Archiv der Kategorie: Grundlagen

Dateisysteme für Linux

Bei Dateisystemen gibt es keinen Stillstand. Im Hinblick auf ihre immense Verantwortung geschehen aber alle Fortschritte zäh, konservativ und abseits der öffentlichen Wahrnehmung. Ubuntus aktuelle Parteinahme für ZFS sorgt für frische Diskussion.

Seit vielen Jahren gilt das Dateisystem Ext4 als Standard auf dem Linux-Desktop, zumeist auch auf Servern. Eindeutige Plädoyers für andere Dateisysteme wie etwa beim NAS-System Freenas für ZFS blieben rar. 2017 schlug sich Open Suse Leap auf die Seite von BTRFS, und neuerdings hat Ubuntu ZFS in die Desktop-Installation integriert (wenn auch optional). Wir nehmen dies zum Anlass für einen Heftschwerpunkt zum Thema „Dateisysteme“. Dieser erste Beitrag soll die Bedeutung und prinzipielle Funktionsweise von Dateisystemen skizzieren, die wichtigsten kurz charakterisieren und die erweiterten Fähigkeiten von Dateisystemen diskutieren. Dies führt dann zwangslos zu Fragen, für welche Szenarien sich welche Dateisysteme am besten eignen und ob der Linux-Desktop tatsächlich eine Abkehr vom bisherigen Ext4-Standard benötigt.

Die nachfolgenden vier Artikel führen dann in den praktischen PC-Alltag und zeigen Basiskonfiguration und Tuning-Tipps für die Linux-Dateisysteme Ext4, ZFS, BTRFS und für Windows-Alternativen für den Datenaustausch.

1. Dateisysteme: Die sichtbare Spitze

Am Linux-Desktop zeigen sich Dateisysteme nur an zwei Stellen deutlich: bei der (manuellen) Installation und in der Laufwerksverwaltung. Die Installation bietet die Formatierung mit Ext2/3/4, XFS, JFS, BTRFS, eventuell ZFS, die Laufwerksverwaltung hat in der Regel zusätzlich NTFS und FAT32, exFAT im Angebot. Inaktive (ausgegraute) Linux-Dateisysteme lassen sich durch Nachinstallationen passender Pakete aktivieren.

Die Aktion, ein Laufwerk oder einen Teil dessen (Partition) mit einem Dateisystem zu versehen, nennt sich bekanntlich „Formatieren“. Optionales Partitionieren (Aufteilen) eines Laufwerks ist einer Formatierung vorgeschaltet. Dort und in der daraus resultierenden Partitionstabelle geht es darum, ein Laufwerk aus organisatorischen Gründen in mehrere Bereiche aufzuteilen (Partitionen). Sobald eine Partition anschließend durch ein Dateisystem formatiert wird, erhält die Partition in der Partitionstabelle eine knappe Kennziffer, um welches Dateisystem es sich handelt.

Die sichtbare Spitze des Eisbergs „Dateisystem“ wird wesentlich größer, sobald die zugehörigen Terminaltools zum Einsatz kommen. Erst diese zeigen die Komplexität und die Tatsache, dass ein Formatieren mit grafischen Werkzeugen für zahlreiche Parameter einfach bewährte Kompromisswerte setzt. Ein besonders wichtiger Parameter ist die Block- oder Clustergröße, die standardmäßig 512 Bytes, heute meist 4 KB beträgt.

Wichtig und sichtbar für den Anwender sind ferner Standardverzeichnisse eines Dateisystems. Diese sind allerdings bloße Namen, Konvention und Tradition, und vom eigentlichen Handwerk des Dateisystems Lichtjahre entfernt.

Dateisysteme auf Desktop und Terminal: Grafische Tools zeigen nur die Spitze des Eisbergs und formatieren mit Standards. Wer spezielle Wünsche hat, muss Terminalwerkzeuge verwenden.

2. Dateisystem-Pflicht: Die Übersetzungsleistung

Dateisysteme kennen Pflicht und Kür (dazu später). Unabdingbare Pflicht für jedes Dateisystem ist es, angeforderte Dateien zu finden und bereitzustellen. Die Tatsache, dass sich Dateien über hierarchische Pfade, über Namen, Extensionen oder Datumsangaben aufrufen oder filtern lassen, erfordert erheblichen Verwaltungsaufwand. Der Controller der Hardware (Festplatte, SSD) kann jede Einheit (Sektor, Block) in Milli- oder Mikrosekunden ansteuern. Aber er braucht die exakte Kennziffer der gewünschten Einheit: Ordner und Dateinamen sind ihm so fremd wie der Dateibegriff insgesamt. Wenn ein Laufwerk die Bits aus etlichen angeforderten Blöcken ausliefert, weiß es weder, dass es sich um eine zusammengehörige Datei handelt, noch weniger, dass diese sich in einem bestimmten Ordner befindet und einen Namen besitzt. Nebenbei: Auch die Einteilung in Partitionen ist der Hardware unbekannt. Das ist alles Aufgabe des Dateisystems.

Das Dateisystem errichtet ab Formatierung eine Dateitabelle. Jede Datei erhält dort einen Eintrag mit Metadaten wie Dateiname, Erstelldatum, Rechtemaske. Format und Umfang dieser Einträge bestimmen die maximalen Datei- und Pfadnamen, maximale Dateigrößen und die Tauglichkeit für Multiuser-Systeme mit Rechteverwaltung. Entscheidend zum Auffinden der Dateiinhalte ist der Verweis auf die Zuordnungseinheiten – Cluster oder Blöcke (Cluster ist der klarere Begriff für eine Dateisystemeinheit, weil „Block“ auch Hardware-technisch die kleinste Datenträgereinheit meint). Um die Übersetzungsarbeit für die Hardware zu vereinfachen, entsprechen diese Cluster genau oder als einfaches Vielfaches der Block- oder Sektorgröße des Datenträgers – oft vier KB, sofern der Nutzer bei der Formatierung keine andere Wahl trifft. Als Clusterzeiger in der Dateitabelle dient dann eine schlichte Ziffer für den Startcluster der Datei, ferner eine weitere Ziffer für die Anzahl der Folgecluster (da eine Datei in der Regel mehrere oder viele Cluster beansprucht).

Nehmen wir an, Sie klicken im Dateimanager auf eine Datei „Rechnung_034-2020.odt“. Woher weiß das Dateisystem, dass es den Inhalt dieser Datei etwa aus den Clustern 12057, 12058 und 12116 zu laden hat? Und woher weiß das System, welche Dateinamen es anzeigen soll, wenn Sie im Home-Verzeichnis auf „Dokumente“ klicken? Anhand der kompletten Pfadangabe beginnt die Suche immer auf der obersten Ebene der Dateitabelle. Dort findet sich der Eintrag für den ersten Ordnernamen der Pfadangabe, in dessen Inhalt geht die Suche dann weiter zum nächsten Unterordner gemäß Pfadangabe bis hinunter zur gesuchten Datei.

Noch sind wir beim Eintrag der Datei in der Dateitabelle – nicht bei der Datei selbst: Wo diese liegt, zeigen nun aber die Cluster-Verweise. Startcluster und Anzahl der Cluster können nun an die Hardware weitergegeben werden. Wenn die Datei unfragmentiert ist, also der komplette Inhalt in einer zusammenhängenden Clusterfolge abgelegt ist, genügt es, den Startcluster anzuspringen und ab dort die angegebene Anzahl von Cluster einzulesen. Bei fragmentierten Dateien folgt in der Dateitabelle ein weiterer Eintrag mit dem nächsten Startcluster und der Clusteranzahl.

Teil eines Eintrag in der Dateisystemtabelle (schematisch): Das System muss Dateiinhalte aus Clustern einsammeln. Die Dateitabelle nennt nur die Anzahl der Cluster und die Kennziffer des Startclusters.

3. Dateisystem-Kür: Erweiterte Eigenschaften

Die angesprochene Kernaufgabe erledigt jedes Dateisystem. Die Limits für Pfadlänge, Dateigröße und Datenträgergröße sind zum Teil pragmatisch (Pfadlänge bei NTFS, Größen bei F2FS oder Ext2/3), ohne aber bei Desktop-Systemen an ernsthafte praktische Grenzen zu stoßen. Lediglich das alte FAT32 hat mit einer maximalen Dateigröße von nur 4 GB ein Limit, das in den PC-Alltag hineinwirkt.

Was Dateisysteme neben der Pflicht der Dateibereitstellung zusätzlich leisten sollen, wird durchaus kontrovers interpretiert. Die einzelnen Eigenschaften (siehe Tabelle) lassen sich in folgende Hauptaspekte gliedern:

1. OPTIMIERTE LEISTUNG: Während einfache Dateisysteme Schreibaktionen sofort und undifferenziert einfach in die nächstmöglichen freien Cluster schreiben, gibt es eine Reihe von intelligenteren Methoden, um erstens die Zugriffe zu beschleunigen und zweitens die Fragmentierung zusammenhängender Dateien zu verringern. Allocate-on-Flush verzögert den Schreibvorgang, um den kompletten Platzbedarf einer Datei abzuwarten und dann zusammenhängend zu speichern (unfragmentiert). Extents verschlanken die Dateisystemtabelle, indem sie bei vermehrten Metadaten selbige in normale Datencluster auslagern. Permanentes Dateisystem-Caching verwendet nur ZFS mit entsprechenden RAM-Ansprüchen.

Sparse-Dateien sind eine intelligente Antwort auf Dateien ohne Inhalt: Das Dateisystem erkennt die „Leere“ und belegt keine Cluster, selbst wenn die Metadaten eine formale Dateigrößen im MB- oder GB-Bereich definieren. Trim-Support ist eine Spezialität für SSDs, um die Hardware über gelöschte und somit freigewordene Blöcke zu informieren. Eine eher marginale Eigenschaft ist Execute-in-Place, das Programmausführung direkt vom Datenträger erlaubt (ohne Kopie in den Arbeitsspeicher), aber nur für sehr speziellen Programmecode in Betracht kommt.

2. OPTIMIERTE SICHERHEIT: Das verbreitete Journaling ist sowohl eine Sicherheitsfunktion als auch eine Leistungsoptimierung: Das Journal protokolliert entweder nur die Metadaten in der Dateitabelle oder sämtliche Änderungen an Dateiinhalten (Full Journaling). Nach Absturz, Hard Reset oder Stromausfall muss das Dateisystem dann nicht komplett geprüft werden, sondern sieht im Journal alle Dateiänderungen, die nicht ordentlich abgeschlossen wurden. Einige wenige Dateisysteme führen obendrein gesonderte Change-Logs und schreiben Checksummen in die Metadaten. Copy-on-Write (CoW) bedeutet, dass geänderte Blöcke nicht an Ort und Stelle überschrieben, sondern zunächst in freie Cluster kopiert werden. Die dadurch entstehende Redundanz ist Voraussetzung für Snapshot-Sicherung (nur BTRFS und ZFS).

3. ERWEITERTE METADATEN: Alle elaborierteren Dateisysteme notieren als Metadaten deutlich mehr als die unbedingt erforderlichen Pfade, Namen und Clusterverweise. Besitz, Dateirechte, mehrere Zeitstempel und Streams als formal unstrukturierte Metadaten sind fast überall Standard. Streams eignen sich als interne Infos für Software, aber auch als Kommentarfunktion.

4. ERWEITERTE FUNKTIONEN: Besondere Attraktivität für Anwender haben native Zusatzfunktionen des Dateisystems wie Verschlüsselung und Kompression. Hier kann das ansonsten pragmatische NTFS gegenüber den Linux-Standards klar punkten. Snapshots zur Systemsicherung bieten andererseits nur die Linux-Dateisysteme BTRFS und ZFS. Diese gehen aber noch einen ganzen Schritt weiter, indem sie einen eigenen Volume-Manager zur Laufwerksverwaltung integrieren. Funktional bedeutet das, dass Größenänderungen des Dateisystems online wie offline und mit Anschluss zusätzlicher Laufwerke möglich sind.

Dateisystem-Funktionen treten selten wie hier ins sichtbare Licht: ZFS-Snapshots erscheinen neuerdings als „History“ im Grub-Menü von Ubuntu (falls ZFS als Dateisystem arbeitet).

4. Dateisysteme und ihre Performance

Zur Leistung von Dateisystemen gibt es zahlreiche Messungen, die sich aber nicht gegenseitig bestätigen. Zuverlässiges Testen der Dateisystemleistung ist heikel, weil sehr viele Faktoren mitspielen. Die Größe der Dateien ist relevant, weil Dateisysteme ihre jeweiligen Vorzüge besitzen. Noch wichtiger ist die Clustergröße, denn jedes Dateisystem ist umso schneller, je weniger Einzelblöcke es zusammensuchen muss. Ein gerechter Vergleich müsste überall dieselbe Clustergröße verwenden – soweit dies einstellbar ist. Dies wiederum kann zu Ungerechtigkeiten führen, wenn Dateisysteme intern auf ihre Standardgrößen hin optimiert sind. Für einen gerechten Vergleich müssten ferner alle Daten unfragmentiert vorliegen. Spezielle Funktionen wie Kompression müsste man von vornherein ausschalten, eventuell auch das Aufzeichnen von speziellen Metadaten – soweit dies überhaupt vorgesehen ist.

Angesichts dieser Situation ist ein objektiver Vergleichstest eine akademische Herausforderung, die wir an dieser Stelle radikal und vereinfachend abkürzen: Generell darf man von einfachen Dateisystemen wie Ext2 oder FAT32, die sich weder mit Journaling, Fehlerprüfung noch mit luxuriösen Metadaten abgeben müssen, höheren Durchsatz erwarten. Gerade auf nicht systemrelevanten Laufwerken mit Benutzerdaten ist älteres Ext2 oft die beste und schnellste Alternative, exFAT auch nicht immer verkehrt. F2FS bietet sich für USB-Sticks an. Elaborierte Dateisysteme können den zusätzlichen Verwaltungsaufwand durch optimierte Schreibverfahren und präventive Maßnahmen gegen die Fragmentierung nur teilweise kompensieren.

5. Relevante Dateisysteme

Wie viele Dateisysteme braucht Linux? Die Betriebssystem-Konkurrenz leistet sich längst nicht den Luxus so zahlreicher Entwicklungen. Der langjährige Windows-Standard NTFS ist bislang ausreichend und hat Komfortfunktionen an Bord, ähnliches gilt für APFS unter Mac OS sowie das einfachere HFS+. Für wachsende Server-Ansprüche arbeitet Microsoft an ReFS, das zwar astronomische Kapazitäten verwaltet, aber noch viele unter NTFS selbstverständliche Attribute vermissen lässt. Für das einfache Austauschformat FAT32 hat Microsoft beizeiten den Nachfolger exFAT nachgelegt, um drängende Größenlimits zu überwinden.

Unter Linux tummeln sich zahlreiche prominente, exotische und spezialisierte Dateisysteme. Die Übersichtstabelle beschränkt sich auf jene, die am Linux-Desktop in Erscheinung treten (etwa in der Laufwerksverwaltung). Da Ext4, BTRFS und ZFS nachfolgend eigene Beiträge erhalten, beschränken wir uns an dieser Stelle auf eine Kurzcharakteristik der verbleibenden Dateisysteme Ext3, Ext2, JFS, XFS und F2FS:

Ext3 und Ext2: Der wichtigste Unterschied dieser Ext-Versionen ist das mit Ext3 eingeführte Journal. Wo diese Sicherheitsfunktion keine Rolle spielt, ist Ext2 die einfachere und schlankere Wahl. Anders ausgedrückt: Wenn Journaling-Sicherheit gefragt ist (Systempartition), nimmt man besser gleich Ext4, wo nicht, genügt auch Ext2.

XFS: Das Journaling-Dateisystem wurde ursprünglich für Server-Aufgaben geschaffen. Die ehemals gelobten Geschwindigkeitsvorteile beim Umgang mit sehr großen Dateien und beim Mehrfachzugriff auf Daten dürften mittlerweile weitgehend egalisiert sein. Ein spürbarer Unterschied zu Ext4 besteht heute nicht mehr. Messbar mag XFS aber immer noch vorne liegen, da etwa Open Suse die Home-Partition standardmäßig mit XFS formatiert.

JFS: Das „Journaling File System“ ist so alt (1990 von IBM), dass es die damals noch revolutionäre Journal-Funktion zur Namensgebung verwendete. JFS ist heute eigentlich JFS2 und hat keine herausragenden Eigenschaften, aber auch keine nennenswerten Schwächen.

F2FS: Das „Flash-Friendly File System“ von Samsung ist ein Spezialist für Flash-Speicher – also für SD-Karten, SSDs und eMMC. Die begrenzte Lebensdauer von rund 10.000 Schreibzugriffe pro Speicherzelle legt es dort nahe, die Dateiinhalte turnusmäßig so umzuverteilen, dass alle Bereiche des Datenträgers in etwa gleichmäßig beansprucht werden. Für solches „Wear-Leveling“ sorgt die Hardware im Prinzip selbständig. F2FS entlastet diese Aufgabe aber dadurch, dass es die Daten für Schreibvorgänge strukturiert und zwischen Daten mit tendenziell kurzer (Benutzerdaten) und langer Lebensdauer (Dateitabelle, Betriebssystem) unterscheidet. F2FS ist in der Regel nicht vorinstalliert, kann aber mit dem Paket „f2fs-tools“ leicht nachgerüstet werden:

Nachgerüstete Spezialdateisysteme: Wenn die meist kleinen Pakete für Dateisysteme nachinstalliert sind (hier f2fs-tools), sind sie auch in grafischen Werkzeugen wie Gparted aktiv.

Der Linux-Standard Ext4

Das robuste Ext4 ist in den meisten Linux-Distributionen der Standard bei der Installation und bei der Formatierung externer Laufwerke. Die Voreinstellungen garantieren Datensicherheit, Ext4-Tools ermöglichen optionales Tuning und Dateiverschlüsselung.

Die Entwicklung von Ext („Extended Filesystem“) reicht über die Vorgänger 3 und 2 letztlich zurück bis ins Jahr 1993. Änderungen bei Ext folgten ganz konservativ den gewachsenen Standardanforderungen (etwa Journaling-Sicherheit) oder technischen Notwendigkeiten (etwa Kapazitätslimits), experimentelle Extras standen offenbar nie zur Diskussion. Version Ext4 hat mit seinen aktuellen Spezifikationen keine drohenden Limits hinsichtlich Gerätegrößen, Dateigrößen oder mangelnder Metadaten. Es darf seit mehr als 10 Jahren als Quasi-Standard auf allen Desktop- und Server-Distributionen gelten, wo ein grundsolides Dateisystem gewünscht ist – genau das: nicht weniger, nicht mehr.

Integration und Werkzeuge

Die kleine Ewigkeit als Linux-Standard hatte wenige Konsequenzen am grafischen Desktop. Zwar ist eine händische Formatierung mit

sudo mkfs.ext4 […]

nur in Sonderfällen nötig, weil Installer und Laufwerksverwaltungen Ext4 integrieren. Nennenswert darüber hinaus geht die Desktop-Integration aber nicht. Auch für Ext4 sind Interna nur über Terminalwerkzeuge zu erledigen. Alle Ext4-Tools sind im Standardpaket e2fsprogs enthalten und mit

dpkg -L e2fsprogs

leicht zu ermitteln. Neben den fundamentalen Programmen mke2fs oder gleichbedeutend mkfs.ext4 (Formatieren) und e2fsck oder gleichbedeutend fsck.ext4 (Integritätscheck) gibt es eine ganze Reihe weiterer Werkzeuge: badblocks, debugfs, dumpe2fs, e2image, e2scrub, e2undo sind allesamt forensische Tools, die im Alltag keine große Rolle spielen und typische PC-Anwender überfordern dürften. e2freefrag, e4defrag, filefrag liefern Infos zur Fragmentierung oder leisten aktive Defragmentierung (e4defrag). E4defrag kann mit Schalter „-v“ auf Einzeldateien, Verzeichnisse und Partitionen angewandt werden.

Resize2fs ist das Low-Level-Tool für Größenänderungen von Partitionen. In der Regel wird man hierfür am Desktop bevorzugt zum grafischen Gparted greifen. Für die beiden verbleibenden und interessantesten Ext-Tools – tune2fs und e4crypt – folgen konkrete Einsatzbeispiele.

Laufwerksoptionen mit tune2fs steuern

Das Werkzeug tune2fs steuert viele Dateisystemeigenschaften wie die zu schreibenden Metadaten, die Absicherung durch das Journaling oder die Häufigkeit von Integritätschecks. Selbst auf der Systempartition sind nicht immer Standards erforderlich, auf externen Datenträger noch weniger. Klar ist dennoch: Folgende Eingriffe verringern die Robustheit des Dateisystems und bleiben eine Ermessensfrage.

Ext4-Journaling abschalten: Auf externen Laufwerken mit (oft nur redundanten) Benutzerdaten ist die Absicherung durch das Journalprotokoll selten notwendig. Ohne Journaling entfallen viele Schreibaktionen, was den Datendurchsatz beschleunigt. Oft wäre dort die Wahl des Journal-freien Vorgängers Ext2 von vornherein die bessere Wahl, aber auch auf Ext4 lässt sich Journaling deaktivieren (hier für „sde1“):

sudo umount /dev/sde1
sudo tune2fs -O ^has_journal /dev/sde1

„tune2fs -O“ (Buchstabe „O“) entfernt Dateisystemattribute mit „^“, während „+“ solche hinzufügen kann. Die aktuellen Eigenschaften ermitteln Sie so:

sudo tune2fs -l /dev/sde1

Die Ausgabe wird nach obiger Aktion neben „Filesystem features“ das Attribut „has_journal“ nicht mehr anzeigen.

Ext4-Checks reduzieren: Folgender tune2fs-Befehl

sudo tune2fs -i60 -c100 /dev/sda

reduziert die Datenträgerchecks: Die langwierige Prozedur wird dann nur noch alle 60 Tage („-i60“) oder nach 100 Neustarts („-c100“) erfolgen – je nachdem, welches Ereignis früher erfüllt ist.

Reservierten root-Speicher reduzieren: Ext4 reserviert auf jeder Partition Speicherplatz für das root-Konto. Falls ein System durch eine vollgeschriebene Systempartition lahmgelegt wird, kann sich noch root anmelden. Der reservierte Platz beträgt immerhin fünf Prozent der Gesamtkapazität und lässt sich gefahrlos verringern:

sudo tune2fs -m 1 /dev/sda1

Dies reduziert die Anzahl der root-Reserve auf Partition „/dev/sda1“ auf ein Prozent. Ganz ausschalten („-m 0“) sollten Sie die Reserve aber nicht.

Ext4-Metadaten reduzieren: Ext4-formatierte Partitionen speichern bei jeder Datei mehrere Zeitangaben. Erstelldatum und Änderungsdatum werden immer eingetragen (ctime und mtime: Creation und Modification). Optional ist hingegen das Erfassen des letzten Dateizugriffs (atime: Access). Diese Information ist nur dann relevant, wenn Sie mit „find -atime“ nach Zugriffszeiten von Dateiobjekten suchen. Wenn Sie das nie tun, kann die Festplattenaktivität reduziert werden. Hier hilft ausnahmsweise nicht tune2fs, sondern nur ein Eingriff in die Datei /etc/fstab:

UUID=[…]   /  ext4   noatime   0   2

Wenn in der Optionen-Spalte bereits Einträge stehen, setzen Sie „,noatime“ an deren Ende (mit Trennkomma). Der Vollständigkeit halber: Es gibt auch noch die Option „nodiratime“, die bei Verzeichnissen darauf verzichtet, die Zugriffszeit zu vermerken. Wenn Sie die Aktivität der Festplatte reduzieren möchten, ist „noatime“ die weitreichendere Maßnahme.

Verschlüsselung mit Ext4

Ext4 hat durch Google transparente Verschlüsselung erhalten, die Google im Hinblick auf Android-Geräte entwickelt hat. Die Leistung der Ext4-Verschlüsselung ist mit Cryptsetup/LUKS vergleichbar oder sogar besser, außerdem fordert Ext4-Verschlüsselung keine Neuformatierung. Trotzdem muss man diese Option unter Linux noch deutlich kritisch beurteilen – nach dem Motto: Es funktioniert im Prinzip. Die nachfolgend beschriebene Aktion beschränkt sich auf das einfache, aber realistische Szenario, dass das Verzeichnis eines USB-Datenträgers nur auf genau einem PC gelesen werden darf.

Da eine engere Desktop- oder Dateimanager-Integration fehlt, müssen im Terminal die beiden Tools tune2fs und e4crypt zusammenarbeiten. Folgendes Kommando

sudo tune2fs -O +encrypt /dev/sdc1

aktiviert zunächst die Verschlüsselung für Partition /dev/sdc1 (auf bereits vorhandene Daten hat diese Aktion keine Auswirkung). Danach benötigt die Verschlüsselung einen Ext4-Schlüssel:

e4crypt add_key

Das Passwort wird nur einmal abgefragt und hat keine Komplexitätsanforderungen. Dieser Schlüssel wird im Schlüsselbund des gerade angemeldeten Benutzers gespeichert. Der Befehl

keyctl show

gibt Einblick in den Schlüsselbund (eventuell muss dafür das kleine Paket „keyutils“ nachinstalliert werden) und zeigt den neuen Ext4-Schlüssel als „logon: ext4:…“. Die nach „ext4:“ folgende Hexadezimal-ID brauchen Sie zur Verschlüsselung des Verzeichnisses (Beispiel):

e4crypt set_policy [Hex-ID] /media/lw/Privat

Ab sofort werden alle neuen Dateien im Verzeichnis „Privat“ automatisch auf Dateisystem-Ebene verschlüsselt gespeichert und transparent wieder entschlüsselt. Das funktioniert, solange der Ext4-Schlüssel im Schlüsselbund gespeichert ist, also bis zur nächsten Anmeldung am System. Ohne Schlüssel bleibt der Datenträger zwar insgesamt lesbar, aber der Ordner „Privat“ zeigt nur Zeichensalat – auch bei den Dateinamen. Für erneuten Zugriff auf die Daten genügt nach dem Einhängen des Ext4-Datenträgers die erneute Eingabe dieses Befehls:

e4crypt add_key

Das Tool fragt das Passwort ab und lädt bei korrekter Eingabe den Ext4-Schlüssel in den Schlüsselbund. Das Verzeichnis und die enthaltenen Dateien sind dann sofort wieder lesbar. Das Systemkonto, das diese Aktion ausführt, spielt keine Rolle. Wer auf dem betreffenden Rechner das Kennwort weiß, hat Zugriff auf das verschlüsselte Verzeichnis des Ext4-Datenträgers.

Eigenschaften eines Ext4-Dateisystems: „tune2fs -l“ zeigt alle statischen und dynamischen Attribute einer Ext4-Partition. Die „Filesystem features“ sind konfigurierbar.
Verschlüsselter Ordner auf USB-Stick: Ohne Passwort kann ein fremdes System den Ordner nicht benutzen. Auch die Dateinamen sind kodiert. Andere Ordner des Datenträgers bleiben zugänglich.

Das Dateisystem ZFS

Das ursprünglich für Sun Solaris entwickelte ZFS gilt als „last word in filesystems“. Es geht über die engere Definition eines „Dateisystem“ weit hinaus, kennt keine Limits, besitzt alle Funktionen und Metadaten und integriert einen Volume Manager.

Eine gerechte Bewertung von ZFS ist nicht einfach: Metadaten, Besitzrecht, ACLs, Streams, Zeitstempel, Checksummen, Hardlinks, Softlinks, Quotas, Journaling, Caching? Alles drin – und viel mehr: Das Dateisystem hat nach heutigem Ermessen keine Größen- oder Mengenbegrenzungen. Dazu arbeitet es als Volume Manager zum Zusammenlegen von Festplattenpools, verkleinert/vergrößert den Pool online durch Hotplug oder Entnahme von Datenträgern. Der integrierte RAID-Z-Controller ermöglicht ausfallsichere Mehrfachspeicherung. Automatische und manuelle Snapshots sorgen für Systemsicherheit (neben der automatischen Fehlerkorrektur und Journaling). Datenkomprimierung, Verschlüsselung und Netzfreigaben erledigt ZFS noch nebenbei.

ZFS im Desktop-Anflug (Ubuntu)? Kaum je zuvor ist auf dem PC-Desktop etwas so krass Überdimensioniertes gelandet wie dieses Dateisystem. Das ist kein SUV oder Pick-Up, der nicht in die Garage passt: Hier landet ein Chinook-Transporthubschrauber im Schrebergarten. „Viel zu groß“ ist aber nur das eine Problem, fast noch gewichtiger ist die Tatsache, dass für dieses Flugobjekt kein Führerschein A bis D ausreicht. Wer die Piloten-Ausbildung machen will, muss ein Semester einplanen.

ZFS: Werkzeuge und Grundlagen

ZFS ist nicht im Linux-Kernel integriert, weil Linus Torvalds dies – auch, aber nicht nur – aus lizenzrechtlichen Bedenken ablehnt. Die einzige Linux-Distribution, die optionale ZFS-Unterstützung direkt mitbringt, ist Ubuntu 20.04/20.10, sofern diese Option bei der Ubuntu-Installation gewählt wurde. Überall sonst – und auch unter Ubuntu ohne ZFS-Installation – lässt sich das ZFS-Dateisystem mit diesen beiden Paketen

sudo apt install zfsutils-linux zfs-fuse

nachrüsten. Eine Integration in grafische Werkzeuge ist dadurch aber nicht gegeben, ZFS erfordert grundsätzlich Terminalarbeit. Die in den genannten Paketen enthaltenen Terminalprogramme sind mit zfs, zpool und zfs-fuse überschaubar, hinzu kommen noch eher periphere Tools zdb (Debugger) und zstreamdump (Output-Filter für „zfs send“). Die geringe Toolanzahl kann aber nicht lange darüber hinwegtäuschen, wie komplex ZFS ist: Die Manpages für die beiden Werkzeuge zfs und zpool könnten mit etwas Kommentierung dieses Magazin füllen.

ZFS fordert eine großzügige Cache-Verwaltung, deren RAM-Verbrauch von der Festplattenkapazität abhängt: Einige Hundert MB gehen verwaltungstechnisch grundsätzlich weg, ferner pro TB Plattenkapazität etwa ein GB RAM. Ein Desktop-Rechner mit einer 4-TB-Platte muss also etwa 4 GB RAM für ZFS abzweigen. Außerdem laufen für ZFS mindestens vier Systemdienste, der wichtigste heißt „zfs-zed“.

Wer sich bei einer Ubuntu-Installation für ZFS entscheidet, erlebt dies erst einmal als unkomfortable Zunahme an Komplexität: Laufwerkstools wie Gparted oder Gnome-Disks zeigen die rpool-Partitionen von ZFS zwar an, können sie aber nicht bearbeiten. Terminaltools wie mount, lsblk oder df werden durch die komplexe ZFS-Partitionierung durchweg unübersichtlicher.

Für produktive Nutzung sind „zfs“ und „zpool“ zuständig. Ersteres verantwortet die Eigenschaften des Dateisystems, zweiteres ist für die Verwaltung der Datenträger zuständig, die bei ZFS immer als „Pool“ organisiert sind, selbst wenn nur ein Datenträger vorliegt. Der Befehl

zpool list

zeigt die aktuellen ZFS-Datenträger des Pools an, Basisbefehle wie „zpool create“ oder „zpool add“ formatieren Datenträger mit ZFS oder fügen sie einem bestehendem Pool hinzu.

Einem Pool untergeordnet sind ZFS-Datasets, die keineswegs einem kompletten Datenträger entsprechen müssen. In Datasets werden Standardpfade und Snapshots als je einzelnes Dateisystem verwalten, wie folgender zfs-Befehl zeigt:

zfs list

Er bringt die Mount-Übersicht und informiert über den Belegungszustand. Eine detaillierte Anzeige der ZFS-Eigenschaften pro Dataset oder Verzeichnispfad liefert dann folgender Befehl:

zsf get all /

Die hier angezeigte, umfangreiche Liste der ZFS-Eigenschaften können Sie auch einzeln abfragen. So ist etwa eine Eigenschaft wie „compressratio“ mit

zfs get compressratio

global über den gesamten Pool zu ermitteln. Sicher gewöhnungsbedürftig sind dabei die ZFS-Pfadangaben wie „rpool/USERDATA/lw_0am7f7“ mit ID. Dass dies (in unserem Fall) mit /home/lw zu übersetzen ist, zeigt der bereits genannte Befehl „zfs list“.

Beispiel 1: ZFS-Snapshots

Wer Ubuntu mit ZFS installiert hat, sieht bei jeder Installation im Terminal Infos wie folgende (Beispiel):

Anforderung zur Speicherung des aktuellen Systemzustands
Erfolgreich als "autozsys okpszm" gespeichert

ZFS ist also unter Ubuntu soweit integriert, dass bei jeder Installation standardmäßig ein Snapshot entsteht. Dies gilt für Installationen aus den normalen Paketquellen im Terminal wie im grafischen Software-Center. zfs kann alle Snapshots auflisten:

zfs list -t snapshot [-o name,creation -s creation]

Was in eckiger Klammer steht, ist nicht zwingend, reduziert aber auf Snapshot-Namen und Erstelldatum und sortiert („-s“) nach dem Erstelldatum – neueste zuletzt. Snapshot-Namen bestehen aus dem ZFS-Pfad, gefolgt von einem „@“ und dem Namen des Snapshots. Eine Bezeichnung wie

rpool/USERDATA/lw_0am7f7@autozsys_w6sj7d

zeigt einen automatischen Snapshot („autozsys_…“) im Home-Verzeichnis /home/lw („rpool/USERDATA/lw_0am7f7“). Periodisch landen Snapshots auch im Grub-Menü. Damit kann der Systembenutzer über das Bootmenü zu einem früheren Systemzustand zurückkehren. Wird Systemstart mit Umschalt-Taste (Bios-Boot) oder Esc (Uefi-Boot) unterbrochen, dann zeigt Grub den zusätzlichen Eintrag „History for Ubuntu…“ und darunter dann die einzelnen Sicherungen (Beispiel):

Revert to 24.12.2020 @ 16:22

Mit dem Befehl

sudo zfs snapshot create […]

lassen sich Snapshots manuell erstellen – allerdings erwartet ZFS dabei die Pfadangabe gemäß seiner rpool-Verzeichnisstruktur:

sudo zfs snapshot rpool/USERDATA/lw_0am7f7@24.12.2020

Das ist eine Sicherung des Home-Verzeichnisses (von „/home/lw“), die später mit

sudo zfs rollback rpool/USERDATA/lw_0am7f7@24.12.2020

wiederhergestellt werden kann. Der Parameter „destroy“

sudo zfs destroy rpool/USERDATA/lw_0am7f7@24.12.2020

löscht nicht mehr benötigte Snapshots.

Beispiel 2: ZFS-Komprimierung

Mit seiner internen Komprimierung kann ZFS erheblich Platz sparen. Bei einer Ubuntu-Installation mit ZFS ist je nach Format der Benutzerdateien ein Platzgewinn von bis zu 50 Prozent zu erzielen. Die Komprimierung kann auch ad hoc für externe Datenträger genutzt werden. Im folgenden Beispiel bearbeiten wir einen USB-Stick (/dev/sde):

sudo zpool create -f stick32 /dev/sde

Dies bedeutet eine ZFS-Formatierung, die alle bisherigen Daten löscht. Danach liefert der Befehl

sudo zfs get all stick32

die Menge aller ZFS-Attribute und zeigt, dass die Eigenschaft „compression“ aktuell auf „off“ steht. Das ändert dieser Befehl:

sudo zfs set compression=lz4 stick32

Die erneute Abfrage der Eigenschaften zeigt nun bei „compression“ den Wert „lz4“. Das war’s schon. Der USB-Stick ist unter /stick32 im Dateisystem eingehängt und kann nun genutzt werden, nachdem der Benutzer mit

sudo chown -cR sepp:sepp /stick32

den Besitz übernommen hat.

Beispiel 3: ZFS-Verschlüsselung

Um einen verschlüsselten Bereich zu erstellen, beginnt man mit einem neuen Pool unter Angabe eines Namens und der Gerätekennung (hier: /dev/sde):

sudo zpool create mystick /dev/sde

Auf dem neuen Datenpool „mystick“ entsteht nun mit Namen „privat“ der verschlüsselte Bereich. Nach folgendem Befehl

sudo zfs create -o encryption=aes-256-gcm -o keyformat=passphrase mystick/privat

wird zweimal das Passwort abgefragt.

Da steckt was drin: ZFS-Objekte zeigen eine opulente Liste von Eigenschaften, die zum Teil statisch, zum Teil dynamisch, zum Teil vom Benutzer konfigurierbar sind.
Einfach ist anders: Hier wird ein Verzeichnis auf einem USB-Stick als verschlüsselter Bereich definiert

Das Dateisystem BTRFS

BTRFS hat als der etwas kleinere ZFS-Konkurrent das Potential für den künftigen Linux-Standard am Desktop. Es bietet fundamentale Vereinfachungen für die Datenträger-Administration ohne die überdimensionierten Maße eines ZFS.

BTRFS (B-Tree-Filesystem, „Butter FS“, „Better FS“) gibt es seit 2007, ist seit 2009 im Linux-Kernel und gilt seit 2014 als stabil. BTRFS hat viele Gemeinsamkeiten mit ZFS und gilt als dessen kleineres Linux-Pendant, das besser auf die Leistung und die Anforderungen am Linux-Desktop- abgestimmt ist und keine zusätzlichen RAM-Ressourcen fordert. Dennoch bleiben die BTRFS-Spezialitäten vorerst „nur“ optional interessant und für ein typisches Desktop-System sicher nicht zwingend. Bemerkenswert ist die interne Datenkomprimierung, während Datenverschlüsselung (im Unterschied zu ZFS) weiterhin fehlt.

Als Formatierungsoption für interne wie externe Laufwerke hat BTRFS überall in den grafischen Werkzeugen wie Installer oder Laufwerksverwaltungen Einzug gefunden. Überwiegend findet der Umgang mit BTRFS aber im Terminal mit den Programmen statt, die das in der Regel vorinstallierte Paket „btrfs-progs“ (früher „btrfs-tools“) mitbringt. Das wichtigste dieser Tools nennt sich schlicht „btrfs“ und bringt eine Menge an Unterfunktionen mit. Dieser Beitrag hat nur Platz für die interessantesten Fähigkeiten von BTRFS.

BTRFS-Snapshots

BTRFS bietet Snapshots (Systemsicherungspunkte), um – mit einem einzigen Befehl – den aktuellen Partitionszustand zu sichern. Während grafische BTRFS-Tools, die über die grundlegende Formatierung (etwa mit Gnome-Disks) hinausgehen, den meisten Distributionen fehlen, hat Open Suse die Integration ein Stück verbessert. Das Konfigurationszentrum Yast2 bringt mit der Komponente Yast2-Snapper bringt die wichtige Snapshot-Verwaltung in grafischer Darstellung. Dort genügt ein Klick auf „Erzeugen“ für einen manuellen Schnappschuss und „Löschen“ für das Entfernen des markierten Eintrags. Der Punkt „Änderungen anzeigen“ führt zu einem Detailbericht für den markierten Schnappschuss, der gezieltes Zurückschreiben einzelner Dateien ermöglicht – eine kleinteilige Arbeit, die zumindest für Systemdateien gute Kenntnisse voraussetzt. Bedauerlich ist, dass der Yast2-Snapper kein komplettes Rollback zu einem früheren Zustand auslösen kann. Hierfür bietet Opensuse sein Bootmenü mit Auswahl der Snapshots, im laufenden Betrieb außerdem das Terminaltool Snapper:

sudo snapper list 

Dies zeigt zunächst sämtliche Snapshots mit Kennzahl. Dort suchen Sie den geeigneten Snapshot anhand des Datums und geben dann diesen Befehl

sudo snapper rollback [x] 

mit der zugehörigen Kennziffer ein. Danach starten Sie das System neu. Beim Rollback geschieht grundlegend anderes als beim Wiederherstellen einzelner Dateien im Yast-Modul: Hier hängt Snapper den kompletten Snapshot an die ursprüngliche Stelle ins Dateisystem ein und ersetzt dabei die bisherigen Daten.

Insgesamt erscheint die Snapshot-Integration in Open Suse prinzipiell verdienstvoll, aber für Desktop-Nutzer unzureichend. Wer sich mit BTRFS-Snapshots genauer befassen will, kommt trotz Yast2-Snapper und Konsolen-Snapper am zugrundeliegenden Basisprogrammen btrfs nicht vorbei (Beispiel):

sudo btrfs subvolume snapshot /home /home/snapshot.2021.01.01

Die Quelle – hier „/home“ – ist kein beliebig wählbarer Pfad, sondern muss ein existierendes BTRFS-Subvolume sein, welche wiederum der Befehl

sudo btrfs subvolume list /

liefern kann.

Snapshots sind auch bei größeren Laufwerken blitzschnell erledigt, da es sich vorläufig nur um einen Zeiger auf identische Dateiobjekte handelt. Erst bei Änderungen muss BTRFS die Originalversion für den Snapshot gesondert speichern. Der Snapshot wird dauerhaft den Originalzustand anzeigen und diesen erhalten, egal was im Originalordner geschieht. Ein „Rollback“, wie es Snapper nennt, gibt es eigentlich nicht: Vielmehr wird das bisherige Original ausgehängt und der Snapshot eingehängt.

BTRFS-Komprimierung auf SSD

BTRFS bietet für komplette Datenträger transparente (Hintergrund-) Komprimierung aller gespeicherten Dateien. Auf SSDs mit wenig Kapazität kann eine Linux-Installation mit BTRFS Platz sparen und obendrein den Datendurchsdatz erhöhen. Preis ist eine höhere Prozessorlast, was aber bei aktuellen CPUs kaum auffallen sollte. Wenn Linux mit BTRFS installiert wurde (was inzwischen auch Ubuntu & Co anbieten), lässt sich die optionale Komprimierung für das root-Dateisystem in der Datei /etc/fstab einrichten. Nach

sudo nano /etc/fstab

werden Sie eine gut gefüllte Datei mit diversen Subvolumes vorfinden. Für das root-Verzeichnis „/“ wird als Dateisystem „btrfs“ und in der Optionenspalte lediglich „defaults“ anzutreffen sein. Für zusätzliche Komprimierung ergänzen Sie die Option „compress“:

UUID=[Partitions-ID]  /  btrfs  defaults,compress 0  0

Theoretisch kann Analoges auch für „subvol=/@/home“ und weitere Subvolumes erfolgen.

