Archiv der Kategorie: Grundlagen

Terminal- und Bash-Optimierung

Grafische Terminals und die darin laufende Kommando-Shell bieten reichhaltige Optionen, um sie optisch und funktional zu optimieren und zu individualisieren. Das ist zum Teil einfach, zum Teil knifflig. Die notwendigen Tipps finden Sie hier.

Dieser Artikel zeigt alle wichtigen Optionen, um das grafische Terminal, aber auch die virtuellen Konsolen und die SSH-Konsole so komfortabel wie möglich einzurichten. Nur Punkt 1 bezieht sich ausschließlich auf den Desktop und das grafische Terminalfenster. Alle anderen Punkte 2 bis 6 zur Bash-Optimierung gelten auch für SSH und für die Konsolen (Strg-Alt-F1 und weitere). Bei den grafischen Terminal-Emulatoren nehmen wir das Gnome-Terminal als Referenz, wie es in Ubuntu-Varianten und Linux Mint zum Einsatz kommt. Andere Terminal-Emulatoren wie etwa die „konsole“ unter KDE bieten ganz ähnliche Einstellungen, aber nicht immer an gleicher Stelle. Bei der Shell selbst, also dem eigentlichen Kommandointerpreter, gehen wir von der Bash-Shell aus, die praktisch überall Standard ist.

1. Das grafische Terminal

Terminals in Gestalt des Gnome-Terminal, Mate-Terminal, Xfxe4-Terminal oder Konsole (KDE) sind grafische Programme mit zahlreichen Einstellungen. Sie sind unabhängig von der Shell, die im Terminal läuft. Die Optionen und Optimierungen, die Sie dort vornehmen, haben daher mit der Bash-Shell zunächst nichts zu tun. Lediglich bei Farbeinstellungen für das grafische Terminal und solchen für die Bash-Shell gibt es Kombinationen, welche die Lesbarkeit und Übersicht fördern – oder eben nicht. Insbesondere engagierte Nutzer, die sich das Terminal optisch bestmöglich einrichten möchten, sollten sich beim Aussehen des grafischen Terminals farblich festlegen, bevor sie Ausgabefarben und Prompt der Bash-Shell optimieren.

Einstellungen und Profile: Das Gnome-Terminal zeigt im Menü „Bearbeiten“ die zwei Untermenüs „Einstellungen“ und „Profileinstellungen“. Beides sind benutzerspezifische Optionen: Was unter „Einstellungen“ festgelegt wird, gilt für jedes Terminal im aktuellen Konto. Die „Profileinstellungen“ erlauben darüber hinaus verschiedene Layouts, die man entweder im Gnome-Terminal selbst mit „Terminal -> Profil wechseln“ umschalten oder auch über Programmstarter schon beim Aufruf anwählen kann:

gnome-terminal --profile big_black

Ob Sie tatsächlich verschiedene Profile brauchen, ist Ihre Entscheidung. Das als „Unbenannt“ oder als „Vorgabe“ betitelte Standardprofil sollten Sie aber unter „Bearbeiten -> Profileinstellungen“ in jedem Fall bearbeiten. Die Registerkarte „Allgemein“ bestimmt die Größe des Terminalfensters über die Spaltenzahl (Breite) und Zeilenzahl (Länge) sowie die verwendete Schriftart. Beachten Sie, dass Sie das Terminal-Fenster unabhängig von der Schrift mit Strg-+ und Strg– skalieren können, in einigen Terminals auch mit Strg und mittlerer Maustaste. Die Registerkarte „Farben“ definiert die Farb- und Transparenzeinstellungen (in einigen Terminals auch als Extra-Registerkarte „Hintergrundtyp“). Wer Experimente mit eventuell kontrastarmen Ergebnissen vermeiden will, kann das Systemschema oder vorgegebene Schemata verwenden.

Unter „Bildlauf“ sollte der „Zeilenpuffer“ deutlich vierstellig eingestellt sein, damit Sie auch bei umfangreichen Dateilisten (find, ls, rsync) bis zum Beginn zurückblättern können.

Der allgemeinere Punkt „Bearbeiten -> Einstellungen“ spielt für die Terminal-Optik keine Rolle. Hier können Sie aber unter „Tastenkürzel“ die Hotkeys ermitteln oder neu bestimmen, die in Ihren Terminals gelten. Der Tipp, hier auch die Hotkeys für Kopieren (Strg-Shift-C) und Einfügen (Strg-Shift-V) auf gebräuchliches Strg-C und Strg-V umzustellen, ist zweischneidig, weil Strg-C in der Bash-Shell traditionell für den Abbruch des aktuellen Befehls reserviert ist.

Startparameter: Größe und Position des Terminals können Sie auch per Startparameter festlegen. Global und mit zusätzlicher Angabe der Fensterposition arbeitet der Parameter „–geometry“ (fast überall Standard: Gnome, KDE, XFCE, Mate):

gnome-terminal --geometry=120x24+1+1

Dies würde ein Terminal mit 120 Zeichen Breite und 24 Zeilen Länge in der linken oberen Ecke starten (1 Pixel von links, 1 Pixel von oben). Diesen Aufruf definieren Sie am besten in der globalen Verknüpfung „/usr/share/applications/gnome-terminal.deskop“ in der Zeile „Exec=“ mit root-Recht.

Neben dem schon genannten „–profile“-Schalter gibt es weitere Optionen via Startparameter, welche die grafischen Profileinstellungen nicht vorsehen:

gnome-terminal --zoom=1.4 --working-directory=/media/ha

Dies erhöht den Zoomfaktor um 40 Prozent und startet gleich im gewünschten Verzeichnis. Letzteres ist natürlich auch über die Bash-Shell leicht zu erzielen.

Terminal-Profile: Wer im Terminal verschiedene Profile anlegt, kann mit drei Mausklicks zu einer komplett anderen Darstellung wechseln.

    2. Bash-Zeileneditor und History

    Kaum ein Terminalthema klingt langweiliger als die Regeln des „line editing“ – also Texteingabe, Textbearbeitung, Autocompletion und Befehlssuche am Bash-Prompt. Es entscheidet aber fundamental darüber, wie viel oder wenig Sie tippen müssen – und „Tippen“ bedeutet hier ja meistens nicht das Schreiben von natürlicher Sprache, sondern von oft komplexen Befehlen oder gar von Escape- und Regex-Sequenzen.

    Autocompletion: Lange Dateinamen müssen nicht getippt werden: Wenn Sie die ersten zwei, drei Buchstaben eingeben und dann die Tab-Taste drücken, ergänzt das Terminal den vollständigen Namen automatisch, desgleichen Ordnerpfade, sofern die eingegebenen Buchstaben stimmen (Groß- und Kleinschreibung beachten!).

    History: Das Terminal vergisst nichts – jedenfalls nicht so schnell. Die Befehle werden im Speicher und dauerhaft in der ~/.bash_history gespeichert. Damit die Befehle über Sitzungen und Neustarts hinaus gesammelt werden, sorgt diese Anweisung:

    shopt -s histappend

    Diese werden Sie in jeder Standardstartdatei ~/.bashrc antreffen. Bei welcher Zeilenmenge Schluss sein soll, also die ältesten Einträge gelöscht werden, bestimmen folgende Variablen:

    HISTSIZE=5000
    HISTFILESIZE=5000

    Auch diese stehen in jeder ~/.bashrc, wenn auch eventuell mit geringeren Zeilenangaben. „HISTSIZE“ ist die maximale Zeilenmenge im Speicher, „HISTFILESIZE“ die maximale Zeilenmenge in der Datei ~/.bash_history. Je höher die Zahlen, desto umfangreicher wird das Gedächtnis der Bash-Shell. Mit der Variablen

    HISTCONTROL=ignoredups

    können Sie verhindern, dass die History von Dubletten wimmelt: Bereits vorhandene, identische Kommandos werden dann nicht aufgenommen. Eine weitere Option, die History effizienter zu machen, ist der Ausschluss von Allerweltsbefehlen:

    HISTIGNORE="ls:cd*:free"

    Soviel zur Optimierung der History. Für die eigentliche, praktische Verwendung gibt es mehrere Möglichkeiten. Fast jedem Anwender bekannt ist das Zurückblättern zu den letzten Kommandos mit der Taste Cursor-oben, die den gewünschten Befehl wieder auf den Prompt holt. Eine systematische Suche bietet der Hotkey Strg-R: Nach Eintippen etwa von „tar“ erscheint der letztgenutzte tar-Befehl in kompletter Länge. Ist dieser passend, kann er mit Eingabetaste sofort ausgeführt oder mit Alt-Eingabetaste (eventuell auch Strg-Eingabetaste) zum Editieren auf den Prompt geholt werden. Ist der angezeigte History-Treffer nicht der passende, geht es mit Strg-R zum vorletzten und so fort.

    Eine einfache Alternative oder auch Ergänzung zur Rückwärtssuche mit Strg-R ist eine Filtersuche mit der Taste Bild-oben. Nach Eingabe etwa von „tar“ befördert diese Taste den letzten, kompletten tar-Befehl direkt auf den Prompt, ein weiteres Bild-oben den vorletzten und so fort. Diese Suche funktioniert aber nur, wenn Sie Taste entsprechend belegen – und zwar in der Datei /etc/inputrc. Das Editieren erfordert root-Recht. Sie werden dort die beiden Zeilen

    \"e[5~\": history-search-backward
    \"e[6~\": history-search-forward

    antreffen und müssen dort nur das führende Kommentarzeichen „#“ entfernen.

    Zum Editieren vorhandener Zeilen, seien es selbst getippte oder aus der History gefischte, helfen Lösch- und Rücktaste, Pos1, Ende, Strg-Cursor-rechts/links (wortweise springen), Strg-K und Strg-U (Löschen nach und vor der Cursorposition, siehe dazu auch Punkt 4).

    History-Filter: Mit dieser Einstellung in der Datei /etc/inputrc filtert die Bash nach Bild-oben/Bild-unten die Einträge, die mit dem bereits eingegebenen Teilbefehl übereinstimmen.
    Hübsche Prompts sind hartes Handwerk. Ein funktionaler Prompt liefert aber automatisch Informationen, für die Sie sonst externe Systemwerkzeuge starten müssten.

    3. Farben am Prompt und in Dateilisten

    Der Prompt, also die Anzeige bei jeder Befehlseingabe, kann beliebige statische und dynamische Informationen anbieten, die Sie zur Orientierung erwarten. Die Prompt-Anzeige definieren Sie interaktiv zum Testen mit dem Befehl „PS1=‘…‘“. und dauerhaft in der Datei ~/.bashrc. Einige dynamische Variablen wie das aktuelle Verzeichnis, Datum oder Uhrzeit bietet der Prompt durch vordefinierte Escape-Zeichenfolgen selbst an, etwa „\w“ für das aktuelle Verzeichnis, „\u“ für das angemeldete Konto oder „\h“ für den Rechnernamen. Einfache Prompts sehen dann so aus:

    PS1="\w => "
    PS1="\u@\h:\w => "

    Eine gute Infoquelle für alle Prompt-Optionen ist die Seite https://wiki.archlinux.de/title/Bash-Prompt_anpassen. Über die eingebauten Codes hinaus können Sie jede allgemeine oder selbst definierte Variable einfach mit „$Variable“ in die PS1-Definition setzen:

    PS1="\w [$LOGNAME] => "

    Mehr noch: Der Prompt kann sogar beliebige Befehle aufnehmen. Wir demonstrieren das mit einem Beispiel, das freilich als Prompt dauerhaft nicht praktikabel ist:

    PS1="\nSPEICHERAUSLASTUNG: \n\$(free -m)\[\033[0m\]\n\n => "

    Um Infos gegeneinander abzugrenzen, sind ferner Farbdefinitionen vorgesehen, die stets mit der Sequenz „\[\033“ starten. Ein komplexer Prompt wie

    PS1="\n\[\033[47;30m\]\d, \A \[\033[41;37m\] \u on \H \[\033[47;30m\] MB free=$freemem \[\033[41;37m\] $CPU \[\033[40;37m\] [$timediff] \[\033[42;30m\] \w \[\033[0m\]\n"

    ist praktisch unlesbar. Immerhin geht es Schritt für Schritt von einer Escape-Sequenz zur nächsten – „\n“ bedeutet einen Zeilenumbruch, „\[\033“ schaltet dann die Farben um, „\d“ setzt das Datum ein, „\A“ die Uhrzeit. Erläuternder Text oder Zeichen wie Komma oder Blank sind an jeder Stelle möglich, ferner auch Variablen mit „$“.Wichtig ist, Farbdefinitionen am Ende wieder zurückzusetzen

    (*\[\033[0m\]“).

    Die unsäglichen Farbsequenzen einerseits, die Variablen-Tauglichkeit des Prompts andererseits veranlassen Bash-Freaks, alle nötigen Codes in Variablen abzulegen (in der ~/.bashrc)

    GREEN="\[\033[01;32m\]"

    und dann als handlichere Variablen ($GREEN) in den Prompt einzubauen. Auch dies ist aber ein mühsamer Notbehelf, dem wir folgende Online-Hilfe vorziehen:

    Easy Bash PS1 Generator: Ein nützlicher Helfer für farbenfrohe Prompts ist die Seite http://ezprompt.net/. Hier gehen Sie von ersten Position zur letzten durch, was der Prompt zeigen soll, und bestimmen für das jeweils markierte Element Vorder- und Hintergrundfarbe („FG“ und „BG“). Die einzelnen Elemente lassen sich auch nachträglich umsortieren. Im untersten Feld erscheint der zugehörige Code für die PS1-Variable, den Sie einfach kopieren, im Terminal einfügen und mit Eingabetaste testen. Wenn das Ergebnis passt, übernehmen Sie die Codezeile in Ihre Datei ~/.bashrc. Die Webseite deckt längst nicht alle Möglichkeiten des Bash-Prompts ab, liefert aber zuverlässig die heiklen Farbcodes.

    Dynamische Infos durch Prompt_Command: Wenn Variablen Echtzeit-aktuell im Prompt landen sollen (etwa die CPU-Auslastung), dann muss diese Variable unmittelbar vor der Prompt-Darstellung ermittelt werden. Dafür bietet die Bash-Shell einen speziellen Service: Mit

    PROMPT_COMMAND=[function-name]

    definieren Sie eine Function der Datei .bashrc, die bei jedem Befehl in der Kommandozeile abgerufen wird. Da dies sehr oft geschieht, sollten Sie den Rechenaufwand in Grenzen halten. Ein Beispiel für einen selbstgebauten Prompt mit Echtzeitinfos aus einem Prompt_Command sehen Sie in der Abbildung auf dieser Seite.

    Farbige Dateien und Ordner: Das Terminal stellt Dateitypen und Ordner standardmäßig in unterschiedlichen Farben dar. Wenn Sie bestimmte Farben ändern möchten, erstellen Sie mit folgendem Befehl eine persönliche Konfigurationsdatei im Home-Verzeichnis:

    dircolors -p > ~/.dircolors

    Die versteckte Datei .dircolors können Sie dann mit einem beliebigen Editor bearbeiten. So werden zum Beispiel Ordnernamen gelb gefärbt:

    DIR 01;33

    Die Einstellungen dieser eigenen Farbtabelle dominieren über die Standardeinstellungen. Die Farbcodes können Sie der bereits genannten Seite https://wiki.archlinux.de/title/Bash-Prompt_anpassen entnehmen. Achten Sie auf die Tatsache, dass solche Farbdefinitionen durch Umstellen der allgemeinen Terminalfarben (siehe Punkt 1) unter Umständen unlesbar bis unbrauchbar werden. Wer hier Zeit investiert, sollte an der allgemeinen Terminaloptik nichts mehr verändern.

    Diese Seite erspart das Recherchieren der Farbcodes: Auf http://ezprompt.net/ stellen Sie sich die Basis des Bash-Prompts per Mausklicks zusammen.

    4. Bash-Aliases und Bash-Hotkeys

    Ohne in das Bash-Scripting einzusteigen, das dieser Beitrag weitestgehend ausklammert, können einfachste Alias-Kurzbefehle und (weniger einfache) Bind-Hotkeys die Effektivität der Bash-Shell enorm steigern.

    Bash-Hotkeys: Mit Tastendefinitionen sollte man sparsam umgehen, damit der Durchblick nicht verlorengeht, jedoch sind einige Nachbesserungen sinnvoll und produktiv. So ist etwa beim Editieren am Prompt zwar das Löschen vor und nach der Cursorposition mit den Hotkeys Strg-U und Strg-K vorgesehen, aber nicht das Löschen der kompletten Zeile mit einem Hotkey. Folgende Bind-Kommandos

    bind '“\C-l“:kill-whole-line'
    bind '“\el“:kill-whole-line'

    legen den internen Befehl „kill-whole-line“ auf die Hotkeys Strg-L und Alt-L. Die Strg-Taste ist mit „\C“ einzugeben, Alt mit „\e“. Dass bei Strg die Folgetaste mit Bindestrich abzugrenzen ist, bei der Alt-Taste hingegen nicht, ist kompliziert, aber nicht zu ändern.

    Folgender Befehl

    bind '"\e[15~":"xdg-open . \n"'

    belegt die Funktionstaste F5 so, dass sie den Standarddateimanager mit dem aktuellen Verzeichnis auslöst. Die Funktionstasten sind mit „\e[nn~“ anzugeben, wobei die Ziffer „nn“ in der Regel den Wert plus 10 der tatsächlichen Taste benötigt. Im Zweifel kann der Befehl „read“ und anschließendes Drücken der Funktionstaste über die Ziffer „nn“ informieren.

    Bind-Befehle können Sie interaktiv ausprobieren; sie gelten dann bis zum Schließen des Terminals. Für permanente Gültigkeit benötigen sie einen Eintrag in die Datei ~/.bashrc.

    Aliases: Kurzbefehle können die schnelle Ordnernavigation vereinfachen oder komplexe Befehle abkürzen. Der Platz für Aliases ist wieder die Datei ~/.bashrc, und die Befehle werden in einfachsten Fällen so aussehen:

    alias ini='$EDITOR ~/bashrc'
    alias mc='mc /srv/dev-disk-by-label-Data /srv'
    alias ll='ls -alF --group-directories-first'

    Aliases entschärfen die interaktive Nutzung mächtiger Terminaltools erheblich. Ein Beispiel ist etwa folgendes Alias für den Find-Befehl:

    alias fn='read -p "Dateimaske (z.B. *.pdf): " TMP; find . -type f -name "$TMP"'

    Nach Aufruf des Kürzels fn werden Sie mittels „read“ nach der Dateimaske gefragt, die dann etwa „*.odt“ oder auch „2018*.jpg“ lauten kann (ohne Anführungszeichen). Diese Eingabe wird mit der Variable $TMP an find weitergereicht. Das Alias geht davon aus, dass man zuerst in das gewünschte Verzeichnis gewechselt hat, denn dort startet find seine Suche (Punkt nach „find .“).

    Ähnlich übergibt hier

    alias ft='read -p "Alter in Tagen (z.B. 7): " TMP; find . -type f -mtime "-$TMP"'

    die Variable $TMP eine Zahl an find, das dann über den Schalter „-mtime“ alle Dateien ermittelt, die in den letzten Tagen erstellt wurden.

    Hotkeys für die Bash-Shell: Mit bind können Sie Tasten und Tastenkombinationen neu definieren und Programme auslösen. „bind -P“ informiert über aktuelle Belegungen.
    Weniger tippen und nicht über die Syntax nachdenken: Aliases machen komplexe Bash-Kommandos – wie hier find – deutlich komfortabler.

