Ob Samba, SSH, Terminal, Fstab oder
Desktop-Verknüpfungen: Für die Linux-Konfiguration sind überwiegend Textdateien
zuständig, die zur Bearbeitung einen tauglichen Texteditor erfordern. Wir
nehmen vier Editoren genauer unter die Lupe.
Bei der Administration von Linux-Rechnern sind Texteditoren
die wichtigsten Werkzeuge. Am Desktop sind grafische Editoren wie Gedit und
Kate sicher die bevorzugte Wahl. Universeller – weil auch in virtueller Konsole
und im SSH-Terminal funktionierend – sind aber die textbasierten Editoren für
das Terminal. Diese haben höheren Tipp- und Anpassungsbedarf als Gedit & Co
und erhalten auf den folgenden Seiten gebührende Beachtung.
Der Gnome-Editor Gedit
Der Editor unter allen Gnome-affinen Desktops gehorcht
durchwegs standardisierten Hotkeys zur Textnavigation und Textbearbeitung. Für
Novizen gibt es im Menü sogar die Option „Tastenkürzel“, um sich alle
Hotkeys anzeigen zu lassen. Nichtsdestotrotz erschließen sich nicht alle
Anzeige- und Bearbeitungsmöglichkeiten auf Anhieb.
Die Seitenleiste
(links) ist über „Ansicht -> Seitenleiste“ oder schneller mit F9
einzublenden. Standardmäßig ist dort der Modus „Dokumente“ aktiv, der
die geöffneten Dateien auflistet. Wesentlich nützlicher ist der Modus
„Dateiverwaltung“, den das Plugin „Dateiverwaltungsleiste“
bereitstellt (mehr zu Plugins siehe unten). Damit erhält Gedit eine
Ordnernavigation, die Dateimanager überflüssig macht. Der Hotkey Strg-H blendet
wie im Dateimanager versteckte Dateien ein oder aus. Kontrolle über mehrere
geöffnete Dateien behalten Sie immer noch durch die Tab-Register unterhalb der
Titelleiste.
Das
Übersichtsfenster (rechts) können Sie im Menü unter „Einstellungen
-> Ansicht“ aktivieren. Der Informationswert dieser Miniaturübersicht ist
gering, aber sie erlaubt mit der Maus schnelles Blättern oder Springen an
entfernte Stellen in größeren Texten.
Die Plugins:
Für Gedit gibt es eine ganze Reihe nützlicher Plugins, die standardmäßig nur
partiell installiert und aktiv sind, wie der Gang im Menü zu
„Einstellungen -> Erweiterungen“ zeigt. Alle offiziellen Plugins
erreichen Sie mit dem Befehl:
sudo apt install gedit-plugins
Dies kann in keinem Fall schaden, da Sie in dem oben
genannten Gedit-Dialog immer noch die Wahl haben, ein Plugin zu aktivieren oder
nicht. Neben den „gedit-plugins“ gibt es auch noch das Paket
„gedit-developer-plugins“. Sehr zu empfehlen sind
„Wortvervollständigung“ (Autocomplete-Funktion), die
„Zeichentabelle“, die sich in die Seitenleiste (links) integriert,
und das nachfolgend beschriebene „Snippet“-Tool.
Das Plugin
„Schnipsel“ (Snippets): Dieses Plugin stattet Gedit mit
Textbausteinen aus, die per Hotkey oder besser per Textkürzel (gefolgt von der
Tab-Taste) eingefügt werden. Typische Kandidaten für solche Schnipsel sind Mailsignaturen,
Adressen, Namen, Telefonnummern, IBAN oder auch die Grundsyntax einer
Script-Konstruktion. Für Viel-Schreiber und -Scripter sind solche Schnipsel
eine unschätzbare Hilfe. Bei aktivierter Erweiterung führt der Menüpunkt
„Schnipsel verwalten“ zum Einrichtungsdialog, der in zahlreiche
Scriptsprachen untergliedert ist. Textbausteine unter „Global“ gelten
für alle Texte. Mit der „+“-Schaltfläche entsteht an der gewünschten
Stelle (etwa unter „Global“) ein neuer Eintrag, dem Sie etwa den
Namen „Adresse“ geben. Selbige geben Sie im Textfenster ein und
definieren unten neben „Tabulatorauslösung“ ein Kürzel wie
„adr“. Nach Schließen des Schnipsel-Dialogs ist der Autotext aktiv –
„adr“ und Tab-Taste fügt also die komplette Adresse ein.
Hinweis: Eventuell werden die Snippets zunächst nicht
gespeichert („~/.config/gedit/snippets“), wofür ein offenbar
verbreiteter Fehler bei den Dateirechten verantwortlich ist. Der Terminalbefehl
sudo chmod -R 777 ~/.config/gedit
behebt das Zugriffsproblem.
Suchen und Ersetzen:
Die Funktionen gehorchen den Standard-Hotkeys Strg-F und Strg-H. Der
Ersetzen-Dialog ist durch seine detaillierteren Optionen die generell bessere
Wahl – auch für pure Suche. Gedit kann auch nach Zeilenumbrüchen („\n“), Returns
(„\r“) und Tabulatoren („\t“) suchen, also etwa mit
\nif
nach Zeilen, die mit „if“ beginnen.
Das Syntaxhighlighting:
Gedit versucht automatisch zu erkennen, um welchen Text es sich handelt, und
aktiviert dann das passende, farbige Syntaxhighlighting. Wenn dies
unbefriedigend ausfällt, können Sie unter „“Ansicht ->
Hervorhebungsmodus“ manuell eine andere Scriptsprache oder „Reiner
Text“ auswählen.
Farbschema und Aussehen:
Unter „Einstellungen -> Schrift und Farben“ gibt es die typischen
Farbschemata „Klassisch“, „Kate“, „Kobalt“,
„Oblivion“. Unabhängig vom Farbschema können Sie an gleicher Stelle
die Schriftgröße definieren. Vor allem bei der Fehlersuche hilfreich sind die
Zeilennummern, die Gedit unter „Einstellungen -> Ansicht“
aktiviert.
Automatische
Sicherungskopien: Die Registerkarte „Einstellungen -> Editor“
zeigt zwei Optionen, um bearbeitete Dateien besser zu sichern. Sowohl die
„Sicherungskopie“ als auch „Auto-Speichern“ im angegebenen
Minutenintervall sind unbedingt zu empfehlen.
Xed: Der Editor des Mint-Teams
Im Zuge der Entwicklung Desktop-unabhängiger X-Apps
arbeitet das Team von Linux Mint am Editor Xed. Diese Textbearbeitung
unterscheidet sich äußerlich erheblich von Gedit durch ein klassisches Menü, eine
Werkzeugleiste und im Hauptfenster integriertem „Suchen/Ersetzen“. Dennoch
ist Xed wie Pluma (Mate-Desktop) ein Gedit-Fork mit praktisch identischer Funktionalität.
Die Bedienung von Xed erscheint uns etwas
übersichtlicher, aber triftige inhaltliche Gründe, Gedit gegen Xed (ppa:embrosyn/xapps)
auszutauschen, gibt es nicht. Im Gegenteil: Xed kann bislang nicht die Menge an
Plugins anbieten wie sein Vorbild Gedit. Einzige Ausnahme ist das Xed-exklusive
Plugin „Floskelliste“, das sich in die linke Seitenleiste (F9)
integriert und vor allem für HTML-Coding alle wichtigen Tags anbietet, die dann
einfach per Doppelklick in das Textfenster übernommen werden.
Nano: Standardeditor im Terminal
Nano ist für das Terminal vorinstallierter Standard unter
Ubuntu, Mint, Debian und Co. Das unterschätzte Tool wird im SSH-Terminal und in
virtuellen Konsolen meistens nur als Notnagel akzeptiert. Dabei erlebt der 20
Jahre alte Editor eine erstaunlich dynamische Entwicklung. Aktuelle Versionen
2.9 bis 3.2 bieten bei Navigation und Markieren fast den Standard grafischer
Editoren und zudem erweiterte Anpassungsmöglichkeiten über die
Konfigurationsdatei „nanorc“. Die noch in vielen Distributionen
vertretenen, älteren Nano-Versionen bis 2.5 benutzen hingegen eigenwillige
Hotkeys, die man sich entweder angewöhnen muss oder umbelegen kann.
Neuere Nano-Versionen folgen dem Standard anderer
Editoren, mit Umschalt-Taste und Cursortasten Text zu markieren. Bei älteren
Nano-Versionen ist der Hotkey Alt-A erforderlich, um eine Markierung ab der
Cursorposition zu starten. Danach erweitern Sie die Markierung durch
Cursortasten. Erneutes Alt-A beendet die Markierungsaktion. Der Hotkey Alt-A funktioniert
auch noch im neuesten Nano, ist dort aber nicht mehr unbedingt notwendig.
Markierte Texte lassen sich mit Alt-6 kopieren, mit Strg-K ausschneiden, Strg-U
ist der Hotkey, um Textinhalte wieder aus der Zwischenablage zu holen. Nützlich:
Strg-K löscht eine komplette Zeile ungeachtet der Cursorposition.
Die Navigation im Text erfolgt durch Cursor- und
Bild-Tasten, sowie Pos1 und Ende. Neuere Versionen verwenden außerdem
Strg-Pos1/Ende, um zum Beginn oder Ende der ganzen Datei zu springen.
Strg-U ist der Hotkey, um die letzte Aktion rückgängig zu
machen. Allerdings ist die Undo-Funktion nicht standardmäßig aktiv. Sie können
Sie in der Nano-Konfigurationsdatei mit der Direktive
set undo
scharf schalten.
Die Konfigurationsdatei:
Das Anpassen der globalen Konfigurationsdatei /etc/nanorc (mit Root-Recht) oder
besser einer benutzerspezifischen Kopie unter ~/.nanorc lohnt sich definitiv. Hier
finden Sie zahlreiche auskommentierte Optionen wie etwa die Anweisungen
set backup
und
set backupdir [Pfad]
Wird „set backup“ aktiviert (führendes
„#“ löschen), erstellt Nano immer eine Sicherungskopie vom letzten
Zustand im Pfad der Originaldatei. Mit aktiviertem „backupdir“
entstehen im angegebenen Zielpfad sogar durchnummerierte Versionssicherungen
aller Bearbeitungsschritte. Das angegebene Backup-Verzeichnis muss natürlich
existieren. Nützlich sind ferner die Optionen
set linenumbers
zur Anzeige der Zeilennummer, „set
positionlog“, das bei neuerlicher Bearbeitung einer Datei sofort zur
letzten Bearbeitungsstelle springt, sowie „set mouse“, das
Positionieren und Markieren mit der Maus erlaubt.
Nano unterstützt außerdem Farbanpassungen. Beachten Sie,
dass die Nano-Farbeinstellungen zu den globalen Terminalfarben passen müssen. Späteres
Umstellen der Terminalfarben kann dazu führen, dass die Nano-Farben schlecht
lesbar werden. Nano kann Elemente wie die Titelzeile („titlecolor“),
die Statuszeile („statuscolor“), markierten Text
(„selectedcolor“ – nur in neuesten Versionen) und die Infozeilen
unten einfärben („keycolor“ und „functioncolor“). Als
Farben gibt es die üblichen acht Ansi-Farben (Black, White, Red, Green, Blue,
Yellow, Cyan, Magenta). Die Abbildung zeigt ein Beispiel für geänderte
Farbeinstellungen und die zugehörigen „set“-Befehle.
Eine der interessantesten Anpassungen sind die Hotkeys,
die bei Nano zum Teil sehr gewöhnungsbedürftig ausfallen. Die Hotkey-Belegung ist
ebenfalls global in der Datei /etc/nanorc oder User-spezifisch in ~/.nanorc
möglich. Die Liste aller Nano-Funktionen, die Sie auf andere Hotkeys legen
können, ist unter https://www.nano-editor.org/dist/v3/nano.html#Rebinding-Keys
dokumentiert. Die Hotkeys sind in der Konfigurationsdatei in der
Form „^“ (Strg) und „M-“ (Alt) zu hinterlegen. Um also etwa
das typische Strg-C für das Kopieren von Text zu definieren, wäre folgende
Zeile in der Datei nanorc zu vergeben:
bind ^C copytext main
Die Abbildung der Konfigurationsdatei auf dieser Seite
zeigt eine Reihe von geänderten Hotkeys, welche die Bedienung des Editors durch
standardisierte Tastenkombinationen vereinfacht. Neben den Standards Strg-C|V|X
zur Textbearbeitung reagiert Nano danach auch auf Strg-F (Suche) und Strg-Q
(Beenden). Beachten Sie, dass Strg-C nach dem obigen Bind-Befehl in allen
Untermenüs – etwa im Kontext „Speichern“ – weiterhin als
Abbruch-Hotkey arbeitet. Nur im „Main“-Bereich, also im Textfenster,
erhält Strg-C seine neue Rolle.
Startparameter:
Alle Einstellungen der Konfigurationsdatei nanorc lassen sich auch über Parameter
beim Nano-Start anfordern. Ausgenommen sind lediglich die Farbdefinitionen und
die Hotkey-Umbelegung. Im Allgemeinen ist es sinnvoller, die Nano-Optionen
dauerhaft in der Konfiguration abzulegen, jedoch gibt es Ausnahmen: Die oben
genannten Direktiven „set backup“ und „set backupdir
[Pfad]“ sind nicht für jede Dateibearbeitung nötig und daher besser ad hoc
anzufordern. Der Befehl
nano -B [Datei]
würde eine Sicherungskopie der editierten Datei anlegen,
und
nano -C ~/nanoback [Datei]
legt bei jedem Speichern eine Versionssicherung an.
Eine ebenfalls nützliche Vorgabe, die in der
Konfigurationsdatei
set const
lautet, kann beim Start mit
nano -c [Datei]
geladen werden. Dann bleibt unten die Statuszeile
permanent aktiv, welche unter anderem die aktuelle Zeilenziffer anzeigt. Dies
ist vor allem bei älteren Versionen nützlich, die eine „set
linenumbers“ oder den Startbefehl „nano -l“ noch nicht
beherrschen. Die komplette Palette der Nano-Startparameter zeigt die
Dokumentation unter https://www.nano-editor.org/docs.php.
Mcedit: Editor des Midnight Commander
Auf jedem Linux-System mit installiertem Midnight
Commander gibt es auch Mcedit. Auch dieser Editor wird unterschätzt und ist zunächst
nicht einmal im Midnight Commander selbst als Standard vorgesehen. Dies lässt
sich unter „Optionen -> Konfiguration“ mit der Einstellung
„Internen Editor benutzen“ ändern. Danach ist für das Bearbeiten von
Dateien (F4) Mcedit zuständig.
Mcedit ist aber ein unabhängiger Terminaleditor, den Sie auch ohne sein Hauptprogramm
verwenden können:
mcedit [datei]
Mcedit zeigt die wichtigsten Bearbeitungs-Hotkeys unten an, nach F9 oder
nach Klick auf die obere Infozeile erscheint ein opulentes Menü. Wer dieses
Menü immer im Blick haben will, kann das bis zum Schließen des Editors über
„Fenster -> Vollbild umschalten“ erreichen, was zugleich den
Fenstermodus des Editors aktiviert. Wie das Menü „Fenster“ durch
weitere Optionen anzeigt, beherrscht Mcedit nämlich den Umgang mit mehreren
Dateien. Das kann zwar auch Nano, aber nicht mit der eleganten Fensterteilung
wie Mcedit, die fast grafischen Komfort erreicht: Wenn Sie mehrere Dateien über
„Datei -> Datei öffnen“ oder direkt per mcedit-Aufruf geladen
haben, dann lassen sich die Dateien (nach „Fenster -> Vollbild
umschalten“) skalieren und verschieben. Am Desktop funktionieren diese
Aktionen exakt und komfortabel mit der Maus (Skalieren mit der Ecke rechts
unten, Verschieben mit dem oberen Fensterrahmen); in der virtuellen Konsole
erledigen die Cursortasten nach „Fenster -> Größe ändern“ bzw.
„Fenster -> Verschieben“ das Arrangement.
Mcedit bietet farbige Syntaxhervorhebung unter „Optionen ->
Allgemein“ und die Auswahl der Scriptsprache unter „Optionen ->
Syntaxhervorhebung“. Auch in diesem Punkt ist Mcedit ausgereifter als Nano.
Eine Sortierfunktion finden Sie unter „Format“, eine Codepage-Auswahl
unter „Befehl -> Kodierung“. Auch das Suchen (F7) und Ersetzen
(F4) von Text ist optionsreicher als unter Nano. Nützlich: Strg-Y löscht
eine komplette Zeile ungeachtet der Cursorposition.
Einige fundamentale Textfunktionen sind gewöhnungsbedürftig: So ist der
Text beim Verschieben erst mit der Maus (oder mit Umschalt-Taste und Cursor) zu
markieren, anschließend mit Cursor oder Bild-oben/unten an die gewünschte
Stelle zu navigieren und dann mit F6 das Verschieben auszulösen. Hier lohnen
sich Anpassungen der mc.keymap (siehe unten). Der alte Modus beim Markieren,
mit F3 zunächst die Markierfunktion aufzurufen, ist nicht mehr notwendig, da
das standardisierte Markieren mit Umschalt-Taste funktioniert. Der F3-Modus
besteht aber fort, und ist für die Windows-SSH-Clients Putty/Kitty weiterhin
unentbehrlich.
Anpassung der
Hotkeys: Trotz des alternativen Menüangebots von Mcedit machen angepasste
Tastenkombination die Bedienung einfacher, wenn Sie sich standardisierte
Hotkeys einrichten. Das sollte aber in der umfangreichen Keymap-Datei des
Midnight Commander dosiert und mit Rückversicherung erfolgen. Verwenden Sie
besser nicht die globale Datei „/etc/mc/mc.keymap“, sondern kopieren Sie
diese nach „~/.config/mc/mc.keymap“, also in Ihr Home-Verzeichnis. So
bleibt das Original unter „/etc“ als Rückversicherung erhalten.
Alle Optionen für Mcedit befinden sich im Abschnitt
„[editor]“. Ein nützlicher Eingriff besteht etwa darin, die altertümlichen Hotkeys
„ctrl-insert“ und „shift-insert“ für „Store“
(Copy) und „Paste“ durch geläufigeres „ctrl-c“ und „ctrl-v“
ersetzen (Strg-C, Strg-V):
[editor]
…
Store = ctrl-c
Paste = ctrl-v
Natürlich kann man sich auch die Textsuche, Folgesuche und
Ersetzen mit
Search = ctrl-f
SearchContinue = ctrl-n
Replace = ctrl-r
auf einprägsamere Hotkeys legen. Änderungen an der
mc.keymap werden immer erst nach dem nächsten Start des Programms gültig. Das
Menü des Editors lernt dabei flexibel mit: Es zeigt die von Ihnen definierten
Hotkeys.
Der Media Player VLC darf auf keinem Linux- oder Windows-Rechner
fehlen, weil er praktisch alle Video- und Musik-Formate abspielt. Viele
Möglichkeiten vergräbt das Multitalent hinter Schaltern und einer
anspruchsvollen Konfigurationsoberfläche,
Der VLC – kurz für „Videolan Client“ – kann
eigentlich alles rund um Film und Sound und macht diverse Player-Alternativen
und Multimedia-Tools weitgehend überflüssig. Optischer Schick und
benutzerfreundliche Konfiguration sind freilich nicht seine Stärken. So bleibt
meist viel Potential ungenutzt oder es kommen neben dem VLC weitere ergänzende
Player und Helfer zum Einsatz. Das ist nicht falsch und manchmal komfortabler,
aber technisch notwendig wäre es nicht, wie dieser Ratgeber zeigen soll.
Dokumentation:
http://wiki.videolan.org mit Infos zu
Installation, Menü-Angebot, Konfiguration, Startparameter, Netzwerk-Streaming,
Stream-Ausgabe und vieles mehr. Nutzen Sie in der linken Spalte den Eintrag
„Documentation“.
Alle Linux-Distributionen halten den VLC Media Player in ihren
Standardpaketquellen bereit. Die Installation ist entsprechend einfach und
problemlos. Installieren Sie das Paket „vlc“, optional zusätzlich „browser-plugin-vlc“
(Browser-Integration):
sudo apt install vlc browser-plugin-vlc
Nicht immer ist schon die neueste Version verfügbar. So liegt etwa unter Ubuntu 16.04 oder Linux Mint 18 noch die Version 2.2.4 vor. Die funktionalen Unterschiede sind aber meist nicht gravierend. Notwendige Sicherheitsupdates erhalten auch die älteren Versionen. Wer trotzdem stets den aktuellsten VLC nutzen will, kann auf das PPA des Hersteller Videolan ausweichen:
sudo add-apt-repository ppa:videolan/stable-daily
sudo apt update
sudo apt install vlc
Unentbehrlich zur Wiedergabe von DVDs ist ferner die
Bibliothek libdvd, die Sie mit folgenden Befehlen
sudo apt install libdvd-pkg
sudo dpkg-reconfigure libdvd-pkg
nachrüsten und integrieren.
Basisfunktionen des Players
Der VLC spielt nicht nur Audio- oder Videodateien fast
jeden Dateiformats (Audio u. a. APE, FLAC, MID, MP3, OGG, WMA; Video u. a. AVI,
DIVX, FLV, MKV, MP4, MPEG, VOB, WMV). Er beherrscht außerdem Musik-CDs, Film-DVDs,
Blu-rays und Internet-Streams, gibt das Medienangebot von UPnP/DLNA-Servern im
Heimnetz wieder, dient – in allerdings engen Grenzen – selbst als solcher UPnP-Streaming-Server
und greift auf DVB-T-Hardware zu. Auch Aufnehmen und Konvertieren in andere
Formate ist möglich.
Bedienungsgrundlagen:
Der VLC besteht aus zwei Hauptfenstern – das Wiedergabefenster und die
Wiedergabeliste. Im Allgemeinen ist es einfacher und übersichtlicher, beide
Fenster zu kombinieren, was über „Ansicht -> Angedockte
Wiedergabeliste“ auch die Standardvorgabe ist. In der „Wiedergabeliste“ (Strg-L)
zeigt der Player zahlreiche Medienquellen. Unter der aktuellen Wiedergabeliste
und der optional angelegten Medienbibliothek gibt es zunächst die lokalen
Standardordner wie „Meine Videos“, die lediglich auf die
entsprechenden Standardverzeichnisse unter /home/[user] verweisen. Unter „Standardgeräte“
gibt es den Zugriff auf „Platten“, also auf CD- und DVD-Laufwerke,
ferner auf „MTP-Geräte“, also mobile MP3-Player, sofern angeschlossen.
Eventuelle Medien-Server im lokalen Netz (UPnP/DLNA und iTunes) zeigt der VLC
unter „Lokales Netzwerk“. Darunter folgt noch eine Reihe von namhaften Audio-Streaming-Diensten
unter „Internet“, besonders ergiebig Icast und Jamendo.
Dateien und Medien
öffnen: Sowohl das Wiedergabefenster als auch die Wiedergabe beherrschen
Drag & Drop mit der Maus. Das ist der einfachste Weg, um schnell aus dem
Dateimanager eine Mediendatei abzuspielen. Dabei kann der VLC auch
unvollständige Videos und Audiopakete etwa schon während eines Downloads anspielen.
Noch besser: Der VLC beherrscht auch ZIP- und RAR-Archive sowie das Mounten von
ISO-Images: Diese Formate sind also ohne Bearbeitung sofort zu benutzen.
Das Menü „Medien“ fürs Öffnen von Dateien enthält
insgesamt sechs Befehle zum Starten von Medien. Der erste Eintrag „Datei
öffnen“ ist klassisch und erlaubt nach Navigation zur Quelldatei den Start
derselben. Es ist hier aber auch mit den typischen Tasten Strg und Umschalt eine
Mehrfachauswahl von Dateien möglich. Der Extra-Eintrag „Mehrere Dateien
öffnen“ ist daher nur dann notwendig, wenn sich die Auswahl über
unterschiedliche Verzeichnisse erstrecken soll; außerdem gibt es hier die
zusätzliche Option, die ausgewählten Medien durch eine synchrone Mediendatei zu
begleiten – etwa private Videos durch eine passende Audiodatei.
„Ordner öffnen“ kann praktisch sein, um alle
Audiodateien eines Verzeichnisses einschließlich aller Unterordner (Achtung!)
in die aktuelle Wiedergabeliste zu übernehmen. Auch bei typischen DVD-Rips mit
mehreren VOB-Dateien ist diese Methode eleganter als die Dateien mit
Filmunterbrechung einzeln zu starten.
