Klaus Knopper lässt pünktlich zur CeBIT sein Knoppix 8.0 als LinuxUser-Edition zu Wasser. In dem folgenden Artikel gibt er Einblicke in Distributionsinterna und beschreibt die neuen Features.

Seit über 15 Jahren erscheint etwa halbjährlich meine Zusammenstellung von Debian-GNU/Linux-Software unter dem Namen Knoppix (“Knoppers Unix System”). Die Distribution bootet von DVD, USB-Flashdisk oder übers Netzwerk und läuft sofort fertig konfiguriert los, ohne auf einer Festplatte installiert sein zu müssen. Die sorgfältig zusammengestellte Software-Ausstattung eignet sich zum Arbeiten, zum Surfen im Internet, zum Spielen, Unterrichten, Lernen, Programmieren und nicht zuletzt zum Retten von Daten defekter Betriebssysteme.

Die Version 8.0.0 [1] habe ich im Auftrag von LinuxUser wie in den letzten Jahren zur CeBIT zusammengestellt. Sie mixt Debian Stable (“Jessie”) mit etlichen Paketen aus Testing (“Stretch”) und Unstable (“Sid”) – in erster Linie neue Grafiktreiber und Desktop-Programme. Um möglichst viel aktuelle und neue Hardware zur Mitarbeit zu bewegen, verwende ich den aktuellen Linux-Kernel 4.9 sowie X.org 7.7 (Core 1.19.1) und – als Aufsatz zur sehr flott startenden Desktop-Oberfläche LXDE – die komfortable 3D-Erweiterung Compiz 0.9.13.1 (Abbildung 1).

Abbildung 1: Mit Compiz gerät das Umschalten zwischen den virtuellen Desktops zum 3D-Ereignis.

Bootoptionen als Notnagel

Normalerweise benötigt Knoppix keinerlei Bootoptionen, um die vorgefundene Hardware inklusive Grafikkarte zu erkennen und das System optimal zu konfigurieren. Die zunehmende Anzahl verschiedener Chipsätze macht es aber manchmal doch notwendig, das eine oder andere Feature oder eine einzelne Komponente diagnostisch beziehungsweise vorübergehend abzuschalten, um zum regulären Desktop durchzustarten. Dazu tippen Sie hinter dem Bootprompt (Abbildung 2) knoppix (32 Bit) oder knoppix64 für den Kernel, gefolgt von den gewünschten Optionen.

Abbildung 2: Am Bootprompt lassen sich besondere Parameter eintragen.

Häufige Bootoptionen nennt gleich die Boot-Hilfe, die Sie bei Bedarf über [F2]+ oder [F3] abrufen. Weitere finden Sie in der Textdatei KNOPPIX/knoppix-cheatcodes.txt aufgelistet. Hängt etwa der Desktop, wenn der 3D-Windowmanager Compiz starten soll, dann helfen oft die Bootoptionen knoppix nocomposite oder knoppix no3d. Erstere schaltet die Composite-Erweiterung des Grafiksubsystems ab, Letztere unterbindet den Compiz-Start komplett.

Das Ganze funktioniert aber im Bedarfsfall genauso gut auch umgekehrt: Für Grafikkarten, die eigentlich nicht schnell genug für Compiz arbeiten und die daher automatisch mit der flachen Window-Manager-Alternative Metacity starten, erzwingen Sie mit der Option knoppix 3d die 3D-Oberfläche mitsamt Software-Rendering.

Flotter von Flash

Heute installieren die meisten Anwender Knoppix nach dem ersten Start auf einem USB-Stick, statt immer von DVD zu starten. Dazu benötigen Sie einen Flash-Stick mit wenigstens 8*GByte Kapazität.

Obwohl ich das ISO-Abbild durch eine Sortlist fürs DVD-Lesen optimiert habe, was die sehr langsamen Positioniervorgänge des Laser-Lesekopfs reduziert, beschleunigt Flash-Memory den Startvorgang und das Arbeiten mit Knoppix um mindestens den Faktor fünf. Das ermöglicht Startzeiten vom Laden des Kernels bis zum kompletten Desktop inklusive Compiz in unter 15 Sekunden, einigermaßen moderne Hardware und einen schnellen USB-Stick oder SD-Kartenleser vorausgesetzt.