    5. Ordnernavigation im Terminal

    Verzeichniswechsel mit cd gehören zu den meistgenutzten Kommandos. Auch hier gibt es eine Reihe kleiner Optimierungen.
    Die häufigsten Zielordner sind am besten über ein knappes Alias zu erreichen – etwa um nach

    alias d = 'cd ~/Schreibtisch'

    mit der Eingabe „d“ zum Desktop zu gelangen.
    Eine effiziente Lösung für schnelles Springen in wichtige Verzeichnisse ist die Variable CDPATH. In ihr lassen sich mehrere Ordnerpfade speichern. Danach kann man überall mit „cd [Verzeichnis]“ in ein Unterverzeichnis eines der gespeicherten Verzeichnisse springen. Um also etwa den Pfad „/var/www/html“ in die Variable CDPATH aufzunehmen, geben Sie

    export CDPATH='.:/var/www/html/'

    ein. Danach wechseln Sie von beliebiger Stelle mit „cd htdocs“ und „cd logs“ in Unterordner von „/var/www/html/“. Die CDPATH-Variable lässt sich durch eine beliebige Anzahl weiterer Verzeichnisse erweitern – jeweils durch Doppelpunkt getrennt:

    export CDPATH='.:~:/var/www/html/:/media/985c9fb3-14a6-449e-bec5-4666a283fbf4/'

    Hier besteht der „CDPATH“ aus dem aktuellen Verzeichnis („.“), dem Home-Verzeichnis („~“), dem Webserver-Verzeichnis und einem Mountordner. Am Anfang sollte mit „.:“ immer das aktuelle Verzeichnis stehen, damit dieses die höchste Priorität behält. Für einen dauerhaften „CDPATH“ müssen Sie die Export-Anweisung in die Datei .bashrc eintragen.

    Die meisten Nutzer verwenden cd für den Verzeichniswechsel, obwohl die Alternativen pushd und popd mehr Komfort bieten, vor allem dann, wenn es häufig von einem Ordner zum anderen und wieder zurückgehen soll. Daher sorgen folgende simplen Alias-Definitionen:

    alias +='pushd'
    alias _='popd'

    dafür, dass sich die Bash-Shell nach „+“ das letzte Verzeichnis merkt. Mit „_“ kehren Sie danach umstandslos zurück zum letzten Verzeichnis. Das normale Minuszeichen („-„) ist als Alias-Kürzel nicht möglich.

    Die Bash besitzt eine optionale Autokorrektur, um Vertipper bei Verzeichnisnamen auszubessern. Diese Autokorrektur ist standardmäßig abgeschaltet, erst diese drei Befehle schalten sie ein:

    shopt -s direxpand
    shopt -s dirspell
    shopt -s cdspell

    Danach wird die Shell den Eingabefehler

    cd /ect/samba/

    nach /etc/samba/ korrigieren und korrekt landen. Soll die Autokorrektur permanent aktiv sein, dann müssen die Befehle in die ~/.bashrc eingetragen werden.

    Effiziente Navigationshilfe: Einträge wichtiger Verzeichnisse in die Variable CDPATH erlauben den direkten Ordnerwechsel quer über Verzeichnisstruktur und Laufwerke.

    6. Die wichtigsten Terminaltools

    Die Aufwertung der Shell durch externe Tools ist für SSH-administrierte Server unentbehrlich, für die virtuellen Konsolen im Falle des Falles sinnvoll und selbst am Desktop erwünscht. Der letztgenannte Aspekt gilt vor allem für Nutzer, die für Datei- und Verwaltungsaufgaben generell das Terminal bevorzugen.

    Taskmanager Htop: Htop (mit gleichnamigem Paketnamen) zeigt beliebig detaillierte Infos zu allen laufenden Prozessen, CPU- und Speicherauslastung und Uptime. Es beherrscht sämtliche Kill-Methoden für randalierende Tasks. Über „F2 Setup“ lässt sich das Tool hinsichtlich Anzeigeinfos und Optik sorgfältig einrichten.

    Dateimanager MC: Der Midnight Commander (Paketname „mc“) kann es mit jedem grafischen Pendant aufnehmen und dabei mit 256-Farben-Skins auch noch attraktiv aussehen („Optionen -> Appearance“). Voraussetzung dafür ist der Befehl „TERM=xterm-256color“ in der Datei ~/.bashrc.

    Multiterminal Screen: Terminal-Multiplexer wie Screen (mit gleichnamigem Paketnamen) verwalten mehrere Terminal-Sitzungen in einem Fenster. Solche Tools sind auf der grafischen Oberfläche unnötig, aber alternativlos auf Servern, die per SSH verwaltet werden. Wenn Sie Screen starten, scheint gar nichts zu passieren. Um die Vorzüge zu erkennen, beginnen Sie am besten von vornherein mit einer Konfigurationsdatei ~/.screenrc im Home-Verzeichnis. Diese könnte etwa so aussehen wie in der nebenstehenden Abbildung. Hier werden beim Aufruf screen drei Terminals gestartet. Die „Caption“-Anzeige sorgt dafür, dass Sie in der Fußzeile über die geladenen Terminals informiert bleiben. Die Escape-Sequenzen für „Caption“ sind mühsam, aber unter www.gnu.org/software/screen/manual gut dokumentiert.

    Fundamentaler Hotkey ist Strg-a, gefolgt von einer Kommandotaste: Strg-a und nachfolgendes n oder p wechselt zur nächsten oder vorherigen Konsole. Strg-a und c startet ein weiteres Terminal, Strg-d schließt das aktuelle. Ein wichtiger Hotkey ist außerdem Strg-a und Esc, weil Sie nur dann im Screen-Fenster mit Taste oder Maus in Listen scrollen können.

    Datenträgerbelegung mit Ncdu: Ncdu (mit gleichnamigem Paketnamen) sortiert Verzeichnisse nach der enthaltenen Datenmenge und bietet eine sehr viel bequemere Festplattenanalyse als das Standardwerkzeug du. Denn Ncdu beherrscht wie ein Dateimanager die Navigation zwischen den Verzeichnissen und kann aktiv löschen. Die einzig wichtige Bedienregel, die sich nicht sofort erschließt, ist die Auswahl des Startordners. Ist Ncdu nämlich einmal gestartet, wird es in keine höhere Verzeichnisebene wechseln. Wenn Sie daher das komplette Dateisystem durchforsten wollen, sollten Sie ncdu mit

    ncdu /

    starten. Ncdu sortiert nach Ordnergrößen, kann aber mit Taste „n“ auch nach Namen sortieren, mit „s“ wieder nach Größe („size“).

    Screen und seine Konfigurationsdatei: Das Tool screen macht die typische Terminalvermehrung bei Administratoren zur übersichtlichen Angelegenheit.

    7. Alternative Terminals

    Wie Punkt 1 zeigte, geben die Standard-Terminals der Linux-Distributionen kaum Anlass, nach Alternativen zu suchen. Die gibt es natürlich: So ist Terminator (mit gleichnamigem Paketnamen) eine Fortentwicklung von Gnome-Terminal mit etlichen Zusatzfunktionen, die etwa den Textzoom mit Strg-Mausmitteltaste erlauben (wie die Konsole unter KDE) oder automatisches Ausblenden bei Fokusverlust. Weitere Funktionen fallen gegenüber dem Gnome-Terminal eher marginal aus.

    Das Terminal Terminology (mit gleichnamigem Paketnamen) stammt aus dem Enlightenment-Desktop und ist so eigenwillig wie jener. Terminology entspricht weitgehend dem Gnome-Terminal, hält aber Spezialitäten bereit, die sich nach Rechtsklick automatisch einblenden. Die hier angebotenen Split-Funktionen sowie Kopieren und Einfügen per Mausklick erhöhen den Terminal-Komfort. Unter „Einstellungen“ gibt es weitere Raffinessen wie Hintergrundbilder. Trotz dieser Vorzüge ist Terminology insgesamt gewöhnungsbedürftig und hat auch Nachteile: Schriften-, Farbdarstellung und Zoomfunktion fallen gegenüber den Standard-Terminals ab.

    Tilda und Guake: Diese Dropdown-Terminals haben kein interaktiv skalierbares Fenster und keine Titelleiste, sondern blenden sich in fester, aber exakt einstellbarer Größe nach Hotkey F1 (Tilda) oder F12 (Guake) ein und aus. Das Ausblenden kann auch automatisch bei Fokusverlust eingestellt werden, also durch beliebigem Klick außerhalb des Terminalbereichs. Die Einstellungen bieten Transparenz, Einblendanimation, Farbanpassung, Shell-Tabs, Suchleiste und vieles mehr. Im Fenster läuft die Bash – alle Bash-Einstellungen werden also übernommen. Für Terminal-Vielnutzer sind diese stets im Hintergrund wartenden Bash-Dauerläufer eine klare Empfehlung. Die Unterschiede zwischen Tilda und Guake sind marginal und letztlich Geschmackssache. Tilda und Guake sind über die gleichnamigen Paketnamen überall verfügbar.

    Fish ist kein alternatives Terminal, sondern eine eigene Shell. Sie ist über den Paketnamen „fish“ überall verfügbar, die aktuellste Version über ein PPA (ppa:fish-shell/nightly-master). Fish bringt Farbe ins Spiel, macht selbständig ergänzende Angebote zu partiellen Eingaben und informiert bei Syntaxfehlern vorbildlich über Korrekturen. Ein Alleinstellungsmerkmal ist die Konfiguration im Browser nach diesem Befehl:

    fish_config

    Unter „colors“ und „prompt“ wählen Sie aus vorgegebenen Farbschemata und Prompts, und mit „Set Theme“ oder „Set Prompt“ übernehmen Sie das Ergebnis. Wichtig sind die „abbreviations“, da Sie damit Alias-Kurzbefehle anlegen können. Für Scripts verwendet Fish „functions“ mit eigener Syntax. Zielgruppe für die Fish-Shell sind Einsteiger, denen Fish den Terminal-Umgang zunächst in der Tat vereinfacht. Das Problem ist nur, dass sich Bedienung und Script-Konzept von den Standard-Terminals stark unterscheidet: Wer der Fish-Shell wieder den Rücken kehrt, fängt mit Gnome-Terminal & Co. sowie Bash praktisch wieder von vorne an.

    Fensterlos und automatisch im Hintergrund: Das Dauerterminal Tilda kann sich in den Hintergrund verabschieden, wenn ein Desktop-Element außerhalb geklickt wird (Fokusverlust).

    Zurück zur Linux-Übersichtsseite…

Tipps & Tools fürs Internet

Der kompakte Ratgeber erklärt wesentliche Aspekte der Internet-Nutzung hinsichtlich Effizienz und Sicherheit. Neben typischen Client-Rollen mit Browser und Mail geht es auch um öffentliche Home- und Web-Server.

Das öffentliche Netz, sprich: Internet, scheint auf den ersten Blick unkomplizierter als das lokale Netzwerk. Der Aspekt Hardware fällt unter den Tisch, denn dafür sorgen der Internet-Provider beziehungsweise die Millionen Web-Server mit ihren Mail-, Download-, Kommunikations-, Info-Diensten. Wer nur Download-technisch unterwegs ist, hat nur die Sicherheitssorge: Er muss dafür sorgen, dass kein digitaler Schmutz im eigenen lokalen Netz landet – und dabei ist Linux per se ein effizienter Schutzwall. Aber Internet ohne Uploads ist nicht realistisch: Mail, Cloud, soziale Netzwerke, Banking, Online-Konten und Synchronisierungsdienste summieren sich zu einer Entropie-Wolke veröffentlichter Upload-Daten. Hier geht es um Datenschutz, also um Schutz durch Verschlüsselung, um Überblick und um Reduktion der Datenmenge. Technisch anspruchsvoll wird es, wenn Daten von Home-Servern und Web-Servern über das Internet erreichbar sein sollen, aber vielleicht nicht für alle und jeden.

Internet-Grundlagen

Bandbreiten und MBit/s

Die Währung der Internet-Provider sind die relativ unhandlichen MBit/s, Megabits pro Sekunde. Um aus MBit/s eine anschauliche Datenmenge zu errechnen, teilen Sie grob durch 10 und runden großzügig auf: Bei 16 MBit/s gehen also gut 1,6 MB (2,0) pro Sekunde durch die Leitung, bei 50 MBit/s gut 5 MB (6,25). Aktuell reichen die angebotenen Bandbreiten von 2 bis 400 MBit/s. Welche Bandbreite wofür notwendig ist, soll folgende Grobübersicht zeigen:

Mit 6 MBit/s funktionieren Mail, soziale Netzwerke und HTML-Darstellung noch flott, Video-Wiedergabe wird aber bereits bei mäßiger Qualität grenzwertig.

16 MBit/s garantieren schnelles Surfen, flotte Software-Downloads und mit Abstrichen den Zugang zu IPTV und TV-Mediatheken.

25-50 MBit/s erlauben rasante Medien-Downloads (Audio, Film) und ruckelfreie Wiedergabe aller Medienangebote, grenzwertig bei hochauflösendem HD-Inhalten.

100-200 MBit/s sind Bandbreiten für anspruchsvolles Home-Office und Download-Junkies mit keinerlei Limits auf der Empfängerseite. Noch schnellere Leitungen sind derzeit kaum sinnvoll, weil Internetserver solche Datenmengen selten ausliefern.

Die Übertragungstechniken

DSL (Digital Subscriber Line) nutzt vom grauen Kasten an der Straße (DSLAM) bis zum Kunden das Kupferkabel der Telefonleitung und ist mit 16 MBit/s am oberen Limit. VDSL (Very High Speed Digital Subscriber Line) verwendet denselben Übertragungsweg, kommt aber durch technische Optimierung auf maximal 52 MBit/s.

Internet via Fernsehkabel ist schneller als (V)DSL und mit geringem Aufwand erreichbar, wo bereits ein Kabelanschluss besteht. Die Angebote der größten Kabelprovider Vodafone und Unitymedia reichen derzeit von 32 bis 400 MBit/s.

Glasfaser direkt zum Endkunden (Fibre to the Home) könnte theoretisch 1000 MBit/s übertragen, ist aber praktisch überall mit langsameren Kupferkabel kombiniert. Die Angebote nennen daher vergleichsweise bescheidene 25 bis 200 MBit/s. Glasfasernetze sind in Deutschland nur sporadisch anzutreffen.

Das Funknetz UMTS erzielt theoretisch bis zu 42 MBit/s. Typische Angebote liegen bei 7, 14 und 21 MBit/s. Neben der relativ geringen Geschwindigkeit müssen UMTS-Kunden mit einem knappen Downloadlimit auskommen. Wer dies überschreitet, wird auf mageren Kilobyte-Durchsatz gedrosselt. UMTS bleibt ein Notnagel, wo sonst nichts geht.

Das Funknetz LTE (Long Term Evolution, UMTS-Nachfolger) liefert – in der Theorie – bis zu 375 MBit/s. Die Angebote der Hauptprovider Telekom, Vodafone und O2 bewegen sich überwiegend zwischen 7 und 50 MBit/s. Auch hier gibt es enge Downloadlimits, deren Überschreitung die Leitung drosselt.

Verfügbarkeit prüfen: Simpelster Rat ist es, positive Erfahrungen der Nachbarn zu erfragen. Eine systematische Recherche-Quelle ist der Breitbandatlas unter www.zukunft-breitband.de, der Techniken und Anbieter für die Region anzeigt und dabei auch einen Filter für die gewünschte Bandbreite vorsieht. Mit einer Verfügbarkeitsprüfung beim passenden Anbieter mit genauer eigener Adresse erhalten Sie dann zuverlässige Auskunft.

Downloads und Uploads: Provider-Angebote nennen meist nur die Empfangsleistung, also die Download-Bandbreite. Das ist insofern berechtigt, als 99 Prozent der Endkunden nur Daten abholen wollen (HTML-Seiten, Medien-Streams, Datei-Downloads). Wer zu Hause einen Server betreibt oder beruflich große Datenmengen an Server verschicken muss, sollte auch an die Upload-Leistung denken. Die liegt oft nur bei 1 bis 3 MBit/s. Schnellere Uploads sind in der Regel nicht gesondert, sondern nur über teurere Gesamtpakete zu erreichen, die dann zugleich schnellere Downloads erlauben.

Breitbandatlas

 

Die zwei IP-Adressen (LAN und WAN)

Im lokalen Netzwerk (LAN – Local Area Network) hat jedes Gerät hat seine IP-Adresse. Der Zugang ins Internet bedeutet den Schritt in ein anderes Netzwerk – ins WAN (Wide Area Network), und dafür ist eine zweite, öffentliche IP-Adresse notwendig. Alle PCs, Tablets oder sonstige Geräte in Ihrem Heimnetz gehen mit dieser einen WAN-IP ins Internet. Die öffentliche IP-Adresse können Sie nicht beeinflussen: Sie wird dem Router einmal täglich neu vom Provider zugewiesen. Auch beim manuellen Neustart des Routers erhalten Sie eine neue öffentliche WAN-IP. Feste WAN-IPs gibt es nur noch bei einigen Uralt- oder teuren Business-Verträgen.

Für typische Internet-Nutzung ist es unerheblich, seine WAN-IP zu kennen: Das Gerät im lokalen Netz fordert eine Seite im öffentlichen Internet an (meist via Browser), der Router merkt sich die lokale IP, geht mit der öffentlichen WAN-IP zum angefragten Internet-Server, der schickt die angefragten Daten über die WAN-IP zum Router zurück, und der Router leitet sie schließlich an jenes Gerät weiter (an dessen lokale IP-Adresse), das die Anfrage ausgelöst hatte.
Der skizzierte Vorgang der „Network Address Translation“ (NAT) des Routers sorgt dafür, dass der Benutzer über den permanenten Wechsel vom lokalen Netz ins öffentliche Netz und wieder zurück nichts wissen muss. NAT sorgt ferner dafür, dass das lokale LAN-Netz und die dort befindlichen Teilnehmer vor unerwünschten Anfragen aus dem Internet abgeschottet sind: Alle Teilnehmer (IPs) im lokalen Netz sind nicht direkt erreichbar, sondern nur über die WAN-IP. Eine direkte Kommunikation vom Internet zu einem LAN-PC ist daher nicht möglich, und das ist aus Sicherheitsgründen auch gut so. Der Router verwirft alle Datenpakete aus dem Internet an die öffentliche WAN-IP, die von keinem Gerät im lokalen Netzwerk angefordert wurden.

Externe WAN-IP ermitteln

Die externe WAN-IP wird wichtig, wenn Sie über das Internet auf irgendeinen Serverdienst Ihres lokalen Netzwerks zugreifen oder die Sicherheit Ihres Netzes von außen prüfen wollen (etwa mit nmap). Die WAN-IP zeigt der Router in seiner Konfigurationsoberfläche, so etwa die Fritzbox unter „Übersicht“. Ferner gibt es zahlreiche Webdienste wie etwa www.browsercheck.pcwelt.de/firewall-check, welche die öffentliche IP via Browser zurückliefern.
Auf der Kommandozeile genügt der Befehl:

curl ifconfig.co

Sie erhalten ohne Umschweife die öffentliche WAN-IP. Auch das beliebte Kommandozeilen-Tool inxi, das über den gleichnamigen Paketnamen schnell nachinstalliert ist, beherrscht mit Parameter inxi -i die Abfrage der WAN-IP.

Das Heimnetz über Portfreigaben öffnen

Wer Daten oder Dienste seines lokalen Heimnetzes unterwegs aus dem öffentlichen Internet erreichen will, steht vor technischen und sicherheitstechnischen Problemen. Hinsichtlich der Benutzerauthentifizierung müssen weit strengere Regeln gelten als im lokalen Netz, da mit permanenten Einbruchsversuchen zu rechnen ist. Daher verbieten sich standardisierte User-Namen wie „root“ oder „gast“, und bei den Zugangskennwörtern sind komplexe Passwörter zwingend, an denen Wörterbuchattacken scheitern. Technisch entstehen drei Aufgaben:

1. Der Router benötigt eine Portfreigabe. Welche Portnummer (1- 65535) Sie nach außen öffnen, ist unerheblich – Sie müssen sie sich nur merken. Mit einer Portnummer größer 1000 erhöhen Sie theoretisch die Sicherheit, da Portscanner oft nur prominente Standardports abfragen (etwa 21 FTP, 22 SSH, 80 HTTP, 110 POP-Mail, 143 IMAP-Mail) oder die ersten 1000. Die Portfreigabe geschieht im Router, in der Fritzbox unter „Internet -> Freigaben -> Portfreigaben“. Bei anderen Routern mag das „Portforwarding“, „Portmapping“ oder „Virtual Server“ heißen, das hier für die Fritzbox erklärte Prinzip ist aber überall gleich: Sie tragen neben „von Port“ und „bis Port“ eine frei gewählte Portnummer ein, die nach außen geöffnet wird. Unter „an Port“ müssen Sie genau den Port-Kanal angeben, mit dem der Serverdienst arbeitet. Das kann beispielsweise 22 für SSH oder 80 für einen Webserver sein. Die Abbildung zeigt ein Beispiel für den SSH-Fernzugriff.

