Nur kurz gemeldet: Wer schon mal vorab die für den 23. Oktober erwartete Version 14.10 »Utopic Unicorn« von Ubuntu und seinen Derivaten testen will, für den (oder die) steht ab sofort die 2. Alpha-Version zum Download bereit. Wer also jetzt schon sehen will, was da Neues kommen wird, greift zu.
Update für Ubuntu 14.04 LTS
Nur mal kurz gemeldet: Für die aktuelle Version von Ubuntu und seinen Derivaten, »Trusty Tahr«, ist heute das Update auf Version 14.04.1 erschienen. Hier sind alle Aktualisierungen, Fehlerkorrekturen und Sicherheits-Updates, die seit dem Release von »Trusty Tahr« am 17.04.2014 herausgegeben wurden, zusammengefasst. Wer also neu auf Ubuntu, Kubuntu, Xubuntu&bellip; umsteigen will, kann gleich die aktualisierte Version laden.
Ach ja, »Trusty Tahr« ist da
Ich hab ja schon aktualisiert, alle Rechner. Die Tage kam Ubuntu 14.04 »Trusty Tahr« auf die Download-Server, auch in den alternativen Varianten mit K, X, L…
Trusty Tahr ist eine LTS-Version, bekommt also wieder Updates über einen Zeitraum von fünf Jahren und ist damit wieder für den Einsatz in Unternehmen interessant.
Über die technischen Details lasse ich mich jetzt nicht aus, das haben andere schon getan. Hier läufts besser als die Vorversion 13.10, besonders auf dem EeePC meiner Tochter. Das Dingen hat nämlich regelmäßig die WLAN-Verbindung verloren, was jetzt deutlich stabiler funktioniert.
Den Download gibts wie immer unter den bekannten Adressen, die Vorversion sollte die Trusty Tahr aber auch als Update anbieten. So zumindest war es hier. Einzig Drittquellen für Pakete müssen nachher wieder manuell aktiviert werden, da diese während des Updates deaktiviert werden. Die Update-Routine sollte aber einen entsprechenden Hinweis anzeigen.
Sauce für den Salamander
Vor ein paar Tagen, am 17. Oktober, ist (K)Ubuntu 13.10 „Saucy Salamander” in der finalen Version veröffentlicht worden. Nachdem ich nun die Systeme hier im Haushalt aktualisiert habe, verliere ich dazu auch mal ein Worte dazu.
Das Update lief auf allen Rechnern über die integrierte Routine problemlos ab, im Nachhinein zeigen sich jedoch einige Unzulänglichkeiten:
So konnte ich z.B. Google Earth nicht mehr öffnen, es war im Pfad /opt nicht mehr auffindbar. Deinstalliert scheinbar… Der Symlink in /usr/bin ist noch da, mehr aber auch nicht. Nun ja, es ließ sich ohne Probleme neu installieren, und die Einstellungen im Homeverzeichnis waren ja auch noch da.
Auffällig ist der neue Networkmanager im Systemabschnitt der Kontrollleiste, der mächtig an Windows erinnert. Auch der Verbindungs-Editor wurde überarbeitet, aber den braucht man eigentlich nicht allzu häufig.
Beim Erstellen der Screenshort ist mir aufgefallen, dass KSnapshot nicht mehr auf die Taste Druck reagiert. Ich musste es über Alt+F2 manuell starten.
Ob die Mobilfunk-Verbindung funktioniert habe ich noch nicht getestet. Die Tagesflat kostet immerhin 2,50 € am Tag, das ist mir nur für einen Test zu viel.
Was ich gleich noch mal machen werde ist, die Paketquellen zu durchsuchen. Ich habe den Verdacht, dass KDE nicht komplett installiert ist. Zumindest scheinen einige Pakete für die deutsche Lokalisierung zu fehlen…
Eine Menge weiterer Tipps rund um Ubuntu 13.10, für den Unity-Desktop, gibt Muhamed in seinem Blog „Use Linux”.
Im Übrigen hat Mark Shuttleworth nun auch bekannt gegeben, dass die Version 14.04 (die wieder eine LTS-Version sein wird) auf den Namen „Trusty Tahr“ hören wird. Die Version wird voraussichtlich am 17. April 2014 veröffentlicht.
Raring to go
Heute wurde die brandaktuelle Version 13.04, „Raring Ringtail”, der beliebten Einsteigerdistribution Ubuntu veröffentlicht. Zum Einsatz kommt der Kernel 3.8.8 und als Oberfläche der Unity-Desktop in Version 7.
