reboot bedeutet ja nicht nur Arbeit,
sondern in vielen Fällen auch Ausfallzeit,
Downtimes für Services, deren
Effekte der Admin abzufedern hat. Nicht
zuletzt deshalb trachten IT-Verantwortliche
in aller Welt danach, Neustarts zu
verhindern, auch wenn „bloß ein neuer
Kernel eingespielt worden ist“.
Aber auch noch andere Benutzergruppen
würden sich über derlei Möglichkeit
Bis jetzt war das auf Linux leider Illusion.
Doch vor einigen Wochen brachten sowohl
Suse als auch Red Hat Lösungen auf
den Markt, die das Patchen des Kernels
im laufenden Betrieb möglich machen
sollen. Doch weder Suse noch Red Hat
haben das Prinzip erfunden: Oracle stellt
mit Ksplice [1] bereits seit einiger Zeit
eine Lösung dieser Art zur Verfügung,
die aber unter diversen patentrechlichen
Problemen leidet und deren Lizenzbedingungen
nur bedingt zuversichtlich stimmen.
Zudem behält Oracle das Werkzeug
mittlerweile ausschließlich den eigenen
Business-Kunden vor, die Open-Source-
Variante von Ksplice wird seit geraumer
Zeit nicht mehr entwickelt.
Not invented here?
Sowohl Red Hat als auch Suse bieten
in Form von Kpatch [2] und Kgraft [3]
Alternativen an, die Ksplice in Sachen
Funktionalität ebenbürtig sein sollen.
Technisch gibt es zwischen den Ansätzen
große Unterschiede, auch die gebotene
Funktionalität divergiert merklich. Vielleicht
ist das auch der Grund dafür, dass
Red Hat und Suse mit eigenen Ansätzen
vorpreschen, statt sich auf die gleiche
Entwicklung zu einigen.
Böse Zungen schieben die Entscheidung
allerdings eher auf Red Hats angeblich
chronisches Not-invented-here-Syndrom,

doch dürften in diesem konkreten Fall
tatsächlich technische Details den Ausschlag
gegeben haben.
Kgraft von Suse
Kgraft kommt aus Suses eigener Entwicklungsabteilung.
Mittlerweile hat das Konzept
Serienreife erlangt und sich der Hersteller
damit an die Öffentlichkeit gewagt.
Kgraft macht sich eine ganze Reihe von
Funktionen zunutze, die moderne Versionen
des Linux-Kernels unterstützen,
dazu gehören INT3-Trap-Calls genauso
wie Ready-Copy Updates (RCU) und Memory
Profiling per Mcount. Das Potpourri
aus Ansätzen verleiht Kgraft am Ende die
Fähigkeiten, die es braucht, um Code im
Kernel on the Fly durch anderen Code
zu ersetzen.
Was dann folgt, ist technisch hochgradig
komplex. Kgraft macht sich zum Beispiel
massiv die Tatsache zunutze, dass der
Profiling-Code von GCC am Anfang jeder
Funktion beim Kompilieren etwas Platz
lässt. In diesem Bereich liegen anfänglich
Aufrufe der »ftrace()«-Funktion über
einen »@__fentry__@‐Call«. Allerdings
werden diese beim Systemboot durch
NOP-Einträge ersetzt. Jede Funktion hat
am Anfang also eine gewollte Leerstelle,
eben jene »NOP«-Einträge.
Kgraft nutzt genau die und ersetzt sie
durch INT3-Handler, die beim Aufruf einer
spezifischen Funktion ohne weitere
Zwischenschritte sofort an eine andere
Stelle des Kernelcodes springen können.
Anders formuliert: Der Aufruf einer
Funktion in einem Kernel mit Support für
Kgraft führt stets dazu, dass Kgraft selbst
aufgerufen wird. Kgraft sitzt also überall
mit im Boot.
Patches als Kernelmodule
Da stellt sich sofort die Frage, wie der
Code in den Kernel kommt, zu dem der
Handler im Kgraft-Fall springen soll. Die
Suse-Entwickler beschlossen, gepatchten
Kernelcode in Form ganz normaler
Kernelmodule zur Verfügung zu stellen.
Damit ein Anwender also Code on the
Fly ersetzen kann, braucht er ein entsprechendes
Kernelmodul mit einer neueren
Version der gewünschten Funktion. Nur
Funktionen im Kernel lassen sich mittels
Kgraft austauschen; an den internen Datenstrukturen
des Kernels lässt sich über
Kgraft nicht drehen.
Die Kgraft-Kernelmodule lädt der Admin
eines Systems genau so wie jedes andere
Modul auch. Das ist praktisch, da sich
Kgraft-Updates in die vorhandene Paketarchitektur
vieler Distributionen integrieren
lassen. Für Suse, Red Hat, Debian und
Ubuntu ist es schließlich nichts Neues,
Kernelfunktionen über zusätzliche Modulpakete
zu liefern. Bis jetzt hat das
Verfahren zwar nur Treiber betroffen, die
vorher nicht im Kernel waren. Aber mit
Blick auf die Interfaces, die die Kgraft-
Module besitzen, sind sie identisch zu
normalen Kernelmodulen.
Dieses Prinzip erlaubt es, Kgraft-Patches
in Form von Paketen über alle Systeme
einer Installation zu verteilen und sie
dort mittels »insmod« in den laufenden
Kernel zu spielen. Wer Puppet oder Chef
nutzt, kann den gesamten Vorgang sogar
automatisieren. Viel bequemer lassen
sich In-Place-Updates von Kernelfunktionen
kaum noch gestalten. So sammelt
sich Modul um Modul, bis der Admin in
Ruhe einen Reboot durchführt. Ob dieser
stetig wachsende Modulstapel irgendwelche
Probleme verursacht, muss sich aber
erst noch zeigen, weil Erfahrungswerte
bisher fehlen.
Variante drei: Red Hats
Kpatch
Auch Red Hat präsentiert gerade eine
Lösung, die das Austauschen von Kernelcode
im laufenden Betrieb ermöglicht.
Bei den roten Hüten nennt sich
das Ganze Kpatch [2], und so wie Suse
Kgraft alleine entwickelt hat, stampfte
auch Red Hat Kpatch selber aus dem
Boden. Direkte Anleihen an Oracles
Ksplice bestehen also in beiden Fällen
nicht. Technisch folgt Kpatch in gewisser
Hinsicht den grundlegenden Entscheidungen,
die auch Kgraft verwendet. Und
doch gibt es massive Unterschiede. E
Kernel-Patcher 07/2014
Sysadmin
www.linux-magazin.de
65

Sysadmin
www.linux-magazin.de Kernel-Patcher 07/2014
66
Abbildung 1: Testsysteme im Einsatz: Suse 13.1 mit Kernel 3.13 und Fedora 20 mit einem nagelneuen 3.14er.
Zunächst zu den Gemeinsamkeiten: Wie
Suses Kgraft klinkt sich auch Kpatch in
den Kernel über das Ftrace-Subsystem ein,
das GCC beim Kompilieren automatisch
einbezieht. Letztlich fängt Kpatch Funktionsaufrufe
also auf sehr ähnliche Weise
ab. Anders als Kgraft kommt Kpatch aber
selbst als Kernelmodul daher, Admins
brauchen den Hostkernel also nicht für
den Hotpatch-Mechanismus zu patchen
wie bei Suse.
Das bietet beispielsweise für die Szenarien
Vorteile, in denen Admins den Patchmechanismus
selbst durch eine neuere
Version austauschen möchten. Bei Suse
impliziert das zwangsläufig einen Reboot,
bei Red Hat nicht.
Kpatch schiebt übrigens gleich zwei
Module in den Kernel: Das »hot patch
module« enthält die eigentliche Kpatch-
Funktionalität und das »core module«
stellt das Interface zur Verfügung, über
das sich später Patches in den Kernel
einspielen lassen.
Auch bei Kpatch: Schon
wieder Patch-Module
Auch Kpatch erwartet die Updates für
Funktionen in Form von Kernelmodulen,
die in den Hostkernel zu laden sind. Beim
01 $ diff ‐ruN orig/fs/proc/meminfo.c new/fs/proc/
meminfo.c
02 ‐‐‐ orig/fs/proc/meminfo.c 2014‐03‐31 05:40:15.
000000000 +0200
03 +++ new/fs/proc/meminfo.c 2014‐05‐11 16:33:19.
148771809 +0200
04 @@ ‐131,7 +131,7 @@
Listing 1: »meminfo‐string.patch« für Fedora 20
05 "Committed_AS: %8lu kB\n"
Aufruf einer Funktion, die in neuerer Version
über ein Kpatch-Patch bereitsteht,
wird der Aufruf der Funktion dann zur
„neuen“ Version der Funktion weitergeleitet.
Das »core module« dient als zentrale
Patch-Registry und weiß, ob für eine
bestimmte Funktion ein Patch per Kpatch
installiert ist; abhängig davon führt es
alten oder neuen Code aus.
Red Hat liefert übrigens mit Kpatch ein
Werkzeug namens »kpatch‐build« aus,
das aus einem Patch für Linux ein Update-Modul
macht. Und ebenso gehört
auch ein Kpatch-Utility zum Lieferumfang,
das die vorhandenen Hotpatches
komfortabel verwaltet. Über dieses Werkzeug
lassen sich sogar Patches definieren,
die nach einem Systemneustart erneut
geladen werden sollen.
Das klingt zwar zunächst, als konterkariere
es den Kpatch-Ansatz insgesamt,
ist dabei in Wirklichkeit aber sehr pfiffig:
Wenn ein Admin sich eine funktionierende
Kombination aus stabilem Kernel
und zusätzlichen Patches gebaut hat und
es fällt danach der Strom aus, sodass ein
Reboot unumgänglich wird, so möchte
er möglicherweise nicht gleich durch ein
Kernelupdate eine zweite Baustelle aufmachen,
sondern die bekante Umgebung
wieder laden. Dabei hilft, wie sich das
06 "VmallocTotal: %8lu kB\n"
07 "VmallocUsed: %8lu kB\n"
08 ‐ "VmallocChunk: %8lu kB\n"
09 + "VMALLOCCHUNK: %8lu kB\n"
10 #ifdef CONFIG_MEMORY_FAILURE
11 "HardwareCorrupted: %5lu kB\n"
12 #endif
Laden von Modulen mit dem Kpatch-
Utility realisieren lässt.
In der Praxis
Im Alltag fallen beim Vergleich beider Lösungen
mehrere Details auf: So arbeitet
Kpatch gründlicher, als es bei Kgraft der
Fall ist. Im Kgraft-Beispiel gilt das Patch
für eine Funktion nämlich nur für Aufrufe
der Funktion, die nach dem Anwenden
des Patch stattfinden. Funktionen, die
schon vorher liefen, bleiben vom Patch
unbeeinflusst.
So können mehrere Versionen der gleichen
Funktion im Kernelspace vorliegen.
Das wird möglicherweise dann zum Problem,
wenn ein Kernelpatch ein kritisches
Problem behebt und davon auch zentrale
Treiber wie die für Netzwerkhardware
betroffen sind. Denn jene lassen sich
nicht ohne Weiteres ent- und wieder neu
laden, um in den Genuss der korrigierten
Funktionen zu kommen.
Red Hat folgt einer anderen Philosophie;
ist ein Kpatch-Patch erst mal geladen,
ersetzt es alle schon aktiven Funktionsaufrufe
im Kernel ebenfalls durch die
neue Version der Funktion, sodass das
beschriebene Problem bei Red Hat gar
nicht erst auftreten kann.
Die folgenden Anleitungen zeigen, wie
sich Kgraft auf Open Suse 13.1 und
Kpatch auf Fedora in der Version 20 mit
recht neuen Kerneln (Abbildung 1) in
Betrieb nehmen lassen. Das gelingt zwar
auch auf anderen Distributionen, doch
gestaltet sich dort der Installationsaufwand
deutlich umfangreicher.
Angetestet: Kpatch auf
Fedora
Auf Fedora 20 steht zunächst die Installation
einiger Zusatzpakete an. Die
folgende Anleitung setzt voraus, dass
alle Pakete systemweit auf dem neuesten
Stand sind. Zum Einsatz kommt die zu
Redaktionsschluss aktuelle Kernelversion
3.14.3-200.fc20. Für ein funktionierendes
Kpatch sind folgende Pakete notwendig:
n »gcc«
n »kernel‐devel«
n »elfutils« und »elfutils‐devel«
n »rpmdevtools«
n »pesign«
n »yum‐utils«

Abbildung 2: Vor dem Einspielen des Patch mit Kpatch (links) zeigt »/proc/meminfo« das gewohnte Bild.
Nach dem Laden des Patch findet sich an gleicher Stelle »VMALLOCCHUNK«, jetzt in Großbuchstaben.
Der Befehl »yum‐builddep« kümmert sich
nach der Installation der genannten Pakete
per »yum install« darum, dass auch
die passenden Kernelheader ihren Weg
auf das System finden. Wer Ccache nutzen
möchte, sollte dieses Paket ebenso
installieren. Danach folgt der Download
von Kpatch selbst: Mittels Git lässt sich
das Repo auf die lokale Platte spiegeln.
»git clone https://github.com/dynup/
kpatch« tut genau dies. Mit »cd kpatch
&& make && make install« sorgt der
Admin dafür, dass die Module zur Verfügung
stehen.
Um zu testen, ob Kpatch wie gewünscht
funktioniert, hilft das Anwenden eines
kleinen Patch. Das Red-Hat-Beispiel
schlägt vor, »/proc/meminfo« so zu ändern,
dass der Kernel die »VmallocChunk«-
Zeile fortan durchgehend in Großbuchstaben
anzeigt. Für Fedora 20 erledigt
dies das Patch in Listing 1.
Nach dem Editieren folgt der Prozess,
der das eigentliche Kpatch-Patch baut:
»Kpatch‐build meminfo‐string.patch«
stößt den Prozess an. Im Anschluss
muss der Admin dann seine Geduld unter
Beweis stellen, denn für ein Kpatch-
Modul baut das Helper-Tool im ersten
Schritt den originalen Kernel, im zweiten
Schritt den gepatchten, und erst im dritten
Schritt wird dann aus dem Delta der
beiden Trees das Kpatch-Modul gebildet.
Das erklärt auch, warum der Einsatz von
»ccache« sinnvoll ist.
Wer erstmals mit Kpatch arbeitet, wird
sich von der Dauer dieses Prozedere
möglicherweise genervt fühlen, doch bei
Dutzenden von Rechnern relativiert sich
der Zeitverlust durch das Kompilieren eines
Kernels statt der zahlreichen Reboots
schnell wieder.
Am Ende des Bauvorgangs steht ein
»Kpatch‐meminfo‐string.ko«, das sich
mit »sudo Kpatch load Kpatch‐meminfo‐string.ko«
in den Kernel bugsieren
lässt. Ein Blick in »/proc/meminfo« verrät
anschließend, dass die Änderung
tatsächlich funktioniert hat (Abbildung
2). Nach dem gleichen Schema würden
die Änderungen anderer Funktionen im
Kernel ebenfalls funktionieren.
Höhere Einstiegshürde:
Kgraft auf Open Suse
Erwartungsgemäß stellt sich im Test heraus,
dass die Einstiegshürde für Kgraft
auf Open Suse ein Stück höher liegt (Abbildung
3). Das liegt daran, dass Kgraft
sich nicht als Modul für Linux bauen
lässt, sondern einen speziell gepatchten
Kernel zwingend voraussetzt. Bevor sich
Kgraft nutzen lässt, ist immer das Bauen
eines Kernels angesagt.
Während der verantwortliche Red-Hat-
Entwickler in »README.md« des Kpatch-
Github-Repository ausführliche Kpatch-
Installationsanleitungen bereitstellt, fällt
die Dokumentation für Kgraft vergleichsweise
spärlich aus. Suse gibt zwar den
Link [4] an, dort finden Interessenten
die Kgraft-gepatchte Version des gerade
aktuellen Suse-Kernels – aber nur im
Quelltext, ausführliche Anleitungen sind
nicht zu entdecken (Abbildung 4). Bei
dem durchaus nicht trivialen Vorgang, einem
Open-Suse-System per Selbstbau das
Hirn auszutauschen, bleibt der Admin
also zunächst auf sich gestellt.
Wer die Dokumentation gefunden hat,
startet eine wahre Bastel-Orgie: Nach einem
Git-Checkout des Repository vom
Entwickler Jiri Slaby steht das Kompilieren
des Quelltextes an. Suse beschreibt
in einem eigenen Blogeintrag unter [5],
wie sich ein Kernel nach Suse-Manier
herstellen lässt, trivial ist der Tausch des
Kerns dennoch nicht.
Und selbst im Anschluss an den erfolgreichen
Start eines Selbstbau-Kernels
sind die Strapazen noch nicht zu Ende.
Denn ähnlich wie bei Kpatch obliegt es
anschließend dem User selbst, mit Hilfe
verschiedener Skripte von Slaby die passenden
Moduldateien zu bauen. Am
Ende des Vorgangs darf er diese in den
Kernel laden.
Es würde diesen Artikel sprengen, eine
detaillierte Erklärung der benötigten
Schritte bis zum einsatzbereiten Kgraft-
System abzuliefern; wer sich für Details
interessiert, inspiziert das genannte
Repository von Jiri Slaby.
Gleichgemacht
Die Idee, Kernelpflaster on the Fly anzuwenden
und nicht das Booten eines
neuen Kernels zu verlangen, ist prinzipiell
großartig. Denn während sich der
Aufwand bei einzelnen Systemen noch
in Grenzen hält, ist das koordinierte Rebooten
von Hunderten oder Tausenden
Nodes in großen Installationen ein Kraftakt.
Da kommt es gerede recht, wenn sich
eine Korrektur im laufenden Betrieb und
Kernel-Patcher 07/2014
Sysadmin
www.linux-magazin.de
67

Sysadmin
www.linux-magazin.de Kernel-Patcher 07/2014
68
Abbildung 3: Auch Kgraft von Suse erlaubt das Laden einzelner Patches in den Kern zur Laufzeit. Doch die
Einstiegshürden sind wesentlich höher.
ohne großes Aufsehen installieren lässt.
Bis die Technik tatsächlich beim Endanwender
ankommt, wird es aber dauern.
Und derzeit ist ja noch komplett unklar,
wohin die Reise überhaupt geht.
Vorteil Red Hat
Für die Red-Hat-Lösung lassen sich gegenüber
der Suse-Idee Vorteile ausmachen.
Dass man den Kernel nicht patchen
muss, um Live-Patches möglich zu
machen, ist sicher hilfreich. Auch das
Abfangen eventueller Fehler scheint bei
Kpatch derzeit besser zu funktionieren,
als es bei Kgraft der Fall ist.
Rein äußerlich tun beide Lösungen allerdings
das Gleiche, wer sich nicht mit
der Thematik beschäftigt, dem fallen die
Unterschiede nur bei der Bedienung auf
oder bei der Installation, die bei Kpatch
um vieles leichter als bei Kgraft und viel
besser dokumentiert ist.
Wie immer stellt sich bei Kernel-bezogenen
Features freilich die Frage, wie es mit
den Lösungen weitergeht. Suse wie auch
Red Hat haben angekündigt, ihre Live-
Patch-Lösung in absehbarer Zeit zum Bestandteil
des offiziellen Kernels machen
zu wollen. Damit das klappt, müssen sie
allerdings das Plazet von Linus Torvalds
haben, der sich in der Vergangenheit
immer wieder als Kernel-Zerberus einen
Namen gemacht hat.
Auch ist bekannt, dass Torvalds wenig
begeistert davon ist, in Linux mehrere
Implementierungen für gleiche oder sehr
ähnliche Features zu haben. Dass er
Kgraft und Kpatch gleichermaßen durchwinkt,
scheint eher unwahrscheinlich.
Was wird passieren? Denkbar scheint,
dass eine der zwei Lösungen sich durchsetzt
und die andere verdrängt. Oder dass
Torvalds auf ein Joint-Venture drängt und
so eine dritte Lösung entsteht, die Vorteile
beider Systeme kombiniert.
Wer Kpatch oder Kgraft bereits jetzt
ausprobieren will, findet weder in der
Community-Version Open Suse noch in
Fedora passende Pakete, es ist also im
Augenblick noch massive Handarbeit angesagt
– bei Suse deutlich mehr als bei
Fedora. (mfe)
n
Infos
[1] Ksplice: [https:// www. ksplice. com/]
[2] Kpatch: [http:// rhelblog. redhat. com/ 2014/​
02/ 26/ Kpatch/]
[3] Kgraft: [https:// www. suse. com/ promo/​
kgraft. html]
[4] Kgraft-Tree: [https:// git. kernel. org/ cgit/​
linux/ kernel/ git/ jirislaby/ kgraft. git/]
[5] Suses Kernel-Howto: [https:// www. suse.​
com/ communities/ conversations/ compiling
‐de‐linux‐kernel‐suse‐way/]
Der Autor
Martin Gerhard Loschwitz
arbeitet als Principal Consultant
bei Hastexo. Er beschäftigt
sich dort intensiv mit
den Themen HA, Distributed
Storage und Open Stack. In
seiner Freizeit pflegt er den Clustermanager
Pacemaker für Debian.
Abbildung 4: Suse stellt den Kgraft-Tree bereit, liefert aber praktisch keine Dokumentation mit, die dem
Admin verrät, was er damit tun soll. Am Ende ist viel Handarbeit angesagt.

