Ubuntu und Knoppix basieren auf Debian – wir verraten Tricks und Kniffe, welche die Arbeit auf diesen Distributionen angenehmer machen.

Tipp: Ubuntu: Firewall – ja oder nein?

Viele Distributionen, darunter OpenSuse, Mandriva Linux und auch Fedora, richten bereits während der Installation eine Firewall ein, die in der Voreinstellung keinen Verbindungsaufbau von außen zulässt. Auch eine nachträgliche Konfiguration der Firewall gestaltet sich dank der distributionseigenen Setuptools in der Regel unkompliziert. Ubuntu fällt hier aus dem Rahmen: Die Entwickler sind der Meinung, dass ein solcher Paketfilter unnötig ist. Es ist ein Designprinzip von Ubuntu, so wenig Serverdienste wie möglich zu installieren und die, die vorhanden sind, in der Grundeinstellung nur dem lokalen Rechner und nicht nach außen hin anzubieten.

Spätestens dann, wenn Sie auf Ihrem Ubuntu-Rechner zum Beispiel einen Web- oder SSH-Server einrichten, sollten Sie über die Sicherheit Ihres Systems nachdenken. Zwar ist es möglich, diese Dienste so zu konfigurieren, dass sie wieder nur Zugriff vom lokalen Rechner aus erlauben; in der Regel ist das aber nicht das Ziel, und die Server sollen von anderen Maschinen aus erreichbar sein. Ein Router (Hardware oder PC) und NAT (Network Address Translation [1]) sorgt ebenfalls für Schutz, da die einzelnen Rechner nicht direkt aus dem Internet zu erreichen sind und Serverdienste nur im lokalen Netzwerk anbieten.

Ist der Ubuntu-Rechner direkt mit dem Internet verbunden und bietet eigene Serverdienste im Netz an, ist es Zeit, sich ausführlich mit dem Thema “Firewall” zu beschäftigen. Ubuntu liefert (wie alle Linux-Distributionen) von Haus aus das Firewall-System Netfilter/iptables[2] mit. Das Gespann ist Bestandteil des Linux-Kernels: Netfilter fängt Netzwerkpakete ab und manipuliert sie, iptables ist das zugehörige Dienstprogramm, das Sie bei der Konfiguration unterstützt. Die Syntax ist leider auch für fortgeschrittene Anwender nicht ganz leicht zu verstehen – zur Einrichtung der Firewall-Parameter ist außerdem normalerweise ein Ausflug auf die Shell oder die Einrichtung eines Shell-Skripts erforderlich. Das grafische Frontend Firestarter [3] bietet einen Ausweg und hilft bei der Einrichtung. Der folgende Tipp zeigt, wie es geht.

Tipp: Ubuntu: Firestarter installieren und einrichten

Firestarter ist ein grafisches Frontend, mit dem Sie kinderleicht Regeln für Iptables erstellen, Informationen über die Netzwerkschnittstellen abfragen, Port-Weiterleitungen konfigurieren, den Netzwerkverkehr optimieren und vieles mehr. Das Programm ist zwar kein Bestandteil der eigentlichen Distribution, befindet sich aber in den universe-Paketquellen und (zusammen mit einer Installationsanleitung) auf der Heft-DVD.

Nach dem Einspielen der Software starten Sie das Programm entweder über das Startmenü (Anwendungen / Internet / Firestarter oder System / Systemverwaltung / Firestarter) oder über Eingabe des Befehls sudo firestarter in ein Schnellstart- oder Terminalfenster. Ins folgende Dialogfenster geben Sie zur Authentifizierung Ihr eigenes Passwort ein. Schritt für Schritt gehts weiter:

1. Beim ersten Start von Firestarter hilft ein Assistent bei der Einrichtung der Firewall. Nach dem Lesen der Begrüßungsnachricht geht es über Vor zum nächsten Schritt.

   

2. Als Nächstes richten Sie die Netzwerkkarte(n) ein. Firestarter erkennt automatisch die vorhandenen Geräte und bietet diese über das Drop-down-Menü an. Ist der Rechner beispielsweise direkt ans (DSL-)Modem angeschlossen, ist ppp0 die richtige Wahl. Benutzen Sie ein Kabelmodem, kommt unter Umständen ein Ethernet-Device (zum Beispiel eth1) in Frage. Aktivieren Sie weiterhin die Option Starten der Firewall beim Herauswählen. Die zweite Checkbox (IP-Adresse wird über DHCP zugewiesen) versehen Sie mit einem Häkchen, wenn Ihr Internet Service Provider Ihnen dynamisch eine IP-Adresse bei der Einwahl zuweist (Standard).

   

3. Wenn der Ubuntu-Rechner als Router arbeiten soll, aktivieren Sie im nächsten Dialog Internet-Verbindungsteilung verwenden. Andernfalls geht es mit Vor zum nächsten Punkt.

4. Der letzte Dialog bietet als Voreinstellung den automatischen Start der Firewall. Klicken Sie auf Speichern, um die Einstellungen zu sichern und den Assistenten zu beenden.