2. Der Heimserver benötigt eine feste lokale IP. Damit der Router Anfragen aus dem Web über die definierte Portnummer (frei wählbar) an das richtige Gerät schickt, ist es zuverlässiger, sich nicht auf dessen Hostnamen zu verlassen, sondern mit einer festen IP zu arbeiten. Die Fritzbox erledigt dies unter „Heimnetz -> Heimnetzübersicht -> Netzwerkverbindungen“ mit der Option „Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen“.

3. Für den Fernzugriff auf den heimischen Server benötigen Sie die öffentliche WAN-IP. Der Fernzugriff für das abgebildete SSH-Beispiel kann dann mit ssh -p [Port] [User]@[WAN-IP] erfolgen, also etwa mit:

ssh -p 10880 ha@178.27.34.204

Dabei stellt sich jedoch das Problem, dass Sie die aktuelle WAN-IP Ihres Heimnetzes nicht ermitteln können, wenn Sie sich außerhalb Ihres Netzwerks befinden. Dafür gibt es zwei Lösungen:

3a. Sie registrieren eine Pseudo-Domain etwa bei www.noip.com oder www.dlinkddns.com (für D-Link-Router). Kontodaten und Hostnamen geben Sie dann in die dafür vorgesehenen Eingabefelder des Routers ein. Bei der Fritzbox finden Sie diese unter „Internet -> Freigaben -> Dynamic DNS“. Der Router wird ab sofort bei jeder Einwahl seine WAN-IP an diesen Dienst weitergeben. Folglich führt die Angabe der Pseudo-Domain weltweit in Ihr Heimnetz.
3b. Sie sorgen selbst dafür, dass die aktuelle WAN-IP Ihres Netzwerks irgendwo im Internet hinterlegt ist. Für diese Methode ohne externe Fremdhilfe liefert der nachfolgende Haupttext dieses Artikel Tipps und Anregungen.

Portfreigabe

Speedtest mit und ohne Browser

Wie schnell ist die Internetverbindung? Als aussagekräftig haben sich die Messwerte von Speedtest.net erwiesen (www.speedtest.net), und viele Provider, die scheinbar eigene Speedtests anbieten, nutzen im Hintergrund ebenfalls Speedtest.net. Die typische Messung erfolgt mit dem Browser, der dazu aktuelles Adobe Flash benötigt. Auf Linux-Systemen, zumal auf Servern ohne grafische Oberfläche, gibt es eine universellere Testmethode im Terminal. Das Python-Script speedtest.py benötigt keinen Browser, lässt sich mit

wget -O speedtest.py https://raw.githubusercontent.com/sivel/speedtest-cli/master/speedtest.py

in das aktuelle Verzeichnis laden und danach mit

python speedtest.py

starten. Durch Pings ermittelt das Script den optimalen Testserver und führt dann die Messungen für die Download- und Upload-Geschwindigkeit durch. Technische Basis ist auch hier der weltweite Web-Service von speedtest.net.

Speedtest

Wie schnell ist der Web-Server?

Wer seinen eigenen Webserver testen will, nutzt am besten das Kommandozeilen-Tool Siege, das unter diesem Paketnamen überall unter Linux verfügbar ist. Siege erzeugt auf dem Zielserver mit einer konfigurierbaren Flut von Anfragen eine ordentliche Last. Siege hat die Anlagen eines Denial-of-Service-Tools und sollte nur zeitlich und numerisch begrenzt, außerdem nur auf eigene Server losgelassen werden. Einen Stresstest mit 50 Verbindungen startet dieses Kommando:

siege -c50 -b www.meinserver.de

Die Anfragen laufen endlos, bis Sie mit Strg-C abbrechen. Nach Abbruch der Belagerung zeigt Siege eine Statistik der Messwerte an. Weitere Server-Tests mit zusätzlichen Ratschlägen zur Leistungsverbesserung bieten Web-Dienste wie https://developers.google.com/speed/pagespeed/insights von Google oder die Pingdom-Analysen unter http://tools.pingdom.com/fpt/.

Downloads und Uploads mit wget und curl

Für automatisierte Downloads und Uploads sind Browser und grafische FTP-Programme ungeeignet. Die wichtigsten Kommandozeilen-Werkzeuge wget und curl sind daher auf den meisten Linux-Systemen standardmäßig installiert. Wget beherrscht den rekursiven Download und kann somit eine komplette Website lokal speichern:

wget –r -l8 http://meineseite.de

Dieser Befehl holt bis in die achte Verzeichnisebene (-l8) alle Dateien von der angegebenen Website. Einzeldownloads sind natürlich mit wget http://seite.de/Datei.txt ebenfalls möglich. Über wget-Downloads lassen sich auch PHP-Scripts auf Web-Servern auslösen. Wo nötig, kann sich wget über die Parameter „–user=“ und „–password==“ auf dem Webserver ausweisen.

Curl beherrscht Uploads und Downloads, allerdings nicht rekursiv. Da Sie alle Downloads mit wget erledigen können, ist Curl vor allem für automatische Uploads relevant. Der entscheidende Parameter für Uploads ist „-T“. Die meist nötige Authentifizierung für FTP-Uploads beherrscht Curl über den Parameter „–user [ftpuser]:[kennwort]“. Das folgende konkrete Beispiel

curl -T ha.kbdx ftp://meinserver.de/ordner/ha.kbdx --user ha:geheim

ist im nachfolgnden Haupttext genauer erläutert.

Domain-Abfragen mit Host und Whois

Das standardmäßig installierte Tool host gibt die IP-Adresse einer Web-Domain zurück:

host google.de

Wer weitere Details erfragen will, sollte whois nachinstalieren, das mit gleichnamigen Paketnamen unter jedem Linux zu beziehen ist. Das Tool liefert zur angegebenen Site mindestens ausführliche Angaben zum Hoster, oft aber weitere Infos zum Domain-Besitzer einschließlich Adresse und Telefon. Whois ist auch hilfreich, um bei Spam-Mails mit gefälschten Adressen den realen Web-Server zu ermitteln.

 

Tipps und Tricks fürs Internet

1. Sicherheit im Browser: Die Schutzmechanismen

Firefox bietet unter „Extras -> Einstellungen -> Sicherheit“ drei Optionen, um betrügerische Webseiten zu blockieren. Hier sollten unter „Allgemein“ alle Kästchen aktiviert sein. Es handelt sich allerdings nur um einen Grundschutz, der durch Add-ons erweitert werden sollte. Chrome zeigt unter „Einstellungen -> Erweiterte Einstellungen anzeigen -> Datenschutz“ die Option “ Mich und mein Gerät vor schädlichen Websites schützen“. Früher hieß die Option technisch klarer „Phishing- und Malware-Schutz aktivieren“. Sie sorgt dafür, dass Chrome den Zugang auf gefährliche Sites blockiert und vor „ungewöhnlichen“ Downloads warnt. Ob es sich letztlich um eine harmlose Datei handelt, welche die Google-Datenbank nur nicht kennt, können Sie dann selbst entscheiden.

Weitere empfohlene Browser-Erweiterungen finden und installieren Sie über „Add-ons“ in Firefox oder über „Einstellungen -> Erweiterungen“ in Chrome/Chromium. Das Firefox-Add-on Noscript verhindert, dass Webseiten Javascript, Java oder andere ausführbare Inhalte automatisch starten. Sie haben die Kontrolle, ob solche Scripts starten dürfen. Das ist nicht immer bequem, da auf vielen interaktiven Seiten die Scripts explizit erlaubt werden müssen. Einmal erlaubte Sites landen aber in der Whitelist und müssen später nicht mehr bestätigt werden.

Chrome zeigt unter „Einstellungen -> Erweiterte Einstellungen -> Inhaltseinstellungen -> JavaScript“ eine Option, Javascript generell zu verbieten. Das ist nicht praktikabel, da dann sehr viele interaktive Web-Seiten nicht mehr funktionieren (etwa Google Drive, Google Store). Eine alltagstaugliche, mit Firefox-Noscript vergleichbare Lösung, steht nach der Einstellung von Notscript 2014 aus.
HTTPS Everywhere: Die Erweiterung wählt, wo immer verfügbar, eine verschlüsselte HTTPS-Verbindung zu einer Website. Verschlüsseltes HTTPS ist vor allem bei Bankgeschäften und Einkäufen im Internet unverzichtbar, weil Sie Zugangsdaten oder Kreditkartendaten über das Netz versenden müssen. Der Browser zeigt eine verschlüsselte Verbindung zur zertifizierten Gegenstelle in der Adresszeile grün gefärbt. Verifizieren Sie das immer, bevor Sie Daten eingeben.

Die über Jahre empfohlene Erweiterung Web of Trust (WOT) ist nach Bekanntwerden zweifelhafter Verkaufspraktiken disqualifiziert. WOT basiert auf einer an sich zuverlässigen Community-Datenbank mit betrügerischen oder jugendgefährdenden Websites und warnt vor dem Betreten solcher Seiten. Ende 2016 wurde allerdings bekannt, dass WOT die gesammelten Benutzerdaten an Big-Data-Kollektoren verkauft. Mozilla Firefox nahm WOT umgehend aus seinem Add-on-Angebot, und wo es bereits läuft, rät der Browser zur Abschaltung. Für Google Chrome ist es weiter erhältlich. WOT erhöht weiterhin die Sicherheit bei der Internet-Nutzung, ist aber aus Datenschutzgründen mehr als bedenklich.

Firefox blockt WOT: Die Browser-Erweiterung WOT verkauft gesammelte Nutzerdaten und hat sich damit aus Datenschutzgründen disqualifiziert.

2. Maximale Sicherheit: Banking mit Livesystem

Die Mehrzahl der Bankgeschäfte – Überweisungen, Buchungen, Daueraufträge – werden heute online mit SMS-TANs erledigt. In diesem Fall ist der Browser die Schnittstelle zur Bank, und dessen Sicherheitslücken können potenzielle Angreifer ausnutzen. Voraussetzung bei allen bisher bekannten Angriffsmethoden war aber immer, dass unabhängig von der eigentlichen Banking-Aktion bereits vorher schädlicher Code auf dem System eingeschleust wurde. Daher bietet das virenresistente Linux deutlich höhere Sicherheit als Windows. Überhaupt keine Chance haben Schädlinge, wenn Sie Bankgeschäfte mit Linux und einem schreibgeschützten Livesystem erledigen.
Spezialisierte Livesysteme mit Sicherheitsfokus sind Tails (https://tails.boum.org/index.de.html), Porteus (www.porteus.org) oder Trusted End Node Security (früher Lightweight Portable Security, https://www.spi.dod.mil/lipose.htm). Im Prinzip minimiert aber jedes beliebige Livesystem alle Risiken drastisch. Auf Livesystemen überleben Systemveränderungen vom Benutzer oder von einem Virus keinen Neustart. Da Sie als Software nicht mehr als den Browser benötigen, eignen sich am besten kleine, schnell startende Livesysteme wie etwa Puppy Linux, Quirky, Antergos oder Bunsenlabs.

Mit einem Linux-Livesystem sicher zur Bank: Da nur ein Browser notwendig ist, genügt jedes minimale Livesystem wie hier Puppy Linux.

3. Datenschutz durch Spezialsystem Tails

Tails (The Amnesic Incognito Live System) ist eine populäre Linux-Distribution im Zeichen von Anonymität und Datenschutz. Wenn Sie auf der Projektseite https://tails.boum.org auf „Installieren Sie Tails“ klicken, startet ein deutschsprachiger Installations-Assistent, der Sie Schritt für Schritt bei der Erstellung eines USB-Sticks begleitet. Tails erfüllt als Livesystem alle Sicherheitsansprüche, geht aber wesentlich weiter: Es nutzt das Tor-Netzwerk, das sämtlichen Internetverkehr (Browser, Mail, FTP) über jeweils drei Zwischenstationen abwickelt. Zielserver erfahren also nie Ihre öffentliche WAN-IP, sondern nur die des letzten Tor-Knotens.

Das Livesystem ist vorab so konfiguriert, dass alle Internet-Programme wie Browser oder Mail-Client das Tor-Netzwerk einsetzen. Sobald Sie sich angemeldet haben, dauert es ein paar Sekunden und Sie erhalten die Benachrichtigung, dass Tor gestartet ist. Das Zwiebelsymbol im Systempanel färbt sich grün. Ein Rechtsklick und der Aufruf des „Kontrollpanel“ bestätigt die Verbindung zum Tor-Netz. Somit können Sie mit dem anonymisierten Surfen beginnen. Wenn Sie eine der zahlreichen Seiten zur Ermittlung Ihrer externen IP-Adresse aufrufen (www.wieistmeineip.de), werden Sie sehen, dass sich die externe Adresse regelmäßig ändert.

Als Tor-Knoten kann sich allerdings jeder zu Verfügung stellen („Einstellungen -> Beteiligung -> Relais-Verkehr…“). Es gibt keine technische (Bandbreite) oder personelle Kontrolle. Die Surfgeschwindigkeit kann daher je nach Zwischenstationen beträchtlich sinken. Gelingt es Überwachungsstellen, Tor-Knoten zu kontrollieren, können Nutzer wieder de-anonymisiert werden. Außerdem ist es bei strafrechtlichen Tatbeständen zwar ein ungleich höherer Aufwand, aber keineswegs ausgeschlossen, durch Analyse aller Tor-Verbindungsdaten die Spur zum Täter zurückzuverfolgen.
Für (technische) Sicherheit im Web ist Tails nicht notwendig. Es handelt sich um ein Anonymisierungswerkzeug für besonders misstrauische Nutzer, die dafür auch langsame Verbindungen in Kauf nehmen. Wer nur Datensammler wie Google mit Re-Targeting und nachfolgender Werbebelästigung loswerden will, kommt mit dem „Private“- oder „Inkognito“-Modus von Firefox und Chrome aus (-> Punkt 5).

4. Datenschutz im Browser: Verschlüsselte Synchronisierung

Die Browser-Synchronisierung von Lesezeichen, Online-Kennwörtern, Einstellungen, Erweiterungen und Skins bedeutet für Nutzer mehrerer Geräte einen unschätzbaren Komfort. Weniger erfreulich ist der Nebenaspekt, dass dabei Mengen von persönlichen Daten auf Google- oder Mozilla-Servern hinterlegt werden müssen.
Der Mozilla-Browser Firefox verschlüsselt standardmäßig alle Daten, wobei der Schlüssel auf dem Gerät des Benutzers verbleibt. Generell darf Mozilla zu den „Guten“ gerechnet werden, die ein Auswerten von Nutzerdaten nicht selbst betreibt, sondern allenfalls zulassen muss.
In Chrome/Chromium werden standardmäßig nur die Kennwörter verschlüsselt. Aber unter „Einstellungen -> Erweiterten Synchronisierungseinstellungen“ (vorherige Google-Anmeldung vorausgesetzt) gibt es die zusätzliche Option „Alle synchronisierten Daten […] verschlüsseln“, bei der Sie ein individuelles Kennwort zur Sync-Verschlüsselung vergeben, das unabhängig vom Google-Kennwort ist. Der Komfortverlust ist nicht gravierend, da Sie dieses Kennwort auf jedem weiteren Gerät nur ein einziges Mal eingeben müssen. Alle Daten landen dann verschlüsselt auf dem Google-Server, der Schlüssel dazu (Kennwort) verbleibt auf dem lokalen Gerät.

Keine Infos an Google verschenken: Die Browser-Synchronisierung in Chrome und Chromium lässt sich so einstellen, dass Google nichts mehr zu lesen hat.

5. Datenschutz im Browser: „Inkognito“ und „Do not Track“

„Inkognito“ Surfen bietet keinerlei technischen Schutz vor digitalen Schädlingen oder betrügerischen Webseiten. Es anonymisiert auch nicht die IP-Nummer und verschleiert keine strafbaren Handlungen. Das Browsen im „Inkognito-Fenster“ (Chrome) oder im „Privaten Fenster“ (Firefox) ist aber eine nützliche Datenschutzmaßnahme: Es unterbindet den Großteil der Tracking-Schnüffelei der Website-Betreiber. Ein wichtiger Nebenaspekt ist ferner, dass Sie hier ohne Cookies und Web-Protokolle unterwegs sind und daher neutrale und ungefilterte Ergebnisse erhalten (gelegentlich wichtig bei Suchmaschinen und Online-Shops). In Chrome und Firefox starten die Tastenkombinationen Strg-Umschalt-N und Strg-Umschalt-P am schnellsten ein privates Fenster.

Neben dem nützlichen Inkognito-Modus bietet mittlerweile fast jeder Browser eine „Do not track“-Option. Dieser Info-Tag im HTTP-Header der Browser-Anfrage sollte es der Gegenstelle verbieten, Nutzungsprofile über den Besucher anzulegen. Der Effekt ist aber fraglich, weil Websites nicht verpflichtet sind, diese Bitte zu berücksichtigen. In Chrome/Chromium wählen Sie im Menü „Einstellungen“ und dort ganz unten „Erweiterte Einstellungen“. Im Abschnitt „Datenschutz“ finden Sie die Option „Mit Browserzugriffen eine „Do Not Track“-Anforderung senden“. Auch beim Firefox ist „Do not track“ nicht standardmäßig aktiv. Sie finden die Einstellung im Menü unter „Einstellungen -> Datenschutz“ in der Option „Websites mitteilen, meine Aktivitäten nicht zu verfolgen“.

6. Datenschutz: Mailverschlüsselung mit Thunderbird

Das Verschlüsseln der Mail-Korrespondenz ist wie jede Datenschutzmaßnahme mit gewissem Mehraufwand verbunden. Die Kombination von GnuPG plus Thunderbird mit Erweiterung Enigmail ist die wohl komfortabelste Lösung, erfordert aber etwas Gewöhnung und zumindest einen Anteil von Mail-Partnern, die ebenfalls GnuPG nutzen. Thunderbird und GnuPG (GNU Privacy Guard) sind auf Linux-Desktops meist vorinstalliert, und falls nicht, über die Paketnamen „thunderbird“ und „gnupg“ schnell nachgerüstet (für Windows gibt es Downloads unter www.mozilla.org und www.gnupg.org). Enigmail finden und installieren Sie in Thunderbird über „Add-ons“.

GnuPG verwendet zwei Schlüssel: Der öffentliche Schlüssel eines Mail-Teilnehmers wird dafür genutzt, Nachrichten an diesen Teilnehmer zu verschlüsseln. Der Teilnehmer selbst entschlüsselt die Nachricht mit seinem geheimen, privaten Schlüssel.
Nach der Installation der Enigmail-Erweiterung und einem Thunderbird-Neustart verwenden Sie im automatisch angebotenen Einrichtungsassistenten die „ausführliche Konfiguration“. Im ersten Schritt geben Sie die „Passphrase“ ein. Das Passwort benötigen Sie später, um auf Ihre Schlüssel zugreifen zu können. Es bildet auch die Grundlage für die Schlüssel. Nach der doppelten Eingabe legt Enigmail das neue Schlüsselpaar (öffentlich/privat) an. Falls Sie auf einem anderen Rechner bereits ein eingerichtetes Enigmail und ein Schlüsselpaar besitzen, wählen Sie im Assistenten die Option, bestehende Schlüssel zu importieren. Schlüssel lassen sich über „Enigmail -> Schlüssel verwalten“ als Ascii-Dateien exportieren und auf anderen Rechnern importieren.