BTRFS-Komprimierung auf USB

Wer Bedenken vor der Formatierung und Komprimierung eines Systemdatenträgers hat, sollte BTRFS immerhin für externe Laufwerke in Erwägung ziehen. Neben dem standardmäßig vorgesehenen

sudo mkfs.btrfs /dev/sd[x]

bieten auch die Gnome- und KDE-Laufwerkstools BTRFS-Formatierung. Falls die optionale Kompression gewünscht ist, sollte sie baldmöglichst nach der Formatierung aktiviert werden, da sie erst ab diesemZeitpunkt wirkt (vorher vorhandene Daten bleiben unberücksichtigt). Dies geschieht am Mountpunkt des eingehängten Laufwerks (hier „/media/sepp/btrfs-stick“):

sudo btrfs property set /media/sepp/btrfs-stick compression zstd

Das Attribut bleibt dann permanent gesetzt, auch nach Aushängen und erneutem Einhängen. Davon und von den aktuellen Eigenschaften eines BTRFS-Dateisystems können Sie sich mit

btrfs property get /media/sepp/btrfs-stick

jederzeit überzeugen. BTRFS-Kompression kann gerade bei langsamen USB-Laufwerken und Speicherkarten den Datendurchsatz deutlich verbessern.

BTRFS: Weitere Praxis-Beispiele

Konvertierung: Das Tool btrfs-convert (im Paket btrfs-progs enthalten) kann von einem Livesystem aus das Ext4-Dateisystem eines bereits installierten Linux zu BTRFS zu konvertieren. Wir raten ab – nicht aus empirischer Erfahrung, sondern aufgrund prinzipieller Vorsicht vor Eingriffen dieser Dimension.

Datenträger zusammenlegen: Folgender Befehl

sudo mkfs.btrfs /dev/sdc /dev/sdd

legt zwei (ausgehängte) Datenträger zu einem logischen Volume zusammen. Achtung – das ist eine Formatierung und eventuelle Daten auf den Laufwerken gehen verloren. Um diesen neuen Speicherplatz einzuhängen, benötigen Sie ein leeres Verzeichnis und einen Mount-Befehl:

sudo mount /dev/sdc ~/Sticks

Es spielt keine Rolle, welche der beiden Geräte-Kennungen Sie verwenden. Sie können später noch weitere Datenträger hinzufügen:

sudo btrfs device add /dev/sdf ~/Sticks/

Das gilt analog auch für root-Dateisystem („/“), falls dort der Speicherplatz knapp wird:

sudo btrfs device add /dev/sdf /

Größenänderungen: Wie schnell BTRFS Größenänderungen auf einem Volume oder einem Verbund erledigt, zeigt dieser Befehl:

sudo btrfs filesystem resize -10g /

Das verkleinert das root-Dateisystem um 10 GB.

Snapshot-Verwaltung: Open Suse kann mit dem Yast2-Snapper ein grafisches BTRFS-Werkzeug anbieten. Ansonsten bleibt BTRFS-Verwaltung ein Terminal-Job.
BTRFS bietet native, transparente Komprimierung. Um die Funktion für externe Datenträger dauerhaft zu aktivieren, genügt das Setzen einer „Property“ für den Mountpunkt.
Größenänderung mit BTRFS: Diese Aktion kostet keine Sekunde. Für den Befehl muss man nur den Mountpunkt kennen, nicht den oder die verwendeten Datenträger.

Windows-Dateisysteme unter Linux

Für eine Linux-Installation stehen die Windows-Dateisysteme NTFS, FAT32 und exFAT nicht zur Diskussion. Ganz anders sieht es bei externen Datenträgern aus, die unter verschiedenen Betriebssystemen und Geräten genutzt werden sollen.

Selbst kompromisslose Linux-Anwender sind gut beraten, auf das verbreitete Windows Rücksicht zu nehmen. USB-Sticks oder USB-Festplatten sind unter Windows schlicht nicht verwendbar, wenn die Datenträger mit einem Linux-Dateisystem formatiert sind (Ext, XFS, BTRFS, ZFS…). Die Windows-Reaktion „Sie müssen den Datenträger formatieren…“ ist borniert bis arrogant, weil Microsoft zweifellos in der Lage wäre, zumindest ein Ext4 einzubinden. Aber diese Weigerung ist seit Jahren Status Quo und wird sich auch nicht zeitnah ändern. Daher ist es fast unausweichlich, für mobile Laufwerke (eventuell auch in weiteren Situationen) auf ein Microsoft-Dateisystem auszuweichen.

FAT32: Limitiert, aber unkompliziert

Das alte FAT32 (seit 1996) hat gegenüber moderneren Nachfolgern nur einen großen Pluspunkt – es ist wirklich unter jedem PC-System (alte und neue Linux-, Windows-, Mac-OS-Versionen) lesbar und beschreibbar. Unterhaltungselektronik wie Smart-TVs, Hifi-Receiver oder Auto-Soundsysteme werden am USB-Port in jedem Fall einen FAT32-Datenträger einlesen. Sämtliche PC-Betriebssysteme können Datenträger auch selbst mit FAT32 formatieren. Da FAT32 außer zwei Zeitstempel keine Metadaten und keine Dateirechte anbietet, eignet es sich ausschließlich als Datencontainer insbesondere für USB-Sticks. Das Größenlimit für den Datenträger von 32 GB unter Windows ist künstlich (siehe unten).

4-GB-Datei-Limit: Entscheidender ist das FAT32-Limit für eine einzelne Datei von 4 GB. IMG- und ISO-Dateien überschreiten diese Größe häufig ebenso wie hochauflösende Filmdateien. Während Windows das Größenproblem im Falle des Falles sofort meldet, kopiert Linux bis zum Erreichen der Grenze und bricht erst dann mit einer Fehlermeldung ab. Für USB-Medien, die keine riesigen Imagedateien oder Filmdateien aufnehmen müssen, reicht FAT32 aber völlig aus.

32-GB-Datenträger-Limit: Bei USB-Sticks, -Festplatten, SD-Karten größer als 32 GB unterschlägt Windows beim Formatieren die Option „FAT32“ und schlägt nur „NTFS“ und „exFAT“ vor, als wäre dies bei Datenträgern dieser Größe technisch nicht anders möglich. Das müssen Sie nicht akzeptieren, wenn ein Linux im Haus ist. FAT32 kann problemlos auch große Datenträger verwalten, indem es einfach die Blockgröße entsprechend hochskaliert. Verwenden Sie etwa Gnome-Disks oder den KDE-Partitionmanager zum Formatieren. FAT32 erscheint dort in der Regel einfach als „FAT“, zum Teil auch erläutert als „Kompatibel mit allen Systemen…“.

USB-Medien mit Livesystemen / Multiboot-Livesystemen: Im Unterschied zu installiertem Linux laufen Linux-Livesysteme sehr wohl auf auch auf FAT32. In den meisten Fällen ist hier FAT32 sogar notwendig oder empfohlen. Tools wie Unetbootin (http://unetbootin.github.io/) zum Erstellen von Livesystemen oder Tools wie Yumi(www.pendrivelinux.com/yumi-multiboot-usb-creator) zum Einrichten von Multiboot-Livesystemen setzen eine FAT32-Formatierung schlicht voraus.

exFAT: „Großer“ Datenaustausch

exFAT ist ähnlich simpel wie FAT32 und besitzt keine Metadaten für Rechte. Entscheidender Unterschied zu FAT32 ist die unlimitierte Größe für Einzeldateien. Wer ISO/IMG-Images und Filme zwischen Linux und Windows austauschen will, kann mit exFAT auf USB- und SD-Datenträger wenig falsch machen. Nachdem der Dateisystemtreiber Einzug in den Linux-Kernel gefunden hat, ist exFAT unter Linux größtenteils ohne Nachhilfe nutzbar. Auch grafische Werkzeuge wie Gnome-Disks („Partition formatieren -> Andere -> exFAT“) bieten inzwischen direkte exFAT-Unterstützung, und Dateimanager laden entsprechende Datenträger automatisch. Ausnahme: Der Partitionierer Gparted hat exFAT zwar in seiner Dateisystemliste, will aber bislang nicht mit exFAT formatieren (inaktiv).

SDHX-Karten: Der jüngere SDHX-Standard bei SD-Karten, der sehr große Kapazitäten erlaubt, empfiehlt grundsätzlich eine Formatierung mit exFAT.

Exorbitante Blockgröße: Während sich normale Blockgrößen (Cluster) bei Dateisystemen im KB-Bereich bewegen, kann die maximale Blockgröße bei exFAT theoretisch bis zu 32 MB betragen! Aus diesem Grund kann das relativ einfache Dateisystem praktisch beliebig große Datenträger adressieren. Empirisch lassen sich unter Linux aber offenbar „nur“ maximal 4-MB-Blöcke einrichten, und dies auch nur im Terminal:

sudo mkfs.exfat -s 8192 /dev/sd[x][n]

Die von vier MB völlig abweichende Zahl „8192“ ergibt sich aus der Vervielfachung der kleinsten Einheit „1“, die 512-Byte-Cluster erstellt. Wenn von vornherein klar ist, dass ein Laufwerk ausschließlich sehr große Dateien aufnehmen wird, dann ist eine derart extreme Formatierung durchaus sinnvoll und beschleunigt alle Dateivorgänge. Für kleine Dateien bedeutet das hingegen pure Platzverschwendung. Dies gilt im Prinzip für alle Dateisysteme, ist aber bei dem ungewöhnlichen exFAT eine besondere Erwähnung wert.

Nachinstallation: Wo exFAT unter Linux tatsächlich noch fehlen sollte, ist es mit

sudo apt install exfat-fuse exfat-utils

schnell nachgerüstet (im Beispiel für Debian/Ubuntu & Co).

NTFS: Auf USB kontraproduktiv

Sofern nicht dumme Geräte der Unterhaltungselektronik berücksichtigt werden müssen, scheint NTFS auf den ersten Blick die beste Wahl für Austauschdatenträger. Das trifft aber nur bedingt zu. Externe USB-Datenträger mit NTFS-Formatierung rangieren unter Linux im Prinzip als rechteloses FAT-Dateisystem: Wenn Linux-Standardbenutzer – Systemverwalter sowieso – externe Geräte ein- und aushängen, erhalten sie auf NTFS-Partitionen (wie auf FAT32 oder exFAT) vollen Lese- und Schreibzugriff. Das sollte zunächst auf einem Austauschdatenträger nicht stören, kann aber erheblich stören, wenn von Windows-Seite spezielle NTFS-Eigenschaften aktiviert wurden. Dateien, für die etwa unter Windows Komprimierung oder Verschlüsselung angefordert wurde, werden unter Linux nicht ankommen. Andererseits wird Linux eingestellte NTFS-Benutzerrechte ignorieren.

Mit anderen Worten: NTFS ist als Austauschformat solange in Ordnung, als seine eigentlichen Fähigkeiten nicht genutzt werden und es nur als unkompliziertes Containerformat dient. Dann kann man aber gleich zum simplen FAT32 oder exFAT greifen.

FAT32 / exFAT und Samba-Freigaben

Datenträger mit rechtelosen Dateisystemen per Samba freizugeben, ist ein absoluter Komfort-Tipp für faule Heim-Administratoren. Dateirechte fallen komplett weg und es zählen nur noch die Netzwerkrechte, die in der Samba-Konfigurationsdatei (/etc/samba/smb.conf) mit wenigen Zeilen definiert sind:

[exfat]
path = /media/sepp/toshiba 
write list = sepp 
browseable = yes 

Wer sich als „sepp“ ausweisen kann (Benutzer- und Samba-Konto sind natürlich Voraussetzung), kann auf dieser (exFAT-) Freigabe mit vorhandenen und neu erstellten Dateien machen, was er will.

exFAT unter Linux: Das Microsoft-Dateisystem (ohne Dateirechte) überwindet das 4-GB-Limit von FAT32 für einzelne Dateien und ist auf modernen Linux-Desktops weitgehend Standard.
Künstliches FAT32-Limit: Ab 32 GB Kapazität bietet Windows nur noch „NTFS“ oder „exFAT“. Linux kann auch große USB-Datenträger mit FAT32 formatieren.
Arrogante Reaktion auf Ext, XFS, BTRFS & Co: Datenträger mit Linux-Dateisystemen will Windows nicht lesen, sondern formatieren (vernichten).
Extrem: exFAT kann 4-MB-Blöcke (Cluster) einrichten, was dann für jede winzige Datei 4 MB Speicher kostet, aber bei durchgehend riesigen Dateien den Zugriff beschleunigt.

Linux und die Datenträger

Um Festplatten, SSDs und USB-Datenträger zu bearbeiten und zu kontrollieren, bringt der Linux-Desktop alles mit. Der Installer sorgt für die Einrichtung der Systempartition, Gnome-Disks & Co arbeiten als Allrounder im Alltag, und Gparted ist der Partitionierer für alle Fälle.

Hardware-seitig arbeiten Festplatten, SSDs und USB-Laufwerke unter Linux wie unter allen anderen Betriebssystemen. Einmal partitioniert, formatiert und eingebunden benötigen Datenträger nur noch gelegentliche Kontrollen der aktuellen Belegung und SMART-Checks auf eventuelle Fehler. Optimales Partitionieren, Formatieren und Mounten erforderten aber schon immer einiges Basiswissen, und diese Anforderungen an den PC-Nutzer sind in der aktuellen Übergangsphase mit fundamental unterschiedlichen Partitionsmethoden noch einmal gewachsen. Dieser Grundlagenbeitrag komprimiert die wesentlichen theoretischen und praktischen Probleme

Partitionieren und Partitionsstil

Grundlegendste Aktion bei der Festplattenverwaltung ist das Anlegen der Partitionstabelle mit dem Partitionsstil, ferner der optionalen Einteilung in mehrere Teile (Partitionen) sowie der optionalen Festlegung der Partitionsgrößen. Viele PC-Nutzer bekommen von der Partitionierung (zumindest auf der primären Systemfestplatte) gar nichts mit, weil diese das Installationsprogramm automatisch erledigt. Liegt dabei nur eine interne Festplatte vor, die nicht weiter unterteilt werden soll, entfallen alle Entscheidungen zum Partitionsstil und zur Aufteilung. Die Installer aller Ubuntu-basierten Systeme entscheiden dann selbständig anhand der Datenträgerkapazität über den Partitionsstil: Auf großen Laufwerken über 2 TB Kapazität kommt modernes GPT (GUID Partition Table) zum Einsatz, auf kleineren Laufwerken der alte MBR-Stil.

Der alte MBR-Partitionsstil (Master Boot Record, auch „msdos“-Partitionstabelle) kann Partitionen bis zu maximal 2,2 TB Größe verwalten. Für die mittlerweile gebräuchlichen Größen von 4 bis 12 TB ist der GPT-Partitionsstil erforderlich, sofern solche Festplatten als Ganzes genutzt und nicht in mehrere Partitionen aufgeteilt werden. Bei Festplatten mit mehr als 2 TB sollten Sie besser immer GPT verwenden. Bei kleineren Laufwerken ist GPT zur Nutzung der kompletten Kapazität nicht erforderlich, aber eventuell trotzdem sinnvoll, wenn der PC mit Uefi-Firmware (Unified Extensible Firmware Interface) ausgestattet ist und Sie vielleicht auch Windows parallel installieren wollen.

Werkzeuge: Die grafischen Systemtools Gnome-Disks („Laufwerke“) oder die KDE-Partitionsverwaltung können den Partitionsstil einer Festplatte kontrollieren und ändern. Die Umstellung des bestehenden Partitionsstils geht allerdings immer mit komplettem Datenverlust einher. Wir beschreiben den Vorgang nicht mit den Desktop-spezifischen Werkzeugen, sondern mit dem bekannten Partitionierungswerkzeug Gparted. Gparted ist zwar nicht überall Standard, aber bei Bedarf schnell nachinstalliert (sudo apt install gparted in Debian/Ubuntu/Mint). In Gparted sehen Sie über „Ansicht -> Geräteinformationen“ in der Zeile „Partitionsstil“ den aktuellen Partitionsstil der gewählten Festplatte – meistens „msdos“ (MBR) oder „gpt“ (GPT). Über das Menü „Gerät -> Partitionstabelle erstellen“ können Sie den bisherigen Stil ändern. Nach einem Klick auf „Anwenden“ erzeugt Gparted eine neue Partitionstabelle. Über „Partition -> Neu“ erstellen Sie danach eine neue Partition.

Hinweis 1: Partitionen lassen sich, egal ob mit Gparted oder einem anderen Werkzeug, nur bearbeiten, wenn sie vorher aus dem Dateisystem ausgehängt wurden. Gparted erledigt dies nach Rechtsklick auf die Partition mit „Aushängen“. Falls das Aushängen scheitert, schließen Sie alle Programme inklusive Dateimanager, die den Vorgang durch ihren Zugriff verhindern könnten. Auch Netzwerkdienste wie Samba können die Bearbeitung blockieren. Wer Unmount-Blockaden ausschließen will, bootet am besten ein unabhängiges Livesystem mit Gparted.

Hinweis 2: Gparted sammelt Aufträge wie das Löschen, Erstellen oder Formatieren von Partitionen zunächst, ohen sie auszuführen. Erst „Bearbeiten -> Alle Vorgänge ausführen“ startet die eigentliche Aktion.

Unter Windows zeigt die „Datenträgerverwaltung“ (diskmgmt.msc) nach Rechtsklick auf „Datenträger [x]“ und „Eigenschaften“ auf der Registerkarte „Volumes“ den Partitionsstil an („MBR“ oder „GPT“).

Wenn keine grafische Oberfläche zur Verfügung steht, gibt es auch Terminaltools für die Festplattenverwaltung. Der Befehl

sudo fdisk -l

zeigt für die Laufwerke auch den aktuellen Partitionsstil an – hier neben „Festplattenbezeichnungstyp“ als „dos“ oder „gpt“. Für das Schreiben einer anderen Partitionstabelle, also zum Ändern des bisherigen Partitionsstils, verwenden Sie

sudo sgdisk -g /dev/sd[X]

nach GPT oder

sudo sgdisk -m /dev/sd[X]

zum Schreiben einer MBR-Partitionstabelle. Ersetzen Sie dabei „[X]“ jeweils durch die richtige Kennung des Laufwerks. Bei reinen Datenpartitionen (nur Benutzerdaten) kann mit diesen Befehlen sogar eine Umwandlung des Partitionsstils ohne Datenverlust gelingen. Wir raten aber davon ab, sich darauf ohne Sicherung zu verlassen.

Auch große Festplatten lassen sich im MBR-Stil durch Partitionierung komplett nutzen. Jedoch scheitert der Versuch, große Festplatten (hier mehr als 5 TB) als eine Partition anzulegen.
Ändern des Partitionsstils nach GPT: Dies schreibt die Partitionstabelle neu und bedeutet in der Regel einen kompletten Datenverlust auf dieser Festplatte

Partitionen löschen und anlegen

Das Löschen von Partitionen und Einrichten neuer Partitionen erledigen die typischen Gnome- und KDE-Tools ebenso wie Gparted. Gparted zeigt nach Rechtsklick auf die symbolische Partitionsfläche die Option „Löschen“. Dies impliziert in der Regel (und mit Gewissheit nach anschließenden Größenänderungen und Formatierung) den kompletten Datenverlust auf dieser Partition. Die Option „Neu“ zum Erstellen einer neuen Partition ist im Kontextmenü nur aktiv, wenn ein freier, nicht genutzter Bereich angeklickt wurde. Es muss also erst eine Partition gelöscht werden, um deren Platz („nicht zugeteilt“) dann neu zu nutzen. Mit dem anschließend angezeigten Schieberegler bestimmen Sie dann, ob die neue Partition den kompletten Platz erhalten soll oder eine Aufteilung in mehrere Partitionen erfolgen soll. Wenn Sie nur einen Teil der Kapazität verwenden, verbleibt danach „nicht zugeteilter“ Platz, den Sie danach mit „Neu“ auf analoge Weise partitionieren.

Partitionsstil (MBR/GPT) und Multiboot

Der Partitionsstil (GPT) ist nicht nur wichtig für große Datenträger jenseits der 2,2-TB-Grenze, sondern spielt auch eine entscheidende Rolle, wenn mehrere Systeme parallel installiert werden sollen – oft Linux neben Windows. Das Thema ist komplex, weil hier auch das Rechner-Bios mitspielt – Uefi (Unified Extensible Firmware Interface) oder Bios (Basic Input Output System). Theoretisch gibt es jede Kombination: Typisch ist Bios/MBR sowie Uefi/GPT, jedoch ist auch Bios/GPT und Uefi/MBR möglich. Das heisst, dass auch ein altes Bios Systeme von GPT-Partitionen oder ein modernes Uefi vom alten MBR booten kann. Ein Multiboot mit Windows funktioniert aber nur auf Bios/MBR oder Uefi/GPT.

Der theoretisch anspruchsvolle Knoten ist aber in der Praxis leicht zu lösen: Sie orientieren sich bei einer Parallelinstallationen einfach daran, was schon vorliegt und installieren dann im selben Modus. Ob das schon vorhandene System den Bios- oder Uefi-Modus verwendet, erfahren Sie unter Linux im Terminal durch Aufruf dieses Tools:

efibootmgr

Ist das Tool nicht vorhanden oder lautet dessen Ausgabe „EFI variables are not supported on this system“, dann läuft das System im Bios-Modus. Unter Windows informiert das Systemtool Msinfo32. Hinter „BIOS-Modus“ steht bei Systemen im Bios-Modus „Vorgängerversion“, andernfalls „UEFI“. Letzteres ist bei allen neueren PCs mit vorinstalliertem OEM-Windows die Regel.

A. Liegt ein altes Bios und ein im MBR-Stil installiertes Erstsystem vor, ist die Lage eindeutig und es kann jedes 32- oder 64-Bit-System (Linux oder Windows) parallel installiert werden.

B. Liegt altes Bios, aber GPT-Partitionierung vor, kann nur ein 64-Bit-Linux installiert werden.

C. Liegt neues Uefi mit altem MBR-Stil vor (das geht vorläufig noch via Compatibility Support Module), kann jedes 32- oder 64-Bit-System (Linux oder Windows) parallel installiert werden. Dabei muss man den Rechner über das Bootmenü des Uefi-Bios starten (frühzeitiges Drücken der Taste F8, F12 oder Esc). Dort erscheinen dann die Laufwerke zwei Mal – einmal mit, einmal ohne den Vorsatz „UEFI“. Für MBR-Parallelinstallation wählen Sie Eintrag des betreffenden Installationslaufwerks ohne „UEFI“.

D. Liegt Uefi mit GPT-Stil vor, kann ein 64-Bit-System (Linux oder Windows) parallel installiert werden. Dabei muss man den Rechner über das Bootmenü des Uefi-Bios starten (frühzeitiges Drücken der Taste F8, F12 oder Esc). Für GPT-Parallelinstallation wählen Sie Eintrag des betreffenden Installationslaufwerks mit der Angabe „UEFI“.

Tipp: Trotz dieser relativ einfachen Fallunterscheidung kann man etwas falsch machen, was sich dann aber während der Installation des zweiten Systems schnell zeigt: Wenn kein Erstsystem erkannt wird und das neue System die gesamte Festplatte in Anspruch nehmen will, müssen Sie die Installation abbrechen.

System im Bios- oder Uefi-Modus? Unter Linux beantwortet der Befehl efibootmgr diese Frage. Unter Windows hilft das Standardprogramm Msinfo32.
Friedliche Koexistenz: Ubuntu & Co installieren sich im Uefi-Modus neben dem Windows Boot-Manager und integrieren den Windows-Bootloader in das Grub-Menü.

Partitionsgrößen nachträglich ändern

Die Einteilung (oder Nicht-Einteilung) eines Datenträgers kann sich nachträglich als ungünstig herausstellen. In diesem Fall besteht die Möglichkeit, eine bestehende Partition ohne Datenverlust zu verkleinern und auf dem frei werdenden Speicherplatz eine neue Partition anzulegen. Wirklich notwendig ist dieses Vorgehen aber nur in dem Fall, dass Sie ein weiteres Betriebssystem installieren wollen.

Werkzeuge: Erfreulicherweise sind die Installationsprogramme aller Ubuntu-Desktopsysteme auf die Situation vorbereitet, dass die Partition eines bestehenden Betriebssystems verkleinert werden muss. Mit der Option „Ubuntu neben [XXX] installieren“ schlägt der Installer eine neue Aufteilung der Partitionen vor, indem er die Partition des bestehenden Systems verkleinert und Platz für das neue System schafft. Die gewünschten Partitionsgrößen lassen sich einfach mit der Maus über die Aufteilungsmarkierung einstellen.

Im Falle einer gewünschten Größenänderung ohne Installation oder ohne einen Installer, der solche Größenänderungen beherrscht, hilft wieder Gparted. Beachten Sie, dass Gparted nur ausgehängte Partitionen bearbeiten kann und folglich die Systempartition eines laufenden Systems tabu bleibt. Zugriff auf alle Festplatten hat Gparted nur, wenn es auf einem unabhängigen Livesystem läuft. In Gparted wählen Sie zunächst rechts oben Sie den gewünschten Datenträger. Klicken Sie dann die Partition an, die Sie bearbeiten wollen, und wählen Sie im Kontextmenü „Größe ändern/Verschieben“. Wählen Sie mit dem Regler die gewünschte Partitionsgröße oder tragen Sie die Größe hinter „Neue Größe (MiB):“ manuell ein. Danach klicken Sie auf „Größe ändern“. Gparted erledigt diesen wie alle Aufträge erst nach „Bearbeiten -> Alle Vorgänge ausführen“.

Unter Windows gibt es die Datenträgerverwaltung (diskmgmt.msc), die nach Rechtsklick auf einer Partition die Option „Volume verkleinern“ anbietet. Die Größe der neuen Partition definieren Sie dann mit dem Wert neben „Zu verkleinernder Speicherplatz“. Dies ist eine weitere Möglichkeit, um eine Parallelinstallation eines Linux vorzubereiten, das kein ausreichendes Partitionierwerkzeug mitbringt.

Gparted verkleinert Partitionen ohne Datenverlust: Das können inzwischen auch andere Partitionsmanager, aber keiner so zuverlässig wie der Altmeister.

Formatieren: Die Dateisysteme

Partitionieren und Formatieren erscheinen in grafischen Tools in einem Dialog wie eine Tateinheit. Tatsächlich bedeutet Partitionieren das Aufteilen von Festplattenbereichen, während Formatieren bereits weitaus Betriebssystem-näher das Dateisystem für die jeweilige Partition bestimmt. Dateisysteme wie FAT32 beschränken sich auf eine relativ simple Verweisbibliothek zum Auffinden der Daten, Dateisysteme wie Ext4 oder NTFS erweitern diese Basisfunktion um Rechteattribute und Wiederherstellungsprotokolle (Journaling), Dateisysteme wie BTRFS erlauben sogar Snapshots des Partitionszustands und die Rückkehr zu einem früheren Zustand.

Trotz zahlreicher weiterer Dateisysteme wie F2FS, JFS, ZFS, ReiserFS, XFS ist die Wahl auf einem Desktopsystem nicht schwer: Für die Systempartition, aber auch für alle sonstigen Datenträger, die nur am Linux-System genutzt werden, ist Ext4 die solideste Wahl. Das gilt auch für Laufwerke, die Netzfreigaben leisten sollen.

Dateisysteme sind allerdings nicht beliebig kompatibel. So kann (oder will) Windows mit Ext4-formatieren Datenträgern nichts anfangen. Wenn Datenträger wie also interne Festplatten (bei Multiboot) oder mobile USB-Datenträger für den Datenaustausch zwischen Linux und Windows genutzt werden, sind andere Dateisysteme zu erwägen:

* Für kleinere interne oder externe Laufwerke (USB-Sticks), die für unkomplizierten Datenaustausch dienen sollen, eignet sich im einfachsten Fall eine Formatierung mit dem FAT32, das alle Betriebssystem ohne Hilfsmittel beherrschen und auch selbst formatieren können. Auf FAT32 ist allerdings die maximale Dateigröße auf vier GB limitiert. Wenn diese Grenze stört, kommt eventuell das Microsoft-Dateisystem exFAT in Betracht. Linux beherrscht exFAT demnächst standardmäßig, vorläufig ist noch die Nachinstallation des kleinen exFAT-Treibers ist mit

sudo apt install exfat-fuse exfat-utils

erforderlich. Danach können Sie exFAT-Datenträger sofort mit Linux-Dateimanagern nutzen und mit Werkzeugen wie Gnome-Disks („Laufwerke“) auch mit exFAT formatieren („Partition formatieren -> Andere -> exFAT“). Gparted hat exFAT zwar in seiner Dateisystemliste, will aber bislang nicht mit exFAT formatieren (inaktiv).

* Sind nur Linux- und Windows-Rechner im Spiel, ist das Microsoft-Dateisystem NTFS erste Wahl. Linux wie Windows haben dort Lese- und Schreibzugriff, Linux wie Windows können mit NTFS formatieren. Mac OS X kann NTFS standardmäßig nur lesen.

Werkzeuge: Gparted erledigt die Formatierung einer Partition nach Rechtsklick und „Formatieren als“, wonach die Liste der unterstützten Dateisysteme angeboten wird. Standardprogramme wie Gnome-Disks beherrschen diese Pflichtaufgabe natürlich ebenso („Partition / Laufwerk formatieren“), bieten dabei zwar weniger Dateisysteme, leisten aber Anfängerunterstützung, indem sie die Kompatibilität der Dateisysteme skizzieren – etwa „Zur Nutzung mit Windows (NTFS)“.

Wenn Sie die Kommandozeile benutzen müssen, verwenden Sie den Befehl mkfs („make filesystem“):

sudo mkfs.ext4 -L [Bezeichnung] /dev/sd[XY]

Nach „mkfs.“ folgt die Angabe des Dateisystems „ext4“, hinter „-L“ („Label“) geben Sie optional eine Bezeichnung an, anhand derer sich die Partition später im Dateimanager leichter identifizieren lässt. Den Platzhalter „[XY]“ ersetzen Sie durch die Laufwerksbezeichnung und Partitionsnummer, etwa „/dev/sdb1“ oder „/dev/sdc2“. Für andere Dateisysteme gibt es entsprechende Tools, beispielsweise mkfs.ntfs oder mkfs.vfat (FAT32).

Formatieren mit Gnome-Disks: Das Tool „Laufwerke“ beschränkt sich auf die populärsten Dateisysteme, hilft aber bei der Auswahl. Gparted ist mächtiger, setzt aber Kompetenz voraus.
Formatieren im Terminal: Für jedes Dateisystem gibt es ein eigenes mkfs-Tool. Rufen Sie das Tool ohne Parameter auf, um eine Übersicht der Optionen zu erhalten.

Mounten: Statisch und dynamisch

Mounten ist Pflicht: Jede Partition muss an definierter Stelle (Mountpunkt) in das Dateisystem eingebunden werden. Die einzige Partition, die in jedem Fall statisch beim Systemstart eingebunden wird, ist die Systempartition. Dies wird schon bei Installation festgelegt, wenn Sie den Installationsort bestimmen und als Mountpunkt („Einbindungspunkt“) das Wurzelverzeichnis „/“ angeben. Resultat dieser Aktion ist ein Eintrag in der Datei /etc/fstab, die für alle statischen Mountaufträge zuständig ist (Beispiel):

UUID=[xxxxxxx] / ext4 errors=remount-ro 0 1

Manuelles Bearbeiten der /etc/fstab für weitere statische Mount-Aktionen kann sinnvoll oder notwendig sein: Auf Servern, die Laufwerke automatisch bereitstellen sollen, ist es unbedingt notwendig, diese Laufwerke in die fstab einzutragen. Auf Desktop-Rechnern übernimmt der Dateimanager durch dynamisches Mounten (siehe unten) viele Mount-Aufgaben. Dennoch kann es komfortabel sein, interne Laufwerke mit Benutzerdaten via /etc/fstab in einen klicknahen Ordner zu mounten. Unbedingt notwendig ist ein fstab-Eintrag auf Desktop-PCs, wenn Sie ein zusätzliches Laufwerk exakt an einer bestimmten Stelle des Dateisystems einhängen wollen.

Die für die /etc/fstab notwendigen Informationen sind die eindeutige UUID des Laufwerks (eine hexadezimale Ziffern- und Buchstabenfolge), der Mountpunkt und dessen Dateisystem (ext4, ntfs…). Alle diese Angaben liefert der Befehl

lsblk -f

Ein Eintrag für die fstab sieht dann im Prinzip so aus

UUID=[…] [Mountordner] [Dateisystem] [Optionen] 0 0

und im konkreten Beispiel etwa so:

UUID=BE43818F4A8138A3 /srv/data ext4 defaults 0 0

Die Partition/Festplatte mit dieser UUID wird dann automatisch im Ordner „/srv/data“ bereitgestellt. Der angegebene Mountordner muss existieren und sollte leer sein.

Die Komma-getrennten „Optionen“ enthalten im einfachsten Fall nur den Wert „defaults“, können aber auch komplex ausfallen (Fehlertoleranz, Dateirechte). Die Mount-Optionen sind schon deshalb eine Wissenschaft für sich, weil manche Dateisysteme ganz spezielle Eigenschaften besitzen, die mit den Optionen abgerufen werden können. Mit „defaults“, das eine Zusammenfassung von mehreren typischen Optionen ist, kommen Sie aber in den meisten Fällen ans Ziel.

Bevor Sie einen Rechner mit geänderter Datei /etc/fstab neu starten, lohnt sich immer ein manueller Test:

sudo mount -a

Dies lädt alle Geräte, die in der Datei /etc/fstab eingetragen sind.

Dynamisches Mounten: Auf dem Linux-Desktop erledigt der grafische Dateimanager den Großteil des Mount-Geschäfts. Wenn Sie ein USB-Laufwerk anschließen oder ein neues Laufwerk gerade neu formatiert haben, taucht dieses sofort in der Navigationsspalte des Dateimanagers auf. Nach einem Mausklick darauf erledigt der Dateimanager das Mounten in das Dateisystem, und zwar unter „/media/[Benutzername]/[Volume-Label]“. Bei Ubuntu verhält sich der Dateimanager abhängig von Benutzerrechten, Dateisystem und Laufwerkstyp unterschiedlich:

* Benutzer mit administrativen Rechten (Systemverwalter) dürfen interne und externe Laufwerke über den Dateimanager ein- und aushängen.

* Auch Systemverwalter erhalten bei Linux-Dateisystemen wie Ext4, BTRFS und XFS nur Lesezugriff, Schreibzugriff gibt es auf FAT32- und NTFS-Partitionen..

* Standardbenutzer dürfen über den Dateimanager nur externe Geräte (USB-Sticks und Festplatten) ein- und aushängen. Auf FAT32- und NTFS-Partitionen gibt es Lese- und Schreibzugriff.

* Standardbenutzer werden bei einem Klick auf interne, nicht eingebundene Laufwerke zur Eingabe des Systemverwalter-Passworts aufgefordert. Bei FAT32 und NTFS räumt Ubuntu Lese- und Schreibzugriff ein, auf Linux-Dateisystemen gibt es nur Leserechte.

Zusammengefasst gibt es beim dynamischen Mounten von USB-Laufwerken mit FAT32 und NTFS die wenigsten Rechteprobleme. Wenn USB-Laufwerke ein Linux-Dateisystem besitzen, müssen Sie die Rechte wie bei internen Laufwerken setzen, um Schreibrecht zu erreichen.

Mountpunkt ab Installation: Das Wurzelverzeichnis („/“) für die Systempartition wird schon bei der Installation festgelegt.
Statisches Mounten mit /etc/fstab: Alle Partitionen, die hier eingetragen sind, lädt Linux beim Systemstart automatisch in den angegebenen Mountpunkt.

Zugriffsrechte im Dateisystem setzen

Bei neu in das Dateisystem eingebundenen Ext4-Partitionen (ebenso XFS oder BTRFS) hat nur „root“ Schreibzugriff, andere Benutzer erhalten nur Lesezugriff. Wenn Sie der einzige Benutzer des Systems sind, können Sie es sich einfach machen. Mit

sudo chmod -cR 777 /mnt/Data

setzen Sie im betreffenden Mountpunkt (hier „/mnt/Data“) maximale Zugriffsrechte.

Bei Mehrbenutzersystemen ist die Rechtevergabe komplizierter. Hier steuern Sie den Zugriff über die Gruppenzugehörigkeit und Access Control Lists (ACL) mit dem Tool setfacl. Führen Sie im Terminalfenster folgende Befehle aus:

sudo chgrp plugdev /mnt/Data

sudo chmod g+rwx /mnt/Data

sudo chmod g+s /mnt/Data

sudo setfacl -R -dm u::rwx,g:plugdev:rwx,o::rx /mnt/Data

Diese Befehlszeilen erstellen ein Verzeichnis „/mnt/Data“ für den Datenaustausch. Es gehört der Gruppe „plugdev“, die Vollzugriff erhält. „chmod g+s“ bewirkt, dass das Gruppenattribut erhalten bleibt, wenn ein Benutzer neue Dateien oder Ordner anlegt. Mit setfacl setzen Sie die Standard-Zugriffsrechte, die auf alle enthaltenen und zukünftigen Elemente vererbt werden. Im Ergebnis erhalten alle Mitglieder der Gruppe „plugdev“ Lese- und Schreibzugriff. Zur Gruppe „plugdev“ gehören unter Ubuntu/Mint standardmäßig alle Benutzer.

Kapazitäten einfach erweitern

Das Verzeichnis /home mit den Benutzerdateien erfordert in aller Regel den meisten Plattenplatz. Sollte der Platz knapp werden, können Sie die Daten auf eine zweite Festplatte mit mehr Kapazität verlagern. Wichtig ist, dass gerade keine Dateien geöffnet sind, welche die Aktion blockieren.

Das Beispiel geht davon aus, dass eine zusätzliche Festplatte unter „/mnt/data“ eingebunden ist. Schließen Sie alle Programme und wechseln Sie mit Strg-Alt-F1 in die erste virtuelle Konsole. Dort kopieren Sie alle Verzeichnisse unter /home auf das zusätzliche Laufwerk und benennen das bisherige Home-Verzeichnis um:

sudo rsync -av /home/ /mnt/data/home

mv /home /home.bak

Beachten Sie beim rsync-Befehl den abschließenden Slash hinter „/home/“. Mit folgenden Befehlen erstellen Sie einen neuen Ordner „/home“ und hängen das Verzeichnis des neuen Laufwerks an dieser Stelle ein:

sudo mkdir /home

sudo mount -o bind /mnt/data/home /home

Funktioniert alles problemlos, dann sorgen Sie dafür, dass Linux den Ordner beim Systemstart automatisch vom primären Mount-Ordner nach /home abbildet. Dazu genügt eine zusätzliche Zeile der Datei /etc/fstab:

/mnt/data/home /home none bind 0 0

Mit Strg-Alt-F7 kehren Sie nun zur grafischen Oberfläche zurück und melden sich an. Ihr Home-Verzeichnis finden Sie so vor, wie Sie es verlassen haben – aber mit mehr Platz.

Tipp: Als alleiniger Systembenutzer lassen sich Plattenplatznöte unter /home/[user] noch einfacher beheben. Im Beispiel nehmen wir an, dass der Ordner ~/Videos zu viel Platz benötigt. Auch hier schließen Sie alle Programme und mounten im Terminal nach

mv ~/Videos ~/Videos.old

mkdir ~/Videos

den neuen Datenträger:

sudo mount /dev/sd[xy] ~/Videos

Danach verschieben Sie alle Inhalte aus „Videos.old“ nach „Videos“, was auch im Dateimanager geschehen kann. Eventuelle Rechteprobleme beheben Sie so:

sudo chmod -cR 777 ~/Videos

Hat dies alles geklappt, tragen Sie den Datenträger mit seiner UUID und Mountpunkt „/home/[user]/Videos“ in die Datei /etc/fstab ein.

Mount-Trick in der Datei /etc/fstab: Das unter /mnt/data eingehängte Laufwerk wird über eine zweite Zeile mit der Option „bind“ einfach ins Home-Verzeichnis verschoben.

Kontrolle des Datenträgerzustands (SMART)

Festplatten und SSDs protokollieren Statusinformationen (SMART-Werte), die Hinweise auf Fehler und Defekte geben. Die Werkzeuge Gnome-Disks und KDE-Partitionmanager zeigen die SMART-Werte interner Festplatten an. Das KDE-Tool äußert sich unter „Gerät -> Status“ relativ knapp, jedoch sollte eine positive „Gesamtbewertung: Healthy“ für einen Gesamteindruck ausreichen. Das Gnome-Tool ist unter „SMART-Werte und Selbsttests“ recht gesprächig, sollte aber vor allem hinter „Allgemeine Einschätzung“ die Aussage zeigen: „Das Laufwerk ist in Ordnung“. Bei SSDs steht hinter „wear-leveling-count“ in der Spalte „Normalisiert“ ein wichtiger Wert: Neue SSDs starten bei „100“ und der Wert reduziert sich mit der Zeit. Nähert er sich der „0“, müssen Sie das Laufwerk ersetzen.

Per USB angeschlossene Festplatten berücksichtigt das KDE-Tool ebenfalls, Gnome-Disks allerdings nicht. Hier benötigen Sie das zusätzliche Paket „smartmontools“ und folgenden Terminalbefehl:

sudo smartctl -H /dev/sd[x]

Wenn der Health-Test mit „PASSED“ beantwortet wird, ist die Tauglichkeit des Laufwerks schon erwiesen. Weitere Details gibt es nach

sudo smartctl -A /dev/sd[x]

und noch ausführlicher mit dem Parameter „-a“. Ein wichtiger Wert ist “ Reallocated_Sectors_Ct“, der die Zahl defekter Sektoren anzeigt und im Optimalfall eine „0“ bieten sollte. Gleiches gilt für „Spin_Retry_Count“, weil die hier gezählten, gescheiterten Anlaufversuche auf mechanische Mängel deuten. Seek- und Read-Errors sind hingegen kaum relevant.

