: Exklusive Comm4Muni Linuxt:y- Kompakt-SystemEdition Medialinx-Edition S. 14 Frei kopierenmit und essenzieller beliebig weiter Software verteilen S. ! 10

04.2014

Optimale Live-Distris und Multiboot-Installer für das -to-go auf dem USB-Stick L inux able s linux

Por t PORTABLES Linux • Desktops maßschneidern

s P ortable mit der Baukasten-Distri

Whisker Menu S. 44

SD-Cards und USB-Sticks:

ripwire • • T ripwire Performance optimieren und

die Lebensdauer erhöhen S. 22

d • • s te m d Komfortable Werkzeuge für das Multiboot per Mausklick, die besten

Live-Systeme für unterwegs im Vergleich S. 28, 36 • • Minecraft • Systemd • • Tripwire Systemd bringt Einheit unter die Linux-Haube S. 80

Knoppix Wie das neue Init-System alte Zöpfe abschneidet und für rasantes Booten sorgt • F3 Quirliger Web-Neuling S.54 Penibler Einbruchschutz S.74 Ergonomischer Webbrowser Qupzilla HIDS Tripwire schlägt bei Attacken Alarm

Top-Distris

Crypcat • Qupzilla • auf zwei

• Heft-DVDs Knoppix • Mageia • Minecraft • Sy • Minecraft • Mageia • Knoppix

EUR 8,50 EUR 9,35 sfr 17,00 EUR 10,85 EUR 11,05 EUR 11,05

2 DVDs 04 www.linux-user.de Deutschland Österreich Schweiz Benelux Spanien Italien 4 196067 008502 04 Editorial Eine neue Hoffnung?

Sehr geehrte Leserinnen und Leser, kaum ein Ereignis hat die Community in letzter Zeit so bewegt, wie die Diskussi- on des -Projekts um die Frage, ob Systemd zum neuen Standard-Init-Sys- tem avancieren solle. Dass die Streitfra- ge sich zu einer Existenzfrage entwickel- te, liegt daran, dass der einzige ernst zu Andreas Bohle nehmende Gegenkandidat Upstart hieß. Stellv. Chefredakteur Upstart markierte einen weiteren Mei- lenstein in Canonicals Eigenbrötelei in Bezug auf die Hausmarke . Die Tatsache, dass die Mitarbeit an dem Pro- vorschlagen. gratu- einige die Gefahr, dass auf diese Weise jekt an einen saftigen Knebelvertrag ge- lierte und sagte schmallippig zu, dass letztlich doch ein einzelnes Unterneh- koppelt war, machte es quasi per Defini- Ubuntu Systemd übernähme, „sobald men einen erheblichen Einfluss auf das tion zu einem No-Go für freie Entwickler. die Software stabil sei“. Linux-Ökosystem gewinnt. Entsprechend stark fielen die Anstren- Trägt die Gemeinschaft der Debian- Bevor sich aber solche dunklen Mäch- gungen von Canonical aus, die weg­ Entwickler den Entschluss des Technical te erheben, hege ich erst einmal die weisende Entscheidung des Debian-Pro- Committee mit, dann schließt die Distri- Hoffnung, dass sich die Ereignisse für jekts zugunsten der Eigenentwicklung bution damit zu einer Reihe von Syste- Linux insgesamt zum Vorteil auswirken. zu beeinflussen. Mehr dazu lesen Sie in men auf, die schon auf das alternative Sollte das nicht der Fall sein, bleibt im- einem umfassenden Artikel in dieser Init-System setzen oder dies planen. Da- mer noch die Möglichkeit, die Software Ausgabe ab Seite 80. mit bestünde die nicht unbegründete zu forken und unabhängig weiterzuent- Am Ende fiel die Entscheidung durch Hoffnung, dass die freie Entwicklerge- wickeln – der freien Lizenz sei Dank. ein Votum von Bdale Garbee. Der steht meinde in einer essenziellen Frage end- dem Debian Technical Committee vor lich einmal wieder an einem Strang zöge und darf in Pattsituationen eine Lösung und sich so Synergien nutzen ließen. Herzliche Grüße, Das dürfte auch dringend notwendig sein, denn schon jetzt entwickelt sich Systemd zu einem ausufernden Projekt: Neben der Kontrolle über den Boot-Pro- zess ersetzt es auch das traditionelle Pro- tokollieren via Syslog – und geht es nach dem Willen der Entwickler, dann über- nimmt der neue Daemon zudem als Zwischenschicht­­ die Kontrolle über wei- te Teile des Systems. Wer das Votum aber als eine Absage an eine Monokultur Marke Canonical in- terpretiert, der sei gewarnt: Die Haupt- entwickler von Systemd stehen im ­Wesentlichen auf der Gehaltsliste von Red Hat. Nicht ohne Grund sehen daher

04.2014 www.linux-user.de 3

04

Vom verschlüsselten Chat bis hin Klötzchen um Klötzchen bauen 50 zur digitalen Türklingel reicht die 58 sich Mitstreiter rund um die Welt Bandbreite der Einsatzmöglichkeiten von in Minecraft eigene Welten auf. Die offene Das klassische Menü unter Cryptcat. Das flexible Tool ersetzt das alt- Strategie der Entwickler des Originals be- 74 erlaubt kaum mehr als das Starten gediente Netcat und behebt zugleich ein günstigt kreative Projekte – und macht sie von Applikationen. Die Alternative Whisker paar von dessen Designfehlern. selbst trotzdem zu reichen Leuten. Menu glänzt mit ein paar modernen Extras.

Aktuelles Heft-DVD Schwerpunkt

News: Software...... 8 4M Linux...... 10 Linux auf Flash-Medien...... 22 Flexible Df-Alternative Di 4.35 misst den Füll- Viele Linux-Distributionen wollen als Allroun- Flash-Speicher reagieren empfindlich auf stand von Laufwerken, Rechner-Fernstarter der auf dem Desktop glücklich machen. 4M häufiges Schreiben. Linux bringt aber die Gwakeonlan 0.6 weckt PCs über das Netz- Linux dagegen bietet funktionsorientierte richtigen Mittel mit, um die Lebenserwar- werk, Datenumleiter Socat 1.7.2.2 ermöglicht Varianten ohne unnötigen Ballast. tung des mobilen Datenträgers zu erhöhen. den schnellen Dateitransfer, Virtualisierungs- helfer Virtenv 0.8.8 assistiert beim Aufsetzen Knoppix 7 .3 MLX...... 14 USB-Multiboot-Tools...... 28 von LXC-Maschinen. Die aller Live-Distributionen wartet Wer mehrere Live-Systeme auf nur einem in ihrer jüngsten Inkarnation Knoppix 7.3 mit USB-Stick installieren will, kommt mit den Neuerungen wie UEFI-Boot, Desktop-Export herkömmlichen Werkzeugen wie Unetboot­ und einfachem Upgrade auf. Die exklusive in nicht besonders weit. In die Bresche Medialinx Edition bringt außerdem den springen die zu unrecht etwas unbekannten ­Adobe Reader und das Flashplayer-Plugin mit. Werkzeuge MultiBootUSB und Multisystem.

SystemRescueCD 4 .0 .0...... 18 Live-Distributionen...... 36 Die SystemRescueCD bringt die wichtigsten Der nagelneue USB-Stick wartet mit seinen Tools zur Datenrettung ohne unnütze satten 32 GByte Speicher nur darauf, mit Schnörkel auf einer CD unter. Live-Systemen befüllt zu werden. Höchste Zeit also für ein paar interessante, kuriose und vor allem Daten rettende Distributionen.

Tiny Core Linux...... 44 Ein Linux-System stets dabeizuhaben, bringt einige Vorteile: Auf Fremdrechnern unter- wegs startet stets die gewohnte Arbeitsum- gebung, alle benötigten Tools und Doku- Die exklusive mente sind an ihrem Platz. 14 Knoppix-Edition vereint alle Vorteile des be- währten Originals unter den Live-Distributionen und bringt zudem wichtige Zusatzsoftware für den täglichen Bedarf direkt mit.

4 04.2014

Das Init-System Systemd sorgt 80 seit seiner Geburtsstunde glei- Die Installation von Linux auf ei- chermaßen für Furore und Protest. Es 22 nem Flashspeicher birgt einige Mehrere Distris auf einen USB- bricht mit alten Konventionen, bringt aber Fallstricke. Wir zeigen, was Sie beim Ein- 28 Stick zu installieren, erfordert zugleich einige innovative Konzepte mit. richten unbedingt beachten sollten, damit Handarbeit – oder clevere Werkzeuge, die Wir machen eine Bestandsaufnahme. Ihr Linux-to-go allzeit optimal funktioniert. Ihnen hilfreich unter die Arme greifen.

Praxis Netz&System Know-how

Cryptcat ...... 50 Speichercheck mit F3...... 68 Systemd...... 80 Das clevere Cryptcat hilft nicht nur bei der USB-Sticks und Flashspeicher gehören heute Das neue Boot-System Systemd polarisiert Netzwerk­analyse, sondern eignet sich darü- zum festen Inventar fast jedes mobilen derzeit die Community. Unbestritten hat die ber hinaus auch zum Aufbau eines kleinen, IT-Anwenders. Das kleine Tool F3 beugt Da- innovative Technologie aber das Zeug dazu, verschlüsselten Privat-Chats. tenverlusten vor, wie sie etwa durch Placebo- alte Gräben zu schließen und Linux auf ein Speicher und Defekte entstehen. einheitliches Fundament zu setzen. Wer sich Qupzilla ...... 54 mit dem Init-Nachfolger auseinandersetzt, Mit Qupzilla steigt ein neuer Webbrowser für Whisker Menu...... 70 der kommt kaum am Entwickler Lennart Linux in den Ring, der es in Sachen Schnel- Mit Whisker Menu bringen Sie Leben in Poettering vorbei, dem Gesicht des Projekts. ligkeit und Ergonomie mit den etablierten Ihr XFCE-Startmenü und rufen blitzschnell Veteranen aufnehmen kann. Programme und Webseiten auf.

Minecraft...... 58 Tripwire...... 74 Mit der aktuellen Version 1.7 wagen sich Als digitaler Stolperdraht verhindert das die Minecraft-Entwickler einen Schritt weg leistungsfähige HIDS Tripwire, dass Angreifer von der beliebten Klötzchenoptik. Doch der den Rechner unbemerkt mit Trojanern, Back- eigentliche Reiz des Spiels liegt keineswegs doors oder veränderten Dateien verseuchen. in den optischen Effekten.

Mageia 4...... 64 Mageia 4 verbessert den Installationsablauf Service und erweitert das Software-Angebot der Distribution noch einmal deutlich. Editorial...... 3

IT-Profimarkt...... 88

Impressum...... 94

Events/Autoren/Inserenten. . . . 95

Mit Tripwire hält ein harter Hund an Vorschau...... 96 74 der Schwelle zum Rechner Wache, dessen empfindliche Sinne sofort Alarm Heft-DVD-Inhalt...... 97 schlagen, sobald ein Angreifer versucht, sich Einlass zu verschaffen.

04.2014 www.linux-user.de 5 JETZT NEU AM KIOSK!

Mit DVD für nur 9,80 Euro Hier gleich bestellen: medialinx-shop.de/gimp-magazin

1-1_gimp-magazin.indd 1 21.10.2013 11:42:28 Uhr Heft-DVD-Inhalt Service

Neues auf den Heft-DVDs

Knoppix 7.3 Medialinx-Edition Knoppix 7.3 basiert wie üblich auf einem Mix von Debian An neuen und aktualisierten Programmen bietet Knoppix un- ­„Stable“ und einigen Paketen – in erster Linie Grafik- ter anderem LibreOffice 4.1.4 und Gimp 2.8.6, die treibern und Desktop-Programmen – aus dem beiden Webbrowser Chromium 31.0.1650.63 „Testing“- und „Unstable“-Zweig. Um und Firefox/​Iceweasel 26.0 – den Letzte- möglichst viel neue Hardware zur Mit- ren samt Adblock Plus 2.4.1 und No­ arbeit zu bewegen, dienen als Basis script 2.6.8.14. Wine in der Version 1.5 der Kernel 3.13.0 mit Cloop und hilft Windows-Programme zu inte­ AUFS sowie X.org 7.7 Core 1.15.0. grieren, Virtualbox 4.3.2 sowie Das hybride Bootmedium be- Q­emu-kvm 1.7.0 übernehmen dient 32- und 64-Bit-Rechner die Virtualisierung fremder Sys­ (Bootoption knoppix64). teme. Als Standard-Desktop­ Das wichtigste Highlight dieses umgebung dient LXDE, optional Knoppix-Releases stellt die Up- stehen sowohl KDE 4.8.4 (Boot­ date-Funktion dar, mit deren Hilfe option knoppix desktop=) als Sie bei Bedarf einen bereits mit auch Gnome 3.8.4 (Bootoption Knoppix geflashten Stick auf eine knoppix desktop=) bereit. neue Version aktualisieren, ohne da- Sie finden Knoppix auf der Rücksei- bei die persönlichen Daten und Einstel- te der ersten Heft-DVD. Einen ausführ­ lungen zu verlieren. Darüber hinaus bietet lichen Artikel zur erweiterten Medialinx- Knoppix die Möglichkeit, bei einer Installation Edition der Distribution aus der Feder des Pro- auf USB-Sticks die persönlichen Daten zu verschlüsseln. jekt-Maintainers Klaus Knopper lesen Sie ab Seite 14.

