Alle Beiträge von Hermann Apfelböck

Odroid-Miniserver (2019)

Wer meint, die koreanische Firma Hardkernel mit ihren diversen Odroid-Produkten („Open Droid“) sei ein typischer Raspberry-Trittbrettfahrer, liegt mindestens teilweise falsch. Die Firma gibt es schon länger und ihr erster Platinenrechner „Odroid-PC“ datiert aus dem Jahr 2011, also ein Jahr vor dem ersten Raspberry Pi. Richtig ist aber, dass Hardkernel früh und umtriebig auf den Erfolg des Raspberry Pi reagiert hat und seit 2012 die komplette Produktpalette als Raspberry-Konkurrenz ausrichtet. Der Raspberry-Boom veranlasste Hardkernel zur Fokussierung auf Mini-Server und Platinenrechner.
Die an sich vernünftige Kernstrategie war offenbar immer, für moderat höhere Preise deutlich mehr Leistung anzubieten als der Raspberry Pi. Die zahlreichen Odroid-Varianten der Jahre 2012 bis 2019 zeugen allerdings von hektischer Betriebsamkeit, die beim Konsumenten eine gewisse Ratlosigkeit hinterlässt, inwiefern sich die Produkte unterscheiden. Nachhaltigkeit und Weitblick war hier nicht zu erkennen, und diverse Odroid-Projekte kamen und starben wie Eintagsfliegen: Die sehr lange Spalte „Obsolete products“ auf der Herstellerseite http://www.hardkernel.com/main/products/prdt_info.php spricht für sich. Inzwischen hat Hardkernel seine Produktpalette konsolidiert. Der Durchblick ist heute einfacher, verlangt aber immer noch genaueres Hinsehen. Dies sollen die nachfolgenden Seiten leisten. Die aktuell noch gepflegten Odroid-Platinen verdienen diese Übersicht, da sie qualitativ und zumeist auch in der Komponentenzusammensetzung überzeugen. Eine Produktübersicht des Herstellers bietet die oben genannte Hardkernel-Webseite.

Verträgt der südkoreanische Hersteller Hardkernel, der die Odroids baut, noch mehr Konkurrenz? Die Odroid-Platinen kannibalisieren sich nämlich bereits ordentlich untereinander. Die zahlreichen Odroid-Varianten der Jahre 2012 bis 2019 beweisen viel innovatives Potential, aber keine nachhaltige Strategie. Der nächste Odroid in der jeweiligen Preisklasse ist quasi immer der Killer des letzten Odroid. Aber vielleicht ist das ja die Strategie – und beim Raspberry ja auch nicht anders. Im Unterschied zum Raspberry skalieren die Odroids aber gewaltig und bieten eine Auswahl für unterschiedliche Leistungsansprüche. Außerdem hat uns bislang jede Odroid-Hardware qualitativ und in der Komponentenzusammensetzung überzeugt. Ein eventueller Schwachpunkt ist die Systemsoftware.

Die Odroids: Allgemeine Vorbemerkungen

Für alle Odroid-Platinen gibt es eine Reihe von Linux- und Android-Betriebssystemen, die Sie herunterladen und mit den üblichen Werkzeugen auf Micro-SD schreiben. Anlaufstelle ist das Wiki https://wiki.odroid.com, das auch über die Hauptseite erreichbar ist (www.hardkernel.com). Sie finden in der linken Spalte die aktuellen Platinenmodelle, und unter dem einzelnen Modell jeweils den Eintrag „os_images“. Hier erscheinen dann die offiziellen Android- und Linux-Images, ferner unter „third party“ weitere inoffizielle, aber beachtenswerte Systeme wie etwa Dietpi oder Openmediavault.

Die Auswahl an Systemen ist insgesamt nicht üppig, aber jederzeit ausreichend: Ein ausbaufähiges LTS-Ubuntu, oft mit Mate-Desktop, ist für alle Platinen im Angebot. Problematischer als die Systemauswahl ist die Tatsache, dass ständig neue Odroid-Geräte die älteren verdrängen und diese dann Software-technisch nicht mehr gepflegt werden. So wird etwa der ältere, sehr brauchbare Odroid U3 längst nicht mehr verkauft und auch nicht mehr gepflegt. Über das letztaktuellste Ubuntu 16.04.6 (mit Update-Support bis 2021) auf dieser Platine wird daher wohl keine jüngere Version mehr hinausführen. Eine ähnliche Entwicklung ist für alle Odroids (außer H2) zu bedenken: Unter Umständen muss dann das Gerät ohne Updates weiterlaufen, was beim lokalen Heimserver kein ernstes Problem ist, aber jede Öffnung für den Internetzugriff verbietet.

Eine weitere Einschränkung gilt für alle Odroids: Die Platinen haben allesamt keinen WLAN/Bluetooth-Funkchip an Bord. Das ist letztlich konsequent, weil ein H2, N2, XU4 oder HC1 für Serveraufgaben prädestiniert ist, die nur mit verkabeltem Ethernet Sinn machen. Wer zusätzliches WLAN oder Bluetooth benötigt, muss dies über einen WLAN- oder Bluetooth-USB-Stick nachrüsten. Die Firma Hardkernel bietet dafür eigene Dongles, jedoch funktionieren auch alle anderen Linux-kompatiblen Dongles wie Edimax EW-7811UN, Asus N10 Nano oder CSL 300.

Deutscher Vertreiber für sämtliche Odroid-Platinen und Zubehör ist Pollin (www.pollin.de). Das Meiste finden Sie auch bei Reichelt (www.reichelt.de) und Amazon.

Kein Platinenrechner, sondern eher ein Ausbau-Barebone mit Intel-CPU: Der Odroid H2 ist flexibel mit RAM, eMMC-Karte oder NVME-SSD bestückbar, bootet aber auch via USB oder SATA.

Odroid H2: Ein Ausbau-Barebone

Der Odroid H2 wurde Ende 2018 erstmalig angeboten, war nach zwei Tagen ausverkauft und dann erst wieder ab Juli 2019 verfügbar. Das in mehrfacher Hinsicht außergewöhnliche Gerät gehört nicht wirklich in die Kategorie der Platinenrechner, sondern ist ein Ausbau-Barebone, der eher mit Zotac-Boxen oder Intel NUCs konkurriert. Dies zeigt sich schon an der Größe der Platine (11 mal 11 Zentimeter) und an der Tatsache, dass die typische GPIO-Leiste mit den programmierbaren Pins für Bastelprojekte fehlt. Der Odroid H2 ist ganz klar als Barebone für Heimserver oder Zweit-Desktops konzipiert.

Intel-CPU: Mit dem Intel Processor J4105 (Quadcore mit 1,5 bis 2,5 GHz) verlässt der Odroid H2 die sonst übliche ARM-Plattform. Diese Celeron-CPU auf der 130-Euro-Platine ist natürlich kein Gaming-Renner, kann aber mit älteren AMD Phenom/Athlon oder schwächeren Intel-i3-CPUs mithalten und ist jederzeit Desktop-tauglich. Aufgrund der x86-CPU gibt es keinerlei Einschränkungen hinsichtlich des Betriebssystems: Windows kann ebenso installiert werden wie jede Linux-Distribution. Angemessen ist ein leichtgewichtiges Ubuntu, mit dem sich der Odroid H2 geradezu spielt.

DDR4-RAM: Der Arbeitsspeicher kann je nach Bedarf auf zwei Bänken auf bis zu 32 GB bestückt werden (DDR4 SO-DIMM). Für eine der Platine angemessenen Rolle als Daten- oder Medienserver sollten aber 4 GB oder allenfalls 8 GB allemal ausreichen.

Anschlüsse: Für Serverrollen ist der Odroid H2 auch sonst bestens gerüstet: Zwei SATA-3.0-Ports und zweimal USB 3.0 (ferner zweimal USB 2.0) sorgen für schnellen Datentransfer auf angeschlossenen Festplatten. Für den Netztransport sind zwei schnelle Gigabit-Ethernet-Anschlüsse vorhanden, die auch einen Einsatz als Netzwerkbrücke zwischen zwei lokalen Netzen oder als Hardware-Firewall hinter dem Router anbieten. Unter halbwegs idealen Umständen messen wir bis zu 115 MB/s, die der Rechner als Samba-Server ausliefert, was sich dem theoretischem Maximum von Gigabit-Ethernet nähert.

Der Rechner besitzt ein Uefi-Bios wie ein PC und kann sein Betriebssystem von SATA, USB, eMMC-Karte oder NVM-Express-SSD booten. Ein Micro-SD-Einschub wie auf typischen Platinenrechnern ist nicht vorhanden und auch nicht nötig. Die Installation eines Betriebssystems erfolgt wie auf einem PC über ein Linux-Livesystem via USB-Stick oder über ein DVD-Laufwerk am USB-Anschluss. Für Monitoranschluss sind ein HDMI-Ausgang und ein Display-Port 1.2 (4K) vorhanden. Neben der Soundausgabe via HDMI gibt es auch noch analoge Aus- und Eingänge für Klinkenstecker.

Mit solcher Ausstattung kann die Platine locker mehrere Rollen erledigen: In unserem Fall arbeitet er mühelos als zentraler Samba- und SSH-Server, als Apache-Server für eine Dokumentenzentrale und als Kodi-Mediencenter für das TV-Gerät via HDMI.

Lautlos: Die lüfterlose Platine macht keinerlei Betriebsgeräusche und zeigt trotz passiver Kühlung moderate Temperaturen zwischen 40 und 55 Grad. Die Leistungsaufnahme liegt höher als bei Raspberry & Co bei etwa 5 Watt im Leerlauf, 7-8 Watt bei Last und gelegentlichen Spitzen bis zu 12 Watt.

Preise: Der Preis von 130 Euro darf nicht täuschen: Dafür gibt es nur die nackte Platine ohne Netzteil, ohne RAM, ohne Gehäuse, ohne Bootmedium, ohne Kabel. Um das Barebone-ähnliche Ausbau-Board zum Laufen zu bringen, sind folgende Ergänzungen einzuplanen: ein Netzteil (ca. 14 Euro), ein Gehäuse (ca. 12 Euro), 4 GB RAM (DDR4-SO-DIMM, ca. 50 Euro), eMMC-Karte mit 64 GB (ca. 55 Euro), eventuelle Kabel wie Displayport nach HDMI (10 Euro), SATA-Kabel (5 Euro). Es ist ratsam, den Kauf der Komponenten so abzusichern, dass am Ende alles passt. Der Vertrieb pollin.de kann da manche Zweifel beseitigen, insofern er das H2-taugliche Zubehör direkt anzeigt.

Der Gesamtpreis geht dann schnell Richtung 300 Euro, wobei die angeführten Beispiele bei RAM und eMMC sowohl nach oben wie nach unten zu skalieren sind. Eine schnelle eMMC-Karte ist optimal, aber optional, da der Odroid H2 auch reichlich andere Bootoptionen besitzt.

Odroid N2 auf großem Kühler: Das Beste an dieser Hardware sind 6-Kern-CPU, Coolness und geringer Stromverbrauch. Die Input/Output-Leistung ist nicht besser als beim Odroid XU4.

Odroid N2: Coole Platine

Nimmt man den beschriebenen Odroid H2 aus den genannten Gründen aus der Rechnung, ist der Odroid N2 das aktuelle Spitzenmodell der Odroid-Platinenrechner. Der seit Frühjahr 2019 erhältliche Odroid N2 versteht sich mit 40-poliger GPIO-Leiste auch als Bastelplatine, ist aber in erster Linie als Heimserver oder Zweit-Desktop konzipiert. Auffällig ist das Kühlkonzept der relativ breiten Platine, die komplett auf einem ebenso großen, passiven Kühlkörper sitzt.

6-Kern-CPU: Die Platine kombiniert sechs ARM-Kerne – zwei kleine Kerne (Cortex A53 mit 1,9 GHz) und vier große (Cortex A73 mit 1,8 GHz). Die Leistung ist spürbar, aber nicht dramatisch besser als beim neuen Raspberry. Mit dieser CPU und dem Mali-Grafikchip G52 liefert der Odroid N2 einen nahezu flüssigen Desktop. Beim Einsatz als Zweit-Desktop ist die Hardware dem Raspberry Pi 4 eindeutig überlegen.

Anschlüsse: Der Odroid N2 bietet kein SATA, aber viermal USB 3.0. Für den Netzverkehr gibt es einen Gigabit-Ethernet-Anschluss, womit der Rechner als Samba-Server bis zu 110 MB/s liefert. Weniger erfreulich ist die Leistung der USB-Ports, die sich per internen Hub einen USB-3.0-Kanal teilen. Dies führt beim lokalen Austausch zwischen diesen USB-Laufwerken zu eher enttäuschendem Durchsatz. Eine große Datenfestplatte ist daher die klügere Ausstattung als mehrere kleine, zumal diese einen zusätzlichen Hub erfordern.

Alternativ zur Micro-SD-Karte kann das Betriebssystem auch von einer schnelleren eMMC-Karte gebootet werden. Die Auswahl des Boot-Mediums erfolgt über einen kleinen Schalter auf der Platine. Zur Soundausgabe gibt es neben dem typischen HDMI-Ausgang (Standardgröße) einen analogen Ausgang für Klinkenstecker. Außerdem ist ein Infrarot-Empfänger an Bord.

Lautlos und kühl: Die mit 10 mal 9 Zentimeter relativ breite Platine auf dem großen passiven Kühler arbeitet lüfterlos und somit absolut lautlos. Das Kühlkonzept scheint überzeugend, da die Platine im Leerlauf nur 35 Grad meldet und unter Last kaum über 45 Grad zu heizen ist. Das ist auch haptisch anhand der offenen Platine leicht zu verifizieren, während man beim Raspberry Pi 4 die Finger besser weglässt. Das Gerät bestätigt seine Coolness auch beim Stromverbrauch: Nur 2 bis 3 Watt fordert der Leerlaufbetrieb und bei Last geht es maximal Richtung 5 Watt.

Für die Stromversorgung externer 2,5-Zoll-USB-Festplatten über die USB-Ports gilt Ähnliches wie beim Raspberry: Zwei Laufwerke sind bereits zu viel, spätestens dann, wenn die Laufwerke Arbeit bekommen. Ohne zusätzlichen, aktiven USB-Hub geht es also auch hier nicht.

Preise: Die Platine gibt es mit 2 oder 4 GB DDR4-RAM für circa 80 beziehungsweise 95 Euro. Wenn Kabel für HDMI und eine SD-Karte vorhanden sind, ist der Odroid N2 damit bereits vollständig ausgestattet. Das optionale Gehäuse für etwa 7 Euro ist eigentlich nur eine Abdeckung, die in die Schiene des Lüftersockels geschoben wird.

Odroid XU4: Das Auslaufmodell

Bis Ende 2018 noch Spitzenmodell gerät der Odroid XU4 durch die hauseigene Konkurrenz und den Raspberry Pi 4 zum Auslaufmodell. Die Platine hat gegen den Pi 4 nur noch schwache Argumente, und wem dieser nicht genügt, kann zum Odroid N2 greifen. Das ist fast bedauerlich, denn der XU4 hat sich im Server-Dauerbetrieb als äußerst robust und zuverlässig erwiesen. Solche Nachhaltigkeit als unermüdlicher Rechenknecht muss der Odroid N2 erst noch nachweisen. Desktop-tauglich ist der XU4 allerdings im Unterschied zum N2 definitiv nicht. Die besten Chancen hat die XU4-Hardware eventuell noch in ihren spezialisierten Varianten HC1 und HC2, die ebenfalls auf Odroid XU4 basieren (siehe unten).

CPU und RAM: Der Achtkerner arbeitet mit zwei Quadcore-CPUs, wobei je nach Auslastung der Vierkerner Cortex A15 mit 2 GHz oder der sparsamere Vierkerner Cortex A7 mit 1,4 GHz zum Zuge kommt. Mit standardmäßig zwei GB DDR3-RAM ist die Platine für den Serverbetrieb ausreichend bestückt.

Anschlüsse: Entscheidend für den Datendurchsatz ist die Kombination von USB 3.0 (zweimal) mit Gigabit-Ethernet. Die theoretischen 125 MB/s erreicht die Platine zwar nicht, aber 80 bis 90 MB/s sind maximal möglich. Als Boot- und Systemmedium kommt sowohl die typische Micro-SD-Karte als auch eine eMMC-Karte infrage. Die Auswahl des Medium erfolgt über einen kleinen Schalter auf der Platine. Für Erweiterungen und Bastellösungen gibt es zwei Pin-Anschlüsse (30 plus 12).

Mit und ohne Lüfter: Das Kühlkonzept des Odroid XU4 wurde seit seinem Erscheinen 2015 vielfach kritisiert. Von Platinenrechnern erwarten die Kunden lautlosen Betrieb. Der XU4 hat einen aktiven Lüfter, der seine kleinen Maße mit hoher Drehzahl ausgleicht. Das Geräusch ist nicht laut, aber aufgrund der hohen Frequenz unüberhörbar. Beim Einsatz als Medienserver im Wohnzimmer kann das durchaus stören. Daher hat Hardkernel den Odroid XU4Q mit passivem Kühlkörper nachgeschoben („Q“ für „quiet“). Die Variante ist etwas preiswerter, aber etwas leistungsärmer, weil die Platine hier häufiger auf die schwächere A7-CPU schaltet. Wer einen XU4 besitzt, kann den aktiven Lüfter auch durch den passiven Kühlkörper ersetzen, der als Einzelzubehör für etwa acht Euro verkauft wird.

Stromverbrauch: Die Platine kommt im Idle-Betrieb auf etwa 4 Watt und fordert bei Last und laufendem Lüfter bis zu 10 Watt.

Preise: Die Preise für den Odroid XU4 dürften demnächst purzeln. Bislang kostet er immer noch etwa 80 Euro, als lüfterloser XU4Q circa 75 Euro (www.pollin.de). Aktuelle Bundles liegen aber bereits unter 100 Euro und liefern Gehäuse, Netzteil, SD- und eMMC-Karte mit.

Odroid XU4 mit und ohne Lüfter: Die bewährte Platine bleibt mit Netzteil, Gehäuse, eMMC- und SD-Karte unter 100 Euro. Die lautlose XU4Q-Variante mit passiver Kühlung taktet etwas niedriger.

Odroid HC1/HC2: Kleine Heimserver

„HC“ steht für „Home Cloud“. Die beiden Odroid-Varianten basieren auf XU4 und sind hinsichtlich CPU, GPU, RAM und Gigabit-Ethernet identisch ausgestattet. Statt USB 3.0 (nur einmal USB 2.0) gibt es hier eine SATA-3-Schnittstelle für genau eine Festplatte oder SSD, die in das Alu-Gehäuse eingeschoben wird. HC1 und HC2 fokussieren auf einen kleinen, schnellen Netzwerkspeicher für private Zwecke. HC1 und HC2 haben kein HDMI oder sonstigen Monitor-Anschluss: Das System kann nur über das Netzwerk mit SSH erreicht und verwaltet werden.

Preise: Die lüfter- und lautlosen HC1 und HC2 kosten circa 60 und 65 Euro. Der einzige Unterschied der beiden Varianten ist das Alu-Gehäuse, das beim HC1 nur ein 2,5-Zoll-Laufwerk, beim größeren HC2 wahlweise eine 2,5- oder 3,5-Zoll-Festplatte aufnimmt. Das unentbehrliche Netzteil kostet circa 8 Euro.

HC1/2 („Home Cloud“) basieren auf dem XU4, haben aber einen SATA-Anschluss für eine Festplatte (HC1 nur 2,5 Zoll). Wo dies genügt, bietet die Hardware ein aufgeräumtes Mini-NAS.

Odroid C1/C2: Obsolet

Die soliden Platinen Odroid C1 und C2 waren 2015 mit Quadcore-CPU, 1 oder 2 GB RAM sowie Gigabit-Ethernet als Raspberry-Konkurrenz geplant. Sie konnten aber schon neben dem Raspberry Pi 3 B+ (Anfang 2018) nur noch aufgrund der schnelleren Ethernet-Schnittstelle bestehen – neben dem aktuellen Raspberry 4 wohl definitiv nicht mehr. Der Odroid C2 wird derzeit immer noch für knapp 55 Euro verkauft – Tendenz fallend. Die Pi-Variante mit 2 GB RAM kostet 50 Euro und schlägt den Odroid C2 (ebenfalls 2 GB RAM) in allen anderen Belangen.

Solide Platinen für kleine Aufgaben: Odroid C1/C2 eignen sich besonders für kleine Apache-Webdienste, dürften aber neben dem Raspberry Pi 4 ausgespielt haben.

Exkurs: X86 und ARM – ein CPU-Vergleich am Beispiel Odroid XU4

Die Octacore-CPU des Odroid XU4 mit 2 GHz klingt nach mächtig viel Leistung. Jedoch handelt es sich um zwei Quadcore-ARM-Einheiten, die je nach Anforderung zur schnelleren oder stromsparenderen umschalten. Vor allem aber darf man generell die Taktraten und die Kernzahlen von ARM-Prozessoren nicht annähernd den x86-CPUs von PCs und Notebooks gleichsetzen. Die kleine Tabelle zeigt, dass die Intel Atom-CPU eines 10 Jahre alten Netbooks immer noch knapp vor der ARM-Quadcore-CPU eines Raspberry 3 liegt. Die Platine Odroid XU4 lässt diese Netbook-CPU zwar deutlich hinter sich, kommt aber nicht annähernd an Notebook- und PC-Prozessoren heran. Unser Vergleich wurde mit Sysbench auf der Kommandozeile ausgeführt.

Zurück zur Linux-Übersichtsseite…

Buch-Server Calibre

Das Open-Source-Programm Calibre hat sich ganz auf die Verwaltung von E-Books spezialisiert. Für wirklich große Sammlungen lohnt sich Calibre als Server, der die Bibliothek über jeden Browser für alle Netzgeräte bereitstellt.

Mit der Verbreitung von Tablets gewinnen E-Books – oft im PDF-, MOBI-, CHM- oder EPUB-Format – immer mehr Freunde. Selbst bibliophile und konservative Leser sind leicht durch die unbestreitbaren Vorteile zu überzeugen, die E-Books auf einem handlichen Tablet bieten: Textgröße, Kontrast, Helligkeit lassen sich an jede Situation anpassen. Und auf einem Tablet passt eine ganze Bibliothek ins Handgepäck. Für eine opulente oder systematische Sammlung belletristischer und technischer Bücher ist aber die Aufbewahrung auf verstreuten Lesegeräten suboptimal: Neben der Frage „Was habe ich eigentlich wo (doppelt)?“ wird dort auch schnell der Speicher knapp. Eine ideale zentrale Lösung für das Heimnetz bietet die Software Calibre mit seiner Server-Komponente.

Calibre installieren und Bibliothek erstellen

Calibre gibt es für alle Betriebssysteme unter https://calibre-ebook.com/download. Diese Anlaufstelle ist auch für Linux zu empfehlen, weil eine Installation über die Paketquellen etwa unter Debian/Ubuntu/Mint mit

sudo apt install calibre

nur ältere Versionen anbietet. Für die lokale Nutzung auf einem Rechner spielt das keine große Rolle, aber gerade die Serverkomponente hat in den aktuellen Versionen funktional dazugelernt und kommt auch optisch wesentlich frischer daher. Verwenden Sie daher zur Installation diese Befehlskombination:

wget -nv -O-
https://download.calibre-ebook.com/linux-installer.py | sudo python -c
"import sys; main=lambda:sys.stderr.write('Download failed\n');
exec(sys.stdin.read()); main()"

Das komplexe Kommando kann von der oben genannten Downloadseite oder von hier ohne Tippaufwand direkt ins Terminal kopiert werden. Diese Installationsmethode funktioniert auch als Update einer älteren Version, wobei eine bereits bestehende Bibliothek erhalten bleibt. Calibre ist nach der Installation über das Desktop-Menü oder mit dem Aufruf calibre im Terminal zu erreichen.

