In diesem Teil optimieren wir die Kommunikation mit Codeberg, so dass keine Passwörter mehr eingegeben werden müssen. Git- und Codeberg-Troubleshooting inklusive.

Entgegen der ursprünglichen Planung, hier und heute keine durchgreifenden großen Änderungen am System. Das Multi-User-Setup kommt dann nächste Woche.

Ich habe die Reihenfolge geändert, weil ich mich an meinen eigenen Setup-Prozess erinnerte: Mit NixOS selbst hatte ich selten mal größere Probleme, eigentlich nur hier und da mal eine Klammer zu viel oder ein Semikolon zu wenig. Wenn ich in etwas eine Eleganz in der Logik entdecke, und auf NixOS trifft das für mich zu, dann flutscht es meistens. Aber ich gebe zu, dass mich Git oder Codeberg, oder beides zusammen, manchmal an den Rand des Wahnsinns getrieben haben. Da können die zwei genannten Protagonisten natürlich selbst nichts dafür, ich hatte mich bei der ganzen Lernkurverei wohl öfter mal verfahren.

Zum Glück habe ich mir angewöhnt Problem und Lösungsschritte immer gleich in meinem Second-Brain (Obsidian) zu dokumentieren, daher heute daraus ein ordentlicher Rollout; wie gesagt mit dem Hintergedanken, dass es jetzt nach dem Setup für viele hilfreich sein kann.

Passwortlose Kommunikation mit Codeberg via SSH

Bisher fragt git push und git pull nach Benutzername und Passwort bzw. Access Token.
Mit einem SSH-Schlüssel entfällt das vollständig – für immer. Das ist doch mal echte Entlastung.

Schritt 1: SSH-Schlüssel generieren

ssh-keygen -t ed25519 -C "DEIN-USERNAME@codeberg"

Alle Rückfragen einfach mit Enter bestätigen. Es entstehen zwei Dateien:

• ~/.ssh/id_ed25519 – der private Schlüssel (niemals weitergeben!)
• ~/.ssh/id_ed25519.pub – der öffentliche Schlüssel (wird bei Codeberg hinterlegt)

Schritt 2: Öffentlichen Schlüssel bei Codeberg hinterlegen

cat ~/.ssh/id_ed25519.pub

Die Ausgabe vollständig kopieren, dann bei Codeberg:
Einstellungen → SSH-Schlüssel → Neuen Schlüssel hinzufügen

Titel frei wählen (Tipp Hostname), Schlüssel einfügen, speichern.

Schritt 3: Schlüssel auch für root verfügbar machen

Da update-push und pull-update sudo git verwenden, braucht auch
root Zugriff auf den Schlüssel:

sudo mkdir -p /root/.ssh
sudo cp ~/.ssh/id_ed25519 /root/.ssh/id_ed25519
sudo cp ~/.ssh/id_ed25519.pub /root/.ssh/id_ed25519.pub
sudo chmod 600 /root/.ssh/id_ed25519

Schritt 4: Verbindung testen

# Normaler Benutzer – einmalige Bestätigung mit "yes"
ssh -T git@codeberg.org

# Root – einmalige Bestätigung mit "yes"
sudo ssh -T git@codeberg.org

Beide Male sollte etwas grob in folgender Art erscheinen:

Hi there, DEIN-USERNAME! You've successfully authenticated...

Schritt 5: Remote-URL auf SSH umstellen

cd /etc/nixos
sudo git remote set-url origin git@codeberg.org:DEIN-USERNAME/NixOS.git

Ab jetzt laufen update-push und pull-update komplett ohne Passwortabfrage durch.

Hinweis zur home.nix: Die Skripte update-push und pull-update
müssen nicht angepasst werden. Sie verwenden sudo git push und
sudo git fetch ohne explizite SSH-Angabe. Sobald die Remote-URL in
Schritt 5 auf SSH umgestellt ist und root den Schlüssel kennt, nutzen
diese Befehle automatisch SSH – ohne eine einzige Zeile im Skript zu ändern.

Hinweis zu anderen Hosts: Diesen Schritt muss man einmal auf jedem Rechner machen. Tipp: Schlüsseldatei auf Codeberg mit dem Hostnamen versehen, z. B. username@hostname.

Git- und Codeberg-Troubleshooting

Ich habe nachfolgend mal alles gesammelt, was bei mir so schief lief (ganz schön viel) und wie man den Knoten lösen kann.

Grundregel

Codeberg ist immer die Quelle der Wahrheit. Was dort steht, ist das was zählt. Der lokale Stand ist temporär – er kann jederzeit von Codeberg wiederhergestellt werden.

Diagnose-Befehle

Diese Ausgaben können manchmal hilfreich sein um diese in einem Forum oder an eine KI weiterzugeben, wenn unten genannte Fehlerprofile nicht zutreffen.

# Wo bin ich? Nur zur Sicherheit ;)
pwd

# Lokaler Status – was hat sich geändert?
sudo git status

# Commit-Historie anzeigen
sudo git log --oneline -10

# Welche Remote-URL ist eingetragen?
sudo git remote -v

# Unterschied zwischen lokalem Stand und Codeberg
sudo git diff origin/master

Problem 1: "Kein Git-Repository"

Schwerwiegend: Kein Git-Repository (oder irgendeines der Elternverzeichnisse): .git

Ursache: Du bist im falschen Verzeichnis – wahrscheinlich in ~ statt in /etc/nixos.

Lösung:

cd /etc/nixos

Problem 2: Authentifizierung fehlgeschlagen (HTTPS)

remote: Die Zugangsdaten sind inkorrekt oder abgelaufen.

Ursache: HTTPS statt SSH, falsches Passwort oder abgelaufener Token.

Lösung – einmalig auf SSH umstellen:

# SSH-Key generieren (falls noch nicht vorhanden)
ssh-keygen -t ed25519 -C "DEIN-USERNAME@codeberg"

# Öffentlichen Key bei Codeberg hinterlegen
cat ~/.ssh/id_ed25519.pub
# → Codeberg → Einstellungen → SSH-Schlüssel

# Key auch für root verfügbar machen
sudo mkdir -p /root/.ssh
sudo cp ~/.ssh/id_ed25519 /root/.ssh/id_ed25519
sudo cp ~/.ssh/id_ed25519.pub /root/.ssh/id_ed25519.pub
sudo chmod 600 /root/.ssh/id_ed25519

# Verbindung testen (einmalige Bestätigung mit "yes")
ssh -T git@codeberg.org
sudo ssh -T git@codeberg.org

# Remote-URL umstellen
cd /etc/nixos
sudo git remote set-url origin git@codeberg.org:DEIN-USERNAME/NixOS.git

Problem 3: SSH schlägt fehl – "Connection closed"

The authenticity of host 'codeberg.org' can't be established.
Connection closed by ... port 22

Ursache: Root kennt Codeberg noch nicht (known_hosts fehlt) oder Root-SSH-Key fehlt.

Lösung:

# Einmalige Bestätigung für root
sudo ssh -T git@codeberg.org
# → "yes" eingeben

# Falls danach immer noch fehlgeschlagen: Root-Key prüfen
ls /root/.ssh/id_ed25519
# Falls fehlend: siehe Problem 2 ab "Key auch für root verfügbar machen"

Problem 4: Push abgelehnt – "fetch first"

! [rejected] master -> master (fetch first)
Aktualisierungen wurden zurückgewiesen, weil das Remote-Repository
Commits enthält, die lokal nicht vorhanden sind.

Ursache: Auf einem anderen Rechner wurde etwas gepusht das dieser Rechner noch nicht kennt.

Lösung – Codeberg-Stand holen und zusammenführen:

cd /etc/nixos
sudo git fetch origin
sudo git reset --hard origin/master

Danach pull-update ausführen um das System neu zu bauen.

Problem 5: Branches auseinandergelaufen – "Vorspulen nicht möglich"

Hinweis: Abweichende Branches können nicht vorgespult werden.
Schwerwiegend: Vorspulen nicht möglich, breche ab.

Ursache: Lokaler und Codeberg-Branch haben unterschiedliche Commits – keiner ist ein direkter Nachfolger des anderen.

Lösung – Codeberg gewinnt immer:

cd /etc/nixos
sudo git fetch origin
sudo git reset --hard origin/master

Das überschreibt den lokalen Stand vollständig mit Codeberg. Eigene lokale Commits gehen dabei verloren – das ist in diesem Workflow gewollt, weil Codeberg die Quelle der Wahrheit ist.

Problem 6: Zu einem bestimmten alten Stand zurückkehren

Du möchtest einen früheren Zustand wiederherstellen – z. B. vor einer fehlerhaften Änderung.

Schritt 1: Gewünschten Commit finden

sudo git log --oneline -10

Beispielausgabe:

7e1bc10 Revert "System aktualisiert 2026-05-08"
da7898a Revert "System aktualisiert 2026-05-12"
dfba16b System aktualisiert 2026-05-12
aa6e666 System aktualisiert 2026-05-12   ← gewünschter Stand
8750d80 System aktualisiert 2026-05-08

Schritt 2: Auf diesen Stand zurücksetzen

sudo git reset --hard aa6e666

Schritt 3: System neu bauen

sudo nixos-rebuild switch --flake /etc/nixos#(hostname)

Schritt 4: Codeberg ebenfalls zurücksetzen

sudo git push --force-with-lease origin master

--force-with-lease ist sicherer als --force: Es schlägt fehl wenn jemand anderes zwischenzeitlich gepusht hat – und schützt so vor versehentlichem Überschreiben fremder Änderungen.

Problem 7: hardware-configuration.nix fehlt nach git reset

error: path '...hardware-configuration.nix' does not exist

Ursache: Die hardware-configuration.nix war nie in Git getrackt oder wurde beim Reset überschrieben.