Sechs Mini-Distros auf einen Streich Ein wahres Potpourri kleiner Distributionen enthält Seite A der vat nutzt als Desktop XFCE 4 und bietet fast ausschließlich ersten Heft-DVD. Mit von der Partie sind 4M Linux 8.0 All- Werkzeuge zur Datenrettung oder Manipulation von Da- in-One (siehe Artikel ab Seite 10), Puppy tenträgern an. So gibt es unter anderem Gpar- ­Linux 5.6 „Slacko“, 7.0.8, SystemRes- ted zum Partitionieren von Festplatten, cueCD 4.0.1 und Tiny Core Linux 5.2. Partimage zum Sichern von Partitionen ­Neben den bootbaren Version stehen und Photorec zum Wiederherstellen sämtliche Distributionen auch als von gelöschten Dateien. Neben ISO-Images auf Seite A der ersten zahlreichen Netzwerktools liegt Heft-DVD bereit. auch noch der Virenscanner Vor allem Bastlern dürfte Tiny ClamAV­ bei. Weitere Details zur Core Linux entgegenkommen: Es SystemRescueCD finden Sie in versteht sich weniger als ge- einem Artikel ab Seite 18. brauchsfertiges System denn als Dreh- und Angelpunkt der auf Kern eines solchen. Damit bietet Ubuntu basierenden Live-Distri- es eine vergleichsweise einfach zu bution Multisystem LTS Precise r8 bedienende Grundlage, um ein Sys- stellt das gleichnamige Werkzeug tem ganz nach Ihren Wünschen zu Multisystem dar. Es besteht aus einer gestalten. Wie das funktioniert, zeigt Reihe von -Skripten, die es erlau- ein Artikel ab Seite 44. ben, ausgewählte Linux-Distributionen Ganz auf die Systemrettung spezialisiert auf einen USB-Stick zu befördern. Welche Vor- hat sich SystemRescueCD 4.0.1. Das Gentoo-Deri- teile Multisystem bietet, zeigt ein Artikel ab Seite 28.

04.2014 www.linux-user.de 97 Service Heft-DVD-Inhalt

Mageia 4

Die Entwickler des Mandriva-Abkömmlings Mageia bleiben in der Version 4 dem Motto treu, die Distribution für Um- und Ein- steiger einfach zu gestalten, ohne er- fahrenen Benutzern die Vielfältig- keit von Linux vorzuenthalten. An Kommunikationssoftware stehen unter anderem die ­Instant-Messenger Pidgin und Kopete sowie die IRC- Clients Quassel, X-Chat und Irssi bereit, an VoIP- Nutzer richtet sich Ekiga. Den Grafik-Bereich bestü- cken Gimp, Krita, Inkscape und Blender, der Multime- dia-Fundus umfasst unter anderem verschiedene Xine-, Mplayer- und Gstrea- mer-basierte Software sowie den beliebten VLC. Die 32-Bit- Version starten Sie von Seite A der zweiten Heft-DVD, die 64-Bit-Variante von Seite B. Einen ausführlichen Artikel zu Mageia 4 lesen Sie ab Seite 64 (tle) n

Bei der DVD-Edition von LinuxUser ist an dieser Stelle der zweite Heft-Datenträger eingeklebt. Bitte wenden Sie sich per E-Mail an [email protected], falls es Probleme mit der Disk gibt.

Neue Programme

Das Werkzeug Cryptcat 1.2.1 arbeitet wie das klassische Netcat, baut und der Import umfangreicher und komplexer XLSX-Tabellen bewäl- aber verschlüsselte Verbindungen auf. Daher lässt sich das praktische tigt die freie Büro-Suite nun schneller. Dazu rechnet die Software Tool weit über seinen ursprünglichen Zweck hinaus im Alltag einset- jetzt per OpenCL auf dem Grafikprozessor. zen. Die Möglichkeiten reichen vom simplen Benachrichtigungssys­ Hostbasierte IDS wie Tripwire 2.5.22 spüren mögliche unerwünschte tem für das LAN bis zu einem verschlüsselten Chat auf der Konsole. Änderungen auf zu schützenden Rechnern auf. Sie informieren dann Anders als Festplatten und SSDs schenken die meisten Anwender die verantwortlichen Administratoren zeitnah und können so die mit USB-Sticks und Speicherkarten kaum Beachtung. F3 2.2 prüft mittels einem (gelungenen) Angriff einhergehenden Schäden eindämmen eines Schreib- und Lesetests die Integrität der Speicherzellen von oder gar verhindern. Flash-Medien und beugt somit unangenehmen Überraschungen wie Das Disk Information Utility 4.35, kurz Di, bietet eine flexible Alter- beispielsweise einem Datenverlust vor. native zum klassischen df für die Anzeige von Informationen über Finden Sie Firefox zu behäbig, Chromium zu geschwätzig und Opera die Dateisysteme. Das Tool ermöglicht beim Anpassen der Ausgabe zu extravagant, dann empfehlen wir einen Blick auf Qupzilla 1.6.3. einen großen Gestaltungsspielraum. Die enorme Geschwindigkeit des Webbrowsers ist der Rendering-­ Das auf Gtk+ basierende Tool Gwakeonlan 0.6 verwaltet zu star- Engine Webkit geschuldet, die auch auf leistungsschwächerer Hard- tende Systeme in einer übersichtlichen Liste und ermöglicht das ware das Surfen angenehm flüssig gestaltet. ­parallele Aufwecken mehrerer Rechner mit wenigen Mausklicks. Beim aktuellen LibreOffice 4.2.1 haben Entwickler der Document Das Programm Socat 1.7.2.2 dient zur bidirektionalen Datenübertra- Foundation unter anderem die Tabellenkalkulation Calc gründlich gung. Es unterstützt alle gängigen Protokolle und eignet sich als überarbeitet. Insbesondere das Verarbeiten großer Datenmengen Wrapper für SSL-Verbindungen oder zur Integration in eigene Skripte.

98 www.linux-user.de 04.2014

Aktuelles Angetestet

Die Belegung einer Partition ermitteln geben Sie mit dem Parameter ‑f eine Füllstandszeiger erfahrene Anwender mit dem GNU-Tool Ausgabeformatierung vor. Darin definie- Möchten Sie den Füllstand Df. Will man das Ergebnis aber in Skrip- ren Sie, welche Werte Di in welcher Rei- ten weiterverarbeiten, stellt das Di die henfolge anzeigt. Über den Parameter einer Partition in eigenen bessere Alternative dar. Das Tool besticht ‑I begrenzen Sie die Ausgabe außer- Skripten verarbeiten, bietet die durch eine frei formatierbare Ausgabe, dem auf bestimmte Dateisysteme. Dabei Df-Alternative Di 4.35 dazu alle die Ihnen aufwendige Nacharbeiten mit unterstützt Di im Gegensatz zu Df auch notwendigen Fähigkeiten. Sed, Awk und Co. erspart. So blenden Sie virtuelle Systeme wie Cgroups oder damit beispielsweise die Kopfzeile der Sysfs. Um bestimmte Dateisysteme in Ausgabe über den Parameter ‑n aus und der Gesamtausgabe zu ignorieren, ver- unterdrücken so die Spaltenbeschriftun- wenden Sie den Parameter ‑x. Benöti- gen. Der Parameter ‑t summiert die gen Sie detaillierte Informationen zu Werte in jeder Spalte den eingehängten Partitionen, lassen zu einem Gesamt- Sie Di diese über den Parameter ‑A aus- wert auf. Anders als geben. Dies geht allerdings zu Lasten Df stellt Di die aus- der Übersichtlichkeit. Brauchen Sie noch gegebenen Werte in umfangreichere Informationen, schalten MByte statt in Byte Sie Di mittels ‑X in den Debugging-Mo- dar. Darüber hinaus dus. Eine umfangreiche Beschreibung al- beherrscht es auch ler Parameter sowie einige Anwendungs­ eine Darstellung in beispiele liefert die aussagekräftige Man- KByte, GByte oder page des Tools. TByte. Um die Aus- gabe nach Ihrem Lizenz: Zlib/​Libpng nn Gusto zu gestalten, Quelle: http://​­www.​­gentoo.​­com/​­di/

Bei der Fernadministration bieten Tools Außerdem legen Sie fest, an welchen Fernstarter wie SSH oder VNC eine echte Hilfe – vor- UDP-Port Gwakeonlan das „Magic“-Paket Mit dem intuitiv bedienbaren ausgesetzt, der Zielrechner läuft auch. senden soll. Normalerweise funktioniert Tut er das nicht, müssen Sie ihn erst ein- WoL nur im eigenen Netzwerk, einige Gwakeonlan 0.6 starten Sie per mal per Wake-on-LAN (WoL) aus dem moderne Router unterstützen jedoch Knopfdruck aus der Ferne einen Dornröschenschlaf wecken. Genau dazu das Einschalten von Rechnern via Inter- oder gleich mehrere Rechner. dient Gwakeonlan. Vor seinem Einsatz net, indem sie das „Magic“-Paket an das müssen Sie die entsprechende Funktion Zielsystem weiterreichen. Dazu müssen im BIOS des Zielsystems aktivieren. Das Sie in Gwakeonlan den Anfragetyp Inter- in Python geschriebene Gwakeonlan net wählen und die Zieladresse des Rou- stellt Ihnen eine übersichtliche, GTK-ba- ters eingeben. Seine Konfiguration legt sierte Oberfläche zur Verfügung, in der das Tool im Verzeichnis ~/.config/ ab. Sie die zu startenden Rechner verwalten Alle verwalteten Rechner listet Gwake- und von dort aus mit „Magic“-Paketen onlan übersichtlich auf. Sie wählen dann aufwecken. Um neue Rechner einzubin- einen oder mehrere Rechner an und las- den, fügen Sie entweder per Knopfdruck sen das Programm ans Werk gehen. den aktuellen Inhalt Übersetzen Sie das Tool aus dem Quell- des ARP-Caches hin- code, müssen Sie beim Installieren den zu oder tragen die Parameter ‑‑prefix=/usr angeben, da Systeme manuell ein. Gwakeonlan seine Bibliotheken im Ver- Jeder Rechnerein- zeichnis /usr/share/ erwartet. trag enthält einen eindeutigen Namen Lizenz: GPLv2 nn und die MAC-Adres- Quelle: http://​­www.​­muflone.​­com/​ se des Zielsystems. ­gwakeonlan/​­english/

8 www.linux-user.de 04.2014 Angetestet Aktuelles

Socket Cat oder kurz Socat ermöglicht dungsaufbau erfolgt bei Socat in vier das Einrichten bidirektionaler Verbin- Stufen, beginnend mit dem Auswerten Datenumleiter dungen zwischen zwei Systemen. Dabei der übergebenen Kommandozeilenpa- Die Fähigkeiten des mächtigen reicht das Spektrum von der einfachen rameter. Es folgt der Verbindungsaufbau, Relay-Tools Socat 1.7.2.2 reichen Datenübertragung bis hin zum Strea- dessen erfolgreichen Abschluss Socat men großer Datenmengen. So eignet abwartet. Dann fährt es mit der Verarbei- vom Umleiten der Standardaus- sich das Tool beispielsweise für schlichte tung fort. Steht die Verbindung, lassen gabe bis hin zum Aufbau ver- TCP-Weiterleitungen ebenso wie als Re- sich Daten in beide Richtungen übertra- schlüsselter Verbindungen. laying-Lösung zwischen IPv6 und IPv4. gen. Sobald eines der Systeme ein EOF- Auch als SSL-Wrapper auf Server- oder Signal sendet, baut Socat die Verbin- Client-Seite kommt Socat infrage, wenn dung ab. Die gesamte Konfi- der umzuleitende Dienst nicht SSL-fähig guration erfolgt über Para- ist. In Kombination mit Chroot lassen meter, eine Konfigurations- sich so sichere Umgebungen gestalten. datei kennt das Tool nicht. Sowohl die umfangreiche Manpage als Da es neben den Verbin- auch die Webseite des Projekts bieten dungsoptionen zahlreiche dafür inspirierende Beispiele. Der Verbin- weitere Einstellungen unter- stützt, wie etwa Blöckgröße, Lizenz: GPLv2 n Timeout oder Debugging, Quelle: http://​­www.​­dest‑unreach.​­org/​ empfiehlt es sich, Socat via ­socat/ Skript aufzurufen.