Für den Aufbau und die Erweiterung einer Bibliothek dient die Schaltfläche „Bücher hinzufügen“. Den Massenimport von heterogenen Formaten und ganzer Verzeichnisebenen ermöglicht die Unteroption „Bücher aus verschiedenen Verzeichnissen […], jede e-Book-Datei ist ein anderes Buch“. Damit integrieren Sie unstrukturierte Sammlungen von PDF-, HTML-, EPUB- und Office-Formaten in die Calibre-Datenbank. Beachten Sie, dass Calibre alle Dateien physisch kopiert und standardmäßig im Ordner ~/Calibre-Bibliothek/ einsammelt. Beim Import aus unstrukturierten Quellen wird die Software versuchen, aus Dateinamen und Metadaten Informationen zu beziehen, um jedes Buch sinnvoll zu katalogisieren. Fehler aufgrund unzulänglicher Metadaten sind beim Massenimport unvermeidlich, können aber später über „Metadaten bearbeiten“ manuell und mit der Hilfe von Online-Diensten („Metadaten herunterladen“) korrigiert werden.

Die Suche bestimmter Titel erfolgt im Suchfeld über dem Hauptfenster. Weitere Filtermöglichkeiten bieten Kategorien in der linken Navigationsleiste wie „Autoren“, „Formate“, „Bewertung“ oder „Schlagwörter“. Zum Lesen eines markierten Titels verwenden Sie die Schaltfläche „Bücher öffnen“.

Da es nicht primärer Gegenstand dieses Beitrags ist, die zahlreichen Filter-, Konvertierungs- und Einstellungsoptionen der komplexen Software zu erläutern, verweisen wir an dieser Stelle auf das größtenteils deutschsprachige Online-Handbuch unter https://manual.calibre-ebook.com/de/.

Calibre als Lektüre-Server im Netz

Ist eine Bibliothek erst einmal eingerichtet, kann Calibre diese für das Netzwerk freigeben. Für den Start der Serverkomponente genügt der Klick auf „Verbinden/Teilen -> Inhalteserver starten“. Danach informiert Sie ein weiterer Klick auf „Verbinden/Teilen“, unter welcher Adresse der Blbliotheksserver zu erreichen ist. Eine Angabe wie „192.168.178.10, port 8080“ zeigt, dass jeder Browser im lokalen Netz mit der Adresse „192.168.178.10:8080“ zum Calibre-Server gelangt. Wie bei jedem Server ist es auch hier von Vorteil, diese IP-Adresse statisch zu setzen (über den Router), damit Sie sich künftig jederzeit mit einem Lesezeichen verbinden können. Der Calibre-Server kann unter „Einstellungen -> Netzwerkserver“ detailliert konfiguriert werden. Falls nötig, gibt es unter „Benutzerkonten“ auch eine Benutzerverwaltung mit Zugriffskennwörtern.

Auf Client-Seite ist das wichtigste Werkzeug das Lupensymbol im Seitentitel. Im einfachsten Fall geben Sie im Suchfeld einen Autoren- oder Titelnamen ein. Die Treffer werden mit ihrem Titelbild angezeigt, und ein Klick darauf bietet Detailinformationen sowie die Optionen „Lesen“ und „Herunterladen“. Für die Option „Lesen“ wechselt der Browser automatisch in den Vollbildmodus.

Bei einer umfangreichen und gut gepflegten Calibre-Bibliothek können Sie unterhalb des Suchfeldes die Suchkategorie eingrenzen und etwa nur in der Kategorie „Schlagwörter“ nach einem bestimmten Begriff suchen oder unter „Bewertung“ nach einem speziellen Rating.

Calibre-Server „headless“: Die bislang beschriebenen Einrichtungs- und Server-Möglichkeiten orientierten sich an der grafischen Oberfläche von Calibre. Für den grundsätzlichen Aufbau der Bibliothek und insbesondere für Nachbesserungen an den Meta-Informationen ist die grafische Oberfläche in der Tat dringend zu empfehlen. Calibre bietet jedoch darüber hinaus Kommandozeilenwerkzeuge, die eine vollständige Steuerung über eine SSH-Konsole ermöglichen. Somit kann der Lektüre-Server auch auf einem Platinenrechner ohne Monitor und Tastatur laufen (headless). Der wichtigste Befehl

calibre-server /home/ha/Calibre-Bibliothek/

startet die Server-Komponente und ist im Prinzip gleichbedeutend mit dem Menüpunkt „Verbinden/Teilen -> Inhalteserver starten“ an der grafischen Oberfläche. Der Befehl gibt nur den einfachsten Einsatz wieder, ist aber für das Heimnetz in der Regel völlig ausreichend. Die Hilfeseite

calibre-server --help

informiert darüber, dass Sie auf der Kommandozeile alles steuern können, was auch auf der grafischen Oberfläche unter „Einstellungen -> Netzwerkserver“ zu finden ist.

Für den Ausbau und die Verwaltung der Bibliothek ist das mächtige Kommandozeilenprogramm calibredb zuständig. Der wichtigste Schalter „add“ kann alles, was die Optionen unter „Bücher hinzufügen“ auf der grafischen Oberfläche anbieten. So importiert der Befehl

calibredb add --recurse /media/ha/Data/PDFs

alle E-Book- und Textformate, die im angegebenen Pfad liegen, in die Calibre-Bibliothek. Weitere add-Optionen zeigt die Hilfeseite calibredb add –help undden Gesamtumfang des Tools calibredb der Befehl calibredb –help. Theoretisch lässt sich damit ein Calibre-Server von Anfang an und vollständig ohne Oberfläche betreiben – wirklich komfortabel ist das allerdings nicht. Wir empfehlen daher, die Basis im grafischen Programm zu legen. Der Serverstart und gelegentliche Nachbesserungen bereiten hingegen über das SSH-Terminal im Headless-Betrieb keine Mühe.

Calibre-Bibliothek übers Netzwerk durchsuchen: Die Suchergebnisse werden mit Buchtitel angezeigt, nach einem Klick darauf erscheinen weitere Optionen.
„Lesen“ oder „Herunterladen“: Nach Auswahl eines Buchtitels kann die Lektüre beginnen. Beim direkten „Lesen“ ist Voraussetzung, dass der Browser das Format versteht.

Der Google-Stop

Wer jahrelang unbekümmert PCs und Smartphones mit Google-Konto nutzt, wird für Google zum offenen Buch. Dagegen hilft nur Kontrolle, disziplinierter Gebrauch der Dienste und sorgfältige Konfiguration der Einstellungen.

Ein digitales Leben ohne die Datenkrake Google? Möglich ist vieles, aber dieser Vorsatz wäre ein anstrengendes Unterfangen – und für Besitzer von Android-Smartphones gar unmöglich. Klüger als ein ideologisches „Anti-Google“ ist die datenschutzbewußte Nutzung der Google-Angebote. Denn Google beherrscht sein Handwerk: Suchmaschine, Browser Chrome, Mail, Drive, Docs und Tabellen, Messenger Allo, Netzwerk Google+, Maps und Earth, Android – technisch ist der Google-Kosmos meistens nicht zu überbieten. Alternativen gibt es zwar für alles, aber Google ist fast überall schneller, präziser, vernetzter oder schlicht komfortabler. Daher die pragmatische Konsequenz: Google zu nutzen bringt Vorteile – und die Nachteile lassen sich durch Disziplin minimieren.

1. Der Überblick: Das weiß Google über Sie

Haben Sie noch den Überblick, was Sie alles an Google-Diensten nutzen? Erste Anlaufstelle für eine Übersicht, die vielleicht längst vergessene Aktivitäten wieder ans Licht befördert, ist das Dashboard:

https://myaccount.google.com/dashboard

Hier geht’s ins Detail, Dienst für Dienst. Wenn Sie diese Dienste durchgehen und dabei Altlasten finden, die Sie heute weder Google noch der Öffentlichkeit anvertrauen möchten, dann entfernen Sie diese Inhalte, gegebenenfalls auch aus dem Papierkorb. Erste Kandidaten für eine kritische Durchsicht sind Google Drive und Google Fotos. Bei den meisten aufgeführten Diensten gibt es nach dem Aufklappen ein Menü mit der Option „Daten herunterladen“. Dies kann sowohl dem besseren Überblick dienen als auch der lokalen Sicherung, bevor Sie im Google-Dienst aufräumen.

Eine umfassendere Methode, alles einzusammeln, was Google an Daten von Ihnen besitzt, ist ein Download aller Daten („Takeout“) aus allen Diensten. Dafür gibt es diese beiden Adressen:

www.google.com/settings/takeout

https://takeout.google.com/settings/takeout/light

Wer genau wissen will, was Google über ihn weiß, kann ein Archiv sämtlicher Daten anfordern. Die Durchsicht dieser Daten wird oft zur verblüffenden Zeitreise.

Beide erlauben per Mausklick die Auswahl aller oder einiger Google-Dienste, wobei die erste Adresse übersichtlicher ist und die Wahl von Archivformat und „Übermittlungsmethode“ vorsieht. Beachten Sie, dass der vollständige Download aller bei Google gespeicherten Daten inklusive Google Mail, Google Drive, Google Fotos erhebliche Datenmengen ergeben kann. In solchen Fällen ist es klug, jene Dienste, deren Daten man durch tägliche Nutzung im Griff hat, vom „Takeout“ auszunehmen. Interessant ist ja, was Google ohne aktive Mitwirkung des Nutzers ansammelt.

Wenn Sie einige Jahre mit einem Google-Konto, mit mehreren Geräten und eventuell auch mit GPS-Chip im Smartphone oder Tablet unterwegs waren, wird Sie das Ergebnis eines „Takeouts“ bedenklich stimmen. Die Summe dessen, was Sie als Kontakte pflegen, was Sie allgemein in Google, Youtube und Maps, spezieller in Google Shopping und im Play Store suchen, was Sie im Kalender vermerken, als Web-Lesezeichen ablegen, auf Drive und Google Fotos speichern, ergibt ein sehr präzises Interessensprofil. Dazu kommen dann noch Bewegungs- und Reisedaten, die das Smartphone-GPS anliefert. Sie erhalten nach dem Auspacken des Takeout-Archivs eine sauber organisierte Verzeichnisstruktur, wobei die in Ebene 1 angezeigten Elemente wie „Drive“, „Google Fotos“, „Kalender“, „Kontakte“ oder „Notizen“ noch die geringsten Überraschungen offenbaren. Immerhin werden Sie einiges antreffen, was Sie längst für gelöscht hielten, und ein Blick unter „Youtube“ könnte zur verblüffenden Zeitreise werden, was Sie dort über die Jahre gesucht haben. Im Ordner „Meine Aktivitäten“ finden Sie weitere aufschlussreiche Protokolle, die Sie in dieser Dichte sicher nicht auf dem Radar hatten: Unter „Anzeigen“, „Bildersuche“, „Google-Suche“, „Maps_Timeline“, „Shopping“ sammelt Google über Jahre, wann Sie sich wo für welche Inhalte, Orte und Produkte interessiert haben.

2. Die allgemeinen Google-Einstellungen

Auf einem Android-Smartphone unter „Verbindungen -> Standort“) den Google-Standortverlauf und die Google-Standortfreigabe abzuschalten, ist einfach. Ansonsten aber sind Nutzerdaten das Kapital von Google, und das gibt Google nur ungern her. Das Versprechen, mit einem Konto den ganzen Google-Kosmos in der Hand zu haben, gilt für die Nutzung, nicht aber für die Einstellungen, um diese Nutzung zu kontrollieren. Hier schickt uns Google von einem kleingliedrigen Detail zum nächsten, auf dass wir uns orientierungslos verlaufen. Beste Anlaufzentrale ist noch die Adresse

https://myaccount.google.com/

oder gleich die Unterseite https://myaccount.google.com/privacy#. Auf der genannten Hauptseite ist der datenschutztechnisch wichtigste Punkt „Google-Aktivitäten verwalten“ (Mitte). In der rechten Spalte finden Sie auch noch die radikale Option „Konto oder Dienste löschen“, um sich von dem einen oder anderen Google-Service komplett zu verabschieden. Die Option „Google-Aktivitäten verwalten“ führt über einen Zwischenschritt zu dieser Adresse:

https://myaccount.google.com/activitycontrols

Hier gibt es fundamentale Optionen, um Web-Protokolle und Standort-Protokolle ab sofort abzuschalten („pausiert“). Wenn Sie darüber hinaus die bereits bestehenden Protokolle löschen möchten, bringt Sie der Link „Aktivitäten verwalten“ zu dieser Adresse:

https://myactivity.google.com/myactivity

Hier klicken Sie links oben auf das Menü, wählen „Aktivitäten löschen nach“ und definieren unter „Nach Datum löschen“ den Zeitraum. Es gibt auch die Tabula-Rasa-Option „Gesamt bisher“.

Die Videoplattform Youtube hat ihre eigene Adresse, um ihre Protokoll zu löschen. Unter

https://www.youtube.com/feed/history

lassen sich das Wiedergabe- und das Suchprotokoll, ferner auch Kommentar-Aktivitäten löschen. Was sich in diesen Protokollen alles angesammelt hatte, finden Sie nur über ein Takeout heraus (Punkt 1).


Fundamentale Google-Stopper unter https://myaccount.google.com/activitycontrols: Suchprotokolle und Standardprotokolle sind hier per Klick abzuschalten.

3. Optionen im Browser Chrome

Chrome/Chromium muss nicht sein, da es mit Firefox eine bewährte, moderne Alternative gibt. Aber auch in Google Chrome kann man die Google-Detektive abhängen. Was Chrome oder andere Browser als Verlaufs-, Autofill-, Lesezeichen-, Passwort-Daten und sonstiges lokal speichern, ist zunächst unkritisch. Zu Google’s Big Data tragen diese Daten erst bei, wenn die – unbestritten praktische – Synchronisierung aktiviert ist. Standardmäßig verschlüsselt der Google-Browser dabei nur die Online-Kennwörter, alles andere kann Google auf seinem Server auswerten. Aber unter „Einstellungen -> Synchronisierung“ gibt es die zusätzliche Option „Alle synchronisierten Daten […] verschlüsseln“, bei der Sie ein Kennwort zur Sync-Verschlüsselung vergeben, das unabhängig vom Google-Kennwort ist. Der daraus resultierende Komfortverlust ist nicht gravierend, da Sie dieses Kennwort auf jedem weiteren Gerät nur ein einziges Mal eingeben müssen. Alle Daten landen dann verschlüsselt auf dem Google-Server, der Schlüssel dazu (Kennwort) verbleibt auf den lokalen Geräten.

Wer auf das Google-Suchprotokoll nicht verzichten kann, sollte sich für persönliche Recherchen, die weder Google noch Dritte etwas angehen, zumindest eine Ad-Hoc-Maßnahme angewöhnen: Das Suchen mit Google im „Inkognito-Fenster“ (Tastenkombination Strg-Umschalt-N) hinterlässt keine Daten im Suchprotokoll und unterbindet auch das Tracking der Website-Betreiber, die Sie gemäß Ihren Produktrecherchen danach mit Werbung bombardieren.

Die Synchronisierung in Google Chrome verschlüsseln: Diese Maßnahme hält Google von Ihren Lesezeichen, Autofill- und Verlaufsdaten fern.

Tipps für Linux-Editoren

Ob Samba, SSH, Terminal, Fstab oder Desktop-Verknüpfungen: Für die Linux-Konfiguration sind überwiegend Textdateien zuständig, die zur Bearbeitung einen tauglichen Texteditor erfordern. Wir nehmen vier Editoren genauer unter die Lupe.

Bei der Administration von Linux-Rechnern sind Texteditoren die wichtigsten Werkzeuge. Am Desktop sind grafische Editoren wie Gedit und Kate sicher die bevorzugte Wahl. Universeller – weil auch in virtueller Konsole und im SSH-Terminal funktionierend – sind aber die textbasierten Editoren für das Terminal. Diese haben höheren Tipp- und Anpassungsbedarf als Gedit & Co und erhalten auf den folgenden Seiten gebührende Beachtung.

Der Gnome-Editor Gedit

Der Editor unter allen Gnome-affinen Desktops gehorcht durchwegs standardisierten Hotkeys zur Textnavigation und Textbearbeitung. Für Novizen gibt es im Menü sogar die Option „Tastenkürzel“, um sich alle Hotkeys anzeigen zu lassen. Nichtsdestotrotz erschließen sich nicht alle Anzeige- und Bearbeitungsmöglichkeiten auf Anhieb.

Die Seitenleiste (links) ist über „Ansicht -> Seitenleiste“ oder schneller mit F9 einzublenden. Standardmäßig ist dort der Modus „Dokumente“ aktiv, der die geöffneten Dateien auflistet. Wesentlich nützlicher ist der Modus „Dateiverwaltung“, den das Plugin „Dateiverwaltungsleiste“ bereitstellt (mehr zu Plugins siehe unten). Damit erhält Gedit eine Ordnernavigation, die Dateimanager überflüssig macht. Der Hotkey Strg-H blendet wie im Dateimanager versteckte Dateien ein oder aus. Kontrolle über mehrere geöffnete Dateien behalten Sie immer noch durch die Tab-Register unterhalb der Titelleiste.

Das Übersichtsfenster (rechts) können Sie im Menü unter „Einstellungen -> Ansicht“ aktivieren. Der Informationswert dieser Miniaturübersicht ist gering, aber sie erlaubt mit der Maus schnelles Blättern oder Springen an entfernte Stellen in größeren Texten.

Die Plugins: Für Gedit gibt es eine ganze Reihe nützlicher Plugins, die standardmäßig nur partiell installiert und aktiv sind, wie der Gang im Menü zu „Einstellungen -> Erweiterungen“ zeigt. Alle offiziellen Plugins erreichen Sie mit dem Befehl:

sudo apt install gedit-plugins

Dies kann in keinem Fall schaden, da Sie in dem oben genannten Gedit-Dialog immer noch die Wahl haben, ein Plugin zu aktivieren oder nicht. Neben den „gedit-plugins“ gibt es auch noch das Paket „gedit-developer-plugins“. Sehr zu empfehlen sind „Wortvervollständigung“ (Autocomplete-Funktion), die „Zeichentabelle“, die sich in die Seitenleiste (links) integriert, und das nachfolgend beschriebene „Snippet“-Tool.

Gedit-Optionen: Der Editor zeigt hier seinen per Plugin eingebauten Dateimanager (linke Spalte), Tab-Verwaltung für geöffnete Dateien (oben), Syntaxhighlighting und Autosave-Funktionen.

Das Plugin „Schnipsel“ (Snippets): Dieses Plugin stattet Gedit mit Textbausteinen aus, die per Hotkey oder besser per Textkürzel (gefolgt von der Tab-Taste) eingefügt werden. Typische Kandidaten für solche Schnipsel sind Mailsignaturen, Adressen, Namen, Telefonnummern, IBAN oder auch die Grundsyntax einer Script-Konstruktion. Für Viel-Schreiber und -Scripter sind solche Schnipsel eine unschätzbare Hilfe. Bei aktivierter Erweiterung führt der Menüpunkt „Schnipsel verwalten“ zum Einrichtungsdialog, der in zahlreiche Scriptsprachen untergliedert ist. Textbausteine unter „Global“ gelten für alle Texte. Mit der „+“-Schaltfläche entsteht an der gewünschten Stelle (etwa unter „Global“) ein neuer Eintrag, dem Sie etwa den Namen „Adresse“ geben. Selbige geben Sie im Textfenster ein und definieren unten neben „Tabulatorauslösung“ ein Kürzel wie „adr“. Nach Schließen des Schnipsel-Dialogs ist der Autotext aktiv – „adr“ und Tab-Taste fügt also die komplette Adresse ein.

Hinweis: Eventuell werden die Snippets zunächst nicht gespeichert („~/.config/gedit/snippets“), wofür ein offenbar verbreiteter Fehler bei den Dateirechten verantwortlich ist. Der Terminalbefehl

sudo chmod -R 777 ~/.config/gedit

behebt das Zugriffsproblem.

Suchen und Ersetzen: Die Funktionen gehorchen den Standard-Hotkeys Strg-F und Strg-H. Der Ersetzen-Dialog ist durch seine detaillierteren Optionen die generell bessere Wahl – auch für pure Suche. Gedit kann auch nach Zeilenumbrüchen („\n“), Returns („\r“) und Tabulatoren („\t“) suchen, also etwa mit

\nif 

nach Zeilen, die mit „if“ beginnen.

Das Syntaxhighlighting: Gedit versucht automatisch zu erkennen, um welchen Text es sich handelt, und aktiviert dann das passende, farbige Syntaxhighlighting. Wenn dies unbefriedigend ausfällt, können Sie unter „“Ansicht -> Hervorhebungsmodus“ manuell eine andere Scriptsprache oder „Reiner Text“ auswählen.

Farbschema und Aussehen: Unter „Einstellungen -> Schrift und Farben“ gibt es die typischen Farbschemata „Klassisch“, „Kate“, „Kobalt“, „Oblivion“. Unabhängig vom Farbschema können Sie an gleicher Stelle die Schriftgröße definieren. Vor allem bei der Fehlersuche hilfreich sind die Zeilennummern, die Gedit unter „Einstellungen -> Ansicht“ aktiviert.

Automatische Sicherungskopien: Die Registerkarte „Einstellungen -> Editor“ zeigt zwei Optionen, um bearbeitete Dateien besser zu sichern. Sowohl die „Sicherungskopie“ als auch „Auto-Speichern“ im angegebenen Minutenintervall sind unbedingt zu empfehlen.

Zum Teil Schnickschnack, zum andern Teil unverzichtbar: Plugins wie “ Dateiverwaltungsleiste“, „Schnipsel“, „Wortvervollständigung“ und „Zeichentabelle“ ergänzen Gedit und Xed.

Xed: Der Editor des Mint-Teams

Im Zuge der Entwicklung Desktop-unabhängiger X-Apps arbeitet das Team von Linux Mint am Editor Xed. Diese Textbearbeitung unterscheidet sich äußerlich erheblich von Gedit durch ein klassisches Menü, eine Werkzeugleiste und im Hauptfenster integriertem „Suchen/Ersetzen“. Dennoch ist Xed wie Pluma (Mate-Desktop) ein Gedit-Fork mit praktisch identischer Funktionalität.

Die Bedienung von Xed erscheint uns etwas übersichtlicher, aber triftige inhaltliche Gründe, Gedit gegen Xed (ppa:embrosyn/xapps) auszutauschen, gibt es nicht. Im Gegenteil: Xed kann bislang nicht die Menge an Plugins anbieten wie sein Vorbild Gedit. Einzige Ausnahme ist das Xed-exklusive Plugin „Floskelliste“, das sich in die linke Seitenleiste (F9) integriert und vor allem für HTML-Coding alle wichtigen Tags anbietet, die dann einfach per Doppelklick in das Textfenster übernommen werden.

Plugin „Wortvervollständigung“: Das Autocomplete-Tool für Gedit und Xed indexiert den Text und macht nach Eingabe weniger Buchstaben Vorschläge.