Sysadmin
www.linux-magazin.de Pinger 07/2014
70
Hochauflösende Netzwerküberwachung mit Pings
Mit der Stoppuhr
Die Round Trip Time (RTT) von Pings verlängert sich, wenn die Pakete Netzwerkgeräte oder lange Leitungen
durchlaufen. Der Autor zeigt mit Messreihen und einem eigenen Programm, wie er damit Switches und transparente
Bridges aufspürt und Kabellängen ermittelt. Rolf Freitag
© Sergey Jarochkin, 123RF.com
Das Ping-Kommando ist jedem Linux-
Anwender vertraut. Er verwendet es, um
festzustellen, ob ein bestimmter Host im
Netzwerk erreichbar ist und mit welcher
Paketumlaufzeit, meist Round Trip Time
(RTT) genannt. Gebräuchliche Ping-Programme
unter Linux wie das aus dem
Iputils-Paket [1] erstellen auch Statistiken
mit dem RTT-Mittelwert. Allerdings
schwankt dabei der Mittelwert von Tausenden
Pings so stark, dass man allein
damit keine Hochauflösung im Rahmen
von wenigen Mikrosekunden bis Nanosekunden
erhalten kann.
Dabei sind diese Feinheiten interessant,
um das Netzwerk und die Geräte darin
zu erkunden. Hier hilft die fachgerechte
Auswertung, also das Ausfiltern
von RTT-Ausreißern vor der Mittelwertberechnung,
um eine Auflösung von
unter einer Mikrosekunde zu erhalten.
Daneben bieten einige Ping-Programme
zusätzliche Features, die meist ungenutzt
bleiben, beispielsweise die Möglichkeit,
ein Bitmuster im Ping-Paket zu schicken
und damit auch Data Rot (Datenfäule)
festzustellen, also die Beschädigung von
Daten im Netzwerk.
Der Artikel beschäftigt sich mit dem klassischen
ICMP-Ping mit IPv4. Das meiste
lässt sich aber auch auf andere Pings wie
Arping [2], Httping [3] und Ipmiping
[4] übertragen – im Grunde auf alles,
was eine RTT ergibt, etwa der Download
einer kleinen Datei mit Wget oder die Zeit
für das Auslesen des USB-Registers eines
USB-Adapters.
Störenfriede
Pingen im Gigabit-LAN liefert mehrheitlich
annähernd Gauß-verteilte RTT-Messwerte,
die vorwiegend um 200 Mikrosekunden
liegen. Daneben treten aber
einige Ausreißer mit sehr viel höheren
Werten zu Tage, die den Mittelwert ver-
schieben. Listing 1 zeigt ein Beispiel mit
nur einem Ausreißer bei 100 Messwerten.
Es stammt vom Pingen zwischen
zwei vier Jahre alten PCs, der eine unter
Debian mit Kernel 3.1.0-1-amd64, der andere
unter Ubuntu mit Kernel 3.5.0-18-generic
sowie von einem Gigabit-Switch
zwischen den Rechnern.
Ein einzelner Ausreißer verschiebt hier
den Mittelwert »avg« um über 1000 Prozent,
von rund 0,2 auf über 5 Millisekunden.
Wie mehrere Messungen zeigen,
schwanken die RTT-Mittelwerte auch
dann noch stark, wenn man die Anzahl
der Pings (n) auf mehrere Tausend erhöht.
Das geschieht, weil die Ausreißer
nicht nur relativ groß sind, sondern zusätzlich
so stark streuen, dass der Mittelwert
auch bei n = 86 400 um zirka 50
Prozent variiert.
Diese extrem hohen Ausreißer würden
bei einem Pendel mit einer Schwingungsdauer
von rund 1 Sekunde (Sekundenpendel)
bedeuten, dass es zu 99
Prozent wirklich etwa eine Sekunde pro
Schwingung benötigt, aber gelegentlich
so extrem abbremst, dass es für eine
Schwingung eine ganze Stunde oder länger
braucht.
Hochpassfilter
Angesichts dessen liegt es nahe, einen
Störfilter einzusetzen, der solche extremen
Werte aussortiert. Der übliche Ansatz,
den manche noch aus dem Physik-
Praktikum an der Uni kennen, besteht
darin, in erster Näherung eine Gaußverteilung
der RTT-Messwerte (RTT) anzunehmen
und jene Werte zu verwerfen,
die vom Mittelwert (ohne Ausreißer)
mehr als 3 * Sigma entfernt sind. Da sich
solche Ausreißer nach unten hin nicht

Abbildung 1: Experimentell bestimmte RTT-Mittelwerte. Der Abfall (links) trat
auf, als ein Gigabit-Switch durch ein Stück Adapter ersetzt wurde.
zeigen und sie zudem aufgrund der geringen
Größe einen geringen Einfluss hätten,
braucht man nur die Ausreißer nach
oben abzuschneiden, nimmt also eine
Hochpass-Filterung vor.
Da das Ping-Kommando aus dem Paket
Iputils die Standardabweichung Sigma
im Feld »mdev« liefert, genügen wenige
Messungen mit jeweils ein paar Dutzend
Pings ohne Ausreißer, um Sigma per
Kommandozeile zu erhalten.
Im verwendeten Gigabit-LAN mit einem
Switch, an den mehrere Rechner angeschlossen
sind, zeigte sich ein Sigma um
45 Mikrosekunden. Damit empfiehlt sich
das Ausfiltern von Werten oberhalb 200
+ 3 * 45, also von 335 Mikrosekunden.
In der Praxis sollte man zur Sicherheit
etwas aufrunden, denn auch danach werden
die meisten Ausreißer, die ja typisch
im Bereich mehrerer 100 Millisekunden
bis Sekunden liegen, noch ausgefiltert.
Im Beispiel wären 400 Mikrosekunden
eine gute Wahl, also das Doppelte des
Mittelwerts ohne Ausreißer.
Diesen Abschneide-Wert (Cut-off) kann
man auch automatisch ermitteln lassen
– mittels Ausreißer-Tests oder dem
Bestimmen des Werts mit der höchsten
Dichte der RTT – und diesen einfach mit
2 multiplizieren. So etwas kann ein Programm
mit einer kurzen Aufwärmphase
vor der eigentlichen Messung automatisch
erledigen.
Nach dieser Rauschfilterung zeigt sich,
dass der mittlere Fehler des Mittelwerts
ungefähr Sigma dividiert durch die Quadratwurzel
von n beträgt, wie bei einer
Gaußverteilung zu erwarten. Dadurch
wird der mittlere Fehler des Mittelwerts
mit wachsendem n kleiner, bei n = 100
um den Faktor 10,
bei n = 10 6 um
den Faktor 1000
und so weiter.
Für die RTT in dem
gemessenen Gigabit-LAN
bedeutet
das, dass man sie
mit einer Standardabweichung
von
4,5 Mikrosekunden
be ziehungsweise
45 Nanosekunden
erhält. Die
Messung ist also
so hoch aufgelöst,
dass sie einen zwischengeschalteten
Switch oder auch ein längeres oder kürzeres
Netzwerkkabel registriert.
Das Programm Pinger
Um diese Beobachtungen in der Praxis
für die Langzeitüberwachung von Netzwerkverbindungen
einzusetzen, hat der
Autor das Kommandozeilen-Programm
Pinger [5] geschrieben. Es ruft das auf
dem System installierte Ping-Executable
auf, und zwar in der aktuellen Version
nur einmal pro Sekunde.
Damit erreicht es im Gigabit-LAN mit dem
RTT-Tagesmittel eine normalerweise ausreichende
Auflösung von (bis herab zu)
153 Nanosekunden, was rund 15 Metern
Kabellänge entspricht. Das 1000-Sekunden-Mittel
bietet eine Auflösung von (bis
herab zu) 1,5 Mikrosekunden, entsprechend
einem Zwanzigstel der zusätzlichen
Latenz durch einen Gigabit-Switch.
Zum Überwachen von 1000 Verbindungen
mit 28 Byte großen Pings braucht
das C-Programm nur 2 * 28 KByte/​s
Bandbreite. Für eine höhere Auflösung
kann der Anwender Pinger im Quelltext
anpassen und schneller pingen lassen,
beispielsweise jede Millisekunde.
Listing 1: Ping über Gigabit-Switch
01 [...]
Das Programm besteht aus einem Main-
Thread, der zehn Threads startet, die in
jeweils einer anderen Sekunde einen Ping
abschicken und auswerten. Dazu kommen
ein paar Funktionen zur Auswertung
und Ausgabe. Damit sich die Pings nicht
verfälschen lassen, füllt das Programm
sie jeweils mit einer 128 Bit langen Zufallszahl.
Zudem sind sie mit dem »don’t
fragment«-Flag versehen, damit Ping sie
am Stück als Paket verschickt.
Geglättet
Pinger gibt in der aktuellen Version nur
die exponentiell gleitenden Mittelwerte
aus. Verglichen mit den arithmetischen
Mittelwerten, also denen der n letzten
Messwerte, erreicht man dadurch eine
wesentlich kürzere Verzögerung bei gleicher
Glättung oder umgekehrt bei gleicher
Verzögerung wesentlich bessere Glättung.
Der Nachteil ist, dass die exponentielle
Glättung alte Werte noch längere Zeit –
exponentiell abklingend – mitschleppt,
während die arithmetischen Mittelwerte
die alten Werte nach n Messungen nicht
mehr berücksichtigen.
Um kurzzeitige, mittelzeitige und langzeitige
Änderungen bei der RTT und den
Rückgabewerten von Ping sichtbar zu
machen, erfolgt die Mittelung mit den
Glättungsfaktoren 0,1 und 0,001 sowie
1/​86 400 für (exponentielle) 10-Sekunden-Mittel,
1000-Sekunden-Mittel und
Tagesmittel. Wer möchte, kann daraus
auch weitere Parameter berechnen, beispielsweise
die Standardabweichung und
andere Momente der Verteilungsfunktion,
auf Wunsch auch geglättet.
Programmstart
02 64 bytes from 192.168.1.1: icmp_req=63 ttl=64 time=0.232 ms
03 64 bytes from 192.168.1.1: icmp_req=64 ttl=64 time=0.158 ms
04 64 bytes from 192.168.1.1: icmp_req=65 ttl=64 time=508 ms
05 64 bytes from 192.168.1.1: icmp_req=66 ttl=64 time=0.204 ms
06 64 bytes from 192.168.1.1: icmp_req=67 ttl=64 time=0.166 ms
07 ‐‐‐ 192.168.1.1 ping statistics ‐‐‐
Der Pinger-Quelltext [5] lässt sich mit
der Kommandozeile aus Listing 2 in
das Executable »pinger« übersetzen. Der
08 100 packets transmitted, 100 received, 0% packet loss, time 98998ms
09 rtt min/avg/max/mdev = 0.097/5.297/508.262/50.549 ms
www.linux-magazin.de
Pinger 07/2014
Pinger
71

Sysadmin
www.linux-magazin.de Pinger 07/2014
72
Anwender startet das resultierende Programm
als Root, um hohe Priorisierung
zu erhalten. Es nimmt drei Parameter
entgegen: die IP des Zielrechners, die
Abschneide-RTT in Nanosekunden und
die Netto-Ping-Größe in Byte:
./pinger 192.168.1.1 400000 16
Das Programm schreibt die Laufzeiten
in »rtt*«-Dateien, die Return-Werte der
Pings zur Fehlersuche in »retval*«-Dateien
im Arbeitsverzeichnis. Zum Auswerten
in Form eines 2-D-Plots dient das
Gnuplot-Skript »plotting3.sh« [5]:
./plotting3.sh rtt_10s_16B_192.168.1.1.txtU
| gnuplot
Es aktualisiert die Anzeige sekündlich,
sodass man eine laufende Messung auch
live verfolgen kann.
Rückgabewerte
Das Ping-Kommando liefert neben der
RTT auch einen Rückgabewert, und der
nimmt allerhand Werte an, weil Pong,
die Antwort auf das Ping, verschiedene
Nachrichten enthalten kann. Von A für
»communication with destination network
administratively prohibited« bis
Z für »communication with destination
host administratively prohibited«. Zudem
gibt es weitere Fälle wie beschädigte Daten
und ICMP-Fehlermeldungen.
Die Ping-Programme unterscheiden die
Fälle aber leider nicht besonders, sodass
auch die ganz brauchbare Version aus
dem Iputils-Paket nur drei verwendet,
wie in der Manpage nachzulesen ist:
„Empfängt Ping gar keine Antwortpakete,
terminiert es mit Code 1. Bei anderen
Fehlern terminiert es mit Code 2. In allen
anderen Fällen beendet es sich mit dem
Code 0.“
Da gibt es noch Optimierungspotenzial,
denn wenn ein Fehler auftritt, möchte
der Anwender zumindest die Fehlerart
Listing 2: Pinger kompilieren
01 gcc ‐D_REENTRANT ‐Wall ‐O3 ‐lm ‐pthread ‐o pinger
pinger.c && strip pinger
Listing 3: Kernelmeldungen
01 $ dmesg | grep ‐i eth | grep ‐i down
02 [1394543.075998] e1000e: eth0 NIC Link is Down
als Rückgabewert genannt bekommen.
Kurz gefasst liefert das Iputils-Ping den
Code 1 bei einem Timeout oder Verlust,
2 bei allen anderen Fehlern und 0, wenn
das Ping ohne Fehler zurückkam. Darum
lassen sich verloren gegangene Pings,
etwa durch Leitungsunterbrechungen,
am Rückgabewert 1 erkennen und andere
Fehler an 2.
In der Praxis zeigen sich aber Abweichungen
davon: Ist etwa das Netzwerk
des Zielrechners nicht erreichbar, meldet
Ping »Network is unreachable« und
gibt als Rückgabewert 2 aus. Damit kann
der Benutzer Leitungsunterbrechungen
nicht richtig von anderen Fehlern unterscheiden,
aber Unterbrechungen, beispielsweise
zum Zwischenschalten von
Spionageboxen, bewirken in jedem Fall
einen Rückgabewert ungleich Null.
Erfolgsquote
Das Programm Pinger erstellt deshalb zu
den Rückgabewerten ebenso wie zu den
RTTs exponentiell gleitende Mittelwerte
in der Einheit Prozent, sodass der Rückgabewert
0 normalerweise nahe 100 liegt
und die Codes 1 oder 2 bei Fehlern wie
Leitungsunterbrechungen deutlich über
0 ansteigen. Ein Vorteil gegenüber der
Überwachung mit den üblichen Monitoring-Programmen
wie etwa MRTG [6] ist,
dass Pinger die Werte sekündlich ermittelt,
während MRTG & Co. sie üblicherweise
nur alle 5 Minuten (300 Sekunden)
messen.
Abgesehen davon kann der Linuxer
Leitungsunterbrechungen am lokalen
Rechner anhand der Kernelmeldungen
nachvollziehen, wie Listing 3 zeigt. Den
aktuellen Status bei Ethernet erhält er mit
dem Programm »ethtool«.
Ähnlich verhält es sich es bei anderen
Rechnerkomponenten, beispielsweise bei
der Tastatur, zu der es unter anderem das
Timeout-Flag »0x40« auf Port »0x64« gibt
– auch bei PS/​2-Tastaturen, zu denen der
Kernel keine Meldungen liefert.
Elektrisches
Wünschenswert wären neben diesen
Informationen auch elektrische Daten,
denn mit ihnen kann der Netzwerk-Admin
nicht selten auch passives Leitungsanzapfen
aufspüren oder Leitungsunterbrechungen
genauer lokalisieren. Nur
die wenigsten Netzwerkgeräte stellen
sie allerdings zur Verfügung. Nur einzelne
Karten mit Marvell-Chip können
mit spezieller Software wie dem Marvell
Virtual Cable Tester einige elektrische
Daten liefern, aber die Ausgaben sind
nicht sehr detailliert, sondern von der Art
»Gut (Link established)«, »Fehlanpassung
(Impedance Mismatch)« oder »Leitungsbruch
in n Metern Entfernung« (auf zirka
1 Meter genau).
Etwas mehr zeigt die 3Com Advanced
Server Control Suite zu Netzwerkkarten
wie der 3Com 3C996B, zum Beispiel die
Frequenzabhängigkeit der Kabeldämpfung
sowie der Rückflussdämpfung,
sodass man damit auch kleine Manipulationen
wie den Austausch eines Kabels
durch ein anderes gleicher Länge,
aber mit anderen Eigenschaften, auch im
Nachhinein nachweisen kann.
Switch oder Bridge
aufspüren
Pinger lässt sich in der Praxis beispielsweise
einsetzen, um einen Switch oder
eine transparente Bridge im Gigabit-LAN
aufzuspüren. Ein solches Gerät ist im
Netzwerk kaum bemerkbar, weil es die
Datenpakete beim Durchleiten nicht verändert.
Dennoch könnte ein Angreifer
damit den Datenverkehr mitschneiden
(kopieren), auswerten oder manipulieren.
Ein reines Mithören bleibt anhand
der Daten unerkannt.
Allerdings gibt es zu Daten im Netzwerk
auch Metadaten wie die Latenz einer
Verbindung, und ein Switch bedeutet zusätzliche
Latenz: Er ist ein Verzögerungsglied
mit einer Verzögerung, die mit der
Paketgröße steigt. Der Grund ist, dass er
ein Datenpaket erst nach vollständigem
Empfangen und Verarbeiten weiterleitet,
sodass zumindest die Paketempfangszeit
als längere Laufzeit erkennbar wird. Theoretisch
sollte man daher mit möglichst
großen und unfragmentierten Datenpaketen
überwachen. In der Praxis hat sich
erwiesen, dass meist schon 44 Byte große
Pings genügen, wie ein Test in einem
Gigabit-LAN mit Switch zeigt.
Abbildung 1 visualisiert die RTT zwischen
zwei Linux-PCs. Anfänglich befindet
sich zwischen den Rechnern ein
Gigabit-Switch vom Typ D-Link DGS-

Pinger 07/2014
Pinger
G Abbildung 2: Größere Ping-Pakete offenbaren auch bei schnellen Switches
bemerkbare Laufzeitverlängerungen.
www.linux-magazin.de
73
E Abbildung 3: Die zwei kleinen und der große Gigabit-Switch in der unteren
Bildhälfte bewirken um rund 20 Mikrosekunden längere RTTs, das blaue 50-Meter-
Kabel 500 Nanosekunden, das schwarze 0,5-Meter-Kabel 5 Nanosekunden und
der 4 Zentimeter lange Adapter 0,2 Nanosekunden längere Laufzeiten.
1008D. Am Nachmittag wird er entfernt
und durch einen nur 4 Zentimeter langen
Adapter ersetzt. Im Diagramm sind
über der Zeit die RTTs der sekündlichen
Pings (in Millisekunden) aufgetragen,
nach exponentieller Glättung mit dem
Glättungsfaktor 0,001, was rund 1000
Sekunden-Mittelwerten entspricht. Das
Fehlen des Gigabit-Switch ist an den 30
Mikrosekunden kürzeren RTTs klar zu
erkennen. Dafür sind schon die tausend
Pings ausreichend, die im Normalbetrieb
im Hintergrund ablaufen.
Kurz vor 12 Uhr am Folgetag ersetzt der
Autor den Adapter durch einen Netgear-
Switch GS105, der die RTT schlagartig um
mehr als 20 Mikrosekunden erhöht. Der
Switch TP-Link TL-SG1024 dagegen zeigt
im Vergleich zum Verlängerungsadapter
keinen signifikanten Unterschied in der
RTT, zumindest bei den 1000-Sekunden-
Mittelwerten der ersten Stunden. Danach
zeigt sich nur ein Anstieg um 15 Mikrosekunden.
Das bedeutet, dass dieser Switch anfänglich
dem theoretischen Limit von 352 Nanosekunden
Paketempfangszeit deutlich
näher ist als die anderen. Hier schwanken
die RTTs nur um einige Mikrosekunden,
größere Ping-Pakete könnten deutlichere
Ergebnisse liefern. Man benötigt aber
keine Jumbo-Frames und riesige Pings,
denn bereits Pings mit einer Größe von
1500 Byte erweisen sich als ausreichend.
Damit beträgt die Paketempfangszeit
leicht messbare 12 Mikrosekunden. Die
RTT-Differenz beträgt 32 Mikrosekunden,
eine Änderung von 228 Mikrosekunden
auf 260 Mikrosekunden, wie die Abbildung
2 zeigt.
Bei genauerer Betrachtung offenbart
Abbildung 1 auch einen tageszeitlichen
Rhythmus, weil die RTT mit dem Load
Average der beteiligten Rechner und der
Netzwerkauslastung ansteigt. Beispiels-

