Klaus Knopper präsentiert zur CEBIT 2018 seine Knoppix 8.3 LU-Edition. Hier stellt er selbst die wichtigsten Neuerungen vor.

Seit über 15 Jahren erscheint etwa halbjährlich meine Zusammenstellung von Debian-GNU/Linux-Software unter dem Namen Knoppix. Das vorkonfigurierte System läuft ohne Installation von DVD, USB-Flashdisk oder übers Netzwerk. Es eignet sich zum Arbeiten, Surfen im Internet, Spielen, Unterrichten, Lernen, Programmieren und zur Datenrettung.

Die aktuelle Version 8.3.0 [1] habe ich im Auftrag von LinuxUser und Linux-Magazin zur CEBIT zusammengestellt. Sie mixt Debian Stable (“Stretch”) mit etlichen Paketen aus Testing und Unstable (“Buster”, “Sid”), in erster Linie wegen der neueren Grafikbibliotheken zur Unterstützung aktueller Hardware.

Für einen möglichst breiten Hardware-Support kommen der erst kürzlich erschienene Kernel 4.16.5 sowie X.org 7.7 (Core 1.19.6) zum Einsatz. Als Aufsatz zum flott startenden Desktop LXDE bringt Knoppix 8.3 zudem die komfortable 3D-Erweiterung Compiz 0.9.13.1 mit (Abbildung 1).

Abbildung 1: Desktop-Umgebung nutzt Knoppix LXDE mit Compiz als Fenstermanager.

Hybrides USB-Image

Heute läuft Knoppix meist von einem USB-Stick (8 GByte oder größer) statt von DVD. Obwohl ich das ISO durch eine Sortlist fürs DVD-Lesen optimiert habe, was das sehr langsame Positionieren des Laser-Lesekopfs reduziert, beschleunigt Flash-Memory den Startvorgang und das Arbeiten mit Knoppix spürbar.

Wie schon mit Knoppix 8.0 begonnen, kommt auch Version 8.3 wieder als Hybrid-Image, das Sie direkt mit Dd oder einem Tool wie Etcher [2] direkt auf einen USB-Stick kopieren, der dann automatisch bootfähig ist. Alternativ starten Sie Knoppix von DVD und flashen es dann mit Flash-knoppix (Menü Knoppix | Knoppix auf Flash kopieren) bequem auf einen USB-Stick. Das eröffnet auch die Möglichkeit, eigene Einstellungen sowie zusätzlich installierte Software persistent zu speichern: Flash-knoppix formatiert die erste Partition als FAT32 und damit schreib- und änderbar, inklusive der Bootoptionen in boot/syslinux/sysl*.cfg.

Die Partition beherbergt zugleich die für UEFI-Boot benötigten Dateien. Die seltenen Konstellationen, bei denen PCs nicht von USB starten wollen, diskutiert der Kasten “EFI und hybrides Booten”. Das voll beschreibbare System auf dem Ziel-USB-Stick besitzt zudem die Option, die künftig selbst angelegten persönlichen Daten zu verschlüsseln.

Lange Ausstattungsliste

Für Systeme mit 64-Bit-CPUs startet Linux 4.16.5 als 64-Bit-Kernel, jedoch mit einem 32-Bit-Userspace. Möglich werden so auch Systemreparaturen in 64-Bit-Umgebungen per Chroot, dennoch klappt der Start auch auf älteren 32-Bit-Computern.

Das Startskript knoppix-autoconfig, das die Hardware erkennt und den Parallelstart wichtiger Systemkomponenten steuert, bleibt das Rückgrat des Knoppix-Boot-Systems. Systemd, das in viele Systemkomponenten eingreift und nach meiner Ansicht oft Probleme mit Abhängigkeiten verursacht, umgehe ich in Knoppix. Die Systemd-Bibliotheken bringt Knoppix aus Kompatibilitätsgründen aber mit – andernfalls würde etwa der Networkmanager zum Konfigurieren der Netzwerke nicht funktionieren. Möchten Sie eigene Systemdienste beim Hochfahren starten, tragen Sie sie in die Datei /etc/rc.local ein, die entsprechende Beispiele enthält.

Neben LXDE stehen als Desktop auch Gnome 3 (Bootoption knoppix64 desktop=gnome), KDE 5 (knoppix64 desktop=kde) sowie der barrierefreie Adriane Audio Desktop [3] zur Wahl. Auf Anwendungsseite finden sich Klassiker wie LibreOffice 6.0.4, Gimp 2.10, Blender 2.79, Freecad 0.16.6712 und Meshlab 1.3.2. Openscad 2015.03 übernimmt das 3D-Prototyping, Slic3r das schichtweise 3D-Drucken.

Als Terminalemulator (Abbildung 2) dient das umfangreiche Multifenster-Terminalprogramm Terminator [5]. Als Webbrowser sind Chromium 66.0.3359.117 und Firefox 60.0 mit dem Werbeblocker Ublock Origin und NoScript an Bord; beide erlauben eine Ein-Klick-Aktivierung des Tor-Proxys [4]. Bei Bedarf führen Sie Windows-Programme – auch solche für Windows 10 – mit Wine 3.1 aus.

Abbildung 2: Gewalttätiger Name, gewaltige Funktionalität: das Terminalprogramm Terminator.

Neuer Knocker

Als spezielles Feature ziehen in dieser LU-Edition Virtualisierung und Container-Funktionen ein, die Sie im Knoppix-Menü und als Shell-Starter finden.