Nano: Standardeditor im Terminal

Nano ist für das Terminal vorinstallierter Standard unter Ubuntu, Mint, Debian und Co. Das unterschätzte Tool wird im SSH-Terminal und in virtuellen Konsolen meistens nur als Notnagel akzeptiert. Dabei erlebt der 20 Jahre alte Editor eine erstaunlich dynamische Entwicklung. Aktuelle Versionen 2.9 bis 3.2 bieten bei Navigation und Markieren fast den Standard grafischer Editoren und zudem erweiterte Anpassungsmöglichkeiten über die Konfigurationsdatei „nanorc“. Die noch in vielen Distributionen vertretenen, älteren Nano-Versionen bis 2.5 benutzen hingegen eigenwillige Hotkeys, die man sich entweder angewöhnen muss oder umbelegen kann.

Neuere Nano-Versionen folgen dem Standard anderer Editoren, mit Umschalt-Taste und Cursortasten Text zu markieren. Bei älteren Nano-Versionen ist der Hotkey Alt-A erforderlich, um eine Markierung ab der Cursorposition zu starten. Danach erweitern Sie die Markierung durch Cursortasten. Erneutes Alt-A beendet die Markierungsaktion. Der Hotkey Alt-A funktioniert auch noch im neuesten Nano, ist dort aber nicht mehr unbedingt notwendig. Markierte Texte lassen sich mit Alt-6 kopieren, mit Strg-K ausschneiden, Strg-U ist der Hotkey, um Textinhalte wieder aus der Zwischenablage zu holen. Nützlich: Strg-K löscht eine komplette Zeile ungeachtet der Cursorposition.

Die Navigation im Text erfolgt durch Cursor- und Bild-Tasten, sowie Pos1 und Ende. Neuere Versionen verwenden außerdem Strg-Pos1/Ende, um zum Beginn oder Ende der ganzen Datei zu springen.

Strg-U ist der Hotkey, um die letzte Aktion rückgängig zu machen. Allerdings ist die Undo-Funktion nicht standardmäßig aktiv. Sie können Sie in der Nano-Konfigurationsdatei mit der Direktive

set undo

scharf schalten.

Die Konfigurationsdatei: Das Anpassen der globalen Konfigurationsdatei /etc/nanorc (mit Root-Recht) oder besser einer benutzerspezifischen Kopie unter ~/.nanorc lohnt sich definitiv. Hier finden Sie zahlreiche auskommentierte Optionen wie etwa die Anweisungen

set backup

und

set backupdir [Pfad]

Wird „set backup“ aktiviert (führendes „#“ löschen), erstellt Nano immer eine Sicherungskopie vom letzten Zustand im Pfad der Originaldatei. Mit aktiviertem „backupdir“ entstehen im angegebenen Zielpfad sogar durchnummerierte Versionssicherungen aller Bearbeitungsschritte. Das angegebene Backup-Verzeichnis muss natürlich existieren. Nützlich sind ferner die Optionen

set linenumbers

zur Anzeige der Zeilennummer, „set positionlog“, das bei neuerlicher Bearbeitung einer Datei sofort zur letzten Bearbeitungsstelle springt, sowie „set mouse“, das Positionieren und Markieren mit der Maus erlaubt.

Nano unterstützt außerdem Farbanpassungen. Beachten Sie, dass die Nano-Farbeinstellungen zu den globalen Terminalfarben passen müssen. Späteres Umstellen der Terminalfarben kann dazu führen, dass die Nano-Farben schlecht lesbar werden. Nano kann Elemente wie die Titelzeile („titlecolor“), die Statuszeile („statuscolor“), markierten Text („selectedcolor“ – nur in neuesten Versionen) und die Infozeilen unten einfärben („keycolor“ und „functioncolor“). Als Farben gibt es die üblichen acht Ansi-Farben (Black, White, Red, Green, Blue, Yellow, Cyan, Magenta). Die Abbildung zeigt ein Beispiel für geänderte Farbeinstellungen und die zugehörigen „set“-Befehle.

Eine der interessantesten Anpassungen sind die Hotkeys, die bei Nano zum Teil sehr gewöhnungsbedürftig ausfallen. Die Hotkey-Belegung ist ebenfalls global in der Datei /etc/nanorc oder User-spezifisch in ~/.nanorc möglich. Die Liste aller Nano-Funktionen, die Sie auf andere Hotkeys legen können, ist unter https://www.nano-editor.org/dist/v3/nano.html#Rebinding-Keys dokumentiert. Die Hotkeys sind in der Konfigurationsdatei in der Form „^“ (Strg) und „M-“ (Alt) zu hinterlegen. Um also etwa das typische Strg-C für das Kopieren von Text zu definieren, wäre folgende Zeile in der Datei nanorc zu vergeben:

bind ^C copytext main

Die Abbildung der Konfigurationsdatei auf dieser Seite zeigt eine Reihe von geänderten Hotkeys, welche die Bedienung des Editors durch standardisierte Tastenkombinationen vereinfacht. Neben den Standards Strg-C|V|X zur Textbearbeitung reagiert Nano danach auch auf Strg-F (Suche) und Strg-Q (Beenden). Beachten Sie, dass Strg-C nach dem obigen Bind-Befehl in allen Untermenüs – etwa im Kontext „Speichern“ – weiterhin als Abbruch-Hotkey arbeitet. Nur im „Main“-Bereich, also im Textfenster, erhält Strg-C seine neue Rolle.

Nano-Farben und Hotkeys: In der Konfigurationsdatei (nanorc) belegen Sie die Tastenkombinationen des Editors um. Farbanpassungen sind Geschmackssache.

Startparameter: Alle Einstellungen der Konfigurationsdatei nanorc lassen sich auch über Parameter beim Nano-Start anfordern. Ausgenommen sind lediglich die Farbdefinitionen und die Hotkey-Umbelegung. Im Allgemeinen ist es sinnvoller, die Nano-Optionen dauerhaft in der Konfiguration abzulegen, jedoch gibt es Ausnahmen: Die oben genannten Direktiven „set backup“ und „set backupdir [Pfad]“ sind nicht für jede Dateibearbeitung nötig und daher besser ad hoc anzufordern. Der Befehl

nano -B [Datei]

würde eine Sicherungskopie der editierten Datei anlegen, und

nano -C ~/nanoback [Datei]

legt bei jedem Speichern eine Versionssicherung an.

Eine ebenfalls nützliche Vorgabe, die in der Konfigurationsdatei

set const

lautet, kann beim Start mit

nano -c [Datei]

geladen werden. Dann bleibt unten die Statuszeile permanent aktiv, welche unter anderem die aktuelle Zeilenziffer anzeigt. Dies ist vor allem bei älteren Versionen nützlich, die eine „set linenumbers“ oder den Startbefehl „nano -l“ noch nicht beherrschen. Die komplette Palette der Nano-Startparameter zeigt die Dokumentation unter https://www.nano-editor.org/docs.php.

Mcedit: Editor des Midnight Commander

Auf jedem Linux-System mit installiertem Midnight Commander gibt es auch Mcedit. Auch dieser Editor wird unterschätzt und ist zunächst nicht einmal im Midnight Commander selbst als Standard vorgesehen. Dies lässt sich unter „Optionen -> Konfiguration“ mit der Einstellung „Internen Editor benutzen“ ändern. Danach ist für das Bearbeiten von Dateien (F4) Mcedit zuständig.

Mcedit ist aber ein unabhängiger Terminaleditor, den Sie auch ohne sein Hauptprogramm verwenden können:

mcedit [datei]

Mcedit zeigt die wichtigsten Bearbeitungs-Hotkeys unten an, nach F9 oder nach Klick auf die obere Infozeile erscheint ein opulentes Menü. Wer dieses Menü immer im Blick haben will, kann das bis zum Schließen des Editors über „Fenster -> Vollbild umschalten“ erreichen, was zugleich den Fenstermodus des Editors aktiviert. Wie das Menü „Fenster“ durch weitere Optionen anzeigt, beherrscht Mcedit nämlich den Umgang mit mehreren Dateien. Das kann zwar auch Nano, aber nicht mit der eleganten Fensterteilung wie Mcedit, die fast grafischen Komfort erreicht: Wenn Sie mehrere Dateien über „Datei -> Datei öffnen“ oder direkt per mcedit-Aufruf geladen haben, dann lassen sich die Dateien (nach „Fenster -> Vollbild umschalten“) skalieren und verschieben. Am Desktop funktionieren diese Aktionen exakt und komfortabel mit der Maus (Skalieren mit der Ecke rechts unten, Verschieben mit dem oberen Fensterrahmen); in der virtuellen Konsole erledigen die Cursortasten nach „Fenster -> Größe ändern“ bzw. „Fenster -> Verschieben“ das Arrangement.

Editor des Midnight Commander: Die wenigsten Nutzer wissen, dass Mcedit ein erstaunlich komfortables Fensterarrangement für mehrere geladene Dateien beherrscht.

Mcedit bietet farbige Syntaxhervorhebung unter „Optionen -> Allgemein“ und die Auswahl der Scriptsprache unter „Optionen -> Syntaxhervorhebung“. Auch in diesem Punkt ist Mcedit ausgereifter als Nano. Eine Sortierfunktion finden Sie unter „Format“, eine Codepage-Auswahl unter „Befehl -> Kodierung“. Auch das Suchen (F7) und Ersetzen (F4) von Text ist optionsreicher als unter Nano. Nützlich: Strg-Y löscht eine komplette Zeile ungeachtet der Cursorposition.

Einige fundamentale Textfunktionen sind gewöhnungsbedürftig: So ist der Text beim Verschieben erst mit der Maus (oder mit Umschalt-Taste und Cursor) zu markieren, anschließend mit Cursor oder Bild-oben/unten an die gewünschte Stelle zu navigieren und dann mit F6 das Verschieben auszulösen. Hier lohnen sich Anpassungen der mc.keymap (siehe unten). Der alte Modus beim Markieren, mit F3 zunächst die Markierfunktion aufzurufen, ist nicht mehr notwendig, da das standardisierte Markieren mit Umschalt-Taste funktioniert. Der F3-Modus besteht aber fort, und ist für die Windows-SSH-Clients Putty/Kitty weiterhin unentbehrlich.

Anpassung der Hotkeys: Trotz des alternativen Menüangebots von Mcedit machen angepasste Tastenkombination die Bedienung einfacher, wenn Sie sich standardisierte Hotkeys einrichten. Das sollte aber in der umfangreichen Keymap-Datei des Midnight Commander dosiert und mit Rückversicherung erfolgen. Verwenden Sie besser nicht die globale Datei „/etc/mc/mc.keymap“, sondern kopieren Sie diese nach „~/.config/mc/mc.keymap“, also in Ihr Home-Verzeichnis. So bleibt das Original unter „/etc“ als Rückversicherung erhalten.

Alle Optionen für Mcedit befinden sich im Abschnitt „[editor]“. Ein nützlicher Eingriff besteht etwa darin, die altertümlichen Hotkeys „ctrl-insert“ und „shift-insert“ für „Store“ (Copy) und „Paste“ durch geläufigeres „ctrl-c“ und „ctrl-v“ ersetzen (Strg-C, Strg-V):

[editor]

Store = ctrl-c
Paste = ctrl-v

Natürlich kann man sich auch die Textsuche, Folgesuche und Ersetzen mit

Search = ctrl-f

SearchContinue = ctrl-n

Replace = ctrl-r

auf einprägsamere Hotkeys legen. Änderungen an der mc.keymap werden immer erst nach dem nächsten Start des Programms gültig. Das Menü des Editors lernt dabei flexibel mit: Es zeigt die von Ihnen definierten Hotkeys.

Alleskönner VLC

Der Media Player VLC darf auf keinem Linux- oder Windows-Rechner fehlen, weil er praktisch alle Video- und Musik-Formate abspielt. Viele Möglichkeiten vergräbt das Multitalent hinter Schaltern und einer anspruchsvollen Konfigurationsoberfläche,

Der VLC – kurz für „Videolan Client“ – kann eigentlich alles rund um Film und Sound und macht diverse Player-Alternativen und Multimedia-Tools weitgehend überflüssig. Optischer Schick und benutzerfreundliche Konfiguration sind freilich nicht seine Stärken. So bleibt meist viel Potential ungenutzt oder es kommen neben dem VLC weitere ergänzende Player und Helfer zum Einsatz. Das ist nicht falsch und manchmal komfortabler, aber technisch notwendig wäre es nicht, wie dieser Ratgeber zeigen soll.

Projektseite und Download: www.videolan.org

Dokumentation: http://wiki.videolan.org mit Infos zu Installation, Menü-Angebot, Konfiguration, Startparameter, Netzwerk-Streaming, Stream-Ausgabe und vieles mehr. Nutzen Sie in der linken Spalte den Eintrag „Documentation“.

Weitere Tipps & Infos: http://wiki.ubuntuusers.de/vlc

VLC-Installation unter Linux

Alle Linux-Distributionen halten den VLC Media Player in ihren Standardpaketquellen bereit. Die Installation ist entsprechend einfach und problemlos. Installieren Sie das Paket „vlc“, optional zusätzlich „browser-plugin-vlc“ (Browser-Integration):

sudo apt­ install vlc browser-plugin-vlc

Nicht immer ist schon die neueste Version verfügbar. So liegt etwa unter Ubuntu 16.04 oder Linux Mint 18 noch die Version 2.2.4 vor. Die funktionalen Unterschiede sind aber meist nicht gravierend. Notwendige Sicherheitsupdates erhalten auch die älteren Versionen. Wer trotzdem stets den aktuellsten VLC nutzen will, kann auf das PPA des Hersteller Videolan ausweichen:

sudo add-apt-repository ppa:videolan/stable-daily
sudo apt update
sudo apt install vlc

Unentbehrlich zur Wiedergabe von DVDs ist ferner die Bibliothek libdvd, die Sie mit folgenden Befehlen

sudo apt install libdvd-pkg
sudo dpkg-reconfigure libdvd-pkg

nachrüsten und integrieren.

Basisfunktionen des Players

Der VLC spielt nicht nur Audio- oder Videodateien fast jeden Dateiformats (Audio u. a. APE, FLAC, MID, MP3, OGG, WMA; Video u. a. AVI, DIVX, FLV, MKV, MP4, MPEG, VOB, WMV). Er beherrscht außerdem Musik-CDs, Film-DVDs, Blu-rays und Internet-Streams, gibt das Medienangebot von UPnP/DLNA-Servern im Heimnetz wieder, dient – in allerdings engen Grenzen – selbst als solcher UPnP-Streaming-Server und greift auf DVB-T-Hardware zu. Auch Aufnehmen und Konvertieren in andere Formate ist möglich.

Bedienungsgrundlagen: Der VLC besteht aus zwei Hauptfenstern – das Wiedergabefenster und die Wiedergabeliste. Im Allgemeinen ist es einfacher und übersichtlicher, beide Fenster zu kombinieren, was über „Ansicht -> Angedockte Wiedergabeliste“ auch die Standardvorgabe ist. In der „Wiedergabeliste“ (Strg-L) zeigt der Player zahlreiche Medienquellen. Unter der aktuellen Wiedergabeliste und der optional angelegten Medienbibliothek gibt es zunächst die lokalen Standardordner wie „Meine Videos“, die lediglich auf die entsprechenden Standardverzeichnisse unter /home/[user] verweisen. Unter „Standardgeräte“ gibt es den Zugriff auf „Platten“, also auf CD- und DVD-Laufwerke, ferner auf „MTP-Geräte“, also mobile MP3-Player, sofern angeschlossen. Eventuelle Medien-Server im lokalen Netz (UPnP/DLNA und iTunes) zeigt der VLC unter „Lokales Netzwerk“. Darunter folgt noch eine Reihe von namhaften Audio-Streaming-Diensten unter „Internet“, besonders ergiebig Icast und Jamendo.

Dateien und Medien öffnen: Sowohl das Wiedergabefenster als auch die Wiedergabe beherrschen Drag & Drop mit der Maus. Das ist der einfachste Weg, um schnell aus dem Dateimanager eine Mediendatei abzuspielen. Dabei kann der VLC auch unvollständige Videos und Audiopakete etwa schon während eines Downloads anspielen. Noch besser: Der VLC beherrscht auch ZIP- und RAR-Archive sowie das Mounten von ISO-Images: Diese Formate sind also ohne Bearbeitung sofort zu benutzen.

Das Menü „Medien“ fürs Öffnen von Dateien enthält insgesamt sechs Befehle zum Starten von Medien. Der erste Eintrag „Datei öffnen“ ist klassisch und erlaubt nach Navigation zur Quelldatei den Start derselben. Es ist hier aber auch mit den typischen Tasten Strg und Umschalt eine Mehrfachauswahl von Dateien möglich. Der Extra-Eintrag „Mehrere Dateien öffnen“ ist daher nur dann notwendig, wenn sich die Auswahl über unterschiedliche Verzeichnisse erstrecken soll; außerdem gibt es hier die zusätzliche Option, die ausgewählten Medien durch eine synchrone Mediendatei zu begleiten – etwa private Videos durch eine passende Audiodatei.

„Ordner öffnen“ kann praktisch sein, um alle Audiodateien eines Verzeichnisses einschließlich aller Unterordner (Achtung!) in die aktuelle Wiedergabeliste zu übernehmen. Auch bei typischen DVD-Rips mit mehreren VOB-Dateien ist diese Methode eleganter als die Dateien mit Filmunterbrechung einzeln zu starten.

„Medium öffnen“ benötigen Sie, um eine eingelegte DVD, Blu-ray-Disc oder Audio-CD abzuspielen. Der Dialog zeigt einige elaborierte Optionen zum Einsprungpunkt und zur Startzeit, die Sie im Normalfall ignorieren können.

„Netzwerkstream öffnen“ ist der Startdialog für jegliches lokales oder Internet-Streaming (Mediatheken, Youtube). Zum lokalen Streamen lesen Sie an späterer Stelle mehr. Für das Streamen eines Web-Videos oder Web-Radiosenders genügt es, die URL zu wissen und in diesem Dialog einzutragen – etwa http://br-brklassik-live.cast.addradio.de/br/brklassik/live/mp3/128/stream.mp3. Der Streaming-Dienst wird dann wie jedes andere Medium in die Wiedergabeliste eingetragen (in diesem Beispiel als „BR-Klassik“) und beginnt sofort mit der Wiedergabe. Zuverlässige, aktuelle und umfassende Tabellen mit direkten Stream-URLs sind rar, recht brauchbar sind www.stream-urls.de/webradio (Radio), https://wiki.ubuntuusers.de/Internet-TV/Stationen (TV) und https://wiki.ubuntuusers.de/Internetradio/Stationen (Radio).

VLC „öffnet“ alles: Das Menü „Medien“ zeigt sechs Optionen zum Starten von Film und Musik. Hier wurde „Netzwerkstream“ gewählt und die URL einer Mediathek eingegeben.

Mediensammlung im VLC anlegen

Zur bequemen Benutzung der Medien vom lokalen Rechner oder von Netzwerkfreigaben ist das manuelle Öffnen über das „Medien“-Menü nicht ausreichend. Dafür gibt es die Medienbibliothek. Um eine solche Mediensammlung anzulegen, klicken Sie in der Wiedergabeliste („Ansicht -> Wiedergabeliste“) auf den Eintrag „Medienbibliothek“ und dann im Listenfenster nach Rechtsklick auf „Verzeichnis hinzufügen“. Sie erhalten dabei keine Rückmeldung, wann der Player die Dateien einschließlich Medien-Tags eingelesen hat. Je nach Menge der Medien ist daher Geduld erforderlich. Die integrierten Stücke erscheinen dann in einer einfachen Tabelle, die sich über das Suchfeld rechts oben filtern lässt.

Die Darstellung kann über das kleine Symbol neben dem Suchfeld oder nach Rechtsklick und „Ansicht der Wiedergabeliste“ umstellen und zeigt mit der Option „Symbole“ die Alben- oder Film-Cover. Auch die Größe können Sie mit Strg-Mausrad verändern. Dennoch kann die Medien-Verwaltung mit den schickeren und strukturierten Bibliotheken anderer Player nicht mithalten. Für Puristen ist sie aber völlig ausreichend oder gar willkommen. Überflüssige Medien lassen sich mit „Ausgewählte entfernen“ wieder aus der Bibliothek löschen. Die Dateien selbst bleiben dabei erhalten.

Streams und Mediatheken in der Medienbibliothek: Wenn Sie die Streams in der Wiedergabeliste sammeln und als Datei speichern, kann die Datei wiederum in die Bibliothek integriert werden.

Streaming-Dienste in der Medienbibliothek

Die Medienbibliothek kann auch Streaming-Angebote aus dem Internet aufnehmen. Dazu ist ein kleiner Umweg erforderlich: Zunächst nehmen Sie, wie oben beschrieben, eine Reihe von Radio- oder TV-Angeboten über „Medien -> Netzwerkstream öffnen“ in die temporäre Wiedergabeliste auf. Diese Wiedergabeliste, die inhaltlich möglichst homogen sein sollte, speichern Sie dann über „Medien -> Wiedergabeliste in Datei speichern“ als xspf-Datei. Wer auf Ordnung Wert legt, kann diese XML-Datei zunächst in einen Editor laden und Standardtitel „Wiedergabeliste“, der in der dritten Zeile als

<title>Wiedergabeliste</title>

erscheint, nach Wunsch ändern – etwa auf „Rock-Radio“ oder was immer passend. Danach lässt sich diese URL-Sammlung nach Rechtsklick im Fenster der Medienbibliothek und „Datei hinzufügen“ wie ein Medium in die Bibliothek integrieren. Die xspf-Datei muss dauerhaft erhalten bleiben, wenn die VLC-Bibliothek den geänderten Titel anzeigen soll. Mit gepflegten URL-Sammlungen in der Bibliothek ist der VLC komfortabler als Lesezeichen im Browser oder spezialisierte Tools wie etwa Radiosure.

Der VLC als Bildviewer

Als Viewer für Fotos und Bilder ist der VLC nur zweite Wahl. Natürlich kann er Bildformate anzeigen, und wenn Sie mit der Maus eine Menge markierter Bilder vom Dateimanager in das Wiedergabefenster oder in die Wiedergabeliste ziehen, wird er sie sogar sofort als Slideshow im 10-Sekunden-Takt wiedergeben. Dabei ist aber weder das Intervall noch eine feste Fenstergröße konfigurierbar. Eine für diesen Einsatzzweck unentbehrliche, aber auch für Videos im Fenstermodus nützliche Option ist das Kästchen „Interface an Videogröße anpassen“ unter „Werkzeuge -> Einstellungen -> Interface“. Diese Option sollte deaktiviert werden, damit das Wiedergabefenster ungeachtet der Bild- (oder Video-) Größe konstant bleibt. Mehr als ein Hilfsviewer, wenn nichts Besseres an Bord ist, ist der VLC für Bilder dennoch nicht.

Der VLC und UPnP/DLNA-Server

Der VLC Player beherrscht in der Wiedergabeliste via „Universal Plug’n’Play“ den Zugriff auf lokale Server UPnP/DLNA-Server (NAS, Kodi, Plex, Minidlna). Einen korrekt im Netzwerk eingebundenen UPnP-Server zeigt der Player dort an und mit einem Doppelklick auf einen Eintrag navigieren Sie in der Struktur des Servers. Bei großen Mediensammlungen des UPnP-Servers kann es irritierend sein, dass der VLC die Wiedergabe erst anbietet, wenn er sämtliche Medien via Netzwerk eingelesen hat. Dies kann eventuell so lange dauern, dass der Nutzer an der Funktionalität zweifelt. Bei anderen UPnP-tauglichen Playern sind die ersten Audio- oder Video-Dateien sofort sichtbar und benutzbar, während der Player im Hintergrund weiter nachlädt. Der VLC zeigt und spielt er nach komplett abgeschlossenem Vorgang.