Lösung:

# Neu generieren
sudo nixos-generate-config

# In Git aufnehmen
cd /etc/nixos
sudo git add hardware-configuration.nix
sudo git commit -m "hardware-configuration wiederhergestellt"
sudo nixos-rebuild switch --flake /etc/nixos#(hostname)
sudo git push origin master

Kurzreferenz: Die wichtigsten Rettungsbefehle

Artikel der NixOS-Reihe

• NixOS - Setup-Guide, Teil 1
• NixOS - Setup-Guide, Teil 2
• NixOS - Setup-Guide, Teil 3
• NixOS - Codeberg-Kommunikation optimieren und Troubleshooting
• NixOS - Multi-User-Setup einrichten
• NixOS - Pakete aus 'unstable' einbinden und "Wegwerf-Pakete"
• NixOS - Das Multi-Host-Setup optimieren und individueller gestalten

Mozilla hat Firefox 151.0.1 veröffentlicht und behebt damit Abstürze auf Systemen mit bestimmten Prozessoren.

Download Mozilla Firefox 151.0.1

Nur zwei Tage nach Veröffentlichung von Firefox 150 hat Mozilla Firefox 151.0.1 veröffentlicht. Behoben werden damit Abstürze, welche nur auf Systemen mit einer Raptor Lake CPU von Intel auftreten. Außerdem wurde ein Problem in Zusammenhang mit der Web Serial API behoben.

Der Beitrag Mozilla veröffentlicht Firefox 151.0.1 erschien zuerst auf soeren-hentzschel.at.

Die MZLA Technologies Corporation hat mit Thunderbird 151 eine neue Version seines Open Source E-Mail-Clients für Windows, Apple macOS und Linux veröffentlicht.

Neuerungen von Thunderbird 151

Mit Thunderbird 151 hat die MZLA Technologies Corporation ein Update für seinen Open Source E-Mail-Client veröffentlicht.

Details des OAuth-Anbieters für EWS-Konten können überschrieben werden. Aufgaben können nach Erstellungs- oder Änderungsdatum sortiert werden. Verbesserungen gab es für die Anmeldung mit den kommenden Thundermail-Konten.

Ansonsten bringt die neue Version wie immer weitere kleinere Verbesserungen und eine ganze Reihe von Fehlerkorrekturen, welche sich wie immer in den Release Notes (engl.) nachlesen lassen. Auch Sicherheitslücken wurden im neuesten Update wieder behoben.

Der Beitrag Thunderbird 151 veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Mozilla hat Firefox 151 für Windows, Apple macOS und Linux veröffentlicht. Dieser Artikel fasst die wichtigsten Neuerungen zusammen – wie immer auf diesem Blog weit ausführlicher als auf anderen Websites.

Download Mozilla Firefox für Microsoft Windows, Apple macOS und Linux

Firefox VPN mit Standortauswahl

Mit Firefox 149 hat Mozilla damit begonnen, eine VPN-Integration in Firefox für Windows, macOS und Linux auszurollen. Dabei stehen 50 GB pro Monat zur Verfügung, um die echte IP-Adresse zu verbergen und den Internetverkehr über einen sicheren Proxy-Server zu leiten. Die Nutzung wird an jedem Monatsersten zurückgesetzt. Einzige Voraussetzung ist ein kostenfreies Mozilla-Konto.

Ab Firefox 151 ist es möglich, aus einem von fünf möglichen Standorten zu wählen. Neben den USA stehen auch Server in Deutschland, Großbritannien, Frankreich sowie Kanada zur Verfügung.

Diese Neuerung wird schrittweise im Laufe der kommenden Wochen ausgerollt.

Private Sitzung per Knopfdruck löschen

Private Fenster haben eine Schaltfläche erhalten, um die private Sitzung zu löschen und mit einer ganz frischen Sitzung zu starten. Das erspart das ansonsten notwendige Schließen und erneute Öffnen eines privaten Fensters.

Verbesserter Fingerabdruck-Schutz

Firefox 151 verbessert den Schutz gegen den digitalen Fingerabdruck in der Standard-Konfiguration seines Tracking-Schutzes. Dadurch verringert sich nach Angaben von Mozilla die Anzahl der Nutzer, die mit gängigen Fingerabdruck-Techniken eindeutig identifiziert werden können, um durchschnittlich etwa 14 % und unter macOS um etwa 49 %.

Zusammenfügen von PDF-Dateien

Der PDF-Betrachter erlaubt seit Firefox 150 das Löschen, Kopieren, Verschieben und Exportieren einzelner Seiten einer PDF-Datei. Firefox 151 ergänzt dies um die Möglichkeit, mehrere PDF-Dateien zusammenzufügen.

Backup-Funktion auf Linux

Die Backup-Funktion von Firefox, welche für Nutzer von Windows bereits standardmäßig aktiviert war, steht jetzt auch Linux-Nutzern zur Verfügung. Eine Wiederherstellung von Firefox-Daten ist auch plattformübergreifend möglich.

Außerdem werden jetzt auch benutzerdefinierte Hintergrundbilder für die Firefox-Startseite mit gesichert.

Sidebar-Verbesserungen

Wurde der Sidebar-Launcher ausgeblendet, verschwindet dieser ab sofort nach Öffnen und Schließen einer Sidebar wieder und bleibt nicht weiterhin sichtbar.

In der Chronik-Sidebar lassen sich jetzt auch mehrere Einträge markieren und gleichzeitig löschen.

In der Sidebar für synchronisierte Tabs gibt es nun ein Kontextmenü für die Überschriften mit den Gerätenamen, um darüber unter anderem alle Tabs vom jeweiligen Gerät öffnen zu können.

Mehr Sicherheit für Firefox-Nutzer

Auch in Firefox 151 wurden wieder mehrere Sicherheitslücken geschlossen. Alleine aus Gründen der Sicherheit ist ein Update auf Firefox 151 daher für alle Nutzer dringend empfohlen.

Sonstige Endnutzer-Neuerungen in Firefox 151

Die Standard-Startseite von Firefox hat kleinere Design-Anpassungen sowie eine größere Auswahl von Hintergrundbildern erhalten.

Die Chronik-Einträge auf der Seite Firefox View haben die Option „Diese Website vergessen” erhalten. Außerdem öffnen Links aus Firefox View bei gedrückter Strg-Taste (macOS: Cmd) nun in einem Hintergrund-Tab.

Die Seite zur lokalen Übersetzung beliebiger Texte, welche via about:translations zugänglich ist, ist jetzt auch über das Anwendungsmenü von Firefox zu erreichen.

Das Speichern und automatische Ausfüllen von Adressen ist nun auch für Nutzer in den Niederlanden möglich.

Via about:keyboard lässt sich jetzt ein Tastatur-Kurzbefehl zum Duplizieren eines Tabs festlegen.

Die Standortbestimmung unter Windows berücksichtigt nun die vom Benutzer festgelegten Windows-Standortberechtigungen, anstatt diese zu überschreiben, wenn der Benutzer einer Seite die Standortberechtigung erteilt. Firefox fordert den Benutzer auf, die Windows-Berechtigung zu aktivieren, falls dies erforderlich ist.

Unter macOS lassen sich URLs, die über Apples Universal Clipboard von iOS-Geräten kopiert wurden, nun korrekt in Firefox einfügen. Außerdem erwenden Dropdown-Menüs auf Webseiten jetzt den nativen macOS-Menüstil, sodass sie in Aussehen und Verhalten dem Rest des Systems entsprechen.

Es wurde ein Problem unter macOS behoben, bei dem maximierte Firefox-Fenster nach einem Neustart in Umgebungen mit mehreren Bildschirmen auf dem falschen Bildschirm wieder geöffnet wurden. Und die Farbverwaltung für kopierte und eingefügte Bilder unter macOS wurde verbessert.

Erweiterungen und Themes werden jetzt auch dann korrekt wiederhergestellt, wenn das Profil an einen anderen Ort verschoben oder auf einem anderen Betriebssystem geöffnet wird.

In der seit Firefox 149 neu implementierten optionalen Suchleiste wird via Shift + Enter jetzt wieder die eingestellte Suchmaschine geöffnet, wenn kein Suchbegriff eingegeben ist.

Im Menü von Tabgruppen wurde die Option hinzugefügt, die URLs aller Tabs in dieser Gruppe zu kopieren.

Verbesserungen der Webplattform

Websites müssen ab sofort eine Berechtigung anfragen, wenn sie sich mit Geräten im lokalen Netzwerk verbinden wollen. Bislang war dies bereits für Nutzer der Fall, welche den strengen Schutz vor Aktivitätenverfolgung aktiviert haben. Nun gilt dies auch in der Standard-Konfiguration.

Firefox 151 bringt Unterstützung für die Document Picture in Picture API sowie die Web Serial API.

Die Darstellung von absolut positionierten Elementen in mehrspaltigen Containern und beim Drucken wurde verbessert, wodurch eine genauere Positionierung und Aufteilung erzielt wird.

Dies war nur eine kleine Auswahl. Auch für Entwickler von Firefox-Erweiterungen gab es Änderungen. Weitere Verbesserungen der Webplattform und für Erweiterungsentwickler lassen sich wie immer in den MDN Web Docs nachlesen.

Der Beitrag Mozilla veröffentlicht Firefox 151 erschien zuerst auf soeren-hentzschel.at.

Die Desktopumgebung XFCE soll einen neuen Fenstermanager bekommen. Xfwl4 wird langfristig das bisherige Xfwm4 ersetzen und damit Wayland-kompatibel werden.

Es ist inzwischen nicht mehr zu übersehen: Immer mehr Linux-Desktops machen sich Gedanken, wie lange es noch mit X.org weitergehen kann, und kommen zu dem Schluss: Nicht mehr so lange. Denn manche Distributionen schaffen bereits Fakten: So tauchte etwa zuletzt bei Fedora vorübergehend ein GDM-Loginmanager auf, der nur noch auf Wayland aufsetzende Desktops startete.