Sysadmin
www.linux-magazin.de Pinger 07/2014
74
Abbildung 4: Ein rund 50 Meter längeres Ethernet-Kabel macht sich als Berg in
der RTT-Kurve bemerkbar.
thode besteht darin,
Differenzmessungen
durchzuführen,
das heißt,
über zwei verschiedene
Verbindungen
zu pingen
und die Dif ferenzen
der RTT-
Mittelwerte auszuwerten.
Kabellängen
Mit Laufzeitanalysen
lassen sich
auch unterschiedliche Leitungslängen
aufspüren. Datenkabel, egal ob aus Kupfer
oder Glasfaser, sind stets Verzögerungsleitungen,
in denen die Signale pro
Nanosekunde rund 20 Zentimeter zurücklegen.
Für die RTT, also die Summe
aus Hin- und Rückweg, ergibt das eine
Verzögerung von etwa 10 Nanosekunden
pro Meter, also für ein 50 Meter langes
Kabel eine halbe Mikrosekunde.
Das ist viel weniger Latenz als durch
einen Gigabit-Switch und zudem unabhängig
von der Paketgröße, aber noch
im Rahmen des Messbaren. Sekündliches
Pingen kann anhand des Tagesmittels
eine auf zirka 50 Meter genaue Lokalisierung
vornehmen. Abbildung 3 zeigt die
besprochenen Netzwerkkomponenten im
Überblick.
Die Werte in Abbildung 4 verdeutlichen
allerdings, dass die Schwankung der Tagesmittelwerte
praktisch ebenso groß ist
wie die zusätzliche Latenz durch ein 50
weise zeigt sich am letzten Messtag durch
einen um 1 erhöhten Load Average auf
einem der Rechner eine um 5 Mikrosekunden
erhöhte RTT. Das Minimum liegt
nachts zwischen 2 und 3 Uhr.
Diese Einflüsse kann man zumindest in
erster Näherung einfach rausrechnen, um
die Netto-RTT bei einem Load Average
und einer Netzwerkauslastung von 0 zu
bestimmen und deutlich genauere Werte
zu erhalten. Da sich bei nahezu gleichen
Tagesabläufen auch nahezu gleiche
Tagesmittel ergeben, kommt dieser Fall
auch ohne solche Korrekturen aus, um
eine hohe Auflösung zu erreichen. Das
zeigt das nächste Beispiel.
Es gibt übrigens noch Alternativen dazu,
mehr Pings zu verwenden. Das Pingen
mit Echtzeit-Threads, unter Linux-RT
(Preemption ) mit weicher Echtzeit oder
unter RTAI (Realtime Application Interface)
mit harter Echtzeit, liefert ebenfalls
höhere Auflösungen. Eine weitere Mestatt
0,5 Meter langes Kabel. Aufgetragen
ist hier die RTT in Mikrosekunden. Nach
zwei Tagen hat der Autor das 0,5-Meter-
Patchkabel durch ein 50 Meter langes
ersetzt, das die RTT theoretisch um 0,5
Mikrosekunden erhöht.
Mit dem 49,5 Meter längeren Kabel zeigt
sich daher eine um 0,5 Mikrosekunden
erhöhte RTT. Für die ersten beiden Tage
mit 0,5 Metern ergibt sich eine mittlere
RTT von 172,877 Mikrosekunden, für die
letzten beiden mit 50 Metern eine von
173,562 Mikrosekunden, also um 685
Nanosekunden mehr.
Die Tagesmittelwerte schwanken deutlich,
auch aufgrund der nicht konstanten
Auslastung der Rechner und durch Dutzende
Programme wie Ktorrent, Tor, I2P,
GNU Net, Squid 3, DHCP, NTP, Kaffeine
und Firefox. Der Nachweis solcher kleinen
RTT-Änderungen bedarf der Mittelung
mehrere Tagesmittel, wenn man nur
sekündlich pingt.
Da bei Ethernet ein Segment (Kollisionsdomäne)
maximal 100 Meter lang sein
darf und meist deutlich kürzere Segmente
verwendet werden, sind in der Praxis zumindest
100 Meter Auflösung problemlos
erreichbar – schon mit 1000-Sekunden-
Mittelwerten.
Durch die Lüfte
Beim WLAN sind die Messungen im
Prinzip ebenso durchführbar wie im Gigabit-LAN.
Allerdings zeigt sich bei der
Mehrheit der WLAN-Router und Endgeräte
das Problem, dass sie die Datenrate
(Bandbreite) automatisch regeln, und
Kommentar: Originell – aber praxistauglich?
Jens-Christoph
Brendel,
Redakteur bei der
Medialinx AG.
Es ist ohne Zweifel eine originelle Idee, das Monitoring
auf Ping-Laufzeiten zu gründen. Zudem
wird die Idee vermutlich auch funktionieren – im
Labor. In der Praxis scheinen sich aber doch ein
paar Hürden aufzutürmen, die sicherlich nicht
leicht übersprungen werden können. Welche
Hürden sind das?
Die Schwankungen in der Ping Roundtrip Time,
die auf das Konto unterschiedlich ausgelasteter
Server gehen, können durchaus größer sein als
die Laufzeitunterschiede, die zum Beispiel ein
eingeschmuggelter zusätzlicher Router verursachen
würde. Das müsste zu Fehlalarmen führen
– es sei denn, man setzt die Triggerschwelle
so hoch an, dass nie mehr eine Auffälligkeit
detektiert würde.
Der Autor schlägt vor, die mittlere Serverauslastung
herauszurechnen. Aber damit kommt man
in gewissem Sinn vom Regen in die Traufe: Man
subtrahiert dann von einer künstlich geglätteten
Umlaufzeit (einer Art Mittelwert) einen
anderen Mittelwert, nämlich den Durchschnitt
des Tagesgangs der Lastkurve. Aber jeder Mittelwert
vernichtet Information, in diesem Fall
weil auch die Varianz unter den Tisch fiele. So
ergibt sich ein stark idealisierter und viel zu
enger Wertekorridor, der den in der Realität
möglichen Ausprägungen nicht entspricht und
mit etlichen Nachkommastellen bei der Zeitmessung
eine Exaktheit vorspiegelt, die nicht
gegeben ist.
Hinzu kommt ein weiterer Aspekt: Das ICMP-
Testprogramm Ping verrät nicht nur, ob ein
Netzwerkgerät unter einer bestimmten Adresse
erreichbar ist, sondern es erlaubt darüber hinaus
eine Art Fingerprinting, das Rückschlüsse
beispielsweise auf das Betriebssystem zulässt.
Damit liefert es potenziellen Angreifern unter
Umständen wertvolle Informationen. Administratoren,
die diese nicht offenbaren möchten,
verbieten ICMP-Echo-Replys per Firewallregel.
Das schließt dann auch das im Artikel beschriebene
Monitoring aus.

entsprechend schwankt auch die RTT.
Bei den meisten Routern lässt sich das
nicht abstellen, viele zeigen die Datenrate
nicht einmal an. Unter Linux darf der
Admin die Datenrate beim WLAN wie
folgt einstellen:
iwcofig wlan4 rate 24M fixed
Das ändert aber nichts an der Rate des
Routers. Es bleibt dem neugierigen
Admin also nichts anderes übrig, als
darauf zu achten, dass die vom Router
angezeigte Rate während des Messens
konstant bleibt.
Der zweite Unterschied zum LAN liegt in
der Signalgeschwindigkeit, die mit rund
30 Zentimetern pro Nanosekunde um
50 Prozent höher ist als im Kabel. Die
gemessenen 1000-Sekunden-Mittelwerte
lagen bei 0,7 Metern Distanz und mit
zwei 30-dB-Abschwächern bei 0,985108
Millisekunden, die aus 2,5 Kilometern
Entfernung gemessenen bei 1,023676
Millisekunden, also um 38,6 Mikrosekunden
deutlich höher (Abbildung 5).
Theoretisch sollte die Differenz nur 16,7
Mikrosekunden betragen, also deutlich
weniger. Hier sind offenbar noch andere
Faktoren im Spiel, etwa vom Router nicht
angezeigte Ratenschwankungen oder die
Temperatur, denn diese lag bei 2,5 Kilometern
Distanz um ‐2° C, während es bei
0,7 Metern Distanz 20° C waren.
Daneben hat der Autor auch getestet, ob
er mit einem Linux-PC statt WLAN-Router
und Ad-hoc-Modus ebenso messen
kann. Hier ließen sich beide Senderaten
festsetzen. Wider Erwarten zeigten
sich dabei aber um den Faktor 4 stärkere
Schwankungen als beim Pingen mit dem
WLAN-Router.
Schneller messen
Wer nur kurze Messungen durchführen
kann oder möchte, passt das Programm
Pinger an, um entsprechend viele Pings
pro Sekunde loszuschicken statt nur eines
einzigen. Hierzu braucht er im Quelltext
nur ein kleineres Zeitraster einzustellen,
beispielsweise 1 Millisekunden für eine
um den Faktor 32 höhere Genauigkeit,
und entsprechend mehr Threads. Da die
Zeiten der Threads eine Auflösung von
einer Mikrosekunde haben, ist dafür jedoch
nicht viel umzustellen.
Neben dem Ansatz, Netzwerklatenzen
mit Pings zu bestimmen, ist es auch
möglich, Zeitstempel auszuwerten. Beim
WLAN eignen sich die TSF-Zeitstempel,
denn sie besitzen eine Auflösung von 1
Mikrosekunde und sind sogar Jitter-frei.
Allerdings ist nicht jede Hardwareplattform
dafür geeignet [7].
Ausblick
Das Messen der Netzwerklatenz mit
Pings zeigt, dass es hier noch einiges
Potenzial gibt, das bisher erstaunlicherweise
ungenutzt blieb. Angriffe wie das
Mithören von Mobilfunk-Telefonaten mittels
zwischengeschalteter IMSI-Catcher
wären damit leicht, unauffällig und praktisch
kostenlos aufspürbar, selbst wenn
sie mit anderen Tools wie Traceroute
nicht zu entdecken sind. Zudem kann
man mit Pings eine grobe Lokalisierung
durchführen oder umgekehrt Kabellängen
bestimmen. Misst man die Abhängigkeit
der RTT von der Paketlänge, lässt
sich zwischen der Latenz durch Kabel
oder Distanzen und der durch Geräte wie
Switches unterscheiden.
Im Prinzip können Angreifer Pings auch
verfälschen, indem sie sie kopieren und
mit gewünschter Verzögerung zurückschicken,
oder sie filtern das Pong vom
Zielrechner aus, um sich zu tarnen. Das
ist aber wenig sinnvoll, da das Kopieren,
Berechnen und Zurückschicken zusätzlichen
Aufwand erfordert und es außerdem
praktisch unmöglich ist, alle möglichen
Arten von Pings zu manipulieren.
Wer sich vor Fälschungen schützen
möchte, könnte mit einem verschlüsselten
Zeitstempel pingen. Auf dem Zielrechner
speichert er Datum und Zeit verschlüsselt
in der Datei »foo.bar«, überträgt sie mit
einem Ping der Art
time wget ftp://10.45.67.89/tmp/foo.bar
und überprüft, ob sie mit dem richtigen
Schlüssel verschlüsselt wurde und die
aktuelle Zeit enthält. (mhu) n
Infos
[1] Linux Iputils:
[http:// www. skbuff. net/ iputils/]
[2] Arping: [http:// www. habets. pp. se/ synscan/​
programs. php? prog=arping]
[3] Httping:
[http:// www. vanheusden. com/ httping]
[4] Ipmiping:
[http:// www. gnu. org/ software/ freeipmi/]
[5] Pinger und Plotting-Skript: [https://​
sslsites. de/ www. true‐random. com/​
homepage/ projects/ pinger/]
[6] MRTG: [http:// oss. oetiker. ch/ mrtg/]
[7] Mario Haustein, „Lokalisierung durch Messung
von WLAN-Signallaufzeiten“: Vortrag
2011, [http:// chemnitzer. linux‐tage. de/​
2011/ vortraege/ 653]
www.linux-magazin.de
Pinger 07/2014
Pinger
75
Abbildung 5: RTT-Messung mit einem WLAN-Router neben einem blinkenden Headlight in 2,5 Kilometern
Entfernung (Pfeil) und einer darauf gerichteten 50-Zentimeter-Yagi-Antenne.
Der Autor
Dr. Rolf Freitag ist Informatiker und promovierter
Physiker. Derzeit arbeitet er bei einem kleinen
Unternehmen in Neu-Ulm.

Hardware
www.linux-magazin.de Linksys WRT 1900 AC 07/2014
76
Der Linksys WRT 1900 AC im Test
Künftiger Klassiker?
Der Linksys WRT 54 war einst Auslöser für das Open-WRT-Projekt, eine der ältesten und beliebtesten Mini-
Linux-Embedded-Firmwares für VIA- und ARM-Router. Jetzt stellt Belkin den offiziellen Nachfolger vor, den WRT
1900 AC. Für einen stolzen Preis bietet er moderne Hardware, aber schwache Firmware. Konstantin Agouros
Nur wenige Geräte genießen unter Linuxern
so eine Ausnahmestellung wie
der altehrwürdig Linksys WRT 54 in all
seinen Varianten. Zwölf Jahre nach der
ersten Release 2002 bringt Belkin nun
einen äußerlich recht ähnlich gehaltenen
Nachfolger auf den Markt, dessen Innenleben
viel zu bieten hat: Der Linksys
WRT 1900 AC ist da.
Vier Antennen, viermal LAN
Wie beim WRT 54 handelt es sich bei
dem Gerät um einen WLAN-Router mit
vier LAN-Anschlüssen, einem Uplink
und einem Webfrontend fürs WLAN
(alle Details siehe Kasten „Hardware“).
Doch im Gegensatz zum betagten Vorgänger
rangiert der 1900er auf dem heutigen
Stand der Technik, so sind etwa
Gigabit-Ethernet, USB 3.0, E-SATA und
aktuelle WLAN-Standards an Bord. Vom
bewährten 802.11b- bis zum brandneuen
802.11ac-Standard, der im 5-GHz-Band
nominell mehr als 1 GBit/​s schnell sein
soll, bietet der Kleine viel von dem, was
das Anwenderherz begehrt.
Wo schon der WRT 54 mit zwei Antennen
für damalige Verhältnisse herausragende
Sendeleistungen aufwies, legt Belkin jetzt
noch zwei drauf und spendiert dem DIN
A 4 großen Router vier schwenk- und
drehbare Antennen, mit denen das Gerät
sowohl im 2,4- als auch im 5-GHz Frequenzband
sendet und empfängt.
USB 3.0 und ein kombinierter USB-2.0-E-
SATA-Anschluss machen den Router zum
Medienserver mit fast beliebig viel Platz
auf der Festplatte. Neu ist auch – man
höre und staune – ein separater Ein- und
Ausschalter, ein lange gehegter Wunsch
aus der Community. Insgesamt ist das
Gerät mit all der Technik breiter und etwa
doppelt so schwer wie sein Vorgänger,
der etwa DIN-A-5-Format-hatte.
Der Admin kann das Gerät als Router
mit statischer oder dynamischer IP am
Internet, zum Beispiel hinter einem Ka-
belmodem, oder im PPPoE-Modus als
DSL-Router arbeiten lassen. Auch VPN
ist bereits an Bord, doch – wie von vielen
Herstellern gewohnt – nur als PPTP oder
L2TP und IPsec-Passthrough. Wer mehr
braucht, muss auf die freie Firmware
Open WRT warten [1].
Netzwerk-Konfiguration
Bis dahin nutzt der Admin Belkins Firmware
mit ihren fortgeschrittenen Konfigurationen:
Will der Administrator
WLAN und die Außenseite zu einem
LAN-Segment verbinden, dann schaltet
er den Router in den dafür vorgesehenen
Bridgemodus oder er nutzt den 1900er als
WLAN-Extender: In diesem Modus verbindet
er sich (mit seinem dritten eingebauten
Wifi-Adapter) mit einem weiteren
WLAN und „bridget“ die eigenen SSIDs
in dieses WLAN.
Dabei ist es auch möglich, ein Funknetzwerk,
das eigentlich nur 2,4 GHz
anbietet, in beide Frequenzbereichen zu
verlängern. Doch Vorsicht: Wer in diesem
Szenario die auf MAC-Adressen basierende
Zugriffsverwaltung nutzt, muss
aufpassen und eventuell nacharbeiten.
So haben wir getestet
Um die Leistungsfähigkeit des Geräts zu
bewerten, hat der Autor mit Iperf Tests am
internen Switch, kabelgebunden von innen
zu einem direkt verbundenen Rechner (außen)
sowie von innen nach außen über die
verschiedenen WLAN-Frequenzen und in verschiedenen
Abständen durchgeführt.
Die gerouteten Pakete ließ der Tester dabei
mit NAT umsetzen. Um Reichweite und Beamforming
zu testen, lief er dann mit laufendem
Ping durch die Wohnung, um auch die Stellen
einzubeziehen, die bei anderen Routern
durch die Abwesenheit von WLAN glänzen.

Hardware: Linksys Dual Band Gigabit Wi-Fi Router 1900 AC
Webseite des Herstellers: [http://store.linksys.com]
Prozessor: 1,2 GHz, Doppelkern, ARM-basiert
Speicher: 128 MByte Flash, 256 MByte DDR3-System-RAM
Anschlüsse/​Schnittstellen: 1 Gigabit-WAN-Port, 4 Gigabit-LAN-Ports, 1 USB-3.0-Port, 1 E-SATA-​
USB-2.0-Port
Antennen: 4 externe, abnehmbare Dualband-Antennen
Frequenzband: Simultanes Dualband, 2,4 GHz und 5 GHz
WLAN-Support: 802.11b (bis zu 11 MBit/​s), 802.11a/​g (54 MBit/​s), 802.11n (2,4 GHz, 600 MBit/​s),
802.11ac (5 GHz, 1,3 GBit/​s)
Wireless-Verschlüsselung: 64-/​128-Bit-WEP-Verschlüsselung, WPA2-Personal, WPA2-Enterprise
Sonstiges: Support für FAT, NFS, HFS+ auf USB-Medien (Ext nur read-only), UPnP, Samba, DLNA,
FTP, Druckserver, Kinderschutz, DMZ, NAT, Portforwarding, Priorisierung, Ausschaltknopf
VPN-Unterstützung: PPTP, L2TP, IPsec-Passthrough
Maße: Gewicht 1,03 kg, Breite/Höhe/Tiefe 25 x 5 x 20 cm
Netzteil: Eingang 100 bis 240 V, 50/​60 Hz, Ausgang 12 V mit 4 A
Preis: ca. 280 Euro (in den USA 250 Dollar)
Mit den vier verstellbaren Antennen
strahlt das Gerät ganz ordentlich. Die
Wohnung des Autors ist lang gezogen
und in der Mitte befindet sich die Küche,
in der ein nicht mehr ganz neuer Kühlschrank
sehr störende elektrische Streustrahlung
erzeugt, wenn der Motor des
Kompressors anspringt. Das Netzwerkzentrum
befindet sich in einem Raum direkt
neben der Küche, damit bietet diese
Umgebung erschwerte Bedingungen für
einen WLAN-Router.
WLAN-Empfang
Ein echter Gigabit-Link kommt nur bei
der 5-GHz-Frequenz zustande. Bei dickeren
Wänden ist diese Verbindung
allerdings nicht sehr stabil. Bei 10 Zentimetern
Abstand zwischen Laptop und
Router maß Iperf [2] satte 435 MBit/​s
als Spitzenwert (siehe Kasten „So haben
wir getestet“).
Der eingebaute Switch erbrachte mit Iperf
940 MBit/​s. Bis zu einer Entfernung von
zirka 20 Zentimetern zwischen AC-Laptop
und Accesspoint erzielten die Tester 435
MBit/​s, wenn kein Hindernis zwischen
die Geräte kam. Aber erwartungsgemäß
reicht es, einmal um die Ecke zu gehen,
schon sinkt die Übertragungsrate auf die
Hälfte. Bei 2,4 GHz lag der Spitzenwert bei
150 MBit/​s. Das alte Netbook des Autors
mit Atom-CPU und USB-2-Anschlüssen
brachte es mit dem bereitgestellten AC-
Dongle von Linksys und dem Treiber unter
[3] auch noch auf stolze 220 MBit/​s.
Das ist mehr, als das im Gerät eingebaute
100-MBit-Ethernet bieten kann.
Eine weitere interessante Technologie,
die das Gerät unterstützt, ist das Beamforming
([4], Abbildung 1). Ohne eine
Antenne zu bewegen, lässt sich so die
Richtung von Signalen mit mehreren
Antennen durch leichte Verschiebungen
in den Frequenzen manipulieren, sodass
eine konstruktive (verstärkende) Interferenz
in der gewünschten Richtung herauskommt.
Im Test zeigte sich das positiv
bei der Begehung des WLAN: Die dem
Autor wohlbekannten Funklöcher in der
Wohnung hatten einen kurzen Aussetzer
(oder eine hohe Round Trip Time) im
Ping. Nachdem das Beamforming vollautomatisch
nachzog, bewegte sich die
Latenz wieder im vertretbaren Rahmen.
Warten auf Open WRT
Open WRT für dieses Gerät ist noch in
Arbeit, Belkin-Mitarbeiter haben auch
schon Komponenten
beigesteuert,
der Hersteller
nennt das OSS-
System auch auf
seinen Datenblättern.
Laut Aussage
des Open-WRT-
Projekts auf der
Homepage entspricht
die Software
jedoch noch
nicht seinen Qualitätsstandards,
so
konnte das Linux-
Magazin diese
Kombination noch ohne die Antennen zu bewegen.
nicht testen. Daher blieb zunächst nur
die Analyse der offiziellen Firmware (Update:
Wenige Tage nach Redaktionschluss
erschien die erste Open-WRT-Version für
den WRT 1900 AC).
Bei der Ersteinrichtung leitet die Firmware
des Herstellers den Anwender durch
einen Wizard, der sich aber auch jederzeit
abbrechen lässt. Dem allgemeinen
Trend folgend, bietet Linksys ein Cloudmanagement
samt Konfigurations-App
für gängige Mobiltelefone (Abbildung 2).
Das von Belkin als Cloudmanagement
beworbene Feature firmiert unter dem
Namen „Linksys Smart Wi‐Fi“.
Nach dem Login in der Firmware findet
sich der Administrator vor der in Abbildung
3 dargestellten Webseite. Sie präsentiert
sich klassisch-schlicht: Auf der
linken Seite steht die Navigation, im rechten
Bereich stellt der Router beim Anklicken
eines Eintrags die entsprechenden
Inhalte dar. Der wichtigste Menüpunkt
für die meisten Admins ist der dritte von
unten »Konnektivität«. Er enthält alle
Teile der Netzwerkkonfiguration außer
den Funkparametern der WLANs.
Weniger intuitiv ist die Tatsache, dass
der Modus des Routers (Extender, Router,
Bridge) unter dem Reiter »Interneteinstellungen«
zu finden ist, der alle Parameter
des externen Interface einstellt. Auch
das Umsetzen des Router-Passworts und
Firmware-Upgrades hätte der Autor nicht
unter »Konnektivität«, sondern eher unter
»Sicherheit« vermutet.
Der »Netzwerk«-Bereich bietet dagegen
keine Überraschungen. Das Gerät
ist IPv6-fähig, was leider auch im Jahr
2014 noch Erwähnung verdient. Auf der
Abbildung 1: Beim Beamforming führen gezielte Phasenverschiebungen zu Interferenzen,
die die effektive Signalstärke bei einem Ziel, etwa einem bestimmten
Empfänger, verstärken. So lassen sich Räume leichter und besser ausleuchten,
© Sybille Yates, 123RF
Linksys WRT 1900 AC 07/2014
Hardware
www.linux-magazin.de
77

