Klaus Knopper gewährt kurzweilige Einblicke ins Räderwerk und die erweiterten Features seines neuen Knoppix 8.5.
Seit fast 20 Jahren erscheint etwa halbjährlich meine Zusammenstellung von GNU/Linux-Software unter dem Namen Knoppix (Knoppers Unix System). Das System ist so ausgelegt, dass es ohne Installation von DVD, USB-Medium oder übers Netzwerk sofort läuft (Abbildung 1). Das Software-Set mit rund 4000 Paketen eignet sich etwa zum Arbeiten, für das Surfen im Internet, zum Spielen, Unterrichten und Lernen, zum Programmieren und zur Datenrettung.
Die Version 8.5.0 habe ich im Auftrag von LinuxUser und Linux-Magazin wie in den letzten Jahren zusammengestellt [1]. Sie basiert auf der Next-Generation-Version des Debian-Zweigs “Testing” (Codename “Buster”). Die Vorab-Zweige nehme ich in erster Linie wegen der neueren Grafikbibliotheken für aktuelle Hardware sowie der aktuellen Desktop-Programme in Anspruch.
Um eine möglichst breite Hardware-Unterstützung zu erreichen, verwende ich den kürzlich erschienenen Kernel 4.20.6 sowie X.org 7.7 (Core 1.20.3). Als optisches Schmankerl und komfortable Erweiterung zur sehr flott startenden Desktop-Oberfläche LXDE dient der 3D-Compositor Compiz 0.9.13.1 (Abbildung 1).
Abbildung 1: Mit Compiz gerät das Umschalten zwischen den virtuellen Knoppix-Desktops zum 3D-Ereignis.
Boot-Optionen
Normalerweise benötigt Knoppix keine Boot-Optionen, um die vorgefundene Hardware inklusive Grafikkarte zu erkennen und das System optimal zu konfigurieren. Es enthält eine Art künstlicher Intelligenz, um je nach Situation zu entscheiden, welche Einstellungen zum Computer passen müssten.
Die zunehmende Anzahl verschiedener Chipsätze, die nicht alle im Fehlerfall sauber aussteigen, sondern mitunter zum Aufhängen eines Softwaremoduls führen, macht es aber manchmal doch notwendig, das eine oder andere Feature oder einzelne Komponenten diagnostisch und vorübergehend abzuschalten, um zum regulären Desktop durchzustarten oder das System näher zu untersuchen. Dazu tippen Sie hinter dem Boot-Prompt (Abbildung 2) knoppix64 (bei aktuellen 64-Bit-CPUs) oder knoppix (bei älteren 32-Bit-Computern) für den Linux-Kernel, gefolgt von den gewünschten Optionen.
Abbildung 2: Am Boot-Prompt haben Sie die Möglichkeit, das Verhalten des Rechners beim Start über besondere Parameter zu beeinflussen.
Die Boot-Hilfe, die Sie mit [F2]+ oder [F3] aufrufen, nennt häufig verwendete Optionen; weitere finden Sie in der Textdatei KNOPPIX/knoppix-cheatcodes.txt. Klemmt etwa der Desktop, wenn Sie mit dem 3D-Window-Manager Compiz starten möchten, helfen oft die Optionen knoppix nocomposite oder knoppix no3d weiter. Die erste schaltet die Composite-Erweiterung des Grafiksubsystems ab, die zweite verhindert nur den Start der Compiz-Erweiterung für den Desktop.
Umgekehrt erzwingen Sie für Grafikkarten, die eigentlich nicht schnell genug für Compiz sind, also automatisch mit der flachen Window-Manager-Alternative Metacity starten würden, über die Option knoppix 3d die 3D-Oberfläche mit Software-Rendering.
Die auf Bitte der Redaktion eingeführte neue Boot-Option knoppix64 enabletap schaltet das Feature “Antippen als Mausklick” bei einem Touchpad wieder ein, das sonst unter Knoppix hart abgeschaltet ist, weil ich selbst das Klicken beim versehentlichen Berühren des Touchpads absolut nicht leiden kann.