Beispielsweise ältere Fenstermanager schienen plötzlich nicht mehr vorhanden zu sein auf dem System, obwohl sie installiert waren. Das wurde zwischenzeitlich wieder zurückgedreht, zeigt jedoch, wo die Reise langfristig hingeht. Auch andere Nebenwirkungen können sich mittlerweile bemerkbar machen, wenn bei den Distributionen immer mehr auf Wayland gesetzt wird.

Auch beim XFCE-Desktop hatte man sich Gedanken gemacht, wie die Zukunft aussehen soll, und es zunächst mit dem Aufbohren des hauseigenen Fenstermanagers „Xfwm4“ versucht: Damit sollte neben X.org künftig auch Wayland-Unterstützung parallel hinzukommen. Diese Richtung wurde bislang als experimentell bezeichnet.

Offenbar war sie zu experimentell, denn der Ansatz soll nicht weiterverfolgt werden, wie zu Jahresbeginn bekannt wurde. Stattdessen hat man sich im Projekt darauf verständigt, einen anderen Weg zu gehen. Der alte Code des Fenstermanagers wird für Wayland nicht angepasst, sondern neu geschrieben. Das bedeutet: XFCE wird künftig einen neuen Fenstermanager spendiert bekommen. „Xfwl4“ heißt er und wird nun entwickelt. Einzelheiten dazu gibt es beispielsweise im Blogbeitrag von Alexander Schwinn.

Smokin' Guns auf Debian/Ubuntu installieren

Smokin' Guns ist ein Free-Software-Western-Shooter auf Basis der Quake-3-Engine.
Das offizielle `.deb`-Paket (v1.1) lässt sich auf aktuellen 64-Bit-Systemen nicht direkt
installieren, weil `libjpeg8:i386` nicht mehr im Repo liegt. Der folgende Weg löst das.

Voraussetzungen

- 64-Bit-System (amd64), Debian 13 oder Ubuntu/Tuxedo OS
- `smokinguns_1.1-1_i386.deb` – Download von [smokin-guns.org](https://www.smokin-guns.org)

geht nicht, ich habe es bei [web.archive.org](https://web.archive.org/web/20190629023139/http://download.smokin-guns.org/smokinguns_1.1-1_i386.deb)

Hinweis:
Ich bin kein sudo Freund, ich nutze das nur ala sudo bash

---

Installation

 1. i386-Architektur aktivieren

dpkg --add-architecture i386
apt update

2. Fehlende Abhängigkeit lösen

`libjpeg8:i386` existiert in aktuellen Repos nicht mehr. Workaround:

Dummy-Paket bauen (einmalig):

mkdir -p /tmp/libjpeg8-dummy/DEBIAN
cat > /tmp/libjpeg8-dummy/DEBIAN/control << 'EOF'
Package: libjpeg8
Version: 8d-2
Architecture: i386
Maintainer: Local Dummy
Depends: libjpeg62-turbo:i386
Description: Dummy-Paket fuer libjpeg8 i386 Kompatibilitaet
EOF
dpkg-deb --build /tmp/libjpeg8-dummy /tmp/libjpeg8_8d-2_i386.deb
sudo dpkg -i /tmp/libjpeg8_8d-2_i386.deb

**Symlink anlegen**, damit die Library auch gefunden wird:

ln -sf /usr/lib/i386-linux-gnu/libjpeg.so.62 \
            /usr/lib/i386-linux-gnu/libjpeg.so.8

> Auf Ubuntu-basierten Systemen (Tuxedo OS) ist `libjpeg8:i386` oft direkt verfügbar –
> dann reicht `sudo apt install libjpeg8:i386` und die beiden Schritte oben entfallen.

3. Spiel installieren

apt install ./smokinguns_1.1-1_i386.deb

apt zieht alle weiteren Abhängigkeiten automatisch nach.

4. Starten

/usr/games/smokinguns/smokinguns.i386

---

Auflösung einstellen

Im Spiel selbst lässt sich die Auflösung nicht dauerhaft ändern – die Einstellungen
werden beim nächsten Start überschrieben. Workaround über die Config-Datei:

Config bearbeiten

nano ~/.smokinguns/smokinguns/q3config.cfg

Folgende Zeilen eintragen oder anpassen:

seta r_mode "-1"
seta r_customwidth "1920"
seta r_customheight "1080"

Alternativ: `r_mode "-2"` übernimmt automatisch die Desktop-Auflösung.

> **Hinweis:** Smokin' Guns unterstützt kein echtes Widescreen-Seitenverhältnis.
> Bei 16:9 wird das Bild gestreckt. 4:3-Auflösungen wie 1280x960 oder 1600x1200
> sehen besser aus.

Config schreibschützen

Damit das Spiel die Werte nicht beim Start überschreibt:

chmod 400 ~/.smokinguns/smokinguns/q3config.cfg

---

## Automatisches Installations-Script

Wer die Schritte nicht einzeln ausführen will: Das Script `install-smokinguns.sh`
erledigt alles automatisch und erkennt selbst, ob Debian- oder Ubuntu-Workaround
nötig ist.

bash install-smokinguns.sh /pfad/zu/smokinguns_1.1-1_i386.deb

Der Enterprise Policy Generator richtet sich an Administratoren von Unternehmen und Organisationen, welche Firefox konfigurieren wollen. Keine zwei Monate nach dem größten Update seit Bestehen der Erweiterung wurde nun ein weiteres großes Update veröffentlicht, welches ein komplett neues Design, nützliche Verbesserungen der User Experience sowie eine bessere Verwaltung gespeicherter Konfigurationen bringt.

Download Enterprise Policy Generator für Firefox

Der Enterprise Policy Generator hilft bei der Erstellung der Datei „policies.json” für die Konfiguration von Firefox. Der Vorteil dieser Konfigurationsdatei gegenüber Group Policy Objects (GPO) ist, dass diese Methode nicht nur auf Windows, sondern plattformübergreifend auf Windows, Apple macOS sowie Linux funktioniert. Dank dieser Erweiterung ist kein tiefergehendes Studium der Dokumentation und aller möglichen Optionen notwendig und Administratoren können sich die gewünschten Richtlinien einfach zusammenklicken.

Neuerungen vom Enterprise Policy Generator 9.0

Vor weniger als zwei Monaten wurde der Enterprise Policy Generator 8.0 veröffentlicht, in welchem über sechs Monate Entwicklung steckten, um diesen unter der Haube von Grund auf neu zu entwickeln. Mit dem Enterprise Policy Generator 8.1 folgte ein Stabilitäts-Update, um sowohl neue Fehler als auch schon länger bestehende Sonderfälle zu korrigieren. Für den Enterprise Policy Generator 9.0 konnte auf dieser neuen technischen Basis aufgebaut werden, was es ermöglichte, in sehr kurzer Zeit zahlreiche Verbesserungen auszuliefern.

Komplett neues und modernes Design

Bereits der Enterprise Policy Generator 8.0 brachte gezielte Verbesserungen des bestehenden Designs, um dieses weniger altbacken wirken zu lassen und gleichzeitig die barrierefreie Nutzung stark zu verbessern.

Der Enterprise Policy Generator 9.0 geht mehrere Schritte weiter. So wurde die Benutzeroberfläche nun grundlegend überarbeitet, was die Nutzung der Erweiterung zu einem angenehmeren Erlebnis macht. Nicht zuletzt durch das kommende Nova-Design von Firefox inspiriert, setzt der Enterprise Policy Generator ab sofort viel stärker auf Rundungen, sogenannte „Inseln” für eine klare Abtrennung von Bereichen und subtile Farbverläufe.

Im Gegenzug wurden vorhandene und teils komplexe Animationen verworfen und deutlich leichtgewichtiger gestaltet. Barrierefreiheit blieb ein Fokus und so gab es auch in diesem Bereich weitere Verbesserungen.

Aktivierte Richtlinien werden im neuen Design deutlicher dargestellt. Wurden noch keine Richtlinien generiert, zeigt ein Platzhalter an, wo die Ausgabe zu erwarten ist.

Einklappbarer Hilfebereich und fixierter Generieren-Button

Um den Fokus auf das Wesentliche zu richten, wurden im neuen Design zwei wichtige Veränderungen vorgenommen. Der Hilfetext zur Verwendung der Datei policies.json dürfte von den allermeisten Nutzern höchstens anfangs von Belang sein. Darum befindet sich dieser nun in einem standardmäßig eingeklappten Block, der zudem nicht mehr als erstes platziert ist. Damit bleibt die Information weiterhin dauerhaft zugänglich, ohne den Bildschirm mit Informationen zu füllen, die nicht benötigt werden.

Die Schaltfläche zum Generieren der Richtlinien befindet sich jetzt dauerhaft fixiert am oberen rechten Rand. Damit bleibt die Funktion auch bei bereits generierten Richtlinien längerer Konfigurationen immer erreichbar, während man weitere Änderungen vornimmt.

Besseres Nutzer-Feedback

Kurze Bestätigungs-Popovers geben jetzt ein klares Feedback nach bestimmten Aktionen wie dem Kopieren der policies.json-Ausgabe in die Zwischenablage sowie dem Speichern, Laden, Umbenennen, Löschen oder Importieren von Konfigurationen.

Der Dialog zum Importieren von Konfigurationen beinhaltet nun einen Erklärungstext darüber, was an dieser Stelle importiert werden kann – und was nicht.

Außerdem gibt es an dieser Stelle jetzt eine klare Fehlermeldung, wenn eine fehlerhafte Datei zu importieren versucht wird.

Filter mit Hervorhebung

Die Echtzeit-Filterung, welche nicht nur Richtlinien-Namen, sondern auch deren Unteroptionen sowie Beschreibungen durchsucht, wurde weiter verbessert. So markiert diese nun während der Eingabe die entsprechenden Texte. Und für nicht sichtbare Texte, weil der Suchbegriff Teil eines Richtlinien-Namens oder Option ist, wird der Name der Richtlinie oder Option am entsprechenden Feld angezeigt.