Hardware
www.linux-magazin.de Linksys WRT 1900 AC 07/2014
78
Abbildung 2: App muss sein – und Cloud erst recht:
Belkin bietet auch eine App zur Konfiguration.
LAN-Seite kann es DHCP-Server spielen,
es ist möglich, Routen zu setzen, selbst
dynamisches Routing darf der Admin mit
dem betagten RIP-Protokoll anbieten oder
auch externe und interne Interfaces auf
VLANs mappen, was wohl den zunehmend
komplizierter werdenden Heimnetzwerken
Rechnung trägt.
Fehleranzeige Fehlanzeige
Im Bereich »Fehlerbehebung« enttäuscht
die Firmware. Es gibt zwar Protokolle,
aber keine Möglichkeit, einen externen
Syslog-Server anzugeben, obwohl die
Firmware mit dem enthaltenen Syslog
das eigentlich könnte.
Im WLAN-Bereich der Konfiguration können
Admins das 2,4- und das 5-GHz-Netz
getrennt konfigurieren. Selbst das gute
alte WEP ist als Verschlüsselung dabei,
aber auch WPA und WPA2 Enterprise mit
Abbildung 3: Die Standard-Weboberfläche des Linksys WRT 1900 AC.
Zertifikat-basierter Authentisierung gegen
einen Radius-Server sind möglich. Unter
diesem Menupunkt bietet der Router
noch MAC-Filterung und ein WPS-Setup,
nichts berauschend Neues also.
Im Menüpunkt »Sicherheit« fasst der Router
Firewalleinstellungen zusammen, die
das Gerät selbst und das LAN schützen.
Es ist hier auch möglich, einen internen
Rechner als DMZ (die den Namen aber
nicht verdient) freizuschalten oder eingehende
Port-Weiterleitungen anzulegen.
Zielgruppe Heimanwender
Eine Funktion, die eher in den Homeserverbereich
gehört, ist das Freigeben angeschlossener
Speichermedien. Mit USB 3
und E-SATA kann das Gerät hier gute Performance
bereitstellen, wobei auch der
vergleichsweise schnelle Prozessor hilft.
Die Freigabe erfolgt über FTP, Samba
oder einen DLNA-Server.
Die Konfiguration ist relativ einfach, allerdings
stellte sich das Gerät je nach angeschlossenem
Dateisystem etwas merkwürdig
an: Hat das Medium ein VFAT-
Dateisystem, gibt es keine Probleme. Ext
3 (in der Firmware tickt ja schließlich
Linux) beherrscht der 1900er aber nur
read-only. Das Gleiche gilt für Medien mit
Apples HFS-Dateisystem.
Außerdem sind eine Kinderschutzfunktion,
die Zeitbeschränkungen oder Einschränkungen
auf bestimmte Webseiten
für ausgewählte Geräte erlaubt, ein Geschwindigkeitstest
und eine Priorisierung
für Medientraffic enthalten.
Als letzte Funktion sei noch der Hotspot-
Zugang genannt, bei dem Gäste über ein
offenes WLAN erst an einem Webformular
ihr Gerät mit einem Passwort freischalten
müssen.
Danach haben die
Besucher Zugriff
auf die Außenseite,
also in der Regel
das Internet.
Die internen Anwender
können so
auch auf die Gastrechner
zugreifen.
Der IP-Adressenbereich
der Gäste
war im Test leider
nicht näher konfigurierbar.
Bei einer tieferen Analyse der in der Firmware
installierten Pakete fiel auf, dass
sie auch Linux-Komponenten enthält, die
Anwender aus dem GUI heraus gar nicht
konfigurieren können, etwa Open VPN
oder Syslog. Das hat der Hersteller offensichtlich
verbaut, ohne es seinen Kunden
zugänglich machen zu wollen.
Zwiegespalten: Hardware
hui, Firmware pfui
Hier zeigt sich das Hauptmanko des Geräts:
Für einen Router dieser Preisklasse
sind Benutzerführung und Ausstattung
der Firmware eindeutig zu sehr an Endkunden
orientiert. In diesem Preissegment
gibt es eben auch Geräte für den
professionellen Einsatz, die eine wesentlich
höhere Flexibilität in der Netzwerkkonfiguration
bieten. Da hilft nur warten:
Sobald das selbst vom Hersteller im Datenblatt
beworbene Open WRT für diesen
Router bereitsteht, ergibt sich vermutlich
eine außerordentlich leistungsstarke
Kombination.
Die WLAN-Hardware des Routers hinterlässt
einen sehr guten Eindruck. Die Firmware
mit fehlenden Funktionen wie der
Anbindung an einen Logserver allerdings
weniger, besonders im Verhältnis zum
hohen Listenpreis von 280 Euro. Kurz
nach Redaktionsschluss trudelte beim
Linux-Magazin die Meldung ein, dass es
unter [5] endlich einen Open-WRT-Build
gibt. Ein Folgeartikel im nächsten Magazin
widmet sich exklusiv dieser neuen
Release von Open WRT. (mfe) n
Infos
[1] Open WRT: [http:// openwrt. org]
[2] Iperf: [http:// Iperf. sourceforge. net]
[3] Treiber für den Linksys WUSB 6300:
[https:// github. com/ abperiasamy/​
rtl8812AU_8821AU_linux]
[4] Beamforming: [https:// en. wikipedia. org/​
wiki/ Beamforming]
[5] Git-Repository für einen ersten Build von
Open WRT für den Router: [https:// github.​
com/ wrt1900ac/ opensource]
Der Autor
Konstantin Agouros arbeitet bei der Xantaro
Deutschland GmbH als Technical Lead Security
Technologies. Sein Buch über DNS/​DHCP ist bei
Open Source Press erschienen.

Forum
www.linux-magazin.de Recht 07/2014
80
Der Staat als Open-Source-Kunde: Die EVB-IT und die OSBA-Handreichung
Entscheidungshilfe
Die Ergänzenden Vertragsbedingungen für IT (EVB-IT) regeln in Deutschland, wie der Staat IT-Investitionen
handhabt. Der Linux-Verband OSBA hat jetzt eine Anleitung für Behörden veröffentlicht, die besonderes Augenmerk
auf Open-Source-Produkte legen möchten. Dabei sind viele Feinheiten zu beachten. Monika Prell
aussehen. Denn der Koalitionsvertrag
der großen Koalition von CDU und SPD
sieht vor, den Einsatz von Open Source
in Deutschland verstärkt zu fördern: Die
Entwicklung quelloffener Plattformen
und entsprechender Lösungen soll künftig
bei geplanten IT-Vorhaben bessere
Berücksichtigung finden [2].
Trotz Koalitionsvertrag ist
OSS noch kein Muss
© Markus Feilner
Über 20 Milliarden Euro hat Deutschland
letztes Jahr in ITK investiert [1].
Der Löwenanteil davon ging mit 13,9
Milliarden Euro in den Bereich Software
und Services: Ein lukrativer Markt für die
IT-Branche. Der Anteil an Open-Source-
Lösungen ist dabei immer noch gering,
da die öffentlichen Auftraggeber vorwiegend
auf proprietäre Modelle setzen. Allerdings
könnte das in Zukunft anders
Bei der Umsetzung hat die Koalition aber
nicht freie Hand: Alle kostenpflichtigen
Beschaffungen der öffentlichen Hand
müssen im Wege eines transparenten
Wettbewerbsverfahrens vergeben werden.
Der Wettbewerb unterliegt dabei
den geltenden Vorschriften des Vergaberechts
(siehe Kasten „Basiswissen
Vergaberecht“). Auch die Beschaffung
von Open-Source-Software ist hiervon
nicht ausgenommen, da zwar nicht die
Lizenzgebühr der kostenpflichtige Faktor
Basiswissen Vergaberecht
Die Grundzüge des Vergaberechts leiten sich
aus europäischen Richtlinien ab, die die einzelnen
Länder der EU in unterschiedlichen
Ausprägungen umsetzen. In Deutschland sind
die Grundsätze im vierten Teil des GWB (Gesetz
gegen Wettbewerbsbeschränkungen) und
einzelnen Vergabeordnungen festgelegt, in Österreich
im BVergG (Bundesvergabegesetz). In
der Schweiz gilt das BöB (Bundesgesetz über
öffentliches Beschaffungswesen), das sich nicht
aus den europarechtlichen Vorgaben, sondern
aus dem WTO-Abkommen (World Trade Organization)
ableitet.
Die Prinzipien
Wettbewerbsprinzip: Grundsätzlich können
sich alle Unternehmen am Wettbewerb, dem
öffentlichen Vergabeverfahren, beteiligen. Eine
große Auswahl von Angeboten verschiedener
Anbieter ist ausdrücklich gewollt.
Transparenzprinzip: Der geplante Auftrag muss
auf einer allgemein zugänglichen Plattform öffentlich
ausgeschrieben werden (Bekanntmachung).
Bei Aufträgen ab 207 000 Euro netto
geschätztem Auftragswert erfolgt dies über die
EU-weite Plattform Ted [3], unterhalb dieses
Wertes veröffentlicht [http:// www. bund. de] innerhalb
Deutschlands derartige Ausschreibungen.
Die Bekanntmachung nennt alle Kriterien
oder verweist zumindest auf Bedingungen, die
das Unternehmen, das ein Angebot abgibt, beachten
und erfüllen muss.
Gleichbehandlungsprinzip: Weder regional
noch nach ihrer Größe noch anhand vorgegebener
Lösungen oder Produkte dürfen öffentliche
Ausschreiber bestimmte Unternehmen bevorzugen.
Das bedeutet, alle Anbieter im nationalen
und europäischen Markt müssen die gleichen
Chancen haben, sich am Vergabeverfahren zu
beteiligen.
Wirtschaftlichkeitsprinzip: Anhand fester, vorgegebener
und bekannt gemachter Kriterien
ermittelt der öffentliche Auftraggeber objektiv
das im Hinblick auf das Kosten-Nutzen-Verhältnis
wirtschaftlichste Angebot, was nicht
zwangsläufig das billigste Angebot sein muss.
Rechtsschutz (Deutschland): Bei EU-weiten
Aufträgen (ab 207 000 Euro netto) haben die
Unternehmen die Möglichkeit, die Einhaltung
der vergaberechtlichen Regeln und Prinzipien,
die noch detaillierter in den jeweiligen Vergabevorschriften
festgehalten sind, gerichtlich vor
der Vergabekammer überprüfen zu lassen und
gegebenenfalls durchzusetzen.

ist, wohl aber der Einkauf von OSS mit
Weiterentwicklung oder Anpassung und
integrierten Serviceleistungen.
Wer nur B2B-Geschäfte gewohnt ist,
muss sich also – nicht nur in Deutschland,
sondern innerhalb der ganzen EU
– bei Aufträgen der öffentlichen Hand
umstellen. Die Auftragsvergabe unterliegt
einem sehr formalen öffentlichen Vergabeverfahren.
Dabei hat der Staat zu
gewährleisten, dass er die Aufträge nicht
beliebig an „bekannte und bewährte“ Unternehmen,
sondern anhand objektiver
Kriterien an das wirtschaftlichste Unternehmen
erteilt. Natürlich sieht das in der
Praxis erfahrungsgemäß immer wieder
mal anders aus, doch ist das dann ein Fall
für den Rechnungshof.
Keine Änderung im
laufenden Verfahren
Während eines normalen Vergabeverfahrens
haben die beteiligten Unternehmen
nur sehr begrenzt Einfluss. Sie sind an die
inhaltlichen und vertraglichen Vorgaben
der öffentlichen Auftraggeber gebunden.
Im Gegensatz zum B2B-Geschäft haben
sie zu einem späteren Zeitpunkt grundsätzlich
keine Möglichkeit mehr, Änderungen,
Ergänzungen oder Streichungen
an den vorgegebenen Bedingungen vorzunehmen.
Das bedeutet aber auch dann Probleme,
wenn für die geplante IT-Leistung vom
öffentlichen Auftraggeber keine OSS-Lösung
vorgesehen ist oder gar der Verweis
auf zugrunde liegende Vertragsbedingungen
mit Nutzungsrechten und Offenlegung
des Quellcodes mit den Lizenzbedingungen
der freien Software nicht
vereinbar ist. Ein Unternehmen, das
OSS-Lösungen anbietet, kann dann kein
© zimmytws, 123RF.com
Abbildung 1: Zu den normalen Verträgen kommen die ergänzenden Bestimmungen.
Angebot abgeben und nicht am Wettbewerb
teilnehmen, wenn die Ausschreibung
der OSS-Lizenz widerspricht. Jeder
Verweis des Anbieters auf eigene und
damit andere Lizenzbedingungen wäre
eine „Änderung der Vergabeunterlagen“
– was zwangsläufig zum Ausschluss vom
Verfahren führt.
Ergänzende Vertrags bedingungen
für IT
In Deutschland gibt es sogar noch eine
zweite Hürde: Hier müssen die öffentlichen
Auftraggeber nicht nur das Vergaberecht,
sondern beim Einkauf von IT auch
zwingend ergänzende Vertragsbedingungen
beachten: Nach deutschen Bundesoder
Landeshaushaltsordnungen (§ 55
BHO/​LHO) sind sie dazu verpflichtet, die
„Ergänzenden Vertragsbedingungen für
den Einkauf von IT“ (EVB-IT) als Vertragsgrundlage
einzubeziehen ([4], siehe
Kasten „EVB-IT“).
Traditionellerweise gehen die EVB-IT
grundsätzlich bei den Regelungen zu den
Nutzungsrechten und bei der Offenlegung
des Quellcodes und der Gestaltung
der vertraglichen Regelungen von proprietären
Lösungen aus. Die Vertragsmuster
der EVB-IT bieten zwar explizit die
Möglichkeit, Anhänge mit Erläuterungen
zum Vertragsbestandteil zu machen und
so auch das Überlassen von OSS einzubeziehen.
Leider nutzen Behörden in
Deutschland diese in Ausschreibungen
noch recht selten, anders als etwa in anderen
Ländern der EU [5].
Ergänzungen sind nötig
Für OSS-Anbieter bedeutet das: Eine Teilnahme
an Vergabeverfahren in Deutschland
ist nicht möglich, wenn der öffent-
Recht 07/2014
Forum
www.linux-magazin.de
81
EVB-IT
Die „Ergänzenden Vertragsbedingungen für
den Einkauf von IT“ sind die AGB (Allgemeine
Geschäftsbedingungen) der öffentlichen Hand
in Deutschland für Rechtsgeschäfte im IT-
Bereich.
Innenministerium plus Wirtschaft
Eine Arbeitsgruppe des Bundesministeriums
des Innern (BMI) entwickelt sie, nach Verhandlungen
verabschiedet man sie einvernehmlich
mit dem Bundesverband Informationswirtschaft,
Telekommunikation und neue Medien
e.V. (Bitkom), der die Unternehmensseite vertritt.
Mittlerweile gibt es zehn unterschiedliche
Vertragstypen, die ein breites Spektrum der
IT-Beschaffung abdecken, unter anderem den
Kauf und die Pflege von Software (EVB-IT Typ
Überlassung A, EVB-IT Pflege S), die Dienstleistungen
(EVB-IT Dienstvertrag), die Lieferung
nebst Installierung (EVB-IT Systemlieferung),
die Erstellung eines Gesamtsystems (EVB-IT
System), die Erstellung oder Anpassung von
Individualsoftware (EVB-IT Erstellung), Serviceleistungen
(EVB-IT Service).
Die EVB-IT setzen sich aus mehreren Unterlagen
zusammen:
n Vertragsmuster (EVB-IT Vertrag)
n Dazugehörige AGB (EVB-IT AGB)
n Eventuell dazugehörige Formulare
Die EVB-IT werden Vertragsbestandteil, indem
der Auftraggeber auf den geltenden Vertragstyp
der EVB-IT verweist – meist auf die Webseite
des Bundes-CIO [4]. Da sich die EVB-IT immer
aus mehreren Unterlagen zusammensetzen,
benennen Experten die Verordnung meist im
Plural „die EVB-IT“.

Forum
www.linux-magazin.de Recht 07/2014
82
Abbildung 2: Im Normalfall ist Open-Source-Software erst mal außen vor, es sei denn, die öffentliche Hand
kümmert sich explizit darum.
liche Auftraggeber auf die geltenden
EVB-IT ohne Ergänzungen verweist. Das
widerspricht aber nicht nur den politisch
umzusetzenden Vorgaben im Koalitionsvertrag,
sondern auch dem Gleichbehandlungsprinzip
im Vergaberecht.
Die Anbieter von proprietären und die
von OSS-Lösungen müssen die gleichen
Chancen haben, sich am Wettbewerb zu
beteiligen. Wenn durch die Gestaltung
der Ausschreibung oder aufgrund der
zugrunde liegenden Vertragsbedingungen
bestimmte Anbieter ausgeschlossen
werden, ist dies ohne besondere Rechtfertigung
der öffentlichen Hand nicht
zulässig. Die öffentlichen Auftraggeber
müssen somit kompatible Formulierungen
finden, die OSS neben proprietären
Lösungen als gleichwertige Alternative
zulassen.
Die OSBA-Handreichung
im Detail
So sind bei den EVB-IT Erstellung (umfassen
das Anfertigen oder Anpassen
von Individualsoftware) und den EVB-IT
System (Erstellen eines Gesamtsystems)
zwingend erforderliche Anpassungen
bei den Regelungen zum Customizing
der freien Software nötig. Aber auch Lizenzbedingungen
und Quellcode müssen
Behörden im Blick behalten, wenn sie
Individualsoftware überlassen oder angepasst
haben wollen.
Erstellen, Einbeziehen,
Überlassen
Die EVB-IT Typ Überlassung A gelten
für das Überlassen von Standardsoftware
gegen „Einmalvergütung“, also beim
© Wilm Ihlenfeld, 123RF.com
Kaufvertrag. Hier unterscheidet Jäger
zwei Konstellationen: Einmal die Lizenzierung
der gesamten Software als Open
Source, zum anderen den Fall, dass es
sich bei einzelnen Bestandteilen um freie
Software handelt. Neben Anpassungen
bei der Darstellung des Lieferumfangs
ergeben sich auch hier zwingend erforderliche
Änderungen bei den Nutzungsrechten
und bei den außerordentlichen
Kündigungsrechten.
Dienstleistung einkaufen
oder doch selbst pflegen?
Auch bei den EVB-IT Dienstleistung
sieht Ziffer 6 der AGB der EVB-IT vor,
dass Anbieter den Behörden verkörperte
Dienstleistungsergebnisse wie Software
im Rahmen eines Dienstvertrags überlassen
dürfen, sodass auch Open-Source-
Software betroffen sein kann. Auch hier
sind die Lizenzbedingungen von OSS
gegebenenfalls entsprechend an die Vorgaben
anzupassen.
Wer im Staatsdienst steht und Standardsoftware
selbst bearbeiten oder Programmkorrekturen
von Dritten liefern
lassen will, für den spielen die EVB-IT
Pflege S eine Rolle. Je nach OSS-Lizenz
können sich hier auch bei der „internen
Nutzung“ bei einer Programmkorrektur
und bei der Vergütung zur Mängelbehebung
widersprechende Lizenzbedingungen
ergeben.
Alles in allem sind die OSBA-Handreichungen
ein guter und sehr detaillierter
Leitfaden für die öffentliche Hand zur
Dass dies kein Hexenwerk sein muss, hat
Rechtsanwalt Till Jaeger im Auftrag der
Open Source Business Alliance [6] in
den „Handreichungen zur Nutzung der
EVB-IT beim Einsatz von Open Source
Software“ dargestellt [7]. Umfassend
schildern die, welche Ergänzungen oder
Streichungen bei den für OSS gängigen
Vertragstypen EVB-IT Erstellung, System,
Typ Überlassung A, Dienstleistung und
Pflege S aus der Sicht des Autors notwendig
sind, und geben konkrete Formulierungsvorschläge.
© orcea david, 123RF.com
Abbildung 3: Auch wer seine Software selbst pflegen oder überarbeiten will, muss sich an die EVB IT halten.

Einbeziehung von OSS in die EVB-IT. Ob
allerdings angesichts der formalen Hürden
im Vergaberecht und den Vorgaben
in den EVB-IT die Aussage von Jaeger,
dass „der rechtssichere Einsatz für die
Beschaffung von FOSS problemlos machbar
ist“, zutrifft, ist für die Umsetzung in
der Praxis eher zu bezweifeln.
Geltendes Recht nervt und
überfordert Entscheider
Für viele deutsche Behörden gestaltet
sich schon die Einbeziehung der „normalen“
EVB-IT ohne Open-Source-Software
nicht leicht. Sie müssen entscheiden,
unter welchen der mittlerweile zehn
Vertragstypen der EVB-IT das geplante
IT-Vorhaben fällt. Zudem sind viele EVB-
IT-Verträge mit dem Vertragsformular
sowie AGB und Musterformularen ganz
schön umfangreich. Die EVB-IT System
beispielsweise umfassen allein 38 Seiten
Vertrag und 41 Seiten AGB.
Abbildung 4: Die gängige Ausschreibepraxis stellt Admins, IT-Leiter und Mitarbeiter in Behörden vor mittelgroße
Aufgaben. Weil die komplex sind, fordern Experten einfachere Regeln für OSS-Ausschreibungen.
Dazu kämen dann noch die sehr detaillierten
Handreichungen zu OSS bei
den EVB-IT nebst den vorgeschlagenen
Lösungen zu den jeweils zu beachtenden
unterschiedlichen Lizenzmodellen
mit verschiedenen Copyleft-Effekten.
Das stets zu berücksichtigen überfordert
schlicht viele Dienststellen.
Wie das Einbeziehen von OSS im typischen
Behördenalltag gelingen kann,
© stylephotographs, 123RF.com
Recht 07/2014
Forum
www.linux-magazin.de
83

Forum
www.linux-magazin.de Recht 07/2014
84
© Sernet
© Maksym Yemelyanov , 123RF.com
Abbildung 5: Johannes Loxen, Geschäftsführer des
Samba-Spezialisten Sernet in Göttingen.
Abbildung 6: Einfache und simple Tools sind notwendig", meint die Bitkom, und beklagt, dass deren Fehlen
Behörden oft in poprietären Modellen verharren lässt.
schildert Johannes Loxen, Geschäftsführer
des Samba-Spezialisten Sernet GmbH
([8], Abbildungen 5 und 6): „Man muss
einfache und leicht umzusetzende Werkzeuge
an die Hand geben, denn zu komplexe
und verästelte Lösungen schrecken
eher ab. Das führt dann dazu, doch an
proprietären Modellen festzuhalten.“
Sernet verwendet bei den Verträgen mit
öffentlichen Auftraggebern in Deutschland
seit vielen Jahren die EVB-IT (Typ
Überlassung A und Dienstleistung) bei
Verträgen mit der öffentlichen Hand
und hat gute Erfahrungen mit einfachen
und kurz gehaltenen Lösungen oder Ergänzungen
zu OSS gemacht. Auf ihrer
Website hat Sernet zwei kurze Varianten
als Ergänzung für sein Produkt zu den
EVB-IT veröffentlicht [9].
Sernet-Muster
Sernet verweist öffentliche Auftraggeber
bei Bedarf schon vor der Ausschreibung
auf diese Muster, natürlich mit dem Hinweis,
dass nicht jeder Einzelfall abgedeckt
ist und man auch keine Rechtsberatung
ersetzen kann und will. Aber, so Loxen:
„Das Vorgehen hat sich in der Praxis bewährt.
Wir verstehen es als Hilfestellung
für die Behörden und geben ihnen Instrumente
an die Hand, die sie dann unter
Einbeziehung der ihnen bekannten EVB-
IT leicht umsetzen können.“
Zwar macht auch seiner Ansicht nach
das formale Vergaberecht dem öffentli-
chen Auftraggeber das Leben nicht wirklich
leichter, doch nach diesen Hürden sei
die konkrete Vertragsausführung selbst in
der Regel kein Problem.
Fazit
Der verstärkte Einsatz von OSS ist bei der
Bundesregierung in Deutschland zurzeit
(wieder einmal) in lebhafter Diskussion.
Die Handreichungen der OSBA kommen
genau zum richtigen Zeitpunkt, um auch
bei Bundesbehörden den Alternativen zu
proprietären Modellen zu helfen. Leuchtturmprojekte
wie das Limux der Stadt
München, die bislang als einzige Großstadt
in Deutschland ausschließlich auf
OSS-Lösungen setzt, könnten bald Gesellschaft
bekommen.
Für die großen und professionellen Beschaffer
in Deutschland, etwa das Beschaffungsamt
des Bundesministeriums
des Innern oder die Bundesagentur für
Arbeit, scheinen die Handreichungen mit
den konkreten Formulierungsvorschlägen
zu OSS für die bestehenden Muster der
EVB-IT eine wertvolle Hilfe zu sein. Ob
sie eine praktikable Lösung für kleinere
Dienststellen und Behörden auf Länderund
Kommunal-Ebene bieten, bleibt jedoch
abzuwarten. (mfe)
n
Infos
[1] Bitkom-Studie von Tech Consult E-Analyser,
November 2013:
[http://www.bitkom.org/de/themen/
64086_78084.aspx]
[2] Koalitionsvertrag der Bundesregierung zu
Open Source (S. 20, S. 159):
[http:// www. spd. de/ linkableblob/ 112790/​
data/ 20131127_koalitionsvertrag. pdf]
[3] Ted: [http://www. ted. europa. eu]
[4] EVB-IT beim Bundes-CIO: [http:// www.​
cio. bund. de/ Web/ DE/ IT‐Beschaffung/​
EVB‐IT‐und‐BVB/ evb‐it_bvb_node. html]
[5] Gijs Hjllenius, Markus Feilner, „Abgehängt“:
Linux-Magazin 11/13, S. 78,
[http:// www. linux‐magazin. de/ Ausgaben/​
2013/ 11/ Open‐Source‐in‐Europa]
[6] OSBA: [http:// www. osb‐alliance. de]
[7] Handreichungen: [http:// www. osb‐alliance.​
de/ fileadmin/ Downloads/ EVB‐IT_Handreichungen/
osb_position_evbit. pdf]
[8] Sernet: [http:// www. sernet. de]
[9] Sernet EVB-IT-AGB: [http:// www. sernet. de/​
de/ services/ evb‐it‐agb/]
Die Autorin
Rechtsanwältin Monika Prell
leitet den Bereich Bitkom
Consult – Vergaberecht – in
Berlin und unterstützt ITK-
Unternehmen bei Vergabeverfahren.
Für den Verband
hat sie über die aktuellen EVB-IT auf Seiten der
Unternehmen verhandelt und Strategien zur Einbeziehung
der Nachhaltigkeit bei öffentlichen
IT-Ausschreibungen umgesetzt. Monika Prell
veröffentlicht fortlaufend Artikel zur aktuellen
Rechtsprechung im Vergaberecht und ist Coautorin
bei zahlreichen Rechtskommentaren.

