Live-Linux: Knoppix 8.0 bringt moderne Technik für neue Hardware

Die Distribution mischt Debian Stable (Jessie) mit etlichen Paketen aus Testing und Unstable (Stretch, Sid) – in erster Linie neue Grafiktreiber und Desktopprogramme. Um möglichst viel aktuelle und neue Hardware zur Mitarbeit zu bewegen, verwende ich den Linux-Kernel 4.9 sowie X.org 7.7 (Core 1.19.1) und als Aufsatz zur sehr flott startenden Desktopoberfläche LXDE die komfortable 3D-Erweiterung Compiz 0.9.13.1.

Boot-Optionen als Notlösung

Normalerweise benötigt Knoppix wie beschrieben keinerlei Boot-Optionen, um die vorgefundene Hardware inklusive Grafikkarte zu erkennen und das System optimal zu konfigurieren. Die zunehmende Anzahl verschiedener Chipsätze macht es aber manchmal doch notwendig, die eine oder andere Funktion oder auch eine einzelne Komponente (diagnostisch und vorübergehend) abzuschalten, um zum regulären Desktop durchzustarten. Dazu können Nutzer hinter dem Bootprompt knoppix (für die 32-Bit-Variante) oder knoppix64 (für 64 Bit) die gewünschten Optionen eintippen.

backwards forwards

Häufige Boot-Optionen nennt die Boot-Hilfe, abrufbar mit [F2] oder [F3], andere sind in der Textdatei KNOPPIX/knoppix-cheatcodes.txt aufgelistet. Klemmt etwa der Desktop, wenn der 3D-Windowmanager Compiz starten soll, helfen oft die Boot-Optionen knoppix nocomposite oder knoppix no3d. Die eine schaltet die Composite-Erweiterung des Grafiksubsystems ab, die andere verhindert den Compiz-Start.

Umgekehrt kann der Benutzer für Grafikkarten, die eigentlich nicht schnell genug für Compiz sind und daher automatisch mit der flachen Windowmanager-Alternative Metacity starten, mit der Option knoppix 3d die 3D-Oberfläche mit Software-Rendering erzwingen.

Läuft auf Flashmemory viel flotter

Heute installieren die meisten Anwender Knoppix nach dem ersten Start auf einem USB-Stick (8 GByte oder größer), statt immer von DVD zu starten. Denn obwohl ich das ISO durch eine Sortlist fürs DVD-Lesen optimiert habe – das reduziert das sehr langsame Positionieren des Laser-Lesekopfs -, beschleunigt Flashmemory den Startvorgang und das Arbeiten mit Knoppix um mindestens den Faktor fünf, so dass Startzeiten vom Laden des Kernels bis zum kompletten Desktop inklusive Compiz unter 15 Sekunden möglich sind, einigermaßen moderne Computerhardware und einen schnellen USB-Stick oder SD-Kartenleser vorausgesetzt.

Von DVD gestartet lädt schon seit mehreren Knoppix-Versionen ein Desktop-Icon links oben dazu ein, das Installationsprogramm flash-knoppix zu starten. Das Werkzeug ersetzt die erste nicht schreibbare Partition auf dem Zieldatenträger durch eine schreibbare FAT32-Partition, die nebenbei auch gleich die für UEFI-Boot benötigten Dateien enthält und auf der sich die Boot-Konfiguration wie bisher auch leicht modifizieren lässt.

Das voll schreibbare System auf dem Ziel-USB-Stick enthält zudem die Option, die künftig selbst angelegten persönlichen Daten zu verschlüsseln. Version 8 von Knoppix lässt sich nun auch – auf SD-Karte installiert – auf Computern starten, die einen MMC-Kartenleser haben, der unter Linux nicht dem üblichen Namensschema für Festplatten wie /dev/sd* folgt, sondern sich als /dev/mmcblk0 anbietet. Die Partitionen darauf heißen entsprechend mmcblk0p1 und so weiter. Wer auf einer SD-Karte den Schreibschutzschalter aktiviert, dessen Knoppix ignoriert die schreibbare Overlay-Partition. Auf diese Weise lässt sich der Start von DVD simulieren, bei dem nur eine RAM-Disk für Veränderungen bereitsteht.