Vollbildmodus für policies.json

Wer eine größere Konfiguration hat, findet die Darstellung der JSON-Repräsentation in einem Teil der rechten Fensterspalte vielleicht nicht übersichtlich genug. Eine Vollbild-Funktion wurde hinzugefügt, um den generierten Richtlinien mehr Platz zu geben – natürlich auch hier mit Syntax-Highlighting für Nutzer von Firefox 148 und höher. Die Funktion zum Kopieren des Codes in die Zwischenablage wurde auch über die Vollbildansicht leicht zugänglich gemacht.

Verwaltung von Konfigurationen: Umbenennen, Sortieren, Löschbestätigung

Gespeicherte Konfigurationen konnten bisher geladen, exportiert sowie gelöscht werden. Der Enterprise Policy Generator 9.0 erlaubt auch das Umbenennen bestehender Konfigurationen sowie die Sortierung via Drag and Drop.

Um das versehentliche Löschen von Konfigurationen zu verhindern, wurde ein Bestätigungs-Dialog hinzugefügt.

Kontrollelemente für Zahlenfelder

Felder, die einen Zahlenwert erwarten, haben Schaltflächen erhalten, um die Werte durch Klicks auf- oder absteigen zu lassen.

Sonstige Verbesserungen

Auch in dieser Version gab es wieder einige Verbesserungen unter der Haube. Unter anderem wurde die Komponente zur Migration gespeicherter Konfigurationen, falls beispielsweise mal eine Richtlinie umbenannt wird, komplett neu implementiert.

Es wurde die Möglichkeit geschaffen, Zwischenüberschriften für Richtlinien einzufügen, ohne dass dies Einfluss auf die generierten Richtlinien hat.

Ein Fehler wurde behoben, der bei Eingabe bestimmter Zeichen in das Filterfeld eine Fehlermeldung in der Konsole auslösen konnte.

Dazu kamen diverse kleinere Optimierungen, welche der Erweiterung mehr Robustheit in unerwarteten Situationen geben.

Neue Unternehmensrichtlinien im Enterprise Policy Generator 9.0

Unterstützung für die LocalNetworkAccess-Richtlinie wurde ergänzt, um Sicherheitsprüfungen für den Zugriff auf localhost und lokale Netzwerkressourcen zu konfigurieren.

Unterstützung für die SitePolicies-Richtlinie wurde ergänzt, um Website-spezifische Richtlinien zu konfigurieren, derzeit bestehend aus der Option, den JavaScript JIT-Compiler zu deaktivieren.

Unterstützung für die XSLTEnabled-Richtlinie wurde ergänzt, um XSLT während der Übergangsphase vor der geplanten Entfernung von der Webplattform zu aktivieren oder zu deaktivieren.

Unterstützung für die DefaultSerialGuardSetting-Richtlinie wurde ergänzt, um das Standardverhalten für die Web Serial API festzulegen.

Unterstützung für die RelaunchRequired-Richtlinie wurde ergänzt, um einen Firefox-Neustart innerhalb eines bestimmten Zeitraums nach einem Update zu erzwingen.

Unterstützung für die update_url-Option in der ExtensionSettings-Richtlinie wurde ergänzt, um eine benutzerdefinierte Update-URL für Erweiterungen zu konfigurieren.

Die Richtlinien DefaultDownloadDirectory und DownloadDirectory schließen sich jetzt gegenseitig aus, um Konfigurationen zu vermeiden, die beide Download-Verzeichnis-Richtlinien gleichzeitig definieren. Für bestehende Konfigurationen wurde eine Migration hinzugefügt, welche in dem Fall die restriktivere DownloadDirectory-Richtlinie deaktiviert.

Da die Optionsliste der DisabledCiphers-Richtlinie sehr lang ist, wurde diese zwecks Übersichtlichkeit basierend auf bestimmten Sicherheits-Charakteristika in Gruppen unterteilt.

Damit unterstützt der Enterprise Policy Generator 9.0 alle Richtlinien, die von Firefox bis einschließlich des kommenden Firefox 151 unterstützt werden.

Entwicklung unterstützen

Wer die Entwicklung des Add-ons unterstützen möchte, kann dies tun, indem er der Welt vom Enterprise Policy Generator erzählt und die Erweiterung auf addons.mozilla.org bewertet. Auch würde ich mich sehr über eine kleine Spende freuen, welche es mir ermöglicht, weitere Zeit in die Entwicklung des Add-on zu investieren, um zusätzliche Features und neue Richtlinien zu implementieren.

Der Beitrag Großes Update: Enterprise Policy Generator 9.0 für Firefox veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Wenn man mit der Versionsverwaltung Jujutsu den Befehl jj diff auführt erhält man beispielsweise folgendes angezeigt.

Ja, es reicht aus, könnte meiner Meinung nach aber besser sein. Ich habe mir daher mal ein paar Alternativen angesehen und bin bei Delta gelandet. Wobei es natürlich auch subjektiv ist, was besser ist. Daher ist Delta auch nicht für jeden Nutzer geeignet.

So sieht die Anzeige aus, wenn man unter Jujutus folgende Konfiguration verwendet.

[ui]
pager = "delta"
diff-formatter = ":git"

Schon besser aber man kann bei Bedarf die Anzeige noch anpassen. Aktuell sieht diese bei mir wie folgt aus.

Hiermit werden die Änderungen nebeneinander in zwei Spalten angezeigt und die Anzeige ist ähnlich der von diff-so-fancy. Dies erfolgt mit folgender Konfiguration.

[ui]
pager = ["delta", "--diff-so-fancy", "--side-by-side"]
diff-formatter = ":git"

Delta bietet auch noch andere Konfigurationsmöglichkeiten wie beispielsweise das Ausblenden von Zeilennummern. Ist zudem auch mit Git kompatibel. Oder besser gesagt, dass Tool ist eigentlich für Git entwickelt worden und ist mit Jujutsu kompatibel.

Im abschließenden Teil zeige ich, wie man in nur je 30 Minuten weitere eigene Rechner mit der vorhandenen NixOS Konfiguration von Null an aufsetzt und mit Codeberg synchron hält.

Systemübertragung

Ich könnte jetzt Sternekoch Nixos beispielhaft Filialen einrichten lassen, möchte das aber nicht überstrapazieren. Daher gleich auf die Systemebene.

1. Installation

Nehmt euren Zweitrechner und folgt den Installationsschritten aus Teil 1:

1. Graphical ISO image von https://nixos.org/download herunterladen (dazu bis zu NixOS runter scrollen)
2. ISO auf USB-Stick schreiben und von diesem booten
3. Internetverbindung herstellen
4. Dem grafischen Installer wie gewohnt folgen. Empfehlung: "allow unfree software" zulassen
5. Reboot
6. Internetverbindung herstellen

2. Hostname ändern

Das ist ein sehr wichtiger Punkt. Wir dürfen keinesfalls den gleichen Hostname (z.B. nixos) mehrfach im Netzwerk nutzen!

In der Welt von NixOS gibt es für den Hostnamen – wie für vieles andere auch – keinen "Befehl" im klassischen Sinne (wie hostnamectl). Wenn du einen Befehl eintippst, wäre die Änderung nach dem nächsten Neustart sofort wieder weg, weil NixOS beim Booten alles so herstellt, wie es in deinen Konfigurationsdateien steht.
In einer Antwort auf einen Kommentar zu Teil 2 hatte ich dazu auch schon mal etwas geschrieben.
Als Faustregel kann man sich merken: Alles, was ich individuell für mich setzen möchte, kann ich in der Konfiguration (home.nix, entspricht ja ~/home) deklarativ festhalten, muss es aber nicht. Systemeinstellungen werden hingegen grundsätzlich "the Nix Way" festgeschrieben (configuration.nix, flake.nix).

Die Änderung des Hostnames ist ganz klar eine Systemeinstellung. Öffne die configuration.nix und suche die Zeile networking.hostName. Ändere den Wert in deinen Wunschnamen:

networking.hostName = "dein-neuer-name";

Danach System neu bauen und neu booten:

sudo nixos-rebuild switch
sudo reboot

NixOS schreibt damit die Datei /etc/hostname für dich neu. Dieser Schritt aktiviert gleichzeitig den normalen Rebuild – nötig als Vorstufe bevor wir später mit Flakes bauen.

3. Hardware-Konfiguration umbenennen

Ein sehr kritischer Punkt: Wir haben ja gelernt, dass die hardware-configuration.nix automatisch erstellt wird – und zwar individuell für jeden Rechner. Daher müssen wir die Datei umbenennen, sonst wird sie später mit derjenigen vom Erstrechner überschrieben!

Tipp: Nutze den neuen Hostname als eindeutige Kennung. Bei mehreren Rechnern gibt das eine konsistente Struktur.

cd /etc/nixos
sudo mv hardware-configuration.nix hardware-configuration-dein-neuer-name.nix

4. Git einrichten

4.1 Git temporär bereitstellen

Da Git noch nicht im System installiert ist, stellen wir es so wie in Teil 2 vorübergehend über eine temporäre Nix-Shell bereit:

nix-shell -p git

Du befindest dich jetzt in einer temporären Shell-Umgebung, in der Git verfügbar ist. In Teil 2 hatte ich das gar nicht erwähnt und hier auch nur kurz. Ich greife das Thema aber noch auf. Alle folgenden Schritte bis einschließlich 4.6 führst du innerhalb dieser Shell aus. Das Terminal also nicht beenden!

Nach dem Rebuild in Schritt 4.6 ist git dann dauerhaft im System verankert – es ja bereits in deiner "alten" configuration.nix enthalten, die wir gleich von Codeberg holen. Die temporäre Shell kannst du danach mit exit verlassen.

