Haben Sie Anregungen, Statements oder Kommentare? Dann schreiben Sie an [redaktion@linux-magazin.de]. Die Redaktion behält es sich vor, die Zuschriften und Leserbriefe zu kürzen. Alle Beiträge werden mit Namen veröffentlicht, sofern nicht ausdrücklich Anonymität gewünscht wird.

CeBIT-Guide

Nicht nur Linux-Magazin-Leser Martin Kurz hat gefragt, warum es in diesem Jahr keinen “Linux-Guide” für die CeBIT gegeben hat. Das Heft habe ihm beim Besuch der CeBIT 2001 sehr geholfen! Leider hatten wir im letzten Jahr fast keine Rückmeldungen auf unser Booklet, das sehr aufwändig in der Produktion war. Konsequenz: in diesem Jahr kein Guide!

Was lehrt uns das? Wenn solche Mails vor ein paar Monaten angekommen wären, hätten wir anders entschieden. So basisdemokratisch könn(t)en Verlage sein. ;-) (jk)

King Pin gesucht

11/99, S. 62: Fionn Behrens hat mal einen Artikel über das King Pin Game auf Linux geschrieben. Ich wollte wissen, ob es noch eine Bezugsquelle in Deutschland gibt, bei der ich dieses Spiel erwerben kann. Ich weiß, dass es indiziert wurde, aber Indizierung ist nicht gleich Verbot – oder täusche ich mich da?

Nermin Smajic, per E-Mail

Eine schnelle Recherche hat ergeben: [http://www.tucows.com/search] und dann nach King Pin in der Linux-Rubrik suchen. (jk)

Klein Delphi

12/01, S. 111: Ich habe eine Anmerkung zu dem Artikel “Klein Delphi”. Dort steht gleich auf der ersten Seite, dritte Spalte, Ende erster Absatz: “Die Idee der Signale stammt übrigens aus dem Hause des Qt-GUI-Toolkits.”

Egal wie ich diesen Satz auslege, in meinen Augen ist der falsch. Das Prinzip der Signale in der Rechnerwelt ist uralt. Signale kommen an vielen Stellen vor. Um Prozesse zum Abbruch oder Update zu bringen, sendet man ein Signal, bei RPC gibt es Signale und bei GUIs, und zwar weitaus länger, als es Trolltech gibt.

Bezogen auf ein GUI habe ich das erste Mal auf dem alten Amiga Signale benutzt, wobei diese damals schon gleiche Bedeutung hatten. Es gab sogar einen Signal-Handler, und der hieß auch genauso. Das Ganze gehörte zur Workbench des Amiga-Betriebssystems und ist somit eine Idee von Amiga, die aber wahrscheinlich von den gängigen X-Window-GUIs – Motif, Open Look oder so etwas – abgekupfert ist.

Prinzipiell wird doch das, was in dem Artikel mit Signalen gemeint ist, woanders Events oder Messages genannt, aber vom Prinzip her ist es dasselbe. Trolltech dürfte jedenfalls nicht Erfinder der Signale in der Welt der GUIs sein, und ansonsten haben schon die alten Indianer mit Signalen gearbeitet, auch wenn sie nur aus Schall und Rauch bestanden. ;-)

Enno Ostendorf, per E-Mail

Jein. Signale in der Form, wie sie Qt verwendet, sind meines Wissens (und dem des Autors ebenfalls) tatsächlich eine Idee, die von Trolltech stammt und die von dort aus ihren Weg auch in andere GUI-Toolkits fand (um etwa Callbacks zu ersetzen).

Genau formuliert müsste man vielleicht einen Namen wie “Qt-Signale” erfinden, um sie von Rauchzeichen und anderen Signalen abzugrenzen, aber so ist nun mal nicht der gängige Sprachgebrauch. Events gibt es in Qt übrigens auch, wenn wir schon mal dabei sind. (pju)

Rückantwort Enno Ostendorf: Okay. Mich stört einfach nur die Art, wie manche Firmen Allgemeinwissen vereinnahmen, normalerweise ein Vorgehen, das man nur von Microsoft kennt, und ich war empört, dies bei einer Linux-Firma zu beobachten. Leider geht aus dem Artikel nicht hervor, inwiefern sich die Idee der Qt-Signale von der normaler Signale und Events unterscheidet.

CAD-Programm unter Linux

02/02: Ich habe leider jetzt erst die CAD-Artikel in der Ausgabe 02/02 gelesen und muss sagen, die Artikel waren interessant. Allerdings habt Ihr eins der besten CAD-Programme im 2D-Bereich vergessen – und dies ist ME10. Es stammt von der Firma Co Create und gehört irgendwie zum HP-Konzern. Es gibt auch eine kostenlose Version. Ich arbeite damit bei uns in der Firma, leider nicht unter Linux, und wie schon erwähnt finde ich, es ist eines der besten.

