© Maxim Kazmin, 123RF
Prof. Klaus Knopper stellt kurz vor der Cebit 2015 seine Knoppix 7.5 Linux-Magazin Edition vor. Im Artikel gibt er gleich selbst Einblicke in Distributions-Interna, beschreibt die neu hinzugekommenen Features und erzählt von seinen Schwierigkeiten mit Systemd.
Seit über einem Jahrzehnt erscheinen auf meine Initiative hin unter dem Namen Knoppix (“Knoppers Unix System”) jährlich etwa zwei Zusammenstellungen von Linux-Software. Knoppix bootet von DVD oder USB-Flashdisk und läuft sofort fertig konfiguriert los – ohne auf einer Festplatte installiert zu sein (Abbildung 1). Die enthaltene Software eignet sich zum Arbeiten, Surfen im Internet, Spielen, Unterrichten, Lernen, Programmieren und Retten von Daten defekter Betriebssysteme.
Die pünktlich fertig gewordene Version 7.5.0 [1] basiert wie bei Knoppix üblich aus einem Mix von Debian Stable (Wheezy) und einigen Paketen (in erster Linie Grafiktreiber und Desktop-Programme) aus Testing und Unstable (Jessie). Um möglichst viel neue Hardware zur Mitarbeit zu bewegen, verwende ich den Linux-Kernel 3.18.6 sowie Xorg 7.7 Core 1.16.2 und die 3-D-Desktoperweiterung Compiz 0.9.12 (Abbildung 2).
Abbildung 1: Knoppix 7.5 bootet von DVD oder USB-Stick und passt sich selbstständig der vorgefundenen Hardware an.
Abbildung 2: Mit Compiz gerät das Umschalten zwischen den virtuellen Desktops zum 3-D-Ereignis.
Für Systeme mit mehr als 4 GByte RAM startet – automatisch erkannt oder mit der Bootoption »knoppix64« – ein 64-Bit-Kernel. Möglich werden so auch Systemreparaturen in 64-Bit-Umgebungen per Chroot. Hier eine sehr kurz gefasste Liste mit Highlights der neuen Version:
- Experimentell unterstützter UEFI-Boot (32 und 64 Bit) von USB-Sticks
- LXDE, der schlanke Knoppix-Standarddesktop mit dem Dateimanager Pcmanfm 1.2.3
- KDE 4.8 (Bootoption »knoppix desktop=kde« )
- Gnome 3.8 (Bootoption »knoppix desktop=gnome« )
- Einfacher Desktop-Export via VNC und RDP für Remote Desktop Viewing unter Linux und Windows
- Passend zum Heftschwerpunkt die Python-Clients für Open Stack (Cinder, Glance, Keystone, Nova, Quantum, Swift)
- Chromium 40.0.2214.91, Iceweasel 35.0.1 mit Adblock Plus 2.6.6 und Noscript 2.6.9.3
- Libre Office 4.3.2 (Abbildung 3), Gimp 2.8.14, Blender 2.72
- Wine 1.7 und Qemu-kvm 2.1
- Barrierefreie Youtube-Anbindung im Adriane Audio Desktop [2]
- Go-Compiler Golang 1.3.3 – passend zu einem Magazin-Artikel in der “Programmieren”-Rubrik.
Die meisten anderen Programme tragen neue Versionsnummern, nur fallen die Änderungen nicht so spektakulär aus.
Abbildung 3: Die Vielfalt der integrierten Anwendungen ist groß. Hier läuft im Vordergrund der Writer von Libre Office 4.3.2, dahinter liegen ein Spiel und der Browser Iceweasel 35.0.1.
Herausfordernd: Debians Systemd
Die Gründe für und wider Systemd haben in den letzten Monaten mehrere Communitys diskutiert. Das Debian-Team jedenfalls hat beschlossen, das Standard-Bootsystem umzustellen. Die enge Verzahnung vieler Systemdienste mit Systemd hat die Komplexität des Systems gegenüber früher stark erhöht und zugleich mir das Zusammenstellen von Knoppix recht schwer gemacht.
Mir ist es aber gelungen, zumindest das Knoppix-Bootsystem strukturell zu lassen wie es war. Es besteht im Wesentlichen aus nur einem Startskript, »knoppix-autoconfig« , für die Hardware-Erkennung und den Parallelstart wichtiger Systemkomponenten. Schlüssel ist ein eigenes Sysvinit-Paket. Den Systemd-eigenen System-V-Ersatz verwendet Knoppix nicht, obwohl die anderen Systemd-Komponenten der Dependencies wegen installiert sind. Daher ändert sich am Startvorgang von Knoppix gegenüber früher und anders als bei der “Jessie”-Debian-Basis nichts.