Hybrides USB-Image
Heute installieren die meisten Anwender Knoppix nach dem ersten Start auf einem USB-Stick (8 GByte oder größer, USB 3.0 empfohlen), statt immer von DVD zu starten. Obwohl eine Sortlist das ISO-Image fürs Lesen optimiert, beschleunigt ein Flash-Speicher den Startvorgang und das Arbeiten mit dem System um mindestens den Faktor fünf: Dann dauert der Start vom Laden des Kernels bis zum kompletten Desktop inklusive Compiz weniger als 15 Sekunden, einigermaßen moderne Hardware und einen schnellen USB-Stick oder SD-Kartenleser vorausgesetzt.
Wie gewohnt kommt Knoppix 8.5 als Hybrid-Image, das Sie mit Dd (Linux), Etcher (Windows) oder komfortabel mit dem Programm flash-knoppix (Menü Knoppix | Knoppix auf Flash kopieren) bootfähig auf einen USB-Stick befördern. Das eröffnet auch die Möglichkeit, eigene Einstellungen sowie zusätzlich installierte Software persistent zu speichern. Flash-knoppix formatiert dazu die erste Partition schreib- und änderbar als FAT32, inklusive der Boot-Optionen in boot/syslinux/sysl*.cfg.
Aufgrund der Eigenschaften des Hybrid-Layouts zeigen Computer, die UEFI als Boot-Verfahren eingestellt haben, die DVD zwar als UEFI-Laufwerk an, erlauben aber in der Regel kein Booten. Die auf USB-Stick kopierte Variante, egal ob per Dd oder Flash-knoppix erzeugt, ermöglicht dagegen sowohl UEFI- als auch Secure-Boot. Eine versteckte Partition des Hybrid-Image beziehungsweise die FAT32-Partition des per Flash-knoppix erzeugten USB-Sticks beherbergt die für UEFI-Boot benötigten Dateien. Für Konstellationen, bei denen PCs nicht vom USB-Port starten wollen, zeigt der Kasten “EFI und hybrides Booten” einige Optionen.
Das per Flash-knoppix voll beschreibbare System auf dem Ziel-USB-Laufwerk besitzt zudem die Option, die während der Knoppix-Benutzung angelegten persönlichen Daten automatisch zu verschlüsseln. So bleiben Zugangsdaten und Passwörter auf dem USB-Stick gut geschützt vor fremden Augen.
EFI und hybrides Booten
Es gibt sehr alte und sehr neue Computer, die nicht von USB booten: Bei den einen kommt das BIOS damit nicht klar, bei den anderen funkt EFI aus Sicherheitsgründen dazwischen. Grundsätzlich ist Knoppix in der Lage, im EFI-Modus von USB-Stick zu starten, da der Ordner efi/ auf der ersten Partition (beziehungsweise in der Hybrid-Variante eine EFI-Partition) die dafür notwendigen Dateien enthält.
Ist auf dem Rechner die EFI-Firmware auf Secure Boot gesetzt, erscheint beim Start eine Abfrage des signierten Boot-Loaders auf einem Bluescreen. Hier handelt es sich nicht etwa um eine Fehler- oder Absturzmeldung, wie Sie sie eventuell von anderen Betriebssystemen kennen. Vielmehr bittet das System um das Bestätigen und Speichern der Prüfsumme für den signierten Bootloader loader.efi, bevor es starten kann. Hier sollten Sie einfach den (englischen) Instruktionen auf dem Bildschirm folgen, um den Boot-Vorgang unter Secure Boot zum erfolgreichen Abschluss zu bringen. Das müssen Sie im Regelfall für jeden PC nur einmal tun, ab dem nächsten Start geht alles automatisch.
Falls bei gesetztem Secure Boot oder inkompatiblem EFI-Systemen der Dialog ausbleibt und das System sich standhaft weigert, von USB zu booten, hilft die BIOS-Einstellung CSM (Compatibility Support Module) weiter, die laut Intels Vorgaben eigentlich alle EFI-Computer anbieten sollten.
Der von Knoppix verwendete EFI-Bootloader syslinux.efi, der aufgrund seines einfachen Aufbaus kaum Fehlerquellen enthält, schaltet nach dem Laden des Kernels nicht automatisch zurück in den Textmodus – die meisten EFI-Grafiktreiber besitzen gar keinen. Der Bildschirm bleibt daher im EFI-Modus schwarz, bis Knoppix den Linux-Grafiktreiber für die Grafikkarte geladen und den Framebuffer-Textmodus aktiviert hat. Das kann beim ersten Start, bei dem die USB-Version die beschreibbare Linux-Partition auf die volle Größe expandiert, einige Zeit dauern. Bei verschlüsselter Datenpartition kommt die Abfrage des Passworts aber ausgerechnet innerhalb der Phase des EFI-Blackouts – hier müssen Sie das Passwort blind eingeben, damit es weitergeht.