Gnome-Disks und die KDE-Partitionsverwaltung lesen die SMART-Werte von Datenträgern aus. Die angezeigte SSD ist neuwertig und darf weitermachen:

Kontrolle der Festplattenbelegung

Auf Gnome-Desktops finden Sie das Tool Baobab („Festplattenbelegung“) im Hauptmenü. Es zeigt die Gesamtkapazität und den Füllstand von Datenträgern. Nach Klick auf dem Pfeil ganz rechts startet Baobab eine Ordneranalyse, die es nach kurzer Wartezeit als Kreis- oder Kacheldiagramm visualisiert. Das sieht hübsch aus, doch der Erkenntniswert hält sich in Grenzen. Viele Nutzer werden sich von

df -h | grep /dev/sd

im Terminal schneller und besser informiert fühlen. Vor allem die Prozentzahl („Verw%“) bietet gute Orientierung. Wer eine Größenanalyse der Verzeichnisse benötigt, ist mit einem weiteren Terminalwerkzeug

du -h

übersichtlich beraten. Wer es genauer wissen muss, kann auch das Tool Ncdu nachinstallieren. Das Terminalprogramm sortiert die Verzeichnisse nach der enthaltenen Datenmenge und kann auch aktiv löschen. Um das komplette Dateisystem zu durchforsten, muss man Ncdu auf der obersten Ebene starten („ncdu /“).

Verzeichnisgrößen mit Ncdu ermitteln: Auf SSH-verwalteten Servern ist Ncdu unverzichtbar und selbst auf dem Desktop eine Empfehlung.

Festplatten zusammenlegen

Der Logical Volume Manager (LVM) erlaubt das Anlegen einer „Volume Group“, in welche mehrere physische Laufwerke und Partitionen zu einem logischen Laufwerk zusammengefasst werden. Der angelegte Verbund ist dynamisch erweiterbar, enthaltene Datenträger können also wieder entnommen oder durch andere ersetzt werden. Das ist sehr flexibel, erhöht aber die Komplexität, zumal der Ausfall eines Datenträgers den ganzen Verbund gefährdet. LVM hat seinen Platz eindeutig auf Serversystemen mit flexiblen Kapazitätsansprüchen und ist nur erfahrenen Admins zu empfehlen.

In Ubuntu & Co kann LVM bereits bei der Installation gewählt werden. Damit wird die Systempartition zum ersten Volume der LVM-Gruppe. Notwendig ist dies nicht, da sich LVM auch nachträglich einrichten lässt – unabhängig von der Systempartition und ausschließlich für Datensammlungen. Mit dem standardmäßig installierten Terminaltool lvm ist die Einrichtung von LVM-Pools allerdings eine mühsame Angelegenheit. Ein grafisches Tool gibt es aktuell nur für KDE – den „KDE-Manager für Laufwerkspartitionen“ (KVPM), der durch das gleichnamige Paket installiert werden kann:

sudo apt install kvpm

Die Installation von kvpm ist auch unter Gnome-affinen Oberflächen (Gnome, Cinnamon, XFCE) möglich.

Mit KVPM ist der Ablauf dann recht bequem. Nachdem alle Laufwerke für den künftigen Datenpool angeschlossen, starten Sie den Manager mit root-Recht:

sudo kvpm

Klicken Sie in der Übersicht nacheinander mit rechter Maustaste auf alle Laufwerke und Partitionen, die zum neuen Pool gehören sollen, und wählen Sie „Filesystem operations -> Unmount filesystem“. Danach verwenden Sie das Menü „Volume Groups -> Create Volume Group“, markieren die Datenträger mit Kreuzchen und vergeben einen Gruppennamen. Nach „OK“ finden Sie im Register „Group: [Name]“ den zusammengelegten Speicher, den Sie nun – am einfachsten nach Rechtsklick auf den grünen Balken – mit „Create logical volume“ als ein logisches Volume definieren. Nutzen Sie mit dem Schieberegler den maximalen Platz und vergeben Sie einen Volumenamen. Der Speicherbalken ändert nun seine Farbe und nach Rechtsklick darauf können Sie den Speicherplatz in das Dateisystem mounten. Dabei ist noch ein beliebiges Dateisystem zu wählen und der gewünschte Mountpunkt.

KDE-Manager für Laufwerkspartitionen (KVPM): Hier werden drei Laufwerke unter dem Namen „The_Big“ zusammengefasst. Das Gesamtvolume muss dann noch formatiert werden.

Datenträger im Bereitschaftsmodus

Festplatten lassen sich in den Ruhemodus schicken. Die Gnome-affinen Ubuntus inklusive Mint können mit Gnome-Disks („Laufwerke“) einstellen, wann sich eine Festplatte abschalten soll. Wählen Sie dort die gewünschte Festplatte aus, und gehen Sie im Menü auf „Laufwerkseinstellungen“. Auf der Registerkarte „Bereitschaft“ setzen Sie den Schalter auf „An“ und stellen die Zeit ein, nach der die Festplatte sich abschalten soll. Die Zeitspanne reicht von „Niemals“ bis „3 Stunden“. Das funktioniert neuerdings auch mit externen USB-Laufwerken.

Wenn Gnome-Disks fehlt, kann auch hdparm im Terminal den Bereitschaftsmodus konfigurieren. Ermitteln Sie zuerst mit

blkid

die Laufwerke, Bezeichnungen und UUID-Kennungen. Ist die gewünschte Festplatte beispielsweise „/dev/sdb“, dann aktivieren Sie mit diesem Befehl den Ruhezustand:

sudo hdparm -y /dev/sdb

Wenn das funktioniert, können Sie eine automatische Abschaltung festlegen:

sudo hdparm -S 180 /dev/sdb

Der Wert hinter „-S“ steht für 180 mal 5 Sekunden, also 900 Sekunden oder 15 Minuten. Verwenden Sie „-S 0“, wenn sich eine bestimmte Festplatte niemals abschalten soll (siehe auch: man hdparm). Diese Maßnahme wirkt allerdings nur bis zum nächsten Neustart. Für eine dauerhafte Änderung bearbeiten Sie die hdparm-Konfigurationsdatei:

sudo nano /etc/hdparm.conf

Fügen Sie im Editor folgende Zeile am Ende der Datei an:

/dev/disk/by-uuid/[UUID] { spindown_time = 180 }

Die UUID-Kennungen ermittelt das Kommando blkid.

Hinweis: Der Bereitsschaftsmodus ist nur bei Daten- oder Backupplatten sinnvoll. Auf der Festplatte mit der Systempartition finden ständig Laufwerkszugriffe statt – die Festplatte würde also nach dem Abschalten sofort wieder anlaufen. Die Folge wäre mehr Verschleiß statt weniger.

Datenfestplatten in den Ruhemodus schicken: Gnome-Disks beherrscht diese Aufgabe, notfalls ist dies aber auch über hdparm im Terminal zu steuern.

Terminal- und Bash-Optimierung

Grafische Terminals und die darin laufende Kommando-Shell bieten reichhaltige Optionen, um sie optisch und funktional zu optimieren und zu individualisieren. Das ist zum Teil einfach, zum Teil knifflig. Die notwendigen Tipps finden Sie hier.

Dieser Artikel zeigt alle wichtigen Optionen, um das grafische Terminal, aber auch die virtuellen Konsolen und die SSH-Konsole so komfortabel wie möglich einzurichten. Nur Punkt 1 bezieht sich ausschließlich auf den Desktop und das grafische Terminalfenster. Alle anderen Punkte 2 bis 6 zur Bash-Optimierung gelten auch für SSH und für die Konsolen (Strg-Alt-F1 und weitere). Bei den grafischen Terminal-Emulatoren nehmen wir das Gnome-Terminal als Referenz, wie es in Ubuntu-Varianten und Linux Mint zum Einsatz kommt. Andere Terminal-Emulatoren wie etwa die „konsole“ unter KDE bieten ganz ähnliche Einstellungen, aber nicht immer an gleicher Stelle. Bei der Shell selbst, also dem eigentlichen Kommandointerpreter, gehen wir von der Bash-Shell aus, die praktisch überall Standard ist.

1. Das grafische Terminal

Terminals in Gestalt des Gnome-Terminal, Mate-Terminal, Xfxe4-Terminal oder Konsole (KDE) sind grafische Programme mit zahlreichen Einstellungen. Sie sind unabhängig von der Shell, die im Terminal läuft. Die Optionen und Optimierungen, die Sie dort vornehmen, haben daher mit der Bash-Shell zunächst nichts zu tun. Lediglich bei Farbeinstellungen für das grafische Terminal und solchen für die Bash-Shell gibt es Kombinationen, welche die Lesbarkeit und Übersicht fördern – oder eben nicht. Insbesondere engagierte Nutzer, die sich das Terminal optisch bestmöglich einrichten möchten, sollten sich beim Aussehen des grafischen Terminals farblich festlegen, bevor sie Ausgabefarben und Prompt der Bash-Shell optimieren.

Einstellungen und Profile: Das Gnome-Terminal zeigt im Menü „Bearbeiten“ die zwei Untermenüs „Einstellungen“ und „Profileinstellungen“. Beides sind benutzerspezifische Optionen: Was unter „Einstellungen“ festgelegt wird, gilt für jedes Terminal im aktuellen Konto. Die „Profileinstellungen“ erlauben darüber hinaus verschiedene Layouts, die man entweder im Gnome-Terminal selbst mit „Terminal -> Profil wechseln“ umschalten oder auch über Programmstarter schon beim Aufruf anwählen kann:

gnome-terminal --profile big_black

Ob Sie tatsächlich verschiedene Profile brauchen, ist Ihre Entscheidung. Das als „Unbenannt“ oder als „Vorgabe“ betitelte Standardprofil sollten Sie aber unter „Bearbeiten -> Profileinstellungen“ in jedem Fall bearbeiten. Die Registerkarte „Allgemein“ bestimmt die Größe des Terminalfensters über die Spaltenzahl (Breite) und Zeilenzahl (Länge) sowie die verwendete Schriftart. Beachten Sie, dass Sie das Terminal-Fenster unabhängig von der Schrift mit Strg-+ und Strg– skalieren können, in einigen Terminals auch mit Strg und mittlerer Maustaste. Die Registerkarte „Farben“ definiert die Farb- und Transparenzeinstellungen (in einigen Terminals auch als Extra-Registerkarte „Hintergrundtyp“). Wer Experimente mit eventuell kontrastarmen Ergebnissen vermeiden will, kann das Systemschema oder vorgegebene Schemata verwenden.

Unter „Bildlauf“ sollte der „Zeilenpuffer“ deutlich vierstellig eingestellt sein, damit Sie auch bei umfangreichen Dateilisten (find, ls, rsync) bis zum Beginn zurückblättern können.

Der allgemeinere Punkt „Bearbeiten -> Einstellungen“ spielt für die Terminal-Optik keine Rolle. Hier können Sie aber unter „Tastenkürzel“ die Hotkeys ermitteln oder neu bestimmen, die in Ihren Terminals gelten. Der Tipp, hier auch die Hotkeys für Kopieren (Strg-Shift-C) und Einfügen (Strg-Shift-V) auf gebräuchliches Strg-C und Strg-V umzustellen, ist zweischneidig, weil Strg-C in der Bash-Shell traditionell für den Abbruch des aktuellen Befehls reserviert ist.

Startparameter: Größe und Position des Terminals können Sie auch per Startparameter festlegen. Global und mit zusätzlicher Angabe der Fensterposition arbeitet der Parameter „–geometry“ (fast überall Standard: Gnome, KDE, XFCE, Mate):

gnome-terminal --geometry=120x24+1+1

Dies würde ein Terminal mit 120 Zeichen Breite und 24 Zeilen Länge in der linken oberen Ecke starten (1 Pixel von links, 1 Pixel von oben). Diesen Aufruf definieren Sie am besten in der globalen Verknüpfung „/usr/share/applications/gnome-terminal.deskop“ in der Zeile „Exec=“ mit root-Recht.

Neben dem schon genannten „–profile“-Schalter gibt es weitere Optionen via Startparameter, welche die grafischen Profileinstellungen nicht vorsehen:

gnome-terminal --zoom=1.4 --working-directory=/media/ha

Dies erhöht den Zoomfaktor um 40 Prozent und startet gleich im gewünschten Verzeichnis. Letzteres ist natürlich auch über die Bash-Shell leicht zu erzielen.

Terminal-Profile: Wer im Terminal verschiedene Profile anlegt, kann mit drei Mausklicks zu einer komplett anderen Darstellung wechseln.

2. Bash-Zeileneditor und History

Kaum ein Terminalthema klingt langweiliger als die Regeln des „line editing“ – also Texteingabe, Textbearbeitung, Autocompletion und Befehlssuche am Bash-Prompt. Es entscheidet aber fundamental darüber, wie viel oder wenig Sie tippen müssen – und „Tippen“ bedeutet hier ja meistens nicht das Schreiben von natürlicher Sprache, sondern von oft komplexen Befehlen oder gar von Escape- und Regex-Sequenzen.

Autocompletion: Lange Dateinamen müssen nicht getippt werden: Wenn Sie die ersten zwei, drei Buchstaben eingeben und dann die Tab-Taste drücken, ergänzt das Terminal den vollständigen Namen automatisch, desgleichen Ordnerpfade, sofern die eingegebenen Buchstaben stimmen (Groß- und Kleinschreibung beachten!).

History: Das Terminal vergisst nichts – jedenfalls nicht so schnell. Die Befehle werden im Speicher und dauerhaft in der ~/.bash_history gespeichert. Damit die Befehle über Sitzungen und Neustarts hinaus gesammelt werden, sorgt diese Anweisung:

shopt -s histappend

Diese werden Sie in jeder Standardstartdatei ~/.bashrc antreffen. Bei welcher Zeilenmenge Schluss sein soll, also die ältesten Einträge gelöscht werden, bestimmen folgende Variablen:

HISTSIZE=5000
HISTFILESIZE=5000

Auch diese stehen in jeder ~/.bashrc, wenn auch eventuell mit geringeren Zeilenangaben. „HISTSIZE“ ist die maximale Zeilenmenge im Speicher, „HISTFILESIZE“ die maximale Zeilenmenge in der Datei ~/.bash_history. Je höher die Zahlen, desto umfangreicher wird das Gedächtnis der Bash-Shell. Mit der Variablen

HISTCONTROL=ignoredups

können Sie verhindern, dass die History von Dubletten wimmelt: Bereits vorhandene, identische Kommandos werden dann nicht aufgenommen. Eine weitere Option, die History effizienter zu machen, ist der Ausschluss von Allerweltsbefehlen:

HISTIGNORE="ls:cd*:free"

Soviel zur Optimierung der History. Für die eigentliche, praktische Verwendung gibt es mehrere Möglichkeiten. Fast jedem Anwender bekannt ist das Zurückblättern zu den letzten Kommandos mit der Taste Cursor-oben, die den gewünschten Befehl wieder auf den Prompt holt. Eine systematische Suche bietet der Hotkey Strg-R: Nach Eintippen etwa von „tar“ erscheint der letztgenutzte tar-Befehl in kompletter Länge. Ist dieser passend, kann er mit Eingabetaste sofort ausgeführt oder mit Alt-Eingabetaste (eventuell auch Strg-Eingabetaste) zum Editieren auf den Prompt geholt werden. Ist der angezeigte History-Treffer nicht der passende, geht es mit Strg-R zum vorletzten und so fort.

Eine einfache Alternative oder auch Ergänzung zur Rückwärtssuche mit Strg-R ist eine Filtersuche mit der Taste Bild-oben. Nach Eingabe etwa von „tar“ befördert diese Taste den letzten, kompletten tar-Befehl direkt auf den Prompt, ein weiteres Bild-oben den vorletzten und so fort. Diese Suche funktioniert aber nur, wenn Sie Taste entsprechend belegen – und zwar in der Datei /etc/inputrc. Das Editieren erfordert root-Recht. Sie werden dort die beiden Zeilen

\"e[5~\": history-search-backward
\"e[6~\": history-search-forward

antreffen und müssen dort nur das führende Kommentarzeichen „#“ entfernen.

Zum Editieren vorhandener Zeilen, seien es selbst getippte oder aus der History gefischte, helfen Lösch- und Rücktaste, Pos1, Ende, Strg-Cursor-rechts/links (wortweise springen), Strg-K und Strg-U (Löschen nach und vor der Cursorposition, siehe dazu auch Punkt 4).

History-Filter: Mit dieser Einstellung in der Datei /etc/inputrc filtert die Bash nach Bild-oben/Bild-unten die Einträge, die mit dem bereits eingegebenen Teilbefehl übereinstimmen.

Hübsche Prompts sind hartes Handwerk. Ein funktionaler Prompt liefert aber automatisch Informationen, für die Sie sonst externe Systemwerkzeuge starten müssten.

3. Farben am Prompt und in Dateilisten

Der Prompt, also die Anzeige bei jeder Befehlseingabe, kann beliebige statische und dynamische Informationen anbieten, die Sie zur Orientierung erwarten. Die Prompt-Anzeige definieren Sie interaktiv zum Testen mit dem Befehl „PS1=‘…‘“. und dauerhaft in der Datei ~/.bashrc. Einige dynamische Variablen wie das aktuelle Verzeichnis, Datum oder Uhrzeit bietet der Prompt durch vordefinierte Escape-Zeichenfolgen selbst an, etwa „\w“ für das aktuelle Verzeichnis, „\u“ für das angemeldete Konto oder „\h“ für den Rechnernamen. Einfache Prompts sehen dann so aus:

PS1="\w => "
PS1="\u@\h:\w => "

Eine gute Infoquelle für alle Prompt-Optionen ist die Seite https://wiki.archlinux.de/title/Bash-Prompt_anpassen. Über die eingebauten Codes hinaus können Sie jede allgemeine oder selbst definierte Variable einfach mit „$Variable“ in die PS1-Definition setzen:

PS1="\w [$LOGNAME] => "

Mehr noch: Der Prompt kann sogar beliebige Befehle aufnehmen. Wir demonstrieren das mit einem Beispiel, das freilich als Prompt dauerhaft nicht praktikabel ist:

PS1="\nSPEICHERAUSLASTUNG: \n\$(free -m)\[\033[0m\]\n\n => "

Um Infos gegeneinander abzugrenzen, sind ferner Farbdefinitionen vorgesehen, die stets mit der Sequenz „\[\033“ starten. Ein komplexer Prompt wie

PS1="\n\[\033[47;30m\]\d, \A \[\033[41;37m\] \u on \H \[\033[47;30m\] MB free=$freemem \[\033[41;37m\] $CPU \[\033[40;37m\] [$timediff] \[\033[42;30m\] \w \[\033[0m\]\n"

ist praktisch unlesbar. Immerhin geht es Schritt für Schritt von einer Escape-Sequenz zur nächsten – „\n“ bedeutet einen Zeilenumbruch, „\[\033“ schaltet dann die Farben um, „\d“ setzt das Datum ein, „\A“ die Uhrzeit. Erläuternder Text oder Zeichen wie Komma oder Blank sind an jeder Stelle möglich, ferner auch Variablen mit „$“.Wichtig ist, Farbdefinitionen am Ende wieder zurückzusetzen

(*\[\033[0m\]“).

Die unsäglichen Farbsequenzen einerseits, die Variablen-Tauglichkeit des Prompts andererseits veranlassen Bash-Freaks, alle nötigen Codes in Variablen abzulegen (in der ~/.bashrc)

GREEN="\[\033[01;32m\]"

und dann als handlichere Variablen ($GREEN) in den Prompt einzubauen. Auch dies ist aber ein mühsamer Notbehelf, dem wir folgende Online-Hilfe vorziehen:

Easy Bash PS1 Generator: Ein nützlicher Helfer für farbenfrohe Prompts ist die Seite http://ezprompt.net/. Hier gehen Sie von ersten Position zur letzten durch, was der Prompt zeigen soll, und bestimmen für das jeweils markierte Element Vorder- und Hintergrundfarbe („FG“ und „BG“). Die einzelnen Elemente lassen sich auch nachträglich umsortieren. Im untersten Feld erscheint der zugehörige Code für die PS1-Variable, den Sie einfach kopieren, im Terminal einfügen und mit Eingabetaste testen. Wenn das Ergebnis passt, übernehmen Sie die Codezeile in Ihre Datei ~/.bashrc. Die Webseite deckt längst nicht alle Möglichkeiten des Bash-Prompts ab, liefert aber zuverlässig die heiklen Farbcodes.

Dynamische Infos durch Prompt_Command: Wenn Variablen Echtzeit-aktuell im Prompt landen sollen (etwa die CPU-Auslastung), dann muss diese Variable unmittelbar vor der Prompt-Darstellung ermittelt werden. Dafür bietet die Bash-Shell einen speziellen Service: Mit

PROMPT_COMMAND=[function-name]

definieren Sie eine Function der Datei .bashrc, die bei jedem Befehl in der Kommandozeile abgerufen wird. Da dies sehr oft geschieht, sollten Sie den Rechenaufwand in Grenzen halten. Ein Beispiel für einen selbstgebauten Prompt mit Echtzeitinfos aus einem Prompt_Command sehen Sie in der Abbildung auf dieser Seite.

Farbige Dateien und Ordner: Das Terminal stellt Dateitypen und Ordner standardmäßig in unterschiedlichen Farben dar. Wenn Sie bestimmte Farben ändern möchten, erstellen Sie mit folgendem Befehl eine persönliche Konfigurationsdatei im Home-Verzeichnis:

dircolors -p > ~/.dircolors

Die versteckte Datei .dircolors können Sie dann mit einem beliebigen Editor bearbeiten. So werden zum Beispiel Ordnernamen gelb gefärbt:

DIR 01;33

Die Einstellungen dieser eigenen Farbtabelle dominieren über die Standardeinstellungen. Die Farbcodes können Sie der bereits genannten Seite https://wiki.archlinux.de/title/Bash-Prompt_anpassen entnehmen. Achten Sie auf die Tatsache, dass solche Farbdefinitionen durch Umstellen der allgemeinen Terminalfarben (siehe Punkt 1) unter Umständen unlesbar bis unbrauchbar werden. Wer hier Zeit investiert, sollte an der allgemeinen Terminaloptik nichts mehr verändern.

Diese Seite erspart das Recherchieren der Farbcodes: Auf http://ezprompt.net/ stellen Sie sich die Basis des Bash-Prompts per Mausklicks zusammen.

4. Bash-Aliases und Bash-Hotkeys

Ohne in das Bash-Scripting einzusteigen, das dieser Beitrag weitestgehend ausklammert, können einfachste Alias-Kurzbefehle und (weniger einfache) Bind-Hotkeys die Effektivität der Bash-Shell enorm steigern.

Bash-Hotkeys: Mit Tastendefinitionen sollte man sparsam umgehen, damit der Durchblick nicht verlorengeht, jedoch sind einige Nachbesserungen sinnvoll und produktiv. So ist etwa beim Editieren am Prompt zwar das Löschen vor und nach der Cursorposition mit den Hotkeys Strg-U und Strg-K vorgesehen, aber nicht das Löschen der kompletten Zeile mit einem Hotkey. Folgende Bind-Kommandos

bind '“\C-l“:kill-whole-line'
bind '“\el“:kill-whole-line'

legen den internen Befehl „kill-whole-line“ auf die Hotkeys Strg-L und Alt-L. Die Strg-Taste ist mit „\C“ einzugeben, Alt mit „\e“. Dass bei Strg die Folgetaste mit Bindestrich abzugrenzen ist, bei der Alt-Taste hingegen nicht, ist kompliziert, aber nicht zu ändern.

Folgender Befehl

bind '"\e[15~":"xdg-open . \n"'

belegt die Funktionstaste F5 so, dass sie den Standarddateimanager mit dem aktuellen Verzeichnis auslöst. Die Funktionstasten sind mit „\e[nn~“ anzugeben, wobei die Ziffer „nn“ in der Regel den Wert plus 10 der tatsächlichen Taste benötigt. Im Zweifel kann der Befehl „read“ und anschließendes Drücken der Funktionstaste über die Ziffer „nn“ informieren.

Bind-Befehle können Sie interaktiv ausprobieren; sie gelten dann bis zum Schließen des Terminals. Für permanente Gültigkeit benötigen sie einen Eintrag in die Datei ~/.bashrc.

Aliases: Kurzbefehle können die schnelle Ordnernavigation vereinfachen oder komplexe Befehle abkürzen. Der Platz für Aliases ist wieder die Datei ~/.bashrc, und die Befehle werden in einfachsten Fällen so aussehen:

alias ini='$EDITOR ~/bashrc'
alias mc='mc /srv/dev-disk-by-label-Data /srv'
alias ll='ls -alF --group-directories-first'

Aliases entschärfen die interaktive Nutzung mächtiger Terminaltools erheblich. Ein Beispiel ist etwa folgendes Alias für den Find-Befehl:

alias fn='read -p "Dateimaske (z.B. *.pdf): " TMP; find . -type f -name "$TMP"'

Nach Aufruf des Kürzels fn werden Sie mittels „read“ nach der Dateimaske gefragt, die dann etwa „*.odt“ oder auch „2018*.jpg“ lauten kann (ohne Anführungszeichen). Diese Eingabe wird mit der Variable $TMP an find weitergereicht. Das Alias geht davon aus, dass man zuerst in das gewünschte Verzeichnis gewechselt hat, denn dort startet find seine Suche (Punkt nach „find .“).

Ähnlich übergibt hier

alias ft='read -p "Alter in Tagen (z.B. 7): " TMP; find . -type f -mtime "-$TMP"'

die Variable $TMP eine Zahl an find, das dann über den Schalter „-mtime“ alle Dateien ermittelt, die in den letzten Tagen erstellt wurden.

Hotkeys für die Bash-Shell: Mit bind können Sie Tasten und Tastenkombinationen neu definieren und Programme auslösen. „bind -P“ informiert über aktuelle Belegungen.

Weniger tippen und nicht über die Syntax nachdenken: Aliases machen komplexe Bash-Kommandos – wie hier find – deutlich komfortabler.

5. Ordnernavigation im Terminal

Verzeichniswechsel mit cd gehören zu den meistgenutzten Kommandos. Auch hier gibt es eine Reihe kleiner Optimierungen.
Die häufigsten Zielordner sind am besten über ein knappes Alias zu erreichen – etwa um nach

alias d = 'cd ~/Schreibtisch'

mit der Eingabe „d“ zum Desktop zu gelangen.
Eine effiziente Lösung für schnelles Springen in wichtige Verzeichnisse ist die Variable CDPATH. In ihr lassen sich mehrere Ordnerpfade speichern. Danach kann man überall mit „cd [Verzeichnis]“ in ein Unterverzeichnis eines der gespeicherten Verzeichnisse springen. Um also etwa den Pfad „/var/www/html“ in die Variable CDPATH aufzunehmen, geben Sie

export CDPATH='.:/var/www/html/'

ein. Danach wechseln Sie von beliebiger Stelle mit „cd htdocs“ und „cd logs“ in Unterordner von „/var/www/html/“. Die CDPATH-Variable lässt sich durch eine beliebige Anzahl weiterer Verzeichnisse erweitern – jeweils durch Doppelpunkt getrennt:

export CDPATH='.:~:/var/www/html/:/media/985c9fb3-14a6-449e-bec5-4666a283fbf4/'

Hier besteht der „CDPATH“ aus dem aktuellen Verzeichnis („.“), dem Home-Verzeichnis („~“), dem Webserver-Verzeichnis und einem Mountordner. Am Anfang sollte mit „.:“ immer das aktuelle Verzeichnis stehen, damit dieses die höchste Priorität behält. Für einen dauerhaften „CDPATH“ müssen Sie die Export-Anweisung in die Datei .bashrc eintragen.

Die meisten Nutzer verwenden cd für den Verzeichniswechsel, obwohl die Alternativen pushd und popd mehr Komfort bieten, vor allem dann, wenn es häufig von einem Ordner zum anderen und wieder zurückgehen soll. Daher sorgen folgende simplen Alias-Definitionen:

alias +='pushd'
alias _='popd'

dafür, dass sich die Bash-Shell nach „+“ das letzte Verzeichnis merkt. Mit „_“ kehren Sie danach umstandslos zurück zum letzten Verzeichnis. Das normale Minuszeichen („-„) ist als Alias-Kürzel nicht möglich.

Die Bash besitzt eine optionale Autokorrektur, um Vertipper bei Verzeichnisnamen auszubessern. Diese Autokorrektur ist standardmäßig abgeschaltet, erst diese drei Befehle schalten sie ein:

shopt -s direxpand
shopt -s dirspell
shopt -s cdspell

Danach wird die Shell den Eingabefehler

cd /ect/samba/

nach /etc/samba/ korrigieren und korrekt landen. Soll die Autokorrektur permanent aktiv sein, dann müssen die Befehle in die ~/.bashrc eingetragen werden.

Effiziente Navigationshilfe: Einträge wichtiger Verzeichnisse in die Variable CDPATH erlauben den direkten Ordnerwechsel quer über Verzeichnisstruktur und Laufwerke.

6. Die wichtigsten Terminaltools

Die Aufwertung der Shell durch externe Tools ist für SSH-administrierte Server unentbehrlich, für die virtuellen Konsolen im Falle des Falles sinnvoll und selbst am Desktop erwünscht. Der letztgenannte Aspekt gilt vor allem für Nutzer, die für Datei- und Verwaltungsaufgaben generell das Terminal bevorzugen.

Taskmanager Htop: Htop (mit gleichnamigem Paketnamen) zeigt beliebig detaillierte Infos zu allen laufenden Prozessen, CPU- und Speicherauslastung und Uptime. Es beherrscht sämtliche Kill-Methoden für randalierende Tasks. Über „F2 Setup“ lässt sich das Tool hinsichtlich Anzeigeinfos und Optik sorgfältig einrichten.

Dateimanager MC: Der Midnight Commander (Paketname „mc“) kann es mit jedem grafischen Pendant aufnehmen und dabei mit 256-Farben-Skins auch noch attraktiv aussehen („Optionen -> Appearance“). Voraussetzung dafür ist der Befehl „TERM=xterm-256color“ in der Datei ~/.bashrc.

Multiterminal Screen: Terminal-Multiplexer wie Screen (mit gleichnamigem Paketnamen) verwalten mehrere Terminal-Sitzungen in einem Fenster. Solche Tools sind auf der grafischen Oberfläche unnötig, aber alternativlos auf Servern, die per SSH verwaltet werden. Wenn Sie Screen starten, scheint gar nichts zu passieren. Um die Vorzüge zu erkennen, beginnen Sie am besten von vornherein mit einer Konfigurationsdatei ~/.screenrc im Home-Verzeichnis. Diese könnte etwa so aussehen wie in der nebenstehenden Abbildung. Hier werden beim Aufruf screen drei Terminals gestartet. Die „Caption“-Anzeige sorgt dafür, dass Sie in der Fußzeile über die geladenen Terminals informiert bleiben. Die Escape-Sequenzen für „Caption“ sind mühsam, aber unter www.gnu.org/software/screen/manual gut dokumentiert.

Fundamentaler Hotkey ist Strg-a, gefolgt von einer Kommandotaste: Strg-a und nachfolgendes n oder p wechselt zur nächsten oder vorherigen Konsole. Strg-a und c startet ein weiteres Terminal, Strg-d schließt das aktuelle. Ein wichtiger Hotkey ist außerdem Strg-a und Esc, weil Sie nur dann im Screen-Fenster mit Taste oder Maus in Listen scrollen können.

Datenträgerbelegung mit Ncdu: Ncdu (mit gleichnamigem Paketnamen) sortiert Verzeichnisse nach der enthaltenen Datenmenge und bietet eine sehr viel bequemere Festplattenanalyse als das Standardwerkzeug du. Denn Ncdu beherrscht wie ein Dateimanager die Navigation zwischen den Verzeichnissen und kann aktiv löschen. Die einzig wichtige Bedienregel, die sich nicht sofort erschließt, ist die Auswahl des Startordners. Ist Ncdu nämlich einmal gestartet, wird es in keine höhere Verzeichnisebene wechseln. Wenn Sie daher das komplette Dateisystem durchforsten wollen, sollten Sie ncdu mit

ncdu /

starten. Ncdu sortiert nach Ordnergrößen, kann aber mit Taste „n“ auch nach Namen sortieren, mit „s“ wieder nach Größe („size“).

Screen und seine Konfigurationsdatei: Das Tool screen macht die typische Terminalvermehrung bei Administratoren zur übersichtlichen Angelegenheit.

7. Befehle suchen

Bash-History mit Schlüsselwörter: Ein hübscher Trick, um interessante, aber seltener genutzte Befehle bei Bedarf schnell wiederzufinden, besteht in der Kommentierung der Kommandos durch Schlüsselwörter. Ein Beispiel:

lsblk -o name,fstype,uuid,size,owner,type,mountpoint,label,model # disk partition detail

Der interaktiv so eingegebene Befehl funktioniert wie gewohnt; alles ab dem Kommentarzeichen „#“ wird einfach ignoriert. Der Befehl landet aber inklusive Kommentar in der Datei ~/.bash_history. Folglich können Sie später in der History-Suche mit Strg-R ein Schlüsselwort wie „detail“ oder „partition“ eingeben, und die Suche wird Ihnen die Befehle mit diesem Kommentar anbieten. Die Wahl der Stichwörter ist dabei die anspruchsvollste Aufgabe: Sie sollten so assoziativ ausfallen, dass Sie bei späterer Suche die Sache schnell eingrenzen können – etwa durch Kategorien wie „task, folder, partition, disk, size, user, right, info, hardware“. Natürlich sind auch deutsche Kommentierungen möglich. Wer diese Möglichkeit nicht nur künftig, sondern rückwirkend nutzen möchte, kann seine .bash_history nachträglich mit solchen Kommentaren erweitern.

Exkurs: Falls Ihre Bash-Shell interaktive Eingaben mit Kommentarzeichen nicht akzeptiert, ist eine Standardeinstellung verstellt. Sie lautet „interactive_comments“ und kann bei Bedarf mit

shopt -s interactive_comments

in der Datei ~/.bashrc explizit aktiviert werden.

Apropos-Programmsuche mit Stichwort: Eine gewaltige Hürde bei der Verwendung der Shell ist die schlichte Frage, welches Kommando sich für welche Aufgabe eignet. Infoportale im Internet sind da oft enttäuschend: Alphabetische Listen sind denkbar unpraktisch, vollständige Bash-Referenzen definitiv nicht das, was man für eine schnelle Kommando-Recherche benötigt, und vorsortierte Präsentationen der „wichtigsten“ Befehle verzichten von vornherein auf Vollständigkeit.

Für eine grobe thematische Suche eignet sich der Befehl apropos, der die Datenbank der Man-Pages nach Stichworten durchsucht (identischer Befehl „man -k [Stichwort]“). So liefert apropos zumindest einen ersten Überblick:

apropos samba

Hier erhalten Sie alle Befehle, die im Zusammenhang mit Samba-Netzwerkfreigaben stehen. Mit dem Schalter „–and“

apropos --and file rename

ist ein UND-Suche nach mehreren Stichwörtern möglich.

Whatis: Was kann ein bestimmter Befehl? Whatis ist das Gegenstück zu Apropos: Es liefert für einen angegebenen Befehl genau dieselbe Kurzbeschreibung aus den Man-Pages wie Apropos. Während Sie also mit Apropos geeignete Programme für eine bestimmte Aufgabe suchen, fragen Sie mit Whatis ab, was ein bestimmtes Programm kann:

whatis diff

Wer einen systematischen Überblick über alle auf seinem System installierten Kommandozeilenprogramme erreichen will, kann diese mit

compgen -c

auflisten und diese Liste gleich mit whatis kombinieren:

for p in $(compgen -c|sort);do whatis $p >> liste.txt;done

Das Ergebnis ist eine Textdatei liste.txt mit alphabetischer Abfolge sämtlicher Systembefehle und jeweiliger Kurzcharakterisierung durch whatis.

8. Alternative Terminals

Wie Punkt 1 zeigte, geben die Standard-Terminals der Linux-Distributionen kaum Anlass, nach Alternativen zu suchen. Die gibt es natürlich: So ist Terminator (mit gleichnamigem Paketnamen) eine Fortentwicklung von Gnome-Terminal mit etlichen Zusatzfunktionen, die etwa den Textzoom mit Strg-Mausmitteltaste erlauben (wie die Konsole unter KDE) oder automatisches Ausblenden bei Fokusverlust. Weitere Funktionen fallen gegenüber dem Gnome-Terminal eher marginal aus.

Das Terminal Terminology (mit gleichnamigem Paketnamen) stammt aus dem Enlightenment-Desktop und ist so eigenwillig wie jener. Terminology entspricht weitgehend dem Gnome-Terminal, hält aber Spezialitäten bereit, die sich nach Rechtsklick automatisch einblenden. Die hier angebotenen Split-Funktionen sowie Kopieren und Einfügen per Mausklick erhöhen den Terminal-Komfort. Unter „Einstellungen“ gibt es weitere Raffinessen wie Hintergrundbilder. Trotz dieser Vorzüge ist Terminology insgesamt gewöhnungsbedürftig und hat auch Nachteile: Schriften-, Farbdarstellung und Zoomfunktion fallen gegenüber den Standard-Terminals ab.

Tilda und Guake: Diese Dropdown-Terminals haben kein interaktiv skalierbares Fenster und keine Titelleiste, sondern blenden sich in fester, aber exakt einstellbarer Größe nach Hotkey F1 (Tilda) oder F12 (Guake) ein und aus. Das Ausblenden kann auch automatisch bei Fokusverlust eingestellt werden, also durch beliebigem Klick außerhalb des Terminalbereichs. Die Einstellungen bieten Transparenz, Einblendanimation, Farbanpassung, Shell-Tabs, Suchleiste und vieles mehr. Im Fenster läuft die Bash – alle Bash-Einstellungen werden also übernommen. Für Terminal-Vielnutzer sind diese stets im Hintergrund wartenden Bash-Dauerläufer eine klare Empfehlung. Die Unterschiede zwischen Tilda und Guake sind marginal und letztlich Geschmackssache. Tilda und Guake sind über die gleichnamigen Paketnamen überall verfügbar.

Fish ist kein alternatives Terminal, sondern eine eigene Shell. Sie ist über den Paketnamen „fish“ überall verfügbar, die aktuellste Version über ein PPA (ppa:fish-shell/nightly-master). Fish bringt Farbe ins Spiel, macht selbständig ergänzende Angebote zu partiellen Eingaben und informiert bei Syntaxfehlern vorbildlich über Korrekturen. Ein Alleinstellungsmerkmal ist die Konfiguration im Browser nach diesem Befehl:

fish_config

Unter „colors“ und „prompt“ wählen Sie aus vorgegebenen Farbschemata und Prompts, und mit „Set Theme“ oder „Set Prompt“ übernehmen Sie das Ergebnis. Wichtig sind die „abbreviations“, da Sie damit Alias-Kurzbefehle anlegen können. Für Scripts verwendet Fish „functions“ mit eigener Syntax. Zielgruppe für die Fish-Shell sind Einsteiger, denen Fish den Terminal-Umgang zunächst in der Tat vereinfacht. Das Problem ist nur, dass sich Bedienung und Script-Konzept von den Standard-Terminals stark unterscheidet: Wer der Fish-Shell wieder den Rücken kehrt, fängt mit Gnome-Terminal & Co. sowie Bash praktisch wieder von vorne an.

Fensterlos und automatisch im Hintergrund: Das Dauerterminal Tilda kann sich in den Hintergrund verabschieden, wenn ein Desktop-Element außerhalb geklickt wird (Fokusverlust).

Zurück zur Linux-Übersichtsseite…

Tipps & Tools fürs Internet

Der kompakte Ratgeber erklärt wesentliche Aspekte der Internet-Nutzung hinsichtlich Effizienz und Sicherheit. Neben typischen Client-Rollen mit Browser und Mail geht es auch um öffentliche Home- und Web-Server.

Das öffentliche Netz, sprich: Internet, scheint auf den ersten Blick unkomplizierter als das lokale Netzwerk. Der Aspekt Hardware fällt unter den Tisch, denn dafür sorgen der Internet-Provider beziehungsweise die Millionen Web-Server mit ihren Mail-, Download-, Kommunikations-, Info-Diensten. Wer nur Download-technisch unterwegs ist, hat nur die Sicherheitssorge: Er muss dafür sorgen, dass kein digitaler Schmutz im eigenen lokalen Netz landet – und dabei ist Linux per se ein effizienter Schutzwall. Aber Internet ohne Uploads ist nicht realistisch: Mail, Cloud, soziale Netzwerke, Banking, Online-Konten und Synchronisierungsdienste summieren sich zu einer Entropie-Wolke veröffentlichter Upload-Daten. Hier geht es um Datenschutz, also um Schutz durch Verschlüsselung, um Überblick und um Reduktion der Datenmenge. Technisch anspruchsvoll wird es, wenn Daten von Home-Servern und Web-Servern über das Internet erreichbar sein sollen, aber vielleicht nicht für alle und jeden.

Internet-Grundlagen

Bandbreiten und MBit/s

Die Währung der Internet-Provider sind die relativ unhandlichen MBit/s, Megabits pro Sekunde. Um aus MBit/s eine anschauliche Datenmenge zu errechnen, teilen Sie grob durch 10 und runden großzügig auf: Bei 16 MBit/s gehen also gut 1,6 MB (2,0) pro Sekunde durch die Leitung, bei 50 MBit/s gut 5 MB (6,25). Aktuell reichen die angebotenen Bandbreiten von 2 bis 400 MBit/s. Welche Bandbreite wofür notwendig ist, soll folgende Grobübersicht zeigen:

Mit 6 MBit/s funktionieren Mail, soziale Netzwerke und HTML-Darstellung noch flott, Video-Wiedergabe wird aber bereits bei mäßiger Qualität grenzwertig.