„Medium öffnen“ benötigen Sie, um eine
eingelegte DVD, Blu-ray-Disc oder Audio-CD abzuspielen. Der Dialog zeigt einige
elaborierte Optionen zum Einsprungpunkt und zur Startzeit, die Sie im
Normalfall ignorieren können.
Zur bequemen Benutzung der Medien vom lokalen Rechner
oder von Netzwerkfreigaben ist das manuelle Öffnen über das
„Medien“-Menü nicht ausreichend. Dafür gibt es die Medienbibliothek. Um
eine solche Mediensammlung anzulegen, klicken Sie in der Wiedergabeliste
(„Ansicht -> Wiedergabeliste“) auf den Eintrag „Medienbibliothek“
und dann im Listenfenster nach Rechtsklick auf „Verzeichnis hinzufügen“. Sie erhalten
dabei keine Rückmeldung, wann der Player die Dateien einschließlich Medien-Tags
eingelesen hat. Je nach Menge der Medien ist daher Geduld erforderlich. Die
integrierten Stücke erscheinen dann in einer einfachen Tabelle, die sich über
das Suchfeld rechts oben filtern lässt.
Die Darstellung kann über das kleine Symbol neben dem
Suchfeld oder nach Rechtsklick und „Ansicht der Wiedergabeliste“
umstellen und zeigt mit der Option „Symbole“ die Alben- oder
Film-Cover. Auch die Größe können Sie mit Strg-Mausrad verändern. Dennoch kann
die Medien-Verwaltung mit den schickeren und strukturierten Bibliotheken
anderer Player nicht mithalten. Für Puristen ist sie aber völlig ausreichend
oder gar willkommen. Überflüssige Medien lassen sich mit „Ausgewählte entfernen“
wieder aus der Bibliothek löschen. Die Dateien selbst bleiben dabei erhalten.
Streaming-Dienste in der Medienbibliothek
Die Medienbibliothek kann auch Streaming-Angebote aus dem
Internet aufnehmen. Dazu ist ein kleiner Umweg erforderlich: Zunächst nehmen
Sie, wie oben beschrieben, eine Reihe von Radio- oder TV-Angeboten über
„Medien -> Netzwerkstream öffnen“ in die temporäre Wiedergabeliste
auf. Diese Wiedergabeliste, die inhaltlich möglichst homogen sein sollte,
speichern Sie dann über „Medien -> Wiedergabeliste in Datei
speichern“ als xspf-Datei. Wer auf Ordnung Wert legt, kann diese XML-Datei
zunächst in einen Editor laden und Standardtitel „Wiedergabeliste“,
der in der dritten Zeile als
<title>Wiedergabeliste</title>
erscheint, nach Wunsch ändern – etwa auf „Rock-Radio“
oder was immer passend. Danach lässt sich diese URL-Sammlung nach Rechtsklick
im Fenster der Medienbibliothek und „Datei hinzufügen“ wie ein Medium
in die Bibliothek integrieren. Die xspf-Datei muss dauerhaft erhalten bleiben,
wenn die VLC-Bibliothek den geänderten Titel anzeigen soll. Mit gepflegten
URL-Sammlungen in der Bibliothek ist der VLC komfortabler als Lesezeichen im
Browser oder spezialisierte Tools wie etwa Radiosure.
Der VLC als Bildviewer
Als Viewer für Fotos und Bilder ist der VLC nur zweite
Wahl. Natürlich kann er Bildformate anzeigen, und wenn Sie mit der Maus eine
Menge markierter Bilder vom Dateimanager in das Wiedergabefenster oder in die
Wiedergabeliste ziehen, wird er sie sogar sofort als Slideshow im
10-Sekunden-Takt wiedergeben. Dabei ist aber weder das Intervall noch eine
feste Fenstergröße konfigurierbar. Eine für diesen Einsatzzweck unentbehrliche,
aber auch für Videos im Fenstermodus nützliche Option ist das Kästchen
„Interface an Videogröße anpassen“ unter „Werkzeuge ->
Einstellungen -> Interface“. Diese Option sollte deaktiviert werden, damit
das Wiedergabefenster ungeachtet der Bild- (oder Video-) Größe konstant bleibt.
Mehr als ein Hilfsviewer, wenn nichts Besseres an Bord ist, ist der VLC für
Bilder dennoch nicht.
Der VLC und UPnP/DLNA-Server
Der VLC Player beherrscht in der Wiedergabeliste via
„Universal Plug’n’Play“ den Zugriff auf lokale Server
UPnP/DLNA-Server (NAS, Kodi, Plex, Minidlna). Einen korrekt im Netzwerk
eingebundenen UPnP-Server zeigt der Player dort an und mit einem Doppelklick
auf einen Eintrag navigieren Sie in der Struktur des Servers. Bei großen
Mediensammlungen des UPnP-Servers kann es irritierend sein, dass der VLC die
Wiedergabe erst anbietet, wenn er sämtliche Medien via Netzwerk eingelesen hat.
Dies kann eventuell so lange dauern, dass der Nutzer an der Funktionalität
zweifelt. Bei anderen UPnP-tauglichen Playern sind die ersten Audio- oder
Video-Dateien sofort sichtbar und benutzbar, während der Player im Hintergrund weiter
nachlädt. Der VLC zeigt und spielt er nach komplett abgeschlossenem Vorgang.
Der VLC als Streaming-Server
Einen schicken UPnP/DLNA-Server erhalten Sie mit dem VLC
nicht, jedoch ist er durchaus in der Lage, ad hoc einige Film über eine
Netzwerkadresse für Abspielclients bereitzustellen. Die Vorgehensweise am
Rechner („Server“), der den Film bereithält:
1. Gehen Sie zunächst auf „Medien -> Stream“
(relativ am Ende des Menüs). Unter „Dateiauswahl“ navigieren Sie mit
„Hinzufügen“ zur gewünschten Mediendatei. Danach klicken Sie im
selben Dialog unten auf „Stream“. Im folgenden Dialog des Assistenten
geht es mit „Nächstes“ einfach weiter.
2. Im Fenster „Ziel einstellen“ verwenden Sie
am besten „RTP / MPEG Transport Stream“ und klicken nach dieser
Auswahl rechts auf die Schaltfläche „Hinzufügen“. Geben Sie als
Adresse
239.0.0.1
ein, den Standardport 5004 können Sie unverändert
übernehmen. Beachten Sie, dass diese Multicast-Adresse unabhängig von Ihrem
lokalen Adressbereich zu benutzen ist. Ihr Adressraum und die IP-Adresse des
Server-PCs spielt hier keine Rolle.
3. Nach Klick auf „Nächstes“ kommt die
Transkodierungsauswahl, die Sie auf Standard belassen können und erneut
„Nächstes“ klicken. Im letzten Fenster aktivieren Sie „Alle
Elementarstreams streamen“ und schließen die Aktion mit der Schaltfläche
„Stream“ ab.
Beim Client – idealerweise erneut ein VLC Player – ist
der Weg einfach: Gehen Sie auf „Medien -> Netzwerkstream“. Als
Netzwerkadresse geben Sie hier die vorher eingerichtete Multicast-Adresse samt
Port
rtp://239.255.0.1:5004
ein und klicken dann im selben Dialog unten auf die
Schaltfläche „Wiedergabe“.
Hinweis: Die
Methode funktioniert analog auch ohne Multicast-Adresse, sofern Sie einen
Stream gezielt nur an einen Rechner schicken wollen. Dann geben Sie am Server
die LAN-IP des Zielclients ein – etwa 192.178.1.10 – und greifen dann am Client
den Netzwerkstream mit der Adresse „rtp://192.178.1.10“ ab. Die
Multicast-Methode ist jedoch einfacher, weil Sie sich dabei um die lokalen IP-Adressen
nicht kümmern müssen.
VLC-Fernbedienung mit HTTP-Server
Der VLC hat einen einfachen, eingebauten HTTP-Server, der
die Steuerung des Players im Browser eines beliebigen Netzwerk-Clients
ermöglicht (Tablet, Smartphone, PC). Remote-Steuerung bedeutet, dass der
Rechner mit dem VLC weiterhin das Abspielgerät bleibt und der Client nur die
Medienauswahl und Lautstärke erledigt. Der HTTP-Server bietet weder eine
sonderlich schicke Oberfläche noch nennenswerten Bedienkomfort, genügt aber zur
fundamentalen Fernsteuerung. Dies insbesondere dann, wenn im VLC eine
Medienbibliothek eingerichtet ist und die Medien nicht im Dateisystem gesucht
werden müssen.
Theoretisch sollte der Web-Server über
„Einstellungen -> Alle -> Interface -> Hauptinterfaces“ oder
auch über „Ansicht -> Interface hinzufügen -> Web“ neben der
normalen Oberfläche ladbar sein. Das ist uns nicht gelungen, da der Server ein
Passwort verlangt, das an dieser Stelle in den Einstellungen nicht zu vergeben
ist. Hingegen funktioniert der Start des HTTP-Servers unter allen
Betriebssystemen im Terminal mit dieser Kommandozeile:
vlc --intf http --http-password nix
Danach ist der VLC remote über jeden Browser mit der
Adresse
[IP-Adresse]:8080
erreichbar. Bei der Authentifizierungsabfrage lassen das
Feld „Benutzernamen“ leer und geben nur das Passwort ein. Statt des
Stellvertreters „[IP-Adresse] verwenden Sie die tatsächliche lokale IP des
Rechners, auf dem der VLC läuft – also beispielsweise
„192.168.1.25:8080“.
Soll der VLC neben dem HTTP-Server auch noch seine
normale Oberfläche anzeigen, ist folgender Befehl einschlägig:
Das Interface „qt“ ist die Standardoberfläche
(auch unter Windows), und über den Parameter „–extraintf …“ wird
zudem der Web-Server gestartet.
((401_4_VLC-Http-Client.png))
Der VLC als Konvertierer
Für den VLC sind exotische Formate kein Problem, für
Smart-TV oder Tablets hingegen schon. Ungeachtet spezialisierter Tools wie
Handbrake können Sie den VLC auch zum Konvertieren nutzen. Über „Medien
-> Konvertieren/Speichern“ startet der zugehörige Assistent. Im
Folgedialog bestimmen Sie über „Hinzufügen“ die Mediendatei und
klicken dann unten auf „Konvertieren/Speichern“. Unter
„Profil“ gibt es eine Dropdown-Liste mit populären Audio- und
Videoformaten, wobei auch Android-Geräte, iPod und Youtube speziell
berücksichtigt sind. Nachdem Sie eine Zieldatei angegeben haben, kann der
Vorgang mit „Start“ beginnen. Die Konvertierung verläuft je nach Rechner
in mehrfacher Geschwindigkeit, wenn Sie auf die Option „Ausgabe
anzeigen“ verzichten.
Das Konvertieren funktioniert selbstverständlich auch bei
Audiodateien oder Audio-CDs (wobei Sie hier statt einer Quelldatei das Medium
angeben – meist „/dev/sr0“). Bei einer typischen Audio-Konvertierung nach
„Audio – MP3“ sollten Sie dieses Ausgabe-„Profil“ unbedingt
bearbeiten, da standardmäßig nur 128 KBit/s vorgesehen sind. Profiländerung
erledigen Sie neben der Dropdown-Liste entweder punktuell über das Schraubenschlüsselsymbol,
oder Sie legen mit der Schaltfläche „Neues Profil erstellen“ (ganz
rechts) dauerhaft ein passendes Profil etwa mit 192 KBit/s Bitrate und 48000 Hz
Sampling Rate an.
Generell zeigt sich der VLC beim Konvertieren technisch
makellos, aber ohne den Komfort von Spezialisten: So bleibt die Namensvergabe
beim Audio-Rippen eine manuelle Mühe.
Optimieren der Videoausgabe
Das Untermenü „Werkzeuge -> Effekte und Filter“
ist überaus umfangreich und erlaubt fundamentale und detaillierte
Darstellungsoptimierung. Wir nennen hier nur drei fundamentale Eingriffe:
Bild und Ton
synchronisieren: Über „Werkzeuge -> Effekte und Filter ->
Synchronisierung“ gleichen Sie aus, wenn Bild und Ton asynchron laufen –
also der Ton vorauseilt oder hinterherhinkt. Den Wert müssen Sie dort in
Millisekunden eingeben. Beispiel: Um den Ton um eine Sekunde nach vorne zu
versetzen, wäre der Wert „-1000“ einschlägig, während
„1000“ den Ton um eine Sekunde verzögert.
Drehen von Videos:
Bei Videos mit dem Smartphone sind um 90 Grad gedrehte Filme recht häufig. Das
kann der VLC mühelos korrigieren: Das einschlägige Werkzeug finden Sie unter
„Werkzeuge -> Effekte und Filter“ auf der Registerkarte
„Videoeffekte“, hier wiederum auf der Unterregisterkarte
„Geometrie“. Zunächst müssen Sie die Option
„Transformieren“ aktivieren. Danach lässt sich das Video per
Vorgabeoptionen in der Dropdown-Liste um 90, 180 oder 270 Grad drehen, im
Prinzip aber auch filigran in Gradstufen (Option „Drehen“).
Helligkeit und
Farben: Ebenfalls unter „Werkzeuge -> Effekte und Filter ->
Videoeffekte“ ist eine zu dunkle oder zu farblose Filmwiedergabe deutlich
zu korrigieren. Das Register „Genauigkeit“ bietet unter anderem
Schieberegler zu Helligkeit, Kontrast, Sättigung und Gammawert. Da ein
laufender Film das Resultat der Einstellung sofort anzeigt, ist die Wiedergabe
in wenigen Sekunden optimiert.
Optimale Größe bei Vollbildwiedergabe
Je nach Filmmaterial können bei der Wiedergabe auf
Smart-TVs oder PC-Monitoren platzverschwendende schwarze Ränder horizontal wie
vertikal erscheinen. Über den Menüpunkt „Video“ oder auch im Vollbild
nach Rechtsklick und dem Kontextmenü „Video“ können Sie den Monitor
eventuell besser ausnutzen. Die Optionen „Seitenverhältnis“ und
„Beschneiden“ erlauben Dehnungen des Bildes und das Abschneiden von
Randbereichen. Hier hilft nur empirisches Ausprobieren, da sowohl zu starke
Verzerrung als auch das Abschneiden von zu viel Filmmaterial kontraproduktiv
sind. Ein ganz genaues Beschneidewerkzeug gibt es außerdem unter
„Werkzeuge -> Effekte und Filter -> Videoeffekte ->
Beschneiden“.
Normalisierung der Lautstärke
Mediendateien haben oft sehr unterschiedliche
Lautstärkepegel. Dies erfordert dann mitunter hektische Korrektur an den
Lautsprecherboxen oder im Sound-Applet. Der VLC Player hat zwar keinen Einfluss
auf die Lautsprecher-Stellung und den Lautstärkemixer, jedoch kann er den
Startpegel reduzieren und die Lautstärke der Mediendateien angleichen
(normalisieren). Die Optionen finden Sie unter Werkzeuge -> Einstellungen
-> Audio“. Stellen Sie den Schieberegler neben „Audio-Start-Pegel
immer zurücksetzen“ auf ein moderates Maß. Ferner aktivieren Sie im selben
Dialog die Option „Normalisiere die Lautstärke“.
TV-Aufnahmen und Screenshots
Der VLC kann über „Wiedergabe -> Aufnehmen“
einen aktuell laufenden Film aufnehmen, also auf die Festplatte schreiben. Wer
dies häufiger benötigt, kann unter „Ansicht“ die „Erweiterte
Steuerung“ aktivieren. Dann erscheinen im Wiedergabefenster weitere
Bedienelemente, unter anderem der Aufnahme-Knopf. Alle Aufnahmen werden unter
Angabe der Zeit, des Sender und Namen der Sendung unter ~/Downloads/ als
.ts-Datei abgelegt. Über „Werkzeuge -> Einstellungen -> Eingang /
Codecs“ können Sie neben „Ausnahme-Verzeichnis oder Dateiname“
auch einen eigenen Pfad festlegen.
Über „Video -> Schnappschuss machen“ legen
Sie einen Screenshot der aktuellen Filmszene ab. Zielverzeichnis und Namen für
diese Bilder können Sie unter Werkzeuge -> Einstellungen -> Video“
im Bereich „Videoschnappschüsse“ selbst festlegen.
Desktop-Videos mit VLC
Der VLC unterstützt Sie auch, wenn Sie Ihre
Desktop-Aktivitäten filmen möchten, um ein Videotutorial herzustellen. Für
diese Aufgabe gehen Sie auf „Medien -> Aufnahmegerät öffnen“. Wählen Sie als
„Aufnahmemodus“ den Eintrag „Desktop“. Unter „Optionen“ geben Sie die
gewünschte Anzahl an Bildern pro Sekunde an. Für einen flüssig wirkenden
Screencast ist die Voreinstellung „1,00 f/s“ zu wenig, wenigstens
zwei sollten Sie eintragen. Wenn Sie vor dem Start noch etwas vorbereiten
müssen, klicken Sie auf „Mehr Optionen anzeigen“ und geben eine
Startzeit an. Um mit der Aufnahme zu beginnen, klicken Sie unten auf die
Schaltfläche mit dem kleinen Pfeil rechts neben „Wiedergabe“ und auf
„Konvertieren“. Im folgenden Dialogfenster legen Sie die „Zieldatei“ und das
Format des Videos fest und beginnen die Aufnahme mit „Start“.
Lesezeichen im Film setzen
Im VLC gibt es eine Möglichkeit, Lesezeichen zu setzen,
um einen Film später genau an dieser Stelle fortzusetzen. Lesezeichen für die
aktuelle Stelle verwaltet der VLC über den Menüpunkt „Wiedergabe ->
Benutzerdefinierte Lesezeichen“. Ein Klick auf „Erstellen“ legt
einen neuen Zeitpunkt auf der Merkliste an, der als Sprungmarke funktioniert.
Damit ist die Marke aber noch nicht permanent gespeichert. Dazu muss erst noch
eine Playliste als Datei gespeichert werden, was Sie unter „Medien ->
Wiedergabeliste in Datei speichern“ erledigen. Ein Klick auf die
resultierende Datei im Dateimanager öffnet dann den Film wieder im VLC und
unter „Benutzerdefinierte Lesezeichen“ liegt die Sprungmarke zur
gewünschten Stelle.
Mit Reset-Kommando zum Standard
Dieser Artikel hat alle Skins und LUA-Erweiterungen für
den VLC ausgeklammert, da sie unterm Strich die Bedienung des VLC nicht
signifikant verbessern und die Stabilität verringern. Es bleibt gegen unsere
Empfehlung aber jedem Nutzer vorbehalten, sich hier umzusehen. Unter
„Werkzeuge -> Plugins und Erweiterungen“ lässt sich der
Plugin-Manager des VLC öffnen. Die im Web verfügbaren Erweiterungen zeigt das
Tool nach Klick auf „Zusätzl. Erweiterungen im Netz finden“.
Weil das Spielen mit experimentellen Skins aber schon mal
dazu führt, dass der Player nicht mehr bedienbar ist und auch seine
Einstellungen nicht mehr anbietet, um dort das Problem rückgängig zu machen,
ist folgender Startparameter wichtig:
vlc --reset-config
Das setzt den Player auf seine Standardoberfläche zurück,
andere Einstellungen wie etwa eine eingerichtete Medienbibliothek bleiben jedoch
erhalten.
Mobile Notebooks, handliche USB-Sticks, öffentliche
Cloud: Alles, was das Haus und das heimische Netz verlässt, kann in fremde
Hände gelangen oder ist in fremden Händen. Verschlüsselung sorgt dafür, dass
die Daten nichts Persönliches preisgeben.
Hinsichtlich Datenschutz und Verschlüsselung spaltet sich
die Gesellschaft so schizophren wie sonst auch: Die einen werfen ihre
Privatsphäre bedenkenlos ins World Wide Web, die anderen sorgen sich bei jeder
Dropbox-Datei, dass die NSA mitlesen könnte. Es ist aber nicht Ziel dieses
Beitrags, die Naiven zu bekehren oder die Paranoiden zu beruhigen. Hier geht es
allein um die technischen Möglichkeiten, die Linux in großer Vielfalt und Abstufung
bereithält, um Daten zu verschlüsseln. Der Artikel stellt alle Methoden vor,
bewertet sie und bringt eine vollständige Praxis-Anleitung für die Einrichtung
und Nutzung.
1. LUKS-verschlüsseltes Linux-System
Die kompromisslose Methode, die lokalen Daten vor
Fremdzugriff zu schützen, ist die Verschlüsselung der kompletten Festplatte. Mit
dem auf dem Kernelmodul dm-crypt basierenden Linux Unified Key Setup (LUKS) lassen
sich sowohl externe USB-Datenträger (siehe Punkt 2) als auch die
Systemfestplatte selbst sicher verschlüsseln. Wir beginnen mit dem technisch
anspruchsvollsten Szenario der verschlüsselten Systemfestplatte, da es durch moderne
Installer zur einfachen Übung gerät und bei der Alltagsbenutzung nicht mehr
Aufwand bedeutet als die Schlüsseleingabe beim Systemstart. Trotzdem sollte
sich jeder Anwender, der seine Systemfestplatte verschlüsselt im Klaren sein,
dass die Partitionierung komplexer wird und bei Bootproblemen höheren
Reparaturaufwand verursacht.
Empfehlung:
Eine LUKS-verschlüsselte Systemfestplatte ist die richtige Maßnahme für
Notebooks, die viel unterwegs sind und auch jenseits des Home-Verzeichnisses
vertrauliche und private Daten enthalten. Der verschlüsselte Datenträger lässt
beim Booten durch ein Fremdsystem keinerlei Einblick in die Verzeichnisstruktur
und in die Daten zu. Das Einzige, was ein Fremdzugriff anhand der
Partitionierungsfakten in Erfahrung bringen kann, ist die Tatsache, dass die
Festplatte LUKS-verschlüsselt ist.
Installation mit
LUKS und LVM: Es gibt diverse grafische Linux-Installer, die beim Setup
eine LUKS-verschlüsselte Systempartition einrichten können. Neben Yast unter
Open Suse, dem Debian-Installer und dem Fedora-Installer bieten alle
Ubuntu-basierten Distributionen inklusive Linux Mint den Installer Ubiquity,
der dies beherrscht. Die folgende Anleitung orientiert sich an Ubiquity. Beachten
Sie aber, dass der Ubuntu-Installer den bequemen Weg zur LUKS-verschlüsselten
Systemfestplatte nur anbietet, wenn Sie ihm dafür die gesamte primäre
Festplatte überlassen. Eine kompliziertere Situation mit Multiboot oder
anderweitigen Partitionsaufteilungen ist nicht vorgesehen. Die Festplatte wird bei
diesem Vorgang komplett gelöscht.
Starten Sie die Installation im Livesystem eines Ubuntu-Systems,
und folgen Sie dem Setup-Assistenten bis zum Punkt
„Installationsart“. Hier wählen Sie die erste Option „Festplatte
löschen und […] installieren“. Darunter aktivieren Sie das Kästchen
„Die neue Ubuntu-Installation zur Sicherheit verschlüsseln“. Sobald
Sie dies tun, wird zugleich der weitere Punkt „LVM […] verwenden“
aktiv. Der Logical Volume Manager ist eine Abstraktionsschicht, um Festplatten
und Partitionen flexibler zu verwalten, zusammenzufassen und dynamisch zu
erweitern. In diesem Fall ist LVM notwendig, um neben der kleinen
unverschlüsselten Bootpartition die LUKS-formatierte Partition und die
virtuelle LVM-Partition unterzubringen, die bei korrekter Kennworteingabe
unverschlüsselt ins Dateisystem geladen wird.
Wenn Sie im Assistenten mit den genannten Optionen auf
„Weiter“ klicken, folgt noch die Abfrage des Sicherheitsschlüssels. Dieses
Kennwort sollte komplex genug sein, um vom Assistenten als „Starkes
Passwort“ gelobt zu werden. Andererseits muss die Eingabe zumutbar
bleiben, denn sie ist künftig bei jedem Systemstart erforderlich. Die weitere
Installation unterscheidet sich nicht mehr von einem üblichen Ubuntu-Setup.