Ich wollte schon lange einmal Docker [6] als Alternative zur Virtualisierung ausprobieren, und dachte, mit einem Live-System als Basis ließen sich die dazu notwendigen Modifikationen besonders einfach integrieren – ein Irrtum: Die aktuellen Docker-Versionen unterstützen ausschließlich 64 Bit, und obwohl Docker neben Overlay-FS auch AU-FS zum Bauen von Containern unterstützt, verweigert der Docker-Daemon den Dienst, wenn er auf einem per AUFS zusammengesetzten Dateisystem läuft (das sogenannte pivot_root-Problem).

Als Workaround habe ich ein Skript eingefügt, aus dem vorhandenen Read-only-gemounteten Knoppix-Overlay mithilfe von Symlinks und sogenannte Bind-Mounts eine neue Dateisystemstruktur zusammenbaut. Nach dem Aufruf von knoppix-newroot über den Menüpunkt Khroot — Restart Knoppix in chroot environment entsteht dieses neu zusammengesetzte Knoppix-Verzeichnis unter /NEWROOT. In dieser Umgebung lässt sich nicht nur eine Chroot-Shell starten, sondern mittels von Docker.com bereitgestellten, statisch gelinkten 64-Bit-Binaries [7] auch Docker.

Das neue Skript knocker erzeugt dann einen minimalen Knoppix-Container. Der wiederum umfasst das bereits vorhandene Knoppix-System im Read-only-Modus und vermag Programme innerhalb des Docker-Behältnisses zu starten. Als zusätzliches Feature habe ich den Zugriff aus dem Container heraus auf die laufende Grafikoberfläche freigeschaltet, sodass Sie aus Docker-Containern heraus auch grafische Programme starten dürfen (Abbildung 3).

Abbildung 3: Knocker – Knoppix meets Docker – kann sogar Programme mit GUI starten.

Noch eine Matroschka

Im Knoppix-Menü finden Sie daneben auch einen Eintrag, um den kompletten Knoppix-Datenträger in KVM oder Qemu zu starten. Es ist vor allem zu Unterrichtszwecken praktisch, Knoppix ein- oder gar mehrmals in Knoppix zu starten. Sofern die CPU Hardware-Virtualisierung unterstützt, aktivieren sich die Kernelmodule kvm_intel oder kvm_amd entsprechend automatisch. Ansonsten arbeitet Qemu als Software-Emulator für 64 Bit-CPUs, allerdings deutlich langsamer.

Erkennt Knoppix 8.3, dass es virtualisiert in Qemu abläuft, schaltet es den Zugriff auf die Partitionen des Boot-Datenträgers auf reinen Lesezugriff: Dürften Host und Gast beide auf dem Datenträger schreiben, würden sie früher oder später Daten zerstören.

Tonstörung

In einer kontroversen Entscheidung [8] entfernten die Firefox-Entwickler bereits 2017 die Unterstützung für das Linux-Audiosystem Alsa aus ihrem Webbrowser. Deswegen bleibt Firefox seither stumm, falls Pulseaudio nicht als Soundserver einspringt.

Die Pulseaudio-Bibliotheken in Knoppix genügen Firefox allerdings nicht – Pulseaudio muss als Soundserver laufen. Ihn zu starten, erweist sich wiederum für andere Programme als kontraproduktiv, vor allem für die Sprachausgabe im barrierefreien Desktop Adriane: Der Pulseaudio-Daemon tendiert dazu, sich beim Parallelzugriff mehrerer Programme die Audioschnittstelle exklusiv zu sichern.

Von daher blieb keine andere Möglichkeit, als Firefox in Knoppix – zumindest als Standardbrowser – durch Chromium zu ersetzen, die Open-Source-Version von Chrome. Chromium hat im Gegensatz zu Firefox offensichtlich keine Probleme mit Alsa und spielt wie gewohnt Youtube-Videos samt Ton ab, wo Firefox nur Stummfilme zeigt.

Sicherheit auf allen Ebenen

Sicherheit und Schutz der Privatsphäre besitzen in der Knoppix-Architektur Top-Priorität. Das beginnt beim Kernel: Die CPU-Bugs Meltdown und Spectre habe ich in Knoppix 8.3 durch Workarounds im Kernel sowie das Aktualisieren betroffener Bibliotheken und Programme unschädlich gemacht.

Das Testprogramm spectre-meltdown-checker zeigt einerseits, ob die CPU im Rechner die Schwachstellen aufweist, andererseits aber auch, dass im Kernel die Mechanismen Page Table Isolation (PTI) und Retpoline (eine neue Option im C-Compiler) aktiviert sind (Abbildung 4). Abgesehen davon laufen unter Knoppix keine Hintergrunddienste, die durch einen Angriff von außen über den CPU-Fehler Daten im Speicher ausspionieren könnten.

Abbildung 4: Der Testlauf von sudo spectre-meltdown-checker hier beweist: alles gut.

Im Userspace von Knoppix sind alle Benutzerzugänge gesperrt; es gibt keine Hintertüren oder Standardpasswörter, nicht einmal für den unprivilegierten Benutzer knoppix. Das macht ein Login praktisch unmöglich – wer einen Screenlocker startet, sperrt sich aus, da es kein gültiges Passwort zum Entsperren gibt. Daher habe ich das Absperren des Bildschirms beim Schließen des Notebook-Displays oder bei Inaktivität abgeschaltet. Der ansonsten unprivilegierte Benutzer knoppix darf jedoch mit Sudo ohne Passwortabfrage zur Root-ID wechseln, Passwörter festlegen, Systemdienste starten, Software installieren und so weiter.

Einige beliebte Programme wie die Kinder-Lernsoftware Gcompris haben es aus Platzgründen nicht mehr auf die (wirklich randvolle) DVD geschafft. Was Sie davon vermissen, installieren Sie mithilfe des Programms knoppix/install/extras (Knoppix | Zusätzliche Programme installieren) oder der Debian-Standard-Paketverwaltung nach.