16 MBit/s garantieren schnelles Surfen, flotte Software-Downloads und mit Abstrichen den Zugang zu IPTV und TV-Mediatheken.

25-50 MBit/s erlauben rasante Medien-Downloads (Audio, Film) und ruckelfreie Wiedergabe aller Medienangebote, grenzwertig bei hochauflösendem HD-Inhalten.

100-200 MBit/s sind Bandbreiten für anspruchsvolles Home-Office und Download-Junkies mit keinerlei Limits auf der Empfängerseite. Noch schnellere Leitungen sind derzeit kaum sinnvoll, weil Internetserver solche Datenmengen selten ausliefern.

Die Übertragungstechniken

DSL (Digital Subscriber Line) nutzt vom grauen Kasten an der Straße (DSLAM) bis zum Kunden das Kupferkabel der Telefonleitung und ist mit 16 MBit/s am oberen Limit. VDSL (Very High Speed Digital Subscriber Line) verwendet denselben Übertragungsweg, kommt aber durch technische Optimierung auf maximal 52 MBit/s.

Internet via Fernsehkabel ist schneller als (V)DSL und mit geringem Aufwand erreichbar, wo bereits ein Kabelanschluss besteht. Die Angebote der größten Kabelprovider Vodafone und Unitymedia reichen derzeit von 32 bis 400 MBit/s.

Glasfaser direkt zum Endkunden (Fibre to the Home) könnte theoretisch 1000 MBit/s übertragen, ist aber praktisch überall mit langsameren Kupferkabel kombiniert. Die Angebote nennen daher vergleichsweise bescheidene 25 bis 200 MBit/s. Glasfasernetze sind in Deutschland nur sporadisch anzutreffen.

Das Funknetz UMTS erzielt theoretisch bis zu 42 MBit/s. Typische Angebote liegen bei 7, 14 und 21 MBit/s. Neben der relativ geringen Geschwindigkeit müssen UMTS-Kunden mit einem knappen Downloadlimit auskommen. Wer dies überschreitet, wird auf mageren Kilobyte-Durchsatz gedrosselt. UMTS bleibt ein Notnagel, wo sonst nichts geht.

Das Funknetz LTE (Long Term Evolution, UMTS-Nachfolger) liefert – in der Theorie – bis zu 375 MBit/s. Die Angebote der Hauptprovider Telekom, Vodafone und O2 bewegen sich überwiegend zwischen 7 und 50 MBit/s. Auch hier gibt es enge Downloadlimits, deren Überschreitung die Leitung drosselt.

Verfügbarkeit prüfen: Simpelster Rat ist es, positive Erfahrungen der Nachbarn zu erfragen. Eine systematische Recherche-Quelle ist der Breitbandatlas unter www.zukunft-breitband.de, der Techniken und Anbieter für die Region anzeigt und dabei auch einen Filter für die gewünschte Bandbreite vorsieht. Mit einer Verfügbarkeitsprüfung beim passenden Anbieter mit genauer eigener Adresse erhalten Sie dann zuverlässige Auskunft.

Downloads und Uploads: Provider-Angebote nennen meist nur die Empfangsleistung, also die Download-Bandbreite. Das ist insofern berechtigt, als 99 Prozent der Endkunden nur Daten abholen wollen (HTML-Seiten, Medien-Streams, Datei-Downloads). Wer zu Hause einen Server betreibt oder beruflich große Datenmengen an Server verschicken muss, sollte auch an die Upload-Leistung denken. Die liegt oft nur bei 1 bis 3 MBit/s. Schnellere Uploads sind in der Regel nicht gesondert, sondern nur über teurere Gesamtpakete zu erreichen, die dann zugleich schnellere Downloads erlauben.

Breitbandatlas

 

Die zwei IP-Adressen (LAN und WAN)

Im lokalen Netzwerk (LAN – Local Area Network) hat jedes Gerät hat seine IP-Adresse. Der Zugang ins Internet bedeutet den Schritt in ein anderes Netzwerk – ins WAN (Wide Area Network), und dafür ist eine zweite, öffentliche IP-Adresse notwendig. Alle PCs, Tablets oder sonstige Geräte in Ihrem Heimnetz gehen mit dieser einen WAN-IP ins Internet. Die öffentliche IP-Adresse können Sie nicht beeinflussen: Sie wird dem Router einmal täglich neu vom Provider zugewiesen. Auch beim manuellen Neustart des Routers erhalten Sie eine neue öffentliche WAN-IP. Feste WAN-IPs gibt es nur noch bei einigen Uralt- oder teuren Business-Verträgen.

Für typische Internet-Nutzung ist es unerheblich, seine WAN-IP zu kennen: Das Gerät im lokalen Netz fordert eine Seite im öffentlichen Internet an (meist via Browser), der Router merkt sich die lokale IP, geht mit der öffentlichen WAN-IP zum angefragten Internet-Server, der schickt die angefragten Daten über die WAN-IP zum Router zurück, und der Router leitet sie schließlich an jenes Gerät weiter (an dessen lokale IP-Adresse), das die Anfrage ausgelöst hatte.
Der skizzierte Vorgang der „Network Address Translation“ (NAT) des Routers sorgt dafür, dass der Benutzer über den permanenten Wechsel vom lokalen Netz ins öffentliche Netz und wieder zurück nichts wissen muss. NAT sorgt ferner dafür, dass das lokale LAN-Netz und die dort befindlichen Teilnehmer vor unerwünschten Anfragen aus dem Internet abgeschottet sind: Alle Teilnehmer (IPs) im lokalen Netz sind nicht direkt erreichbar, sondern nur über die WAN-IP. Eine direkte Kommunikation vom Internet zu einem LAN-PC ist daher nicht möglich, und das ist aus Sicherheitsgründen auch gut so. Der Router verwirft alle Datenpakete aus dem Internet an die öffentliche WAN-IP, die von keinem Gerät im lokalen Netzwerk angefordert wurden.

Externe WAN-IP ermitteln

Die externe WAN-IP wird wichtig, wenn Sie über das Internet auf irgendeinen Serverdienst Ihres lokalen Netzwerks zugreifen oder die Sicherheit Ihres Netzes von außen prüfen wollen (etwa mit nmap). Die WAN-IP zeigt der Router in seiner Konfigurationsoberfläche, so etwa die Fritzbox unter „Übersicht“. Ferner gibt es zahlreiche Webdienste wie etwa www.browsercheck.pcwelt.de/firewall-check, welche die öffentliche IP via Browser zurückliefern.
Auf der Kommandozeile genügt der Befehl:

curl ifconfig.co

Sie erhalten ohne Umschweife die öffentliche WAN-IP. Auch das beliebte Kommandozeilen-Tool inxi, das über den gleichnamigen Paketnamen schnell nachinstalliert ist, beherrscht mit Parameter inxi -i die Abfrage der WAN-IP.

Das Heimnetz über Portfreigaben öffnen

Wer Daten oder Dienste seines lokalen Heimnetzes unterwegs aus dem öffentlichen Internet erreichen will, steht vor technischen und sicherheitstechnischen Problemen. Hinsichtlich der Benutzerauthentifizierung müssen weit strengere Regeln gelten als im lokalen Netz, da mit permanenten Einbruchsversuchen zu rechnen ist. Daher verbieten sich standardisierte User-Namen wie „root“ oder „gast“, und bei den Zugangskennwörtern sind komplexe Passwörter zwingend, an denen Wörterbuchattacken scheitern. Technisch entstehen drei Aufgaben:

1. Der Router benötigt eine Portfreigabe. Welche Portnummer (1- 65535) Sie nach außen öffnen, ist unerheblich – Sie müssen sie sich nur merken. Mit einer Portnummer größer 1000 erhöhen Sie theoretisch die Sicherheit, da Portscanner oft nur prominente Standardports abfragen (etwa 21 FTP, 22 SSH, 80 HTTP, 110 POP-Mail, 143 IMAP-Mail) oder die ersten 1000. Die Portfreigabe geschieht im Router, in der Fritzbox unter „Internet -> Freigaben -> Portfreigaben“. Bei anderen Routern mag das „Portforwarding“, „Portmapping“ oder „Virtual Server“ heißen, das hier für die Fritzbox erklärte Prinzip ist aber überall gleich: Sie tragen neben „von Port“ und „bis Port“ eine frei gewählte Portnummer ein, die nach außen geöffnet wird. Unter „an Port“ müssen Sie genau den Port-Kanal angeben, mit dem der Serverdienst arbeitet. Das kann beispielsweise 22 für SSH oder 80 für einen Webserver sein. Die Abbildung zeigt ein Beispiel für den SSH-Fernzugriff.

2. Der Heimserver benötigt eine feste lokale IP. Damit der Router Anfragen aus dem Web über die definierte Portnummer (frei wählbar) an das richtige Gerät schickt, ist es zuverlässiger, sich nicht auf dessen Hostnamen zu verlassen, sondern mit einer festen IP zu arbeiten. Die Fritzbox erledigt dies unter „Heimnetz -> Heimnetzübersicht -> Netzwerkverbindungen“ mit der Option „Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen“.

3. Für den Fernzugriff auf den heimischen Server benötigen Sie die öffentliche WAN-IP. Der Fernzugriff für das abgebildete SSH-Beispiel kann dann mit ssh -p [Port] [User]@[WAN-IP] erfolgen, also etwa mit:

ssh -p 10880 ha@178.27.34.204

Dabei stellt sich jedoch das Problem, dass Sie die aktuelle WAN-IP Ihres Heimnetzes nicht ermitteln können, wenn Sie sich außerhalb Ihres Netzwerks befinden. Dafür gibt es zwei Lösungen:

3a. Sie registrieren eine Pseudo-Domain etwa bei www.noip.com oder www.dlinkddns.com (für D-Link-Router). Kontodaten und Hostnamen geben Sie dann in die dafür vorgesehenen Eingabefelder des Routers ein. Bei der Fritzbox finden Sie diese unter „Internet -> Freigaben -> Dynamic DNS“. Der Router wird ab sofort bei jeder Einwahl seine WAN-IP an diesen Dienst weitergeben. Folglich führt die Angabe der Pseudo-Domain weltweit in Ihr Heimnetz.
3b. Sie sorgen selbst dafür, dass die aktuelle WAN-IP Ihres Netzwerks irgendwo im Internet hinterlegt ist. Für diese Methode ohne externe Fremdhilfe liefert der nachfolgende Haupttext dieses Artikel Tipps und Anregungen.

Portfreigabe

Speedtest mit und ohne Browser

Wie schnell ist die Internetverbindung? Als aussagekräftig haben sich die Messwerte von Speedtest.net erwiesen (www.speedtest.net), und viele Provider, die scheinbar eigene Speedtests anbieten, nutzen im Hintergrund ebenfalls Speedtest.net. Die typische Messung erfolgt mit dem Browser, der dazu aktuelles Adobe Flash benötigt. Auf Linux-Systemen, zumal auf Servern ohne grafische Oberfläche, gibt es eine universellere Testmethode im Terminal. Das Python-Script speedtest.py benötigt keinen Browser, lässt sich mit

wget -O speedtest.py https://raw.githubusercontent.com/sivel/speedtest-cli/master/speedtest.py

in das aktuelle Verzeichnis laden und danach mit

python speedtest.py

starten. Durch Pings ermittelt das Script den optimalen Testserver und führt dann die Messungen für die Download- und Upload-Geschwindigkeit durch. Technische Basis ist auch hier der weltweite Web-Service von speedtest.net.

Speedtest

Wie schnell ist der Web-Server?

Wer seinen eigenen Webserver testen will, nutzt am besten das Kommandozeilen-Tool Siege, das unter diesem Paketnamen überall unter Linux verfügbar ist. Siege erzeugt auf dem Zielserver mit einer konfigurierbaren Flut von Anfragen eine ordentliche Last. Siege hat die Anlagen eines Denial-of-Service-Tools und sollte nur zeitlich und numerisch begrenzt, außerdem nur auf eigene Server losgelassen werden. Einen Stresstest mit 50 Verbindungen startet dieses Kommando:

siege -c50 -b www.meinserver.de

Die Anfragen laufen endlos, bis Sie mit Strg-C abbrechen. Nach Abbruch der Belagerung zeigt Siege eine Statistik der Messwerte an. Weitere Server-Tests mit zusätzlichen Ratschlägen zur Leistungsverbesserung bieten Web-Dienste wie https://developers.google.com/speed/pagespeed/insights von Google oder die Pingdom-Analysen unter http://tools.pingdom.com/fpt/.

Downloads und Uploads mit wget und curl

Für automatisierte Downloads und Uploads sind Browser und grafische FTP-Programme ungeeignet. Die wichtigsten Kommandozeilen-Werkzeuge wget und curl sind daher auf den meisten Linux-Systemen standardmäßig installiert. Wget beherrscht den rekursiven Download und kann somit eine komplette Website lokal speichern:

wget –r -l8 http://meineseite.de

Dieser Befehl holt bis in die achte Verzeichnisebene (-l8) alle Dateien von der angegebenen Website. Einzeldownloads sind natürlich mit wget http://seite.de/Datei.txt ebenfalls möglich. Über wget-Downloads lassen sich auch PHP-Scripts auf Web-Servern auslösen. Wo nötig, kann sich wget über die Parameter „–user=“ und „–password==“ auf dem Webserver ausweisen.

Curl beherrscht Uploads und Downloads, allerdings nicht rekursiv. Da Sie alle Downloads mit wget erledigen können, ist Curl vor allem für automatische Uploads relevant. Der entscheidende Parameter für Uploads ist „-T“. Die meist nötige Authentifizierung für FTP-Uploads beherrscht Curl über den Parameter „–user [ftpuser]:[kennwort]“. Das folgende konkrete Beispiel

curl -T ha.kbdx ftp://meinserver.de/ordner/ha.kbdx --user ha:geheim

ist im nachfolgnden Haupttext genauer erläutert.

Domain-Abfragen mit Host und Whois

Das standardmäßig installierte Tool host gibt die IP-Adresse einer Web-Domain zurück:

host google.de

Wer weitere Details erfragen will, sollte whois nachinstalieren, das mit gleichnamigen Paketnamen unter jedem Linux zu beziehen ist. Das Tool liefert zur angegebenen Site mindestens ausführliche Angaben zum Hoster, oft aber weitere Infos zum Domain-Besitzer einschließlich Adresse und Telefon. Whois ist auch hilfreich, um bei Spam-Mails mit gefälschten Adressen den realen Web-Server zu ermitteln.

 

Tipps und Tricks fürs Internet

1. Sicherheit im Browser: Die Schutzmechanismen

Firefox bietet unter „Extras -> Einstellungen -> Sicherheit“ drei Optionen, um betrügerische Webseiten zu blockieren. Hier sollten unter „Allgemein“ alle Kästchen aktiviert sein. Es handelt sich allerdings nur um einen Grundschutz, der durch Add-ons erweitert werden sollte. Chrome zeigt unter „Einstellungen -> Erweiterte Einstellungen anzeigen -> Datenschutz“ die Option “ Mich und mein Gerät vor schädlichen Websites schützen“. Früher hieß die Option technisch klarer „Phishing- und Malware-Schutz aktivieren“. Sie sorgt dafür, dass Chrome den Zugang auf gefährliche Sites blockiert und vor „ungewöhnlichen“ Downloads warnt. Ob es sich letztlich um eine harmlose Datei handelt, welche die Google-Datenbank nur nicht kennt, können Sie dann selbst entscheiden.

Weitere empfohlene Browser-Erweiterungen finden und installieren Sie über „Add-ons“ in Firefox oder über „Einstellungen -> Erweiterungen“ in Chrome/Chromium. Das Firefox-Add-on Noscript verhindert, dass Webseiten Javascript, Java oder andere ausführbare Inhalte automatisch starten. Sie haben die Kontrolle, ob solche Scripts starten dürfen. Das ist nicht immer bequem, da auf vielen interaktiven Seiten die Scripts explizit erlaubt werden müssen. Einmal erlaubte Sites landen aber in der Whitelist und müssen später nicht mehr bestätigt werden.

Chrome zeigt unter „Einstellungen -> Erweiterte Einstellungen -> Inhaltseinstellungen -> JavaScript“ eine Option, Javascript generell zu verbieten. Das ist nicht praktikabel, da dann sehr viele interaktive Web-Seiten nicht mehr funktionieren (etwa Google Drive, Google Store). Eine alltagstaugliche, mit Firefox-Noscript vergleichbare Lösung, steht nach der Einstellung von Notscript 2014 aus.
HTTPS Everywhere: Die Erweiterung wählt, wo immer verfügbar, eine verschlüsselte HTTPS-Verbindung zu einer Website. Verschlüsseltes HTTPS ist vor allem bei Bankgeschäften und Einkäufen im Internet unverzichtbar, weil Sie Zugangsdaten oder Kreditkartendaten über das Netz versenden müssen. Der Browser zeigt eine verschlüsselte Verbindung zur zertifizierten Gegenstelle in der Adresszeile grün gefärbt. Verifizieren Sie das immer, bevor Sie Daten eingeben.

Die über Jahre empfohlene Erweiterung Web of Trust (WOT) ist nach Bekanntwerden zweifelhafter Verkaufspraktiken disqualifiziert. WOT basiert auf einer an sich zuverlässigen Community-Datenbank mit betrügerischen oder jugendgefährdenden Websites und warnt vor dem Betreten solcher Seiten. Ende 2016 wurde allerdings bekannt, dass WOT die gesammelten Benutzerdaten an Big-Data-Kollektoren verkauft. Mozilla Firefox nahm WOT umgehend aus seinem Add-on-Angebot, und wo es bereits läuft, rät der Browser zur Abschaltung. Für Google Chrome ist es weiter erhältlich. WOT erhöht weiterhin die Sicherheit bei der Internet-Nutzung, ist aber aus Datenschutzgründen mehr als bedenklich.

Firefox blockt WOT: Die Browser-Erweiterung WOT verkauft gesammelte Nutzerdaten und hat sich damit aus Datenschutzgründen disqualifiziert.

2. Maximale Sicherheit: Banking mit Livesystem

Die Mehrzahl der Bankgeschäfte – Überweisungen, Buchungen, Daueraufträge – werden heute online mit SMS-TANs erledigt. In diesem Fall ist der Browser die Schnittstelle zur Bank, und dessen Sicherheitslücken können potenzielle Angreifer ausnutzen. Voraussetzung bei allen bisher bekannten Angriffsmethoden war aber immer, dass unabhängig von der eigentlichen Banking-Aktion bereits vorher schädlicher Code auf dem System eingeschleust wurde. Daher bietet das virenresistente Linux deutlich höhere Sicherheit als Windows. Überhaupt keine Chance haben Schädlinge, wenn Sie Bankgeschäfte mit Linux und einem schreibgeschützten Livesystem erledigen.
Spezialisierte Livesysteme mit Sicherheitsfokus sind Tails (https://tails.boum.org/index.de.html), Porteus (www.porteus.org) oder Trusted End Node Security (früher Lightweight Portable Security, https://www.spi.dod.mil/lipose.htm). Im Prinzip minimiert aber jedes beliebige Livesystem alle Risiken drastisch. Auf Livesystemen überleben Systemveränderungen vom Benutzer oder von einem Virus keinen Neustart. Da Sie als Software nicht mehr als den Browser benötigen, eignen sich am besten kleine, schnell startende Livesysteme wie etwa Puppy Linux, Quirky, Antergos oder Bunsenlabs.

Mit einem Linux-Livesystem sicher zur Bank: Da nur ein Browser notwendig ist, genügt jedes minimale Livesystem wie hier Puppy Linux.

3. Datenschutz durch Spezialsystem Tails

Tails (The Amnesic Incognito Live System) ist eine populäre Linux-Distribution im Zeichen von Anonymität und Datenschutz. Wenn Sie auf der Projektseite https://tails.boum.org auf „Installieren Sie Tails“ klicken, startet ein deutschsprachiger Installations-Assistent, der Sie Schritt für Schritt bei der Erstellung eines USB-Sticks begleitet. Tails erfüllt als Livesystem alle Sicherheitsansprüche, geht aber wesentlich weiter: Es nutzt das Tor-Netzwerk, das sämtlichen Internetverkehr (Browser, Mail, FTP) über jeweils drei Zwischenstationen abwickelt. Zielserver erfahren also nie Ihre öffentliche WAN-IP, sondern nur die des letzten Tor-Knotens.

Das Livesystem ist vorab so konfiguriert, dass alle Internet-Programme wie Browser oder Mail-Client das Tor-Netzwerk einsetzen. Sobald Sie sich angemeldet haben, dauert es ein paar Sekunden und Sie erhalten die Benachrichtigung, dass Tor gestartet ist. Das Zwiebelsymbol im Systempanel färbt sich grün. Ein Rechtsklick und der Aufruf des „Kontrollpanel“ bestätigt die Verbindung zum Tor-Netz. Somit können Sie mit dem anonymisierten Surfen beginnen. Wenn Sie eine der zahlreichen Seiten zur Ermittlung Ihrer externen IP-Adresse aufrufen (www.wieistmeineip.de), werden Sie sehen, dass sich die externe Adresse regelmäßig ändert.

Als Tor-Knoten kann sich allerdings jeder zu Verfügung stellen („Einstellungen -> Beteiligung -> Relais-Verkehr…“). Es gibt keine technische (Bandbreite) oder personelle Kontrolle. Die Surfgeschwindigkeit kann daher je nach Zwischenstationen beträchtlich sinken. Gelingt es Überwachungsstellen, Tor-Knoten zu kontrollieren, können Nutzer wieder de-anonymisiert werden. Außerdem ist es bei strafrechtlichen Tatbeständen zwar ein ungleich höherer Aufwand, aber keineswegs ausgeschlossen, durch Analyse aller Tor-Verbindungsdaten die Spur zum Täter zurückzuverfolgen.
Für (technische) Sicherheit im Web ist Tails nicht notwendig. Es handelt sich um ein Anonymisierungswerkzeug für besonders misstrauische Nutzer, die dafür auch langsame Verbindungen in Kauf nehmen. Wer nur Datensammler wie Google mit Re-Targeting und nachfolgender Werbebelästigung loswerden will, kommt mit dem „Private“- oder „Inkognito“-Modus von Firefox und Chrome aus (-> Punkt 5).

4. Datenschutz im Browser: Verschlüsselte Synchronisierung

Die Browser-Synchronisierung von Lesezeichen, Online-Kennwörtern, Einstellungen, Erweiterungen und Skins bedeutet für Nutzer mehrerer Geräte einen unschätzbaren Komfort. Weniger erfreulich ist der Nebenaspekt, dass dabei Mengen von persönlichen Daten auf Google- oder Mozilla-Servern hinterlegt werden müssen.
Der Mozilla-Browser Firefox verschlüsselt standardmäßig alle Daten, wobei der Schlüssel auf dem Gerät des Benutzers verbleibt. Generell darf Mozilla zu den „Guten“ gerechnet werden, die ein Auswerten von Nutzerdaten nicht selbst betreibt, sondern allenfalls zulassen muss.
In Chrome/Chromium werden standardmäßig nur die Kennwörter verschlüsselt. Aber unter „Einstellungen -> Erweiterten Synchronisierungseinstellungen“ (vorherige Google-Anmeldung vorausgesetzt) gibt es die zusätzliche Option „Alle synchronisierten Daten […] verschlüsseln“, bei der Sie ein individuelles Kennwort zur Sync-Verschlüsselung vergeben, das unabhängig vom Google-Kennwort ist. Der Komfortverlust ist nicht gravierend, da Sie dieses Kennwort auf jedem weiteren Gerät nur ein einziges Mal eingeben müssen. Alle Daten landen dann verschlüsselt auf dem Google-Server, der Schlüssel dazu (Kennwort) verbleibt auf dem lokalen Gerät.

Keine Infos an Google verschenken: Die Browser-Synchronisierung in Chrome und Chromium lässt sich so einstellen, dass Google nichts mehr zu lesen hat.

5. Datenschutz im Browser: „Inkognito“ und „Do not Track“

„Inkognito“ Surfen bietet keinerlei technischen Schutz vor digitalen Schädlingen oder betrügerischen Webseiten. Es anonymisiert auch nicht die IP-Nummer und verschleiert keine strafbaren Handlungen. Das Browsen im „Inkognito-Fenster“ (Chrome) oder im „Privaten Fenster“ (Firefox) ist aber eine nützliche Datenschutzmaßnahme: Es unterbindet den Großteil der Tracking-Schnüffelei der Website-Betreiber. Ein wichtiger Nebenaspekt ist ferner, dass Sie hier ohne Cookies und Web-Protokolle unterwegs sind und daher neutrale und ungefilterte Ergebnisse erhalten (gelegentlich wichtig bei Suchmaschinen und Online-Shops). In Chrome und Firefox starten die Tastenkombinationen Strg-Umschalt-N und Strg-Umschalt-P am schnellsten ein privates Fenster.

Neben dem nützlichen Inkognito-Modus bietet mittlerweile fast jeder Browser eine „Do not track“-Option. Dieser Info-Tag im HTTP-Header der Browser-Anfrage sollte es der Gegenstelle verbieten, Nutzungsprofile über den Besucher anzulegen. Der Effekt ist aber fraglich, weil Websites nicht verpflichtet sind, diese Bitte zu berücksichtigen. In Chrome/Chromium wählen Sie im Menü „Einstellungen“ und dort ganz unten „Erweiterte Einstellungen“. Im Abschnitt „Datenschutz“ finden Sie die Option „Mit Browserzugriffen eine „Do Not Track“-Anforderung senden“. Auch beim Firefox ist „Do not track“ nicht standardmäßig aktiv. Sie finden die Einstellung im Menü unter „Einstellungen -> Datenschutz“ in der Option „Websites mitteilen, meine Aktivitäten nicht zu verfolgen“.

6. Datenschutz: Mailverschlüsselung mit Thunderbird

Das Verschlüsseln der Mail-Korrespondenz ist wie jede Datenschutzmaßnahme mit gewissem Mehraufwand verbunden. Die Kombination von GnuPG plus Thunderbird mit Erweiterung Enigmail ist die wohl komfortabelste Lösung, erfordert aber etwas Gewöhnung und zumindest einen Anteil von Mail-Partnern, die ebenfalls GnuPG nutzen. Thunderbird und GnuPG (GNU Privacy Guard) sind auf Linux-Desktops meist vorinstalliert, und falls nicht, über die Paketnamen „thunderbird“ und „gnupg“ schnell nachgerüstet (für Windows gibt es Downloads unter www.mozilla.org und www.gnupg.org). Enigmail finden und installieren Sie in Thunderbird über „Add-ons“.

GnuPG verwendet zwei Schlüssel: Der öffentliche Schlüssel eines Mail-Teilnehmers wird dafür genutzt, Nachrichten an diesen Teilnehmer zu verschlüsseln. Der Teilnehmer selbst entschlüsselt die Nachricht mit seinem geheimen, privaten Schlüssel.
Nach der Installation der Enigmail-Erweiterung und einem Thunderbird-Neustart verwenden Sie im automatisch angebotenen Einrichtungsassistenten die „ausführliche Konfiguration“. Im ersten Schritt geben Sie die „Passphrase“ ein. Das Passwort benötigen Sie später, um auf Ihre Schlüssel zugreifen zu können. Es bildet auch die Grundlage für die Schlüssel. Nach der doppelten Eingabe legt Enigmail das neue Schlüsselpaar (öffentlich/privat) an. Falls Sie auf einem anderen Rechner bereits ein eingerichtetes Enigmail und ein Schlüsselpaar besitzen, wählen Sie im Assistenten die Option, bestehende Schlüssel zu importieren. Schlüssel lassen sich über „Enigmail -> Schlüssel verwalten“ als Ascii-Dateien exportieren und auf anderen Rechnern importieren.

Öffnen Sie wie gewohnt den Editor zum Verfassen von Nachrichten. Dort hat Enigmail jetzt eine weitere Symbolleiste platziert. Möchten Sie eine ausgehende Nachricht verschlüsseln, benötigen Sie den öffentlichen Schlüssel des Empfängers. Wenn Ihnen dieser als Textdatei vorliegt, können Sie den Schlüssel über „Enigmail -> Schlüssel verwalten -> Datei importieren“ einlesen. Alternativ gibt es Schlüsselserver, die öffentliche GnuPG-Schlüssel aufbewahren. Über „Schlüsselserver -> Schlüssel suchen“ sehen Sie nach, ob die Empfängeradresse dort eingetragen ist; falls ja, importieren Sie den Schlüssel mit einem Klick. Umgekehrt ist es sinnvoll, den eigenen Schlüssel über „Schlüsselserver -> Schlüssel hochladen“ im Web zugänglich zu machen.

Nach einem Schlüsselimport ist der neue Mail-Empfänger Enigmail/GnuPG bekannt. Künftig klicken Sie beim Verfassen einer Nachricht an diesen Empfänger auf das Symbol mit dem Schloss. Enigmail lässt sich auch so einstellen, dass Mails automatisch verschlüsselt gesendet werden, wenn für die Empfänger-Adresse schon ein Schlüssel vorliegt („Enigmail -> Einstellungen -> Senden“). Um Mails verschlüsselt zu versenden, müssen Sie Ihr Passwort eingeben. Wenn Sie mit dem Schloss-Symbol verschlüsselt senden wollen, aber kein Empfänger-Schlüssel vorliegt, erscheint automatisch der Hinweis, dass dieser Empfänger „nicht gültig“ ist. Dann besorgen Sie sich entweder den öffentlichen Schlüssel oder Sie senden unverschlüsselt.

Erhalten Sie umgekehrt eine E-Mail, die verschlüsselt wurde, erkennt Enigmail das automatisch. Wenn Sie im Vorschaubereich von Thunderbird auf das Element klicken, werden Sie dazu aufgefordert, das Passwort einzugeben. Wenige Augenblicke später erscheint die Nachricht.

Beachten Sie, dass Sie bei der Nutzung mehrerer Rechner die Schlüsselverwaltung manuell synchron halten müssen. Eine wichtige Hilfe ist wieder „Enigmail -> Schlüssel verwalten -> Datei exportieren“, wobei Sie einfach sämtliche Schlüssel markieren. Die resultierende Ascii-Datei lässt sich dann auf dem nächsten Rechner in einem Rutsch importieren.

Verschlüsselte Mail mit GnuPG und Enigmail: Wenn Sie versuchen, verschlüsselt zu senden, aber für den Adressaten kein Schlüssel vorliegt, öffnet sich automatisch die Schlüsselverwaltung.

7. Datenschutz: Verschlüsseln der Cloud-Daten

Dateien auf Dropbox, Onedrive, Hidrive & Co. sollten verschlüsselt werden, zumindest jene mit sensiblem Inhalt. Ohne Vorbereitung praktikabel, aber etwas unkomfortabel sind passwortgeschützte Packer-Archive etwa mit 7-Zip. Wenn Sie eine Cloud wie Dropbox über einen lokalen Synchronisierungsordner nutzen, dann ist der Einsatz von EncFS (Encrypted File System) mit grafischem Frontend Cryptkeeper komfortabler. EncFS und Cryptkeeper sind unter Debian, Ubuntu oder Linux Mint mit

sudo apt-get install encfs cryptkeeper

schnell nachinstalliert. Die Ersteinrichtung müssen Sie auf der Kommandozeile mit encfs erledigen, da Cryptkeeper Quellordner und Mountordner auf gleicher Ebene anlegt. Das wäre in diesem Fall kontraproduktiv, weil die Cloud neben den verschlüsselten auch die unverschlüsselten Dateien erhielte:

 encfs ~/dropbox/privat ~/Dokumente/dropbox

Sie arbeiten dann unter „~/Dokumente/dropbox“ normal mit den Dateien, die unter „~/dropbox/privat“ verschlüsselt werden. In der Cloud landen demnach nur verschlüsselte Daten.
Den bequemen cryptkeeper mit seinem Schlüsselsymbol in der Systemleiste können Sie später über die Option „Importiere EncFS Ordner“ mit dem Dropbox-Ordner bekannt machen. Der erlaubt einfache Auswahl zwischen mehreren EncFS-Ordner und schnelles Mounten und Aushängen per Mausklick.
Beachten Sie, dass alle sonstigen Dateien im Cloud-Verzeichnis weiter unverschlüsselt bleiben. Wenn Sie diese nachträglich verschlüsseln möchten, müssen Sie diese in den verschlüsselten Unterordner verschieben.

8. Datenschutz: Keepass-X mit Synchronisierung

Die Browser-Synchronisierung (-> Punkt 4) ist eines der komfortabelsten Cloud-Angebote. Dennoch hat sie zwei Mängel: Erstens machen Sie sich abhängig von Google oder Mozilla, zweitens speichern Firefox und Chrome keine lokalen Kennwörter. Wenn Sie alle Passwörter im Griff haben wollen, brauchen Sie zusätzliche Hilfe.
Der Passwort-Manager Keepass-X, der in gängigen Distributionen in den Paketquellen liegt (Debian/Ubuntu/Mint: sudo apt-get install keepassx) arbeitet als lokale Software und öffnet die maßgebliche KBDX-Datenbankdatei nach Eingabe des Keepass-Masterpassworts. Eine Synchronisierung der KBDX-Datei über mehrerer Rechner ist leider nicht vorgesehen, lässt sich aber über einen Trick erreichen, etwa über den lokalen Synchronisierungs-Ordner von Dropbox. Dann genügt es, Keepass-X mit der aktuellen KBD-Datei über den Aufruf

keepassx ~/Dropbox/[name].kbdx

zu laden. Dieser direkte Aufruf der Datenbankdatei funktioniert auch unter Windows.
Wer selbst einen Server besitzt, kommt ohne Cloud-Dienst aus und kann mit einem simplen Bash-Wrapper wie

cd ~
curl -O ftp://server.de/ordner/[name].kbdx --user 
  ftpuser:ftpkennwort
keepassx ~/[name].kbdx
curl -T [name].kbdx ftp://server.de/ordner 
  /[name].kbdx --user ftpuser:ftpkennwort

dafür sorgen, dass Keepass immer die aktuelle Datenbank nutzt und Änderungen wieder auf den Server zurückschreibt. Die KBDX-Datei ist per se verschlüsselt und kann ohne weiteren Schutz auf jedem Server liegen.

Verschlüsselte Keepass-Datenbank: Ohne Kenntnis des Datenbank-Kennworts bleibt der Keepass-Safe verschlossen. Die KBDX-Datei liegt daher auch auf öffentlichen Servern sicher.

9. Server: Homepage – öffentlich statt privat?

Eine Homepage kann neben öffentlichen Aufgaben auch dazu dienen, wichtige Downloads oder Infos bereitzustellen, die Sie überall erreichen wollen. Dabei sollten Sie aber sichergehen, dass nicht öffentlich wird, was Sie für den privaten Bedarf bevorraten. Google und andere Suchmaschinen durchsuchen praktisch alle verbreiteten Text-, Tabellen-, Präsentationsformate, selbst PDF- und Postscript-Dateien. Dies führt dazu, dass Suchmaschinen eventuell weltweit Inhalte präsentieren, die Sie für sich persönlich hochgeladen haben. Lediglich Zip-, Rar-, 7-Zip oder Tar-Archive sind den Bots zu mühsam. Packen ist also eine Methode, um die Crawler von Privatinhalten fernzuhalten. Eine weitere, noch einfachere Lösung ist ein „Disallow“ in der robots.txt. Diese Datei im Hauptverzeichnis Ihrer Site kann die Suchmaschinen von bestimmten Verzeichnissen fernhalten:

User-agent: *
Disallow: /Downloads/

Auch der Ausschluss von bestimmten Dateitypen ist möglich:

Disallow: /*.doc$

Für mehrere Anweisungen benötigen Sie je eine eigene „Disallow“-Zeile. Beachten Sie aber, dass sich die Suchmaschinen zwar an die robots.txt halten, dazu aber nicht verpflichtet sind. Packen ist letztlich sicherer.

10. Server: Homepage ohne Dateiauflistung

Ohne spezielle Vorkehrungen ist theoretisch jede Datei im Web von jedem Browser aus zu erreichen, wenn der URL-Pfad und der Dateiname bekannt oder zu erraten sind. Die Situation verschärft sich, wenn Sie für Verzeichnisse eine index.php oder index.html verwenden, die den Inhalt des Verzeichnisses auflistet. Der für Websites meist verantwortliche Apache-Server kann sogar so eingestellt sein, dass er Verzeichnislisten automatisch anbietet, ohne dass dafür eine Index-Datei notwendig wäre („/etc/apache2/apache2.conf“ und Einstellung „Options Indexes FollowSymLinks“). Hier genügt es in jedem Browser weltweit, den Verzeichnisnamen zu erraten („downloads“, „uploads“), um den Inhalt anzuzeigen und herunterzuladen. Standardmäßig schalten die Web-Hoster diese Einstellung allerdings ab.

Ungewöhnlich benannte Verzeichnisse oder PHP- und HTML-Datei erschweren das Erraten von privaten Daten. Allerdings gibt es spezialisierte Tools wie Dirbuster, die öffentliche Webserver hartnäckig nach Verzeichnisnamen durchkämmen, die in einer Wörterbuchdatei definiert sind. Deutlich sicherer ist es, den Zugriff mit einer htaccess-Datei zu beschränken. Das müssen Sie nicht manuell, sondern können es über das Kundencenter des Hosters erledigen. So bieten etwa Strato oder 1&1 einen „Verzeichnisschutz“, wo Sie nur einen Benutzer mit Kennwort anlegen müssen, danach das gewünschte Verzeichnis schützen und drittens dem vorher angelegten Benutzer eine Freigabe für das Verzeichnis erteilen.

Homepage als Cloud: Sorgen Sie dafür, dass nicht öffentlich wird, was als private Ablage gedacht ist. Der Schutz via htaccess ist am einfachsten über das Kundencenter des Hosters zu aktivieren.

11. Server: Portfreigabe ohne Fremdhilfe

Wie Sie einen Web-, FTP- oder SSH-Server im heimischen Netzwerk für das Internet freigeben, ist im Kasten „Internet-Grundlagen“ beschrieben. Wie dort skizziert, ist das Problem der wechselnden WAN-IP durch die tägliche Zwangstrennung auch ohne Hilfe durch Dyndns-Anbieter wie www.noip.com zu lösen. Die Zutatenliste hierfür ist keine große technische Herausforderung. Im Wesentlichen geht es nur darum, dass Sie Ihre aktuelle WAN-IP zuverlässig irgendwo im Internet vorfinden. Damit und mit der Portnummer, die Sie im Router freigegeben haben, kommen Sie dann von außen an den Home-Server. Im einfachsten Fall erkundigt sich ein Rechner im Heimnetz einmal täglich bei einem Web-Dienst nach der WAN-IP und schreibt sie in eine Textdatei:

curl ifconfig.co > wan-ip.txt

Diese Textdatei kopieren Sie dann etwa in den lokalen Synchronisierungsordner der Dropbox, wonach sie umgehend im Internet erreichbar ist. Oder Sie kopieren sie mit

curl -O ftp://meinserver.de/ordner/wan-ip.txt  
  --user [user]:[ftpkennwort]

auf einen FTP-Server im Web.
Wenn Sie eine Webseite besitzen oder einen Bekannten, der Ihnen dort Zugriff und ein paar Kilobyte einräumt, dann geht es auch ganz ohne Cloud und Web-Dienste:
1. Die Abfrage der WAN-IP muss aus dem heimischen Netz erfolgen. Am besten erledigt das der Server, dessen Dienste Sie freigeben wollen, mit einem Cronjob (nach crontab -e):

0 8 * * * wget --user=sepp --password=G3H3IM 
   http://server.de/ip/wan-ip.php

2. Das täglich um acht Uhr mit wget angestoßene PHP-Script liegt auf Ihrer oder Ihres Bekannten Website und enthält im Minimalfall folgende Zeilen:

Der Webserver ermittelt die WAN-IP Ihres Heimnetzes, da die Anfrage von dort kommt, und legt sie als TXT-Datei am Server ab – im gleichen Verzeichnis, wo auch das Script liegt. Somit können Sie die IP weltweit abgreifen und damit Ihr Heimnetz betreten.
Beachten Sie bei einer frei gewählten Nummer für die Portfreigabe (siehe „Internet-Grundlagen“), dass Sie beim Fernzugriff unbedingt auch den Port angeben müssen. Einen Apache-Webserver erreichen Sie dann etwa mit der Adresse http://[WAN-IP]:[Port] oder gegebenenfalls mit zusätzlicher Angabe des Verzeichnisses (etwa http://[WAN-IP]:[Port]/dokuwiki).

Portfreigabe und Adresse: Das im Router fürs Web freigebenene Wiki ist über die WAN-IP erreichbar. Die zusätzliche Port-Angabe ist erforderlich, weil der freigebenene Port auf 11080 gelegt wurde.

13. Server: Datentransfer über SSH (SFTP)

Ein über das Internet mit SSH zugänglicher Server bietet nicht nur Fernwartung im Terminal, sondern auch direkten Dateitransfer. Der verläuft verschlüsselt und ist somit sicherer FTP. Auf der Kommandozeile gibt es die Befehle scp (Secure Copy) und sftp (Secure File Transfer Protocol):

scp test.txt sepp@[WAN-IP]:~/sftp sepp@[WAN-IP]

Portfreigaben mit abweichender Portnummer (Standard ist 22) können Sie beiden Tools dem Parameter „-P“ mitteilen.

Weit komfortabler ist der Einsatz grafischer Dateimanager. Nautilus & Co. verstehen URLs wie ssh://[WAN-IP]:[Port] in der Adresszeile (die Adresszeile lässt sich mit Strg-L einblenden). Selbst unter Windows gibt es einen bequemen Zugriff: Filezilla beherrscht neben FTP auch SFTP: Sie können daher einen freigegebenen SSH-Server mit der WAN-IP, seinen Authentifizierungsdaten („Verbindungsart: Normal“) und SFTP-Protokoll in den Servermanager eintragen und sich verbinden.