UPnP im VLC: Der Videolan-Player zeigt Medienserver unter „Lokales Netzwerk“. Wenn es keinen UPnP-Server gibt, fehlt der Eintrag „Universal Plug’n’Play“.

Der VLC als Streaming-Server

Einen schicken UPnP/DLNA-Server erhalten Sie mit dem VLC nicht, jedoch ist er durchaus in der Lage, ad hoc einige Film über eine Netzwerkadresse für Abspielclients bereitzustellen. Die Vorgehensweise am Rechner („Server“), der den Film bereithält:

1. Gehen Sie zunächst auf „Medien -> Stream“ (relativ am Ende des Menüs). Unter „Dateiauswahl“ navigieren Sie mit „Hinzufügen“ zur gewünschten Mediendatei. Danach klicken Sie im selben Dialog unten auf „Stream“. Im folgenden Dialog des Assistenten geht es mit „Nächstes“ einfach weiter.

2. Im Fenster „Ziel einstellen“ verwenden Sie am besten „RTP / MPEG Transport Stream“ und klicken nach dieser Auswahl rechts auf die Schaltfläche „Hinzufügen“. Geben Sie als Adresse

239.0.0.1

ein, den Standardport 5004 können Sie unverändert übernehmen. Beachten Sie, dass diese Multicast-Adresse unabhängig von Ihrem lokalen Adressbereich zu benutzen ist. Ihr Adressraum und die IP-Adresse des Server-PCs spielt hier keine Rolle.

3. Nach Klick auf „Nächstes“ kommt die Transkodierungsauswahl, die Sie auf Standard belassen können und erneut „Nächstes“ klicken. Im letzten Fenster aktivieren Sie „Alle Elementarstreams streamen“ und schließen die Aktion mit der Schaltfläche „Stream“ ab.

Beim Client – idealerweise erneut ein VLC Player – ist der Weg einfach: Gehen Sie auf „Medien -> Netzwerkstream“. Als Netzwerkadresse geben Sie hier die vorher eingerichtete Multicast-Adresse samt Port

rtp://239.255.0.1:5004

ein und klicken dann im selben Dialog unten auf die Schaltfläche „Wiedergabe“.

Hinweis: Die Methode funktioniert analog auch ohne Multicast-Adresse, sofern Sie einen Stream gezielt nur an einen Rechner schicken wollen. Dann geben Sie am Server die LAN-IP des Zielclients ein – etwa 192.178.1.10 – und greifen dann am Client den Netzwerkstream mit der Adresse „rtp://192.178.1.10“ ab. Die Multicast-Methode ist jedoch einfacher, weil Sie sich dabei um die lokalen IP-Adressen nicht kümmern müssen.

VLC als Streaming-Server: Das funktioniert technisch einwandfrei über eine Multicast-IP oder auch direkt an die Zielrechner-IP. UPnP-Komfort ist hier nicht das Ziel.

VLC-Fernbedienung mit HTTP-Server

Der VLC hat einen einfachen, eingebauten HTTP-Server, der die Steuerung des Players im Browser eines beliebigen Netzwerk-Clients ermöglicht (Tablet, Smartphone, PC). Remote-Steuerung bedeutet, dass der Rechner mit dem VLC weiterhin das Abspielgerät bleibt und der Client nur die Medienauswahl und Lautstärke erledigt. Der HTTP-Server bietet weder eine sonderlich schicke Oberfläche noch nennenswerten Bedienkomfort, genügt aber zur fundamentalen Fernsteuerung. Dies insbesondere dann, wenn im VLC eine Medienbibliothek eingerichtet ist und die Medien nicht im Dateisystem gesucht werden müssen.

Theoretisch sollte der Web-Server über „Einstellungen -> Alle -> Interface -> Hauptinterfaces“ oder auch über „Ansicht -> Interface hinzufügen -> Web“ neben der normalen Oberfläche ladbar sein. Das ist uns nicht gelungen, da der Server ein Passwort verlangt, das an dieser Stelle in den Einstellungen nicht zu vergeben ist. Hingegen funktioniert der Start des HTTP-Servers unter allen Betriebssystemen im Terminal mit dieser Kommandozeile:

vlc --intf http --http-password nix

Danach ist der VLC remote über jeden Browser mit der Adresse

[IP-Adresse]:8080

erreichbar. Bei der Authentifizierungsabfrage lassen das Feld „Benutzernamen“ leer und geben nur das Passwort ein. Statt des Stellvertreters „[IP-Adresse] verwenden Sie die tatsächliche lokale IP des Rechners, auf dem der VLC läuft – also beispielsweise „192.168.1.25:8080“.

Soll der VLC neben dem HTTP-Server auch noch seine normale Oberfläche anzeigen, ist folgender Befehl einschlägig:

vlc --intf qt --extraintf http --http-password nix

Das Interface „qt“ ist die Standardoberfläche (auch unter Windows), und über den Parameter „–extraintf …“ wird zudem der Web-Server gestartet.

((401_4_VLC-Http-Client.png))

HTTP-Server: Diese VLC-Fernbedienung via Browser leistet fundamentalen Remote-Zugriff, ist aber insgesamt etwas fummelig.

Der VLC als Konvertierer

Für den VLC sind exotische Formate kein Problem, für Smart-TV oder Tablets hingegen schon. Ungeachtet spezialisierter Tools wie Handbrake können Sie den VLC auch zum Konvertieren nutzen. Über „Medien -> Konvertieren/Speichern“ startet der zugehörige Assistent. Im Folgedialog bestimmen Sie über „Hinzufügen“ die Mediendatei und klicken dann unten auf „Konvertieren/Speichern“. Unter „Profil“ gibt es eine Dropdown-Liste mit populären Audio- und Videoformaten, wobei auch Android-Geräte, iPod und Youtube speziell berücksichtigt sind. Nachdem Sie eine Zieldatei angegeben haben, kann der Vorgang mit „Start“ beginnen. Die Konvertierung verläuft je nach Rechner in mehrfacher Geschwindigkeit, wenn Sie auf die Option „Ausgabe anzeigen“ verzichten.

Das Konvertieren funktioniert selbstverständlich auch bei Audiodateien oder Audio-CDs (wobei Sie hier statt einer Quelldatei das Medium angeben – meist „/dev/sr0“). Bei einer typischen Audio-Konvertierung nach „Audio – MP3“ sollten Sie dieses Ausgabe-„Profil“ unbedingt bearbeiten, da standardmäßig nur 128 KBit/s vorgesehen sind. Profiländerung erledigen Sie neben der Dropdown-Liste entweder punktuell über das Schraubenschlüsselsymbol, oder Sie legen mit der Schaltfläche „Neues Profil erstellen“ (ganz rechts) dauerhaft ein passendes Profil etwa mit 192 KBit/s Bitrate und 48000 Hz Sampling Rate an.

Generell zeigt sich der VLC beim Konvertieren technisch makellos, aber ohne den Komfort von Spezialisten: So bleibt die Namensvergabe beim Audio-Rippen eine manuelle Mühe.

Konvertieren mit dem VLC: Technisch arbeitet der VLC einwandfrei, fordert aber bei Musik (mehr als bei Videomaterial) einige Klicks und eventuelle Nachbearbeitung.

Optimieren der Videoausgabe

Das Untermenü „Werkzeuge -> Effekte und Filter“ ist überaus umfangreich und erlaubt fundamentale und detaillierte Darstellungsoptimierung. Wir nennen hier nur drei fundamentale Eingriffe:

Bild und Ton synchronisieren: Über „Werkzeuge -> Effekte und Filter -> Synchronisierung“ gleichen Sie aus, wenn Bild und Ton asynchron laufen – also der Ton vorauseilt oder hinterherhinkt. Den Wert müssen Sie dort in Millisekunden eingeben. Beispiel: Um den Ton um eine Sekunde nach vorne zu versetzen, wäre der Wert „-1000“ einschlägig, während „1000“ den Ton um eine Sekunde verzögert.

Drehen von Videos: Bei Videos mit dem Smartphone sind um 90 Grad gedrehte Filme recht häufig. Das kann der VLC mühelos korrigieren: Das einschlägige Werkzeug finden Sie unter „Werkzeuge -> Effekte und Filter“ auf der Registerkarte „Videoeffekte“, hier wiederum auf der Unterregisterkarte „Geometrie“. Zunächst müssen Sie die Option „Transformieren“ aktivieren. Danach lässt sich das Video per Vorgabeoptionen in der Dropdown-Liste um 90, 180 oder 270 Grad drehen, im Prinzip aber auch filigran in Gradstufen (Option „Drehen“).

Helligkeit und Farben: Ebenfalls unter „Werkzeuge -> Effekte und Filter -> Videoeffekte“ ist eine zu dunkle oder zu farblose Filmwiedergabe deutlich zu korrigieren. Das Register „Genauigkeit“ bietet unter anderem Schieberegler zu Helligkeit, Kontrast, Sättigung und Gammawert. Da ein laufender Film das Resultat der Einstellung sofort anzeigt, ist die Wiedergabe in wenigen Sekunden optimiert.

Helligkeit, Farben und Sättigung: Was sich am Monitor oder TV nicht verbessern lässt, kann der VLC über diverse Filter signifikant verbessern.
Jetzt steht der Hund auf den Beinen: Das Drehen von falsch aufgenommenen Videos ist für den VLC kein Problem (siehe „Werkzeuge -> Effekte -> Videoeffekte -> Geometrie“).

Optimale Größe bei Vollbildwiedergabe

Je nach Filmmaterial können bei der Wiedergabe auf Smart-TVs oder PC-Monitoren platzverschwendende schwarze Ränder horizontal wie vertikal erscheinen. Über den Menüpunkt „Video“ oder auch im Vollbild nach Rechtsklick und dem Kontextmenü „Video“ können Sie den Monitor eventuell besser ausnutzen. Die Optionen „Seitenverhältnis“ und „Beschneiden“ erlauben Dehnungen des Bildes und das Abschneiden von Randbereichen. Hier hilft nur empirisches Ausprobieren, da sowohl zu starke Verzerrung als auch das Abschneiden von zu viel Filmmaterial kontraproduktiv sind. Ein ganz genaues Beschneidewerkzeug gibt es außerdem unter „Werkzeuge -> Effekte und Filter -> Videoeffekte -> Beschneiden“.

Normalisierung der Lautstärke

Mediendateien haben oft sehr unterschiedliche Lautstärkepegel. Dies erfordert dann mitunter hektische Korrektur an den Lautsprecherboxen oder im Sound-Applet. Der VLC Player hat zwar keinen Einfluss auf die Lautsprecher-Stellung und den Lautstärkemixer, jedoch kann er den Startpegel reduzieren und die Lautstärke der Mediendateien angleichen (normalisieren). Die Optionen finden Sie unter Werkzeuge -> Einstellungen -> Audio“. Stellen Sie den Schieberegler neben „Audio-Start-Pegel immer zurücksetzen“ auf ein moderates Maß. Ferner aktivieren Sie im selben Dialog die Option „Normalisiere die Lautstärke“.

TV-Aufnahmen und Screenshots

Der VLC kann über „Wiedergabe -> Aufnehmen“ einen aktuell laufenden Film aufnehmen, also auf die Festplatte schreiben. Wer dies häufiger benötigt, kann unter „Ansicht“ die „Erweiterte Steuerung“ aktivieren. Dann erscheinen im Wiedergabefenster weitere Bedienelemente, unter anderem der Aufnahme-Knopf. Alle Aufnahmen werden unter Angabe der Zeit, des Sender und Namen der Sendung unter ~/Downloads/ als .ts-Datei abgelegt. Über „Werkzeuge -> Einstellungen -> Eingang / Codecs“ können Sie neben „Ausnahme-Verzeichnis oder Dateiname“ auch einen eigenen Pfad festlegen.

Über „Video -> Schnappschuss machen“ legen Sie einen Screenshot der aktuellen Filmszene ab. Zielverzeichnis und Namen für diese Bilder können Sie unter Werkzeuge -> Einstellungen -> Video“ im Bereich „Videoschnappschüsse“ selbst festlegen.

Desktop-Videos mit VLC

Der VLC unterstützt Sie auch, wenn Sie Ihre Desktop-Aktivitäten filmen möchten, um ein Videotutorial herzustellen. Für diese Aufgabe gehen Sie auf „Medien -> Aufnahmegerät öffnen“. Wählen Sie als „Aufnahmemodus“ den Eintrag „Desktop“. Unter „Optionen“ geben Sie die gewünschte Anzahl an Bildern pro Sekunde an. Für einen flüssig wirkenden Screencast ist die Voreinstellung „1,00 f/s“ zu wenig, wenigstens zwei sollten Sie eintragen. Wenn Sie vor dem Start noch etwas vorbereiten müssen, klicken Sie auf „Mehr Optionen anzeigen“ und geben eine Startzeit an. Um mit der Aufnahme zu beginnen, klicken Sie unten auf die Schaltfläche mit dem kleinen Pfeil rechts neben „Wiedergabe“ und auf „Konvertieren“. Im folgenden Dialogfenster legen Sie die „Zieldatei“ und das Format des Videos fest und beginnen die Aufnahme mit „Start“.

Lesezeichen im Film setzen

Im VLC gibt es eine Möglichkeit, Lesezeichen zu setzen, um einen Film später genau an dieser Stelle fortzusetzen. Lesezeichen für die aktuelle Stelle verwaltet der VLC über den Menüpunkt „Wiedergabe -> Benutzerdefinierte Lesezeichen“. Ein Klick auf „Erstellen“ legt einen neuen Zeitpunkt auf der Merkliste an, der als Sprungmarke funktioniert. Damit ist die Marke aber noch nicht permanent gespeichert. Dazu muss erst noch eine Playliste als Datei gespeichert werden, was Sie unter „Medien -> Wiedergabeliste in Datei speichern“ erledigen. Ein Klick auf die resultierende Datei im Dateimanager öffnet dann den Film wieder im VLC und unter „Benutzerdefinierte Lesezeichen“ liegt die Sprungmarke zur gewünschten Stelle.

Lesezeichen setzen: Zum Anhalten und Fortsetzen an einer bestimmten Filmstelle hat der VLC eine Verwaltung von Sprungmarken, die in einer Playlist gespeichert werden muss.

Mit Reset-Kommando zum Standard

Dieser Artikel hat alle Skins und LUA-Erweiterungen für den VLC ausgeklammert, da sie unterm Strich die Bedienung des VLC nicht signifikant verbessern und die Stabilität verringern. Es bleibt gegen unsere Empfehlung aber jedem Nutzer vorbehalten, sich hier umzusehen. Unter „Werkzeuge -> Plugins und Erweiterungen“ lässt sich der Plugin-Manager des VLC öffnen. Die im Web verfügbaren Erweiterungen zeigt das Tool nach Klick auf „Zusätzl. Erweiterungen im Netz finden“.

Weil das Spielen mit experimentellen Skins aber schon mal dazu führt, dass der Player nicht mehr bedienbar ist und auch seine Einstellungen nicht mehr anbietet, um dort das Problem rückgängig zu machen, ist folgender Startparameter wichtig:

vlc --reset-config

Das setzt den Player auf seine Standardoberfläche zurück, andere Einstellungen wie etwa eine eingerichtete Medienbibliothek bleiben jedoch erhalten.

Alles verschlüsselt!

Mobile Notebooks, handliche USB-Sticks, öffentliche Cloud: Alles, was das Haus und das heimische Netz verlässt, kann in fremde Hände gelangen oder ist in fremden Händen. Verschlüsselung sorgt dafür, dass die Daten nichts Persönliches preisgeben.

Hinsichtlich Datenschutz und Verschlüsselung spaltet sich die Gesellschaft so schizophren wie sonst auch: Die einen werfen ihre Privatsphäre bedenkenlos ins World Wide Web, die anderen sorgen sich bei jeder Dropbox-Datei, dass die NSA mitlesen könnte. Es ist aber nicht Ziel dieses Beitrags, die Naiven zu bekehren oder die Paranoiden zu beruhigen. Hier geht es allein um die technischen Möglichkeiten, die Linux in großer Vielfalt und Abstufung bereithält, um Daten zu verschlüsseln. Der Artikel stellt alle Methoden vor, bewertet sie und bringt eine vollständige Praxis-Anleitung für die Einrichtung und Nutzung.

1. LUKS-verschlüsseltes Linux-System

Die kompromisslose Methode, die lokalen Daten vor Fremdzugriff zu schützen, ist die Verschlüsselung der kompletten Festplatte. Mit dem auf dem Kernelmodul dm-crypt basierenden Linux Unified Key Setup (LUKS) lassen sich sowohl externe USB-Datenträger (siehe Punkt 2) als auch die Systemfestplatte selbst sicher verschlüsseln. Wir beginnen mit dem technisch anspruchsvollsten Szenario der verschlüsselten Systemfestplatte, da es durch moderne Installer zur einfachen Übung gerät und bei der Alltagsbenutzung nicht mehr Aufwand bedeutet als die Schlüsseleingabe beim Systemstart. Trotzdem sollte sich jeder Anwender, der seine Systemfestplatte verschlüsselt im Klaren sein, dass die Partitionierung komplexer wird und bei Bootproblemen höheren Reparaturaufwand verursacht.

Empfehlung: Eine LUKS-verschlüsselte Systemfestplatte ist die richtige Maßnahme für Notebooks, die viel unterwegs sind und auch jenseits des Home-Verzeichnisses vertrauliche und private Daten enthalten. Der verschlüsselte Datenträger lässt beim Booten durch ein Fremdsystem keinerlei Einblick in die Verzeichnisstruktur und in die Daten zu. Das Einzige, was ein Fremdzugriff anhand der Partitionierungsfakten in Erfahrung bringen kann, ist die Tatsache, dass die Festplatte LUKS-verschlüsselt ist.

Installation mit LUKS und LVM: Es gibt diverse grafische Linux-Installer, die beim Setup eine LUKS-verschlüsselte Systempartition einrichten können. Neben Yast unter Open Suse, dem Debian-Installer und dem Fedora-Installer bieten alle Ubuntu-basierten Distributionen inklusive Linux Mint den Installer Ubiquity, der dies beherrscht. Die folgende Anleitung orientiert sich an Ubiquity. Beachten Sie aber, dass der Ubuntu-Installer den bequemen Weg zur LUKS-verschlüsselten Systemfestplatte nur anbietet, wenn Sie ihm dafür die gesamte primäre Festplatte überlassen. Eine kompliziertere Situation mit Multiboot oder anderweitigen Partitionsaufteilungen ist nicht vorgesehen. Die Festplatte wird bei diesem Vorgang komplett gelöscht.

Starten Sie die Installation im Livesystem eines Ubuntu-Systems, und folgen Sie dem Setup-Assistenten bis zum Punkt „Installationsart“. Hier wählen Sie die erste Option „Festplatte löschen und […] installieren“. Darunter aktivieren Sie das Kästchen „Die neue Ubuntu-Installation zur Sicherheit verschlüsseln“. Sobald Sie dies tun, wird zugleich der weitere Punkt „LVM […] verwenden“ aktiv. Der Logical Volume Manager ist eine Abstraktionsschicht, um Festplatten und Partitionen flexibler zu verwalten, zusammenzufassen und dynamisch zu erweitern. In diesem Fall ist LVM notwendig, um neben der kleinen unverschlüsselten Bootpartition die LUKS-formatierte Partition und die virtuelle LVM-Partition unterzubringen, die bei korrekter Kennworteingabe unverschlüsselt ins Dateisystem geladen wird.

Wenn Sie im Assistenten mit den genannten Optionen auf „Weiter“ klicken, folgt noch die Abfrage des Sicherheitsschlüssels. Dieses Kennwort sollte komplex genug sein, um vom Assistenten als „Starkes Passwort“ gelobt zu werden. Andererseits muss die Eingabe zumutbar bleiben, denn sie ist künftig bei jedem Systemstart erforderlich. Die weitere Installation unterscheidet sich nicht mehr von einem üblichen Ubuntu-Setup.

Wenn Sie ein LUKS-verschlüsseltes System booten, erscheint künftig das Eingabefeld „Please unlock disk […]“. Dort geben Sie das Passwort ein, und erst danach kann der Systemstart fortsetzen, wobei das LUKS-Volume entsperrt und unverschlüsselt nach /dev/mapper/[sd…] gemountet wird.

Systemverschlüsselung per Setup: Dies ist die entscheidende Einstellung beim Ubuntu-Installer. Mit LVM und LUKS-Verschlüsselung bootet das System erst nach korrekter Kennworteingabe.

2. LUKS-verschlüsselte (USB-) Datenträger

Interne Laufwerke, die als reine Datenpartition dienen, sowie externe USB-Datenträger lassen sich ebenfalls mit LUKS verschlüsseln. Technisch ist dies weniger anspruchsvoll und kommt ohne LVM-Unterstützung aus. Die Einrichtung und Benutzung erfolgt auf modernen Linux-Distributionen komplett mit grafischen Werkzeugen, die den komplizierteren Weg über Terminalbefehle in der Regel überflüssig machen.

Empfehlung: Besonders USB-Sticks und handliche USB-Festplatten gehen oft verloren oder werden vergessen. LUKS ist für mobile Speicher erste Wahl, sofern die Datenträger überwiegend mit Linux gelesen und beschrieben werden. Dort, wo auch ein Windows oder ein Mac OS zugreifen soll, ist Veracrypt (siehe Punkt 6) die bessere Option.

Einrichten mit grafischen Werkzeugen: Erfreulicherweise hat LUKS-Verschlüsselung in die Systemwerkzeuge längst Einzug gehalten. Die KDE-Umgebung bietet den „KDE Partition Manager“ (partitionmanager), und die Gnome-affinen Desktops (Gnome, Mate, Unity, Cinnamon, XFCE) haben das Tool „Laufwerke“ (gnome-disks) an Bord. Wir beschreiben die wenigen Klicks zur LUKS-Verschlüsselung eines USB-Laufwerks am Beispiel von gnome-disks:

Nach Anschließen des USB-Datenträgers hängen Sie das Laufwerk zunächst mit dem kleinen schwarzen Symbol links unterhalb der Partitionsanzeige aus. Danach klicken Sie auf das Zahnradsymbol und verwenden die Option „Partition formatieren“. Im Folgedialog wählen Sie als „Typ“ den Eintrag „Verschlüsselt, kompatibel mit Linux-Systemen (LUKS + Ext4)“. Der Eintrag „Name“ ist nicht unbedingt erforderlich, macht aber den späteren Mountpunkt lesbarer. Entscheidend ist darunter die „Passphrase“ – also das Kennwort. Hier gilt wie unter Punkt 1: Das Kennwort sollte komplex sein, die Eingabe aber zumutbar bleiben, denn sie ist künftig bei jeder Nutzung des Datenträgers erforderlich. Mit Klick auf „Formatieren“ schließen Sie den Vorgang ab. Sie können nach der Formatierung den Datenträger sofort mit gnome-disks einhängen und nutzen, indem Sie auf den unteren Balken der symbolischen Anzeige klicken und die Partition mit dem Pfeilsymbol links einhängen.

Für die künftige Alltagsbedienung genügen die typischen Dateimanager Nautilus, Nemo, Caja, Dolphin. Wenn Sie das USB-Gerät anschließen, erscheint nach kurzer Frist automatisch der Dialog „Geben Sie eine Passphrase zum Entsperren […] ein“. Nach Eingabe des korrekten Kennworts ist das Medium entsperrt und im Dateimanager unter „Geräte“ normal benutzbar. An gleicher Stelle im Dateimanager können Sie den Datenträger wieder trennen („Laufwerk sicher entfernen“).