Öffnen Sie wie gewohnt den Editor zum Verfassen von Nachrichten. Dort hat Enigmail jetzt eine weitere Symbolleiste platziert. Möchten Sie eine ausgehende Nachricht verschlüsseln, benötigen Sie den öffentlichen Schlüssel des Empfängers. Wenn Ihnen dieser als Textdatei vorliegt, können Sie den Schlüssel über „Enigmail -> Schlüssel verwalten -> Datei importieren“ einlesen. Alternativ gibt es Schlüsselserver, die öffentliche GnuPG-Schlüssel aufbewahren. Über „Schlüsselserver -> Schlüssel suchen“ sehen Sie nach, ob die Empfängeradresse dort eingetragen ist; falls ja, importieren Sie den Schlüssel mit einem Klick. Umgekehrt ist es sinnvoll, den eigenen Schlüssel über „Schlüsselserver -> Schlüssel hochladen“ im Web zugänglich zu machen.

Nach einem Schlüsselimport ist der neue Mail-Empfänger Enigmail/GnuPG bekannt. Künftig klicken Sie beim Verfassen einer Nachricht an diesen Empfänger auf das Symbol mit dem Schloss. Enigmail lässt sich auch so einstellen, dass Mails automatisch verschlüsselt gesendet werden, wenn für die Empfänger-Adresse schon ein Schlüssel vorliegt („Enigmail -> Einstellungen -> Senden“). Um Mails verschlüsselt zu versenden, müssen Sie Ihr Passwort eingeben. Wenn Sie mit dem Schloss-Symbol verschlüsselt senden wollen, aber kein Empfänger-Schlüssel vorliegt, erscheint automatisch der Hinweis, dass dieser Empfänger „nicht gültig“ ist. Dann besorgen Sie sich entweder den öffentlichen Schlüssel oder Sie senden unverschlüsselt.

Erhalten Sie umgekehrt eine E-Mail, die verschlüsselt wurde, erkennt Enigmail das automatisch. Wenn Sie im Vorschaubereich von Thunderbird auf das Element klicken, werden Sie dazu aufgefordert, das Passwort einzugeben. Wenige Augenblicke später erscheint die Nachricht.

Beachten Sie, dass Sie bei der Nutzung mehrerer Rechner die Schlüsselverwaltung manuell synchron halten müssen. Eine wichtige Hilfe ist wieder „Enigmail -> Schlüssel verwalten -> Datei exportieren“, wobei Sie einfach sämtliche Schlüssel markieren. Die resultierende Ascii-Datei lässt sich dann auf dem nächsten Rechner in einem Rutsch importieren.

Verschlüsselte Mail mit GnuPG und Enigmail: Wenn Sie versuchen, verschlüsselt zu senden, aber für den Adressaten kein Schlüssel vorliegt, öffnet sich automatisch die Schlüsselverwaltung.

7. Datenschutz: Verschlüsseln der Cloud-Daten

Dateien auf Dropbox, Onedrive, Hidrive & Co. sollten verschlüsselt werden, zumindest jene mit sensiblem Inhalt. Ohne Vorbereitung praktikabel, aber etwas unkomfortabel sind passwortgeschützte Packer-Archive etwa mit 7-Zip. Wenn Sie eine Cloud wie Dropbox über einen lokalen Synchronisierungsordner nutzen, dann ist der Einsatz von EncFS (Encrypted File System) mit grafischem Frontend Cryptkeeper komfortabler. EncFS und Cryptkeeper sind unter Debian, Ubuntu oder Linux Mint mit

sudo apt-get install encfs cryptkeeper

schnell nachinstalliert. Die Ersteinrichtung müssen Sie auf der Kommandozeile mit encfs erledigen, da Cryptkeeper Quellordner und Mountordner auf gleicher Ebene anlegt. Das wäre in diesem Fall kontraproduktiv, weil die Cloud neben den verschlüsselten auch die unverschlüsselten Dateien erhielte:

 encfs ~/dropbox/privat ~/Dokumente/dropbox

Sie arbeiten dann unter „~/Dokumente/dropbox“ normal mit den Dateien, die unter „~/dropbox/privat“ verschlüsselt werden. In der Cloud landen demnach nur verschlüsselte Daten.
Den bequemen cryptkeeper mit seinem Schlüsselsymbol in der Systemleiste können Sie später über die Option „Importiere EncFS Ordner“ mit dem Dropbox-Ordner bekannt machen. Der erlaubt einfache Auswahl zwischen mehreren EncFS-Ordner und schnelles Mounten und Aushängen per Mausklick.
Beachten Sie, dass alle sonstigen Dateien im Cloud-Verzeichnis weiter unverschlüsselt bleiben. Wenn Sie diese nachträglich verschlüsseln möchten, müssen Sie diese in den verschlüsselten Unterordner verschieben.

8. Datenschutz: Keepass-X mit Synchronisierung

Die Browser-Synchronisierung (-> Punkt 4) ist eines der komfortabelsten Cloud-Angebote. Dennoch hat sie zwei Mängel: Erstens machen Sie sich abhängig von Google oder Mozilla, zweitens speichern Firefox und Chrome keine lokalen Kennwörter. Wenn Sie alle Passwörter im Griff haben wollen, brauchen Sie zusätzliche Hilfe.
Der Passwort-Manager Keepass-X, der in gängigen Distributionen in den Paketquellen liegt (Debian/Ubuntu/Mint: sudo apt-get install keepassx) arbeitet als lokale Software und öffnet die maßgebliche KBDX-Datenbankdatei nach Eingabe des Keepass-Masterpassworts. Eine Synchronisierung der KBDX-Datei über mehrerer Rechner ist leider nicht vorgesehen, lässt sich aber über einen Trick erreichen, etwa über den lokalen Synchronisierungs-Ordner von Dropbox. Dann genügt es, Keepass-X mit der aktuellen KBD-Datei über den Aufruf

keepassx ~/Dropbox/[name].kbdx

zu laden. Dieser direkte Aufruf der Datenbankdatei funktioniert auch unter Windows.
Wer selbst einen Server besitzt, kommt ohne Cloud-Dienst aus und kann mit einem simplen Bash-Wrapper wie

cd ~
curl -O ftp://server.de/ordner/[name].kbdx --user 
  ftpuser:ftpkennwort
keepassx ~/[name].kbdx
curl -T [name].kbdx ftp://server.de/ordner 
  /[name].kbdx --user ftpuser:ftpkennwort

dafür sorgen, dass Keepass immer die aktuelle Datenbank nutzt und Änderungen wieder auf den Server zurückschreibt. Die KBDX-Datei ist per se verschlüsselt und kann ohne weiteren Schutz auf jedem Server liegen.

Verschlüsselte Keepass-Datenbank: Ohne Kenntnis des Datenbank-Kennworts bleibt der Keepass-Safe verschlossen. Die KBDX-Datei liegt daher auch auf öffentlichen Servern sicher.

9. Server: Homepage – öffentlich statt privat?

Eine Homepage kann neben öffentlichen Aufgaben auch dazu dienen, wichtige Downloads oder Infos bereitzustellen, die Sie überall erreichen wollen. Dabei sollten Sie aber sichergehen, dass nicht öffentlich wird, was Sie für den privaten Bedarf bevorraten. Google und andere Suchmaschinen durchsuchen praktisch alle verbreiteten Text-, Tabellen-, Präsentationsformate, selbst PDF- und Postscript-Dateien. Dies führt dazu, dass Suchmaschinen eventuell weltweit Inhalte präsentieren, die Sie für sich persönlich hochgeladen haben. Lediglich Zip-, Rar-, 7-Zip oder Tar-Archive sind den Bots zu mühsam. Packen ist also eine Methode, um die Crawler von Privatinhalten fernzuhalten. Eine weitere, noch einfachere Lösung ist ein „Disallow“ in der robots.txt. Diese Datei im Hauptverzeichnis Ihrer Site kann die Suchmaschinen von bestimmten Verzeichnissen fernhalten:

User-agent: *
Disallow: /Downloads/

Auch der Ausschluss von bestimmten Dateitypen ist möglich:

Disallow: /*.doc$

Für mehrere Anweisungen benötigen Sie je eine eigene „Disallow“-Zeile. Beachten Sie aber, dass sich die Suchmaschinen zwar an die robots.txt halten, dazu aber nicht verpflichtet sind. Packen ist letztlich sicherer.

10. Server: Homepage ohne Dateiauflistung

Ohne spezielle Vorkehrungen ist theoretisch jede Datei im Web von jedem Browser aus zu erreichen, wenn der URL-Pfad und der Dateiname bekannt oder zu erraten sind. Die Situation verschärft sich, wenn Sie für Verzeichnisse eine index.php oder index.html verwenden, die den Inhalt des Verzeichnisses auflistet. Der für Websites meist verantwortliche Apache-Server kann sogar so eingestellt sein, dass er Verzeichnislisten automatisch anbietet, ohne dass dafür eine Index-Datei notwendig wäre („/etc/apache2/apache2.conf“ und Einstellung „Options Indexes FollowSymLinks“). Hier genügt es in jedem Browser weltweit, den Verzeichnisnamen zu erraten („downloads“, „uploads“), um den Inhalt anzuzeigen und herunterzuladen. Standardmäßig schalten die Web-Hoster diese Einstellung allerdings ab.

Ungewöhnlich benannte Verzeichnisse oder PHP- und HTML-Datei erschweren das Erraten von privaten Daten. Allerdings gibt es spezialisierte Tools wie Dirbuster, die öffentliche Webserver hartnäckig nach Verzeichnisnamen durchkämmen, die in einer Wörterbuchdatei definiert sind. Deutlich sicherer ist es, den Zugriff mit einer htaccess-Datei zu beschränken. Das müssen Sie nicht manuell, sondern können es über das Kundencenter des Hosters erledigen. So bieten etwa Strato oder 1&1 einen „Verzeichnisschutz“, wo Sie nur einen Benutzer mit Kennwort anlegen müssen, danach das gewünschte Verzeichnis schützen und drittens dem vorher angelegten Benutzer eine Freigabe für das Verzeichnis erteilen.

Homepage als Cloud: Sorgen Sie dafür, dass nicht öffentlich wird, was als private Ablage gedacht ist. Der Schutz via htaccess ist am einfachsten über das Kundencenter des Hosters zu aktivieren.

11. Server: Portfreigabe ohne Fremdhilfe

Wie Sie einen Web-, FTP- oder SSH-Server im heimischen Netzwerk für das Internet freigeben, ist im Kasten „Internet-Grundlagen“ beschrieben. Wie dort skizziert, ist das Problem der wechselnden WAN-IP durch die tägliche Zwangstrennung auch ohne Hilfe durch Dyndns-Anbieter wie www.noip.com zu lösen. Die Zutatenliste hierfür ist keine große technische Herausforderung. Im Wesentlichen geht es nur darum, dass Sie Ihre aktuelle WAN-IP zuverlässig irgendwo im Internet vorfinden. Damit und mit der Portnummer, die Sie im Router freigegeben haben, kommen Sie dann von außen an den Home-Server. Im einfachsten Fall erkundigt sich ein Rechner im Heimnetz einmal täglich bei einem Web-Dienst nach der WAN-IP und schreibt sie in eine Textdatei:

curl ifconfig.co > wan-ip.txt

Diese Textdatei kopieren Sie dann etwa in den lokalen Synchronisierungsordner der Dropbox, wonach sie umgehend im Internet erreichbar ist. Oder Sie kopieren sie mit

curl -O ftp://meinserver.de/ordner/wan-ip.txt  
  --user [user]:[ftpkennwort]

auf einen FTP-Server im Web.
Wenn Sie eine Webseite besitzen oder einen Bekannten, der Ihnen dort Zugriff und ein paar Kilobyte einräumt, dann geht es auch ganz ohne Cloud und Web-Dienste:
1. Die Abfrage der WAN-IP muss aus dem heimischen Netz erfolgen. Am besten erledigt das der Server, dessen Dienste Sie freigeben wollen, mit einem Cronjob (nach crontab -e):

0 8 * * * wget --user=sepp --password=G3H3IM 
   http://server.de/ip/wan-ip.php

2. Das täglich um acht Uhr mit wget angestoßene PHP-Script liegt auf Ihrer oder Ihres Bekannten Website und enthält im Minimalfall folgende Zeilen:

Der Webserver ermittelt die WAN-IP Ihres Heimnetzes, da die Anfrage von dort kommt, und legt sie als TXT-Datei am Server ab – im gleichen Verzeichnis, wo auch das Script liegt. Somit können Sie die IP weltweit abgreifen und damit Ihr Heimnetz betreten.
Beachten Sie bei einer frei gewählten Nummer für die Portfreigabe (siehe „Internet-Grundlagen“), dass Sie beim Fernzugriff unbedingt auch den Port angeben müssen. Einen Apache-Webserver erreichen Sie dann etwa mit der Adresse http://[WAN-IP]:[Port] oder gegebenenfalls mit zusätzlicher Angabe des Verzeichnisses (etwa http://[WAN-IP]:[Port]/dokuwiki).

Portfreigabe und Adresse: Das im Router fürs Web freigebenene Wiki ist über die WAN-IP erreichbar. Die zusätzliche Port-Angabe ist erforderlich, weil der freigebenene Port auf 11080 gelegt wurde.

13. Server: Datentransfer über SSH (SFTP)

Ein über das Internet mit SSH zugänglicher Server bietet nicht nur Fernwartung im Terminal, sondern auch direkten Dateitransfer. Der verläuft verschlüsselt und ist somit sicherer FTP. Auf der Kommandozeile gibt es die Befehle scp (Secure Copy) und sftp (Secure File Transfer Protocol):

scp test.txt sepp@[WAN-IP]:~/sftp sepp@[WAN-IP]

Portfreigaben mit abweichender Portnummer (Standard ist 22) können Sie beiden Tools dem Parameter „-P“ mitteilen.

Weit komfortabler ist der Einsatz grafischer Dateimanager. Nautilus & Co. verstehen URLs wie ssh://[WAN-IP]:[Port] in der Adresszeile (die Adresszeile lässt sich mit Strg-L einblenden). Selbst unter Windows gibt es einen bequemen Zugriff: Filezilla beherrscht neben FTP auch SFTP: Sie können daher einen freigegebenen SSH-Server mit der WAN-IP, seinen Authentifizierungsdaten („Verbindungsart: Normal“) und SFTP-Protokoll in den Servermanager eintragen und sich verbinden.

Achtung: SFTP hat ein historisches Problem, das nach erfolgreicher Anmeldung zu Zeitüberschreitungsfehlern führt. Relativ einfache Abhilfe schafft eine Korrektur der Datei /etc/ssh/sshd_config auf dem SSH-Server. Ersetzen Sie dort

Subsystem sftp /usr/lib/openssh/sftp-server

durch „Subsystem sftp internal-sftp“ und starten Sie den SSH-Dienst mit sudo service ssh restart neu.

Via Internet am SSH-Server: Mit den Linux-Dateimanagern Nautilus & Co. gelingt der Datenaustausch problemlos und komfortabel. Unter Windows kann Filezilla aushelfen.

13. Server: Benutzer bei SSH ausschließen

Standardmäßig kann sich jeder Benutzer, der ein Konto auf einem Linux-Server hat, per SSH mit Kontonamen und Passwort anmelden. Im lokalen Heimnetz ist das meist in Ordnung, bei öffentlich erreichbaren Servern nicht. Der Benutzer root beispielsweise sollte sich nicht anmelden können, denn hier ist von den beiden Zugangshürden (Benutzer plus Kennwort) schon mal eine bekannt. Wenn ein Angreifer das root-Passwort durch eine Wörterbuchattacke errät, ist das System kompromittiert. Um root und andere Benutzer von SSH auszuschließen, ist eine Anpassung der Konfigurationsdatei /etc/ssh/sshd_config nötig. Tragen Sie die Zeile

 PermitRootLogin no

an einer beliebigen Position ein, um einen root-Login zu verbieten. Wichtige Voraussetzung für diese Maßnahme ist, dass sudo für einen oder mehrere Benutzer eingerichtet ist, damit man sich als Admin nicht selbst über das Netzwerk aussperrt. Weitere Benutzer schließen Sie durch die Zeile

DenyUsers [Benutzer1] [Benutzer2]

aus, wobei die Platzhalter [Benutzer] durch die tatsächlichen Namen der Benutzerkonten ersetzt werden. Die Einstellung wird nach

sudo service ssh restart

aktiv.

Zurück zur Linux-Übersichtsseite…

Linux-Systemtools in der Praxis

Um ein Linux-System zu beherrschen, greifen die Klicks in den „Systemeinstellungen“ zu kurz. Lesen Sie hier, wo Sie Systeminfos einholen, Protokolle und Konfiguration abgreifen, über User, Rechte und Tasks herrschen und Ihre Datenträger verwalten.

Systemtools

Wie viel Speicher steckt im Rechner? Sind noch Bänke frei? Wo ist die Konfigurationsdatei für den Samba-Server? Wie beende ich ein eingefrorenes Programmfenster? Und wo ist das Mount-Verzeichnis für das eingehängte Netzlaufwerk? Diese und viele weitere Fragen soll der folgende Beitrag praxisnah beantworten. Dabei kommen prominenteste grafische Programme unter den Desktop-Systemen Ubuntu und Linux Mint zu Wort, aber den größeren Anteil erhalten die typischen Terminalprogramme. Diese haben nämlich zwei entscheidende Vorteile: Erstens funktionieren sie auf allen Linux-Distributionen, zweitens sind sie alternativlos, wenn ein Server per SSH im Terminal administriert wird.

Alle Themen zu Netzwerk, Freigaben, Fernwartung, Internet bleiben außen vor. Einzige kleine Ausnahme sind Tipps zum Mountpunkt von Netzressourcen. Ein vergleichbares Praxis-Special zum Thema „Netzwerk“ ist für die nächste LinuxWelt geplant.

Hardware- und Systeminfos (1): Grafische Werkzeuge

Ubuntu gibt an der grafischen Oberfläche wenig über Hardware und System preis: Was hier unter „Systemeinstellungen -> Informationen“ angezeigt wird, kommt über Gesamtspeicher, CPU und die Angabe der Ubuntu-Version nicht hinaus. Wer ein grafisches Übersichtsprogramm vermisst, kann mit

sudo apt-get install hardinfo

ein bewährtes Tool nachinstallieren. hardinfo nennt sich auf deutschem System „System Profiler und Benchmark“ und ist unter Linux Mint standardmäßig an Bord (im Menü unter den „Systemtools“). Das Tool hat links eine Kategorienspalte, zeigt im rechten Fenster die zugehörigen Werte und generiert auf Wunsch auch einen HTML-Export. Hardinfo ist übersichtlich, klickfreundlich und zeigt wesentliche Infos – auch zum Betriebssystem, zum Dateisystem und zum Netzwerk. Außerdem gibt es einige Standardbenchmarks.

Ein weiteres empfehlenswertes grafisches Tool ist i-nex 0.5.2, das Sie unter https://launchpad.net/i-nex als DEB-Paket erhalten und mit Doppelklick unter Ubuntu/Mint installieren und danach verwenden können. Das Programm ähnelt CPU-Z für Windows, ist übersichtlicher und präziser als hardinfo, beschränkt sich aber ausschließlich auf die Hardware-Komponenten.

Empfehlung für Deskop-Nutzer: „System Profiler und Benchmark“ (hardinfo) hat ein umfassendes Repertoire zur Recherche der System-, Hardware- und Netzwerk-Eigenschaften.
Ganz auf Hardware spezialisiert: i-nex ist das übersichtlichste und präziseste grafische Werkzeug zur Hardware-seitigen Rechner-Inventur.