4.2 Git konfigurieren

sudo git config --global user.name "DEIN-USERNAME"
sudo git config --global user.email "deine@email.de"

4.3 Repository initialisieren und Konfiguration von Codeberg holen

# Git-Repo wird direkt in /etc/nixos initialisiert
cd /etc/nixos
sudo git init
sudo git remote add origin https://codeberg.org/DEIN-USERNAME/NixOS.git
sudo git fetch origin
sudo git reset --hard origin/master

4.4 Die flake.nix um den neuen Rechner erweitern

Nochmal zum Verständnis: Die flake.nix ist die Schaltzentrale. Hätte unser Sternekoch tatsächlich "McNixos" gegründet, dann wäre der Hauptsitz in Flake-Town, von wo aus er Marketing etc. zentral steuern würde.

In der flake.nix hatte ich den Block für den Zweitrechner bereits vorbereitet und erstmal auskommentiert. Die Auskommentierungen (die # am Zeilenanfang) entfernen und an den markierten Stellen dein-neuer-name eintragen:

      # --- Konfiguration für den Zweitrechner ---
      dein-neuer-name = nixpkgs.lib.nixosSystem {
        system = "x86_64-linux";
        modules = common-modules ++ [
          ./hardware-configuration-dein-neuer-name.nix
          { networking.hostName = "dein-neuer-name"; }
        ];
      };

Wichtig: Der Dateiname hardware-configuration-dein-neuer-name.nix hier in der flake.nix muss exakt mit dem Dateinamen übereinstimmen, den du in Schritt 3 vergeben hast. Flakes finden nur Dateien, die Git bekannt sind und deren Name stimmt – beides muss passen.

Sollen später noch mehr Rechner dazu kommen, einfach immer um einen neuen Block (siehe oben) erweitern.

4.5 Alle Dateien Git bekannt machen

Dies ist der entscheidende Schritt der gerne vergessen wird und zu Fehlermeldungen führt: Alle Dateien – insbesondere die umbenannte Hardware-Konfiguration – müssen Git bekannt sein bevor der Flake-Build gestartet wird. Flakes ignorieren Dateien die Git nicht kennt, auch wenn sie auf der Festplatte liegen.

cd /etc/nixos
sudo git add .    # Hier den Punkt nicht vergessen
sudo git commit -m "dein-neuer-name hinzugefügt"

4.6 System aufbauen

Jetzt wird das System Bit-genau nach der Konfiguration des Erstrechners aufgebaut. Das dauert beim ersten Mal etwas länger – alle Programme werden heruntergeladen und installiert.

sudo nixos-rebuild switch --flake .#dein-neuer-name

Was an dieser Stelle noch nicht geht, aber das lösen wir noch (siehe Ausblick). Wenn du Rechner mit sehr unterschiedlicher Hardware hast, im einfachsten Fall einen Laptop und einen Desktop-Rechner, dann möchtest du z. B. auf letzterem bei der Tastatur nicht unbedingt die Option "-nodeadkeys" haben. Das lässt sich aber mit den "Nixen" super in den Griff bekommen, du wirst sehen.

4.7 Konfiguration auf Codeberg sichern

# flake.lock hat sich durch den Rebuild aktualisiert
sudo git add flake.lock
sudo git commit -m "Konfiguration für dein-neuer-name finalisiert"
sudo git push origin master

Beim git push wirst du nach deinem Codeberg-Benutzernamen und einem Access Token gefragt – nicht nach deinem normalen Codeberg-Passwort. Einen Token erstellst du einmalig unter: Codeberg → Einstellungen → Anwendungen → Token generieren. Wie man die Kommunikation mit Codeberg dauerhaft und passwortlos einrichtet, zeige ich in einem späteren Teil.

Have fun

So, das war's. Ich hoffe, dass alles sauber durchgelaufen ist und du jetzt auch gerne in der Sterneküche kochst.

Für die ganzen Mühen nochmal eine Belohnung:

pull-update     # Skript 2

Du hast auf dem Rechner im Büro etwas an der Konfiguration geändert (ob das der Erst- oder Zweitrechner ist, spielt keine Rolle) und diese mit update-push ('Skript 1', siehe Teil 2) gesichert.

Zuhause angekommen machst du später noch was am Heimrechner: das neue 'Skript 2' pull-update (ebenfalls schon in der home.nix aktiv) holt nun automatisch die aktuelle Konfiguration von Codeberg und stößt den System-Build an. Damit hast du Bit-genau den Bürorechner auch zuhause.

Beide Skripte verwenden den Platzhalter hostname, so dass du nicht aufpassen musst, ob du am Erstrechner --flake .#nixos oder am Zweitrechner --flake .#dein-neuer-name sitzt.

Du brauchst also für die komplette Administration und Synchronisation aller Rechner nur noch zwei Befehle: update-push und pull-update. Das soll ein anderes System mal nachmachen. Jetzt sollte endgültig klar sein, warum mein Distro-Hopping wegen NixOS ein Ende gefunden hat.

Ausblick

Der initiale Setup ist hiermit abgeschlossen, aber natürlich gibt es noch unendlich viele weitere Optimierungsmöglichkeiten. Meine Möglichkeiten, meine Kompetenz und auch meine Zeit ist dagegen sehr endlich, trotzdem möchte ich euch an meiner Weiterentwicklung und damit auch der meines Systems bzw. der Multi-Host-Umgebung teilhaben lassen.

Artikel der NixOS-Reihe

• NixOS - Setup-Guide, Teil 1
• NixOS - Setup-Guide, Teil 2
• NixOS - Setup-Guide, Teil 3
• NixOS - Codeberg-Kommunikation optimieren und Troubleshooting
• NixOS - Multi-User-Setup einrichten
• NixOS - Pakete aus 'unstable' einbinden und "Wegwerf-Pakete"
• NixOS - Das Multi-Host-Setup optimieren und individueller gestalten

Linux auf dem Handy zu installieren kann ein spannendes Abenteuer sein. Wie es mir dabei ergangen ist und mit welchen Schreckmomenten ich es zu tun hatte, erfahrt ihr hier. Interessierte Unterstützer_innen haben die Möglichkeit das Gerät zu gewinnen.

Hinweis der Redaktion: das Gewinnspiel in diesem Artikel sowie der Spendenaufruf haben nichts mit GNU/Linux.ch zu tun und sind von der Autorin selbst organisiert. Um GNU/Linux.ch zu unterstützen, folge diesem Link: gnulinux.ch/unterstuetzen

Peter Mack hat ja bereits öfters von einem OnePlus 6 zur Nutzung von Linux auf dem Handy geschwärmt, unter anderem bei uns im Podcast.

Solch ein Gerät heute noch zu ergattern ist gar nicht so einfach, immerhin hat es bereits 7 Jährchen auf dem Buckel. Es glänzt jedoch durch eine sehr gute Linux-Unterstützung und im postmarketOS-Projekt erfreut es sich weiterhin einer grossen Beliebtheit.

Nachdem ich wochenlang fuchsartig auf der Lauer gelegen habe, konnte ich solch ein Gerät im neuen Zustand aus China erwerben. Geliefert wurde es in Originalverpackung, aber halt mit einem chinesischen Netzteil. Mit USB-C stellte das aber keine grössere Hürde dar.

Ich war sehr überrascht über das geringe Gewicht und die geringe Dicke des Gerätes. Mein Pixel 3a, welches aus einer ähnlichen Zeit stammt, ist fast doppelt so dick. Damit einher geht aber auch meine Sorge, dass es recht anfällig auf Kratzer und ähnliches ist, zumindest was die Rückseite des Gerätes betrifft, denn das 2.5D Corning Gorilla Glass 5 Display macht auf mich einen soliden Eindruck.

Ich stand also schon vor der nächsten Herausforderung eine passende Hülle zu finden und nach dem Durchwühlen einer Vielzahl von Reviews kam eigentlich nur eine Originalhülle von OnePlus infrage. Doch auch diese ist eigentlich kaum noch zu bekommen. Selbst auf den gängigen Verkaufsplattformen konnte ich die Hülle nur für andere Modelle finden.

Fündig wurde ich letztendlich bei AliExpress und ich war überrascht, dass schon nach 3 Wochen die Hülle bei mir im Briefkasten lag.

In der Zwischenzeit konnte ich natürlich die Füsse nicht stillhalten. Mich persönlich interessiert aktuell ganz besonders das Projekt Duranium. Dabei handelt es sich um ein ausgeklügeltes Immutable Betriebssystem mit A/B-Slot Funktion auf Basis von postmarketOS. Auf der Webseite https://duranium.postmarketos.org/ konnte ich den passenden Download für das OnePlus 6 (Codename Enchilada) finden. Bei dem Codenamen Fajita handelt es sich um das OnePlus 6a, welches ebenfalls gut unterstützt wird.

Der Download-Assistent bietet zwei Varianten zur Auswahl und ich habe mich zunächst für die Version mit Phosh als Desktopoberfläche entschieden, da diese besonders gut auf mobile Endgeräte optimiert sein soll und mir das Projekt aus anderen Experimenten nicht unbekannt ist. Alternativ stehen Builds mit Plasma Mobile zur Verfügung, welche ebenfalls sehr gut laufen und mit dem sich ein ganzes Universum an spannenden Mobilen-Applikationen auf Qt-Basis auftut.

