Installation und Ersteinrichtung von CentOS 7.2 auf einem Banana Pi

centos-logoWer ein Linux aus der Red-Hat-Welt auf seinem Banana Pi installieren will, der rennt erst einmal gegen eine Wand. Die offiziellen Images für den Mini-Rechner auf der Lemaker-Webseite sind veraltet. So findet sich dort nur ein Fedora 20, das sich zwar problemlos installieren lässt. Ein Upgrade auf eine aktuellere Fedora-Version war (mir) damit aber nicht möglich.

Fedora bietet ebenfalls mehrere ARM-Images an, die aktueller sind, die sich aber auf meinem Banana Pi auch nach mehreren Versuchen nicht installieren ließen. Dementsprechend froh war ich, als ich über die erst vor kurzem veröffentlichte ARM-Version von CentOS gestolpert bin. CentOS ist ein freier und kostenloser Nachbau von Red Hat Enterprise Linux, also einer Distribution, die sich perfekt für einen kleinen Mini-Server eignet. Read More …

Sind Mac OS und Linux wirklich unsicherer als Windows?

Bild: GFI Software

Bild: GFI Software

Wie aussagekräftig ist die reine Zahl an gefundenen und bekannt gewordenen Sicherheitslücken in einem Betriebssystem? Nicht besonders würde ich sagen. Wie Michael Kranawetter im Technet-Blog von Microsoft berichtet, wurden im vergangenen Jahr sowohl in Mac OS als auch in Linux mehr Sicherheitslücken entdeckt als in Windows. Aber sind die Systeme damit per se unsicherer?

Kranawetter schreibt:

Auffällig dabei ist, wie groß der Anteil der betroffenen Anwendungen inzwischen ist. Diese Entwicklung bestätigt, dass die in Betriebssystemen seit einigen Jahren integrierten Sicherungsmechanismen Wirkung zeigen und sich Angreifer somit auf die teilweise nicht ganz so gut geschützten Applikationen konzentrieren.

Wichtig sind auch die Methoden, die die Hersteller anbieten, um Sicherheitslücken zu schließen und wie schnell sie reagieren. Hier hapert es noch sehr oft. Ein Windows-System auf dem aktuellsten Stand zu halten, ist umständlich und zeitaufwändig und wird deswegen oft vernachlässigt.

Wie viel moderner Linux beim Patchen von Betriebssystem und installierten Anwendungen ist, habe ich vor kurzem bereits beschrieben. Microsoft könnte sich davon ruhig eine Scheibe abschneiden.

Linux 4.0: Patchen ohne neu Booten zu müssen

Updates installieren und dann neu starten.

Updates installieren und dann neu starten, aber nicht bei Linux.

Nach jedem noch so kleinen Update muss Windows neu gestartet werden. Auch die Aktualisierung der installierten Windows-Programme ist aufwändig. Jede einzelne Anwendung muss separat gepatcht werden. Zwar gibt es nützliche Tools wie den Secunia Software Inspector oder Sumo, sie bleiben aber Flickwerk.

Wie viel weiter ist da Linux. Oft reicht ein simpler Befehl wie zum Beispiel yum update unter Fedora, um sowohl das Betriebssystem als auch die installierte Software in einem Schwung auf den aktuellsten Stand zu bringen. Schon jetzt ist dazu anschließend meist kein Neustart des Systems nötig.

Mit Linux 4.0 soll das Rebooten noch seltener werden. Suse und Red Hat haben ihre Lösungen kpatch und Kgraft in den Linux-Kernel 4.0 integriert, von dem vor kurzem der erste Release Candidate RC1 veröffentlicht wurde.

Warum Dan Gillmor auf Linux umgestiegen ist

Bild: Sebastian Pipping

Bild: Sebastian Pipping

Der amerikanische IT-Journalist Dan Gillmor hat einen lesenswerten Artikel veröffentlicht, in dem er detailliert beschreibt, warum er auf Freie Software umgestiegen ist. Seine wichtigsten Gründe für den Systemwechsel:

Control is moving back to the center, where powerful companies and governments are creating choke points. They are using those choke points to destroy our privacy, limit our freedom of expression, and lock down culture and commerce. Too often, we give them our permission—trading liberty for convenience—but a lot of this is being done without our knowledge, much less permission.