Hardware- und Systeminfos (2): Terminal-Werkzeuge

Die meisten grafischen Tools gießen nur die Ausgabe von Konsolen-Kommandos in eine hübschere grafische Form. Daher suchen und filtern Sie die gewünschten Daten letztlich zielsicherer, wenn Sie sich mit Konsolenwerkzeuge wie dmidecode, hwinfo und dmesg anfreunden und häufiger benötigte Infos als Script oder als Alias-Abkürzungen für das Terminal ablegen.

hwinfo: Das Tool ist meistens nicht Standard, aber über den gleichnamigen Paketnamen überall schnell nachinstalliert. Während

hwinfo --short

nur einen knappen Überblick über CPU, Grafikkarte, Festplatten, Netzwerk-Adapter und Festplatten-Controller verschafft, sammelt hwinfo ohne Parameter einen sehr umfangreichen Hardware-Bericht, der dann allerdings kaum mehr lesbar erscheint. Daher gibt es eine Vielzahl von (kombinierbaren) Schlüsselwörtern, um die Recherche einzugrenzen:

hwinfo --disk --partition

Die insgesamt 50 verfügbaren Kategorien zeigt das Tool nach hwinfo –help an.

Sämtliche USB-Geräte und PCI-Ports können auch die spezialisierten Standardtools lspci und lsusb, wobei Sie die Gesprächigkeit der Ausgabe durch die Parameter „-v“ und „-vv“ erhöhen können.

dmidecode: Nicht ganz so ausführlich wie hwinfo, aber für alle prakitschen Zwecke ausreichend arbeitet dmidecode, das root-Rechte oder vorangestelltes sudo benötigt. dmidecode unterstützt nach dmidecode -t einige Schlüsselwörter wie „bios“, „system“, „baseboard“, „processor“, „memory“, erwartet aber normalerweise eine Kennziffer (siehe man dmidecode). Eine detaillierte Aufstellung der Speicherbestückung liefert dmidecode beispielsweise mit der Kennziffer „17“:

sudo dmidecode -t 17

Hier erhalten Sie für jedes „Memory Device“ eine exakte Info über Größe, Typ und Geschwindigkeit. dmidecode kann auch gezielt mehrere Infos abfragen:

sudo dmidecode -t 5,6,16,17

Dieses Beispiel entspräche diesem Befehl

sudo dmidecode -t memory

mit dem Schlüsselwort „memory“.

dmesg: Bei Boot- und Hardware-Problemen ist dmesg („driver message“) das einschlägige Tool. Es zeigt die Kernel-Meldungen der laufenden Sitzung. Die Hauptmenge des dmesg-Protokolls fallen naturgemäß beim Booten des Rechners an. Wenn Sie den ungefähren Zeitpunkt des Hardware-Problems kennen, lassen Sie sich mit Schalter „-T“ die exakte Zeit der Kernelmeldung ausgeben:

dmesg -T

Damit können Sie die Mehrzahl der Meldungen zeitlich ausfiltern. Bei reproduzierbaren Problemen hilft auch dmesg -c: Das löscht nämlich alle bisherigen Meldungen, und Sie können dann die problematische Aktion ausführen und anschließend noch einmal dmesg -T befragen. Die Interpretation der Meldung ist dann freilich ein weiteres Problem: Eventuell enthält diese einen Hinweis auf ein konkretes Gerät. Details müssen Sie aber in der Regel über das Web recherchieren.

Hardware- und Systeminfos (3): Das Tool inxi

Das Kommandozeilen-Tool inxi ist nicht so detailliert wie hwinfo oder dmidecode, aber eine kompakte und schnelle Info-Perle für den Blick aufs Wesentliche. Sie erhalten das Bash-Monster unter Ubuntu/Mint über die Paketquellen:

sudo apt-get install inxi

Wer die aktuellste Version haben will, kann das Installationspaket für Ubuntu und Co. auch mit

wget ftp://cathbard.com/binary/inxi*.deb

laden und das Deb-Paket dann per Doppelklick installieren. Die Terminal-Eingabe

inxi –v7 –c12

wirft alle wesentlichen Hardware-Infos aus. „-v7“ steht für maximale Gesprächigkeit, „-c12“ ist nur eine Farbcodierung zur besseren Lesbarkeit. Selbstverständlich kann inxi auch gezielt Einzelinfos abrufen, etwa inxi –S zur detaillierten Anzeige des Betriebssystems oder inxi –s zur Abfrage der Temperatursensoren. man inxi zeigt die ganze, nicht ganz triviale Schalterpalette des Tools.

Komprimierte Anzeige nach typischer Parameterkombination: Was inxi auf wenigen Zeilen an Infos anbietet, ist beeindruckend.

Zur Abfrage der CPU- und System-Temperatur nutzt inxi das Tool lm-sensors, das daher ergänzend installiert werden sollte:

sudo apt-get install lm_sensors

Danach konfigurieren Sie das Tool mit

sudo sensors-detect

ein, wobei Sie alle Fragen bejahen. Nach dem Scan nach vorhandenen Sensoren erhalten Sie dann durch die Eingabe sensors oder auch mit inxi die aktuellen Temperatur-Infos.

Ausgabe des Kommandos sensors: Das Tool nennt auch gleich kritische Vergleichswerte, so dass Sie die aktuellen Werte beurteilen können.

inxi durch Aliases vereinfachen: Das Tool inxi hat annähernd 100 Schalter zur Auswahl bestimmter Infos und ihrer Darstellung (siehe inxi –help). Am einfachsten ist der Einsatz der Verbose-Level v0 bis v7, so etwa der Befehl inxi –v7 mit maximaler Gesprächigkeit innerhalb dieser Levels. Diese vereinfachenden Levels decken aber nicht das ganze Spektrum ab. So ist folgende Task-Analyse in diesen Levels gar nicht vorgesehen:

inxi –tc3 –tm3

Dies liefert die drei jeweils Ressourcen-intensivsten Tasks für CPU (c) und Speicher (m). Genauso wenig ist eine Anzeige der Repositories mit inxi –r in den Verbose-Level enthalten.

Wer mit einem Befehl noch mehr Infos abrufen will, kann dies mit einem Alias in der Datei ~/.bashrc erzielen, das mehrere inxi-Schalter kombiniert:

alias info='inxi -v7; echo " "; inxi -tm3; echo " "; inxi -tc3

Da inxi die Informationen äußerst komprimiert präsentiert, erzielen Sie ein besser lesbareres Resultat, wenn Sie mit einem Alias obigen Musters einzelne Infos abfragen und durch Leerzeilen trennen.

An dieser Stelle finden Sie ein Beispiel-Script ii.sh, das die Benutzung von inxi weiter vereinfacht. Es zeigt, wie Sie sich das Memorieren und Durchsuchen der zahlreichen inxi-Schalter ersparen und wie Sie außerdem weitere Informationen einbauen. Das Script ist am besten unter /usr/bin aufgehoben und benötigt das Execute-Flag (chmod +x ii.sh). Eine Alternative ist der Einbau als function in die versteckte Datei ~/.bashrc. Dazu ist der gesamte Code einfach zwischen

function ii ()
{
[Code]
}

zu kopieren.

Benutzung von inxi vereinfachen und erweitern: Ein einfaches Bash-Script nutzt inxi, sorgt aber für mehr Übersicht und zeigt Erweiterungsmöglichkeiten.

Hardware- und Systeminfos (4): Hardware Detection Tool (HDT)

Das Tool HDT (http://hdt-project.org/) verschafft einen umfassenden Überblick zur Hardware eines Computers, auf dem kein funktionierendes Betriebssystem installiert ist. HDT ist aber auch dann nützlich, wenn Sie mit dem installierten Betriebssystem nicht ausreichend vertraut sind, um damit schnell die erforderlichen Hardware-Informationen zu recherchieren.

Wählen Sie am besten den komfortableren „Menu Mode“. HDT zeigt alle Basisinformationen zur Hardware auf x86-kompatiblen Systemen an, unter anderem zu CPU, Hauptplatine, PCI-Karten, RAM-Speicher, DMI-Geräte, Soundchip, Festplatten und VESA-Fähigkeiten der Grafikkarte. Unter „Processor“ finden Sie auch sämtliche CPU-Extensions wie etwa die PAE-Fähigkeit (Physical Address Extension). Mit dem Eintrag „Reboot“ im textbasierten „Main Menu“ verlassen Sie das Tool und starten den Rechner neu.

Alle wichtigen Hardware-Infos mit HDT: Das Tool ist die schnellste Option einer Hardware-Inventur, wenn ein Betriebssystem fehlt oder dafür zu umständlich ist.

Verwaltung der User und Rechte

Der Kernel arbeitet mit numerischen User-IDs (UID) und Group-IDs (GID). Für die Übersetzung von Namen zu Nummern und umgekehrt sorgen die Konfigurationsdateien /etc/passwd (Benutzer) und /etc/group (Gruppen). So zeigt cat /etc/passwd alle Benutzerkonten einschließlich der impliziten Systemkonten. Eine Sortierung nach der User-ID mit

sort -t ":" -nk 3 /etc/passwd

macht die Liste übersichtlicher, da alle explizit eingerichteten Konten (Ids ab „1000“ aufwärts) ans Ende sortiert werden.

Desktop-Distributionen wie Ubuntu und Mint, aber auch NAS-Systeme wie Openmediavault bieten auch grafische Tools zur Benutzerverwaltung (Ubuntu: „Systemeinstellungen -> Benutzer“). Darauf verlassen kann man sich aber nicht. Der klassische Weg, neue Benutzer anzulegen, erfolgt mit daher root-Recht über diesen Befehl:

sudo useradd sepp

Das Home-Verzeichnis entsteht dabei automatisch. Die Dateien mit der Basis-Konfiguration im neu erstellen Home-Verzeichnis werden aus dem Vorlagenverzeichnis /etc/skel kopiert. Das neue Konto ist eröffnet, sobald mit

sudo passwd sepp

ein Kennwort hinterlegt ist. Löschen kann man Konten samt zugehörigen Ordner unter /home und dem Mail-Spool-Verzeichnis mit diesem Befehl:

userdel -r ich

Dateirechte rekursiv setzen: Um Zugriffsrechte für Dateien zu setzen, gibt es wieder die Wahl zwischen dem grafischen Dateimanager (Ubuntu: „Eigenschaften -> Zugriffsrechte -> Zugriff“) oder Terminalkommandos. Für rekursive Änderungen über ganze Verzeichnisse ist das Terminaltool chmod erste Wahl: Mit

chmod -R 777 ~/Dokumente

erlauben Sie allen Systemkonten die Rechte Lesen, Schreiben, Ausführen/Suchen für den Ordner „Dokumente“ inklusive aller enthaltenen Dateien und Ordner. Bei dieser numerischen Schreibweise gilt die erste Ziffer für das Konto, die zweite für die Gruppe, die dritte für alle anderen Konten. Nach dem Kommando

chmod -R 770 ~/Dokumente

hätten daher die andere Konten (dritte Stelle) keine Daterechte unter ~/Dokumente.

Zugriffsrechte: Über einen Dateimanager wie Nautilus ermitteln Sie, welche Rechte bei einer Datei oder einem Ordner gesetzt sind. Sie können die Berechtigungen hier auch ändern.

Systemprotokolle im Griff (1): Die Protokolldateien

Die Systemprotokolle sind unter „/var/log“ zu finden. Mit root-Rechten auf der Konsole können Sie diese mit den üblichen Kommando-Tools durchsuchen (cat, less oder tail). Beachten Sie dabei die Möglichkeit, gleich mehrere Dateien zu durchforsten und auf jüngste Einträge zu sichten (Beispiel):

tail -n20 auth.log syslog dpkg.log

auth.log protokolliert im Klartext und ausführlich alle Systemanmeldungen. Wer in aller Kürze die erfolgreichen und gescheiterten Log-ins kontrollieren will, kann sich zusätzlich an die Dateien „/var/log/wtmp“ (erfolgreich) und „/var/log/btmp“ (gescheitert) halten. Diese Dateien sind allerdings binär codiert und lassen sich am bequemsten mit last (erfolgreich) und lastb (gescheitert) auslesen:

last -200

lastb -200 root

Gezeigt werden hier jeweils die letzten 200 Anmeldungen, die sich – wie das zweite Beispiel zeigt – auch auf ein bestimmtes Konto filtern lassen.

syslog ist das Systemlogbuch und zeigt Ereignisse aller Art, die an den syslog-Daemon berichten – vorwiegend Kernel-, Hardware- und Cron-Ereignisse.

dpkp.log vermerkt alle manuellen (De-) Installationen und automatischen Updates. Ergänzend und in mancher Hinsicht übersichtlicher lohnt sich in diesem Zusammenhang auch der Blick in die Datei „/var/log/apt/history.log“.

Im Unterverzeichnis „/var/log/samba“ finden Sie für jedes zugreifende Netzgerät ein eigenes Protokoll – entweder mit Host-Namen oder lokaler IP-Adresse.

Die Webserver Apache und Nginx protokollieren unter /var/log/apache2 (oder ../nginx) in die Dateien access.log und error.log. Je nach Rechnerrolle sind auch diese Protokolle eine wichtige Infoquelle.

Systemprotokolle im Griff (1): Tools für Protokolldateien

Das grafische Standardprogramm „Systemprotokoll“ unter Ubuntu und Linux Mint (gnome-system-log) fasst immerhin vier wesentliche Protokolldateien in einem Fenster zusammen: Auth.log, Syslog, Dpkg.log, Xorg.0.log. Hübsch ist die Möglichkeit, bestimmte Ereignisse durch farbige Filter hervorzuheben und damit die Lesearbeit zu erleichtern. Diese Option ist recht unscheinbar in dem kleinen Zahnradsymbol rechts in der Titelleiste untergebracht („Filter -> Filter verwalten“).

Mehrere Dateien mit multitail im Blick: Der übliche Befehl zur Überwachung von Log-Dateien tail -f [Datei] zeigt die letzten Zeilen einer angegebenen Logdatei an und aktualisiert die Ausgabe in Echtzeit. Ein naher Verwandter von tail ist multitail, das in den Paketquellen der populären Linux-Distributionen zur Installation bereitsteht und mehrere Log-Dateien gleichzeitig und in Echtzeit anzeigt. Der Aufruf erfolgt einfach mit

sudo multitail [Datei1] [Datei2]

und der Angabe der gewünschten Dateien als Parameter. Vorangestelltes „sudo“ ist nur dann nötig, wenn nur root die Log-Datei lesen darf. Multitail teilt dazu das Konsolenfenster in mehrere Abschnitte auf, um alle angegebene Log-Dateien anzuzeigen. Praktisch ist  beispielsweise bei der Einrichtung von Webservern, um die Logs access.log und error.log im Auge zu behalten.

Ideal ist ein Script oder eine kleine Funktion, die immer das Wesentlichste einsammelt:

Echo Protokolle unter /var/log…
lastb
last -20
tail -20 /var/log/syslog
tail -20 /var/log/auth.log
tail /var/log/dpkg.log
tail /var/log/user.log
tail /var/log/apt/history.log

Ein solches Bashscript lässt sich mit einigen kommentierenden und abschnittsbildenden Echo-Befehlen natürlich noch lesbarer gliedern. Ein Grundgerüst finden Sie hier.

Konfigurationsdateien im Griff

Die meisten Konfigurationsdateien mit globaler Geltung liegen im Pfad „/etc“. Je nach Umfang erscheint die Datei dort als Einzeldatei wie etwa /etc/crontab oder in einem Unterverzeichnis wie /etc/samba/smb.conf, wenn die betreffende Software mehrere Konfigurationsdateien benötigt. Für die benutzerspezifische Konfiguration gibt es den Sammelordner unter ~/.config, also im Home-Verzeichnis.

Namen und Extensionen folgen keinen strengen Regeln: Manche Konfigurationsdateien tragen den Namen der betreffenden Software wie etwa „nginx.conf“ oder „vsftpd.conf“, andere heißen schlicht „ini“ oder „config“, und die Zuordnung zur Software erschließt sich durch einen Ordner wie „/mc/“ oder „/radicale/“, in dem sie liegen.

Das übliche Zeichen für Kommentare ist überall die Raute „#“. Es ist sehr zu empfehlen, eigene Eingriffe zu kommentieren, dies zweitens so, dass sich die eigenen Einträge von den Standardkommentaren unterscheiden. Möglich wäre etwa diese Form:

#ha# SSH-Standardport 22 geändert…

Dann erkennen Sie eigene Eingriffe sofort, auch wenn Sie die Datei monatelang nicht mehr angefasst haben.

In einfachen Fällen kann es genügen, für die wichtigsten Konfigurationsdateien einige Aliases in der Datei ~/.bashrc anzulegen, so etwa

alias ed1='nano /home/ha/.bashrc'

für das Editieren der bashrc selbst oder etwa

alias ed2='sudo nano /etc/ssh/sshd_config'

für das Ändern der SSH-Konfiguration.

Wer häufig mit diversen Dateien zugange ist, wird mit Alias-Abkürzungen schnell an seine Grenzen stoßen. Hier eignet sich ein kleines Shellscript, das alle wesentlichen Dateien anzeigt

echo " 0 /etc/ssh/sshd_config             SSH-Server"
echo " 1 …"

und dann mit

read -p " " answer
case $answer in
0) sudo nano /etc/ssh/sshd_config
1) …

die Auswahl mit Kennziffer oder Kennbuchstabe vorsieht. Das nebenstehende Bild zeigt, wie eine solche Config-Zentrale aussehen könnte. Das zugehörige Beispielscript config.sh finden Sie finden Sie hier. Die Pfade müssen an einigen Stellen angepasst werden und das Script muss über „Eigenschaften -> Zugriffsrechte“ ausführbar gemacht werden. Das Script bringen Sie am besten im home-Verzeichnis unter und spendieren ihm dann ein Alias

alias conf='sh ~/config.sh $1'

in der ~/bashrc. Dann können Sie Dateien noch schneller etwa mit „conf 1“ laden, deren Kennziffer Sie auswendig wissen.

Die nachfolgende Tabelle zeigt eine Anzahl prominenter Konfigurationsdateien inklusive Pfad.

Linux-Konfgurationsdateien

Selbst wenn Ihnen alle diese Dateien und Pfade geläufig sind, kann ein Script den Alltag vereinfachen: Ein für den betreffenden Pfad benötigtes „sudo“ ist schnell übersehen, und eine Sicherungskopie wäre nützlich gewesen, wenn man sich einmal schwer vergriffen hat.

Tipp: Wenn Sie erfahrungsgemäß gleichzeitig mehrere Konfigurationsdateien benötigen, dann können Sie alle gewünschten Dateien in den Editor Ihrer Wahl mit einem Befehl laden:

alias conf='sudo gedit ~/.bashrc /etc/inputrc /etc/rc.local'

Mit diesem Alias in ~/.bashrc lädt der Befehl conf alle genannten Konfigurationsdateien in gedit.

Config-Zentrale im Terminal: Wer sich die Mühe macht, ein kleines Script anzulegen, erreicht die meistgenutzten Konfigurationsdateien ohne lange Suche.