Wenn Sie ein LUKS-verschlüsseltes System booten,
erscheint künftig das Eingabefeld „Please unlock disk […]“. Dort
geben Sie das Passwort ein, und erst danach kann der Systemstart fortsetzen, wobei
das LUKS-Volume entsperrt und unverschlüsselt nach /dev/mapper/[sd…] gemountet
wird.
2. LUKS-verschlüsselte (USB-) Datenträger
Interne Laufwerke, die als reine Datenpartition dienen, sowie
externe USB-Datenträger lassen sich ebenfalls mit LUKS verschlüsseln. Technisch
ist dies weniger anspruchsvoll und kommt ohne LVM-Unterstützung aus. Die
Einrichtung und Benutzung erfolgt auf modernen Linux-Distributionen komplett
mit grafischen Werkzeugen, die den komplizierteren Weg über Terminalbefehle in
der Regel überflüssig machen.
Empfehlung:
Besonders USB-Sticks und handliche USB-Festplatten gehen oft verloren oder
werden vergessen. LUKS ist für mobile Speicher erste Wahl, sofern die
Datenträger überwiegend mit Linux gelesen und beschrieben werden. Dort, wo auch
ein Windows oder ein Mac OS zugreifen soll, ist Veracrypt (siehe Punkt 6) die
bessere Option.
Einrichten mit
grafischen Werkzeugen: Erfreulicherweise hat LUKS-Verschlüsselung in die
Systemwerkzeuge längst Einzug gehalten. Die KDE-Umgebung bietet den „KDE
Partition Manager“ (partitionmanager), und die Gnome-affinen Desktops
(Gnome, Mate, Unity, Cinnamon, XFCE) haben das Tool „Laufwerke“
(gnome-disks) an Bord. Wir beschreiben die wenigen Klicks zur
LUKS-Verschlüsselung eines USB-Laufwerks am Beispiel von gnome-disks:
Nach Anschließen des USB-Datenträgers hängen Sie das
Laufwerk zunächst mit dem kleinen schwarzen Symbol links unterhalb der
Partitionsanzeige aus. Danach klicken Sie auf das Zahnradsymbol und verwenden
die Option „Partition formatieren“. Im Folgedialog wählen Sie als
„Typ“ den Eintrag „Verschlüsselt, kompatibel mit Linux-Systemen
(LUKS + Ext4)“. Der Eintrag „Name“ ist nicht unbedingt
erforderlich, macht aber den späteren Mountpunkt lesbarer. Entscheidend ist
darunter die „Passphrase“ – also das Kennwort. Hier gilt wie unter
Punkt 1: Das Kennwort sollte komplex sein, die Eingabe aber zumutbar bleiben,
denn sie ist künftig bei jeder Nutzung des Datenträgers erforderlich. Mit Klick
auf „Formatieren“ schließen Sie den Vorgang ab. Sie können nach der
Formatierung den Datenträger sofort mit gnome-disks einhängen und nutzen, indem
Sie auf den unteren Balken der symbolischen Anzeige klicken und die Partition
mit dem Pfeilsymbol links einhängen.
Für die künftige Alltagsbedienung genügen die typischen
Dateimanager Nautilus, Nemo, Caja, Dolphin. Wenn Sie das USB-Gerät anschließen,
erscheint nach kurzer Frist automatisch der Dialog „Geben Sie eine
Passphrase zum Entsperren […] ein“. Nach Eingabe des korrekten Kennworts
ist das Medium entsperrt und im Dateimanager unter „Geräte“ normal
benutzbar. An gleicher Stelle im Dateimanager können Sie den Datenträger wieder
trennen („Laufwerk sicher entfernen“).
Exkurs: Manuelle LUKS-Verschlüsselung
LUKS-Verschlüsselung für ein externes USB-Laufwerk kann
auch ohne grafische Werkzeuge etwa auf einem Headless-Server eingerichtet
werden. Die folgende Ergänzung zu den Punkten 1 und 2 dient nicht nur der
Vollständigkeit, sondern soll auch die zugrundeliegenden Werkzeuge vorstellen,
die unter der Haube auch von grafischen Tools wie gnome-disks genutzt werden.
Zunächst ermitteln Sie mit
lsblk
die Gerätekennung des USB-Datenträgers. Alle folgenden Kommandos
gehen von der Beispielkennung /dev/sde aus, die in Ihrem Fall natürlich anders
lauten kann und unbedingt entsprechend angepasst werden muss. Zunächst wird die
Partitionstabelle des Sticks mit fdisk neu geschrieben:
sudo fdisk /dev/sde
Geben Sie am fdisk-Prompt „o“ ein. Dieser Befehl legt eine
neue DOS-Partitionstabelle an. Sie müssen die Aktion anschließend mit dem
Schreibbefehl „w“ realisieren, was zugleich fdisk beendet. Starten Sie dann fdisk
erneut:
sudo fdisk /dev/sde
Jetzt legen Sie mit dem Befehl „n“ eine neue Partition an
und verwenden dabei „p“ für „primary“, „1“ für Partition 1. Die zwei Abfragen
der Start- und End-Sektoren quittieren Sie einfach mit der Eingabetaste. Auch
hier muss abschließend der Write-Befehl „w“ erfolgen, um die Aktion tatsächlich
auf den Datenträger zu schreiben.
Nun hängen Sie das Laufwerk mit
sudo umount /dev/sde?
aus und formatieren es mit LUKS. Das dazu notwendige Tool
cryptsetup steht auf allen verbreiteten Distributionen zur Verfügung:
sudo cryptsetup luksFormat /dev/sde1
Der Parameter „luksFormat“ muss genau so eingegeben
werden. Die nachfolgende Bestätigung mit „YES“ ist ebenfalls case-sensitiv und erfordert
Großbuchstaben. Dann werden Sie nach dem „Passsatz“ gefragt, also dem
Zugangskennwort. Die Eingabe erfolgt ohne Textanzeige und ohne
Stellvertreterzeichen.
Nun können Sie das Laufwerk mit „luksOpen“
sudo cryptsetup luksOpen /dev/sde1 Stick
in das System laden. Der Name, hier „Stick“, ist frei
wählbar. Das Laufwerk wird nun unter /dev/mapper/Stick gemountet. Zu guter
Letzt braucht das Laufwerk neben LUKS noch ein normales, unverschlüsseltes Dateiformat,
was Sie mit
sudo mkfs.vfat /dev/mapper/Stick -n Stick
erledigen. Das war’s. Entfernen Sie nun den Stick einfach vom Rechner. Die Prozedur ist für jeden USB-Datenträger nur einmal erforderlich.
3. Verschlüsseltes Home-Verzeichnis (Ecryptfs)
Ubuntu-Systeme einschließlich Linux Mint machen bei der Installation das
Angebot, das Home-Verzeichnis zu verschlüsseln. Diese Option ist bei einer
Neuinstallation immer gut zu überlegen, zumal sie nachträglich für den
ersteingerichteten Benutzer nicht mehr vorgesehen ist und dann doch einige Klimmzüge
erfordert. Technisch zuständig ist in diesem Fall das Modul Ecryptfs, das
Ubuntu & Co. standardmäßig im Kernel mitbringen. Ecryptfs ist nicht zu
verwechseln mit Encfs (siehe Punkt 5), wenngleich sich beide Techniken ähneln.
Empfehlung: Ein
Ecryptfs-verschlüsseltes Home-Verzeichnis ist für typische Desktop-Systeme,
auch für mobile Notebooks, oft der angemessene und der komfortabelste Schutz.
Bei Fremdzugriff ist zwar der Großteil des Dateisystems lesbar, nicht aber der
Inhalt von /home/[user]. Dieser liegt verschlüsselt unter
/home/.ecryptfs/[user]/.Private und wird automatisch unverschlüsselt nach
/home/[user] geladen, sobald sich der Benutzer am System anmeldet. Wenn sich der
Gerätebesitzer daran hält, seine Daten stets unter /home abzulegen, ist für Datendiebe
nichts zu holen. Lediglich die Anzahl der Verzeichnisse und Dateien sowie deren
ungefähre Größen sind unter /home/.ecryptfs/[user]/.Private ersichtlich – die
Inhalte nicht. Die Dateinamen sind ebenfalls verschlüsselt.
Einrichten der
Home-Verschlüsselung: Bei der Installation von Ubuntu-Systemen erscheint zu einem
späteren Zeitpunkt das Fenster „Wer sind Sie?‟. Hier legen Sie den Erstbenutzer
des System an. An unterster Stelle gibt es die Option „Meine persönlichen Daten
verschlüsseln‟. Ein Häkchen genügt, um Ecryptfs für das Home-Verzeichnis des
Erstbenutzers zu aktivieren. Nach der ersten Anmeldung am neu installierten
System erscheint dann ein Fenster mit dem Hinweis „Ihre
Verschlüsselungspassphrase notieren‟. Klicken Sie auf „Diese Aktion ausführen‟.
Danach geben Sie das Systempasswort ein und bestätigen mit der Eingabetaste.
Sie sehen dann das von Ubuntu & Co. zufällig generierte Passwort für die Home-Verschlüsselung.
Notieren Sie sich dieses, denn Sie benötigen es für den (unwahrscheinlichen) Fall,
dass einmal die Wiederherstellung eines defekten Dateisystems nötig werden
sollte.
Für den alltäglichen Zugriff auf das Home-Verzeichnis
genügt die Anmeldung am System. Vor anderen Benutzern am selben PC ist das
verschlüsselte Home-Verzeichnis ebenfalls sicher. Diese erhalten beim Zugriff
eine Fehlermeldung, die auf fehlende Rechte hinweist. Besitzen andere
Systembenutzer root-Recht, können Sie zwar den Ordner /home/.ecryptfs/[user]/.Private betreten, sehen dort
aber nicht mehr als verschlüsselte Ordner- und Dateinamen.
Weitere
verschlüsselte Home-Verzeichnisse: Die Home-Verschlüsselung bei der
Installation gilt nur für den dort eingerichteten Erstbenutzer. Wenn ein
weiterer Benutzer ein verschlüsseltes Home-Verzeichnis erhalten soll, gibt es
zwei Wege:
1. Die grafische Methode über „Einstellungen ->
Benutzer/Users“ ist aktuell noch die Ausnahme. Linux Mint 18.2 bietet in
der Benutzerverwaltung beim Anlegen eines neuen Kontos ganz unten die Option
„Persönlichen Ordner verschlüsseln […]“.
2. Bei den meisten Distributionen ist die
Home-Verschlüsselung nur über die Kommandozeile zu erreichen. Es genügt dieser
Befehl:
sudo adduser --encrypt-home [username]
Falls der Befehl scheitert, installieren Sie das Paket
ecryptfs-utils (sudo apt install ecryptfs)
und wiederholen den Befehl. Legen Sie das Passwort für den neuen Benutzer
hinter „Geben Sie ein neues UNIX-Passwort ein:‟ fest. Danach geben Sie die
Benutzerinformationen ein oder bestätigen einfach alles mit Eingabetaste. Ab
sofort kann sich der neue Benutzer anmelden und das verschlüsselte
Home-Verzeichnis nutzen. Auch er erhält einen Hinweis, sich die
Verschlüsselungspassphrase zu notieren.
Home-Verzeichnis nachträglich
verschlüsseln: Es ist nicht vorgesehen, die Verschlüsselung nachträglich zu
aktivieren. Die einfachste Lösung ist es daher, alle Dateien im
Home-Verzeichnis vorübergehend an einen anderen Ort zu verschieben, dann ein
neues Benutzerkonto mit verschlüsseltem Home-Verzeichnis anzulegen und die
gesicherten Dateien danach in das neue Home-Verzeichnis zu kopieren. Das
ursprüngliche Konto kann danach im Prinzip gelöscht werden. Tun Sie dies aber
erst, wenn der Systemalltag reibungslos funktioniert: So sollte zum Beispiel
der sudo-berechtigte Erstbenutzer nicht gelöscht werden, solange kein neues
Konto mit sudo-Recht eingerichtet ist (visudo).
4. Verschlüsselung mit Encfs
Encfs ist ein flexibles Ordner- und Datei-orientiertes
Verschlüsselungswerkzeug. Der Ruf des Tools hat etwas gelitten, nachdem vor
Jahren eine theoretische Lücke bekannt wurde, welche die Robustheit von Encfs infrage
stellte. Diese Lücke besteht immer noch und wird bei der Installation des
Pakets gemeldet. Unterm Strich handelt es sich aber um ein akademisches
Problem, das normale Anwender nicht betrifft. Technisch ähnlich wie bei
Ecryptfs wird ein verschlüsselter Ordner durch Eingabe des richtigen Passwort
entsperrt und der Inhalt unverschlüsselt in einen zweiten Ordner gemountet, wo
die Dateien dann normal zu verwenden sind. Verschlüsselte Encfs-Ordner sind
überall flexibel einzurichten – auf internen und externen Datenträgern mit FAT,
FAT32, NTFS oder einem Linux-Dateisystem.
Empfehlung: Encfs
ist das richtige Werkzeug für alle Situationen, die im Alltag plötzlich
Verschlüsselung ratsam erscheinen lassen: Dieses oder jenes Verzeichnis auf der
USB-Festplatte hat Verschlüsselung verdient, ein Unterordner von Home muss
geschützt werden oder ein Cloud-Dienst soll über den verschlüsselten
Sync-Ordner nur noch geschützte Dateien bevorraten. Encfs kann an jeder Stelle
und auf jedem Datenträger einspringen und eignet sich auch für größere Datenmengen.
Neben Linux können Android-Geräte mit der App Cryptonite Encfs-Daten lesen. Für
Mac-Anwender gibt es nach einem gewissen Installationsaufwand ein praktisch
identisches Encfs. Für den Austausch mit Windows gibt es Encfs4win, das
allerdings experimentell bleibt (https://encfs.win).
Encfs mit
grafischem Cryptkeeper: Encfs ist meist nicht installiert, doch finden Sie
das relativ kleine Paket in den Repositories aller wichtigen
Linux-Distributionen. Unter Ubuntu/Mint installieren Sie es mit
sudo apt install encfs
und können dann sofort loslegen. Encfs ist an sich ein
reines Kommandozeilen-Tool, jedoch werden die meisten Anwender Encfs über das grafische
Frontend Cryptkeeper bedienen. Auch dieses kleine Tool muss mit
sudo apt install cryptkeeper
erst nachinstalliert werden. Nach dem Aufruf cryptkeeper präsentiert sich dieser als
Schlüsselsymbol in der Hauptleiste. Die Option „Erstelle verschlüsselten
Ordner“ richtet ein neues verschlüsseltes Verzeichnis ein, wobei Sie in der
oberen Zeile den Ordnernamen vergeben und unten zum gewünschten Ort navigieren,
etwa zu einem USB-Stick unter /media im Dateisystem. Mit der Schaltfläche „Vor“
geht es weiter zur Passwortvergabe. Der neue und noch leere Mount-Ordner wird
zum Abschluss automatisch im Dateimanager geöffnet und kann dann befüllt
werden. Sie arbeiten in diesem Ordner wie mit unverschlüsselten Dateien. Die
eigentlichen Dateien liegen auf gleicher Ebene in einem versteckten Ordner
.[name]_enfcs. Um einen Encfs-Ordner auszuhängen und damit zu schützen, klicken
Sie auf das Cryptkeeper-Symbol und dann auf den betreffenden Ordnereintrag.
Über die „Einstellungen“ können Sie vorgeben, dass
Mount-Ordner nach dem Entladen („Aushängen“) gelöscht und dass nicht genutzte
Encfs-Ordner nach bestimmter Frist automatisch entladen werden. Diese zweite
Sicherheitsmaßnahme ist ein Alleinstellungsmerkmal von Encfs.
Encfs auf der
Kommandozeile: Im Terminal ist Encfs-Verschlüsselung etwas mühsamer,
andererseits flexibler. Die Kernsyntax lautet:
Pfad1 ist der zu verschlüsselnde Ordner, Pfad2 der
Mountpunkt, wo die Daten unverschlüsselt genutzt werden. Das Beispiel
mkdir /media/sepp/data/privat
mkdir ~/privat
encfs /media/sepp/data/privat ~/privat
erstellt unter „/media/sepp/data“ das neue
Verzeichnis „privat“, ferner den gleichnamigen Mountpunkt im Home-Verzeichnis.
Die dritte Zeile lädt das noch leere Verzeichnis in den Mountpunkt. Danach ist
noch die Vergabe eines neuen Kennworts notwendig. Unter „~/privat“
arbeiten Sie mit den Daten.
Während bei Cryptkeeper das verschlüsselte Verzeichnis
und das Mount-Verzeichnis stets auf gleicher Ebene liegen, kann Encfs auf
Kommandozeile von beliebiger Stelle in einen beliebigen Mountpunkt laden. Wenn
Sie einen verschlüsselten Ordner nicht mehr benötigen, entladen Sie seinen
Mountpunkt:
fusermount -u ~/privat
Neuerliches Laden geschieht mit genau demselben Encfs-Befehl
wie bei der Ersteinrichtung.
Tipp: Auf der
Kommandozeile (nicht im Cryptkeeper) können Sie Encfs auch auf ein bereits
bestehendes Verzeichnis ansetzen. Alle Dateien, die sich dort bereits befinden,
bleiben dort allerdings weiterhin unverschlüsselt. Sollen diese nachträglich
verschlüsselt werden, verschieben Sie die Dateien einfach in das
Mountverzeichnis des Encfs-Ordner-Paares.
5. Container mit Veracrypt
Veracrypt ist der Nachfolger des
Verschlüsselungsklassikers Truecrypt, der 2014 eingestellt wurde. Veracrypt
arbeitet mit verschlüsselten Containerdateien und einem eigenen Format. Der
Inhalt solcher Container wird durch die „Mount“- (oder
„Einbinden“-) Schaltfläche und nach korrekter Passworteingabe
unverschlüsselt ins Dateisystem gemountet, wobei auch gleich der zuständige
Dateimanager zur Anzeige und Dateibearbeitung gestartet wird. Die Größe der
Containerdateien muss bei der Einrichtung definiert werden und ist später nicht
mehr dynamisch erweiterbar.
Empfehlung: Veracrypt
eignet sich für große und sehr große Datenmengen, allerdings nur auf lokalen
Rechnern oder im lokalen Netzwerk. Für den Transfer in die Cloud ist es
ungeeignet, da auch bei geringen Datenänderungen immer der Transport des
gesamten Containers notwendig wäre. Ein entscheidendes Plus von Veracrypt sind
Versionen für Linux, Windows, Mac OS, Free BSD und Raspbian. Damit sind
Veracrypt-Container zwischen allen PC-Systemen austauschbar.
Installation und
Container-Betrieb: Anlaufstelle für die meisten Betriebssysteme ist die
Projektseite https://www.veracrypt.fr/en/Downloads.html.
Für Ubuntu, Mint & Co. ist die Installation über ein PPA allerdings deutlich
komfortabler:
sudo add-apt-repository ppa:unit193/encryption
sudo apt-get update
sudo apt-get install veracrypt
Im Unterschied zur Windows-Version bietet Veracrypt unter
Linux keine deutsche Übersetzung, weswegen die nachfolgenden Menübezeichnungen
englischsprachig ausfallen. Um eine neue Containerdatei anzulegen, klicken Sie
im Hauptdialog auf „Create Volume -> Create an encrypted file
container“ und anschließend auf “Standard VeraCrypt volume“. Hier
geben Sie Pfad und Namen einer bisher nicht existierenden Datei an. „Encryption
Option“ belassen Sie einfach auf den Standardvorgaben. Danach geben Sie die
Größe der Containerdatei an. Diese sollte großzügig ausfallen, weil die
Kapazität nicht mehr zu ändern ist und viele kleine Container unübersichtlicher
sind als wenige große.
Danach kommt die Passwortvergabe. Zur Schlüsselerstellung
auf Basis des Passworts erwartet Veracrypt Mausbewegungen im eigenen Fenster. Nach
beendeter Fortschrittsanzeige schließen Sie mit „Format“. Damit ist der
Container einsatzbereit. Mit „Select File“ im Hauptdialog navigieren Sie zur
Containerdatei. Mit Klick auf „Mount“ wird diese geladen und im Dateimanager
geöffnet (falls nicht, lässt sich das unter „Preferences -> System
Integration“ einstellen). Linux mountet Container nach
„/media/veracrypt[nummer]“, Windows auf freie Laufwerkbuchstaben. Auf diesen
Datenträgern lesen, arbeiten, kopieren Sie wie auf einem normalen Laufwerk. Mit
„Dismount“ im Hauptdialog entladen Sie den Container, der somit wieder
geschützt ist.
Zur besseren Systemintegration nistet sich das
Veracrypt-Symbol zusätzlich in der Systemleiste des Linux-Desktops ein. Hier
sind im Kontextmenü einige fundamentale Aktionen wie das Mounten aller
„Favorites“ oder das Abschalten aller aktuell geladenen Container.
Eingerichtete „Favorites“ ersparen die Sucherei nach verstreuten
Containerdateien, sodass es sich durchaus lohnt, das Menü „Favorites“
zu organisieren.
Beachten Sie, dass Sie beim Mounten von
Veracrypt-Containern zusätzlich zum Container-Passwort auch noch nach dem
sudo-Kennwort gefragt werden, das mit dem Veracrypt-Passwort nichts zu tun hat
und vermutlich anders lautet.
Tipp 1: Veracrypt
ist auch komplett über Terminalbefehle zu steuern (siehe veracrypt –help). So entlädt etwa
veracrypt --dismount
alle geladenen Containerdateien. Und auf stationären,
privaten PCs kann es vertretbar sein, einen Container durch ein Terminal-Alias
zu laden und dabei das Passwort im Klartext mitzugeben:
Tipp 2 für ältere
Truecrypt-Container: Unter „Select File“ wählen Sie die Container-Datei aus oder mit
„Select Device“ das verschlüsselte Laufwerk. Nach einem Klick auf
„Mount“ aktivieren Sie im angezeigten Dialog vor der Angabe des
Passworts die Option „TrueCrypt Mode“. In einigen Fällen funktioniert
das nicht, und Veracrypt öffnet den Container nicht. Hier hilft es, die
Einstellung „Options -> Mount volume as read-only“ zu aktivieren.
Damit sind die Daten erreichbar und können bei Bedarf an eine andere Stelle
kopiert werden.
6. Einfaches Verschlüsseln mit Packer
Einfachster Schutz bei geringeren Datenmengen ist die
Ad-hoc-Verschlüsselung von Einzeldateien oder eines Ordners. Ohne Einschränkung
für alle Dateien und Ordner anwendbar ist ein Packer mit eingebauter Verschlüsselung
wie 7-Zip. Diese ist sicher, wenn Sie das Passwort komplex und lang wählen. Packer-Verschlüsselung
erfordert diszipliniertes Verhalten und ist nicht so komfortabel wie andere
Methoden.
Empfehlung: Geschützte
Packer-Archive eignen sich für Dateien in der Cloud, können aber auch für
mobile Datenträger ausreichen, wenn die Dateimengen überschaubar sind. Da es
7-Zip für Linux, Windows und Mac OS (7zX) gibt, ist der Austausch solcher
Archive problemlos. Unter Android können nicht alle Apps mit einem „zip“
im Namen auch mit passwortgeschützten Archiven umgehen, aber der kostenlose,
allerdings werbefinanzierte 7Zipper (von Polar Bear) beherrscht dies.
Manuelles
Verpacken: Installieren Sie zunächst, sofern noch nicht geschehen, den
7-Zip-Packer:
sudo apt install p7zip-full
7-Zip erscheint unter Desktop-Linux nicht als
selbständiges, grafisches Programm, sondern integriert sich in die
„Archivverwaltung“. In Zusammenarbeit mit dieser Archivverwaltung oder
dem 7z-Filemanager unter Windows ist Verschlüsseln und Entschlüsseln recht
komfortabel: Sie ziehen Datei oder Ordner einfach mit der Maus in das Fenster
(„Archivverwaltung“ oder „7-Zip“), bestätigen unter Linux, dass damit ein neues
Archiv angelegt werden soll und geben dann das Format „7z“ an. Unter „Erweiterte
Einstellungen“ vergeben Sie das Passwort. Die Option „Dateiliste ebenfalls
verschlüsseln“ sorgt dafür, dass die Archivverwaltung später auch keine
Dateinamen verrät. Beim späteren Doppelklick des Archivs wird automatisch das
Kennwort abgefragt und nur bei richtiger Eingabe entpackt.
