© Audrius Merfeldas, 123RF.com

Klaus Knopper, seit letztem Jahr mit Professorentitel, stellt zur Cebit 2014 seine Knoppix 7.3 Medialinx Edition vor. Im Artikel gibt er gleich selbst Einblicke in Distributions-Interna und rückt die blitzgescheite Updatefunktion für USB-Sticks sowie das UEFI-Booten ins rechte Licht.

Seit über einem Jahrzehnt erscheinen auf meine Initiative hin unter dem Namen Knoppix (“Knoppers Unix System”) jährlich etwa zwei Zusammenstellungen von Linux-Software. Knoppix bootet von DVD oder USB-Flashdisk und läuft sofort fertig konfiguriert los – ohne auf einer Festplatte installiert zu sein. Die enthaltene Software eignet sich zum Arbeiten, Surfen im Internet, Spielen, Unterrichten, Lernen, Programmieren und Retten von Daten defekter Betriebssysteme.

Die pünktlich zur Cebit 2014 fertig gewordene Version 7.3.0 [1] basiert wie bei Knoppix üblich aus einem Mix von Debian Stable (Wheezy) und einigen Paketen (in erster Linie Grafiktreiber und Desktop-Programme) aus Testing und Unstable (Jessie). Um möglichst viel neue Hardware zur Mitarbeit zu bewegen, verwende ich den Linux-Kernel 3.13.0 mit Cloop und AU-FS sowie Xorg 7.7 Core 1.15.0.

Für Systeme mit mehr als 4 GByte RAM startet mit der Bootoption »knoppix64« alternativ ein 64-Bit-Kernel (Abbildung 1). Möglich werden so auch Systemreparaturen in 64-Bit-Umgebungen per Chroot. Hier eine sehr kurz gefasste Liste mit Highlights der neuen Version:

• Experimentell unterstützter UEFI-Boot (32 und 64 Bit) von USB-Sticks
• LXDE, der schlanke Knoppix-Standarddesktop mit dem Dateimanager Pcmanfm 1.1.2
• KDE 4.8.4 (Bootoption »knoppix desktop=kde« )
• Gnome 3.8.4 (Bootoption »knoppix desktop=gnome« )
• Einfacher Desktop-Export via VNC und RDP für Remote Desktop Viewing unter Linux und Windows (Abbildung 2)
• Smbmount-knoppix, das Such- und Mount-Utility für Samba-Netzlaufwerke
• Chromium 31.0.1650.63, Iceweasel 26.0 mit Adblock Plus 2.4.1 und Noscript 2.6.8.14, aktualisierter Textbrowser Elinks
• Libre Office 4.1.4 und Gimp 2.8.6
• Wine 1.5
• Virtualbox 4.3.2 und Qemu-kvm 1.7.0
• Mutt-Vorlagen zur Mailkonfiguration
• automatische Blattlageerkennung im Scanprogramm Adriane-ocr und Tastaturlernprogramm Karl im Adriane Audio Desktop
• Auf Wunsch der Linux-Magazin-Redaktion: Adobe Reader und Flashplayer-Plugin (Abbildung 3).

Die meisten anderen Programme tragen neue Versionsnummern, nur fallen die Änderungen nicht so spektakulär aus.

Enter« tippt, startet statt des 32-Bit- den 64-Bit-Kernel.” width=”300″ height=”225″ /> Abbildung 1: Wer auf dem Bootprompt »knoppix64« Enter« tippt, startet statt des 32-Bit- den 64-Bit-Kernel.

Abbildung 2: Im Support oder Lehrbetrieb hilfreich erweist sich Remote Desktop Viewing via VNC und RDP.

Abbildung 3: Der proprietäre Adobe Reader (rechts) gehört normalerweise nicht in Knoppix, Libre Office (links) dagegen schon.

Teils schwierig, …

Knoppix hält Schritt mit der fortlaufenden Entwicklung von GNU/Linux. Bibliotheken, Tools und Applikationen synchron zu halten, erweist sich immer wieder als ziemliche Herausforderung. Einige Änderungen, bei Debians Bootsystem und der Hardwareunterstützung per Udev beispielsweise, haben mir umfangreiche Recherchen bereitet. Ich musste herausfinden, was ich alles zu ändern habe, um mein System nach dem großen Update überhaupt wieder in Gang zu bekommen.

… und teils erstaunlich simpel

Zum Glück für mich hat sich das Design des Startvorgangs unter Knoppix, das den normalen Bootvorgang von Debian auch mit den zukünftig anstehenden Änderungen (Systemd/Upstart) auf den Aufruf eines einzigen Skripts reduziert, als eine große Erleichterung erwiesen: »knoppix-autoconfig« erledigt das Vorkonfigurieren des Systems in Gänze.