Statt Software von Microsoft, Apple oder Google setzt er nun schon seit ein paar Jahren Linux und Open-Source-Programme ein – mit Erfolg. Bis auf einige wenige Ausnahmen kann er fast seine gesamte Arbeit mit Freier Software erledigen. Aber er ist trotzdem Realist geblieben:

But I’ve given up the idea that free software and open hardware will become the norm for consumers anytime soon, if ever—even though free and open-source software is at the heart of the Internet’s back end.

Gillmor beendet seinen Artikel mit einem Appell:

Meanwhile, I’ll keep encouraging as many people as possible to find ways to take control for themselves. Liberty takes some work, but it’s worth the effort. I hope you’ll consider embarking on this journey with me.

Neue Lücken im Adobe Reader

Im Adobe Reader sind wieder mal zwei schwere Sicherheitslücken entdeckt worden, über die die Ausführung von Schad-Code möglich sein soll. Betroffen sind diesmal die Versionen 8.1.4 und 9.1 — allerdings für Linux. Ob der Windows-Reader die beiden beschriebenen Lücken auch enthält, ist noch nicht bekannt.

Wer das Programm unbedingt weiter nutzen will oder muss, sollte zumindest Javascript über die Optionen abschalten. Außerdem sollte man wirklich nicht mehr jedes PDF-Dokument aus dem Internet unbesehen öffnen. Einen etwas aufwändigen PDF-Check ermöglicht die Online-Variante der CWSandbox.

Als Alternative zum Adobe Reader empfehle ich den PDF Xchange Viewer von Tracker Software, der ebenfalls kostenlos ist, erheblich mehr Funktionen als der Adobe Reader bietet und dabei noch schneller ist. Mit Foxit und Co. konnte ich mich jedenfalls nie anfreunden.

Besonderheiten von Conficker/Downadup

Momentan machen zahlreiche Meldungen über einen neuen Wurm mit dem hier zu Lande etwas unglücklichen Namen „Conficker“ oder auch „Downadup“ die Runde. Conficker/Downadup verbreitet sich über die Lücke CVE-2008-4250 im Server Service, die Microsoft im vergangenen Oktober im Security-Bulletin MS08-067 beschrieben hat. Darin steht unter anderem:

This is a remote code execution vulnerability. An attacker who successfully exploited this vulnerability could take complete control of an affected system remotely. On Microsoft Windows 2000, Windows XP, and Windows Server 2003 systems, an attacker could exploit this vulnerability over RPC without authentication to run arbitrary code. It is possible that this vulnerability could be used in the crafting of a wormable exploit. If successfully exploited, an attacker could then install programs or view, change, or delete data; or create new accounts with full user rights.

Genau das ist nun eingetreten und Dank unzähliger ungepatchter Systeme schwappt nun eine Conficker/Downadup-Welle durch das Internet. Nach einer erfolgreichen Infektion legt der Wurm zuerst Kopien von sich selbst in folgenden Ordnern ab:

* %System%[Random].dll
* %Program Files%Internet Explorer[Random].dll
* %Program Files%Movie Maker[Random].dll
* %All Users Application Data%[Random].dll
* %Temp%[Random].dll
* %System%[Random].tmp
* %Temp%[Random].tmp

Dann trägt er sich im Autostart-Bereich der Windows-Registry ein und erstellt auf jedem angeschlossenen USB-Laufwerk zwei Dateien. eine mit einem zufälligen Namen und eine „autorun.inf“, um sich so über das USB-Laufwerk weiter zu verbreiten. Außerdem hängt er sich an die Windows-Prozesse „svchost.exe“, „explorer.exe“ und „services.exe“ und trickst so vermutlich eine installierte Desktop-Firewall aus.

Außerdem deaktiviert Conficker/Downadup die folgenden Windows-Dienste:

# Windows Automatic Update Service (wuauserv)
# Background Intelligent Transfer Service (BITS)
# Windows Security Center Service (wscsvc)
# Windows Defender Service (WinDefend)
# Windows Error Reporting Service (ERSvc)
# Windows Error Reporting Service (WerSvc)

Und er blockiert den Zugriff auf Dutzende Sicherheits-Webseiten und versucht, sich mit einer Liste von häufig verwendeten Login-Namen an anderen Computern im Netzwerk anzumelden und Kopien von sich auf freigegebenen Laufwerken abzulegen. Außerdem startet der Wurm einen lokalen HTTP-Server, um sich über die eingangs erwähnte Lücke weiter zu verbreiten.