LUKS-Verschlüsselung für USB-Datenträger: Diese Aufgabe beherrschen die typischen Partitionsmanager von Desktop-Distributionen – hier gnome-disks unter Linux Mint.
Exkurs: Manuelle LUKS-Verschlüsselung

LUKS-Verschlüsselung für ein externes USB-Laufwerk kann auch ohne grafische Werkzeuge etwa auf einem Headless-Server eingerichtet werden. Die folgende Ergänzung zu den Punkten 1 und 2 dient nicht nur der Vollständigkeit, sondern soll auch die zugrundeliegenden Werkzeuge vorstellen, die unter der Haube auch von grafischen Tools wie gnome-disks genutzt werden.

Zunächst ermitteln Sie mit

lsblk

die Gerätekennung des USB-Datenträgers. Alle folgenden Kommandos gehen von der Beispielkennung /dev/sde aus, die in Ihrem Fall natürlich anders lauten kann und unbedingt entsprechend angepasst werden muss. Zunächst wird die Partitionstabelle des Sticks mit fdisk neu geschrieben:

sudo fdisk /dev/sde

Geben Sie am fdisk-Prompt „o“ ein. Dieser Befehl legt eine neue DOS-Partitionstabelle an. Sie müssen die Aktion anschließend mit dem Schreibbefehl „w“ realisieren, was zugleich fdisk beendet. Starten Sie dann fdisk erneut:

sudo fdisk /dev/sde

Jetzt legen Sie mit dem Befehl „n“ eine neue Partition an und verwenden dabei „p“ für „primary“, „1“ für Partition 1. Die zwei Abfragen der Start- und End-Sektoren quittieren Sie einfach mit der Eingabetaste. Auch hier muss abschließend der Write-Befehl „w“ erfolgen, um die Aktion tatsächlich auf den Datenträger zu schreiben.

Nun hängen Sie das Laufwerk mit

sudo umount /dev/sde?

aus und formatieren es mit LUKS. Das dazu notwendige Tool cryptsetup steht auf allen verbreiteten Distributionen zur Verfügung:

sudo cryptsetup luksFormat /dev/sde1

Der Parameter „luksFormat“ muss genau so eingegeben werden. Die nachfolgende Bestätigung mit „YES“ ist ebenfalls case-sensitiv und erfordert Großbuchstaben. Dann werden Sie nach dem „Passsatz“ gefragt, also dem Zugangskennwort. Die Eingabe erfolgt ohne Textanzeige und ohne Stellvertreterzeichen.

Nun können Sie das Laufwerk mit „luksOpen“

sudo cryptsetup luksOpen /dev/sde1 Stick

in das System laden. Der Name, hier „Stick“, ist frei wählbar. Das Laufwerk wird nun unter /dev/mapper/Stick gemountet. Zu guter Letzt braucht das Laufwerk neben LUKS noch ein normales, unverschlüsseltes Dateiformat, was Sie mit

sudo mkfs.vfat /dev/mapper/Stick -n Stick

erledigen. Das war’s. Entfernen Sie nun den Stick einfach vom Rechner. Die Prozedur ist für jeden USB-Datenträger nur einmal erforderlich.

3. Verschlüsseltes Home-Verzeichnis (Ecryptfs)

Ubuntu-Systeme einschließlich Linux Mint machen bei der Installation das Angebot, das Home-Verzeichnis zu verschlüsseln. Diese Option ist bei einer Neuinstallation immer gut zu überlegen, zumal sie nachträglich für den ersteingerichteten Benutzer nicht mehr vorgesehen ist und dann doch einige Klimmzüge erfordert. Technisch zuständig ist in diesem Fall das Modul Ecryptfs, das Ubuntu & Co. standardmäßig im Kernel mitbringen. Ecryptfs ist nicht zu verwechseln mit Encfs (siehe Punkt 5), wenngleich sich beide Techniken ähneln.

Empfehlung: Ein Ecryptfs-verschlüsseltes Home-Verzeichnis ist für typische Desktop-Systeme, auch für mobile Notebooks, oft der angemessene und der komfortabelste Schutz. Bei Fremdzugriff ist zwar der Großteil des Dateisystems lesbar, nicht aber der Inhalt von /home/[user]. Dieser liegt verschlüsselt unter /home/.ecryptfs/[user]/.Private und wird automatisch unverschlüsselt nach /home/[user] geladen, sobald sich der Benutzer am System anmeldet. Wenn sich der Gerätebesitzer daran hält, seine Daten stets unter /home abzulegen, ist für Datendiebe nichts zu holen. Lediglich die Anzahl der Verzeichnisse und Dateien sowie deren ungefähre Größen sind unter /home/.ecryptfs/[user]/.Private ersichtlich – die Inhalte nicht. Die Dateinamen sind ebenfalls verschlüsselt.

Einrichten der Home-Verschlüsselung: Bei der Installation von Ubuntu-Systemen erscheint zu einem späteren Zeitpunkt das Fenster „Wer sind Sie?‟. Hier legen Sie den Erstbenutzer des System an. An unterster Stelle gibt es die Option „Meine persönlichen Daten verschlüsseln‟. Ein Häkchen genügt, um Ecryptfs für das Home-Verzeichnis des Erstbenutzers zu aktivieren. Nach der ersten Anmeldung am neu installierten System erscheint dann ein Fenster mit dem Hinweis „Ihre Verschlüsselungspassphrase notieren‟. Klicken Sie auf „Diese Aktion ausführen‟. Danach geben Sie das Systempasswort ein und bestätigen mit der Eingabetaste. Sie sehen dann das von Ubuntu & Co. zufällig generierte Passwort für die Home-Verschlüsselung. Notieren Sie sich dieses, denn Sie benötigen es für den (unwahrscheinlichen) Fall, dass einmal die Wiederherstellung eines defekten Dateisystems nötig werden sollte.

Für den alltäglichen Zugriff auf das Home-Verzeichnis genügt die Anmeldung am System. Vor anderen Benutzern am selben PC ist das verschlüsselte Home-Verzeichnis ebenfalls sicher. Diese erhalten beim Zugriff eine Fehlermeldung, die auf fehlende Rechte hinweist. Besitzen andere Systembenutzer root-Recht, können Sie zwar den Ordner /home/.ecryptfs/[user]/.Private betreten, sehen dort aber nicht mehr als verschlüsselte Ordner- und Dateinamen.

Weitere verschlüsselte Home-Verzeichnisse: Die Home-Verschlüsselung bei der Installation gilt nur für den dort eingerichteten Erstbenutzer. Wenn ein weiterer Benutzer ein verschlüsseltes Home-Verzeichnis erhalten soll, gibt es zwei Wege:

1. Die grafische Methode über „Einstellungen -> Benutzer/Users“ ist aktuell noch die Ausnahme. Linux Mint 18.2 bietet in der Benutzerverwaltung beim Anlegen eines neuen Kontos ganz unten die Option „Persönlichen Ordner verschlüsseln […]“.

2. Bei den meisten Distributionen ist die Home-Verschlüsselung nur über die Kommandozeile zu erreichen. Es genügt dieser Befehl:

sudo adduser --encrypt-home [username]

Falls der Befehl scheitert, installieren Sie das Paket ecryptfs-utils (sudo apt install ecryptfs) und wiederholen den Befehl. Legen Sie das Passwort für den neuen Benutzer hinter „Geben Sie ein neues UNIX-Passwort ein:‟ fest. Danach geben Sie die Benutzerinformationen ein oder bestätigen einfach alles mit Eingabetaste. Ab sofort kann sich der neue Benutzer anmelden und das verschlüsselte Home-Verzeichnis nutzen. Auch er erhält einen Hinweis, sich die Verschlüsselungspassphrase zu notieren.

Home-Verzeichnis nachträglich verschlüsseln: Es ist nicht vorgesehen, die Verschlüsselung nachträglich zu aktivieren. Die einfachste Lösung ist es daher, alle Dateien im Home-Verzeichnis vorübergehend an einen anderen Ort zu verschieben, dann ein neues Benutzerkonto mit verschlüsseltem Home-Verzeichnis anzulegen und die gesicherten Dateien danach in das neue Home-Verzeichnis zu kopieren. Das ursprüngliche Konto kann danach im Prinzip gelöscht werden. Tun Sie dies aber erst, wenn der Systemalltag reibungslos funktioniert: So sollte zum Beispiel der sudo-berechtigte Erstbenutzer nicht gelöscht werden, solange kein neues Konto mit sudo-Recht eingerichtet ist (visudo).

Linux Mint bietet bei der Installation nach wie vor an, das Home-Verzeichnis des Erstbenutzers zu verschlüsseln. Das gilt auch für weitere, später angelegte Benutzer .

4. Verschlüsselung mit Encfs

Encfs ist ein flexibles Ordner- und Datei-orientiertes Verschlüsselungswerkzeug. Der Ruf des Tools hat etwas gelitten, nachdem vor Jahren eine theoretische Lücke bekannt wurde, welche die Robustheit von Encfs infrage stellte. Diese Lücke besteht immer noch und wird bei der Installation des Pakets gemeldet. Unterm Strich handelt es sich aber um ein akademisches Problem, das normale Anwender nicht betrifft. Technisch ähnlich wie bei Ecryptfs wird ein verschlüsselter Ordner durch Eingabe des richtigen Passwort entsperrt und der Inhalt unverschlüsselt in einen zweiten Ordner gemountet, wo die Dateien dann normal zu verwenden sind. Verschlüsselte Encfs-Ordner sind überall flexibel einzurichten – auf internen und externen Datenträgern mit FAT, FAT32, NTFS oder einem Linux-Dateisystem.

Empfehlung: Encfs ist das richtige Werkzeug für alle Situationen, die im Alltag plötzlich Verschlüsselung ratsam erscheinen lassen: Dieses oder jenes Verzeichnis auf der USB-Festplatte hat Verschlüsselung verdient, ein Unterordner von Home muss geschützt werden oder ein Cloud-Dienst soll über den verschlüsselten Sync-Ordner nur noch geschützte Dateien bevorraten. Encfs kann an jeder Stelle und auf jedem Datenträger einspringen und eignet sich auch für größere Datenmengen. Neben Linux können Android-Geräte mit der App Cryptonite Encfs-Daten lesen. Für Mac-Anwender gibt es nach einem gewissen Installationsaufwand ein praktisch identisches Encfs. Für den Austausch mit Windows gibt es Encfs4win, das allerdings experimentell bleibt (https://encfs.win).

Encfs mit grafischem Cryptkeeper: Encfs ist meist nicht installiert, doch finden Sie das relativ kleine Paket in den Repositories aller wichtigen Linux-Distributionen. Unter Ubuntu/Mint installieren Sie es mit

sudo apt install encfs

und können dann sofort loslegen. Encfs ist an sich ein reines Kommandozeilen-Tool, jedoch werden die meisten Anwender Encfs über das grafische Frontend Cryptkeeper bedienen. Auch dieses kleine Tool muss mit

sudo apt install cryptkeeper

erst nachinstalliert werden. Nach dem Aufruf cryptkeeper präsentiert sich dieser als Schlüsselsymbol in der Hauptleiste. Die Option „Erstelle verschlüsselten Ordner“ richtet ein neues verschlüsseltes Verzeichnis ein, wobei Sie in der oberen Zeile den Ordnernamen vergeben und unten zum gewünschten Ort navigieren, etwa zu einem USB-Stick unter /media im Dateisystem. Mit der Schaltfläche „Vor“ geht es weiter zur Passwortvergabe. Der neue und noch leere Mount-Ordner wird zum Abschluss automatisch im Dateimanager geöffnet und kann dann befüllt werden. Sie arbeiten in diesem Ordner wie mit unverschlüsselten Dateien. Die eigentlichen Dateien liegen auf gleicher Ebene in einem versteckten Ordner .[name]_enfcs. Um einen Encfs-Ordner auszuhängen und damit zu schützen, klicken Sie auf das Cryptkeeper-Symbol und dann auf den betreffenden Ordnereintrag.

Über die „Einstellungen“ können Sie vorgeben, dass Mount-Ordner nach dem Entladen („Aushängen“) gelöscht und dass nicht genutzte Encfs-Ordner nach bestimmter Frist automatisch entladen werden. Diese zweite Sicherheitsmaßnahme ist ein Alleinstellungsmerkmal von Encfs.

Encfs auf der Kommandozeile: Im Terminal ist Encfs-Verschlüsselung etwas mühsamer, andererseits flexibler. Die Kernsyntax lautet:

encfs /Pfad1/verschlüsselte_Daten/ /Pfad2/unverschlüsselte_Daten/

Pfad1 ist der zu verschlüsselnde Ordner, Pfad2 der Mountpunkt, wo die Daten unverschlüsselt genutzt werden. Das Beispiel

mkdir /media/sepp/data/privat
mkdir ~/privat
encfs /media/sepp/data/privat ~/privat

erstellt unter „/media/sepp/data“ das neue Verzeichnis „privat“, ferner den gleichnamigen Mountpunkt im Home-Verzeichnis. Die dritte Zeile lädt das noch leere Verzeichnis in den Mountpunkt. Danach ist noch die Vergabe eines neuen Kennworts notwendig. Unter „~/privat“ arbeiten Sie mit den Daten.

Während bei Cryptkeeper das verschlüsselte Verzeichnis und das Mount-Verzeichnis stets auf gleicher Ebene liegen, kann Encfs auf Kommandozeile von beliebiger Stelle in einen beliebigen Mountpunkt laden. Wenn Sie einen verschlüsselten Ordner nicht mehr benötigen, entladen Sie seinen Mountpunkt:

fusermount -u ~/privat 

Neuerliches Laden geschieht mit genau demselben Encfs-Befehl wie bei der Ersteinrichtung.

Tipp: Auf der Kommandozeile (nicht im Cryptkeeper) können Sie Encfs auch auf ein bereits bestehendes Verzeichnis ansetzen. Alle Dateien, die sich dort bereits befinden, bleiben dort allerdings weiterhin unverschlüsselt. Sollen diese nachträglich verschlüsselt werden, verschieben Sie die Dateien einfach in das Mountverzeichnis des Encfs-Ordner-Paares.

Ersteinrichtung eines Encfs-Ordners: Sie benötigen lediglich einen Ordner als Mountpunkt (hier USBData im Home-Verzeichnis) und ein Kennwort.
Grafisches Frontend für EncFS: Das kleine Tool Cryptkeeper erscheint als Schlüsselsymbol in der Hauptleiste und bietet die wesentlichen EncFS-Funktionen.

5. Container mit Veracrypt

Veracrypt ist der Nachfolger des Verschlüsselungsklassikers Truecrypt, der 2014 eingestellt wurde. Veracrypt arbeitet mit verschlüsselten Containerdateien und einem eigenen Format. Der Inhalt solcher Container wird durch die „Mount“- (oder „Einbinden“-) Schaltfläche und nach korrekter Passworteingabe unverschlüsselt ins Dateisystem gemountet, wobei auch gleich der zuständige Dateimanager zur Anzeige und Dateibearbeitung gestartet wird. Die Größe der Containerdateien muss bei der Einrichtung definiert werden und ist später nicht mehr dynamisch erweiterbar.

Empfehlung: Veracrypt eignet sich für große und sehr große Datenmengen, allerdings nur auf lokalen Rechnern oder im lokalen Netzwerk. Für den Transfer in die Cloud ist es ungeeignet, da auch bei geringen Datenänderungen immer der Transport des gesamten Containers notwendig wäre. Ein entscheidendes Plus von Veracrypt sind Versionen für Linux, Windows, Mac OS, Free BSD und Raspbian. Damit sind Veracrypt-Container zwischen allen PC-Systemen austauschbar.

Installation und Container-Betrieb: Anlaufstelle für die meisten Betriebssysteme ist die Projektseite https://www.veracrypt.fr/en/Downloads.html. Für Ubuntu, Mint & Co. ist die Installation über ein PPA allerdings deutlich komfortabler:

sudo add-apt-repository ppa:unit193/encryption
sudo apt-get update
sudo apt-get install veracrypt

Im Unterschied zur Windows-Version bietet Veracrypt unter Linux keine deutsche Übersetzung, weswegen die nachfolgenden Menübezeichnungen englischsprachig ausfallen. Um eine neue Containerdatei anzulegen, klicken Sie im Hauptdialog auf „Create Volume -> Create an encrypted file container“ und anschließend auf “Standard VeraCrypt volume“. Hier geben Sie Pfad und Namen einer bisher nicht existierenden Datei an. „Encryption Option“ belassen Sie einfach auf den Standardvorgaben. Danach geben Sie die Größe der Containerdatei an. Diese sollte großzügig ausfallen, weil die Kapazität nicht mehr zu ändern ist und viele kleine Container unübersichtlicher sind als wenige große.

Danach kommt die Passwortvergabe. Zur Schlüsselerstellung auf Basis des Passworts erwartet Veracrypt Mausbewegungen im eigenen Fenster. Nach beendeter Fortschrittsanzeige schließen Sie mit „Format“. Damit ist der Container einsatzbereit. Mit „Select File“ im Hauptdialog navigieren Sie zur Containerdatei. Mit Klick auf „Mount“ wird diese geladen und im Dateimanager geöffnet (falls nicht, lässt sich das unter „Preferences -> System Integration“ einstellen). Linux mountet Container nach „/media/veracrypt[nummer]“, Windows auf freie Laufwerkbuchstaben. Auf diesen Datenträgern lesen, arbeiten, kopieren Sie wie auf einem normalen Laufwerk. Mit „Dismount“ im Hauptdialog entladen Sie den Container, der somit wieder geschützt ist.

Zur besseren Systemintegration nistet sich das Veracrypt-Symbol zusätzlich in der Systemleiste des Linux-Desktops ein. Hier sind im Kontextmenü einige fundamentale Aktionen wie das Mounten aller „Favorites“ oder das Abschalten aller aktuell geladenen Container. Eingerichtete „Favorites“ ersparen die Sucherei nach verstreuten Containerdateien, sodass es sich durchaus lohnt, das Menü „Favorites“ zu organisieren.

Beachten Sie, dass Sie beim Mounten von Veracrypt-Containern zusätzlich zum Container-Passwort auch noch nach dem sudo-Kennwort gefragt werden, das mit dem Veracrypt-Passwort nichts zu tun hat und vermutlich anders lautet.

Tipp 1: Veracrypt ist auch komplett über Terminalbefehle zu steuern (siehe veracrypt –help). So entlädt etwa

veracrypt --dismount

alle geladenen Containerdateien. Und auf stationären, privaten PCs kann es vertretbar sein, einen Container durch ein Terminal-Alias zu laden und dabei das Passwort im Klartext mitzugeben:

veracrypt --mount /home/ha/vc-data
--password=Sehr-GeH3im

Tipp 2 für ältere Truecrypt-Container: Unter „Select File“ wählen Sie die Container-Datei aus oder mit „Select Device“ das verschlüsselte Laufwerk. Nach einem Klick auf „Mount“ aktivieren Sie im angezeigten Dialog vor der Angabe des Passworts die Option „TrueCrypt Mode“. In einigen Fällen funktioniert das nicht, und Veracrypt öffnet den Container nicht. Hier hilft es, die Einstellung „Options -> Mount volume as read-only“ zu aktivieren. Damit sind die Daten erreichbar und können bei Bedarf an eine andere Stelle kopiert werden.

Hauptdialog und Systemintegration von Veracrypt: Veracrypt entspricht bei der Bedienung seinem Truecrypt-Vorgänger. Laden und Entladen von Containern gelingt auch über das Panelsymbol.
Veracrypt im Terminal: Alle Funktionen der Verschlüsselungs-Software sind auf Wunsch auch über die Kommandozeile zu steuern.

6. Einfaches Verschlüsseln mit Packer

Einfachster Schutz bei geringeren Datenmengen ist die Ad-hoc-Verschlüsselung von Einzeldateien oder eines Ordners. Ohne Einschränkung für alle Dateien und Ordner anwendbar ist ein Packer mit eingebauter Verschlüsselung wie 7-Zip. Diese ist sicher, wenn Sie das Passwort komplex und lang wählen. Packer-Verschlüsselung erfordert diszipliniertes Verhalten und ist nicht so komfortabel wie andere Methoden.

Empfehlung: Geschützte Packer-Archive eignen sich für Dateien in der Cloud, können aber auch für mobile Datenträger ausreichen, wenn die Dateimengen überschaubar sind. Da es 7-Zip für Linux, Windows und Mac OS (7zX) gibt, ist der Austausch solcher Archive problemlos. Unter Android können nicht alle Apps mit einem „zip“ im Namen auch mit passwortgeschützten Archiven umgehen, aber der kostenlose, allerdings werbefinanzierte 7Zipper (von Polar Bear) beherrscht dies.

Manuelles Verpacken: Installieren Sie zunächst, sofern noch nicht geschehen, den 7-Zip-Packer:

sudo apt install p7zip-full

7-Zip erscheint unter Desktop-Linux nicht als selbständiges, grafisches Programm, sondern integriert sich in die „Archivverwaltung“. In Zusammenarbeit mit dieser Archivverwaltung oder dem 7z-Filemanager unter Windows ist Verschlüsseln und Entschlüsseln recht komfortabel: Sie ziehen Datei oder Ordner einfach mit der Maus in das Fenster („Archivverwaltung“ oder „7-Zip“), bestätigen unter Linux, dass damit ein neues Archiv angelegt werden soll und geben dann das Format „7z“ an. Unter „Erweiterte Einstellungen“ vergeben Sie das Passwort. Die Option „Dateiliste ebenfalls verschlüsseln“ sorgt dafür, dass die Archivverwaltung später auch keine Dateinamen verrät. Beim späteren Doppelklick des Archivs wird automatisch das Kennwort abgefragt und nur bei richtiger Eingabe entpackt.

Komfortfunktionen: Der Hauptaufwand für sichere passwortgeschützte Archive entsteht durch die Eingabe des komplexen Kennworts. Dieser Komfortverlust lässt sich etwa durch Terminal-Aliases oder -Funktionen minimieren. Für hier soll ein Beispiel für das Terminal genügen, das am besten als Function in der Datei ~/.bashrc zu realisieren ist:

function cc (
{
name=${1%/}
echo $name | grep ".7zEnc"
if [ $? -eq 0 ]; then
  7z x
-p'linuX*Welt' "$name"
else
  7z a
-p'linuX*Welt' -t7z -mhe=on "$name.7zEnc" "$name"
fi
}

Danach erledigt im Terminal die Eingabe

cc [datei]

das Ein- oder Auspacken des Archivs im aktuellen Verzeichnis. Ob Einpacken oder Auspacken als Aufgabe ansteht, erkennt die Funktion anhand der Dateiextension. Das Kennwort „linuX*Welt“ ist natürlich anzupassen.

Ähnliche und zum Teil noch komfortablere grafische Lösungen hat die LinuxWelt in früheren Ausgaben vorgestellt, so den Ausbau des jeweiligen Dateimanagers mit speziellen Kontextmenüs. Die letzte Ausgabe der LinuxWelt zeigte eine Lösung mit einem Incron-überwachten Ordner, der die Verschlüsselung per Drag & Drop erledigt. Alle nötigen Infos dazu finden Sie im PDF-Booklet auf Heft-DVD. Im Prinzip basieren aber alle diese Komfortlösungen auf einem Shellscript ähnlicher Machart wie oben.

Vereinfachte Packer-Verschlüsselung: Ein Script kann die lästige Aufgabe übernehmen, das Kennwort an 7-Zip zu übergeben.

7. Kennwortschutz in Office-Software

Libre Office und Microsoft Office bieten eine eigene integrierte Verschlüsselung. Das ist bequem, bleibt aber eine Insellösung, die auf die wenigen Office-Formate beschränkt ist. Außerdem hat diese Software-interne Kryptographie den großen Nachteil, dass Sie auf Office-Suiten angewiesen sind, um ein Dokument lesen zu können. Immerhin kann Libre Office auch Passwort-geschützte Microsoft-Dateien öffnen, umgekehrt ist das nicht der Fall.