Forum
www.linux-magazin.de Bücher 07/2014
86
Bücher über funktionale Programmierung sowie Open-Source-Städte
Tux liest
Das Linux-Magazin stellt zwei englischsprachige Bücher vor. Das erste widmet sich dem funktionalen Programmieren
in Scala und Clojure. Das zweite überträgt Open Source auf die Kommunalpolitik Jan Stepien, Markus Feilner
Die IT-Industrie lässt regelmäßig ältere
Technologien neu aufleben. Dazu gehört
derzeit die funktionale Programmierung,
die nun für komplexe und verteilte Systeme
zum Einsatz kommt. Dieser alten
und zugleich neuen Schule widmet sich
das englischsprachige Buch „Functional
Programming Patterns“ von Michael Bevilacqua-Linn.
Funktionaler Einstieg
Info
Michael Bevilacqua-Linn:
Functional Programming
Patterns in Scala
and Clojure
Pragmatic Programmers
2013
250 Seiten
29 Euro (E-Book 20 Euro)
ISBN 978-1-93778-547-5
onale Muster zu zeigen, die Arbeiter der
objektorientierten Welt kaum zu sehen
bekommen.
Dieses Buch demonstriert, wie der funktionale
Programmierstil bestimmte Probleme
in knapperem und leichter verständlichem
Code löst als der objektorientierte
Ansatz. Das macht es zu einer nützlichen
Hilfe für Entwickler, die von der Objektorientierung
kommen, ihren Horizont
erweitern möchten und neue Sichtweisen
suchen. Sie müssen allerdings bereits
Grundkenntnisse in Clojure und Scala
mitbringen – wer das Buch ohne Vorkenntnisse
aufschlägt, dürfte sich mit der
Syntax der Listings schwertun.
Programmierer, die es gewöhnt sind, die
Welt durch die objektorientierte Brille zu
sehen, finden in diesem Band eine Hilfe
bei den ersten Schritten in der funktionalen
Welt. Wer aber bereits mit ihr
vertraut ist und regelmäßig mit First-class
Functions jongliert, wird hier kaum etwas
Neues lernen.
Open-Source-Städte
Das E-Book „The foundation for an open
source city“ des Red-Hat-Mitarbeiters
Jason Hibbets möchte dem „weltweit
wachsenden Wunsch vieler Bürger“
nach mehr Offenheit und Transparenz
in Behörden und Städten Rechnung tragen.
Untermalt von eigenen Erfahrungen
schildert der Autor, wie man als Bürger
oder Verantwortlicher mehr „Open“ in
die Kommune bringt.
Zunächst definiert Hibbets die fünf
wichtigsten Charakteristika einer Open-
Source-Stadt: Teilhabe, offenes Regieren,
Open Data, offene Veranstaltungen und
Vernetzung. Er erzählt beispielsweise
von City Camps, die er in Raleigh, North
Carolina, ausrichten half. Solche „Un-
Als Motivation erzählt der Autor zunächst
die Geschichte eines Programmierers, der
sich mit dem widerspenstigen API eines
Partners plagt. Dank der funktionalen
Sprache Clojure und ihren Tools gewinnt
er binnen weniger Stunden die Oberhand.
Anschließend stellt Bevilacqua-Linn die
drei Programmiersprachen vor, die er im
Verlauf des Buches verwendet. Neben
Clojure sind das Java und Scala.
Danach zeigt er ein sehr einfaches Java-
Webframework und erläutert, wie man es
in Scala oder Clojure schreiben würde. Im
Weiteren dekliniert der Autor die gängigen
Design Patterns der objektorientierten
Programmierung durch und erklärt,
welche funktionalen Idiome sich in den
behandelten Sprachen für die gleichen
Aufgabenstellungen eignen.
Im letzten Kapitel konzentriert er sich
ganz auf Scala und Clojure, um funktikonferenzen“,
die die Teilnehmer selbst
gestalten, fanden 2011 erstmals in der USamerikanischen
Stadt und Heimat von
Red Hat statt.
Weiter geht es mit Tools, die helfen das
Regieren transparent zu machen: Im
Frage-Antwort-Stil, oft den Leser direkt
ansprechend, schildert Hibbets die
nächsten Schritte, beschreibt die „Open
Source Government Resolution“ der City
of Raleigh, zeigt, wie sich User, Konferenzen
und Open-Source-Tage organisieren
lassen und welche Rolle Informationsknoten
spielen. Den Abschluss des gelungenen
E-Books bilden ein Kapitel zu den
Prinzipien einer Open-Source-Stadt sowie
ein Blick in die Zukunft, die der Autor für
sehr vielversprechend hält.
Das mit Links und Referenzen gespickte
E-Book ist der Bericht eines Open-
Source-Evangelisten, der an seine Mission
glaubt. Ein möglicher Kritikpunkt
an seiner Argumentation ist allerdings
die Zeit: Erst seit wenigen Jahren laufen
die Bemühungen und Beobachtungen des
Autors. Daneben stellt sich die Frage, inwiefern
sich vieles, das Hibbets berichtet,
auf die Gegebenheiten anderer Länder,
Kontinente oder Mentalitäten übertragen
lässt. In Raleigh anzufangen, der Heimat
des Milliardenkonzerns Red Hat, scheint
jedenfalls keine schlechte Idee.
Das Manuskript gibt es übrigens auf
[http://​theopensourcecity.​com] unter
Creative-Commons-Lizenz. (mhu) n
Info
Jason Hibbets:
The Foundation for an
Open Source City
Lulu.com, 2013
160 Seiten
12 Euro (E-Book 3 Euro)
ISBN 978-1300923176

Know-how
www.linux-magazin.de Insecurity Bulletin 07/2014
88
Insecurity-Bulletin: Heartbleed-Bug in Open SSL
Blutendes Herz
Wegen eines Programmierfehlers in Open SSL ließen Server ihre geheimen Schlüssel Byte-weise ins Internet
tropfen. Eine Nachlese zum bisher aufsehenerregendsten Security-Bug des Jahres 2014. Mark Vogelsberger, Mathias Huber
© Michal Boubin, 123RF
Ein sicherheitsrelevanter Bug in der
freien Krypto-Software Open SSL [1] hat
im April 2014 für einiges Aufsehen gesorgt,
auch außerhalb von Fachkreisen.
Entdeckt haben ihn ungefähr zeitgleich
am 7. April der Google-Mitarbeiter Neel
Mehta [2] und das Team der finnischen
Security-Firma Codenomicon.
Da sich der Fehler in der Heartbeat-Erweiterung
der Software befand, war mit
einem Wortspiel rasch der Name Heartbleed
geschaffen. Codenomicon stellte
eine gleichnamige Website online – und
der Name blieb haften [3]. Der Heart-
Listing 1: Open-SSL-Patch für
Heartbleed
01 if (1 + 2 + payload + 16 > s‐>s3‐>rrec.length)
02 return 0; /* silently discard per RFC 6520 sec. 4 */
bleed-Bug mit der Kennung CVE-2014-
0160 sorgte für viel Unsicherheit und
eilige Serverupdates.
Lebenszeichen
Technisch steckt hinter der Sicherheitslücke
ein recht einfacher Programmierfehler.
Open SSL setzt unter anderem Transportverschlüsselung
nach dem Protokoll
TLS um. Aus Performancegründen ist
es wünschenswert, die TLS-Verbindung
zwischen Client und Server nicht ständig
neu aufzubauen, sondern länger aktiv zu
halten. Dazu dient die Heartbeat-Erweiterung
des Protokolls nach RFC 6520. Um
der Gegenseite zu versichern, dass sie die
Verbindung halten, schicken sich Client
und Server kleine Datenmengen hin und
her. Dabei senden sie nicht nur ein paar
Bytes Daten, die die Gegenstelle wieder
zurückschicken soll, sondern geben auch
deren Länge an.
Der Programmierfehler liegt darin, dass
der Empfänger die Datenlänge nicht
selbst ermittelt, sondern diesen Wert
ohne Prüfung von der Gegenstelle übernimmt.
Schickt ein Partner nun aber lediglich
1 KByte Daten als Payload, gibt
aber beispielsweise 5 KByte als deren
Länge an, dann liest der Empfänger über
den Datenbereich der Payload hinaus und
schickt weitere 4 KByte aus seinem Arbeitsspeicher
durchs Netzwerk zurück.
Zu viel gelesen
Dieser Fehler entspricht dem bekannten
Typ Read Overrun, auch als Buffer Overread
oder Out-of-bounds Read bezeichnet
– ein Lesevorgang über das Daten ende
hinaus [4]. Im Normalfall wäre das nicht
sonderlich dramatisch, denn es würde
sich um zufällige Inhalte aus dem Arbeitsspeicher
handeln. Open SSL implementiert
allerdings seine eigene Speicherverwaltung
und verwendet dabei etwa
die Funktion »OPENSSL_malloc()« statt
der gebräuchlichen »malloc()«.
Daher enthalten die Speicherfragmente
stets Daten, mit denen Open SSL arbeitet.
Bei der Kryptosoftware sind das Zertifikate
und Schlüssel, die eigentlich geheim
bleiben sollten. Bis zu 64 KByte lassen
DELUG-DVD
DELUG-DVD
Die DELUG-Ausgabe dieses
Linux-Magazins bringt auf DVD die Pentesting-Distribution
Kali Linux in Version 1.0.6 zuzüglich
Updates mit. Das installierbare Livesystem
enthält unter anderem die Metasploit-
Version 4.9.2 mit Client- sowie Server-seitigen
Exploit-Modulen für Heartbleed.

sich pro einzelnem Heartbeat herauskitzeln.
Wiederholt ein Angreifer den Vorgang
oft genug, kann er sich eine ausreichende
Menge Speicher verschaffen, um
schließlich den privaten SSL-Schlüssel
eines Servers zu rekonstruieren.
Das war zunächst noch eine Vermutung
und das Unternehmen Cloudflare schrieb
einen Wettbewerb für den praktischen
Beweis aus [5]. Kaum einen Tag später
hatten ein Open-Source-Entwickler sowie
ein finnischer Security-Forscher den privaten
SSL-Schlüssel des Cloudflare-Testservers
erbeutet. Sie brauchten dazu in
dem einen Fall 2,5 Millionen, im anderen
100 000 Requests.
Exploits
Man muss jedoch kein Security-Champion
sein, um die Attacke selbst nachzuvollziehen.
Für das Penetrationtest-
Framework Metasploit stehen fertige
Module für Angriffe gegen Server [6] und
Clients [7] zur Verfügung. Der Kasten
„Heartbleed mit Metasploit aufspüren“
gibt eine detaillierte Anleitung, Abbildung
1 zeigt den Einsatz des Exploits
gegen einen lokalen Apache-Webserver
mit verwundbarem SSL-Modul.
Die erbeuteten Daten enthalten Mailadressen
und weitere Texte, die aus Zertifikaten
und Schlüsseln aus dem Verzeichnis
»/etc/ssl/private« stammen. Das macht
für alle öffentlichen Open-SSL-Installationen
ein Update zwingend erforderlich.
Unzählige Web-, SMTP-, POP- und IMAP-
Server sowie SSL-VPNs, Webbrowser und
Chat-Dienste nutzen die äußerst populäre
Krypto-Software für sichere Verbindungen
– sofern sie nicht die Konkurrenz
GNU TLS verwenden.
Prinzipiell sind sowohl Client- als
auch Server-Anwendungen betroffen,
Webbrowser verwenden das Heartbeat-
Feature aber meist nicht. Als eine der
ersten Notfall-Maßnahmen empfahl das
Open-SSL-Projekt, seine Software mit
dem Flag »‐DOPENSSL_NO_HEART-
BEATS« zu übersetzen
und somit das verwundbare
Heartbeat-Feature zu
entfernen.
Heartbleed betrifft die
Open-SSL-Versionen 1.0.1
und 1.0.2-beta, einschließlich
1.0.1f und 1.0.2-
beta1. Ein Patch stand
binnen eines Tages zur
Verfügung. Wie Listing 1
zeigt, fügt es der betroffenen
Funktion »tls1_process_heartbeat()«
in der
SLES 11
Quelltextdatei »t1_lib.c«
eine If-Abfrage hinzu. Sie
vergleicht die Länge der
»payload«-Variablen über
die »SSL3_RECORD«-
Struktur (»s3‐>rrec«) mit
der eigentlichen Größe
der übertragenen Daten. Falls diese nicht
zusammenpassen, ignoriert die Software
das Paket einfach und sendet keine Antwort,
womit die Attacke vereitelt ist.
Die Distributionen
Das Patch oder ein Update auf die Open-
SSL-Versionen 1.0.1g beziehungsweise
1.0.2-beta2 stopft die Sicherheitslücke.
Wegen der verschiedenen Softwareversionen
befand sich der Bug nicht in allen
Releases von Linux-Distributionen, wie
Tabelle 1 zeigt. Beispielsweise blieben
Tabelle 1: Updates der Linux-Distributionen
Distribution und Version Gefixtes Paket verfügbar
Debian Linux 6 Squeeze (Oldstable) (nicht betroffen)
Debian Linux 7.4 Wheezy (Stable) 07.04.2014
Debian Linux 8.0 Jessie (Testing) 09.04.2014
Ubuntu 12.04 LTS Precise 07.04.2014
Ubuntu 12.10 Quantal 07.04.2014
Ubuntu 13.04 Raring
(nicht betroffen)
Ubuntu 13.10 Saucy 07.04.2014
Ubuntu 14.04 Trusty 07.04.2014
(nicht betroffen)
Open Suse 12.3 08.04.2014
Open Suse 13.1 08.04.2014
Red Hat Enterprise Linux 5 (nicht betroffen)
Red Hat Enterprise Linux bis 6.4 (nicht betroffen)
Red Hat Enterprise Linux ab 6.5 08.04.2014
Fedora 19 08.04.2014
Fedora 20 08.04.2014
Insecurity Bulletin 07/2014
Know-how
www.linux-magazin.de
89

Know-how
www.linux-magazin.de Insecurity Bulletin 07/2014
90
Abbildung 1: Metasploit-Angriff gegen einen Apache-Webserver mit verwundbarem Open-SSL-Modul.
Debian Squeeze und Suse Linux Enterprise
Server 11 aufgrund ihres älteren
Versionsstands verschont. Bei Red Hat
Enterprise Linux waren die Anwender bis
inklusive Version 6.4 sicher.
Die meisten Linux-Distributionen stellten
bereits am 8. April 2014, also einen Tag
nach Bekanntgabe des Bugs, aktualisierte
Binärpakete bereit, einige sogar noch am
selben Tag. Viele Admins dürften Überstunden
gemacht haben, um ihre Instal-
lationen zu aktualisieren. Ist ein öffentlicher
Server von Heartbleed betroffen,
ist es übrigens nicht genug, die Software
gegen eine reparierte Version auszutauschen.
Da bestehende private Schlüssel
in die Hände von Angreifern gefallen sein
können, muss der Admin zudem neue
Schlüssel und Zertifikate generieren und
das alte Zertifikat zurückrufen.
Dabei kann der Admin Heartbleed zum
Anlass nehmen, um zu überprüfen, ob
er beim SSL-/​TLS-Betrieb alles richtig
macht. Meist steht ein Upgrade auf zeitgemäße
Schlüssellängen von 2048 Bit an.
Weitere Anregungen dazu liefert die empfehlenswerte
Leseliste des Open-Source-
Entwicklers Daniel Molkentin [8]. n
Infos
[1] Open SSL: [http:// www. openssl. org]
[2] Open-SSL-Advisory zu Heartbleed:
[https:// www. openssl. org/ news/​
secadv_20140407. txt]
[3] Heartbleed-Seite von Codenomicon:
[http:// heartbleed. com]
[4] Out-of-bounds Read: [https://cwe.mitre.
org/data/definitions/125.html]
[5] Cloudflare Challenge:
[http:// blog. cloudflare. com/ the‐results‐ofthe‐cloudflare‐challenge]
[6] Metasploit-Modul für Server: [https://​
github. com/ rapid7/ metasploit‐framework/​
blob/ master/ modules/ auxiliary/ scanner/​
ssl/ openssl_heartbleed. rb]
[7] Metasploit-Modul für Clients: [https://​
github. com/ rapid7/ metasploit‐framework/​
blob/ master/ modules/ auxiliary/ server/​
openssl_heartbeat_client_memory. rb]
[8] Daniel Molkentins TLS-/​SSL-Lese-Empfehlungen:
[https:// daniel. molkentin. net/ 2014/​
04/ 21/ fighting‐cargo‐cult‐the‐incompletessltls‐bookmark‐collection/]
[9] Kali Linux: [http:// www. kali. org]
Heartbleed mit Metasploit aufspüren
Die Entwickler von Metasploit, einem freien
Toolkit für Penetrationtests, reagieren rasch
auf neue Sicherheitslücken. Auch im Fall von
Heartbleed gab es nur wenige Tage nach der
Bekanntgabe der Lücke bereits passende
Exploit-Module für die in Ruby geschriebene
Software – erst zum Attackieren von Servern,
dann auch einen Serverdienst, der den Speicher
von Clients ausliest.
Je nach eingesetzter Linux-Distribution ist Metasploit
nicht so einfach zu installieren. Am
einfachsten probiert man es mit einer Security-
Distribution wie Kali Linux [9] aus, die der DVD-
Ausgabe dieses Linux-Magazins beiliegt. Die
Kali-Entwickler pflegen ein eigenes Paketarchiv
für Security-Software, das auch ein regelmäßig
aktualisiertes Metasploit samt Modulen enthält.
Eigene Installationen sind mit dem Kommando
»msfupdate« aktualisierbar.
Das muss der Anwender jedoch mir Rootrechten
ausführen. Nicht erschrecken: Penetration-
Tester arbeiten häufig als Root, so auch beim
Benutzen von Metasploit. Die Distribution Kali
bootet standardmäßig ebenfalls in eine Root-
Oberfläche (Defaultpasswort »toor«).
Die lange Liste der installierten Metasploit-
Module kann man auf der Kommandozeile mit
dem Kommando
mfscli | grep heart
nach Exploits für Heartbleed durchsuchen. Das
Testen erfolgt dann in der Metasploit-Konsole,
die eine interaktive Kommandozeile mit History
und Vervollständigung bereitstellt, ähnlich der
Bash. Der Anwender startet sie mit »mfsconsole«
und muss anschließend eine merkliche
Weile warten, bis das Framework initialisiert ist
und ein Prompt erscheint.
Das Use-Kommando wählt das zu benutzende
Modul aus, mit
use auxiliary/scanner/ssl/U
openssl_heartbleed
aktiviert der Anwender den Scanner zum Untersuchen
verwundbarer Server. Das Kommando
»info« zeigt eine Kurzinformation über das
Modul inklusive Autoren, relevanter Advisories
sowie der wichtigsten Variablen. Letztere setzt
man nach dem Muster »set VARIABLE Wert«.
Beispielsweise stellt
set RHOSTS 192.168.1.123
die IP-Adresse eines zu scannenden Servers im
lokalen Netzwerk ein. Der Befehl »run« führt
den Exploit aus. Das Kommando
use auxiliary/server/U
openssl_heartbeat_client_memory
wählt das Modul zum Angreifen verwundbarer
Clients aus. Es stellt einen Serverdienst auf
dem Metasploit-Host bereit. Mittels Info- und
Set-Kommando lässt er sich konfigurieren,
standardmäßig hört er auf alle eingehenden
Anfragen. Der Befehl »run« startet anschließend
den Server.
Aktiviert man zudem die Einstellung »VER-
BOSE«, schreibt der Server sein Ereignisprotokoll
aufs Terminal. Die Tastenkombination
[Strg]+[D] beendet die Metasploit-Konsole.