Norbert Liebmann, per E-Mail

Danke für die Info, ME10 kommt mit auf die Liste, wenn wir mal wieder was zu dem Thema machen. (uwo)

Astaro

03/02, S. 36: Dem Artikel über unser Produkt Astaro Security Linux möchten wir folgende Kommentare und Ergänzungen hinzufügen:

• Eine Liste der unterstützten Hardware gibt es auf [http://docs.astaro.org/asl-hardware.txt].
• Reverse Path Filtering (»rp_filter« im »proc«-Filesystem) ist dann nicht aktiviert, wenn IPSec-Verbindungen über dieses Interface zugelassen werden sollen (dies ist eine Free-SWan-Einschränkung). Aus diesem Grund wird in Astaro Security Linux unabhängig von der Benutzerkonfiguration durch die Middleware ein eigener Regelsatz erzeugt (im Gegensatz zur Aussage in dem Artikel): »iptables -L SPOOF_ DROP -nv -t nat« listet ihn auf.
• Die vom Autor beschriebene Race-Condition in »psd-watch.pl« wurde im Up2Date 2.021 beseitigt.

Markus Henning, per E-Mail

Auf [http://www.astaro.org] gibt es keinen Link, keine Suche und in der FAQ gibt es keinen Link auf diese Seite.

Um auf den zweiten Punkt einzugehen: Wenn ich kein Free Swan konfiguriert habe, erwarte ich die Einstellung von » rp_filter« und » log_martians« . Falls Sie das nicht automatisch wollen, dann sollte das dringend mit der Web-Oberfläche konfigurierbar sein, denn es ist ein wichtiges Sicherheitsfeature.

Es freut mich zu hören, dass die Race-Condition mittlerweile beseitigt wurde. (Stephan Müller)

Sicherheit im Netz

03/02: Auch im Linux-Magazin wird ja immer wieder über die Sicherheit im Netz geschrieben. Ich fühle mich eigentlich sehr sicher, denn mein Internet-Zugang besteht aus einem Router (mit NAT). Wenn ich es richtig verstehe, kann prinzipiell niemand eine Verbindung von außen zu einem Rechner in meinem LAN herstellen. Lediglich Verbindungen aus dem LAN ins Internet sind möglich. Sicherheitsrisiken können also nur auf dem Weg vom LAN ins Internet bestehen.

Ich finde eine solche Lösung für Privatanwender wesentlich eleganter als eine Firewall. Zudem ist diese Lösung ganz unabhängig vom eingesetzten Betriebssystem, da die Verbindung über Ethernet (DNS im Router) hergestellt wird.

Rainer Lehrig, per E-Mail

Eine Firewall ist natürlich kein magisches “Ich bin sicher, weil ich eine Firewall habe”-Gerät. Sie ist eher eine Hilfe, mit der man an einer zentralen Stelle festlegt, welche Verbindungen zugelassen sind und welche nicht. Die wohl einfachste und universellste Form einer solchen Regel ist: Jede Verbindung nach außen zulassen, aber keine nach innen. Genau das hat NAT zur Folge. Wenn diese Regel ausreicht (weil keine Verbindung nach innen benötigt wird), sehe ich das durchaus als äquivalent.

Auch mit NAT (genauer: D-NAT, Destination-NAT) ist es möglich, Verbindungen nach innen zuzulassen. Für die gelten dann wieder die üblichen Risiken.

Bei einigen Protokollen (der Klassiker ist FTP) müssen sowohl eine Firewall als auch ein NAT-Gateway eine Verbindung analysieren und dann dynamisch zusätzliche Verbindungen zulassen, die unter Umständen von außen nach innen (aktives FTP) geöffnet werden. (FTP öffnet erst nur einen Kontrollkanal, für jede Datei-Übertragung aber zusätzlich einen Datenkanal.) Hier besteht also durchaus noch eine gewisse Gefahr.

Das erste Angriffsziel ist aber das NAT-Gateway. Hier muss man auf dem externen Interface schon sehr vorsichtig sein und nicht versehentlich Dienste laufen lassen. Das gilt auch für eine ausgewachsene Firewall. Nur die Sonderform der Personal Firewall läuft auf dem lokalen Rechner. (fjl)

Sendmail und LDAP

04/02, S. 40: In dem Artikel über Mail Transport Agents wird der Eindruck erweckt, dass Sendmail nicht in der Lage ist, auf LDAP-Verzeichnisse zuzugreifen. Wie im Artikel “Postverzeichnis”, Linux-Magazin 11/01 S. 65ff, beschrieben, ist Sendmail ab der Version 8.11.x durchaus in der Lage, auf LDAP-Verzeichnisse zuzugreifen.

Jochen Schmitt, per E-Mail

Verbessertes Calc

04/02, S. 90: Calc kann so natürlich nicht funktionieren wie in Listing 3 von Autor Frank Diercks beschrieben. Ich weiß nicht, wer oder was die Unzahl von “3D” in das abgedruckte Skript praktiziert hat, damit geht es jedenfalls nicht. Ohne funktioniert es natürlich wie erwartet.

Auch das Protokollieren in »/etc/ppp/ ip-up.local« und »ip-down.local« sollte wohl doch »echo -n “$…- ” >> /var/log/online-time« heißen, da sonst jeder vorherige Inhalt überschrieben würde. Ganz abgesehen davon, dass eine »ip-up.local« wohl SuSE-typisch ist. Bei Debian jedenfalls müssten es eigene Skripte in »/etc/ppp/ip-up.d« und »/etc/ppp/ip-down.d« sein. Andere Distributionen kenne ich nicht, es sollte aber in so einem Artikel zumindest darauf hingewiesen werden.

Rolf Bünning, per E-Mail