Beim Start der Distribution von DVD lädt schon seit mehreren Knoppix-Versionen ein Desktop-Icon links oben dazu ein, das Install-Programm flash-knoppix zu starten. Dieses Werkzeug ersetzt die erste nicht beschreibbare Partition auf dem Zieldatenträger durch eine beschreibbare FAT32-Partition, die nebenbei auch gleich die für UEFI-Boot benötigten Dateien enthält und auf der sich die Bootkonfiguration wie bisher auch leicht modifizieren lässt.

Das voll beschreibbare System auf dem Ziel-USB-Stick besitzt zudem die Option, die künftig selbst angelegten persönlichen Daten zu verschlüsseln. Die seltenen Konstellationen, bei denen PCs nicht von USB starten wollen, diskutiert der Kasten “EFI und hybrides Booten”.

Knoppix 8 lässt sich nun, auf einer SD-Karte installiert, auch auf Computern starten, die einen MMC-Kartenleser besitzen, der nicht dem unter Linux üblichen Namensschema /dev/sd* folgt, sondern sich als /dev/mmcblk0 anbietet. Die Partitionen darauf heißen dann entsprechend mmcblk0p1 und so weiter. Aktivieren Sie auf der Knoppix-SD-Karte den Schreibschutz-Schalter, dann ignoriert Knoppix die beschreibbare Overlay-Partition. Auf diese Weise lässt sich gegebenenfalls der Start von DVD simulieren, bei dem nur eine RAM-Disk für Veränderungen bereitsteht.

Neu in Version 8 ist die Möglichkeit, eigene Änderungen am System direkt in ein neues komprimiertes Image zu remastern (Abbildung 3). Vorsicht: Auch private Daten wie Lesezeichen, gesetzte Cookies und Passwörter für Webseiten oder Netzzugänge gelangen beim Remastern mit ins neue Image – prinzipiell eben alles, was Sie gegenüber dem Original neu gespeichert und nicht wieder gelöscht haben. Erscheint Ihnen das zu heikel, dann verzichten Sie besser auf das Remaster-Feature. Knoppix ignoriert dann die beschreibbare Overlay-Partition und kopiert die neuen Daten nicht mit.

Abbildung 3: Neu in Knoppix: Beim Schreiben auf ein Flash-Device können Sie eigene Änderungen in ein neues komprimiertes Image remastern.

Hybrides USB-Image

In den letzten Jahren habe ich neue Major-Versionsnummern nur sehr zurückhaltend vergeben. Nun aber war es Zeit für einen Versionssprung – nicht nur, weil die aktuelle Debian-Version ebenfalls die Release-Nummer 8 trägt, sondern auch, weil eine gravierende Änderung am Dateisystemformat der Distribution fällig war.

Den Anlass dazu geben die vielen Computer, vor allem Notebooks, die kein DVD-Laufwerk besitzen. So wurde es Zeit, auf ein Image-Format umzusteigen, mit dem sich ein USB-Stick durch das 1:1-Kopieren des DVD-Image darauf bootfähig machen lässt. In den Vorgängerversionen von Knoppix war dies unmöglich.

Für Besitzer einer Knoppix-8.0-DVD rate ich im ersten Schritt als sinnvolles Unterfangen an, auf der Linux-Kommandozeile ein Image von der DVD zu ziehen (Listing 1, Zeile 1 oder kompakter Zeile 2). Anschließend dürfen Sie das Image auf ein Flash-Device kopieren etwa eine SD-Karte in einem MMC-Kartenleser (Zeile 3 oder kompakter Zeile 4). Unter Windows gelingt das ebenfalls, beispielsweise mit dem Open-Source-Programm Disk Imager [2].

$ dd if=/dev/sr0 of=Image.iso bs=1M
$ cp /dev/sr0 Image.iso
$ dd if=Image.iso of=/dev/mmcblk0 bs=1M
$ cp Image.iso /dev/mmcblk0

Ein ISO-Image, wie man es für das Brennen einer DVD verwendet, besitzt normalerweise weder eine Partitionstabelle noch einen Master Boot Record in den ersten Sektoren. Jedoch erlaubt es das ISO-9660-Format durchaus, Daten im ansonsten ungenutzten Teil des Dateisystems unterzubringen, auch eine Partitionstabelle und einen Bootrecord – und zwar genau dorthin, wo diese sich im Falle einer Festplatte oder eines USB-Sticks üblicherweise befinden. Das mache ich mir für Knoppix 8.0 zunutze, um im ISO ein Hybrid-Format aus einer bootfähigen Knoppix-Partition und einer Datenpartition zu schaffen. Das ähnelt weitgehend jener Konstellation, die flash-knoppix zusammenbaut.