Komfortfunktionen:
Der Hauptaufwand für sichere passwortgeschützte Archive entsteht durch die
Eingabe des komplexen Kennworts. Dieser Komfortverlust lässt sich etwa durch
Terminal-Aliases oder -Funktionen minimieren. Für hier soll ein Beispiel für
das Terminal genügen, das am besten als Function in der Datei ~/.bashrc zu
realisieren ist:
function cc (
{
name=${1%/}
echo $name | grep ".7zEnc"
if [ $? -eq 0 ]; then
7z x
-p'linuX*Welt' "$name"
else
7z a
-p'linuX*Welt' -t7z -mhe=on "$name.7zEnc" "$name"
fi
}
Danach erledigt im Terminal die Eingabe
cc [datei]
das Ein- oder Auspacken des Archivs im aktuellen
Verzeichnis. Ob Einpacken oder Auspacken als Aufgabe ansteht, erkennt die
Funktion anhand der Dateiextension. Das Kennwort „linuX*Welt“ ist
natürlich anzupassen.
Ähnliche und zum Teil noch komfortablere grafische
Lösungen hat die LinuxWelt in früheren Ausgaben vorgestellt, so den Ausbau des
jeweiligen Dateimanagers mit speziellen Kontextmenüs. Die letzte Ausgabe der LinuxWelt
zeigte eine Lösung mit einem Incron-überwachten Ordner, der die Verschlüsselung
per Drag & Drop erledigt. Alle nötigen Infos dazu finden Sie im PDF-Booklet
auf Heft-DVD. Im Prinzip basieren aber alle diese Komfortlösungen auf einem
Shellscript ähnlicher Machart wie oben.
7. Kennwortschutz in Office-Software
Libre Office und Microsoft Office bieten eine eigene integrierte
Verschlüsselung. Das ist bequem, bleibt aber eine Insellösung, die auf die
wenigen Office-Formate beschränkt ist. Außerdem hat diese Software-interne
Kryptographie den großen Nachteil, dass Sie auf Office-Suiten angewiesen sind,
um ein Dokument lesen zu können. Immerhin kann Libre Office auch
Passwort-geschützte Microsoft-Dateien öffnen, umgekehrt ist das nicht der Fall.
Empfehlung:
Diese Methode, Dateien einzeln zu verschlüsseln, eignet sich nur für wenige
sensible Texte oder Tabellen. Für größere Datenmengen ist sie zu unbequem. Der
häufigste Einsatz ist der Austausch vertraulicher Tabellen innerhalb eines
Arbeitsteams.
Praktische Nutzung:
Libre Office bietet die Option „Datei -> Speichern unter -> Mit Kennwort
speichern“. Das Kennwort muss jeweils beim Öffnen eingegeben werden. Dass das
Dokument geschützt ist, ist Libre Office bei der Weiterbearbeitung klar: Es
genügt daher künftig, normal zu speichern. In Microsoft Office findet sich die Verschlüsselung
unter „Datei -> Speichern unter -> Tools -> Allgemeine
Optionen“.
Exkurs: Asymmetrische Verschlüsselung
Alle bisher
genannten Verschlüsselungsvarianten (Punkt 1 bis 8) gehören zur Kategorie
symmetrischer Verschlüsselung: Ein Kennwortschlüssel verändert die
Ausgangsdaten unlesbar, genau derselbe Schlüssel stellt den lesbaren Zustand
wieder her. Dieses Verfahren ist optimal, wenn Sender und Empfänger dieselbe
Person sind: Sie verschlüsseln Dateien oder Datenträger, die Sie später wieder
entschlüsseln. Die Verschlüsselung hat nur den Zweck, dass keine andere Person
die Datei lesen kann. Sobald Sender und Empfänger verschiedene Personen sind,
wird symmetrische Verschlüsselung problematisch: Erstens muss der Schlüssel auf
einem sicheren Weg von Person A zu Person B kommen. Zweitens brauchen Sie
strenggenommen für Person C einen anderen Schlüssel, für Person D einen
weiteren und so fort. Bei einem Austausch vieler Personen wie bei der
Mail-Korrespondenz ist dies nicht praktikabel.
Wesentliches
Merkmal der asymmetrischen Verschlüsselung (siehe Punkt 9) sind zwei
unabhängige Schlüssel: ein öffentlicher zum Verschlüsseln, ein privater zum
Entschlüsseln. Die komplementären Schlüssel generiert die Software – etwa GnuPG
– auf Ihrem Rechner. Beide Schlüssel stehen zwar in eindeutigem Verhältnis,
jedoch ist die Berechnung des privaten Schlüssels aus dem öffentlichen durch
den Einsatz mathematischer Einwegfunktionen extrem aufwendig bis unmöglich. Der
öffentliche Schlüssel zum Verschlüsseln kann daher ohne Geheimniskrämerei an
alle Kommunikationspartner direkt oder zu einem öffentlichen Key-Server im Web
geschickt werden. Nun chiffrieren alle Partner Nachrichten an Sie mit Ihrem
öffentlichen Schlüssel – und Sie sind die einzige Person, die diese Nachrichten
mit dem passenden privatem Schlüssel lesbar machen kann. Umgekehrt codieren Sie
Ihre Nachrichten mit den öffentlichen Schlüsseln Ihrer Partner und haben die
Sicherheit, dass nur der Empfänger mit dem komplementären privaten Schlüssel
die Nachricht lesen kann.
8. Mailverschlüsselung unter Thunderbird
Ob der persönliche
Mail-Austausch Verschlüsselung benötigt, muss jeder selbst entscheiden.
Tatsache ist, dass US-Anbieter wie Google oder Yahoo der Neugier von Geheimdiensten
wenig Datenschutz-Anstrengungen entgegensetzen. Auch wenn Sie deutsche Provider
oder sogar einen eigenen Mail-Server benutzen, ist die Mail doch an den
Knotenpunkten theoretisch abzufangen – am einfachsten in öffentlichen WLANs.
Empfehlung: Mail-Verschlüsselung ist wie jede Datenschutzmaßnahme mit
Mehraufwand verbunden. Die Kombination von GnuPG (GNU Privacy Guard) plus
Thunderbird mit Erweiterung Enigmail ist die wohl komfortabelste Lösung, aber
auch sie erfordert Gewöhnung und zumindest einen Anteil von Mail-Partnern, die
ebenfalls GnuPG nutzen. Unter Linux sind Thunderbird und GnuPG oft
vorinstalliert, und falls nicht, über die Paketnamen „thunderbird“
und „gnupg“ schnell nachgerüstet. Für Windows gibt es Downloads unter
www.mozilla.org und www.gnupg.org). Enigmail finden und installieren Sie dann
direkt in Thunderbird über „Add-ons“.
Einrichtung und
Mail-Alltag: Nach der Installation der Enigmail-Erweiterung und einem
Thunderbird-Neustart verwenden Sie im automatisch startenden Einrichtungsassistenten
die „ausführliche Konfiguration“. Im ersten Schritt geben Sie die
„Passphrase“ ein. Das Passwort benötigen Sie später stets, um auf
Ihre Schlüssel zuzugreifen. Es bildet auch die Grundlage für die beiden Schlüssel.
Nach der doppelten Eingabe legt Enigmail das neue Schlüsselpaar an (öffentlich/privat).
Falls Sie auf einem anderen Rechner bereits ein eingerichtetes Enigmail und ein
Schlüsselpaar besitzen, wählen Sie im Assistenten die Option, bestehende
Schlüssel zu importieren. Schlüssel lassen sich über „Enigmail ->
Schlüssel verwalten“ als Ascii-Dateien exportieren und auf anderen
Rechnern importieren.
Öffnen Sie wie gewohnt den Editor zum Verfassen von
Nachrichten. Dort hat Enigmail jetzt eine weitere Symbolleiste platziert.
Möchten Sie eine ausgehende Nachricht verschlüsseln, benötigen Sie den
öffentlichen Schlüssel des Empfängers. Wenn dieser als Textdatei vorliegt,
können Sie den Schlüssel über „Enigmail -> Schlüssel verwalten ->
Datei importieren“ einlesen. Alternativ gibt es Schlüsselserver, die
öffentliche Schlüssel aufbewahren. Über „Schlüsselserver -> Schlüssel
suchen“ sehen Sie nach, ob die Empfängeradresse dort eingetragen ist;
falls ja, importieren Sie den Schlüssel mit einem Klick. Umgekehrt ist es sinnvoll,
den eigenen öffentlichen Schlüssel über „Schlüsselserver -> Schlüssel
hochladen“ im Web zugänglich zu machen.
Nach einem Schlüsselimport ist der neue Mail-Empfänger
Enigmail/GnuPG bekannt. Künftig klicken Sie beim Verfassen einer Nachricht an
diesen Empfänger auf das Symbol mit dem Schloss. Um Mails verschlüsselt zu
versenden, müssen Sie Ihr Passwort eingeben. Wenn Sie mit dem Schloss-Symbol
verschlüsselt senden wollen, jedoch für den Empfänger kein Schlüssel vorliegt,
erscheint automatisch der Hinweis, dass dieser Empfänger „nicht
gültig“ ist. Dann besorgen Sie sich entweder den öffentlichen Schlüssel
oder Sie senden unverschlüsselt.
Erhalten Sie umgekehrt eine Mail, die verschlüsselt
wurde, erkennt Enigmail das automatisch. Wenn Sie im Vorschaubereich von
Thunderbird auf das Element klicken, werden Sie dazu aufgefordert, das Passwort
einzugeben. Wenige Augenblicke später erscheint die Nachricht.
Beachten Sie, dass Sie bei der Nutzung mehrerer Rechner
die Schlüsselverwaltung manuell synchron halten müssen. Eine wichtige Hilfe ist
wieder „Enigmail -> Schlüssel verwalten -> Datei exportieren“,
wobei Sie einfach sämtliche Schlüssel markieren. Die resultierende Ascii-Datei
lässt sich auf dem nächsten Rechner importieren.
9. Verschlüsselte Browser-Synchronisierung
Die Browser-Synchronisierung von Lesezeichen,
Einstellungen, Erweiterungen und Skins bedeutet für Nutzer mehrerer Geräte
unschätzbaren Komfort. Bedenklich scheint allerdings der Nebenaspekt, dass
dabei Mengen von persönlichen Daten auf Google- oder Mozilla-Servern hinterlegt
werden müssen.
Empfehlung: Firefox
verschlüsselt standardmäßig alle Daten, wobei der Schlüssel auf dem Gerät des
Benutzers verbleibt. Damit ist der Mozilla-Browser in puncto Datenschutz erste
Wahl. Jedoch lässt sich auch der Google-Browser so einstellen, dass alle
Synchronisierungsdaten sicher verschlüsselt sind.
Abhörsichere
Synchronisierung für Chrome/Chromium: Standardmäßig werden hier nur die Kennwörter
verschlüsselt. Aber unter „Einstellungen -> Erweiterte
Synchronisierungseinstellungen“ (vorherige Google-Anmeldung vorausgesetzt) gibt
es die Option „Alle synchronisierten Daten […] verschlüsseln“, bei der Sie ein
individuelles Kennwort zur Sync-Verschlüsselung vergeben, das unabhängig vom
Google-Kennwort ist. Der Komfortverlust ist nicht gravierend, da Sie dieses
Kennwort auf jedem weiteren Gerät nur ein einziges Mal eingeben müssen. Damit
landen sämtliche Daten verschlüsselt auf dem Google-Server, der Schlüssel dazu
(Kennwort) verbleibt auf dem lokalen Gerät.
10. Verschlüsselung im Internet
Der Datenaustausch über unverschlüsselte Verbindungen ins
Internet kann im Klartext mitgelesen werden. Das gilt verschärft in
öffentlichen Funknetzen, innerhalb von lokalen Firmennetzen und theoretisch
auch außerhalb des lokalen Netzwerks an Verteilerknoten, die von Providern,
Geheimdiensten oder Hackern abgehört werden. Im Fokus stehen die meistgenutzten
Protokolle HTTP (Webseiten) und FTP (Datentransfer). Die folgenden Infos
beziehen sich ausschließlich auf die Client-Seite des Web-Nutzers, nicht auf
die Server-Seite des Betreibers.
HTTP und HTTPS:
Im Sinne des Datenschutzes ist, wo immer möglich, auf verschlüsselte Verbindung
zu achten. Zwingend erforderlich ist dies überall, wo zur Anmeldung persönliche
Zugangsdaten verschickt werden (Bank, Online-Shop). Alle Browser zeigen sichere
(HTTPS-) Web-Adressen in der Adresszeile mit einem grünen Schloss-Symbol an. HTTPS
garantiert, dass es für Kriminelle und Geheimdienste selbst dann nichts
Lesbares zu lesen gibt, wenn der Angreifer im Netz sitzt und den Netzverkehr
abhört.
Firefox und Chrome signalisieren unverschlüsselte HTTP-Sites
explizit als „nicht sicher“. Dies ist kein Urteil über die Seriosität
der Website, sondern ausschließlich die Aussage, dass eine Site keine TLS-
(Transport Layer Security) oder SSL-Verschlüsselung bietet (Secure Socket
Layer). Datenschutztechnisch noch einen Schritt weiter geht Firefox, der
Anmeldungen auf unverschlüsselten Seiten automatisch bremst: „Diese
Verbindung ist nicht verschlüsselt…“. Das ist im Prinzip verdienstvoll,
kann aber – insbesondere bei lokalen Servern (Router, NAS) – auch nerven und
über „about:config“ deaktiviert werden („security.insecure_field_warning…“).
FTP, FTPS und SFTP:
Das File Transfer Protocol (FTP) bietet keine Verschlüsselung. Daher sollten
Sie sich die Anmeldung auf unverschlüsselten FTP-Servern zumindest in
öffentlichen WLANs verkneifen. Man mag sich als Client-Nutzer auf den
Standpunkt stellen, das Sicherheitsproblem sei Sache des Server-Betreibers.
Jedoch fällt der Erstverdacht zunächst auf den Client-Nutzer, wenn dessen
unverschlüsselte Anmeldedaten abgegriffen und destruktiv missbraucht werden.
Sicherheitsbewusste FTP-Betreiber werden FTPS (FTP mit SSL- oder TLS-Verschlüsselung)
anbieten. FTP-Clients wie Filezilla zeigen im Servermanager unter
„Verschlüsselung“ an, ob die Verbindung abhörsicher ist.
Eine sichere Alternative zu FTP ist der Datenaustausch
über SSH, das über sein Protokoll SFTP auch die direkte verschlüsselte Dateiübertragung
vorsieht. Mit den ähnlich klingenden Protokollen FTP und FTPS hat das nichts zu
tun, sondern mit SSH-Servern, die auf Linux-Systemen SSH-Verbindungen
entgegennehmen. Mit Rücksicht auf Windows-Systeme, die standardmäßig keinen
SSH-Client enthalten, bleibt FTP und FTPS das verbreitete Austauschprotokoll.
Wirklich triftig ist diese Rücksicht auf Windows allerdings nicht, da der auch
unter Windows vielgenutzte FTP-Client Filezilla auch das Protokoll „SFTP –
SSH File Transfer Protocol“ beherrscht.
Exkurs: Unentbehrlicher Browser-Tipp
Mit dem Thema „Verschlüsselung“ hat dieser
kleine Exkurs nichts zu tun, aber viel mit dem verwandten Thema
„Datenschutz“: Wer gerade vorhat, sich eine Jacke, Gitarre oder
Kettensäge zu kaufen, sollte die Angebote tunlichst nicht über normales Google
& Co. recherchieren. Dann sieht man nämlich die nächsten Wochen im Web
überall nur noch Jacken, Gitarren und Kettensägen. Einfache Abhilfe schafft der
„Private Modus“ im Firefox oder „Inkognito“ bei Chrome.
Damit können Sie in Google & Co. suchen, ohne die Werbeindustrie über Ihre
Interessen zu informieren. Wer solche Belästigung generell hasst, kann auch die
Suchmaschine duckduckgo.com verwenden – dort
ist der Datenschutz inklusive.
Truecrypt und der Nachfolger (Fork) Veracrypt sind
faszinierende Verschlüsselungssoftware und beste Wahl für mobile Rechner und
Datenträger. Dieser Beitrag erklärt den Umgang und plädiert für das
KISS-Prinzip („Keep it simple, stupid“).
Die jüngsten Versionen von Ubuntu und allen Abkömmlingen haben
die Nachfrage nach einer zuverlässigen Verschlüsselungssoftware wieder schlagartig
erhöht. Seit das Home-Verzeichnis nicht mehr standardmäßig ab Installation
durch Ecryptfs geschützt werden kann, muss vor allem auf mobilen Notebooks eine
Alternative her. Auch USB-Datenträger, die persönliche Daten enthalten und viel
unterwegs sind, brauchen Verschlüsselungsschutz. Der Truecrypt-Nachfolger
Veracrypt ist hierfür allererste Wahl.
Veracrypt im Kurzporträt
Veracrypt ist Open-Source-Software und kann daher keine geheimen
Hintertüren für Geheimdienste verbergen. Es eignet sich für große und sehr große
Datenmengen, allerdings nicht für den Transfer in die Cloud, da auch bei
geringen Datenänderungen immer der Transport eines gesamten Volumes
(„Container“) notwendig wäre. Die Verschlüsselungstechniken und
nebenbei auch die Benutzeroberfläche, stehen überwiegend auf der Basis des
eingestellten Vorgängers Truecrypt, der als praktisch unüberwindbar eingestuft
wurde. Das mysteriöse Ende von Truecrypt im Jahr 2014 wurde damals mit
angeblichen Sicherheitslücken begründet, die jedoch nie nachgewiesen wurden. Dies
lässt bis heute Gerüchte blühen, dass Truecrypt keineswegs fehlerhaft, sondern
im Gegenteil zu gut war, um noch länger von staatlicher Exekutive und/oder
Wirtschaft geduldet zu werden.
In der Tat geht der Anspruch von Truecrypt und dem
Nachfolger Veracrypt deutlich über so harmlose Datenschutzmotive hinaus,
Mitarbeiteradressen oder Gehaltstabellen zugriffssicher zu verschlüsseln.
Truecrypt/Veracrypt haben das Potential, auch die Daten von strafrechtlich oder
politisch Verfolgten zu schützen, die mit professionellen Computerforensikern
als Gegner rechnen müssen.
Für „normale“ Nutzer mit legitimen Ansprüchen
auf Privatsphäre ist diese Komplexität von Veracrypt durchaus ein Problem: Container,
Volume, Partition, Standard/Versteckt, Verschlüsselungsalgorithmus,
Hash-Algorithmus, Passwort, PIM, Keyfiles, Dateisysteme, Header-Daten, Cache-Daten
– das sind anspruchsvolle und in Veracrypt überall präsente Begriffe. Da muss
man erst den Überblick gewinnen, was nun wirklich relevant ist oder doch eher in
die Paranoia-Ecke gehört. Der Nutzer sollte sich auf das für ihn Notwendige
konzentrieren. Wer mit Veracrypt-Optionen leichtfertig spielt, erzielt schnell
maximalen Datenschutz – indem er sich selbst aussperrt.
Wie jede Software ist auch Veracrypt nicht fehlerfrei. 2016
wurde ein Bug bekannt, durch den sich versteckte Volumes nachweisen lassen (zu
versteckten Volumes siehe gleichnamigen Kasten). Dieser Bug ist seit Version
1.18a behoben, aktuell ist Version 1.22. Eine weitere Anfälligkeit ist
akademisch und betrifft außerdem ausschließlich die Komplettverschlüsselung von
Festplatten oder sogar der Systempartition (nur in der Windows-Variante). Die
theoretische Lücke kann bei physischem Zugriff einer Fremdperson nach einer
Speicheranalyse die Passwortlänge preisgeben.
Weitere theoretische Angriffsszenarien sind nicht
spezifisch, sondern gelten generell für jedes kryptografische Verfahren: Die
Kennworteingabe kann auf kompromittierten Rechnern durch Keylogger bespitzelt
werden. Ferner beherrschen Forensiker Kaltstartattacken, bei welchen nach einem
Neustart mit einem Minimalsystem der RAM-Speicher ausgelesen wird, der für
kurze Zeit noch den gesamten Inhalt inklusive Kennwörter preisgeben kann.
Noch zwei allgemeine Hinweise:
1. Der Einsatz von Veracrypt erfordert immer wieder
Geduld: Das Laden („Mount“), mehr noch das Entladen („Dismount“)
ist häufig zäh, sollte Sie aber keinesfalls veranlassen, den Vorgang durch ein
„Auswerfen“ des Datenträgers mit Betriebssystem-Werkzeugen oder durch
schlichtes Abziehen eines USB-Medium zu unterbrechen.
2. Beim Hantieren mit Veracrypt-Containern werden Sie
zusätzlich zum Container-Passwort auch nach dem sudo-Kennwort gefragt werden,
das mit dem Veracrypt-Passwort nichts zu tun hat und vermutlich anders lautet.
Plattformen und Installation
Anlaufstelle ist die Projektseite https://www.veracrypt.fr/en/Downloads.html. Veracrypt gibt es für Linux (auch Free BSD, Raspbian), Windows und Mac OS. Somit steht einer plattformübergreifenden Nutzung nichts im Wege. Für Windows gibt es sogar neben der installierbaren eine portable Variante, was die Mitnahme der Veracrypt-Software parallel zu den verschlüsselten Daten auf USB ermöglicht. Generell ist Veracrypt für Windows nochmal deutlich komplexer, da es auch Systempartitionen verschlüsselt und für externe Datenträger eine In-Place-Verschlüsselung anbietet – also die Verschlüsselung bestehender Datenträger ohne Datenverlust.
Unter Mac OS ist neben Veracrypt das zusätzliche OSXFUSE
erforderlich, um Veracrypt-Container mit Benutzerrechten laden zu können. Unter
Ubuntu, Mint & Co. ist die Installation über die genannte Webseite zwar
möglich, der deutlich bequemere Weg führt jedoch über das PPA:
sudo add-apt-repository ppa:unit193/encryption
sudo apt-get update
sudo apt-get install veracrypt
Im Unterschied zur Windows-Version bietet Veracrypt unter
Linux keine deutsche Übersetzung, weswegen wir uns bei den nachfolgenden
Menübezeichnungen an die englischsprachigen halten.
Veracrypt ist ein Tool für PCs und Notebooks. Smartphone und Tablets mit Android und iOS werden nicht direkt unterstützt. Die nachfolgend der Vollständigkeit halber genannten Apps sollten zumindest das Öffnen und Lesen von Veracrypt-Volumes ermöglichen. Mit technischen Limits und Komforteinschränkungen ist jedoch überall zu rechnen. Für Android finden Sie im Google Play Store das Tool EDS (Encrypted Data Store) in einer kostenlosen Lite-Version: (goo.gl/Ce6wmg) und der Vollversion für 7,49 Euro (siehe goo.gl/1gsakw). Die Lite-Version hat gravierende Beschränkungen (siehe http://www.sovworks.com). Für iOS gibt es den Crypto Disks & File Explorer (goo.gl/vT4yNJ) und Disk Decipher (goo.gl/QGdkdq) für je einen Euro.
Datencontainer oder Datenträger?
Veracrypt für Linux kann mit verschlüsselten
Containerdateien arbeiten oder komplette (externe) Datenträger verschlüsseln.
Die erste Variante ist die technisch einfachere und auch vom Assistenten
(„Creation Wizard“) die stets empfohlene.
Datenträgerverschlüsselung:
Da Veracrypt unter Linux einen Datenträger oder eine Partition komplett löschen
und neuformatieren muss, um ihn danach verschlüsselt anzubieten, gibt es nur
einen nennenswerten Grund für die Komplettverschlüsselung interner oder mobiler
Laufwerke: Der Datenträger soll sich wie ein unformatiertes Laufwerk verhalten.
Ein Veracrypt-Laufwerk präsentiert sich unter Linux nämlich als unbekanntes
Dateisystem, und Windows will es umstandslos sofort formatieren. Nur Veracrypt
selbst kann das Laufwerk laden.