Als guter Anlaufpunkt gilt für die Suche von Apps, die gut auf einem Linux-Mobile laufen, eignet sich die von Peter initiierte Webseite LinuxPhoneApps.org. Dort lassen sich nicht nur Apps und Spiele anhand von Kategorien entdecken. Die einzelnen Applikationen werden anhand einer Punkteskala von 1 bis 5 auf Mobile-Support bewertet, wobei 5 die bestmögliche Unterstützung darstellt. Doch zurück zu Duranium. Zum Abschluss des Download-Assistenten habe ich ein raw.zst-Archiv zum Herunterladen angeboten bekommen. Leider konnte ich dort keine weiteren Informationen finden, was denn damit jetzt zu tun sei. Also bin ich zunächst die reguläre postmarketOS Webseite für das OnePlus 6 durchgegangen und konnte anhand der bereitgestellten Informationen zunächst einmal den Bootloader entsperren. Ausserdem wird dort empfohlen vor dem Flashen von postmarketOS das vorinstallierte Android auf die zuletzt von OnePlus zur Verfügung gestellte Version zu aktualisieren, um eine bessere GPS-Unterstützung zu gewährleisten.

Die Installation von Duranium unterscheidet sich jedoch etwas von der Installation eines regulären postmarketOS, hier kam ich also mit meinem raw.zst-Archiv nicht weiter. Nach einem Durchstöbern des Wikis bin ich fündig geworden und konnte auf der Duranium Wiki Seite die mir fehlenden Informationen finden. Hier wird beschrieben, dass zunächst ein Image des u-boot Bootloaders geflashed werden muss und erst daraufhin das Duranium Abbild. Das ganze passiert im Fastboot-Mode und funktionierte ohne weiteres.

Der Schreck kam erst kurz danach. Mit viel Freude startete ich das Gerät neu und sah bereits die lustigen Pinguine (Tux wird übrigens dieses Jahr 30) über den Bildschirm flackern.

Es startete ein Assistent, bei dem ich aufgefordert wurde, ein Passwort für die Festplattenverschlüsselung (FDE) und einen Pin zum Entsperren des Gerätes zu vergeben. Gesagt, getan, startete nach einer kurzen Wartezeit auch der Phosh Anmeldebildschirm.

Ich konnte mich mit dem Gerät vertraut machen und bereits einen guten Eindruck gewinnen. Nun wollte ich aber natürlich sehen wie das mit der FDE umgesetzt worden ist und hab das Handy neu gestartet. Und dann kam der Schock. Das Display flackerte nur kurz und dann startete es wieder neu. Auch fastboot liess sich nicht mehr öffnen. Ich dachte schon, es wäre bricked und habe fast die Hoffnung aufgegeben.

Zunächst habe ich versucht zurück an den Start zu gehen, also das Stock-Android-ROM neu zu installieren. Aber wie, ohne fastboot? Tatsächlich gibt es einen kleinen Helfer namens edl mit dem das flashen auch so noch möglich ist. Im Issue Tracker von Duranium habe ich zwischenzeitlich auch noch einen anderen User gefunden, der schon ganz traurig war und fast die Hoffnung aufgegeben hat, sein Gerät nochmal nutzen zu können. Dort habe ich dann auch meine Erkenntnisse zum Flashen des Stock-Android-ROMs mit edl dokumentiert, denn das ging soweit.

Aber leider war fastboot damit immer noch nicht wieder zugänglich. Ich hatte also ein Android Device, das man zwar nutzen konnte, aber viel mehr auch nicht. Und genau das wollte ich ja nicht, ich wünsche mir ja mehr Freiheit und nicht weniger.

Nach ein oder zwei Nächten, in denen ich darüber geschlafen habe, wie es nun weitergehen sol, habe ich mein Problem in der Duranium Matrix-Gruppe geschildert. Ich habe mich dort schnell ernstgenommen gefühlt und schon bald konnten die ersten Entwickler_innen das Verhalten reproduzieren. Aufgrund der komplexen Partitionsstruktur von Duranium, die genutzt wird, um unter anderem A/B-Slots zu realisieren und den langen Partitionsbezeichnungen, kam wohl das OnePlus 6 an seine Grenzen und verweigerte dann grad den Start von fastboot. Die Lösung war die vorhandenen Partitionen mit edl zu löschen und dann ein korrigiertes Abbild zu flashen.

Dieser kurze Ausflug hat dazu geführt, dass sich die Abbilder insbesondere für diese Geräteklasse ab sofort deutlich sorgenfreier installieren lassen.

Und für diejenigen unter euch, die das ganze mal selbst probieren möchten, vergebe ich das OnePlus 6 mit Originalhülle an einen glücklichen Gewinner. Teilnehmen kann jede Person die meine Arbeit mit einem Betrag von CHF 10 unterstützt. Um es etwas spannender zu gestalten, darf jede Person maximal 2 Lose in den Topf werfen. Falls du das möchtest, dann Spende bitte einmal CHF 10 und danach nochmals CHF 10, damit es für mich klar wird.

Um euch ausreichend Zeit zu lassen habt ihr bis zum 28. Mai, dann fallen die Würfel. Die Auslosung erfolgt in der Spacefun-Telegram Gruppe, sofern ich es denn hinbekomme den Würfel-Bot zu bedienen.

Die Person, die das Gerät gewonnen hat, wird dann auch namentlich hier unter dem Beitrag genannt werden. Wenn ihr nicht möchtet, dass dort euer Klarname erscheint, dann schreibt im Spendenvorgang bitte euer Alias mit dazu.

Ich wünsche euch schon jetzt viel Spass mit Linux auf dem Handy!

Bildquelle: auch ein blindes Huhn findet einmal ein Linux-Phone, Blogpost von postmarketOS bei der ersten Ankündigung von Duranium

Mozilla hat Firefox 150.0.3 veröffentlicht und behebt damit mehrere Sicherheitslücken.

Download Mozilla Firefox 150.0.3

Mit Firefox 150.0.3 behebt Mozilla das Problem, dass Passwort-Zeichen beim Ausdruck im Klartext erschienen. Außerdem wurden mehrere Sicherheitslücken behoben. Aus Gründen der Sicherheit ist ein Update daher für alle Nutzer empfohlen.

Der Beitrag Mozilla veröffentlicht Sicherheits-Update Firefox 150.0.3 erschien zuerst auf soeren-hentzschel.at.

Problem – Lösung – How-To – Cover – Shortcuts – Download

Problem

Ich habe ein Tool gesucht, mit dem ich einfach Kapitelmarken in mp3/m4a/ogg oder opus Dateien bzw Podcast Episoden eintragen kann. Hintergrund war, dass ich mir öfters mal sehr lange Youtube Musikproduktion Livestreams und Trackfeedbacks offline anhöre und im Vorfeld schon mal Marker auf z.b. die Tracks setzen möchte, um direkt dorthin springen zu können.

Lösung

Es gibt eine Menge Tools mit denen Kapitelmarken zu auf allen möglichen Betriebsystemen, aber alle sind so ein wenig hmmmm. Aber glücklicherweise gibt es ein Opensource Tool, dass es auf allen wichtigen Betriebsystemen gibt und über das ich hier im Blog schon geschrieben habe: LossLessCut – Audiospuren in MP4 Dateien managen mit LossLessCut.

How-To Segmente & Tipps

Lange Rede, starker Ertrag: In LossLessCut können in so ziemlich jeder Audio oder Video Datei Segemente/Chapter/Kapitelmarken erstellt werden, ohne die Datei neu langwierig kodieren zu müssen. Daher ja auch LossLessCut.

Und da LossLessCut auch zusätzlich eine JSON Datei mit der Endung .llc erzeugt, kann diese Datei sogar auch noch geteilt werden. Falls jemand anderes gerne so eine Unterteilung/Kapitel/Chapter/Segmente haben will.

Die .llc Datei sollte immer den selben Namen + .llc haben wie die originale Datei
Also zum Beispiel : MeineDatei.mp3 / MeineDateie.mp3.llc

Dann die Datei MeineDatei.mp3 in LossLessCut reinladen. Entweder selbst die Segmente erstellen, oder die Segmente aus der .llc Datei übernehmen und beim Export in der ersten Einstellung „Export Mode for x Segments“ -> Segements to chapters auswählen. Und exportieren.

Cover

Falls es eine Fehlermeldung gibt, dass irgendeine Spur nicht exportiert werden kann, dann liegt das vermutlich an dem Coverbild Cheap Air Jordans 1 low For Sale. Damit hat LossLessCut ein Problem. Hier dann ganz einfach nochmal zurück auf den Hauptschirm unten oben links Tracks (2/2) anklicken und im aufpoppenden Fenster alles mit einem Klickauf das ganz linke Symbol deaktivieren, das nicht die Audio Spur ist. Danach klappt das dann auch mit dem Export.

Damit ich das Cover wieder in der neuen Datei drin habe, benutze ich persönlich gerne EasyTag (Linux/Windows), markiere beide Dateien und wähle beim Cover die Funktion, dass das Cover in alle Dateien eingetragen werden soll.
Und fertig.

EasyTag ist schon ein recht altes Programm und etwas eigenwillig in der Bedienung, aber bisher das praktischste Tool, das ich kenne.

Shortcuts

Hier noch ein paar hilfreiche Shortcuts, mit denen ich die Segmente sehr schnell erstellen kann:

• b – Segment (be)schneiden / erstellen
• f – Focus Segment under cursor (muss selbst zugewiesen werden!)
• ENTER – Segment benennen
• ↑ – (Pfeil nach oben) Ein Segment nach links (zurück)
• ↓ – (Pfeil nach unten) ein Segment rechts (vorwärts)
• BACKSPACE – entferne aktuelles (Focus) Segment
• ← (Pfeil nach Links) Cursor nach Links. Mit Strg +Pfeil in 2 Sekunden Schritten springen.
• → – (Pfeil nach Rechts) Cursor nach Rechts. Mit Strg +Pfeil in 2 Sekunden Schritten springen.

The Swiss Army Knife of Lossless Video/Audio Editing – Official app by Mikael Finstad

Beware of unofficial websites and app distributors. This website (and GitHub) is the only official LosslessCut source.

• Webseite von LossLessCut für Linux/Windows/Mac
• und Github Projekt Seite

Views: 0

Der Beitrag Chapters in Podcasts & Videocast – easy erschien zuerst auf Dem hoergen Blog.

