© feverpitched, 123RF

Klaus Knopper stellt kurz vor der Cebit 2016 seine Knoppix 7.7 Linux-Magazin Edition vor. Im Artikel gibt er Einblicke in Distributionsinterna, beschreibt die neuen Features und freut sich, in letzter Minute einen kapitalen Glibc-Bug vernichtet zu haben.

Seit über 15 Jahren erscheint etwa halbjährlich meine Zusammenstellung von Debian-GNU/Linux-Software unter dem Namen Knoppix (Knoppers Unix System). Es bootet von DVD, USB-Flashdisk oder übers Netzwerk und läuft sofort fertig konfiguriert los – ohne auf einer Festplatte installiert sein zu müssen. Das Software-Set eignet sich zum Arbeiten, Surfen im Internet, Spielen, Unterrichten, Lernen, Programmieren und Retten von Daten defekter Betriebssysteme.

Die Version 7.7.0 [1] habe ich im Auftrag des Linux-Magazins wie in den letzten Jahren für dessen Cebit-Ausgabe zusammengestellt. Sie mixt Debian Stable (Jessie) mit etlichen Paketen (in erster Linie neue Grafiktreiber und Desktop-Programme) aus Testing und Unstable (Stretch, Sid). Um möglichst viel aktuelle und neue Hardware zur Mitarbeit zu bewegen, verwende ich den aktuellen Linux-Kernel 4.4 sowie Xorg 7.7 Core 1.17.3 und als Aufsatz zur sehr flott startenden Desktopoberfläche LXDE die komfortable 3-D-Erweiterung Compiz 0.9.12.2 (Abbildung 1).

Abbildung 1: Mit Compiz gerät das Umschalten zwischen den virtuellen Desktops zum 3-D-Ereignis.

Eigentlich hatte ich das ISO-File für die neue Version schon in der zweiten Februarwoche fertig und die Magazin-Redaktion wollte es ins DVD-Presswerk schicken, als die schwerwiegende Glibc-Sicherheitslücke CVE-2015-7547 die Runde machte [2]. Glück im Unglück: Die Debian-Community reagierte sofort und stellte in kurzer Zeit Fixes bereit, sodass ich schnell eine 7.7-Version ohne diesen Bug zusammenstellen konnte.

Bootoptionen als Notnagel

Normalerweise benötigt Knoppix keinerlei Bootoptionen, um die vorgefundene Hardware inklusive Grafikkarte zu erkennen und das System optimal zu konfigurieren. Die zunehmende Anzahl verschiedener Chipsätze macht es aber manchmal doch notwendig, das eine oder andere Feature oder eine einzelne Komponente (vorübergehend) abzuschalten, um zum regulären Desktop durchzustarten. Die folgenden Tipps benutzen als Linux-Kernel »knoppix« für die bewährten 32 Bit, für die 64-Bit-Variante ist stattdessen »knoppix64« einzusetzen.

Häufige Bootoptionen nennt die Boot-Hilfe, abrufbar mit [F2] und [F3], andere sind in der Textdatei »KNOPPIX/knoppix-cheatcodes.txt« aufgelistet. Klemmt etwa der Desktop, wenn der 3-D-Windowmanager Compiz starten soll, helfen oft die Bootoptionen »knoppix nocomposite« oder »knoppix no3d« (Abbildung 2). Die eine schaltet die Composite-Erweiterung des Grafiksubsystems ab, die andere verhindert den Compiz-Start.

F3«, erklärt unter anderem, wie ein Knoppix-Benutzer das Grafiksubsystem beeinflussen kann.” width=”300″ height=”150″ /> Abbildung 2: Die Boot-Hilfe, hier abgerufen mit F3«, erklärt unter anderem, wie ein Knoppix-Benutzer das Grafiksubsystem beeinflussen kann.

Umgekehrt kann der Benutzer für Grafikkarten, die eigentlich nicht schnell genug für Compiz sind und daher automatisch mit der flachen Windowmanager-Alternative Metacity starten, mit der Option »knoppix 3d« die 3-D-Oberfläche mit Software-Rendering erzwingen.

EFI und hybrides Booten

Das Starten direkt von USB-Flashdisk ist schnell und komfortabel, da Knoppix getätigte Konfigurationsänderungen und angefallene Benutzerdateien automatisch auf die Datenpartition schreibt. Allerdings gibt es sehr alte und sehr neue Computer, die nicht von USB booten: Bei den einen unterstützt dies das Bios nicht, bei den anderen erschwert oder verbietet EFI das Starten von externen Datenträgern.