Neu in Version 8 ist auch die Möglichkeit, eigene Änderungen am System direkt in ein neues komprimiertes Image zu remastern. Dabei gilt zu beachten, dass auch private Daten wie Lesezeichen, gesetzte Cookies und Passwörter für Webseiten oder Netzzugänge, also prinzipiell alles, was der Benutzer gegenüber dem Original neu gespeichert und nicht wieder gelöscht hat, beim Remastern mit in das neue Image gelangen.

Wem das zu heikel ist, der sollte auf das Remaster-Feature verzichten, die schreibbare Overlay-Partition wird dann ignoriert und die neuen Daten werden nicht mitkopiert. Den Sprung auf Versionsnummer 8.0 rechtfertigt allerdings die aktuelle Hardwarelandschaft.

Hybrides USB-Image statt DVD

Während ich in den vergangenen Jahren neue Major-Versionsnummern nur sehr zurückhaltend vergeben habe, war es nun an der Zeit für einen Versionssprung – nicht nur weil die aktuelle Debian-Version ebenfalls die 8 trägt, sondern weil eine gravierende Änderung am Distributionsdateisystemformat notwendig war. Den Anlass geben die vielen Computer, vor allem Notebooks, die kein DVD-Laufwerk mehr haben. So wurde es Zeit für mich, auf ein Image-Format umzusteigen, das durch das 1:1-Kopieren des DVD-Image auf einen USB-Stick diesen bootfähig macht. In den Vorgängerversionen von Knoppix war dies unmöglich.

backwards forwards

Für Besitzer einer Knoppix-8.0-DVD ist es im ersten Schritt ein sinnvolles Unterfangen, mit dem Kommando dd if=/dev/sr0 of=Image.iso bs=1M ein Image von ihrer DVD zu ziehen. Oder sichtbar kürzer: cp /dev/sr0 Image.iso.

Umgekehrt können Anwender nun das Image auf ein Flashdevice kopieren, hier eine SD-Karte in einem MMC-Kartenleser: dd if=Image.iso of=/dev/mmcblk0 bs=1M. Oder wieder kürzer: cp Image.iso /dev/mmcblk0. Unter Windows gelingt dies ebenfalls, beispielsweise mit dem Open-Source-Programm Disk Imager(öffnet im neuen Fenster).

Ein ISO-Image, das für das Brennen einer DVD verwendet wird, hat normalerweise weder eine Partitionstabelle noch einen Master Boot Record in den ersten Sektoren. Jedoch erlaubt es das ISO-9660-Format durchaus, Daten im ansonsten ungenutzten Teil des Dateisystems unterzubringen – auch eine Partitionstabelle und einen Bootrecord – und zwar genau dorthin, wo diese sich im Falle einer Festplatte oder eines USB-Sticks üblicherweise befinden. Das mache ich mir für Knoppix 8.0 zunutze, um im ISO ein Hybridformat aus einer bootfähigen Knoppix-Partition und einer Datenpartition zu schaffen, ganz ähnlich zu der Konstellation, die flash-knoppix zusammenbaut.

Beim ersten Start von USB-Stick oder SD-Karte mit Hybrid-Image expandiert Knoppix die letzte, als Linux-Partition bereits im Image markierte Partition auf die Maximalgröße, erweitert das schreibbare Dateisystem und benutzt es, um eigene Daten zu speichern. Manuelles Einstellen und ein Neustart, wie es beim SD-Karten-Image des Raspberry Pi nötig ist, entfallen.

Einen Nachteil hat dieses Verfahren allerdings: Das ISO-9660-Dateisystem unterstützt durch seinen kompakten Aufbau keinerlei Schreiboperationen. Die erste Partition eines mit dem ISO-Image beschriebenen USB-Sticks ist also unveränderlich. Theoretisch hätte ich ins ISO-Image ein FAT32- oder ein Linux-Dateisystem platzieren können, allerdings unterstützen viele Computer, die von DVD booten, kein anderes Dateisystem-Layout für das Starten von DVD.

Auch andere Betriebssysteme könnten Schwierigkeiten bekommen, ein Nicht-DVD-Dateisystem von einer DVD zu lesen. Andere mit Hybrid-Images arbeitende Distributionen verwenden den gleichen Kompromiss und verzichten auf eine schreibbare Boot-Partition zugunsten der Kompatibilität.

Unterm Strich bekommen Knoppix-8-Anwender die Wahl zwischen zwei Flash-Memory-Layouts: die aus der DVD mit dd erzeugte Hybridversion und die funktional bessere – weil voll schreibbare – Version, die flash-knoppix zusammenbaut.

