Alle Beiträge von Hermann Apfelböck

Buch-Server Calibre

Das Open-Source-Programm Calibre hat sich ganz auf die Verwaltung von E-Books spezialisiert. Für wirklich große Sammlungen lohnt sich Calibre als Server, der die Bibliothek über jeden Browser für alle Netzgeräte bereitstellt.

Mit der Verbreitung von Tablets gewinnen E-Books – oft im PDF-, MOBI-, CHM- oder EPUB-Format – immer mehr Freunde. Selbst bibliophile und konservative Leser sind leicht durch die unbestreitbaren Vorteile zu überzeugen, die E-Books auf einem handlichen Tablet bieten: Textgröße, Kontrast, Helligkeit lassen sich an jede Situation anpassen. Und auf einem Tablet passt eine ganze Bibliothek ins Handgepäck. Für eine opulente oder systematische Sammlung belletristischer und technischer Bücher ist aber die Aufbewahrung auf verstreuten Lesegeräten suboptimal: Neben der Frage „Was habe ich eigentlich wo (doppelt)?“ wird dort auch schnell der Speicher knapp. Eine ideale zentrale Lösung für das Heimnetz bietet die Software Calibre mit seiner Server-Komponente.

Calibre installieren und Bibliothek erstellen

Calibre gibt es für alle Betriebssysteme unter https://calibre-ebook.com/download. Diese Anlaufstelle ist auch für Linux zu empfehlen, weil eine Installation über die Paketquellen etwa unter Debian/Ubuntu/Mint mit

sudo apt install calibre

nur ältere Versionen anbietet. Für die lokale Nutzung auf einem Rechner spielt das keine große Rolle, aber gerade die Serverkomponente hat in den aktuellen Versionen funktional dazugelernt und kommt auch optisch wesentlich frischer daher. Verwenden Sie daher zur Installation diese Befehlskombination:

wget -nv -O-
https://download.calibre-ebook.com/linux-installer.py | sudo python -c
"import sys; main=lambda:sys.stderr.write('Download failed\n');
exec(sys.stdin.read()); main()"

Das komplexe Kommando kann von der oben genannten Downloadseite oder von hier ohne Tippaufwand direkt ins Terminal kopiert werden. Diese Installationsmethode funktioniert auch als Update einer älteren Version, wobei eine bereits bestehende Bibliothek erhalten bleibt. Calibre ist nach der Installation über das Desktop-Menü oder mit dem Aufruf calibre im Terminal zu erreichen.

Für den Aufbau und die Erweiterung einer Bibliothek dient die Schaltfläche „Bücher hinzufügen“. Den Massenimport von heterogenen Formaten und ganzer Verzeichnisebenen ermöglicht die Unteroption „Bücher aus verschiedenen Verzeichnissen […], jede e-Book-Datei ist ein anderes Buch“. Damit integrieren Sie unstrukturierte Sammlungen von PDF-, HTML-, EPUB- und Office-Formaten in die Calibre-Datenbank. Beachten Sie, dass Calibre alle Dateien physisch kopiert und standardmäßig im Ordner ~/Calibre-Bibliothek/ einsammelt. Beim Import aus unstrukturierten Quellen wird die Software versuchen, aus Dateinamen und Metadaten Informationen zu beziehen, um jedes Buch sinnvoll zu katalogisieren. Fehler aufgrund unzulänglicher Metadaten sind beim Massenimport unvermeidlich, können aber später über „Metadaten bearbeiten“ manuell und mit der Hilfe von Online-Diensten („Metadaten herunterladen“) korrigiert werden.

Die Suche bestimmter Titel erfolgt im Suchfeld über dem Hauptfenster. Weitere Filtermöglichkeiten bieten Kategorien in der linken Navigationsleiste wie „Autoren“, „Formate“, „Bewertung“ oder „Schlagwörter“. Zum Lesen eines markierten Titels verwenden Sie die Schaltfläche „Bücher öffnen“.

Da es nicht primärer Gegenstand dieses Beitrags ist, die zahlreichen Filter-, Konvertierungs- und Einstellungsoptionen der komplexen Software zu erläutern, verweisen wir an dieser Stelle auf das größtenteils deutschsprachige Online-Handbuch unter https://manual.calibre-ebook.com/de/.

Calibre als Lektüre-Server im Netz

Ist eine Bibliothek erst einmal eingerichtet, kann Calibre diese für das Netzwerk freigeben. Für den Start der Serverkomponente genügt der Klick auf „Verbinden/Teilen -> Inhalteserver starten“. Danach informiert Sie ein weiterer Klick auf „Verbinden/Teilen“, unter welcher Adresse der Blbliotheksserver zu erreichen ist. Eine Angabe wie „192.168.178.10, port 8080“ zeigt, dass jeder Browser im lokalen Netz mit der Adresse „192.168.178.10:8080“ zum Calibre-Server gelangt. Wie bei jedem Server ist es auch hier von Vorteil, diese IP-Adresse statisch zu setzen (über den Router), damit Sie sich künftig jederzeit mit einem Lesezeichen verbinden können. Der Calibre-Server kann unter „Einstellungen -> Netzwerkserver“ detailliert konfiguriert werden. Falls nötig, gibt es unter „Benutzerkonten“ auch eine Benutzerverwaltung mit Zugriffskennwörtern.

Auf Client-Seite ist das wichtigste Werkzeug das Lupensymbol im Seitentitel. Im einfachsten Fall geben Sie im Suchfeld einen Autoren- oder Titelnamen ein. Die Treffer werden mit ihrem Titelbild angezeigt, und ein Klick darauf bietet Detailinformationen sowie die Optionen „Lesen“ und „Herunterladen“. Für die Option „Lesen“ wechselt der Browser automatisch in den Vollbildmodus.

Bei einer umfangreichen und gut gepflegten Calibre-Bibliothek können Sie unterhalb des Suchfeldes die Suchkategorie eingrenzen und etwa nur in der Kategorie „Schlagwörter“ nach einem bestimmten Begriff suchen oder unter „Bewertung“ nach einem speziellen Rating.

Calibre-Server „headless“: Die bislang beschriebenen Einrichtungs- und Server-Möglichkeiten orientierten sich an der grafischen Oberfläche von Calibre. Für den grundsätzlichen Aufbau der Bibliothek und insbesondere für Nachbesserungen an den Meta-Informationen ist die grafische Oberfläche in der Tat dringend zu empfehlen. Calibre bietet jedoch darüber hinaus Kommandozeilenwerkzeuge, die eine vollständige Steuerung über eine SSH-Konsole ermöglichen. Somit kann der Lektüre-Server auch auf einem Platinenrechner ohne Monitor und Tastatur laufen (headless). Der wichtigste Befehl

calibre-server /home/ha/Calibre-Bibliothek/

startet die Server-Komponente und ist im Prinzip gleichbedeutend mit dem Menüpunkt „Verbinden/Teilen -> Inhalteserver starten“ an der grafischen Oberfläche. Der Befehl gibt nur den einfachsten Einsatz wieder, ist aber für das Heimnetz in der Regel völlig ausreichend. Die Hilfeseite

calibre-server --help

informiert darüber, dass Sie auf der Kommandozeile alles steuern können, was auch auf der grafischen Oberfläche unter „Einstellungen -> Netzwerkserver“ zu finden ist.

Für den Ausbau und die Verwaltung der Bibliothek ist das mächtige Kommandozeilenprogramm calibredb zuständig. Der wichtigste Schalter „add“ kann alles, was die Optionen unter „Bücher hinzufügen“ auf der grafischen Oberfläche anbieten. So importiert der Befehl

calibredb add --recurse /media/ha/Data/PDFs

alle E-Book- und Textformate, die im angegebenen Pfad liegen, in die Calibre-Bibliothek. Weitere add-Optionen zeigt die Hilfeseite calibredb add –help undden Gesamtumfang des Tools calibredb der Befehl calibredb –help. Theoretisch lässt sich damit ein Calibre-Server von Anfang an und vollständig ohne Oberfläche betreiben – wirklich komfortabel ist das allerdings nicht. Wir empfehlen daher, die Basis im grafischen Programm zu legen. Der Serverstart und gelegentliche Nachbesserungen bereiten hingegen über das SSH-Terminal im Headless-Betrieb keine Mühe.

Calibre-Bibliothek übers Netzwerk durchsuchen: Die Suchergebnisse werden mit Buchtitel angezeigt, nach einem Klick darauf erscheinen weitere Optionen.
„Lesen“ oder „Herunterladen“: Nach Auswahl eines Buchtitels kann die Lektüre beginnen. Beim direkten „Lesen“ ist Voraussetzung, dass der Browser das Format versteht.

Der Google-Stop

Wer jahrelang unbekümmert PCs und Smartphones mit Google-Konto nutzt, wird für Google zum offenen Buch. Dagegen hilft nur Kontrolle, disziplinierter Gebrauch der Dienste und sorgfältige Konfiguration der Einstellungen.

Ein digitales Leben ohne die Datenkrake Google? Möglich ist vieles, aber dieser Vorsatz wäre ein anstrengendes Unterfangen – und für Besitzer von Android-Smartphones gar unmöglich. Klüger als ein ideologisches „Anti-Google“ ist die datenschutzbewußte Nutzung der Google-Angebote. Denn Google beherrscht sein Handwerk: Suchmaschine, Browser Chrome, Mail, Drive, Docs und Tabellen, Messenger Allo, Netzwerk Google+, Maps und Earth, Android – technisch ist der Google-Kosmos meistens nicht zu überbieten. Alternativen gibt es zwar für alles, aber Google ist fast überall schneller, präziser, vernetzter oder schlicht komfortabler. Daher die pragmatische Konsequenz: Google zu nutzen bringt Vorteile – und die Nachteile lassen sich durch Disziplin minimieren.

1. Der Überblick: Das weiß Google über Sie

Haben Sie noch den Überblick, was Sie alles an Google-Diensten nutzen? Erste Anlaufstelle für eine Übersicht, die vielleicht längst vergessene Aktivitäten wieder ans Licht befördert, ist das Dashboard:

https://myaccount.google.com/dashboard

Hier geht’s ins Detail, Dienst für Dienst. Wenn Sie diese Dienste durchgehen und dabei Altlasten finden, die Sie heute weder Google noch der Öffentlichkeit anvertrauen möchten, dann entfernen Sie diese Inhalte, gegebenenfalls auch aus dem Papierkorb. Erste Kandidaten für eine kritische Durchsicht sind Google Drive und Google Fotos. Bei den meisten aufgeführten Diensten gibt es nach dem Aufklappen ein Menü mit der Option „Daten herunterladen“. Dies kann sowohl dem besseren Überblick dienen als auch der lokalen Sicherung, bevor Sie im Google-Dienst aufräumen.

Eine umfassendere Methode, alles einzusammeln, was Google an Daten von Ihnen besitzt, ist ein Download aller Daten („Takeout“) aus allen Diensten. Dafür gibt es diese beiden Adressen:

www.google.com/settings/takeout

https://takeout.google.com/settings/takeout/light

Wer genau wissen will, was Google über ihn weiß, kann ein Archiv sämtlicher Daten anfordern. Die Durchsicht dieser Daten wird oft zur verblüffenden Zeitreise.

Beide erlauben per Mausklick die Auswahl aller oder einiger Google-Dienste, wobei die erste Adresse übersichtlicher ist und die Wahl von Archivformat und „Übermittlungsmethode“ vorsieht. Beachten Sie, dass der vollständige Download aller bei Google gespeicherten Daten inklusive Google Mail, Google Drive, Google Fotos erhebliche Datenmengen ergeben kann. In solchen Fällen ist es klug, jene Dienste, deren Daten man durch tägliche Nutzung im Griff hat, vom „Takeout“ auszunehmen. Interessant ist ja, was Google ohne aktive Mitwirkung des Nutzers ansammelt.

Wenn Sie einige Jahre mit einem Google-Konto, mit mehreren Geräten und eventuell auch mit GPS-Chip im Smartphone oder Tablet unterwegs waren, wird Sie das Ergebnis eines „Takeouts“ bedenklich stimmen. Die Summe dessen, was Sie als Kontakte pflegen, was Sie allgemein in Google, Youtube und Maps, spezieller in Google Shopping und im Play Store suchen, was Sie im Kalender vermerken, als Web-Lesezeichen ablegen, auf Drive und Google Fotos speichern, ergibt ein sehr präzises Interessensprofil. Dazu kommen dann noch Bewegungs- und Reisedaten, die das Smartphone-GPS anliefert. Sie erhalten nach dem Auspacken des Takeout-Archivs eine sauber organisierte Verzeichnisstruktur, wobei die in Ebene 1 angezeigten Elemente wie „Drive“, „Google Fotos“, „Kalender“, „Kontakte“ oder „Notizen“ noch die geringsten Überraschungen offenbaren. Immerhin werden Sie einiges antreffen, was Sie längst für gelöscht hielten, und ein Blick unter „Youtube“ könnte zur verblüffenden Zeitreise werden, was Sie dort über die Jahre gesucht haben. Im Ordner „Meine Aktivitäten“ finden Sie weitere aufschlussreiche Protokolle, die Sie in dieser Dichte sicher nicht auf dem Radar hatten: Unter „Anzeigen“, „Bildersuche“, „Google-Suche“, „Maps_Timeline“, „Shopping“ sammelt Google über Jahre, wann Sie sich wo für welche Inhalte, Orte und Produkte interessiert haben.

2. Die allgemeinen Google-Einstellungen

Auf einem Android-Smartphone unter „Verbindungen -> Standort“) den Google-Standortverlauf und die Google-Standortfreigabe abzuschalten, ist einfach. Ansonsten aber sind Nutzerdaten das Kapital von Google, und das gibt Google nur ungern her. Das Versprechen, mit einem Konto den ganzen Google-Kosmos in der Hand zu haben, gilt für die Nutzung, nicht aber für die Einstellungen, um diese Nutzung zu kontrollieren. Hier schickt uns Google von einem kleingliedrigen Detail zum nächsten, auf dass wir uns orientierungslos verlaufen. Beste Anlaufzentrale ist noch die Adresse

https://myaccount.google.com/

oder gleich die Unterseite https://myaccount.google.com/privacy#. Auf der genannten Hauptseite ist der datenschutztechnisch wichtigste Punkt „Google-Aktivitäten verwalten“ (Mitte). In der rechten Spalte finden Sie auch noch die radikale Option „Konto oder Dienste löschen“, um sich von dem einen oder anderen Google-Service komplett zu verabschieden. Die Option „Google-Aktivitäten verwalten“ führt über einen Zwischenschritt zu dieser Adresse:

https://myaccount.google.com/activitycontrols

Hier gibt es fundamentale Optionen, um Web-Protokolle und Standort-Protokolle ab sofort abzuschalten („pausiert“). Wenn Sie darüber hinaus die bereits bestehenden Protokolle löschen möchten, bringt Sie der Link „Aktivitäten verwalten“ zu dieser Adresse:

https://myactivity.google.com/myactivity

Hier klicken Sie links oben auf das Menü, wählen „Aktivitäten löschen nach“ und definieren unter „Nach Datum löschen“ den Zeitraum. Es gibt auch die Tabula-Rasa-Option „Gesamt bisher“.

Die Videoplattform Youtube hat ihre eigene Adresse, um ihre Protokoll zu löschen. Unter

https://www.youtube.com/feed/history

lassen sich das Wiedergabe- und das Suchprotokoll, ferner auch Kommentar-Aktivitäten löschen. Was sich in diesen Protokollen alles angesammelt hatte, finden Sie nur über ein Takeout heraus (Punkt 1).


Fundamentale Google-Stopper unter https://myaccount.google.com/activitycontrols: Suchprotokolle und Standardprotokolle sind hier per Klick abzuschalten.

3. Optionen im Browser Chrome

Chrome/Chromium muss nicht sein, da es mit Firefox eine bewährte, moderne Alternative gibt. Aber auch in Google Chrome kann man die Google-Detektive abhängen. Was Chrome oder andere Browser als Verlaufs-, Autofill-, Lesezeichen-, Passwort-Daten und sonstiges lokal speichern, ist zunächst unkritisch. Zu Google’s Big Data tragen diese Daten erst bei, wenn die – unbestritten praktische – Synchronisierung aktiviert ist. Standardmäßig verschlüsselt der Google-Browser dabei nur die Online-Kennwörter, alles andere kann Google auf seinem Server auswerten. Aber unter „Einstellungen -> Synchronisierung“ gibt es die zusätzliche Option „Alle synchronisierten Daten […] verschlüsseln“, bei der Sie ein Kennwort zur Sync-Verschlüsselung vergeben, das unabhängig vom Google-Kennwort ist. Der daraus resultierende Komfortverlust ist nicht gravierend, da Sie dieses Kennwort auf jedem weiteren Gerät nur ein einziges Mal eingeben müssen. Alle Daten landen dann verschlüsselt auf dem Google-Server, der Schlüssel dazu (Kennwort) verbleibt auf den lokalen Geräten.

Wer auf das Google-Suchprotokoll nicht verzichten kann, sollte sich für persönliche Recherchen, die weder Google noch Dritte etwas angehen, zumindest eine Ad-Hoc-Maßnahme angewöhnen: Das Suchen mit Google im „Inkognito-Fenster“ (Tastenkombination Strg-Umschalt-N) hinterlässt keine Daten im Suchprotokoll und unterbindet auch das Tracking der Website-Betreiber, die Sie gemäß Ihren Produktrecherchen danach mit Werbung bombardieren.

Die Synchronisierung in Google Chrome verschlüsseln: Diese Maßnahme hält Google von Ihren Lesezeichen, Autofill- und Verlaufsdaten fern.

Tipps für Linux-Editoren

Ob Samba, SSH, Terminal, Fstab oder Desktop-Verknüpfungen: Für die Linux-Konfiguration sind überwiegend Textdateien zuständig, die zur Bearbeitung einen tauglichen Texteditor erfordern. Wir nehmen vier Editoren genauer unter die Lupe.

Bei der Administration von Linux-Rechnern sind Texteditoren die wichtigsten Werkzeuge. Am Desktop sind grafische Editoren wie Gedit und Kate sicher die bevorzugte Wahl. Universeller – weil auch in virtueller Konsole und im SSH-Terminal funktionierend – sind aber die textbasierten Editoren für das Terminal. Diese haben höheren Tipp- und Anpassungsbedarf als Gedit & Co und erhalten auf den folgenden Seiten gebührende Beachtung.

Der Gnome-Editor Gedit

Der Editor unter allen Gnome-affinen Desktops gehorcht durchwegs standardisierten Hotkeys zur Textnavigation und Textbearbeitung. Für Novizen gibt es im Menü sogar die Option „Tastenkürzel“, um sich alle Hotkeys anzeigen zu lassen. Nichtsdestotrotz erschließen sich nicht alle Anzeige- und Bearbeitungsmöglichkeiten auf Anhieb.

Die Seitenleiste (links) ist über „Ansicht -> Seitenleiste“ oder schneller mit F9 einzublenden. Standardmäßig ist dort der Modus „Dokumente“ aktiv, der die geöffneten Dateien auflistet. Wesentlich nützlicher ist der Modus „Dateiverwaltung“, den das Plugin „Dateiverwaltungsleiste“ bereitstellt (mehr zu Plugins siehe unten). Damit erhält Gedit eine Ordnernavigation, die Dateimanager überflüssig macht. Der Hotkey Strg-H blendet wie im Dateimanager versteckte Dateien ein oder aus. Kontrolle über mehrere geöffnete Dateien behalten Sie immer noch durch die Tab-Register unterhalb der Titelleiste.

Das Übersichtsfenster (rechts) können Sie im Menü unter „Einstellungen -> Ansicht“ aktivieren. Der Informationswert dieser Miniaturübersicht ist gering, aber sie erlaubt mit der Maus schnelles Blättern oder Springen an entfernte Stellen in größeren Texten.

Die Plugins: Für Gedit gibt es eine ganze Reihe nützlicher Plugins, die standardmäßig nur partiell installiert und aktiv sind, wie der Gang im Menü zu „Einstellungen -> Erweiterungen“ zeigt. Alle offiziellen Plugins erreichen Sie mit dem Befehl:

sudo apt install gedit-plugins

Dies kann in keinem Fall schaden, da Sie in dem oben genannten Gedit-Dialog immer noch die Wahl haben, ein Plugin zu aktivieren oder nicht. Neben den „gedit-plugins“ gibt es auch noch das Paket „gedit-developer-plugins“. Sehr zu empfehlen sind „Wortvervollständigung“ (Autocomplete-Funktion), die „Zeichentabelle“, die sich in die Seitenleiste (links) integriert, und das nachfolgend beschriebene „Snippet“-Tool.

Gedit-Optionen: Der Editor zeigt hier seinen per Plugin eingebauten Dateimanager (linke Spalte), Tab-Verwaltung für geöffnete Dateien (oben), Syntaxhighlighting und Autosave-Funktionen.

Das Plugin „Schnipsel“ (Snippets): Dieses Plugin stattet Gedit mit Textbausteinen aus, die per Hotkey oder besser per Textkürzel (gefolgt von der Tab-Taste) eingefügt werden. Typische Kandidaten für solche Schnipsel sind Mailsignaturen, Adressen, Namen, Telefonnummern, IBAN oder auch die Grundsyntax einer Script-Konstruktion. Für Viel-Schreiber und -Scripter sind solche Schnipsel eine unschätzbare Hilfe. Bei aktivierter Erweiterung führt der Menüpunkt „Schnipsel verwalten“ zum Einrichtungsdialog, der in zahlreiche Scriptsprachen untergliedert ist. Textbausteine unter „Global“ gelten für alle Texte. Mit der „+“-Schaltfläche entsteht an der gewünschten Stelle (etwa unter „Global“) ein neuer Eintrag, dem Sie etwa den Namen „Adresse“ geben. Selbige geben Sie im Textfenster ein und definieren unten neben „Tabulatorauslösung“ ein Kürzel wie „adr“. Nach Schließen des Schnipsel-Dialogs ist der Autotext aktiv – „adr“ und Tab-Taste fügt also die komplette Adresse ein.

Hinweis: Eventuell werden die Snippets zunächst nicht gespeichert („~/.config/gedit/snippets“), wofür ein offenbar verbreiteter Fehler bei den Dateirechten verantwortlich ist. Der Terminalbefehl

sudo chmod -R 777 ~/.config/gedit

behebt das Zugriffsproblem.

Suchen und Ersetzen: Die Funktionen gehorchen den Standard-Hotkeys Strg-F und Strg-H. Der Ersetzen-Dialog ist durch seine detaillierteren Optionen die generell bessere Wahl – auch für pure Suche. Gedit kann auch nach Zeilenumbrüchen („\n“), Returns („\r“) und Tabulatoren („\t“) suchen, also etwa mit

\nif 

nach Zeilen, die mit „if“ beginnen.

Das Syntaxhighlighting: Gedit versucht automatisch zu erkennen, um welchen Text es sich handelt, und aktiviert dann das passende, farbige Syntaxhighlighting. Wenn dies unbefriedigend ausfällt, können Sie unter „“Ansicht -> Hervorhebungsmodus“ manuell eine andere Scriptsprache oder „Reiner Text“ auswählen.

Farbschema und Aussehen: Unter „Einstellungen -> Schrift und Farben“ gibt es die typischen Farbschemata „Klassisch“, „Kate“, „Kobalt“, „Oblivion“. Unabhängig vom Farbschema können Sie an gleicher Stelle die Schriftgröße definieren. Vor allem bei der Fehlersuche hilfreich sind die Zeilennummern, die Gedit unter „Einstellungen -> Ansicht“ aktiviert.