   

Schauen Sie sich nach dieser grundsätzlichen Konfiguration die weiteren Einrichtungsmöglichkeiten an (Schaltfläche Einstellungen). Aktivieren Sie beide Checkboxen im Bereich Benutzeroberfläche, um das Firestarter-Fenster beim Schließen zu minimieren und im Kontrollabschnitt des Panels als Symbol abzulegen. Sobald Zugriffe stattfinden, färbt sich das Icon rot ein. Wenn Sie mit der Maus darüber fahren, zeigt ein Tooltip an, wer da versucht, Kontakt aufzunehmen (Abbildung 1).

Abbildung 1: Ein Firestarter-Symbol in der Kontrollleiste weist Sie direkt auf Ereignisse hin.

Wenn Sie darüber hinaus unter Firewall / Diensttyp Filterung die so genannte Filterung nach Art des Dienstes (ToS) aktivieren und bestimmte Dienste bevorzugen (Kategorien sind Arbeitsplatzrechner, Server oder das X-Window-System), sorgen Sie dafür, dass selbst bei einer ausgelasteten Verbindung bestimmte Dienste flüssig arbeiten.

Die Firewall (nicht aber die grafische Einrichtungsoberfläche Firestarter) nimmt von nun an bei jedem Rechnerstart den Dienst auf. Dass die Firewall ordnungsgemäß arbeitet, verrät ein schnelles Kommando auf der Shell. Der iptables-Parameter -L listet die Regeln auf (Listing 1).

$ sudo iptables -L
[sudo] password for gutsy:
Chain INPUT (policy DROP)
target    prot opt source             destination
ACCEPT    tcp  –  192.168.2.15       0.0.0.0/0        tcp flags:!0x17/0x02
ACCEPT    udp  –  192.168.2.15       0.0.0.0/0
ACCEPT    tcp  –  213.168.112.60     0.0.0.0/0        tcp flags:!0x17/0x02
ACCEPT    udp  –  213.168.112.60     0.0.0.0/0
…

Firestarter selbst starten Sie wie beschrieben von Hand. Das Ubuntu-Wiki erklärt unter [4] zwar einen Weg, das grafische Programm bei der Anmeldung automatisch aufzurufen – da diese Vorgehensweise allerdings generell die Passwortabfrage zur Authentifizierung als Administrator aushebelt, ist davon dringend abzuraten.

Tipp: Ubuntu: Firestarter im Einsatz

Sämtliche Ereignisse protokolliert Firestarter im Hauptfenster auf dem Reiter Ereignisse. Ein Klick auf Leeren räumt die Liste auf, Liste speichern legt das Protokoll auf der Festplatte ab, und Aktualisieren bringt alles auf den neuesten Stand.

Abbildung 2 zeigt verschiedene abgelehnte (rot) und zugelassene (schwarz) Verbindungen zum Ubuntu-Rechner. Ein Rechtsklick auf ein solches Ereignis öffnet ein Kontextmenü, in dem Sie festlegen, wie die Firewall mit solchen Kontaktversuchen in Zukunft umgehen soll: Erlauben Sie alle Verbindungen von dieser Quelle, lassen Sie genau diesen Dienst (zum Beispiel SSH) von allen Rechnern aus zu, oder nur diesen Dienst von genau diesem Rechner. Anschließend zeigt Firestarter die neue Regel im Reiter Richtlinie an. Über das Drop-down-Menü Bearbeiten der … wählen Sie aus, ob Sie Regeln für den eingehenden oder ausgehenden Verkehr betrachten. Ein Doppelklick auf einen Eintrag öffnet ein Dialogfenster, in dem Sie die Regeln weiter anpassen können. Denselben Dialog sehen Sie auch, wenn Sie auf Regel hinzufügen klicken: Suchen Sie aus dem Drop-down-Menü Name einen Dienst aus, trägt Firestarter automatisch die richtige Port-Nummer ins Feld ein. Weiterhin definieren Sie eine Quelle für die Regel, zum Beispiel Jeder oder IP, Rechner oder Netzwerk.

Abbildung 2: Was ist los auf der Datenautobahn? Firestarter zeigt die Ereignisse an. Mit einem Klick auf die jeweilige Spaltenüberschrift sortieren Sie die Ereignisse nach verschiedenen Kriterien.

Tipp: Ubuntu: Firewall temporär und dauerhaft deaktivieren

Wie schon erwähnt, läuft die Firewall auch dann weiter, wenn Sie Firestarter beenden. Der Paketfilter nimmt bei jedem Rechnerstart selbstständig die Arbeit auf – ganz unabhängig von der grafischen Oberfläche.

Firestarter bietet auf dem Reiter Status die Möglichkeit, die Firewall per Knopfdruck zu stoppen. Das Symbol wechselt die Farbe und sieht nun wie ein roter Stopp-Button eines CD-Players aus. Über Firewall starten wechselt der Status zurück zu Aktiv. Eine andere Funktion hat die Schaltfläche Firewall sperren: Wenn Sie diese anklicken, blockiert der Paketfilter alle ein- und ausgehenden Verbindungen (auch die aktiven), und Sie sind völlig von der Außenwelt abgeschnitten.