Programmieren
www.linux-magazin.de Frosted 07/2014
92
Frosted prüft Python-Code
Code-Korrektor
Mit Python lassen sich rasch komplexe Aufgaben lösen. Einen Tipp- oder Syntaxfehler sieht der Entwickler allerdings
erst, wenn ihm seine Eigenkreation zur Laufzeit um die Ohren fliegt. Abhilfe möchte Frosted schaffen,
das Python-Skripte vor ihrer Ausführung auf Syntax- und andere häufige Mängel prüft. Tim Schürmann
übergibt. Im folgenden Beispiel würde
das Tool die Dateien »beispiel1.py« und
»beispiel2.py« auf Fehler abklopfen:
frosted beispiel1.py beispiel2.py
© Lukow, photocase.com
Der Python-Entwickler Timothy Crosley
war mit dem Tool Pyflakes [1] äußerst unzufrieden.
Der Quellcode des bekannten
Syntaxcheckers war ihm zu komplex, zu
langsam und zu schlecht dokumentiert.
Darüber hinaus antwortete der Autor von
Pyflakes nicht auf seine Anfragen und
Verbesserungsvorschläge. Kurzentschlossen
nahm Crosley den Code von Pyflakes,
verbesserte ihn, behob auch noch einige
Fehler und veröffentlichte das Ergebnis
Anfang 2014 unter dem Namen Frosted
[2], der auf Cornflakes mit Zuckerüberzug
anspielt.
Sein Fork verspricht bessere Prüfergebnisse
und außerdem noch schlanken und
einfach zu wartenden Code. Frosted deckt
nicht nur Tipp- und Syntaxfehler auf,
sondern macht auch auf andere Probleme
aufmerksam. Zum Beispiel bemeckert es
eingebundene, aber nicht weiter im Code
benutzte Bibliotheken (Abbildung 1). Der
Anwender darf außerdem vorgeben, welche
Dateien und Fehler das Werkzeug
ignorieren soll. Analysieren kann Frosted
derzeit Skripte für die Python-Versionen
2.4 bis 3.4.
Pip, Pip, hurra!
Das Programm lässt sich bequem und
schnell per Pip installieren:
pip install frosted ‐‐upgrade
Frosted überprüft alle Python-Skripte, die
man ihm bei seinem Aufruf als Parameter
Damit sich Python-Anwender bei größeren
Softwareprojekten nicht die Finger
wund tippen müssen, gibt es den Parameter
»‐r«. Frosted checkt damit nicht
nur sämtliche Dateien in dem dahinter
angegebenen Verzeichnis, sondern
durchläuft auch rekursiv dessen Unterverzeichnisse:
frosted ‐r beispiel/
Das Tool verdaut selbstverständlich auch
Wildcards: »frosted beispiel/*.py« würde
alle Python-Skripte mit der Endung ».py«
im Verzeichnis »beispiel« untersuchen.
Beim Aufruf von »frosted ‐« nimmt das
Tool die Dateinamen über die Standardeingabe
entgegen. Dabei ist das Minuszeichen
übrigens Pflicht – der Vorgänger
Pyflakes lauschte hingegen auch dann
an der Standardeingabe, wenn man ihn
gänzlich ohne Parameter aufrief. Abschließend
dürfen Python-Entwickler das
Tool sogar direkt aus eigenen Python-
Skripten aktivieren (siehe Kasten „Integrationshilfe“).
Bitte ignorieren
Über den Parameter »‐s« lassen sich einzelne
Dateien oder Verzeichnisse von der
Listing 1: Konfigurationsdatei
»~/.frosted«
01 [settings]
02 skip=ausschluss1.py,unwichtig2.py
03 ignore_frosted_errors=E100,W201
04 run_doctests=True
Abbildung 1: Frosted bemeckert bei diesem Skript nicht weiter benutzte Imports.

Prüfung ausnehmen. Im folgenden Beispiel
ignoriert Frosted »beispiel.py«:
frosted ‐s beispiel.py *.py
Wer nicht bei jedem Aufruf den kompletten
Parameter »‐s« eintippen möchte,
der kann die auszuschließenden Dateien
auch in der Konfigurationsdatei
»~/.frosted.cfg« auflisten (dabei ist der
vorangestellte Punkt im Dateinamen zu
beachten). Diese Datei besitzt den Aufbau
aus Listing 1.
Nachsicht
Hinter »skip=« stehen, jeweils durch
Kommata getrennt, alle von Frosted zu
ignorierenden Dateien und Verzeichnisse.
Des Weiteren können Anwender das Tool
anweisen bestimmte Fehler zu übersehen.
Dazu tragen sie die betreffenden
Fehlernummern hinter »ignore_frosted_
errors=« ein. Die einzelnen Nummern
trennen sie ebenfalls mit Kommata. Einige
Fehlernummern sind in Tabelle 1
aufgelistet.
Fehlernummern mit einer Null am Ende
schließen alle anderen Fehler aus einer
Serie mit ein. Die Angabe der Fehlernummer
E100 würde folglich alle Import-Fehler
(E101, E102 und E103) unterdrücken.
Die Fehlernummern lassen sich auch an
der Kommandozeile hinter dem Parameter
»‐i« an Frosted übergeben.
Legen Entwickler die Datei »~/.frosted.
cfg« im Homeverzeichnis ab, gelten ihre
Vorgaben bei jedem Aufruf von Frosted.
Alternativ können sie für jedes Projekt
eine eigene Konfigurationsdatei erstellen
und diese im zugehörigen Verzeichnis
platzieren. Rufen sie Frosted dann in diesem
Verzeichnis auf, verwendet es die
dortige Konfigurationsdatei.
Darüber hinaus wertet Frosted eine eventuell
vorhandene »setup.cfg«-Datei aus.
In ihr müssen Entwickler lediglich einen
Abschnitt »[frosted]« hinzufügen, in
dem sie dann wiederum die bekannten
Einstellungen aus Listing 1 verwenden.
Außerdem unterstützt das Tool den Editorconfig-Standard
[3]. Setzen ihn Entwickler
in ihren Projekten ein, können
sie einfach im Abschnitt »*.py« der Datei
»~/.editorconfig« die von Frosted verstandenen
Parameter einsetzen. In jedem
Fall lassen sich die Vorgaben über die
bereits vorgestellten Kommandozeilen-
Parameter überschreiben.
Die Entwickler möchten Frosted nach
und nach auch in Entwicklungsumgebungen
und Texteditoren integrieren.
Derzeit lässt sich das Tool allerdings nur
direkt aus Vim aufrufen. Hierzu installieren
Anwender das Syntastic-Plugin [4].
Ausblick
Die Arbeit an Frosted schreitet derzeit
rasch voran: Seit Anfang des Jahres gab
es bereits 16 Releases. Timothy Crosley
verspricht zudem einen offenen Entwicklungsprozess,
jeder soll Verbesserungen
einbringen können. So steht der Quellcode
offen auf Github [2] bereit. Dort
können Anwender auch um Hilfe bitten
oder neue Funktionen vorschlagen. Weitere
Diskussionen laufen über die Python
Code-Quality-Mailingliste [5]. Schließlich
darf man Timothy Crosley auch direkt
per E-Mail kontaktieren. (mhu) n
Infos
[1] Pyflakes:
[https:// github. com/ pyflakes/ pyflakes]
[2] Frosted: [https:// github. com/​
timothycrosley/ frosted]
[3] Editorconfig: [http:// editorconfig. org]
[4] Syntastic:
[https:// github. com/ scrooloose/ syntastic]
[5] Python Code Quality Mailingliste:
[https:// mail. python. org/ mailman/ listinfo/​
code‐quality]
Frosted 07/2014
Programmieren
www.linux-magazin.de
93
Integrationshilfe
Frosted stellt ein einfaches Python-API mit drei Funktionen bereit. Über
dies kann der Python-Entwickler die Prüfung aus einem Python-Skript heraus
anwerfen. Dazu bindet er zunächst die von Frosted bereitgestellten
Funktionen ein:
from frosted.api import *
Anschließend prüft der folgende Aufruf den Inhalt der Python-Datei »beispiel1.py«:
check_path("beispiel1.py")
Der folgende Funktionsaufruf untersucht hingegen alle Dateien in den Unterverzeichnissen
von »/home/tim/beispiel/«:
check_recursive(["/home/tim/beispiel"])
»check_recursive« erwartet dabei eine Liste mit Verzeichnisnamen, die
es jeweils rekursiv durchläuft. Der dritten Funktion im Bunde übergeben
Entwickler den zu prüfenden Python-Code direkt als String:
meincode= "print hello"
check(meincode, "pruefung1")
Den zweiten String (»pruefung1«) setzt »check« dabei vor jede Fehlermeldung.
Auf diese Weise können Entwickler mehrere Prüfvorgänge einfacher
auseinanderhalten. Sofern der Code aus einem anderen Skript stammt,
sollten Entwickler deshalb als zweiten Parameter den zugehörigen Dateinamen
angeben.
Tabelle 1: Ausgewählte Fehlernummern
Fehlernummer
Informationen
I100
I101
Fehler
E100
E101
E102
E103
E200
E201
E202
E203
E300
E400
E401
E402
Warnungen
W100
W200
W201
Bedeutung
Alle allgemeinen Informationen
»Generic«
Alle Import-Fehler
»UnusedImport«
»ImportShadowedByLoopVar«
»ImportStarUsed«
Alle Fehler, die sich auf Funktionen und deren
Aufrufe beziehen
»MultipleValuesForArgument«
»TooFewArguments«
»TooManyArguments«
Alle Fehler, die sich auf die Definition und Benutzung
von Variablen beziehen
Alle Syntax-Fehler
»DoctestSyntaxError«
»PythonSyntaxError«
Exception-Warnungen
Handling-Warnungen
»FileSkipped«

Programmieren
www.linux-magazin.de Perl-Snapshot 07/2014
94
Kontra-intuitive Entscheidungen
Eine Ziege, wahrscheinlich
Mathematische Rätsel mit bedingten Wahrscheinlichkeiten knackt der Fachmann mit der Bayes-Formel oder
auch mit diskreten Verteilungen – erzeugt von kurzen Perl-Skripten. Michael Schilli
zur rot-schwarzen, weil sie die Vorbedingung
des Experiments „Eine Seite ist rot“
doppelt erfüllt.
Schon vor 250 Jahren hatte sich der Mathematiker
Thomas Bayes bemüht, solche
intuitiv fehlerträchtigen Probleme in
eine Formel zu fassen, an der sich nicht
rütteln lässt. Der „Satz von Bayes“ [4]
beschreibt in seiner „diachronischen Interpretierung“,
wie sich die Wahrscheinlichkeiten
von Hypothesen im Lauf der
Zeit verändern, falls in einem Experiment
neue Daten auftauchen. Die Formel
© Bernardo Ertl, 123RF
Online PLUS
In einem Screencast demonstriert
Michael Schilli das Beispiel: [http://​
www.linux-magazin.de/​2014/07/​plus]
Das bei Statistikern gut bestallte Ziegenproblem
[2] eignet sich bestens, um
mehr praktisch als mathematisch Begabte
reihenweise zu blamieren – besonders
wenn sie leidenschaftlich gegen die
richtige Lösung wettern. Im Kern geht es
um eine Spielshow, bei der ein Kandidat
auf eine Tür deutet und der Moderator
eine Tür öffnet, hinter der entweder eine
Ziege oder ein Gewinn wartet (Abbildung
1). Wer hätte gedacht, dass sich
Wahrscheinlichkeiten in offensichtlich
festgezimmerten Fernsehstudios dramatisch
ändern, nur weil der Moderator eine
Tür ohne Preis öffnet?
Das menschliche Gehirn scheint sich
schwer zu tun mit so genannten bedingten
Wahrscheinlichkeiten, die zufällige
Ereignisse mit Vorbedingungen beschreiben.
So auch bei der schon vor 15 Jahren
im Perl-Snapshot [3] gestellten Aufgabe:
Gegeben ist ein Zylinder, in dem drei Karten
liegen. Die erste ist vorne und hinten
schwarz, die zweite vorne und hinten
rot, die dritte auf der einen Seite schwarz
und auf der anderen rot (Abbildung 2).
Eine Karte wird gezogen. Man sieht die
Vorderseite, die ist rot. Wie hoch ist die
Wahrscheinlichkeit, dass auch die Rückseite
der gezogenen Karte rot ist?
Kontra-intuitiv
Die meisten Leute antworten darauf mit
„50 Prozent“, denn scheinbar gibt es
zwei gleich wahrscheinliche Fälle, die
rot-schwarze und die rot-rote Karte, und
einmal ist die Kehrseite schwarz und einmal
rot. Verrät der Kundige dem Zuhörer
aber dann, dass die korrekte Lösung „66
Prozent“ lautet, reagieren die meisten
verblüfft. Der Kniff liegt in den Vorbedingungen
des Experiments: Die rot-rote
Karte zählt einfach doppelt im Vergleich
P(H|D) = P(H) * P(D|H) / P(D)
definiert die Wahrscheinlichkeit P einer
Hypothese H, zum Beispiel „Ich habe die
rot-rote Karte gezogen“, in Abhängigkeit
von neu auftauchenden Daten D wie „Die
Vorderseite der gezogenen Karte ist rot“
(Abbildung 3).
Auf der rechten Seite der Gleichung ist
P(H) die Ausgangswahrscheinlichkeit der
Hypothese, noch bevor neue Daten vorliegen.
Bayes multipliziert sie mit P(D|H),
also der Wahrscheinlichkeit, dass die Daten
unter der Hypothese vorliegen. Wie
wahrscheinlich ist es dann, dass der Kartenfreund
tatsächlich auf eine rote Vorderseite
blickt, falls er die rot-rote Karte
gezogen hat?
Im Nenner der rechten Seite steht schließlich
mit P(D) die Wahrscheinlichkeit der
vorliegenden Daten, unabhängig von irgendeiner
Hypothese. Wie wahrscheinlich
ist es, dass der Proband nach dem
Ziehen irgendeiner Karte auf eine rote
Vorderseite starrt?
Bayes weiß es besser
Alle drei möglichen Hypothesen – zufällig
gezogene Karten – sind in diesem Experiment
offensichtlich gleich wahrschein-

© Cepheus, Wikipedia
Perl-Snapshot 07/2014
Programmieren
Abbildung 1: In der Hoffnung, das Auto zu gewinnen, wählt der Kandidat die Tür
1. Der Showmaster, der weiß, hinter welcher Tür das Auto steht, öffnet daraufhin
Tür 3, hinter der eine Ziege steht. Er bietet dem Kandidaten an, die Tür zu wechseln.
Ist es vorteilhaft für den Kandidaten, seine erste Wahl zu ändern und sich
für Tür 2 zu entscheiden? (Quelle: Wikipedia)
Abbildung 2: Aus einem Zylinder mit einer schwarz-roten, einer schwarz-schwarzen
und einer rot-roten Karte zieht ein Proband eine Karte.
www.linux-magazin.de
95
lich. Also ist P(H) – die Wahrscheinlichkeit,
dass die rot-rote Karte gezogen wird
– gleich 1/​3, denn sie wird in einem
Drittel aller Fälle gezogen. Bei Annahme
dieser Hypothese ist die Kehrseite der
gezogenen rot-roten Karte trivialerweise
in exakt 100 Prozent aller Fälle ebenfalls
rot, also ist P(D|H) = 1.
Unabhängig von der Hypothese einer gezogenen
Karte ist die Wahrscheinlichkeit,
nach dem Ziehen auf eine rote Kartenoberseite
zu blicken, 50 Prozent, ergo
ist P(D) = 1/​2. Schließlich liegen im
Zylinder sechs Kartenhälften, von denen
drei rot und drei schwarz sind. In die
Bayes-Formel eingesetzt ergibt sich für
P(H|D) entsprechend 1/​3 * 1/​(1/​2) =
2/​3. Die Bayes-Formel sagt also mit 66
Prozent das im Experiment nachweisbar
korrekte Ergebnis voraus und widerlegt
die Intuition.
Wahrscheinlichkeit, diskret
programmiert
Das etwa ein halbes Jahr alte Buch „Think
Bayes“ [5] beschreibt zusätzlich zur
Bayes-Formel ein numerisches Verfahren,
das sich zum Experimentieren leicht
in handliche Skripte fassen lässt. Dazu
legt man die Hypothesen in einer statistischen
Verteilung ab, speichert sie also in
einem Python-Dictionary oder Perl-Hash
mit ihren Ausgangswahrscheinlichkeiten,
multipliziert dann die Einzelwerte
mit den bedingten Wahrscheinlichkeiten
eintreffender Daten unter Annahme der
jeweiligen Hypothese und normalisiert
die Werte für alle Hypothesen.
Heraus kommt die Wahrscheinlichkeit
der gesuchten Hypothese im Lichte neu
eingetroffener Daten. Dieses Verfahren
und speziell die abschließende Normalisierung
funktionieren allerdings nur
dann, wenn
n höchstens eine der Hypothesen wahr
ist und
n es keine weiteren Möglichkeiten gibt,
also mindestens eine der Hypothesen
wahr ist.
Listing 1 zeigt die Implementierung des
Skripts »cards«, das zuletzt die gesuchte
Lösung 0,666… ausgibt. Es nutzt das
Modul »Distrib.pm« (Listing 2), das
die Hilfsfunktionen zur Berechnung der
statistischen Verteilung bereitstellt. Die
Wahrscheinlichkeiten für die Hypothesen
bei der Ziehung verschiedener Karten
(»BB«, »BR«, »RR« für black-black, blackred,
red-red) füttern die Zeilen 7 bis 9 von
mit jeweils dem Wert 1/​3 ins Modul.
Die hinzugekommenen Daten, also die
Oberseite der tatsächlich gezogenen
Karte, geben die Zeilen 11 bis 13 von
Listing 1 für jede Hypothese vor und
multiplizieren die eingespeisten Hypothesenwerte
damit. So ist die Wahrscheinlichkeit,
dass der Proband eine rote Oberseite
erblickt, bei der schwarz-schwarzen
Karte gleich Null. Bei der schwarz-roten
Karte beträgt sie 50 Prozent, je nachdem,
wie herum die Karte aus dem Zylinder
herauskommt. Und die rot-rote Karte präsentiert
ihm in 100 Prozent der Fälle eine
rote Seite, weshalb Zeile 13 den Multiplikator
auf den Wert 1 setzt.
Abschließend gibt der Aufruf der Methode
»prob("RR")« die normalisierte
Wahrscheinlichkeit für die Hypothese
„rot-rote Karte“ zurück, die 2/​3 beträgt.
Moose im vorliegenden Fall
nur ein Gimmick
Listing 2 nutzt das CPAN-Modul Moose,
um sich die Definition des Distrib-Konstruktors
in Perl zu ersparen. Allerdings
muss der Code stattdessen mit »has«
die Klassenattribute deklarieren und initialisieren.
Im vorliegenden Fall nur ein
netter Gimmick, bei weiteren Attributen
wäre der Code deutlich schlanker als bei
manueller Klassenfahrt.
Die Methode »set()« nimmt den Namen
einer Hypothese (zum Beispiel »BB«) und
deren A-priori-Wahrscheinlichkeit entgegen
und speichert sie in dem Objektinternen
Array »values«. Zum Multiplizieren
eines Hypothesenwerts mit einem
Listing 1: »cards«
01 #!/usr/local/bin/perl ‐w
02 use strict;
03 use Distrib;
04
05 my $distrib = Distrib‐>new();
06
07 $distrib‐>set( "BB", 0.33 );
08 $distrib‐>set( "BR", 0.33 );
09 $distrib‐>set( "RR", 0.33 );
10
11 $distrib‐>mult( "BB", 0 );
12 $distrib‐>mult( "BR", 0.5 );
13 $distrib‐>mult( "RR", 1 );
14
15 $distrib‐>normalize();
16
17 print $distrib‐>prob( "RR" ), "\n";

Programmieren
www.linux-magazin.de Perl-Snapshot 07/2014
96
konstanten Wert bekommt »mult()« beide
übergeben, findet den bislang gespeicherten
Wert in »values« und multipliziert
diesen mit dem hereingereichten Wert
für »$prob«.
Die Methode »normalize()« iteriert über
alle bislang eingespeisten Werte im
Hash, summiert sie in »$sum« und dividiert
dann alle Werte durch die Summe.
So beträgt die neue Summe aller Wahrscheinlichkeitswerte
zum Beispiel nach
einer Multiplikation wieder 1. Jeder
Wert lässt sich somit als Wahrscheinlichkeit
zwischen 0 und 1 interpretie-
ren. Am Ende findet »prob()« den Wert
für eine gesuchte Hypothese, indem es
den Werte-Hash mit der von Moose automatisch
erzeugten Methode »values()«
als Referenz hervorholt und unter dem
Schlüssel der gesuchten Hypothese den
dort abgelegten Wert extrahiert.
Abstrakter geht’s auch
Wer mehrere solcher Tests für verschiedenartige
Probleme durchführt, erkennt
das Muster: Nach dem Aufsetzen der
Hypothesen werden die Wahrscheinlichkeiten
zusätzlicher Daten stets mit allen
definierten Hypothesen multipliziert. Es
bietet sich darum – wie in [5] vorgemacht
– an, eine von »Distrib« abgeleitete
Musterklasse »HypoTest« ähnlich wie
Listing 2 zu definieren, die mittels einer
Methode »update()« die Werte für alle
Hypothesen auffrischt.
Weiter verlässt sie sich darauf, dass wiederum
von ihr abgeleitete Klassen (beispielsweise
»CardHypoTest« in Listing
4) die abstrakte Methode »likelihood()«
überladen und basierend auf der übergebenen
Hypothese und den zusätzlich
Listing 2: »Distrib.pm«
01 use Moose;
02
03 has 'values' => (is => 'rw', isa =>
'HashRef',
04 default => sub { {} } );
05
06 sub set {
07 my( $self, $hypo, $prob ) = @_;
08
09 $self‐>values()‐>{ $hypo } = $prob;
10 }
11
12 sub mult {
13 my( $self, $hypo, $prob ) = @_;
14
15 $self‐>values()‐>{ $hypo } *= $prob;
16 }
17
18 sub normalize {
19 my( $self ) = @_;
20
21 my $values = $self‐>values();
22 my $sum = 0;
23
24 for my $hypo ( keys %$values ) {
25 $sum += $values‐>{ $hypo };
26 }
27 for my $hypo ( keys %$values ) {
28 $values‐>{ $hypo } /= $sum;
29 }
30 }
31
32 sub prob {
33 my( $self, $hypo ) = @_;
34
35 return $self‐>values()‐>{ $hypo };
36 }
37
38 1;
Listing 3: »HypoTest.pm«
01 package HypoTest;
02 ###########################################
03 # Hypotest ‐ Testing hypotheses
04 # 2014, Mike Schilli
05 ###########################################
06 use Moose;
07 use Distrib;
08
09 has 'distrib' => (
10 is => 'rw',
11 isa => 'Distrib',
12 default => sub { Distrib‐>new() } );
13
14 sub hypo_add {
15 my( $self, $hypo ) = @_;
16
17 $self‐>distrib()‐>set( $hypo, 1 );
18 }
19
20 sub update {
21 my( $self, $data ) = @_;
22
23 my $hypos = $self‐>distrib()‐>values();
24
25 for my $hypo ( keys %$hypos ) {
26 $self‐>distrib()‐>mult( $hypo,
27 $self‐>likelihood( $data, $hypo )
28 );
29 }
30
31 $self‐>distrib()‐>normalize();
32 }
33
34 sub print {
35 my( $self ) = @_;
36
37 my $values = $self‐>distrib()‐>values();
38
39 for my $hypo ( keys %$values ) {
40 print "$hypo: $values‐>{ $hypo }\n";
41 }
42 }
43
44 sub likelihood {
45 die "Subclass needs to override this";
46 }
47
48 1;
Listing 4: »hypotest«
01 #!/usr/local/bin/perl ‐w
02 use strict;
03 package CardHypoTest;
04 use base qw( HypoTest );
05
06 sub likelihood {
07 my( $self, $data, $hypo ) = @_;
08
09 # count the number or Rs in the string
10 my @matches = ( $hypo =~ /($data)/g );
11 return @matches / 2.0;
12 }
13
14 package main;
15 my $suite = CardHypoTest‐>new();
16
17 $suite‐>hypo_add( "RR" );
18 $suite‐>hypo_add( "BB" );
19 $suite‐>hypo_add( "RB" );
20
21 $suite‐>update( "R" );
22 $suite‐>print();