Automatische Sicherungskopien: Die Registerkarte „Einstellungen -> Editor“ zeigt zwei Optionen, um bearbeitete Dateien besser zu sichern. Sowohl die „Sicherungskopie“ als auch „Auto-Speichern“ im angegebenen Minutenintervall sind unbedingt zu empfehlen.

Zum Teil Schnickschnack, zum andern Teil unverzichtbar: Plugins wie “ Dateiverwaltungsleiste“, „Schnipsel“, „Wortvervollständigung“ und „Zeichentabelle“ ergänzen Gedit und Xed.

Xed: Der Editor des Mint-Teams

Im Zuge der Entwicklung Desktop-unabhängiger X-Apps arbeitet das Team von Linux Mint am Editor Xed. Diese Textbearbeitung unterscheidet sich äußerlich erheblich von Gedit durch ein klassisches Menü, eine Werkzeugleiste und im Hauptfenster integriertem „Suchen/Ersetzen“. Dennoch ist Xed wie Pluma (Mate-Desktop) ein Gedit-Fork mit praktisch identischer Funktionalität.

Die Bedienung von Xed erscheint uns etwas übersichtlicher, aber triftige inhaltliche Gründe, Gedit gegen Xed (ppa:embrosyn/xapps) auszutauschen, gibt es nicht. Im Gegenteil: Xed kann bislang nicht die Menge an Plugins anbieten wie sein Vorbild Gedit. Einzige Ausnahme ist das Xed-exklusive Plugin „Floskelliste“, das sich in die linke Seitenleiste (F9) integriert und vor allem für HTML-Coding alle wichtigen Tags anbietet, die dann einfach per Doppelklick in das Textfenster übernommen werden.

Plugin „Wortvervollständigung“: Das Autocomplete-Tool für Gedit und Xed indexiert den Text und macht nach Eingabe weniger Buchstaben Vorschläge.

Nano: Standardeditor im Terminal

Nano ist für das Terminal vorinstallierter Standard unter Ubuntu, Mint, Debian und Co. Das unterschätzte Tool wird im SSH-Terminal und in virtuellen Konsolen meistens nur als Notnagel akzeptiert. Dabei erlebt der 20 Jahre alte Editor eine erstaunlich dynamische Entwicklung. Aktuelle Versionen 2.9 bis 3.2 bieten bei Navigation und Markieren fast den Standard grafischer Editoren und zudem erweiterte Anpassungsmöglichkeiten über die Konfigurationsdatei „nanorc“. Die noch in vielen Distributionen vertretenen, älteren Nano-Versionen bis 2.5 benutzen hingegen eigenwillige Hotkeys, die man sich entweder angewöhnen muss oder umbelegen kann.

Neuere Nano-Versionen folgen dem Standard anderer Editoren, mit Umschalt-Taste und Cursortasten Text zu markieren. Bei älteren Nano-Versionen ist der Hotkey Alt-A erforderlich, um eine Markierung ab der Cursorposition zu starten. Danach erweitern Sie die Markierung durch Cursortasten. Erneutes Alt-A beendet die Markierungsaktion. Der Hotkey Alt-A funktioniert auch noch im neuesten Nano, ist dort aber nicht mehr unbedingt notwendig. Markierte Texte lassen sich mit Alt-6 kopieren, mit Strg-K ausschneiden, Strg-U ist der Hotkey, um Textinhalte wieder aus der Zwischenablage zu holen. Nützlich: Strg-K löscht eine komplette Zeile ungeachtet der Cursorposition.

Die Navigation im Text erfolgt durch Cursor- und Bild-Tasten, sowie Pos1 und Ende. Neuere Versionen verwenden außerdem Strg-Pos1/Ende, um zum Beginn oder Ende der ganzen Datei zu springen.

Strg-U ist der Hotkey, um die letzte Aktion rückgängig zu machen. Allerdings ist die Undo-Funktion nicht standardmäßig aktiv. Sie können Sie in der Nano-Konfigurationsdatei mit der Direktive

set undo

scharf schalten.

Die Konfigurationsdatei: Das Anpassen der globalen Konfigurationsdatei /etc/nanorc (mit Root-Recht) oder besser einer benutzerspezifischen Kopie unter ~/.nanorc lohnt sich definitiv. Hier finden Sie zahlreiche auskommentierte Optionen wie etwa die Anweisungen

set backup

und

set backupdir [Pfad]

Wird „set backup“ aktiviert (führendes „#“ löschen), erstellt Nano immer eine Sicherungskopie vom letzten Zustand im Pfad der Originaldatei. Mit aktiviertem „backupdir“ entstehen im angegebenen Zielpfad sogar durchnummerierte Versionssicherungen aller Bearbeitungsschritte. Das angegebene Backup-Verzeichnis muss natürlich existieren. Nützlich sind ferner die Optionen

set linenumbers

zur Anzeige der Zeilennummer, „set positionlog“, das bei neuerlicher Bearbeitung einer Datei sofort zur letzten Bearbeitungsstelle springt, sowie „set mouse“, das Positionieren und Markieren mit der Maus erlaubt.

Nano unterstützt außerdem Farbanpassungen. Beachten Sie, dass die Nano-Farbeinstellungen zu den globalen Terminalfarben passen müssen. Späteres Umstellen der Terminalfarben kann dazu führen, dass die Nano-Farben schlecht lesbar werden. Nano kann Elemente wie die Titelzeile („titlecolor“), die Statuszeile („statuscolor“), markierten Text („selectedcolor“ – nur in neuesten Versionen) und die Infozeilen unten einfärben („keycolor“ und „functioncolor“). Als Farben gibt es die üblichen acht Ansi-Farben (Black, White, Red, Green, Blue, Yellow, Cyan, Magenta). Die Abbildung zeigt ein Beispiel für geänderte Farbeinstellungen und die zugehörigen „set“-Befehle.

Eine der interessantesten Anpassungen sind die Hotkeys, die bei Nano zum Teil sehr gewöhnungsbedürftig ausfallen. Die Hotkey-Belegung ist ebenfalls global in der Datei /etc/nanorc oder User-spezifisch in ~/.nanorc möglich. Die Liste aller Nano-Funktionen, die Sie auf andere Hotkeys legen können, ist unter https://www.nano-editor.org/dist/v3/nano.html#Rebinding-Keys dokumentiert. Die Hotkeys sind in der Konfigurationsdatei in der Form „^“ (Strg) und „M-“ (Alt) zu hinterlegen. Um also etwa das typische Strg-C für das Kopieren von Text zu definieren, wäre folgende Zeile in der Datei nanorc zu vergeben:

bind ^C copytext main

Die Abbildung der Konfigurationsdatei auf dieser Seite zeigt eine Reihe von geänderten Hotkeys, welche die Bedienung des Editors durch standardisierte Tastenkombinationen vereinfacht. Neben den Standards Strg-C|V|X zur Textbearbeitung reagiert Nano danach auch auf Strg-F (Suche) und Strg-Q (Beenden). Beachten Sie, dass Strg-C nach dem obigen Bind-Befehl in allen Untermenüs – etwa im Kontext „Speichern“ – weiterhin als Abbruch-Hotkey arbeitet. Nur im „Main“-Bereich, also im Textfenster, erhält Strg-C seine neue Rolle.

Nano-Farben und Hotkeys: In der Konfigurationsdatei (nanorc) belegen Sie die Tastenkombinationen des Editors um. Farbanpassungen sind Geschmackssache.

Startparameter: Alle Einstellungen der Konfigurationsdatei nanorc lassen sich auch über Parameter beim Nano-Start anfordern. Ausgenommen sind lediglich die Farbdefinitionen und die Hotkey-Umbelegung. Im Allgemeinen ist es sinnvoller, die Nano-Optionen dauerhaft in der Konfiguration abzulegen, jedoch gibt es Ausnahmen: Die oben genannten Direktiven „set backup“ und „set backupdir [Pfad]“ sind nicht für jede Dateibearbeitung nötig und daher besser ad hoc anzufordern. Der Befehl

nano -B [Datei]

würde eine Sicherungskopie der editierten Datei anlegen, und

nano -C ~/nanoback [Datei]

legt bei jedem Speichern eine Versionssicherung an.

Eine ebenfalls nützliche Vorgabe, die in der Konfigurationsdatei

set const

lautet, kann beim Start mit

nano -c [Datei]

geladen werden. Dann bleibt unten die Statuszeile permanent aktiv, welche unter anderem die aktuelle Zeilenziffer anzeigt. Dies ist vor allem bei älteren Versionen nützlich, die eine „set linenumbers“ oder den Startbefehl „nano -l“ noch nicht beherrschen. Die komplette Palette der Nano-Startparameter zeigt die Dokumentation unter https://www.nano-editor.org/docs.php.

Mcedit: Editor des Midnight Commander

Auf jedem Linux-System mit installiertem Midnight Commander gibt es auch Mcedit. Auch dieser Editor wird unterschätzt und ist zunächst nicht einmal im Midnight Commander selbst als Standard vorgesehen. Dies lässt sich unter „Optionen -> Konfiguration“ mit der Einstellung „Internen Editor benutzen“ ändern. Danach ist für das Bearbeiten von Dateien (F4) Mcedit zuständig.

Mcedit ist aber ein unabhängiger Terminaleditor, den Sie auch ohne sein Hauptprogramm verwenden können:

mcedit [datei]

Mcedit zeigt die wichtigsten Bearbeitungs-Hotkeys unten an, nach F9 oder nach Klick auf die obere Infozeile erscheint ein opulentes Menü. Wer dieses Menü immer im Blick haben will, kann das bis zum Schließen des Editors über „Fenster -> Vollbild umschalten“ erreichen, was zugleich den Fenstermodus des Editors aktiviert. Wie das Menü „Fenster“ durch weitere Optionen anzeigt, beherrscht Mcedit nämlich den Umgang mit mehreren Dateien. Das kann zwar auch Nano, aber nicht mit der eleganten Fensterteilung wie Mcedit, die fast grafischen Komfort erreicht: Wenn Sie mehrere Dateien über „Datei -> Datei öffnen“ oder direkt per mcedit-Aufruf geladen haben, dann lassen sich die Dateien (nach „Fenster -> Vollbild umschalten“) skalieren und verschieben. Am Desktop funktionieren diese Aktionen exakt und komfortabel mit der Maus (Skalieren mit der Ecke rechts unten, Verschieben mit dem oberen Fensterrahmen); in der virtuellen Konsole erledigen die Cursortasten nach „Fenster -> Größe ändern“ bzw. „Fenster -> Verschieben“ das Arrangement.

Editor des Midnight Commander: Die wenigsten Nutzer wissen, dass Mcedit ein erstaunlich komfortables Fensterarrangement für mehrere geladene Dateien beherrscht.

Mcedit bietet farbige Syntaxhervorhebung unter „Optionen -> Allgemein“ und die Auswahl der Scriptsprache unter „Optionen -> Syntaxhervorhebung“. Auch in diesem Punkt ist Mcedit ausgereifter als Nano. Eine Sortierfunktion finden Sie unter „Format“, eine Codepage-Auswahl unter „Befehl -> Kodierung“. Auch das Suchen (F7) und Ersetzen (F4) von Text ist optionsreicher als unter Nano. Nützlich: Strg-Y löscht eine komplette Zeile ungeachtet der Cursorposition.

Einige fundamentale Textfunktionen sind gewöhnungsbedürftig: So ist der Text beim Verschieben erst mit der Maus (oder mit Umschalt-Taste und Cursor) zu markieren, anschließend mit Cursor oder Bild-oben/unten an die gewünschte Stelle zu navigieren und dann mit F6 das Verschieben auszulösen. Hier lohnen sich Anpassungen der mc.keymap (siehe unten). Der alte Modus beim Markieren, mit F3 zunächst die Markierfunktion aufzurufen, ist nicht mehr notwendig, da das standardisierte Markieren mit Umschalt-Taste funktioniert. Der F3-Modus besteht aber fort, und ist für die Windows-SSH-Clients Putty/Kitty weiterhin unentbehrlich.

Anpassung der Hotkeys: Trotz des alternativen Menüangebots von Mcedit machen angepasste Tastenkombination die Bedienung einfacher, wenn Sie sich standardisierte Hotkeys einrichten. Das sollte aber in der umfangreichen Keymap-Datei des Midnight Commander dosiert und mit Rückversicherung erfolgen. Verwenden Sie besser nicht die globale Datei „/etc/mc/mc.keymap“, sondern kopieren Sie diese nach „~/.config/mc/mc.keymap“, also in Ihr Home-Verzeichnis. So bleibt das Original unter „/etc“ als Rückversicherung erhalten.

Alle Optionen für Mcedit befinden sich im Abschnitt „[editor]“. Ein nützlicher Eingriff besteht etwa darin, die altertümlichen Hotkeys „ctrl-insert“ und „shift-insert“ für „Store“ (Copy) und „Paste“ durch geläufigeres „ctrl-c“ und „ctrl-v“ ersetzen (Strg-C, Strg-V):

[editor]

Store = ctrl-c
Paste = ctrl-v

Natürlich kann man sich auch die Textsuche, Folgesuche und Ersetzen mit

Search = ctrl-f

SearchContinue = ctrl-n

Replace = ctrl-r

auf einprägsamere Hotkeys legen. Änderungen an der mc.keymap werden immer erst nach dem nächsten Start des Programms gültig. Das Menü des Editors lernt dabei flexibel mit: Es zeigt die von Ihnen definierten Hotkeys.

Alleskönner VLC

Der Media Player VLC darf auf keinem Linux- oder Windows-Rechner fehlen, weil er praktisch alle Video- und Musik-Formate abspielt. Viele Möglichkeiten vergräbt das Multitalent hinter Schaltern und einer anspruchsvollen Konfigurationsoberfläche,

Der VLC – kurz für „Videolan Client“ – kann eigentlich alles rund um Film und Sound und macht diverse Player-Alternativen und Multimedia-Tools weitgehend überflüssig. Optischer Schick und benutzerfreundliche Konfiguration sind freilich nicht seine Stärken. So bleibt meist viel Potential ungenutzt oder es kommen neben dem VLC weitere ergänzende Player und Helfer zum Einsatz. Das ist nicht falsch und manchmal komfortabler, aber technisch notwendig wäre es nicht, wie dieser Ratgeber zeigen soll.

Projektseite und Download: www.videolan.org

Dokumentation: http://wiki.videolan.org mit Infos zu Installation, Menü-Angebot, Konfiguration, Startparameter, Netzwerk-Streaming, Stream-Ausgabe und vieles mehr. Nutzen Sie in der linken Spalte den Eintrag „Documentation“.

Weitere Tipps & Infos: http://wiki.ubuntuusers.de/vlc

VLC-Installation unter Linux

Alle Linux-Distributionen halten den VLC Media Player in ihren Standardpaketquellen bereit. Die Installation ist entsprechend einfach und problemlos. Installieren Sie das Paket „vlc“, optional zusätzlich „browser-plugin-vlc“ (Browser-Integration):

sudo apt­get install vlc browser-plugin-vlc

Nicht immer, insbesondere bei älteren LTS-Versionen, ist schon die neueste Version verfügbar (aktuell Version 2.2.7 „Umbrella“). So liegt etwa unter Ubuntu 16.04 oder Linux Mint 18 noch die Version 2.2.4 vor. Die funktionalen Unterschiede sind aber meist nicht gravierend. Notwendige Sicherheitsupdates erhalten auch die älteren Versionen. Wer trotzdem stets den aktuellsten VLC nutzen will, kann auf das PPA des Hersteller Videolan ausweichen:

sudo add-apt-repository ppa:videolan/stable-daily
sudo apt update
sudo apt install vlc

Unentbehrlich zur Wiedergabe von DVDs ist ferner die Bibliothek libdvd, die Sie mit folgenden Befehlen

sudo apt install libdvd-pkg
sudo dpkg-reconfigure libdvd-pkg

nachrüsten und integrieren.

Basisfunktionen des Players

Der VLC spielt nicht nur Audio- oder Videodateien fast jeden Dateiformats (Audio u. a. APE, FLAC, MID, MP3, OGG, WMA; Video u. a. AVI, DIVX, FLV, MKV, MP4, MPEG, VOB, WMV). Er beherrscht außerdem Musik-CDs, Film-DVDs, Blu-rays und Internet-Streams, gibt das Medienangebot von UPnP/DLNA-Servern im Heimnetz wieder, dient – in allerdings engen Grenzen – selbst als solcher UPnP-Streaming-Server und greift auf DVB-T-Hardware zu. Auch Aufnehmen und Konvertieren in andere Formate ist möglich.

Bedienungsgrundlagen: Der VLC besteht aus zwei Hauptfenstern – das Wiedergabefenster und die Wiedergabeliste. Im Allgemeinen ist es einfacher und übersichtlicher, beide Fenster zu kombinieren, was über „Ansicht -> Angedockte Wiedergabeliste“ auch die Standardvorgabe ist. In der „Wiedergabeliste“ (Strg-L) zeigt der Player zahlreiche Medienquellen. Unter der aktuellen Wiedergabeliste und der optional angelegten Medienbibliothek gibt es zunächst die lokalen Standardordner wie „Meine Videos“, die lediglich auf die entsprechenden Standardverzeichnisse unter /home/[user] verweisen. Unter „Standardgeräte“ gibt es den Zugriff auf „Platten“, also auf CD- und DVD-Laufwerke, ferner auf „MTP-Geräte“, also mobile MP3-Player, sofern angeschlossen. Eventuelle Medien-Server im lokalen Netz (UPnP/DLNA und iTunes) zeigt der VLC unter „Lokales Netzwerk“. Darunter folgt noch eine Reihe von namhaften Audio-Streaming-Diensten unter „Internet“, besonders ergiebig Icast und Jamendo.

Dateien und Medien öffnen: Sowohl das Wiedergabefenster als auch die Wiedergabe beherrschen Drag & Drop mit der Maus. Das ist der einfachste Weg, um schnell aus dem Dateimanager eine Mediendatei abzuspielen. Dabei kann der VLC auch unvollständige Videos und Audiopakete etwa schon während eines Downloads anspielen. Noch besser: Der VLC beherrscht auch ZIP- und RAR-Archive sowie das Mounten von ISO-Images: Diese Formate sind also ohne Bearbeitung sofort zu benutzen.

Das Menü „Medien“ fürs Öffnen von Dateien enthält insgesamt sechs Befehle zum Starten von Medien. Der erste Eintrag „Datei öffnen“ ist klassisch und erlaubt nach Navigation zur Quelldatei den Start derselben. Es ist hier aber auch mit den typischen Tasten Strg und Umschalt eine Mehrfachauswahl von Dateien möglich. Der Extra-Eintrag „Mehrere Dateien öffnen“ ist daher nur dann notwendig, wenn sich die Auswahl über unterschiedliche Verzeichnisse erstrecken soll; außerdem gibt es hier die zusätzliche Option, die ausgewählten Medien durch eine synchrone Mediendatei zu begleiten – etwa private Videos durch eine passende Audiodatei.

„Ordner öffnen“ kann praktisch sein, um alle Audiodateien eines Verzeichnisses einschließlich aller Unterordner (Achtung!) in die aktuelle Wiedergabeliste zu übernehmen. Auch bei typischen DVD-Rips mit mehreren VOB-Dateien ist diese Methode eleganter als die Dateien mit Filmunterbrechung einzeln zu starten.

„Medium öffnen“ benötigen Sie, um eine eingelegte DVD, Blu-ray-Disc oder Audio-CD abzuspielen. Der Dialog zeigt einige elaborierte Optionen zum Einsprungpunkt und zur Startzeit, die Sie im Normalfall ignorieren können.

„Netzwerkstream öffnen“ ist der Startdialog für jegliches lokales oder Internet-Streaming (Mediatheken, Youtube). Zum lokalen Streamen lesen Sie an späterer Stelle mehr. Für das Streamen eines Web-Videos oder Web-Radiosenders genügt es, die URL zu wissen und in diesem Dialog einzutragen – etwa http://br-brklassik-live.cast.addradio.de/br/brklassik/live/mp3/128/stream.mp3. Der Streaming-Dienst wird dann wie jedes andere Medium in die Wiedergabeliste eingetragen (in diesem Beispiel als „BR-Klassik“) und beginnt sofort mit der Wiedergabe. Zuverlässige, aktuelle und umfassende Tabellen mit direkten Stream-URLs sind rar, recht brauchbar sind www.stream-urls.de/webradio (Radio), https://wiki.ubuntuusers.de/Internet-TV/Stationen (TV) und https://wiki.ubuntuusers.de/Internetradio/Stationen (Radio).

VLC „öffnet“ alles: Das Menü „Medien“ zeigt sechs Optionen zum Starten von Film und Musik. Hier wurde „Netzwerkstream“ gewählt und die URL einer Mediathek eingegeben.

Mediensammlung im VLC anlegen

Zur bequemen Benutzung der Medien vom lokalen Rechner oder von Netzwerkfreigaben ist das manuelle Öffnen über das „Medien“-Menü nicht ausreichend. Dafür gibt es die Medienbibliothek. Um eine solche Mediensammlung anzulegen, klicken Sie in der Wiedergabeliste („Ansicht -> Wiedergabeliste“) auf den Eintrag „Medienbibliothek“ und dann im Listenfenster nach Rechtsklick auf „Verzeichnis hinzufügen“. Sie erhalten dabei keine Rückmeldung, wann der Player die Dateien einschließlich Medien-Tags eingelesen hat. Je nach Menge der Medien ist daher Geduld erforderlich. Die integrierten Stücke erscheinen dann in einer einfachen Tabelle, die sich über das Suchfeld rechts oben filtern lässt.

Die Darstellung kann über das kleine Symbol neben dem Suchfeld oder nach Rechtsklick und „Ansicht der Wiedergabeliste“ umstellen und zeigt mit der Option „Symbole“ die Alben- oder Film-Cover. Auch die Größe können Sie mit Strg-Mausrad verändern. Dennoch kann die Medien-Verwaltung mit den schickeren und strukturierten Bibliotheken anderer Player nicht mithalten. Für Puristen ist sie aber völlig ausreichend oder gar willkommen. Überflüssige Medien lassen sich mit „Ausgewählte entfernen“ wieder aus der Bibliothek löschen. Die Dateien selbst bleiben dabei erhalten.

Streams und Mediatheken in der Medienbibliothek: Wenn Sie die Streams in der Wiedergabeliste sammeln und als Datei speichern, kann die Datei wiederum in die Bibliothek integriert werden.

Streaming-Dienste in der Medienbibliothek

Die Medienbibliothek kann auch Streaming-Angebote aus dem Internet aufnehmen. Dazu ist ein kleiner Umweg erforderlich: Zunächst nehmen Sie, wie oben beschrieben, eine Reihe von Radio- oder TV-Angeboten über „Medien -> Netzwerkstream öffnen“ in die temporäre Wiedergabeliste auf. Diese Wiedergabeliste, die inhaltlich möglichst homogen sein sollte, speichern Sie dann über „Medien -> Wiedergabeliste in Datei speichern“ als xspf-Datei. Wer auf Ordnung Wert legt, kann diese XML-Datei zunächst in einen Editor laden und Standardtitel „Wiedergabeliste“, der in der dritten Zeile als

<title>Wiedergabeliste</title>

erscheint, nach Wunsch ändern – etwa auf „Rock-Radio“ oder was immer passend. Danach lässt sich diese URL-Sammlung nach Rechtsklick im Fenster der Medienbibliothek und „Datei hinzufügen“ wie ein Medium in die Bibliothek integrieren. Die xspf-Datei muss dauerhaft erhalten bleiben, wenn die VLC-Bibliothek den geänderten Titel anzeigen soll. Mit gepflegten URL-Sammlungen in der Bibliothek ist der VLC komfortabler als Lesezeichen im Browser oder spezialisierte Tools wie etwa Radiosure.