Datenträger (1): Dateimanager und Mountpunkte

Der Umgang mit internen Festplatten und Hotplug-Medien wie USB-Sticks oder DVDs ist auf jedem Desktop-Linux einfach. Sie schließen einen USB-Datenträger an oder legen eine DVD ein, und es erscheint umgehend ein Dateimanager-Fenster, das den Inhalt anzeigt, oder ein Dialog, der Zugriffsoptionen anbietet. Unter der Haube muss dabei jeder Datenträger oder auch eine Netzressource eingebunden werden (Automount) – standardmäßig unter /media. Die eingebundenen Datenträger sind in der Navigationsspalte des jeweiligen Dateimanagers unter „Mein Rechner“ oder unter „Geräte“ erreichbar sind. Wenn eingebundene Laufwerke nach dem ersten Hotplug erneut benötigt werden, empfiehlt sich daher der Gang zur Navigationsspalte des Dateimanagers. Im Terminal kann der Befehl

mount | grep /dev/sd

alle eingehängten Laufwerke und ihre Mountverzeichnisse anzeigen. grep ist nicht notwendig, filtert aber temporäre Dateisysteme weg. Für eine genauere Übersicht, die neben Gerätekennung, Mountpunkt und Label auch die eindeutige UUID anzeigt, sorgt der Befehl

blkid -o list

Tipp: Im Dateimanager geben Sie zur Auflistung aller angeschlossener Geräte „computer:///“ in das Adressfeld ein. Dazu müssen Sie vorher mit der Tastenkombination Strg-L von der Breadcrumb-Leiste zum editierbaren Adressfeld wechseln. Wenn Sie den realen Pfad, also den Mountpunkt eines Laufwerks im Dateisystem benötigen, etwa für Terminalarbeiten oder Scripts, dann hilft bei physischen Datenträgern ebenfalls das Adressfeld des Dateimanagers: Sie klicken erst das Gerät in der Navigationsspalte an und lassen sich dann mit Strg-L dessen Mountpunkt anzeigen.

Tipp: Standardmäßig sind einige Desktop-Distributionen so eingestellt, dass während der Sitzung gemountete Laufwerke nicht nur im Dateimanager auftauchen, sondern zusätzlich als Desktop-Symbol. Das kann lästig sein, wenn viele USB- oder Netzlaufwerke eingebunden werden. Unter „Systemeinstellungen -> Schreibtisch -> Eingehängte Datenträger“ können Sie das Verhalten unter Linux Mint abstellen, unter Ubuntu ist dafür das externe „Unity Tweak Tool“ erforderlich („Schreibtischsymbole“).

Datenträger (2): Automount von Netzfreigaben

Netzlaufwerke mountet Linux nicht unter /media, sondern in Gnome-affinen Systemen wie Ubuntu und Mint unter /run/user/1000/gvfs/. „1000“ ist die User-ID des ersteingerichteten Hauptkontos und lautet anders, wenn ein davon abweichendes Konto benutzt wird. „gvfs“ steht für Gnome-Virtual-Filesystem. Bei Netzlaufwerken führt das Adressfeld des Dateimanagers mit Protokollangaben wie „smb://server/data“ nicht zum Mountverzeichnis.

Tipp: Die Dateimanager typischer Linux-Desktops hängen angeklickte Samba- oder Windows-Freigaben automatisch ins Dateisystem ein (Automount). Unter Gnome-affinen Desktops wie Unity, Gnome, Cinnamon, Mate arbeitet dabei im Hintergrund das Gnome Virtual Filesystem (GVFS) und mountet unter /run/user/1000/gvfs/ in sprechende, aber unhandliche Mountordner.

Solange Sie im Dateimanager bleiben, kann es Ihnen gleichgültig sein, dass ein Mountordner etwa „/run/user/1000/gvfs/smb-share:server=odroid,share=data“ lautet. Wenn Sie die Ressource aber auf der Kommandozeile nutzen, etwa für rsync- oder cp-Befehle, ist der lange Pfad lästig. Abhilfe schafft manuelles Mounten in einen handlichen Pfad (Beispiel):

sudo mount -t cifs -o user=ha,domain=odroid,password=geheim //192.168.0.6/Data ~/mount/odroid

Das Mountverzeichnissen muss bereits existieren. Eine noch einfachere Alternative dazu ist eine Variable in der Datei ~/.bashrc:

data=/run/user/1000/gvfs/smb-share:server=odroid,share=data

Danach können Sie den unhandlichen Pfad im Terminal nun sehr handlich mit „$data“ ansprechen, und das Terminal bietet dabei sogar automatische Pfadergänzung (mit Tab-Taste).

Datenträger (3): Verwaltung mit gnome-disks

Unter den Gnome-affinen Oberflächen Cinnamon, Mate und XFCE hat sich das Programm gnome-disks als Standard etabliert, das auf deutschem Desktop als „Laufwerke“ im Hauptmenü oder Dash erscheint. gnome-disks kann alles, was für die Kontrolle und wichtigsten Partitionsarbeiten nötig ist. Links erscheint die Liste aller Datenträger, ein Klick auf einen Eintrag visualisiert dessen Partitionierung, zeigt Gerätenamen (/dev/…), Partitionsgrößen, Dateisystem und den Mountpunkt als Link, der auf Wunsch den Dateimanager öffnet. Die weiteren Bearbeitungsmöglichkeiten sind gewöhnungsbedürftig, aber durchaus logisch aufgeteilt:

Laufwerksoptionen: Schaltflächen rechts oben bieten Laufwerks-bezogene Aufgaben. Ob nur eine, zwei oder drei Schaltflächen erscheinen, hängt vom gerade markierten Laufwerkstyp ab. So lassen sich zum Beispiel interne Festplatten nicht aushängen oder abschalten, sodass in diesem Fall diese Schaltflächen fehlen. Immer vorhanden ist die Hauptschaltfläche, die das Formatieren, das Arbeiten mit Images („Laufwerksabbild erzeugen/wiederherstellen“), das Einstellen von Energieoptionen („Laufwerkseinstellungen“), ferner Tests und Smart-Analysen vorsieht. Funktionen, die der jeweilige Datenträger nicht hergibt, bleiben deaktiviert.

Die Möglichkeit, hier Images vom markierten Datenträger in eine IMG-Datei zu schreiben („erzeugen“) oder eine IMG-Datei wieder zurück auf einen Datenträger („wiederherstellen“), machen manche andere Tools überflüssig.

Partitionsoptionen: Was Sie mit einzelnen Partitionen auf Laufwerken anstellen können, ist in den kleinen Schaltflächen unterhalb des Partitionsschemas untergebracht. Sie müssen erst das Rechteck der gewünschten Partition markieren und dann die gewünschte Schaltfläche anklicken. Sie können Partitionen aus- und einhängen, löschen (Minus-Schaltfläche), formatieren und auch als Image sichern („Partitionsabbild erstellen“) oder ein Image auf die Partition zurückschreiben.

Tipp: Die Automount-Funktion hängt angeschlossene USB-Wechseldatenträger unter /media/[user]/ ein. Die dort anzutreffenden Mount-Ordner sind nicht immer aussagekräftig, sondern können etwa „144EB7A373084FB6“ lauten. Dies ist die UUID (Universally Unique Identifier) des Datenträgers, die als Mountpunkt einspringt, wenn keine Datenträgerbezeichnung vorliegt. In der Navigationsspalte der Dateimanager erscheint ein solches Laufwerk etwas freundlicher als „Datenträger XX GB“ unter „Geräte“. Wenn Sie sowohl im Mountpunkt als auch im Dateimanager eine aussagekräftige Bezeichnung sehen möchten, dann sollten Sie dem Laufwerk ein Label verpassen. Unter Ubuntu/Mint geht das am bequemsten mit „Laufwerke“ (gnome-disks). Sie müssen nur den Datenträger markieren, ihn mit dem ersten quadratischen Symbol unterhalb der Grafik „Datenträger“ aushängen und danach das Zahnradsymbol und hier die Option „Dateisystem bearbeiten“ wählen. Dann geben Sie einen sprechenden Namen ein, klicken auf „Ändern“ und hängen den Datenträger danach wieder ein (erstes Symbol). Mountverzeichnis und Name im Dateimanager halten sich nun an die Datenträgerbezeichnung.

Aussagekräftige Mount-Verzeichnisse: Wenn USB-Datenträger eine Bezeichnung haben, übernimmt die Automount-Funktion diesen Namen für den Mountpunkt.
Mächtiges gnome-disks („Laufwerke“): Das Standard-Tool beherrscht fast alle Datenträger-relevanten Aufgaben, unter anderem auch das Schreiben von System-Images.

Datenträger (4): Das meist unentbehrliche Gparted

Das Einzige, was gnome-disks nicht mitbringt, ist die Fähigkeit, bei Bedarf die Partitionsgrößen zu ändern. Software der Wahl hierfür ist Gparted. Zum Teil ist es bereits vorinstalliert, wo nicht, mit

sudo apt-get install gparted

schnell nachinstalliert. Gparted kann nicht nur nach Rechtsklick über „Größe ändern/verschieben“ bestehende Partitionsgrößen ohne Datenverlust ändern, sondern ist generell das umfassendste und zugleich übersichtlichste Programm für Formatierung, Partitionierung, Label- und UUID-Anpassung. Beachten Sie, dass das Hauptfenster immer nur die Partition(en) des rechts oben gewählten Datenträgers anzeigt. Beachten Sie ferner, dass Gparted angeforderte Aktionen niemals sofort tätigt, sondern in einem Auftragsstapel sammelt, den Sie erst mit „Bearbeiten -> Alle Vorgänge ausführen“ auslösen.

Das Standardprogramm gnome-disks verliert neben Gparted keineswegs seine Berechtigung: Es ist schneller und viel breiter angelegt mit seinen Image-Funktionen, Smart- und Leistungstests sowie Energieeinstellungen.

Datenträger (5): Tools für die Plattenbelegung

Unter Ubuntu und Linux Mint finden Sie die „Festplattenbelegungsanalyse“ oder „Festplattenbelegung analysieren“ im Hauptmenü. Dahinter steht das Tool Baobab, das nach dem Start erst einmal eine Übersicht der Datenträger zeigt. Hier sind die jeweilige Gesamtkapazität und der derzeitige Füllstand ersichtlich. Nach Klick auf dem Pfeil ganz rechts startet Baobab eine Ordneranalyse, die es wahlweise als Kreis- oder Kacheldiagramm visualisiert. Das sieht hübsch aus, doch der Erkenntniswert hält sich in Grenzen. Viele Linux-Nutzer werden sich von einem df -h oder

df -h | grep /dev/sd

schneller und besser informiert fühlen. Wer dann wirklich eine Größenanalyse der Verzeichnisse benötigt, ist mit einem weiteren Terminalwerkzeug

du -h

ebenfalls übersichtlicher beraten.

Belegung mit Ncdu prüfen: Ein Spezialist ist das nützliche Ncdu („NCurses Disk Usage“, wohl kaum zufällig auch als „Norton Commander Disk Usage“ auflösbar). Das Terminalprogramm sortiert die Verzeichnisse standardmäßig nach der enthaltenen Datenmenge und bietet eine sehr viel bequemer bedienbare Festplattenanalyse als das Standardwerkzeug du. Denn Ncdu wechselt wie ein orthodoxer Dateimanager zwischen den Verzeichnissen und kann auch aktiv löschen, wo Sie dies für nötig erachten. Ncdu gehört auf jeden Server, verdient aber selbst auf Desktop-Systemen den Vorzug gegenüber den grafischen Alternativen wie Baobab. In Debian/Raspbian/Ubuntu/Mint-basierten Systemen ist Ncdu mit

sudo apt-get install ncdu

schnell installiert. Die einzig wirklich maßgebliche Bedienregel ist die Auswahl des Startverzeichnisses. Ist Ncdu nämlich einmal gestartet, wird es in keine höhere Verzeichnisebene wechseln. Wenn Sie daher das komplette Dateisystem durchforsten wollen, sollten Sie das Tool daher mit

ncdu /

starten. Das Einlesen kann dauern, wenn Sie auf diese Weise das ganze Dateisystem untersuchen. Ncdu sortiert immer automatisch nach Ordnergrößen, kann aber mit Taste „n“ auch nach Namen sortieren, mit „s“ wieder nach Größen („size“). Wichtige Tastenkommandos sind ferner „g“ („graph/percentage“) für die Anzeige von Prozentzahlen (und wieder zurück) und „d“ als Löschbefehl („delete“). Wer nur kontrollieren, keinesfalls löschen will, kann das Tool mit „ncdu -r“ starten, wonach es im Readonly-Modus arbeitet.

Verzeichnisgrößen ermitteln mit „NCurses Disk Usage“: Ncdu ist ein Muss auf SSH-verwalteten Systemen und selbst auf Desktop-Installationen mit grafischer Oberfläche eine Empfehlung.

Task-Verwaltung (1): „Systemüberwachung“ und htop

Auf einem Desktop-System wie Ubuntu und Mint werden Sie die grafische „Systemüberwachung“ (gnome-system-monitor) bevorzugen, um Tasks zu kontrollieren oder zu beenden. Das Tool beherrscht nach Rechtsklick auf einen Prozess alle Aufgaben bis hin zur Prioritätsanpassung, sortiert nach der gewünschten Spalte und zeigt nach Rechtslick auf den Spaltenkopf auf Wunsch noch wesentlich mehr Spalten (etwa „CPU-Zeit“ oder „Befehlszeile“). Die Echtzeitüberwachung von CPU, Speicher und Netzwerk unter „Ressourcen“ ist ebenfalls vorbildlich.

Auf Servern oder wo sonst ein grafisches Werkzeug fehlt, liefert htop auf der Konsole einen präzisen und auch ästhetisch ansprechenden Überblick. Es macht andere Tools weitgehend überflüssig, so etwa das oft standardmäßig installierte Top oder spezialisiertere Tools wie iotop oder dstat. htop zeigt beliebig detaillierte Infos zu allen laufenden Prozessen und erlaubt den gezielten Abschuss einzelner Tasks, die aus dem Ruder laufen (F9). Zudem lässt sich die Prozesspriorität steuern (F7/F8). Htop ist in den Paketquellen aller Distributionen verfügbar und etwa unter allen Debian/Raspbian/Ubuntu/Mint-basierten System mit

sudo apt-get install htop

nachzurüsten. Es lohnt sich, das hervorragend anpassbare Tool über „F2 Setup“ sorgfältig einzurichten. Die Navigation im Setup erfolgt über Cursortasten:

„Meters“ betrifft den Kopfbereich mit den Basisinformationen in zwei Spalten. Hier sollten CPU-Auslastung, Speicher, Uptime und ähnlich grundlegende Angaben organisiert werden. Die verfügbaren Infos unter „Available meters“ können mit den angezeigten Funktionstasten in die rechte oder linke Spalte integriert werden. Die ideale Anzeige lässt sich mühelos finden, weil Htop die gewählte Einstellung sofort anzeigt.

„Columns“ betrifft die eigentliche Taskanzeige. Hier sind annähernd 70 Detailinfos pro Prozess möglich, fünf bis acht (etwa „Percent_CPU“, „Percent_MEM“, „Command“) sind ausreichend und noch übersichtlich. Wer die Prozesspriorität mit den Tasten F7 und F8 steuern will, muss sich zur optischen Kontrolle der Änderung den „Nice“-Wert einblenden. Je nachdem, was Sie genauer analysieren, können Sie die Taskliste jederzeit mit Taste F6 („SortBy“) nach einem anderen Kriterium sortieren – nach CPU-Anteil, Speicher oder Festplattenzugriffen. Zum Eingrenzen auf bestimmte Pfade oder Prozessnamen gibt es außerdem einen Textfilter (Taste F4)

Beachten Sie, dass die htop-Konfiguration sehr viel anbietet, jedoch nicht das Refresh-Intervall seiner Analyse. Dieses lässt sich mit

htop -d 20

beim Aufruf steuern, wobei die Angabe in Zehntelsekunden erfolgt.

Tipp: Das auf den meisten Distributionen standardmäßig installierte top verliert neben htop seine Berechtigung nicht ganz: Sein einziger, aber nicht unwesentlicher Vorzug ist die Weitergabe der Prozessinfos an eine Datei:

top -b -d 10.0 > top.txt

Der Schalter „-b“ sorgt für den Batchmodus, der die eigene Anzeige von top abschaltet. Die Prozessliste wird in diesem Fall alle 10 Sekunden („-d“ für „delay“) an die Ausgabedatei geschickt. Filter mit grep können die Prozessanalyse eingrenzen.

Mehr Spalten – mehr Infos: Wenn der grafische gnome-system-monitor („Systemüberwachung“) verfügbar ist, ist das der Taskmanager der Wahl. Er kann alles und zeigt alles.
Was läuft hier (falsch)? Htop ist glänzender Taskmanager für die Kommandozeile, weil er informativ und anpassungsfähig ist und aus dem Ruder laufende Prozesse beenden kann.

Task-Verwaltung (2): Die Tools xprop und xkill

xprop zeigt zahlreiche interne Eigenschaften grafischer Programme an. Das einfachste und häufigste Motiv, xprop zu verwenden, ist die Frage nach dem Programmnamen eines Fensters. Also etwa die Frage: Wie lautet der Name des Dateimanagers, den ich gerade benutze? Folgender Befehl filtert den xprop-Output auf die gewünschte Antwort:

xprop | grep CLASS

Der Mauszeiger verwandelt sich in ein Kreuz, mit dem Sie auf das gewünschte Fenster klicken. Im Terminal erscheint dann der zugehörige Programmname. Der herausgefundene Name ist nützlich, um Programme in Zukunft direkt über den Ausführen-Dialog zu starten, oder um hängengebliebene Anwendungen mit killall [name] zu beenden.

xkill kann grafische Programme zuverlässig beenden, wenn dessen Fenster nicht mehr reagiert. Bei xkill müssen Sie weder den Programmnamen noch die Prozess-ID kennen. Auch beim Aufruf von xkill im Terminal verwandelt sich der Mauszeiger in ein Kreuz, mit dem Sie das störrische Programm anklicken und beenden. Idealerweise ist xkill mit einer globalen Tastenkombination verknüpft, die es jederzeit aufruft. Einige Distributionen verwenden den Hotkey Strg-Alt-Esc, in den meisten Linux-Varianten ist allerdings kein globaler Hotkey voreingestellt. Holen Sie das unter „Systemeinstellungen -> Tastatur -> Tastaturkürzel“ manuell nach, indem Sie dort xkill unter „Eigene Tastaturkürzel“ eintragen und dem Programm durch Drücken der Tastenkombination Strg-Alt-Esc selbige zuweisen.

Task-Verwaltung (3): Autostarts im Griff

Unter Ubuntu und Linux Mint finden Sie das Applet „Startprogramme“ unter den Systemeinstellungen (gnome-session-properties). Durch Deaktivieren eines Häkchens schalten Sie dort Autostarts ab, über die Schaltfläche „Entfernen“ verschwindet es komplett aus dem Verwaltungstool (bleibt aber als Programm erhalten). Alle Autostarts des Benutzers werden als desktop-Dateien unter ~/.config/autostart, und die vom System benötigten Autostarts stehen unter /etc/xdg/autostart. Es handelt sich um Textdateien, die Sie mit jedem Editor bearbeiten können, wobei unter /etc/xdg/autostart root-Rechte notwendig sind.

bashrc: Die versteckte Datei ~/.bashrc liegt im Home-Verzeichnis jedes Benutzers und gilt folglich für den angemeldeten Benutzer. Alle dort enthaltenen Kommandos werden bei jedem Start des Terminals abgearbeitet.

/etc/rc.local: Für Befehle, die unabhängig vom angemeldeten Benutzer vor der Benutzeranmeldung abgearbeitet werden sollen, eignet sich auf allen Debian-Systemen einschließlich Ubuntu und Mint die Datei /etc/rc.local. Um die Datei zu bearbeiten, benötigen Sie root-Rechte:

sudo gedit /etc/rc.local

crontab: Der Zeitplaner Cron ist auf allen Linux-Systemen vorinstalliert und nutzt eine systemweite Datei /etc/crontab, die für alle Benutzer gilt und im Terminal mit root-Rechten bearbeitet werden kann:

sudo crontab –e

Zusätzlich kann es Benutzer-Crontabs geben, die unter /var/spool/cron/crontabs/ zu orten sind. Kontrolle über Systemdienste

Dienste: Neben automatisch gestarteten Programmen lädt jedes Linux zahlreiche Systemdienste, die das Tool „Startprogramme“ grundsätzlich nicht auflistet. Im Terminal ist mit

service --status-all

eine Übersicht möglich. Wer Systemdienste bequem kontrollieren und bei Bedarf auch deaktivieren will, kann den „Boot Up Manager“ nachinstallieren:

sudo apt-get install bum

Die Bedienung ist selbsterklärend. Sie können Dienste nach Rechtsklick „Jetzt stoppen“ (für die aktuelle Sitzung) oder dauerhaft abschalten, indem Sie das Häkchen entfernen. Das Abschalten von Diensten setzt aber gründliche Kenntnis über deren Funktion voraus.