Beim ersten Start von USB-Stick oder SD-Karte mit Hybrid-Image expandiert Knoppix die letzte, als Linux-Partition bereits im Image markierte Partition auf die Maximalgröße, erweitert das beschreibbare Dateisystem und benutzt es, um eigene Daten zu speichern. Ein manuelles Einstellen und ein Neustart, wie sie etwa beim SD-Karten-Image des Raspberry Pi anfallen, kann man sich dadurch sparen.

Einen Nachteil hat dieses Verfahren allerdings: Das ISO-9660-Dateisystem unterstützt durch seinen kompakten Aufbau keinerlei Schreiboperationen. Die erste Partition eines mit dem ISO-Image beschriebenen USB-Sticks bleibt also unveränderlich. Theoretisch hätte ich ins ISO-Image ein FAT32- oder ein Linux-Dateisystem platzieren können. Allerdings unterstützen viele Computer, die von DVD booten, kein anderes Dateisystem-Layout für das Starten von DVD.

Auch andere Betriebssysteme könnten Schwierigkeiten bekommen, ein Nicht-DVD-Dateisystem von einer DVD zu lesen. Andere mit Hybrid-Images arbeitende Distributionen verwenden den gleichen Kompromiss und verzichten auf eine beschreibbare Bootpartition zugunsten der Kompatibilität.

Unterm Strich bekommen Sie als Knoppix-8-Anwender die Wahl zwischen zwei Flash-Memory-Layouts: Die aus der DVD mit Dd erzeugte Hybrid-Version und die (funktional bessere, weil voll beschreibbare) Version, die flash-knoppix zusammenbaut (siehe Abbildung 4).

Abbildung 4: Links das DVD-Bootimage nach alter Art; mittig das mit Knoppix 8.0 eingeführte Hybrid-Verfahren; rechts die Variante, die flash-knoppix produziert.

Die Antwort auf Systemd

Das Für und Wider von Systemd wurde in der Community bereits hinlänglich diskutiert. Das Debian-Team jedenfalls hat mit “Jessie” sein Standard-Bootsystem unwiderruflich darauf umgestellt. Viele Programme lassen sich ohne Systemd gar nicht mehr installieren oder starten, auch der in der Taskleiste beheimatete und nicht ohne Weiteres ersetzbare Network Manager.

Die enge Verzahnung vieler Systemdienste mit Systemd hat die Komplexität des Systems gegenüber früher bedauerlicherweise stark erhöht, was vielen Distributionskonstrukteuren wie mir das Zusammenstellen ihrer Systeme im gleichen Maße schwerer macht.

Mit ein paar Tricks ist es mir bislang gelungen, die Komplettumstellung auf Systemd zu umgehen: So laufen die Systemd-eigenen Module zwar in Knoppix ständig mit (wie Udev) oder starten bei Bedarf (Session-Manager systemd-logind). Aber ich lasse sie nur von solchen Programmen nutzen, die ohne Systemd aufgeschmissen wären, wie etwa vom bereits erwähnten Network Manager. Der Startvorgang von Knoppix läuft nach wie vor per SysVinit mit wenigen Bash-Skripten, die dann die Systemdienste effizient sequenziell oder parallel starten.

Das Startskript knoppix-autoconfig bleibt das Rückgrat meines Bootsystems, das die Erkennung der Hardware stemmt und den Parallelstart wichtiger Systemkomponenten veranlasst. Daher ändert sich am Start von Knoppix gegenüber früher nichts. Möchten Sie beim Hochfahren eigene Systemdienste starten, dann tragen Sie diese in die Datei /etc/rc.local ein – sie enthält bereits einige entsprechende Beispiele.