Empfehlung: Diese Methode, Dateien einzeln zu verschlüsseln, eignet sich nur für wenige sensible Texte oder Tabellen. Für größere Datenmengen ist sie zu unbequem. Der häufigste Einsatz ist der Austausch vertraulicher Tabellen innerhalb eines Arbeitsteams.

Praktische Nutzung: Libre Office bietet die Option „Datei -> Speichern unter -> Mit Kennwort speichern“. Das Kennwort muss jeweils beim Öffnen eingegeben werden. Dass das Dokument geschützt ist, ist Libre Office bei der Weiterbearbeitung klar: Es genügt daher künftig, normal zu speichern. In Microsoft Office findet sich die Verschlüsselung unter „Datei -> Speichern unter -> Tools -> Allgemeine Optionen“.

Einzeldateien unter Libre Office verschlüsseln: Diese Ad-hoc-Maßnahme ist ein Notbehelf für geringe Datenmengen.

Exkurs: Asymmetrische Verschlüsselung

Alle bisher genannten Verschlüsselungsvarianten (Punkt 1 bis 8) gehören zur Kategorie symmetrischer Verschlüsselung: Ein Kennwortschlüssel verändert die Ausgangsdaten unlesbar, genau derselbe Schlüssel stellt den lesbaren Zustand wieder her. Dieses Verfahren ist optimal, wenn Sender und Empfänger dieselbe Person sind: Sie verschlüsseln Dateien oder Datenträger, die Sie später wieder entschlüsseln. Die Verschlüsselung hat nur den Zweck, dass keine andere Person die Datei lesen kann. Sobald Sender und Empfänger verschiedene Personen sind, wird symmetrische Verschlüsselung problematisch: Erstens muss der Schlüssel auf einem sicheren Weg von Person A zu Person B kommen. Zweitens brauchen Sie strenggenommen für Person C einen anderen Schlüssel, für Person D einen weiteren und so fort. Bei einem Austausch vieler Personen wie bei der Mail-Korrespondenz ist dies nicht praktikabel.

Wesentliches Merkmal der asymmetrischen Verschlüsselung (siehe Punkt 9) sind zwei unabhängige Schlüssel: ein öffentlicher zum Verschlüsseln, ein privater zum Entschlüsseln. Die komplementären Schlüssel generiert die Software – etwa GnuPG – auf Ihrem Rechner. Beide Schlüssel stehen zwar in eindeutigem Verhältnis, jedoch ist die Berechnung des privaten Schlüssels aus dem öffentlichen durch den Einsatz mathematischer Einwegfunktionen extrem aufwendig bis unmöglich. Der öffentliche Schlüssel zum Verschlüsseln kann daher ohne Geheimniskrämerei an alle Kommunikationspartner direkt oder zu einem öffentlichen Key-Server im Web geschickt werden. Nun chiffrieren alle Partner Nachrichten an Sie mit Ihrem öffentlichen Schlüssel – und Sie sind die einzige Person, die diese Nachrichten mit dem passenden privatem Schlüssel lesbar machen kann. Umgekehrt codieren Sie Ihre Nachrichten mit den öffentlichen Schlüsseln Ihrer Partner und haben die Sicherheit, dass nur der Empfänger mit dem komplementären privaten Schlüssel die Nachricht lesen kann.

Asymmetrische Verschlüsselung: Der Absender einer verschlüsselten Nachricht benötigt zum Chiffrieren („E“ – Encrypt) nur den öffentlichen Schlüssel des Empfängers. Empfangen und entschlüsselt („D“ – Decrypt) wird mit dem privaten Schlüssel.

8. Mailverschlüsselung unter Thunderbird

Ob der persönliche Mail-Austausch Verschlüsselung benötigt, muss jeder selbst entscheiden. Tatsache ist, dass US-Anbieter wie Google oder Yahoo der Neugier von Geheimdiensten wenig Datenschutz-Anstrengungen entgegensetzen. Auch wenn Sie deutsche Provider oder sogar einen eigenen Mail-Server benutzen, ist die Mail doch an den Knotenpunkten theoretisch abzufangen – am einfachsten in öffentlichen WLANs.

Empfehlung: Mail-Verschlüsselung ist wie jede Datenschutzmaßnahme mit Mehraufwand verbunden. Die Kombination von GnuPG (GNU Privacy Guard) plus Thunderbird mit Erweiterung Enigmail ist die wohl komfortabelste Lösung, aber auch sie erfordert Gewöhnung und zumindest einen Anteil von Mail-Partnern, die ebenfalls GnuPG nutzen. Unter Linux sind Thunderbird und GnuPG oft vorinstalliert, und falls nicht, über die Paketnamen „thunderbird“ und „gnupg“ schnell nachgerüstet. Für Windows gibt es Downloads unter www.mozilla.org und www.gnupg.org). Enigmail finden und installieren Sie dann direkt in Thunderbird über „Add-ons“.

Einrichtung und Mail-Alltag: Nach der Installation der Enigmail-Erweiterung und einem Thunderbird-Neustart verwenden Sie im automatisch startenden Einrichtungsassistenten die „ausführliche Konfiguration“. Im ersten Schritt geben Sie die „Passphrase“ ein. Das Passwort benötigen Sie später stets, um auf Ihre Schlüssel zuzugreifen. Es bildet auch die Grundlage für die beiden Schlüssel. Nach der doppelten Eingabe legt Enigmail das neue Schlüsselpaar an (öffentlich/privat). Falls Sie auf einem anderen Rechner bereits ein eingerichtetes Enigmail und ein Schlüsselpaar besitzen, wählen Sie im Assistenten die Option, bestehende Schlüssel zu importieren. Schlüssel lassen sich über „Enigmail -> Schlüssel verwalten“ als Ascii-Dateien exportieren und auf anderen Rechnern importieren.

Öffnen Sie wie gewohnt den Editor zum Verfassen von Nachrichten. Dort hat Enigmail jetzt eine weitere Symbolleiste platziert. Möchten Sie eine ausgehende Nachricht verschlüsseln, benötigen Sie den öffentlichen Schlüssel des Empfängers. Wenn dieser als Textdatei vorliegt, können Sie den Schlüssel über „Enigmail -> Schlüssel verwalten -> Datei importieren“ einlesen. Alternativ gibt es Schlüsselserver, die öffentliche Schlüssel aufbewahren. Über „Schlüsselserver -> Schlüssel suchen“ sehen Sie nach, ob die Empfängeradresse dort eingetragen ist; falls ja, importieren Sie den Schlüssel mit einem Klick. Umgekehrt ist es sinnvoll, den eigenen öffentlichen Schlüssel über „Schlüsselserver -> Schlüssel hochladen“ im Web zugänglich zu machen.

Nach einem Schlüsselimport ist der neue Mail-Empfänger Enigmail/GnuPG bekannt. Künftig klicken Sie beim Verfassen einer Nachricht an diesen Empfänger auf das Symbol mit dem Schloss. Um Mails verschlüsselt zu versenden, müssen Sie Ihr Passwort eingeben. Wenn Sie mit dem Schloss-Symbol verschlüsselt senden wollen, jedoch für den Empfänger kein Schlüssel vorliegt, erscheint automatisch der Hinweis, dass dieser Empfänger „nicht gültig“ ist. Dann besorgen Sie sich entweder den öffentlichen Schlüssel oder Sie senden unverschlüsselt.

Erhalten Sie umgekehrt eine Mail, die verschlüsselt wurde, erkennt Enigmail das automatisch. Wenn Sie im Vorschaubereich von Thunderbird auf das Element klicken, werden Sie dazu aufgefordert, das Passwort einzugeben. Wenige Augenblicke später erscheint die Nachricht.

Beachten Sie, dass Sie bei der Nutzung mehrerer Rechner die Schlüsselverwaltung manuell synchron halten müssen. Eine wichtige Hilfe ist wieder „Enigmail -> Schlüssel verwalten -> Datei exportieren“, wobei Sie einfach sämtliche Schlüssel markieren. Die resultierende Ascii-Datei lässt sich auf dem nächsten Rechner importieren.

Verschlüsselte Mail mit GnuPG und Enigmail: Wenn Sie versuchen, verschlüsselt zu senden, aber für den Adressaten kein Schlüssel vorliegt, öffnet sich automatisch die Schlüsselverwaltung.

9. Verschlüsselte Browser-Synchronisierung

Die Browser-Synchronisierung von Lesezeichen, Einstellungen, Erweiterungen und Skins bedeutet für Nutzer mehrerer Geräte unschätzbaren Komfort. Bedenklich scheint allerdings der Nebenaspekt, dass dabei Mengen von persönlichen Daten auf Google- oder Mozilla-Servern hinterlegt werden müssen.

Empfehlung: Firefox verschlüsselt standardmäßig alle Daten, wobei der Schlüssel auf dem Gerät des Benutzers verbleibt. Damit ist der Mozilla-Browser in puncto Datenschutz erste Wahl. Jedoch lässt sich auch der Google-Browser so einstellen, dass alle Synchronisierungsdaten sicher verschlüsselt sind.

Abhörsichere Synchronisierung für Chrome/Chromium: Standardmäßig werden hier nur die Kennwörter verschlüsselt. Aber unter „Einstellungen -> Erweiterte Synchronisierungseinstellungen“ (vorherige Google-Anmeldung vorausgesetzt) gibt es die Option „Alle synchronisierten Daten […] verschlüsseln“, bei der Sie ein individuelles Kennwort zur Sync-Verschlüsselung vergeben, das unabhängig vom Google-Kennwort ist. Der Komfortverlust ist nicht gravierend, da Sie dieses Kennwort auf jedem weiteren Gerät nur ein einziges Mal eingeben müssen. Damit landen sämtliche Daten verschlüsselt auf dem Google-Server, der Schlüssel dazu (Kennwort) verbleibt auf dem lokalen Gerät.

Sync-Daten verschlüsseln: Diese Maßnahme hält Googles Big-Data-Sammler von Lesezeichen und Verlaufsdaten fern.

10. Verschlüsselung im Internet

Der Datenaustausch über unverschlüsselte Verbindungen ins Internet kann im Klartext mitgelesen werden. Das gilt verschärft in öffentlichen Funknetzen, innerhalb von lokalen Firmennetzen und theoretisch auch außerhalb des lokalen Netzwerks an Verteilerknoten, die von Providern, Geheimdiensten oder Hackern abgehört werden. Im Fokus stehen die meistgenutzten Protokolle HTTP (Webseiten) und FTP (Datentransfer). Die folgenden Infos beziehen sich ausschließlich auf die Client-Seite des Web-Nutzers, nicht auf die Server-Seite des Betreibers.

HTTP und HTTPS: Im Sinne des Datenschutzes ist, wo immer möglich, auf verschlüsselte Verbindung zu achten. Zwingend erforderlich ist dies überall, wo zur Anmeldung persönliche Zugangsdaten verschickt werden (Bank, Online-Shop). Alle Browser zeigen sichere (HTTPS-) Web-Adressen in der Adresszeile mit einem grünen Schloss-Symbol an. HTTPS garantiert, dass es für Kriminelle und Geheimdienste selbst dann nichts Lesbares zu lesen gibt, wenn der Angreifer im Netz sitzt und den Netzverkehr abhört.

Firefox und Chrome signalisieren unverschlüsselte HTTP-Sites explizit als „nicht sicher“. Dies ist kein Urteil über die Seriosität der Website, sondern ausschließlich die Aussage, dass eine Site keine TLS- (Transport Layer Security) oder SSL-Verschlüsselung bietet (Secure Socket Layer). Datenschutztechnisch noch einen Schritt weiter geht Firefox, der Anmeldungen auf unverschlüsselten Seiten automatisch bremst: „Diese Verbindung ist nicht verschlüsselt…“. Das ist im Prinzip verdienstvoll, kann aber – insbesondere bei lokalen Servern (Router, NAS) – auch nerven und über „about:config“ deaktiviert werden („security.insecure_field_warning…“).

FTP, FTPS und SFTP: Das File Transfer Protocol (FTP) bietet keine Verschlüsselung. Daher sollten Sie sich die Anmeldung auf unverschlüsselten FTP-Servern zumindest in öffentlichen WLANs verkneifen. Man mag sich als Client-Nutzer auf den Standpunkt stellen, das Sicherheitsproblem sei Sache des Server-Betreibers. Jedoch fällt der Erstverdacht zunächst auf den Client-Nutzer, wenn dessen unverschlüsselte Anmeldedaten abgegriffen und destruktiv missbraucht werden. Sicherheitsbewusste FTP-Betreiber werden FTPS (FTP mit SSL- oder TLS-Verschlüsselung) anbieten. FTP-Clients wie Filezilla zeigen im Servermanager unter „Verschlüsselung“ an, ob die Verbindung abhörsicher ist.

Eine sichere Alternative zu FTP ist der Datenaustausch über SSH, das über sein Protokoll SFTP auch die direkte verschlüsselte Dateiübertragung vorsieht. Mit den ähnlich klingenden Protokollen FTP und FTPS hat das nichts zu tun, sondern mit SSH-Servern, die auf Linux-Systemen SSH-Verbindungen entgegennehmen. Mit Rücksicht auf Windows-Systeme, die standardmäßig keinen SSH-Client enthalten, bleibt FTP und FTPS das verbreitete Austauschprotokoll. Wirklich triftig ist diese Rücksicht auf Windows allerdings nicht, da der auch unter Windows vielgenutzte FTP-Client Filezilla auch das Protokoll „SFTP – SSH File Transfer Protocol“ beherrscht.

Firefox ultravorsichtig: Der Mozilla-Browser zeigt bei Anmeldungen auf unverschlüsselten Web-Seiten diese Warnung.

Exkurs: Unentbehrlicher Browser-Tipp

Mit dem Thema „Verschlüsselung“ hat dieser kleine Exkurs nichts zu tun, aber viel mit dem verwandten Thema „Datenschutz“: Wer gerade vorhat, sich eine Jacke, Gitarre oder Kettensäge zu kaufen, sollte die Angebote tunlichst nicht über normales Google & Co. recherchieren. Dann sieht man nämlich die nächsten Wochen im Web überall nur noch Jacken, Gitarren und Kettensägen. Einfache Abhilfe schafft der „Private Modus“ im Firefox oder „Inkognito“ bei Chrome. Damit können Sie in Google & Co. suchen, ohne die Werbeindustrie über Ihre Interessen zu informieren. Wer solche Belästigung generell hasst, kann auch die Suchmaschine duckduckgo.com verwenden – dort ist der Datenschutz inklusive.


Veracrypt-Verschlüsselung

Truecrypt und der Nachfolger (Fork) Veracrypt sind faszinierende Verschlüsselungssoftware und beste Wahl für mobile Rechner und Datenträger. Dieser Beitrag erklärt den Umgang und plädiert für das KISS-Prinzip („Keep it simple, stupid“).

Die jüngsten Versionen von Ubuntu und allen Abkömmlingen haben die Nachfrage nach einer zuverlässigen Verschlüsselungssoftware wieder schlagartig erhöht. Seit das Home-Verzeichnis nicht mehr standardmäßig ab Installation durch Ecryptfs geschützt werden kann, muss vor allem auf mobilen Notebooks eine Alternative her. Auch USB-Datenträger, die persönliche Daten enthalten und viel unterwegs sind, brauchen Verschlüsselungsschutz. Der Truecrypt-Nachfolger Veracrypt ist hierfür allererste Wahl.

Veracrypt im Kurzporträt

Veracrypt ist Open-Source-Software und kann daher keine geheimen Hintertüren für Geheimdienste verbergen. Es eignet sich für große und sehr große Datenmengen, allerdings nicht für den Transfer in die Cloud, da auch bei geringen Datenänderungen immer der Transport eines gesamten Volumes („Container“) notwendig wäre. Die Verschlüsselungstechniken und nebenbei auch die Benutzeroberfläche, stehen überwiegend auf der Basis des eingestellten Vorgängers Truecrypt, der als praktisch unüberwindbar eingestuft wurde. Das mysteriöse Ende von Truecrypt im Jahr 2014 wurde damals mit angeblichen Sicherheitslücken begründet, die jedoch nie nachgewiesen wurden. Dies lässt bis heute Gerüchte blühen, dass Truecrypt keineswegs fehlerhaft, sondern im Gegenteil zu gut war, um noch länger von staatlicher Exekutive und/oder Wirtschaft geduldet zu werden.

In der Tat geht der Anspruch von Truecrypt und dem Nachfolger Veracrypt deutlich über so harmlose Datenschutzmotive hinaus, Mitarbeiteradressen oder Gehaltstabellen zugriffssicher zu verschlüsseln. Truecrypt/Veracrypt haben das Potential, auch die Daten von strafrechtlich oder politisch Verfolgten zu schützen, die mit professionellen Computerforensikern als Gegner rechnen müssen.

Für „normale“ Nutzer mit legitimen Ansprüchen auf Privatsphäre ist diese Komplexität von Veracrypt durchaus ein Problem: Container, Volume, Partition, Standard/Versteckt, Verschlüsselungsalgorithmus, Hash-Algorithmus, Passwort, PIM, Keyfiles, Dateisysteme, Header-Daten, Cache-Daten – das sind anspruchsvolle und in Veracrypt überall präsente Begriffe. Da muss man erst den Überblick gewinnen, was nun wirklich relevant ist oder doch eher in die Paranoia-Ecke gehört. Der Nutzer sollte sich auf das für ihn Notwendige konzentrieren. Wer mit Veracrypt-Optionen leichtfertig spielt, erzielt schnell maximalen Datenschutz – indem er sich selbst aussperrt.

Im Veracrypt-Assistenten: Anfänger sollten sich an die einfachen Optionen halten, Standards übernehmen und elaborierte Möglichkeiten erst mal ignorieren (hier „PIM“ und „Keyfiles“).

Wie jede Software ist auch Veracrypt nicht fehlerfrei. 2016 wurde ein Bug bekannt, durch den sich versteckte Volumes nachweisen lassen (zu versteckten Volumes siehe gleichnamigen Kasten). Dieser Bug ist seit Version 1.18a behoben, aktuell ist Version 1.22. Eine weitere Anfälligkeit ist akademisch und betrifft außerdem ausschließlich die Komplettverschlüsselung von Festplatten oder sogar der Systempartition (nur in der Windows-Variante). Die theoretische Lücke kann bei physischem Zugriff einer Fremdperson nach einer Speicheranalyse die Passwortlänge preisgeben.

Weitere theoretische Angriffsszenarien sind nicht spezifisch, sondern gelten generell für jedes kryptografische Verfahren: Die Kennworteingabe kann auf kompromittierten Rechnern durch Keylogger bespitzelt werden. Ferner beherrschen Forensiker Kaltstartattacken, bei welchen nach einem Neustart mit einem Minimalsystem der RAM-Speicher ausgelesen wird, der für kurze Zeit noch den gesamten Inhalt inklusive Kennwörter preisgeben kann.

Noch zwei allgemeine Hinweise:

1. Der Einsatz von Veracrypt erfordert immer wieder Geduld: Das Laden („Mount“), mehr noch das Entladen („Dismount“) ist häufig zäh, sollte Sie aber keinesfalls veranlassen, den Vorgang durch ein „Auswerfen“ des Datenträgers mit Betriebssystem-Werkzeugen oder durch schlichtes Abziehen eines USB-Medium zu unterbrechen.

2. Beim Hantieren mit Veracrypt-Containern werden Sie zusätzlich zum Container-Passwort auch nach dem sudo-Kennwort gefragt werden, das mit dem Veracrypt-Passwort nichts zu tun hat und vermutlich anders lautet.

Plattformen und Installation

Anlaufstelle ist die Projektseite https://www.veracrypt.fr/en/Downloads.html. Veracrypt gibt es für Linux (auch Free BSD, Raspbian), Windows und Mac OS. Somit steht einer plattformübergreifenden Nutzung nichts im Wege. Für Windows gibt es sogar neben der installierbaren eine portable Variante, was die Mitnahme der Veracrypt-Software parallel zu den verschlüsselten Daten auf USB ermöglicht. Generell ist Veracrypt für Windows nochmal deutlich komplexer, da es auch Systempartitionen verschlüsselt und für externe Datenträger eine In-Place-Verschlüsselung anbietet – also die Verschlüsselung bestehender Datenträger ohne Datenverlust.

Unter Mac OS ist neben Veracrypt das zusätzliche OSXFUSE erforderlich, um Veracrypt-Container mit Benutzerrechten laden zu können. Unter Ubuntu, Mint & Co. ist die Installation über die genannte Webseite zwar möglich, der deutlich bequemere Weg führt jedoch über das PPA:

sudo add-apt-repository ppa:unit193/encryption
sudo apt-get update
sudo apt-get install veracrypt

Im Unterschied zur Windows-Version bietet Veracrypt unter Linux keine deutsche Übersetzung, weswegen wir uns bei den nachfolgenden Menübezeichnungen an die englischsprachigen halten.

Veracrypt ist ein Tool für PCs und Notebooks. Smartphone und Tablets mit Android und iOS werden nicht direkt unterstützt. Die nachfolgend der Vollständigkeit halber genannten Apps sollten zumindest das Öffnen und Lesen von Veracrypt-Volumes ermöglichen. Mit technischen Limits und Komforteinschränkungen ist jedoch überall zu rechnen. Für Android finden Sie im Google Play Store das Tool EDS (Encrypted Data Store) in einer kostenlosen Lite-Version: (goo.gl/Ce6wmg) und der Vollversion für 7,49 Euro (siehe goo.gl/1gsakw). Die Lite-Version hat gravierende Beschränkungen (siehe http://www.sovworks.com). Für iOS gibt es den Crypto Disks & File Explorer (goo.gl/vT4yNJ) und Disk Decipher (goo.gl/QGdkdq) für je einen Euro.

Verschlüsselter USB-Stick: Das Systemtool Gnome-Disks (rechts) zeigt an, dass es mit diesem Datenträger nichts anfangen kann. Nur Veracrypt kann ihn mounten.

Datencontainer oder Datenträger?

Veracrypt für Linux kann mit verschlüsselten Containerdateien arbeiten oder komplette (externe) Datenträger verschlüsseln. Die erste Variante ist die technisch einfachere und auch vom Assistenten („Creation Wizard“) die stets empfohlene.

Datenträgerverschlüsselung: Da Veracrypt unter Linux einen Datenträger oder eine Partition komplett löschen und neuformatieren muss, um ihn danach verschlüsselt anzubieten, gibt es nur einen nennenswerten Grund für die Komplettverschlüsselung interner oder mobiler Laufwerke: Der Datenträger soll sich wie ein unformatiertes Laufwerk verhalten. Ein Veracrypt-Laufwerk präsentiert sich unter Linux nämlich als unbekanntes Dateisystem, und Windows will es umstandslos sofort formatieren. Nur Veracrypt selbst kann das Laufwerk laden.

Ist dies gewünscht, dann verwenden Sie im Veracrypt-Assistenten nach „Create Volume“ die Option „Create a volume within a partition/drive“, danach „Standard VeraCrypt volume“ und wählen dann mit „Select Device“ den Datenträger. Das Gerät selbst, etwa /dev/sdc, können Sie nur verwenden, wenn der Datenträger im Rohformat ohne jede Partition vorliegt. Typischerweise ist eine Partitionsangabe wie /dev/sdc1 die richtige Wahl. Wenn nur eine Partition vorliegt, ist das Resultat von /dev/sdc und /dev/sdc1 dasselbe. Wenn der Datenträger keine unverschlüsselte Partition enthalten soll, sorgen Sie vorab mit Gparted oder Gnome-Disks dafür, dass keine oder nur eine Partition vorliegt. Alle weiteren Optionen der Einrichtung unterscheiden sich nicht vom Anlegen eines einfacheren Containers, das nachfolgend genauer beschrieben ist. Für das Mounten verschlüsselter Datenträger verwenden Sie im Veracrypt-Hauptfenster statt „Select File“ (für Container) die Schaltfläche „Select Device“.