Achtung: SFTP hat ein historisches Problem, das nach erfolgreicher Anmeldung zu Zeitüberschreitungsfehlern führt. Relativ einfache Abhilfe schafft eine Korrektur der Datei /etc/ssh/sshd_config auf dem SSH-Server. Ersetzen Sie dort

Subsystem sftp /usr/lib/openssh/sftp-server

durch „Subsystem sftp internal-sftp“ und starten Sie den SSH-Dienst mit sudo service ssh restart neu.

Via Internet am SSH-Server: Mit den Linux-Dateimanagern Nautilus & Co. gelingt der Datenaustausch problemlos und komfortabel. Unter Windows kann Filezilla aushelfen.

13. Server: Benutzer bei SSH ausschließen

Standardmäßig kann sich jeder Benutzer, der ein Konto auf einem Linux-Server hat, per SSH mit Kontonamen und Passwort anmelden. Im lokalen Heimnetz ist das meist in Ordnung, bei öffentlich erreichbaren Servern nicht. Der Benutzer root beispielsweise sollte sich nicht anmelden können, denn hier ist von den beiden Zugangshürden (Benutzer plus Kennwort) schon mal eine bekannt. Wenn ein Angreifer das root-Passwort durch eine Wörterbuchattacke errät, ist das System kompromittiert. Um root und andere Benutzer von SSH auszuschließen, ist eine Anpassung der Konfigurationsdatei /etc/ssh/sshd_config nötig. Tragen Sie die Zeile

 PermitRootLogin no

an einer beliebigen Position ein, um einen root-Login zu verbieten. Wichtige Voraussetzung für diese Maßnahme ist, dass sudo für einen oder mehrere Benutzer eingerichtet ist, damit man sich als Admin nicht selbst über das Netzwerk aussperrt. Weitere Benutzer schließen Sie durch die Zeile

DenyUsers [Benutzer1] [Benutzer2]

aus, wobei die Platzhalter [Benutzer] durch die tatsächlichen Namen der Benutzerkonten ersetzt werden. Die Einstellung wird nach

sudo service ssh restart

aktiv.

Zurück zur Linux-Übersichtsseite…

Linux-Systemtools in der Praxis

Um ein Linux-System zu beherrschen, greifen die Klicks in den „Systemeinstellungen“ zu kurz. Lesen Sie hier, wo Sie Systeminfos einholen, Protokolle und Konfiguration abgreifen, über User, Rechte und Tasks herrschen und Ihre Datenträger verwalten.

Systemtools

Wie viel Speicher steckt im Rechner? Sind noch Bänke frei? Wo ist die Konfigurationsdatei für den Samba-Server? Wie beende ich ein eingefrorenes Programmfenster? Und wo ist das Mount-Verzeichnis für das eingehängte Netzlaufwerk? Diese und viele weitere Fragen soll der folgende Beitrag praxisnah beantworten. Dabei kommen prominenteste grafische Programme unter den Desktop-Systemen Ubuntu und Linux Mint zu Wort, aber den größeren Anteil erhalten die typischen Terminalprogramme. Diese haben nämlich zwei entscheidende Vorteile: Erstens funktionieren sie auf allen Linux-Distributionen, zweitens sind sie alternativlos, wenn ein Server per SSH im Terminal administriert wird.

Alle Themen zu Netzwerk, Freigaben, Fernwartung, Internet bleiben außen vor. Einzige kleine Ausnahme sind Tipps zum Mountpunkt von Netzressourcen. Ein vergleichbares Praxis-Special zum Thema „Netzwerk“ ist für die nächste LinuxWelt geplant.

Hardware- und Systeminfos (1): Grafische Werkzeuge

Ubuntu gibt an der grafischen Oberfläche wenig über Hardware und System preis: Was hier unter „Systemeinstellungen -> Informationen“ angezeigt wird, kommt über Gesamtspeicher, CPU und die Angabe der Ubuntu-Version nicht hinaus. Wer ein grafisches Übersichtsprogramm vermisst, kann mit

sudo apt-get install hardinfo

ein bewährtes Tool nachinstallieren. hardinfo nennt sich auf deutschem System „System Profiler und Benchmark“ und ist unter Linux Mint standardmäßig an Bord (im Menü unter den „Systemtools“). Das Tool hat links eine Kategorienspalte, zeigt im rechten Fenster die zugehörigen Werte und generiert auf Wunsch auch einen HTML-Export. Hardinfo ist übersichtlich, klickfreundlich und zeigt wesentliche Infos – auch zum Betriebssystem, zum Dateisystem und zum Netzwerk. Außerdem gibt es einige Standardbenchmarks.

Ein weiteres empfehlenswertes grafisches Tool ist i-nex 0.5.2, das Sie unter https://launchpad.net/i-nex als DEB-Paket erhalten und mit Doppelklick unter Ubuntu/Mint installieren und danach verwenden können. Das Programm ähnelt CPU-Z für Windows, ist übersichtlicher und präziser als hardinfo, beschränkt sich aber ausschließlich auf die Hardware-Komponenten.

Empfehlung für Deskop-Nutzer: „System Profiler und Benchmark“ (hardinfo) hat ein umfassendes Repertoire zur Recherche der System-, Hardware- und Netzwerk-Eigenschaften.

Ganz auf Hardware spezialisiert: i-nex ist das übersichtlichste und präziseste grafische Werkzeug zur Hardware-seitigen Rechner-Inventur.

Hardware- und Systeminfos (2): Terminal-Werkzeuge

Die meisten grafischen Tools gießen nur die Ausgabe von Konsolen-Kommandos in eine hübschere grafische Form. Daher suchen und filtern Sie die gewünschten Daten letztlich zielsicherer, wenn Sie sich mit Konsolenwerkzeuge wie dmidecode, hwinfo und dmesg anfreunden und häufiger benötigte Infos als Script oder als Alias-Abkürzungen für das Terminal ablegen.

hwinfo: Das Tool ist meistens nicht Standard, aber über den gleichnamigen Paketnamen überall schnell nachinstalliert. Während

hwinfo --short

nur einen knappen Überblick über CPU, Grafikkarte, Festplatten, Netzwerk-Adapter und Festplatten-Controller verschafft, sammelt hwinfo ohne Parameter einen sehr umfangreichen Hardware-Bericht, der dann allerdings kaum mehr lesbar erscheint. Daher gibt es eine Vielzahl von (kombinierbaren) Schlüsselwörtern, um die Recherche einzugrenzen:

hwinfo --disk --partition

Die insgesamt 50 verfügbaren Kategorien zeigt das Tool nach hwinfo –help an.

Sämtliche USB-Geräte und PCI-Ports können auch die spezialisierten Standardtools lspci und lsusb, wobei Sie die Gesprächigkeit der Ausgabe durch die Parameter „-v“ und „-vv“ erhöhen können.

dmidecode: Nicht ganz so ausführlich wie hwinfo, aber für alle prakitschen Zwecke ausreichend arbeitet dmidecode, das root-Rechte oder vorangestelltes sudo benötigt. dmidecode unterstützt nach dmidecode -t einige Schlüsselwörter wie „bios“, „system“, „baseboard“, „processor“, „memory“, erwartet aber normalerweise eine Kennziffer (siehe man dmidecode). Eine detaillierte Aufstellung der Speicherbestückung liefert dmidecode beispielsweise mit der Kennziffer „17“:

sudo dmidecode -t 17

Hier erhalten Sie für jedes „Memory Device“ eine exakte Info über Größe, Typ und Geschwindigkeit. dmidecode kann auch gezielt mehrere Infos abfragen:

sudo dmidecode -t 5,6,16,17

Dieses Beispiel entspräche diesem Befehl

sudo dmidecode -t memory

mit dem Schlüsselwort „memory“.

dmesg: Bei Boot- und Hardware-Problemen ist dmesg („driver message“) das einschlägige Tool. Es zeigt die Kernel-Meldungen der laufenden Sitzung. Die Hauptmenge des dmesg-Protokolls fallen naturgemäß beim Booten des Rechners an. Wenn Sie den ungefähren Zeitpunkt des Hardware-Problems kennen, lassen Sie sich mit Schalter „-T“ die exakte Zeit der Kernelmeldung ausgeben:

dmesg -T

Damit können Sie die Mehrzahl der Meldungen zeitlich ausfiltern. Bei reproduzierbaren Problemen hilft auch dmesg -c: Das löscht nämlich alle bisherigen Meldungen, und Sie können dann die problematische Aktion ausführen und anschließend noch einmal dmesg -T befragen. Die Interpretation der Meldung ist dann freilich ein weiteres Problem: Eventuell enthält diese einen Hinweis auf ein konkretes Gerät. Details müssen Sie aber in der Regel über das Web recherchieren.

Hardware- und Systeminfos (3): Das Tool inxi

Das Kommandozeilen-Tool inxi ist nicht so detailliert wie hwinfo oder dmidecode, aber eine kompakte und schnelle Info-Perle für den Blick aufs Wesentliche. Sie erhalten das Bash-Monster unter Ubuntu/Mint über die Paketquellen:

sudo apt-get install inxi

Wer die aktuellste Version haben will, kann das Installationspaket für Ubuntu und Co. auch mit

wget ftp://cathbard.com/binary/inxi*.deb

laden und das Deb-Paket dann per Doppelklick installieren. Die Terminal-Eingabe

inxi –v7 –c12

wirft alle wesentlichen Hardware-Infos aus. „-v7“ steht für maximale Gesprächigkeit, „-c12“ ist nur eine Farbcodierung zur besseren Lesbarkeit. Selbstverständlich kann inxi auch gezielt Einzelinfos abrufen, etwa inxi –S zur detaillierten Anzeige des Betriebssystems oder inxi –s zur Abfrage der Temperatursensoren. man inxi zeigt die ganze, nicht ganz triviale Schalterpalette des Tools.

Komprimierte Anzeige nach typischer Parameterkombination: Was inxi auf wenigen Zeilen an Infos anbietet, ist beeindruckend.

Zur Abfrage der CPU- und System-Temperatur nutzt inxi das Tool lm-sensors, das daher ergänzend installiert werden sollte:

sudo apt-get install lm_sensors

Danach konfigurieren Sie das Tool mit

sudo sensors-detect

ein, wobei Sie alle Fragen bejahen. Nach dem Scan nach vorhandenen Sensoren erhalten Sie dann durch die Eingabe sensors oder auch mit inxi die aktuellen Temperatur-Infos.

Ausgabe des Kommandos sensors: Das Tool nennt auch gleich kritische Vergleichswerte, so dass Sie die aktuellen Werte beurteilen können.

inxi durch Aliases vereinfachen: Das Tool inxi hat annähernd 100 Schalter zur Auswahl bestimmter Infos und ihrer Darstellung (siehe inxi –help). Am einfachsten ist der Einsatz der Verbose-Level v0 bis v7, so etwa der Befehl inxi –v7 mit maximaler Gesprächigkeit innerhalb dieser Levels. Diese vereinfachenden Levels decken aber nicht das ganze Spektrum ab. So ist folgende Task-Analyse in diesen Levels gar nicht vorgesehen:

inxi –tc3 –tm3

Dies liefert die drei jeweils Ressourcen-intensivsten Tasks für CPU (c) und Speicher (m). Genauso wenig ist eine Anzeige der Repositories mit inxi –r in den Verbose-Level enthalten.

Wer mit einem Befehl noch mehr Infos abrufen will, kann dies mit einem Alias in der Datei ~/.bashrc erzielen, das mehrere inxi-Schalter kombiniert:

alias info='inxi -v7; echo " "; inxi -tm3; echo " "; inxi -tc3

Da inxi die Informationen äußerst komprimiert präsentiert, erzielen Sie ein besser lesbareres Resultat, wenn Sie mit einem Alias obigen Musters einzelne Infos abfragen und durch Leerzeilen trennen.

An dieser Stelle finden Sie ein Beispiel-Script ii.sh, das die Benutzung von inxi weiter vereinfacht. Es zeigt, wie Sie sich das Memorieren und Durchsuchen der zahlreichen inxi-Schalter ersparen und wie Sie außerdem weitere Informationen einbauen. Das Script ist am besten unter /usr/bin aufgehoben und benötigt das Execute-Flag (chmod +x ii.sh). Eine Alternative ist der Einbau als function in die versteckte Datei ~/.bashrc. Dazu ist der gesamte Code einfach zwischen

function ii ()
{
[Code]
}

zu kopieren.

Benutzung von inxi vereinfachen und erweitern: Ein einfaches Bash-Script nutzt inxi, sorgt aber für mehr Übersicht und zeigt Erweiterungsmöglichkeiten.

Hardware- und Systeminfos (4): Hardware Detection Tool (HDT)

Das Tool HDT (http://hdt-project.org/) verschafft einen umfassenden Überblick zur Hardware eines Computers, auf dem kein funktionierendes Betriebssystem installiert ist. HDT ist aber auch dann nützlich, wenn Sie mit dem installierten Betriebssystem nicht ausreichend vertraut sind, um damit schnell die erforderlichen Hardware-Informationen zu recherchieren.

Wählen Sie am besten den komfortableren „Menu Mode“. HDT zeigt alle Basisinformationen zur Hardware auf x86-kompatiblen Systemen an, unter anderem zu CPU, Hauptplatine, PCI-Karten, RAM-Speicher, DMI-Geräte, Soundchip, Festplatten und VESA-Fähigkeiten der Grafikkarte. Unter „Processor“ finden Sie auch sämtliche CPU-Extensions wie etwa die PAE-Fähigkeit (Physical Address Extension). Mit dem Eintrag „Reboot“ im textbasierten „Main Menu“ verlassen Sie das Tool und starten den Rechner neu.

Alle wichtigen Hardware-Infos mit HDT: Das Tool ist die schnellste Option einer Hardware-Inventur, wenn ein Betriebssystem fehlt oder dafür zu umständlich ist.

Verwaltung der User und Rechte

Der Kernel arbeitet mit numerischen User-IDs (UID) und Group-IDs (GID). Für die Übersetzung von Namen zu Nummern und umgekehrt sorgen die Konfigurationsdateien /etc/passwd (Benutzer) und /etc/group (Gruppen). So zeigt cat /etc/passwd alle Benutzerkonten einschließlich der impliziten Systemkonten. Eine Sortierung nach der User-ID mit

sort -t ":" -nk 3 /etc/passwd

macht die Liste übersichtlicher, da alle explizit eingerichteten Konten (Ids ab „1000“ aufwärts) ans Ende sortiert werden.

Desktop-Distributionen wie Ubuntu und Mint, aber auch NAS-Systeme wie Openmediavault bieten auch grafische Tools zur Benutzerverwaltung (Ubuntu: „Systemeinstellungen -> Benutzer“). Darauf verlassen kann man sich aber nicht. Der klassische Weg, neue Benutzer anzulegen, erfolgt mit daher root-Recht über diesen Befehl:

sudo useradd sepp

Das Home-Verzeichnis entsteht dabei automatisch. Die Dateien mit der Basis-Konfiguration im neu erstellen Home-Verzeichnis werden aus dem Vorlagenverzeichnis /etc/skel kopiert. Das neue Konto ist eröffnet, sobald mit

sudo passwd sepp

ein Kennwort hinterlegt ist. Löschen kann man Konten samt zugehörigen Ordner unter /home und dem Mail-Spool-Verzeichnis mit diesem Befehl:

userdel -r ich

Dateirechte rekursiv setzen: Um Zugriffsrechte für Dateien zu setzen, gibt es wieder die Wahl zwischen dem grafischen Dateimanager (Ubuntu: „Eigenschaften -> Zugriffsrechte -> Zugriff“) oder Terminalkommandos. Für rekursive Änderungen über ganze Verzeichnisse ist das Terminaltool chmod erste Wahl: Mit

chmod -R 777 ~/Dokumente

erlauben Sie allen Systemkonten die Rechte Lesen, Schreiben, Ausführen/Suchen für den Ordner „Dokumente“ inklusive aller enthaltenen Dateien und Ordner. Bei dieser numerischen Schreibweise gilt die erste Ziffer für das Konto, die zweite für die Gruppe, die dritte für alle anderen Konten. Nach dem Kommando

chmod -R 770 ~/Dokumente

hätten daher die andere Konten (dritte Stelle) keine Daterechte unter ~/Dokumente.

Zugriffsrechte: Über einen Dateimanager wie Nautilus ermitteln Sie, welche Rechte bei einer Datei oder einem Ordner gesetzt sind. Sie können die Berechtigungen hier auch ändern.

Systemprotokolle im Griff (1): Die Protokolldateien

Die Systemprotokolle sind unter „/var/log“ zu finden. Mit root-Rechten auf der Konsole können Sie diese mit den üblichen Kommando-Tools durchsuchen (cat, less oder tail). Beachten Sie dabei die Möglichkeit, gleich mehrere Dateien zu durchforsten und auf jüngste Einträge zu sichten (Beispiel):

tail -n20 auth.log syslog dpkg.log

auth.log protokolliert im Klartext und ausführlich alle Systemanmeldungen. Wer in aller Kürze die erfolgreichen und gescheiterten Log-ins kontrollieren will, kann sich zusätzlich an die Dateien „/var/log/wtmp“ (erfolgreich) und „/var/log/btmp“ (gescheitert) halten. Diese Dateien sind allerdings binär codiert und lassen sich am bequemsten mit last (erfolgreich) und lastb (gescheitert) auslesen:

last -200

lastb -200 root

Gezeigt werden hier jeweils die letzten 200 Anmeldungen, die sich – wie das zweite Beispiel zeigt – auch auf ein bestimmtes Konto filtern lassen.

syslog ist das Systemlogbuch und zeigt Ereignisse aller Art, die an den syslog-Daemon berichten – vorwiegend Kernel-, Hardware- und Cron-Ereignisse.

dpkp.log vermerkt alle manuellen (De-) Installationen und automatischen Updates. Ergänzend und in mancher Hinsicht übersichtlicher lohnt sich in diesem Zusammenhang auch der Blick in die Datei „/var/log/apt/history.log“.

Im Unterverzeichnis „/var/log/samba“ finden Sie für jedes zugreifende Netzgerät ein eigenes Protokoll – entweder mit Host-Namen oder lokaler IP-Adresse.

Die Webserver Apache und Nginx protokollieren unter /var/log/apache2 (oder ../nginx) in die Dateien access.log und error.log. Je nach Rechnerrolle sind auch diese Protokolle eine wichtige Infoquelle.

Systemprotokolle im Griff (1): Tools für Protokolldateien

Das grafische Standardprogramm „Systemprotokoll“ unter Ubuntu und Linux Mint (gnome-system-log) fasst immerhin vier wesentliche Protokolldateien in einem Fenster zusammen: Auth.log, Syslog, Dpkg.log, Xorg.0.log. Hübsch ist die Möglichkeit, bestimmte Ereignisse durch farbige Filter hervorzuheben und damit die Lesearbeit zu erleichtern. Diese Option ist recht unscheinbar in dem kleinen Zahnradsymbol rechts in der Titelleiste untergebracht („Filter -> Filter verwalten“).

Mehrere Dateien mit multitail im Blick: Der übliche Befehl zur Überwachung von Log-Dateien tail -f [Datei] zeigt die letzten Zeilen einer angegebenen Logdatei an und aktualisiert die Ausgabe in Echtzeit. Ein naher Verwandter von tail ist multitail, das in den Paketquellen der populären Linux-Distributionen zur Installation bereitsteht und mehrere Log-Dateien gleichzeitig und in Echtzeit anzeigt. Der Aufruf erfolgt einfach mit

sudo multitail [Datei1] [Datei2]

und der Angabe der gewünschten Dateien als Parameter. Vorangestelltes „sudo“ ist nur dann nötig, wenn nur root die Log-Datei lesen darf. Multitail teilt dazu das Konsolenfenster in mehrere Abschnitte auf, um alle angegebene Log-Dateien anzuzeigen. Praktisch ist  beispielsweise bei der Einrichtung von Webservern, um die Logs access.log und error.log im Auge zu behalten.

Ideal ist ein Script oder eine kleine Funktion, die immer das Wesentlichste einsammelt:

Echo Protokolle unter /var/log…
lastb
last -20
tail -20 /var/log/syslog
tail -20 /var/log/auth.log
tail /var/log/dpkg.log
tail /var/log/user.log
tail /var/log/apt/history.log

Ein solches Bashscript lässt sich mit einigen kommentierenden und abschnittsbildenden Echo-Befehlen natürlich noch lesbarer gliedern. Ein Grundgerüst finden Sie hier.

Konfigurationsdateien im Griff

Die meisten Konfigurationsdateien mit globaler Geltung liegen im Pfad „/etc“. Je nach Umfang erscheint die Datei dort als Einzeldatei wie etwa /etc/crontab oder in einem Unterverzeichnis wie /etc/samba/smb.conf, wenn die betreffende Software mehrere Konfigurationsdateien benötigt. Für die benutzerspezifische Konfiguration gibt es den Sammelordner unter ~/.config, also im Home-Verzeichnis.

Namen und Extensionen folgen keinen strengen Regeln: Manche Konfigurationsdateien tragen den Namen der betreffenden Software wie etwa „nginx.conf“ oder „vsftpd.conf“, andere heißen schlicht „ini“ oder „config“, und die Zuordnung zur Software erschließt sich durch einen Ordner wie „/mc/“ oder „/radicale/“, in dem sie liegen.

Das übliche Zeichen für Kommentare ist überall die Raute „#“. Es ist sehr zu empfehlen, eigene Eingriffe zu kommentieren, dies zweitens so, dass sich die eigenen Einträge von den Standardkommentaren unterscheiden. Möglich wäre etwa diese Form:

#ha# SSH-Standardport 22 geändert…

Dann erkennen Sie eigene Eingriffe sofort, auch wenn Sie die Datei monatelang nicht mehr angefasst haben.

In einfachen Fällen kann es genügen, für die wichtigsten Konfigurationsdateien einige Aliases in der Datei ~/.bashrc anzulegen, so etwa

alias ed1='nano /home/ha/.bashrc'

für das Editieren der bashrc selbst oder etwa

alias ed2='sudo nano /etc/ssh/sshd_config'

für das Ändern der SSH-Konfiguration.

Wer häufig mit diversen Dateien zugange ist, wird mit Alias-Abkürzungen schnell an seine Grenzen stoßen. Hier eignet sich ein kleines Shellscript, das alle wesentlichen Dateien anzeigt

echo " 0 /etc/ssh/sshd_config             SSH-Server"
echo " 1 …"

und dann mit

read -p " " answer
case $answer in
0) sudo nano /etc/ssh/sshd_config
1) …

die Auswahl mit Kennziffer oder Kennbuchstabe vorsieht. Das nebenstehende Bild zeigt, wie eine solche Config-Zentrale aussehen könnte. Das zugehörige Beispielscript config.sh finden Sie finden Sie hier. Die Pfade müssen an einigen Stellen angepasst werden und das Script muss über „Eigenschaften -> Zugriffsrechte“ ausführbar gemacht werden. Das Script bringen Sie am besten im home-Verzeichnis unter und spendieren ihm dann ein Alias

alias conf='sh ~/config.sh $1'

in der ~/bashrc. Dann können Sie Dateien noch schneller etwa mit „conf 1“ laden, deren Kennziffer Sie auswendig wissen.

Die nachfolgende Tabelle zeigt eine Anzahl prominenter Konfigurationsdateien inklusive Pfad.

Linux-Konfgurationsdateien

Selbst wenn Ihnen alle diese Dateien und Pfade geläufig sind, kann ein Script den Alltag vereinfachen: Ein für den betreffenden Pfad benötigtes „sudo“ ist schnell übersehen, und eine Sicherungskopie wäre nützlich gewesen, wenn man sich einmal schwer vergriffen hat.

Tipp: Wenn Sie erfahrungsgemäß gleichzeitig mehrere Konfigurationsdateien benötigen, dann können Sie alle gewünschten Dateien in den Editor Ihrer Wahl mit einem Befehl laden:

alias conf='sudo gedit ~/.bashrc /etc/inputrc /etc/rc.local'

Mit diesem Alias in ~/.bashrc lädt der Befehl conf alle genannten Konfigurationsdateien in gedit.

Config-Zentrale im Terminal: Wer sich die Mühe macht, ein kleines Script anzulegen, erreicht die meistgenutzten Konfigurationsdateien ohne lange Suche.

Datenträger (1): Dateimanager und Mountpunkte

Der Umgang mit internen Festplatten und Hotplug-Medien wie USB-Sticks oder DVDs ist auf jedem Desktop-Linux einfach. Sie schließen einen USB-Datenträger an oder legen eine DVD ein, und es erscheint umgehend ein Dateimanager-Fenster, das den Inhalt anzeigt, oder ein Dialog, der Zugriffsoptionen anbietet. Unter der Haube muss dabei jeder Datenträger oder auch eine Netzressource eingebunden werden (Automount) – standardmäßig unter /media. Die eingebundenen Datenträger sind in der Navigationsspalte des jeweiligen Dateimanagers unter „Mein Rechner“ oder unter „Geräte“ erreichbar sind. Wenn eingebundene Laufwerke nach dem ersten Hotplug erneut benötigt werden, empfiehlt sich daher der Gang zur Navigationsspalte des Dateimanagers. Im Terminal kann der Befehl

mount | grep /dev/sd

alle eingehängten Laufwerke und ihre Mountverzeichnisse anzeigen. grep ist nicht notwendig, filtert aber temporäre Dateisysteme weg. Für eine genauere Übersicht, die neben Gerätekennung, Mountpunkt und Label auch die eindeutige UUID anzeigt, sorgt der Befehl

blkid -o list

Tipp: Im Dateimanager geben Sie zur Auflistung aller angeschlossener Geräte „computer:///“ in das Adressfeld ein. Dazu müssen Sie vorher mit der Tastenkombination Strg-L von der Breadcrumb-Leiste zum editierbaren Adressfeld wechseln. Wenn Sie den realen Pfad, also den Mountpunkt eines Laufwerks im Dateisystem benötigen, etwa für Terminalarbeiten oder Scripts, dann hilft bei physischen Datenträgern ebenfalls das Adressfeld des Dateimanagers: Sie klicken erst das Gerät in der Navigationsspalte an und lassen sich dann mit Strg-L dessen Mountpunkt anzeigen.

Tipp: Standardmäßig sind einige Desktop-Distributionen so eingestellt, dass während der Sitzung gemountete Laufwerke nicht nur im Dateimanager auftauchen, sondern zusätzlich als Desktop-Symbol. Das kann lästig sein, wenn viele USB- oder Netzlaufwerke eingebunden werden. Unter „Systemeinstellungen -> Schreibtisch -> Eingehängte Datenträger“ können Sie das Verhalten unter Linux Mint abstellen, unter Ubuntu ist dafür das externe „Unity Tweak Tool“ erforderlich („Schreibtischsymbole“).

Datenträger (2): Automount von Netzfreigaben

Netzlaufwerke mountet Linux nicht unter /media, sondern in Gnome-affinen Systemen wie Ubuntu und Mint unter /run/user/1000/gvfs/. „1000“ ist die User-ID des ersteingerichteten Hauptkontos und lautet anders, wenn ein davon abweichendes Konto benutzt wird. „gvfs“ steht für Gnome-Virtual-Filesystem. Bei Netzlaufwerken führt das Adressfeld des Dateimanagers mit Protokollangaben wie „smb://server/data“ nicht zum Mountverzeichnis.

Tipp: Die Dateimanager typischer Linux-Desktops hängen angeklickte Samba- oder Windows-Freigaben automatisch ins Dateisystem ein (Automount). Unter Gnome-affinen Desktops wie Unity, Gnome, Cinnamon, Mate arbeitet dabei im Hintergrund das Gnome Virtual Filesystem (GVFS) und mountet unter /run/user/1000/gvfs/ in sprechende, aber unhandliche Mountordner.

Solange Sie im Dateimanager bleiben, kann es Ihnen gleichgültig sein, dass ein Mountordner etwa „/run/user/1000/gvfs/smb-share:server=odroid,share=data“ lautet. Wenn Sie die Ressource aber auf der Kommandozeile nutzen, etwa für rsync- oder cp-Befehle, ist der lange Pfad lästig. Abhilfe schafft manuelles Mounten in einen handlichen Pfad (Beispiel):

sudo mount -t cifs -o user=ha,domain=odroid,password=geheim //192.168.0.6/Data ~/mount/odroid

Das Mountverzeichnissen muss bereits existieren. Eine noch einfachere Alternative dazu ist eine Variable in der Datei ~/.bashrc:

data=/run/user/1000/gvfs/smb-share:server=odroid,share=data

Danach können Sie den unhandlichen Pfad im Terminal nun sehr handlich mit „$data“ ansprechen, und das Terminal bietet dabei sogar automatische Pfadergänzung (mit Tab-Taste).

Datenträger (3): Verwaltung mit gnome-disks

Unter den Gnome-affinen Oberflächen Cinnamon, Mate und XFCE hat sich das Programm gnome-disks als Standard etabliert, das auf deutschem Desktop als „Laufwerke“ im Hauptmenü oder Dash erscheint. gnome-disks kann alles, was für die Kontrolle und wichtigsten Partitionsarbeiten nötig ist. Links erscheint die Liste aller Datenträger, ein Klick auf einen Eintrag visualisiert dessen Partitionierung, zeigt Gerätenamen (/dev/…), Partitionsgrößen, Dateisystem und den Mountpunkt als Link, der auf Wunsch den Dateimanager öffnet. Die weiteren Bearbeitungsmöglichkeiten sind gewöhnungsbedürftig, aber durchaus logisch aufgeteilt:

Laufwerksoptionen: Schaltflächen rechts oben bieten Laufwerks-bezogene Aufgaben. Ob nur eine, zwei oder drei Schaltflächen erscheinen, hängt vom gerade markierten Laufwerkstyp ab. So lassen sich zum Beispiel interne Festplatten nicht aushängen oder abschalten, sodass in diesem Fall diese Schaltflächen fehlen. Immer vorhanden ist die Hauptschaltfläche, die das Formatieren, das Arbeiten mit Images („Laufwerksabbild erzeugen/wiederherstellen“), das Einstellen von Energieoptionen („Laufwerkseinstellungen“), ferner Tests und Smart-Analysen vorsieht. Funktionen, die der jeweilige Datenträger nicht hergibt, bleiben deaktiviert.

Die Möglichkeit, hier Images vom markierten Datenträger in eine IMG-Datei zu schreiben („erzeugen“) oder eine IMG-Datei wieder zurück auf einen Datenträger („wiederherstellen“), machen manche andere Tools überflüssig.

Partitionsoptionen: Was Sie mit einzelnen Partitionen auf Laufwerken anstellen können, ist in den kleinen Schaltflächen unterhalb des Partitionsschemas untergebracht. Sie müssen erst das Rechteck der gewünschten Partition markieren und dann die gewünschte Schaltfläche anklicken. Sie können Partitionen aus- und einhängen, löschen (Minus-Schaltfläche), formatieren und auch als Image sichern („Partitionsabbild erstellen“) oder ein Image auf die Partition zurückschreiben.

Tipp: Die Automount-Funktion hängt angeschlossene USB-Wechseldatenträger unter /media/[user]/ ein. Die dort anzutreffenden Mount-Ordner sind nicht immer aussagekräftig, sondern können etwa „144EB7A373084FB6“ lauten. Dies ist die UUID (Universally Unique Identifier) des Datenträgers, die als Mountpunkt einspringt, wenn keine Datenträgerbezeichnung vorliegt. In der Navigationsspalte der Dateimanager erscheint ein solches Laufwerk etwas freundlicher als „Datenträger XX GB“ unter „Geräte“. Wenn Sie sowohl im Mountpunkt als auch im Dateimanager eine aussagekräftige Bezeichnung sehen möchten, dann sollten Sie dem Laufwerk ein Label verpassen. Unter Ubuntu/Mint geht das am bequemsten mit „Laufwerke“ (gnome-disks). Sie müssen nur den Datenträger markieren, ihn mit dem ersten quadratischen Symbol unterhalb der Grafik „Datenträger“ aushängen und danach das Zahnradsymbol und hier die Option „Dateisystem bearbeiten“ wählen. Dann geben Sie einen sprechenden Namen ein, klicken auf „Ändern“ und hängen den Datenträger danach wieder ein (erstes Symbol). Mountverzeichnis und Name im Dateimanager halten sich nun an die Datenträgerbezeichnung.

Aussagekräftige Mount-Verzeichnisse: Wenn USB-Datenträger eine Bezeichnung haben, übernimmt die Automount-Funktion diesen Namen für den Mountpunkt.

Mächtiges gnome-disks („Laufwerke“): Das Standard-Tool beherrscht fast alle Datenträger-relevanten Aufgaben, unter anderem auch das Schreiben von System-Images.

Datenträger (4): Das meist unentbehrliche Gparted

Das Einzige, was gnome-disks nicht mitbringt, ist die Fähigkeit, bei Bedarf die Partitionsgrößen zu ändern. Software der Wahl hierfür ist Gparted. Zum Teil ist es bereits vorinstalliert, wo nicht, mit

sudo apt-get install gparted

schnell nachinstalliert. Gparted kann nicht nur nach Rechtsklick über „Größe ändern/verschieben“ bestehende Partitionsgrößen ohne Datenverlust ändern, sondern ist generell das umfassendste und zugleich übersichtlichste Programm für Formatierung, Partitionierung, Label- und UUID-Anpassung. Beachten Sie, dass das Hauptfenster immer nur die Partition(en) des rechts oben gewählten Datenträgers anzeigt. Beachten Sie ferner, dass Gparted angeforderte Aktionen niemals sofort tätigt, sondern in einem Auftragsstapel sammelt, den Sie erst mit „Bearbeiten -> Alle Vorgänge ausführen“ auslösen.

Das Standardprogramm gnome-disks verliert neben Gparted keineswegs seine Berechtigung: Es ist schneller und viel breiter angelegt mit seinen Image-Funktionen, Smart- und Leistungstests sowie Energieeinstellungen.

Datenträger (5): Tools für die Plattenbelegung

Unter Ubuntu und Linux Mint finden Sie die „Festplattenbelegungsanalyse“ oder „Festplattenbelegung analysieren“ im Hauptmenü. Dahinter steht das Tool Baobab, das nach dem Start erst einmal eine Übersicht der Datenträger zeigt. Hier sind die jeweilige Gesamtkapazität und der derzeitige Füllstand ersichtlich. Nach Klick auf dem Pfeil ganz rechts startet Baobab eine Ordneranalyse, die es wahlweise als Kreis- oder Kacheldiagramm visualisiert. Das sieht hübsch aus, doch der Erkenntniswert hält sich in Grenzen. Viele Linux-Nutzer werden sich von einem df -h oder

df -h | grep /dev/sd

schneller und besser informiert fühlen. Wer dann wirklich eine Größenanalyse der Verzeichnisse benötigt, ist mit einem weiteren Terminalwerkzeug

du -h

ebenfalls übersichtlicher beraten.

Belegung mit Ncdu prüfen: Ein Spezialist ist das nützliche Ncdu („NCurses Disk Usage“, wohl kaum zufällig auch als „Norton Commander Disk Usage“ auflösbar). Das Terminalprogramm sortiert die Verzeichnisse standardmäßig nach der enthaltenen Datenmenge und bietet eine sehr viel bequemer bedienbare Festplattenanalyse als das Standardwerkzeug du. Denn Ncdu wechselt wie ein orthodoxer Dateimanager zwischen den Verzeichnissen und kann auch aktiv löschen, wo Sie dies für nötig erachten. Ncdu gehört auf jeden Server, verdient aber selbst auf Desktop-Systemen den Vorzug gegenüber den grafischen Alternativen wie Baobab. In Debian/Raspbian/Ubuntu/Mint-basierten Systemen ist Ncdu mit

sudo apt-get install ncdu

schnell installiert. Die einzig wirklich maßgebliche Bedienregel ist die Auswahl des Startverzeichnisses. Ist Ncdu nämlich einmal gestartet, wird es in keine höhere Verzeichnisebene wechseln. Wenn Sie daher das komplette Dateisystem durchforsten wollen, sollten Sie das Tool daher mit

ncdu /

starten. Das Einlesen kann dauern, wenn Sie auf diese Weise das ganze Dateisystem untersuchen. Ncdu sortiert immer automatisch nach Ordnergrößen, kann aber mit Taste „n“ auch nach Namen sortieren, mit „s“ wieder nach Größen („size“). Wichtige Tastenkommandos sind ferner „g“ („graph/percentage“) für die Anzeige von Prozentzahlen (und wieder zurück) und „d“ als Löschbefehl („delete“). Wer nur kontrollieren, keinesfalls löschen will, kann das Tool mit „ncdu -r“ starten, wonach es im Readonly-Modus arbeitet.

Verzeichnisgrößen ermitteln mit „NCurses Disk Usage“: Ncdu ist ein Muss auf SSH-verwalteten Systemen und selbst auf Desktop-Installationen mit grafischer Oberfläche eine Empfehlung.

Task-Verwaltung (1): „Systemüberwachung“ und htop

Auf einem Desktop-System wie Ubuntu und Mint werden Sie die grafische „Systemüberwachung“ (gnome-system-monitor) bevorzugen, um Tasks zu kontrollieren oder zu beenden. Das Tool beherrscht nach Rechtsklick auf einen Prozess alle Aufgaben bis hin zur Prioritätsanpassung, sortiert nach der gewünschten Spalte und zeigt nach Rechtslick auf den Spaltenkopf auf Wunsch noch wesentlich mehr Spalten (etwa „CPU-Zeit“ oder „Befehlszeile“). Die Echtzeitüberwachung von CPU, Speicher und Netzwerk unter „Ressourcen“ ist ebenfalls vorbildlich.

Auf Servern oder wo sonst ein grafisches Werkzeug fehlt, liefert htop auf der Konsole einen präzisen und auch ästhetisch ansprechenden Überblick. Es macht andere Tools weitgehend überflüssig, so etwa das oft standardmäßig installierte Top oder spezialisiertere Tools wie iotop oder dstat. htop zeigt beliebig detaillierte Infos zu allen laufenden Prozessen und erlaubt den gezielten Abschuss einzelner Tasks, die aus dem Ruder laufen (F9). Zudem lässt sich die Prozesspriorität steuern (F7/F8). Htop ist in den Paketquellen aller Distributionen verfügbar und etwa unter allen Debian/Raspbian/Ubuntu/Mint-basierten System mit

sudo apt-get install htop

nachzurüsten. Es lohnt sich, das hervorragend anpassbare Tool über „F2 Setup“ sorgfältig einzurichten. Die Navigation im Setup erfolgt über Cursortasten:

„Meters“ betrifft den Kopfbereich mit den Basisinformationen in zwei Spalten. Hier sollten CPU-Auslastung, Speicher, Uptime und ähnlich grundlegende Angaben organisiert werden. Die verfügbaren Infos unter „Available meters“ können mit den angezeigten Funktionstasten in die rechte oder linke Spalte integriert werden. Die ideale Anzeige lässt sich mühelos finden, weil Htop die gewählte Einstellung sofort anzeigt.

„Columns“ betrifft die eigentliche Taskanzeige. Hier sind annähernd 70 Detailinfos pro Prozess möglich, fünf bis acht (etwa „Percent_CPU“, „Percent_MEM“, „Command“) sind ausreichend und noch übersichtlich. Wer die Prozesspriorität mit den Tasten F7 und F8 steuern will, muss sich zur optischen Kontrolle der Änderung den „Nice“-Wert einblenden. Je nachdem, was Sie genauer analysieren, können Sie die Taskliste jederzeit mit Taste F6 („SortBy“) nach einem anderen Kriterium sortieren – nach CPU-Anteil, Speicher oder Festplattenzugriffen. Zum Eingrenzen auf bestimmte Pfade oder Prozessnamen gibt es außerdem einen Textfilter (Taste F4)

Beachten Sie, dass die htop-Konfiguration sehr viel anbietet, jedoch nicht das Refresh-Intervall seiner Analyse. Dieses lässt sich mit

htop -d 20

beim Aufruf steuern, wobei die Angabe in Zehntelsekunden erfolgt.

Tipp: Das auf den meisten Distributionen standardmäßig installierte top verliert neben htop seine Berechtigung nicht ganz: Sein einziger, aber nicht unwesentlicher Vorzug ist die Weitergabe der Prozessinfos an eine Datei:

top -b -d 10.0 > top.txt

Der Schalter „-b“ sorgt für den Batchmodus, der die eigene Anzeige von top abschaltet. Die Prozessliste wird in diesem Fall alle 10 Sekunden („-d“ für „delay“) an die Ausgabedatei geschickt. Filter mit grep können die Prozessanalyse eingrenzen.

Mehr Spalten – mehr Infos: Wenn der grafische gnome-system-monitor („Systemüberwachung“) verfügbar ist, ist das der Taskmanager der Wahl. Er kann alles und zeigt alles.

Was läuft hier (falsch)? Htop ist glänzender Taskmanager für die Kommandozeile, weil er informativ und anpassungsfähig ist und aus dem Ruder laufende Prozesse beenden kann.

Task-Verwaltung (2): Die Tools xprop und xkill

xprop zeigt zahlreiche interne Eigenschaften grafischer Programme an. Das einfachste und häufigste Motiv, xprop zu verwenden, ist die Frage nach dem Programmnamen eines Fensters. Also etwa die Frage: Wie lautet der Name des Dateimanagers, den ich gerade benutze? Folgender Befehl filtert den xprop-Output auf die gewünschte Antwort:

xprop | grep CLASS

Der Mauszeiger verwandelt sich in ein Kreuz, mit dem Sie auf das gewünschte Fenster klicken. Im Terminal erscheint dann der zugehörige Programmname. Der herausgefundene Name ist nützlich, um Programme in Zukunft direkt über den Ausführen-Dialog zu starten, oder um hängengebliebene Anwendungen mit killall [name] zu beenden.

xkill kann grafische Programme zuverlässig beenden, wenn dessen Fenster nicht mehr reagiert. Bei xkill müssen Sie weder den Programmnamen noch die Prozess-ID kennen. Auch beim Aufruf von xkill im Terminal verwandelt sich der Mauszeiger in ein Kreuz, mit dem Sie das störrische Programm anklicken und beenden. Idealerweise ist xkill mit einer globalen Tastenkombination verknüpft, die es jederzeit aufruft. Einige Distributionen verwenden den Hotkey Strg-Alt-Esc, in den meisten Linux-Varianten ist allerdings kein globaler Hotkey voreingestellt. Holen Sie das unter „Systemeinstellungen -> Tastatur -> Tastaturkürzel“ manuell nach, indem Sie dort xkill unter „Eigene Tastaturkürzel“ eintragen und dem Programm durch Drücken der Tastenkombination Strg-Alt-Esc selbige zuweisen.