Lange Ausstattungsliste

Für Systeme mit 64-Bit-CPUs startet – entweder über die automatische Erkennung oder über die Angabe der Bootoption knoppix64 – ein 64-Bit-Kernel. Das ermöglicht unter anderem auch Systemreparaturen in 64-Bit-Umgebungen per Chroot. Zu den weiteren wichtigen Highlights der neuen Version zählen:

• das Hybrid-DVD/Flash-Layout, das nach der 1:1-Kopie die Overlay-Partition automatisch aktiviert;
• eine Remaster-Option für das Flashen personalisierter USB-Sticks mit komprimiertem Overlay-Image;
• der Kernel 4.9.6 mit Patches: BFQ-Scheduler (Low Latency), Cloop (Decompressing Loopback Device), AU-FS (Another Union File System), TCP Stealth, Broadcom-STA-Wifi-Treiber;
• LXDE, der schlanke Knoppix-Standarddesktop, mit dem Dateimanager Pcmanfm 1.2.3.
• Gnome 3 (Bootoption knoppix desktop=gnome);
• KDE Plasma 5 (knoppix desktop=kde);
• ein einfacher Desktop-Export via VNC und RDP;
• die barrierefreie Youtube-Anbindung im Adriane Audio Desktop [3] mit Mpsyt;
• Wine 2.0 zum Ausführen von Windows-Programmen, auch von solchen für Windows 10;
• Qemu-kvm 2.8 für die Paravirtualisierung;
• eine Möglichkeit zur einfachen Installation des Tor-Browsers;
• Chromium 56.0.2924.76 sowie Firefox 52.0 mit Adblock Plus und NoScript;
• LibreOffice 5.3 und Gimp 2.8.16;
• Blender 2.78, FreeCAD, OpenSCAD für 3D-Prototyping, Slic3r für das schichtweise 3D-Drucken;
• sowie das funktionsreiche Screenshot-Tool Shutter.

Trotz voll ausgelastetem Datenträger, langsamen DVD-Laufwerken oder überlasteter Festplattenmechanik sollte jedes Programm in Sekundenschnelle starten, als ob nichts sonst auf dem Rechner liefe – dieses Ziel hat sich zumindest der eingearbeitete Patch “Budget Fair Queing Scheduler” [4] gesetzt, der noch nicht zum offiziellen Kernel gehört.

Tatsächlich arbeitet das Desktop-System nach meinem Eindruck damit deutlich flüssiger: Programme verharren seltener in einer Warteschleife, wenn das System parallel größere Datenmengen liest. In Knoppix 8.0 ist der BFQ-Patch integriert und als Default-Scheduler automatisch aktiv.

Rootlos und ungeskriptet

Sicherheit und Schutz der Privatsphäre genießen in der Architektur von Knoppix Top-Priorität. Alle Benutzerzugänge in Knoppix sind gesperrt, es gibt keine Hintertüren oder Standardpasswörter, nicht einmal für den unprivilegierten Benutzer knoppix. Daher gelingt auch kein Login. Wer einen Screenlocker startet, sperrt sich praktisch aus, da es kein gültiges Passwort zum Entsperren gibt. Aus diesem Grund habe ich das Absperren des Bildschirms beim Schließen des Notebook-Displays oder bei Inaktivität abgeschaltet.

Firefox bringt das scharf geschaltete NoScript-Plugin [5] mit, das bis auf wenige Ausnahmen bei jeder Webseite mit aktiven Inhalten oder solchen, die auf Plugins oder die Hardware zugreifen wollen, beim Anwender um Bestätigung oder Ablehnung nachsucht. NoScript vermutet bei Javascript- oder Flash-Inhalten sowie beim Start von Plugins, die das Mikrofon, die Kamera oder andere Komponenten aktivieren, negative Auswirkungen auf die Sicherheit und Stabilität des Browsers und blendet am unteren Rand des Browsers (oberhalb des Statusbalkens) gelbe Benachrichtigungen ein.

Es liegt dann an Ihnen, zu entscheiden, ob Sie die Webseite permanent, nur für die Session oder gar nicht für aktive Inhalte freischalten. NoScript macht zudem Banking und Bezahltransaktionen beim Einkaufen im Internet sicherer, da es viele Cross-Site-Scripting-Attacken erkennt und davor warnt.

Ausgeflasht

Das proprietäre Flash-Plugin für den Webbrowser blickt auf eine lange Geschichte selbst verursachter Sicherheitswarnungen zurück. Viele Anwender kennen es zudem als unersättlichen Ressourcenfresser. Zum Glück gibt es nicht mehr viele Webseiten, die zwingend Flash benötigen – selbst Youtube kommt ohne aus. Deswegen habe ich der Redaktion mit Erfolg vorgeschlagen, das Plugin in Knoppix 8.0 gar nicht erst zu installieren.