Dateisysteme: Sollen Veracrypt-Daten unter Linux wie Windows funktionieren, ist ein kompatibles Dateisystem wichtig – einmal für den Datenträger, zum andern für den Container.

Datencontainer: Um eine neue Containerdatei anzulegen, klicken Sie im Hauptfenster auf „Create Volume“, dann auf „Create an encrypted file container“ und auf “Standard VeraCrypt volume“. Hier geben Sie Pfad und Namen einer bisher nicht existierenden Datei an. Unter „Encryption Options“ belassen Sie alles auf den Standardvorgaben. Danach geben Sie die Größe der Containerdatei an. Diese sollte großzügig ausfallen, weil die Kapazität nicht mehr zu ändern ist. Veracrypt verwaltet auch sehr große Container mühelos, andererseits bedeuten viele kleine Container erhöhten Verwaltungsaufwand und die Gefahr, Einstellungen und Passwörter zu vergessen.

Danach kommt die Passwortvergabe. Speziellere Optionen bei diesem Schritt sind im nächsten Punkt beschrieben. Für die meisten Szenarien ist ein komplexes Passwort völlig ausreichend. Die anschließenden „Format Options“ gelten für das innere Dateisystem des Containers und sind wichtig: Wählen Sie am besten FAT oder NTFS, wenn Sie die Daten auch unter Windows brauchen. Mit anderen Worten: Ein USB-Stick, den Sie unter allen Systemen nutzen möchten, muss nicht nur selbst ein allgemein kompatibles Dateisystem haben, sondern auch der Veracrypt-Container muss mit einem solchen formatiert sein. Im Allgemeinen kann man bei der Container-Formatierung mit NTFS nichts falsch machen. FAT genügt auch, sofern der Container keine Dateien größer als 4 GB aufnehmen muss.

Die nächste Option lautet „Cross-Platform Support“. Hier muss die obere Einstellung aktiviert werden, wenn ein Container auch in anderen Betriebssystemen genutzt werden soll („I will mount the volume on other platforms“). Beachten Sie aber, dass es sich hier nur um ein zusätzliches Container-Flag handelt, das nichts nützt, wenn das Dateisystem des Datenträgers plus das Dateisystem des Containers nicht kompatibel sind (siehe oben).

Zur Schlüsselerstellung auf Basis des Passworts erwartet Veracrypt danach Mausbewegungen im eigenen Fenster. Schließen Sie den Vorgang am Ende mit „Format“ ab. Damit ist der Container einsatzbereit.

Um Container zu verwenden, navigieren Sie mit „Select File“ im Hauptdialog zur Containerdatei. Mit Klick auf „Mount“ wird diese im Dateimanager geöffnet (falls nicht, lässt sich das unter „Preferences -> System Integration“ einstellen). Linux mountet Container nach „/media/veracrypt[nummer]“, Windows auf freie Laufwerkbuchstaben. Auf diesen Datenträgern lesen und arbeiten Sie wie auf einem normalen Laufwerk. Mit „Dismount“ im Hauptdialog entladen Sie den Container, der somit wieder geschützt ist.

Ob Sie Container oder Datenträger mounten wollen, müssen Sie selbst wissen. Hier ist es ein USB-Stick („Datenträger“) unter Windows, mit dem Windows selbst nichts anzufangen weiß.

Anspruchsvollere Passwort-Optionen

Bei der Passwortvergabe haben wir im vorangehenden Abschnitt zwei Optionen übergangen, weil wir sie für die Basisbenutzung von Veracrypt nicht empfehlen. Interessant sind sie durchaus, aber sie erhöhen Komplexität und Verwaltungsaufwand.

Container mit Passwort und PIM: Beim Erstellen des Containers gibt es im Dialog der Passwort-Definition die zusätzliche Option „Use PIM“. Hier kann eine Zahl eingetragen werden. Geschieht dies, so genügt das richtige Kennwort zum Öffnen dieses Containers nicht mehr. Hier ist dann zusätzlich die exakte PIM-Zahl erforderlich. Vereinfacht gesagt, handelt es sich um ein zusätzliches Kennwort für deutlich erhöhten Schutz. Technisch definiert der Personal Iterations Multiplier die Anzahl der Wiederholungen von Hashfunktionen, die dann beim genauen angegebenen PIM-Wert den Entschlüsselungsheader generieren. Beachten Sie, dass ein hoher PIM-Wert den Mount-Vorgang eines Volumes deutlich verzögert. Das einmal geladene Volume ist dann aber so schnell wie gewohnt.

Container mit Passwort und Keyfile: Der Passwortdialog hält noch eine weitere interessante Möglichkeit parat – nämlich die „Keyfiles“, Schlüsseldateien. Dabei kann es sich um eine beliebige Datei handeln, die Veracrypt zum Öffnen des Containers zusätzlich zum Passwort benötigt. Entscheidend für die Schlüsselfunktion dieser Datei sind deren erste 1024 Bytes, nicht Pfad oder Dateiname. Das heisst, dass sich der Inhalt dieser Schlüsseldatei keinesfalls ändern darf, das Verzeichnis oder der Dateiname jedoch durchaus. Ideale Kandidaten für Schlüsseldateien sind Binärdateien, PDFs oder ISO-Images, die normalerweise nie geändert werden. Ein Keyfile ist wie die PIM-Zahl additiv: Es ersetzt nicht das Passwort, sondern muss zusätzlich vorliegen. Es ist ein guter Schutz gegen Keylogger, weil das Kennwort alleine nicht mehr ausreicht. Das Keyfile kann ferner auch ein schwächeres Kennwort rechtfertigen und die Kennworteingabe verkürzen. Für mobile USB-Laufwerke ist die Keyfile-Methode nicht geeignet. Möglich wäre aber ein geschützter USB-Stick, für welchen das Keyfile sowohl zu Hause wie im Büro vorliegt – aber keinesfalls auf dem Stick selbst.

Container mit Keyfile, aber ohne Passwort: Sie können Veracrypt-Container auch mit leerem, also ohne Kennwort anlegen und sie nur durch Angabe einer Schlüsseldatei öffnen. Das ist aber nicht nur unsicherer, sondern wahrscheinlich auch organisatorisch aufwändiger als sich ein Kennwort zu merken.

Schaltfläche „Volume Tools“: Für einen geladenen Container lassen sich alle bisherigen Einstellungen nachträglich ändern (unter Windows muss der Container ausgewählt, darf aber nicht geladen sein). Das erledigen Sie im Hauptfenster über „Volume Tools“. Sie können ein neues Passwort vergeben oder Keyfiles hinzufügen oder entfernen. Beachten Sie, dass die Aktion in jedem Fall noch einmal eine korrekte Anmeldung mit den bisherigen Daten erfordert (obwohl der Container bereits gemountet ist). Durchaus kompliziert ist etwa die Definition einer neuen Schlüsseldatei („Add/Remove Keyfiles“). Dazu müssen Sie nämlich für die Anmeldung „Use keyfiles“ aktivieren und die bisherige Datei angeben, unter „New“ erneut „Use keyfiles“ aktivieren und dort das neue definieren.

Nachträgliche Änderungen: Mit „Volume Tools“ können Passwort, PIM und Schlüsseldateien eines Containers neu definiert werden.

Versteckte Veracrypt-Volumes

Im zweiten Fenster des Assistenten kann man mit „Hidden VeraCrypt Volume“ einen versteckten Container innerhalb eines sichtbaren Containers anlegen. Der Vorgang beginnt zunächst mit dem „Outer Volume“. Nach Erstellung, Kennwortvergabe und Bestückung mit Dateien (was auch später geschehen kann), führt der Assistent automatisch weiter zum „Hidden Volume“, das im äußeren Container untergebracht wird. Wichtig ist, dass dieser zweite Container ein völlig anderes Kennwort erhält. Nutzt man beim späteren Mounten der Containerdatei das erste Kennwort, so öffnet sich das äußere Volume. Gibt man hingegen das zweite Kennwort ein, öffnet dies das innere, versteckte Volume. Laut Hersteller ist das innere Volume auch bei geöffnetem äußeren Volume und genauer Datenanalyse nicht nachweisbar.

Natürlich sind versteckte Container eine reichlich paranoide Methode, wenn es nur um den Datenschutz einiger Tabellen oder Texte geht. Das Prinzip „Plausible Deniability“ (glaubhafte Abstreitbarkeit) soll dem Datenbesitzer unter Erpressung oder Folter die Möglichkeit geben, ein Passwort preiszugeben – aber eben nicht das entscheidende. Wer tatsächlich mit solcher Situation rechnen muss, sollte im „Outer Volume“ zumindest scheinbar interessante Daten bereithalten.



Angry Search (Dateisuche)

Die Dateisuche in Linux-Dateimanagern genügt für gelegentliche Suchläufe, für häufige Suche in großen Archiven ist sie zu langsam. Das Python-Script „Angry Search“ kann hier aushelfen. Dieser Beitrag bespricht Anspruch und Realität des Tools.

Angry Search hat die erklärte Absicht, das Vorbild „Everything“ unter Windows zu kopieren. Das ist ein ziemlich hoher Anspruch, denn die Freeware Everything gilt Windows-Kennern seit vielen Jahren als Muss: ein stupend schnelles Suchtool mit Suchoperatoren und Serverkomponente, das Millionen Dateien in Millisekunden filtert (www.voidtools.com). Angry Search leistet eine vergleichbar schnelle Instant-Suche beim Tippen der Suchbegriffe, bedarf aber mehr Pflege als sein Windows-Vorbild.

Beachten Sie, dass Angry Search ein reines Dateiwerkzeug ist, das nach Pfaden und Namen sucht, nicht nach Dateiinhalten. Das entspricht seinem Vorbild, das zwar neuerdings optional auch Dateiinhalte durchsuchen kann, dabei aber seinen Leistungsfokus aus den Augen verliert.

Download und Einrichtung

Angry Search ist ein Python-Script (mit drei weiteren Python Hilfsscripts) und somit unter Linux überall lauffähig, da ein Python-Interpreter zum Linux-Standard gehört. Unter https://github.com/DoTheEvo/ANGRYsearch/releases findet sich der Download als zip– oder tar.gz-Archiv, das Sie nach dem Download zunächst an beliebiger Stelle entpacken. Im Terminal suchen Sie dann den entpackten Ordner auf, schalten das kleine Install-Shellscript mit

chmod +x install.sh

ausführbar und starten dieses dann mit diesem Befehl:

sudo sh install.sh

Das war’s schon: Das Script kopiert lediglich einige Python-Scripts nach „/usr/share/angrysearch“ und legt den Link unter /usr/bin/angrysearch.py an. Daher ist spätere eine De-Installation mit dem manuellen Löschen dieser Dateien erledigt.

Nach der Einrichtung ist Angry Search als „ANGRYsearch“ im Hauptmenü oder im Gnome-Dash erreichbar, aber auch im Terminal über den Befehl angrysearch. Download-Archiv und der entpackte Ordner können danach im Prinzip gelöscht werden.

Neben dem benötigten Python-Interpreter hat das Tool nur zwei abhängige Pakete: Das Paket xdg-utils ist auf praktisch jeder Desktop-Distribution anzutreffen, das Paket python3-pyqt5 meistens auch. Sollte nach der Einrichtung der Aufruf scheitern, wiederholen Sie den Start im Terminal mit dem Befehl angrysearch, um die Ursache herauszufinden. Unter Ubuntu Gnome erhielten wir etwa die Meldung:

„No module named ‚PyQt5′“

In diesem Fall fehlt das genannte Paket python3-pyqt5, das Sie mit

sudo apt install python3-pyqt5

schnell nachinstalliert haben.

Suchoptionen und Konfiguration

Beim ersten Aufruf erhalten Sie einige Infos über die Konfigurationsdateien und die fundamentale Nutzung. Diese Startinfo lässt sich jederzeit wiederholen, indem der Dateiindex gelöscht oder der Suchmodus geändert wird. Konfiguration und Index liegen benutzerbezogen unter „~/.config/angrysearch/angrysearch.conf“ und „~/.cache/angrysearch/angry_database.db“. Den Index erstellen Sie im Tool mit der Schaltfläche „update“. Dabei berücksichtigt Angry Search standardmäßig das komplette Dateisystem. Die Indexierung erfolgt auf lokalen Datenträger extrem schnell, bei eingehängten Netzwerkressourcen kann der Vorgang zwei, drei Minuten dauern.

Wenn Sie bestimmte Pfade ausschließen wollen, tragen Sie diese in die angrysearch.conf nach

directories_excluded=

ein – und zwar mit Leerzeichen getrennt (etwa „directories_excluded=/bin /var /etc“). Umgekehrt müssen Sie dafür sorgen, dass der Index tatsächlich alle Ressourcen erfasst, die Sie durchsuchen möchten. Diese müssen also vor dem Klick auf „update“ ordnungsgemäß gemountet sein.

Anders als beim Vorbild Everything ist der Index statisch, muss also von Zeit zu Zeit erneuert werden. Der Entwickler empfiehlt einen Cronjob, wobei einfach das Hilfstool angrysearch_update_database.py alle sechs Stunden gestartet wird. Der Eintrag (nach crontab -e) sieht dann wie folgt aus:

0 */6 * * *
/usr/share/angrysearch/angrysearch_update_database.py

Im Prinzip reicht aber auch im grafischen Tool ein gelegentlicher Klick auf „update“, bevor Sie eine Kaffeepause machen.

Standardmäßig gilt eine einfache UND-Syntax, wobei Angry Search praktisch ohne Verzögerung auf Tippeingaben reagiert: Auf „büro steuer“ wird das Tool vom ersten Buchstaben an das Datenmaterial sofort auf die passenden Dokumente filtern. Teilstrings von Wörtern berücksichtigt das Script nur, wenn Sie das Häkchen rechts vom Suchfeld abschalten. Das Häkchen steht für den schnellsten Modus und ist der Standard, würde aber bei der Eingabe „büro teuer“ keine Dateien zu „Steuer“ finden.

Angry Search hat nach unserer Kenntnis keine darüber hinausgehenden Möglichkeiten mit „NOT“- oder „OR“-Operatoren – so jedenfalls mit dem Standardsuchfeld. Wer höhere Ansprüche hat, muss auf die komplexen Regular Expressions ausweichen, die das Tool mit der Taste F8 anbietet: Nach F8 erhält das Suchfeld eine Orange-Färbung und akzeptiert Regex-Syntax, etwa eine OR-Suche mit „händel|haendel“ oder etwas komplexer:

(händel|haendel).*trio

Angry Search ist auch im Regex-Modus richtig schnell, jedoch haben vermutlich nur wenige Anwender die Kompetenz, aus dem Handgelenk korrekte Regex-Abfragen zu tippen.

Die im Fenster angezeigten Suchergebnisse können Sie einfach per Doppelklick mit dem zugeordneten Standardprogramm laden. Außerdem gibt es nach Rechtsklick die Option „Open Path“, um das Verzeichnis der gewählten Datei im Dateimanager anzuzeigen. Je nach Distribution kann es hier eventuell Korrekturbedarf geben: Beim von uns zufällig genutzten Linux Mint Mate verabschiedete sich Angry Search regelmäßig kommentarlos, wenn für ein Suchergebnis „Open Path“ gewählt wurde. Offensichtliche Ursache war, dass das Paket xdg-utils den Dateimanager Nemo an Angry Search meldet, der Dateimanager in dieser Mint-Variante aber „Caja“ heisst. Dies lässt sich in der Konfigurationsdatei angrysearch.conf über die Zeile

file_manager=caja

leicht korrigieren, sofern man die Ursache erkannt hat.

Fazit: Eine empfehlenswerte Systemergänzung

Wer eine Menge Dateien an Bord hat und eine halbwegs systematische Namensgebung für Ordner und Dateien, sollte sich Angry Search einrichten. Das Tool ist ein phänomenaler Zeitsparer. Ein Beispiel: Die Suche mit dem Dateimanager nach der UND-Verknüpfung „metallica reed“ dauerte mehr als eine Minute, bis sie die Lulu-Suite dieser Band ans Licht beförderte. Etwa doppelt so schnell arbeitet ein find-Befehl im Terminal – mit allen Nachteilen der mühsamen Eingabe und Weiterverarbeitung der Suchergebnisse. Angry Search? Das Tool zeigt die Resultate sofort – noch während des Eintippens. Dabei sollten die Standardeinstellungen im Alltag die besten Ergebnisse liefern, für eine Berücksichtigung von Teilstrings genügt es, das Häkchen neben dem Suchfeld zu deaktivieren. Die optionale Regex-Suche dürfte hingegen die meisten Anwender überfordern. Etwas Erfahrung sollte der Suchtool-Nutzer aber in jedem Fall mitbringen, damit die indexierten Orte stets ordnungsgemäß eingehängt sind, der Index aktuell bleibt (Crontab) und eventuelle Korrekturen in der Konfigurationsdatei (angrysearch.conf) keine Hürde darstellen.

Ob der Entwickler den Vergleich zu Everything suchen sollte, bleibt aber fraglich: Das Windows-Tool aktualisiert dynamisch, bietet erweiterte Suchoperatoren und sogar eine Client-Server-Komponente für die Suche übers Netzwerk.


Schlanke Konfiguration: Die wenigen Einstellungen der Konfigurationsdatei sind auf der Projektseite https://github.com/DoTheEvo/ANGRYsearch gut dokumentiert.


Linux für ältere Hardware

Zurück zur Übersichtsseite…

Mit Hunderten unterschiedlich spezialisierter Distributionen lädt Linux dazu ein, für ältere Geräte passende Systeme und Rollen zu finden. Oder für benötigte Aufgaben sogar gezielt ältere Hardware einzukaufen.

„Linux auf älterer Hardware“ ist ein facettenreiches Thema: Zunächst ist es ja so, dass leichtgewichtige Linux-Desktops und erst recht Server-Distributionen ohne Desktop sehr genügsam sind und daher auf älterer Hardware (5-10 Jahre) und alter Hardware (10-15 Jahre) klaglos laufen. Und dann gibt es ja auch noch Distributionen mit dem spezialisierten Fokus, richtig alte Hardware (15-20 Jahre) mit wenig Speicher und moosalten CPUs wiederzubeleben. Auch 32-Bit-CPUs und CPUs ohne PAE-Erweiterung werden nach wie vor unterstützt.

Ab einer CPU der Pentium-III-Klasse oder AMD Athlon und einem Arbeitsspeicher ab 512 MB (theoretisch ab 256 MB) finden Sie in jedem Fall eine Linux-Distribution, die Windows XP leistungstechnisch ersetzen kann. Generell kommt alles mit den schlanken XFCE- und LXDE-Desktops schwächeren Rechnern entgegen. Die betreffenden Ubuntu-Varianten heißen Xubuntu (mit XFCE) sowie das noch schlankere Lubuntu (mit LXDE/LXQT). Noch Ressourcen-schonender arbeiten Bodhi Linux und Puppy-Varianten.

Das theoretisch mögliche Recycling obsoleter Hardware ist aber letztlich ein Sport ohne Endorphine. Uns geht es hier um ältere Hardware, die unter Linux noch einen richtig guten Job macht. Dabei gibt es eine Reihe von Aspekten und Gegenanzeigen, die manches Altgerät dann doch zum Elektronikschrott erklären. Neben der Hardware geht es natürlich auch um die Aufgabe, die diese Hardware erledigen soll: Geräte, die an einer Desktop-Rolle scheitern, können in anderer Rolle zur Starbesetzung werden.

Platinen-PCs gegen ältere Netbooks/Notebooks

Beim direkten Vergleich solider älterer Hardware kehrt nach etlichen Jahren des Raspberry-Hypes inzwischen gesunder Pragmatismus ein: Man kann und sollte kleine Platinenrechner nicht zu beliebigen Serveraufgaben prügeln. Selbst der aktuellste Raspberry Pi 3 ist mit USB 2.0 und Fast Ethernet oder gedrosseltem Gigabit-Ethernet kein Favorit für die Rolle als Datenserver.

Netbooks und Notebooks haben bauartbedingte Vorteile: Kontrollmonitor, Tastatur, Maus sind ohne Fummelei jederzeit verfügbar. Auch die Stromversorgung für passiv angeschlossene USB-Datenträger ohne eigenen Netzadapter funktioniert zuverlässig, was bei Platinen nicht immer gegeben ist. Mit der oft gar nicht so kleinen Festplatte ab 160, 200 und bis 500 GB ist auch schon mal ein Basislaufwerk an Bord, das neben dem System die wichtigsten Daten aufnehmen kann.

Die Leistung typischer Atom-CPUs von Netbooks liegt mindestens im Bereich des jüngsten Raspberry 3, lediglich schnellste Platinen wie Odroid XU4 oder Asus Tinker Board schneiden im CPU-Benchmark etwas schneller ab. 10 Jahre alte Notebooks sind meistens leistungsstärker als die ARM-CPUs von Platinen. Hinzu kommt auf Notebooks eine vergleichsweise üppige RAM-Ausstattung mit oft 4 GB (Raspberry 1 GB, Netbooks 1-2 GB).

Der Trend: Während der Raspberry-Hype etwas abflaut, ist der dadurch gewachsene Serverbedarf im Heimnetz ungebrochen. Die Home-Admins halten aber vermehrt Ausschau nach älteren, aber soliden Notebooks und Netbooks als Hardware-Basis für den Linux-Server.

Netbooks: Ideal für Nebenrollen

Netbooks hatten 2007 bis 2010 eine kurze Blütezeit, die durch noch handlichere Tablets ab 2010 jäh beendet wurde. Hardwaretechnisch sind die kleinen Geräte komplette PCs, die aber für den Preis von etwa 250 bis 450 Euro gezielt mit kostengünstigen, leistungsschwächeren und stromsparenden Komponenten bestückt wurden. Typisch sind stromsparende Intel-Atom-CPUs (seltener Celeron) mit bis zu 1,66 GHz, 1 GB RAM (seltener 2 GB), drei USB-2.0-Ports, Fast-Ethernet, WLAN (802.11n), Audio-Chip (Mikro-Eingang und Lautsprecher-Ausgang), Kartenleser, kleines Display mit der Auflösung 1024×600 sowie VGA-Ausgang für einen sekundären Monitor (auch Dual-Monitor-Betrieb). Die mechanische Festplatte bietet meistens 160 bis 250 GB. Netbooks arbeiten zwar nicht lüfterlos, sind aber in Regel sehr leise – leiser als Notebooks. Der Stromverbrauch liegt auch bei Hochlast unter 20 Watt, im Leerlauf unter 10 Watt.

Mit diesen Eigenschaften erreicht oder schlägt ein altes Netbook die meisten aktuellen Platinenrechner. Der Fast-Ethernet-Durchsatz (100 MBit/s) lässt sich mit der Investition in einen USB-to-Ethernet-Adapter zusätzlich verbessern. Der Delock Adapter (ca. 21,50 Euro etwa bei www.reichelt.de) mit schnellem USB 3.0 und schnellem Gigabit-Ethernet kommt am USB-2.0.Port eines Netbooks immerhin auf 300 MBit/s – das entspricht dem gleichermaßen gebremsten Gigabit-Netzadapter beim jüngsten Raspberry 3 B+.