Lediglich die Kernelunterstützung für Devtmpfs musste ich zusätzlich manuell aktivieren, um die aktualisierte Udev-Hardware-Erkennung und das Einbinden von Wechselmedien wieder zum Funktionieren zu bewegen. Der Rest des Übergangs vom alten Knoppix-Setup zum Debian-Testing-Zweig (Pre-“Jessie”) lief erstaunlich reibungsarm ab.

Von Flashdisk läuft Knoppix besonders rund

Heutzutage installieren die meisten Anwender Knoppix eher auf einem USB-Stick (8 GByte) als es regelmäßig von DVD zu starten, zumal viele moderne Net- und Notebooks gar kein DVD-Laufwerk mehr besitzen. Noch von DVD gestartet, zeigt Knoppix 7.3 nun ein Icon für »flash-knoppix« (Abbildung 4), das Knoppix-nach-Flashdisk-Installationsprogramm, links oben auf dem Bildschirm an, da das Erzeugen eines bootbaren Knoppix-USB-Sticks wahrscheinlich in diesem Fall das erste ist, was man tun möchte (Abbildung 5).

Obwohl die DVD-Version durch eine Sortlist schon lese-optimiert ist – sie reduziert das häufige und sehr langsame Positionieren des Laser-Lesekopfs – beschleunigt Flashmemory den Startvorgang und das Arbeiten mit Knoppix um mindestens den Faktor fünf, sodass Startzeiten vom Laden des Kernels bis zum kompletten Desktop inklusive Compiz unter 15 Sekunden möglich sind, einigermaßen moderne Computer-Hardware und ein schneller USB-Stick vorausgesetzt.

Abbildung 4: Die meisten Anwender betreiben Knoppix von USB-Stick. Darum präsentiert der Desktop gleich das passende Icon.

Abbildung 5: Der Flash-Installer erlaubt es, einen großen USB-Stick so umzupartitionieren, dass er neben der FAT32- eine Linux-Partition anlegt.

Der USB-Stick ist neuerdings updatebar

Eines der am häufigsten nachgefragten neuen Features war die Aktualisierbarkeit: Flash-knoppix untersucht nun das Zielmedium auf eine alte Knoppix-Installation hin und bietet an, nur das komprimierte Dateisystem und den Kernel auszutauschen, statt alles komplett neu zu installieren.

Da Softwarepakete, die der Anwender selbst installiert hat, mit dem neuen System inkompatibel sein könnten, gibt es eine Option, um nur die persönlichen Daten und Einstellungen in »/home/knoppix« zu behalten – oder doch alles nachträglich Installierte zu behalten (Abbildung 6). Das ist was zwar meistens nicht empfehlenswert, spart aber manchmal Nacharbeit.

Damit das Update auf dem USB-Stick funktioniert, muss der Benutzer bei der Knoppix-Installation für die erste Partition mehr Platz einkalkulieren, damit spätere Updates auch draufpassen – 4,5 GByte sind ein guter Wert. Die beschreibbare Partition, die es seit Knoppix 7.1 gibt, kann sich dann über den Rest des Sticks ziehen (Abbildung 7). Optional lassen sich auf der Datenpartition sensible Benutzerdaten wie Passwörter stark verschlüsseln (Abbildung 8).

Abbildung 6: Beim Update kann der Anwender nur die persönlichen Daten und Einstellungen in »/home/knoppix« behalten oder alles nachträglich Installierte.

Abbildung 7: Die beschreibbare Partition darf sich über den Rest des Sticks ziehen.

Abbildung 8: Optional kann der Anwender seine sensiblen Daten stark verschlüsselt speichern.

EFI-Besonderheiten und hybrides Booten

Das Starten direkt von USB-Flashdisk ist schnell und komfortabel, da Knoppix getätigte Konfigurationsänderungen und angefallene Benutzerdateien automatisch auf die Datenpartition schreibt. Allerdings gibt es sehr alte und sehr neue Computer, die nicht von USB booten: Bei den einen unterstützt dies das Bios nicht, bei den anderen erschwert oder verbietet EFI das Starten von externen Datenträgern.

Grundsätzlich ist Knoppix auch im EFI-Modus von USB-Stick startfähig, da der Ordner »efi« auf der ersten Partition die dafür notwendigen Startdateien enthält. Ist auf dem Rechner jedoch die EFI-Firmware auf »Secure Boot« gesetzt, so ist der Start von anderen Betriebssystemen als den vom Hersteller signierten nicht erlaubt. In diesem Fall hilft die Bios-Einstellung »CSM« , die Abkürzung für “Compatibility Support Module”, sachgemäß ließe es sich eher als “Traditionell starten per Boot Record und Bootloader” übersetzen. Bei EFI-Computern sollte CSM stets vorhanden sein.