Typische Crontab: Hier gibt es vier Jobs, die das System täglich um 8:00 und 9:00 Uhr sowie stündlich abarbeitet.

Zurück zur Linux-Übersichtsseite…

Stromsparen am PC und Notebook

Strom sparen hilft gleich dreimal und ist damit ein Sport, der eigentlich jeden motivieren sollte: Das Notebook läuft länger. Die Stromrechnung wird niedriger. Und die Umwelt dankt es, wenn alle mitmachen.

1. Rechnen Sie selbst: Watt und Euro

Die üblichen Watt-Angaben für elektronische Geräte sind für normale Verbraucher nichtssagend. Was hilft die Info, dass ein Notebook 40 bis 60, ein Netbook etwa 20, ein Büro-PC 140, ein 32-Zoll-TV 50, WLAN-Router oder NAS-Gerät etwa 15 Watt verbrauchen?

Wenn Sie wissen wollen, welchen Jahresverbrauch diese Werte bedeuten, hilft folgende Formel: [Watt-Angabe]/1000*24*365*0,25

Hier ist ein Kilowatt-Preis von 25 Cent angenommen. Ein permanent laufender Büro-PC mit 140 Watt (d. i. pro Stunde) schlägt also im Jahr mit 306,60 Euro zu Buche.

2. Zeitschaltuhr und Steckerleisten

Kompromissloses Abschalten hilft bekanntlich. Jedoch sollte der Komfort nicht leiden und jedes Gerät bei Bedarf schnell nutzbar sein. Überlegen Sie den Einsatz folgender Hilfsmittel:

Steckerleiste mit Schalter: Damit trennen Sie mit einem Knopfdruck alle angeschlossenen Geräte vom Netz. Auch Router und Modem müssen nachts nicht durchlaufen – es sei denn, das Telefon-Festnetz hängt am Modem und ist nachts  unentbehrlich. PCs müssen vorher heruntergefahren werden!

Zeitschaltuhr: Einfache Zeitschaltuhren in Form von Zwischensteckern kosten nur vier bis 10 Euro, Steckerleisten mit Zeitschaltuhr zwischen 10 und 80 Euro. Für PCs, Notebooks, NAS-Speicher, externe Festplatten sind Zeitschaltungen meist zu unflexibel: Wenn Sie ausnahmsweise länger als gewohnt arbeiten und die Uhr den Strom abdreht, ist Datenverlust vorprogrammiert.

Master-Slave-Leiste: Solche Steckdosenleisten ab 15 Euro schalten automatisch alle Geräte an den Slave-Anschlüssen ab, sobald am Master-Anschluss kein Strom mehr fließt – also etwa der PC abgeschaltet wird. Die geringe Rest-Spannung bei ACPI-Sparmodi (Advanced Configuration and Power Interface) wie „Energie sparen“ oder „Ruhezustand“ schaltet die Slave-Geräte ebenfalls ab.

Master-Slave-Steckerleiste
Master-Slave-Steckdose: Solche Leisten schalten alle Geräte an den Slave-Dosen ab, wenn das Gerät (PC) der roten Master-Dose heruntergefahren wird.

3. Energieverwaltung auf PC, Notebook, Router

Moderne Hardware und Betriebssysteme halten vielseitige Sparmodi parat, die den Verbrauch des ganzen System oder einzelner Komponenten senken.

Windows und insbesondere die aktuellen Versionen 7 und 8 bieten auf PCs und Notebooks mit ACPI-Standard differenzierte Spareinstellungen. Klicken Sie in der Systemsteuerung auf „Energieoptionen“ und beim aktiven Energiesparplan auf „Energiesparplaneinstellungen ändern“. Je kürzer Sie die Zeitintervalle definieren, desto schneller greifen Helligkeitsanpassung oder Bildschirmausschaltung. Unter „Erweiterte Einstellungen“ schalten Sie Festplatten nach wenigen Minuten aus. Unter „Systemsteuerung –> Anpassung –> Bildschirmschoner“ sollten Sie „Leer“ (also schwarz) wählen und am Notebook eine sehr kurze Wartezeit einstellen.

Energieoptionen Windows 7 und 8
Energieoptionen nutzen: Mit differenzierten Einstellungen sind Windows 7 und 8 aktuell die ökologischste Betriebssysteme.

Router und NAS besitzen automatische Optionen, die den Stromverbrauch reduzieren. NAS-Geräte schalten nach einer definierten Idle-Zeit die Festplatten (siehe „Energieverwaltung“), die Fritzbox hat eine Nachtschaltung („Einstellungen, Erweiterte Einstellungen, System, Nachtschaltung“), mit der Sie für die eingegebene Zeitspanne den WLAN-Sender (Hauptverbraucher) abschalten.

Energieverwaltung in einem NAS-Netzwerkspeicher
Energieverwaltung in einem NAS-Netzwerkspeicher

4. Manueller Energiesparmodus

Vor der Mittagspause oder vor einem Meeting schalten Sie das Arbeitsgerät am besten in einen Energiesparzustand. Je einfacher das geht, desto nachhaltiger ist der Gewöhnungseffekt.

Die komfortabelste Maßnahme unter Windows ist das „Energie sparen“. Das schreibt den Inhalt der aktuellen Sitzung in den Speicher, schaltet die komplette Hardware ab und versorgt nur noch den Arbeitsspeicher mit Strom. Der Verbrauch sinkt auf zwei bis drei Watt. Nach Tastendruck ist die Sitzung mit allen Programmen in wenigen Sekunden wieder verfügbar.

Notebook- und einige PC-Tastaturen haben eine extra Sleep Mode-Taste mit Mond-Symbol. Wenn Ihnen diese fehlt, sollten Sie den Sleep Mode prominent im Startmenü eintragen. Dazu klicken Sie mit rechter Maustaste auf den Startknopf, wählen „Eigenschaften“ und ferner die Registerkarte „Startmenü“. Hier tragen Sie neben „Standardaktion für Beenden“ die Option „Energie sparen“ ein.

5. Stromspartipps für PC-Hardware

Wenn Sie Kaufentscheidungen energiebewusst treffen wollen, gibt es einige Grundregeln für die Wahl der Hardware.

Multifunktionsgeräte sind naturgemäß sparsamer als Einzelgeräte: Eine Drucker-Scanner-Kopierer-Fax-Kombi verbraucht deutlich weniger Strom als zwei oder drei Einzelgeräte. Ein gutes Smartphone ersetzt Handy, Kamera und MP3-Player.

Monitore und TV-Geräte verbrauchen umso mehr Strom, je größer die Bildfläche ausfällt. Ein 32-Zoll-LCD-TV benötigt etwa 40 Watt, einer mit 40 Zoll bereits das Doppelte. Ein weiterer entscheidender Faktor ist die Helligkeit: Bei Inaktivität sollte sich das Display möglichst schnell verdunkeln – das können Sie am Notebook über die Windows-Energieoptionen steuern. Alte Röhrenmonitore sind Stromfresser: Der Ersatz durch einen LCD-Monitor amortisiert sich nach wenigen Betriebsjahren.

PC-Komponenten: Am sparsamsten arbeitet eine Hauptplatine, die alle wesentlichen Komponenten enthält – Grafikchip, WLAN, LAN, USB, Sound. 2,5-Zoll-Festplatten sind sparsamer als 3,5-Zoll-Platten, Platten mit großer Kapazität sparsamer als mehrere kleine. Beim Netzteil sparen Sie kaum Strom, wenn Sie eines mit geringer Ausgangsleistung wählen. Eine Nennleistung von 600 Watt bedeutet nämlich keineswegs 600 Watt im Mittel, sondern nur den absoluten Spitzenwert.

Datenserver: Wenn Sie einen zentralen Server im Dauerbetrieb benötigen, ist ein Netbook mit USB-Platte oder ein NAS-Gerät zu empfehlen. Gegenüber einem PC spart das kleine Gerät knapp 200 Euro Stromkosten im Jahr.

6. Grenzwertiges Öko-Tuning

Eine Reihe weiterer Sparmaßnahmen sind technisch möglich, aber nur bedingt zu empfehlen. Sie sind marginal oder gehen auf Kosten von Stabilität oder Bedienkomfort.

Betriebssytem-Optik: Egal ob Mac, Windows, Linux – durch Abschalten visueller Effekte lässt sich der Stromverbrauch natürlich reduzieren. Aber es ist heute einem Windows-Anwender kaum noch zuzumuten, etwa das Aero-Design zu deaktivieren.

Komponenten-Tuning: Der Stromverbrauch einiger PC-Komponenten lässt sich im Geräte-Manager („Systemsteuerung –> Geräte-Manager“) genauer steuern. Sie finden etwa bei vielen WLAN-Adaptern unter „Eigenschaften –> Erweitert“ einen Mindeststromverbrauch“ sowie „Ausgangsleistung“. Bei anderen Komponenten wie dem LAN-Adapter finden Sie „Energieverwaltung“ die Option, dass der „Computer … das Gerät ausschalten“ im Sleep Modus ausschalten darf.

Untertakten und Undervolting: Manche Bios-Varianten bieten nach wie vor die Möglichkeit, den Prozessortakt manuell herabzusetzen. Das ist auf jüngeren ACPI-konformen PCs nicht sinnvoll, weil dies bei geringer Last automatisch geschieht. Fragwürdig ist auch das Undervolting mit externen Tools wie mit der englischsprachigen Freeware Rightmark CPU Clock Utility. Undervolting senkt die Stromspannung bei unveränderter CPU-Leistung. Unter Volllast sind sporadische Abstürze nicht auszuschließen.

So funktioniert ein PC (Mainboard & Co.)

PCs sind hochkomplexe, multifunktionale Werkzeuge. Die fundamentalen Bauteile und ihre Zusammenarbeit zu verstehen, erfordert aber kein Informatik-Studium. Die folgenden Zeilen und Bilder komprimieren das Wesentlichste.

1. CPU, Speicher und Peripheriegeräte

Der Computer im engeren Sinn besteht nur aus zwei fundamentalen Komponenten – dem Prozessor (CPU = Central Processing Unit, Zentraleinheit) und dem Arbeitsspeicher (RAM, Random Access Memory).

Der Prozessor: Alles was am PC geschieht, muss über die CPU in den Speicher und kann dort von der CPU gelesen, geändert, bearbeitet werden. Das ist stark vereinfacht – denn dabei lassen wir die gesonderte GPU (Graphics Processing Unit) zur Bildschirmausgabe ebenso außen vor wie DMA (Direct Memory Access), also den direkten Speicherzugriff ohne Vermittlung durch die CPU.

Um die CPU mit Aufgaben zu füttern, sind exakte Anweisungen erforderlich – Software im weitesten Sinne. Der Befehlssatz eines Prozessors, also die Maschinensprache, ist trotz jüngerer Befehlssatz-Erweiterungen (MMX, SSE) überschaubar, zumal von den 200 bis 300 Befehlen nur etwa 20 intensiv genutzt werden: Da werden etwa Inhalte von einer Speicheradresse in eine andere verschoben, Zahlen addiert, dividiert oder verglichen oder Variablen via Interrupt-Aufruf auf Festplatte geschrieben. Die der Maschinensprache nahe Assemblersprache ist trotz des geringen Befehlsumfangs schwer zugänglich und benötigt für winzige Aktionen schnell Hunderte von Codezeilen. Sie findet praktisch nur dort Verwendung, wo Geräte-Hersteller für spezialisierte Prozessoren mit optimiertem Code jede unnötige Last vermeiden müssen.

Software für den PC entsteht fast immer unter wesentlich zugänglicheren Hochsprachen wie C oder Java, deren Compiler den Code am Ende in Maschinensprache umwandelt. Diese Compiler erzielen zwar nicht die Qualität eines Assemblercodes, arbeiten aber ebenfalls hocheffizient. Selbst das Basissystem des PCs, das Bios (Basic Input Output System), muss seit der Umstellung auf EFI (Extensible Firmware Interface) nicht mehr in Assembler geschrieben werden.

CPU, Prozessor
CPU unter geöffneter Verriegelung: Die CPU ist verglichen mit ihrer Bedeutung eine unscheinbare Komponente.

Der Arbeitsspeicher: Wie viel RAM eine CPU direkt, also ohne spezielle Erweiterungstechniken nutzen kann, hängt von der Architektur ab: 32-Bit-CPUs adressieren theoretisch bis zu vier GB RAM: 2 hoch 32 ergibt 4.294.967.296 Bytes. Diese 4-GB-Grenze ist inzwischen ein echtes Limit, weil viele Mainboards in PCs und Notebooks nicht nur mehr Speicher aufnehmen können, sondern oft schon standardmäßig mit 6 und 8 GB ausgeliefert werden. Allerdings sind 64-Bit-Prozessoren seit mehr als 10 Jahren Standard: Sie können theoretisch 2 hoch 64 Bytes adressieren, sind aber aktuell oft auf 35 oder 36 Adressleitungen gedrosselt, was dann ein Speicherlimit von 32 oder 64 GB bedeutet. Neben den RAM-Limits der CPU und des Mainboards muss vor allem auch 64-Bit-Systemsoftware zum Einsatz kommen: Die Speicheradressierung der CPU über 4 GB hinaus setzt 64-Bit-Windows oder –Linux voraus, was aber ebenfalls zunehmend Standard wird.

3D-Bios
3D-Bios: Dies lässt den schlichten Textmodus eines alten Assembler-Bios deutlich hinter sich. Fragt sich allerdings, ob das Bios wirklich zum Mausklicken einladen soll.
4-GB-Limit
Verschenkter Speicher: Die 64-Bit-CPU könnte die 8 GB RAM adressieren, aber das 32-Bit-Betriebssystem verhindert dies. CPU und System müssen 64-bittig sein, um die 4-GB-Grenze zu überwinden.

2. Peripherie, Bussysteme und Interrupts

Ohne Verbindung zur Außenwelt könnte die CPU weder Befehle in Form von Software entgegennehmen noch Resultate weitergeben. Alle Geräte zur Eingabe von Software oder von Daten sowie zur Ausgabe der Ergebnisse gelten als „Peripherie“:

Peripheriegeräte und Bussysteme: Typische und eindeutige Eingabe-Peripherie sind Geräte wie Tastatur, Maus, Lochkarte oder Mikrofon, während Lautsprecher, klassische Drucker und Monitore zur Datenausgabe dienen. Multifunktionsdrucker und Touchscreen können beide Rollen übernehmen, ebenso wie Laufwerke oder Netzadapter. Die Übertragung von und zur Peripherie läuft über einen Datenbus, und die wichtigsten Bussysteme im PC sind AGP, PCI, PCI-Express für Erweiterungskarten, IDE, SCSI, (S)ATA für Laufwerke, ferner USB für externe Erweiterungsadapter und Laufwerke sowie Ethernet und WLAN für Netzverbindungen. Die Vielfalt der Bussysteme ist Folge der Tatsache, dass die CPUs immer schneller werden und die Bussysteme folgen müssen, um nicht das System auszubremsen. Der Datenweg aller dieser Bussysteme führt über den Chipsatz des Mainboards direkt zur CPU beziehungsweise umgekehrt.

Interrupts: Bislang ist nicht deutlich geworden, wie eine vielbeschäftigte CPU davon erfährt, dass sich da draußen gerade die Maus bewegt hat oder ein Datenpaket des Netzadapters angekommen ist. Dazu muss es eine Möglichkeit geben, den Prozessor zu unterbrechen und auf das Ereignis aufmerksam zu machen. Das geschieht durch definierte Unterbrechungsleitungen mit einem Interrupt-Request (IRQ). Da es eine Vielzahl von Peripherie-Geräten gibt, die IRQs senden, die CPU selbst aber nur einen Eingang dafür hat, ist – meist im Chipsatz des Mainboards – der PIC oder APIC (Advanced Programmable Interrupt Controller) zwischengeschaltet. Der bietet dann immerhin 16 Interrupt-Leitungen. Das ist auch nicht viel, und die Interrupt-Verwaltung war lange Zeit ein ernstes Problemfeld, weil zwei Geräte auf derselben Interrupt-Leitung beide Geräte ganz oder teilweise außer Gefecht setzen. Aber nach dem Aussterben technisch „dummer“ ISA-Steckkarten gelingt modernen Betriebssystemen mittlerweile das IRQ-Sharing problemlos, also das Teilen einer Leitung: Interrupt-Konflikte sind Geschichte, Plug & Play funktioniert praktisch reibungslos.

Damit das System aus Benutzersicht optimal funktioniert und reagiert, wertet der Interrupt Controller die IRQ nach Priorität: Benutzereingaben durch Maus oder Tastatur erhalten höhere Priorität als Festplatten- oder Netzwerk-Anfragen. Nur bei extremer Überlastung werden Sie beobachten, dass der Mauszeiger der Bewegung des Zeigegeräts nicht mehr folgt.

3. Mainboard und Basiskomponenten

Mainboards, Motherboards oder – deutsch – Hauptplatinen bilden das unübersehbare Zentrum eines PCs, sobald Sie dessen Gehäuse öffnen. Wichtige Anschluss-Ports des Mainboards sind auch bei geschlossenem Gehäuse überwiegend an der Rückwand, zum Teil auch an der Frontseite zugänglich. Erweiterungskarten wie Grafikkarten oder Soundkarten, zusätzliche Festplatten oder optische Laufwerke können Sie aber nur bei offenem Gehäuse und direktem Zugriff auf das Mainboard nachrüsten. Die Abbildung zeigt und kennzeichnet die wesentlichen Bauteile eines Mainboards:

Mainboard Beziffert

1. Der Bios-Chip: Das Basic Input Output System (oder die EFI Firmware) ist die primäre Software und als kleiner Chip auf dem Mainboard (1). Es initialisiert und konfiguriert dessen Hardware-Komponenten. Damit die Einstellungen Neustarts überdauern und die Systemzeit aktuell bleibt, wird ein kleiner Speicherbaustein mit einer eigenen Batterie (1a) versorgt. Beim Einschalten prüft das Bios die Mainboard-Hardware und die angeschlossenen Peripherie-Geräte und kann über den Bootsektor des primären Laufwerks den Start des eigentlichen Betriebssystems initiieren.

2. CPU-Sockel (mit CPU und Lüfter): Die CPU ist auf dem sogenannten Sockel (2) mit Hilfe eines einrastbaren Metallbügels fixiert. Von den vergleichsweise kleinen Bauteilen Sockel und CPU ist beim Blick auf ein komplett bestücktes Mainboard in der Regel nichts zu sehen, weil diese der große CPU-Lüfter verdeckt. Beim Austausch der CPU müssen Sie diese unbedingt passend zum Mainboard-Sockel wählen: Aktuelle Sockel für Intel-CPU haben Bezeichnungen wie 1155 oder 1366, für AMD-CPUs AM3 oder AM3+.

3. Speicherbänke: Die zwei, oft vier, seltener sechs Slots für RAM-Module (3) können nur die von der Slotbauweise und vom Chipsatz vorgegebene RAM-Riegel aufnehmen. Die Speicherriegel, heute meist DDR, DDR2 und DDR3 (DDR=Double Data Rate), haben je nach Typ eine Kerbe an unterschiedlicher Stelle, so dass der Einbau falscher Module physisch ausgeschlossen ist. Trotzdem müssen Sie beim Nachkauf von RAM darauf achten, dass die Module idealerweise dieselbe Taktrate besitzen, wie sie der Chipsatz des Mainboards vorgibt. Schnellere Module sind kein ernstes Problem, sie arbeiten dann aber langsamer als sie technisch könnten. Die Taktrate des Motherboards ist am einfachsten im Bios-Setup zu ermitteln, umständlicher auch im Handbuch des Motherboards.