Task-Verwaltung (3): Autostarts im Griff

Unter Ubuntu und Linux Mint finden Sie das Applet „Startprogramme“ unter den Systemeinstellungen (gnome-session-properties). Durch Deaktivieren eines Häkchens schalten Sie dort Autostarts ab, über die Schaltfläche „Entfernen“ verschwindet es komplett aus dem Verwaltungstool (bleibt aber als Programm erhalten). Alle Autostarts des Benutzers werden als desktop-Dateien unter ~/.config/autostart, und die vom System benötigten Autostarts stehen unter /etc/xdg/autostart. Es handelt sich um Textdateien, die Sie mit jedem Editor bearbeiten können, wobei unter /etc/xdg/autostart root-Rechte notwendig sind.

bashrc: Die versteckte Datei ~/.bashrc liegt im Home-Verzeichnis jedes Benutzers und gilt folglich für den angemeldeten Benutzer. Alle dort enthaltenen Kommandos werden bei jedem Start des Terminals abgearbeitet.

/etc/rc.local: Für Befehle, die unabhängig vom angemeldeten Benutzer vor der Benutzeranmeldung abgearbeitet werden sollen, eignet sich auf allen Debian-Systemen einschließlich Ubuntu und Mint die Datei /etc/rc.local. Um die Datei zu bearbeiten, benötigen Sie root-Rechte:

sudo gedit /etc/rc.local

crontab: Der Zeitplaner Cron ist auf allen Linux-Systemen vorinstalliert und nutzt eine systemweite Datei /etc/crontab, die für alle Benutzer gilt und im Terminal mit root-Rechten bearbeitet werden kann:

sudo crontab –e

Zusätzlich kann es Benutzer-Crontabs geben, die unter /var/spool/cron/crontabs/ zu orten sind. Kontrolle über Systemdienste

Dienste: Neben automatisch gestarteten Programmen lädt jedes Linux zahlreiche Systemdienste, die das Tool „Startprogramme“ grundsätzlich nicht auflistet. Im Terminal ist mit

service --status-all

eine Übersicht möglich. Wer Systemdienste bequem kontrollieren und bei Bedarf auch deaktivieren will, kann den „Boot Up Manager“ nachinstallieren:

sudo apt-get install bum

Die Bedienung ist selbsterklärend. Sie können Dienste nach Rechtsklick „Jetzt stoppen“ (für die aktuelle Sitzung) oder dauerhaft abschalten, indem Sie das Häkchen entfernen. Das Abschalten von Diensten setzt aber gründliche Kenntnis über deren Funktion voraus.

Typische Crontab: Hier gibt es vier Jobs, die das System täglich um 8:00 und 9:00 Uhr sowie stündlich abarbeitet.

Zurück zur Linux-Übersichtsseite…

Windows-Dienste

Windows-Dienste (oder Services) sind größtenteils unentbehrliche Hintergrundprozesse, die Windows NT (XP, Vista, Windows 7, Windows 8, Windows 10) beim Systemstart automatisch lädt. Microsoft sorgt aber von jeher dafür, dass Windows für alle Situationen gerüstet ist. Daher lädt ein Standard-Windows auch diverse Dienste, die sich ungestraft beenden lassen.
Zu den nachfolgenden Windows-Diensten erhalten Sie eine knappe Erläuterung. Die Beschreibung soll vor allem Relevanz oder Irrelevanz des jeweiligen Dienstes verdeutlichen.

Die üblichen Werkzeuge zur Bearbeitung der Windows-Dienste sind

  • die Dienste-Konsole Services.msc
  • das Kommandozeilen-Programm SC.exe
  • die Registry unter HKEY_Local_Machines\System\CurrentControlSet\Services

Die Windows-Dienste sind nach ihren internen Namen sortiert. Der „empfohlene“ Starttyp folgt meiner praktischen Erfahrung. Ohne Gewähr!


AeLookupSvc [Anwendungserfahrung]

Friendly Name: Anwendungserfahrung
Interner Name: AeLookupSvc
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung: Der Dienst berücksichtigt auf Basis einer Datenbank bekannte Kompatibilitätsprobleme von Anwendungen und sorgt automatisch für die geeigneten Speichereinstellungen. Nach unserer Erfahrung ist dieser Service entbehrlich.

Abhängig von: Keinem anderen Dienst
Benötigt für: Keinen anderen Dienst…


ALG [Gatewaydienst auf Anwendungsebene]

Friendly Name: Gatewaydienst auf Anwendungsebene
Interner Name: ALG
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Hierbei handelt es sich um einen Dienst, der erforderlich ist, wenn per Wählverbindung eine Internet Verbindung aufgebaut wird. Das ist nicht nur bei Modem oder ISDN der Fall, sondern auch bei direkter DSL-Anwahl per PPPoE. Wenn Sie allerdings über einen Router oder einen Netzwerk-Server mit dem Internet verbunden sind, dann können Sie auf diesen Dienst verzichten.

Abhängig von: keinem anderen Dienst
Benötigt für: keinen anderen Dienst

Appinfo [Anwendungsinformationen]

Friendly Name: Anwendungsinformationen
Interner Name: Appinfo
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Unentbehrlicher Bestandteil des Sicherheitskonzeptes von Vista: Der Dienst ändert entweder auf explizite Anforderung oder selbständig (bei Software-Installationen) die Benutzerrechte. Auch wenn ein Benutzer mit Administratoren-Rechten angemeldet ist, wird nicht jedes Programm blindlings mit diesen Rechten gestartet. Sobald ein Programm versucht, administrative Aktionen auszuführen, erscheint ein Dialog, in dem der Anwender seine Zustimmung geben muss. Wenn Sie diesen Dienst deaktivieren, können Benutzer keine Anwendungen mit zusätzlichen Administratorprivilegien ausführen. So scheitert etwa der Start des Registry-Editor (Regedit) oder der Dienste-Konsole (Services.msc).
Sollten Sie den Dienst bereits deaktiviert haben und möchten ihn wieder aktivieren, dann starten Sie den PC im abgesicherten Modus und rufen von dort aus den Dienste-Manager auf.

Abhängig von: Benutzerprofildienst, RPC-Locator, DCOM-Server-Prozesstart
Benötigt für: Keinen anderen Dienst


AppMgmt [Anwendungsverwaltung]

Friendly Name: Anwendungsverwaltung
Interner Name: AppMgmt
Starttyp: manuell
Starttyp (empfohlen): deaktiviert auf Home-PC

Beschreibung: Der Dienst ist nur in Firmennetzen mit Gruppenrichtlinien und Active Directory-Servern erforderlich. Er verarbeitet Installations- und Deinstallationsanforderungen für Software, die über Gruppenrichtlinien bereitgestellt wird. Den Home-Versionen von Vista fehlt dieser Service, unter Vista-Ultimate auf einem Home-PC kann er getrost deaktiviert werden.

Abhängig von: Keinem anderen Dienst
Benötigt für: Keinen anderen Dienst


Audiosrv [Windows-Audio]

Friendly Name: Windows-Audio
Interner Name: Audiosrv
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Dieser Dienst vermittelt die angeschlossenen Audiogeräte an alle Windows-basierten Anwendungen. Wenn Sie diesen Dienst deaktivieren, bleibt die Soundkarte definitv stumm.

Abhängig von:
DCOM-Server-Prozessstart, Multimediaklassenplaner, Plug & Play,
Remoteprozeduraufruf (RPC), Windows-Audio-Endpunkterstellung

Benötigt für:
keinen anderen DienstBfe [Basisfiltermodul]

Friendly Name: Basisfiltermodul
Interner Name: BFE
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Der Dienst sorgt für die grundlegenden Filterregeln der Windows-Firewall oder einer alternativen Firewall. Das Deaktivieren des Basisfiltermoduls würde die Sicherheit des Rechners verringern.

Abhängig von:
Remoteprozeduraufruf (RPC)

Benötigt für:
Gemeinsame Nutzung der Internet-Verbindung, Windows-Firewall, Routing und RAS


BITS [Intelligenter Hintergrundübertragungsdienst]

Friendly Name: Intelligenter Hintergrundübertragungsdienst
Interner Name: BITS
Starttyp: automatisch
Starttyp (empfohlen): manuell

Beschreibung:
Im Wesentlichen handelt es sich bei diesem Dienst um einen Downloadmanager. Er gewährleistet z.B. bei automatischen Windows Updates und anderen im Hintergrund ablaufenden Downloads, dass ungenutzte Bandbreite optimal ausgenutzt wird. Wird ein im Hintergrund ablaufender Download unterbrochen, so sorgt der Intelligente Hintergrundübertragungsdienst dafür, dass dieser zu einem späteren Zeitpunkt automatisch wieder aufgenommen wird.
Achtung: Wenn dieser Dienst deaktiviert wird, funktionieren automatische Windows Updates nicht mehr.

Abhängig von: COM+-Ereignissystem, DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für: keinen anderen Dienst


Browser [Computerbrowser]

Friendly Name: Computerbrowser
Interner Name: Browser
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Dieser Dienst führt eine aktuelle Liste aller Computer und Geräte (Router, NAS) im Windows-Netzwerk und gibt sie an als Browser fungierende Computer weiter. Die Liste wird nicht aktualisiert oder gewartet, falls Sie den Dienst beenden. Das heisst: Netzwerkgeräte werden unter Umständen nicht mehr angezeigt.
Der Dienst ist in jedem LAN-Netzwerk sinnvoll (ein PC mit DSL-Router ist bereits ein LAN!), lässt sich aber in größeren Netzen auf normalen Arbeitsrechnern deaktivieren, solange ein Server im Netz diesen Dienst anbietet. Wir empfehlen den Starttyp „automatisch“, für absolute Minimalkonfigurationen ist der Dienst theoretisch entbehrlich.
Um den Dienst „Server“ (für Netzwerkfreigaben) abzuschalten, müssen Sie auch diesen Dienst deaktivieren.

Abhängig von: Arbeitsstationsdienst, DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC), Server, Sicherheitskonto-Manager, Netzwerkspeicher-Schnittstellendienst

Benötigt für: keinen anderen Dienst


CertPropSvc [Zertifikatverteilung]

Friendly Name: Zertifikatverteilung
Interner Name: CertPropSvc
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Dient dem Management von Smartcard-Zertifikaten. Microsoft hat seit Vista zahlreiche Smartcard Dienste umgesetzt, aber der Standardanwender dürfte diese wohl in den seltensten Fällen nutzen. Smartcards werden von manchen Firmen statt eines Passworts für die Benutzeranmeldung verwendet. Wenn Sie keine Smartcard-Lesegeräte einsetzen, benötigen Sie diesen definitiv Dienst nicht.

Abhängig von: DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für: keinen anderen Dienst

clr_optimization_v2.0.50727_32 [Microsoft .NET Framework NGEN v2.0.50727_X86]

Friendly Name: Microsoft .NET Framework NGEN v2.0.50727_X86
Interner Name: clr_optimization_v2.0.50727_32
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst (Ngen.exe) erstellt Dateien, die Prozessor-spezifischen Maschinen-Code enthalten und legt diese im “Native Image Cache“ des betreffenden Computers ab. Zum Tragen kommt dies typischerweise nach System-Updates, wenn die “Runtime Engine“ auf diese Images zurückgreift.

Abhängig von: keinem anderen Dienst

Benötigt für: keinen anderen Dienst

ComSysApp [COM+ Systemanwendung]

Friendly Name: COM+ Systemanwendung
Interner Name: COMSysApp
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst COM+ Systemanwendung verwaltet laut Microsoft die Konfiguration und Überwachung von COM+-basierten Komponenten. Entgegen Microsoft’s Aussagen funktionieren aber die meisten COM+-basierten Komponenten auch ohne diesen Dienst ordnungsgemäß. Wir empfehlen den Starttyp „manuell“, konnten aber auch mit „deaktiviert“ keine nachteiligen Nebenwirkungen feststellen. Daher lässt sich der Dienst für absolut „minimale“ Konfigurationen durchaus deaktivieren.

Abhängig von: Benachrichtigungsdienst für Systemereignisse, Remoteprozeduraufruf (RPC), COM+Ereignissystem

Benötigt für: keinen anderen Dienst


CryptSvc [Kryptographiedienste]

Friendly Name: Kryptographiedienste
Interner Name: CryptSvc
Starttyp: automatisch
Starttyp (empfohlen): manuell

Beschreibung:
Unentbehrlich, nicht zuletzt für das Windows-Update: Die Kryptografiedienste stellen die Schlüsselverwaltung für den Computer bereit und bestehen aus verschiedenen Komponenten:
Der Katalogdatenbankdienst ist für das Hinzufügen, Entfernen und Durchsuchen von Katalogdateien verantwortlich. Katalogdateien werden verwendet, um alle Dateien im Betriebssystem zu signieren. Der Windows-Dateischutz (WFP), die Treibersignatur und das Setup verwenden diesen Dienst.
Der Dienst für geschützten Stammspeicher ist für das Hinzufügen und Entfernen von Zertifikaten vertrauenswürdiger Stammzertifizierungsstellen verantwortlich.
Der Schlüsseldienst ermöglicht es Administratoren, Zertifikate im Auftrag des lokalen Computerkontos zu registrieren. Da der wichtige Dienst nicht permanent erforderlich ist, empfehlen wir den Starttyp „manuell“.

Abhängig von: DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC),

Benötigt für: keinen anderen Dienst


CscService [Offlinedateien]

Friendly Name: Offlinedateien
Interner Name: CscService
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst hält den Offline-Dateicache auf dem aktuellen Stand. Er reagiert auf die An- und Abmeldung von Benutzern. Wenn Sie nicht planen, Daten von angeschlossenen Netzwerkrechnern auf Ihrem PC zwischenzuspeichern (und damit auch verfügbar zu halten, wenn die Netzwerkressourcen offline sind), dann benötigen Sie diesen Dienst nicht.

Abhängig von: DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für: keinen anderen Dienst


DcomLaunch [DCOM-Server-Prozessstart]

Friendly Name: DCOM-Server-Prozessstart
Interner Name: DcomLaunch
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Absolut unentbehrlicher Dienst und daher in der Dienste-Konsole (Services.msc) nicht deaktivierbar! Wenn der Dienst gewaltsam via Registry deaktiviert wird, läuft der abhängige Schlüsseldienst RPC nicht mehr und damit rund fünfzig weitere Dienste. Finger weg!

Abhängig von: keinem anderen Dienst

Benötigt für: Basisfiltermodul, Remoteprozeduraufruf (RPC) und viele weitere Dienste


DFSR [DFS-Replikation]

Friendly Name: DFS-Replikation
Interner Name: DFSR
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst dient dazu, Dateien auf mehrere Netzwerk-Server zu verteilen und in einem virtuellen Ordner zusammenzufassen (DFS=Distributed File System). Die allermeisten Anwender werden diese besonders effektive Datenverteilung niemals verwenden. Dennoch wird der Dienst bei einigen Windows-Versionen automatisch gestartet.
Wir empfehlen, den Dienst zu deaktivieren, sofern sich der PC nicht ausdrücklich in einer DFS-fähigen LAN-Umgebung (in der Regel innerhalb einer Windows-Domäne) befindet.

Abhängig von: DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC), COM+-Ereignissystem

Benötigt für: keinen anderen Dienst


Dhcp [DHCP-Client]

Friendly Name: DHCP-Client
Interner Name: Dhcp
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Dieser Dienst ist für diverse Netzwerk Funktionen zuständig. Er registriert unter anderem IP-Adressen und DNS-Namen und hält diese auf dem neusten Stand. Notwendig ist dieser Dienst aber nur, wenn Sie einen DHCP-Server in Ihrem Netzwerk einsetzen (Standard in größeren LAN-Umgebungen, aber auch bei DSL-Routern).
Ohne DHCP-Server müssen Sie die TCP/IP Einstellungen für die Netzwerkkarten fest einstellen, und in diesem Fall können Sie diesen Dienst ohne Nachteile abschalten,

Abhängig von: Netzwerkspeicher-Schnittstellendienst

Benötigt für: WinHTTP-Web Proxy Auto-Discovery-Dienst


Dnscache [DNS-Client]

Friendly Name: DNS-Client
Interner Name: Dnscache
Starttyp: automatisch
Starttyp (empfohlen): manuell

Beschreibung:
Der DNS-Client speichert Anfragen an einen DNS-Server zwischen, so dass die IP-Adresse bei späteren Anfragen schneller gefunden wird. In schnellen Netzwerken oder bei DSL-Verbindungen ist das nicht unbedingt erforderlich, mitunter sogar nachteilig: Da nicht einstellbar ist, wie lange ein Domain-Name im Cache verbleibt, gibt der DNS-Client eventuell auf eine falsche IP-Adresse zurück, wenn ein Server plötzlich eine andere Adresse hat. Für langsame Internet-Anbindungen, wie etwa per Modem, kann dieser Dienst sich jedoch als hilfreich erweisen.

Abhängig von: keinem anderen Dienst

Benötigt für: keinen anderen Dienst


Dot3svc [Automatische Konfiguration (verkabelt)]

Friendly Name: Automatische Konfiguration (verkabelt)
Interner Name: dot3svc
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Dieser Dienst unterstützt die automatische Konfiguration verkabelter Netzwerke und ist unentbehrlich in allen LAN-Umgebungen. Die Voreinstellung „manuell“ genügt allerdings.

Abhängig von: EapHost, Remoteprozeduraufruf (RPC)

Benötigt für: keinen anderen Dienst


DPS [Diagnoserichtliniendienst]

Friendly Name: Diagnoserichtliniendienst
Interner Name: DPS
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst spürt Speicher-, Festplatten- und Netzwerkprobleme auf und meldet sie dem Anwender. In besonderen Fällen kann er zudem direkt ein Troubleshooter-Programm auslösen. So ist etwa auch die Option „Diagnose und Reparatur“ im „Netzwerk- und Freigabecenter“ auf diesen Dienst angewiesen.
Auf störungsfrei laufenden Vista-PCs sehen wir dennoch keinen Grund, diesen Dienst permanent laufen zu lassen und empfehlen als Starttyp „deaktiviert“. Bei undurchsichtigen Problemfällen können Sie den Dienst gegebenenfalls jederzeit wieder starten.
Zum Vista-Diagnose-System gehört neben dem „Diagnoserichtliniendienst“ auch der Diagnosesystemhost.

Abhängig von: keinem anderen Dienst

Benötigt für: keinen anderen Dienst


EapHost [Extensible Authentication-Protkoll]

Friendly Name: Erkennung interaktiver Dienste
Interner Name: EapHost
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Dieser Dienst stellt eine austauschbare Infrastruktur für verschiedene Authentifizierungsmethoden bereit. Betroffen sind dabei VPN und Dial-Up-Verbindungen. Auch wenn Sie sich bei Wireless Access Points anmelden möchten, sollten Sie davon absehen, diesen Dienst ganz zu deaktivieren.

Abhängig von: DCOM-Server-Prozessstart, CNG-Schlüsselisolation, Remoteprozeduraufruf (RPC)

Benötigt für: Automatische Konfiguration (verkabelt), Automatische WLAN-Konfiguration


ehRcvr [Windows Media Center-Empfängerdienst]

Friendly Name: Windows Media Center-Empfängerdienst
Interner Name: ehRcvr
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Diesen Dienst benötigt das Windows Media Center für den Empfang von Fernseh- und Radioübertragungen. Wenn Sie das Windows Media Center nicht oder jedenfalls nicht zu diesem Zweck nutzen, können Sie den Dienst deaktivieren.

Abhängig von: DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für: keinen anderen Dienst


ehSched [Windows Media Center-Planerdienst]

Friendly Name: Windows Media Center-Planerdienst
Interner Name: ehSched
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Mit Hilfe dieses Dienstes steuert das Windows Media Center den Aufnahmestart und Aufnahmestopp von TV-Sendungen. Wenn Sie das Windows Media Center nicht oder jedenfalls nicht zu diesem Zweck nutzen, können Sie den Dienst deaktivieren.

Abhängig von: DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für: keinen anderen Dienst

ehstart [Startprogramm für Windows Media Center]

Friendly Name: Windows Media Center-Planerdienst
Interner Name: ehSched
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Mit Hilfe dieses Dienstes steuert das Windows Media Center den Aufnahmestart und Aufnahmestopp von TV-Sendungen. Wenn Sie das Windows Media Center nicht oder jedenfalls nicht zu diesem Zweck nutzen, können Sie den Dienst deaktivieren.

Abhängig von: DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für: keinen anderen Dienst


EMDMgmt [ReadyBoost]

Friendly Name: ReadyBoost
Interner Name: EMDMgmt
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst ist Basis der neuen Vista-Funktion, USB-Flash-Laufwerke und USB-Sticks als zusätzlichen Festplatten-Cache nutzen zu können. Aktuell sind aber noch viele Flash Laufwerke zu langsam für diese Aufgabe. Sie ist ferner entbehrlich, wenn der PC ausreichend Speicher besitzt (1 GB aufwärts) oder kein passender Flash-Speicher vorliegt. Im übrigen ist auch bei tauglichen USB-Sticks nach meiner Erfahrung kein spürbarer „Boost“ zu erwarten. Daher lautet meine Empfehlung „deaktiviert“.

Abhängig von: DCOM-Server-Prozessstart, Softwarelizenzierung, Remoteprozeduraufruf (RPC)

Benötigt für: keinen anderen Dienst


EndpointBuilder [Windows-Audio-Endpunkterstellung]

Friendly Name: Windows-Audio-Endpunkterstellung
Interner Name: EndpointBuilder
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Der Dienst verwaltet Audiogeräte wie Lautsprecher oder Mikrophone und unterstützt dabei den “Windows Audio” Dienst. Vermutlich wurde er auf Grund umfassenderer “Digitaler Rechteverwaltung“ aus dem “Windows-Audio“-Dienst seit Windows Vista ausgekoppelt. Da “Windows Audio“ ohne die Endpunkterstellung nicht gestartet werden kann, sollten Sie den Dienst nicht deaktivieren, wenn die Soundkarte arbeiten soll.

Abhängig von: Plug & Play,

Benötigt für: Windows-Audio


Eventlog [Windows-Ereignisprotokoll]

Friendly Name: Windows-Ereignisprotokoll
Interner Name: Eventlog
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Der Dienst protokolliert zahlreiche vordefinierte System-, Hardware- und Anwendungsereignisse. Letztere können unter „verwaltung, ereignisanzeige“ im “XML“ oder “Plain Text“ Format ausgegeben werden. Das Beenden dieses Dienstes kann zu Systeminstabilität führen, zumal die Aufgabenplanung von diesem Dienst abhängt.

Abhängig von: keinem anderen Dienst

Benötigt für: Aufgabenplanung


EventSystem [COM+ Ereignissystem]

Friendly Name: COM+ Ereignissystem
Interner Name: EventSystem
Starttyp: automatisch
Starttyp (empfohlen): manuell

Beschreibung:
Wichtig, aber nicht überall zwingend erforderlich: Der Dienst unterstützt den Systemereignis-Benachrichtigungsdienst (SENS), der die automatische Verteilung von Ereignissen an COM-Komponenten zur Verfügung stellt. Wenn der Dienst beendet ist, wird SENS beendet und ist nicht in der Lage,
Anmelde- und Abmeldebenachrichtigungen zur Verfügung zu stellen.
Dies kann die Zusammenarbeit von Software- und System-Komponenten beeinträchtigen.

Abhängig von:
Remoteprozeduraufruf (RPC),

Benötigt für:
Benachrichtigungsdienst für Systemereignisse, COM+-Systemanwendung, DFS-Replikation, Intelligenter Hintergrundübertragungsdienst


Fax [Fax]

Friendly Name: Fax
Interner Name: Fax
Starttyp: manuell
Starttyp (empfohlen): manuell oder deaktiviert

Beschreibung:
Dieser Dienst ermöglicht das Senden und Empfangen von Telefax. Wenn Sie diese Funktion auf Ihrem PC nicht nutzen, können Sie den Dienst deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Telefonie, Plug & Play, Remoteprozeduraufruf (RPC), Druckerwarteschlange

Benötigt für:
keinen anderen Dienst


fdPHost [Funktionssuchanbieter-Host]

Friendly Name: Funktionssuchanbieter-Host
Interner Name: fdPHost
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst wird vom Windows Media Center genutzt. Verschiedene mit einem Computernetzwerk verbundene Geräte können erkannt werden. Neben manchen Kameras und Druckern ist Microsofts “Media Center Extender“ eine der nennenswerteren Geräte. Wenn Sie das Media Center nicht nutzen oder das Setup für angeschlossene Geräte manuell vornehmen, können Sie den Dienst ungestraft deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
PnP-X-IP-Busauflistung, Windows Media Center Extender-Dienst


fhsvc [File History Service]

Friendly Name: File History Service
Interner Name: fhsvc
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Dieser Dienst ist notwendig, wenn Sie die Sicherungskomponente „File History“ von Windows 8 verwenden wollen. Der Dienst ersetzt die ältere „Windows-Sicherung“ (SDRSVC) von Windows 7 und Vista.

Abhängig von:
Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


FDResPub [Funktionssuche-Resourcenveröffentlichung]

Friendly Name: Funktionssuche-Resourcenveröffentlichung
Interner Name: FDResPub
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst liefert anderen Computern im Netzwerk Informationen über den PC, auf dem dieser Dienst läuft. Insbesondere geht es um daran angeschlossene Geräte wie etwa Laufwerke oder Drucker. Wenn Sie diesen Dienst deaktivieren, werden die Ressourcen des betreffenden Computers von anderen Netzwerkteilnehmern nicht mehr erkannt.
Auf Home-PCs können Sie diesen Dienst in der Regel deaktivieren.
Netzwerkfreigaben sind übrigens davon nicht betroffen – dafür ist der Dienst „Server“ zuständig.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


FontCache3.0.0.0 [Windows Presentation Foundation-Schriftartcache 3.0.0.0]

Friendly Name: Windows Presentation Foundation-Schriftartcache 3.0.0.0
Interner Name: FontCache3.0.0.0
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst optimiert die Performance von “Windows Presentation Foundation”-Anwendungen (WPF oder „Avalon“), indem gemeinsam genutzte Schriftarten in einem gemeinsamen Cache hinterlegt werden. WPF auf der Basis von .NET Framework 3.0 und höher soll zügig die bisherige Win32-API ersetzen. Wenn Sie diesen Dienst aktivieren, wird sich dies negativ auf den Ablauf von WPF-Anwendungen auswirken.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


gpsvc [Gruppenrichtlinienclient]

Friendly Name: Gruppenrichtlinienclient
Interner Name: gpsvc
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Dieser Dienst ermöglicht es LAN-Administratoren einer Windows-Domäne, auf der jeweiligen Workstation Einstellungen und Restriktionen für das System und Anwendungen gemäß vordefinierter Gruppenrichtlinien festzulegen.
Wenn Ihr Computer nicht Bestandteil eines Netzwerkes ist, sondern lediglich dem Heimgebrauch dient, dann können Sie auf diesen Dienst verzichten. Gleiches gilt, wenn Sie sich in einem LAN ohne Domäne anmelden. Eine Domänenanmeldung ohne diesen Windows-Dienst scheitert.
Der Gruppenrichtlinienclient kann allerdings weder über Services.msc, noch via Registry (Hkey_Local_Machine\System\CurrentControlSet\Services\gpsvc, DWord-Eintrag „Start=4“) noch über das Kommandozeilen-Tool SC.EXE („sc stop gpsvc…“) deaktiviert werden. Es sind erst Rechteänderungen notwendig, um diesen Dienst abzuschalten.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


hidserv [Zugriff auf Eingabegeräte]

Friendly Name: Zugriff auf Eingabegeräte
Interner Name: hidserv
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der englische Name ist mit „Human Interface Device Access“ etwas aussagekräftiger. Der Dienst ermöglicht die Nutzung der Hot-Buttons von Spezialtastaturen, Fernbedienungen, Scanner- und Fax-Geräten sowie von Multimedia-Peripherie. Wenn Sie ihn deaktivieren, können Sie solche Spezialtasten und Fernbedienungen in der Regel nicht mehr verwenden.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


hkmsvc [Integritätsschlüssel- und Zertifikatverwaltung]

Friendly Name: Integritätsschlüssel- und Zertifikatverwaltung
Interner Name: hkmsvc
Starttyp: manuell
Starttyp (empfohlen): manuell oder deaktiviert

Beschreibung:
Die Integritätsschlüssel- und Zertifikatverwaltung wird für die Handhabung von X.509 Zertifikaten benötigt – aktuell der wichtigste Standard für digitale Zertifikate. Diese Art der Zertifizierung kann für sichere Protokolle wie etwa SSL/TLS, IPsec, S/MIME, Smartcard, SSH, HTTPS, LDAPv3 und EAP notwendig sein.
Zwar finden diese Protokolle überwiegend bei Firmeneinstellungen Verwendung, doch sie sind mitunter auch auf Heim-PCs notwendig, so etwa, wenn die Windows-eigene EFS-Verschlüsselung genutzt wird und das gespeicherte Zertifikat neu importiert werden muss.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


idsvc [Windows CardSpace]

Friendly Name: Windows CardSpace
Interner Name: idsvc
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst ermöglicht Erstellung, Verwaltung und Zugriffsschutz digitaler Identitäten. CardSpace kann insbesondere zur Authentifizierung bei Web-Seiten und Web-Diensten verwendet werden. In der Praxis hat sich diese Microsoft-eigene Authentifizierungsmethode aber kaum etabliert.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


IKEEXT [IKE- und AuthIP Ipsec-Schlüsselerstellungsmodule]

Friendly Name: IKE- und AuthIP IPsec-Schlüsselerstellungsmodule
Interner Name: IKEEXT
Starttyp: automatisch
Starttyp (empfohlen): manuell

Beschreibung:
Diese Schlüsselerstellungsmodule werden zur Authentifizierung und zum Schlüsselaustausch in IPSec (Internet Protocol Security) verwendet, also dann benötigt, wenn Sie auch auf IPsec zurückgreifen. Auch manche VPN-Clients (für den Home-Zugriff auf den Firmen-Server) sind auf den Dienst angewiesen.
Eigentlich eher für Firmennetzwerke von Interesse, empfiehlt Microsoft dennoch ausdrücklich, diesen Dienst in jedem Fall aktiviert zu lassen.

Abhängig von:
Basisfiltermodul, DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


Imhosts [TCP-IP-NetBIOS-Hilfsdienst]

Friendly Name: TCP/IP-NetBIOS-Hilfsdienst
Interner Name: Imhosts
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst unterstützt “NetBIOS over TCP/IP“. Dabei handelt es sich um ein Netzwerkhilfsprotokoll (NBT), das es ermöglicht, Netbios-basierte Programme und Computer in einem TCP/IP Netzwerk (also im Internet) zu verwenden. Falls in einem Netzwerk keine Alt-Rechner (Windows 95) mit uralten Netbios oder WINS (Windows Internet Naming Service) beteiligt sind, ist dieser Dienst mehr als überflüssig.

Abhängig von:
Keinem andern Dienst

Benötigt für:
keinen anderen Dienst


IPBusEnum [PnP-X-IP-Busauflistung]

Friendly Name: PnP-X-IP-Busauflistung
Interner Name: IPBusEnum
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Die Plug & Play Extensions (PnP-X) erweitern das physikalische Plup & Play um Netzwerkfunktionalität. PnP-X erkennt Geräte im Netzwerk und unterstützt die automatische Installation derselben. Die „PnP-X-IP-Busauflistung“ verwaltet den “Virtual Network Bus” und ist der Basisdienst, der die erkannten Geräte an den Plug & Play-Dienst meldet. Dieser Dienst ist nur in Ausnahmefällen, am Home-PC nur für das Windows Media Center von Belang.

Abhängig von:
DCOM-Server-Prozessstart, Funktionssuchanbieter-Host, Remoteprozeduraufruf (RPC)

Benötigt für:
Windows Media Center Extender-Dienst


iphlpsvc [IP-Hilfsdienst]

Friendly Name: IP-Hilfsdienst
Interner Name: iphlpsvc
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst ermöglicht IPv6 Verbindungen über ein IPv4 Netzwerk. Da es sich beim Internet noch größtenteils um ein IPv4 Netzwerk handelt, sind Sie auf diesen Dienst angewiesen, sobald Sie auf eine IPv6-Site zugreifen möchten.
Aktuell spielt IPv6 praktisch noch keine Rolle, so dass Sie diesen Dienst aktuell deaktivieren können.

Abhängig von:
DCOM-Server-Prozessstart, Netzwerkspeicher-Schnittstellendienst,
Remoteprozeduraufruf (RPC), Windows-Verwaltungsinstrumentation

Benötigt für:
keinen anderen Dienst


keylso [CNG-Schlüsselisolation]

Friendly Name: CNG-Schlüsselisolation
Interner Name: keylso
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Dieser Dienst speichert private Schlüssel zur Dechiffrierung von Daten und hält diese für zukünftig aufgerufene Anwendungen bereit. Er untersteht dem zentralen Prozess LSASS.EXE (Local Security Authority Subsystem). Da der Dienst „keylso“ wichtig ist, aber nur bei Bedarf ausgeführt wird, können Sie die Starteinstellung „manuell“ belassen.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC),

Benötigt für:
Automatische Konfiguration (Verkabelt), Automatische WLAN-Konfiguration,
Extensible Authentication-Protokoll


KtmRm [KtmRm für Distributed Transaction Coordinator]

Friendly Name: KtmRm für Distributed Transaction Coordinator
Interner Name: KtmRm
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Zusätzliches Sicherheitsfunktion für die verteilten Netzwerkressourcen des Distributed Transaction Coordinator: Der Dienst soll gewährleisten, dass der Client-Computer auch nach einem Systemcrash Zugriff auf die Netzressourcen erhält. Dieser Dienst ist nur sinnvoll, wenn der Rechner auf verteilte Datenbanken im Netzwerk zugreift.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC), Sicherheitskonto-Manager

Benötigt für:
keinen anderen Dienst


LanmanServer [Server]

Friendly Name: Server
Interner Name: LanmanServer
Starttyp: automatisch
Starttyp (empfohlen): automatisch oder deaktiviert

Beschreibung:
Der Server-Dienst ist für Datei- und Druckerfreigaben zuständig. Auch wenn Sie auf Ihrem Rechner keine Freigaben eingerichtet haben, startet Windows standardmäßig diesen Dienst. Um ihn abschalten zu können, müssen Sie zudem den Dienst „Computerbrowser“ beenden und deaktivieren.
Auf Home-PCs ohne weitere Netzrechner kann der Dienst deaktiviert werden, desgleichen auf Firmenrechnern, die keine Daten freigeben.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC), Sicherheitskonto-Manager

Benötigt für:
Computerbrowser

LanmanWorkstation [Arbeitsstationsdienst]

Friendly Name: Arbeitsstationsdienst
Interner Name: LanmanWorkstation
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Unentbehrlich in Netzwerkumgebungen: Der Dienst erstellt und wartet Client-Verbindungen mit Remoteservern unter Verwendung des SMB-Protkolls. Ohne Arbeitsstationsdienst können keine Verbindungen zu Rechnern, Freigaben oder Druckern aufgebaut werden. Lediglich der Zugriff auf das Internet ist auch ohne den „Arbeitsstationsdienst“ möglich.

Abhängig von:
Browser

Benötigt für:
Computerbrowser, Netlogon, Terminaldienstekonfiguration


lltdsvc [Verbindungsschicht-Topologieerkennungs-Zuordnungsprogramm]

Friendly Name: Verbindungsschicht-Topologieerkennungs-Zuordnungsprogramm
Interner Name: lltdsvc
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser entbehrliche Dienst scannt nach Ressourcen für die Netzwerkübersicht im „Netzwerk- und Freigabecenter“ von Windows. Dabei wird neben einigen anderen Informationen über angeschlossene Geräte auch deren Verbindungsstatus dargestellt. Wenn Sie diesen Dienst deaktivieren, schränken Sie die Funktion dieser Netzwerkübersicht nicht grundsätzlich ein, sie wird nur eventuell langsamer oder unvollständig.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für: keinen anderen Dienst


Mcx2Svc [Windows Media Center Extender-Dienst]

Friendly Name: Windows Media Center Extender-Dienst
Interner Name: Mcx2Svc
Starttyp: deaktiviert
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst erstellt Verbindungen zu Erweiterungsgeräten für das Windows Media Center. So kann dann etwa Microsofts XBox 360 verwendet werden, um auf digitale Unterhaltungsmedien zuzugreifen, die auf einem Media Center-PC gespeichert sind. Wenn Sie das Windows Media Center oder dessen Extender-Funktionen nicht nutzen, sollten Sie diesen Dienst deaktiviert lassen.

Abhängig von:
DCOM-Server-Prozessstart, Funktionssuchanbieter-Host, PnP-X-IP-Busauflistung,
Remoteprozeduraufruf (RPC), SSDP-Suche, Terminaldienste

Benötigt für: keinen anderen Dienst

MMCSS [Multimediaklassenplaner]

Friendly Name: Multimediaklassenplaner
Interner Name: MMCSS
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Der Dienst weist den auf einem PC ablaufenden Tasks verschiedene Prioritäts-Stufen zu, um die Gesamtleistung zu optimieren. Dabei werden Multimedia-Anwendungen relativ weit oben angesiedelt. Dieser Dienst wird von “Windows Audio“ benötigt und kann daher nur deaktiviert werden, wenn der PC keinerlei Audio-Funktionen anbieten muss.

Abhängig von:
keinem anderen Dienst

Benötigt für:
Windows-Audio


MpsSvc [Windows-Firewall]

Friendly Name: Windows-Firewall
Interner Name: MpsSvc
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Die Firewall schützt den Computer vor unberechtigten Zugriffen. Die Windows-eigene Firewall mag zwar nicht die allerbeste auf dem Markt sein, aber sie ist spätestens seit Windows Vista völlig ausreichend. Sie sollten die Firewall daher nur deaktivieren, wenn Sie stattdessen die Firewall eines anderen Anbieters installieren.

Abhängig von:
Basisfiltermodul, DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


MSDTC [Distributed Transaction Coordinator]

Friendly Name: Distributed Transaction Coordinator
Interner Name: MSDTC
Starttyp: manuell
Starttyp (empfohlen): manuell oder deaktiviert

Beschreibung:
Der Transaktionsmanager-Dienst kommt bei SQL- und Personal Web-Servern zum Einsatz, um Transaktionen zwischen den verschiedenen Computern des Netzwerks zu koordinieren. Dabei wird die Kommunikation in einem Server-Verbund optimiert, um schnellen Zugriff etwa auf verteilte Datenbanken zu erzielen.
Im Prinzip können Sie die Starteinstellung “manuell“ beibehalten, weil der Dienst, insofern er nicht durch ein anderes Programm gestartet wurde, keine Systemleistung in Anspruch nimmt. Wenn Sie wissen, dass Ihr PC auf keine verteilten Datenbanken im LAN zugreift, können Sie den MSDTC aber jederzeit auch deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC), Sicherheitskonto-Manager

Benötigt für:
keinen anderen Dienst


MSiSCSI [Microsoft iSCSI-Initiator-Dienst]

Friendly Name: Microsoft iSCSI-Initiator-Dienst
Interner Name: MSiSCSI
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst erlaubt Windows, über das Netzwerk via TCP/IP-Protokoll eine Verbindung zu SCSI-Geräten (Small Computer System Interface) aufzubauen. Bei iSCSI handelt es sich um ein relativ junges und nicht besonders weit verbreitetes Datenübertragungsprotokoll. Daher ist am Firmen-Rechner relativ unwahrscheinlich, am Home-PC nahezu ausgeschlossen, dass Sie diesen Dienst benötigen.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


Msiserver [Windows Installer]

Friendly Name: Windows Installer
Interner Name: msiserver
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Windows Installer installiert, repariert, und deinstalliert Software gemäß der in den “Windows Installer“-Dateien (*.msi) enthaltenen Anweisungen. Da die “Windows Installer“ Technik inzwischen von der Mehrzahl der Software genutzt wird, sollten Sie diesen Dienst keinesfalls deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


Napagent [NAP-Agent (Network Access Protection)]

Friendly Name: NAP-Agent (Network Access Protection)
Interner Name: napagent
Starttyp: manuell
Starttyp (empfohlen): deaktiviert oder manuell (für Windows-Domäne)

Beschreibung:
Dieser Dienst erlaubt es Administratoren von Windows-Domänen, Sicherheitsrichtlinien für Computer zu definieren, die auf sich mit dem Netzwerk verbinden möchten. Der Dienst ist daher nur für Workstations in einer LAN-Umgebung notwendig, die sich auf einer Windows-Domäne anmelden müssen. Das gilt längst nicht für alle Firmen-PCs, ganz sicher nicht für Home-PCs.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


Netlogon [Anmeldedienst]

Friendly Name: Anmeldedienst
Interner Name: Netlogon
Starttyp: manuell
Starttyp (empfohlen): deaktiviert oder manuell (für Windows-Domäne)

Beschreibung:
So wichtig er klingt: Tatsächlich ist der „Anmeldedienst“ nur auf Workstations in einer LAN-Umgebung notwendig, die sich auf einer Windows-Domäne anmelden müssen. Das gilt längst nicht für alle Firmen-PCs, ganz sicher nicht für Home-PCs.

Abhängig von:
Arbeitsstationsdienst

Benötigt für:
Keinen anderen Dienst


Netman [Netzwerkverbindungen]

Friendly Name: Netzwerkverbindungen
Interner Name: Netman
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst Netzwerkverbindungen verwaltet das Netzwerkcenter, in dem alle LAN- und Remoteverbindungen angezeigt werden. Wenn Sie diesen Dienst deaktivieren, wird das Icon für Netzwerkverbindungen in der Taskleiste nicht mehr angezeigt. Die Konnektivität sollte dadurch aber nicht beeinträchtigt werden.