Außerdem überprüft Conficker/Downadup das Systemdatum und erstellt aus dem aktuellen Datum eine Liste von mehreren sich täglich ändernden Domain-Namen, mit denen er Kontakt aufnimmt, um dort neue Komponenten herunterzuladen. Die Ersteller des Wurms müssen also nur eine der fraglichen Domains registrieren, um Kontakt mit den infizierten Computern aufzunehmen und um ihren Wurm zu aktualisieren.

Das ist ein ziemlich guter Trick, hat aber den Nachteil, das sich diese Methode auch andere zunutze machen können, sobald der Domain-Algorithmus bekannt ist. F-Secure hat mehrere mögliche Domain-Namen registriert und konnte so Informationen über die Verbreitung von Conficker/Downadup sammeln. Laut Hochrechnungen von F-Secure sind mindestens 2,4 Millionen Computer weltweit mit dem Wurm infiziert. Das ist wirklich ein beeindruckend großes Botnet oder wie F-Secure es formuliert „a big badass botnet“.

Leider kann der Sicherheitsanbieter nicht viel mehr machen als Daten sammeln:

We could attempt to manipulate the infected machines. But of course we won’t. In fact, we won’t be doing anything at all to them – not even disinfect them – as that could be seen as „unauthorized use“. That is illegal, at least in many jurisdictions. (Doing something without being asked is also a very large ethical question…) Look but don’t touch is the golden rule.

F-Secure bietet auch Removal-Tools für Conficker/Downadup an, die sich gleich am Anfang der Virenbeschreibung finden.

Zattoo auf dem Toshiba NB100 installieren

Wie schon auf dem Acer Aspire One habe ich den Internet-TV-Player Zattoo auch auf dem Toshiba NB100-11R installiert. Das geht erfreuerlicherweise relativ einfach, obwohl Toshiba das LPIA-basierte (Low-Power Intel architecture) „Ubuntu Netbook Remix“ (UNR) verwendet. Ein Repackage wie auf dem Mini 9 von Dell ist nicht nötig.

Zuerst muss man das aktuelle .deb-Paket für Ubuntu 8.04 von der Zattoo-Webseite herunter laden. Danach öffnet man ein Fenster des Datei-Managers Nautilus, navigiert zum Download-Ordner, klickt mit der rechten Maustaste auf die herunter geladene Datei und wählt „Mit GDebi Paket-Installer öffnen“ aus. Im Paket-Installer klickt man dann rechts oben auf den Button „Paket installieren“. Gdebi lädt noch drei weitere benötigte Pakete herunter und installiert diese zusammen mit Zattoo. Sobald das abgeschlossen ist, kann man den Paket-Installer wieder schließen.

Prinzipiell kann man Zattoo jetzt gleich über /usr/share/applications/Zatto Player starten. Allerdings integriert sich das Programm dann nur schlecht in die UNR-Oberfläche. Besser ist es, zum Beispiel auf dem Reiter „Favoriten“ ein Start-Icon für Zattoo anzulegen. Dann springt auch die UNR-Komponente „maximus“ zur Hilfe und integriert das Zattoo-Fenster in die Desktop-Oberfläche.

Dazu muss man links in der Navigation „Einstellungen, Hauptmenü“ auswählen. Unter „Menüs“ markiert man jetzt „Favoriten“ und klickt dann rechts auf „Neuer Eintrag“. In das erste Feld trägt man Zattoo ein und darunter den Applikationspfad /usr/bin/zattoo_player.

Nach einem Klick auf „Schließen“ findet sich sofort ein Icon für Zattoo im Launcher unter „Favoriten“. Allerdings habe ich noch nicht herausgefunden, wie man das Original-Icon für Zattoo einblendet.