Grundsätzlich ist Knoppix auch im EFI-Modus von USB-Stick startfähig, da der Ordner »efi« auf der ersten Partition die dafür notwendigen Startdateien enthält. Ist auf dem Rechner die EFI-Firmware auf »Secure Boot« gesetzt, sollte beim Start eine Abfrage des signierten Bootloaders erscheinen, die um Bestätigung und Speicherung der Prüfsumme bittet, bevor das System starten kann. Falls dieser Dialog ausbleibt und das System sich weigert von USB zu booten, hilft die Bios-Einstellung »CSM« (Compatibility Support Module), die sachlich richtiger “Traditionell starten per Bootrecord und Bootloader” heißen sollte. Alle EFI-Computer sollten CSM stets als Option bieten.

Für alle Fälle, bei denen von USB-Flashdisk zu starten nicht möglich ist, enthält Knoppix 7.7 im Ordner »KNOPPIX« das ISO-Image einer gerade mal 15 MByte großen Boot-only-CD, die der Benutzer auf einen leeren Rohling brennen und von der er den Computer in Kombination mit einem Knoppix-7.7-USB-Stick hochfahren kann. Der Bootprozess beginnt auf der CD und wechselt nach kurzer Zeit auf den USB-Stick. Der Workaround funktioniert bei den meisten Problem-PCs sehr gut, speziell bei Macs mit eingeschränkter Möglichkeit, von externen Datenträgern zu starten, selbst per EFI.

Herausfordernd: Debians Umstellung auf Systemd

Die Gründe für und wider Systemd werden seit gut einem Jahr in mehreren Communitys diskutiert. Das Debian-Team jedenfalls hat beschlossen, das Standard-Bootsystem unwiderruflich darauf umzustellen, und viele Programme lassen sich ohne Systemd auch gar nicht mehr installieren oder starten, beispielsweise der in der Taskleiste beheimatete Network Manager. Die enge Verzahnung vieler Systemdienste mit Systemd hat die Komplexität des Systems gegenüber früher stark erhöht und entsprechend vielen Distributions-Konstrukteuren wie mir das Zusammenstellen ihrer System recht schwer gemacht.

Mit ein paar Tricks ist es mir aber gelungen, zumindest das Knoppix-Bootsystem strukturell so zu lassen, wie es bisher am besten funktioniert – es besteht aus wenigen Bash-Skripten, welche die Systemdienste effizient sequenziell oder parallel starten. Den Kern meines Bootsystems bildet das Startskript »knoppix-autoconfig« , das die Hardware-Erkennung stemmt und den Parallelstart wichtiger Systemkomponenten veranlasst.

Der Schlüssel, um den Systemd-Bootmechanismus zu umgehen, ist ein eigenes Sys-V-Init-Paket mit künstlichen Abhängigkeiten. Den Systemd-eigenen System-V-Ersatz verwendet Knoppix nicht, die anderen Systemd-Komponenten habe ich aber zur Erfüllung der Dependencies installiert. Daher ändert sich am Startvorgang von Knoppix gegenüber früher nichts – anders als bei Debian Jessie.

Läuft von Flash noch flotter

Heute installieren die meisten Anwender Knoppix nach dem ersten Start auf einem USB-Stick (8 GByte), statt immer von DVD zu starten. Obwohl ich das ISO für die DVD-Version durch eine Sortlist schon lese-optimiert habe – das reduziert das sehr langsame Positionieren des Laser-Lesekopfs –, beschleunigt Flashmemory den Startvorgang und das Arbeiten mit Knoppix um mindestens den Faktor fünf, sodass Startzeiten vom Laden des Kernels bis zum kompletten Desktop inklusive Compiz unter 15 Sekunden möglich sind, einigermaßen moderne Computer-Hardware und einen schnellen USB-Stick vorausgesetzt.

Von DVD gestartet lädt ein Desktop-Icon links oben dazu ein, das Installprogramm »flash-knoppix« zu starten (Abbildung 3). Das Tool sucht auf dem Zielmedium nach einer alten Knoppix-Installation und bietet statt einer kompletten Neuinstallation an, nur das komprimierte Dateisystem und den Kernel auszutauschen, sofern der Platz reicht.

Abbildung 3: Geschafft – so aufgeräumt präsentiert sich der Knoppix-7.7-Desktop nach dem Booten.

Da Softwarepakete, die der Anwender selbst installiert hat, mit dem neuen System inkompatibel sein könnten, gibt es eine Option, um nur die persönlichen Daten und Einstellungen in »/home/knoppix« zu behalten – oder alles nachträglich Installierte zu konservieren. Das ist zwar selten empfehlenswert, spart aber manchmal Arbeit.