Läuft von Flashdisk runder
Heute installieren die meisten Anwender Knoppix eher auf einem USB-Stick (8 GByte) als es regelmäßig von DVD zu starten, zumal viele Net- und Notebooks gar kein DVD-Laufwerk mehr besitzen. Von DVD gestartet, zeigt Knoppix 7.5 ein Icon für »flash-knoppix« (Abbildung 4), das Knoppix-nach-Flashdisk-Installationsprogramm, links oben auf dem Bildschirm an, da das Erzeugen eines bootbaren Knoppix-USB-Sticks wahrscheinlich in diesem Fall das Erste ist, was man tun möchte (Abbildung 5).
Obwohl die DVD-Version durch eine Sortlist schon lese-optimiert ist – sie reduziert das häufige und sehr langsame Positionieren des Laser-Lesekopfs – beschleunigt Flashmemory den Startvorgang und das Arbeiten mit Knoppix um mindestens den Faktor fünf, sodass Startzeiten vom Laden des Kernels bis zum kompletten Desktop inklusive Compiz unter 15 Sekunden möglich sind, einigermaßen moderne Computer-Hardware und ein schneller USB-Stick vorausgesetzt.
Flash-knoppix sucht neuerdings auf dem Zielmedium nach einer alten Knoppix-Installation und bietet statt einer kompletten Neuinstallation an, nur das komprimierte Dateisystem und den Kernel auszutauschen. Da Softwarepakete, die der Anwender selbst installiert hat, mit dem neuen System inkompatibel sein könnten, gibt es eine Option, um nur die persönlichen Daten und Einstellungen in »/home/knoppix« zu behalten – oder aber alles nachträglich Installierte zu behalten. Das ist zwar selten empfehlenswert, spart aber manchmal Arbeit.
Damit das Update auf dem USB-Stick funktioniert, muss der Benutzer bei der Knoppix-Installation für die erste Partition mehr Platz einkalkulieren, damit später der Inhalt einer DVD draufpasst – 4,5 GByte sind ein guter Wert. Die beschreibbare Partition kann sich dann über den Rest des Sticks ziehen. Optional lassen sich auf der Datenpartition sensible Benutzerdaten wie Passwörter mit AES-256 symmetrisch verschlüsseln. Da Debian mittlerweile die Cryptoloop-Unterstützung aus Losetup entfernt hat, verwende ich in Knoppix 7.5 für die Datenverschlüsselung nun DM-Crypt per »cryptsetup« -Utility.
Abbildung 4: Viele Anwender betreiben Knoppix von USB-Stick. Der Desktop präsentiert das passende Icon.
Abbildung 5: Das Tool »flash-knoppix« sucht nach USB-Sticks – ab 8 GByte großen Exemplaren haben User Aussicht auf ein bootbares System.
EFI und hybrides Booten
Das Starten direkt von USB-Flashdisk ist schnell und komfortabel, da Knoppix getätigte Konfigurationsänderungen und angefallene Benutzerdateien automatisch auf die Datenpartition schreibt. Allerdings gibt es sehr alte und sehr neue Computer, die nicht von USB booten: Bei den einen unterstützt dies das Bios nicht, bei den anderen erschwert oder verbietet EFI das Starten von externen Datenträgern.
Grundsätzlich ist Knoppix auch im EFI-Modus von USB-Stick startfähig, da der Ordner »efi« auf der ersten Partition die dafür notwendigen Startdateien enthält. Ist auf dem Rechner jedoch die EFI-Firmware auf »Secure Boot« gesetzt, so ist der Start von anderen Betriebssystemen als den vom Hersteller signierten nicht erlaubt. In diesem Fall hilft die Bios-Einstellung »CSM« , die Abkürzung für “Compatibility Support Module”, sachgemäß ließe es sich eher als “Traditionell starten per Boot Record und Bootloader” übersetzen. Bei EFI-Computern sollte CSM stets vorhanden sein.
Für alle Fälle, bei denen von USB-Flashdisk zu starten nicht möglich ist, enthält Knoppix 7.5 im Ordner »KNOPPIX« das ISO-Image einer gerade mal 12 MByte großen Boot-Only-CD, die der Benutzer auf einen leeren Rohling brennen und von der er den Computer in Kombination mit einem Knoppix-7.5-USB-Stick hochfahren kann. Der Bootprozess beginnt auf der CD und wechselt nach kurzer Zeit auf den USB-Stick. Der Workaround funktioniert bei den meisten Problem-PCs sehr gut, speziell bei Macs mit eingeschränkter Möglichkeit, von externen Datenträgern zu starten, selbst per EFI.
Knoppix-Support
Linux-Magazin-Leser, die Probleme mit der DELUG-Knoppix-DVD haben, sind nicht auf sich allein gestellt: Hat der Datenträger offensichtlich einen Verpackungsschaden, was ab und an leider vorkommt, genügt eine Mail an mailto:info@linux-magazin.de mit einer kurzen Schilderung des Problems und Nennung der Postanschrift.