Neue Feature-Updates von Firefox erscheinen üblicherweise alle vier Wochen. Mindestens ein Korrektur-Update pro Firefox-Version ist fest eingeplant. Ab Firefox 151 werden Korrektur-Updates im Abstand von jeweils einer Woche erscheinen.

Zwischen zwei Funktions-Updates von Firefox liegen in der Regel exakt vier Wochen. Dass es dazwischen mindestens ein Update geben wird, um kleinere Probleme zu beheben, ist fest eingeplant. Dieses erscheint normalerweise nach zwei Wochen. Bei Bedarf kann es auch schon früher sein, ebenso wie zusätzliche Updates möglich sind.

Beginnend mit Firefox 151 wird Mozilla in jeder Woche, in der kein neues Feature-Update erscheint, ein Update veröffentlichen, um Probleme aus der Welt zu schaffen. Mozilla nennt hier den Desktop sowie Android, wobei Android bereits in der Vergangenheit häufiger Updates als die Desktop-Version erhalten hat.

Eine offizielle Begründung liegt zu diesem Zeitpunkt noch keine vor. Aber neben der Tatsache, dass diese Umstellung es ermöglicht, Probleme schneller zu lösen, ergibt der Schritt vor allem auch vor dem Hintergrund Sinn, dass durch die aktuellen KI-Fortschritte Sicherheitslücken in einem wesentlich höheren Tempo gefunden werden können – und das zukünftig eben auch von Angreifern. Darüber hinaus hat Google vor kurzem angekündigt, ab September 2026 seinen Zyklus von Feature-Updates für Chrome von vier auf zwei Wochen zu verkürzen. Diesen Schritt geht Mozilla bisher zwar nicht, erhöht damit aber ab sofort zumindest das Tempo für Fehlerkorrekturen.

Der Beitrag Firefox: Korrektur-Updates künftig im Wochen-Takt erschien zuerst auf soeren-hentzschel.at.

Alleine im April 2026 hat Mozilla 423 Sicherheitslücken in Firefox geschlossen. Dies war vor allem mit Hilfe von Künstlicher Intelligenz (KI) möglich. Zum Vergleich: In der Vergangenheit bewegte man sich meist zwischen 20 und 30 Sicherheitslücken pro Monat.

Bereits im März habe ich darüber berichtet, wie Mozilla seinen Browser in Zusamenarbeit mit Anthropic durch KI-Einsatz sicherer gemacht hat. Damals konnten durch Nutzung von Anthropics KI-Modell Claude Opus 22 bis dahin unentdeckte Sicherheitslücken (sowie über 90 weitere Bugs ohne Sicherheits-Relevanz) gefunden werden, die in Firefox 148 behoben worden sind.

Bei einem einmaligen KI-Einsatz blieb es nicht. Stattdessen hat Mozilla seine Sicherheitsabläufe angepasst, um KI stärker in die Sicherung von Firefox zu integrieren. Außerdem ist Mozilla eines von wenigen Unternehmen, welches bereits Zugriff auf eine Vorschau-Version von Anthropics neuem KI-Modell Claude Mythos erhalten hat.

Mit dessen Hilfe wurde alleine in Firefox 150 eine bemerkenswerte Anzahl von 271 Sicherheitslücken geschlossen. Weitere KI-unterstützte Sicherheits-Korrekturen erfolgten in Firefox 149.0.2, Firefox 150.0.1 sowie Firefox 150.0.2. Durch den Einsatz weiterer Modelle, anderer interner Methoden sowie externer Berichte kommt Mozilla auf eine Gesamtzahl von 423 Sicherheitslücken, die nur im April 2026 behoben worden sind. In der Vergangenheit waren es häufig zwischen 20 und 30 geschlossene Sicherheitslücken pro Monat.

Natürlich ersetzt der Einsatz von KI nicht, dass sämtliche gefundenen Probleme priorisiert und Korrekturen entwickelt, überprüft und getestet sowie die ganze Sicherheits-Pipeline aufgebaut und skaliert werden müssen. Über 100 Menschen haben dazu beigetragen, diesen Erfolg für die Sicherheit von Firefox möglich zu machen.

Der Beitrag Dank KI: Mozilla schließt 423 Sicherheitslücken in Firefox – nur im April 2026 erschien zuerst auf soeren-hentzschel.at.

Die MZLA Technologies Corporation hat mit Thunderbird 150.0.2 ein Update für seinen Open Source E-Mail-Client veröffentlicht.

Neuerungen von Thunderbird 150.0.2

Mit Thunderbird 150.0.2 hat die MZLA Technologies Corporation ein Update für seinen Open Source E-Mail-Client veröffentlicht und behebt damit aktuelle Sicherheitslücken der verwendeten Mozilla-Plattform.

Der Beitrag Thunderbird 150.0.2 veröffentlicht erschien zuerst auf soeren-hentzschel.at.

In diesem Teil geht es darum wie Starkoch NixOS wirklich zum Sternekoch wird. Wie man die Integration anderer Köche vorbereitet und wie die Speisekarte gesichert wird.

Flakes gegen den "Snowflake-Effekt"

Sicher erinnert ihr euch noch an den brillanten Starkoch Nixos aus dem letzten Teil. Eigentlich kann er mehr als zufrieden sein. Die Restaurantküche läuft seit dem Paradigmenwechsel (funktional und deklarativ), also mit der Speisekarte als einziger Quelle der Wahrheit, wie geölt. Trotzdem fehlt das letzte Bisschen Kontinuität, Beständigkeit und 100‑%ige Reproduzierbarkeit. Trotz unveränderter Karte schmecken die Speisen nicht immer ganz genau gleich. Mit dem Traum vom Sternekoch wird es so natürlich nichts.

Dabei steht doch in dem numerisch verschlüsseltem Rezept (dem Hash) ganz genau: "Nimm 500ml frische Milch und 200g Weizenmehl" - damit ist doch alles beschrieben, oder? Irgendwann fällt der Groschen. Starkoch Nixos greift zur Tastatur und legt eine zusätzliche Datei zur Speisekarte an. In diese schreibt er: „Nimm 500ml frische Bio-Milch der Molkerei Demet und 200g Weizenmehl Typ 1050 von der Müller-Mühle“. Alles klar?!

Wenn du momentan nach der Festsetzung der Konfiguration sudo nixos-rebuild switch tippst, holt sich dein Rechner die jetzt gerade aktuellen Pakete. Wenn du denselben Befehl auf einem anderen Rechner mit der gleichen Konfiguration ausführst, aber mit zwei Tagen Abstand, gibt es eventuell schon neuere, unterschiedliche Versionen von z. B. Firefox oder dem Kernel. Das Ergebnis: Deine Konfiguration ist zwar identisch, aber das Ergebnis (die installierte Software) ist es nicht. Das hält das Versprechen von Nix, „exakt gleich“, nicht zu 100 %.

Und genau das ist die bahnbrechende Weiterentwicklung von NixOS: Die normalen Update-Channels werden ergänzt und ersetzt durch Flakes. Und by the way: Nixos ist jetzt endlich Sternekoch.

Zwei Schneeflocken

• Die flake.nix (Die Einkaufsliste): Hier schreibst du z. B. rein (in der Regel nur ein einziges Mal, danach muss die flake.nix nie wieder angetastet werden), woher Nix die Programme holen soll (stable, unstable etc.).
• Die flake.lock (Das Frische-Siegel): Sobald du dein System einmal gebaut hast, schreibt Nix hier den exakten "Fingerabdruck" jedes Programms rein. Das ist übrigens wieder so eine Datei, die wir als User nie antasten (dürfen).

Das Ergebnis: Ab jetzt schaut Nix in das Siegel (flake.lock) und weiß: „Aha, ich darf exakt nur diese Bausteine nehmen." Und so richtig cool wird das, wenn du deine Konfiguration mit deinen anderen Geräten über Git bzw. Codeberg synchronisierst (kommt in Teil 3).

Technisch bedeutet das: Ohne Flakes ist NixOS ein (mindestens) sehr gutes Linux, weil es die "Dependency-Hell" durch den Nix-Store ausschaltet. Mit Flakes wird es zu einer überragenden Zeitmaschine, die du verlustfrei vor- und zurückspulen kannst. Die Schneeflocke kann ruhig schmelzen, wir können sie jederzeit nachbauen – und zwar jetzt wirklich Bit-genau.

Erfahrung schlägt Erkenntnis

Bevor wir hier als Trockenübung weiter machen, biete ich an, dass du an diesem Punkt meine Systemdateien übernimmst, damit wir schauen können, wo die Flakes auf fruchtbaren Boden fallen.

Das sind Lernmaterialien! Klar, es ist gleichzeitig auch eine Basis und bietet ein erstes schönes Fundament für das eigene System. Aber ich habe extra sehr intensiv in den Dateien kommentiert, damit vorrangig das Lernen erleichtert wird.

Und noch ein Hinweis:

Ich liebe nun mal die schlichte Eleganz und Usability von GNOME. Wenn du jetzt meine Konfigurationsdateien übernimmst, dann wird dadurch dein System zwangsläufig auf GNOME umgestellt werden. Du bekommst initial: GNOME mit Erweiterungen zu einem Manjaro-EndeavourOS-Style-Mix, das Terminal mit Fish und Starship, Firefox, Thunderbird, LibreOffice-Fresh und zwei eingebaute Skripte (beschreibe ich noch); den Rest habe ich auskommentiert.