Für alle Fälle, bei denen der Start von USB-Flash-Disk nicht gelingt, enthält Knoppix 8.5 im Ordner KNOPPIX/ das ISO-Image einer lediglich 15 MByte großen Boot-only-CD, die Sie auf einen leeren Rohling brennen und von der Sie den Computer in Kombination mit einem Knoppix-8.5-USB-Stick hochfahren. Der Boot-Prozess beginnt dann zunächst auf der CD und wechselt nach kurzer Zeit auf den USB-Stick. Dieser Workaround funktioniert bei den meisten Problem-PCs, speziell auch bei Macs mit eingeschränkter Möglichkeit, von externen Datenträgern zu starten – selbst per EFI.
Ohne Systemd
Für Systeme mit 64-Bit-CPUs startet entweder automatisch erkannt oder mit der Boot-Option knoppix64 Linux 4.20.6 als 64-Bit-Kernel – jedoch mit einem 32-Bit-Userspace. Das ermöglicht unter anderem Reparaturen am System in 64-Bit-Umgebungen per Chroot, es gelingt aber auch der Start auf älteren 32-Bit-PCs. Zudem nutzen die 32-Bit-Versionen der installierten Programme den verfügbaren Platz der DVD besser aus und arbeiten – außer bei sehr rechenintensiven Aufgaben – nicht langsamer als die 64-Bit-Äquivalente.
Das Startskript knoppix-autoconfig, das die Hardware erkennt und den parallelen Start wichtiger Systemkomponenten steuert, bleibt das Rückgrat des Boot-Systems von Knoppix. Das immer noch kontrovers diskutierte und durch einige Sicherheitslücken gerade in jüngster Zeit etwas in Verruf gekommene Init-System Systemd, das Debian seit “Jessie” als Standard integriert, gehört seit Knoppix 8.5 endgültig der Vergangenheit an. Harte Abhängigkeiten zum Boot-System umgehe ich durch eigene Pakete.
Um dennoch ein Systemd-ähnliches Session-Management zu bekommen und damit die Möglichkeit zu behalten, das System als Normalbenutzer herunterzufahren und erneut zu starten, lasse ich stattdessen den Session-Manager Elogind laufen. Das umgeht den Eingriff von Systemd in viele Systemkomponenten und verringert die Komplexität des Gesamtsystems. Wollen Sie beim Hochfahren eigene Dienste starten, brauchen Sie dazu keine Systemd-Unit anzulegen, sondern tragen den Service einfach in die Textdatei /etc/rc.local ein, die erklärende Beispiele dazu enthält.
Sicherheitsaspekte
Sicherheit und Schutz der Privatsphäre besitzen in der Architektur von Knoppix Top-Priorität. Das beginnt schon beim Kernel: Die Anfang 2018 als Meltdown und Spectre bekannt gewordenen Fehler in fast allen CPUs machen in Knoppix 8.5 spezielle Workarounds im Kernel (Page Table Isolation PTI und Retpoline-Compiler als Härtung) sowie das Aktualisieren betroffener Bibliotheken und Programme unschädlich.
Das Testprogramm spectre-meltdown-checker zeigt einerseits, ob die CPU im Rechner von dem Fehler betroffen ist. Andererseits sehen Sie aber auch, dass im Linux-Kernel die Mechanismen zur Fehlerumgehung arbeiten. Abgesehen hiervon laufen unter Knoppix keine Hintergrunddienste, die durch einen Angriff von außen über den CPU-Fehler Daten im Speicher ausspionieren könnten.
Im Userspace von Knoppix sind alle Benutzerzugänge gesperrt, es gibt keine Hintertüren oder Standardpasswörter – nicht einmal für den unprivilegierten Benutzer knoppix. Deshalb zeigt Knoppix nach dem Booten auch keinen Login-Bildschirm an. Starten Sie einen Screenlocker, sperren Sie sich praktisch sogar aus, da es kein gültiges Passwort zum Entsperren gibt.