Perl-Snapshot 07/2014
Programmieren
Abbildung 3: Der Satz von Bayes definiert die Wahrscheinlichkeit einer Hypothese in Abhängigkeit von neu
auftauchenden Daten. (Quelle: Wikipedia, [4])
verfügbaren Daten die Wahrscheinlichkeit
P(D|H) zurückgeben.
Das in Listing 3 vorgestellte Framework
»HypoTest« ruft diese Methode wiederholt
auf, um die Werte für einzelne Hypothesen
einzuholen, bevor es sie in der
Verteilung »Distrib« setzt. Das Framework
bietet weiterhin eine Methode »print()«,
mit der es die Werte aller aktualisierten
Wahrscheinlichkeiten für die jeweilige
Hypothese ausgibt.
Der Hypotest
In Listing 4 nimmt »likelihood()« in
»$data« vom Hauptprogramm den Buchstaben
R entgegen – um eine gezogene
Karte mit roter Vorderseite als Zusatzbedingung
anzumelden – und rechnet
dann basierend auf der ebenfalls hereingereichten
Hypothese (»RR«, »RB«, »BB«)
aus, wie wahrscheinlich es ist, dass der
Proband auf eine rote Vorderseite blickt:
Eine glatte 1 (also 100 Prozent) für »RR«,
0,5 für »RB« und 0 für »BB«.
Die Funktion setzt dazu einen regulären
Ausdruck ab, der die Anzahl der Rs in
der Hypothese zählt, und dividiert das
Ergebnis anschließend durch 2 als Fließkommawert,
damit Perl keine Integerdivision
vornimmt und den Divisionsrest
unterschlägt.
Am Ende gibt »hypotest« die Wahrscheinlichkeiten
für alle Hypothesen in der Verteilung
mittels der Methode »print()« aus
dem Modul »HypoTest« an und berichtet
zu Recht, dass die rot-rote Karte in 2/​3
aller Fälle erscheint:
$ ./hypotest
RB: 0.333333333333333
RR: 0.666666666666667
BB: 0
Damit sieht der Proband, der gerade auf
eine rote Vorderseite blickt und diese
Karte umdreht, mit 2/3 Wahrscheinlichkeit
eine ebenso rote Rückseite.
Paarhufer, fassungslos
Was mit Ziegen hinter Türen begann, endet
mit der Erkenntnis, dass sich einfache
Skripte für mathematisch fundierte Folgerungen
eignen. Selbst wer beim Anblick
einer Formel in Ohnmacht fällt, kommt
auf seine Kosten und lernt dank weiterer
Beispiele in [5] oder [6] (zwar in Python
und nicht in Perl), dass statistische Alltagsprobleme
mit Lösungen aufwarten,
die intuitiv nicht zu erfassen sind. (jk)n
Infos
[1] Listings zu diesem Artikel:
[ftp:// www. linux‐magazin. de/ pub/ listings/​
magazin/ 2014/ 07/ Perl]
[2] Ziegenproblem: [http:// de. wikipedia. org/​
wiki/ Ziegenproblem]
[3] M. Schilli, „Perl-Snapshot: Monty-Hall und
andere Probleme“: Linux-Magazin 09/​99
[4] Satz von Bayes: [http:// de. wikipedia. org/​
wiki/ Satz_von_Bayes]
[5] Allen B. Downey, „Think Bayes“: O’Reilly,
2013
[6] Cameron Davidson-Pilon, „Probabilistic
Pro gramming & Bayesian Methods for Hackers“:
[https:// github. com/​CamDavidsonPilon/​Probabilistic‐Programming‐​and‐​
Bayesian‐Methods‐for‐Hackers]
Der Autor
Michael Schilli arbeitet
als Software-Engineer bei
Yahoo in Sunnyvale, Kalifornien.
In seiner seit 1997
erscheinenden Kolumne
forscht er jeden Monat
nach praktischen Anwendungen der Skriptsprache
Perl. Unter [mschilli@perlmeister. com] beantwortet
er gerne Fragen.
www.linux-magazin.de
97

Service
www.linux-magazin.de IT-Profimarkt 07/2014
98
PROFI
MARKT
Sie fragen sich, wo Sie maßgeschneiderte
Linux-Systeme und kompetente
Ansprechpartner zu Open-Source-Themen
finden? Der IT-Profimarkt weist Ihnen
als zuverlässiges Nachschlagewerk
den Weg. Die hier gelisteten Unternehmen
beschäftigen Experten auf ihrem
Gebiet und bieten hochwertige Produkte
und Leistungen.
Die exakten Angebote jeder Firma entnehmen
Sie deren Homepage. Der ersten
Orientierung dienen die Kategorien
Hardware, Software, Seminaranbieter,
Systemhaus, Netzwerk/TK und Schulung/Beratung.
Der IT-Profimarkt-Eintrag
ist ein Service von Linux-Magazin
und LinuxUser.
Online-Suche
Besonders bequem finden Sie einen
Linux-Anbieter in Ihrer Nähe über die
neue Online-Umkreis-Suche unter:
[http://www.it-profimarkt.de]
Informationen
fordern Sie bitte an bei:
Medialinx AG
Anzeigenabteilung
Putzbrunner Str. 71
D-81739 München
Tel.: +49 (0)89/99 34 11-23
Fax: +49 (0)89/99 34 11-99
E-Mail: anzeigen@linux-magazin.de
IT-Profimarkt – Liste sortiert nach Postleitzahl
1 = Hardware 2 = Netzwerk/TK 3 = Systemhaus
4= Fachliteratur 4= Seminaranbieter 5 = Software 5 = Software 6 = Schulung/Beratung 6 = Firma Anschrift Telefon Web 1 2 3 4 5 6
Schlittermann internet & unix support 01099 Dresden, Tannenstr. 2 0351-802998-1 www.schlittermann.de 3 3 3 3
imunixx GmbH UNIX consultants 01468 Moritzburg, Heinrich-Heine-Str. 4 0351-83975-0 www.imunixx.de 3 3 3 3 3
Heinlein Support GmbH 10119 Berlin, Schwedter Straße 8/​9b 030-405051-0 www.heinlein-support.de 3 3 3 3 3
TUXMAN Computer 10369 Berlin, Anton-Saefkow-Platz 8 030-97609773 www.tuxman.de 3 3 3 3 3
Compaso GmbH 10439 Berlin, Driesener Strasse 23 030-3269330 www.compaso.de 3 3 3 3 3
elego Software Solutions GmbH 13355 Berlin, Gustav-Meyer-Allee 25 030-2345869-6 www.elegosoft.com 3 3 3 3
verion GmbH 16244 Altenhof, Unter den Buchen 22 e 033363-4610-0 www.verion.de 3 3 3
Logic Way GmbH 19061 Schwerin, Hagenower Str. 73 0385-39934-48 www.logicway.de 3 3 3 3
Sybuca GmbH 20459 Hamburg, Herrengraben 26 040-27863190 www.sybuca.de 3 3 3 3 3
JEL Ingenieurbuero 23911 Einhaus, Hauptstr. 7 04541-8911-71 www.jeltimer.de 3
talicom GmbH 30169 Hannover, Calenberger Esplanade 3 0511-123599-0 www.talicom.de 3 3 3 3 3
teuto.net Netzdienste GmbH 33602 Bielefeld, Niedenstr. 26 0521-96686-0 www.teuto.net 3 3 3 3 3
LINET Services GmbH 38118 Braunschweig, Cyriaksring 10a 0531-180508-0 www.linet-services.de 3 3 3 3 3 3
OpenIT GmbH 40599 Düsseldorf, In der Steele 33a-41 0211-239577-0 www.OpenIT.de 3 3 3 3 3
Linux-Systeme GmbH 45277 Essen, Langenbergerstr. 179 0201-298830 www.linux-systeme.de 3 3 3 3 3
Linuxhotel GmbH 45279 Essen, Antonienallee 1 0201-8536-600 www.linuxhotel.de 3
OpenSource Training Ralf Spenneberg 48565 Steinfurt, Am Bahnhof 3-5 02552-638755 www.opensource-training.
de
Intevation GmbH 49074 Osnabrück, Neuer Graben 17 0541-33508-30 intevation.de 3 3 3 3
uib gmbh 55118 Mainz, Bonifaziusplatz 1b 06131-27561-0 www.uib.de 3 3 3 3
LISA GmbH 55411 Bingen, Elisenhöhe 47 06721-49960 www.lisa-gmbh.de 3 3 3 3 3
saveIP GmbH 64283 Darmstadt, Saalbaustr. 8-10 06151-666266 www.saveip.de 3 3 3 3 3
LinuxHaus Stuttgart 70565 Stuttgart, Hessenwiesenstrasse 10 0711-2851905 www.linuxhaus.de 3 3 3 3 3
Manfred Heubach EDV und Kommunikation
Waldmann EDV Systeme + Service
73730 Esslingen, Hindenburgstr. 171 0711-4904930 www.heubach-edv.de 3 3 3 3
74321 Bietigheim-Bissingen, Pleidelsheimer
Str. 25
07142-21516 www.waldmann-edv.de 3 3 3 3 3
in-put Das Linux-Systemhaus 76133 Karlsruhe, Moltkestr. 49 0721-6803288-0 www.in-put.de 3 3 3 3 3 3
Bodenseo 78224 Singen, Pomeziastr. 9 07731-1476120 www.bodenseo.de 3 3 3
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um Linux bieten. Alle Angaben ohne Gewähr.
3
(S.100)

Trust International Reservation Services GmbH ist ein globaler
Anbieter von Reservierungssystemen und verwandten Produkten.
Tausende von Hotels nutzen die Dienste von Trust International als
einer der führenden Anbieter in diesem Markt. Für unser Rechenzentrum-Team
im Headoffice in Frankfurt suchen wir
Junior- und Senior Linux
Administratoren (m/w),
die mit Herz und Verstand an der Konzeption, der Durchführung
sowie dem Betrieb und der Verbesserung unseres
Linux- sowie an Teilen unseres Netzwerk- und Sicherheitsumfelds
arbeiten.
Unsere Technologie: Die Trust Linux-Umgebung basiert vor allem auf
Ubuntu Linux, in Verbindung mit einer Vielzahl von Anwendungen - von
Java-Anwendungsservern (einschließlich J2EE), Apache über Datenbanken
wie MySQL und MongoDB bis hin zu maßgeschneiderten
C/C++-Anwendungen und vieles mehr. Virtualisierungstechnologien
(einschließlich zentraler Speicher) werden genutzt. PCI-DSS Regeln
werden angewandt.
Die Aufgaben können je nach Berufserfahrung variieren, aber dazu
gehören auf jeden Fall:
▪ Weitere Automatisierung der Linux-Umgebung (Deployment neuer
virtueller Maschinen, zentrale Konfiguration und Patch-Management,
Monitoring,...) ▪ Verbesserung der Protokollierung und Log-Analyse-Infrastruktur
(System- und Anwendungsprotokolle) ▪ PCI-DSS
Compliance IT-Sicherheit (evtl. als Security Officer mit allen damit verbundenen
Aufgaben/Rechten) ▪ Pflege/Optimierung der Datenbankumgebung
(MySQL, MongoDB)
Ihre Skills:
▪ Sehr gute Linux-Kenntnisse (Ubuntu/Debian Linux im Besonderen),
einschließlich Scripting (bash, Perl und/oder Python) sowie die
üblichen Linux-Anwendungen, Tools und Daemons ▪ Kenntnisse in Puppet
und OpenLDAP ▪ Gute Kenntnisse der gängigen Web-Server (Apache
und nginx im Besonderen) ▪ Gute Kenntnisse der Java-Anwendungsserver-Umgebung
(Tomcat) ▪ Netzwerkkenntnisse (TCP/IP, Ethernet,...) in
einer LAN- und WAN-Umgebung ▪ Kenntnisse über Virtualisierungstechnologien
(XenServer/XCP, Xen, KVM, VMware,...) ▪ Kenntnisse in
MySQL (einschließlich Optionen für hohe Verfügbarkeit, etc.)
Was wünschen wir uns von Ihnen?
▪ Sie sind organisiert und gründlich ▪ Sie zeigen eine starke Kommunikationsfähigkeit
und mögen die Arbeit in einem internationalen Team ▪ Sie
sind bereit im Team zu arbeiten, um optimale Ergebnisse zu erzielen
▪ Sie sind in der Lage sich schnell auf eine sich verändernde Umwelt
einzustellen und schauen auch gerne über den Tellerrand hinaus ▪ Sie
haben Ideen und möchten sie auch einbringen
Ihre Erfahrung:
▪ mehrjährige Erfahrung in der Linux-Server-Administration in einer
100+-Server-Umgebung ▪ Erfahrung in Java-Application-Server-Umgebungen
▪ Erfahrung in MySQL ▪ Gutes Verständnis, wie sinnvolle und
sichere IT-Infrastruktur zu planen, zu implementieren und zu betreiben
ist ▪ Gute Kenntnisse der gängigen Web-Technologien wie Web-Services
Haben wir Ihr Interesse geweckt und Sie möchten unser Team verstärken?
Dann überzeugen Sie uns mit Ihren aussagekräftigen Bewerbungsunterlagen
an IHS-Group-IHSG0925@applications.recruiterbox.com.
Weitere spannende Positionen bei Trust International z. B. C+/++
Entwickler, Web Developer, etc., finden Sie auf unserer Homepage
www.trustinternational.com.
Wir freuen uns natürlich auch über Initiativbewerbungen!
Was bieten wir Ihnen:
▪ Ein sehr gutes Arbeitsklima in einem dynamischen Team ▪ Eigenverantwortliches
Arbeiten ▪ Die Möglichkeiten eines internationalen
Unternehmens ▪ Leistungsgerechte Bezahlung mit guten Sozialleistungen
sowie Kantinen-Zuschuss, Fahrkarte etc.
Ich bin gespannt auf Ihre Bewerbung und
stehe für Fragen gerne zur Verfügung!
Antje Grösser
Manager Talent Acquisition
Tel.: +49 (0)69 - 66056171
agroesser@ihs-worldwide.com
Trust International Hotel Reservation Services GmbH
Main Airport Center (MAC)
Unterschweinstiege 2-14
60549 Frankfurt am Main
www.trustinternational.com

main red
white
gradient bottom
black
Service
www.linux-magazin.de IT-Profimarkt Markt 07/2014
100
IT-Profimarkt/Seminare
IT-Profimarkt – Liste sortiert nach Postleitzahl (Fortsetzung von S. 98)
Firma Anschrift Telefon Web 1 2 3 4 5 6
Linux Information Systems AG 81739 München, Putzbrunnerstr. 71 089-993412-0 www.linux-ag.com 3 3 3 3 3
LinuxLand International GmbH 81739 München, Putzbrunnerstr. 71 089-99341441 www.linuxland.de 3 3 3 3 3 3
Synergy Systems GmbH 81829 München, Konrad-Zuse-Platz 8 089-89080500 www.synergysystems.de 3 3 3 3 3
B1 Systems GmbH 85088 Vohburg, Osterfeldstrasse 7 08457-931096 www.b1-systems.de 3 3 3 3 3
ATIX AG 85716 Unterschleißheim, Einsteinstr. 10 089-4523538-0 www.atix.de 3 3 3 3 3 3
Tuxedo Computers GmbH 86343 Königsbrunn , Zeppelinstr. 3 0921 / 16 49 87
87 - 0
OSTC Open Source Training and Consulting
GmbH
www.linux-onlineshop.de 3 3 3 3
90425 Nürnberg, Waldemar-Klink-Str. 10 0911-3474544 www.ostc.de 3 3 3 3 3 3
Dipl.-Ing. Christoph Stockmayer GmbH 90571 Schwaig, Dreihöhenstr. 1 0911-505241 www.stockmayer.de 3 3 3
pascom - Netzwerktechnik GmbH &
Co.KG
94469 Deggendorf, Berger Str. 42 0991-270060 www.pascom.net 3 3 3 3 3
RealStuff Informatik AG CH-3007 Bern, Chutzenstrasse 24 0041-31-3824444 www.realstuff.ch 3 3 3
CATATEC CH-3013 Bern, Dammweg 43 0041-31-3302630 www.catatec.ch 3 3 3
Syscon Systemberatungs AG CH-8003 Zürich, Zweierstrasse 129 0041-44-4542010 www.syscon.ch 3 3 3 3 3
Würth Phoenix GmbH IT-39100 Bozen, Kravoglstraße 4 0039 0471 56 41 11 www.wuerth-phoenix.com 3 3 3 3
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um Linux bieten. Alle Angaben ohne Gewähr.
n
IT-Sicherheit Grundlagen
Mit Prof. Dr. Tobias Eggendorfer
n Holen Sie sich Infos aus erster Hand vom Forensikexperten und IT-Professor!
n Bauen Sie ein verlässliches Sicherheitskonzept auf!
n Überprüfen Sie Ihre IT anhand der vorgestellten Sicherheitskonzepte!
MEDIALINX
IT-ACADEMY
powered by
IT-Onlinetrainings
Mit Experten lernen.
IT-Sicherheit Grundlagen
mit Prof. Dr. Tobias Eggendorfer,
Hochschule
Ravensburg-Weingarten
299 €
YOUTUBE LOGO SPECS
PRINT
on light backgrounds
standard
on dark backgrounds
standard
PMS 1795C
C0 M96 Y90 K2
PMS 1815C
C13 M96 Y81 K54
WHITE
C0 M0 Y0 K0
BLACK
C100 M100 Y100 K100
no gradients
no gradients
watermark
watermark
stacked logo (for sharing only)
stacked logo (for sharing only)
/MedialinxAcademy
www.medialinx-academy.de

Basics. Projekte.
Ideen. Know-how.
NEU!
Mini-Abo
zwei Ausgaben
nur 9,80 €
Jetzt bestellen!
www.medialinx-shop.de/raspberry-pi-geek
RPG_1-4DIN_miniabo_v1.indd 1
Stellenanzeige
28.03.2014 14:56:50 Uhr
Network
Kunden im Fokus
Kanban
Monitoring
Open Source
High Availability
Teamgeist
Puppet
Virtualisation
Scalability
OpenStack
Ubuntu
hungry
Ceph
ehrlich
IPv6
solid
nine.ch ist der führende Anbieter von Managed Linux Servern in der Schweiz.
Wir gewährleisten den Betrieb von Websites wie rogerfederer.com und nzz.ch.
Willst du unser Team
dabei unterstützen?
Jetzt unter nine.ch/jobs informieren und bewerben!
Nine Internet Solutions AG
Albisriederstrasse 243 a
8047 Zürich

Seminare
IT-Onlinetrainings
Mit Experten lernen.
MEDIALINX
IT-ACADEMY
Effiziente BASH-Skripte
mit Klaus Knopper,
Gründer der
Knoppix-Distribution,
KNOPPER.NET
199 €
Automatisieren Sie komplexe
Aufgaben mit Hilfe effizienter Skripte!
www.medialinx-academy.de
IT-Onlinetrainings
Mit Experten lernen.
MEDIALINX
IT-ACADEMY
Einfache IMAP-Server
mit Dovecot
mit Peer Heinlein,
Heinlein Support GmbH
249 €
www.medialinx-academy.de
IT-Academy_1-9_Bash-Schulung.indd 1
02.08.2013 11:53:16 IT-Academy_1-9_Dovecot-Schulung.indd Uhr
1
02.08.2013 11:53:34 Uhr
IT-Onlinetrainings
Mit Experten lernen.
LPIC-1 / LPIC-2 Training
LPIC-1 (LPI 101 + 102)
mit Ingo Wichmann,
Linuxhotel
499 €
LPIC-2 (LPI 201 + 202)
mit Marco Göbel,
Com Computertraining GmbH
499 €
MEDIALINX
IT-ACADEMY
www.medialinx-academy.de
IT-Onlinetrainings
Mit Experten lernen.
MEDIALINX
IT-ACADEMY
Puppet Fundamentals
– das offizielle Training
NETWAYS ®
mit Achim Ledermüller,
Netways GmbH
299 €
www.medialinx-academy.de
X25
IT-Academy_1-9_LPIC-Schulungen.indd 1
IT-Onlinetrainings
Mit Experten lernen.
02.08.2013 11:53:58 IT-Academy_1-9_Netways-Schulung.indd Uhr
1
MEDIALINX
IT-ACADEMY
Python für
Systemadministratoren
mit Rainer Grimm,
science + computing AG
199 €
Vereinfachen Sie Ihren Sysadmin-Alltag
mit Skripting-Know-How für Profis!
www.medialinx-academy.de
IT-Onlinetrainings
Mit Experten lernen.
16.09.2013 12:34:33 Uhr
MEDIALINX
IT-ACADEMY
– die offiziellen Trainings
mit Marco Welter,
Zarafa Deutschland GmbH
Zarafa Administrator
249 €
Zarafa Engineer
249 €
www.medialinx-academy.de
News,
Blogs
& JoBs
liNux uNd opeN source
topaktuell mit unserem Newsletter
www.linux-magazin.de/newsletter
IT-Academy_1-9_Python-Schulung.indd 1
02.08.2013 11:54:11 IT-Academy_1-9_Zarafa-Schulung.indd Uhr
1
02.08.2013 11:55:03 Uhr