Der VLC als Bildviewer

Als Viewer für Fotos und Bilder ist der VLC nur zweite Wahl. Natürlich kann er Bildformate anzeigen, und wenn Sie mit der Maus eine Menge markierter Bilder vom Dateimanager in das Wiedergabefenster oder in die Wiedergabeliste ziehen, wird er sie sogar sofort als Slideshow im 10-Sekunden-Takt wiedergeben. Dabei ist aber weder das Intervall noch eine feste Fenstergröße konfigurierbar. Eine für diesen Einsatzzweck unentbehrliche, aber auch für Videos im Fenstermodus nützliche Option ist das Kästchen „Interface an Videogröße anpassen“ unter „Werkzeuge -> Einstellungen -> Interface“. Diese Option sollte deaktiviert werden, damit das Wiedergabefenster ungeachtet der Bild- (oder Video-) Größe konstant bleibt. Mehr als ein Hilfsviewer, wenn nichts Besseres an Bord ist, ist der VLC für Bilder dennoch nicht.

Der VLC und UPnP/DLNA-Server

Der VLC Player beherrscht in der Wiedergabeliste via „Universal Plug’n’Play“ den Zugriff auf lokale Server UPnP/DLNA-Server (NAS, Kodi, Plex, Minidlna). Einen korrekt im Netzwerk eingebundenen UPnP-Server zeigt der Player dort an und mit einem Doppelklick auf einen Eintrag navigieren Sie in der Struktur des Servers. Bei großen Mediensammlungen des UPnP-Servers kann es irritierend sein, dass der VLC die Wiedergabe erst anbietet, wenn er sämtliche Medien via Netzwerk eingelesen hat. Dies kann eventuell so lange dauern, dass der Nutzer an der Funktionalität zweifelt. Bei anderen UPnP-tauglichen Playern sind die ersten Audio- oder Video-Dateien sofort sichtbar und benutzbar, während der Player im Hintergrund weiter nachlädt. Der VLC zeigt und spielt er nach komplett abgeschlossenem Vorgang.

UPnP im VLC: Der Videolan-Player zeigt Medienserver unter „Lokales Netzwerk“. Wenn es keinen UPnP-Server gibt, fehlt der Eintrag „Universal Plug’n’Play“.

Der VLC als Streaming-Server

Einen schicken UPnP/DLNA-Server erhalten Sie mit dem VLC nicht, jedoch ist er durchaus in der Lage, ad hoc einige Film über eine Netzwerkadresse für Abspielclients bereitzustellen. Die Vorgehensweise am Rechner („Server“), der den Film bereithält:

1. Gehen Sie zunächst auf „Medien -> Stream“ (relativ am Ende des Menüs). Unter „Dateiauswahl“ navigieren Sie mit „Hinzufügen“ zur gewünschten Mediendatei. Danach klicken Sie im selben Dialog unten auf „Stream“. Im folgenden Dialog des Assistenten geht es mit „Nächstes“ einfach weiter.

2. Im Fenster „Ziel einstellen“ verwenden Sie am besten „RTP / MPEG Transport Stream“ und klicken nach dieser Auswahl rechts auf die Schaltfläche „Hinzufügen“. Geben Sie als Adresse

239.0.0.1

ein, den Standardport 5004 können Sie unverändert übernehmen. Beachten Sie, dass diese Multicast-Adresse unabhängig von Ihrem lokalen Adressbereich zu benutzen ist. Ihr Adressraum und die IP-Adresse des Server-PCs spielt hier keine Rolle.

3. Nach Klick auf „Nächstes“ kommt die Transkodierungsauswahl, die Sie auf Standard belassen können und erneut „Nächstes“ klicken. Im letzten Fenster aktivieren Sie „Alle Elementarstreams streamen“ und schließen die Aktion mit der Schaltfläche „Stream“ ab.

Beim Client – idealerweise erneut ein VLC Player – ist der Weg einfach: Gehen Sie auf „Medien -> Netzwerkstream“. Als Netzwerkadresse geben Sie hier die vorher eingerichtete Multicast-Adresse samt Port

rtp://239.255.0.1:5004

ein und klicken dann im selben Dialog unten auf die Schaltfläche „Wiedergabe“.

Hinweis: Die Methode funktioniert analog auch ohne Multicast-Adresse, sofern Sie einen Stream gezielt nur an einen Rechner schicken wollen. Dann geben Sie am Server die LAN-IP des Zielclients ein – etwa 192.178.1.10 – und greifen dann am Client den Netzwerkstream mit der Adresse „rtp://192.178.1.10“ ab. Die Multicast-Methode ist jedoch einfacher, weil Sie sich dabei um die lokalen IP-Adressen nicht kümmern müssen.

VLC als Streaming-Server: Das funktioniert technisch einwandfrei über eine Multicast-IP oder auch direkt an die Zielrechner-IP. UPnP-Komfort ist hier nicht das Ziel.

VLC-Fernbedienung mit HTTP-Server

Der VLC hat einen einfachen, eingebauten HTTP-Server, der die Steuerung des Players im Browser eines beliebigen Netzwerk-Clients ermöglicht (Tablet, Smartphone, PC). Remote-Steuerung bedeutet, dass der Rechner mit dem VLC weiterhin das Abspielgerät bleibt und der Client nur die Medienauswahl und Lautstärke erledigt. Der HTTP-Server bietet weder eine sonderlich schicke Oberfläche noch nennenswerten Bedienkomfort, genügt aber zur fundamentalen Fernsteuerung. Dies insbesondere dann, wenn im VLC eine Medienbibliothek eingerichtet ist und die Medien nicht im Dateisystem gesucht werden müssen.

Theoretisch sollte der Web-Server über „Einstellungen -> Alle -> Interface -> Hauptinterfaces“ oder auch über „Ansicht -> Interface hinzufügen -> Web“ neben der normalen Oberfläche ladbar sein. Das ist uns nicht gelungen, da der Server ein Passwort verlangt, das an dieser Stelle in den Einstellungen nicht zu vergeben ist. Hingegen funktioniert der Start des HTTP-Servers unter allen Betriebssystemen im Terminal mit dieser Kommandozeile:

vlc --intf http --http-password nix

Danach ist der VLC remote über jeden Browser mit der Adresse

[IP-Adresse]:8080

erreichbar. Bei der Authentifizierungsabfrage lassen das Feld „Benutzernamen“ leer und geben nur das Passwort ein. Statt des Stellvertreters „[IP-Adresse] verwenden Sie die tatsächliche lokale IP des Rechners, auf dem der VLC läuft – also beispielsweise „192.168.1.25:8080“.

Soll der VLC neben dem HTTP-Server auch noch seine normale Oberfläche anzeigen, ist folgender Befehl einschlägig:

vlc --intf qt --extraintf http --http-password nix

Das Interface „qt“ ist die Standardoberfläche (auch unter Windows), und über den Parameter „–extraintf …“ wird zudem der Web-Server gestartet.

((401_4_VLC-Http-Client.png))

HTTP-Server: Diese VLC-Fernbedienung via Browser leistet fundamentalen Remote-Zugriff, ist aber insgesamt etwas fummelig.

Der VLC als Konvertierer

Für den VLC sind exotische Formate kein Problem, für Smart-TV oder Tablets hingegen schon. Ungeachtet spezialisierter Tools wie Handbrake können Sie den VLC auch zum Konvertieren nutzen. Über „Medien -> Konvertieren/Speichern“ startet der zugehörige Assistent. Im Folgedialog bestimmen Sie über „Hinzufügen“ die Mediendatei und klicken dann unten auf „Konvertieren/Speichern“. Unter „Profil“ gibt es eine Dropdown-Liste mit populären Audio- und Videoformaten, wobei auch Android-Geräte, iPod und Youtube speziell berücksichtigt sind. Nachdem Sie eine Zieldatei angegeben haben, kann der Vorgang mit „Start“ beginnen. Die Konvertierung verläuft je nach Rechner in mehrfacher Geschwindigkeit, wenn Sie auf die Option „Ausgabe anzeigen“ verzichten.

Das Konvertieren funktioniert selbstverständlich auch bei Audiodateien oder Audio-CDs (wobei Sie hier statt einer Quelldatei das Medium angeben – meist „/dev/sr0“). Bei einer typischen Audio-Konvertierung nach „Audio – MP3“ sollten Sie dieses Ausgabe-„Profil“ unbedingt bearbeiten, da standardmäßig nur 128 KBit/s vorgesehen sind. Profiländerung erledigen Sie neben der Dropdown-Liste entweder punktuell über das Schraubenschlüsselsymbol, oder Sie legen mit der Schaltfläche „Neues Profil erstellen“ (ganz rechts) dauerhaft ein passendes Profil etwa mit 192 KBit/s Bitrate und 48000 Hz Sampling Rate an.

Generell zeigt sich der VLC beim Konvertieren technisch makellos, aber ohne den Komfort von Spezialisten: So bleibt die Namensvergabe beim Audio-Rippen eine manuelle Mühe.

Konvertieren mit dem VLC: Technisch arbeitet der VLC einwandfrei, fordert aber bei Musik (mehr als bei Videomaterial) einige Klicks und eventuelle Nachbearbeitung.

Optimieren der Videoausgabe

Das Untermenü „Werkzeuge -> Effekte und Filter“ ist überaus umfangreich und erlaubt fundamentale und detaillierte Darstellungsoptimierung. Wir nennen hier nur drei fundamentale Eingriffe:

Bild und Ton synchronisieren: Über „Werkzeuge -> Effekte und Filter -> Synchronisierung“ gleichen Sie aus, wenn Bild und Ton asynchron laufen – also der Ton vorauseilt oder hinterherhinkt. Den Wert müssen Sie dort in Millisekunden eingeben. Beispiel: Um den Ton um eine Sekunde nach vorne zu versetzen, wäre der Wert „-1000“ einschlägig, während „1000“ den Ton um eine Sekunde verzögert.

Drehen von Videos: Bei Videos mit dem Smartphone sind um 90 Grad gedrehte Filme recht häufig. Das kann der VLC mühelos korrigieren: Das einschlägige Werkzeug finden Sie unter „Werkzeuge -> Effekte und Filter“ auf der Registerkarte „Videoeffekte“, hier wiederum auf der Unterregisterkarte „Geometrie“. Zunächst müssen Sie die Option „Transformieren“ aktivieren. Danach lässt sich das Video per Vorgabeoptionen in der Dropdown-Liste um 90, 180 oder 270 Grad drehen, im Prinzip aber auch filigran in Gradstufen (Option „Drehen“).

Helligkeit und Farben: Ebenfalls unter „Werkzeuge -> Effekte und Filter -> Videoeffekte“ ist eine zu dunkle oder zu farblose Filmwiedergabe deutlich zu korrigieren. Das Register „Genauigkeit“ bietet unter anderem Schieberegler zu Helligkeit, Kontrast, Sättigung und Gammawert. Da ein laufender Film das Resultat der Einstellung sofort anzeigt, ist die Wiedergabe in wenigen Sekunden optimiert.

Helligkeit, Farben und Sättigung: Was sich am Monitor oder TV nicht verbessern lässt, kann der VLC über diverse Filter signifikant verbessern.
Jetzt steht der Hund auf den Beinen: Das Drehen von falsch aufgenommenen Videos ist für den VLC kein Problem (siehe „Werkzeuge -> Effekte -> Videoeffekte -> Geometrie“).

Optimale Größe bei Vollbildwiedergabe

Je nach Filmmaterial können bei der Wiedergabe auf Smart-TVs oder PC-Monitoren platzverschwendende schwarze Ränder horizontal wie vertikal erscheinen. Über den Menüpunkt „Video“ oder auch im Vollbild nach Rechtsklick und dem Kontextmenü „Video“ können Sie den Monitor eventuell besser ausnutzen. Die Optionen „Seitenverhältnis“ und „Beschneiden“ erlauben Dehnungen des Bildes und das Abschneiden von Randbereichen. Hier hilft nur empirisches Ausprobieren, da sowohl zu starke Verzerrung als auch das Abschneiden von zu viel Filmmaterial kontraproduktiv sind. Ein ganz genaues Beschneidewerkzeug gibt es außerdem unter „Werkzeuge -> Effekte und Filter -> Videoeffekte -> Beschneiden“.

Normalisierung der Lautstärke

Mediendateien haben oft sehr unterschiedliche Lautstärkepegel. Dies erfordert dann mitunter hektische Korrektur an den Lautsprecherboxen oder im Sound-Applet. Der VLC Player hat zwar keinen Einfluss auf die Lautsprecher-Stellung und den Lautstärkemixer, jedoch kann er den Startpegel reduzieren und die Lautstärke der Mediendateien angleichen (normalisieren). Die Optionen finden Sie unter Werkzeuge -> Einstellungen -> Audio“. Stellen Sie den Schieberegler neben „Audio-Start-Pegel immer zurücksetzen“ auf ein moderates Maß. Ferner aktivieren Sie im selben Dialog die Option „Normalisiere die Lautstärke“.

TV-Aufnahmen und Screenshots

Der VLC kann über „Wiedergabe -> Aufnehmen“ einen aktuell laufenden Film aufnehmen, also auf die Festplatte schreiben. Wer dies häufiger benötigt, kann unter „Ansicht“ die „Erweiterte Steuerung“ aktivieren. Dann erscheinen im Wiedergabefenster weitere Bedienelemente, unter anderem der Aufnahme-Knopf. Alle Aufnahmen werden unter Angabe der Zeit, des Sender und Namen der Sendung unter ~/Downloads/ als .ts-Datei abgelegt. Über „Werkzeuge -> Einstellungen -> Eingang / Codecs“ können Sie neben „Ausnahme-Verzeichnis oder Dateiname“ auch einen eigenen Pfad festlegen.

Über „Video -> Schnappschuss machen“ legen Sie einen Screenshot der aktuellen Filmszene ab. Zielverzeichnis und Namen für diese Bilder können Sie unter Werkzeuge -> Einstellungen -> Video“ im Bereich „Videoschnappschüsse“ selbst festlegen.

Desktop-Videos mit VLC

Der VLC unterstützt Sie auch, wenn Sie Ihre Desktop-Aktivitäten filmen möchten, um ein Videotutorial herzustellen. Für diese Aufgabe gehen Sie auf „Medien -> Aufnahmegerät öffnen“. Wählen Sie als „Aufnahmemodus“ den Eintrag „Desktop“. Unter „Optionen“ geben Sie die gewünschte Anzahl an Bildern pro Sekunde an. Für einen flüssig wirkenden Screencast ist die Voreinstellung „1,00 f/s“ zu wenig, wenigstens zwei sollten Sie eintragen. Wenn Sie vor dem Start noch etwas vorbereiten müssen, klicken Sie auf „Mehr Optionen anzeigen“ und geben eine Startzeit an. Um mit der Aufnahme zu beginnen, klicken Sie unten auf die Schaltfläche mit dem kleinen Pfeil rechts neben „Wiedergabe“ und auf „Konvertieren“. Im folgenden Dialogfenster legen Sie die „Zieldatei“ und das Format des Videos fest und beginnen die Aufnahme mit „Start“.

Lesezeichen im Film setzen

Im VLC gibt es eine Möglichkeit, Lesezeichen zu setzen, um einen Film später genau an dieser Stelle fortzusetzen. Lesezeichen für die aktuelle Stelle verwaltet der VLC über den Menüpunkt „Wiedergabe -> Benutzerdefinierte Lesezeichen“. Ein Klick auf „Erstellen“ legt einen neuen Zeitpunkt auf der Merkliste an, der als Sprungmarke funktioniert. Damit ist die Marke aber noch nicht permanent gespeichert. Dazu muss erst noch eine Playliste als Datei gespeichert werden, was Sie unter „Medien -> Wiedergabeliste in Datei speichern“ erledigen. Ein Klick auf die resultierende Datei im Dateimanager öffnet dann den Film wieder im VLC und unter „Benutzerdefinierte Lesezeichen“ liegt die Sprungmarke zur gewünschten Stelle.

Lesezeichen setzen: Zum Anhalten und Fortsetzen an einer bestimmten Filmstelle hat der VLC eine Verwaltung von Sprungmarken, die in einer Playlist gespeichert werden muss.

Mit Reset-Kommando zum Standard

Dieser Artikel hat alle Skins und LUA-Erweiterungen für den VLC ausgeklammert, da sie unterm Strich die Bedienung des VLC nicht signifikant verbessern und die Stabilität verringern. Es bleibt gegen unsere Empfehlung aber jedem Nutzer vorbehalten, sich hier umzusehen. Unter „Werkzeuge -> Plugins und Erweiterungen“ lässt sich der Plugin-Manager des VLC öffnen. Die im Web verfügbaren Erweiterungen zeigt das Tool nach Klick auf „Zusätzl. Erweiterungen im Netz finden“.

Weil das Spielen mit experimentellen Skins aber schon mal dazu führt, dass der Player nicht mehr bedienbar ist und auch seine Einstellungen nicht mehr anbietet, um dort das Problem rückgängig zu machen, ist folgender Startparameter wichtig:

vlc --reset-config

Das setzt den Player auf seine Standardoberfläche zurück, andere Einstellungen wie etwa eine eingerichtete Medienbibliothek bleiben jedoch erhalten.

Alles verschlüsselt!

Mobile Notebooks, handliche USB-Sticks, öffentliche Cloud: Alles, was das Haus und das heimische Netz verlässt, kann in fremde Hände gelangen oder ist in fremden Händen. Verschlüsselung sorgt dafür, dass die Daten nichts Persönliches preisgeben.

Hinsichtlich Datenschutz und Verschlüsselung spaltet sich die Gesellschaft so schizophren wie sonst auch: Die einen werfen ihre Privatsphäre bedenkenlos ins World Wide Web, die anderen sorgen sich bei jeder Dropbox-Datei, dass die NSA mitlesen könnte. Es ist aber nicht Ziel dieses Beitrags, die Naiven zu bekehren oder die Paranoiden zu beruhigen. Hier geht es allein um die technischen Möglichkeiten, die Linux in großer Vielfalt und Abstufung bereithält, um Daten zu verschlüsseln. Der Artikel stellt alle Methoden vor, bewertet sie und bringt eine vollständige Praxis-Anleitung für die Einrichtung und Nutzung.

1. LUKS-verschlüsseltes Linux-System

Die kompromisslose Methode, die lokalen Daten vor Fremdzugriff zu schützen, ist die Verschlüsselung der kompletten Festplatte. Mit dem auf dem Kernelmodul dm-crypt basierenden Linux Unified Key Setup (LUKS) lassen sich sowohl externe USB-Datenträger (siehe Punkt 2) als auch die Systemfestplatte selbst sicher verschlüsseln. Wir beginnen mit dem technisch anspruchsvollsten Szenario der verschlüsselten Systemfestplatte, da es durch moderne Installer zur einfachen Übung gerät und bei der Alltagsbenutzung nicht mehr Aufwand bedeutet als die Schlüsseleingabe beim Systemstart. Trotzdem sollte sich jeder Anwender, der seine Systemfestplatte verschlüsselt im Klaren sein, dass die Partitionierung komplexer wird und bei Bootproblemen höheren Reparaturaufwand verursacht.

Empfehlung: Eine LUKS-verschlüsselte Systemfestplatte ist die richtige Maßnahme für Notebooks, die viel unterwegs sind und auch jenseits des Home-Verzeichnisses vertrauliche und private Daten enthalten. Der verschlüsselte Datenträger lässt beim Booten durch ein Fremdsystem keinerlei Einblick in die Verzeichnisstruktur und in die Daten zu. Das Einzige, was ein Fremdzugriff anhand der Partitionierungsfakten in Erfahrung bringen kann, ist die Tatsache, dass die Festplatte LUKS-verschlüsselt ist.

Installation mit LUKS und LVM: Es gibt diverse grafische Linux-Installer, die beim Setup eine LUKS-verschlüsselte Systempartition einrichten können. Neben Yast unter Open Suse, dem Debian-Installer und dem Fedora-Installer bieten alle Ubuntu-basierten Distributionen inklusive Linux Mint den Installer Ubiquity, der dies beherrscht. Die folgende Anleitung orientiert sich an Ubiquity. Beachten Sie aber, dass der Ubuntu-Installer den bequemen Weg zur LUKS-verschlüsselten Systemfestplatte nur anbietet, wenn Sie ihm dafür die gesamte primäre Festplatte überlassen. Eine kompliziertere Situation mit Multiboot oder anderweitigen Partitionsaufteilungen ist nicht vorgesehen. Die Festplatte wird bei diesem Vorgang komplett gelöscht.

Starten Sie die Installation im Livesystem eines Ubuntu-Systems, und folgen Sie dem Setup-Assistenten bis zum Punkt „Installationsart“. Hier wählen Sie die erste Option „Festplatte löschen und […] installieren“. Darunter aktivieren Sie das Kästchen „Die neue Ubuntu-Installation zur Sicherheit verschlüsseln“. Sobald Sie dies tun, wird zugleich der weitere Punkt „LVM […] verwenden“ aktiv. Der Logical Volume Manager ist eine Abstraktionsschicht, um Festplatten und Partitionen flexibler zu verwalten, zusammenzufassen und dynamisch zu erweitern. In diesem Fall ist LVM notwendig, um neben der kleinen unverschlüsselten Bootpartition die LUKS-formatierte Partition und die virtuelle LVM-Partition unterzubringen, die bei korrekter Kennworteingabe unverschlüsselt ins Dateisystem geladen wird.

Wenn Sie im Assistenten mit den genannten Optionen auf „Weiter“ klicken, folgt noch die Abfrage des Sicherheitsschlüssels. Dieses Kennwort sollte komplex genug sein, um vom Assistenten als „Starkes Passwort“ gelobt zu werden. Andererseits muss die Eingabe zumutbar bleiben, denn sie ist künftig bei jedem Systemstart erforderlich. Die weitere Installation unterscheidet sich nicht mehr von einem üblichen Ubuntu-Setup.

Wenn Sie ein LUKS-verschlüsseltes System booten, erscheint künftig das Eingabefeld „Please unlock disk […]“. Dort geben Sie das Passwort ein, und erst danach kann der Systemstart fortsetzen, wobei das LUKS-Volume entsperrt und unverschlüsselt nach /dev/mapper/[sd…] gemountet wird.

Systemverschlüsselung per Setup: Dies ist die entscheidende Einstellung beim Ubuntu-Installer. Mit LVM und LUKS-Verschlüsselung bootet das System erst nach korrekter Kennworteingabe.

2. LUKS-verschlüsselte (USB-) Datenträger

Interne Laufwerke, die als reine Datenpartition dienen, sowie externe USB-Datenträger lassen sich ebenfalls mit LUKS verschlüsseln. Technisch ist dies weniger anspruchsvoll und kommt ohne LVM-Unterstützung aus. Die Einrichtung und Benutzung erfolgt auf modernen Linux-Distributionen komplett mit grafischen Werkzeugen, die den komplizierteren Weg über Terminalbefehle in der Regel überflüssig machen.