Canonical stellt die neue Ubuntu-Version unter das Motto „From the desktop to the cloud, Ubuntu 13.04 is ready to deploy.”, setzt also auf die Verbindung mit dem Internet und dem Online-Speicher Ubuntu One. wubi.exe, der Windows-Installer, ist nicht mehr an Bord. Dafür sollen Stabilitätsprobleme der Grund sein.
Den Link zum Download findet ihr wie immer rechts oben in der Sidebar. Kubuntu und die weiteren Derivate werden in den nächsten Tagen ihre Version von Raring anbieten.
Nachtrag: Chefentwickler Mark Shuttleworth hat nun bekannt gegeben, dass die turnusmäßig im kommenden Oktober erscheinende Version 13.10 auf den Codenamen „Saucy Salamander” hören wird.
Neue Ubuntu-Distribution 11.10 (Oneiric Ocelot) verfügbar
Seite heute ist die neue Ubuntu-Distribution 11.10 (Oneiric Ocelot) verfügbar und kann von den bekannten Servern heruntergeladen werden. Die Neuerungen und erste Erfahrungsberichte zur neuen Distribution sollten in den nächsten Tagen folgen ….
Weitere Informationen unter
Natty Narwhal und Gnome 3
Ich bin ja eigentlich kein Freund des Gnome-Desktops, die GTK-Oberfläche ist mir eigentlich zu kantig. Trotzdem möchte ich hier kurz weitergeben, was ich eben drüben bei Schrottie gefunden habe: Die Schnellanleitung zur Installation von Gnome 3 unter Ubuntu 11.04 „Natty Narwhal”.
Wie unter Linux üblich reichen ein paar wenige Befehle in der Konsole:
sudo add-apt-repository ppa:gnome3-team/gnome3 sudo apt-get update sudo apt-get dist-upgrade sudo apt-get install gnome-shell |
Für das schicke Design bzw. dessen Einrichtung ist dann noch dieses nötig:
sudo apt-get remove gnome-accessibility-themes sudo apt-get install gnome-themes-standard sudo apt-get gnome-tweak-tool |
Im oben verlinkten Blog-Artikel gibts ein paar Bilder, wie es fertig aussieht. Auf den ersten Blick muss ich sagen: Hat was… :smoke:
Verschlüsselte Container
Da ich ein wunderbares HowTo gefunden habe muss ich zum Vorgehen keine weiteren Ausführungen machen, denke ich. Falls jemand Fragen hat sollten sie hier in den Kommentaren gepostet werden.
Mit dem Einverständnis von Aaron Spettl kopiere ich das HowTo nach hier. Redundanz schadet nie.
Die einzige Anpassung, die ich vornehme, ist das Dateisystem von ext2 auf ext4 zu aktualisieren.
Ziel:
Ein verschlüsselter Container, den man bei Bedarf in das Dateisystem einbindet. Dies soll ohne Neukompilieren des Kernels funktionieren und keine besonderen Pakete benötigen – sowie in meinem Fall auch unter Debian Testing lauffähig sein.
Pakete:
Wir installieren cryptsetup und loop-aes-utils.
1. Erstellen der Containerdatei
An einem beliebigen Ort legen wir die Datei an, die unsere Daten speichern soll – hier 10 GB groß (mit Zufallsdaten gefüllt):
dd if=/dev/urandom of=/home/user/daten.safe bs=1M count=10240 |
2. Loop-Device
Als root legen wir ein Device an, das einfach auf diese Datei verweist:
losetup /dev/loop0 /home/user/daten.safe |
3. Verschlüsselung einrichten
Wir richten nun die Verschlüsselung (Standard: AES mit 256 Bit) auf diesem Device ein – dabei muss das Kennwort angegeben werden:
cryptsetup -y create datensafe /dev/loop0 |
4. Formatierung
Der Container ist nun im System unverschlüsselt unter /dev/mapper/datensafe vorhanden. Nun richten wir das Dateisystem ein (hier ext4):
mkfs.ext4 /dev/mapper/datensafe |
5. Mount
Nach der Formatierung können wir das Device unter einem beliebigen Verzeichnis einhängen (das existieren muss):
mount -t ext4 /dev/mapper/datensafe /mnt/datensafe |
Nun kann man auf /mnt/datensafe ganz normal arbeiten, also speziell auch Zugriffsberechtigungen (restriktiv) setzen.