Mit der GUI Virtenv erzeugen oder star- Maschine an, um sie zu starten. Um eine ten Sie in wenigen Schritten eine neue neue VM zu erzeugen, benennen Sie die- LXC-Frontend LXC-Umgebung. Der Virtenv-Assistent se erst einmal. Im Konfigurationsmenü Dank Virtenv 0.8.8 erstellen listet dazu nach dem Programmstart alle legen Sie fest, ob und in welcher Auflö- konfigurierten virtuellen Maschinen auf. sung die VM eine grafische Oberfläche und starten Sie virtuelle Maschi- Sie klicken lediglich den Namen einer bereitstellt. Außerdem wählen Sie zwi- nen mit LXC im Handumdrehen schen einem nur auf dem Host verfüg- und bauen so im Handumdrehen baren Netz und der Bridged-Variante. Testumgebungen für kritische Hier können Sie bis zu vier Netzwerk- Anwendungen auf. schnittstellen konfigurieren. Damit ist die virtuelle Maschine bereit zum Start. Bei VMs mit grafischer Oberfläche startet Virtenv den -Manager in einer Xephyr-Server-Sitzung. Beim Start der virtuellen Maschine bindet Virt­ env das Root-Verzeichnis des Wirtssys- Allerdings erfordert dieser Schritt admi- tems via Copy-on-Write in das dortige nistrative Rechte. Änderungen in der Verzeichnis rootdir/ ein. So ist das Gast- eingebundenen Verzeichnisstruktur ge- system sofort ohne Installation lauffähig. langen nicht ins Wirtssystem, sondern landen im Verzeichnis rootdiffs/ der Lizenz: GPLv2 n VM. Damit trennt Virtenv alle Systeme Quelle: http://​­virtenv.​­sourceforge.​­net/ sauber. (jlu) n

04.2014 www.linux-user.de 9 Heft-DVD Knoppix 7.3 MLX

Ideal für USB: Knoppix 7.3 Medialinx Edition Stickwerk

Die Mutter aller Live-Distributionen wartet in ihrer jüngsten Inkarnation Knoppix 7.3 mit Neu- erungen wie UEFI-Boot, Desktop-Export und einfachem Upgrade auf. Unsere exklusive Media-

linx Edition bringt außerdem den Adobe Reader und das Flashplayer-Plugin mit. Klaus Knopper

Seit über einem Jahrzehnt erscheinen Für Systeme mit mehr als 4 GByte Haupt- unter dem Namen Knoppix („Knoppers speicher startet mit der Bootoption Unix System“) jährlich etwa zwei Zusam- knoppix64 alternativ ein 64-Bit-Kernel. menstellungen von Linux-Software. Das ermöglicht zusätzlich Systemrepara- Knoppix bootet von DVD oder USB-Stick turen auf 64-Bit-Rechnern per Chroot- und läuft ohne Installation sofort los. Die Umgebung. Hier eine sehr kurz gefasste Software eignet sich zum Arbeiten, Sur- Liste mit den Highlights, die die neue fen im Internet, Spielen, Unterrichten, Version mitbringt: Lernen, Programmieren und Retten von • Experimentell unterstützter UEFI-Boot Daten defekter Betriebssysteme. (32 und 64 Bit) von USB-Sticks. Die pünktlich zur CeBIT 2014 erschie- • LXDE, der schlanke Knoppix-Standard- Readme nene Version 7.3.0 û basiert wie bei desktop mit dem Dateimanager Pc- Knoppix üblich auf einem Mix von Debi- manfm 1.1.2 Klaus Knopper stellt zur CeBIT 2014 die an „Stable“ und einigen Paketen – in ers- • KDE 4.8.4 (Bootoption knoppix Knoppix 7.3 Medialinx Edition vor. In die- ter Linie Grafiktreibern und Desktop-Pro- desktop=kde). sem Beitrag gibt er Einblicke in Distribu- grammen – aus „Testing“ und „Unstable“. • Gnome 3.8.4 (Bootoption knoppix tions-Interna und rückt die blitzgescheite Um möglichst viel neue Hardware zur desktop=gnome). Update-Funktion für USB-Sticks sowie das Mitarbeit zu bewegen, dienen als Basis • Einfacher Desktop-Export via VNC und der Kernel 3.13.0 mit Cloop und AUFS RDP für Remote Desktop Viewing un- UEFI-Booten ins rechte Licht. sowie X.org 7.7 Core 1.15.0. ter Linux und Windows.

14 www.linux-user.de 04.2014 Knoppix 7.3 MLX Heft-DVD

Knoppix 7.3 Medialinx Edition bootfähig auf Heft-DVD

1 Der proprietäre Adobe Reader (rechts) gehört normalerweise nicht in Knoppix, Libre Office (links) dagegen schon.

• Smbmount-knoppix, das Such- und Obwohl die DVD-Version durch eine tion, nur die persönlichen Daten und Mount-Utility zum Einbinden von Sortlist schon fürs Lesen optimiert wur- Einstellungen in /home/knoppix zu be- Netzlaufwerken mittels Samba. de, beschleunigt Flash-Speicher als Me- halten. Alternativ können Sie auch alles • Chromium 31.0.1650.63, Icewea- dium den Startvorgang und das Arbei- nachträglich Installierte behalten – meist sel 26.0 mit Adblock Plus 2.4.1 und ten mit Knoppix um mindestens den nicht empfehlenswert, spart das manch- Noscript 2.6.8.14, aktualisierter Text- Faktor fünf. Das ermöglicht Startzeiten mal Nacharbeit. browser Elinks. vom Laden des Kernels bis hin zum kom- • LibreOffice 4.1.4 und Gimp 2.8.6. pletten Desktop inklusive von EFI und hybrides Booten • Wine 1.5. unter 15 Sekunden – einigermaßen mo- • Virtualbox 4.3.2 und Qemu-kvm 1.7.0. derne Computer-Hardware und einen Damit das Update auf dem USB-Stick • Mutt-Vorlagen zur Mailkonfiguration. schnellen USB-Stick vorausgesetzt. funktioniert, müssen Sie bei der Knop- • Automatische Blattlageerkennung im Eines der am häufigsten nachgefrag- pix-Installation für die erste Partition Scanprogramm Adriane-ocr und Tas- ten neuen Features war die Aktualisier- mehr Platz einkalkulieren, damit Platz taturlernprogramm Karl im Adriane barkeit: Flash-knoppix untersucht nun für spätere Aktualisierungen bleibt – Audio Desktop. das Zielmedium auf eine alte Knoppix- 4,5 GByte erweisen sich als sichere Bank. • Adobe Reader 1 und Flashplayer- Installation hin und bietet an, nur das Die beschreibbare Partition, die es seit Plugin (auf Wunsch der Redaktion). komprimierte Dateisystem und den Ker- Knoppix 7.1 gibt, kann sich dann über Die meisten anderen enthaltenen Pro- nel auszutauschen, statt alles komplett den Rest des entsprechenden Mediums gramme tragen zwar ebenfalls neue Ver- neu zu installieren. ziehen 3. Optional lassen sich auf der sionsnummern, allerdings fallen die Än- Da Softwarepakete, die Sie selbst ins- Datenpartition schutzwürdige Benutzer- derungen dort nicht so spektakulär aus. talliert haben, mit dem neuen System in- daten wie zum Beispiel Passwörter stark kompatibel sein könnten, gibt es die Op- verschlüsseln. Für USB prädestiniert

Heutzutage installieren die meisten An- wender Knoppix eher auf einem USB- Stick (8 GByte) als es von DVD zu starten – nicht zuletzt, weil viele moderne Note- books kein entsprechendes Laufwerk 2 Der Flash-Installer mehr besitzen. Noch von DVD gestartet, erlaubt es, einen gro- präsentiert Knoppix 7.3 auf dem Desk- ßen USB-Stick so umzu- top das Icon KNOPPIX auf Flash kopieren. partitionieren, dass er Ein Doppelklick startet das Knoppix- neben der FAT32- eine nach-Flashdisk-Installationstool 2. Linux-Partition anlegt.

04.2014 www.linux-user.de 15 Heft-DVD Knoppix 7.3 MLX

Das Starten direkt von USB-Flashdisk kurzer Zeit auf den USB-Stick. Dieser klappt schnell und komfortabel, da Workaround funktioniert bei den meis- Knoppix getätigte Konfigurationsände- ten Problem-PCs sehr gut. rungen und angefallene Benutzerdatei- Nicht erst seit Ed Snowdens Enthül- en automatisch auf die Datenpartition lungen besitzen Sicherheit und Schutz schreibt. Allerdings gibt es sehr alte und der Privatsphäre Priorität in der Knoppix- sehr neue Computer, die nicht von USB Architektur. Firefox, der in Debian und 3 Die beschreibbare Partition darf sich booten: Bei den einen unterstützt dies deswegen auch in Knoppix Iceweasel über den Rest des Sticks ziehen. das BIOS nicht, bei den anderen er- heißt, bringt das scharfgeschaltete schwert oder verbietet EFI das Starten Noscript-Plugin û mit. von externen Datenträgern. Noscript vermutet bei Javascript- oder Flash-Inhalten oder beim Start von Plug- EFI-Boot ins, welche die Kamera, das Mikrofon oder andere Komponenten aktivieren, Grundsätzlich startet Knoppix im EFI- negative Auswirkungen auf die Sicher- Modus von USB-Sticks, da der Ordner heit und Stabilität des Browsers. Es blen- efi auf der ersten Partition die notwen- det dann am unteren Rand des Browsers digen Startdateien enthält. Wurde auf oberhalb des Statusbalkens gelbe Be- dem Rechner jedoch die EFI-Firmware nachrichtigungen ein. auf Secure Boot gesetzt, so unterbindet Sie können nun entscheiden, ob Sie diese den Start von anderen Betriebssys- die Webseite permanent, nur für die ak- temen als den vom Hersteller signierten. tuelle Session oder gar nicht für aktive In diesem Fall hilft die BIOS-Einstellung Inhalte freischalten. Noscript macht zu- CSM („Compatibility Support Module“), dem Banking und Bezahltransaktionen das einen „traditionellen“ Start per Boot beim Einkaufen im Internet viel sicherer, Record und Bootloader realisiert. da es viele Cross-Site-Scripting-Attacken Für jene Fälle, bei denen ein Start von erkennt und davor warnt. USB-Flashdisk grundsätzlich nicht klappt, enthält Knoppix 7.3 im Verzeich- Privatsphäre nis KNOPPIX das ISO-Image einer gerade mal 12 MByte großen Boot-Only-CD. Bei Tor û handelt es sich um eine Priva- Dieses brennen Sie auf einen Rohling cy-Erweiterung, welche die Privatsphäre und starten den Computer anschließend schützen soll. Über ein Netz von Gate- bei eingestecktem Knoppix-7.3-Stick ways erschwert Tor IP-Adress-gestützte von diesem Medium. Der Bootprozess Sammelaktivitäten. Aber Vorsicht: Es ist beginnt auf der CD und wechselt nach nicht für den Zugriff auf Dienste ausge-

Der Autor

Knoppix-Erfinder Klaus Knopper (knoppix@knop- per.​­net, Jahrgang 1968 und Dipl.-Ing. der Elektrotechnik, arbeitet als selbstständiger IT-Berater und Entwickler, ist Professor für Softwaretech- nik und Software-Engineering an der FH Kaiserslautern und gibt Kurse zu freier Software.

Weitere Infos und interessante Links

www.​­linux‑user.de/​­ ​­qr/​­32352 4 Chromium und Firefox haben die Tor-Proxys schon passend eingebunden.