Empfehlung: Besonders USB-Sticks und handliche USB-Festplatten gehen oft verloren oder werden vergessen. LUKS ist für mobile Speicher erste Wahl, sofern die Datenträger überwiegend mit Linux gelesen und beschrieben werden. Dort, wo auch ein Windows oder ein Mac OS zugreifen soll, ist Veracrypt (siehe Punkt 6) die bessere Option.

Einrichten mit grafischen Werkzeugen: Erfreulicherweise hat LUKS-Verschlüsselung in die Systemwerkzeuge längst Einzug gehalten. Die KDE-Umgebung bietet den „KDE Partition Manager“ (partitionmanager), und die Gnome-affinen Desktops (Gnome, Mate, Unity, Cinnamon, XFCE) haben das Tool „Laufwerke“ (gnome-disks) an Bord. Wir beschreiben die wenigen Klicks zur LUKS-Verschlüsselung eines USB-Laufwerks am Beispiel von gnome-disks:

Nach Anschließen des USB-Datenträgers hängen Sie das Laufwerk zunächst mit dem kleinen schwarzen Symbol links unterhalb der Partitionsanzeige aus. Danach klicken Sie auf das Zahnradsymbol und verwenden die Option „Partition formatieren“. Im Folgedialog wählen Sie als „Typ“ den Eintrag „Verschlüsselt, kompatibel mit Linux-Systemen (LUKS + Ext4)“. Der Eintrag „Name“ ist nicht unbedingt erforderlich, macht aber den späteren Mountpunkt lesbarer. Entscheidend ist darunter die „Passphrase“ – also das Kennwort. Hier gilt wie unter Punkt 1: Das Kennwort sollte komplex sein, die Eingabe aber zumutbar bleiben, denn sie ist künftig bei jeder Nutzung des Datenträgers erforderlich. Mit Klick auf „Formatieren“ schließen Sie den Vorgang ab. Sie können nach der Formatierung den Datenträger sofort mit gnome-disks einhängen und nutzen, indem Sie auf den unteren Balken der symbolischen Anzeige klicken und die Partition mit dem Pfeilsymbol links einhängen.

Für die künftige Alltagsbedienung genügen die typischen Dateimanager Nautilus, Nemo, Caja, Dolphin. Wenn Sie das USB-Gerät anschließen, erscheint nach kurzer Frist automatisch der Dialog „Geben Sie eine Passphrase zum Entsperren […] ein“. Nach Eingabe des korrekten Kennworts ist das Medium entsperrt und im Dateimanager unter „Geräte“ normal benutzbar. An gleicher Stelle im Dateimanager können Sie den Datenträger wieder trennen („Laufwerk sicher entfernen“).

LUKS-Verschlüsselung für USB-Datenträger: Diese Aufgabe beherrschen die typischen Partitionsmanager von Desktop-Distributionen – hier gnome-disks unter Linux Mint.
Exkurs: Manuelle LUKS-Verschlüsselung

LUKS-Verschlüsselung für ein externes USB-Laufwerk kann auch ohne grafische Werkzeuge etwa auf einem Headless-Server eingerichtet werden. Die folgende Ergänzung zu den Punkten 1 und 2 dient nicht nur der Vollständigkeit, sondern soll auch die zugrundeliegenden Werkzeuge vorstellen, die unter der Haube auch von grafischen Tools wie gnome-disks genutzt werden.

Zunächst ermitteln Sie mit

lsblk

die Gerätekennung des USB-Datenträgers. Alle folgenden Kommandos gehen von der Beispielkennung /dev/sde aus, die in Ihrem Fall natürlich anders lauten kann und unbedingt entsprechend angepasst werden muss. Zunächst wird die Partitionstabelle des Sticks mit fdisk neu geschrieben:

sudo fdisk /dev/sde

Geben Sie am fdisk-Prompt „o“ ein. Dieser Befehl legt eine neue DOS-Partitionstabelle an. Sie müssen die Aktion anschließend mit dem Schreibbefehl „w“ realisieren, was zugleich fdisk beendet. Starten Sie dann fdisk erneut:

sudo fdisk /dev/sde

Jetzt legen Sie mit dem Befehl „n“ eine neue Partition an und verwenden dabei „p“ für „primary“, „1“ für Partition 1. Die zwei Abfragen der Start- und End-Sektoren quittieren Sie einfach mit der Eingabetaste. Auch hier muss abschließend der Write-Befehl „w“ erfolgen, um die Aktion tatsächlich auf den Datenträger zu schreiben.

Nun hängen Sie das Laufwerk mit

sudo umount /dev/sde?

aus und formatieren es mit LUKS. Das dazu notwendige Tool cryptsetup steht auf allen verbreiteten Distributionen zur Verfügung:

sudo cryptsetup luksFormat /dev/sde1

Der Parameter „luksFormat“ muss genau so eingegeben werden. Die nachfolgende Bestätigung mit „YES“ ist ebenfalls case-sensitiv und erfordert Großbuchstaben. Dann werden Sie nach dem „Passsatz“ gefragt, also dem Zugangskennwort. Die Eingabe erfolgt ohne Textanzeige und ohne Stellvertreterzeichen.

Nun können Sie das Laufwerk mit „luksOpen“

sudo cryptsetup luksOpen /dev/sde1 Stick

in das System laden. Der Name, hier „Stick“, ist frei wählbar. Das Laufwerk wird nun unter /dev/mapper/Stick gemountet. Zu guter Letzt braucht das Laufwerk neben LUKS noch ein normales, unverschlüsseltes Dateiformat, was Sie mit

sudo mkfs.vfat /dev/mapper/Stick -n Stick

erledigen. Das war’s. Entfernen Sie nun den Stick einfach vom Rechner. Die Prozedur ist für jeden USB-Datenträger nur einmal erforderlich.

3. Verschlüsseltes Home-Verzeichnis (Ecryptfs)

Ubuntu-Systeme einschließlich Linux Mint machen bei der Installation das Angebot, das Home-Verzeichnis zu verschlüsseln. Diese Option ist bei einer Neuinstallation immer gut zu überlegen, zumal sie nachträglich für den ersteingerichteten Benutzer nicht mehr vorgesehen ist und dann doch einige Klimmzüge erfordert. Technisch zuständig ist in diesem Fall das Modul Ecryptfs, das Ubuntu & Co. standardmäßig im Kernel mitbringen. Ecryptfs ist nicht zu verwechseln mit Encfs (siehe Punkt 5), wenngleich sich beide Techniken ähneln.

Empfehlung: Ein Ecryptfs-verschlüsseltes Home-Verzeichnis ist für typische Desktop-Systeme, auch für mobile Notebooks, oft der angemessene und der komfortabelste Schutz. Bei Fremdzugriff ist zwar der Großteil des Dateisystems lesbar, nicht aber der Inhalt von /home/[user]. Dieser liegt verschlüsselt unter /home/.ecryptfs/[user]/.Private und wird automatisch unverschlüsselt nach /home/[user] geladen, sobald sich der Benutzer am System anmeldet. Wenn sich der Gerätebesitzer daran hält, seine Daten stets unter /home abzulegen, ist für Datendiebe nichts zu holen. Lediglich die Anzahl der Verzeichnisse und Dateien sowie deren ungefähre Größen sind unter /home/.ecryptfs/[user]/.Private ersichtlich – die Inhalte nicht. Die Dateinamen sind ebenfalls verschlüsselt.

Einrichten der Home-Verschlüsselung: Bei der Installation von Ubuntu-Systemen erscheint zu einem späteren Zeitpunkt das Fenster „Wer sind Sie?‟. Hier legen Sie den Erstbenutzer des System an. An unterster Stelle gibt es die Option „Meine persönlichen Daten verschlüsseln‟. Ein Häkchen genügt, um Ecryptfs für das Home-Verzeichnis des Erstbenutzers zu aktivieren. Nach der ersten Anmeldung am neu installierten System erscheint dann ein Fenster mit dem Hinweis „Ihre Verschlüsselungspassphrase notieren‟. Klicken Sie auf „Diese Aktion ausführen‟. Danach geben Sie das Systempasswort ein und bestätigen mit der Eingabetaste. Sie sehen dann das von Ubuntu & Co. zufällig generierte Passwort für die Home-Verschlüsselung. Notieren Sie sich dieses, denn Sie benötigen es für den (unwahrscheinlichen) Fall, dass einmal die Wiederherstellung eines defekten Dateisystems nötig werden sollte.

Für den alltäglichen Zugriff auf das Home-Verzeichnis genügt die Anmeldung am System. Vor anderen Benutzern am selben PC ist das verschlüsselte Home-Verzeichnis ebenfalls sicher. Diese erhalten beim Zugriff eine Fehlermeldung, die auf fehlende Rechte hinweist. Besitzen andere Systembenutzer root-Recht, können Sie zwar den Ordner /home/.ecryptfs/[user]/.Private betreten, sehen dort aber nicht mehr als verschlüsselte Ordner- und Dateinamen.

Weitere verschlüsselte Home-Verzeichnisse: Die Home-Verschlüsselung bei der Installation gilt nur für den dort eingerichteten Erstbenutzer. Wenn ein weiterer Benutzer ein verschlüsseltes Home-Verzeichnis erhalten soll, gibt es zwei Wege:

1. Die grafische Methode über „Einstellungen -> Benutzer/Users“ ist aktuell noch die Ausnahme. Linux Mint 18.2 bietet in der Benutzerverwaltung beim Anlegen eines neuen Kontos ganz unten die Option „Persönlichen Ordner verschlüsseln […]“.

2. Bei den meisten Distributionen ist die Home-Verschlüsselung nur über die Kommandozeile zu erreichen. Es genügt dieser Befehl:

sudo adduser --encrypt-home [username]

Falls der Befehl scheitert, installieren Sie das Paket ecryptfs-utils (sudo apt install ecryptfs) und wiederholen den Befehl. Legen Sie das Passwort für den neuen Benutzer hinter „Geben Sie ein neues UNIX-Passwort ein:‟ fest. Danach geben Sie die Benutzerinformationen ein oder bestätigen einfach alles mit Eingabetaste. Ab sofort kann sich der neue Benutzer anmelden und das verschlüsselte Home-Verzeichnis nutzen. Auch er erhält einen Hinweis, sich die Verschlüsselungspassphrase zu notieren.

Home-Verzeichnis nachträglich verschlüsseln: Es ist nicht vorgesehen, die Verschlüsselung nachträglich zu aktivieren. Die einfachste Lösung ist es daher, alle Dateien im Home-Verzeichnis vorübergehend an einen anderen Ort zu verschieben, dann ein neues Benutzerkonto mit verschlüsseltem Home-Verzeichnis anzulegen und die gesicherten Dateien danach in das neue Home-Verzeichnis zu kopieren. Das ursprüngliche Konto kann danach im Prinzip gelöscht werden. Tun Sie dies aber erst, wenn der Systemalltag reibungslos funktioniert: So sollte zum Beispiel der sudo-berechtigte Erstbenutzer nicht gelöscht werden, solange kein neues Konto mit sudo-Recht eingerichtet ist (visudo).

Linux Mint bietet bei der Installation nach wie vor an, das Home-Verzeichnis des Erstbenutzers zu verschlüsseln. Das gilt auch für weitere, später angelegte Benutzer .

4. Verschlüsselung mit Encfs

Encfs ist ein flexibles Ordner- und Datei-orientiertes Verschlüsselungswerkzeug. Der Ruf des Tools hat etwas gelitten, nachdem vor Jahren eine theoretische Lücke bekannt wurde, welche die Robustheit von Encfs infrage stellte. Diese Lücke besteht immer noch und wird bei der Installation des Pakets gemeldet. Unterm Strich handelt es sich aber um ein akademisches Problem, das normale Anwender nicht betrifft. Technisch ähnlich wie bei Ecryptfs wird ein verschlüsselter Ordner durch Eingabe des richtigen Passwort entsperrt und der Inhalt unverschlüsselt in einen zweiten Ordner gemountet, wo die Dateien dann normal zu verwenden sind. Verschlüsselte Encfs-Ordner sind überall flexibel einzurichten – auf internen und externen Datenträgern mit FAT, FAT32, NTFS oder einem Linux-Dateisystem.

Empfehlung: Encfs ist das richtige Werkzeug für alle Situationen, die im Alltag plötzlich Verschlüsselung ratsam erscheinen lassen: Dieses oder jenes Verzeichnis auf der USB-Festplatte hat Verschlüsselung verdient, ein Unterordner von Home muss geschützt werden oder ein Cloud-Dienst soll über den verschlüsselten Sync-Ordner nur noch geschützte Dateien bevorraten. Encfs kann an jeder Stelle und auf jedem Datenträger einspringen und eignet sich auch für größere Datenmengen. Neben Linux können Android-Geräte mit der App Cryptonite Encfs-Daten lesen. Für Mac-Anwender gibt es nach einem gewissen Installationsaufwand ein praktisch identisches Encfs. Für den Austausch mit Windows gibt es Encfs4win, das allerdings experimentell bleibt (https://encfs.win).

Encfs mit grafischem Cryptkeeper: Encfs ist meist nicht installiert, doch finden Sie das relativ kleine Paket in den Repositories aller wichtigen Linux-Distributionen. Unter Ubuntu/Mint installieren Sie es mit

sudo apt install encfs

und können dann sofort loslegen. Encfs ist an sich ein reines Kommandozeilen-Tool, jedoch werden die meisten Anwender Encfs über das grafische Frontend Cryptkeeper bedienen. Auch dieses kleine Tool muss mit

sudo apt install cryptkeeper

erst nachinstalliert werden. Nach dem Aufruf cryptkeeper präsentiert sich dieser als Schlüsselsymbol in der Hauptleiste. Die Option „Erstelle verschlüsselten Ordner“ richtet ein neues verschlüsseltes Verzeichnis ein, wobei Sie in der oberen Zeile den Ordnernamen vergeben und unten zum gewünschten Ort navigieren, etwa zu einem USB-Stick unter /media im Dateisystem. Mit der Schaltfläche „Vor“ geht es weiter zur Passwortvergabe. Der neue und noch leere Mount-Ordner wird zum Abschluss automatisch im Dateimanager geöffnet und kann dann befüllt werden. Sie arbeiten in diesem Ordner wie mit unverschlüsselten Dateien. Die eigentlichen Dateien liegen auf gleicher Ebene in einem versteckten Ordner .[name]_enfcs. Um einen Encfs-Ordner auszuhängen und damit zu schützen, klicken Sie auf das Cryptkeeper-Symbol und dann auf den betreffenden Ordnereintrag.

Über die „Einstellungen“ können Sie vorgeben, dass Mount-Ordner nach dem Entladen („Aushängen“) gelöscht und dass nicht genutzte Encfs-Ordner nach bestimmter Frist automatisch entladen werden. Diese zweite Sicherheitsmaßnahme ist ein Alleinstellungsmerkmal von Encfs.

Encfs auf der Kommandozeile: Im Terminal ist Encfs-Verschlüsselung etwas mühsamer, andererseits flexibler. Die Kernsyntax lautet:

encfs /Pfad1/verschlüsselte_Daten/ /Pfad2/unverschlüsselte_Daten/

Pfad1 ist der zu verschlüsselnde Ordner, Pfad2 der Mountpunkt, wo die Daten unverschlüsselt genutzt werden. Das Beispiel

mkdir /media/sepp/data/privat
mkdir ~/privat
encfs /media/sepp/data/privat ~/privat

erstellt unter „/media/sepp/data“ das neue Verzeichnis „privat“, ferner den gleichnamigen Mountpunkt im Home-Verzeichnis. Die dritte Zeile lädt das noch leere Verzeichnis in den Mountpunkt. Danach ist noch die Vergabe eines neuen Kennworts notwendig. Unter „~/privat“ arbeiten Sie mit den Daten.

Während bei Cryptkeeper das verschlüsselte Verzeichnis und das Mount-Verzeichnis stets auf gleicher Ebene liegen, kann Encfs auf Kommandozeile von beliebiger Stelle in einen beliebigen Mountpunkt laden. Wenn Sie einen verschlüsselten Ordner nicht mehr benötigen, entladen Sie seinen Mountpunkt:

fusermount -u ~/privat 

Neuerliches Laden geschieht mit genau demselben Encfs-Befehl wie bei der Ersteinrichtung.

Tipp: Auf der Kommandozeile (nicht im Cryptkeeper) können Sie Encfs auch auf ein bereits bestehendes Verzeichnis ansetzen. Alle Dateien, die sich dort bereits befinden, bleiben dort allerdings weiterhin unverschlüsselt. Sollen diese nachträglich verschlüsselt werden, verschieben Sie die Dateien einfach in das Mountverzeichnis des Encfs-Ordner-Paares.

Ersteinrichtung eines Encfs-Ordners: Sie benötigen lediglich einen Ordner als Mountpunkt (hier USBData im Home-Verzeichnis) und ein Kennwort.
Grafisches Frontend für EncFS: Das kleine Tool Cryptkeeper erscheint als Schlüsselsymbol in der Hauptleiste und bietet die wesentlichen EncFS-Funktionen.

5. Container mit Veracrypt

Veracrypt ist der Nachfolger des Verschlüsselungsklassikers Truecrypt, der 2014 eingestellt wurde. Veracrypt arbeitet mit verschlüsselten Containerdateien und einem eigenen Format. Der Inhalt solcher Container wird durch die „Mount“- (oder „Einbinden“-) Schaltfläche und nach korrekter Passworteingabe unverschlüsselt ins Dateisystem gemountet, wobei auch gleich der zuständige Dateimanager zur Anzeige und Dateibearbeitung gestartet wird. Die Größe der Containerdateien muss bei der Einrichtung definiert werden und ist später nicht mehr dynamisch erweiterbar.

Empfehlung: Veracrypt eignet sich für große und sehr große Datenmengen, allerdings nur auf lokalen Rechnern oder im lokalen Netzwerk. Für den Transfer in die Cloud ist es ungeeignet, da auch bei geringen Datenänderungen immer der Transport des gesamten Containers notwendig wäre. Ein entscheidendes Plus von Veracrypt sind Versionen für Linux, Windows, Mac OS, Free BSD und Raspbian. Damit sind Veracrypt-Container zwischen allen PC-Systemen austauschbar.

Installation und Container-Betrieb: Anlaufstelle für die meisten Betriebssysteme ist die Projektseite https://www.veracrypt.fr/en/Downloads.html. Für Ubuntu, Mint & Co. ist die Installation über ein PPA allerdings deutlich komfortabler:

sudo add-apt-repository ppa:unit193/encryption
sudo apt-get update
sudo apt-get install veracrypt

Im Unterschied zur Windows-Version bietet Veracrypt unter Linux keine deutsche Übersetzung, weswegen die nachfolgenden Menübezeichnungen englischsprachig ausfallen. Um eine neue Containerdatei anzulegen, klicken Sie im Hauptdialog auf „Create Volume -> Create an encrypted file container“ und anschließend auf “Standard VeraCrypt volume“. Hier geben Sie Pfad und Namen einer bisher nicht existierenden Datei an. „Encryption Option“ belassen Sie einfach auf den Standardvorgaben. Danach geben Sie die Größe der Containerdatei an. Diese sollte großzügig ausfallen, weil die Kapazität nicht mehr zu ändern ist und viele kleine Container unübersichtlicher sind als wenige große.

Danach kommt die Passwortvergabe. Zur Schlüsselerstellung auf Basis des Passworts erwartet Veracrypt Mausbewegungen im eigenen Fenster. Nach beendeter Fortschrittsanzeige schließen Sie mit „Format“. Damit ist der Container einsatzbereit. Mit „Select File“ im Hauptdialog navigieren Sie zur Containerdatei. Mit Klick auf „Mount“ wird diese geladen und im Dateimanager geöffnet (falls nicht, lässt sich das unter „Preferences -> System Integration“ einstellen). Linux mountet Container nach „/media/veracrypt[nummer]“, Windows auf freie Laufwerkbuchstaben. Auf diesen Datenträgern lesen, arbeiten, kopieren Sie wie auf einem normalen Laufwerk. Mit „Dismount“ im Hauptdialog entladen Sie den Container, der somit wieder geschützt ist.

Zur besseren Systemintegration nistet sich das Veracrypt-Symbol zusätzlich in der Systemleiste des Linux-Desktops ein. Hier sind im Kontextmenü einige fundamentale Aktionen wie das Mounten aller „Favorites“ oder das Abschalten aller aktuell geladenen Container. Eingerichtete „Favorites“ ersparen die Sucherei nach verstreuten Containerdateien, sodass es sich durchaus lohnt, das Menü „Favorites“ zu organisieren.

Beachten Sie, dass Sie beim Mounten von Veracrypt-Containern zusätzlich zum Container-Passwort auch noch nach dem sudo-Kennwort gefragt werden, das mit dem Veracrypt-Passwort nichts zu tun hat und vermutlich anders lautet.

Tipp 1: Veracrypt ist auch komplett über Terminalbefehle zu steuern (siehe veracrypt –help). So entlädt etwa

veracrypt --dismount

alle geladenen Containerdateien. Und auf stationären, privaten PCs kann es vertretbar sein, einen Container durch ein Terminal-Alias zu laden und dabei das Passwort im Klartext mitzugeben:

veracrypt --mount /home/ha/vc-data
--password=Sehr-GeH3im

Tipp 2 für ältere Truecrypt-Container: Unter „Select File“ wählen Sie die Container-Datei aus oder mit „Select Device“ das verschlüsselte Laufwerk. Nach einem Klick auf „Mount“ aktivieren Sie im angezeigten Dialog vor der Angabe des Passworts die Option „TrueCrypt Mode“. In einigen Fällen funktioniert das nicht, und Veracrypt öffnet den Container nicht. Hier hilft es, die Einstellung „Options -> Mount volume as read-only“ zu aktivieren. Damit sind die Daten erreichbar und können bei Bedarf an eine andere Stelle kopiert werden.

Hauptdialog und Systemintegration von Veracrypt: Veracrypt entspricht bei der Bedienung seinem Truecrypt-Vorgänger. Laden und Entladen von Containern gelingt auch über das Panelsymbol.
Veracrypt im Terminal: Alle Funktionen der Verschlüsselungs-Software sind auf Wunsch auch über die Kommandozeile zu steuern.

6. Einfaches Verschlüsseln mit Packer

Einfachster Schutz bei geringeren Datenmengen ist die Ad-hoc-Verschlüsselung von Einzeldateien oder eines Ordners. Ohne Einschränkung für alle Dateien und Ordner anwendbar ist ein Packer mit eingebauter Verschlüsselung wie 7-Zip. Diese ist sicher, wenn Sie das Passwort komplex und lang wählen. Packer-Verschlüsselung erfordert diszipliniertes Verhalten und ist nicht so komfortabel wie andere Methoden.

Empfehlung: Geschützte Packer-Archive eignen sich für Dateien in der Cloud, können aber auch für mobile Datenträger ausreichen, wenn die Dateimengen überschaubar sind. Da es 7-Zip für Linux, Windows und Mac OS (7zX) gibt, ist der Austausch solcher Archive problemlos. Unter Android können nicht alle Apps mit einem „zip“ im Namen auch mit passwortgeschützten Archiven umgehen, aber der kostenlose, allerdings werbefinanzierte 7Zipper (von Polar Bear) beherrscht dies.