Für alle Fälle, bei denen von USB-Flashdisk zu starten nicht möglich ist, enthält Knoppix 7.3 im Ordner »KNOPPIX« das ISO-Image einer gerade mal 12 MByte großen Boot-Only-CD, die der Benutzer auf einen leeren Rohling brennen und von der er den Computer in Kombination mit einem Knoppix-7.3-USB-Stick hochfahren kann. Der Bootprozess beginnt auf der CD und wechselt nach kurzer Zeit auf den USB-Stick. Der Workaround funktioniert bei den meisten Problem-PCs sehr gut, speziell bei Macs mit eingeschränkter Möglichkeit, von externen Datenträgern zu starten, selbst per EFI.

Noscript sorgt für Browser-Sicherheit

Nicht erst seit Ed Snowdens verdienstvollen Enthüllungen und der damit einhergehenden breiten Sensibilisierung im Jahr 2013 besitzen Sicherheit und Schutz der Privatsphäre Priorität in Knoppix’ Architektur. Firefox, der in Debian und deswegen auch in Knoppix Iceweasel heißt, ist mit dem scharfgeschalteten Noscript-Plugin [2] ausgestattet, das bis auf wenige Ausnahmen bei jeder Webseite mit aktiven Inhalten oder die auf Plugins oder die Hardware zugreifen will, beim Anwender um Bestätigung oder Ablehnung nachsucht.

Noscript vermutet bei Javascript- oder Flash-Inhalten oder beim Start von Plugins, welche die Kamera, das Mikrofon oder andere Komponenten aktivieren, negative Auswirkungen auf die Sicherheit und Stabilität des Browsers und blendet am unteren Rand des Browsers, oberhalb des Statusbalkens, gelbe Benachrichtigungen ein. Der Benutzer soll dann entscheiden, ob er die Webseite permanent, nur für die Session oder gar nicht für aktive Inhalte freischaltet. Noscript macht zudem Banking und Bezahltransaktionen beim Einkaufen im Internet viel sicherer, da es viele Cross-Site-Scripting-Attacken erkennt und davor warnt.

Beliebt, aber eigentlich unnötig: Die Firewall

Erstaunlich viele Anwender fragen mich nach einer Firewall für Knoppix. Ich vermute, weil bei anderen Betriebssystemen Dienste von außen zu- und angreifbar sind, was ein Portfilter natürlich zu reglementieren versteht. Ein Standard-Knoppix ist allerdings so konfiguriert, dass es gar keine Dienste startet, die Ports nach draußen öffnen oder von dort erreichbar sind. (Außer, jemand startet Samba oder VNC, den Remote Desktop Server, aus dem Menü). Ein Portscanner, den man auf ein laufendes Knoppix-System losläss, sollte daher auch ohne Firewall keinerlei offene, angreifbare Ports feststellen.

Dennoch besitzt Knoppix einen einfach zu konfigurierenden Firewall, die aus dem »Knoppix« -Menü heraus startet und drei Komplexitätsstufen von »Easy« (Abbildung 9) bis »Experte« anbietet (Experten dürfen eigene IPtables-Regeln einstellen). Für die normale Linux-Nutzung als sicherer Internetclient ist die Firewall nicht erforderlich, ja kann sogar kontraproduktiv wirken, wenn es um die Nutzung von Streaming, beispielsweise Videokonferenzen, geht, abhängig von der dafür verwendeten Software.

Abbildung 9: In Knoppix gibt es eine Firewall, deren Konfiguration in Komplexitätsstufen eingeteilt ist.

Ohne Hintertürchen, aber eine offene Vordertür

Sämtliche Benutzerzugänge in Knoppix sind übrigens gesperrt – es gibt keine Hintertüren oder Standardpasswörter, nicht einmal für den unprivilegierten Benutzeraccount »knoppix« . Daher ist ein Login auch nicht möglich. Wer einen Screenlocker startet, sperrt sich praktisch aus, da es kein gültiges Passwort zum Entsperren gibt. Daher habe ich das bei vielen anderen Distributionen übliche Absperren des Bildschirms beim Schließen des Notebook-Displays oder bei Inaktivität abgeschaltet.

Der einzigen Möglichkeiten für einen Angreifer, in ein Knoppix-Sytem einzubrechen, sind, dass er sich entweder selbst davor setzt – der Benutzer »knoppix« kann per »sudo« Programme als Administrator ohne Passworteingabe starten –, oder indem er einen Remotezugang per SSH oder VNC-Server startet, sodass ihm ein Zugriff über das Netzwerk möglich wird.