Ist dies gewünscht, dann verwenden Sie im
Veracrypt-Assistenten nach „Create Volume“ die Option „Create a
volume within a partition/drive“, danach „Standard VeraCrypt volume“
und wählen dann mit „Select Device“ den Datenträger. Das Gerät selbst, etwa /dev/sdc,
können Sie nur verwenden, wenn der Datenträger im Rohformat ohne jede Partition
vorliegt. Typischerweise ist eine Partitionsangabe wie /dev/sdc1 die richtige
Wahl. Wenn nur eine Partition vorliegt, ist das Resultat von /dev/sdc und
/dev/sdc1 dasselbe. Wenn der Datenträger keine unverschlüsselte Partition
enthalten soll, sorgen Sie vorab mit Gparted oder Gnome-Disks dafür, dass keine
oder nur eine Partition vorliegt. Alle weiteren Optionen der Einrichtung
unterscheiden sich nicht vom Anlegen eines einfacheren Containers, das
nachfolgend genauer beschrieben ist. Für das Mounten verschlüsselter
Datenträger verwenden Sie im Veracrypt-Hauptfenster statt „Select
File“ (für Container) die Schaltfläche „Select Device“.
Datencontainer:
Um eine neue Containerdatei anzulegen, klicken Sie im Hauptfenster auf „Create
Volume“, dann auf „Create an encrypted file container“ und auf
“Standard VeraCrypt volume“. Hier geben Sie Pfad und Namen einer bisher
nicht existierenden Datei an. Unter „Encryption Options“ belassen Sie alles
auf den Standardvorgaben. Danach geben Sie die Größe der Containerdatei an.
Diese sollte großzügig ausfallen, weil die Kapazität nicht mehr zu ändern ist.
Veracrypt verwaltet auch sehr große Container mühelos, andererseits bedeuten viele
kleine Container erhöhten Verwaltungsaufwand und die Gefahr, Einstellungen und
Passwörter zu vergessen.
Danach kommt die Passwortvergabe. Speziellere Optionen
bei diesem Schritt sind im nächsten Punkt beschrieben. Für die meisten Szenarien
ist ein komplexes Passwort völlig ausreichend. Die anschließenden „Format
Options“ gelten für das innere Dateisystem des Containers und sind
wichtig: Wählen Sie am besten FAT oder NTFS, wenn Sie die Daten auch unter
Windows brauchen. Mit anderen Worten: Ein USB-Stick, den Sie unter allen
Systemen nutzen möchten, muss nicht nur selbst ein allgemein kompatibles
Dateisystem haben, sondern auch der Veracrypt-Container muss mit einem solchen
formatiert sein. Im Allgemeinen kann man bei der Container-Formatierung mit
NTFS nichts falsch machen. FAT genügt auch, sofern der Container keine Dateien
größer als 4 GB aufnehmen muss.
Die nächste Option lautet „Cross-Platform
Support“. Hier muss die obere Einstellung aktiviert werden, wenn ein
Container auch in anderen Betriebssystemen genutzt werden soll („I will
mount the volume on other platforms“). Beachten Sie aber, dass es sich
hier nur um ein zusätzliches Container-Flag handelt, das nichts nützt, wenn das
Dateisystem des Datenträgers plus das Dateisystem des Containers nicht
kompatibel sind (siehe oben).
Zur Schlüsselerstellung auf Basis des Passworts erwartet Veracrypt
danach Mausbewegungen im eigenen Fenster. Schließen Sie den Vorgang am Ende mit
„Format“ ab. Damit ist der Container einsatzbereit.
Um Container zu verwenden, navigieren Sie mit „Select
File“ im Hauptdialog zur Containerdatei. Mit Klick auf „Mount“ wird diese im
Dateimanager geöffnet (falls nicht, lässt sich das unter „Preferences ->
System Integration“ einstellen). Linux mountet Container nach
„/media/veracrypt[nummer]“, Windows auf freie Laufwerkbuchstaben. Auf diesen
Datenträgern lesen und arbeiten Sie wie auf einem normalen Laufwerk. Mit
„Dismount“ im Hauptdialog entladen Sie den Container, der somit wieder
geschützt ist.
Anspruchsvollere Passwort-Optionen
Bei der Passwortvergabe haben wir im vorangehenden
Abschnitt zwei Optionen übergangen, weil wir sie für die Basisbenutzung von
Veracrypt nicht empfehlen. Interessant sind sie durchaus, aber sie erhöhen
Komplexität und Verwaltungsaufwand.
Container mit
Passwort und PIM: Beim Erstellen des Containers gibt es im Dialog der
Passwort-Definition die zusätzliche Option „Use PIM“. Hier kann eine
Zahl eingetragen werden. Geschieht dies, so genügt das richtige Kennwort zum
Öffnen dieses Containers nicht mehr. Hier ist dann zusätzlich die exakte PIM-Zahl
erforderlich. Vereinfacht gesagt, handelt es sich um ein zusätzliches Kennwort
für deutlich erhöhten Schutz. Technisch definiert der Personal Iterations
Multiplier die Anzahl der Wiederholungen von Hashfunktionen, die dann beim
genauen angegebenen PIM-Wert den Entschlüsselungsheader generieren. Beachten
Sie, dass ein hoher PIM-Wert den Mount-Vorgang eines Volumes deutlich
verzögert. Das einmal geladene Volume ist dann aber so schnell wie gewohnt.
Container mit Passwort
und Keyfile: Der Passwortdialog hält noch eine weitere interessante
Möglichkeit parat – nämlich die „Keyfiles“, Schlüsseldateien. Dabei
kann es sich um eine beliebige Datei handeln, die Veracrypt zum Öffnen des
Containers zusätzlich zum Passwort benötigt. Entscheidend für die
Schlüsselfunktion dieser Datei sind deren erste 1024 Bytes, nicht Pfad oder
Dateiname. Das heisst, dass sich der Inhalt dieser Schlüsseldatei keinesfalls
ändern darf, das Verzeichnis oder der Dateiname jedoch durchaus. Ideale
Kandidaten für Schlüsseldateien sind Binärdateien, PDFs oder ISO-Images, die
normalerweise nie geändert werden. Ein Keyfile ist wie die PIM-Zahl additiv: Es
ersetzt nicht das Passwort, sondern muss zusätzlich vorliegen. Es ist ein guter
Schutz gegen Keylogger, weil das Kennwort alleine nicht mehr ausreicht. Das Keyfile
kann ferner auch ein schwächeres Kennwort rechtfertigen und die Kennworteingabe
verkürzen. Für mobile USB-Laufwerke ist die Keyfile-Methode nicht geeignet.
Möglich wäre aber ein geschützter USB-Stick, für welchen das Keyfile sowohl zu
Hause wie im Büro vorliegt – aber keinesfalls auf dem Stick selbst.
Container mit Keyfile,
aber ohne Passwort: Sie können Veracrypt-Container auch mit leerem, also ohne
Kennwort anlegen und sie nur durch Angabe einer Schlüsseldatei öffnen. Das ist
aber nicht nur unsicherer, sondern wahrscheinlich auch organisatorisch
aufwändiger als sich ein Kennwort zu merken.
Schaltfläche
„Volume Tools“: Für einen geladenen Container lassen sich alle
bisherigen Einstellungen nachträglich ändern (unter Windows muss der Container
ausgewählt, darf aber nicht geladen sein). Das erledigen Sie im Hauptfenster
über „Volume Tools“. Sie können ein neues Passwort vergeben oder
Keyfiles hinzufügen oder entfernen. Beachten Sie, dass die Aktion in jedem Fall
noch einmal eine korrekte Anmeldung mit den bisherigen Daten erfordert (obwohl
der Container bereits gemountet ist). Durchaus kompliziert ist etwa die
Definition einer neuen Schlüsseldatei („Add/Remove Keyfiles“). Dazu
müssen Sie nämlich für die Anmeldung „Use keyfiles“ aktivieren und
die bisherige Datei angeben, unter „New“ erneut „Use
keyfiles“ aktivieren und dort das neue definieren.
Versteckte Veracrypt-Volumes
Im zweiten Fenster des Assistenten kann man mit „Hidden
VeraCrypt Volume“ einen versteckten Container innerhalb eines sichtbaren
Containers anlegen. Der Vorgang beginnt zunächst mit dem „Outer Volume“. Nach
Erstellung, Kennwortvergabe und Bestückung mit Dateien (was auch später
geschehen kann), führt der Assistent automatisch weiter zum „Hidden Volume“,
das im äußeren Container untergebracht wird. Wichtig ist, dass dieser zweite
Container ein völlig anderes Kennwort erhält. Nutzt man beim späteren Mounten
der Containerdatei das erste Kennwort, so öffnet sich das äußere Volume. Gibt
man hingegen das zweite Kennwort ein, öffnet dies das innere, versteckte
Volume. Laut Hersteller ist das innere Volume auch bei geöffnetem äußeren
Volume und genauer Datenanalyse nicht nachweisbar.
Natürlich sind versteckte Container eine reichlich paranoide Methode, wenn es nur um den Datenschutz einiger Tabellen oder Texte geht. Das Prinzip „Plausible Deniability“ (glaubhafte Abstreitbarkeit) soll dem Datenbesitzer unter Erpressung oder Folter die Möglichkeit geben, ein Passwort preiszugeben – aber eben nicht das entscheidende. Wer tatsächlich mit solcher Situation rechnen muss, sollte im „Outer Volume“ zumindest scheinbar interessante Daten bereithalten.
Die Dateisuche in Linux-Dateimanagern genügt für
gelegentliche Suchläufe, für häufige Suche in großen Archiven ist sie zu
langsam. Das Python-Script „Angry Search“ kann hier aushelfen. Dieser
Beitrag bespricht Anspruch und Realität des Tools.
Angry Search hat die erklärte Absicht, das Vorbild „Everything“
unter Windows zu kopieren. Das ist ein ziemlich hoher Anspruch, denn die
Freeware Everything gilt Windows-Kennern seit vielen Jahren als Muss: ein
stupend schnelles Suchtool mit Suchoperatoren und Serverkomponente, das Millionen
Dateien in Millisekunden filtert (www.voidtools.com).
Angry Search leistet eine vergleichbar schnelle Instant-Suche beim Tippen der
Suchbegriffe, bedarf aber mehr Pflege als sein Windows-Vorbild.
Beachten Sie, dass Angry Search ein reines Dateiwerkzeug
ist, das nach Pfaden und Namen sucht, nicht nach Dateiinhalten. Das entspricht
seinem Vorbild, das zwar neuerdings optional auch Dateiinhalte durchsuchen
kann, dabei aber seinen Leistungsfokus aus den Augen verliert.
Download und Einrichtung
Angry Search ist ein Python-Script (mit drei weiteren
Python Hilfsscripts) und somit unter Linux überall lauffähig, da ein
Python-Interpreter zum Linux-Standard gehört. Unter https://github.com/DoTheEvo/ANGRYsearch/releases
findet sich der Download als zip– oder tar.gz-Archiv, das Sie nach dem
Download zunächst an beliebiger Stelle entpacken. Im Terminal suchen Sie dann
den entpackten Ordner auf, schalten das kleine Install-Shellscript mit
chmod +x install.sh
ausführbar und starten dieses dann mit diesem Befehl:
sudo sh install.sh
Das war’s schon: Das Script kopiert lediglich einige
Python-Scripts nach „/usr/share/angrysearch“ und legt den Link unter
/usr/bin/angrysearch.py an. Daher ist spätere eine De-Installation mit dem
manuellen Löschen dieser Dateien erledigt.
Nach der Einrichtung ist Angry Search als
„ANGRYsearch“ im Hauptmenü oder im Gnome-Dash erreichbar, aber auch
im Terminal über den Befehl angrysearch.
Download-Archiv und der entpackte Ordner können danach im Prinzip gelöscht
werden.
Neben dem benötigten Python-Interpreter hat das Tool nur
zwei abhängige Pakete: Das Paket xdg-utils ist auf praktisch jeder
Desktop-Distribution anzutreffen, das Paket python3-pyqt5 meistens auch. Sollte
nach der Einrichtung der Aufruf scheitern, wiederholen Sie den Start im
Terminal mit dem Befehl angrysearch,
um die Ursache herauszufinden. Unter
Ubuntu Gnome erhielten wir etwa die Meldung:
„No module named ‚PyQt5′“
In diesem Fall fehlt das genannte Paket python3-pyqt5,
das Sie mit
sudo apt install python3-pyqt5
schnell nachinstalliert haben.
Suchoptionen und Konfiguration
Beim ersten Aufruf erhalten Sie einige Infos über die Konfigurationsdateien
und die fundamentale Nutzung. Diese Startinfo lässt sich jederzeit wiederholen,
indem der Dateiindex gelöscht oder der Suchmodus geändert wird. Konfiguration
und Index liegen benutzerbezogen unter „~/.config/angrysearch/angrysearch.conf“
und „~/.cache/angrysearch/angry_database.db“. Den Index erstellen Sie
im Tool mit der Schaltfläche „update“. Dabei berücksichtigt Angry
Search standardmäßig das komplette Dateisystem. Die Indexierung erfolgt auf
lokalen Datenträger extrem schnell, bei eingehängten Netzwerkressourcen kann
der Vorgang zwei, drei Minuten dauern.
Wenn Sie bestimmte Pfade ausschließen wollen, tragen Sie
diese in die angrysearch.conf nach
directories_excluded=
ein – und zwar mit Leerzeichen getrennt (etwa
„directories_excluded=/bin /var /etc“). Umgekehrt müssen Sie dafür
sorgen, dass der Index tatsächlich alle Ressourcen erfasst, die Sie durchsuchen
möchten. Diese müssen also vor dem Klick auf „update“ ordnungsgemäß
gemountet sein.
Anders als beim Vorbild Everything ist der Index
statisch, muss also von Zeit zu Zeit erneuert werden. Der Entwickler empfiehlt
einen Cronjob, wobei einfach das Hilfstool angrysearch_update_database.py alle
sechs Stunden gestartet wird. Der Eintrag (nach crontab -e) sieht dann wie folgt aus:
Im Prinzip reicht aber auch im grafischen Tool ein
gelegentlicher Klick auf „update“, bevor Sie eine Kaffeepause machen.
Standardmäßig gilt eine einfache UND-Syntax, wobei Angry
Search praktisch ohne Verzögerung auf Tippeingaben reagiert: Auf „büro steuer“
wird das Tool vom ersten Buchstaben an das Datenmaterial sofort auf die
passenden Dokumente filtern. Teilstrings von Wörtern berücksichtigt das Script
nur, wenn Sie das Häkchen rechts vom Suchfeld abschalten. Das Häkchen steht für
den schnellsten Modus und ist der Standard, würde aber bei der Eingabe „büro
teuer“ keine Dateien zu „Steuer“ finden.
Angry Search hat nach unserer Kenntnis keine darüber
hinausgehenden Möglichkeiten mit „NOT“- oder
„OR“-Operatoren – so jedenfalls mit dem Standardsuchfeld. Wer höhere
Ansprüche hat, muss auf die komplexen Regular Expressions ausweichen, die das
Tool mit der Taste F8 anbietet: Nach F8 erhält das Suchfeld eine Orange-Färbung
und akzeptiert Regex-Syntax, etwa eine OR-Suche mit „händel|haendel“
oder etwas komplexer:
(händel|haendel).*trio
Angry Search ist auch im Regex-Modus richtig schnell,
jedoch haben vermutlich nur wenige Anwender die Kompetenz, aus dem Handgelenk
korrekte Regex-Abfragen zu tippen.
Die im Fenster angezeigten Suchergebnisse können Sie
einfach per Doppelklick mit dem zugeordneten Standardprogramm laden. Außerdem
gibt es nach Rechtsklick die Option „Open Path“, um das Verzeichnis
der gewählten Datei im Dateimanager anzuzeigen. Je nach Distribution kann es
hier eventuell Korrekturbedarf geben: Beim von uns zufällig genutzten Linux
Mint Mate verabschiedete sich Angry Search regelmäßig kommentarlos, wenn für
ein Suchergebnis „Open Path“ gewählt wurde. Offensichtliche Ursache
war, dass das Paket xdg-utils den Dateimanager Nemo an Angry Search meldet, der
Dateimanager in dieser Mint-Variante aber „Caja“ heisst. Dies lässt
sich in der Konfigurationsdatei angrysearch.conf über die Zeile
file_manager=caja
leicht korrigieren, sofern man die Ursache erkannt hat.
Fazit: Eine empfehlenswerte Systemergänzung
Wer eine Menge Dateien an Bord hat und eine halbwegs
systematische Namensgebung für Ordner und Dateien, sollte sich Angry Search einrichten.
Das Tool ist ein phänomenaler Zeitsparer. Ein Beispiel: Die Suche mit dem
Dateimanager nach der UND-Verknüpfung „metallica reed“ dauerte mehr
als eine Minute, bis sie die Lulu-Suite dieser Band ans Licht beförderte. Etwa
doppelt so schnell arbeitet ein find-Befehl im Terminal – mit allen Nachteilen
der mühsamen Eingabe und Weiterverarbeitung der Suchergebnisse. Angry Search? Das
Tool zeigt die Resultate sofort – noch während des Eintippens. Dabei sollten
die Standardeinstellungen im Alltag die besten Ergebnisse liefern, für eine
Berücksichtigung von Teilstrings genügt es, das Häkchen neben dem Suchfeld zu
deaktivieren. Die optionale Regex-Suche dürfte hingegen die meisten Anwender
überfordern. Etwas Erfahrung sollte der Suchtool-Nutzer aber in jedem Fall
mitbringen, damit die indexierten Orte stets ordnungsgemäß eingehängt sind, der
Index aktuell bleibt (Crontab) und eventuelle Korrekturen in der
Konfigurationsdatei (angrysearch.conf) keine Hürde darstellen.
Ob der Entwickler den Vergleich zu Everything suchen sollte,
bleibt aber fraglich: Das Windows-Tool aktualisiert dynamisch, bietet
erweiterte Suchoperatoren und sogar eine Client-Server-Komponente für die Suche
übers Netzwerk.
Mit Hunderten unterschiedlich spezialisierter Distributionen lädt Linux dazu ein, für ältere Geräte passende Systeme und Rollen zu finden. Oder für benötigte Aufgaben sogar gezielt ältere Hardware einzukaufen.
„Linux auf älterer Hardware“ ist ein facettenreiches Thema: Zunächst ist es ja so, dass leichtgewichtige Linux-Desktops und erst recht Server-Distributionen ohne Desktop sehr genügsam sind und daher auf älterer Hardware (5-10 Jahre) und alter Hardware (10-15 Jahre) klaglos laufen. Und dann gibt es ja auch noch Distributionen mit dem spezialisierten Fokus, richtig alte Hardware (15-20 Jahre) mit wenig Speicher und moosalten CPUs wiederzubeleben. Auch 32-Bit-CPUs und CPUs ohne PAE-Erweiterung werden nach wie vor unterstützt.
Ab einer CPU der Pentium-III-Klasse oder AMD Athlon und einem Arbeitsspeicher ab 512 MB (theoretisch ab 256 MB) finden Sie in jedem Fall eine Linux-Distribution, die Windows XP leistungstechnisch ersetzen kann. Generell kommt alles mit den schlanken XFCE- und LXDE-Desktops schwächeren Rechnern entgegen. Die betreffenden Ubuntu-Varianten heißen Xubuntu (mit XFCE) sowie das noch schlankere Lubuntu (mit LXDE/LXQT). Noch Ressourcen-schonender arbeiten Bodhi Linux und Puppy-Varianten.
Das theoretisch mögliche Recycling obsoleter Hardware ist aber letztlich ein Sport ohne Endorphine. Uns geht es hier um ältere Hardware, die unter Linux noch einen richtig guten Job macht. Dabei gibt es eine Reihe von Aspekten und Gegenanzeigen, die manches Altgerät dann doch zum Elektronikschrott erklären. Neben der Hardware geht es natürlich auch um die Aufgabe, die diese Hardware erledigen soll: Geräte, die an einer Desktop-Rolle scheitern, können in anderer Rolle zur Starbesetzung werden.
Platinen-PCs gegen ältere Netbooks/Notebooks
Beim direkten Vergleich solider älterer Hardware kehrt nach etlichen Jahren des Raspberry-Hypes inzwischen gesunder Pragmatismus ein: Man kann und sollte kleine Platinenrechner nicht zu beliebigen Serveraufgaben prügeln. Selbst der aktuellste Raspberry Pi 3 ist mit USB 2.0 und Fast Ethernet oder gedrosseltem Gigabit-Ethernet kein Favorit für die Rolle als Datenserver.
Netbooks und Notebooks haben bauartbedingte Vorteile: Kontrollmonitor, Tastatur, Maus sind ohne Fummelei jederzeit verfügbar. Auch die Stromversorgung für passiv angeschlossene USB-Datenträger ohne eigenen Netzadapter funktioniert zuverlässig, was bei Platinen nicht immer gegeben ist. Mit der oft gar nicht so kleinen Festplatte ab 160, 200 und bis 500 GB ist auch schon mal ein Basislaufwerk an Bord, das neben dem System die wichtigsten Daten aufnehmen kann.
Die Leistung typischer Atom-CPUs von Netbooks liegt mindestens im Bereich des jüngsten Raspberry 3, lediglich schnellste Platinen wie Odroid XU4 oder Asus Tinker Board schneiden im CPU-Benchmark etwas schneller ab. 10 Jahre alte Notebooks sind meistens leistungsstärker als die ARM-CPUs von Platinen. Hinzu kommt auf Notebooks eine vergleichsweise üppige RAM-Ausstattung mit oft 4 GB (Raspberry 1 GB, Netbooks 1-2 GB).
Der Trend: Während der Raspberry-Hype etwas abflaut, ist der dadurch gewachsene Serverbedarf im Heimnetz ungebrochen. Die Home-Admins halten aber vermehrt Ausschau nach älteren, aber soliden Notebooks und Netbooks als Hardware-Basis für den Linux-Server.
Netbooks: Ideal für Nebenrollen
Netbooks hatten 2007 bis 2010 eine kurze Blütezeit, die durch noch handlichere Tablets ab 2010 jäh beendet wurde. Hardwaretechnisch sind die kleinen Geräte komplette PCs, die aber für den Preis von etwa 250 bis 450 Euro gezielt mit kostengünstigen, leistungsschwächeren und stromsparenden Komponenten bestückt wurden. Typisch sind stromsparende Intel-Atom-CPUs (seltener Celeron) mit bis zu 1,66 GHz, 1 GB RAM (seltener 2 GB), drei USB-2.0-Ports, Fast-Ethernet, WLAN (802.11n), Audio-Chip (Mikro-Eingang und Lautsprecher-Ausgang), Kartenleser, kleines Display mit der Auflösung 1024×600 sowie VGA-Ausgang für einen sekundären Monitor (auch Dual-Monitor-Betrieb). Die mechanische Festplatte bietet meistens 160 bis 250 GB. Netbooks arbeiten zwar nicht lüfterlos, sind aber in Regel sehr leise – leiser als Notebooks. Der Stromverbrauch liegt auch bei Hochlast unter 20 Watt, im Leerlauf unter 10 Watt.
Mit diesen Eigenschaften erreicht oder schlägt ein altes Netbook die meisten aktuellen Platinenrechner. Der Fast-Ethernet-Durchsatz (100 MBit/s) lässt sich mit der Investition in einen USB-to-Ethernet-Adapter zusätzlich verbessern. Der Delock Adapter (ca. 21,50 Euro etwa bei www.reichelt.de) mit schnellem USB 3.0 und schnellem Gigabit-Ethernet kommt am USB-2.0.Port eines Netbooks immerhin auf 300 MBit/s – das entspricht dem gleichermaßen gebremsten Gigabit-Netzadapter beim jüngsten Raspberry 3 B+.
Als komplette Arbeits-Desktops werden Netbooks trotzdem nicht befriedigen. Zum Surfen kann aber ein solches Gerät noch genügen, wenn am Desktop gespart, also etwa ein Lubuntu (www.lubuntu.net) oder Bunsenlabs (www.bunsenlabs.org) gewählt wird. Zudem empfiehlt sich als Webbrowser ein Leichtgewicht, das vielleicht nicht alles kann, aber dafür schnell ist. Falkon (Qupzilla) ist hier ein sehr guter Kompromiss und in allen Standardpaketquellen verfügbar – entweder als Paket „falkon“ oder zumindest als Vorgängerpaket „qupzilla“.