Hybrides Booten auf EFI-Systemen

Es gibt sehr alte und sehr neue Computer, die nicht von USB booten: Bei den einen unterstützt dies das Bios nicht, bei den anderen erschwert oder verbietet EFI das Starten von externen Datenträgern.

Grundsätzlich ist Knoppix auch im EFI-Modus von USB-Stick startfähig, da der Ordner efi auf der ersten Partition die dafür notwendigen Startdateien enthält. Ist auf dem Rechner die EFI-Firmware auf Secure Boot gesetzt, sollte beim Start eine Abfrage des signierten Bootloaders erscheinen, die um Bestätigung und Speicherung der Prüfsumme bittet, bevor das System starten kann.

Falls dieser Dialog ausbleibt und das System sich weigert, von USB zu booten, hilft die Bios-Einstellung CSM (Compatibility Support Module), die sachlich richtiger Traditionell starten per Bootrecord und Bootloader heißen sollte. Laut Intels Vorgaben sollten alle EFI-Computer CSM als Option bieten.

Für alle Fälle, bei denen von USB-Flashdisk zu starten nicht möglich ist, enthält Knoppix 8.0 im Ordner KNOPPIX das ISO-Image einer gerade mal 15 MByte großen Boot-only-CD, die Benutzer auf einen CD-Rohling brennen können und von der der Computer in Kombination mit einem Knoppix-8.0-USB-Stick hochgefahren werden kann. Der Boot-Prozess beginnt dann zunächst auf der CD und wechselt nach kurzer Zeit auf den USB-Stick. Der Workaround funktioniert bei den meisten Problem-PCs sehr gut, speziell bei Macs mit eingeschränkter Möglichkeit, von externen Datenträgern zu starten, selbst per EFI.

Die neue Version 8.0 von Knoppix ändert darüber hinaus auch einige Details am Boot-Vorgang der Distribution selbst, so wie dies auch bei der zugrundeliegenden Distribution Debian geschehen ist.

Die Antwort auf Systemd

Zum Start setzt Knoppix aber anders als Debian nicht ausschließlich auf Systemd. Das Für und Wider der Lösung mit Systemd wurde hinlänglich diskutiert. Das Debian-Team jedenfalls hat mit Jessie sein Standard-Boot-System unwiderruflich darauf umgestellt. Viele Programme lassen sich ohne die APIs von Systemd auch gar nicht mehr installieren oder starten, wie etwa der in der Taskleiste beheimatete und nicht ohne weiteres ersetzbare Network-Manager.

Die enge Verzahnung vieler Systemdienste mit Systemd hat die Komplexität des Systems gegenüber früher bedauerlicherweise stark erhöht, was vielen Distributionskonstrukteuren wie mir das Zusammenstellen ihrer Systeme im gleichen Maße schwerer macht.

Mit ein paar Tricks ist es mir bislang gelungen, die Komplettumstellung auf Systemd zu umgehen: So laufen die Systemd-eigenen Module zwar in Knoppix ständig mit, wie Udev, oder starten bei Bedarf wie die Sitzungsverwaltung systemd-logind. Aber ich lasse sie nur von solchen Programmen nutzen, die ohne Systemd aufgeschmissen wären – der erwähnte Network-Manager zum Beispiel. Knoppix' Startvorgang läuft nach wie vor per Sys-V-Init mit wenigen Bash-Skripten, welche die Systemdienste effizient sequenziell oder parallel starten.

Das Startskript knoppix-autoconfig bleibt das Rückgrat meines Boot-Systems, das die Hardwareerkennung stemmt und den Parallelstart wichtiger Systemkomponenten veranlasst. Daher ändert sich am Start von Knoppix im Vergleich zu früher nichts. Wer eigene Systemdienste beim Hochfahren starten will, trägt diese in die Datei /etc/rc.local ein, die Datei enthält entsprechende Beispiele.