16 www.linux-user.de 04.2014 Knoppix 7.3 MLX Heft-DVD

legt, die einen autorisierten und authen- sicherer Internet-Client benötigen Sie tifizierenden Zugang erfordern, wie das die Firewall nicht. Sie kann sogar kontra- Anmelden bei Webdiensten. produktiv wirken, wenn es um die Nut- Tor lässt sich durch ein Startprogramm zung von Streaming geht (etwa bei Vi- im Knoppix-Menü in Gang setzen. Da- deokonferenzen) – das hängt aber stark nach müssen Sie einen Proxy im Webb- von der dafür verwendeten Software ab. rowser Ihrer Wahl einrichten. Eine Ein- Klick-Aktivierung des Proxys ist in Chro- Troubleshooting mium und Firefox voreingestellt 4. Regelmäßig fragen Anwender nach ei- Sämtliche Benutzerzugänge in Knoppix ner Firewall für Knoppix – vermutlich, sind übrigens gesperrt – es gibt keine weil sich bei anderen Betriebssystemen Hintertüren oder Standardpasswörter, Dienste von außen erreichen und damit nicht einmal für den unprivilegierten Be- angreifen lassen, was ein Portfilter zu re- nutzeraccount knoppix. Daher klappt glementieren versteht. auch kein Login – starten Sie einen Screenlocker, dann sperren Sie sich prak- Die „unnötige“ Firewall tisch aus, denn es gibt kein gültiges Passwort zum Entsperren. Daher verzich- Ein Standard-Knoppix ist allerdings so tet Knoppix auch auf das bei vielen an- konfiguriert, dass es gar keine Dienste deren Distributionen übliche Absperren startet, die Ports nach draußen öffnen des Bildschirms beim Schließen des (außer, jemand startet Samba oder den Notebook-Displays oder bei Inaktivität. Remote Desktop Server VNC aus dem Normalerweise benötigt Knoppix kei- Häufige Boot-Optionen nennt die Boot- Menü). Lassen Sie einen Portscanner auf nerlei Boot-Optionen, um die vorgefun- Hilfe, die Sie über [F2] und [F3] abrufen. ein laufendes Knoppix-System los, wird dene Hardware inklusive Grafikkarte zu Weitere listet die Textdatei KNOPPIX/ dieser daher auch ohne Firewall keiner- erkennen und das System optimal zu knoppix‑cheatcodes.txt auf. Klemmt lei offene, angreifbare Ports feststellen. konfigurieren. Mit einer zunehmenden beispielsweise der Desktop an der Stelle, Dennoch besitzt Knoppix eine einfach Anzahl verschiedener Chipsätze und an der eigentlich Compiz starten müss- zu konfigurierende Firewall, die Sie bei Kombinationen derselben erweist es te, helfen meist die Boot-Optionen Bedarf aus dem Menü Knoppix heraus sich aber manchmal doch als notwen- knoppix nocomposite oder knoppix starten 5. Sie bietet drei Komplexitäts- dig, das eine oder andere Feature oder no3d weiter. Die eine schaltet die Com- stufen von Easy bis Experte an, wobei Ex- eine einzelne Komponente (vorüberge- posite-Erweiterung des Grafik-Subsys- perten eigene Iptables-Regeln einstellen hend) abzuschalten, um zum regulären tems ab, die andere verhindert den dürfen. Für die normale Benutzung als Desktop durchzustarten. Compiz-Start. (jlu) n

5 In Knoppix gibt es eine Firewall, deren Kon- figuration in Komplexi- tätsstufen eingeteilt ist.

04.2014 www.linux-user.de 17 Schwerpunkt Tiny Core Linux

Tiny Core Linux – mobiles Betriebssystem für unterwegs Klein, aber fein

Ein Linux-System stets Das kürzlich in Version 5.2 erschienene Facettenreich Tiny Core Linux (TCL) û präsentiert sich dabeizuhaben, bringt Vor- als minimales, modulares Betriebssys- Das Projekt stellt TCL in drei Varianten tem, das sich selbst nicht als gebrauchs- zur Verfügung. Wer möglichst viel Frei- teile: Auf Fremdrechnern un- fertige Distribution versteht, sondern als heit bei der Zusammenstellung seines der Kern einer solchen. Drei Installati- Systems möchte, für den ist das nur terwegs startet stets die ge- ons-Images in Größen zwischen 9 und 9 MByte große Core die richtige Wahl. 72 MByte sprechen unterschiedlich fort- Diese Variante bietet einen angepassten wohnte Arbeitsumgebung, geschrittene Anwender an, die sich ein Kernel und eignet sich ausschließlich für kleines und schnelles System nach eige- die Arbeit auf dem Terminal. Werkzeuge alle benötigten Tools und nen Vorlieben zu bauen wollen, das von zum Erweitern des Systems bringt sie Dokumente sind an ihrem einem USB-Stick oder einer CD selbst auf bereits mit. Ein X-Server fehlt jedoch, der ältesten Hardware läuft. Als Minimal- lässt sich aber – wie alles andere auch – Platz. Ferdinand Thommes voraussetzungen nennt das Projekt eine problemlos nachrüsten. Diese Version 486DX-CPU und 64 MByte RAM û. setzt voraus, dass Sie es gewohnt sind, Prinzipiell läuft TCL immer komplett auf der Kommandozeile zu arbeiten, und im Hauptspeicher, wobei die Erweiterun- das Linux-Rechtesystem kennen. Core gen ebenfalls im RAM oder von einem eignet sich für schlanke, maßgeschnei- Readme persistenten Speichermedium einge- derte Desktops, Server-Anwendungen bunden oder auf diesem installiert sein oder Embedded-Systeme. Abseits der Mainstream-Distributionen tum- können. Dabei entpackt das System den Wünschen Sie etwas mehr Komfort, melt sich Tiny Core Linux mit einem eigen- Kern und die Erweiterungen bei jedem dann greifen Sie zum 15 MByte großen willigen, aber sinnvollen Ansatz: Es stellt ein Neustart und lädt sie. Somit bleibt Viren Tiny Core. Hier ergänzen ein X-Server so- aufs Notwendigste reduziertes System be- und anderen Schädlingen kaum eine wie eine grafische Oberfläche in Form reit, das Sie nach eigenen Wünschen mit Chance, sich zu etablieren, da sich jede des Fltk-GUI-Toolkits samt des Window- neue Sitzung von TCL wie eine frisch ge- Managers Flwm das Core-Paket. Tiny Funktionen und Programmen ausstatten. startete Live-CD verhält. Core benötigt ebenso wie Core eine ka-

44 www.linux-user.de 04.2014 Tiny Core Linux Schwerpunkt

belgestützte Verbindung zum Internet; Dieser Modus eignet sich für Nutzer, die beide unterstützen lediglich die US- genutzte Anwendungen sowie die Er- amerikanische Tastaturbelegung. gebnisse der Sitzung speichern wollen Möchten Sie TCL mit WLAN nutzen und TCL auch an Rechnern verwenden, Tiny Core Linux 5.2 (Core Plus) und nicht auf die deutsche Tastaturbele- die nicht von USB booten. Dazu stecken bootfähig auf Heft-DVD gung verzichten, dann steht Ihnen dazu Sie einen USB-Stick am Rechner an und Tiny Core Linux 5.2 die dritte Variante namens Core Plus mit booten TCL von einer CD. (Core, Tiny Core, Core Plus als ISO) 72 MByte Umfang zur Verfügung. Sie LU/tinycore/ bringt neben Flwm noch sechs weitere Boot-Prozess Fenstermanager mit, darunter , und Openbox sowie ein Re- Sobald beim Start die Bootparameter er- mastering-Werkzeug 1. scheinen, drücken Sie [Tab] und hängen Alle Images basieren derzeit auf ; an das Bootkommando den Parameter darüber hinaus arbeitet das Team an Ver- tinycore waitusb=10 an. Das hält den sionen für die Architekturen ARMv6 und Bootprozess für 10 Sekunden an, um ARMv7. Die als piCore 5.1 im Januar ver- langsameren USB-Sticks Zeit zu geben, öffentlichte Version für ARMv6 û ist für sich am Systembus zu registrieren. Per den vorbereitet. [Eingabe] fährt das System weiter hoch. Bei älteren USB-Sticks genügt ein Wert Cloud-Modus von 10 eventuell nicht, und Sie müssen auf 20 oder mehr Sekunden erhöhen. Die Installation gestaltet sich für alle drei Nach dem Start des Desktops rufen Varianten gleich. Es gibt wiederum drei Sie in der Leiste am unteren Bildschirm- Möglichkeiten, TCL für verschiedene An- rand den Dateimanager auf und navigie- wendungsfälle auf CD oder USB-Stick zu ren darin zum Verzeichnis /mnt. Durch bannen. einen Klick auf das Plus-Zeichen davor Im sogenannten Cloud-Modus bren- sehen Sie nun den verbundenen USB- nen Sie das ISO-Image auf eine CD. Nach Stick. Sind an den Rechner mehrere Fest- dem Start in die Desktop-Umgebung platten und/​oder USB-Sticks angeschlos- entfernen Sie die CD aus dem Laufwerk, sen, ergibt es Sinn, dem USB-Stick vor- der Rest der Sitzung spielt sich im Ar- beitsspeicher ab. Somit bleibt das Lauf- werk für andere Anwendungsfälle frei. Dieser Modus eignet sich zum Testen von Applikationen oder für Sitzungen, in denen Sie nichts speichern möchten. Nach dem Herunterfahren des Systems bleiben sowohl die CD als auch der Rechner unverändert. Alternativ transferieren Sie das ISO- Image per Konsolen-Befehl (Listing 1) di- rekt bootfähig auf einen USB-Stick. Wel- ches Device der USB-Stick belegt, zeigt der Befehl # fdisk ‑l. Alternativ ver- wenden Sie das Tool Unetbootin û. Die zweite Möglichkeit nennt sich USB Stick Mode und erfordert neben der be- reits vorbereiteten CD einen USB-Stick.

Listing 1

# dd if=/Pfad/zur/ISO‑Datei of= 1 Die Distribution Tiny Core Linux erlaubt es, aus einer einfachen Basis alles vom mini- /dev/sdX malen Embedded-System bis hin zum maßgeschneiderten Desktop zu bauen.

04.2014 www.linux-user.de 45 Schwerpunkt Tiny Core Linux

her einen eindeutigen Namen zu geben, Danach öffnet sich ein weiteres Fenster, sodass er sich leichter identifizieren lässt. in dem Sie USB-HDD aktivieren. Steht Ansonsten hilft wieder der Befehl fdisk dort in der obersten Zeile bereits /mnt/ ‑l, um sicherzustellen, dass Sie auf das sr0/boot/core.gz und im Fenster dar- richtige Device schreiben. unter der USB-Stick als Removable De- Ein Rechtsklick auf das USB-Device öff- vice, wählen Sie diesen aus. Ist die obere net die Option Create Directory, mit der Zeile leer, tragen Sie dort /mnt/sr0/ Sie nun das Verzeichnis /tce erstellen. In boot/core.gz manuell ein. Im nächsten diesem Ordner legt TCL zukünftig alle Fenster wählen Sie ein Dateisystem, wo- Anwendungen, Konfigurationen und ge- bei Ext2 für einen USB-Stick am sinn- speicherte Daten ab. Beim nächsten vollsten erscheint, da das fehlende Jour- Start erkennt das System das Verzeichnis nal Schreibzugriffe einspart. 2 Der Installer erlaubt es Ihnen, die Dis- automatisch und stellt alle dort abgeleg- Im darauf folgenden Fenster konfigu- tribution mühelos mit Ihren Vorgaben auf ten Anwendungen zur Verfügung. rieren Sie die Boot-Optionen. Hier tagen einem USB-Stick zu installieren. Vor dem Herunterfahren müssen Sie Sie lang=de ein. Die weiteren angebote- zum Speichern in der Leiste unten das nen Optionen hängen Sie bei Bedarf Icon ganz links benutzen, um dann Back- durch Leerstellen voneinander getrennt up Options | Backup auszuwählen. Nach an. Im nächsten Fenster aktivieren Sie Anwahl von sda1/​tce oder der entspre- die Optionen gemäß Ihren Wünschen. chenden Bezeichnung des USB-Sticks Wichtig ist wiederum die unterste Opti- und dem Bestätigen via OK speichert on, das Umschalten auf die deutsche TCL alle Daten der Sitzung auf dem Stick. Tastaturbelegung. Eine Anleitung, wie Lassen Sie diesen Schritt aus, gehen die Sie diese permanent einrichten, finden Daten dieser Sitzung verloren. Sie im TCL-Forum û. Die Boot-Optionen lassen sich auch USB-Stick-Bootmodus später noch beim Hochfahren des Sys- tems jeweils über [F2] bis [F4] anzeigen Der USB-Stick-Bootmodus speichert TCL und auswählen. Der abschließende Dia- und die Daten direkt auf dem USB-Stick log gibt einen Überblick über die Optio- und erspart somit das Booten von CD. nen; nach einem Klick auf Proceed startet Voraussetzung dafür ist allerdings, dass die Setup-Routine mit dem Formatieren der Rechner das Booten von USB-Gerä- des USB-Sticks und überträgt danach ten auch unterstützt. Nach dem Start das Abbild auf den USB-Stick. Von nun des Desktops klicken Sie unten in der an startet der Rechner direkt vom Stick. Leiste auf das Icon mit den beiden Halb- Ein weiterer Weg, TCL ohne CD zu nut- kugeln und wählen im neuen Fenster zen, besteht darin, das Image in einer den Punkt HD/​USB Install 2. virtualisierten Umgebung wie Virtualbox oder KVM zu starten. Dabei gilt es ledig- lich, sicherzustellen, dass die VM die Da- ten an den USB-Stick im Gastsystem durchreicht. Dazu müssen Sie bei Virtual­ box die Gasterweiterungen installieren und den USB-Modus in den Einstellun- gen auf USB 2.0 umstellen.

Anwendungen einbinden

Je nachdem, welchen Fenster-Manager Sie nutzen, weicht die Bedienung der Oberfläche und der Menüs leicht vonei- nander ab. Diese Beschreibung bezieht sich auf den Standard-Manager Flwm, die Alternativen wie Fluxbox oder Open- 3 Der App-Browser erlaubt es, zusätzliche Software zu installieren. box arbeiten sehr ähnlich.