Daher habe ich das Absperren des Bildschirms beim Schließen des Notebook-Displays oder bei Inaktivität abgeschaltet. Der ansonsten unprivilegierte Standardbenutzer knoppix vermag jedoch via Sudo ohne Passwortabfrage zur Root-ID zu wechseln, Passwörter festzulegen, Systemdienste zu starten oder Software zu installieren.
Daten schreiben
In Hinblick auf die Lebensdauer von Flash-Speicher gab es bisher eine Verzögerung von 30 Sekunden beim Schreiben von Änderungen in der USB-Variante. Es laufen also jeweils 30 Sekunden lang alle Änderungen am Dateisystem im RAM ab, bevor das System sie am Stück auf den Datenträger schreibt. Dadurch kann es jedoch zu Datenverlusten kommen, wenn man vor dem Abschalten den USB-Stick einfach vom Rechner abzieht. Außerdem können sich während der 30 Sekunden sehr viele Daten im Speicher ansammeln. Kommt dann das Signal zum Schreiben, bleibt das System für längere Zeit einfach stehen, bis es alle aufgelaufenen Daten gespeichert hat.
Nach etwas Herumrechnen war ich überzeugt, dass das Verkürzen des Intervalls zum Speichern um eine Größenordnung die Lebensdauer des Flash-Speichers nicht wesentlich beeinträchtigt. Deshalb lasse ich Knoppix 8.5 nach dem Speichern nur 3 statt wie bisher 30 Sekunden warten, bis es die Daten auf den Stick schreibt. Das sollte die Probleme mit abziehbedingten Datenverlusten, defekten Dateisystem und Schreibverzögerungen weitgehend ausräumen.
Lange Ausstattungsliste
Der größte Teil der Software-Installation bei Knoppix liegt, mit einem eigenen Kernel-Modul (cloop) komprimiert, in Form von Dateisystem-Overlays auf der DVD. Dadurch passen knapp 4000 Debian-Pakete auf den Datenträger. Eine Auswahl der wichtigsten Komponenten fasst die Tabelle “Knoppix 8.5: Ausstattung” zusammen.
|
Komponente |
Anmerkung |
|---|---|
|
Linux 4.20.6 |
mit Patches: Cloop (Decompressing Loopback Device), AUFS (Another Union File System), Broadcom-STA-Wifi-Treiber |
|
Hybrid-DVD/Flash-Layout |
aktiviert nach der 1:1-Kopie die Overlay-Partition automatisch |
|
Remaster-Option |
für das Flashen personalisierter USB-Sticks mit komprimiertem Overlay-Image |
|
Desktop |
|
|
LXDE |
schlanker Standard-Desktop mit dem Dateimanager PcmanFM 1.3.1 |
|
Gnome 3 |
Boot-Option |
|
KDE 5 |
Boot-Option |
|
Adriane |
barrierefreier Desktop |
|
VNC / RDP |
einfacher Desktop-Export |
|
Terminator |
umfangreiches Multifenster-Terminalprogramm (Abbildung 3). |
|
Webbrowser |
|
|
Chromium 72.0.3626.53 |
Webbrowser |
|
Firefox ESR 60.5.0 |
mit Long Term Support, Werbeblocker Ublock Origin sowie NoScript (siehe Kasten “Tonstörung”) |
|
Tor-Browser |
Privacy-Erweiterung für das Tor-Netzwerk |
|
Anwendungen |
|
|
Blender 2.79 |
3D-Productivity-Software |
|
Gimp 2.10 |
aktuelle Version der beliebten Bildbearbeitung |
|
LibreOffice 6.1.5 |
freies Büropaket |
|
Maxima 5.42.1 |
Mathematik/Algebra-Software zum Lösen von Gleichungssystemen |
|
OpenScad 2019.01 |
3D-Prototyping |
|
Qemu-KVM 3.1 |
Paravirtualisierung |
|
Slic3r 1.3 |
für das schichtweise 3D-Drucken |
|
Wine 4.0 |
Pre-Release zum Ausführen von Windows-Programmen (auch Windows 10) |
Abbildung 3: Gewalttätiger Name, gewaltige Funktionalität: das Multifenster-Terminalprogramm Terminator.