So sieht Zattoo dann auf dem NB100 aus:

Evolution-Mail platzsparend einrichten

Zuerst war ich ja nicht so angetan von Evolution. Aber ich habe mich entschieden, dem auf dem NB100-11R von Toshiba vorinstallierten Mail-Client eine Chance zu geben, bevor ich mich nach Alternativen umsehe. Das Programm bietet neben Mail, auch eine Verwaltung für Kontakte, Aufgaben, Notizen und einen Kalender. Also genau die Funktionen, die ich von einem Mini-Notebook mit Ubuntu erwarte, das ich vor allem wie einen PDA nutzen möchte.

In der Standardeinstellung ist die Mail-Komponente von Evolution auf einem kleinen Display kaum nutzbar, wenn man weiterhin die klassische dreigeteilte Ansicht (links die Mail-Ordner, rechts oben die Mail-Übersicht, darunter der Text der gerade ausgewählten Mail) haben möchte. Nach einigen Anpassungen bin ich aber ganz zufrieden. Im Folgenden die wichtigsten Konfigurationsänderungen.

1. Unterhalb der Mail-Ordner blendet Evolution fünf Buttons mit nebenstehender Beschreibung für die verschiedenen Hauptfunktionen des Programms ein. Mit dem Befehl „Ansicht, Erscheinungsbild der Schaltflächen, Nur Symbole“ lassen sich die Beschreibungen verbergen, so dass nur noch die Buttons übrig bleiben.

Wer will, kann die Buttons mit „Ansicht, Erscheinungsbild der Schaltflächen, Schaltflächen verbergen“ komplett ausblenden. Zum Wechseln zwischen den Hauptfunktionen dienen dann die folgenden Tastatur-Shortcuts:

[Strg 1] E-Mail
[Strg 2] Kontakte
[Strg 3] Kalender
[Strg 4] Aufgaben
[Strg 5] Notizen

2. Als nächstes habe ich die störende Werkzeugleiste entfernt, die mit ihren übergroßen Buttons viel zu viel Platz verbraucht. Dazu dient der Menübefehl „Ansicht, Anordnung“ und dann das Häkchen vor „Werkzeugleiste anzeigen“ entfernen.

Auch hier lassen sich die wichtigsten Funktionen per Shortcut aufrufen:

[Strg N] Neue E-Mail
[Strg R] Antwort
[Strg Shift R] Antwort an alle
[Strg F] Weiterleiten
[Strg J] Als Spam markieren

Die meisten Befehle lassen sich außerdem über das Menü „Nachricht“ aufrufen. Dort stehen auch weitere Shortcuts.

3. Als nächsten Schritt habe ich die fünf Header-Zeilen reduziert, die Evolution zu jeder E-Mail anzeigt. Dazu muss man „Bearbeiten, Einstellungen“ aufrufen und dann „E-Mail-Einstellungen“ sowie den Reiter „Kopfzeilen“ aufrufen. Ich habe die Häkchen vor „Antwort an“ und vor „Datum“ entfernt. Wer will, kann die angezeigten Header-Zeilen aber natürlich noch weiter reduzieren. So sehen meine Einstellungen momentan aus:

Ein vollständiger Header der ausgewählten Mail lässt sich mit [Strg U] anzeigen.

4. Über „Ansicht, Anordnung, Statusleiste anzeigen“ wird außerdem die Statuszeile am unteren Fensterrand ausgeblendet. Die habe ich aber vorerst drin gelassen.

Linux unter Windows mit Andlinux

Andlinux ist eine Linux-Ergänzung für Windows-Rechner, die das freie Betriebssystem direkt in Windows integriert. Mit Andlinux muss man weder den PC neustarten noch eine virtuelle Maschine nebenher laufen lassen, um Linux zu nutzen. Das klingt sehr interessant.

Der Linux-Kernel läuft dabei als Dienst unter Windows. Dadurch soll die Performance besser als bei einer Virtualisierung sein. Ich habe Andlinux in einem virtuellen PC mit 1 GByte zugewiesenem RAM ausprobiert. Dort läuft es ziemlich zäh. Aber das ist natürlich nicht repräsentativ.