46 www.linux-user.de 04.2014 Tiny Core Linux Schwerpunkt

Zuerst müssen Sie sich entscheiden, ob le sollte /mnt/sdbX/tce/optional ange- Sie die Apps im vorher erstellten Ver- zeigt werden, was auf den USB-Stick ver- zeichnis /tce ablegen wollen oder eher weist. Nun wählen Sie oben unter Apps ein traditionelles Home-Verzeichnis be- den Eintrag Cloud Browse aus, alternativ vorzugen. Die Ablage in /tce stellt si- definieren Sie zunächst den am nächs- cherlich die Norm dar, jedoch lässt sich ten gelegenen Spiegelserver. ein konformes Heimatverzeichnis über Möchten Sie ein Programm einrichten, die Boot-Option home=sdX einrichten. lassen Sie es markiert und klicken unten In Flwm öffnet ein Klick auf den Desk- im Fenster auf Go, woraufhin die Installa- top ein Menü, in dem Sie System Tools | tion startet. Beim Markieren eines Pro- Apps auswählen. Im sich daraufhin öff- gramms in der Auswahl zeigt der Paket- nenden Fenster stellen Sie unten links manager rechts davon Informationen im Ausklappmenü entweder OnDemand über das Paket, dessen Größe und Ab- oder OnBoot ein. Damit entscheiden Sie, hängigkeiten an 3. Sollten Upgrades ob das System ein Programm mit der bereitstehen, finden Sie hier Informatio- Option OnBoot beim Hochfahren starten nen zu den Änderungen. soll oder mit OnDemand bei jedem Pro- grammstart frisch auspackt. Eigenes Paketformat Die Art der Anwendung des USB- Sticks sollte hauptsächlich über diese Um seine Philosophie verwirklichen zu Optionen entscheiden. Setzen Sie TCL können, verwendet Tiny Core ein eige- etwa an einem öffentlichen Rechner ein, nes Paketformat namens TCZ. Neben ergibt die Entscheidung OnDemand den im App-Browser angebotenen Pro- Sinn. Rechts daneben in der Eingabezei- grammen stehen auf den Servern von

04.2014 www.linux-user.de 47 Schwerpunkt Tiny Core Linux

TCL û viele weitere bereit. Diese laden Kombinationen von Core, Kernel und Er- Sie zum Beispiel mit dem Downloader weiterungen zu einem neuen ISO-Image Wget von dort herunter. zusammenstellen 4. Dabei ist es oft sinnvoll, nicht unbe- dingt nur in den aktuellsten Archiven zu Fazit suchen, sondern auch in deren Vorgän- ger. Derzeit bietet das Repository für Tiny Core Linux fordert zwar vom An- Version 4.x beispielsweise mehr Apps als wender etwas Einarbeitung, bietet dafür jenes für das relativ neue 5.x. Falls Sie aber auch weitestgehende Freiheit. das gewünschte Paket unter 5.x nicht Selbst gestandene Linux-Anwender soll- finden, müssen Sie in der Repo-URL û ten sich zuerst etwas in die Philosophie die Version 5.x gegen 4.x austauschen, von TCL û einlesen, da die Distribution um das ältere Archiv zu durchstöbern. doch einiges anders handhabt als ge- wohnt. Dafür erwecken Sie mit TCL bei Maßgeschneidert entsprechender Sorgfalt hinsichtlich der Paketauswahl auch alte Hardware- Bei TCL handelt es sich um ein wasch- Schätzchen aus den Neunzigern wieder echtes Community-Projekt, die meisten zu neuem Leben. in den Archiven vorrätigen Programme Die Dokumentation von TCL erscheint wurden von der Gemeinschaft erstellt insgesamt als etwas veraltet und für und gepflegt. Dementsprechend freuen Neueinsteiger nicht immer sinnvoll ge- sich die Helfer im Forum û, wenn sie ordnet. Neben der Dokumentation auf Rückmeldungen bekommen, ob etwa der Webseite gibt es ein gut besuchtes Pakete aus 4.x etwa in 5.x funktionieren. Forum û, ein Wiki û und eine FAQ û. Sofern allgemeines Interesse besteht, ist Für die dringliche Frage zwischendurch es auch durchaus möglich, dass die an die Entwickler bietet sich der IRC-Ka- Community-Mitglieder auf Nachfrage nal #tinycorelinux auf dem Freenode- ein spezielles Programm im kompatiblen Server an. (tle) n TCZ-Format basteln. Möchten Sie selbst Hand anlegen, soll- Weitere Infos und ten Sie sich mit dem Werkzeug Tz- interessante Links tools û auseinandersetzen, das bereits im TCZ-Format vorliegt. Eine weitere in- www.​­linux‑user.​­de/​­qr/​­31431 teressante Möglichkeit, mit TCL zu ei- nem maßgeschneiderten System zu kommen, bietet das Remastering-Werk- Ähnliche Projekte zeug Ezremaster û, mit dem Sie eigene Neben TCL gibt es weitere Projekte mit ähnlicher Zielsetzung. Dazu zählen unter anderem û und dessen ex- perimenteller Ableger Quirky û, das et- was komfortablere Slitaz û sowie das sich mit 8 MByte Hauptspeicher begnü- gende und in den Kernkomponenten in Assembler geschriebene KolibriOS û. So- mit dürfte in der Szene der kleinen por- 4 Das Remas- tablen Betriebssysteme für jeden Ge- tering-Werk- schmack etwas dabei sein. zeug Ezremaster ermöglicht es Ihnen, ein ISO- Image mit Ihren Der Autor eigenen Vorga- Ferdinand Thommes lebt und arbeitet als ben von TCL an- Linux-Entwickler, freier Autor und Stadt- zufertigen. führer in Berlin.

48 www.linux-user.de 04.2014 Basics. Projekte. Ideen. Know-how.

NEU! Mini-Abo zwei Ausgaben nur 9,80 €

Jetzt bestellen! www.medialinx-shop.de/raspberry-pi-geek

RPG_1-1_miniabo_links_v4.indd 1 27.01.2014 10:01:06 Uhr Praxis Mageia 4

Kurzvorstellung Mageia 4 Vier gewinnt

Mageia 4 verbessert den Das Mageia-Projekt û entstand im und 64-Bit-Systeme (siehe Tabelle Ma­ Sep­tember 2010 mit dem Ziel, die Dis­ geia-Installationsmedien). Sie haben Ablauf der Installation und tribution unabhängig also schon vor dem Download eine brei­ von dem ins Trudeln gekommenen Un­ te Auswahl vor sich û. Bei allen Mageia- erweitert das Angebot an ternehmen weiterzuführen. Seit der Ver­ Medien handelt es sich um sogenannte öffentlichung des ersten Releases im Hybrid-ISOs, die sich einfach mittels des Software. Oliver Burger Mai 2011 erfreut sich Mageia wachsen­ Kommandozeilen-Befehls dd auf einen der Beliebtheit und hat sich mittlerweile USB-Stick kopieren lassen, um sie dann ­einen festen Platz in den Top Five des von dort aus zu installieren û. Rank­ings auf Distrowatch erobert û. Bei Mageia müssen Sie sich vor dem Mit der Veröffentlichung von Mageia 4 Herunterladen nicht auf einen Desktop bleibt das Projekt seinem Ziel treu, eine festlegen: Mittels der bereitgestellten Distribution zu erstellen, die für Um- und Meta-Pakete lässt sich jederzeit ein an­ Einsteiger einfach zu handhaben ist, derer Desktop nachinstallieren. Hierbei ohne erfahrenen Benutzern die Vielfäl­ entspricht ein Gnome-Desktop, der mit­ tigkeit eines Systems vorzuenthalten. tels Meta-Paket task-gnome einer instal­ Wie üblich gibt es Mageia 4 in ver­ lierten KDE-Live-DVD hinzugefügt wur­ schiedenen installierbaren Live- sowie de, jenem Desktop, der auf einer instal­ dedizierten Installer-Varianten für 32- lierten Gnome-Live-DVD zu sehen wäre.

Mageia-Installationsmedien Typ Umfang 32 Bit 64 Bit Anmerkung Installationsmedien Readme DVD 4,2 GByte ● ● viele Desktops, breite Software- Auswahl Anfang Februar veröffentlichte das Mageia- Dualarch-DVD 1 GByte ● ● 32+64 Bit, nur XFCE Projekt die vierte Version seiner Distribu- Netzwerk-CDs 23 bis 74 MByte ● ● mit / ohne unfreier Firmware Live-Medien tion. Besonders angenehm sind die Neue- CD 700 MByte ● ❍ nur Englisch, KDE oder Gnome rungen am Installer. DVD 1,4 GByte ● ● alle Sprachen, KDE oder Gnome

64 www.linux-user.de 04.2014 Mageia 4 Praxis

Mageia 4 (Install-DVDs 32+64 Bit) bootfähig auf Heft-DVD 2

1 Während der Installation geben Sie direkt an, welche der vorhandenen Repositories Sie beim späteren Betrieb der Distribution vewenden möchten.

Den Installer haben die Entwickler für Der Installer von Mageia 4 gliedert die wörter. Zum Abschluss liefert der Instal­ Mageia 4 etwas überarbeitet, wobei je­ Paketgruppen grob in Arbeitsplatzrech- ler einen Überblick über alle Einstellun­ doch das gewohnte Look & Feel erhalten ner, Server und Graphische Arbeitsober- gen und erlaubt noch einmal Anpassun­ blieb. Bereits im Bootmenü des Installers fläche 2. Diese neue Einteilung erhöht gen. Während des gesamten Installati­ treffen Sie verschiedene Einstellungen, die Übersichtlichkeit – insbesondere, onsablaufes haben Sie die Möglichkeit, etwa mittels [F2] die Auswahl der Spra­ weil die letzte Sektion nach dieser Ände­ die zum jeweiligen Schritt gehörende che für die Installation. rung eine bei Weitem größere Anzahl an Hilfe-Seite û zu öffnen. Möglichkeiten bietet. Eine weitere Neuerung in Mageia 4: Installation Nach dem Einrichten der Pakete tref­ Ein Willkommens-Bildschirm 3 bietet fen Sie noch einige Einstellungen wie nach dem ersten Login einen Überblick In den weiteren Schritten partitionieren die Wahl des zu installierenden Bootloa­ über wichtige Werkzeuge und die zent­ Sie die Festplatte und wählen dann die ders sowie Benutzernamen und Pass­ ralen Anlaufstellen für das neue System. zu benutzenden Software-Quellen, wo­ bei sich weitere Medien einrichten las­ sen wie etwa ein FTP-Server. Danach le­ gen Sie fest, welche der auf den angege­ benen Medien verfügbaren Repositories Sie nutzen möchten 1. Vorgegeben sind hier die Repos Core und Non-free der Installations-DVD. Anschließend können Sie eine Aus­ wahl der zu installierenden Software treffen. Wie bei den früheren Mageia- Versionen haben Sie in Sachen Desktop die Auswahl zwischen KDE, Gnome oder einem selbst definierten Desktop. Bei der benutzerdefinierten Variante zeigt der Installer eine Übersicht der einzel­ nen Paketgruppen, aus der Sie anschlie­ ßend nach eigenem Ermessen auswäh­ len. Daneben besteht die Möglichkeit zur individuellen Auswahl an Paketen, um das System zu erweitern. 2 Die Anordnung der Paketgruppen in Tabs verbessert die Übersicht im neuen Installer.

04.2014 www.linux-user.de 65 Praxis Mageia 4

Mageia hat an den Desktops und Win­ dow-Managern nur wenige Anpassun­ gen vorgenommen, hauptsächlich klei­ ne optische Änderungen wie ein einheit­ licher Hintergrund oder ein einheitlicher Menü-Button. So verfügbar, setzen auch alle Oberflächen auf das Oxygen-Theme, um ein einheitliches Look & Feel zu bie­ ten. All dies lässt sich beliebig anpassen.