Privatsphäre

Tor (The Onion Router, [3]) ist eine Privacy-Erweiterung, welche die Privatsphäre schützen soll. Benutzer werden oft unbemerkt durch manipulierte Webseiten oder Werbeanzeigen mit Tracing-Funktion ausspioniert. Der Betreiber erfährt durch die IP-Adresse des Besuchers nicht nur dessen Internetanbieter und den Standort, sondern kann durch Kombination mit anderen gesammelte Daten ein Profil über besuchte Webseiten, gekaufte Produkte, Tätigkeit in sozialen Netzwerken und so weiter anlegen. Berechtigterweise ist nicht jeder Internetnutzer mit dieser Art Transparenz seines Alltags im Netz einverstanden.

Über ein komplexes Netz von Gateways erschwert Tor IP-Adress-gestützte Sammelaktivitäten. Webseiten-Betreiber sehen nämlich nur die Adresse des Rechners, der die direkte Verbindung zur Webseite aufbaut. Bei Teilnahme am Tor-Netzwerk ist dies eine der vielen, zufälligen Exit Nodes, aber nicht die IP-Adresse des eigenen PC. Aber Vorsicht: Tor ist nicht für den sicheren Zugriff auf Dienste ausgelegt, die einen autorisierten und authentifizierenden Zugang erfordern, wie die Anmeldung bei Webdiensten, welche Passwörter oder andere persönliche Identifikationen abfragen. Durch die vielen Zwischenstationen in Tor-Netzwerk sind trotz der ausgefeilten Technik dahinter durchaus Manipulationen möglich. Fürs Onlinebanking würde ich empfehlen, den Tor-Proxy als Ausnahme zu deaktivieren, oder gar nicht erst einzustellen.

Tor lässt sich durch ein Startprogramm im Knoppix-Menü in Gang setzen. Danach muss der Benutzer einen Proxy im Webbrowser sener Wahl einrichten. Eine Ein-Klick-Aktivierung des Tor-Proxys ist in Chromium und Firefox bereits voreingestellt (Abbildung 10).

Abbildung 10: Chromium und Firefox haben die Tor-Proxys schon passend eingebunden.

PXE-Bootserver

Knoppix lässt sich als Bootserver für das LAN konfigurieren. Der eignet sich beispielsweise prima als Zentralrechner für den Lehrbetrieb. Andere PCs dürfen dann den Server zum Starten benutzen und lesend von der Ferne aus auf den Knoppix-Datenträger zugreifen. Programme führen die Clients hingegen normal lokal aus.

Um den Server einzurichten sucht der User im Knoppix-Menü den Eintrag »knoppix-terminalserver« . Die Konfiguration ist sehr einfach gehalten: Im Wesentlichen muss der Benutzer nur den gewünschten IP-Bereich für die Clients angeben und gegebenenfalls abweichende Bootoptionen bestätigen. So ist es möglich, ein ganzes Klassenzimmer mit nur einem einzigen USB-Stick oder der DVD mit Knoppix zu betreiben.

In Version 7.3 habe ich den Terminalserver etwas modifiziert, damit unabhängig vom auf dem Server selbst gestarteten Kernel stets ein 32-Bit-System für die Clients gebaut wird. (64-Bit-Hardware läuft damit natürlich ebenfalls.) Sinn der Modifikation ist es, dass die Clients grundsätzlich ohne zusätzliche Bootoptionen zur Auswahl des Kernels starten.

Bootoptionen als Notnagel

Normalerweise benötigt Knoppix keinerlei Bootoptionen, um die vorgefundene Hardware inklusive Grafikkarte zu erkennen und das System optimal zu konfigurieren. Mit einer zunehmenden Anzahl verschiedener Chipsätze und Kombinationen derselben erweist es aber manchmal doch als notwendig, das eine oder andere Feature oder eine einzelne Komponenten (vorübergehend) abzuschalten, um zum regulären Desktop durchzustarten.

Häufige Bootoptionen nennt die Boot-Hilfe, abrufbar mit [F2] und [F3], andere sind in der Textdatei »KNOPPIX/knoppix-cheatcodes.txt« aufgelistet. Klemmt beispielsweise der Desktop dort fest, wo eigentlich der 3-D-Windowmanager Compiz starten muss, sollten die Bootoptionen »knoppix nocomposite« oder »knoppix no3d« weiterhelfen. Die eine schaltet die Composite-Erweiterung des Grafiksubsystems ab, die andere verhindert den Compiz-Start.

Ich wünsche allen Magazin-Lesern mit der neuen Version viel Freude!

Der Autor

Knoppix-Erfinder Klaus Knopper mailto:knoppix@knopper.net, Jahrgang 1968 und Dipl.-Ing. der Elektrotechnik, arbeitet als selbstständiger IT-Berater und Entwickler, ist Professor an der FH Kaiserslautern (Softwaretechnik und Software-Engineering) und gibt Kurse zu freier Software. Angeregt durch Erfahrungen seiner blinden Ehefrau entwickelte Knopper die in Knoppix integrierte Lösung Adriane [4], die Blinden den Umgang mit Linux-PCs vereinfacht.