Lange Ausstattungsliste zur Nutzung

Für Systeme mit 64-Bit-CPUs startet – automatisch erkannt oder mit der Boot-Option knoppix64 – ein 64-Bit-Kernel. Möglich werden so auch Systemreparaturen in 64-Bit-Umgebungen per chroot. Hier eine kurzgefasste Liste mit Highlights der neuen Version: Hybrid-DVD/Flash-Layout, das nach der 1:1-Kopie die Overlay-Partition automatisch aktiviert. Remaster-Option für das Flashen personalisierter USB-Sticks mit komprimiertem Overlay-Image. Kernel 4.9.6 mit Patches: BFQ-Scheduler (Low Latency), Cloop (Decompressing Loopback Device), AUFS (Another Union File System), TCP Stealth, Broadcom-STA-Wifi-Treiber.

Auch die Desktopauswahl ist groß: LXDE, der schlanke Knoppix-Standarddesktop mit dem Dateimanager Pcmanfm 1.2.3, Gnome 3 (Boot-Option knoppix desktop=gnome) oder KDE Plasma 5 (knoppix desktop=kde). Einfacher Desktopexport ist via VNC und RDP möglich. Barrierefreie Youtube-Anbindung im Adriane Audio Desktop(öffnet im neuen Fenster) ist mit Mpsyt umgesetzt. Wine 2.0 wird zum Ausführen von Windows-Programmen genutzt, auch von solchen für Windows 10.

Zusätzlich zu einer einfachen Tor-Browser-Installation gibt es Chromium 56.0.2924.76, Firefox 52.0 mit Adblock Plus und Noscript sowie Libreoffice 5.3, Gimp 2.8.16, Blender 2.78, Freecad, Open Scad fürs 3D-Prototyping, Slic3r für das schichtweise 3D-Drucken oder Shutter, ein funktionsreiches Screenshot-Tool.

Trotz voll ausgelastetem Datenträgerdurchsatz, langsamer DVD-Laufwerke oder überlasteter Festplattenmechanik soll jedes Programm in Sekundenschnelle starten, als ob nichts sonst auf dem Rechner liefe – dieses Ziel hat sich der Patch für den sogenannten Budget Fair Queing Scheduler(öffnet im neuen Fenster) gesetzt, der noch nicht zum offiziellen Kernel gehört.

Tatsächlich arbeitet das Desktopsystem nach meinem Eindruck damit deutlich flüssiger und Programme verharren seltener in einer Warteschleife, wenn das System parallel größere Datenmengen liest. In Knoppix 8.0 ist das BFQ-Patch integriert und als Standard-Scheduler automatisch aktiv.

Ein weiteres wichtiges Detail von Knoppix sind die Funktionen zur Sicherheit und Schutz der Privatsphäre der Nutzer, die Priorität in Knoppix' Architektur haben.

Rootlos und ungeskriptet

Um die Sicherheit und den Schutz der Nutzer zu gewährleisten, sind alle Benutzerzugänge in Knoppix gesperrt, es gibt schlicht keine Standardpasswörter, nicht mal für den unprivilegierten Benutzer knoppix. Daher ist ein klassischer Login auch nicht möglich. Wer eine Bildschirmsperre startet, sperrt sich praktisch aus, da es kein gültiges Passwort zum Entsperren gibt. Daher ist das Absperren des Bildschirms beim Schließen des Notebookdisplays oder bei Inaktivität abgeschaltet.

backwards forwards

Der Firefox-Browser ist mit dem Noscript-Plugin ausgestattet, das bis auf wenige Ausnahmen bei jeder Webseite mit aktiven Inhalten oder solchen, die auf Plugins oder die Hardware zugreifen wollen, beim Anwender um Bestätigung oder Ablehnung nachsucht.

Noscript vermutet bei Javascript- oder Flash-Inhalten oder beim Start von Plugins, welche die Kamera, das Mikrofon oder andere Komponenten aktivieren, negative Auswirkungen auf die Sicherheit und Stabilität des Browsers und blendet am unteren Rand des Browsers (oberhalb des Statusbalkens) gelbe Benachrichtigungen ein.

Der Benutzer soll dann entscheiden, ob er die Webseite permanent, nur für die Sitzung oder gar nicht für aktive Inhalte freischaltet. Noscript macht zudem Banking und Bezahltransaktionen beim Einkaufen im Internet sicherer, da es viele Cross-Site-Scripting-Attacken erkennt und davor warnt.