Manuelles Verpacken: Installieren Sie zunächst, sofern noch nicht geschehen, den 7-Zip-Packer:

sudo apt install p7zip-full

7-Zip erscheint unter Desktop-Linux nicht als selbständiges, grafisches Programm, sondern integriert sich in die „Archivverwaltung“. In Zusammenarbeit mit dieser Archivverwaltung oder dem 7z-Filemanager unter Windows ist Verschlüsseln und Entschlüsseln recht komfortabel: Sie ziehen Datei oder Ordner einfach mit der Maus in das Fenster („Archivverwaltung“ oder „7-Zip“), bestätigen unter Linux, dass damit ein neues Archiv angelegt werden soll und geben dann das Format „7z“ an. Unter „Erweiterte Einstellungen“ vergeben Sie das Passwort. Die Option „Dateiliste ebenfalls verschlüsseln“ sorgt dafür, dass die Archivverwaltung später auch keine Dateinamen verrät. Beim späteren Doppelklick des Archivs wird automatisch das Kennwort abgefragt und nur bei richtiger Eingabe entpackt.

Komfortfunktionen: Der Hauptaufwand für sichere passwortgeschützte Archive entsteht durch die Eingabe des komplexen Kennworts. Dieser Komfortverlust lässt sich etwa durch Terminal-Aliases oder -Funktionen minimieren. Für hier soll ein Beispiel für das Terminal genügen, das am besten als Function in der Datei ~/.bashrc zu realisieren ist:

function cc (
{
name=${1%/}
echo $name | grep ".7zEnc"
if [ $? -eq 0 ]; then
  7z x
-p'linuX*Welt' "$name"
else
  7z a
-p'linuX*Welt' -t7z -mhe=on "$name.7zEnc" "$name"
fi
}

Danach erledigt im Terminal die Eingabe

cc [datei]

das Ein- oder Auspacken des Archivs im aktuellen Verzeichnis. Ob Einpacken oder Auspacken als Aufgabe ansteht, erkennt die Funktion anhand der Dateiextension. Das Kennwort „linuX*Welt“ ist natürlich anzupassen.

Ähnliche und zum Teil noch komfortablere grafische Lösungen hat die LinuxWelt in früheren Ausgaben vorgestellt, so den Ausbau des jeweiligen Dateimanagers mit speziellen Kontextmenüs. Die letzte Ausgabe der LinuxWelt zeigte eine Lösung mit einem Incron-überwachten Ordner, der die Verschlüsselung per Drag & Drop erledigt. Alle nötigen Infos dazu finden Sie im PDF-Booklet auf Heft-DVD. Im Prinzip basieren aber alle diese Komfortlösungen auf einem Shellscript ähnlicher Machart wie oben.

Vereinfachte Packer-Verschlüsselung: Ein Script kann die lästige Aufgabe übernehmen, das Kennwort an 7-Zip zu übergeben.

7. Kennwortschutz in Office-Software

Libre Office und Microsoft Office bieten eine eigene integrierte Verschlüsselung. Das ist bequem, bleibt aber eine Insellösung, die auf die wenigen Office-Formate beschränkt ist. Außerdem hat diese Software-interne Kryptographie den großen Nachteil, dass Sie auf Office-Suiten angewiesen sind, um ein Dokument lesen zu können. Immerhin kann Libre Office auch Passwort-geschützte Microsoft-Dateien öffnen, umgekehrt ist das nicht der Fall.

Empfehlung: Diese Methode, Dateien einzeln zu verschlüsseln, eignet sich nur für wenige sensible Texte oder Tabellen. Für größere Datenmengen ist sie zu unbequem. Der häufigste Einsatz ist der Austausch vertraulicher Tabellen innerhalb eines Arbeitsteams.

Praktische Nutzung: Libre Office bietet die Option „Datei -> Speichern unter -> Mit Kennwort speichern“. Das Kennwort muss jeweils beim Öffnen eingegeben werden. Dass das Dokument geschützt ist, ist Libre Office bei der Weiterbearbeitung klar: Es genügt daher künftig, normal zu speichern. In Microsoft Office findet sich die Verschlüsselung unter „Datei -> Speichern unter -> Tools -> Allgemeine Optionen“.

Einzeldateien unter Libre Office verschlüsseln: Diese Ad-hoc-Maßnahme ist ein Notbehelf für geringe Datenmengen.

Exkurs: Asymmetrische Verschlüsselung

Alle bisher genannten Verschlüsselungsvarianten (Punkt 1 bis 8) gehören zur Kategorie symmetrischer Verschlüsselung: Ein Kennwortschlüssel verändert die Ausgangsdaten unlesbar, genau derselbe Schlüssel stellt den lesbaren Zustand wieder her. Dieses Verfahren ist optimal, wenn Sender und Empfänger dieselbe Person sind: Sie verschlüsseln Dateien oder Datenträger, die Sie später wieder entschlüsseln. Die Verschlüsselung hat nur den Zweck, dass keine andere Person die Datei lesen kann. Sobald Sender und Empfänger verschiedene Personen sind, wird symmetrische Verschlüsselung problematisch: Erstens muss der Schlüssel auf einem sicheren Weg von Person A zu Person B kommen. Zweitens brauchen Sie strenggenommen für Person C einen anderen Schlüssel, für Person D einen weiteren und so fort. Bei einem Austausch vieler Personen wie bei der Mail-Korrespondenz ist dies nicht praktikabel.

Wesentliches Merkmal der asymmetrischen Verschlüsselung (siehe Punkt 9) sind zwei unabhängige Schlüssel: ein öffentlicher zum Verschlüsseln, ein privater zum Entschlüsseln. Die komplementären Schlüssel generiert die Software – etwa GnuPG – auf Ihrem Rechner. Beide Schlüssel stehen zwar in eindeutigem Verhältnis, jedoch ist die Berechnung des privaten Schlüssels aus dem öffentlichen durch den Einsatz mathematischer Einwegfunktionen extrem aufwendig bis unmöglich. Der öffentliche Schlüssel zum Verschlüsseln kann daher ohne Geheimniskrämerei an alle Kommunikationspartner direkt oder zu einem öffentlichen Key-Server im Web geschickt werden. Nun chiffrieren alle Partner Nachrichten an Sie mit Ihrem öffentlichen Schlüssel – und Sie sind die einzige Person, die diese Nachrichten mit dem passenden privatem Schlüssel lesbar machen kann. Umgekehrt codieren Sie Ihre Nachrichten mit den öffentlichen Schlüsseln Ihrer Partner und haben die Sicherheit, dass nur der Empfänger mit dem komplementären privaten Schlüssel die Nachricht lesen kann.

Asymmetrische Verschlüsselung: Der Absender einer verschlüsselten Nachricht benötigt zum Chiffrieren („E“ – Encrypt) nur den öffentlichen Schlüssel des Empfängers. Empfangen und entschlüsselt („D“ – Decrypt) wird mit dem privaten Schlüssel.

8. Mailverschlüsselung unter Thunderbird

Ob der persönliche Mail-Austausch Verschlüsselung benötigt, muss jeder selbst entscheiden. Tatsache ist, dass US-Anbieter wie Google oder Yahoo der Neugier von Geheimdiensten wenig Datenschutz-Anstrengungen entgegensetzen. Auch wenn Sie deutsche Provider oder sogar einen eigenen Mail-Server benutzen, ist die Mail doch an den Knotenpunkten theoretisch abzufangen – am einfachsten in öffentlichen WLANs.

Empfehlung: Mail-Verschlüsselung ist wie jede Datenschutzmaßnahme mit Mehraufwand verbunden. Die Kombination von GnuPG (GNU Privacy Guard) plus Thunderbird mit Erweiterung Enigmail ist die wohl komfortabelste Lösung, aber auch sie erfordert Gewöhnung und zumindest einen Anteil von Mail-Partnern, die ebenfalls GnuPG nutzen. Unter Linux sind Thunderbird und GnuPG oft vorinstalliert, und falls nicht, über die Paketnamen „thunderbird“ und „gnupg“ schnell nachgerüstet. Für Windows gibt es Downloads unter www.mozilla.org und www.gnupg.org). Enigmail finden und installieren Sie dann direkt in Thunderbird über „Add-ons“.

Einrichtung und Mail-Alltag: Nach der Installation der Enigmail-Erweiterung und einem Thunderbird-Neustart verwenden Sie im automatisch startenden Einrichtungsassistenten die „ausführliche Konfiguration“. Im ersten Schritt geben Sie die „Passphrase“ ein. Das Passwort benötigen Sie später stets, um auf Ihre Schlüssel zuzugreifen. Es bildet auch die Grundlage für die beiden Schlüssel. Nach der doppelten Eingabe legt Enigmail das neue Schlüsselpaar an (öffentlich/privat). Falls Sie auf einem anderen Rechner bereits ein eingerichtetes Enigmail und ein Schlüsselpaar besitzen, wählen Sie im Assistenten die Option, bestehende Schlüssel zu importieren. Schlüssel lassen sich über „Enigmail -> Schlüssel verwalten“ als Ascii-Dateien exportieren und auf anderen Rechnern importieren.

Öffnen Sie wie gewohnt den Editor zum Verfassen von Nachrichten. Dort hat Enigmail jetzt eine weitere Symbolleiste platziert. Möchten Sie eine ausgehende Nachricht verschlüsseln, benötigen Sie den öffentlichen Schlüssel des Empfängers. Wenn dieser als Textdatei vorliegt, können Sie den Schlüssel über „Enigmail -> Schlüssel verwalten -> Datei importieren“ einlesen. Alternativ gibt es Schlüsselserver, die öffentliche Schlüssel aufbewahren. Über „Schlüsselserver -> Schlüssel suchen“ sehen Sie nach, ob die Empfängeradresse dort eingetragen ist; falls ja, importieren Sie den Schlüssel mit einem Klick. Umgekehrt ist es sinnvoll, den eigenen öffentlichen Schlüssel über „Schlüsselserver -> Schlüssel hochladen“ im Web zugänglich zu machen.

Nach einem Schlüsselimport ist der neue Mail-Empfänger Enigmail/GnuPG bekannt. Künftig klicken Sie beim Verfassen einer Nachricht an diesen Empfänger auf das Symbol mit dem Schloss. Um Mails verschlüsselt zu versenden, müssen Sie Ihr Passwort eingeben. Wenn Sie mit dem Schloss-Symbol verschlüsselt senden wollen, jedoch für den Empfänger kein Schlüssel vorliegt, erscheint automatisch der Hinweis, dass dieser Empfänger „nicht gültig“ ist. Dann besorgen Sie sich entweder den öffentlichen Schlüssel oder Sie senden unverschlüsselt.

Erhalten Sie umgekehrt eine Mail, die verschlüsselt wurde, erkennt Enigmail das automatisch. Wenn Sie im Vorschaubereich von Thunderbird auf das Element klicken, werden Sie dazu aufgefordert, das Passwort einzugeben. Wenige Augenblicke später erscheint die Nachricht.

Beachten Sie, dass Sie bei der Nutzung mehrerer Rechner die Schlüsselverwaltung manuell synchron halten müssen. Eine wichtige Hilfe ist wieder „Enigmail -> Schlüssel verwalten -> Datei exportieren“, wobei Sie einfach sämtliche Schlüssel markieren. Die resultierende Ascii-Datei lässt sich auf dem nächsten Rechner importieren.

Verschlüsselte Mail mit GnuPG und Enigmail: Wenn Sie versuchen, verschlüsselt zu senden, aber für den Adressaten kein Schlüssel vorliegt, öffnet sich automatisch die Schlüsselverwaltung.

9. Verschlüsselte Browser-Synchronisierung

Die Browser-Synchronisierung von Lesezeichen, Einstellungen, Erweiterungen und Skins bedeutet für Nutzer mehrerer Geräte unschätzbaren Komfort. Bedenklich scheint allerdings der Nebenaspekt, dass dabei Mengen von persönlichen Daten auf Google- oder Mozilla-Servern hinterlegt werden müssen.

Empfehlung: Firefox verschlüsselt standardmäßig alle Daten, wobei der Schlüssel auf dem Gerät des Benutzers verbleibt. Damit ist der Mozilla-Browser in puncto Datenschutz erste Wahl. Jedoch lässt sich auch der Google-Browser so einstellen, dass alle Synchronisierungsdaten sicher verschlüsselt sind.

Abhörsichere Synchronisierung für Chrome/Chromium: Standardmäßig werden hier nur die Kennwörter verschlüsselt. Aber unter „Einstellungen -> Erweiterte Synchronisierungseinstellungen“ (vorherige Google-Anmeldung vorausgesetzt) gibt es die Option „Alle synchronisierten Daten […] verschlüsseln“, bei der Sie ein individuelles Kennwort zur Sync-Verschlüsselung vergeben, das unabhängig vom Google-Kennwort ist. Der Komfortverlust ist nicht gravierend, da Sie dieses Kennwort auf jedem weiteren Gerät nur ein einziges Mal eingeben müssen. Damit landen sämtliche Daten verschlüsselt auf dem Google-Server, der Schlüssel dazu (Kennwort) verbleibt auf dem lokalen Gerät.

Sync-Daten verschlüsseln: Diese Maßnahme hält Googles Big-Data-Sammler von Lesezeichen und Verlaufsdaten fern.

10. Verschlüsselung im Internet

Der Datenaustausch über unverschlüsselte Verbindungen ins Internet kann im Klartext mitgelesen werden. Das gilt verschärft in öffentlichen Funknetzen, innerhalb von lokalen Firmennetzen und theoretisch auch außerhalb des lokalen Netzwerks an Verteilerknoten, die von Providern, Geheimdiensten oder Hackern abgehört werden. Im Fokus stehen die meistgenutzten Protokolle HTTP (Webseiten) und FTP (Datentransfer). Die folgenden Infos beziehen sich ausschließlich auf die Client-Seite des Web-Nutzers, nicht auf die Server-Seite des Betreibers.

HTTP und HTTPS: Im Sinne des Datenschutzes ist, wo immer möglich, auf verschlüsselte Verbindung zu achten. Zwingend erforderlich ist dies überall, wo zur Anmeldung persönliche Zugangsdaten verschickt werden (Bank, Online-Shop). Alle Browser zeigen sichere (HTTPS-) Web-Adressen in der Adresszeile mit einem grünen Schloss-Symbol an. HTTPS garantiert, dass es für Kriminelle und Geheimdienste selbst dann nichts Lesbares zu lesen gibt, wenn der Angreifer im Netz sitzt und den Netzverkehr abhört.

Firefox und Chrome signalisieren unverschlüsselte HTTP-Sites explizit als „nicht sicher“. Dies ist kein Urteil über die Seriosität der Website, sondern ausschließlich die Aussage, dass eine Site keine TLS- (Transport Layer Security) oder SSL-Verschlüsselung bietet (Secure Socket Layer). Datenschutztechnisch noch einen Schritt weiter geht Firefox, der Anmeldungen auf unverschlüsselten Seiten automatisch bremst: „Diese Verbindung ist nicht verschlüsselt…“. Das ist im Prinzip verdienstvoll, kann aber – insbesondere bei lokalen Servern (Router, NAS) – auch nerven und über „about:config“ deaktiviert werden („security.insecure_field_warning…“).

FTP, FTPS und SFTP: Das File Transfer Protocol (FTP) bietet keine Verschlüsselung. Daher sollten Sie sich die Anmeldung auf unverschlüsselten FTP-Servern zumindest in öffentlichen WLANs verkneifen. Man mag sich als Client-Nutzer auf den Standpunkt stellen, das Sicherheitsproblem sei Sache des Server-Betreibers. Jedoch fällt der Erstverdacht zunächst auf den Client-Nutzer, wenn dessen unverschlüsselte Anmeldedaten abgegriffen und destruktiv missbraucht werden. Sicherheitsbewusste FTP-Betreiber werden FTPS (FTP mit SSL- oder TLS-Verschlüsselung) anbieten. FTP-Clients wie Filezilla zeigen im Servermanager unter „Verschlüsselung“ an, ob die Verbindung abhörsicher ist.

Eine sichere Alternative zu FTP ist der Datenaustausch über SSH, das über sein Protokoll SFTP auch die direkte verschlüsselte Dateiübertragung vorsieht. Mit den ähnlich klingenden Protokollen FTP und FTPS hat das nichts zu tun, sondern mit SSH-Servern, die auf Linux-Systemen SSH-Verbindungen entgegennehmen. Mit Rücksicht auf Windows-Systeme, die standardmäßig keinen SSH-Client enthalten, bleibt FTP und FTPS das verbreitete Austauschprotokoll. Wirklich triftig ist diese Rücksicht auf Windows allerdings nicht, da der auch unter Windows vielgenutzte FTP-Client Filezilla auch das Protokoll „SFTP – SSH File Transfer Protocol“ beherrscht.

Firefox ultravorsichtig: Der Mozilla-Browser zeigt bei Anmeldungen auf unverschlüsselten Web-Seiten diese Warnung.

Exkurs: Unentbehrlicher Browser-Tipp

Mit dem Thema „Verschlüsselung“ hat dieser kleine Exkurs nichts zu tun, aber viel mit dem verwandten Thema „Datenschutz“: Wer gerade vorhat, sich eine Jacke, Gitarre oder Kettensäge zu kaufen, sollte die Angebote tunlichst nicht über normales Google & Co. recherchieren. Dann sieht man nämlich die nächsten Wochen im Web überall nur noch Jacken, Gitarren und Kettensägen. Einfache Abhilfe schafft der „Private Modus“ im Firefox oder „Inkognito“ bei Chrome. Damit können Sie in Google & Co. suchen, ohne die Werbeindustrie über Ihre Interessen zu informieren. Wer solche Belästigung generell hasst, kann auch die Suchmaschine duckduckgo.com verwenden – dort ist der Datenschutz inklusive.


Veracrypt-Verschlüsselung

Truecrypt und der Nachfolger (Fork) Veracrypt sind faszinierende Verschlüsselungssoftware und beste Wahl für mobile Rechner und Datenträger. Dieser Beitrag erklärt den Umgang und plädiert für das KISS-Prinzip („Keep it simple, stupid“).

Die jüngsten Versionen von Ubuntu und allen Abkömmlingen haben die Nachfrage nach einer zuverlässigen Verschlüsselungssoftware wieder schlagartig erhöht. Seit das Home-Verzeichnis nicht mehr standardmäßig ab Installation durch Ecryptfs geschützt werden kann, muss vor allem auf mobilen Notebooks eine Alternative her. Auch USB-Datenträger, die persönliche Daten enthalten und viel unterwegs sind, brauchen Verschlüsselungsschutz. Der Truecrypt-Nachfolger Veracrypt ist hierfür allererste Wahl.

Veracrypt im Kurzporträt

Veracrypt ist Open-Source-Software und kann daher keine geheimen Hintertüren für Geheimdienste verbergen. Es eignet sich für große und sehr große Datenmengen, allerdings nicht für den Transfer in die Cloud, da auch bei geringen Datenänderungen immer der Transport eines gesamten Volumes („Container“) notwendig wäre. Die Verschlüsselungstechniken und nebenbei auch die Benutzeroberfläche, stehen überwiegend auf der Basis des eingestellten Vorgängers Truecrypt, der als praktisch unüberwindbar eingestuft wurde. Das mysteriöse Ende von Truecrypt im Jahr 2014 wurde damals mit angeblichen Sicherheitslücken begründet, die jedoch nie nachgewiesen wurden. Dies lässt bis heute Gerüchte blühen, dass Truecrypt keineswegs fehlerhaft, sondern im Gegenteil zu gut war, um noch länger von staatlicher Exekutive und/oder Wirtschaft geduldet zu werden.

In der Tat geht der Anspruch von Truecrypt und dem Nachfolger Veracrypt deutlich über so harmlose Datenschutzmotive hinaus, Mitarbeiteradressen oder Gehaltstabellen zugriffssicher zu verschlüsseln. Truecrypt/Veracrypt haben das Potential, auch die Daten von strafrechtlich oder politisch Verfolgten zu schützen, die mit professionellen Computerforensikern als Gegner rechnen müssen.

Für „normale“ Nutzer mit legitimen Ansprüchen auf Privatsphäre ist diese Komplexität von Veracrypt durchaus ein Problem: Container, Volume, Partition, Standard/Versteckt, Verschlüsselungsalgorithmus, Hash-Algorithmus, Passwort, PIM, Keyfiles, Dateisysteme, Header-Daten, Cache-Daten – das sind anspruchsvolle und in Veracrypt überall präsente Begriffe. Da muss man erst den Überblick gewinnen, was nun wirklich relevant ist oder doch eher in die Paranoia-Ecke gehört. Der Nutzer sollte sich auf das für ihn Notwendige konzentrieren. Wer mit Veracrypt-Optionen leichtfertig spielt, erzielt schnell maximalen Datenschutz – indem er sich selbst aussperrt.

Im Veracrypt-Assistenten: Anfänger sollten sich an die einfachen Optionen halten, Standards übernehmen und elaborierte Möglichkeiten erst mal ignorieren (hier „PIM“ und „Keyfiles“).

Wie jede Software ist auch Veracrypt nicht fehlerfrei. 2016 wurde ein Bug bekannt, durch den sich versteckte Volumes nachweisen lassen (zu versteckten Volumes siehe gleichnamigen Kasten). Dieser Bug ist seit Version 1.18a behoben, aktuell ist Version 1.22. Eine weitere Anfälligkeit ist akademisch und betrifft außerdem ausschließlich die Komplettverschlüsselung von Festplatten oder sogar der Systempartition (nur in der Windows-Variante). Die theoretische Lücke kann bei physischem Zugriff einer Fremdperson nach einer Speicheranalyse die Passwortlänge preisgeben.

Weitere theoretische Angriffsszenarien sind nicht spezifisch, sondern gelten generell für jedes kryptografische Verfahren: Die Kennworteingabe kann auf kompromittierten Rechnern durch Keylogger bespitzelt werden. Ferner beherrschen Forensiker Kaltstartattacken, bei welchen nach einem Neustart mit einem Minimalsystem der RAM-Speicher ausgelesen wird, der für kurze Zeit noch den gesamten Inhalt inklusive Kennwörter preisgeben kann.

Noch zwei allgemeine Hinweise:

1. Der Einsatz von Veracrypt erfordert immer wieder Geduld: Das Laden („Mount“), mehr noch das Entladen („Dismount“) ist häufig zäh, sollte Sie aber keinesfalls veranlassen, den Vorgang durch ein „Auswerfen“ des Datenträgers mit Betriebssystem-Werkzeugen oder durch schlichtes Abziehen eines USB-Medium zu unterbrechen.

2. Beim Hantieren mit Veracrypt-Containern werden Sie zusätzlich zum Container-Passwort auch nach dem sudo-Kennwort gefragt werden, das mit dem Veracrypt-Passwort nichts zu tun hat und vermutlich anders lautet.

Plattformen und Installation

Anlaufstelle ist die Projektseite https://www.veracrypt.fr/en/Downloads.html. Veracrypt gibt es für Linux (auch Free BSD, Raspbian), Windows und Mac OS. Somit steht einer plattformübergreifenden Nutzung nichts im Wege. Für Windows gibt es sogar neben der installierbaren eine portable Variante, was die Mitnahme der Veracrypt-Software parallel zu den verschlüsselten Daten auf USB ermöglicht. Generell ist Veracrypt für Windows nochmal deutlich komplexer, da es auch Systempartitionen verschlüsselt und für externe Datenträger eine In-Place-Verschlüsselung anbietet – also die Verschlüsselung bestehender Datenträger ohne Datenverlust.