Um die Firewall dauerhaft außer Kraft zu setzen, deinstallieren Sie das Paket firestarter über den Paketmanager Ihrer Wahl. Wenn Sie darauf achten, beim Entfernen die Firestarter-Konfigurationsdateien nicht zu löschen,

• Synaptic: Klick mit der rechten Maustaste und Zum Entfernen vormerken anstelle von Zum vollständigen Entfernen vormerken,
• Adept: rechte Maustaste und Request Removal anstelle von Request Purging,
• Kommandozeile: aptitude remove firestarter anstelle von aptitude purge firestarter,

können Sie das Programm jederzeit wieder neu installieren, und Ihre alten Einstellungen und Regeln sind sofort wieder aktiv.

Tipp: Knoppix: Live-System zur Datensicherung verwenden

Irgendetwas klemmt, und Ihr Rechner startet nicht mehr wie gewohnt – bevor Sie sich an die Reparaturarbeiten machen, sollten Sie prüfen, ob Sie eine aktuelle Sicherungskopie Ihrer Daten haben. Wer regelmäßig Backups erstellt, ist fein raus. Alle anderen haben hoffentlich eine Knoppix-CD oder -DVD zu Hause und sichern entweder auf Rohlingen oder über das Netzwerk die wichtigsten Dateien.

Hat der Rechner zwei Laufwerke, starten Sie Knoppix ganz bequem von CD oder DVD, suchen nach dem Start die richtige Festplattenpartition auf dem Desktop aus und hängen diese per einfachem Mausklick ins System ein. Anschließend zeigt KDEs Dateimanager Konqueror den Inhalt an. Wenn Sie über das Menü Ansicht / Anzeigemodus die Detaillierte Ordneransicht wählen, sehen Sie am unteren Fensterrand Informationen über den Inhalt, zum Beispiel die Anzahl der Dateien und Verzeichnisse sowie die Gesamtgröße des Ordners – das verschafft einen Überblick über die benötigten Backupmedien.

Anschließend starten Sie das KDE-Brennprogramm K3b [5] über das K-Menü / Multimedia / K3b CD & DVD-Brennen. Wählen Sie aus dem unteren Fensterbereich Neues Daten-CD-Projekt oder Neues Daten-DVD-Projekt – je nachdem, welches Laufwerk und welche Rohlingsorte Sie zur Verfügung haben. Die eingehängte Partition finden Sie in der linken Baumansicht unter mnt. Per Drag & Drop wandern die zu sichernden Daten ins Projektfenster; ein farbiger Balken am unteren Rand informiert Sie über den Füllstand (Abbildung 3). Legen Sie danach einen Rohling ein und starten Sie den Brennvorgang über den Button Brennen. Nach getaner Arbeit wirft Knoppix die fertige Sicherheitskopie aus.

Abbildung 3: Datenrettung in letzter Sekunde? Mit K3b brennen Sie auch unter Knoppix bequem CDs und DVDs.

Tipp: Knoppix: Wenn Sie nur ein Laufwerk besitzen …

Die beschriebene Vorgehensweise funktioniert nur, wenn der Rechner zwei Laufwerke hat – eines für die Knoppix-DCD/DVD und eines zum Brennen. Mit einem Trick können Sie die Datenrettung auch nutzen, wenn Sie nur ein Laufwerk Ihr Eigen nennen. Die einzige Voraussetzung ist, dass der Rechner genügend Arbeitsspeicher (RAM) unter der Haube hat (ca. 1 GByte). Beim Start geben Sie am Bootprompt den entsprechenden Cheatcode ein:

boot: knoppix toram

Nach dem Systemstart können Sie das Knoppix-Medium entnehmen, und das Laufwerk ist frei zum Brennen.

Hat der Rechner nicht genug Arbeitsspeicher, ist es möglich, ein Abbild des Live-Systems auf eine Festplattenpartition zu übertragen. Neuere Knoppix-Versionen (ab 3.8) bieten sogar an, auf Windows-NTFS-Partitionen zu schreiben. Voraussetzung ist auch hier, dass auf der Zielpartition genügend freier Platz zur Verfügung steht. Ist allerdings eine Festplatte oder eine Partition mit Fehlern der Grund für das Backup mit Knoppix, ist von dieser Methode dringend abzuraten.

Ein weiterer Cheatcode hilft dabei, das Knoppix-Abbild auf eine Partition zu befördern: Tippen Sie dazu am Bootprompt

boot: knoppix tohd=/dev/hda1

wobei Sie /dev/hda1 durch den Namen der Partition auf Ihrem System ersetzen. Nach dem Start von Knoppix können Sie die CD oder DVD aus dem Laufwerk entfernen und mit der Arbeit fortfahren.