Bei technischen Problemen beantwortet Klaus Knopper netterweise Fragen zu Knoppix 7.5, entweder über das Kontaktformular http://knopper.net/kontakt/?kontakt=knoppix oder per E-Mail an mailto:knoppix@linux-magazin.de.
Sicherheit und Privatsphäre
Sicherheit und Schutz der Privatsphäre besitzen Top-Priorität in Knoppix’ Architektur. Sämtliche Benutzerzugänge in Knoppix sind gesperrt – es gibt keine Hintertüren oder Standardpasswörter, nicht mal für den unprivilegierten Benutzer »knoppix« . Daher ist ein Login auch nicht möglich. Wer einen Screenlocker startet, sperrt sich praktisch aus, da es kein gültiges Passwort zum Entsperren gibt. Daher habe ich das Absperren des Bildschirms beim Schließen des Notebook-Displays oder bei Inaktivität abgeschaltet.
Firefox, der in Debian und deswegen auch in Knoppix Iceweasel heißt, ist mit dem scharfgeschalteten Noscript-Plugin [3] ausgestattet, das bis auf wenige Ausnahmen bei jeder Webseite mit aktiven Inhalten oder solchen, die auf Plugins oder die Hardware zugreifen wollen, beim Anwender um Bestätigung oder Ablehnung nachsucht.
Noscript vermutet bei Javascript- oder Flash-Inhalten oder beim Start von Plugins, welche die Kamera, das Mikrofon oder andere Komponenten aktivieren, negative Auswirkungen auf die Sicherheit und Stabilität des Browsers und blendet am unteren Rand des Browsers, oberhalb des Statusbalkens, gelbe Benachrichtigungen ein. Der Benutzer soll dann entscheiden, ob er die Webseite permanent, nur für die Session oder gar nicht für aktive Inhalte freischaltet. Noscript macht zudem Banking und Bezahltransaktionen beim Einkaufen im Internet sicherer, da es viele Cross-Site-Scripting-Attacken erkennt und davor warnt.
Benutzer werden oft unbemerkt durch manipulierte Webseiten oder Werbeanzeigen mit Tracing-Funktion ausspioniert. Der Betreiber sammelt durch die IP-Adressen der Besucher in Kombination mit anderen Daten Kundenprofile. Berechtigterweise ist nicht jeder Internetnutzer mit dieser Art Transparenz seines Alltags im Netz einverstanden.
Tor (The Onion Router, [4]) ist eine Privacy-Erweiterung, welche über ein komplexes Netz von Gateways IP-Adress-gestützte Sammelaktivitäten erschwert. Webseiten-Betreiber sehen nämlich nur die Adresse des Rechners, der die direkte Verbindung zur Webseite aufbaut. Tor lässt sich durch ein Startprogramm im Knoppix-Menü in Gang setzen (Abbildung 6). Danach muss der Benutzer einen Proxy im Webbrowser seiner Wahl einrichten. Eine Ein-Klick-Aktivierung des Tor-Proxys ist in Chromium und Firefox bereits voreingestellt.
Um Knoppix auch als Virenscanner für Windows-Malware einsetzen zu können, habe ich im Knoppix-Startmenü diesmal ein Starter für den Clamav-Scanner integriert, der ganz selbstverständlich als erste Aktion ein Update der Schadsoftware-Datenbank übers Netzwerk durchführt.
Abbildung 6: Der IP-verschleiernde Zugang zu Tor präsentiert sich als Frontend Vidalia.
TCP Stealth
Knoppix ist als Live-System eine praktische Plattform für Tests neuer und experimenteller Features. Eins davon, was anlässlich eines Linux-Magazin-Artikels in dieser Ausgabe in Knoppix 7.5 gelangt ist, ist TCP Stealth. Das in einem IETF-Draft beschriebene Verfahren dient der Autorisation beim Verbindungsaufbau, mitgeschickt im ersten SYN-Paket, also bevor die eigentliche Datenübertragung zwischen Client und Server stattfindet.
Die Authorisation erfolgt mit einer relativ schwachen Schlüssellänge und eignet sich daher nicht als Ersatz einer Challenge-Response-Authentfikation mit starker Verschlüsselung. Dennoch erschwert sie doch das Scannen von offenene Ports erheblich, da Linux Pakete ohne den korrekten Zugangsschlüssel abweist – der Portscanner sieht die auf den Ports laufenden Dienste nicht.