Unter Mac OS ist neben Veracrypt das zusätzliche OSXFUSE erforderlich, um Veracrypt-Container mit Benutzerrechten laden zu können. Unter Ubuntu, Mint & Co. ist die Installation über die genannte Webseite zwar möglich, der deutlich bequemere Weg führt jedoch über das PPA:

sudo add-apt-repository ppa:unit193/encryption
sudo apt-get update
sudo apt-get install veracrypt

Im Unterschied zur Windows-Version bietet Veracrypt unter Linux keine deutsche Übersetzung, weswegen wir uns bei den nachfolgenden Menübezeichnungen an die englischsprachigen halten.

Veracrypt ist ein Tool für PCs und Notebooks. Smartphone und Tablets mit Android und iOS werden nicht direkt unterstützt. Die nachfolgend der Vollständigkeit halber genannten Apps sollten zumindest das Öffnen und Lesen von Veracrypt-Volumes ermöglichen. Mit technischen Limits und Komforteinschränkungen ist jedoch überall zu rechnen. Für Android finden Sie im Google Play Store das Tool EDS (Encrypted Data Store) in einer kostenlosen Lite-Version: (goo.gl/Ce6wmg) und der Vollversion für 7,49 Euro (siehe goo.gl/1gsakw). Die Lite-Version hat gravierende Beschränkungen (siehe http://www.sovworks.com). Für iOS gibt es den Crypto Disks & File Explorer (goo.gl/vT4yNJ) und Disk Decipher (goo.gl/QGdkdq) für je einen Euro.

Verschlüsselter USB-Stick: Das Systemtool Gnome-Disks (rechts) zeigt an, dass es mit diesem Datenträger nichts anfangen kann. Nur Veracrypt kann ihn mounten.

Datencontainer oder Datenträger?

Veracrypt für Linux kann mit verschlüsselten Containerdateien arbeiten oder komplette (externe) Datenträger verschlüsseln. Die erste Variante ist die technisch einfachere und auch vom Assistenten („Creation Wizard“) die stets empfohlene.

Datenträgerverschlüsselung: Da Veracrypt unter Linux einen Datenträger oder eine Partition komplett löschen und neuformatieren muss, um ihn danach verschlüsselt anzubieten, gibt es nur einen nennenswerten Grund für die Komplettverschlüsselung interner oder mobiler Laufwerke: Der Datenträger soll sich wie ein unformatiertes Laufwerk verhalten. Ein Veracrypt-Laufwerk präsentiert sich unter Linux nämlich als unbekanntes Dateisystem, und Windows will es umstandslos sofort formatieren. Nur Veracrypt selbst kann das Laufwerk laden.

Ist dies gewünscht, dann verwenden Sie im Veracrypt-Assistenten nach „Create Volume“ die Option „Create a volume within a partition/drive“, danach „Standard VeraCrypt volume“ und wählen dann mit „Select Device“ den Datenträger. Das Gerät selbst, etwa /dev/sdc, können Sie nur verwenden, wenn der Datenträger im Rohformat ohne jede Partition vorliegt. Typischerweise ist eine Partitionsangabe wie /dev/sdc1 die richtige Wahl. Wenn nur eine Partition vorliegt, ist das Resultat von /dev/sdc und /dev/sdc1 dasselbe. Wenn der Datenträger keine unverschlüsselte Partition enthalten soll, sorgen Sie vorab mit Gparted oder Gnome-Disks dafür, dass keine oder nur eine Partition vorliegt. Alle weiteren Optionen der Einrichtung unterscheiden sich nicht vom Anlegen eines einfacheren Containers, das nachfolgend genauer beschrieben ist. Für das Mounten verschlüsselter Datenträger verwenden Sie im Veracrypt-Hauptfenster statt „Select File“ (für Container) die Schaltfläche „Select Device“.

Dateisysteme: Sollen Veracrypt-Daten unter Linux wie Windows funktionieren, ist ein kompatibles Dateisystem wichtig – einmal für den Datenträger, zum andern für den Container.

Datencontainer: Um eine neue Containerdatei anzulegen, klicken Sie im Hauptfenster auf „Create Volume“, dann auf „Create an encrypted file container“ und auf “Standard VeraCrypt volume“. Hier geben Sie Pfad und Namen einer bisher nicht existierenden Datei an. Unter „Encryption Options“ belassen Sie alles auf den Standardvorgaben. Danach geben Sie die Größe der Containerdatei an. Diese sollte großzügig ausfallen, weil die Kapazität nicht mehr zu ändern ist. Veracrypt verwaltet auch sehr große Container mühelos, andererseits bedeuten viele kleine Container erhöhten Verwaltungsaufwand und die Gefahr, Einstellungen und Passwörter zu vergessen.

Danach kommt die Passwortvergabe. Speziellere Optionen bei diesem Schritt sind im nächsten Punkt beschrieben. Für die meisten Szenarien ist ein komplexes Passwort völlig ausreichend. Die anschließenden „Format Options“ gelten für das innere Dateisystem des Containers und sind wichtig: Wählen Sie am besten FAT oder NTFS, wenn Sie die Daten auch unter Windows brauchen. Mit anderen Worten: Ein USB-Stick, den Sie unter allen Systemen nutzen möchten, muss nicht nur selbst ein allgemein kompatibles Dateisystem haben, sondern auch der Veracrypt-Container muss mit einem solchen formatiert sein. Im Allgemeinen kann man bei der Container-Formatierung mit NTFS nichts falsch machen. FAT genügt auch, sofern der Container keine Dateien größer als 4 GB aufnehmen muss.

Die nächste Option lautet „Cross-Platform Support“. Hier muss die obere Einstellung aktiviert werden, wenn ein Container auch in anderen Betriebssystemen genutzt werden soll („I will mount the volume on other platforms“). Beachten Sie aber, dass es sich hier nur um ein zusätzliches Container-Flag handelt, das nichts nützt, wenn das Dateisystem des Datenträgers plus das Dateisystem des Containers nicht kompatibel sind (siehe oben).

Zur Schlüsselerstellung auf Basis des Passworts erwartet Veracrypt danach Mausbewegungen im eigenen Fenster. Schließen Sie den Vorgang am Ende mit „Format“ ab. Damit ist der Container einsatzbereit.

Um Container zu verwenden, navigieren Sie mit „Select File“ im Hauptdialog zur Containerdatei. Mit Klick auf „Mount“ wird diese im Dateimanager geöffnet (falls nicht, lässt sich das unter „Preferences -> System Integration“ einstellen). Linux mountet Container nach „/media/veracrypt[nummer]“, Windows auf freie Laufwerkbuchstaben. Auf diesen Datenträgern lesen und arbeiten Sie wie auf einem normalen Laufwerk. Mit „Dismount“ im Hauptdialog entladen Sie den Container, der somit wieder geschützt ist.

Ob Sie Container oder Datenträger mounten wollen, müssen Sie selbst wissen. Hier ist es ein USB-Stick („Datenträger“) unter Windows, mit dem Windows selbst nichts anzufangen weiß.

Anspruchsvollere Passwort-Optionen

Bei der Passwortvergabe haben wir im vorangehenden Abschnitt zwei Optionen übergangen, weil wir sie für die Basisbenutzung von Veracrypt nicht empfehlen. Interessant sind sie durchaus, aber sie erhöhen Komplexität und Verwaltungsaufwand.

Container mit Passwort und PIM: Beim Erstellen des Containers gibt es im Dialog der Passwort-Definition die zusätzliche Option „Use PIM“. Hier kann eine Zahl eingetragen werden. Geschieht dies, so genügt das richtige Kennwort zum Öffnen dieses Containers nicht mehr. Hier ist dann zusätzlich die exakte PIM-Zahl erforderlich. Vereinfacht gesagt, handelt es sich um ein zusätzliches Kennwort für deutlich erhöhten Schutz. Technisch definiert der Personal Iterations Multiplier die Anzahl der Wiederholungen von Hashfunktionen, die dann beim genauen angegebenen PIM-Wert den Entschlüsselungsheader generieren. Beachten Sie, dass ein hoher PIM-Wert den Mount-Vorgang eines Volumes deutlich verzögert. Das einmal geladene Volume ist dann aber so schnell wie gewohnt.

Container mit Passwort und Keyfile: Der Passwortdialog hält noch eine weitere interessante Möglichkeit parat – nämlich die „Keyfiles“, Schlüsseldateien. Dabei kann es sich um eine beliebige Datei handeln, die Veracrypt zum Öffnen des Containers zusätzlich zum Passwort benötigt. Entscheidend für die Schlüsselfunktion dieser Datei sind deren erste 1024 Bytes, nicht Pfad oder Dateiname. Das heisst, dass sich der Inhalt dieser Schlüsseldatei keinesfalls ändern darf, das Verzeichnis oder der Dateiname jedoch durchaus. Ideale Kandidaten für Schlüsseldateien sind Binärdateien, PDFs oder ISO-Images, die normalerweise nie geändert werden. Ein Keyfile ist wie die PIM-Zahl additiv: Es ersetzt nicht das Passwort, sondern muss zusätzlich vorliegen. Es ist ein guter Schutz gegen Keylogger, weil das Kennwort alleine nicht mehr ausreicht. Das Keyfile kann ferner auch ein schwächeres Kennwort rechtfertigen und die Kennworteingabe verkürzen. Für mobile USB-Laufwerke ist die Keyfile-Methode nicht geeignet. Möglich wäre aber ein geschützter USB-Stick, für welchen das Keyfile sowohl zu Hause wie im Büro vorliegt – aber keinesfalls auf dem Stick selbst.

Container mit Keyfile, aber ohne Passwort: Sie können Veracrypt-Container auch mit leerem, also ohne Kennwort anlegen und sie nur durch Angabe einer Schlüsseldatei öffnen. Das ist aber nicht nur unsicherer, sondern wahrscheinlich auch organisatorisch aufwändiger als sich ein Kennwort zu merken.

Schaltfläche „Volume Tools“: Für einen geladenen Container lassen sich alle bisherigen Einstellungen nachträglich ändern (unter Windows muss der Container ausgewählt, darf aber nicht geladen sein). Das erledigen Sie im Hauptfenster über „Volume Tools“. Sie können ein neues Passwort vergeben oder Keyfiles hinzufügen oder entfernen. Beachten Sie, dass die Aktion in jedem Fall noch einmal eine korrekte Anmeldung mit den bisherigen Daten erfordert (obwohl der Container bereits gemountet ist). Durchaus kompliziert ist etwa die Definition einer neuen Schlüsseldatei („Add/Remove Keyfiles“). Dazu müssen Sie nämlich für die Anmeldung „Use keyfiles“ aktivieren und die bisherige Datei angeben, unter „New“ erneut „Use keyfiles“ aktivieren und dort das neue definieren.

Nachträgliche Änderungen: Mit „Volume Tools“ können Passwort, PIM und Schlüsseldateien eines Containers neu definiert werden.

Versteckte Veracrypt-Volumes

Im zweiten Fenster des Assistenten kann man mit „Hidden VeraCrypt Volume“ einen versteckten Container innerhalb eines sichtbaren Containers anlegen. Der Vorgang beginnt zunächst mit dem „Outer Volume“. Nach Erstellung, Kennwortvergabe und Bestückung mit Dateien (was auch später geschehen kann), führt der Assistent automatisch weiter zum „Hidden Volume“, das im äußeren Container untergebracht wird. Wichtig ist, dass dieser zweite Container ein völlig anderes Kennwort erhält. Nutzt man beim späteren Mounten der Containerdatei das erste Kennwort, so öffnet sich das äußere Volume. Gibt man hingegen das zweite Kennwort ein, öffnet dies das innere, versteckte Volume. Laut Hersteller ist das innere Volume auch bei geöffnetem äußeren Volume und genauer Datenanalyse nicht nachweisbar.

Natürlich sind versteckte Container eine reichlich paranoide Methode, wenn es nur um den Datenschutz einiger Tabellen oder Texte geht. Das Prinzip „Plausible Deniability“ (glaubhafte Abstreitbarkeit) soll dem Datenbesitzer unter Erpressung oder Folter die Möglichkeit geben, ein Passwort preiszugeben – aber eben nicht das entscheidende. Wer tatsächlich mit solcher Situation rechnen muss, sollte im „Outer Volume“ zumindest scheinbar interessante Daten bereithalten.



Angry Search (Dateisuche)

Die Dateisuche in Linux-Dateimanagern genügt für gelegentliche Suchläufe, für häufige Suche in großen Archiven ist sie zu langsam. Das Python-Script „Angry Search“ kann hier aushelfen. Dieser Beitrag bespricht Anspruch und Realität des Tools.

Angry Search hat die erklärte Absicht, das Vorbild „Everything“ unter Windows zu kopieren. Das ist ein ziemlich hoher Anspruch, denn die Freeware Everything gilt Windows-Kennern seit vielen Jahren als Muss: ein stupend schnelles Suchtool mit Suchoperatoren und Serverkomponente, das Millionen Dateien in Millisekunden filtert (www.voidtools.com). Angry Search leistet eine vergleichbar schnelle Instant-Suche beim Tippen der Suchbegriffe, bedarf aber mehr Pflege als sein Windows-Vorbild.

Beachten Sie, dass Angry Search ein reines Dateiwerkzeug ist, das nach Pfaden und Namen sucht, nicht nach Dateiinhalten. Das entspricht seinem Vorbild, das zwar neuerdings optional auch Dateiinhalte durchsuchen kann, dabei aber seinen Leistungsfokus aus den Augen verliert.

Download und Einrichtung

Angry Search ist ein Python-Script (mit drei weiteren Python Hilfsscripts) und somit unter Linux überall lauffähig, da ein Python-Interpreter zum Linux-Standard gehört. Unter https://github.com/DoTheEvo/ANGRYsearch/releases findet sich der Download als zip– oder tar.gz-Archiv, das Sie nach dem Download zunächst an beliebiger Stelle entpacken. Im Terminal suchen Sie dann den entpackten Ordner auf, schalten das kleine Install-Shellscript mit

chmod +x install.sh

ausführbar und starten dieses dann mit diesem Befehl:

sudo sh install.sh

Das war’s schon: Das Script kopiert lediglich einige Python-Scripts nach „/usr/share/angrysearch“ und legt den Link unter /usr/bin/angrysearch.py an. Daher ist spätere eine De-Installation mit dem manuellen Löschen dieser Dateien erledigt.

Nach der Einrichtung ist Angry Search als „ANGRYsearch“ im Hauptmenü oder im Gnome-Dash erreichbar, aber auch im Terminal über den Befehl angrysearch. Download-Archiv und der entpackte Ordner können danach im Prinzip gelöscht werden.

Neben dem benötigten Python-Interpreter hat das Tool nur zwei abhängige Pakete: Das Paket xdg-utils ist auf praktisch jeder Desktop-Distribution anzutreffen, das Paket python3-pyqt5 meistens auch. Sollte nach der Einrichtung der Aufruf scheitern, wiederholen Sie den Start im Terminal mit dem Befehl angrysearch, um die Ursache herauszufinden. Unter Ubuntu Gnome erhielten wir etwa die Meldung:

„No module named ‚PyQt5′“

In diesem Fall fehlt das genannte Paket python3-pyqt5, das Sie mit

sudo apt install python3-pyqt5

schnell nachinstalliert haben.

Suchoptionen und Konfiguration

Beim ersten Aufruf erhalten Sie einige Infos über die Konfigurationsdateien und die fundamentale Nutzung. Diese Startinfo lässt sich jederzeit wiederholen, indem der Dateiindex gelöscht oder der Suchmodus geändert wird. Konfiguration und Index liegen benutzerbezogen unter „~/.config/angrysearch/angrysearch.conf“ und „~/.cache/angrysearch/angry_database.db“. Den Index erstellen Sie im Tool mit der Schaltfläche „update“. Dabei berücksichtigt Angry Search standardmäßig das komplette Dateisystem. Die Indexierung erfolgt auf lokalen Datenträger extrem schnell, bei eingehängten Netzwerkressourcen kann der Vorgang zwei, drei Minuten dauern.

Wenn Sie bestimmte Pfade ausschließen wollen, tragen Sie diese in die angrysearch.conf nach

directories_excluded=

ein – und zwar mit Leerzeichen getrennt (etwa „directories_excluded=/bin /var /etc“). Umgekehrt müssen Sie dafür sorgen, dass der Index tatsächlich alle Ressourcen erfasst, die Sie durchsuchen möchten. Diese müssen also vor dem Klick auf „update“ ordnungsgemäß gemountet sein.

Anders als beim Vorbild Everything ist der Index statisch, muss also von Zeit zu Zeit erneuert werden. Der Entwickler empfiehlt einen Cronjob, wobei einfach das Hilfstool angrysearch_update_database.py alle sechs Stunden gestartet wird. Der Eintrag (nach crontab -e) sieht dann wie folgt aus:

0 */6 * * *
/usr/share/angrysearch/angrysearch_update_database.py

Im Prinzip reicht aber auch im grafischen Tool ein gelegentlicher Klick auf „update“, bevor Sie eine Kaffeepause machen.

Standardmäßig gilt eine einfache UND-Syntax, wobei Angry Search praktisch ohne Verzögerung auf Tippeingaben reagiert: Auf „büro steuer“ wird das Tool vom ersten Buchstaben an das Datenmaterial sofort auf die passenden Dokumente filtern. Teilstrings von Wörtern berücksichtigt das Script nur, wenn Sie das Häkchen rechts vom Suchfeld abschalten. Das Häkchen steht für den schnellsten Modus und ist der Standard, würde aber bei der Eingabe „büro teuer“ keine Dateien zu „Steuer“ finden.

Angry Search hat nach unserer Kenntnis keine darüber hinausgehenden Möglichkeiten mit „NOT“- oder „OR“-Operatoren – so jedenfalls mit dem Standardsuchfeld. Wer höhere Ansprüche hat, muss auf die komplexen Regular Expressions ausweichen, die das Tool mit der Taste F8 anbietet: Nach F8 erhält das Suchfeld eine Orange-Färbung und akzeptiert Regex-Syntax, etwa eine OR-Suche mit „händel|haendel“ oder etwas komplexer:

(händel|haendel).*trio

Angry Search ist auch im Regex-Modus richtig schnell, jedoch haben vermutlich nur wenige Anwender die Kompetenz, aus dem Handgelenk korrekte Regex-Abfragen zu tippen.

Die im Fenster angezeigten Suchergebnisse können Sie einfach per Doppelklick mit dem zugeordneten Standardprogramm laden. Außerdem gibt es nach Rechtsklick die Option „Open Path“, um das Verzeichnis der gewählten Datei im Dateimanager anzuzeigen. Je nach Distribution kann es hier eventuell Korrekturbedarf geben: Beim von uns zufällig genutzten Linux Mint Mate verabschiedete sich Angry Search regelmäßig kommentarlos, wenn für ein Suchergebnis „Open Path“ gewählt wurde. Offensichtliche Ursache war, dass das Paket xdg-utils den Dateimanager Nemo an Angry Search meldet, der Dateimanager in dieser Mint-Variante aber „Caja“ heisst. Dies lässt sich in der Konfigurationsdatei angrysearch.conf über die Zeile

file_manager=caja

leicht korrigieren, sofern man die Ursache erkannt hat.

Fazit: Eine empfehlenswerte Systemergänzung

Wer eine Menge Dateien an Bord hat und eine halbwegs systematische Namensgebung für Ordner und Dateien, sollte sich Angry Search einrichten. Das Tool ist ein phänomenaler Zeitsparer. Ein Beispiel: Die Suche mit dem Dateimanager nach der UND-Verknüpfung „metallica reed“ dauerte mehr als eine Minute, bis sie die Lulu-Suite dieser Band ans Licht beförderte. Etwa doppelt so schnell arbeitet ein find-Befehl im Terminal – mit allen Nachteilen der mühsamen Eingabe und Weiterverarbeitung der Suchergebnisse. Angry Search? Das Tool zeigt die Resultate sofort – noch während des Eintippens. Dabei sollten die Standardeinstellungen im Alltag die besten Ergebnisse liefern, für eine Berücksichtigung von Teilstrings genügt es, das Häkchen neben dem Suchfeld zu deaktivieren. Die optionale Regex-Suche dürfte hingegen die meisten Anwender überfordern. Etwas Erfahrung sollte der Suchtool-Nutzer aber in jedem Fall mitbringen, damit die indexierten Orte stets ordnungsgemäß eingehängt sind, der Index aktuell bleibt (Crontab) und eventuelle Korrekturen in der Konfigurationsdatei (angrysearch.conf) keine Hürde darstellen.

Ob der Entwickler den Vergleich zu Everything suchen sollte, bleibt aber fraglich: Das Windows-Tool aktualisiert dynamisch, bietet erweiterte Suchoperatoren und sogar eine Client-Server-Komponente für die Suche übers Netzwerk.


Schlanke Konfiguration: Die wenigen Einstellungen der Konfigurationsdatei sind auf der Projektseite https://github.com/DoTheEvo/ANGRYsearch gut dokumentiert.


Linux für ältere Hardware

Zurück zur Übersichtsseite…

Mit Hunderten unterschiedlich spezialisierter Distributionen lädt Linux dazu ein, für ältere Geräte passende Systeme und Rollen zu finden. Oder für benötigte Aufgaben sogar gezielt ältere Hardware einzukaufen.

„Linux auf älterer Hardware“ ist ein facettenreiches Thema: Zunächst ist es ja so, dass leichtgewichtige Linux-Desktops und erst recht Server-Distributionen ohne Desktop sehr genügsam sind und daher auf älterer Hardware (5-10 Jahre) und alter Hardware (10-15 Jahre) klaglos laufen. Und dann gibt es ja auch noch Distributionen mit dem spezialisierten Fokus, richtig alte Hardware (15-20 Jahre) mit wenig Speicher und moosalten CPUs wiederzubeleben. Auch 32-Bit-CPUs und CPUs ohne PAE-Erweiterung werden nach wie vor unterstützt.

Ab einer CPU der Pentium-III-Klasse oder AMD Athlon und einem Arbeitsspeicher ab 512 MB (theoretisch ab 256 MB) finden Sie in jedem Fall eine Linux-Distribution, die Windows XP leistungstechnisch ersetzen kann. Generell kommt alles mit den schlanken XFCE- und LXDE-Desktops schwächeren Rechnern entgegen. Die betreffenden Ubuntu-Varianten heißen Xubuntu (mit XFCE) sowie das noch schlankere Lubuntu (mit LXDE/LXQT). Noch Ressourcen-schonender arbeiten Bodhi Linux und Puppy-Varianten.

Das theoretisch mögliche Recycling obsoleter Hardware ist aber letztlich ein Sport ohne Endorphine. Uns geht es hier um ältere Hardware, die unter Linux noch einen richtig guten Job macht. Dabei gibt es eine Reihe von Aspekten und Gegenanzeigen, die manches Altgerät dann doch zum Elektronikschrott erklären. Neben der Hardware geht es natürlich auch um die Aufgabe, die diese Hardware erledigen soll: Geräte, die an einer Desktop-Rolle scheitern, können in anderer Rolle zur Starbesetzung werden.

Platinen-PCs gegen ältere Netbooks/Notebooks

Beim direkten Vergleich solider älterer Hardware kehrt nach etlichen Jahren des Raspberry-Hypes inzwischen gesunder Pragmatismus ein: Man kann und sollte kleine Platinenrechner nicht zu beliebigen Serveraufgaben prügeln. Selbst der aktuellste Raspberry Pi 3 ist mit USB 2.0 und Fast Ethernet oder gedrosseltem Gigabit-Ethernet kein Favorit für die Rolle als Datenserver.