4. Erweiterungssteckplätze: Trotz umfassender Ausstattung aktueller Mainboards mit allen wichtigen Komponenten, sind Hauptplatinen offen für Aufrüstmaßnahmen. Typischerweise finden sich auf dem Board mehrere PCI-Slots (4) und an erster Stelle und zur Mitte versetzt ein PCI-Express-Slot (4a) für die Grafikkarte. Bei neuesten Mainboards überwiegen zahlenmäßig bereits die längeren PCI-Express-Slots.

Auf älteren Boards gibt neben den PCI-Slots an erster Stelle und zur Mitte versetzt den AGP-Slot für die Grafikkarte. AGP (Accelerated Graphics Port) war einige Jahre um die Jahrtausendwende eine Zwischenlösung mit dem Ziel, damals teureres RAM für die Grafikkarte einzusparen, indem AGP notfalls den Arbeitsspeicher des PCs nutzen konnte.

Sehr alte Boards bieten am unteren Ende nach den PCI-Steckplätzen noch die auffällig langen ISA-Steckplätze. Diese sind längst im Aussterben begriffen.

Das Aussterben von ISA und AGP verurteilt manche hochwertige Erweiterungskarte zu Sondermüll, weil neuere Mainboards dafür keine Verwendung mehr haben. Umgekehrt passen in alte Mainboards keine modernen Komponenten. Lediglich der PCI-Bus (Peripheral Component Interconnect) hat mittlerweile fast zwei Jahrzehnte überdauert und wird nur dort, wo maximaler Durchsatz gewünscht ist (Grafikkarte), durch die Weiterentwicklung PCI-Express (PCIe) ersetzt.

5. Chipsatz mit Northbridge und Southbridge: Der Chipsatz des Mainboards besteht traditionell aus zwei Chips – der Northbridge und Southbridge (5). Die Northbridge befindet sich in unmittelbarer Nähe der CPU, die Southbridge nahe den Erweiterungssteckplätzen. Der Chipsatz übernimmt den Datenverkehr zwischen Peripheriegeräten und CPU, definiert wichtige Board-Eigenschaften wie CPU-Cache oder RAM-Obergrenze und bietet Onboard-Komponenten wie Ethernet und Sound. Auf manchen neueren Boards besteht der „Chipsatz“ nur noch aus einem Chip, der Southbridge. Die Funktionen der Northbridge übernimmt dort direkt eine entsprechend ausgestattete CPU. In der nebenstehenden Mainboard-Abbildung fehlt die Northbridge, die ihren Platz zwischen CPU-Sockel (2) und PCI-Slots (4a) hätte.

6. SATA-Anschlüsse: SATA (Serial Advanced Technology Attachment) ist der aktuelle Übertragungsstandard zwischen Laufwerken und dem Prozessor. Hier (6) schließen Sie Festplatten, SSDs und optische Laufwerke an. Standard ist mittlerweile die dritte SATA-Version, die theoretisch 600 MByte/s pro Sekunde übertragen kann. Die breiten, 40-Pin-Slots für ältere IDE/PATA-Festplatten (6a) sind auf neueren Boards oft nicht mehr vorhanden, Slot für Diskettenlaufwerke fehlen inzwischen auf allen Boards.

7. Anschlüsse für Peripherie: Gute PC-Mainboards sparen nicht mit Anschlüssen, die auf der Gehäuserückseite des Rechners zugänglich sind (7). Je nach Gehäuse finden sich auch auf der Frontseite Anschlüsse für USB, SD-Karte und Kopfhörer.

Die zusätzliche Abbildung der rückwärtige Peripherie-Ports zeigt ein Mainboard mit folgenden Anschlüssen von links nach rechts: PS/2-Port (für Maus oder Tastatur), darunter 2x USB 2.0, S/PDIF koaxial, darunter S/PDIF optisch (Audio-Schnittstellen), Bluetooth, 2x USB 2.0, eSATA, 2x USB 2.0, Ethernet-LAN, darunter 2x USB 2.0, Ethernet-LAN, darunter 2x USB 3.0, 6 Audio-Klinkenanschlüsse für 7.1-Surroundsystem.

8. Mainboard-Stromstecker: Der 20- oder 24-polige ATX-Stromanschluss (8) versorgt das Mainboard mit Strom. Der passende Stecker kommt vom ATX-Netzteil.

9. CPU-Stromstecker: Die CPU hat ihre eigene Stromversorgung. Der 8-polige, eventuell auch quadratisch-4-polige Stromanschluss für die CPU (9) befindet sich in der Nähe der CPU. Der passende Stecker kommt vom ATX-Netzteil.

10. Lüfter-Anschlüsse: Für CPU- und Gehäuselüfter gibt es meist 3- oder 4-polige Anschlüsse. Einmal angeschlossen, können Sie den Lüfter über das Bios oder sogar über das Betriebssystem regulieren. Die Stecker der jeweiligen Lüfter gehören in die mit „xxx_FAN“ gekennzeichneten Anschlüsse. Dabei sollte der CPU-Lüfter aufgrund seiner Steuerungsoptionen unbedingt an den vorgesehenen Anschluss „CPU_FAN“ (10); bei Lüftern ohne Steuerungsmöglichkeit spielt es keine Rolle, an welchem „xxx_FAN“-Anschluss sie hängen (SYS_FAN, PWR_FAN).

CPU-Fan, Lüfter
Anschluss für den CPU-Lüfter: Der per Software regelbare Lüfter sollte am vorgesehenen Ort angeschlossen werden.

11. Frontpanel: Das Frontpanel (11) ist für die LEDs und den Powerknopf an der Gehäusefront zuständig. Dazu müssen kleine, 2-polige Stecker des PC-Gehäuses in die passenden Pins gesteckt sein. Die Pin-Belegung am Mainboard ist oft nicht ausreichend beschriftet, so dass nur der Blick ins Mainboard-Handbuch hilft.

12. Interne USB-Anschlüsse: USB-Ports im Mainboard (12) ermöglichen den Anschluss von USB-Geräten an der Gehäusefront – soweit das PC-Gehäuse solches vorsieht. In diesem Fall muss der passende Stecker des Gehäuses mit dem internen Anschluss verbunden werden.

Peripherie-Anschluesse
Typisches Mainboard-Angebot an der Gehäuse-Rückseite: PC-Hauptplatinen geizen nicht mit Anschlussmöglichkeiten insbesondere für USB 2.0. und 3.0.

4. Mainboard und Onboard-Peripherie

Abgesehen von den genannten Standardbauteilen besitzen heutige Mainboards integrierte Peripherie-Komponenten, so dass Sie zusätzliche Steckkarten nur noch bei besonderen Qualitätsansprüchen benötigen:

Onboard-GPU: Ein Grafikchip ist häufig im Chipsatz (Northbridge) des Mainboards integriert. Diese GPUs (Graphics Processing Unit) sind völlig ausreichend für Büroanwendungen und die visuellen Effekten von Betriebssystem und Software. Lediglich 3D-Gamer brauchen in jedem Fall eine leistungsstarke Grafikkarte.

Onboard-Ethernet: Fast Ethernet (100 MBit), inzwischen meist Gigabit-Ethernet (1000 MBit) ist auf allen Mainboards Standard (13), zum Teil Bestandteil des Chipsatzes (Southbridge). Eine PCI-Netzwerkkarte ist daher nicht mehr nötig, manchmal aber zu empfehlen, weil hier bei Billig-Mainboards oft mangelhafte Qualität verbaut ist. Mainboards mit integriertem WLAN-Chip sind selten. Notebooks, die standardmäßig WLAN mitbringen, realisieren das mit einer Erweiterungskarte auf dem Mini-PCI-Steckplatz.

Onboard-Sound: Ebenfalls längst Standard (14), zum Teil im Chipsatz des Mainboards (Southbridge), ist ein Soundchip. Die meist befriedigende bis gute Qualität dieser Chips wird oft nur durch lausige Ausgabehardware (Lautsprecher) geschmälert. Dedizierte Soundkarten brauchen nur noch Enthusiasten, die Musik nicht nur hören, sondern auch bearbeiten wollen.

5. Das Mainboard ist (fast) der PC

Das Mainboard ist die maßgebliche Komponente eines PCs wie Sie anhand folgender Minimalausstattung ermessen können: Ein Rechner mit Mainboard ist nämlich theoretisch lauffähig, sobald

  • ein PC-Netzteil (meist ATX-Format) angeschlossen ist, das die Stromversorgung gewährleistet,
  • der CPU-Sockel mit einem Prozessor bestückt ist,
  • mindestens ein Speichermodul in einem der RAM-Steckplätze steckt.
Netzteil
Ohne Stromversorgung geht nichts: Mainboard, CPU sowie Laufwerke müssen mit dem Netzteil verbunden sein. PC-ATX-Netzteile leisten 300 bis 1500 Watt.

Damit kann immerhin das Bios oder die EFI-Firmware des Mainboards starten und dieses erlaubt dann per Bootmenü die Auswahl eines bootfähigen externen Datenträgers mit einem Betriebssystem. Sie sehen aber schon: Um etwas auszuwählen, ist mindestens ein angeschlossenes Eingabegerät wie eine Tastatur unerlässlich, ferner ein Monitor, um das gestartete System dann auch nutzen zu können. Außerdem setzt unsere Minimalkonfiguration voraus, dass ein Onboard-Grafikchip vorhanden ist. Im realen Betriebsalltag befindet sich im PC ferner mindestens ein Festspeicher in Form einer Festplatte oder SSD mit einem Betriebssystem, das nach dem Bios automatisch startet.

6. Verhältnis von Hardware und Software

Hardware wird immer kleiner, leiser und ausgereifter. Für den PC-Nutzer stehen zunehmend funktionsreiche Betriebssystem-Software und Anwendungsprogramme im Zentrum, und auftretende Probleme liegen überwiegend auf der dominanten Software-Ebene. Das kann Anwender zu dem Irrtum verleiten, alle Probleme auf Software-Ebene beheben zu wollen. Defekte Hardware ist aber durch Software nicht zu reparieren – einige Beispiele:

Wenn Sie Systemabstürze und Bluescreens beobachten, sollten Sie CPU- und Gehäuse-Lüfter, ferner die RAM-Bausteine prüfen.

Wenn das Netzwerk ständig stockt oder zusammenbricht, sollten Sie versuchsweise den Ethernet- oder WLAN-Adapter austauschen.

Wenn das Betriebssystem nicht mehr startet, sollten Sie vor einer Neuinstallation erst mal mit einem mobilen Linux-Live-System testen, ob nicht ein generelles Hardwareproblem vorliegt.

Deutlich harmloser als defekte Bauteile, im Ergebnis aber genauso fatal, sind fehlende oder fehlerhafte Gerätetreiber: Jede angeschlossene Hardware benötigt einen solchen Treiber als Vermittler-Software zum Betriebssystem. Unter Windows kontrollieren Sie im Geräte-Manager recht bequem, ob die angeschlossene Hardware komplett erkannt und ein Gerätetreiber installiert ist. Im Fehlerfall zeigen gelbe Ausrufezeichen oder die Angabe „Unbekanntes Gerät“, dass der Treiber fehlt. Sie können dann Windows suchen lassen oder selbst auf die Webseite des Geräteherstellers gehen. Die Basisaustattung an passenden Treibern finden Sie aber immer auch auf der Begleit-DVD Ihres Mainboards.

Hardware-Treiber
Chipsatz-Treiber auf der Mainboard-DVD: Die dem Board beiliegende DVD verdient einen sicheren Ort, bei häufiger System-Installation auch ein ISO-Image auf der Festplatte.

 

MBit/s: Breitband-Internet

Bandbreiten mit 30, 50, 100 und 200 MBit/s – früher nur im lokalen LAN denkbar – sind heute weder technisch noch finanziell eine Hürde. Die Fragen sind: Welche Bandbreite wollen Sie und was ist vor Ort verfügbar?

Die Währung: Was sind MBits?
Die entscheidende Währung der Internet-Provider ist MBit/s, Megabits pro Sekunde. Wenn bei Angeboten drei Nullen dranhängen wie etwa bei „DSL 16000“, dann sind das Bits pro Sekunde. Streichen Sie die Nullen weg, dann sind Sie wieder bei MBit/s (also 16). Und um von MBit/s eine anschauliche Datenmenge zu errechnen, teilen Sie grob durch 10: Bei 16 MBit/s kommen also etwa 1,6 MB pro Sekunde durch die Leitung, bei 50 MBit/s circa 5 MB pro Sekunde.

Wieviel MBit/s braucht man wofür?
Die folgenden Übertragungsraten, die den gängigen Providerangeboten entsprechen, geben Ihnen ein Orientierungsraster, was Sie für welche Ansprüche benötigen:
Mit 6 MBit/s funktionieren Mail, soziale Netzwerke und HTML-Darstellung noch flott, Video-Wiedergabe ist aber bereits bei mäßiger Qualität grenzwertig.
16 MBit/s garantieren schnelles Surfen, flotte Software-Downloads und – bereits grenzwertig – den Zugang zu IPTV und TV-Mediatheken.
25-32 MBit/s erlauben rasante Medien-Downloads (Audio, Film) und ruckelfreie Wiedergabe aller Medienangebote, grenzwertig bei hochauflösendem HD-Inhalten.
50-100 MBit/s ist die Bandbreite für Download-Junkies mit keinerlei Limits auf der Empfängerseite.
200 MBit/s und mehr sind Overkill für einen Einzelabnehmer, da kaum ein Web-Server diese Datenmenge an eine einzelne IP ausliefert – eine Leitung für Kleinunternehmen, Großfamilien und Personen, die schon heute absolut zukunftssicher surfen möchten.

Beachten Sie, dass alle Internetprovider in gewisser Weise „zocken“ und die zugesagten Bandbreiten nur mit dem Kalkül bereitstellen können, dass immer nur ein Bruchteil der Kunden Bandbreite benötigen. Im Allgemeinen können Sie davon ausgehen, dass dieses Zockerspiel umso dreister ausfällt, je höher die versprochene Bandbreite liegt.

Breitbandatlas
Der Breitbandatlas informiert über regional verfügbare Netze und Anbieter.

Was leisten die verschiedenen Techniken?
DSL (Digital Subscriber Line) nutzt vom grauen Kasten an der Straße (DSLAM) bis zum Kunden das Kupferkabel der Telefonleitung und ist mit 16 MBit/s am oberen Limit angelangt.
VDSL (Very High Speed Digital Subscriber Line) verwendet denselben Übertragungsweg, kann aber durch technische Optimierung theoretisch auf 52 MBit/s kommen. Größere Entfernungen zum DSLAM verringern den Durchsatz beträchtlich. Typische Provider-Angebote für VDSL reichen von 25 bis 50 MBit/s.
Internet via Fernsehkabel ist schneller als DSL und VDSL und überall dort mit geringem Aufwand erreichbar, wo bereits ein Kabelanschluss besteht. Die Angebote der größten Kabelprovider Unitymedia und Kabel Deutschland reichen derzeit von 16 bis 200 MBit/s. Das versprochene Maximum erhalten Sie aber nur im Einfamilienhaus, in Mehrfamilienhäusern müssen Sie sich diesen Datendurchsatz mit den anderen Haushalten teilen. Aktuell (Anfang 2016) rate ich allerdings von einem Vertrag mit Kabel Deutschland / Vodafone dringend ab, siehe Finger weg von Kabel Deutschland!.
Glasfaser direkt zum Endkunden (FTTH – Fibre to the Home) könnte theoretisch 1000 MBit/s übertragen, ist aber praktisch überall am Ende mit langsameren Kupferkabel kombiniert. Die Angebote nennen daher vergleichsweise bescheidene 25 bis 200 MBit/s. Glasfasernetze legen neben der Telekom diverse kleine, regionale Anbieter, sind aber in Deutschland nur sporadisch anzutreffen.
Das Funknetz UMTS erzielt theoretisch bis zu 21 MBit/s. Typische Angebote liegen bei 7 und 14 MBit/s. Neben der relativ geringen Geschwindigkeit müssen UMTS-Kunden mit einem relativ knappen Downloadlimit auskommen. Wer dieses überschreitet, wird im entsprechenden Monat auf magere 384 Kbit/s gedrosselt. UMTS bleibt ein Notnagel, wo sonst nichts geht.
Das Funknetz LTE (Long Term Evolution, UMTS-Nachfolger) liefert theoretisch bis zu 100 MBit/s. Die Angebote der Hauptprovider Telekom, Vodafone und O2 bewegen sich aber überwiegend zwischen 7 und 14 MBit/s. Und auch hier gibt es monatliche Downloadlimits zwischen 5 und 30 GB, deren Überschreitung die Leitung drosselt. 1 GB ist an einem Tag schnell erreicht, wenn Sie sich via Internet Videos ansehen. Beide Funknetze – UMTS und LTE – sind gemessen an den Leistungen relativ teuer.

MNET-Glasfaser
Nach genauer Adressangabe ist die Meldung des Anbieter meist zuverlässig.

Welche Netze gibt es bei mir?
Das herauszufinden, ist nicht ganz einfach. Simpelster Rat ist, positive Erfahrungen der unmittelbaren Nachbarn zu erfragen. Systematischere Wege, falls Sie Ihre Nachbarn nicht mögen (oder umgekehrt):
1. Suchen Sie auf www.zukunft-breitband.de unter „Breitbandatlas“ Ihre Region so präzise wie möglich, und sehen Sie nach, welche Technik und welcher Anbieter dort zur Auswahl stehen. Danach gehen Sie auf die Web-Seite des passenden Providers und machen auch dort eine Verfügbarkeitsprüfung für Ihre Adresse. Dies geht in der Regel einher mit genauer Angabe der Straße und Hausnummer und darf dann als relativ zuverlässig gelten.
2. Vor allem bei vorhandenem Kabelfernsehen und Interesse an Web via Kabel können Sie die Provider direkt ansteuern, da es mit Kabel Deutschland und Unitymedia nur zwei wesentliche Anbieter gibt. Die Verfügbarkeitsprüfung ist meistens zuverlässig.
Brauchen Sie Uploads?
Provider-Angebote nennen meist nur die Empfangsleistung, also die Download-Bandbreite. Das ist insofern berechtigt, als 99 Prozent der Endkunden nur Daten abholen wollen (HTML-Seiten, Medien-Streams, Datei-Downloads). Wer zu Hause einen FTP- oder Web-Server betreibt, will aber auch einen brauchbaren Upload. Der ist leider meist lausig:
Bei DSL sind es maximal 1 MBit/s, bei Kabel meist 1 bis 2,5 MBit/s (maximal 6). Deutlich besser sind hier VDSL-Tarife mit maximal 10 MBit/s und Glasfaser mit mindestens 25 MBit/s (bis zu 100 MBit/s). Die genaue Upload-Leistung müssen Sie oft mühsam den Detailangaben der Tarife entlocken, manchmal hilft gar nur direktes Nachfragen.

Verlustwege im lokalen Netz?
Wenn am Ende, nämlich bei Ihnen am Browser oder Smart TV, nicht das ankommt, was Sie bezahlen, kann es am Provider liegen. Der wird sich aber mit dem Hinweis auf das diplomatische „Bis zu XX.MBit/s“ herausreden – die Leistungsangaben der Hersteller beginnen regelmäßig mit „Bis zu…“.
Ein guter Teil des Datenstroms kann aber auch im lokalen Netz verlorengehen. Regelmäßig ist das zu erwarten, wenn die Daten im Haus per WLAN oder via Powerline verschickt werden. Besondere Sorgfalt ist geboten, wenn Sie sich eine Highend-Leitung mit 100 MBit/s ins WAN leisten, der die Geräte im heimischen LAN nicht gewachsen sind. WLAN-Router und Adapter an den Endgeräten müssen in diesem Fall unbedingt auf dem neuesten Stand sein.