Andlinux basiert auf Colinux, wurde aber um Ubuntu und Xming als X-Server sowie Pulseaudio als Sound-Server ergänzt. Momentan befindet es sich noch im Betastadium, die aktuell verfügbare Version ist Beta 1 RC6. Mit Bugs ist also noch zu rechnen.

Lifehacker hat ein Tutorial veröffentlicht. Weitere Tipps finden sich im GP2X-Wiki.

Der folgende Screenshot zeigt Konqueror sowie die Startleiste von Andlinux unter Windows XP:

Wubi 8.04 für Ubuntu 8.04

Wubi ist ein Windows-Programm, um Ubuntu zu installieren. Man muss dazu nur ein einziges, sehr einfach gehaltenes Konfigurationsfenster ausfüllen, meist reicht sogar die Eingabe des Passworts. Auch eine Partitionierung der Festplatte ist nicht nötig, da Wubi das gesamte Ubuntu-System in einen Ordner des Windows-Dateisystems packt. Zum Starten verwendet Wubi außerdem den Boot-Loader von XP und nicht Grub. Und wer Ubuntu wieder loswerden will, entfernt es über die Systemsteuerung von Windows. Es gibt also keine einfachere Methode, Ubuntu zu installieren.

Die Wubi-Entwickler konzentrieren sich momentan auf Wubi 8.04 für Ubuntu 8.04. Beide befinden sich jedoch noch im Alpha-Stadium. Die Programmierung an Wubi 7.10 für Ubuntu 7.10 scheint mehr oder weniger eingestellt worden zu sein. Wer also ein 7er-Ubuntu einsetzen will, sollte zu Wubi 7.04.04 greifen und dann eventuell das installierte Ubuntu aktualisieren.

Wubi 8.04 Alpha

Wie bereits gesagt, Wubi ist noch Alpha und befindet sich noch voll in der Entwicklung. Derzeit erscheinen im „Minefield“ fast jeden Tag neue Versionen. Endanwender sollten laut Agostino Russo, dem Projektmanager von Wubi, zur älteren Revision 410 greifen, die einigermaßen stabil sein soll. Alle von mir ausprobierten Versionen hatten außerdem einen lästigen Fehler: Wenn man Wubi den Ubuntu-Download ausführen lässt, wird die AMD-64-Bit-Version heruntergeladen. Auf 32-Bit-Systemen läuft diese nicht.

Die 32-Bit-Version muss man also selbst herunterladen und in denselben Ordner wie Wubi legen. Da auch Ubuntu 8.04 momentan laufend aktualisiert wird, sollte man die ISO gelegentlich neu herunterladen. Der Link zeigt immer auf die aktuellste Version.

Ein weiterer Fehler tritt auf, wenn man Wubi 8.04 Alpha nicht auf der ersten Partition installiert. Für diesen Fall hat Agostino Russo eine Lösung im Wubi-Forum veröffentlicht:

1) Press esc at the countdown after you select „Ubuntu“
2) Press „e“ to edit the first menu entry
3) Press „e“ to edit the line starting with „root (hd0,0)/ubuntu/disks“
4) You have to change the 2 numbers in there. The first number is the disk number -1, the second is the partition number -1. Change them to point to the disk/partition where you installed Wubi. If you installed Wubi on the third partition of the first harddisk, for instance, you will have to enter „root (hd0,2)/ubuntu/disks“
5) Press enter to confirm and „b“ to boot

You should now be able to boot into Ubuntu. To make the above changes permanent. Open a terminal and type

sudo gedit /boot/grub/menu.lst

Edit (0,0) as explained above in the groot line, so that it points to the correct device. For sda2 that would be:

## default grub root device
## e.g. groot=(hd0,0)
# groot=(hd0,1)/ubuntu/disks

Save and run the following command:

sudo update-grub

Der Thread enthält noch weitere Ratschläge und Tipps zu Fehlern bei der Installation von Wubi 8.04 Alpha.

Momentan würde ich von Wubi 8.04 aufgrund der zahlreichen Fehler noch abraten. Erst gestern hat Agostino eine stabile Version für die nahe Zukunft angekündigt. Alle größeren Bugs seien bereinigt und man befinde sich bereits im „Feature Freeze“.

Weiterer Beitrag zu Wubi:

Mini-Howto: Ubuntu mit Wubi installieren