Netbooks und Notebooks haben bauartbedingte Vorteile: Kontrollmonitor, Tastatur, Maus sind ohne Fummelei jederzeit verfügbar. Auch die Stromversorgung für passiv angeschlossene USB-Datenträger ohne eigenen Netzadapter funktioniert zuverlässig, was bei Platinen nicht immer gegeben ist. Mit der oft gar nicht so kleinen Festplatte ab 160, 200 und bis 500 GB ist auch schon mal ein Basislaufwerk an Bord, das neben dem System die wichtigsten Daten aufnehmen kann.

Die Leistung typischer Atom-CPUs von Netbooks liegt mindestens im Bereich des jüngsten Raspberry 3, lediglich schnellste Platinen wie Odroid XU4 oder Asus Tinker Board schneiden im CPU-Benchmark etwas schneller ab. 10 Jahre alte Notebooks sind meistens leistungsstärker als die ARM-CPUs von Platinen. Hinzu kommt auf Notebooks eine vergleichsweise üppige RAM-Ausstattung mit oft 4 GB (Raspberry 1 GB, Netbooks 1-2 GB).

Der Trend: Während der Raspberry-Hype etwas abflaut, ist der dadurch gewachsene Serverbedarf im Heimnetz ungebrochen. Die Home-Admins halten aber vermehrt Ausschau nach älteren, aber soliden Notebooks und Netbooks als Hardware-Basis für den Linux-Server.

Netbooks: Ideal für Nebenrollen

Netbooks hatten 2007 bis 2010 eine kurze Blütezeit, die durch noch handlichere Tablets ab 2010 jäh beendet wurde. Hardwaretechnisch sind die kleinen Geräte komplette PCs, die aber für den Preis von etwa 250 bis 450 Euro gezielt mit kostengünstigen, leistungsschwächeren und stromsparenden Komponenten bestückt wurden. Typisch sind stromsparende Intel-Atom-CPUs (seltener Celeron) mit bis zu 1,66 GHz, 1 GB RAM (seltener 2 GB), drei USB-2.0-Ports, Fast-Ethernet, WLAN (802.11n), Audio-Chip (Mikro-Eingang und Lautsprecher-Ausgang), Kartenleser, kleines Display mit der Auflösung 1024×600 sowie VGA-Ausgang für einen sekundären Monitor (auch Dual-Monitor-Betrieb). Die mechanische Festplatte bietet meistens 160 bis 250 GB. Netbooks arbeiten zwar nicht lüfterlos, sind aber in Regel sehr leise – leiser als Notebooks. Der Stromverbrauch liegt auch bei Hochlast unter 20 Watt, im Leerlauf unter 10 Watt.

Mit diesen Eigenschaften erreicht oder schlägt ein altes Netbook die meisten aktuellen Platinenrechner. Der Fast-Ethernet-Durchsatz (100 MBit/s) lässt sich mit der Investition in einen USB-to-Ethernet-Adapter zusätzlich verbessern. Der Delock Adapter (ca. 21,50 Euro etwa bei www.reichelt.de) mit schnellem USB 3.0 und schnellem Gigabit-Ethernet kommt am USB-2.0.Port eines Netbooks immerhin auf 300 MBit/s – das entspricht dem gleichermaßen gebremsten Gigabit-Netzadapter beim jüngsten Raspberry 3 B+.

Als komplette Arbeits-Desktops werden Netbooks trotzdem nicht befriedigen. Zum Surfen kann aber ein solches Gerät noch genügen, wenn am Desktop gespart, also etwa ein Lubuntu (www.lubuntu.net) oder Bunsenlabs (www.bunsenlabs.org) gewählt wird. Zudem empfiehlt sich als Webbrowser ein Leichtgewicht, das vielleicht nicht alles kann, aber dafür schnell ist. Falkon (Qupzilla) ist hier ein sehr guter Kompromiss und in allen Standardpaketquellen verfügbar – entweder als Paket „falkon“ oder zumindest als Vorgängerpaket „qupzilla“.

Noch besser eignen sich solide Kandidaten wie ein Asus EEE für kleine Serverrollen im Netzwerk. Flaschenhals für den Dienst als Dateiserver ist USB 2.0: Mit dem bereits erwähnten USB-to-Ethernet-Adapter und damit erreichbaren 300 MBit/s sind aber Heimnetzansprüche in der Regel gut erfüllt. Überhaupt keine Gegenanzeigen gibt es, wenn das Netbook Aufgaben übernimmt, die kein hohes Datenaufkommen haben: Das kann etwa ein Mediawiki (benötigt komplettes LAMP-Paket mit Linux, Apache, Mysql und PHP, siehe www.mediawiki.org) oder ein Dokuwiki sein (benötigt Linux, Apache und PHP, siehe www.dokuwiki.org), das alle wichtigen Notizen, Adressen, Bilder im Heimnetz anbietet. Das kann aber auch eine Web-basierte Dokumentensuche mit dem Tool Recoll sein oder eine PDF-Bibliothek mit der Software Calibre.

Professionelles Renovieren („Refurbish“) von Netbooks scheint sich für Händler nicht zu lohnen. Gebrauchte Netbooks finden Sie praktisch nur über Ebay und private Kleinanzeigen. Die typischen Preise liegen zwischen 50 und 100 Euro. Beim Kauf eines gebrauchten Netbooks sollten Sie Atom-CPUs wie N270, N280 oder höher bevorzugen, ferner eine – allerdings seltene – RAM-Ausstattung mit 2 GB.

Homeserver für 200 bis 300 Euro: Dieses gebrauchte Thinkpad-Notebook L440 ist für etwa 200 Euro erhältlich und bringt alles mit, was ein schneller und zuverlässiger Linux-Server braucht.

Notebooks: Refurbished oder B-Ware als Datenserver

Mit soliden älteren Notebooks können selbst leistungsstarke Platinenrechner wie Odroid XU4 oder Banana Pro kaum mithalten. Neben den allgemeinen Vorteilen des Notebooks wie Display, Tastatur, Maus, Stromversorgung für USB kann das Notebook in der Regel die schnellere CPU und mehr RAM vorweisen. Lediglich der Stromverbrauch ist beim Notebook etwas höher: Nicht allzu alte Notebooks verbrauchen bis zu 25 Watt, sehr alte bis zu 40 Watt (Platinenrechner nur circa 4 bis 10 Watt).

Wer keinen Notebook-Oldie vorrätig hat, sondern ein gebrauchtes Gerät für eine Rolle als Datenserver gezielt erwerben will, sollte penibel auf die Input/Output-Komponenten achten. Ideal wäre USB 3.0 in Verbindung mit Gigabit-Ethernet. Fehlendes USB 3.0 lässt sich kaum kompensieren, langsameres Fast Ethernet (100 MBit/s) hingegen relativ leicht durch einen externen USB-to-Ethernet-Adapter mit Gigabit-Leistung.

Gute gebrauchte Notebooks, die alle diese Voraussetzungen mitbringen und sich mit i3-CPU aufwärts und 4 GB RAM aufwärts für Serveraufgaben ideal eignen, kosten typischerweise 150 bis 300 Euro. Solche Notebooks bieten viele Fachhändler an – zum Teil B-Ware mit leichten Mängeln, ferner Vorführgeräte sowie fachmännisch renovierte („refurbished“) Gebrauchtgeräte. Besonders zu empfehlen sind nach unserer Erfahrung die unverwüstlichen Thinkpads von Lenovo, ferner auch Pro Books oder Elitebooks von HP. Andere HP-Serien wie Pavilion sind hingegen qualitativ allenfalls ausreichend. Dell-Notebooks werden im Server-Dauerbetrieb gerne zu heiß.

Eine größere Auswahl finden Sie bei folgenden Händlern (Stand: Anfang 2019):

www.amazon.de (z. B. „Thinkpad gebraucht“ ab 150 Euro)

www.conrad.de („Refurbished“ oder „Vorführware“ ab 199 Euro)

www.pollin.de („Refurbished“ ab 229 Euro)

www.itsco.de/notebooks („B-Ware“ ab 179 Euro)

www.gebrauchtcomputer24.de/ (ab 89 Euro)

www.luxnote-hannover.de (ab 199 Euro)

www.esm-computer.de (ab 219 Euro)

Wer auf die Sicherheit, die der Kauf bei einem Händler bietet, verzichten kann, wird bei Ebay und Co noch günstigere Angebote finden.

Beachten Sie, dass der größte Schwachpunkt gebrauchter Notebook für den Einsatz als stationärer Linux-Server keine Rolle spielt – der Akku nämlich. Wenn Netbooks oder Notebooks im Dauerbetrieb an der Steckdose hängen, können Sie den Akku komplett entfernen. Das verringert auch den Stromverbrauch, weil das Gerät dann keine Veranlassung mehr hat, den Akku nachzuladen. Das Display, das ebenfalls nur eine Nebenrolle spielt und auch mit Pixelfehler für einen Server taugt, sollte per Funktionstasten so dunkel wie möglich eingestellt werden.

Ältere Platinenrechner, PCs und NUCs

Sieben Jahre nach dem ersten Raspberry Pi werden die Nachteile von Einplatinenrechnern deutlich: Sie sind nicht skalierbar und veralten rasend schnell. Wer von Anfang an mitgespielt hat und mehrfach auf leistungsstärkere Nachfolger oder Alternativplatinen umgestiegen ist, hat jetzt vermutlich die eine oder andere Platine in der Schublade, mit der sich nichts Ernsthaftes mehr anstellen lässt. Im Vergleich zu aktuellen Platinen sind die frühen Einkerner mit 512 MB RAM, langsamen Ethernet und fehlendem WLAN bestenfalls noch Bastlermaterial. Wer nicht gerne und hobby-mäßig mit Platinen experimentiert, sondern einfach eine nachhaltige Server-Hardware betreiben will, fährt vermutlich mit einem älteren Netbook, Notebook oder Intel NUC besser.

Schlecht steht es auch um die Verwertbarkeit älterer PCs: Die Größe spricht ebenso gegen einen Einsatz im Wohnzimmerschrank wie die typischen Betriebsgeräusche durch alte Lüfter und Festplatten. Außerdem verbrauchen alte wie neue Tower-PCs typischerweise 50 bis 100 Watt pro Stunde (ohne Monitor) und sind damit per se keine idealen Kandidaten für den Dauerbetrieb. Wenn diese Kriterien für Sie keine Rolle spielen, stellen sich immer noch die üblichen Fragen zur Tauglichkeit von CPU, RAM und I/O-Schnittstellen.

Die für den Servereinsatz attraktiven Mini-PCs der Sorte Intel NUC oder Zotac Zbox sind bei kommerziellen Händlern noch kaum anzutreffen. Auf Ebay und privaten Kleinanzeigen müssen Sie bei dieser Geräteklasse besonders genau verifizieren, ob das angebotene Gerät ein Laufwerk und RAM-Bausteine mitbringt.

HDT: Der Hardware-Check

Wer ein gebrauchtes Notebook gekauft oder ein altes Netbook aus dem Keller gekramt hat, muss erst einmal wissen, welche Hardware in diesem Gerät tatsächlich steckt. Was leistet die CPU tatsächlich, wieviel RAM steckt auf dem Motherboard? Funktioniert die Festplatte noch und wie groß ist sie? Dafür nutzen Sie am besten das Hardware Detection Tool (HDT, http://hdt-project.org). Falls das Gerät kein optisches Laufwerk besitzt, können Sie HDT im Handumdrehen mit

sudo dd if=hdt-0.5.2.img of=/dev/sd[x]

oder unter Windows mit dem Win 32 Disk Imager auf einen USB-Stick kopieren.

In HDT verwenden Sie vorzugsweise den „Menu mode“. Dieser zeigt unter „Summary“ schon mal das CPU-Modell mit Angabe über 32 oder 64 Bit sowie die aktuelle RAM-Kapazität. Genauer wird es unter den Kategorien „Processor“ und „Memory“, die sich mit den Cursortasten ausklappen lassen. Unter „Processor“ erscheinen das CPU-Modell, ferner die Architektur-Info („x86_64“ – „Yes“ oder „No“) sowie alle CPU-Eigenschaften als „Flags“ („pae“, „mmx“ etc.). Infos zu internen Festplatten liefert HDT unter „Disks“,

Fast noch wichtiger für die Tauglichkeit als Datenserver sind aber die Angaben unter „PCI-Devices“: Sie informieren über Grafikkarte, Soundchip, Ethernet (Fast oder Gigabit?), WLAN-Chip (altes 801.11g, brauchbares 801.11n oder sogar aktuelles 801.11ac?). Ein K.O.-Kriterium ist ferner die USB-Version. Wenn das Altgerät optimales USB 3.0 anbietet, erkennen Sie das schon äußerlich leicht an den blauen USB-Buchsen. Ob jedoch tolerierbares USB 2.0 vorliegt oder inakzeptables USB 1.x, ist äußerlich nicht erkennbar und auch unter HDT nicht ganz eindeutig zu ermitteln: Was HDT unter „PCI-Devices“ für den „USB (Host) Controller“ anzeigt, ist oft erst anhand der gezeigten Produkt-IDs zu recherchieren. Allgemein indizieren unter HDT die Abkürzungen „OHCI“ eine USB-Version 1.1, „EHCI“ Version 2.0 und „XHCI“ Version 3.0. Ganz eindeutig ist dies nicht, da auch Bezeichnungen wie OHCI2 auftauchen, was dann immerhin für USB 2.0 spricht.

Wissen, was drinsteckt: Das unabhängige, bootfähige Tool HDT (auf Heft-DVD) analysiert die komplette Hardware.

32- oder 64-Bit-CPU? PAE oder Non-PAE?

Wie Sie einem Rechner Informationen über die CPU-Architektur und die CPU-Eigenschaften entlocken, erklärt der obige Abschnitt „HDT: Der Hardware-Check“. Hier geht es um die Konsequenzen dieser Recherche.

Im Prinzip ist ein 32-Bit-Prozessor kein K.O.-Kriterium. Es gibt immer noch viele prominente 32-Bit-Systeme wie Lubuntu/Xubuntu 18.04/18.10 oder Debian 9.0.5. Auch Ubuntu 18.04 Server ist als 32-Bit-Variante zu finden (http://cdimage.ubuntu.com/netboot/bionic/). Spezialisten für ältere Hardware und damit allesamt auch in 32-Bit-Ausführung verfügbar sind Antix (https://antixlinux.com), Q4-OS (https://q4os.org/) und Bodhi Linux (www.bodhilinux.com). Im Umfeld von Linux-Distributionen erkennen Sie 32-Bit-Varianten an der Kennzeichnung „i386“ und 64-Bit-System an „amd64“, was in diesem Fall keine Einschränkung auf AMD-CPUs bedeutet.

Auch ein fehlendes PAE-Flag ist kein K.O-Kriterium: PAE steht für Physical Address Extension und befähigt 32-Bit-CPUs, mehr als 3,2 GB Arbeitsspeicher zu nutzen. Fehlt dem Prozessor diese Eigenschaft, kann Linux normalerweise nicht starten. Es gibt aber immer noch Distributionen mit einem speziellen Non-PAE-Kernel. Von Bodhi Linux 5.0 gibt es unter (https://sourceforge.net/projects/bodhilinux/files/5.0.0/) ein ISO-Image mit dem Zusatz „legacy“. Antix 17.2 ist auf Altrechner spezialisiert und bietet konsequenterweise auch noch eine Non-PAE-Variante (https://antixlinux.com/download/).

So viel zur Theorie. In der Praxis halten wir Recycling-Experimente mit 32-Bit-CPUs und erst recht mit CPUs ohne PAE-Erweiterung für grenzwertig. Praktisch alle 32-Bit-CPUs und solche ohne PAE sind älter als 15 Jahre und lohnen sich kaum mehr für neue Aufgaben. Nennenswerte Ausnahmen sind die 10 bis 12 Jahre alten Netbooks mit Intel-Atom-CPUs, die zwar größtenteils mit 32 Bit arbeiten, aber für kleine Serverrollen durchaus genügen.

32-Bit-Linux auf 64-Bit-Hardware: Wo nicht mehr taufrische 64-Bit-Hardware vorliegt, müssen Sie nicht unbedingt ein 64-Bit-Linux installieren. Die Vorteile von 64 Bit kommen erst bei mehr als vier GB RAM zur Geltung. Daher empfehlen wir für 64-Bit-CPUs und einer RAM-Ausstattung bis zu 4 GB 32-Bit-Systeme, die mit RAM und Datenträger sparsamer umgehen.

Viel RAM und 32-Bit-Linux? Das folgende Sonderproblem sollten Sie kennen, auch wenn es in der Praxis selten auftreten dürfte: Ein 32-Bit-Linux kann zwar per PAE (Physical Address Extension) mehr als 4 GB RAM nutzen, jedoch muss man jenseits von 8 GB RAM mit einer irritierenden und dramatischen Verlangsamung aller Festplattenzugriffe rechnen. 32-Bit-Systeme schalten den Festplattencache nämlich paradoxerweise ab, wenn mehr als 8 GB RAM vorhanden sind. Abhilfe schafft eine künstliche Begrenzung auf 8 GB in der Datei „/etc/default/grub“:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash mem=8G"

Besser als diese Maßnahme ist bei solcher Speicherausstattung natürlich die Wahl eines 64-Bit-Systems. Das Dilemma, auf einem Rechner mit 16 GB RAM ein 32-Bit-System wählen zu müssen, weil noch eine 32-Bit-CPU vorliegt, dürfte sich kaum ergeben.

Distributionen ohne Risiko: Lubuntu und Mint MATE

Wenn Sie ältere Hardware pragmatisch, schnell und ohne Lernaufwand wiederbeleben möchten, ist Lubuntu oder Antix Mate erste Wahl: Lubuntu läuft notfalls schon mit 256 MB RAM, bei besser ausgestatteten Rechnern nimmt sich dieses System etwa 300 MB ab Start, als CPU reicht ein Pentium III.

Beide Systeme sind nicht nur sehr genügsam, sondern bieten durch ihren konservativen Desktop mit Hauptleiste inklusive Startmenü jedem XP-Nutzer auf Anhieb eine neue Heimat. Es kommt hinzu, dass beide Distributionen eine zwar anspruchslose, aber vollständige Softwareausstattung mitbringen. Nach der Installation können Sie sofort loslegen.

Infos und Download zu Lubuntu: www.lubuntu.net

Infos und Download zu Antix: https://antixlinux.com

Anpassungen erwünscht: Xubuntu mit XFCE

Das nicht mehr ganz so schlanke Xubuntu sollte sich mit 512 MB RAM und einer CPU ab Pentium IV zufriedengeben. Auf besser ausgestatteter Hardware nimmt es sich aber ab Start bereits circa 400 MB. Für ordentliche Reserven bei der Software ist daher 1 GB RAM zu empfehlen – also noch im Rahmen der typischen Netbook-Ausstattung.

Xubuntu zeigt nach der Erstinstallation kaum Vorzüge gegenüber dem schlankeren Lubuntu oder Mint LXDE. Auch hier findet sich ein klassisches Anwendungsmenü in der Hauptleiste. Der exzellente und ausgereifte XFCE-Desktop zeigt seine Überlegenheit erst bei genauerem Hinsehen: Zum XFCE-Feinschliff gehört das zusätzlich nach Rechtsklick am Desktop stets verfügbare Anwendungsmenü oder das Drag & Drop von Dateien mit rechter Maustaste und folgendem Kontextmenü, wie Sie es unter Windows kennen. Im Hauptmenü unter „Einstellungen“ finden Sie zahlreiche Angebote, Themes, Dateimanager-Verhalten oder die Fensteroptik einzustellen. Die Anpassungsmöglichkeiten für Symbolleisten, Desktop und Dateimanager sind unerschöpflich detailliert, und dies nicht nur optisch. Xubuntu eignet sich besonders für etwas erfahrenere Nutzer, die sich die Oberfläche gerne optimal und individuell anpassen.

Infos und Download zu Xubuntu: http://xubuntu.org

Xubuntu 13.10
Ausgereiftes System für schwächere Hardware: Xubuntu mit XFCE lädt ein zur individuellen Anpassung und hat dabei etwas höhere RAM-Ansprüche als ein Windows XP.

Empfehlung für Bastler: Bodhi Linux

Auch Bodhi Linux basiert auf Ubuntu, davon sieht man aber nichts. Bodhi nutzt als Oberfläche die Eigenentwicklung Enlightenment 17 (E17). Hier wird es Hardware-technisch wirklich minimalistisch, nicht aber optisch-ästhetisch: Bodhi läuft angeblich schon mit 128 MB und einer 300-MHz-CPU. Auf unserem Test-Netbook mit einem GB RAM schlägt Bodhi nach der Anmeldung tatsächlich mit nur 103 MB zu Buche, mehr als 150 MB sind für das reine System auch im Dauerbetrieb nie zu messen. Mit 512 MB oder einem GB RAM hat Bodhi somit richtig Reserven für Browser und Anwendungen.

Was Bodhi noch spektakulärer macht: E17 ist ein ästhetisch ansprechender Desktop, der sich sogar noch verspielte Effekte leistet. Mit der „Einstellungskonsole“ lässt sich jedes winzige Detail der Oberfläche minutiös konfigurieren, Starterleiste „Engage“ und Hauptpanel „Shelf“ können Sie nach Belieben bestücken. Ein globales Startmenü ist beim Klick auf den Desktop jederzeit abrufbereit.

Bodhi hat leider auch Nachteile: So ist ein gemischtsprachiges System in Kauf zu nehmen, und die vorinstallierte Software bringt kaum das Mindeste mit. Neben Nachinstallationen muss der Bodhi-Nutzer auch Geduld mit einigen Ungereimtheiten in den unzähligen Einstellungsoptionen mitbringen.

Ein ganz großer Mangel: Der E17-eigene Dateimanager kann keinen LAN-Zugriff. Daher ist es erste Pflicht, einen zusätzlichen Dateimanager zu installieren. Hier kommen nicht beliebige in Frage, da etwa Nautilus oder Nemo die Desktop-Arbeitsfläche verändern und damit das E17-Design empfindlich stören. Es bietet sich der schlanke pcmanfm an (sudo apt-get install pcmanfm).

Infos und Download zu Bodhi Linux: www.bodhilinux.com
Zukunft und Weiterentwicklung von Bodhi Linux sind leider ungewiss. Die lange angekündigte Version 3.0 kam über den Status als Release Candidate nicht hinaus. Die Aufgabe des vielversprechenden Projekts wäre sehr bedauerlich.

Bodhi Linux
Unglaublich sparsam: Bodhi Linux begnügt sich mit 100 bis 150 MB und bietet trotzdem einen eleganten Desktop – ein System für Nutzer, die sich auf Neues einlassen und kleinere Mängel tolerieren.

Ausgereifter Minimalist: Puppy Linux

Puppy Linux spielt als spezialisierter Minimalist etwa in der Öko-Liga von Bodhi Linux und bietet dabei eine Reihe von Varianten. In erster Linie kommt Precise Puppy in Betracht, weil Sie damit die komplette Software der Ubuntu-Repositories nutzen können. Nach der Anmeldung benötigt das System circa 115 MB, als CPU genügt ein 400 MHz-Prozessor. Anders als Bodhi Linux sieht man Puppy, das primär für den mobilen Einsatz auf USB- und CD-Medien konzipiert ist, seinen Sparkurs deutlich an. Installation und Einrichtung setzen etwas Erfahrung voraus. Ungeachtet seiner pragmatisch-spröden Bedienung hat Puppy Linux 10 Jahre Entwicklung hinter sich und ist neben Bodhi Linux der reifere Minimalist.