6. Aushängen
umount funktioniert ganz normal, danach noch den Container schließen und das Loopdevice freigeben:
umount /mnt/datensafe/ cryptsetup remove datensafe losetup -d /dev/loop0 |
Tipp: Automatisierung mit sudo
Der mount/umount-Prozess inklusive Öffnen/Schließen des Loopdevices und des Containers kann man in ein Skript packen (und auf einem Ubuntu-System dem User mit sudo die Rechte dafür geben).
1 2 3 4 5 6 7 8 9 10 11 12 | #!/bin/sh # datensafe_mount.sh LOOPDEV=/dev/loop0 SAFE=/home/user/datensafe CRYPTNAME=datensafe MNT=/mnt/datensafe FS=ext4 /sbin/losetup $LOOPDEV $SAFE /sbin/cryptsetup create $CRYPTNAME $LOOPDEV /bin/mount -t $FS /dev/mapper/$CRYPTNAME $MNT |
und
1 2 3 4 5 6 7 8 9 10 11 | #!/bin/sh # datensafe_umount.sh LOOPDEV=/dev/loop0 SAFE=/home/user/datensafe CRYPTNAME=datensafe MNT=/mnt/datensafe /bin/umount $MNT /sbin/cryptsetup remove $CRYPTNAME /sbin/losetup -d $LOOPDEV |
Full-Disk-Encryption
Zu einer FDE kommt man heute mit jedem handelsüblichen Debian oder *buntu-System auf denkbar einfache Weise. Ich gehe davon aus, dass das auch bei den meisten anderen Standard-Distros so ist, kann das aber weder verifizieren noch falsifizieren.
Man startet die Installation, hangelt sich durch bis zum Partitionsmenü und stellt dann auf “Geführt, verwende vollständige Festplatte mit verschlüsseltem LVM” um. Danach folgt man den Anweisungen weiter, installiert das Grundsystem und fertig ist der Lack.
Zu einfach?
Richtig.
Für den Standardfall “eine Festplatte im Rechner verbaut und der Rechner ist ein Linux-Only-Gerät” reicht diese Vorgehensweise aus, man muss sich also dank der grandiosen Vorarbeit der Debian-Developers nicht mal mehr groß Gedanken darum machen.
Wenn man jetzt allerdings mehr als eine Platte hat und diese auch alle nutzen möchte, sieht das Ganze schon etwas schwieriger aus.
Dazu folgt man ebenfalls dem Standard-Installations-Menü bis zur Partitionierung und wählt dann “Manuell” aus.
Je nach Einsatzzweck ist zunächst das Software-RAID zu konfigurieren. Wenn man die Festplatten nicht redundant genutzt werden sollen sondern sämtlicher Speicherplatz ausgenutzt wird kann man sich das RAID sparen.
Dann konfiguriert man den LVM. Dabei steht LVM für Logical Volume Manager, der Link geht dabei zum sehr gut recherchierten und aufbereiteten Wikieintrag bei den Ubuntuusers. Das dort hinterlegte Wissen ist von hier ab als gegeben angenommen. Ich empfehle, alle nicht benutzten Partitionen zu einer LVG (Logical Volume Group), im Folgenden als lvg bezeichnet, zusammenzufassen und dort dann die Volumes anzulegen. Die wichtigen Volumes sind:
– lvg-boot, ca. 200MB bis 1GB, abhängig davon, wie viel Platz man zur Verfügung hat. Ich lasse bei meinen Systemen immer gern Luft nach oben, um für eventuelle Erweiterungen des Codes gerüstet zu sein.
– lvg-swap, sollte ca. doppelt so groß sein wie der Arbeitsspeicher.
– lvg-main, kann der verbleibende Rest des Speicherplatzes sein, falls keine separate /home-Partition angelegt werden soll. Hier finden wir später die /-Partition wieder.
– ggf. lvg-home, falls eine eigene /home-Partition angelegt wird.
Wenn die Volumes angelegt sind wird im Partitionsmenü der Punkt “Verschlüsselte Datenträger konfigurieren” aufgerufen. Hierbei werden alle Volumes außer lvg-boot ausgewählt. Die boot-Partition darf natürlich nicht verschlüsselt werden, sonst bekommt man eine hässliche Fehlermeldung und kann von vorn anfangen.