Damit das Update auf dem USB-Stick funktioniert, muss der Benutzer bei der Knoppix-Installation für die erste Partition mehr Platz einkalkulieren, damit später der Inhalt einer DVD draufpasst – 4,5 GByte sind ein guter Wert. Die beschreibbare Partition kann sich dann über den Rest des Sticks ziehen. Optional lassen sich auf der Datenpartition sensible Benutzerdaten wie Passwörter mit AES-256 symmetrisch verschlüsseln.

Lange Ausstattungsliste

Für Systeme mit mehr als 4 GByte RAM startet – automatisch erkannt oder mit der Bootoption »knoppix64« – ein 64-Bit-Kernel. Möglich werden so auch Systemreparaturen in 64-Bit-Umgebungen per »chroot« . Hier eine kurz gefasste Liste mit Highlights der neuen Version:

• Experimentell unterstützter UEFI-Boot (32 und 64 Bit) von USB-Sticks, optional und bei eingeschaltetem Secure Boot auch mit dem signierten Bootloader der Linux Foundation.
• Die Kernel-4.4-Patches BFQ-Scheduler, Cloop (Decompressing Loopback Device), AU-FS (Another Union File System), TCP Stealth.
• LXDE, der schlanke Knoppix-Standarddesktop mit dem Dateimanager Pcmanfm 1.2.3.
• KDE 5 (Bootoption »knoppix desktop =kde« ).
• Gnome 3 (Bootoption »knoppix desktop=gnome« ).
• Einfacher Desktop-Export via VNC und RDP für Remote Desktop Viewing unter Linux und Windows.
• Wine 1.9 zum Ausführen von Windows-Programmen, auch von solchen für Windows 10.
• Qemu-kvm 2.5 zur Paravirtualisierung.
• Python-Clients für Open Stack (Cinder, Glance, Keystone, Nova, Quantum, Swift).
• Chromium 48.0.2564.82, Firefox (Iceweasel) 34.0 mit Adblock Plus 2.6.10 und Noscript 2.9.0.2.
• Libre Office 5.0.5, Gimp 2.8.16.
• Blender 2.74, Freecad, Librecad, Open SCAD, Slic3r.
• Barrierefreie Youtube-Anbindung im Adriane Audio Desktop [3] mit Mpsyt.
• RSS-Reader Lieferea.
• Shutter, ein funktionsreiches Screenshot-Tool.
• Backup-Programm »/usr/local/areca/areca.sh« .
• Syncthing, ein P2P-Werkzeug für Backup und Synchronisation.

Trotz voll ausgelastetem Datenträgerdurchsatz, langsamen DVD-Laufwerken oder überlasteter Festplattenmechanik soll jedes Programm in Sekundenschnelle starten, als ob nichts sonst auf dem Rechner liefe – dieses Ziel hat sich das “Budget Fair Queing Scheduler”-Patch [4] gesetzt, das noch nicht zum offiziellen Kernel gehört. Tatsächlich arbeitet das Desktopsystem nach meinem Eindruck damit deutlich flüssiger und Programme verharren seltener in einer Warteschleife, wenn das System parallel größere Datenmengen liest. In Knoppix 7.7 ist das BFQ-Patch integriert und als Default-Scheduler automatisch aktiv.

Sicherheit und Privatsphäre

Sicherheit und Schutz der Privatsphäre besitzen Top-Priorität in Knoppix’ Architektur. Alle Benutzerzugänge in Knoppix sind gesperrt – es gibt keine Hintertüren oder Standardpasswörter, nicht mal für den unprivilegierten Benutzer »knoppix« . Daher ist ein Login auch nicht möglich. Wer einen Screenlocker startet, sperrt sich praktisch aus, da es kein gültiges Passwort zum Entsperren gibt. Daher habe ich das Absperren des Bildschirms beim Schließen des Notebook-Displays oder bei Inaktivität abgeschaltet.

Firefox, der in Debian und deswegen auch in Knoppix Iceweasel heißt, ist mit dem scharfgeschalteten Noscript-Plugin [5] ausgestattet, das bis auf wenige Ausnahmen bei jeder Webseite mit aktiven Inhalten oder solchen, die auf Plugins oder die Hardware zugreifen wollen, beim Anwender um Bestätigung oder Ablehnung nachsucht.

Noscript vermutet bei Javascript- oder Flash-Inhalten oder beim Start von Plugins, welche die Kamera, das Mikrofon oder andere Komponenten aktivieren, negative Auswirkungen auf die Sicherheit und Stabilität des Browsers und blendet am unteren Rand des Browsers (oberhalb des Statusbalkens) gelbe Benachrichtigungen ein. Der Benutzer soll dann entscheiden, ob er die Webseite permanent, nur für die Session oder gar nicht für aktive Inhalte freischaltet. Noscript macht zudem Banking und Bezahltransaktionen beim Einkaufen im Internet sicherer, da es viele Cross-Site-Scripting-Attacken erkennt und davor warnt.