Desktop-Software

Für den täglichen Bedarf stellt Mageia einen umfänglichen Software-Fundus bereit. Bei Büro-Software haben Sie die Auswahl zwischen LibreOffice, Calligra und einem Gnome-Office-Subset samt Gnumeric und Abiword. Als Webbrowser dienen wahlweise Firefox, Chromium 3 Der Mageia-Willkommens-Bildschirm bietet beim ersten Login einen Überblick über oder Opera. Der oft benötigte Flashplay­ die wichtigsten Werkzeuge sowie die Anlaufstellen der Mageia-Community. er lässt sich über die Paketverwaltung nachinstallieren. Ebenso reichhaltig fällt das Angebot Zu den herausragenden Merkmalen von an Kommunikationssoftware aus. Hier Mageia zählt das noch von Mandriva ge­ finden sich die Instant-Messenger Pid­ erbte Mageia-Kontrollzentrum 4. Hier gin, Kopete, Empathy und Telepathy nehmen Sie an zentraler Stelle die ge­ ebenso wie die IRC-Clients Quassel, X- samte Konfiguration des Systems vor. Chat und Irssi. Für VoIP-Nutzer steht Eki­ Dabei lassen sich alle Werkzeuge auch ga zur Verfügung, Skype lässt sich über einzeln aufrufen. Die meisten Tools bie­ die Paketverwaltung nachinstallieren. ten außerdem eine Ncurses-basierte Den Grafik-Bereich bestücken Gimp, Schnittstelle und lassen sich daher auch Krita, Inkscape und Blender, der Multi­ ohne X-Server nutzen. media-Fundus umfasst unter anderem verschiedene Xine-, Mplayer- und Die Desktops Gstreamer-basierte Software sowie den beliebten VLC. Die üblicherweise be­ Neben den bisher schon vorhandenen nutzten Codecs finden sich in den Repo­ Desktops bietet Mageia 4 nun außerdem sitories. Eine vollständige Auflistung der Cinnamon und Maté an, die beide aus vorhandenen Software findet man in der dem Mint-Umfeld stammen. Beide Desk­ Anwendungsdatenbank MADB û. tops gab es schon für Mageia 3 in inoffi­ ziellen Repositories. Deren Betreiber ist Server-Software nun aber offizieller Mageia-Packager und hat beide Desktops in die Distributi­ Auch für den Server-Einsatz bietet Ma­ (U)EFI on eingebracht. geia 4 eine breite Software-Auswahl. Als Die Installer-DVDs beherbergen somit Webserver stehen Apache, Nginx oder Mageia 4 unterstützt standardmäßig noch nun acht vollständige Desktop-Umge­ Lighttpd zur Verfügung, als FTP-Server kein UEFI. Das Mageia-Wiki liefert aber bungen. Dazu zählen neben den beiden Heimdal-ftpd oder Proftpd. eine Anleitung, wie man Mageia mit UEFI Platzhirschen KDE und Gnome nun Für Mailserver haben Sie die Wahl zwi­ nutzen kann û. Mageia 5 soll nativen XFCE, LXDE, Razor-, E17, Cinnamon schen Postfix oder Sendmail als MTA so­ UEFI-Support erhalten, eine Unterstützung und Maté. Des Weiteren stehen in den wie Dovecot oder Cyrus als POP/​IMAP- von Secure Boot ist allerdings auch in Zu- Repositories des Projektes zusätzlich Server. Den Viren- und Spam-Schutz de­ schlanke Windowmanager wie Fvwm2, cken ClamAV, Amavisd-new und Spam­ kunft nicht vorgesehen. oder Scrotwm bereit. assassin ab.

66 www.linux-user.de 04.2014 Mageia 4 Praxis

Als Datenbank-Backend dienen MariaDB (als Ersatz für MySQL), PostgreSQL oder SQLite auf relationaler sowie CouchDB und MongoDB auf der Seite der nicht- rela­tionalen Systeme.

Für Entwickler

Auch Entwickler finden bei Mageia 4 reichlich Futter. Neben geläufigen Spra­ chen wie C/​C++, Java, Python, Perl, Ruby und PHP kommen auch Exoten wie Google Go, Haskell und Prolog nicht zu kurz. Mit von der Partie sind außerdem diverse Versionskontrollsysteme sowie die Entwicklungsumgebungen Eclipse, Anjuta und Kdevelop. 4 Das Mageia-Kontrollzentrum bietet alle Konfigurationswerkzeuge auf einen Blick. Die Repositories

Die offiziellen Mageia-Repositories glie­ Bekannte Probleme dern sich in die drei Hauptzweige Core, Tainted und Non-free. Das Core-Reposi­ Nicht immer lassen sich bis zur Veröf­ tory enthält ausschließlich Open-Source- fentlichung einer Distributionsversion Programme, die nach Wissen der Ma­ alle Fehler finden und beheben – das gilt geia-Packager nicht durch Patente oder auch für Mageia. Deswegen sollten Sie Lizenzen belastet sind. die Errata û im Blick behalten und die Auch im Tainted-Repository findet sich Release Notes û nachlesen. Dort finden Open-Source-Software, allerdings sol­ Sie alle bestätigten Fehler der Distributi­ che, bei der es unter Umständen patent- on samt möglicher Problemlösungen. oder lizenzrechtliche Probleme geben Die momentan zur Verfügung stehen­ kann. Dazu zählen etwa Audio- und Vi­ den ISO-Abbilder enthalten insbesonde­ deo-Codecs, die zum Abspielen von re zwei Fehler: Der erste liegt an Isolinux DVDs meist notwendige Libdvdcss2 und führt dazu, dass gebrannte CDs und oder der MP3-Encoder Lame. Das Non- DVDs auf mancher Hardware nicht funk­ free-Repository umfasst sämtliche un­ tionieren û. Der zweite hängt mit dem freie Software, die das Projekt anbietet proprietären Nvidia-Treiber zusammen wie etwa Nvidia- und AMD-Grafiktreiber und hindert einige Programme am sowie manche Spiele. Start û. Momentan erstellt das Projekt Die Aufteilung der Software in die drei gerade neue ISOs, welche diese Proble­ Zweige gestaltet sich so, dass Core-Soft­ me beheben sollen. ware nie Pakete aus einem der anderen Repositories benötigt. Umgekehrt hängt Fazit Weitere Infos und aber Software aus einem der anderen interessante Links Repositories unter Umständen von ei­ Abgesehen von solchen unvermeidli­ nem oder mehreren Core-Paketen ab. chen Problemen präsentiert sich auch www.​­linux‑user.​­de/​­qr/​­32205 Das Projekt versorgt alle drei Zweige Mageia 4 wieder als „runde Sache“. Mit mit Sicherheitsaktualisierungen und zunehmender Reife der Distribution fül­ Der Autor Fehlerkorrekturen. Standardmäßig bin­ len sich außerdem immer mehr Lücken det Mageia die drei Repos zwar ein, akti­ in den Paket-Repositories, sodass der Pa­ Oliver Burger arbeitet als Übersetzer und viert allerdings nur Core. Möchten Sie ketumfang von Mageia inzwischen in Packager im Mageia-Projekt mit. Von 2011 auch Tainted und Non-free nutzen, müs­ Bezug auf die Software für die alltägli­ bis 2013 war er im Council des Projekts sen Sie diese im Mageia-Kontrollzent­ che Arbeit kaum noch irgendwelche vertreten, seit 2012 sitzt er im Board der rum aktivieren. Wünsche offenlässt. (jlu) n Organisation Mageia.org.

04.2014 www.linux-user.de 67 Netz&System IDS Tripwire

Einbrüche mit dem IDS Tripwire erkennen Stiller Wächter

Im hostbasierten Intrusion-Detection-System Tripwire finden Sie ein mächtiges Werkzeug, um Ihre Rechnersysteme vor ungewollten

Änderungen zu schützen Falko Benthin

© John McAllister, 123RF

Readme Hinterlistige Trojaner, die Über­wei­ sche Angriffsmuster und eventuelle sungs­daten beim Online-Banking mani­ Ano­malien erkennen. Hostbasierte IDS Was für die Regierung noch Neuland ist, pulieren oder Computernutzer ausspä­ hingegen spüren womöglich uner­ entdeckten Ganoven schon längst für sich: hen; ferngesteuerte Webcams, die ihre wünschte Änderungen auf zu schützen­ das Internet und seine Möglichkeiten. Die Umgebung abfilmen, oder versteckte den Rechnern auf. Sie informieren dann Rechner ahnungsloser Bürger und Unter- Hintertürchen, die Unbefugten Zugriff die verantwortlichen Administratoren nehmen mutieren zu Spam-Schleudern, auf fremde Rechner gewähren – das Ver­ zeitnah und können so die mit einem verteilen Schadprogramme oder spähen brechen ist schon lange in der digitalen Angriff einhergehenden Schäden ein­ Anwender aus. Das hostbasierte Einbruchs­ Welt angekommen. dämmen oder gar verhindern. erkennungssystem Tripwire überwacht still Intrusion-Detection-Systeme, kurz IDS, Für das freie Betriebssystem gibt es erkennen potenzielle Angriffe auf Rech­ zahlreiche Intrusion-Detection-Systeme, und leise das Dateisystem und informiert ner und Netzwerke, indem sie den Da­ sowohl für komplette Netzwerke („Net­ zeitnah bei festgestellten Änderungen. tenverkehr überwachen und dabei typi­ work-based Intrusion Detection System“,

74 www.linux-user.de 04.2014 IDS Tripwire Netz&System

NIDS) als auch für einzelne Hosts („Host- tem nicht permanent im Hintergrund based Intrusion Detection System“, läuft und so meist auch nicht als laufen­ HIDS). Zur ersten Kategorie gehören bei­ der Prozess auffällt, beansprucht es spielsweise Programme wie Snort, Suri­ kaum Systemressourcen. Auch Fehl­ Tripwire 2.4.2.2 cata oder Prelude, die im Idealfall Angrif­ alarme kommen relativ selten vor. In der LU/tripwire/ fe auf gesamte Netzwerke erkennen. In Regel wissen Administratoren, wann die zweite Kategorie fallen etwa Anwen­ Tripwire ihre Server überwacht, und kön­ dungen wie Portsentry, Logcheck, Sam­ nen so schnell die Datenbanken aktuali­ hain, OSSEC oder Tripwire û, um das es sieren beziehungsweise sehen, ob sie in diesem Artikel geht. eventuell selbst für eine gemeldete Än­ Bei Tripwire (deutsch: „Stolperdraht“) derung verantwortlich zeichnen. handelt es sich um einen Datei- Als klarer Nachteil wäre zu nennen, Integritäts­checker. Das System wurde dass das System nicht sofort warnt, 1992 von Gene Kim und Dr. Eugene wenn ein mutmaßlicher Angriff stattfin­ Spafford an der Purdue University û in det, sondern erst dessen Folgen proto­ West Lafayette (USA, Indiana) aus der kolliert. Sobald Tripwire eine Meldung Taufe gehoben. Seit 1999 entwickelt das mit einer unberechtigten Änderung an Unternehmen Tripwire Inc. û die An­ einen Administrator versendet, darf die­ wendung als Tripwire Enterprise weiter. ser getrost von einer gelungenen Atta­ Das Tripwire-Open-Source-Projekt cke ausgehen. wurde 2002 ins Leben gerufen und nutz­ te als Grundlage die Tripwire-Quelltexte Installation aus dem Jahr 2000. Das Projekt eignet sich laut Tripwire Inc. für eine kleine An­ In den Haupt-Repositories der gängigen zahl von Servern, die weder eine zentra­ Distributionen findet sich Tripwire in der lisierte Administration noch Berichts­ Regel nicht. So stellt beispielsweise funktionen benötigen. Ubuntu im Universe-Zweig nur für Saucy Salamander (13.10) die aktuelle Version Funktionsweise zu Installation bereit, und auch OpenSu­ se hält Tripwire lediglich im Security-Re­ Angreifer versuchen in der Regel, ein pository û vor, das Sie nachträglich ma­ gekaper­tes System mit Trojanern, Back­ nuell einbinden müssen. doors und veränderten Dateien zu kon­ Das Programm erfüllt seine Aufgaben taminieren, um jederzeit zurückkehren bereits sehr gut, sodass die Entwickler zu können und den Rechner in ihre Ma­ nicht permanent neue Versionen nachle­ chenschaften zu involvieren. Tripwire wirkt dem entgegen, indem es Informationen (Prüfsummen, Datei­ Listing 1 größe, Mtime, Ctime, Inode etc.) wichti­ # twadmin ‑‑generate‑keys ‑‑site‑keyfile /etc/tripwire/site.key ger Verzeichnisse und Dateien verschlüs­ selt in einer Datenbank ablegt. Damit # twadmin ‑‑generate‑keys ‑‑local‑keyfile /etc/tripwire/ $HOSTNAME‑local.key vergleicht es später die Eigenschaften der zu überwachenden Dateien und teilt Abweichungen dem verantwortlichen Administrator mit. Im Idealfall ist alles in Reportlevel Ordnung und der Bericht fällt kurz und Level Beschreibung knapp aus. Etwas längere Berichte ent­ 0 Zusammenfassung auf einer Zeile, listet Anzahl der Änderungen, Hinzufügungen stehen, wenn Dateien gewollt oder un­ und Löschungen auf. gewollt geändert wurden – dann muss 1 Parsbare Liste aller Verletzungen. der Admin handeln. 2 Zusammenfassung, Auflistung der Verletzungen nach Sektion im Polfile und Das Prinzip bietet den Vorteil, dass Sie Regelname. den Vergleich diskret periodisch oder 3 Standardlevel, zeigt erwartete und erkannte Eigenschaften für überwachte Objekte, bei Verdacht eines Einbruchs ausführen die geändert wurden. können. Da das Intrusion-Detection-Sys­ 4 Kompletter Bericht, der bis ins kleinste Detail geht.