Abhängig von:
DCOM-Server-Prozessstart, Netzwerkspeicher-Schnittstellendienst, Remoteprozeduraufruf (RPC)

Benötigt für:
Gemeinsame Nutzung der Internetverbindung


Netprofm [Netzwerklistendienst]

Friendly Name: Netzwerklistendienst
Interner Name: netprofm
Starttyp: automatisch
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst identifiziert alle Netzwerke, mit denen Sie verbunden sind. Zudem werden Einstellungen für diese Netzwerke abgespeichert und Anwendungen werden davon in Kenntnis gesetzt, wenn sich diese ändern. Ist der Dienst deaktiviert, können Sie nicht mehr über die Taskleiste einsehen, ob Sie verbunden sind. Verbindungen sind dennoch nach wie vor möglich.

Abhängig von:
DCOM-Server-Prozessstart, Netzwerkspeicher-Schnittstellendienst,
NLA (Network Location Awareness), Remoteprozeduraufruf (RPC)

Benötigt für:
SL-Benutzerschnittstellen-Benachrichtigungsdienst


NetTcpPortSharing [Net.Tcp-Portfreigabedienst]

Friendly Name: Net.Tcp-Portfreigabedienst
Interner Name: NetTcpPortSharing
Starttyp: deaktiviert
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst ermöglicht es TCP Ports über das net.tcp-Protokoll mit anderen Rechnern eines Netzwerks zu teilen. Der Dienst ist standardmäßig deaktiviert.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


NlaSvc [NLA (Network Location Awareness)]

Friendly Name: NLA (Network Location Awareness)
Interner Name: NlaSvc
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Im LAN-Netz für Freigaben unentbehrlich (neben dem weiteren Dienst Server): Dieser Dienst sammelt Informationen über die verbundenen Netzwerke und stellt sie anhängigen Diensten zur Verfügung. Der Dienst wird außerdem von der Windows Firewall genutzt. Wenn Sie diesen Dienst deaktivieren, können andere Netzteilnehmer nicht mehr auf freigegebene Ordner zugreifen, als Client funktioniert der PC weiterhin uneingeschränkt. Beim Deaktivieren von „NlaSvc“ wird automatisch auch der abhängige und eher entbehrliche Netzwerklistendienst abgeschaltet.

Abhängig von:
DCOM-Server-Prozessstart, Netzwerkspeicher-Schnittstellendienst, Remoteprozeduraufruf (RPC)

Benötigt für:
Netzwerklistendienst, SL-Benutzerschnittstellen-Benachrichtigungsdienst


Nsi [Netzwerkspeicher-Schnittstellendienst]

Friendly Name: Netzwerkspeicher-Schnittstellendienst
Interner Name: nsi
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Unentbehrlich: Der Dienst überwacht die vorhandenen Netzwerkschnittstellen und gibt Änderungen an Systemprogramme und Anwendungen weiter. Wenn Sie diesen Dienst deaktivieren, können Sie sich nicht mehr mit anderen Rechnern verbinden.

Abhängig von:
keinem anderen Dienst

Benötigt für:
Arbeitsstationsdienst, Computerbrowser, DHCP-Client, Gemeinsame Nutzung der Internetverbindung, IP-Hilfsdienst, Netzwerkanmeldung, Netzwerklistendienst, Netzwerkverbindungen, NLA (Network Location Awareness), SL-Benutzerschnittstellen-Benachrichtigungsdienst, Terminaldienstekonfiguration, WinHTTP-Web Proxy Auto-Discovery-Dienst


P2pimsvc [Peernetzwerkidentitäts-Manager]

Friendly Name: Peernetzwerkidentitäts-Manager
Interner Name: p2pimsvc
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst mit weitgehend unklarer Funktion existiert als optionale Erweiterung seit Windows XP SP2. Wahrscheinliche Aufgabe ist die Erkennung von P2P-Netzen unter dem noch kaum verbrieteten IPv6-Protokoll. Das Deaktivieren des Dienstes hat derzeit keine erkennbare Nebenwirkungen.

Abhängig von:
keinem andren Dienst

Benötigt für:
Peer Name Resolution-Protokoll, Peernetzwerk-Gruppenzuordnung,
PNRP-Computernamenveröffentlichungs-Dienst


P2psvc [Peernetzwerk Gruppenzuordnung]

Friendly Name: Peernetzwerk Gruppenzuordnung
Interner Name: p2psvc
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst mit weitgehend unklarer Funktion existiert als optionale Erweiterung seit Windows XP SP2. Wahrscheinliche Aufgabe sind Gruppenzuordnungsdienste für Peernetzwerke unter dem – noch – kaum verbreiteten IPv6-Protokoll. Das Deaktivieren des Dienstes hat derzeit keine erkennbare Nebenwirkungen.

Abhängig von:
Peernetzwerkidentitäts-Manager, Peer Name Resolution-Protokoll

Benötigt für:
keinen anderen Dienst


PcaSvc [Programmkompatibilitäts-Assistent-Dienst]

Friendly Name: Programmkompatibilitäts-Assistent-Dienst
Interner Name: PcaSvc
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst ist Basis für den „Program Compatibility Assistant (PCA)“ – eine mit Windows Vista eingeführte Funktion, die es ermöglicht, ältere Programme mit Kompatibilitätsproblemen automatisch besser laufen zu lassen. Wenn der PCA ein bekanntes Kompatibilitätsproblem erkennt, nachdem der Benutzer ein älteres Programm gestartet hat, informiert er denselben hierüber und bietet Lösungen an, die künftig beim Start des Programms angewendet werden können.
Bei abgeschlossener Konfiguration und Software-Ausstattung eines PC können Sie diesen Dienst deaktivieren; danach funktioniert dieser Programmkompatibilitäts-Assistent nicht mehr. Sollte sich bei Kompatibiltätsproblemen die Notwendigkeit dieser Funktion einstellen, können Sie ihn bei Bedarf wieder aktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


Pla [Leistungsprotokolle und -warnungen]

Friendly Name: Leistungsprotokolle und -warnungen
Interner Name: pla
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst zeichnet die Systemleistung des lokalen Computers in einem Logfile auf, wenn diese Funktion in den “Einstellungen für die benannte Protokollsammlung“ angeordnet wurde. Gegebenenfalls werden Warnmeldungen ausgegeben. Der durchschnittliche User dürfte diesen Dienst kaum nutzen. Standardmäßig eingestellt ist er aber ohnehin auf „manuellen“ Start bei Bedarf. Wenn Sie den Dienst deaktivieren, werden keine Leistungsinformationen mehr erfasst.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC),

Benötigt für:
keinen anderen Dienst


PlugPlay [Plug and Play]

Friendly Name: Plug & Play
Interner Name: PlugPlay
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Der zentrale Dienst wird für viele andere Dienste benötigt. “Plug & Play“ ermöglicht es dem Computer, Hardwareänderungen automatisch zu erkennen und Folgeoperationen zu veranlassen. Das Deaktivieren dieser Komponente würde die Systemstabilität empfindlich beeinflussen.

Abhängig von:
keinem anderen Dienst

Benötigt für:
Fax, Smartcard, Tablet PC-Eingabedienst, Telefonie, Verwaltung für automatische RAS-Verbindung, Virtueller Datenträger, Windows-Audio, Windows-Audio-Endpunkterstellung, Windows Driver Foundation – Benutzermodus-Treiberframework, Windows Modules Installer


PNRPAutoReg [PNRP-Computernamenveröffentlichungs-Dienst]

Friendly Name: PNRP-Computernamenveröffentlichungs-Dienst
Interner Name: PNRPAutoReg
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst gehört wie einige weitere Peer-to-Peer-Dienste zum neuen Microsoft-Datenübertragungsprotokoll für Peer-to-Peer Netze, welches dynamische DNS Namensveröffentlichung ermöglicht und DNS Server überflüssig machen soll. Der Dienst unterstützt zwar auch das geläufige IPv4, soll aber erst unter IPv6 seine wesentliche Rolle erhalten. Aktuell sind keine Nebenwirkungen zu befürchten, wenn der Dienst deaktiviert bleibt.

Abhängig von:
Peer Name Resolution-Protokoll, Peernetzwerkidentitäts-Manager

Benötigt für:
keinen anderen Dienst


PNRPsvc [Peer Name Resolution-Protokoll]

Friendly Name: Peer Name Resolution-Protokoll
Interner Name: PNRPsvc
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst ermöglicht Peer-to-Peer – also ohne DNS-Server – die Adressauflösung über das Internet. Wird dieser Dienst deaktiviert, funktionieren einige Peer-to-Peer Anwendungen wie die „Windows-Teamarbeit“ und Filesharing-Programme eventuell nicht mehr uneingeschränkt.

Abhängig von:
Peernetzwerkidentitäts-Manager

Benötigt für:
Peernetzwerk-Gruppenzuordnung, PNRP-Computernamenveröffentlichungs-Dienst


ProfSvc [Benutzerprofildienst]

Friendly Name: Benutzerprofildienst
Interner Name: ProfSvc
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Unentbehrlich! Dieser Dienst lädt und entlädt Benutzerprofile. Ohne diesen Dienst wäre keine Anmeldung am System möglich. Entladen im laufenden System macht Windows nahezu unbenutzbar. Finger weg!

Abhängig von:
Remoteprozeduraufruf (RPC)

Benötigt für:
Anwendungsinformationen


ProtectedStorage [Geschützter Speicher]

Friendly Name: Geschützter Speicher
Interner Name: ProtectedStorage
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst stellt einen geschützten Speicherplatz für vertrauliche Daten wie Passwörter und private Schlüssel zur Verfügung und verhindert den Zugriff durch andere Benutzer, Prozesse oder nicht autorisierte Dienste.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


qwave [Verbessertes Windows-Audio-Video-Streaming]

Friendly Name: Verbessertes Windows-Audio-/Video-Streaming
Interner Name: qwave
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst mit dem Kürzel „qWave“ ist eine Netzwerkplattform für Audio- und Video-Streaming-Anwendungen auf privaten IP-Netzwerken. Seine Aufgabe ist es, die Streamingleistung und Zuverlässigkeit zu verbessern, indem die ordnungsgemäße Funktion aller zusammenwirkenden Komponenten überwacht wird. Zudem ist der Dienst für Anwendungs Feedback und Bandbreitenzuteilung bei Streaminganwendungen zuständig.
Wenn Sie einen Streaming-Client nutzen, belassen Sie die Einstellung auf „manuell“, andernfalls können Sie den Dienst auch abschalten.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


RasAuto [Verwaltung für automatische RAS-Verbindung]

Friendly Name: Verwaltung für automatische RAS-Verbindung
Interner Name: RasAuto
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst erstellt auf Programmanfrage eine Verbindung zu einem Remote-Netzwerk. In einigen wenigen Fällen kann dieser Dienst für den Anmeldevorgang bei Dial-Up und DSL Internet Verbindungen erforderlich sein. In den allermeisten Fällen ist der Service entbehrlich.

Abhängig von:
DCOM-Server-Prozessstart, Telefonie, Plug & Play, RAS-Verbindungsverwaltung, Remoteprozeduraufruf (RPC),

Benötigt für:
keinen anderen Dienst


RasMan [RAS-Verbindungsverwaltung]

Friendly Name: RAS-Verbindungsverwaltung
Interner Name: RasMan
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst ist notwendig für Modem-, VPN- und ISDN-Verbindungen, daneben auch bei DSL mit direkten PPPoE-Verbindungen. Falls Sie eine dieser Verbindungsmöglichkeiten nutzen, dürfen Sie den Dienst nicht deaktivieren. Bei normalen DSL-Verbindungen per Router ist der Dienst hingegen entbehrlich.

Abhängig von:
keinem anderen Dienst

Benötigt für:
Gemeinsame Nutzung der Internetverbindung, Routing und RAS, Verwaltung für automatische RAS-Verbindung


RemoteAccess [Routing und RAS]

Friendly Name: Routing und RAS
Interner Name: RemoteAccess
Starttyp: deaktiviert
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst erlaubt die Einwahl in ein Firmen-Netzwerk mit Hilfe eines Modems oder via ISDN. Dabei muss „RemoteAccess“ auf dem Firmen-Rechner laufen, auf dem man sich einwählen will. In den meisten Firmen ist eine solche Direkteinwahl schon aus Sicherheitsgründen nicht möglich.
Sie können diesen Dienst deaktiviert lassen, wenn Sie keinen Remotezugriff benötigen, desgleichen, falls Sie einen externe Hardware-Firewall oder einen Router für Ihre Internetverbindung nutzen. Seltene Ausnahmen sind VPN Tunneling oder ICS (Gemeinsame Nutzung der Internetverbindung),

Abhängig von:
Basisfiltermodul, DCOM-Server-Prozessstart, RAS-Verbindungsverwaltung
Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


RemoteRegistry [Remoteregistrierung]

Friendly Name: Remoteregistrierung
Interner Name: RemoteRegistry
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Mit der Remoteregistrierung erlauben Sie den Fernzugriff auf die in der Registry enthaltenen Einstellungen. Dies ist im Firmennetz oft erwünscht oder sogar notwendig. Am Home-PC empfiehlt es sich, den Dienst zu deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


RpcLocator [RPC-Locator]

Friendly Name: RPC-Locator
Interner Name: RpcLocator
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst ist zuständig für die Verwaltung der RPC-Namendienstdatenbank. Im Unterschied zum lebenswichtigen Remoteprozeduraufruf (RPC) scheint der RPC-Locator aber nur für verteilte Anwendungen im Netz zuständig. Mir sind keine Nebenwirkungen nach Deaktivieren dieses Dienstes bekannt.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


RpcSs [Remoteprozeduraufruf (RPC)]

Friendly Name: Remoteprozeduraufruf (RPC)
Interner Name: RpcSs
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Ein absolut unentbehrlicher Dienst! Das Deaktivieren macht das System praktisch unbenutzbar, da alle abhängigen Dienste streiken (so gut wie alle) und damit auch das neuerliche Aktivieren des RPC-Dienstes zur unüberwindlichen Hürde wird. Finger weg!

Abhängig von:
DCOM-Server-Prozessstart

Benötigt für:
die allermeisten anderen Dienste


SamSs [Sicherheitskonto-Manager]

Friendly Name: Sicherheitskonto-Manager
Interner Name: SamSs
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Dieser unentbehrliche Dienst speichert Sicherheitsinformationen für lokale Benutzerkonten. Nachdem dieser Dienst gestartet ist, teilt er seine Bereitschaft an weitere Dienste mit, die ohne ihn möglicherweise nicht korrekt gestartet werden können. Aufgrund seiner Bedeutung kann der Sicherheitskonto-Manager über die Dienste-Konsole Services.msc nicht deaktiviert werden.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
Computerbrowser, Distributed Transaction Coordinator, KtmRm für Distributed Transaction Coordinator, Server


SCardSvr [Smartcard]

Friendly Name: Smartcard
Interner Name: SCardSvr
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst ermöglicht das Lesen von Smartcards. Dabei handelt es sich um Chipkarten, die in der Regel zur Authentifizierung eines Benutzers dienen. Diese Methode ist bislang allenfalls im professionellen Umfeld verbreitet, im privaten Umfeld eher selten; wenn Sie keine Smartcards nutzen, können Sie den Dienst ohne Bedenken deaktivieren.

Abhängig von:
Plug & Play

Benötigt für:
keinen anderen Dienst


Schedule [ Aufgabenplanung ]

Friendly Name: Aufgabenplanung
Interner Name: Schedule
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Unentbehrlich und nicht deaktivierbar: Der Dienst ermöglicht nicht nur die „Aufgabenplanung“ durch den Anwender, sondern arbeitet als zentrale Zeitsteuerung diverse System-eigener Windows-Dienste. Diese automatisierten Vorgänge haben seit Windows Vista erhbeblich an Umfang und Bedeutung gewonnen.

Abhängig von:
Remoteprozeduraufruf (RPC), Ereignisprotokoll, DCOM-Server-Prozessstart

Benötigt für:
Keinen anderen Dienst


SCPolicySvc [Richtlinie zum Entfernen der Smartcard]

Friendly Name: Richtlinie zum Entfernen der Scmartcard
Interner Name: SCPolicySvc
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Smartcards sind in der Regel Kreditkarten große Chipkarten, die oft Informationen bezüglich Zugangsrechten speichern. Dieser Dienst legt Aktionen fest, die ausgeführt werden, wenn die Smartcard durch den Nutzer entfernt wird. Wenn Sie keinen Smartcard-Leser verwenden, können Sie diesen Dienst getrost deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


SDRSVC [Windows-Sicherung]

Friendly Name: Windows-Sicherung
Interner Name: SDRSVC
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Dieser Dienst ist notwendig, wenn Sie auf die Backup- und Systemwiederherstellungs-Komponenten von Windows 7 und Vista zurückgreifen wollen („Sichern und Wiederherstellen“).

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


Seclogon [Sekundäre Anmeldung]

Friendly Name: Sekundäre Anmeldung
Interner Name: seclogon
Starttyp: automatisch
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst ermöglicht es, Prozesse in einem anderen User-Kontext zu starten. Das Windows-eigene Programm für diese Aktion ist Runas.EXE. Dieser Befehl erlaubt es, für eine bestimmte Aktion Administratorrechte durchzusetzen, selbst wenn Sie gegenwärtig nicht als Administrator angemeldet sind, darüber hinaus sogar Systemrechte, sofern das Ausgangskonto Administratorrechte hat. Umgekehrt können im Admin-Kontext Prozesse im eingeschränkten User-Kontext gestartet werden.
Anwender, die diese Möglichkeit nie nutzen, können den Dienst deaktivieren oder auf „manuell“ setzen.

Abhängig von:
keinem anderen Dienst


Sens [Benachrichtigungsdienst für Systemereignisse]

Friendly Name: Benachrichtigungsdienst für Systemereignisse
Interner Name: SENS
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert (Desktop-PC), automatisch (Notebook)

Beschreibung:
Dieser Dienst verfolgt Systemereignisse wie Windows-Anmeldungen sowie Netzwerk- und Stromversorgungsereignisse. Er informiert außerdem Ereignissystembezieher von COM+ über diese Ereignisse.
In einer Desktop-Umgebung ist uns derzeit kein Szenario bekannt, in dem die Systemereignisbenachrichtigung unbedingt benötigt wird. Für Notebook-Besitzer ist dieser Dienst hingegen wichtig, da er unter anderem dafür sorgt, dass bei niedrigem Batteriestand die konfigurierten Aktionen ausgeführt werden.

Abhängig von:
COM+-Ereignissystem

Benötigt für:
COM+-Systemanwendung


SessionEnv [Terminaldienstekonfiguration]

Friendly Name: Terminaldienstekonfiguration
Interner Name: SessionEnv
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Dieser Dienst ist für die Konfiguration und Aufrechterhaltung aller Sitzungen bezüglich Terminaldienste und der Funktion „Remotedesktop“ zuständig.

Abhängig von:
Arbeitsstationsdienst, DCOM-Server-Prozessstart, Netzwerkspeicher-Schnittstellendienst,
Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


SharedAccess [Gemeinsame Nutzung der Internetverbindung]

Friendly Name: Gemeinsame Nutzung der Internetverbindung
Interner Name: SharedAccess
Starttyp: deaktiviert
Starttyp (empfohlen): deaktiviert

Beschreibung:
Mit Hilfe dieses Dienstes können Sie die Internetverbindung mit anderen Computern teilen – etwa im Heimnetzwerk (Internetverbindungsfreigabe). Ihr Computer dient somit sozusagen als Router und stellt den anderen Netzwerkteilnehmer Funktionen für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Firewall zur Verfügung.
Dieser Dienst ist im Firmennetz unnötig und spielt auch im Heimnetz bei zunehmender Verbreitung von DSL-Routern keine wesentliche Rolle mehr.

Abhängig von:
DCOM-Server-Prozessstart, Basisfiltermodul, Netzwerkspeicher-Schnittstellendienst, Netzwerkverbindungen, RAS-Verbindungsverwaltung, Remoteprozeduraufruf (RPC), Windows-Verwaltungsinstrumentation,

Benötigt für:
keinen anderen Dienst


ShellHWDetection [Shellhardwareerkennung]

Friendly Name: Shellhardwareerkennung
Interner Name: ShellHWDetection
Starttyp: automatisch
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Dieser Dienst ist für die “Auto-Play“ Funktion notwendig. Beispielsweise öffnet sich beim Einlegen einer CD ein Dialogfeld, in dem der User wählen kann, mit welchem Programm der CD Inhalt geöffnet werden soll. Anwender, die dieser Automatismus eher stört, sollten die “Shellhardwareerkennung“ deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
Windows-Bilderfassung


Slsvc [Softwarelizenzierung]

Friendly Name: Softwarelizenzierung
Interner Name: slsvc
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Der Dienst ermöglicht den Download und die Installation digitaler Signaturen und Lizenzen. Sein Abschalten würde nicht zuletzt das Windows-Update beeinträchtigen bis verhindern, ebenso die Aktivierung von System und Software.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
ReadyBoost, SL-Benutzerschnittstellen-Benachrichtigungsdienst


SLUINotify [SL-Benutzerschnittstellen-Benachrichtigungsdienst]

Friendly Name: SL-Benutzerschnittstellen-Benachrichtigungsdienst
Interner Name: SLUINotify
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Dieser Dienst ist für den Lizenzierungsvorgang von Software notwendig, so etwa auch für die Aktivierung von Windows. Er untersteht dem Dienst „Softwarelizenzierung“ und sorgt für die fälligen Warnmeldungen an den Benutzer bezüglich abgelaufener Lizenzierungsfristen.

Abhängig von:
DCOM-Server-Prozessstart, Netzwerklistendienst, Netzwerspeicher-Schnittstellendienst, NLA (Network Location Awareness), Remoteprozeduraufruf (RPC), Softwarelizenzierung

Benötigt für:
keinen anderen Dienst


snmptrap [SNMP-Trap]

Friendly Name: SNMP-Trap
Interner Name: snmptrap
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Bei SNMP (Simple Network Management Protocol) handelt es sich um ein eigenständiges Netzwerk Protokoll, das verschiedene Netzwerkelemente (Server, Switches, Router, Drucker oder andere Computer) von einer zentralen Station aus überwacht. Die Aufgabe des SNMP-Trap-Dienstes ist es dabei, unaufgeforderte Nachrichten (TRAP-Nachrichten) von den verbundenen Geräten zu empfangen und diese an SNMP-Management-Programme weiterzuleiten. Dieser Dienst ist praktisch nur für Netzwerk-Administratoren relevant und kann in den allermeisten Fällen deaktiviert werden.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


Spooler [Druckwarteschlange]

Friendly Name: Druckwarteschlange
Interner Name: Spooler
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Dieser Dienst ist für die Abwicklung aller anstehenden Druckaufträge zuständig. Daten, welche an den Drucker gesendet werden sollen werden dabei vorübergehend in einem temporären Ordner hinterlegt. Wenn Sie diesen Dienst deaktivieren, zeigt Windows angeschlossene Drucker generell nicht mehr an. Drucken ist dann nicht mehr möglich. Anwender, die mit dem papierlosen Büro ernst machen, können den Dienst natürlich deaktivieren.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


ssdpsrv [SSDP-Suche]

Friendly Name: SSDP-Suche
Interner Name: ssdpsrv
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst spürt im IP-basierten Netzwerk Geräte auf, die dann über Vistas neues “UPnP“ automatisch initialisiert werden sollen. SSDP steht für Simple Service Discovery Protocol, UPnP für Universal Plug & Play zum Ansteuern von IP-Geräten (Stereoanlagen, Router, Drucker, Haussteuerungen).“UPnP“ ist damit quasi das Plug & Play für das Netz. Mit dem Abschalten von “UPnP“ und “SSDP“ entfällt die Möglichkeit, Media Player-Bibliotheken für andere Abspiel- und Mediengeräte im Netzwerk freizugeben. Sie können also beispielsweise nicht mit einer XBox 360 Medien eines Windows-Rechners abspielen. Von solchen Sonderfällen abgesehen ist dieser Dienst in den allermeisten Fällen entbehrlich.

Abhängig von:
keinem anderen Dienst


stisvc [Windows-Bilderfassung]

Friendly Name: Windows-Bilderfassung
Interner Name: stisvc
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst leistet die Windows-eigene Bilderfassung für Scanner und Kameras. Falls Sie die Bilder Ihrer Kamera mit der Browser-Software Ihres Kameraherstellers herunterladen, benötigen Sie diesen Dienst nicht.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC), Shellhardwareerkennung

Benötigt für:
keinen anderen Dienst


swprv [Microsoft-Softwareschattenkopie-Anbieter]

Friendly Name: Microsoft-Softwareschattenkopie-Anbieter
Interner Name: swprv
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst verwaltet softwarebasierte Schattenkopien, die wiederum durch den Dienst Volumenschattenkopie erstellt wurden. Eine Schattenkopie stellt ein konsistentes, schreibgeschütztes Abbild eines Datenträgers zu einem bestimmten Zeitpunkt dar und wird im Ordner \System Volume Information abgelegt. Mit Hilfe von Sicherungssoftware können solche Snapshots dann auf Sicherungs-Datenträger kopiert werden. Einzelne Dateien oder Ordner können ferner über „Vorgängerversionen“ im laufenden Betrieb zurückgeschrieben werden.
Ist der Dienst deaktiviert, arbeiten diese Funktionen nicht mehr, und auch die Ausführung des Systemwiederherstellung ist nicht mehr möglich. Trotz dieser Nachteile halten ich diesen Dienst und die zugehörigen Funktionen für normale Home- oder Arbeitsrechner entbehrlich, ferner auch den Dienst “Volumenschattenkopie”.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


SysMain [Superfetch]

Friendly Name: Superfetch
Interner Name: SysMain
Starttyp: automatisch
Starttyp (empfohlen): automatisch / deaktiviert

Beschreibung:
Dieser Dienst protokolliert die User-Gewohnheiten, sorgt daraufhin für den Preload häufig genutzer Software in den Speicher und optimiert ferner im Hintergrund die Festplatte so, dass die bevorzugten Anwendungen an die schnellsten Bereiche der Platte verschoben werden.
Die Bewertung dieser Funktion ist umstritten: Sie verkürzt einerseits die Startzeiten des Systems ebenso wie die der berücksichtigten Anwendungen, andererseits steigt die RAM-Auslastung und der Stress für die Festplatte.
Ob Sie den Dienst abschalten sollten, hängt von vielen individuellen Faktoren hängt (RAM-Größe, Festplattenleistung, Festplattengeräusch, Größe der meistgenutzten Anwendungen, Konstanz der meistgenutzten Anwendungen, Wichtigkeit der Boot-Performance…).

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


TabletInputService [Tablet PC-Eingabedienst]

Friendly Name: Tablet PC-Eingabedienst
Interner Name: TabletInputService
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst wird ausschließlich für die Eingabe per Zeichenstift bei Tablet-PCs benötigt. Aus welchem Grund Microsoft diesen Dienst dennoch auf jedem REchner automatisch starten lässt, bleibt unerfindlich. Ist Windows nicht auf einem Touchscreen oder Tablet-PC installiert, sollten Sie ihn deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Plug & Play, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


TapiSvr [Telefonie]

Friendly Name: Telefonie
Interner Name: TapiSvr
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst bietet TAPI-Unterstützung (Telephony Application Programming Interface) für Telefonie-Anwendungen wie etwa Software-Telefonie oder Videokonferenzprogramme zwischen dem eigenen Computer und LAN-Servern, die diesen Dienst auch verwenden. Benötigt wird dieser Dienst auch für Modem-Verbindungen und den Fax Dienst.

Abhängig von:
DCOM-Server-Prozessstart, Plug_&_Play, Remoteprozeduraufruf (RPC)

Benötigt für:
Fax, RAS-Verbindungsverwaltung


TBS [TPM-Basisdienste]

Friendly Name: TPM-Basisdienste
Interner Name: TBS
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst ermöglicht den Zugriff auf das “Trusted Platform Modul (TPM)“, welches Hardware-basierte Verschlüsselungsdienste für Systemkomponenten und Anwendungen bietet. Der Dienst ist überall dort notwendig, wo TPM-Chips im Mainboard verbaut sind. Dies ist inzwischen bei alleren neueren Rechnern der Fall. Der Starttyp „manuell“ ist ausreichend.

Abhängig von:
Keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


TermService [Terminaldienste]

Friendly Name: Terminaldienste
Interner Name: TermService
Starttyp: automatisch
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst erlaubt mehreren Usern, sich mit diesem Computer (auf dem der TermService läuft) zu verbinden, virtuelle Windows-Desktop Sitzungen abzuhalten und dessen Windows- Programme zu nutzen. Wenn „Terminaldienste“ deaktiviert wird, stehen die „schnelle Benutzerumschaltung“, “Remoteunterstützung“ und “Remotedesktop“ nicht mehr zur Verfügung. Für ausgehende Verbindungen zu einem anderen “Remotedesktop“ wird dieser Dienst nicht benötigt.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
Anschlussumleitung für Terminaldienst im Benutzermodus,
Windows Media Center Extender-Dienst


Themes [Designs]

Friendly Name: Designs
Interner Name: Themes
Starttyp: automatisch
Starttyp (empfohlen): automatisch oder deaktiviert

Beschreibung:
Der Dienst ist notwendig für spezielle GUI-Themes (Aero unter Windows 8 / 7 / Vista). Bei „klassischer“ Darstellung kann dieser Dienst abgeschaltet werden. Dies geschieht nicht automatisch, wenn sich der Anwender für die klassische Oberfläche entscheidet.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


Threadorder [Server für Threadsortierung]

Friendly Name: Server für Threadsortierung
Interner Name: threadorder
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst sorgt für die optimierte zeitliche Reihenfolge bei der Abarbeitung gruppierter Programm-Threads.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


TrkWks [Überwachung verteilter Verknüpfungen (Client)]

Friendly Name: Überwachung verteilter Verknüpfungen (Client)
Interner Name: TrkWks
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Kontrolliert und korrigiert die Verknüpfungen von NTFS Dateien zwischen vernetzten Rechnern: Ist etwa eine Datei auf “Rechner A“ durch einen Shortcut auf “Rechner B“ verlinkt, und man verschiebt die Zieldatei auf “Rechner A“, so veranlasst dieser Dienst “Rechner B“, den geänderten Link automatisch zu aktualisieren.
Ich halte diesen Service für mehr als marginal und empfehle, ihn zu deaktiveren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


TrustedInstaller [Windows Modules Installer]

Friendly Name: Windows Modules Installer
Interner Name: TrustedInstaller
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst steuert und ermöglicht die Installation, Modifizierung und Deinstallation von Windows Updates sowie von optionalen Komponenten. Lediglich zum Herunterladen der kritischen Sicherheits-Updates durch den “Windows Update Service“ ist der Service nicht erforderlich.

Abhängig von:
Plug & Play

Benötigt für:
keinen anderen Dienst


UI0Detect [Erkennung interaktiver Dienste]

Friendly Name: Erkennung interaktiver Dienste
Interner Name: UI0Detect
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst benachrichtigt den Anwender, wenn die Möglichkeit besteht, in den Ablauf eines interaktiven Dienstes einzugreifen. Dieser Service wurde notwendig, weil Windows seit Vista aus Sicherheitsgründen alle Dienste in die Systemsession 0 verbannt, die keine Verbindung zur Oberfläche besitzt. Dienste bleiben daher unsichtbar und stumm, selbst wenn sie im Prinzip interaktiv programmiert sind.
Wird dieser Dienst gestoppt, wird der Benutzer nicht mehr informiert, wenn er die Möglichkeit hat, mit einem interaktiven Dienst via Windows-Dialog zu kommunizieren. In der Realität spielt die Interaktion mit Windows-Diensten allerdings eine so marginale Rolle, dass Sie den Hilfsdienst auch deaktivieren können.

Tipp: Unter Vista und Windows 7 (nicht Windows 8) lässt sich der Dienst nutzen, um erst per Kommandozeile, von dort auch per Explorer, im Systemkontext zu arbeiten. Eine Batchdatei (RunAsSystem), die dies demonstriert und vereinfacht, finden Sie hier.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


UmRdpService [Anschlussumleitung für Terminaldienst im Benutzermodus]

Friendly Name: Anschlussumleitung für Terminaldienst im Benutzermodus
Interner Name: UmRdpService
Starttyp: manuell
Starttyp (empfohlen): manuell oder deaktiviert

Beschreibung:
Ermöglicht das Umleitung von Druckern, Laufwerken und Ports beim Benutzen der „Remotedesktop“-Komponente. der Dienst ist unnötig, solange diese Windows-Komponente nicht genutzt wird.

Abhängig von:
Arbeitsstationsdienst

Benötigt für:
Keinen anderen Dienst


upnphost [UPnP-Gerätehost]

Friendly Name: UPnP-Gerätehost
Interner Name: upnphost
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst Universal Plug & Play-Support und sorgt für die automatische Erkennung UPnP-fähigen Geräten im Netzwerk. Trotz der Einführung von UPnP bereits unter Windows XP konnte die Technologie bis heute nicht wirklich Fuss fassen. Aufgrund der geringen Verbreitung kann der Dienst auch deaktiviert werden.

Abhängig von:
SSDP-Suche

Benötigt für:
Windows Media Player-Netzwerkfreigabedienst


UxSms [Sitzungs-Manager für Desktopfenster-Manager]

Friendly Name: Sitzungs-Manager für Desktopfenster-Manager
Interner Name: UxSms
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert / automatisch

Beschreibung:
Einer der ressourcen-intensivsten Dienste: Er ist für die verschiedenen “Aero“ Effekte zuständig und sorgt dafür, dass auch Anwendungen laufen, welche an sich nicht mit “Aero“ kompatibel sind. Wenn Sie diesen Dienst deaktivieren, sparen Sie Prozessorleistung und erheblich RAM, müssen aber im Gegenzug auf die neuen “Aero“ Effekte verzichten.
Unter Windows 8 lässt sich der Dienst nicht mehr deaktivieren.

Abhängig von:
keinem anderen Dienst

Benötigt:
keinen anderen Dienst

VDS [Virtueller Datenträger]

Friendly Name: Virtueller Datenträger
Interner Name: vds
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Der Dienst „Virtual Disk Service“ vereinfacht die Verwaltung für diverse Datenträger, Dateisysteme, RAID-Controller und Festplatten im Netzwerk. Es handelt sich, vereinfacht gesprochen, um eine Storage-Technik, die verschiedene Speichergeräte virtualisiert und übersichtlich zusammenfasst. Eine Veranlassung, diesen Dienst zu starten, besteht nur in einem Netzwerk mit Windows Server 2003 bis 2008.

Abhängig von:
DCOM-Server-Prozessstart, Plug & Play, Remoteprozeduraufruf (RPC),

Benötigt für:
keinen anderen Dienst


VSS [Volumenschattenkopie]

Friendly Name: Volumenschattenkopie
Interner Name: VSS
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Der Dienst ist notwendig für die Verwaltung und Durchführung von Schattenkopien. Bei dieser Technik werden Dateiveränderungen schreibgeschützt aufgezeichnet, und das System kann bei Bedarf wieder zurückgesetzt oder einzelne Dateien („Vorgängerversion“) zurückkopiert werden. Schattenkopien erhöhen die Sicherheit, sind aber relativ ressourcen-intensiv. Ob Sie den Dienst deaktivieren wollen, ist Ermessenssache.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC),

Benötigt für:
keinen anderen Dienst


W32Time [Windows-Zeitgeber]

Friendly Name: Windows-Zeitgeber
Interner Name: W32Time
Starttyp: automatisch
Starttyp (empfohlen): automatisch / deaktiviert

Beschreibung:
Diesem Dienst für den automatischen Uhrenabgleich mit Internet-Servern wird in vielen Foren zu Unrecht Spionage-Funktionen nachgesagt: Der Windows-Zeitgeber verbindet sich mit einem entsprechenden Dienst auf einem Rechner, der mit einer Atomuhr – beispielsweise über eine Funkuhr – synchronisiert ist, und errechnet über verschiedene Algorithmen die Abweichung der lokalen Rechneruhr von der richtigen Zeit. Wirklich notwendig ist der Dienst aber allenfalls in LAN-Umgebungen mit zeitkritischer Aufgabenplanung.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


Wbengine [Block Level Backup Engine Service]

Friendly Name: Block Level Backup Engine Service
Interner Name: wbengine
Starttyp: manuell
Starttyp (empfohlen): manuell oder deaktiviert

Beschreibung:
Dieser Dienst fehlt den Home-Versionen. Er ist notwendig für die Backup-Funktionen unter Windows 7/Vista Enterprise und Ultimate (Complete PC-Sicherung). Der Dienst ist für die Datensicherung und -wiederherstellung auf Blockebene zuständig und ermöglicht die Verwendung von optischen Medien (via UDFS), oder Festplatten-Partitionen als Backupmedium. Anwender, die das Complete PC-Backup nicht einsetzen, können den Dienst deaktivieren.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


wcncsvc [Windows-Sofortverbindung – Konfigurationsregistrierungsstelle]

Friendly Name: Windows-Sofortverbindung – Konfigurationsregistrierungsstelle
Interner Name: wcncsvc
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Dieser Dienst fungiert als Registrator und gibt Zugangsberechtigungen bei Netzwerkanmeldungen über die Windows “Connect Now“ Technologie aus. Letztere vereinfacht das Einrichten von WLAN-Netzen. Wenn Sie kein WLAN verwenden, können Sie den Dienst deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


WcsPlugInService [Windows-Farbsystem]

Friendly Name: Windows-Farbsystem
Interner Name: WcsPlugInService
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst ermöglicht es, Farbsysteme von Drittanbietern als Plug-In in das Vista eigene Farbmodell einzubinden. Wird der Dienst deaktiviert, kann es theoretisch bei der Ausführung von Programmen zu Darstellungsfehlern kommen.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


WdiServiceHost [Diagnoseservicehost]

Friendly Name: Diagnoseservicehost
Interner Name: WdiServiceHost
Starttyp: manuell
Starttyp (empfohlen):

Beschreibung:
Der Diagnoseservicehost dient dem Auffinden etwaiger Probleme von Windows
Komponenten. Dabei versucht das Programm, Hinweise zur Behebung dieser Probleme bereitzustellen. Wenn dieser Dienst deaktiviert ist, können Sie die Windows Systemdiagnose nicht mehr
verwenden.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


WdiSystemHost [Diagnosesystemhost]

Friendly Name: Diagnosesystemhost (eigtl. „Diagnostesystemhost“)
Interner Name: WdiSystemHost
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Hierbei handelt es sich um einen weiteren Dienst, welcher von der Windows internen System-Diagnose verwendet wird, um Speicher-, Festplatten- und Dateiprobleme aufzuspüren. Wenn Sie den Diagnoserichtliniendienst deaktiviert haben, dann können Sie auch diesen Dienst deaktivieren.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


WebClient [WebClient]

Friendly Name: WebClient
Interner Name: WebClient
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der “WebClient“ ist nicht so relevant wie sein Name vermuten ließe: Er ermöglicht es Programmen, Internet-basierte Dateien zu erstellen, darauf zuzugreifen und sie zu verändern. Wenn dieser Dienst beendet wird, werden diese Funktionen nicht mehr zur Verfügung stehen. Solange Sie keine WebDAV-Funktionen verwenden, etwa mit Frontpage, können Sie diesen Dienst ausschalten. Der normale Web-oder FTP-Zugriff funktioniert weiterhin.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


Wecsvc [Windows-Ereignissammlung]

Friendly Name: Windows-Ereignissammlung
Interner Name: Wecsvc
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst protokolliert alle möglichen Systemereignisse (Eventlogging). Dieser Service ist insbesondere für Netzwerkadmins nützlich, kann aber auch normalen Anwendern helfen, Systemprobleme oder Sicherheitsprobleme zu analysieren. Im normalen Benutzeralltag ist der Dienst entbehrlich.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


wercplsupport [Unterstützung in der Systemsteuerung unter Lösungen für Probleme]

Friendly Name: Unterstützung in der Systemsteuerung unter Lösungen für Probleme
Interner Name: wercplsupport
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst ermöglicht es, Fehlermeldungen an Microsoft zu senden und das Applet „Lösungen für Probleme“ in der Systemsteuerung zu benutzen. Wenn Sie allerdings letztere Funktion in Anspruch nehmen, werden relativ große Datenmengen an Microsoft gesendet. Wer sich davon keine Vorteile verspricht, sollte den Dienst deaktivieren.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


WerSvc [Windows-Fehlerberichterstattungsdienst]

Friendly Name: Windows-Fehlerberichterstattungsdienst
Interner Name: WerSvc
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst informiert Microsoft über die Ursache von Programmabstürzen, sofern der Anwender dazu bereit ist, das Fehlerprotokoll an Microsoft zu senden. Dieses enthält unter anderem einen Abzug des Hauptspeichersegments, in dem der Fehler aufgetreten ist. Für Microsoft und die künftige Fehlerbehebung mag das hilfreich sein, der normale Anwender wird nach dem Absturz aber nicht noch mehr Zeit verlieren wollen: Bei deaktivertem Dienst entfällt die Berichterstattung.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


WinDefend [Windows-Defender]

Friendly Name: Windows-Defender
Interner Name: WinDefend
Starttyp: automatisch
Starttyp (empfohlen): manuell

Beschreibung:
Der Basisdienst für Spyware und Virusschutz von Microsoft: Er scannt den Computer auf unerwünschte Software, lässt Sie die Scanns planen und hält die Malware Definitionen auf dem neuesten Stand.
Wenn Sie für diese Sicherheitsaspekte andere Software verwenden, dann deaktivieren Sie den “Defender“ über die Systemsteuerung. Wenn Sie nur den Dienst über Services.msc deaktivieren, gibt Vista bei jedem Start eine nervende Warnmeldung aus.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


WinHttpAutoProxySvc [WinHTTP-Web Proxy Auto-Discovery-Dienst]

Friendly Name: WinHTTP-Web Proxy Auto-Discovery-Dienst
Interner Name: WinHttpAutoProxySvc
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Dieser Dienst implementiert das WPAD-Protokoll (Web Proxy Auto-Discovery) für Windows HTTP-Dienste (WinHTTP). WPAD ermöglicht HTTP-Clients die automatische Erkennung einer Proxykonfiguration.
Wenn Sie den “WinHTTP-Web Proxy Auto-Discovery-Dienst“ anhalten oder deaktivieren, wird anstelle des externen Dienstprozesses das WPAD-Protokoll innerhalb des HTTP-Clientprozess ausgeführt. Dies führt im Normalfall zu keinerlei Funktionsverlust. In jedem Fall abschalten können Sie den Dienst, wenn Sie keinen Proxy-Server verwenden.