Noch besser eignen sich solide Kandidaten wie ein Asus EEE für kleine Serverrollen im Netzwerk. Flaschenhals für den Dienst als Dateiserver ist USB 2.0: Mit dem bereits erwähnten USB-to-Ethernet-Adapter und damit erreichbaren 300 MBit/s sind aber Heimnetzansprüche in der Regel gut erfüllt. Überhaupt keine Gegenanzeigen gibt es, wenn das Netbook Aufgaben übernimmt, die kein hohes Datenaufkommen haben: Das kann etwa ein Mediawiki (benötigt komplettes LAMP-Paket mit Linux, Apache, Mysql und PHP, siehe www.mediawiki.org) oder ein Dokuwiki sein (benötigt Linux, Apache und PHP, siehe www.dokuwiki.org), das alle wichtigen Notizen, Adressen, Bilder im Heimnetz anbietet. Das kann aber auch eine Web-basierte Dokumentensuche mit dem Tool Recoll sein oder eine PDF-Bibliothek mit der Software Calibre.
Professionelles Renovieren („Refurbish“) von Netbooks scheint sich für Händler nicht zu lohnen. Gebrauchte Netbooks finden Sie praktisch nur über Ebay und private Kleinanzeigen. Die typischen Preise liegen zwischen 50 und 100 Euro. Beim Kauf eines gebrauchten Netbooks sollten Sie Atom-CPUs wie N270, N280 oder höher bevorzugen, ferner eine – allerdings seltene – RAM-Ausstattung mit 2 GB.
Notebooks: Refurbished oder B-Ware als Datenserver
Mit soliden älteren Notebooks können selbst leistungsstarke Platinenrechner wie Odroid XU4 oder Banana Pro kaum mithalten. Neben den allgemeinen Vorteilen des Notebooks wie Display, Tastatur, Maus, Stromversorgung für USB kann das Notebook in der Regel die schnellere CPU und mehr RAM vorweisen. Lediglich der Stromverbrauch ist beim Notebook etwas höher: Nicht allzu alte Notebooks verbrauchen bis zu 25 Watt, sehr alte bis zu 40 Watt (Platinenrechner nur circa 4 bis 10 Watt).
Wer keinen Notebook-Oldie vorrätig hat, sondern ein gebrauchtes Gerät für eine Rolle als Datenserver gezielt erwerben will, sollte penibel auf die Input/Output-Komponenten achten. Ideal wäre USB 3.0 in Verbindung mit Gigabit-Ethernet. Fehlendes USB 3.0 lässt sich kaum kompensieren, langsameres Fast Ethernet (100 MBit/s) hingegen relativ leicht durch einen externen USB-to-Ethernet-Adapter mit Gigabit-Leistung.
Gute gebrauchte Notebooks, die alle diese Voraussetzungen mitbringen und sich mit i3-CPU aufwärts und 4 GB RAM aufwärts für Serveraufgaben ideal eignen, kosten typischerweise 150 bis 300 Euro. Solche Notebooks bieten viele Fachhändler an – zum Teil B-Ware mit leichten Mängeln, ferner Vorführgeräte sowie fachmännisch renovierte („refurbished“) Gebrauchtgeräte. Besonders zu empfehlen sind nach unserer Erfahrung die unverwüstlichen Thinkpads von Lenovo, ferner auch Pro Books oder Elitebooks von HP. Andere HP-Serien wie Pavilion sind hingegen qualitativ allenfalls ausreichend. Dell-Notebooks werden im Server-Dauerbetrieb gerne zu heiß.
Eine größere Auswahl finden Sie bei folgenden Händlern (Stand: Anfang 2019):
www.amazon.de (z. B. „Thinkpad gebraucht“ ab 150 Euro)
www.conrad.de („Refurbished“ oder „Vorführware“ ab 199 Euro)
Wer auf die Sicherheit, die der Kauf bei einem Händler bietet, verzichten kann, wird bei Ebay und Co noch günstigere Angebote finden.
Beachten Sie, dass der größte Schwachpunkt gebrauchter Notebook für den Einsatz als stationärer Linux-Server keine Rolle spielt – der Akku nämlich. Wenn Netbooks oder Notebooks im Dauerbetrieb an der Steckdose hängen, können Sie den Akku komplett entfernen. Das verringert auch den Stromverbrauch, weil das Gerät dann keine Veranlassung mehr hat, den Akku nachzuladen. Das Display, das ebenfalls nur eine Nebenrolle spielt und auch mit Pixelfehler für einen Server taugt, sollte per Funktionstasten so dunkel wie möglich eingestellt werden.
Ältere Platinenrechner, PCs und NUCs
Sieben Jahre nach dem ersten Raspberry Pi werden die Nachteile von Einplatinenrechnern deutlich: Sie sind nicht skalierbar und veralten rasend schnell. Wer von Anfang an mitgespielt hat und mehrfach auf leistungsstärkere Nachfolger oder Alternativplatinen umgestiegen ist, hat jetzt vermutlich die eine oder andere Platine in der Schublade, mit der sich nichts Ernsthaftes mehr anstellen lässt. Im Vergleich zu aktuellen Platinen sind die frühen Einkerner mit 512 MB RAM, langsamen Ethernet und fehlendem WLAN bestenfalls noch Bastlermaterial. Wer nicht gerne und hobby-mäßig mit Platinen experimentiert, sondern einfach eine nachhaltige Server-Hardware betreiben will, fährt vermutlich mit einem älteren Netbook, Notebook oder Intel NUC besser.
Schlecht steht es auch um die Verwertbarkeit älterer PCs: Die Größe spricht ebenso gegen einen Einsatz im Wohnzimmerschrank wie die typischen Betriebsgeräusche durch alte Lüfter und Festplatten. Außerdem verbrauchen alte wie neue Tower-PCs typischerweise 50 bis 100 Watt pro Stunde (ohne Monitor) und sind damit per se keine idealen Kandidaten für den Dauerbetrieb. Wenn diese Kriterien für Sie keine Rolle spielen, stellen sich immer noch die üblichen Fragen zur Tauglichkeit von CPU, RAM und I/O-Schnittstellen.
Die für den Servereinsatz attraktiven Mini-PCs der Sorte Intel NUC oder Zotac Zbox sind bei kommerziellen Händlern noch kaum anzutreffen. Auf Ebay und privaten Kleinanzeigen müssen Sie bei dieser Geräteklasse besonders genau verifizieren, ob das angebotene Gerät ein Laufwerk und RAM-Bausteine mitbringt.
HDT: Der Hardware-Check
Wer ein gebrauchtes Notebook gekauft oder ein altes Netbook aus dem Keller gekramt hat, muss erst einmal wissen, welche Hardware in diesem Gerät tatsächlich steckt. Was leistet die CPU tatsächlich, wieviel RAM steckt auf dem Motherboard? Funktioniert die Festplatte noch und wie groß ist sie? Dafür nutzen Sie am besten das Hardware Detection Tool (HDT, http://hdt-project.org). Falls das Gerät kein optisches Laufwerk besitzt, können Sie HDT im Handumdrehen mit
sudo dd if=hdt-0.5.2.img of=/dev/sd[x]
oder unter Windows mit dem Win 32 Disk Imager auf einen USB-Stick kopieren.
In HDT verwenden Sie vorzugsweise den „Menu mode“. Dieser zeigt unter „Summary“ schon mal das CPU-Modell mit Angabe über 32 oder 64 Bit sowie die aktuelle RAM-Kapazität. Genauer wird es unter den Kategorien „Processor“ und „Memory“, die sich mit den Cursortasten ausklappen lassen. Unter „Processor“ erscheinen das CPU-Modell, ferner die Architektur-Info („x86_64“ – „Yes“ oder „No“) sowie alle CPU-Eigenschaften als „Flags“ („pae“, „mmx“ etc.). Infos zu internen Festplatten liefert HDT unter „Disks“,
Fast noch wichtiger für die Tauglichkeit als Datenserver sind aber die Angaben unter „PCI-Devices“: Sie informieren über Grafikkarte, Soundchip, Ethernet (Fast oder Gigabit?), WLAN-Chip (altes 801.11g, brauchbares 801.11n oder sogar aktuelles 801.11ac?). Ein K.O.-Kriterium ist ferner die USB-Version. Wenn das Altgerät optimales USB 3.0 anbietet, erkennen Sie das schon äußerlich leicht an den blauen USB-Buchsen. Ob jedoch tolerierbares USB 2.0 vorliegt oder inakzeptables USB 1.x, ist äußerlich nicht erkennbar und auch unter HDT nicht ganz eindeutig zu ermitteln: Was HDT unter „PCI-Devices“ für den „USB (Host) Controller“ anzeigt, ist oft erst anhand der gezeigten Produkt-IDs zu recherchieren. Allgemein indizieren unter HDT die Abkürzungen „OHCI“ eine USB-Version 1.1, „EHCI“ Version 2.0 und „XHCI“ Version 3.0. Ganz eindeutig ist dies nicht, da auch Bezeichnungen wie OHCI2 auftauchen, was dann immerhin für USB 2.0 spricht.
32- oder 64-Bit-CPU? PAE oder Non-PAE?
Wie Sie einem Rechner Informationen über die CPU-Architektur und die CPU-Eigenschaften entlocken, erklärt der obige Abschnitt „HDT: Der Hardware-Check“. Hier geht es um die Konsequenzen dieser Recherche.
Im Prinzip ist ein 32-Bit-Prozessor kein K.O.-Kriterium. Es gibt immer noch viele prominente 32-Bit-Systeme wie Lubuntu/Xubuntu 18.04/18.10 oder Debian 9.0.5. Auch Ubuntu 18.04 Server ist als 32-Bit-Variante zu finden (http://cdimage.ubuntu.com/netboot/bionic/). Spezialisten für ältere Hardware und damit allesamt auch in 32-Bit-Ausführung verfügbar sind Antix (https://antixlinux.com), Q4-OS (https://q4os.org/) und Bodhi Linux (www.bodhilinux.com). Im Umfeld von Linux-Distributionen erkennen Sie 32-Bit-Varianten an der Kennzeichnung „i386“ und 64-Bit-System an „amd64“, was in diesem Fall keine Einschränkung auf AMD-CPUs bedeutet.
Auch ein fehlendes PAE-Flag ist kein K.O-Kriterium: PAE steht für Physical Address Extension und befähigt 32-Bit-CPUs, mehr als 3,2 GB Arbeitsspeicher zu nutzen. Fehlt dem Prozessor diese Eigenschaft, kann Linux normalerweise nicht starten. Es gibt aber immer noch Distributionen mit einem speziellen Non-PAE-Kernel. Von Bodhi Linux 5.0 gibt es unter (https://sourceforge.net/projects/bodhilinux/files/5.0.0/) ein ISO-Image mit dem Zusatz „legacy“. Antix 17.2 ist auf Altrechner spezialisiert und bietet konsequenterweise auch noch eine Non-PAE-Variante (https://antixlinux.com/download/).
So viel zur Theorie. In der Praxis halten wir Recycling-Experimente mit 32-Bit-CPUs und erst recht mit CPUs ohne PAE-Erweiterung für grenzwertig. Praktisch alle 32-Bit-CPUs und solche ohne PAE sind älter als 15 Jahre und lohnen sich kaum mehr für neue Aufgaben. Nennenswerte Ausnahmen sind die 10 bis 12 Jahre alten Netbooks mit Intel-Atom-CPUs, die zwar größtenteils mit 32 Bit arbeiten, aber für kleine Serverrollen durchaus genügen.
32-Bit-Linux auf 64-Bit-Hardware: Wo nicht mehr taufrische 64-Bit-Hardware vorliegt, müssen Sie nicht unbedingt ein 64-Bit-Linux installieren. Die Vorteile von 64 Bit kommen erst bei mehr als vier GB RAM zur Geltung. Daher empfehlen wir für 64-Bit-CPUs und einer RAM-Ausstattung bis zu 4 GB 32-Bit-Systeme, die mit RAM und Datenträger sparsamer umgehen.
Viel RAM und 32-Bit-Linux? Das folgende Sonderproblem sollten Sie kennen, auch wenn es in der Praxis selten auftreten dürfte: Ein 32-Bit-Linux kann zwar per PAE (Physical Address Extension) mehr als 4 GB RAM nutzen, jedoch muss man jenseits von 8 GB RAM mit einer irritierenden und dramatischen Verlangsamung aller Festplattenzugriffe rechnen. 32-Bit-Systeme schalten den Festplattencache nämlich paradoxerweise ab, wenn mehr als 8 GB RAM vorhanden sind. Abhilfe schafft eine künstliche Begrenzung auf 8 GB in der Datei „/etc/default/grub“:
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash mem=8G"
Besser als diese Maßnahme ist bei solcher Speicherausstattung natürlich die Wahl eines 64-Bit-Systems. Das Dilemma, auf einem Rechner mit 16 GB RAM ein 32-Bit-System wählen zu müssen, weil noch eine 32-Bit-CPU vorliegt, dürfte sich kaum ergeben.
Distributionen ohne Risiko: Lubuntu und Mint MATE
Wenn Sie ältere Hardware pragmatisch, schnell und ohne Lernaufwand wiederbeleben möchten, ist Lubuntu oder Antix Mate erste Wahl: Lubuntu läuft notfalls schon mit 256 MB RAM, bei besser ausgestatteten Rechnern nimmt sich dieses System etwa 300 MB ab Start, als CPU reicht ein Pentium III.
Beide Systeme sind nicht nur sehr genügsam, sondern bieten durch ihren konservativen Desktop mit Hauptleiste inklusive Startmenü jedem XP-Nutzer auf Anhieb eine neue Heimat. Es kommt hinzu, dass beide Distributionen eine zwar anspruchslose, aber vollständige Softwareausstattung mitbringen. Nach der Installation können Sie sofort loslegen.
Das nicht mehr ganz so schlanke Xubuntu sollte sich mit 512 MB RAM und einer CPU ab Pentium IV zufriedengeben. Auf besser ausgestatteter Hardware nimmt es sich aber ab Start bereits circa 400 MB. Für ordentliche Reserven bei der Software ist daher 1 GB RAM zu empfehlen – also noch im Rahmen der typischen Netbook-Ausstattung.
Xubuntu zeigt nach der Erstinstallation kaum Vorzüge gegenüber dem schlankeren Lubuntu oder Mint LXDE. Auch hier findet sich ein klassisches Anwendungsmenü in der Hauptleiste. Der exzellente und ausgereifte XFCE-Desktop zeigt seine Überlegenheit erst bei genauerem Hinsehen: Zum XFCE-Feinschliff gehört das zusätzlich nach Rechtsklick am Desktop stets verfügbare Anwendungsmenü oder das Drag & Drop von Dateien mit rechter Maustaste und folgendem Kontextmenü, wie Sie es unter Windows kennen. Im Hauptmenü unter „Einstellungen“ finden Sie zahlreiche Angebote, Themes, Dateimanager-Verhalten oder die Fensteroptik einzustellen. Die Anpassungsmöglichkeiten für Symbolleisten, Desktop und Dateimanager sind unerschöpflich detailliert, und dies nicht nur optisch. Xubuntu eignet sich besonders für etwas erfahrenere Nutzer, die sich die Oberfläche gerne optimal und individuell anpassen.
Auch Bodhi Linux basiert auf Ubuntu, davon sieht man aber nichts. Bodhi nutzt als Oberfläche die Eigenentwicklung Enlightenment 17 (E17). Hier wird es Hardware-technisch wirklich minimalistisch, nicht aber optisch-ästhetisch: Bodhi läuft angeblich schon mit 128 MB und einer 300-MHz-CPU. Auf unserem Test-Netbook mit einem GB RAM schlägt Bodhi nach der Anmeldung tatsächlich mit nur 103 MB zu Buche, mehr als 150 MB sind für das reine System auch im Dauerbetrieb nie zu messen. Mit 512 MB oder einem GB RAM hat Bodhi somit richtig Reserven für Browser und Anwendungen.
Was Bodhi noch spektakulärer macht: E17 ist ein ästhetisch ansprechender Desktop, der sich sogar noch verspielte Effekte leistet. Mit der „Einstellungskonsole“ lässt sich jedes winzige Detail der Oberfläche minutiös konfigurieren, Starterleiste „Engage“ und Hauptpanel „Shelf“ können Sie nach Belieben bestücken. Ein globales Startmenü ist beim Klick auf den Desktop jederzeit abrufbereit.
Bodhi hat leider auch Nachteile: So ist ein gemischtsprachiges System in Kauf zu nehmen, und die vorinstallierte Software bringt kaum das Mindeste mit. Neben Nachinstallationen muss der Bodhi-Nutzer auch Geduld mit einigen Ungereimtheiten in den unzähligen Einstellungsoptionen mitbringen.
Ein ganz großer Mangel: Der E17-eigene Dateimanager kann keinen LAN-Zugriff. Daher ist es erste Pflicht, einen zusätzlichen Dateimanager zu installieren. Hier kommen nicht beliebige in Frage, da etwa Nautilus oder Nemo die Desktop-Arbeitsfläche verändern und damit das E17-Design empfindlich stören. Es bietet sich der schlanke pcmanfm an (sudo apt-get install pcmanfm).
Infos und Download zu Bodhi Linux: www.bodhilinux.com Zukunft und Weiterentwicklung von Bodhi Linux sind leider ungewiss. Die lange angekündigte Version 3.0 kam über den Status als Release Candidate nicht hinaus. Die Aufgabe des vielversprechenden Projekts wäre sehr bedauerlich.
Ausgereifter Minimalist: Puppy Linux
Puppy Linux spielt als spezialisierter Minimalist etwa in der Öko-Liga von Bodhi Linux und bietet dabei eine Reihe von Varianten. In erster Linie kommt Precise Puppy in Betracht, weil Sie damit die komplette Software der Ubuntu-Repositories nutzen können. Nach der Anmeldung benötigt das System circa 115 MB, als CPU genügt ein 400 MHz-Prozessor. Anders als Bodhi Linux sieht man Puppy, das primär für den mobilen Einsatz auf USB- und CD-Medien konzipiert ist, seinen Sparkurs deutlich an. Installation und Einrichtung setzen etwas Erfahrung voraus. Ungeachtet seiner pragmatisch-spröden Bedienung hat Puppy Linux 10 Jahre Entwicklung hinter sich und ist neben Bodhi Linux der reifere Minimalist.
Diese Seite ist zur Marginalie verurteilt. Ich bin kein Cineast und überdies der Meinung, dass es sehr viele schlechte und noch mehr belanglose Filme gibt, die einen zwei Stunden ganz gut unterhalten mögen, dann aber in noch kürzerer Zeit wieder vergessen sind. Auslöser, hier einige Filme zu feiern, ist ein ganz konkretes Exemplar, ferner die Erfahrung, dass die meisten Filmkritiken über die dämliche Nacherzählung des Handlungsplots nicht hinauskommen.
Winter’s Bone (2010)
Jeder kennt diese subtil bis plump inszenierte Spannung der heilen Welt, in der früh das Grauen anklingt, sich das Böse im Soundtrack und in winzigen Vorboten ankündigt, der Tag mit bunten Farben in der Erzählzeit immer kürzer wird und Horror und Nacht die Welt übernehmen…
„Winter’s Bone“ ist ein Gegenentwurf zu diesem Erzählmuster. Die Welt der 17-Jährigen Heldin (und diese Bezeichnung verdient sie unumstritten) ist alles andere als heil. Eine pflegebedürftige Mutter, zwei kleine Geschwister, der Vater und Ernährer der Familie verschollen. Das Ganze spielt in einer kalten abgelegenen Gegend von Missouri, die so hart und mitleidlos ist wie ihre menschlichen Bewohner. Nur ganz leise, in der Mimik oder einer kleinen Geste schimmert ein Rest von Mitleid und Hilfsbereitschaft. Es ist eindrücklich erzählt, wie schmal der Korridor möglicher Humanität ist, wo jeder mit Härte um seine eigene Existenz zu kämpfen hat. Die Heldin erfährt Kälte, Abweisung und körperliche Gewalt, und in den Gesichtern der Beteiligten einschließlich der Peiniger steht die Hilflosigkeit, dass es keine Alternative gebe. Kriminell oder kleinkriminell sind sie alle. Entschuldigt wird das nicht, aber verstehbar.
Die Handlung treibt die verzeifelte Suche der Heldin nach dem verschollenen Vater. Sie muss ihn finden oder seinen Tod nachweisen, um nicht Haus und Existenz zu verlieren. Diejenigen, die um dessen Verbleib wissen, haben aber nachvollziehbare Gründe, ihre Suche zu verhindern. Am Ende geht die junge Heldin ein Risiko, bei dem der Zuschauer ihre Vernichtung erwarten wird. Dass die kleinen Zeichen für Menschlichkeit und Hilfsbereitschaft schließlich doch siegen, sorgt für ein tröstliches, aber gänzlich unspektakulär inszeniertes „Happy End“.
„Winter’s Bone“ enthält keine einzige Aussage, die direkt politisch oder zumindest politisch deutbar wäre. Ungeachtet dessen sagt der Film mehr über sozial abgehängte Bevölkerungsschichten als zwanzig politische Sendungen, die uns die Befindlichkeit einer Wählerschaft erklären wollen, die ihre letzte Hoffnung in einen Populisten setzen.
Der aus Deutschland stammende Manjaro Architect ist ein Installer für Bastler, die sich ihr System selbst maßschneidern wollen. Das Prozedere ist keine ganz große Herausforderung, aber etwas Basiswissen über Partitionen, Dateisysteme, Linux-Desktops und Kernel sollte man schon mitbringen. Da bei Manjaro Architect das Endergebnis offen ist, macht es hier keinen Sinn, Desktop-Eigenschaften oder Software-Ausstattung zu beschreiben. Vielmehr geht es um eine kurze Charakterisierung des Installers:
Nach dem Booten können Sie optional die deutsche Tastatur
und Sprache einstellen. Danach wählen Sie den Eintrag „Boot:
Manjaro.x86_64 architect“, melden sich auf der Konsole als
„manjaro“ mit Passwort „manjaro“ an und starten mit der Eingabe
„setup“ die Einrichtung. Der Installer arbeitet mit vorgegebenen
Optionen und Auswahl mit Cursor- und Tab-Taste, ist also quasi halb grafisch
(Ncurses-Basis), logisch vorbildlich, aber durchaus komplex.
Nach Auswahl der Sprache „German“ geht es im Hauptdialog
zum ersten Punkt „1 Installation vorbereiten“. Hier sind nicht alle
Unterschritte notwendig, aber mindestens „Konsolensprache
einstellen“, „Festplatte partitionieren“ und „Partitionen
einhängen“. Der schwierigste Punkt „Festplatte partitionieren“ zeigt
mehrere Optionen, die das jeweils gewählte Kommandozeilentool starten. Auf
unserem Test-Notebook mit einer Festplatte sda wählen wir ein Bios-Installation
mit dem Tool cfdisk. Dabei muss das Partitionierungsschema (etwa
„dos“ oder „gpt“) und ein Dateisystem gewählt werden (etwa
„ext4“). Ferner wird die Größe des Swapfiles abgefragt. Die
Zielpartition muss danach mit „Partitionen einhängen“ gemountet
werden.
Zurück im Hauptmenü geht es zum nächsten Hauptpunkt
„2 Desktop-System installieren“ – der eigentliche Hauptspaß, denn die
hier gebotene Auswahl an Desktops, Kernel-Versionen, Kernel-Modulen
(Netztreiber, Dateisysteme) und Software-Paketen baut ein System nach Maß. An
Oberflächen bietet Manjaro Architect nicht weniger als 14 (!).
Vergessen Sie nach der Installation der Pakete nicht, den
Grub-Bootloader zu installieren. Dies wird vom Installer als nächster Schritt
angeboten und darf keinesfalls übersprungen werden. Weitere Schritte sind
„Basis konfigurieren“ (root-Kennwort, weitere Konten, Hostname, fstab
einrichten, Treiber etc.) und optionale „Tweaks“. Am Ende steht ein
Arch-System nach Wunsch. Der Software-Bezug erfolgt am einfachsten über die
grafische Zentrale „Software hinzufügen/entfernen“. Anpassungen und
Optimierungen folgen den Standards des gewählten Desktops.
Die Linux-Vielfalt hat zwei Ebenen: Neben der Auswahl des System-Unterbaus steht auch noch die Entscheidung für eine bestimmte Oberfläche. Derselbe Unterbau kann viele Desktop-Gesichter haben, derselbe Desktop verschiedenen Systemen dienen.