Als komplette Arbeits-Desktops werden Netbooks trotzdem nicht befriedigen. Zum Surfen kann aber ein solches Gerät noch genügen, wenn am Desktop gespart, also etwa ein Lubuntu (www.lubuntu.net) oder Bunsenlabs (www.bunsenlabs.org) gewählt wird. Zudem empfiehlt sich als Webbrowser ein Leichtgewicht, das vielleicht nicht alles kann, aber dafür schnell ist. Falkon (Qupzilla) ist hier ein sehr guter Kompromiss und in allen Standardpaketquellen verfügbar – entweder als Paket „falkon“ oder zumindest als Vorgängerpaket „qupzilla“.

Noch besser eignen sich solide Kandidaten wie ein Asus EEE für kleine Serverrollen im Netzwerk. Flaschenhals für den Dienst als Dateiserver ist USB 2.0: Mit dem bereits erwähnten USB-to-Ethernet-Adapter und damit erreichbaren 300 MBit/s sind aber Heimnetzansprüche in der Regel gut erfüllt. Überhaupt keine Gegenanzeigen gibt es, wenn das Netbook Aufgaben übernimmt, die kein hohes Datenaufkommen haben: Das kann etwa ein Mediawiki (benötigt komplettes LAMP-Paket mit Linux, Apache, Mysql und PHP, siehe www.mediawiki.org) oder ein Dokuwiki sein (benötigt Linux, Apache und PHP, siehe www.dokuwiki.org), das alle wichtigen Notizen, Adressen, Bilder im Heimnetz anbietet. Das kann aber auch eine Web-basierte Dokumentensuche mit dem Tool Recoll sein oder eine PDF-Bibliothek mit der Software Calibre.

Professionelles Renovieren („Refurbish“) von Netbooks scheint sich für Händler nicht zu lohnen. Gebrauchte Netbooks finden Sie praktisch nur über Ebay und private Kleinanzeigen. Die typischen Preise liegen zwischen 50 und 100 Euro. Beim Kauf eines gebrauchten Netbooks sollten Sie Atom-CPUs wie N270, N280 oder höher bevorzugen, ferner eine – allerdings seltene – RAM-Ausstattung mit 2 GB.

Homeserver für 200 bis 300 Euro: Dieses gebrauchte Thinkpad-Notebook L440 ist für etwa 200 Euro erhältlich und bringt alles mit, was ein schneller und zuverlässiger Linux-Server braucht.

Notebooks: Refurbished oder B-Ware als Datenserver

Mit soliden älteren Notebooks können selbst leistungsstarke Platinenrechner wie Odroid XU4 oder Banana Pro kaum mithalten. Neben den allgemeinen Vorteilen des Notebooks wie Display, Tastatur, Maus, Stromversorgung für USB kann das Notebook in der Regel die schnellere CPU und mehr RAM vorweisen. Lediglich der Stromverbrauch ist beim Notebook etwas höher: Nicht allzu alte Notebooks verbrauchen bis zu 25 Watt, sehr alte bis zu 40 Watt (Platinenrechner nur circa 4 bis 10 Watt).

Wer keinen Notebook-Oldie vorrätig hat, sondern ein gebrauchtes Gerät für eine Rolle als Datenserver gezielt erwerben will, sollte penibel auf die Input/Output-Komponenten achten. Ideal wäre USB 3.0 in Verbindung mit Gigabit-Ethernet. Fehlendes USB 3.0 lässt sich kaum kompensieren, langsameres Fast Ethernet (100 MBit/s) hingegen relativ leicht durch einen externen USB-to-Ethernet-Adapter mit Gigabit-Leistung.

Gute gebrauchte Notebooks, die alle diese Voraussetzungen mitbringen und sich mit i3-CPU aufwärts und 4 GB RAM aufwärts für Serveraufgaben ideal eignen, kosten typischerweise 150 bis 300 Euro. Solche Notebooks bieten viele Fachhändler an – zum Teil B-Ware mit leichten Mängeln, ferner Vorführgeräte sowie fachmännisch renovierte („refurbished“) Gebrauchtgeräte. Besonders zu empfehlen sind nach unserer Erfahrung die unverwüstlichen Thinkpads von Lenovo, ferner auch Pro Books oder Elitebooks von HP. Andere HP-Serien wie Pavilion sind hingegen qualitativ allenfalls ausreichend. Dell-Notebooks werden im Server-Dauerbetrieb gerne zu heiß.

Eine größere Auswahl finden Sie bei folgenden Händlern (Stand: Anfang 2019):

www.amazon.de (z. B. „Thinkpad gebraucht“ ab 150 Euro)

www.conrad.de („Refurbished“ oder „Vorführware“ ab 199 Euro)

www.pollin.de („Refurbished“ ab 229 Euro)

www.itsco.de/notebooks („B-Ware“ ab 179 Euro)

www.gebrauchtcomputer24.de/ (ab 89 Euro)

www.luxnote-hannover.de (ab 199 Euro)

www.esm-computer.de (ab 219 Euro)

Wer auf die Sicherheit, die der Kauf bei einem Händler bietet, verzichten kann, wird bei Ebay und Co noch günstigere Angebote finden.

Beachten Sie, dass der größte Schwachpunkt gebrauchter Notebook für den Einsatz als stationärer Linux-Server keine Rolle spielt – der Akku nämlich. Wenn Netbooks oder Notebooks im Dauerbetrieb an der Steckdose hängen, können Sie den Akku komplett entfernen. Das verringert auch den Stromverbrauch, weil das Gerät dann keine Veranlassung mehr hat, den Akku nachzuladen. Das Display, das ebenfalls nur eine Nebenrolle spielt und auch mit Pixelfehler für einen Server taugt, sollte per Funktionstasten so dunkel wie möglich eingestellt werden.

Ältere Platinenrechner, PCs und NUCs

Sieben Jahre nach dem ersten Raspberry Pi werden die Nachteile von Einplatinenrechnern deutlich: Sie sind nicht skalierbar und veralten rasend schnell. Wer von Anfang an mitgespielt hat und mehrfach auf leistungsstärkere Nachfolger oder Alternativplatinen umgestiegen ist, hat jetzt vermutlich die eine oder andere Platine in der Schublade, mit der sich nichts Ernsthaftes mehr anstellen lässt. Im Vergleich zu aktuellen Platinen sind die frühen Einkerner mit 512 MB RAM, langsamen Ethernet und fehlendem WLAN bestenfalls noch Bastlermaterial. Wer nicht gerne und hobby-mäßig mit Platinen experimentiert, sondern einfach eine nachhaltige Server-Hardware betreiben will, fährt vermutlich mit einem älteren Netbook, Notebook oder Intel NUC besser.

Schlecht steht es auch um die Verwertbarkeit älterer PCs: Die Größe spricht ebenso gegen einen Einsatz im Wohnzimmerschrank wie die typischen Betriebsgeräusche durch alte Lüfter und Festplatten. Außerdem verbrauchen alte wie neue Tower-PCs typischerweise 50 bis 100 Watt pro Stunde (ohne Monitor) und sind damit per se keine idealen Kandidaten für den Dauerbetrieb. Wenn diese Kriterien für Sie keine Rolle spielen, stellen sich immer noch die üblichen Fragen zur Tauglichkeit von CPU, RAM und I/O-Schnittstellen.

Die für den Servereinsatz attraktiven Mini-PCs der Sorte Intel NUC oder Zotac Zbox sind bei kommerziellen Händlern noch kaum anzutreffen. Auf Ebay und privaten Kleinanzeigen müssen Sie bei dieser Geräteklasse besonders genau verifizieren, ob das angebotene Gerät ein Laufwerk und RAM-Bausteine mitbringt.

HDT: Der Hardware-Check

Wer ein gebrauchtes Notebook gekauft oder ein altes Netbook aus dem Keller gekramt hat, muss erst einmal wissen, welche Hardware in diesem Gerät tatsächlich steckt. Was leistet die CPU tatsächlich, wieviel RAM steckt auf dem Motherboard? Funktioniert die Festplatte noch und wie groß ist sie? Dafür nutzen Sie am besten das Hardware Detection Tool (HDT, http://hdt-project.org). Falls das Gerät kein optisches Laufwerk besitzt, können Sie HDT im Handumdrehen mit

sudo dd if=hdt-0.5.2.img of=/dev/sd[x]

oder unter Windows mit dem Win 32 Disk Imager auf einen USB-Stick kopieren.

In HDT verwenden Sie vorzugsweise den „Menu mode“. Dieser zeigt unter „Summary“ schon mal das CPU-Modell mit Angabe über 32 oder 64 Bit sowie die aktuelle RAM-Kapazität. Genauer wird es unter den Kategorien „Processor“ und „Memory“, die sich mit den Cursortasten ausklappen lassen. Unter „Processor“ erscheinen das CPU-Modell, ferner die Architektur-Info („x86_64“ – „Yes“ oder „No“) sowie alle CPU-Eigenschaften als „Flags“ („pae“, „mmx“ etc.). Infos zu internen Festplatten liefert HDT unter „Disks“,

Fast noch wichtiger für die Tauglichkeit als Datenserver sind aber die Angaben unter „PCI-Devices“: Sie informieren über Grafikkarte, Soundchip, Ethernet (Fast oder Gigabit?), WLAN-Chip (altes 801.11g, brauchbares 801.11n oder sogar aktuelles 801.11ac?). Ein K.O.-Kriterium ist ferner die USB-Version. Wenn das Altgerät optimales USB 3.0 anbietet, erkennen Sie das schon äußerlich leicht an den blauen USB-Buchsen. Ob jedoch tolerierbares USB 2.0 vorliegt oder inakzeptables USB 1.x, ist äußerlich nicht erkennbar und auch unter HDT nicht ganz eindeutig zu ermitteln: Was HDT unter „PCI-Devices“ für den „USB (Host) Controller“ anzeigt, ist oft erst anhand der gezeigten Produkt-IDs zu recherchieren. Allgemein indizieren unter HDT die Abkürzungen „OHCI“ eine USB-Version 1.1, „EHCI“ Version 2.0 und „XHCI“ Version 3.0. Ganz eindeutig ist dies nicht, da auch Bezeichnungen wie OHCI2 auftauchen, was dann immerhin für USB 2.0 spricht.

Wissen, was drinsteckt: Das unabhängige, bootfähige Tool HDT (auf Heft-DVD) analysiert die komplette Hardware.

32- oder 64-Bit-CPU? PAE oder Non-PAE?

Wie Sie einem Rechner Informationen über die CPU-Architektur und die CPU-Eigenschaften entlocken, erklärt der obige Abschnitt „HDT: Der Hardware-Check“. Hier geht es um die Konsequenzen dieser Recherche.

Im Prinzip ist ein 32-Bit-Prozessor kein K.O.-Kriterium. Es gibt immer noch viele prominente 32-Bit-Systeme wie Lubuntu/Xubuntu 18.04/18.10 oder Debian 9.0.5. Auch Ubuntu 18.04 Server ist als 32-Bit-Variante zu finden (http://cdimage.ubuntu.com/netboot/bionic/). Spezialisten für ältere Hardware und damit allesamt auch in 32-Bit-Ausführung verfügbar sind Antix (https://antixlinux.com), Q4-OS (https://q4os.org/) und Bodhi Linux (www.bodhilinux.com). Im Umfeld von Linux-Distributionen erkennen Sie 32-Bit-Varianten an der Kennzeichnung „i386“ und 64-Bit-System an „amd64“, was in diesem Fall keine Einschränkung auf AMD-CPUs bedeutet.

Auch ein fehlendes PAE-Flag ist kein K.O-Kriterium: PAE steht für Physical Address Extension und befähigt 32-Bit-CPUs, mehr als 3,2 GB Arbeitsspeicher zu nutzen. Fehlt dem Prozessor diese Eigenschaft, kann Linux normalerweise nicht starten. Es gibt aber immer noch Distributionen mit einem speziellen Non-PAE-Kernel. Von Bodhi Linux 5.0 gibt es unter (https://sourceforge.net/projects/bodhilinux/files/5.0.0/) ein ISO-Image mit dem Zusatz „legacy“. Antix 17.2 ist auf Altrechner spezialisiert und bietet konsequenterweise auch noch eine Non-PAE-Variante (https://antixlinux.com/download/).

So viel zur Theorie. In der Praxis halten wir Recycling-Experimente mit 32-Bit-CPUs und erst recht mit CPUs ohne PAE-Erweiterung für grenzwertig. Praktisch alle 32-Bit-CPUs und solche ohne PAE sind älter als 15 Jahre und lohnen sich kaum mehr für neue Aufgaben. Nennenswerte Ausnahmen sind die 10 bis 12 Jahre alten Netbooks mit Intel-Atom-CPUs, die zwar größtenteils mit 32 Bit arbeiten, aber für kleine Serverrollen durchaus genügen.

32-Bit-Linux auf 64-Bit-Hardware: Wo nicht mehr taufrische 64-Bit-Hardware vorliegt, müssen Sie nicht unbedingt ein 64-Bit-Linux installieren. Die Vorteile von 64 Bit kommen erst bei mehr als vier GB RAM zur Geltung. Daher empfehlen wir für 64-Bit-CPUs und einer RAM-Ausstattung bis zu 4 GB 32-Bit-Systeme, die mit RAM und Datenträger sparsamer umgehen.

Viel RAM und 32-Bit-Linux? Das folgende Sonderproblem sollten Sie kennen, auch wenn es in der Praxis selten auftreten dürfte: Ein 32-Bit-Linux kann zwar per PAE (Physical Address Extension) mehr als 4 GB RAM nutzen, jedoch muss man jenseits von 8 GB RAM mit einer irritierenden und dramatischen Verlangsamung aller Festplattenzugriffe rechnen. 32-Bit-Systeme schalten den Festplattencache nämlich paradoxerweise ab, wenn mehr als 8 GB RAM vorhanden sind. Abhilfe schafft eine künstliche Begrenzung auf 8 GB in der Datei „/etc/default/grub“:

GRUB_CMDLINE_LINUX_DEFAULT="quiet splash mem=8G"

Besser als diese Maßnahme ist bei solcher Speicherausstattung natürlich die Wahl eines 64-Bit-Systems. Das Dilemma, auf einem Rechner mit 16 GB RAM ein 32-Bit-System wählen zu müssen, weil noch eine 32-Bit-CPU vorliegt, dürfte sich kaum ergeben.

Distributionen ohne Risiko: Lubuntu und Mint MATE

Wenn Sie ältere Hardware pragmatisch, schnell und ohne Lernaufwand wiederbeleben möchten, ist Lubuntu oder Antix Mate erste Wahl: Lubuntu läuft notfalls schon mit 256 MB RAM, bei besser ausgestatteten Rechnern nimmt sich dieses System etwa 300 MB ab Start, als CPU reicht ein Pentium III.

Beide Systeme sind nicht nur sehr genügsam, sondern bieten durch ihren konservativen Desktop mit Hauptleiste inklusive Startmenü jedem XP-Nutzer auf Anhieb eine neue Heimat. Es kommt hinzu, dass beide Distributionen eine zwar anspruchslose, aber vollständige Softwareausstattung mitbringen. Nach der Installation können Sie sofort loslegen.

Infos und Download zu Lubuntu: www.lubuntu.net

Infos und Download zu Antix: https://antixlinux.com

Anpassungen erwünscht: Xubuntu mit XFCE

Das nicht mehr ganz so schlanke Xubuntu sollte sich mit 512 MB RAM und einer CPU ab Pentium IV zufriedengeben. Auf besser ausgestatteter Hardware nimmt es sich aber ab Start bereits circa 400 MB. Für ordentliche Reserven bei der Software ist daher 1 GB RAM zu empfehlen – also noch im Rahmen der typischen Netbook-Ausstattung.

Xubuntu zeigt nach der Erstinstallation kaum Vorzüge gegenüber dem schlankeren Lubuntu oder Mint LXDE. Auch hier findet sich ein klassisches Anwendungsmenü in der Hauptleiste. Der exzellente und ausgereifte XFCE-Desktop zeigt seine Überlegenheit erst bei genauerem Hinsehen: Zum XFCE-Feinschliff gehört das zusätzlich nach Rechtsklick am Desktop stets verfügbare Anwendungsmenü oder das Drag & Drop von Dateien mit rechter Maustaste und folgendem Kontextmenü, wie Sie es unter Windows kennen. Im Hauptmenü unter „Einstellungen“ finden Sie zahlreiche Angebote, Themes, Dateimanager-Verhalten oder die Fensteroptik einzustellen. Die Anpassungsmöglichkeiten für Symbolleisten, Desktop und Dateimanager sind unerschöpflich detailliert, und dies nicht nur optisch. Xubuntu eignet sich besonders für etwas erfahrenere Nutzer, die sich die Oberfläche gerne optimal und individuell anpassen.

Infos und Download zu Xubuntu: http://xubuntu.org

Xubuntu 13.10
Ausgereiftes System für schwächere Hardware: Xubuntu mit XFCE lädt ein zur individuellen Anpassung und hat dabei etwas höhere RAM-Ansprüche als ein Windows XP.

Empfehlung für Bastler: Bodhi Linux

Auch Bodhi Linux basiert auf Ubuntu, davon sieht man aber nichts. Bodhi nutzt als Oberfläche die Eigenentwicklung Enlightenment 17 (E17). Hier wird es Hardware-technisch wirklich minimalistisch, nicht aber optisch-ästhetisch: Bodhi läuft angeblich schon mit 128 MB und einer 300-MHz-CPU. Auf unserem Test-Netbook mit einem GB RAM schlägt Bodhi nach der Anmeldung tatsächlich mit nur 103 MB zu Buche, mehr als 150 MB sind für das reine System auch im Dauerbetrieb nie zu messen. Mit 512 MB oder einem GB RAM hat Bodhi somit richtig Reserven für Browser und Anwendungen.

Was Bodhi noch spektakulärer macht: E17 ist ein ästhetisch ansprechender Desktop, der sich sogar noch verspielte Effekte leistet. Mit der „Einstellungskonsole“ lässt sich jedes winzige Detail der Oberfläche minutiös konfigurieren, Starterleiste „Engage“ und Hauptpanel „Shelf“ können Sie nach Belieben bestücken. Ein globales Startmenü ist beim Klick auf den Desktop jederzeit abrufbereit.

Bodhi hat leider auch Nachteile: So ist ein gemischtsprachiges System in Kauf zu nehmen, und die vorinstallierte Software bringt kaum das Mindeste mit. Neben Nachinstallationen muss der Bodhi-Nutzer auch Geduld mit einigen Ungereimtheiten in den unzähligen Einstellungsoptionen mitbringen.

Ein ganz großer Mangel: Der E17-eigene Dateimanager kann keinen LAN-Zugriff. Daher ist es erste Pflicht, einen zusätzlichen Dateimanager zu installieren. Hier kommen nicht beliebige in Frage, da etwa Nautilus oder Nemo die Desktop-Arbeitsfläche verändern und damit das E17-Design empfindlich stören. Es bietet sich der schlanke pcmanfm an (sudo apt-get install pcmanfm).

Infos und Download zu Bodhi Linux: www.bodhilinux.com
Zukunft und Weiterentwicklung von Bodhi Linux sind leider ungewiss. Die lange angekündigte Version 3.0 kam über den Status als Release Candidate nicht hinaus. Die Aufgabe des vielversprechenden Projekts wäre sehr bedauerlich.

Bodhi Linux
Unglaublich sparsam: Bodhi Linux begnügt sich mit 100 bis 150 MB und bietet trotzdem einen eleganten Desktop – ein System für Nutzer, die sich auf Neues einlassen und kleinere Mängel tolerieren.

Ausgereifter Minimalist: Puppy Linux

Puppy Linux spielt als spezialisierter Minimalist etwa in der Öko-Liga von Bodhi Linux und bietet dabei eine Reihe von Varianten. In erster Linie kommt Precise Puppy in Betracht, weil Sie damit die komplette Software der Ubuntu-Repositories nutzen können. Nach der Anmeldung benötigt das System circa 115 MB, als CPU genügt ein 400 MHz-Prozessor. Anders als Bodhi Linux sieht man Puppy, das primär für den mobilen Einsatz auf USB- und CD-Medien konzipiert ist, seinen Sparkurs deutlich an. Installation und Einrichtung setzen etwas Erfahrung voraus. Ungeachtet seiner pragmatisch-spröden Bedienung hat Puppy Linux 10 Jahre Entwicklung hinter sich und ist neben Bodhi Linux der reifere Minimalist.

Einen ausführlichen Beitrag zu den Puppy-Varianten bietet der Artikel Puppy-Systeme – klein und schnell

Infos und Download zu Puppy Linux: http://puppylinux.org

Zurück zur Übersichtsseite…

Film-Tipps

Diese Seite ist zur Marginalie verurteilt. Ich bin kein Cineast und überdies der Meinung, dass es sehr viele schlechte und noch mehr belanglose Filme gibt, die einen zwei Stunden ganz gut unterhalten mögen, dann aber in noch kürzerer Zeit wieder vergessen sind. Auslöser, hier einige Filme zu feiern, ist ein ganz konkretes Exemplar, ferner die Erfahrung, dass die meisten Filmkritiken über die dämliche Nacherzählung des Handlungsplots nicht hinauskommen.

Winter’s Bone (2010)

Jeder kennt diese subtil bis plump inszenierte Spannung der heilen Welt, in der früh das Grauen anklingt, sich das Böse im Soundtrack und in winzigen Vorboten ankündigt, der Tag mit bunten Farben in der Erzählzeit immer kürzer wird und Horror und Nacht die Welt übernehmen…

„Winter’s Bone“ ist ein Gegenentwurf zu diesem Erzählmuster. Die Welt der 17-Jährigen Heldin (und diese Bezeichnung verdient sie unumstritten) ist alles andere als heil. Eine pflegebedürftige Mutter, zwei kleine Geschwister, der Vater und Ernährer der Familie verschollen. Das Ganze spielt in einer kalten abgelegenen Gegend von Missouri, die so hart und mitleidlos ist wie ihre menschlichen Bewohner. Nur ganz leise, in der Mimik oder einer kleinen Geste schimmert ein Rest von Mitleid und Hilfsbereitschaft. Es ist eindrücklich erzählt, wie schmal der Korridor möglicher Humanität ist, wo jeder mit Härte um seine eigene Existenz zu kämpfen hat. Die Heldin erfährt Kälte, Abweisung und körperliche Gewalt, und in den Gesichtern der Beteiligten einschließlich der Peiniger steht die Hilflosigkeit, dass es keine Alternative gebe. Kriminell oder kleinkriminell sind sie alle. Entschuldigt wird das nicht, aber verstehbar.

Die Handlung treibt die verzeifelte Suche der Heldin nach dem verschollenen Vater. Sie muss ihn finden oder seinen Tod nachweisen, um nicht Haus und Existenz zu verlieren. Diejenigen, die um dessen Verbleib wissen, haben aber nachvollziehbare Gründe, ihre Suche zu verhindern. Am Ende geht die junge Heldin ein Risiko, bei dem der Zuschauer ihre Vernichtung erwarten wird. Dass die kleinen Zeichen für Menschlichkeit und Hilfsbereitschaft schließlich doch siegen, sorgt für ein tröstliches, aber gänzlich unspektakulär inszeniertes „Happy End“.

„Winter’s Bone“ enthält keine einzige Aussage, die direkt politisch oder zumindest politisch deutbar wäre. Ungeachtet dessen sagt der Film mehr über sozial abgehängte Bevölkerungsschichten als zwanzig politische Sendungen, die uns die Befindlichkeit einer Wählerschaft erklären wollen, die ihre letzte Hoffnung in einen Populisten setzen.