Abhängig von:
DHCP-Client, Netzwerkspeicher-Schnittstellendiesnt

Benötigt für:
keinen anderen Dienst


Winmgmt [Windows-Verwaltungsinstrumentation]

Friendly Name: Windows-Verwaltungsinstrumentation
Interner Name: Winmgmt
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Unentbehrlich: Der Dienst “Windows-Verwaltungsinstrumentation“ (WMI) stellt eine gemeinsame Schnittstelle und ein Objektmodell für den Zugriff auf Verwaltungsinformationen zu Betriebssystemen, Geräten, Anwendungen und Diensten bereit. WMI ist eine zur aktuellen Generation von Microsoft-Betriebssystemen gehörende Infrastruktur für die Erstellung von Verwaltungsanwendungen und für die Instrumentation.
Der Dienst wird seit Windows Vista standardmäßig installiert und automatisch ausgeführt. Wenn der Dienst angehalten wird, kann ein Großteil der Windows-basierten Software nicht ordnungsgemäß ausgeführt werden.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
Geminsame Nutzung der Internetverbindung, IP-Hilfsdienst, Sicherheitscenter


WinRM [Windows-Remoteverwaltung (WS-Verwaltung)]

Friendly Name: Windows-Remoteverwaltung (WS-Verwaltung)
Interner Name: WinRM
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Dieser Dienst stellt das “WS-Management“-Protokoll für die Remoteverwaltung der Hard- und Software eines Netzwerks bereit. Dabei spürt “WinRM“ Anfragen vernetzter Geräte auf und bearbeitet diese. Der Dienst muss dabei entweder die Eingabeaufforderung mit winrm.cmd oder durch Gruppenrichtlinien konfiguriert werden. Wenn Sie Systemadministrator sind und Funktionen wie “WMI“ und das Sammeln von Systemereignissen auf Netzwerkrechner benötigen, können Sie diesen Dienst nicht deaktivieren.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


Wlansvc [Automatische WLAN-Konfiguration]

Friendly Name: Automatische WLAN-Konfiguration
Interner Name: Wlansvc
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Dieser Dienst unterstützt die automatische Konfiguration von WLAN-Netzwerken und ist dort unentbehrlich (die Voreinstellung „manuell“ genügt allerdings). Auf PCs ohne WLAN-Adapter können Sie diesen Dienst deaktivieren.

Abhängig von:
EapHost, Remoteprozeduraufruf (RPC)

Benötigt für:
Keinen anderen Dienst


WmiApSrv [WMI-Leistungsadapter]

Friendly Name: WMI-Leistungsadapter
Interner Name: WmiApSrv
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Der Dienst stellt den Netzwerk-Clients die Leistungsbibliotheksinformationen der “Windows-Verwaltungsintrumentation“ (WMI) bereit. Die Informationen der WMI sind praktisch nur für Netzwerkadministratoren relevant. Lokale Scripts und die Wmi-Konsole (Wmic) funktionieren übrigens auch ohne diesen Dienst.

Abhängig von:
keinem anderen Dienst

Benötigt für:
keinen anderen Dienst


WMPNetworkSvc [Windows Media Player-Netzwerkfreigabedienst]

Friendly Name: Windows Media Player-Netzwerkfreigabedienst
Interner Name: WMPNetworkSvc
Starttyp: manuell
Starttyp (empfohlen): manuell / deaktiviert

Beschreibung:
Dieser Dienst gibt seit Windows Vista digitale Medien eines Rechners via UPnP (Universal Plug and Play) automatisch anderen Windows-PCs innerhalb des LAN-Netzwerkes frei. Insbesondere innerhalb von Firmennetzen ist dieser Service nur irritierend oder gar entlarvend. Im privaten Netz vereinfacht diese Funktion die Medienfreigabe, setzt aber ein homogenes Windows-Netz voraus (Windows Vista / 7 / 8).

Abhängig von:
SSDP-Suche, UPnP-Gerätehost

Benötigt für:
keinen anderen Dienst


WPCSvc [Jugendschutz]

Friendly Name: Jugendschutz
Interner Name: WPCSvc
Starttyp: manuell
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser neue Vista-Dienst ermöglicht es, verschiedene Restriktionen für andere PC-Benutzer einzustellen. Diese Jugendschutz-Einstellungen betreffen Web-Regeln, Software-Verbote und Zeitregelungen. Wenn Sie keine Kinder haben, die Ihren Rechner mitnutzen, können Sie auf diesen Dienst verzichten.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


WPDBusEnum [Enumeratordienst für tragbare Geräte]

Friendly Name: Enumeratordienst für tragbare Geräte
Interner Name: WPDBusEnum
Starttyp: automatisch
Starttyp (empfohlen): deaktiviert

Beschreibung:
Dieser Dienst unterstützt den Datenaustausch zwischen dem Windows Media Player und transportablen Speichermedien wie Digitalkameras oder USB-Festplatten und erlaubt die Vergabe von Richtlinien für angeschlossene Geräte. Die Basisfunktionalität angeschlossener Massenspeicher bleibt jedoch auch erhalten, wenn dieser Dienst deaktiviert wird.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


wscsvc [Sicherheitscenter]

Friendly Name: Sicherheitscenter
Interner Name: wscsvc
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Das „Sicherheitscenter“ überwacht Vistas Sicherheitseinstellungen und ist nicht ohne weiteres deaktivierbar. Die Firewall sowie der Windows-Defender benötigen diesen Dienst. Deaktivieren würde die Sicherheit des PCs beeinträchtigen.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC), Windows-Verwaltungsinstrumentation

Benötigt für:
keinen anderen Dienst


Wsearch [Windows-Suche]

Friendly Name: Windows-Suche
Interner Name: Wsearch
Starttyp: automatisch
Starttyp (empfohlen): automatisch / deaktiviert

Beschreibung:
Dieser Dienst fordert – vor allem unter dem älteren Windows Vista – zwar erhebliche Systemleistung, ist aber für die tägliche Nutzung des Rechners nahezu unentbehrlich. Abschalten können Sie den Dienst nur dann, wenn Sie eine alternative Desktop-Suche installieren (Copernic, Google).

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


wuauserv [Windows Update]

Friendly Name: Windows Update
Interner Name: wuauserv
Starttyp: automatisch
Starttyp (empfohlen): automatisch

Beschreibung:
Dieser Dienst ist zuständig für das Erkennen, Herunterladen und Installieren von Updates für Vista und andere Programme. Wenn der Dienst deaktiviert ist, können „Windows Update“ beziehungsweise die Funktion „Automatische Updates“ nicht verwendet werden. Zudem können Programme dann die “Windows Update Agent-Programmierschnittstelle“ (WUA API) nicht mehr ansprechen.

Abhängig von:
DCOM-Server-Prozessstart, Remoteprozeduraufruf (RPC)

Benötigt für:
keinen anderen Dienst


wudfsvc [Windows Driver Foundation – Benutzermodus-Treiberframework]

Friendly Name: Windows Driver Foundation-Benutzermodus-Treiberframework
Interner Name: wudfsvc
Starttyp: manuell
Starttyp (empfohlen): manuell

Beschreibung:
Der Dienst verwaltet den Treiberhostprozess im eingeschränkten Benutzermodus. Beim Benutzermodus-Treiberframework handelt es sich um eine neue Entwicklungsplattform für Gerätetreiber, die mit Windows Vista eingeführt wurde. Eine Einschränkung nach Deaktivieren des Dienstes ist mindestens im Admin-Kontext nicht ersichtlich.

Abhängig von:
Plug & Play

Benötigt für:
keinen anderen Dienst

Stromsparen am PC und Notebook

Strom sparen hilft gleich dreimal und ist damit ein Sport, der eigentlich jeden motivieren sollte: Das Notebook läuft länger. Die Stromrechnung wird niedriger. Und die Umwelt dankt es, wenn alle mitmachen.

1. Rechnen Sie selbst: Watt und Euro

Die üblichen Watt-Angaben für elektronische Geräte sind für normale Verbraucher nichtssagend. Was hilft die Info, dass ein Notebook 40 bis 60, ein Netbook etwa 20, ein Büro-PC 140, ein 32-Zoll-TV 50, WLAN-Router oder NAS-Gerät etwa 15 Watt verbrauchen?

Wenn Sie wissen wollen, welchen Jahresverbrauch diese Werte bedeuten, hilft folgende Formel: [Watt-Angabe]/1000*24*365*0,25

Hier ist ein Kilowatt-Preis von 25 Cent angenommen. Ein permanent laufender Büro-PC mit 140 Watt (d. i. pro Stunde) schlägt also im Jahr mit 306,60 Euro zu Buche.

2. Zeitschaltuhr und Steckerleisten

Kompromissloses Abschalten hilft bekanntlich. Jedoch sollte der Komfort nicht leiden und jedes Gerät bei Bedarf schnell nutzbar sein. Überlegen Sie den Einsatz folgender Hilfsmittel:

Steckerleiste mit Schalter: Damit trennen Sie mit einem Knopfdruck alle angeschlossenen Geräte vom Netz. Auch Router und Modem müssen nachts nicht durchlaufen – es sei denn, das Telefon-Festnetz hängt am Modem und ist nachts  unentbehrlich. PCs müssen vorher heruntergefahren werden!

Zeitschaltuhr: Einfache Zeitschaltuhren in Form von Zwischensteckern kosten nur vier bis 10 Euro, Steckerleisten mit Zeitschaltuhr zwischen 10 und 80 Euro. Für PCs, Notebooks, NAS-Speicher, externe Festplatten sind Zeitschaltungen meist zu unflexibel: Wenn Sie ausnahmsweise länger als gewohnt arbeiten und die Uhr den Strom abdreht, ist Datenverlust vorprogrammiert.

Master-Slave-Leiste: Solche Steckdosenleisten ab 15 Euro schalten automatisch alle Geräte an den Slave-Anschlüssen ab, sobald am Master-Anschluss kein Strom mehr fließt – also etwa der PC abgeschaltet wird. Die geringe Rest-Spannung bei ACPI-Sparmodi (Advanced Configuration and Power Interface) wie „Energie sparen“ oder „Ruhezustand“ schaltet die Slave-Geräte ebenfalls ab.

Master-Slave-Steckerleiste
Master-Slave-Steckdose: Solche Leisten schalten alle Geräte an den Slave-Dosen ab, wenn das Gerät (PC) der roten Master-Dose heruntergefahren wird.

3. Energieverwaltung auf PC, Notebook, Router

Moderne Hardware und Betriebssysteme halten vielseitige Sparmodi parat, die den Verbrauch des ganzen System oder einzelner Komponenten senken.

Windows und insbesondere die aktuellen Versionen 7 und 8 bieten auf PCs und Notebooks mit ACPI-Standard differenzierte Spareinstellungen. Klicken Sie in der Systemsteuerung auf „Energieoptionen“ und beim aktiven Energiesparplan auf „Energiesparplaneinstellungen ändern“. Je kürzer Sie die Zeitintervalle definieren, desto schneller greifen Helligkeitsanpassung oder Bildschirmausschaltung. Unter „Erweiterte Einstellungen“ schalten Sie Festplatten nach wenigen Minuten aus. Unter „Systemsteuerung –> Anpassung –> Bildschirmschoner“ sollten Sie „Leer“ (also schwarz) wählen und am Notebook eine sehr kurze Wartezeit einstellen.

Energieoptionen Windows 7 und 8
Energieoptionen nutzen: Mit differenzierten Einstellungen sind Windows 7 und 8 aktuell die ökologischste Betriebssysteme.

Router und NAS besitzen automatische Optionen, die den Stromverbrauch reduzieren. NAS-Geräte schalten nach einer definierten Idle-Zeit die Festplatten (siehe „Energieverwaltung“), die Fritzbox hat eine Nachtschaltung („Einstellungen, Erweiterte Einstellungen, System, Nachtschaltung“), mit der Sie für die eingegebene Zeitspanne den WLAN-Sender (Hauptverbraucher) abschalten.

Energieverwaltung in einem NAS-Netzwerkspeicher
Energieverwaltung in einem NAS-Netzwerkspeicher

4. Manueller Energiesparmodus

Vor der Mittagspause oder vor einem Meeting schalten Sie das Arbeitsgerät am besten in einen Energiesparzustand. Je einfacher das geht, desto nachhaltiger ist der Gewöhnungseffekt.

Die komfortabelste Maßnahme unter Windows ist das „Energie sparen“. Das schreibt den Inhalt der aktuellen Sitzung in den Speicher, schaltet die komplette Hardware ab und versorgt nur noch den Arbeitsspeicher mit Strom. Der Verbrauch sinkt auf zwei bis drei Watt. Nach Tastendruck ist die Sitzung mit allen Programmen in wenigen Sekunden wieder verfügbar.

Notebook- und einige PC-Tastaturen haben eine extra Sleep Mode-Taste mit Mond-Symbol. Wenn Ihnen diese fehlt, sollten Sie den Sleep Mode prominent im Startmenü eintragen. Dazu klicken Sie mit rechter Maustaste auf den Startknopf, wählen „Eigenschaften“ und ferner die Registerkarte „Startmenü“. Hier tragen Sie neben „Standardaktion für Beenden“ die Option „Energie sparen“ ein.

5. Stromspartipps für PC-Hardware

Wenn Sie Kaufentscheidungen energiebewusst treffen wollen, gibt es einige Grundregeln für die Wahl der Hardware.

Multifunktionsgeräte sind naturgemäß sparsamer als Einzelgeräte: Eine Drucker-Scanner-Kopierer-Fax-Kombi verbraucht deutlich weniger Strom als zwei oder drei Einzelgeräte. Ein gutes Smartphone ersetzt Handy, Kamera und MP3-Player.

Monitore und TV-Geräte verbrauchen umso mehr Strom, je größer die Bildfläche ausfällt. Ein 32-Zoll-LCD-TV benötigt etwa 40 Watt, einer mit 40 Zoll bereits das Doppelte. Ein weiterer entscheidender Faktor ist die Helligkeit: Bei Inaktivität sollte sich das Display möglichst schnell verdunkeln – das können Sie am Notebook über die Windows-Energieoptionen steuern. Alte Röhrenmonitore sind Stromfresser: Der Ersatz durch einen LCD-Monitor amortisiert sich nach wenigen Betriebsjahren.

PC-Komponenten: Am sparsamsten arbeitet eine Hauptplatine, die alle wesentlichen Komponenten enthält – Grafikchip, WLAN, LAN, USB, Sound. 2,5-Zoll-Festplatten sind sparsamer als 3,5-Zoll-Platten, Platten mit großer Kapazität sparsamer als mehrere kleine. Beim Netzteil sparen Sie kaum Strom, wenn Sie eines mit geringer Ausgangsleistung wählen. Eine Nennleistung von 600 Watt bedeutet nämlich keineswegs 600 Watt im Mittel, sondern nur den absoluten Spitzenwert.

Datenserver: Wenn Sie einen zentralen Server im Dauerbetrieb benötigen, ist ein Netbook mit USB-Platte oder ein NAS-Gerät zu empfehlen. Gegenüber einem PC spart das kleine Gerät knapp 200 Euro Stromkosten im Jahr.

6. Grenzwertiges Öko-Tuning

Eine Reihe weiterer Sparmaßnahmen sind technisch möglich, aber nur bedingt zu empfehlen. Sie sind marginal oder gehen auf Kosten von Stabilität oder Bedienkomfort.

Betriebssytem-Optik: Egal ob Mac, Windows, Linux – durch Abschalten visueller Effekte lässt sich der Stromverbrauch natürlich reduzieren. Aber es ist heute einem Windows-Anwender kaum noch zuzumuten, etwa das Aero-Design zu deaktivieren.

Komponenten-Tuning: Der Stromverbrauch einiger PC-Komponenten lässt sich im Geräte-Manager („Systemsteuerung –> Geräte-Manager“) genauer steuern. Sie finden etwa bei vielen WLAN-Adaptern unter „Eigenschaften –> Erweitert“ einen Mindeststromverbrauch“ sowie „Ausgangsleistung“. Bei anderen Komponenten wie dem LAN-Adapter finden Sie „Energieverwaltung“ die Option, dass der „Computer … das Gerät ausschalten“ im Sleep Modus ausschalten darf.

Untertakten und Undervolting: Manche Bios-Varianten bieten nach wie vor die Möglichkeit, den Prozessortakt manuell herabzusetzen. Das ist auf jüngeren ACPI-konformen PCs nicht sinnvoll, weil dies bei geringer Last automatisch geschieht. Fragwürdig ist auch das Undervolting mit externen Tools wie mit der englischsprachigen Freeware Rightmark CPU Clock Utility. Undervolting senkt die Stromspannung bei unveränderter CPU-Leistung. Unter Volllast sind sporadische Abstürze nicht auszuschließen.

So funktioniert ein PC (Mainboard & Co.)

PCs sind hochkomplexe, multifunktionale Werkzeuge. Die fundamentalen Bauteile und ihre Zusammenarbeit zu verstehen, erfordert aber kein Informatik-Studium. Die folgenden Zeilen und Bilder komprimieren das Wesentlichste.

1. CPU, Speicher und Peripheriegeräte

Der Computer im engeren Sinn besteht nur aus zwei fundamentalen Komponenten – dem Prozessor (CPU = Central Processing Unit, Zentraleinheit) und dem Arbeitsspeicher (RAM, Random Access Memory).

Der Prozessor: Alles was am PC geschieht, muss über die CPU in den Speicher und kann dort von der CPU gelesen, geändert, bearbeitet werden. Das ist stark vereinfacht – denn dabei lassen wir die gesonderte GPU (Graphics Processing Unit) zur Bildschirmausgabe ebenso außen vor wie DMA (Direct Memory Access), also den direkten Speicherzugriff ohne Vermittlung durch die CPU.

Um die CPU mit Aufgaben zu füttern, sind exakte Anweisungen erforderlich – Software im weitesten Sinne. Der Befehlssatz eines Prozessors, also die Maschinensprache, ist trotz jüngerer Befehlssatz-Erweiterungen (MMX, SSE) überschaubar, zumal von den 200 bis 300 Befehlen nur etwa 20 intensiv genutzt werden: Da werden etwa Inhalte von einer Speicheradresse in eine andere verschoben, Zahlen addiert, dividiert oder verglichen oder Variablen via Interrupt-Aufruf auf Festplatte geschrieben. Die der Maschinensprache nahe Assemblersprache ist trotz des geringen Befehlsumfangs schwer zugänglich und benötigt für winzige Aktionen schnell Hunderte von Codezeilen. Sie findet praktisch nur dort Verwendung, wo Geräte-Hersteller für spezialisierte Prozessoren mit optimiertem Code jede unnötige Last vermeiden müssen.

Software für den PC entsteht fast immer unter wesentlich zugänglicheren Hochsprachen wie C oder Java, deren Compiler den Code am Ende in Maschinensprache umwandelt. Diese Compiler erzielen zwar nicht die Qualität eines Assemblercodes, arbeiten aber ebenfalls hocheffizient. Selbst das Basissystem des PCs, das Bios (Basic Input Output System), muss seit der Umstellung auf EFI (Extensible Firmware Interface) nicht mehr in Assembler geschrieben werden.

CPU, Prozessor
CPU unter geöffneter Verriegelung: Die CPU ist verglichen mit ihrer Bedeutung eine unscheinbare Komponente.

Der Arbeitsspeicher: Wie viel RAM eine CPU direkt, also ohne spezielle Erweiterungstechniken nutzen kann, hängt von der Architektur ab: 32-Bit-CPUs adressieren theoretisch bis zu vier GB RAM: 2 hoch 32 ergibt 4.294.967.296 Bytes. Diese 4-GB-Grenze ist inzwischen ein echtes Limit, weil viele Mainboards in PCs und Notebooks nicht nur mehr Speicher aufnehmen können, sondern oft schon standardmäßig mit 6 und 8 GB ausgeliefert werden. Allerdings sind 64-Bit-Prozessoren seit mehr als 10 Jahren Standard: Sie können theoretisch 2 hoch 64 Bytes adressieren, sind aber aktuell oft auf 35 oder 36 Adressleitungen gedrosselt, was dann ein Speicherlimit von 32 oder 64 GB bedeutet. Neben den RAM-Limits der CPU und des Mainboards muss vor allem auch 64-Bit-Systemsoftware zum Einsatz kommen: Die Speicheradressierung der CPU über 4 GB hinaus setzt 64-Bit-Windows oder –Linux voraus, was aber ebenfalls zunehmend Standard wird.

3D-Bios
3D-Bios: Dies lässt den schlichten Textmodus eines alten Assembler-Bios deutlich hinter sich. Fragt sich allerdings, ob das Bios wirklich zum Mausklicken einladen soll.

4-GB-Limit
Verschenkter Speicher: Die 64-Bit-CPU könnte die 8 GB RAM adressieren, aber das 32-Bit-Betriebssystem verhindert dies. CPU und System müssen 64-bittig sein, um die 4-GB-Grenze zu überwinden.

2. Peripherie, Bussysteme und Interrupts

Ohne Verbindung zur Außenwelt könnte die CPU weder Befehle in Form von Software entgegennehmen noch Resultate weitergeben. Alle Geräte zur Eingabe von Software oder von Daten sowie zur Ausgabe der Ergebnisse gelten als „Peripherie“:

Peripheriegeräte und Bussysteme: Typische und eindeutige Eingabe-Peripherie sind Geräte wie Tastatur, Maus, Lochkarte oder Mikrofon, während Lautsprecher, klassische Drucker und Monitore zur Datenausgabe dienen. Multifunktionsdrucker und Touchscreen können beide Rollen übernehmen, ebenso wie Laufwerke oder Netzadapter. Die Übertragung von und zur Peripherie läuft über einen Datenbus, und die wichtigsten Bussysteme im PC sind AGP, PCI, PCI-Express für Erweiterungskarten, IDE, SCSI, (S)ATA für Laufwerke, ferner USB für externe Erweiterungsadapter und Laufwerke sowie Ethernet und WLAN für Netzverbindungen. Die Vielfalt der Bussysteme ist Folge der Tatsache, dass die CPUs immer schneller werden und die Bussysteme folgen müssen, um nicht das System auszubremsen. Der Datenweg aller dieser Bussysteme führt über den Chipsatz des Mainboards direkt zur CPU beziehungsweise umgekehrt.

Interrupts: Bislang ist nicht deutlich geworden, wie eine vielbeschäftigte CPU davon erfährt, dass sich da draußen gerade die Maus bewegt hat oder ein Datenpaket des Netzadapters angekommen ist. Dazu muss es eine Möglichkeit geben, den Prozessor zu unterbrechen und auf das Ereignis aufmerksam zu machen. Das geschieht durch definierte Unterbrechungsleitungen mit einem Interrupt-Request (IRQ). Da es eine Vielzahl von Peripherie-Geräten gibt, die IRQs senden, die CPU selbst aber nur einen Eingang dafür hat, ist – meist im Chipsatz des Mainboards – der PIC oder APIC (Advanced Programmable Interrupt Controller) zwischengeschaltet. Der bietet dann immerhin 16 Interrupt-Leitungen. Das ist auch nicht viel, und die Interrupt-Verwaltung war lange Zeit ein ernstes Problemfeld, weil zwei Geräte auf derselben Interrupt-Leitung beide Geräte ganz oder teilweise außer Gefecht setzen. Aber nach dem Aussterben technisch „dummer“ ISA-Steckkarten gelingt modernen Betriebssystemen mittlerweile das IRQ-Sharing problemlos, also das Teilen einer Leitung: Interrupt-Konflikte sind Geschichte, Plug & Play funktioniert praktisch reibungslos.

Damit das System aus Benutzersicht optimal funktioniert und reagiert, wertet der Interrupt Controller die IRQ nach Priorität: Benutzereingaben durch Maus oder Tastatur erhalten höhere Priorität als Festplatten- oder Netzwerk-Anfragen. Nur bei extremer Überlastung werden Sie beobachten, dass der Mauszeiger der Bewegung des Zeigegeräts nicht mehr folgt.

3. Mainboard und Basiskomponenten

Mainboards, Motherboards oder – deutsch – Hauptplatinen bilden das unübersehbare Zentrum eines PCs, sobald Sie dessen Gehäuse öffnen. Wichtige Anschluss-Ports des Mainboards sind auch bei geschlossenem Gehäuse überwiegend an der Rückwand, zum Teil auch an der Frontseite zugänglich. Erweiterungskarten wie Grafikkarten oder Soundkarten, zusätzliche Festplatten oder optische Laufwerke können Sie aber nur bei offenem Gehäuse und direktem Zugriff auf das Mainboard nachrüsten. Die Abbildung zeigt und kennzeichnet die wesentlichen Bauteile eines Mainboards:

Mainboard Beziffert

1. Der Bios-Chip: Das Basic Input Output System (oder die EFI Firmware) ist die primäre Software und als kleiner Chip auf dem Mainboard (1). Es initialisiert und konfiguriert dessen Hardware-Komponenten. Damit die Einstellungen Neustarts überdauern und die Systemzeit aktuell bleibt, wird ein kleiner Speicherbaustein mit einer eigenen Batterie (1a) versorgt. Beim Einschalten prüft das Bios die Mainboard-Hardware und die angeschlossenen Peripherie-Geräte und kann über den Bootsektor des primären Laufwerks den Start des eigentlichen Betriebssystems initiieren.

2. CPU-Sockel (mit CPU und Lüfter): Die CPU ist auf dem sogenannten Sockel (2) mit Hilfe eines einrastbaren Metallbügels fixiert. Von den vergleichsweise kleinen Bauteilen Sockel und CPU ist beim Blick auf ein komplett bestücktes Mainboard in der Regel nichts zu sehen, weil diese der große CPU-Lüfter verdeckt. Beim Austausch der CPU müssen Sie diese unbedingt passend zum Mainboard-Sockel wählen: Aktuelle Sockel für Intel-CPU haben Bezeichnungen wie 1155 oder 1366, für AMD-CPUs AM3 oder AM3+.

3. Speicherbänke: Die zwei, oft vier, seltener sechs Slots für RAM-Module (3) können nur die von der Slotbauweise und vom Chipsatz vorgegebene RAM-Riegel aufnehmen. Die Speicherriegel, heute meist DDR, DDR2 und DDR3 (DDR=Double Data Rate), haben je nach Typ eine Kerbe an unterschiedlicher Stelle, so dass der Einbau falscher Module physisch ausgeschlossen ist. Trotzdem müssen Sie beim Nachkauf von RAM darauf achten, dass die Module idealerweise dieselbe Taktrate besitzen, wie sie der Chipsatz des Mainboards vorgibt. Schnellere Module sind kein ernstes Problem, sie arbeiten dann aber langsamer als sie technisch könnten. Die Taktrate des Motherboards ist am einfachsten im Bios-Setup zu ermitteln, umständlicher auch im Handbuch des Motherboards.

4. Erweiterungssteckplätze: Trotz umfassender Ausstattung aktueller Mainboards mit allen wichtigen Komponenten, sind Hauptplatinen offen für Aufrüstmaßnahmen. Typischerweise finden sich auf dem Board mehrere PCI-Slots (4) und an erster Stelle und zur Mitte versetzt ein PCI-Express-Slot (4a) für die Grafikkarte. Bei neuesten Mainboards überwiegen zahlenmäßig bereits die längeren PCI-Express-Slots.

Auf älteren Boards gibt neben den PCI-Slots an erster Stelle und zur Mitte versetzt den AGP-Slot für die Grafikkarte. AGP (Accelerated Graphics Port) war einige Jahre um die Jahrtausendwende eine Zwischenlösung mit dem Ziel, damals teureres RAM für die Grafikkarte einzusparen, indem AGP notfalls den Arbeitsspeicher des PCs nutzen konnte.

Sehr alte Boards bieten am unteren Ende nach den PCI-Steckplätzen noch die auffällig langen ISA-Steckplätze. Diese sind längst im Aussterben begriffen.

Das Aussterben von ISA und AGP verurteilt manche hochwertige Erweiterungskarte zu Sondermüll, weil neuere Mainboards dafür keine Verwendung mehr haben. Umgekehrt passen in alte Mainboards keine modernen Komponenten. Lediglich der PCI-Bus (Peripheral Component Interconnect) hat mittlerweile fast zwei Jahrzehnte überdauert und wird nur dort, wo maximaler Durchsatz gewünscht ist (Grafikkarte), durch die Weiterentwicklung PCI-Express (PCIe) ersetzt.

5. Chipsatz mit Northbridge und Southbridge: Der Chipsatz des Mainboards besteht traditionell aus zwei Chips – der Northbridge und Southbridge (5). Die Northbridge befindet sich in unmittelbarer Nähe der CPU, die Southbridge nahe den Erweiterungssteckplätzen. Der Chipsatz übernimmt den Datenverkehr zwischen Peripheriegeräten und CPU, definiert wichtige Board-Eigenschaften wie CPU-Cache oder RAM-Obergrenze und bietet Onboard-Komponenten wie Ethernet und Sound. Auf manchen neueren Boards besteht der „Chipsatz“ nur noch aus einem Chip, der Southbridge. Die Funktionen der Northbridge übernimmt dort direkt eine entsprechend ausgestattete CPU. In der nebenstehenden Mainboard-Abbildung fehlt die Northbridge, die ihren Platz zwischen CPU-Sockel (2) und PCI-Slots (4a) hätte.

6. SATA-Anschlüsse: SATA (Serial Advanced Technology Attachment) ist der aktuelle Übertragungsstandard zwischen Laufwerken und dem Prozessor. Hier (6) schließen Sie Festplatten, SSDs und optische Laufwerke an. Standard ist mittlerweile die dritte SATA-Version, die theoretisch 600 MByte/s pro Sekunde übertragen kann. Die breiten, 40-Pin-Slots für ältere IDE/PATA-Festplatten (6a) sind auf neueren Boards oft nicht mehr vorhanden, Slot für Diskettenlaufwerke fehlen inzwischen auf allen Boards.

7. Anschlüsse für Peripherie: Gute PC-Mainboards sparen nicht mit Anschlüssen, die auf der Gehäuserückseite des Rechners zugänglich sind (7). Je nach Gehäuse finden sich auch auf der Frontseite Anschlüsse für USB, SD-Karte und Kopfhörer.

Die zusätzliche Abbildung der rückwärtige Peripherie-Ports zeigt ein Mainboard mit folgenden Anschlüssen von links nach rechts: PS/2-Port (für Maus oder Tastatur), darunter 2x USB 2.0, S/PDIF koaxial, darunter S/PDIF optisch (Audio-Schnittstellen), Bluetooth, 2x USB 2.0, eSATA, 2x USB 2.0, Ethernet-LAN, darunter 2x USB 2.0, Ethernet-LAN, darunter 2x USB 3.0, 6 Audio-Klinkenanschlüsse für 7.1-Surroundsystem.

8. Mainboard-Stromstecker: Der 20- oder 24-polige ATX-Stromanschluss (8) versorgt das Mainboard mit Strom. Der passende Stecker kommt vom ATX-Netzteil.

9. CPU-Stromstecker: Die CPU hat ihre eigene Stromversorgung. Der 8-polige, eventuell auch quadratisch-4-polige Stromanschluss für die CPU (9) befindet sich in der Nähe der CPU. Der passende Stecker kommt vom ATX-Netzteil.

10. Lüfter-Anschlüsse: Für CPU- und Gehäuselüfter gibt es meist 3- oder 4-polige Anschlüsse. Einmal angeschlossen, können Sie den Lüfter über das Bios oder sogar über das Betriebssystem regulieren. Die Stecker der jeweiligen Lüfter gehören in die mit „xxx_FAN“ gekennzeichneten Anschlüsse. Dabei sollte der CPU-Lüfter aufgrund seiner Steuerungsoptionen unbedingt an den vorgesehenen Anschluss „CPU_FAN“ (10); bei Lüftern ohne Steuerungsmöglichkeit spielt es keine Rolle, an welchem „xxx_FAN“-Anschluss sie hängen (SYS_FAN, PWR_FAN).

CPU-Fan, Lüfter
Anschluss für den CPU-Lüfter: Der per Software regelbare Lüfter sollte am vorgesehenen Ort angeschlossen werden.

11. Frontpanel: Das Frontpanel (11) ist für die LEDs und den Powerknopf an der Gehäusefront zuständig. Dazu müssen kleine, 2-polige Stecker des PC-Gehäuses in die passenden Pins gesteckt sein. Die Pin-Belegung am Mainboard ist oft nicht ausreichend beschriftet, so dass nur der Blick ins Mainboard-Handbuch hilft.

12. Interne USB-Anschlüsse: USB-Ports im Mainboard (12) ermöglichen den Anschluss von USB-Geräten an der Gehäusefront – soweit das PC-Gehäuse solches vorsieht. In diesem Fall muss der passende Stecker des Gehäuses mit dem internen Anschluss verbunden werden.

Peripherie-Anschluesse
Typisches Mainboard-Angebot an der Gehäuse-Rückseite: PC-Hauptplatinen geizen nicht mit Anschlussmöglichkeiten insbesondere für USB 2.0. und 3.0.

4. Mainboard und Onboard-Peripherie

Abgesehen von den genannten Standardbauteilen besitzen heutige Mainboards integrierte Peripherie-Komponenten, so dass Sie zusätzliche Steckkarten nur noch bei besonderen Qualitätsansprüchen benötigen:

Onboard-GPU: Ein Grafikchip ist häufig im Chipsatz (Northbridge) des Mainboards integriert. Diese GPUs (Graphics Processing Unit) sind völlig ausreichend für Büroanwendungen und die visuellen Effekten von Betriebssystem und Software. Lediglich 3D-Gamer brauchen in jedem Fall eine leistungsstarke Grafikkarte.

Onboard-Ethernet: Fast Ethernet (100 MBit), inzwischen meist Gigabit-Ethernet (1000 MBit) ist auf allen Mainboards Standard (13), zum Teil Bestandteil des Chipsatzes (Southbridge). Eine PCI-Netzwerkkarte ist daher nicht mehr nötig, manchmal aber zu empfehlen, weil hier bei Billig-Mainboards oft mangelhafte Qualität verbaut ist. Mainboards mit integriertem WLAN-Chip sind selten. Notebooks, die standardmäßig WLAN mitbringen, realisieren das mit einer Erweiterungskarte auf dem Mini-PCI-Steckplatz.

Onboard-Sound: Ebenfalls längst Standard (14), zum Teil im Chipsatz des Mainboards (Southbridge), ist ein Soundchip. Die meist befriedigende bis gute Qualität dieser Chips wird oft nur durch lausige Ausgabehardware (Lautsprecher) geschmälert. Dedizierte Soundkarten brauchen nur noch Enthusiasten, die Musik nicht nur hören, sondern auch bearbeiten wollen.

5. Das Mainboard ist (fast) der PC

Das Mainboard ist die maßgebliche Komponente eines PCs wie Sie anhand folgender Minimalausstattung ermessen können: Ein Rechner mit Mainboard ist nämlich theoretisch lauffähig, sobald

  • ein PC-Netzteil (meist ATX-Format) angeschlossen ist, das die Stromversorgung gewährleistet,
  • der CPU-Sockel mit einem Prozessor bestückt ist,
  • mindestens ein Speichermodul in einem der RAM-Steckplätze steckt.

Netzteil
Ohne Stromversorgung geht nichts: Mainboard, CPU sowie Laufwerke müssen mit dem Netzteil verbunden sein. PC-ATX-Netzteile leisten 300 bis 1500 Watt.

Damit kann immerhin das Bios oder die EFI-Firmware des Mainboards starten und dieses erlaubt dann per Bootmenü die Auswahl eines bootfähigen externen Datenträgers mit einem Betriebssystem. Sie sehen aber schon: Um etwas auszuwählen, ist mindestens ein angeschlossenes Eingabegerät wie eine Tastatur unerlässlich, ferner ein Monitor, um das gestartete System dann auch nutzen zu können. Außerdem setzt unsere Minimalkonfiguration voraus, dass ein Onboard-Grafikchip vorhanden ist. Im realen Betriebsalltag befindet sich im PC ferner mindestens ein Festspeicher in Form einer Festplatte oder SSD mit einem Betriebssystem, das nach dem Bios automatisch startet.

6. Verhältnis von Hardware und Software

Hardware wird immer kleiner, leiser und ausgereifter. Für den PC-Nutzer stehen zunehmend funktionsreiche Betriebssystem-Software und Anwendungsprogramme im Zentrum, und auftretende Probleme liegen überwiegend auf der dominanten Software-Ebene. Das kann Anwender zu dem Irrtum verleiten, alle Probleme auf Software-Ebene beheben zu wollen. Defekte Hardware ist aber durch Software nicht zu reparieren – einige Beispiele:

Wenn Sie Systemabstürze und Bluescreens beobachten, sollten Sie CPU- und Gehäuse-Lüfter, ferner die RAM-Bausteine prüfen.

Wenn das Netzwerk ständig stockt oder zusammenbricht, sollten Sie versuchsweise den Ethernet- oder WLAN-Adapter austauschen.

Wenn das Betriebssystem nicht mehr startet, sollten Sie vor einer Neuinstallation erst mal mit einem mobilen Linux-Live-System testen, ob nicht ein generelles Hardwareproblem vorliegt.

Deutlich harmloser als defekte Bauteile, im Ergebnis aber genauso fatal, sind fehlende oder fehlerhafte Gerätetreiber: Jede angeschlossene Hardware benötigt einen solchen Treiber als Vermittler-Software zum Betriebssystem. Unter Windows kontrollieren Sie im Geräte-Manager recht bequem, ob die angeschlossene Hardware komplett erkannt und ein Gerätetreiber installiert ist. Im Fehlerfall zeigen gelbe Ausrufezeichen oder die Angabe „Unbekanntes Gerät“, dass der Treiber fehlt. Sie können dann Windows suchen lassen oder selbst auf die Webseite des Geräteherstellers gehen. Die Basisaustattung an passenden Treibern finden Sie aber immer auch auf der Begleit-DVD Ihres Mainboards.

Hardware-Treiber
Chipsatz-Treiber auf der Mainboard-DVD: Die dem Board beiliegende DVD verdient einen sicheren Ort, bei häufiger System-Installation auch ein ISO-Image auf der Festplatte.

 

Programme – Prozesse – Threads

Programm: maschinenlesbare Abschrift einer definierten Befehlsfolge, quasi das „Buch“ (Datei) für den Prozess

Prozess: Programm im Arbeitsspeicher während der Ausführung, ‚lebendes‘ Programm, das aktuell von der CPU abgearbeitet wird

Thread: optionaler, unabhängiger Unterprozess, im Minimalfall gibt es nur einen Main-Thread, und der ist dann identisch mit dem ganzen Prozess

Task: Synonym für Prozess (siehe Task-Manager, Task-Switcher), selten als Synonym für Thread

Process Control Block (PCB): Prozess-Verwaltungsakte für den Betriebssystem-Kernel und den Scheduler; der PCB enthält u. a. PID, Rechte, Adressen, Priorität

PID Process ID): eindeutige Kennziffer für jeden einzelnen Prozess, der interne Prozess-Name aus Kernel-Sicht

Process-Zustände: Ready (wartet), Active (arbeitet), Blocked (Event, Trigger für den Start erforderlich), Zustandsänderungen durch Kernel und Scheduler

Scheduling: Zeitsteuerung der Prozesse auf Multitasking-Systemen; Kriterien für die zugewiesene CPU-Zeit sind Events, Zeitscheiben, Priorität, Semaphoren

Prozess-Priorität: Kriterium für den Kernel, den Prozess-Zustand zu ändern, weitere Kriterien sind Events und Zeitscheiben

Semaphoren: Variablen für zeitkritische Abläufe (für alle Prozesse lesbar), Notizen für die Prozess-Kooperation

Windows-Infos

Basiswissen zu noch lebenden Windows NT-Systemen

  • Windows 7 (NT 6.1), erschienen 2009
    Support-Ende für alle Editionen April 2020
  • Windows 8 (NT 6.2), erschienen Oktober 2012
    Support-Ende für alle Editionen Januar 2023
  • Windows 10 (NT 6.4), erschienen Juli 2015,
    Support-Ende für alle Editionen Oktober 2025

„Support-Ende“ meint in allen Fällen das Ende des Extended Support, also den Nachschub an Sicherheitsupdates. Danach wird ein Windows-System nicht mehr mit Updates versorgt. Es ist dann zwar immer noch funktionsfähig, aber aus Sicherheitsgründen nicht mehr guten Gewissens benutzbar.

Der Lebenszyklus der End-User-Varianten (Home, Home Premium, Ultimate) unterschied sich früher von dem der Business- und Enterprise-Lizenzen: Jene wurden nur 5, diese hingegen 10 Jahre mit Sicherheitsupdates versorgt. Große Ausnahme war Windows XP, das 2001 auf den Markt kam und selbst in der Home-Variante bis 2014 überleben durfte. Grund dafür ist höchstwahrscheinlich, dass Windows XP der Windows-NT-Produktlinie endlich den Durchbruch verschaffte und das DOS-basierte Windows (3.11, 95, 98, ME) aus dem Weg räumte. Ein Ziel, das Microsoft schon seit Mitte der 90er-Jahre verfolgte…

Februar 2012 – kurz vor Ablauf den Lifecycles von Vista Home änderte Microsoft seine Politik großzügig: Inzwischen läuft der Extended Support, also die Versorgung mit Sicherheitsupdates, für alle Windows-Editionen (Home, Pro, Enterprise – wie auch immer) volle 10 Jahre.

Infos zum Lebenszyklus aller Microsoft-Produkte liefert der Lifecycle-Index.
Eine Produktsuche für Microsoft’s Lifecycle-Datenbank finden Sie hier.