Eine saubere Grenzziehung zwischen Distributions- und Desktop-Vielfalt ist schwierig bis unmöglich. Ubuntu hat sich je nach Standarddesktop unterschiedliche „Distributionsnamen“ wie Kubuntu oder Xubuntu gegeben, obwohl dabei nur ein anderer Desktop (KDE und XFCE) auf demselben Ubuntu arbeitet. Wenn sich eine Linux-Mint-Variante als „Linux Mint XFCE Edition“ bezeichnet, darf man die Frage stellen, wieviel „Mint“ noch drinsteckt, da doch ein Ubuntu bei Mint den Systemunterbau legt und Linux Mint sich primär durch seinen Stammdesktop Cinnamon definiert. Wie Mint definieren sich auch andere Distributionen wie Elementary OS, Solus oder Bodhi Linux hauptsächlich durch ihren Desktop. Die Entscheidung für einen Desktop gibt aber nicht nur die Systembedienung vor: Sie bestimmt maßgeblich die Hardwareansprüche an RAM, CPU, GPU sowie Reaktions- und Startgeschwindigkeiten. Ein nackter Ubuntu Server ohne Desktop konsumiert etwa 50 MB RAM, während ein Ubuntu mit KDE-Oberfläche (Kubuntu) schon ab Start das 15-fache fordert (750 MB). Die richtige Einschätzung, was ein Desktop kann und für welche Hardware er taugt, ist daher für die Wahl des richtigen Systems unverzichtbar.
Desktops und Distributionen
Ein Linux-System kann bekanntlich mehrere Desktops aufnehmen. Folglich sollte es möglich sein, Desktops wie einen Mediaplayer oder eine Office-Suite als unabhängige Software zu beschreiben. Tatsächlich ist aber die Verzahnung zwischen Systembasis und Desktop dann doch komplexer als bei einer beliebigen Anwendungs-Software:
1. Die Parallelinstallation von Desktopumgebungen ist ein erheblicher Systemeingriff, und längst nicht alle Desktops vertragen sich überall problemlos nebeneinander.
2. Eine Desktop-Umgebung ist mehr als der Desktop: Sie bringt ein mehr oder weniger umfangreiches Softwarepaket mit, mindestens mit Dateimanager und Editor, oft mit Audio-und Video-Player sowie PDF- und Text-Viewer.
3. Der mit der Distribution ausgelieferte Desktop ist in der Regel sorgfältig vorkonfiguriert und unterscheidet sich von einem nachinstallierten Desktop. Diese Vorkonfiguration erspart oft erheblichen Anpassungsaufwand.
Einsteiger, Anfänger, Pragmatiker fahren daher am besten, wenn sie eine Linux-Distribution mit ihrer angestammten und mitgelieferten Standardoberfläche wählen.
Die nachfolgende Tabelle nennt 16 populäre bis exotische Linux-Desktops in alphabetischer Abfolge. Die nachfolgenden Kurzbeschreibungen orientieren sich hingegen an der Verbreitung und beginnen mit der Prominenz.
Stammdesktop unter
Hardware-Anspruch
Flexibilität
Merkmale
Budgie
Ubuntu Budgie / Solus
noch moderat
mittel
klar und übersichtlich, gewöhnungsbedürftige Seitenleiste
Cinnamon
Linux Mint
moderat
hoch
einfache, klassische Basisbedienung und sehr flexibel
Fvwm
(nur optional, z. B. in Debian)
minimal
mittel
minimalistisch
Gnome
Ubuntu Gnome / Fedora
hoch
gering
elegant, modern, einfach, aber gewöhnungsbedürftig
KDE
Kubuntu / Open Suse
hoch
exzellent
komplexes, aber gereiftes Konzept
LXDE
Lubuntu / Knoppix
gering
mittel
einfach, klassisch, funktional, altmodische Optik
LXQT (LXDE-Nachfolger)
(nur optional, z. B. in Manjaro)
gering
mittel
einfach, klassisch, funktional
Mate
Ubuntu Mate
moderat
hoch
einfache, klassische Basisbedienung und flexibel
Moksha (E17)
Bodhi Linux
sehr gering
hoch
exotisch bis konfus, aber klein und schnell
Openbox
Bunsenlabs
minimal
mittel
minimalistisch, Anpassung anspruchsvoll
Pantheon
Elementary OS
mittel
gering
sehr einfach, elegant, aber puristisch
Pixel
Raspbian (Raspberry Pi)
gering
mittel
relativ einfach und klassisch
Trinity
Q4-OS
sehr gering
hoch
komplexer KDE-3-Fork, altmodische Optik
Unity
Ubuntu
noch moderat
gering
sehr einfach, intuitiv
Wmii
(nur optional, z. B. in Debian)
minimal
gering
minimalistisch und exotisch – ohne Mausunterstützung
XFCE
Xubuntu
gering bis moderat
hoch
klassisch, ausgereift, flexibel, etwas altmodisch
KDE: Anpassungsfähig bis detailverliebt
Eine der dienstältesten (seit 1996) und populärsten Desktop-Umgebungen ist KDE, das sich mit Version 4 erfolgreich neu erfand. KDE ist eine opulente Oberfläche für aktuellere Rechner mit Mehrkern-CPU, Open-GL-fähigen Grafikchip und vier GB RAM. Der Desktop ist ideal für fortgeschrittene Nutzer, die detaillierte Anpassungsoptionen zu schätzen wissen.
Der Plasma-Desktop stellt die Arbeitsoberfläche bereit mit Mini-Programmen (Plasma-Widgets) und dem Window-Manager Kwin, der für Fensterdarstellung und Effekte sorgt. Standardmäßig befinden sich die KDE-Bedienelemente am unteren Bildschirmrand. Ganz links gibt es in der Standard-Konfiguration das K-Menü mit Kategorien und Suchfeld. Neben dem K-Menü liegen die Taskleiste und daneben die Kontroll-Leiste mit Mini-Programmen (Lautstärke, Network-Manager, Zwischenablage). Eine aufgeräumte Übersicht aller Optionen bieten die „Systemeinstellungen“ im KDE-Menü. Daneben enthält die KDE-Umgebung herausragende Software wie den Dateimanager Dolphin, den Bildbetrachter Gwenview oder die Bildverwaltung Digikam. Empfohlene KDE-Distributionen sind Kubuntu, Ubuntu KDE Neon und Open Suse Leap.
Gnome 3: Der moderne Desktop
Gemessen an der Zahl der Gnome-affinen Nachfolger (Unity, Mate, Cinnamon, Pantheon, implizit auch XFCE, LXDE, LXQT) ist Gnome der produktivste Linux-Desktop. Mit dem fast 20 Jahre alten Ur-Gnome hat heutiges Gnome 3 freilich nicht mehr viel gemein. Version 3 war ein radikaler Neuanfang, der bewährte Elemente über Bord warf. Das neue Gnome-Bedienkonzept ist modern, schick, funktional, aber reduziert. An den Grundfunktionen lässt Gnome kaum Eingriffe zu. Flexibilität erhält Gnome hauptsächlich durch externe Erweiterungen (https://extensions.gnome.org). Gnome ist ein Desktop für aktuellere Hardware mit Mehrkern-CPU, 3D-Grafik und vier GB RAM.
Obwohl Gnome auf Elemente wie das Startmenü verzichtet, findet sich jeder Einsteiger schnell zurecht. Als Umschalter und Programmstarter dient die Übersichtsseite „Aktivitäten“, die über die Windows-Taste oder über die linke obere Ecke erreichbar ist. Dort gibt es Schnellstart-Icons und das wichtige Suchfeld. Die „Einstellungen“ liefern ein aufgeräumtes Menü für allgemeine Optionen wie Sprache, Hintergrundbild und Hardwarekonfiguration. Weitere Optionen sind in der Extra-Anwendung Gnome-Tweak-Tool untergebracht. Empfohlene Gnome-Distributionen sind Ubuntu Gnome, Fedora, Manjaro Gnome.
Ubuntus Unity: Vereinfachtes Gnome 3
Unity, seit 2011 und bis vor kurzem die Standardoberfläche von Ubuntu, ist ein reduziertes Gnome 3. Das einfache Bedienkonzept versteht jeder Nutzer auf Anhieb, allerdings bezahlt der Unity-Anwender den intuitiven Bedienkomfort mit dem Preis geringer Anpassungsmöglichkeiten. Trotz einfach wirkender Oberfläche bleibt Unity ein Gnome 3 mit nur geringfügig geringeren Hardware-Ansprüchen (siehe dort).
Die Bedienung erfolgt über zwei Standardleisten, die Starterleiste links und das Hauptpanel oben. Die Starterleiste ist eine Kombination aus Taskleiste und Favoritenleiste: Sie zeigt die aktuell laufenden Programme und zusätzlich die Programmfavoriten. Das oberste Symbol mit dem Ubuntu-Logo öffnet das Dash – die Suchzentrale für Programme und Dateien. Das Hauptpanel am oberen Rand bietet das Sitzungsmenü sowie Indikatoren wie Zeitanzeige und Netzwerk-Manager. Im Gnome-Control-Center („Systemeinstellungen“) gibt es fundamentale Funktionen der Hardware- und Desktop-Anpassung. Zusätzliche Möglichkeiten bietet das Unity Tweak Tool, das nachinstalliert werden muss. Die einzige Distribution mit Unity als Standarddesktop war bis Version 17.04 die Ubuntu-Hauptedition.
Cinnamon: Der Mint-Desktop
Cinnamon ist seit 2011 als konservative Alternative zum modernen Gnome 3/Unity entwickelt worden. Über die Jahre reifte eine sehr attraktive Oberfläche, die viele Elemente der Windows-Welt aufgreift und auf optimale Anpassungsfähigkeit Wert legt. Die ältere Gnome-2-Basis macht sich noch in einigen altmodischen Details bemerkbar (Leistenbearbeitung), insgesamt ist Cinnamon aber so ansehnlich wie flexibel und vergleichsweise sparsam. Der Desktop läuft auch auf nicht mehr taufrischen Geräten und ist mit 2 GB RAM alltagstauglich.
Die Systemleiste enthält ein klassisches und anpassungsfreudiges Startmenü und typische Elemente wie Fensterliste, Netzwerk-Manager und Arbeitsflächenwechsler. Großzügig sind auch die Optionen, um die Optik an eigene Wünsche anzupassen. Moderne Fensterthemen und Hintergründe für die Arbeitsfläche sind mit wenigen Mausklicks geändert. Generell ist das Angebot der zentralen „Systemeinstellungen“ breiter als das der reduzierenden Gnome/Unity-Desktops. Cinnamon ist Standard unter Linux Mint, der Einbau in andere Distributionen ist möglich, aber nicht ohne Risiko.
Mate: Klassisch und flexibel
Mit Mate entstand ebenfalls 2011 in Ablehnung des modernen Gnome 3 ein weiterer Fork von Gnome 2. Mate ist seither eine weitere Alternative für Anwender, die einen traditionellen Desktop bevorzugen. Die Oberfläche erhielt trotz althergebrachter Bedienkonzepte ein modernisiertes Äußeres und reicht an die Anpassungsfähigkeit von Cinnamon heran. Dabei gehört Mate zu den sparsamen Desktops und kommt notfalls ohne 3D-Grafikchip und schon mit 1 GB RAM aus.
Die wesentlichen Elemente der Arbeitsfläche sind die Leisten, die sich mit diversen Applets füllen und per Rechtsklick im Detail konfigurieren lassen. Die Systemeinstellungen heißen hier „Kontrollzentrum“, das alle Optionen zu Aussehen, Verhalten, Hardware-Einstellungen, Autostart-Programmen in einer aufgeräumten Übersicht zusammenfasst. Bekannteste Distribution mit Mate ist Ubuntu Mate, jedoch gibt es inzwischen von fast allen namhaften Distributionen eine Mate-Edition (Linux Mint, Debian, Fedora u. a.).
XFCE: Linientreuer Klassiker
XFCE („X-Face“) gehört seit 1996 mit KDE und Gnome zu den Urgesteinen der Linux-Desktops, hat sich aber im Gegensatz zu diesen stets geradlinig entwickelt und nie revolutioniert. XFCE ist etwas angestaubt, aber perfekt für Nutzer, die klassische Elemente schätzen und selbst Hand anlegen mögen. Die funktionalen wie optischen Möglichkeiten sind umfassend, die Bedienung gelegentlich altmodisch, aber überall ausgereift und logisch. Nicht zuletzt hat XFCE bescheidene Ansprüche an die Hardware – 1 GB RAM ist üppig, ein 3D-Grafikchip nicht erforderlich.
Mit dem Dateimanager Thunar hat XFCE einen der wenigen seiner Art an Bord, die ein Drag & Drop von Dateien mit rechter Maustaste mit Kontextmenü beantworten. Im Konfigurationszentrum („Einstellungen“) sind alle Basics wie Monitor-Einstellung, Benutzerverwaltung, Themes, Fensteroptik oder Treibersuche. Hauptmenü („Whisker“) und Symbolleisten von XFCE sind eine lohnende Spielwiese: Es gibt diverse vorgegebene Elemente wie Arbeitsflächenumschalter, Sitzungsmenü („Aktionsknöpfe“) oder eine Mini-Kommandozeile. Auch bei Aussehen, Größe, Farbe, Transparenz oder Ausblendverhalten lassen XFCE-Panels keine Wünsche offen. Praktisch alle Distributionen bieten eine Variante dieses Klassikers. Ein sorgfältig konfiguriertes XFCE liefert etwa Xubuntu.
LXDE/LXQT: Schlank und komplett
LXDE zeigt seit über 10 Jahren, dass ein kompletter Desktop keine Gigahertz-CPU braucht und dass 512 MB eine Menge Speicher sein können. Die funktionale Oberfläche benötigt inklusive System nur gut 150 MB. LXDE kombiniert für das Ziel einer möglichst sparsamen Lösung heterogene Elemente wie den Window-Manager Openbox und eigene Komponenten wie Lxpanels (Leisten) oder Lxappearance (Optik-Konfiguration). Die per Voreinstellung oft unnötig spröde Optik ist durch individuelle Anpassung deutlich optimierbar. LXQT ist der Nachfolger von LXDE, der die Integration von Software mit jüngeren QT-Bibliotheken leistet. Bei LXDE folgen solche Programme nicht der systemweit eingestellten Fensteroptik. Einfachster Weg zu einem sorgfältig vorkonfigurierten LXDE ist die Distribution Lubuntu.
Moksha (E17): Der schnelle Exot
Enlightenment („E“, aktuelle Version ist E19) vereint minimale Hardwareansprüche mit ansprechender Ästhetik und exorbitanter Konfigurierbarkeit. Verwirrende bis konfuse Optionen erschweren allerdings den Zugang. Moksha, der Standard-Desktop unter Bodhi Linux, hat als Fork von E17 etwas aufgeräumt, bleibt aber ein Desktop-Abenteuer. Die besonders schnelle und sparsame Oberfläche läuft auf älterer bis alter Hardware ohne 3D-Grafikchip und 512 MB bis 1 GB RAM.
Trinity: Sparsames Retro-KDE
Trinity führt die längst eingestellte KDE-Version 3.5 als Fork weiter. Das Ergebnis ist eine schlanke Oberfläche, die allerdings im altbackenen Retro-Design daherkommt. Die Ansprüche des Desktops liegen etwa zwischen LXDE und XFCE. Hauptargument für Trinity ist die Tatsache, dass der KDE-Fork auch auf angestaubter Hardware die detaillierten Anpassungsoptionen eines KDE mitbringt. Unter den prominenten Distributionen ist Trinity rar. Der einfachste Weg ist der Einsatz der Distribution Q4-OS, wo Trinity als Standard arbeitet.
Schönlinge und Puristen
Pantheon: Dieser Desktop ist Standard der Distribution Elementary OS. Der aufgeräumte und ästhetische Desktop mit Mac-OS-Optik zeigt nur Starterdock und Systemleiste und bietet nur fundamentale Einstellungsoptionen. Zielgruppe sind Software-orientierte Desktop-Nutzer, die ohne Ehrgeiz individueller Anpassung eine hübsche Oberfläche suchen.
Budgie: Technisch ambitionierter als Pantheon liefert diese Oberfläche neben der üblichen Systemleiste eine multifunktionale Seitenleiste. Entwickelt wird Budgie für die Distribution Solus, hat aber inzwischen als Ubuntu Budgie Einzug in die offiziellen Ubuntu-Varianten gefunden. Budgie hat Potential zum echten Cinnamon-Konkurrenten durch seine klare, kontrastive Benutzerführung.
Openbox: Eigentlich ist Openbox nur ein alt-ehrwürdiger Window-Manager, ist aber über diese Rolle hinausgewachsen. Pures Openbox liefert am Desktop nicht mehr als ein simples Startmenü per Mausklick, mit Ergänzungen und Konfigurationstools wird daraus aber eine Arbeitsumgebung, die kaum mehr als 100 MB Speicher beansprucht. Die manuelle Einrichtung von purem Openbox ist mühsam. Ein sorgfältig vorkonfiguriertes Openbox liefert die Distribution Bunsenlabs „Deuterium“ auf Basis von Debian 8.
Fvwm-Crystal: Einer der ältesten Fenstermanager für Linux ist der „F Virtual Window-Manager“ (Fvwm). Dem originalen Fvwm von 1993 sieht man sein Alter deutlich an. Viel getan hat sich aber bei der Variante Fvwm-Crystal mit Taskleiste, Menü und virtuellen Arbeitsflächen. Trotz minimaler Ansprüche (unter 100 MB RAM) sieht Fvwm-Crystal mit Transparenz-Effekten schick aus. Eine fertige Distribution mit diesem Fenstermanager gibt es nicht, jedoch ist das Fossil noch als Paket unter Debian und Ubuntu erhältlich (fvwm-crystal).
Wmii: Wmii (Window-Manager Improved) geht grenzwertig noch als Fenster-Manager durch: Alle Aktionen zum Öffnen und Anordnen von Fenstern erfolgen per Tastatur. Der Hotkey Windows-Taste plus Eingabetaste öffnet ein neues Terminal, Windows-P einen Ausführen-Dialog. Fenster arrangiert Wmii nebeneinander oder in Spalten. Dieser minimalistische Ansatz ist sinnvoll, wo ein Linux-Rechner stets nur einige wenige Programmfenster anzeigen soll. Wmii ist unter vielen Distributionen unter gleichnamigem Paketnamen zu erreichen.
PIXEL: Dieser Desktop ist eine junge Entwicklung der Raspberry Pi Foundation. Er dient als verbesserter Ersatz für das bisher genutzte LXDE auf dem Raspberry-System Raspbian. Die Änderungen sind vorwiegend kosmetischer Natur.
Grafische Terminals und die darin laufende Kommando-Shell bieten reichhaltige Optionen, um sie optisch und funktional zu optimieren und zu individualisieren. Das ist zum Teil einfach, zum Teil knifflig. Die notwendigen Tipps finden Sie hier.
Dieser Artikel zeigt alle wichtigen Optionen, um das grafische Terminal, aber auch die virtuellen Konsolen und die SSH-Konsole so komfortabel wie möglich einzurichten. Nur Punkt 1 bezieht sich ausschließlich auf den Desktop und das grafische Terminalfenster. Alle anderen Punkte 2 bis 6 zur Bash-Optimierung gelten auch für SSH und für die Konsolen (Strg-Alt-F1 und weitere). Bei den grafischen Terminal-Emulatoren nehmen wir das Gnome-Terminal als Referenz, wie es in Ubuntu-Varianten und Linux Mint zum Einsatz kommt. Andere Terminal-Emulatoren wie etwa die „konsole“ unter KDE bieten ganz ähnliche Einstellungen, aber nicht immer an gleicher Stelle. Bei der Shell selbst, also dem eigentlichen Kommandointerpreter, gehen wir von der Bash-Shell aus, die praktisch überall Standard ist.
1. Das grafische Terminal
Terminals in Gestalt des Gnome-Terminal, Mate-Terminal, Xfxe4-Terminal oder Konsole (KDE) sind grafische Programme mit zahlreichen Einstellungen. Sie sind unabhängig von der Shell, die im Terminal läuft. Die Optionen und Optimierungen, die Sie dort vornehmen, haben daher mit der Bash-Shell zunächst nichts zu tun. Lediglich bei Farbeinstellungen für das grafische Terminal und solchen für die Bash-Shell gibt es Kombinationen, welche die Lesbarkeit und Übersicht fördern – oder eben nicht. Insbesondere engagierte Nutzer, die sich das Terminal optisch bestmöglich einrichten möchten, sollten sich beim Aussehen des grafischen Terminals farblich festlegen, bevor sie Ausgabefarben und Prompt der Bash-Shell optimieren.
Einstellungen und Profile: Das Gnome-Terminal zeigt im Menü „Bearbeiten“ die zwei Untermenüs „Einstellungen“ und „Profileinstellungen“. Beides sind benutzerspezifische Optionen: Was unter „Einstellungen“ festgelegt wird, gilt für jedes Terminal im aktuellen Konto. Die „Profileinstellungen“ erlauben darüber hinaus verschiedene Layouts, die man entweder im Gnome-Terminal selbst mit „Terminal -> Profil wechseln“ umschalten oder auch über Programmstarter schon beim Aufruf anwählen kann:
gnome-terminal --profile big_black
Ob Sie tatsächlich verschiedene Profile brauchen, ist Ihre Entscheidung. Das als „Unbenannt“ oder als „Vorgabe“ betitelte Standardprofil sollten Sie aber unter „Bearbeiten -> Profileinstellungen“ in jedem Fall bearbeiten. Die Registerkarte „Allgemein“ bestimmt die Größe des Terminalfensters über die Spaltenzahl (Breite) und Zeilenzahl (Länge) sowie die verwendete Schriftart. Beachten Sie, dass Sie das Terminal-Fenster unabhängig von der Schrift mit Strg-+ und Strg– skalieren können, in einigen Terminals auch mit Strg und mittlerer Maustaste. Die Registerkarte „Farben“ definiert die Farb- und Transparenzeinstellungen (in einigen Terminals auch als Extra-Registerkarte „Hintergrundtyp“). Wer Experimente mit eventuell kontrastarmen Ergebnissen vermeiden will, kann das Systemschema oder vorgegebene Schemata verwenden.
Unter „Bildlauf“ sollte der „Zeilenpuffer“ deutlich vierstellig eingestellt sein, damit Sie auch bei umfangreichen Dateilisten (find, ls, rsync) bis zum Beginn zurückblättern können.
Der allgemeinere Punkt „Bearbeiten -> Einstellungen“ spielt für die Terminal-Optik keine Rolle. Hier können Sie aber unter „Tastenkürzel“ die Hotkeys ermitteln oder neu bestimmen, die in Ihren Terminals gelten. Der Tipp, hier auch die Hotkeys für Kopieren (Strg-Shift-C) und Einfügen (Strg-Shift-V) auf gebräuchliches Strg-C und Strg-V umzustellen, ist zweischneidig, weil Strg-C in der Bash-Shell traditionell für den Abbruch des aktuellen Befehls reserviert ist.
Startparameter: Größe und Position des Terminals können Sie auch per Startparameter festlegen. Global und mit zusätzlicher Angabe der Fensterposition arbeitet der Parameter „–geometry“ (fast überall Standard: Gnome, KDE, XFCE, Mate):
gnome-terminal --geometry=120x24+1+1
Dies würde ein Terminal mit 120 Zeichen Breite und 24 Zeilen Länge in der linken oberen Ecke starten (1 Pixel von links, 1 Pixel von oben). Diesen Aufruf definieren Sie am besten in der globalen Verknüpfung „/usr/share/applications/gnome-terminal.deskop“ in der Zeile „Exec=“ mit root-Recht.
Neben dem schon genannten „–profile“-Schalter gibt es weitere Optionen via Startparameter, welche die grafischen Profileinstellungen nicht vorsehen:
Dies erhöht den Zoomfaktor um 40 Prozent und startet gleich im gewünschten Verzeichnis. Letzteres ist natürlich auch über die Bash-Shell leicht zu erzielen.
2. Bash-Zeileneditor und History
Kaum ein Terminalthema klingt langweiliger als die Regeln des „line editing“ – also Texteingabe, Textbearbeitung, Autocompletion und Befehlssuche am Bash-Prompt. Es entscheidet aber fundamental darüber, wie viel oder wenig Sie tippen müssen – und „Tippen“ bedeutet hier ja meistens nicht das Schreiben von natürlicher Sprache, sondern von oft komplexen Befehlen oder gar von Escape- und Regex-Sequenzen.
Autocompletion: Lange Dateinamen müssen nicht getippt werden: Wenn Sie die ersten zwei, drei Buchstaben eingeben und dann die Tab-Taste drücken, ergänzt das Terminal den vollständigen Namen automatisch, desgleichen Ordnerpfade, sofern die eingegebenen Buchstaben stimmen (Groß- und Kleinschreibung beachten!).