Benutzer werden oft unbemerkt durch manipulierte Webseiten oder Werbeanzeigen mit Tracing-Funktion ausspioniert. Der Betreiber sammelt durch die IP-Adressen der Besucher in Kombination mit anderen Daten Kundenprofile. Berechtigterweise ist nicht jeder Internetnutzer mit dieser Art Transparenz seines Alltags im Netz einverstanden.

Die Privacy-Erweiterung Tor [6] lässt sich durch ein Startprogramm im Knoppix-Menü in Gang setzen. Danach muss der Benutzer einen Proxy im Webbrowser einrichten. Eine Ein-Klick-Aktivierung des Tor-Proxys ist in Chromium und Firefox bereits voreingestellt.

Um Knoppix auch als Virenscanner für Windows-Malware einsetzen zu können, habe ich im Knoppix-Startmenü diesmal einen Starter für den Clam-AV-Scanner integriert, der selbstverständlich als erste Aktion ein Update der Schadsoftware-Datenbank übers Netzwerk durchführt.

TCP Stealth

Knoppix ist als Live-System eine praktische Plattform für Tests neuer und experimenteller Features. Eins davon ist TCP Stealth. Das in einem IETF-Draft beschriebene Verfahren dient der Autorisierung beim Verbindungsaufbau, mitgeschickt im ersten SYN-Paket, also bevor die eigentliche Datenübertragung zwischen Client und Server stattfindet. Die Autorisierung erfolgt mit einer relativ schwachen Schlüssellänge und eignet sich daher nicht als Ersatz für Challenge-Response-Authentifikation mit starker Verschlüsselung. Dennoch erschwert sie das Scannen von offenen Ports bereits erheblich, da Linux Pakete ohne den korrekten Zugangsschlüssel abweist – der Portscanner sieht die auf den Ports laufenden Dienste nicht.

Um Linux mit TCP Stealth auszurüsten, ist das Knock-Kernelpatch [7] erforderlich, das neue Socket-Optionen bereitstellt, die wiederum Server- und Clientprogramme für den autorisierten Zugriff nutzen. Neben dem Kernelpatch sind in Knoppix 7.7 der SSH-Server und -Client mit TCP-Stealth-Unterstützung ausgerüstet. Zur Aktivierung war in »/etc/ssh/sshd_config« lediglich die Option »TCPStealthSecret« nebst einer Art Passwort für die Autorisierung von Clients nötig:

TCPStealthSecret "1234"

Auch nach dem SSH-Server-Start (»sshstart« ) gelingt auf Port 22 kein Connect:

$ ssh localhost
ssh: connect to host localhost port 22: Connection refused

Ist der Client dagegen so konfiguriert, dass er beim Verbindungsaufbau das Autorisierungs-Token überträgt, weil die gleiche »TCPStealth« -Konfigurationsoption in »/etc/ssh/ssh_config« eingetragen ist, lässt sich der Port öffnen:

$ ssh localhost
knoppix@localhost's password:

Hier klappt das Anmelden per SSH wieder – auszuprobieren in Knoppix 7.7.

3-D gewinnt an Kontur

3-D-Konstruktion und -Druck sind in und auch abseits der Maker-Szene hip. Neben den Tools für zeichnerisch begabte Personen – Blender, Librecad, Freecad – legt Knoppix mit dem Konstruktionsprogramm Open Scad, mit dem Anwender maßgenaue Prototypen ganz ohne Zeichnen anfertigen, sowie dem für schichtweisen Ausdruck erforderliche Slic3er jedem 3-D-Macher wertvolle Werkzeuge in die Hand (Abbildung 4). (jk)

Abbildung 4: Schicht im Printerschacht: Mit Open Scad gelingt es, 3-D-Modelle zu konstruieren (links). Das Programm Slic3r hilft beim Weiterverarbeiten zu Formaten, mit denen 3-D-Drucker klarkommen (rechts).

Der Autor

Knoppix-Erfinder Klaus Knopper mailto:knoppix@knopper.net, Jahrgang 1968 und Dipl.-Ing. der Elektrotechnik, arbeitet als selbstständiger IT-Berater und Entwickler, ist Professor an der Hochschule Kaiserslautern (Grundlagen der Informatik, Softwaretechnik und Software-Engineering) und gibt Kurse zu freier Software. Angeregt durch Erfahrungen seiner blinden Ehefrau entwickelte Knopper die in Knoppix integrierte Lösung Adriane [3], die Blinden den Umgang mit Linux-PCs vereinfacht.