Knoppix hat ausgeflasht

Das proprietäre Browser-Flash-Plugin blickt auf eine lange Geschichte selbst verursachter Sicherheitsprobleme zurück. Viele Anwender kennen es zudem als unersättlichen Ressourcenfresser. Zum Glück gibt es nicht mehr viele Webseiten, die das Flash zwingend benötigen, vor allem Größen wie Youtube kommen ohne aus. Deswegen ist das Plugin in Knoppix 8.0 gar nicht erst installiert. Wer Flash dennoch benötigt, kann es aber über den Knoppix-Menüpunkt Zusätzliche Software installieren aus Debian nachinstallieren.

Tor zur besseren Welt

Benutzer werden oft unbemerkt durch manipulierte Webseiten oder Werbeanzeigen mit Tracking-Funktionen ausspioniert. Der Betreiber sammelt durch die IP-Adressen der Besucher in Kombination mit anderen Daten Kundenprofile. Berechtigterweise ist nicht jeder Internetnutzer mit dieser Art Transparenz seines Alltags im Netz einverstanden.

Deshalb lässt sich Tor durch ein Startprogramm im Knoppix-Menü in Gang setzen. Danach muss der Benutzer einen Proxy im Webbrowser einrichten. Eine Ein-Klick-Aktivierung des Tor-Proxys habe ich in Chromium und Firefox aber schon voreingestellt. Abseits davon ist auch ein spezieller Tor-Browser direkt über das Startprogramm installierbar. Diesen zu benutzen, empfehlen die Tor-Erfinder aufgrund der geringeren Gefahr durch deanonymisierende Plugins.

Um Knoppix auch als Virenscanner für Windows-Malware einsetzen zu können, habe ich im Knoppix-Startmenü diesmal einen Starter für den Clam-AV-Scanner integriert, der selbstverständlich als erste Aktion ein Update der Schadsoftware-Datenbank übers Netzwerk durchführt.

Schutz vor Portscans

Das in einem IETF-Draft beschriebene Verfahren TCP Stealth dient der Autorisierung beim Verbindungsaufbau, mitgeschickt im ersten SYN-Paket, also bevor die eigentliche Datenübertragung zwischen Client und Server stattfindet. Die Autorisierung erfolgt mit einer relativ schwachen Schlüssellänge und eignet sich daher nicht als Ersatz für Challenge-Response-Authentifikation mit starker Verschlüsselung. Dennoch erschwert sie das Scannen von offenen Ports bereits erheblich, da Linux Pakete ohne den korrekten Zugangsschlüssel abweist – der Portscanner sieht die auf den Ports laufenden Dienste nicht.

Um Linux mit TCP Stealth auszurüsten, ist der Knock(öffnet im neuen Fenster)-Kernelpatch erforderlich, der neue Socket-Optionen bereitstellt, die wiederum Server- und Clientprogramme für den autorisierten Zugriff nutzen. Neben dem Kernelpatch sind in Knoppix 8.0 SSH-Server und -Client mit TCP-Stealth-Unterstützung ausgerüstet. Zur Aktivierung sind in /etc/ssh/sshd_config nur die Option TCPStealthSecret und eine Art Passwort für die Autorisierung von Clients nötig: TCPStealthSecret "1234". Auch nach dem SSH-Server-Start (sshstart) gelingt auf Port 22 keine Verbindung.

Ist der Client dagegen mit der gleichen TCPStealth-Konfigurationsoption in /etc/ssh/ssh_config konfiguriert, überträgt er das Autorisierungs-Token beim Verbinden und der Port lässt sich öffnen. So klappt auch das Anmelden per SSH wieder.

Knoppix-Erfinder Klaus Knopper stellt diese und viele weitere Neuerungen von Knoppix 8.0 auf der Cebit 2017 in dieser Woche vor.

Dieser Artikel erschien in der Ausgabe 04/17(öffnet im neuen Fenster) des Linux Magazins, das seit September 2014 wie Golem.de zum Verlag Computec Media gehört. Knoppix 8.0 erscheint zunächst exklusiv auf der beiliegenden Delug-DVD.
Zum Autor: Knoppix-Erfinder Klaus Knopper, Jahrgang 1968 und Dipl.-Ing. der Elektrotechnik, arbeitet als selbstständiger IT-Berater und Entwickler, ist Professor an der Hochschule Kaiserslautern und gibt Kurse zu freier Software. Angeregt durch Erfahrungen seiner blinden Ehefrau entwickelte Knopper die in Knoppix integrierte Lösung Adriane, die Blinden den Umgang mit Linux-PCs vereinfacht.

• Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.