Einen ausführlichen Beitrag zu den Puppy-Varianten bietet der Artikel Puppy-Systeme – klein und schnell

Infos und Download zu Puppy Linux: http://puppylinux.org

Zurück zur Übersichtsseite…

Manjaro Architect

https://manjaro.org
Download ca. 600 MB (Installer – kein Livesystem

Der aus Deutschland stammende Manjaro Architect ist ein Installer für Bastler, die sich ihr System selbst maßschneidern wollen. Das Prozedere ist keine ganz große Herausforderung, aber etwas Basiswissen über Partitionen, Dateisysteme, Linux-Desktops und Kernel sollte man schon mitbringen. Da bei Manjaro Architect das Endergebnis offen ist, macht es hier keinen Sinn, Desktop-Eigenschaften oder Software-Ausstattung zu beschreiben. Vielmehr geht es um eine kurze Charakterisierung des Installers:

Nach dem Booten können Sie optional die deutsche Tastatur und Sprache einstellen. Danach wählen Sie den Eintrag „Boot: Manjaro.x86_64 architect“, melden sich auf der Konsole als „manjaro“ mit Passwort „manjaro“ an und starten mit der Eingabe „setup“ die Einrichtung. Der Installer arbeitet mit vorgegebenen Optionen und Auswahl mit Cursor- und Tab-Taste, ist also quasi halb grafisch (Ncurses-Basis), logisch vorbildlich, aber durchaus komplex.

Nach Auswahl der Sprache „German“ geht es im Hauptdialog zum ersten Punkt „1 Installation vorbereiten“. Hier sind nicht alle Unterschritte notwendig, aber mindestens „Konsolensprache einstellen“, „Festplatte partitionieren“ und „Partitionen einhängen“. Der schwierigste Punkt „Festplatte partitionieren“ zeigt mehrere Optionen, die das jeweils gewählte Kommandozeilentool starten. Auf unserem Test-Notebook mit einer Festplatte sda wählen wir ein Bios-Installation mit dem Tool cfdisk. Dabei muss das Partitionierungsschema (etwa „dos“ oder „gpt“) und ein Dateisystem gewählt werden (etwa „ext4“). Ferner wird die Größe des Swapfiles abgefragt. Die Zielpartition muss danach mit „Partitionen einhängen“ gemountet werden.

Zurück im Hauptmenü geht es zum nächsten Hauptpunkt „2 Desktop-System installieren“ – der eigentliche Hauptspaß, denn die hier gebotene Auswahl an Desktops, Kernel-Versionen, Kernel-Modulen (Netztreiber, Dateisysteme) und Software-Paketen baut ein System nach Maß. An Oberflächen bietet Manjaro Architect nicht weniger als 14 (!).

Vergessen Sie nach der Installation der Pakete nicht, den Grub-Bootloader zu installieren. Dies wird vom Installer als nächster Schritt angeboten und darf keinesfalls übersprungen werden. Weitere Schritte sind „Basis konfigurieren“ (root-Kennwort, weitere Konten, Hostname, fstab einrichten, Treiber etc.) und optionale „Tweaks“. Am Ende steht ein Arch-System nach Wunsch. Der Software-Bezug erfolgt am einfachsten über die grafische Zentrale „Software hinzufügen/entfernen“. Anpassungen und Optimierungen folgen den Standards des gewählten Desktops.

Manjaro Architect: Die Collage zeigt ein fertig installiertes Manjaro mit Cinnamon-Desktop und rechts oben den Hauptdialog des eigentlichen Architect-Installer.

Die Linux-Desktops

Die Linux-Vielfalt hat zwei Ebenen: Neben der Auswahl des System-Unterbaus steht auch noch die Entscheidung für eine bestimmte Oberfläche. Derselbe Unterbau kann viele Desktop-Gesichter haben, derselbe Desktop verschiedenen Systemen dienen.

Eine saubere Grenzziehung zwischen Distributions- und Desktop-Vielfalt ist schwierig bis unmöglich. Ubuntu hat sich je nach Standarddesktop unterschiedliche „Distributionsnamen“ wie Kubuntu oder Xubuntu gegeben, obwohl dabei nur ein anderer Desktop (KDE und XFCE) auf demselben Ubuntu arbeitet. Wenn sich eine Linux-Mint-Variante als „Linux Mint XFCE Edition“ bezeichnet, darf man die Frage stellen, wieviel „Mint“ noch drinsteckt, da doch ein Ubuntu bei Mint den Systemunterbau legt und Linux Mint sich primär durch seinen Stammdesktop Cinnamon definiert. Wie Mint definieren sich auch andere Distributionen wie Elementary OS, Solus oder Bodhi Linux hauptsächlich durch ihren Desktop. Die Entscheidung für einen Desktop gibt aber nicht nur die Systembedienung vor: Sie bestimmt maßgeblich die Hardwareansprüche an RAM, CPU, GPU sowie Reaktions- und Startgeschwindigkeiten. Ein nackter Ubuntu Server ohne Desktop konsumiert etwa 50 MB RAM, während ein Ubuntu mit KDE-Oberfläche (Kubuntu) schon ab Start das 15-fache fordert (750 MB). Die richtige Einschätzung, was ein Desktop kann und für welche Hardware er taugt, ist daher für die Wahl des richtigen Systems unverzichtbar.

Desktops und Distributionen

Ein Linux-System kann bekanntlich mehrere Desktops aufnehmen. Folglich sollte es möglich sein, Desktops wie einen Mediaplayer oder eine Office-Suite als unabhängige Software zu beschreiben. Tatsächlich ist aber die Verzahnung zwischen Systembasis und Desktop dann doch komplexer als bei einer beliebigen Anwendungs-Software:
1. Die Parallelinstallation von Desktopumgebungen ist ein erheblicher Systemeingriff, und längst nicht alle Desktops vertragen sich überall problemlos nebeneinander.
2. Eine Desktop-Umgebung ist mehr als der Desktop: Sie bringt ein mehr oder weniger umfangreiches Softwarepaket mit, mindestens mit Dateimanager und Editor, oft mit Audio-und Video-Player sowie PDF- und Text-Viewer.
3. Der mit der Distribution ausgelieferte Desktop ist in der Regel sorgfältig vorkonfiguriert und unterscheidet sich von einem nachinstallierten Desktop. Diese Vorkonfiguration erspart oft erheblichen Anpassungsaufwand.
Einsteiger, Anfänger, Pragmatiker fahren daher am besten, wenn sie eine Linux-Distribution mit ihrer angestammten und mitgelieferten Standardoberfläche wählen.
Die nachfolgende Tabelle nennt 16 populäre bis exotische Linux-Desktops in alphabetischer Abfolge. Die nachfolgenden Kurzbeschreibungen orientieren sich hingegen an der Verbreitung und beginnen mit der Prominenz.

Stammdesktop unter Hardware-Anspruch Flexibilität Merkmale
Budgie Ubuntu Budgie / Solus noch moderat mittel klar und übersichtlich, gewöhnungsbedürftige Seitenleiste
Cinnamon Linux Mint moderat hoch einfache, klassische Basisbedienung und sehr flexibel
Fvwm (nur optional, z. B. in Debian) minimal mittel minimalistisch
Gnome Ubuntu Gnome / Fedora hoch gering elegant, modern, einfach, aber gewöhnungsbedürftig
KDE Kubuntu / Open Suse hoch exzellent komplexes, aber gereiftes Konzept
LXDE Lubuntu / Knoppix gering mittel einfach, klassisch, funktional, altmodische Optik
LXQT (LXDE-Nachfolger) (nur optional, z. B. in Manjaro) gering mittel einfach, klassisch, funktional
Mate Ubuntu Mate moderat hoch einfache, klassische Basisbedienung und flexibel
Moksha (E17) Bodhi Linux sehr gering hoch exotisch bis konfus, aber klein und schnell
Openbox Bunsenlabs minimal mittel minimalistisch, Anpassung anspruchsvoll
Pantheon Elementary OS mittel gering sehr einfach, elegant, aber puristisch
Pixel Raspbian (Raspberry Pi) gering mittel relativ einfach und klassisch
Trinity Q4-OS sehr gering hoch komplexer KDE-3-Fork, altmodische Optik
Unity Ubuntu noch moderat gering sehr einfach, intuitiv
Wmii (nur optional, z. B. in Debian) minimal gering minimalistisch und exotisch – ohne Mausunterstützung
XFCE Xubuntu gering bis moderat hoch klassisch, ausgereift, flexibel, etwas altmodisch

 

Für anspruchsvolle Linux-Anwender: Das komplexe KDE bietet maximale Anpassungsfähigkeit und hat mit KDE Plasma 5 ein geradliniges Gewand bekommen.

KDE: Anpassungsfähig bis detailverliebt

Eine der dienstältesten (seit 1996) und populärsten Desktop-Umgebungen ist KDE, das sich mit Version 4 erfolgreich neu erfand. KDE ist eine opulente Oberfläche für aktuellere Rechner mit Mehrkern-CPU, Open-GL-fähigen Grafikchip und vier GB RAM. Der Desktop ist ideal für fortgeschrittene Nutzer, die detaillierte Anpassungsoptionen zu schätzen wissen.
Der Plasma-Desktop stellt die Arbeitsoberfläche bereit mit Mini-Programmen (Plasma-Widgets) und dem Window-Manager Kwin, der für Fensterdarstellung und Effekte sorgt. Standardmäßig befinden sich die KDE-Bedienelemente am unteren Bildschirmrand. Ganz links gibt es in der Standard-Konfiguration das K-Menü mit Kategorien und Suchfeld. Neben dem K-Menü liegen die Taskleiste und daneben die Kontroll-Leiste mit Mini-Programmen (Lautstärke, Network-Manager, Zwischenablage). Eine aufgeräumte Übersicht aller Optionen bieten die „Systemeinstellungen“ im KDE-Menü. Daneben enthält die KDE-Umgebung herausragende Software wie den Dateimanager Dolphin, den Bildbetrachter Gwenview oder die Bildverwaltung Digikam. Empfohlene KDE-Distributionen sind Kubuntu, Ubuntu KDE Neon und Open Suse Leap.

Gnome 3: Der moderne Desktop

Gemessen an der Zahl der Gnome-affinen Nachfolger (Unity, Mate, Cinnamon, Pantheon, implizit auch XFCE, LXDE, LXQT) ist Gnome der produktivste Linux-Desktop. Mit dem fast 20 Jahre alten Ur-Gnome hat heutiges Gnome 3 freilich nicht mehr viel gemein. Version 3 war ein radikaler Neuanfang, der bewährte Elemente über Bord warf. Das neue Gnome-Bedienkonzept ist modern, schick, funktional, aber reduziert. An den Grundfunktionen lässt Gnome kaum Eingriffe zu. Flexibilität erhält Gnome hauptsächlich durch externe Erweiterungen (https://extensions.gnome.org). Gnome ist ein Desktop für aktuellere Hardware mit Mehrkern-CPU, 3D-Grafik und vier GB RAM.
Obwohl Gnome auf Elemente wie das Startmenü verzichtet, findet sich jeder Einsteiger schnell zurecht. Als Umschalter und Programmstarter dient die Übersichtsseite „Aktivitäten“, die über die Windows-Taste oder über die linke obere Ecke erreichbar ist. Dort gibt es Schnellstart-Icons und das wichtige Suchfeld. Die „Einstellungen“ liefern ein aufgeräumtes Menü für allgemeine Optionen wie Sprache, Hintergrundbild und Hardwarekonfiguration. Weitere Optionen sind in der Extra-Anwendung Gnome-Tweak-Tool untergebracht. Empfohlene Gnome-Distributionen sind Ubuntu Gnome, Fedora, Manjaro Gnome.

Elegant und modern: Gnome 3 zeigt auf Windows-Taste oder aktive Ecke links oben diese Übersicht mit Fenster- und Arbeitsflächenansicht sowie dem Suchfeld.

Ubuntus Unity: Vereinfachtes Gnome 3

Unity, seit 2011 und bis vor kurzem die Standardoberfläche von Ubuntu, ist ein reduziertes Gnome 3. Das einfache Bedienkonzept versteht jeder Nutzer auf Anhieb, allerdings bezahlt der Unity-Anwender den intuitiven Bedienkomfort mit dem Preis geringer Anpassungsmöglichkeiten. Trotz einfach wirkender Oberfläche bleibt Unity ein Gnome 3 mit nur geringfügig geringeren Hardware-Ansprüchen (siehe dort).
Die Bedienung erfolgt über zwei Standardleisten, die Starterleiste links und das Hauptpanel oben. Die Starterleiste ist eine Kombination aus Taskleiste und Favoritenleiste: Sie zeigt die aktuell laufenden Programme und zusätzlich die Programmfavoriten. Das oberste Symbol mit dem Ubuntu-Logo öffnet das Dash – die Suchzentrale für Programme und Dateien. Das Hauptpanel am oberen Rand bietet das Sitzungsmenü sowie Indikatoren wie Zeitanzeige und Netzwerk-Manager. Im Gnome-Control-Center („Systemeinstellungen“) gibt es fundamentale Funktionen der Hardware- und Desktop-Anpassung. Zusätzliche Möglichkeiten bietet das Unity Tweak Tool, das nachinstalliert werden muss. Die einzige Distribution mit Unity als Standarddesktop war bis Version 17.04 die Ubuntu-Hauptedition.

Cinnamon: Der Mint-Desktop

Cinnamon ist seit 2011 als konservative Alternative zum modernen Gnome 3/Unity entwickelt worden. Über die Jahre reifte eine sehr attraktive Oberfläche, die viele Elemente der Windows-Welt aufgreift und auf optimale Anpassungsfähigkeit Wert legt. Die ältere Gnome-2-Basis macht sich noch in einigen altmodischen Details bemerkbar (Leistenbearbeitung), insgesamt ist Cinnamon aber so ansehnlich wie flexibel und vergleichsweise sparsam. Der Desktop läuft auch auf nicht mehr taufrischen Geräten und ist mit 2 GB RAM alltagstauglich.
Die Systemleiste enthält ein klassisches und anpassungsfreudiges Startmenü und typische Elemente wie Fensterliste, Netzwerk-Manager und Arbeitsflächenwechsler. Großzügig sind auch die Optionen, um die Optik an eigene Wünsche anzupassen. Moderne Fensterthemen und Hintergründe für die Arbeitsfläche sind mit wenigen Mausklicks geändert. Generell ist das Angebot der zentralen „Systemeinstellungen“ breiter als das der reduzierenden Gnome/Unity-Desktops. Cinnamon ist Standard unter Linux Mint, der Einbau in andere Distributionen ist möglich, aber nicht ohne Risiko.

Mate: Klassisch und flexibel

Mit Mate entstand ebenfalls 2011 in Ablehnung des modernen Gnome 3 ein weiterer Fork von Gnome 2. Mate ist seither eine weitere Alternative für Anwender, die einen traditionellen Desktop bevorzugen. Die Oberfläche erhielt trotz althergebrachter Bedienkonzepte ein modernisiertes Äußeres und reicht an die Anpassungsfähigkeit von Cinnamon heran. Dabei gehört Mate zu den sparsamen Desktops und kommt notfalls ohne 3D-Grafikchip und schon mit 1 GB RAM aus.
Die wesentlichen Elemente der Arbeitsfläche sind die Leisten, die sich mit diversen Applets füllen und per Rechtsklick im Detail konfigurieren lassen. Die Systemeinstellungen heißen hier „Kontrollzentrum“, das alle Optionen zu Aussehen, Verhalten, Hardware-Einstellungen, Autostart-Programmen in einer aufgeräumten Übersicht zusammenfasst. Bekannteste Distribution mit Mate ist Ubuntu Mate, jedoch gibt es inzwischen von fast allen namhaften Distributionen eine Mate-Edition (Linux Mint, Debian, Fedora u. a.).

Klassisch und anpassungsfreudig: Mit dem Mate-Desktop lebt die Oberfläche von Gnome 2 in einer modernisierten Variante weiter.

XFCE: Linientreuer Klassiker

XFCE („X-Face“) gehört seit 1996 mit KDE und Gnome zu den Urgesteinen der Linux-Desktops, hat sich aber im Gegensatz zu diesen stets geradlinig entwickelt und nie revolutioniert. XFCE ist etwas angestaubt, aber perfekt für Nutzer, die klassische Elemente schätzen und selbst Hand anlegen mögen. Die funktionalen wie optischen Möglichkeiten sind umfassend, die Bedienung gelegentlich altmodisch, aber überall ausgereift und logisch. Nicht zuletzt hat XFCE bescheidene Ansprüche an die Hardware – 1 GB RAM ist üppig, ein 3D-Grafikchip nicht erforderlich.
Mit dem Dateimanager Thunar hat XFCE einen der wenigen seiner Art an Bord, die ein Drag & Drop von Dateien mit rechter Maustaste mit Kontextmenü beantworten. Im Konfigurationszentrum („Einstellungen“) sind alle Basics wie Monitor-Einstellung, Benutzerverwaltung, Themes, Fensteroptik oder Treibersuche. Hauptmenü („Whisker“) und Symbolleisten von XFCE sind eine lohnende Spielwiese: Es gibt diverse vorgegebene Elemente wie Arbeitsflächenumschalter, Sitzungsmenü („Aktionsknöpfe“) oder eine Mini-Kommandozeile. Auch bei Aussehen, Größe, Farbe, Transparenz oder Ausblendverhalten lassen XFCE-Panels keine Wünsche offen. Praktisch alle Distributionen bieten eine Variante dieses Klassikers. Ein sorgfältig konfiguriertes XFCE liefert etwa Xubuntu.

Xubuntu mit angepasstem XFCE-Desktop

LXDE/LXQT: Schlank und komplett

LXDE zeigt seit über 10 Jahren, dass ein kompletter Desktop keine Gigahertz-CPU braucht und dass 512 MB eine Menge Speicher sein können. Die funktionale Oberfläche benötigt inklusive System nur gut 150 MB. LXDE kombiniert für das Ziel einer möglichst sparsamen Lösung heterogene Elemente wie den Window-Manager Openbox und eigene Komponenten wie Lxpanels (Leisten) oder Lxappearance (Optik-Konfiguration). Die per Voreinstellung oft unnötig spröde Optik ist durch individuelle Anpassung deutlich optimierbar. LXQT ist der Nachfolger von LXDE, der die Integration von Software mit jüngeren QT-Bibliotheken leistet. Bei LXDE folgen solche Programme nicht der systemweit eingestellten Fensteroptik. Einfachster Weg zu einem sorgfältig vorkonfigurierten LXDE ist die Distribution Lubuntu.

Moksha (E17): Der schnelle Exot

Enlightenment („E“, aktuelle Version ist E19) vereint minimale Hardwareansprüche mit ansprechender Ästhetik und exorbitanter Konfigurierbarkeit. Verwirrende bis konfuse Optionen erschweren allerdings den Zugang. Moksha, der Standard-Desktop unter Bodhi Linux, hat als Fork von E17 etwas aufgeräumt, bleibt aber ein Desktop-Abenteuer. Die besonders schnelle und sparsame Oberfläche läuft auf älterer bis alter Hardware ohne 3D-Grafikchip und 512 MB bis 1 GB RAM.

Bodhi Linux mit angepasstem Moksah-Desktop

Trinity: Sparsames Retro-KDE

Trinity führt die längst eingestellte KDE-Version 3.5 als Fork weiter. Das Ergebnis ist eine schlanke Oberfläche, die allerdings im altbackenen Retro-Design daherkommt. Die Ansprüche des Desktops liegen etwa zwischen LXDE und XFCE. Hauptargument für Trinity ist die Tatsache, dass der KDE-Fork auch auf angestaubter Hardware die detaillierten Anpassungsoptionen eines KDE mitbringt. Unter den prominenten Distributionen ist Trinity rar. Der einfachste Weg ist der Einsatz der Distribution Q4-OS, wo Trinity als Standard arbeitet.

Der Trinity Desktop zeigt ein altes KDE 3.5, das als Abspaltung (Fork) mit kleinen Verbesserungen weiterlebt und von Kubuntu-Entwicklern nebenher gepflegt wird.

Schönlinge und Puristen

Pantheon: Dieser Desktop ist Standard der Distribution Elementary OS. Der aufgeräumte und ästhetische Desktop mit Mac-OS-Optik zeigt nur Starterdock und Systemleiste und bietet nur fundamentale Einstellungsoptionen. Zielgruppe sind Software-orientierte Desktop-Nutzer, die ohne Ehrgeiz individueller Anpassung eine hübsche Oberfläche suchen.

Budgie: Technisch ambitionierter als Pantheon liefert diese Oberfläche neben der üblichen Systemleiste eine multifunktionale Seitenleiste. Entwickelt wird Budgie für die Distribution Solus, hat aber inzwischen als Ubuntu Budgie Einzug in die offiziellen Ubuntu-Varianten gefunden. Budgie hat Potential zum echten Cinnamon-Konkurrenten durch seine klare, kontrastive Benutzerführung.

Ubuntu Budgie: Der sehr ansehnliche und klare Desktop hat noch ein paar Reifemängel.

Openbox: Eigentlich ist Openbox nur ein alt-ehrwürdiger Window-Manager, ist aber über diese Rolle hinausgewachsen. Pures Openbox liefert am Desktop nicht mehr als ein simples Startmenü per Mausklick, mit Ergänzungen und Konfigurationstools wird daraus aber eine Arbeitsumgebung, die kaum mehr als 100 MB Speicher beansprucht. Die manuelle Einrichtung von purem Openbox ist mühsam. Ein sorgfältig vorkonfiguriertes Openbox liefert die Distribution Bunsenlabs „Deuterium“ auf Basis von Debian 8.

Fvwm-Crystal: Einer der ältesten Fenstermanager für Linux ist der „F Virtual Window-Manager“ (Fvwm). Dem originalen Fvwm von 1993 sieht man sein Alter deutlich an. Viel getan hat sich aber bei der Variante Fvwm-Crystal mit Taskleiste, Menü und virtuellen Arbeitsflächen. Trotz minimaler Ansprüche (unter 100 MB RAM) sieht Fvwm-Crystal mit Transparenz-Effekten schick aus. Eine fertige Distribution mit diesem Fenstermanager gibt es nicht, jedoch ist das Fossil noch als Paket unter Debian und Ubuntu erhältlich (fvwm-crystal).

Wmii: Wmii (Window-Manager Improved) geht grenzwertig noch als Fenster-Manager durch: Alle Aktionen zum Öffnen und Anordnen von Fenstern erfolgen per Tastatur. Der Hotkey Windows-Taste plus Eingabetaste öffnet ein neues Terminal, Windows-P einen Ausführen-Dialog. Fenster arrangiert Wmii nebeneinander oder in Spalten. Dieser minimalistische Ansatz ist sinnvoll, wo ein Linux-Rechner stets nur einige wenige Programmfenster anzeigen soll. Wmii ist unter vielen Distributionen unter gleichnamigem Paketnamen zu erreichen.

PIXEL: Dieser Desktop ist eine junge Entwicklung der Raspberry Pi Foundation. Er dient als verbesserter Ersatz für das bisher genutzte LXDE auf dem Raspberry-System Raspbian. Die Änderungen sind vorwiegend kosmetischer Natur.