Die Installationsroutine geht jetzt ein Volume nach dem anderen durch und lässt die Einstellungen abnicken, mit denen die Verschlüsselung eingeleitet wird.
Achtung: Ubuntu setzt hier mehr auf Geschwindigkeit als auf Sicherheit und schlägt vor, die Daten auf den Platten nicht zu löschen. DAVON RATE ICH STRIKT AB! Wenn man größtmögliche Sicherheit haben will, lässt man die Daten überschreiben. Mehrfach. Dazu muss allerdings bei Ubuntu in besagtem Einstellungsmenü ausgewählt werden, dass man die Daten löschen möchte. Das passiert dann automatisch, kann allerdings abhängig von der Partitionsgröße und der Rechenpower eine Weile dauern.
Wenn man die Verschlüsselungs-Einstellungen hinter sich hat landet man wieder im Partitionsmenü. Hier werden jetzt die angelegten Volumes ausgewählt und mit Dateisystemen und Mountpoints versehen. lvg-boot bekommt ein ext3-Dateisystem und wird auf /boot eingehängt, lvg-swap_crypt wird als Auslagerungsspeicher verwendet, dadurch fällt der Mountpoint weg und lvg-main_crypt bekommt ein ext4-Dateisystem und wird auf / eingehängt.
Jetzt werden die Änderungen gespeichert und die Installation fortgesetzt. Ab hier läuft wieder alles nach Standard-Vorgehensweise und die Installationsroutine tut ihre Arbeit.
Wem das jetzt immer noch zu einfach war, dem lege ich diese Anleitung zur Installation eines verschlüsselten Linux Mint Debian Edition (LMDE) ans Herz.
Auch die exzellenten Artikel des Linux-Magazins bzw. des Linux-Users kann ich dazu sehr empfehlen, die Heftnummern reiche ich auf Wunsch gern nach.
Festplattenverschlüsselung – Wie?
Nachdem ich schon im letzten Artikel erklärt habe, warum die Verschlüsselung einer Festplatte so wichtig ist, komme ich heute endlich dazu, aufzuschreiben, wie man sein System nun absichert.
Die Verzögerung begründet sich in einer längeren Geschichte, in der unter anderem ein widerspenstiger Eee-PC, ein Campingurlaub und ein kaputter USB-Stick eine Rolle spielen. Dazu vielleicht in einem anderen Blogeintrag mehr.
Zunächst ist es wichtig, zwischen der Vollverschlüsselung (Full Disk Encryption, FDE) und einem so genannten Container zu unterscheiden.
Bei der Vollverschlüsselung wird, wie schon der Name sagt, die komplette Festplatte (bis auf die boot-Partition) verschlüsselt. Bei einem Container wird ein einzelner Ordner (oder auch eine ganze Partition, z.B. /home) verschlüsselt.
Die Container-Lösung ist immer dann sinnvoll, wenn man Daten möglichst sicher über ein unsicheres Medium transferieren will. Man erstellt einen Container, legt seine Daten dort ab und kopiert den Container in seinen Webspace, von wo aus zwar jeder die Daten herunterladen kann, aber nur diejenigen auch etwas damit anfangen können, die das Passwort dazu haben. Wichtig dabei ist: Wenn man Dateien in einen Container legt, kann es immer noch sein, dass Teile davon im Swap-Bereich verbleiben, wo sie dann von einem Angreifer gefunden werden könnten. Das heißt, dass Container per se weniger sicher sind als die FDE. Dennoch haben sie, wie oben bereits angeführt, ihre Berechtigung.
Auf der sicheren Seite, wenn es darum geht, seine eigenen Daten vor Unbefugten zu schützen ist man, wenn man sein System vollverschlüsselt.
ACHTUNG: Auch hier gilt, wie bei allen anderen Sicherheitssystemen auch: Sobald ein physischer Zugriff auf das System möglich ist, kann die Sicherheit nicht mehr gewährleistet werden. Wie man an diesem Beispiel sieht, muss man davon ausgehen, dass jeder Fremdzugriff das System kompromittiert. Mit einer FDE wäre der Geschäftsmann vermutlich besser gefahren, hätte sich aber im Zweifel nicht schützen können. Dennoch, so lange man es nicht mit Sicherheitsbehörden zu tun hat, die überdurchschnittlich viel Zeit und Geld haben, ist eine Vollverschlüsselung sinnvoll.
Der guten Ordnung halber trenne ich den Artikel hier in die Anleitung für FDE und die Anleitung für Container.