Falls Sie es aus irgendeinem Grund dennoch benötigen, können Sie es aber über den Knoppix-Menüpunkt Zusätzliche Software installieren aus Debian nachinstallieren (Abbildung 5). Zu Redaktionsschluss lief das Nachrüsten allerdings ins Leere, da das Paket flashplugin-nonfree im Debian-Repository einen Fehler produzierte. Es steht zu hoffen, dass das Debian-Team den Bug per Update in Kürze erlegt.

Abbildung 5: Das Install-Extras-Utility erlaubt es, häufig nachgefragte und aus verschiedenen Gründen nicht standardmäßig installierte Softwarepakete komfortabel nachzuinstallieren oder zu aktualisieren.

Tor zur besseren Welt

Benutzer werden oft unbemerkt durch manipulierte Webseiten oder Werbeanzeigen mit Tracing-Funktion ausspioniert. Der Betreiber sammelt durch die IP-Adressen der Besucher in Kombination mit anderen Daten Kundenprofile. Berechtigterweise ist nicht jeder Internetnutzer mit dieser Art Transparenz seines Alltags im Netz einverstanden.

Die Privacy-Erweiterung Tor [6] lässt sich durch ein Startprogramm im Knoppix-Menü in Gang setzen. Danach müssen Sie einen Proxy im Webbrowser einrichten. Eine Ein-Klick-Aktivierung des Tor-Proxys habe ich in Chromium und Firefox aber schon voreingestellt. Abseits davon lässt sich direkt über das Startprogramm auch ein spezieller Tor-Browser installieren (Abbildung 6). Die Tor-Erfinder empfehlen, ihn aufgrund der geringeren Gefahr durch deanonymisierende Plugins auch zu benutzen.

Um Knoppix auch als Virenscanner für Windows-Malware einsetzen zu können, habe ich im Knoppix-Startmenü diesmal einen Starter für den ClamAV-Scanner integriert, der selbstverständlich als erste Aktion ein Update der Schadsoftware-Datenbank übers Netzwerk vornimmt.

Abbildung 6: Wem der Browser des Tor-Projekts sicherer erscheint, als Chromium oder Firefox mit Tor zu verwenden, der installiert den Spezial-Browser nach.

Schutz vor Portscans

Das in einem IETF-Draft beschriebene Verfahren TCP Stealth dient der Autorisierung beim Verbindungsaufbau, mitgeschickt im ersten SYN-Paket, also bevor die eigentliche Datenübertragung zwischen Client und Server stattfindet. Die Autorisierung erfolgt mit einer relativ schwachen Schlüssellänge und eignet sich daher nicht als Ersatz für Challenge-Response-Authentifikation mit starker Verschlüsselung. Dennoch erschwert sie das Scannen von offenen Ports bereits erheblich, da Linux Pakete ohne den korrekten Zugangsschlüssel abweist – der Portscanner sieht die auf den Ports laufenden Dienste nicht.

Um Linux mit TCP Stealth auszurüsten, ist der Knock-Kernel-Patch [7] erforderlich, der neue Socket-Optionen bereitstellt, die wiederum Server- und Client-Programme für den autorisierten Zugriff nutzen. Neben dem Kernel habe ich in Knoppix 8.0 auch den SSH-Server und den SSH-Client mit TCP-Stealth-Unterstützung ausgerüstet. Zur Aktivierung tragen Sie lediglich in der Datei /etc/ssh/sshd_config die Option TCPStealthSecret sowie eine Art Passwort für die Autorisierung von Clients ein:

TCPStealthSecret "1234"

Nach dem Start des SSH-Servers mit sshstart) gelingt anschließend auf Port 22 kein Connect, nicht einmal lokal (Listing 2). Erst wenn Sie den Client mit der gleichen TCPStealth-Konfigurationsoption in /etc/ssh/ssh_config einrichten, überträgt er das Autorisierungstoken beim Verbinden, und der Port lässt sich öffnen.

$ ssh localhost
ssh: connect to host localhost port 22: Connection refused
[... Client-Rekonfiguration ...]
$ ssh localhost
knoppix@localhost's password:

Fazit

Wie Sie gesehen haben, präsentiert sich Knoppix 8.0 nicht nur rundum erneuert, sondern bringt einige wichtige Änderungen am Unterbau mit, allen voran das neue hybride DVD/Flash-Layout, der BFQ-Scheduler und die Möglichkeit zum Remastern. Daneben habe ich weiter an den Sicherheits- und Privacy-Features der Distribution gefeilt. Ich wünsche Ihnen viel Erfolg und vor allem Spaß beim Einsatz von Knoppix 8!