04.2014 www.linux-user.de 75 Netz&System IDS Tripwire

gen. Aktuell ist die Version 2.4.2.2 û, die ob Tripwire so lange wie möglich wartet, mit hoher Wahrscheinlichkeit bereits eine Sie mit dem Dreischritt aus den Quellen bis es eine Passworteingabe vom Nutzer kommentierte Datei twpol.txt mit Stan­ übersetzen: verlangt (LATEPROMPTING). Auch Doppel­ dard-Richtlinien, das Polfile. Da jedes Sys­ meldungen (Datei, Verzeichnis) bei Ver­ tem anders ist, bietet sie naturgemäß # ./configure && make && make insU änderungen einer überwachten Datei nicht den Schutz, den der individuelle tall lassen sich an dieser Stelle unterbinden Rechner benötigt. Vielmehr bietet sie (LOOSEDIRECTORYCHECKING). eine gute Basis für eigene Anpassungen. Während der Installation legt Tripwire ei­ Da Tripwire auf entfernten Servern oft Die Policy-Datei nutzt einige Schlüs­ nen Site- und einen Local-Key an. Der Ers­ via Cronjob startet, kann es sich als sinn­ selwörter, denen ein @@ vorsteht (siehe tere dient dazu, um die Konfigurations- voll erweisen, Mails auch dann zu ver­ Tabelle Direktiven). Mit den Direktiven und Policy-Dateien zu signieren, der Letz­ senden, wenn alles in Ordnung ist unterteilen Sie die Richtlinien in Berei­ tere zur Absicherung der Tripwire-Daten­ (MAILNOVIOLATIONS=true). Bleibt dann che mit spezifischen Bedingungen und bank. Haben Sie die Schlüsselgenerie­ eine Nachricht aus, darf der Admin individuellen Meldungen. rung bei der Installation aus irgendeinem schon einmal in Alarmstellung gehen. Regeln im Polfile beginnen mit dem Grund ausgelassen, holen Sie sie mit den Die Reportlevel geben an, wie um­ zu überwachenden Objekt, bei dem es Befehlen aus Listing 1 nach. fangreich Berichte ausfallen sollen (siehe sich um eine Datei oder ein Verzeichnis Für die Passphrase gilt hier dasselbe Tabelle Reportlevel). Weiterhin könnten handeln kann, gefolgt von ‑>, den zu wie für gute Passwörter: Mehr als acht Art (SMTP oder Sendmail) und die für überwachenden Eigenschaften („Proper­ Zeichen Länge, gemischte Groß- und den Mailversand nötigen Server Auf­ ties“) und optionalen, in Klammern ge­ Kleinschreibung sowie Sonderzeichen merksamkeit verlangen. setzten Regelattributen. Häufig benötig­ erhöhen die Sicherheit. te Properties fassten die Entwickler be­ Eventuell müssen Sie auch noch die Stolperdrähte spannen reits in einigen Variablen zusammen. Datei /etc/tripwire/twcfg.txt anpas­ sen. Dort hinterlegen Sie die Pfade zu Sind die Keys vorhanden und die Konfi­ den Schlüsseldateien, den Richtlinien, gurationsdatei im Klartext angepasst, Eigenschaften der Datenbank und den Berichten. Über spannen Sie die Stolperdrähte in Form Property Beschreibung weitere Variablen legen Sie den Stan­ von Policies auf dem Server. In Tripwires a Atime dard-Editor (EDITOR) fest und geben an, Konfigurationsverzeichnis befindet sich b von Objekt belegte Blöcke c Zeitstempel, wann Inode erstellt oder modifiziert Direktiven wurde d Device ID Direktive Beschreibung f Flags (betriebssystemab- @@section Leitet Bereich im Polfile ein, OS-abhängig. hängig) @@ifhost Fallunterscheidungen, falls ein Polfile auf verschiedenen Hosts zum Einsatz g Group-ID des Besitzers kommt. i Inode-Nummer @@else Siehe @@ifhost. l wachsende Datei @@endif Siehe @@ifhost. m Mtime @@print Gibt folgenden String auf der Standardausgabe aus. n Anzahl der Links @@error Gibt folgenden String auf der Fehlerausgabe aus. p Dateirechte @@end Ende Polfile, alle folgenden Einträge werden ignoriert. s Dateigröße u User-ID des Besitzers A ACL-Einstellungen Regelattribute C CRC-32 G Inode Generation Number Attribut Beschreibung H HAVAL-Hash rulename Vergibt einen Namen für eine Regel. Standard ist das letzte Element des M MD5-Hash Objektnamens. S SHA-Hash severity Schärfe, Werte von 0 bis 1 000 000. Wird die Severity beim Integritätscheck Vordefinierte Variablen angegeben, werden nur Regeln ab diesem Level geprüft. ReadOnly +pinugsmdbfCMAG emailto E-Mail des Verantwortlichen, den Tripwire bei Unstimmigkeiten informiert. Dynamic +pinugdfAG recurse Rekursion für Verzeichnisse, mögliche Werte sind True, False und Zahlen Growing +pinugdlfAG von ‑1 bis 1 000 000. IgnoreAll prüft nur, ob ein Objekt vorhanden ist onviolation Führt bei Unstimmigkeiten das angegebene Kommando aus. IgnoreNone prüft alle Properties match Wildcard-Muster für Dateitypen, welche die Integritätsprüfung berücksichtigt Device +pugsdrfA

76 www.linux-user.de 04.2014 IDS Tripwire Netz&System

Daneben erlaubt es das Regelset, eigene die wichtigsten Properties und die oben Variablen zu definieren, die Sie in der Da­ erwähnten vordefinierten Variablen gibt tei mit $(Variable) aufrufen. Eine Regel die Tabelle Eigenschaften. erstreckt sich meist auf eine per Semiko­ Die Regelattribute erlauben es, Regeln lon abgeschlossene Zeile. Regeln lassen mit berichtsfreundlichen Namen zu ver­ sich zudem zu Gruppen zusammenfas­ sehen, die Schärfe einer Regel einzustel­ sen, um sie später leichter zu verwalten. len, eine E-Mail-Adresse und ein auszu­ Tripwire kann zahlreiche Kriterien einer führendes Kommando für den Fall eines Datei im Blick behalten. Dazu gehören Angriffs anzugeben oder Wildcard-Mus­ unter anderem Atime und Mtime, die von ter für zu berücksichtigende Dateitypen einem Objekt belegten Blöcke, die ID der festzulegen. Weiterhin lässt sich die Tiefe Festplatte, Inode-Nummer, Dateigröße, der Rekursion angeben, mit der Tripwire User- und Group-ID sowie die Rechte. die Inhalte eines Verzeichnisses berück­ Ferner wählen Sie über die Properties das sichtigt (siehe Tabelle Regelattribute). Hashverfahren aus. Einen Überblick über Mittels der E-Mail-Adressen informiert die Software bei einem Angriff verschie­ dene Verantwortliche, beispielsweise Listing 2 Webmaster über geänderte PHP-Dateien ( und Administratoren bei Auffälligkeiten rulename = "64 Bit Libs", im Verzeichnis /etc oder /sbin. Dabei severity = 100, dürfen Sie mehrere Adressen durch ein emailto = "[email protected];chef@ Semikolon getrennt angeben. Das aus­ mail.de" führende Kommando (onviolation) er­ ) laubt es, beispielsweise Dienste sicher­ { heitshalber anzuhalten. /lib64 ‑> $(ReadOnly) ; Bei der Rekursion sind ‑1 und True /usr/lib64 ‑> $(ReadOnly) ; identisch. In beiden Fällen berücksich­ } tigt das Tool den gesamte Inhalt eines Verzeichnisses. Bei 0 oder False prüft /opt/nginx ‑> $(ReadOnly) Tripwire nur der Inode eines Verzeichnis­ (rulename = "Nginx", severity = ses, wohingegen 1 bedeutet, dass das 100, emailto = [email protected]) ; Tool auch die in einem Verzeichnis ent­

2 Pro Cronjob und manuellem Integritätscheck ein Bericht: Wenn Sie diese nicht löschen, erzäh- 1 Tripwire gibt beim Integritätscheck eine kurze Zusammenfassung auf der Stan- len sie eine lange Geschichte von gewollten oder dardausgabe aus. Die zugehörigen Berichte zeigen meist deutlich mehr Details. ungewollten Dateimanipulationen.

04.2014 www.linux-user.de 77 Netz&System IDS Tripwire

anpassen müssen. Die Default-Policy-Da­ tripwire/ wieder. Eventuell meldet Trip­ tei sollte bereits einen Mindestschutz bie­ wire ein paar Fehler, weil die Policy-Datei ten, der sich auf die Verzeichnisse /boot, ungültige Einträge enthält – etwa nicht /bin, /sbin, /usr/bin, /usr/sbin, /usr/ vorhandene Dateien. In dem Fall passen local/bin, /usr/local/sbin, /usr/lib, Sie die Policy-Datei an und generieren /usr/local/lib und /etc erstreckt. sie neu, bis Tripwire die Datenbank ohne Listing 2 zeigt eine Erweiterung mit Re­ Beanstandungen erstellt. geln, die den Schutz auf 64-Bit-Bibliothe­ ken und eine Nginx-Installation im Ver­ Prüfen und berichten zeichnis /opt ausweiten. Die Regel für die 64-Bit-Libs zeigt auch, wie Sie mehre­ Bevor Sie Tripwire in einen Cronjob ver­ re Objekte gruppieren. Zudem sind E- packen, sollten Sie prüfen, ob die Soft­ Mail-Adressen hinterlegt, sodass der Ver­ ware anstandslos E-Mails versendet. antwortliche bei Vorfällen Mails erhält. Dazu dient folgender Befehl: Nach dem Erstellen der Konfigura­ tions- und Policy-Dateien gilt es, diese zu # tripwire ‑‑test ‑‑email MailadrU verschlüsseln, bevor Sie die Tripwire-Da­ [email protected] tenbank initialisieren. Die beiden Klar­ text-Dateien legen Sie auf der Komman­ Anschließend führen Sie mit tripwire dozeile mit den Befehlen aus Listing 3 ‑‑check die erste richtige Integritätsprü­ an. Nach dem Verschlüsseln liegen Konfi­ fung durch 1. Tripwire gibt die Berichte gurations- und Policy-Datei in einer nicht in Kurzform auf der Konsole aus und haltenen Dateien auf ihre Integrität prüft mehr ohne Weiteres lesbaren Form vor. schreibt sie parallel dazu etwas ausführ­ (nicht aber die Inhalte in dessen Unter­ Im Anschluss an das erfolgreiche Anle­ licher in die Datei /var/lib/tripwire/ verzeichnissen). gen der Tripwire-Datenbank sollten Sie report/$HOSTNAME‑timestamp.twr 2. Eine besondere Regel definieren Stop- die Klartext-Dateien entfernen. Falls Sie Sollen die Reports auch gleich per E- Points der Form Objekt; – dabei handelt später noch einmal einen Blick darauf Mail versandt werden, geben Sie zusätz­ es sich um von der Prüfung ausgeschlos­ werfen möchten, dann dechiffrieren lich den Schalter ‑‑email‑report an. Die sene Verzeichnisse oder Dateien. Mit dazu die Befehle twadmin ‑‑print‑pol‑ Berichte gehen dann an die Empfänger, Stop-Points legen Sie entsprechend in­ file repektive twadmin ‑‑print‑cfg‑ die Sie im Policy-File in den jeweiligen nerhalb eines zu prüfenden Verzeichnis­ file die Dateien wieder. Regeln hinterlegt haben. ses Ausnahmen fest. Die Tripwire-Datenbank legen Sie mit Hin und wieder kommt es vor, dass Jeder Server ist anders und bedarf an­ dem Befehl tripwire ‑‑init an. Sie fin­ Admins die ein oder andere Kleinigkeit derer Schutzmaßnahmen, sodass Sie das det sich standardmäßig als Datei mit der am System ändern. Da Tripwire nicht Policy-File für jeden Rechner individuell Endung .twd im Verzeichnis /var/lib/ weiß, dass es sich um erlaubte Modifika­ tionen handelt, strotzen dann die Be­ richte von Regelverletzungen nur so. Um das zu vermeiden, passen Sie die Trip­ wire-Datenbank auf Basis des Berichts an. Mittels des Kommandos:

# tripwire ‑‑update ‑twrfile /varU /lib/tripwire/report/$HOSTNAME‑tiU mestamp.twr

öffnen Sie einen Editor, der alle Regel­ verstöße auflistet 3. Alternativ über­ nimmt die Software mit tripwire ‑‑check ‑‑interactive Änderungen auch sofort. Tun Sie nun durch Nichtstun Ihr Ein­ verständnis kund, passt Tripwire die Da­ 3 Nachvollziehbare und legitime Änderungen übernehmen Sie schnell und tenbank entsprechend an, und die Mel­ unkompliziert in die Tripwire-Datenbank. dungen zu Integritätsverletzungen tre­