Um Linux mit TCP Stealth auszurüsten, ist der Knock-Kernelpatch [5] erforderlich, der neue Socket-Optionen bereitstellt, die wiederum Server- und Clientprogrammen für den autorisierten Zugriff nutzen. Neben dem Kernelpatch ist in Knoppix 7.5 der SSH-Server und -Client mit TCP-Stealth-Unterstützung ausgerüstet. Zur Aktivierung war in »/etc/ssh/sshd_config« lediglich die Option »TCPStealthSecret« nebst einer Art Passwort für die Autorisierung von Clients nötig:
TCPStealthSecret "1234"
Nach Start des SSH-Servers (»ssshstart« in Knoppix) gelingt trotz SSH-Server auf Port 22 kein Connect – ein Portscanner läuft ins Leere (siehe Listing 1). Ist der Client nun so konfiguriert, dass er beim Verbindungsaufbau das Autorisierungstoken überträgt, weil die gleiche »TCPStealth« -Konfigurationsoption in »/etc/ssh/ssh_config« eingetragen ist, lässt sich der Port hingegen öffnen:
$ ssh localhost knoppix@localhost's password:
Hier klappt das Anmelden per SSH wieder. In Knoppix 7.5 habe ich das genau so realisert.
Listing 1
Der SSH-Server bleibt unsichtbar
$ sudo netstat -tulpen | grep ssh tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 9551989 25091/sshd$ nmap localhost -p 22 Starting Nmap 6.00 ( http://nmap.org ) at 2015-02-14 05:28 CET Nmap scan report for localhost (127.0.0.1) Host is up (0.000068s latency). rDNS record for 127.0.0.1: PORT STATE SERVICE 22/tcp closed ssh$ ssh localhost ssh: connect to host localhost port 22: Connection refused
PXE-Bootserver
Knoppix lässt sich als Bootserver für das LAN konfigurieren. Der eignet sich beispielsweise prima als Zentralrechner für den Lehrbetrieb. Andere PCs dürfen dann den Server zum Starten benutzen und lesend von der Ferne aus auf den Knoppix-Datenträger zugreifen. Programme führen die Clients hingegen normal lokal aus.
Um den Server einzurichten sucht der User im Knoppix-Menü den Eintrag »knoppix-terminalserver« . Die Konfiguration ist sehr einfach gehalten: Im Wesentlichen muss der Benutzer nur den gewünschten IP-Bereich für die Clients angeben (Abbildung 7) und gegebenenfalls abweichende Bootoptionen bestätigen. So ist es möglich, ein ganzes Klassenzimmer mit nur einem einzigen USB-Stick oder der DVD mit Knoppix zu betreiben.
Abbildung 7: Beim Terminalserver gibt der Benutzer den gewünschten IP-Bereich für die Clients an.
Bootoptionen als Notnagel
Normalerweise benötigt Knoppix keinerlei Bootoptionen, um die vorgefundene Hardware inklusive Grafikkarte zu erkennen und das System optimal zu konfigurieren. Mit einer zunehmenden Anzahl verschiedener Chipsätze und Kombinationen derselben erweist es aber manchmal doch als notwendig, das eine oder andere Feature oder eine einzelne Komponenten (vorübergehend) abzuschalten, um zum regulären Desktop durchzustarten.
Häufige Bootoptionen nennt die Boot-Hilfe, abrufbar mit [F2] und [F3], andere sind in der Textdatei »KNOPPIX/knoppix-cheatcodes.txt« aufgelistet. Klemmt beispielsweise der Desktop, wo eigentlich der 3-D-Windowmanager Compiz starten muss, sollten die Bootoptionen »knoppix nocomposite« oder »knoppix no3d« weiterhelfen (Abbildung 8). Die eine schaltet die Composite-Erweiterung des Grafiksubsystems ab, die andere verhindert den Compiz-Start.
F3«, erklärt unter Anderem, wie ein Knoppix-Benutzer das Grafiksubsystem beeinflussen kann.” width=”300″ height=”167″ />
Abbildung 8: Die Boot-Hilfe, hier abgerufen mitInfos
- Features von Knoppix 7.5: http://knopper.net/knoppix/knoppix750.html
- Audio Desktop Reference Implementation and Networking Environment: http://www.knopper.net/knoppix-adriane/
- Noscript: https://addons.mozilla.org/de/firefox/addon/noscript/
- Tor: https://www.torproject.org
- Knock: https://gnunet.org/knock
Der Autor
Knoppix-Erfinder Klaus Knopper mailto:knoppix@knopper.net, Jahrgang 1968 und Dipl.-Ing. der Elektrotechnik, arbeitet als selbstständiger IT-Berater und Entwickler, ist Professor an der FH Kaiserslautern (Softwaretechnik und Software-Engineering) und gibt Kurse zu freier Software. Angeregt durch Erfahrungen seiner blinden Ehefrau entwickelte Knopper die in Knoppix integrierte Lösung Adriane [2], die Blinden den Umgang mit Linux-PCs vereinfacht.