Einige Programme habe ich auf speziellen Wunsch der Redaktion mit ins Knoppix-Portfolio mit aufgenommen. Dazu zählen etwa die Multimedia-Anwendungen Kdenlive 18.12.1, Openshot 2.4.3, Photofilmstrip 3.7.1, OBS Studio 22.0.3 und Mediathekview 13.0.1, die A/V-Transcoder Ripperx 2.8.0 und Handbrake 1.2.0, Clients für Owncloud 2.5.1 und Nextcloud 2.5.1, der E-Book-Manager Calibre 3.39, die Game-Engine Godot3 3.0.6 und UPNP-Streaming via Gerbera 1.1.0.
Einige Programme haben es aus Platzgründen nicht mehr auf die wirklich randvolle DVD geschafft, wie etwa die Lernsoftware Gcompris. Wer eines vermisst, installiert es mithilfe von knoppix-install-extras (Knoppix | Zusätzliche Programme installieren, Abbildung 4) oder mit dem Debian-Standard-Paketmanager nach.
Abbildung 4: Wer ein Programm vermisst oder ein vorhandenes aktualisieren will, greift zum Install-Extras-Utility.
Tonstörung
In einer kontroversen Entscheidung [2] haben die Firefox-Entwickler bereits 2017 die Unterstützung für das Linux-Audiosystem Alsa in ihrem Webbrowser standardmäßig entfernt. Das führte dazu, dass Firefox seither unter anderem auf Youtube stumm blieb, sofern Pulseaudio nicht als Sound-Server einspringen kann. Die Pulseaudio-Bibliotheken, die Knoppix an Bord hat, genügen Firefox allerdings nicht: Pulseaudio muss als Soundserver laufen. Pulseaudio als Server erweist sich allerdings für andere Programme als kontraproduktiv, vor allem für die Sprachausgabe im barrierefreien Adriane-Desktop [3]: Der Pulseaudio-Daemon tendiert dazu, bei Parallelzugriff mehrerer Programme die Audioschnittstelle exklusiv zu übernehmen. Die bei Debian gebaute und in Knoppix 8.5 enthaltene Long-Term-Support-Variante von Firefox unterstützt zum Glück weiterhin das normale Alsa-Soundsystem. Auch in der kommenden Firefox-Version von Debian “Unstable” bleibt Alsa aktiviert, sodass Firefox-Fans auch in der jeweils neuesten Version des Browsers zukünftig nicht mehr auf Sound verzichten müssen.
Knoppix-Support
Falls Sie Probleme mit der beiliegenden Knoppix-DVD haben, sind Sie nicht auf sich allein gestellt: Weist der Datenträger offensichtlich einen Verpackungsschaden auf, was sich leider nie ganz ausschließen lässt, genügt eine Mail an mailto:cdredaktion@linux-user.de mit einer kurzen Schilderung des Problems. Bitte vergessen Sie dabei nicht, auch Ihre Postanschrift zu nennen, damit wir Ihnen einen Ersatzdatenträger zusenden können. Bei technischen Problemen beantwortet Klaus Knopper auch Fragen zu Knoppix 8.5. Es genügt, dazu eine formlose E-Mail an mailto:knoppix@linux-magazin.de zu schreiben.
Der Autor
Klaus Knopper (mailto:knoppix@knopper.net), Dipl.-Ing. der Elektrotechnik, arbeitet als selbstständiger IT-Berater und Entwickler. Er ist Professor an der Hochschule Kaiserslautern (Grundlagen der Informatik, Software-Technik und Software-Engineering) und gibt Kurse zu freier Software. Angeregt durch Erfahrungen seiner blinden Ehefrau entwickelte er die in Knoppix integrierte Lösung Adriane, die Blinden den Umgang mit Linux-PCs vereinfacht.
Glossar
-
Sortlist
-
Die Sortlist optimiert die Dateien für das Lesen von der DVD. Das bewirkt, dass der Lesekopf weniger Operationen benötigt, um die Daten zu lesen.
Infos
-
Features von Knoppix 8.5: http://knopper.net/knoppix/knoppix850.html
-
Firefox-Bug 1345661: https://bugzilla.mozilla.org/show_bug.cgi?id=1345661
-
Audio Desktop Reference Implementation and Networking Environment: http://www.knopper.net/knoppix-adriane/