78 www.linux-user.de 04.2014 IDS Tripwire Netz&System

ten bei zukünftigen Prüfungen nicht mehr auf. Ist eine Regelverletzung nicht genehmigt und soll bei jeder Prüfung wieder vorgelegt werden, entfernen Sie lediglich das Kreuzchen in der zur Regel­ verletzung gehörigen Checkbox. Um einen Blick in die Tripwire-Daten­ bank zu werfen, nutzen Sie den Befehl twprint ‑‑print‑dbfile. Ähnlich funk­ tioniert es für eine eine binäre Berichts­ datei 4 mit folgendem Kommando:

# twprint ‑‑print‑report ‑‑twrfilU e /var/lib/tripwire/report/$HOSTNU AME‑timestamp.twr

Laufen alle manuellen Checks zufrieden­ stellend, übernimmt ein Cronjob das De­ 4 Der Tripwire-Report zeigt recht ausführlich, wo Unstimmigkeiten auftreten. legieren der Integritätsprüfung. Dazu öff­ nen Sie mit crontab ‑e als Root die Cron- Tabelle und erweitern sie um die Zeile: ren Rechner herunterladen oder von ei­ nem nur lesbaren Medium beziehen. 00 5 * * * /usr/sbin/tripwire ‑‑cU heck ‑‑email‑report Fazit

Damit weiß das System, dass es täglich Tripwire macht seinem Namen alle Ehre. um 5:00 Uhr einen Check starten und Das einfache, aber wirkungsvolle Werk­ per Mail darüber berichten soll. zeug ist schnell eingerichtet und ver­ sieht seinen Dienst still und diskret. Das Sicherheitstipps HIDS wehrt zwar keine Angriffe ab, kann aber dazu beitragen, Unstimmigkeiten Tripwire richten Sie am besten auf einem zeitnah zu erkennen. Normalerweise ha­ frisch aufgesetzten System ein, da nur in ben Admins nur eine geringe Chance, dem Fall sichergestellt ist, dass alle Da­ von Angreifern eingeschmuggelte, kon­ teien noch im Originalzustand vorliegen. taminierte Dateien aufzuspüren. Tripwi­ Schlüssel, Policy-File und Konfigurati­ re serviert solche Kandidaten per E-Mail, onsdatei darf nur der Nutzer root lesen was den Aufwand für Suche und Entfer­ und schreiben, was folgendes Komman­ nung spürbar verringert. do sicherstellt: Regeln lassen sich auch nachträglich noch gut anpassen. Die Berichtsdateien # chmod 600 site.key $HOSTNAME‑locU fallen meist recht klein aus, sodass die al.key tw.* Gefahr einer langsam zulaufenden Fest­ platte kaum existiert. Erfolgten gewollte Auch auf die Verzeichnisse /etc/trip‑ Änderungen, etwa durch ein Update Weitere Infos und wire und /var/lib/tripwire/ darf nur oder geänderte Konfigurationsdateien, interessante Links root zugreifen (chmod 700 ...). aktualisieren Sie die Datenbank ohne Sofern irgend möglich, sollten Sie die großen Aufwand. (tle) n www.​­linux‑user.​­de/​­qr/​­31567 Tripwire-Datenbank besonders schüt­ zen, sodass ein Angreifer keine Chance hat, sie zu ändern. Bei einem Desktop- Listing 3 Rechner bietet sich dazu ein externes # twadmin ‑‑create‑cfgfile ‑‑cfgfile tw.cfg ‑‑site‑keyfile site.key Speichermedium an. Ein Server kann die twcfg.txt Datenbank vor jedem Test via SSH und # twadmin ‑‑create‑polfile ‑‑polfile tw.pol ‑‑cfgfile tw.cfg Public-Key-Verfahren von einem ande­ ‑‑site‑keyfile site.key twpol.txt

04.2014 www.linux-user.de 79 Vorschau auf 05/2014 Die nächste Ausgabe erscheint am 17.04.2014

Private Cloud aufsetzen und optimal nutzen

Nach der Datenhunger der Geheim- dienste immer deutlicher zutage tritt,

beginnt landauf, landab der Rückzug aus sxc.hu Violetagk, © den vernetzten Systemen. In erster Linie betrifft das die Dateien in der Cloud, also den weltumspannenden Online-Spei- Dateisystem ZFS Flyer-Design mit Scribus chern. Wir zeigen, wie Sie eine private Wolke in Hardware oder Software auf- Trotz der nicht ganz freien Lizenz ist ZFS Wer seine Info-Broschüren noch auf klas- setzen, um wichtige Daten vor dem un- häufig unter Linux im Einsatz. Es punktet sische Weise erstellen möchte, der hat befugten Zugriff zu schützen. Dabei ha- mit ausgefeilten Funktionen und einer mit dem freien DTP-Programm Scribus ben wir maßgeschneiderte Lösungen im gigantischen theoretischen Speicher­ das richtige Werkzeug an der Hand. Wir Angebot, die vom Einzelplatz bis zum kapazität. Beim Setup auf dem Heim-PC führen Sie Schritt für Schritt von der ers-

kleinen Netzwerk alles bedienen. gibt es aber einiges zu beachten. ten Linie bis zum druckreifen PDF. Die Redaktion behält sich vor, zu ändern oder zu streichen. Themen

Heft als DVD-Edition Heft als No-Media-Edition Community-Edition-PDF • 108 Seiten Tests und Workshops zu • Preisgünstige Heft­variante ohne • Über 30 Seiten ausgewählte Artikel und Soft- und Hardware Datenträger für Leser mit Breitband- Inhaltsverzeichnis als PDF-Datei • Multiboot-DVD-10 mit Top-Distributio- Internet-Anschluss • Unter CC-Lizenz: Frei kopieren und nen sowie der Software zu den Arti- • Artikelumfang identisch mit der DVD- beliebig weiter verteilen keln, DVD-5 mit exklusiver Linux­User- Edition: 108 Seiten Tests und Work- • Jeden Monat kostenlos per E-Mail oder Edition einer aktuellen Distribution shops zu aktueller Soft- und Hardware zum Download

Für nur 8,50 Euro (DVD-Edition) bzw. 5 Euro Jederzeit gratis (No-Media-Edition) am Kiosk oder bestellen unter: herunterladen unter:

http://www.linux-user.de/bestellen http://www.linux-user.de/CE

96 www.linux-user.de 03.2014 Service Impressum

Impressum

LinuxUser ist eine monatlich erscheinende Publikation der Pressevertrieb MZV Moderner Zeitschriften Vertrieb GmbH & Co. KG Linux New Media, eines Geschäftsbereichs der Medialinx AG. Ohmstraße 1 85716 Unterschleißheim Tel.: (089) 3 19 06-0 Anschrift Putzbrunner Str. 71 Fax: (089) 3 19 06-113 81739 München Abonnentenservice Gudrun Blanz (Teamleitung) Telefon: (089) 99 34 11-0 D / A / CH Postfach 1165 Fax: (089) 99 34 11-99 74001 Heilbronn Telefon: +49 (0)7131 27 07-274 Homepage http://www.linux-user.de Fax: +49 (0)7131 27 07 -78-601 Artikel und Foren http://www.linux-community.de Abo/Nachbestellung http://www.linux-user.de/bestellen/ Abo-Preise LinuxUser Deutschland Österreich Schweiz Ausland EU No-Media-Ausgabe E-Mail (Leserbriefe) € 5,95 € 6,70 Sfr 11,90 (siehe Titel) (ohne Datenträger 1) E-Mail (Datenträger) DVD-Ausgabe € 8,50 € 9,35 Sfr 17,00 (siehe Titel) Abo-Service (mit 2 Datenträgern) Jahres-DVD Pressemitteilungen € 14,95 € 14,95 Sfr 18,90 € 14,95 (Einzelpreis) Jahres-DVD € 6,70 € 6,70 Sfr 8,50 € 6,70 Chefredakteur Jörg Luther (jlu, v. i. S. d. P.) (zum Abo 2) Mini-Abo € 3,00 € 3,00 Sfr 4,50 € 3,00 Stellv. Chefredakteur Andreas Bohle (agr) (3 Ausgaben) Jahres-Abo € 60,60 € 68,30 Sfr 99,90 € 81,00 (No-Media-Ausgabe) Redaktion Thomas Leichtenstern (tle) Jahres-Abo € 86,70 € 95,00 Sfr 142,80 € 99,00 (DVD-Ausgabe) Linux-Community Andreas Bohle (agr) Preise Digital Deutschland Österreich Schweiz Ausland EU Heft-PDF € 5,95 € 5,95 Sfr 7,70 € 5,95 (Einzelausgabe) Datenträger Thomas Leichtenstern (tle) Digi-Sub € 60,60 € 60,60 Sfr 78,70 € 60,60 (12 Ausgaben) Ständige Mitarbeiter Erik Bärwaldt, Falko Benthin, Mario Blättermann, Digi-Sub 2 € 12,00 € 12,00 Sfr 12,00 € 12,00 Florian Effenberger, Karsten Günther, Frank Hofmann, (zum Abo ) HTML-Archiv € 12,00 € 12,00 Sfr 12,00 € 12,00 Peter Kreußel, Hartmut Noack, Tim Schürmann, (zum Abo 2) Dr. Karl Sarnow, Vincze-Áron Szabó, Ferdinand Thommes, Preise Kombi-Abos Deutschland Österreich Schweiz Ausland EU Uwe Vollbracht, Harald Zisler Mega-Kombi-Abo € 143,40 € 163,90 Sfr 199,90 € 173,90 (LU plus LM 3 ) Grafik Elgin Grabe (Titel und Layout) Bildnachweis: Stock.xchng, 123rf.com, Fotolia.de u. a. (1) Die No-Media-Ausgabe erhalten Sie ausschließlich in unserem Webshop unter Sprachlektorat Astrid Hillmer-Bruer http://www.medialinx-shop.de, die Auslieferung erfolgt versandkostenfrei. (2) Ausschließlich erhältlich in Verbindung mit einem Jahresabonnement der Produktion Christian Ullrich Print- oder Digital-Ausgabe von LinuxUser. (3) Das Mega-Kombi-Abo umfasst das LinuxUser-Abonnement (DVD-Ausgabe) Druck Vogel Druck und Medienservice GmbH & Co. KG plus das Linux-Magazin-Abonnement inklusive DELUG-Mitgliedschaft 97204 Höchberg (monatliche DELUG-DVD) sowie die Jahres-DVDs beider Magazine. Informationen zu anderen Abo-Formen und weiteren Produkten der Medialinx AG Geschäftsleitung Brian Osborn (Vorstand, finden Sie in unserem Webshop unter http://www.medialinx-shop.de. verantwortlich für den Anzeigenteil) Gegen Vorlage eines gültigen Schülerausweises oder einer aktuellen Immatrikulati- onsbescheinigung erhalten Schüler und Studenten eine Ermäßigung von 20 Prozent Hermann Plank (Vorstand) auf alle Abo-Preise. Der Nachweis ist jeweils bei Verlängerung neu zu erbringen. Bitte teilen Sie Adressänderungen unserem Abo-Service () ­umgehend mit, da Nachsendeaufträge bei der Post nicht für Zeitschriften gelten. Linux ist ein eingetragenes Warenzeichen von und wird von uns mit Mediaberatung seiner freundlichen Genehmigung verwendet. »Unix« wird als Sammelbegriff für die D / A / CH Petra Jaser Gruppe der Unix-ähnlichen Betriebssysteme (wie beispielsweise HP/UX, FreeBSD, Solaris, u.a.) verwendet, nicht als Bezeichnung für das Trademark »UNIX« der Open Tel.: +49 (0)89 / 99 34 11 24 Group. Der Linux-Pinguin wurde von Larry Ewing mit dem Pixelgrafikprogramm Fax: +49 (0)89 / 99 34 11 99 »The GIMP« erstellt. USA / Kanada Ann Jesse Eine Haftung für die Richtigkeit von Veröffentlichungen kann – trotz sorgfältiger Prü- fung durch die Redaktion – vom Verlag nicht übernommen werden. Mit der Einsen- Tel.: +1 785 841 88 34 dung von Manuskripten oder Leserbriefen gibt der Verfasser seine Einwilligung zur Veröffent­lich­ung in einer Publikation der Medialinx AG. Für unverlangt eingesandte Darrah Buren Manuskripte oder Beiträge übernehmen Redaktion und Verlag keinerlei Haftung. Autoreninformationen finden Sie unter http://www.linux-user.de/Autorenhinweise. Tel.: +1 785 856 3082 Die Redaktion behält sich vor, Einsendungen zu kürzen und zu überarbeiten. Das ex- Andere Länder Penny Wilby klusive Urheber- und Verwertungsrecht für angenommene Manuskripte­ liegt beim Verlag. Es darf kein Teil des Inhalts ohne schriftliche Genehmigung des Verlags in Tel.: +44 1787 21 11 00 irgendeiner Form vervielfältigt oder verbreitet werden. Es gilt die Anzeigenpreisliste vom 01.01. 2014. Copyright © 1999 - 2014 Medialinx AG ISSN: 1615-4444

94 www.linux-user.de 04.2014