Service
www.linux-magazin.de Inserenten 07/2014
104
Inserentenverzeichnis
1&1 Internet AG http://​www.einsundeins.de 11
1blu AG http://​www.1blu.de 15
CANDAN THE WEB COMPANY http://​www.canhost.de 57
Deutsche Telekom AG http://​www.telekom.com 25
embedded projects GmbH http://​www.embedded-projects.net 101
Fernschule Weber GmbH http://​www.fernschule-weber.de 103
Host Europe GmbH http://​www.hosteurope.de 2
Ico Innovative Computer GmbH http://​www.ico.de 29
IT-Administrator http://​www.it-administrator.de 87
Linux-Magazin http://​www.linux-magazin.de 39, 69, 73
Linux-Magazin Online http://​www.linux-magazin.de 89, 103
Linuxhotel http://​www.linuxhotel.de 13
LinuxUser http://​www.linuxuser.de 102
Medialinx IT-Academy http://​www.medialinx-academy.de 33, 62,
65, 100, 103,
Mittwald CM Service GmbH & Co. KG http://​www.mittwald.de 17
Netways GmbH http://​www.netways.de 43, 97
Nine Internet Solutions AG http://​www.nine.ch 101
PlusServer AG http://​www.plusserver.de 19, 53, 59,79,
85, 91
Raspberry Pi Geek http://​www.raspberry-pi-geek.de 40, 101
Schutzwerk http://​www.schutzwerk.com 9
Spenneberg Training & Consulting http://​www.spenneberg.com 103
Städel Communications http://​www.staedelcomms.com 21
Thomas Krenn AG http://​www.thomas-krenn.com 108
Trust Hotelreservierungen http://​www.trustinternational.com 99
Tuxedo Computers GmbH http://​www.linux-onlineshop.de 107
Ubuntu Spezial http://​www.ubuntu-user.de 61, 83
Webtropia http://​www.webtropia.com​ 37
Einem Teil dieser Ausgabe liegen Beilagen der Firmen European IT Storage Ltd. (http://​
www.eurostor.com) und HACKATTACK IT SECURITY GmbH (http://​www.hackattack.com)
bei. Wir bitten unsere Leser um freundliche Beachtung.
Veranstaltungen
02.-06.06.2014
DrupalCon Austin 2014
Austin, TX, USA
https://austin2014.drupal.org
13.-14.06.2014
Texas Linux Fest 2014
Austin, Texas, USA
http://2014.texaslinuxfest.org
17.-18.06.2014
Enterprise Apps World
London, UK
http://www.apps-world.net/enterpriseapps/
19.-22.06.2014
Gulaschprogrammiernacht 2014
Hochschule für Gestaltung (HfG)
Karlsruhe, Germany
https://entropia.de/GPN14
20.-22.06.2014
SouthEast LinuxFest 2014
Charlotte, NC, USA
http://www.southeastlinuxfest.org
23.-24.06.2014
Enterprise End User Summit
New York, NY, USA
http://events.linuxfoundation.org/events/enterpriseend-user-summit
23.-25.06.2014
Cloud DevCon: AWS Developer Con 2014
San Francisco, CA, USA
www.clouddevcon.net
24.-26.06.2014
Magnolia Konferenz 2014
Basel, Schweiz
http://www.magnolia-cms.com/conference
28.06.2014
Pi and More 5
Universität Trier
http://www.piandmore.de
28.-29.06.2014
Maker Faire Kansas City
Kansas City, MO, USA
http://www.makerfairekc.com
01.-02.07.2014
Automotive Linux Summit
Tokyo, Japan
http://events.linuxfoundation.org/events/automotivelinux-summit-spring
21.-27.07.2014
Europython 2014
Berliner Congress Center
Berlin
https://ep2014.europython.eu
15.-17.08.2014
GNU Hackers’ Meeting 2014
TU München (Campus Garching)
Garching
https://www.gnu.org/ghm/upcoming.html
18.-19.08.2014
Linux Security Summit 2014
Chicago, IL, USA
http://kernsec.org/wiki/index.php/Linux_Security_
Summit_2014
20.-22.08.2014
CloudOpen North America 2014
Chicago, IL, USA
http://events.linuxfoundation.org/events/cloudopennorth-america
20.-22.08.2014
LinuxCon North America 2014
Chicago, IL, USA
http://events.linuxfoundation.org/events/linuxconnorth-america
20.-22.08.2014
USENIX Security ’14
San Diego, CA, USA
https://www.usenix.org/conference/usenixsecurity14
23.-31.08.2014
DebConf14
Portland, OR, USA
http://debconf14.debconf.org
05.-06.09.2014
Swiss Perl Workshop 2014
Olten, Schweiz
http://act.perl-workshop.ch/spw2014/
06.-12.09.2014
Akademy 2014
Brünn, Tschechien
http://akademy.kde.org/2014
15.-19.09.2014
Linaro Connect USA
Burlingame, California, USA
http://www.linaro.org/connect/lcu/lcu14/
19.-20.09.2014
12. Kieler Open-Source- und Linux-Tage
Kieler Innovations- und Technologiezentrum
24118 Kiel
http://www.kieler-linuxtage.de
20.-21.09.2014
World Maker Faire New York
New York, NY, USA
http://makerfaire.com
22.09.2014
2014 High Performance Computing for Wall Street
New York, NY, USA
http://flaggmgmt.com/hpc/
13.-15.10.2014
CloudOpen Europe 2014
Düsseldorf, Germany
http://events.linuxfoundation.org/events/cloudopeneurope
13.-15.10.2014
LinuxCon Europe 2014
Düsseldorf, Germany
http://events.linuxfoundation.org/events/linuxconeurope
17.-19.10.2014
Ubucon 2014
Katlenburg-Lindau
http://ubucon.de/2014/
09.-14.11.2014
USENIX LISA ’14
Seattle, WA, USA
https://www.usenix.org/conference/lisa14
12.-13.11.2014
Apps World
London, UK
http://www.apps-world.net/europe/

Impressum
Linux-Magazin eine Publikation der Linux New Media, einem
Geschäftsbereich der Medialinx AG
Redaktionsanschrift Putzbrunner Str. 71
81739 München
Tel.: 089/993411-0
Fax: 089/993411-99 oder -96
Internet
www.linux-magazin.de
E-Mail
redaktion@linux-magazin.de
Geschäftsleitung
Chefredakteur
stv. Chefredakteure
Redaktionsltg. Online
Brian Osborn (Vorstand), bosborn@medialinx-gruppe.de
Hermann Plank (Vorstand), hplank@medialinx-gruppe.de
Jan Kleinert (V.i.S.d.P.), jkleinert@linux-magazin.de (jk)
Markus Feilner, mfeilner@linux-magazin.de (mfe)
Mathias Huber, mhuber@linux-magazin.de (mhu)
Mathias Huber, mhuber@linux-magazin.de (mhu)
Print- und Onlineredaktion
Aktuell, Forum, Software, Kristian Kissling, kkissling@linux-magazin.de (kki)
Programmierung Mathias Huber, mhuber@linux-magazin.de (mhu)
Sysadmin, Know-how Markus Feilner, mfeilner@linux-magazin.de (mfe)
Ständige Mitarbeiter Zack Brown, Mela Eckenfels, Heike Jurzik (hej), Charly
Kühnast, Martin Loschwitz, Michael Schilli, Tim Schürmann,
Mark Vogelsberger, Uwe Vollbracht
Schlussredaktion
Grafik
Bildnachweis
DELUG-DVD
Chefredaktionen
International
Produktion
Onlineshop
Abo-Infoseite
Abonnenten-Service
ISSN 1432 – 640 X
Jürgen Manthey
Judith Erb, Klaus Rehfeld, Boris Schmelter (Titel-Illustration)
123RF.com, Fotolia.de, Photocase.com, Pixelio.de und andere
Thomas Leichtenstern, tleichtenstern@linux-magazin.de (tle)
Linux Magazine International
Joe Casad (jcasad@linux-magazine.com)
Linux Magazine Poland
Artur Skura (askura@linux-magazine.pl)
Linux Magazine Brasil
Rafael Peregrino (rperegrino@linuxmagazine.com.br)
Christian Ullrich, cullrich@linux-magazin.de
www.medialinx-shop.de
www.linux-magazin.de/Produkte
Zenit Pressevertrieb GmbH
Medialinx AG Leserservice-Team
Postfach 810580, 70522 Stuttgart
Tel.: +49 711 7252 250
Fax: +49 711 7252 399
E-Mail: medialinx@zenit-presse.de
Preise Print Deutschland Österreich Schweiz Ausland EU
No-Media-Ausgabe 4 6,40 4 7,05 Sfr 12,80 (siehe Titel)
DELUG-DVD-Ausgabe 4 8,50 4 9,35 Sfr 17,— (siehe Titel)
Jahres-DVD (Einzelpreis) 4 14,95 4 14,95 Sfr 18,90 4 14,95
Jahres-DVD (zum Abo 1 ) 4 6,70 4 6,70 Sfr 8,50 4 6,70
Mini-Abo (3 Ausgaben) 4 3,— 4 3,— Sfr 4,50 4 3,—
Jahresabo No Media 4 65,20 4 71,90 Sfr 107,50 4 84,60
Jahresabo DELUG-DVD 4 87,90 4 96,90 Sfr 142,80 4 99,90
Preise Digital Deutschland Österreich Schweiz Ausland EU
Heft-PDF Einzelausgabe 4 6,40 4 6,40 Sfr 8,30 4 6,40
DigiSub (12 Ausgaben) 4 65,20 4 65,20 Sfr 84,80 4 65,20
DigiSub (zum Printabo) 4 12,— 4 12,— Sfr 12,— 4 12,—
HTML-Archiv (zum Abo 1 ) 4 12,— 4 12,— Sfr 12,— 4 12,—
Preise Kombiabos Deutschland Österreich Schweiz Ausland EU
Mega-Kombi-Abo 2 4 143,40 4 163,90 Sfr 199,90 4 173,90
Profi-Abo 3 4 181,90 4 198,80 Sfr 235,90 4 219,90
1
nur erhältlich in Verbindung mit einem Jahresabo Print oder Digital
2
mit LinuxUser-Abo (DVD) und beiden Jahres-DVDs, inkl. DELUG-Mitgliedschaft (monatl.
DELUG-DVD)
3
mit ADMIN-Abo und beiden Jahres-DVDs
Schüler- und Studentenermäßigung: 20 Prozent gegen Vorlage eines Schülerausweises
oder einer aktuellen Immatrikulationsbescheinigung. Der aktuelle Nachweis ist bei
Verlän gerung neu zu erbringen. Andere Abo-Formen, Ermäßigungen im Ausland etc.
auf Anfrage.
Adressänderungen bitte umgehend mitteilen, da Nachsendeaufträge bei der Post nicht
für Zeitschriften gelten.
Pressemitteilungen
Marketing und Vertrieb
Mediaberatung D, A, CH
presse-info@linux-magazin.de
Petra Jaser, pjaser@linux-magazin.de
Tel.: +49 (0)89 / 99 34 11 – 24
Fax: +49 (0)89 / 99 34 11 – 99
Mediaberatung USA Ann Jesse, ajesse@linux-magazine.com
und weitere Länder Tel.: +1 785 841 8834
Darrah Buren, dburen@linux-magazine.com
Tel.:+1 785 856 3082
Pressevertrieb
Druck
Es gilt die Anzeigen-Preisliste vom 01.01.2014.
MZV Moderner Zeitschriften Vertrieb GmbH & Co. KG
Ohmstraße 1, 85716 Unterschleißheim
Tel.: 089/31906-0, Fax: 089/31906-113
Vogel Druck GmbH, 97204 Höchberg
Der Begriff Unix wird in dieser Schreibweise als generelle Bezeichnung für die Unixähnlichen
Betriebssysteme verschiedener Hersteller benutzt. Linux ist eingetragenes
Marken zeichen von Linus Torvalds und wird in unserem Markennamen mit seiner
Erlaubnis verwendet.
Eine Haftung für die Richtigkeit von Veröffentlichungen kann trotz sorgfältiger Prüfung
durch die Redaktion vom Verlag nicht übernommen werden. Mit der Einsendung von
Manus kripten gibt der Verfasser seine Zustimmung zum Abdruck. Für unverlangt
eingesandte Manuskripte kann keine Haftung übernommen werden.
Das Exklusiv- und Verfügungsrecht für angenommene Manuskripte liegt beim Verlag. Es
darf kein Teil des Inhalts ohne ausdrückliche schriftliche Genehmigung des Verlags in
irgendeiner Form vervielfältigt oder verbreitet werden.
Copyright © 1994 – 2014 Medialinx AG
Impressum 07/2014
Service
www.linux-magazin.de
105
Krypto-Info
GnuPG-Schlüssel der Linux-Magazin-Redaktion:
pub 1024D/44F0F2B3 2000-05-08 Redaktion Linux-Magazin
Key fingerprint = C60B 1C94 316B 7F38 E8CC E1C1 8EA6 1F22 44F0 F2B3
Public-Key der DFN-PCA:
pub 2048R/7282B245 2007-12-12,
DFN-PGP-PCA, CERTIFICATION ONLY KEY (DFN-PGP-Policy: 2008-2009)
Key fingerprint = 39 D9 D7 7F 98 A8 F1 1B 26 6B D8 F2 EE 8F BB 5A
PGP-Zertifikat der DFN-User-CA:
pub 2048R/6362BE8B (2007-12-12),
DFN-PGP-User-CA, CERTIFICATION ONLY KEY (DFN-PGP-Policy: 2008-2009)
Key fingerprint = 30 96 47 77 58 48 22 C5 89 2A 85 19 9A D1 D4 06
Root-Zertifikat der CAcert:
Subject: O=Root CA, OU=http://www.cacert.org, CN=CA Cert Signing Authority/
Email=support@cacert.org
SHA1 Fingerprint=13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
MD5 Fingerprint=A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B
GPG-Schlüssel der CAcert:
pub 1024D/​65D0FD58 2003-07-11 [expires: 2033-07-03]
Key fingerprint = A31D 4F81 EF4E BD07 B456 FA04 D2BB 0D01 65D0 FD58
uid CA Cert Signing Authority (Root CA)
Autoren dieser Ausgabe
Konstantin Agouros Künftiger Klassiker? 76
Zack Brown Zacks Kernel-News 20
Dr. Katja Flinzner Verflixte Verwalter 42
Dr. Rolf Freitag Mit der Stoppuhr 70
Richard Hartmann Catering V6 26
Charly Kühnast Aber gleich! 63
Martin Loschwitz Erste Hilfe 64
Monika Prell Entscheidungshilfe 80
Michael Schilli Eine Ziege, wahrscheinlich 94
Tim Schürmann Bärendienst 54
Tim Schürmann Code-Korrektor 92
Tim Schürmann Fokussiertes Spinnchen 50
Jan Stepien Tux liest 86
Mark Vogelsberger Blutendes Herz 88
Uwe Vollbracht Tooltipps 58

Service
www.linux-magazin.de Vorschau 08/2014 02/2013 07/2014 01/2013
106
Vorschau
08/2014 Dachzeile
Hut ab: RHEL 7
© Rancz Andrei, 123RF
Die Lehren aus Heartbleed
Der Open-SSL-Schock sitzt noch in den Knochen. Der Schwerpunkt
der nächsten Ausgabe nutzt die Sensibilisierung und
gibt Denkanstöße. So stellt er die Frage, ob mehr Projektfinanzen
die Software-Sicherheit verbessern helfen und wie Funding
funktioniert. In der Hauptsache gehts aber um Technik,
beispielsweise um Schlüssellängen, Protokolle und Cipher-
Suites, mit denen der Apache-Admin auf Nummer sicher geht.
Ein weiterer Artikel macht alle prinzipiell zur Trennung Bereiten
bekannt mit den wichtigsten Open-SSL-Konkurrenten.
Von Heartbleed wachgerüttelten Entwicklern zeigt ein letzter
Beitrag, wie sie mit Code Reviews, statischer Analyse oder
Fuzzing ihrem eigenen Code die Bugs aus dem Pelz lesen.
MAGAZIN
Überschrift
Die Tester des Linux-Magazins haben einen Release Candidate
des anstehenden Red Hat Enterprise Linux zu fassen bekommen.
Anhand dessen muss Red Hat beweisen, ob Cluster-,
Cloud- und HA-Features ihres neuen Hauptproduktes sowie
XFS als dessen neues Defaultdateisystem, Open LMI und Docker
den Subskriptionspreis wert sind.
Swinging PXEs
Das I-PXE-Projekt mausert sich zur ansehnlichen Alternative
zum klassischen PXE. Es ergänzt das Preboot Execution Environment
um Protokolle wie HTTP, I-SCSI und ATA over Ethernet,
und es arbeitet wenn nötig auch drahtlos.
Baukunst
Meson ist ein schnelles, zuverlässiges und überdies leicht bedienbares
Buildsystem. Es zimmert Software mit Linux, Windows,
Mac OS X und anderen Posix-konformen Systemen. Auf
Wunsch schlägt es gar Brücken zu Tools wie Valgrind oder den
Werkzeugen aus Qt 5. In einem Monat ist Besichtigungstermin.
Die Ausgabe 08/2014
erscheint am 3. Juli 2014
Vorschau
auf 07/2014
Die nächste Ausgabe erscheint am 18. Juni
Ruckzuck zur Website
Wer nur eine Visitenkarte im Netz be nötigt oder eine kleine
Vereinsseite, der braucht kein ausgewachsenes Content-Management-System.
Auf Komfort brauchen Sie aber nicht zu
verzichten: Wir zeigen im kommenden Schwerpunkt, wie Sie
mit einem Mini-CMS, einem gut ausgestatteten Editor und ergänzenden
Werkzeugen im Handumdrehen eine Webpräsenz
aufsetzen, die dem heutigen Standard genügt.
Skriptgesteuertes Backup
Mit Obnam setzen Sie ein hand op ti mier tes Backup auf, das die
Bandbreite und den Plattenplatz schont. Das Programm versteht
sich auf Deltas, erlaubt das Verschlüsseln der Daten und
eignet sich bestens für den Einsatz in einem Skript.
© Tresure, freeimages.com
Arch Linux und Derivate
Noch gehört Arch Linux zu den Geheimtipps unter den Distributionen.
Es verspricht durch ein User-Repository stets topaktuelle
Software. Wie gut sich mit der Distribution arbeiten
lässt, unter suchen wir in der nächsten Ausgabe.

IhrLinuxSpezialist
Linux-Onlineshop
linux@linux-onlineshop.de
YOUR /HOME/SHOP
3% Rabatt
+++ www.Linux-Onlineshop.de +++ www.Linux-Onlineshop.de +++ www.Linux-Onlineshop.de +++
Linux-Onlineshop
DerName TUXEDO Computersvereintsowohldie Ansprüche alsauch dasProduktspektrum in sich:
TUXEDO istim Englischen derMaßanzug.Ebensostecktdarin derNamedesLinux-Maskottchen Tux!
TUXEDO Computerssind also nichtnurNotebooksund ComputermitLinux-Hardware im Maßanzug,
man erkenntsie schon sofortam Namen alssolche!
Nurdortwo TUXEDO draufsteht,istalso auch Linux-Hardware im Maßanzug drin :)
TUXEDO BU1503
TUXEDO XC15 & 17
+Kartenleser:6-in-1
+2.0MPWebcam
+beleuchteteTastatur
+Linux,WindowsoderDual
+auchohneGrafikkarteerh.
TUXEDO UC1402
TUXEDO BC/DC1704
TUXEDO BU1402
TUXEDO One & Six
+Kartenleser:9-in-1
+1.0MPWebcam
+Besonderheiten:
1xSATA+mSATAHDD/SSD
nur1,8kginkl.Akku
Geek und Nerd Shirts
Über300 T-Shirts sowie
Polos + Langarm + Sweats
SiesehenhierlediglicheinenkleinenAusschnitaus
unserem Sortiment!Sicherfinden auch Sieunter
unserenfast300verschiedenenMotivendasrichtige
fürsichoderalsGeschenkfürandere;-)
Linux USB-Sticks
4 bis 32 GB
K/X/Ubuntu,Fedora,
LinuxMint,Knoppix,
openSUSE,Debian
uvm. auf4bis32GB
USB-Sticks.
openSUSE 13.1
2 DVDs + Handb + Addons
TUXEDO Nano
Flexibel,klein,leistungsstark
+Flexibler,modularerAufbau:
>WahlweisezusätzlichesLaufwerk
(DVD-RW oderBlu-Ray-RW)
>oderzusätzlicheFestplate
>oderVESA-/Monitor-Halterung
>oderabersokleinwienurmöglich
+Klein:>220mm x197mm x63mm
>stehendoderliegend
+Leistungsstark:
>biszuIntelCorei74770T(Haswel)
>Energiesparprozessorenfür
geringenStromverbrauch
>SilentLüfterfürflüsterleisenBetrieib
>biszu16GB ArbeitsspeicherDDR3
>biszudreiHDD/SSD SATA3/6GBs
>2xUSB3.0+4xUSB2.0+1xeSATA
>HDMI/DVI/VGAAnschlüsse
>1GbitLAN (WLAN-Stickopt.)
>7.1CH HD Audio
Sie sehen hierlediglich einen kleinen AuschnittunsererSonderangebote!UnsergesamtesSortimentkönnen Sie
unterwww.linux-onlineshop.de einsehen!A le Preise inkl.gesetzlicherMwSt.in Höhe von 19% .
w w w .Linux-Onlineshop.de
Fon:+49 (0)8231 /99 19 001 Mail:linux@linux-onlineshop.de Fax:+49 (0)8231 /99 19 009
Im pressum :TUXEDO ComputersGmbH ~ Zeppelinstr.3 ~ D-86343 Königsbrunn ~ AmtsgerichtAugsburg:HRB 27755