History: Das Terminal vergisst nichts – jedenfalls nicht so schnell. Die Befehle werden im Speicher und dauerhaft in der ~/.bash_history gespeichert. Damit die Befehle über Sitzungen und Neustarts hinaus gesammelt werden, sorgt diese Anweisung:
shopt -s histappend
Diese werden Sie in jeder Standardstartdatei ~/.bashrc antreffen. Bei welcher Zeilenmenge Schluss sein soll, also die ältesten Einträge gelöscht werden, bestimmen folgende Variablen:
HISTSIZE=5000
HISTFILESIZE=5000
Auch diese stehen in jeder ~/.bashrc, wenn auch eventuell mit geringeren Zeilenangaben. „HISTSIZE“ ist die maximale Zeilenmenge im Speicher, „HISTFILESIZE“ die maximale Zeilenmenge in der Datei ~/.bash_history. Je höher die Zahlen, desto umfangreicher wird das Gedächtnis der Bash-Shell. Mit der Variablen
HISTCONTROL=ignoredups
können Sie verhindern, dass die History von Dubletten wimmelt: Bereits vorhandene, identische Kommandos werden dann nicht aufgenommen. Eine weitere Option, die History effizienter zu machen, ist der Ausschluss von Allerweltsbefehlen:
HISTIGNORE="ls:cd*:free"
Soviel zur Optimierung der History. Für die eigentliche, praktische Verwendung gibt es mehrere Möglichkeiten. Fast jedem Anwender bekannt ist das Zurückblättern zu den letzten Kommandos mit der Taste Cursor-oben, die den gewünschten Befehl wieder auf den Prompt holt. Eine systematische Suche bietet der Hotkey Strg-R: Nach Eintippen etwa von „tar“ erscheint der letztgenutzte tar-Befehl in kompletter Länge. Ist dieser passend, kann er mit Eingabetaste sofort ausgeführt oder mit Alt-Eingabetaste (eventuell auch Strg-Eingabetaste) zum Editieren auf den Prompt geholt werden. Ist der angezeigte History-Treffer nicht der passende, geht es mit Strg-R zum vorletzten und so fort.
Eine einfache Alternative oder auch Ergänzung zur Rückwärtssuche mit Strg-R ist eine Filtersuche mit der Taste Bild-oben. Nach Eingabe etwa von „tar“ befördert diese Taste den letzten, kompletten tar-Befehl direkt auf den Prompt, ein weiteres Bild-oben den vorletzten und so fort. Diese Suche funktioniert aber nur, wenn Sie Taste entsprechend belegen – und zwar in der Datei /etc/inputrc. Das Editieren erfordert root-Recht. Sie werden dort die beiden Zeilen
\"e[5~\": history-search-backward
\"e[6~\": history-search-forward
antreffen und müssen dort nur das führende Kommentarzeichen „#“ entfernen.
Zum Editieren vorhandener Zeilen, seien es selbst getippte oder aus der History gefischte, helfen Lösch- und Rücktaste, Pos1, Ende, Strg-Cursor-rechts/links (wortweise springen), Strg-K und Strg-U (Löschen nach und vor der Cursorposition, siehe dazu auch Punkt 4).
3. Farben am Prompt und in Dateilisten
Der Prompt, also die Anzeige bei jeder Befehlseingabe, kann beliebige statische und dynamische Informationen anbieten, die Sie zur Orientierung erwarten. Die Prompt-Anzeige definieren Sie interaktiv zum Testen mit dem Befehl „PS1=‘…‘“. und dauerhaft in der Datei ~/.bashrc. Einige dynamische Variablen wie das aktuelle Verzeichnis, Datum oder Uhrzeit bietet der Prompt durch vordefinierte Escape-Zeichenfolgen selbst an, etwa „\w“ für das aktuelle Verzeichnis, „\u“ für das angemeldete Konto oder „\h“ für den Rechnernamen. Einfache Prompts sehen dann so aus:
PS1="\w => "
PS1="\u@\h:\w => "
Eine gute Infoquelle für alle Prompt-Optionen ist die Seite https://wiki.archlinux.de/title/Bash-Prompt_anpassen. Über die eingebauten Codes hinaus können Sie jede allgemeine oder selbst definierte Variable einfach mit „$Variable“ in die PS1-Definition setzen:
PS1="\w [$LOGNAME] => "
Mehr noch: Der Prompt kann sogar beliebige Befehle aufnehmen. Wir demonstrieren das mit einem Beispiel, das freilich als Prompt dauerhaft nicht praktikabel ist:
ist praktisch unlesbar. Immerhin geht es Schritt für Schritt von einer Escape-Sequenz zur nächsten – „\n“ bedeutet einen Zeilenumbruch, „\[\033“ schaltet dann die Farben um, „\d“ setzt das Datum ein, „\A“ die Uhrzeit. Erläuternder Text oder Zeichen wie Komma oder Blank sind an jeder Stelle möglich, ferner auch Variablen mit „$“.Wichtig ist, Farbdefinitionen am Ende wieder zurückzusetzen
(*\[\033[0m\]“).
Die unsäglichen Farbsequenzen einerseits, die Variablen-Tauglichkeit des Prompts andererseits veranlassen Bash-Freaks, alle nötigen Codes in Variablen abzulegen (in der ~/.bashrc)
GREEN="\[\033[01;32m\]"
und dann als handlichere Variablen ($GREEN) in den Prompt einzubauen. Auch dies ist aber ein mühsamer Notbehelf, dem wir folgende Online-Hilfe vorziehen:
Easy Bash PS1 Generator: Ein nützlicher Helfer für farbenfrohe Prompts ist die Seite http://ezprompt.net/. Hier gehen Sie von ersten Position zur letzten durch, was der Prompt zeigen soll, und bestimmen für das jeweils markierte Element Vorder- und Hintergrundfarbe („FG“ und „BG“). Die einzelnen Elemente lassen sich auch nachträglich umsortieren. Im untersten Feld erscheint der zugehörige Code für die PS1-Variable, den Sie einfach kopieren, im Terminal einfügen und mit Eingabetaste testen. Wenn das Ergebnis passt, übernehmen Sie die Codezeile in Ihre Datei ~/.bashrc. Die Webseite deckt längst nicht alle Möglichkeiten des Bash-Prompts ab, liefert aber zuverlässig die heiklen Farbcodes.
Dynamische Infos durch Prompt_Command: Wenn Variablen Echtzeit-aktuell im Prompt landen sollen (etwa die CPU-Auslastung), dann muss diese Variable unmittelbar vor der Prompt-Darstellung ermittelt werden. Dafür bietet die Bash-Shell einen speziellen Service: Mit
PROMPT_COMMAND=[function-name]
definieren Sie eine Function der Datei .bashrc, die bei jedem Befehl in der Kommandozeile abgerufen wird. Da dies sehr oft geschieht, sollten Sie den Rechenaufwand in Grenzen halten. Ein Beispiel für einen selbstgebauten Prompt mit Echtzeitinfos aus einem Prompt_Command sehen Sie in der Abbildung auf dieser Seite.
Farbige Dateien und Ordner: Das Terminal stellt Dateitypen und Ordner standardmäßig in unterschiedlichen Farben dar. Wenn Sie bestimmte Farben ändern möchten, erstellen Sie mit folgendem Befehl eine persönliche Konfigurationsdatei im Home-Verzeichnis:
dircolors -p > ~/.dircolors
Die versteckte Datei .dircolors können Sie dann mit einem beliebigen Editor bearbeiten. So werden zum Beispiel Ordnernamen gelb gefärbt:
DIR 01;33
Die Einstellungen dieser eigenen Farbtabelle dominieren über die Standardeinstellungen. Die Farbcodes können Sie der bereits genannten Seite https://wiki.archlinux.de/title/Bash-Prompt_anpassen entnehmen. Achten Sie auf die Tatsache, dass solche Farbdefinitionen durch Umstellen der allgemeinen Terminalfarben (siehe Punkt 1) unter Umständen unlesbar bis unbrauchbar werden. Wer hier Zeit investiert, sollte an der allgemeinen Terminaloptik nichts mehr verändern.
4. Bash-Aliases und Bash-Hotkeys
Ohne in das Bash-Scripting einzusteigen, das dieser Beitrag weitestgehend ausklammert, können einfachste Alias-Kurzbefehle und (weniger einfache) Bind-Hotkeys die Effektivität der Bash-Shell enorm steigern.
Bash-Hotkeys: Mit Tastendefinitionen sollte man sparsam umgehen, damit der Durchblick nicht verlorengeht, jedoch sind einige Nachbesserungen sinnvoll und produktiv. So ist etwa beim Editieren am Prompt zwar das Löschen vor und nach der Cursorposition mit den Hotkeys Strg-U und Strg-K vorgesehen, aber nicht das Löschen der kompletten Zeile mit einem Hotkey. Folgende Bind-Kommandos
bind '“\C-l“:kill-whole-line'
bind '“\el“:kill-whole-line'
legen den internen Befehl „kill-whole-line“ auf die Hotkeys Strg-L und Alt-L. Die Strg-Taste ist mit „\C“ einzugeben, Alt mit „\e“. Dass bei Strg die Folgetaste mit Bindestrich abzugrenzen ist, bei der Alt-Taste hingegen nicht, ist kompliziert, aber nicht zu ändern.
Folgender Befehl
bind '"\e[15~":"xdg-open . \n"'
belegt die Funktionstaste F5 so, dass sie den Standarddateimanager mit dem aktuellen Verzeichnis auslöst. Die Funktionstasten sind mit „\e[nn~“ anzugeben, wobei die Ziffer „nn“ in der Regel den Wert plus 10 der tatsächlichen Taste benötigt. Im Zweifel kann der Befehl „read“ und anschließendes Drücken der Funktionstaste über die Ziffer „nn“ informieren.
Bind-Befehle können Sie interaktiv ausprobieren; sie gelten dann bis zum Schließen des Terminals. Für permanente Gültigkeit benötigen sie einen Eintrag in die Datei ~/.bashrc.
Aliases: Kurzbefehle können die schnelle Ordnernavigation vereinfachen oder komplexe Befehle abkürzen. Der Platz für Aliases ist wieder die Datei ~/.bashrc, und die Befehle werden in einfachsten Fällen so aussehen:
alias ini='$EDITOR ~/bashrc'
alias mc='mc /srv/dev-disk-by-label-Data /srv'
alias ll='ls -alF --group-directories-first'
Aliases entschärfen die interaktive Nutzung mächtiger Terminaltools erheblich. Ein Beispiel ist etwa folgendes Alias für den Find-Befehl:
alias fn='read -p "Dateimaske (z.B. *.pdf): " TMP; find . -type f -name "$TMP"'
Nach Aufruf des Kürzels fn werden Sie mittels „read“ nach der Dateimaske gefragt, die dann etwa „*.odt“ oder auch „2018*.jpg“ lauten kann (ohne Anführungszeichen). Diese Eingabe wird mit der Variable $TMP an find weitergereicht. Das Alias geht davon aus, dass man zuerst in das gewünschte Verzeichnis gewechselt hat, denn dort startet find seine Suche (Punkt nach „find .“).
Ähnlich übergibt hier
alias ft='read -p "Alter in Tagen (z.B. 7): " TMP; find . -type f -mtime "-$TMP"'
die Variable $TMP eine Zahl an find, das dann über den Schalter „-mtime“ alle Dateien ermittelt, die in den letzten Tagen erstellt wurden.
5. Ordnernavigation im Terminal
Verzeichniswechsel mit cd gehören zu den meistgenutzten Kommandos. Auch hier gibt es eine Reihe kleiner Optimierungen.
Die häufigsten Zielordner sind am besten über ein knappes Alias zu erreichen – etwa um nach
alias d = 'cd ~/Schreibtisch'
mit der Eingabe „d“ zum Desktop zu gelangen.
Eine effiziente Lösung für schnelles Springen in wichtige Verzeichnisse ist die Variable CDPATH. In ihr lassen sich mehrere Ordnerpfade speichern. Danach kann man überall mit „cd [Verzeichnis]“ in ein Unterverzeichnis eines der gespeicherten Verzeichnisse springen. Um also etwa den Pfad „/var/www/html“ in die Variable CDPATH aufzunehmen, geben Sie
export CDPATH='.:/var/www/html/'
ein. Danach wechseln Sie von beliebiger Stelle mit „cd htdocs“ und „cd logs“ in Unterordner von „/var/www/html/“. Die CDPATH-Variable lässt sich durch eine beliebige Anzahl weiterer Verzeichnisse erweitern – jeweils durch Doppelpunkt getrennt:
Hier besteht der „CDPATH“ aus dem aktuellen Verzeichnis („.“), dem Home-Verzeichnis („~“), dem Webserver-Verzeichnis und einem Mountordner. Am Anfang sollte mit „.:“ immer das aktuelle Verzeichnis stehen, damit dieses die höchste Priorität behält. Für einen dauerhaften „CDPATH“ müssen Sie die Export-Anweisung in die Datei .bashrc eintragen.
Die meisten Nutzer verwenden cd für den Verzeichniswechsel, obwohl die Alternativen pushd und popd mehr Komfort bieten, vor allem dann, wenn es häufig von einem Ordner zum anderen und wieder zurückgehen soll. Daher sorgen folgende simplen Alias-Definitionen:
alias +='pushd'
alias _='popd'
dafür, dass sich die Bash-Shell nach „+“ das letzte Verzeichnis merkt. Mit „_“ kehren Sie danach umstandslos zurück zum letzten Verzeichnis. Das normale Minuszeichen („-„) ist als Alias-Kürzel nicht möglich.
Die Bash besitzt eine optionale Autokorrektur, um Vertipper bei Verzeichnisnamen auszubessern. Diese Autokorrektur ist standardmäßig abgeschaltet, erst diese drei Befehle schalten sie ein:
shopt -s direxpand
shopt -s dirspell
shopt -s cdspell
Danach wird die Shell den Eingabefehler
cd /ect/samba/
nach /etc/samba/ korrigieren und korrekt landen. Soll die Autokorrektur permanent aktiv sein, dann müssen die Befehle in die ~/.bashrc eingetragen werden.
6. Die wichtigsten Terminaltools
Die Aufwertung der Shell durch externe Tools ist für SSH-administrierte Server unentbehrlich, für die virtuellen Konsolen im Falle des Falles sinnvoll und selbst am Desktop erwünscht. Der letztgenannte Aspekt gilt vor allem für Nutzer, die für Datei- und Verwaltungsaufgaben generell das Terminal bevorzugen.
TaskmanagerHtop: Htop (mit gleichnamigem Paketnamen) zeigt beliebig detaillierte Infos zu allen laufenden Prozessen, CPU- und Speicherauslastung und Uptime. Es beherrscht sämtliche Kill-Methoden für randalierende Tasks. Über „F2 Setup“ lässt sich das Tool hinsichtlich Anzeigeinfos und Optik sorgfältig einrichten.
Dateimanager MC: Der Midnight Commander (Paketname „mc“) kann es mit jedem grafischen Pendant aufnehmen und dabei mit 256-Farben-Skins auch noch attraktiv aussehen („Optionen -> Appearance“). Voraussetzung dafür ist der Befehl „TERM=xterm-256color“ in der Datei ~/.bashrc.
Multiterminal Screen: Terminal-Multiplexer wie Screen (mit gleichnamigem Paketnamen) verwalten mehrere Terminal-Sitzungen in einem Fenster. Solche Tools sind auf der grafischen Oberfläche unnötig, aber alternativlos auf Servern, die per SSH verwaltet werden. Wenn Sie Screen starten, scheint gar nichts zu passieren. Um die Vorzüge zu erkennen, beginnen Sie am besten von vornherein mit einer Konfigurationsdatei ~/.screenrc im Home-Verzeichnis. Diese könnte etwa so aussehen wie in der nebenstehenden Abbildung. Hier werden beim Aufruf screen drei Terminals gestartet. Die „Caption“-Anzeige sorgt dafür, dass Sie in der Fußzeile über die geladenen Terminals informiert bleiben. Die Escape-Sequenzen für „Caption“ sind mühsam, aber unter www.gnu.org/software/screen/manual gut dokumentiert.
Fundamentaler Hotkey ist Strg-a, gefolgt von einer Kommandotaste: Strg-a und nachfolgendes n oder p wechselt zur nächsten oder vorherigen Konsole. Strg-a und c startet ein weiteres Terminal, Strg-d schließt das aktuelle. Ein wichtiger Hotkey ist außerdem Strg-a und Esc, weil Sie nur dann im Screen-Fenster mit Taste oder Maus in Listen scrollen können.
Datenträgerbelegung mit Ncdu: Ncdu (mit gleichnamigem Paketnamen) sortiert Verzeichnisse nach der enthaltenen Datenmenge und bietet eine sehr viel bequemere Festplattenanalyse als das Standardwerkzeug du. Denn Ncdu beherrscht wie ein Dateimanager die Navigation zwischen den Verzeichnissen und kann aktiv löschen. Die einzig wichtige Bedienregel, die sich nicht sofort erschließt, ist die Auswahl des Startordners. Ist Ncdu nämlich einmal gestartet, wird es in keine höhere Verzeichnisebene wechseln. Wenn Sie daher das komplette Dateisystem durchforsten wollen, sollten Sie ncdu mit
ncdu /
starten. Ncdu sortiert nach Ordnergrößen, kann aber mit Taste „n“ auch nach Namen sortieren, mit „s“ wieder nach Größe („size“).
7. Befehle suchen
Bash-History mit Schlüsselwörter: Ein hübscher Trick, um interessante, aber seltener genutzte Befehle bei Bedarf schnell wiederzufinden, besteht in der Kommentierung der Kommandos durch Schlüsselwörter. Ein Beispiel:
lsblk -o name,fstype,uuid,size,owner,type,mountpoint,label,model # disk partition detail
Der interaktiv so eingegebene Befehl funktioniert wie gewohnt; alles ab dem Kommentarzeichen „#“ wird einfach ignoriert. Der Befehl landet aber inklusive Kommentar in der Datei ~/.bash_history. Folglich können Sie später in der History-Suche mit Strg-R ein Schlüsselwort wie „detail“ oder „partition“ eingeben, und die Suche wird Ihnen die Befehle mit diesem Kommentar anbieten. Die Wahl der Stichwörter ist dabei die anspruchsvollste Aufgabe: Sie sollten so assoziativ ausfallen, dass Sie bei späterer Suche die Sache schnell eingrenzen können – etwa durch Kategorien wie „task, folder, partition, disk, size, user, right, info, hardware“. Natürlich sind auch deutsche Kommentierungen möglich. Wer diese Möglichkeit nicht nur künftig, sondern rückwirkend nutzen möchte, kann seine .bash_history nachträglich mit solchen Kommentaren erweitern.
Exkurs: Falls Ihre Bash-Shell interaktive Eingaben mit Kommentarzeichen nicht akzeptiert, ist eine Standardeinstellung verstellt. Sie lautet „interactive_comments“ und kann bei Bedarf mit
shopt -s interactive_comments
in der Datei ~/.bashrc explizit aktiviert werden.
Apropos-Programmsuche mit Stichwort: Eine gewaltige Hürde bei der Verwendung der Shell ist die schlichte Frage, welches Kommando sich für welche Aufgabe eignet. Infoportale im Internet sind da oft enttäuschend: Alphabetische Listen sind denkbar unpraktisch, vollständige Bash-Referenzen definitiv nicht das, was man für eine schnelle Kommando-Recherche benötigt, und vorsortierte Präsentationen der „wichtigsten“ Befehle verzichten von vornherein auf Vollständigkeit.
Für eine grobe thematische Suche eignet sich der Befehl apropos, der die Datenbank der Man-Pages nach Stichworten durchsucht (identischer Befehl „man -k [Stichwort]“). So liefert apropos zumindest einen ersten Überblick:
apropos samba
Hier erhalten Sie alle Befehle, die im Zusammenhang mit Samba-Netzwerkfreigaben stehen. Mit dem Schalter „–and“
apropos --and file rename
ist ein UND-Suche nach mehreren Stichwörtern möglich.
Whatis: Was kann ein bestimmter Befehl? Whatis ist das Gegenstück zu Apropos: Es liefert für einen angegebenen Befehl genau dieselbe Kurzbeschreibung aus den Man-Pages wie Apropos. Während Sie also mit Apropos geeignete Programme für eine bestimmte Aufgabe suchen, fragen Sie mit Whatis ab, was ein bestimmtes Programm kann:
whatis diff
Wer einen systematischen Überblick über alle auf seinem System installierten Kommandozeilenprogramme erreichen will, kann diese mit
compgen -c
auflisten und diese Liste gleich mit whatis kombinieren:
for p in $(compgen -c|sort);do whatis $p >> liste.txt;done
Das Ergebnis ist eine Textdatei liste.txt mit alphabetischer Abfolge sämtlicher Systembefehle und jeweiliger Kurzcharakterisierung durch whatis.
8. Alternative Terminals
Wie Punkt 1 zeigte, geben die Standard-Terminals der Linux-Distributionen kaum Anlass, nach Alternativen zu suchen. Die gibt es natürlich: So ist Terminator (mit gleichnamigem Paketnamen) eine Fortentwicklung von Gnome-Terminal mit etlichen Zusatzfunktionen, die etwa den Textzoom mit Strg-Mausmitteltaste erlauben (wie die Konsole unter KDE) oder automatisches Ausblenden bei Fokusverlust. Weitere Funktionen fallen gegenüber dem Gnome-Terminal eher marginal aus.
Das Terminal Terminology (mit gleichnamigem Paketnamen) stammt aus dem Enlightenment-Desktop und ist so eigenwillig wie jener. Terminology entspricht weitgehend dem Gnome-Terminal, hält aber Spezialitäten bereit, die sich nach Rechtsklick automatisch einblenden. Die hier angebotenen Split-Funktionen sowie Kopieren und Einfügen per Mausklick erhöhen den Terminal-Komfort. Unter „Einstellungen“ gibt es weitere Raffinessen wie Hintergrundbilder. Trotz dieser Vorzüge ist Terminology insgesamt gewöhnungsbedürftig und hat auch Nachteile: Schriften-, Farbdarstellung und Zoomfunktion fallen gegenüber den Standard-Terminals ab.
Tilda und Guake: Diese Dropdown-Terminals haben kein interaktiv skalierbares Fenster und keine Titelleiste, sondern blenden sich in fester, aber exakt einstellbarer Größe nach Hotkey F1 (Tilda) oder F12 (Guake) ein und aus. Das Ausblenden kann auch automatisch bei Fokusverlust eingestellt werden, also durch beliebigem Klick außerhalb des Terminalbereichs. Die Einstellungen bieten Transparenz, Einblendanimation, Farbanpassung, Shell-Tabs, Suchleiste und vieles mehr. Im Fenster läuft die Bash – alle Bash-Einstellungen werden also übernommen. Für Terminal-Vielnutzer sind diese stets im Hintergrund wartenden Bash-Dauerläufer eine klare Empfehlung. Die Unterschiede zwischen Tilda und Guake sind marginal und letztlich Geschmackssache. Tilda und Guake sind über die gleichnamigen Paketnamen überall verfügbar.
Fish ist kein alternatives Terminal, sondern eine eigene Shell. Sie ist über den Paketnamen „fish“ überall verfügbar, die aktuellste Version über ein PPA (ppa:fish-shell/nightly-master). Fish bringt Farbe ins Spiel, macht selbständig ergänzende Angebote zu partiellen Eingaben und informiert bei Syntaxfehlern vorbildlich über Korrekturen. Ein Alleinstellungsmerkmal ist die Konfiguration im Browser nach diesem Befehl:
fish_config
Unter „colors“ und „prompt“ wählen Sie aus vorgegebenen Farbschemata und Prompts, und mit „Set Theme“ oder „Set Prompt“ übernehmen Sie das Ergebnis. Wichtig sind die „abbreviations“, da Sie damit Alias-Kurzbefehle anlegen können. Für Scripts verwendet Fish „functions“ mit eigener Syntax. Zielgruppe für die Fish-Shell sind Einsteiger, denen Fish den Terminal-Umgang zunächst in der Tat vereinfacht. Das Problem ist nur, dass sich Bedienung und Script-Konzept von den Standard-Terminals stark unterscheidet: Wer der Fish-Shell wieder den Rücken kehrt, fängt mit Gnome-Terminal & Co. sowie Bash praktisch wieder von vorne an.