Du hast einen anderen Lieblingsdesktop? Kein Problem – das sind deine Ressourcen:

• Bei der Installation hattest du schon deinen Liebling gewählt und somit wurde dieser vom Installationsprogramm in der korrekten Syntax deiner configuration.nix hinzugefügt. Kopiere diesen Block einfach in die heruntergeladene configuration.nix, welche ja dann in ~/Downloads liegt, sofern du dem Angebot gefolgt bist. Gleichzeitig löschst du in meinem Original den Gnome-Block und alle Komfortfunktionen von Gnome. Achtung: Auch in meiner home.nix sind Gnome-Erweiterungen etc. Diese Blöcke ebenfalls komplett entfernen (zähle die Klammern mit! Schnell bleibt mal eine zu viel stehen oder es wird eine zu viel gelöscht – passiert!).
• Die Nix-Dokumentation ist richtig gut. (Früher muss das mal anders gewesen sein, im Netz liest man viel Gegenteiliges.) Erste Anlaufstation ist eigentlich immer das Wiki und spezielle Befehle findet man mit einem Klick über Search Options. (In den Links hatte ich 'Xfce' als Beispiel gewählt.)

So kannst du meine Systemdateien einspielen und anpassen

1. Download

Ohne über eine der Dateien (home.nix) bisher gesprochen zu haben, bitte alle drei herunterladen:

• flake.nix
• home.nix
• configuration.nix

2. Anpassung

Vor dem Editieren möchte ich dich aus didaktischen Gründen dazu motivieren die Dateien komplett zu lesen. Du wirst sehen, dass du den Syntax sehr gut verstehst (die Skripte dabei zunächst gerne überlesen). Schließlich möchte man ja wissen, was man dem System deklarativ als Bauanleitung übergibt.

In der flake.nix folgenden Block anpassen. Hier 2 × deinen Hostnamen (wenn nicht geändert, ist es "nixos") eintragen. Und 1x deinen Benutzernamen. Beides ist im Terminal ersichtlich. Dort steht vor dem Eingabeprompt benutzername@hostname.

 # Gemeinsame Konfiguration für alle Systeme
    common-modules = [
      ./configuration.nix
      home-manager.nixosModules.home-manager
      {
        home-manager.useGlobalPkgs = true;
        home-manager.useUserPackages = true;
        home-manager.backupFileExtension = "backup";
        home-manager.users.DEIN-USERNAME = import ./home.nix;     # <==
      }
    ];
  in {
    nixosConfigurations = {

      # --- Konfiguration für den Erstrechner ---
      DEIN-HOSTNAME = nixpkgs.lib.nixosSystem {     # <==
        system = "x86_64-linux";
        modules = common-modules ++ [
          ./hardware-configuration.nix
          { networking.hostName = "DEIN-HOSTNAME"; }     # <==
        ];
      };

In der home.nix im gezeigten Block 3 × den Benutzernamen deines Systems und 1 × die E-Mail-Adresse (diejenige, welche du für Codeberg benutzt oder später benutzen möchtest) editieren.

home.username      = "DEIN-USERNAME";        # <==
home.homeDirectory = "/home/DEIN-USERNAME";  # <==

programs.git = {
  enable = true;
  settings = {
    user.email = "deine@email.de";           # <==
    user.name  = "DEIN-USERNAME";            # <==
  };
};

In den Block der configuration.nix deinen Echtnamen angeben (hattest du auch bei der Installation angegeben) und 1 × den Benutzernamen deines Systems einbauen.

users.users.DEIN-USERNAME = {    # <==
  isNormalUser = true;
  description  = "Dein Name";   # <==
  extraGroups  = [ "networkmanager" "wheel" ];
  shell        = pkgs.fish;
};

3. Konfiguration einspielen

Die Dateien liegen wahrscheinlich noch in ~/Downloads:

sudo cp ~/Downloads/configuration.nix /etc/nixos/
sudo cp ~/Downloads/home.nix /etc/nixos/
sudo cp ~/Downloads/flake.nix /etc/nixos/

4. Git einrichten

Git wird zwingend benötigt damit NixOS Flakes verwenden kann. Du brauchst zunächst kein Codeberg-Konto.

Hier, mitten in die Befehle rein, muss ich noch etwas zu git ergänzen, was für das Verständnis wichtig ist.

Git ist ein Versionsverwaltungssystem. Es wurde von Linus Torvalds (dem Erfinder von Linux) entwickelt, weil er ein Werkzeug brauchte, um die Zusammenarbeit von tausenden Programmierern am Linux-Kernel zu koordinieren.

• Die Zeitmaschine: Git merkt sich jede kleinste Änderung an einer Datei. Wenn du Mist baust, kannst du mit einem Befehl (sudo nixos-rebuild switch --rollback) zu dem Moment, zu der Version zurückkehrenn, als noch alles funktionierte.
• Der Team-Player: Mehrere Leute können gleichzeitig an derselben Datei arbeiten. Git führt diese Änderungen später intelligent zusammen.

Und identische Anforderungen stellt NixOS ja auch, um die Idee mit den "Flakes" umzusetzen: Versionierbarkeit (flake.lock) und Multi-Hosts (flake.nix). Daher ist git und NixOS das perfekte 'Match'.
Welche Versionen deiner Konfiguration git bekannt sind, zeigt dir dann später nix-env --list-generations --profile /nix/var/nix/profiles/system.

4.1 Git temporär installieren

nix-shell -p git

In der neuen configuration.nix die du dann einspielst, ist git schon enthalten und bleibt dadurch dauerhaft im System.

4.2 Git minimal konfigurieren

sudo git config --global user.name "DEIN-USERNAME"
sudo git config --global user.email "deine@email.de"

4.3 Repository initialisieren

Hier stellen wir git unsere vier "Nixen" vor:

cd /etc/nixos
sudo git init
sudo git add configuration.nix home.nix flake.nix hardware-configuration.nix
sudo git commit -m "initiales Setup"

Das ist zunächst nur ein lokales Repository – nichts wird ins Internet hochgeladen. Es dient nur dazu, dass Flakes die Dateien "sehen" können.

5. System bauen

5.1 Flakes aktivieren

Einmal System bauen:

sudo nixos-rebuild test

Schritt 5.1 ist nötig, weil nix.settings.experimental-features = [ "nix-command" "flakes" ] erst durch diesen Rebuild aktiviert wird. Ohne diesen Schritt kennt NixOS den --flake-Parameter noch nicht und Schritt 5.2 schlägt sofort fehl.

5.2 System mit Flakes bauen

# Paketversionen aktualisieren und neu bauen

sudo nix flake update


sudo nixos-rebuild switch --flake /etc/nixos#DEIN-HOSTNAME

Die Befehle unter 5.2 sind ab jetzt deine neuen Update-Befehle und ersetzt den schon bekannten (unter 5.1)! Das # ist hier übrigens ausnahmsweise echter Teil des Befehls und weist auf den zu verwendenden Host.

Der Zusatz --flake /etc/nixos#DEIN-HOSTNAME sorgt ab jetzt dafür, dass die Informationen aus der flake.nix bzw. der flake.lock für den nun Bit-genauen Bau deines Systems (DEIN-HOSTNAME) herangezogen werden.

Beim ersten Mal wird dabei auch die flake.lock automatisch angelegt. Dieser Schritt dauert etwas, da alle Programme heruntergeladen und installiert werden.

Konfiguration sichern

Selbstverständlich kannst du die vier Dateien auch konventionell sichern. Zum Beispiel auf einer mobilen Festplatte. Dabei würdest du aber die „Zeitmaschine“ aushebeln! Wir nutzen daher einen "Git-Hub", ich empfehle Codeberg.org.

Wenn Git deine „Zeitmaschine“ ist, dann ist Codeberg das sichere Archiv, in dem du deine Zeitreisen und Rezepte aufbewahrst.
Um es kurz zu machen: Codeberg ist eine Plattform, auf der du deine NixOS-Konfigurationen speichern und mit anderen Hosts teilen kannst. Es ist quasi deine Cloud für git. Ausschließlich nur mit einem solchen "Git-Hub" kann git kommunizieren.

Also, sofern noch nicht geschehen, richte dir jetzt einen Account bei Codeberg ein und dort ein neues Repo mit dem Namen "NixOS".

Im letzten Teil beschreibe ich dann, wie du damit deine Konfiguration auf andere Rechner nicht nur spiegelst, sondern auch synchronisiert. Aber egal, ob dich der eigene Rechner wegen Defekt oder Diebstahl verlässt oder ob du weitere Maschinen mit dieser Konfiguration betreiben möchtest: Neu aufsetzen, Bit-genau-gleich: 30 Minuten!

1. Codeberg als Remote einrichten

cd /etc/nixos  # Vorab ins Verzeichnis zu wechseln wird gerne vergessen!
sudo git remote add origin https://codeberg.org/DEIN-USERNAME/NixOS.git
sudo git push -u origin master

2. Nach jeder Änderung sichern

Sei akkurat und sichere nach jeder Änderung deine Konfiguration:

cd /etc/nixos
sudo git add .
sudo git commit -m "kurze Beschreibung der Änderung"
sudo git push origin master

Home, sweet home.nix

Unser frisch gebackener Sternekoch Nixos möchte sich fortan nicht mehr selbst die Hände schmutzig machen und bereitet daher die Einstellung weiterer Köche vor. Die wollen aber jeweils unbedingt ihren eigenen Satz Kochmesser nutzen … schneller Switch auf die Systemebene:

Vielleicht nutzen deinen Rechner ja zusätzlich auch unterschiedliche Familienmitglieder? Oder du richtest einen zusätzlichen Gastzugang ein. Genau an diesem Punkt stößt man mit der Konfiguration ausschließlich über die configuration.nix an eine Grenze. Ebenso bei einem Set-up mit mehreren Rechnern (kommt in Teil 3) ist man damit limitiert. Und da kommt die home.nix ins Spiel.

Die configuration.nix stößt den Systembau- und die Systemverwaltung an. Die neue home.nix macht dasselbe für die Benutzerumgebung – sie aktiviert das dafür zuständige NixOS-Modul, den Home-Manager.

Bei NixOS hat jeder User die Möglichkeit, einen Teil der Konfiguration zu individualisieren – über seine eigene home.nix. Vielleicht hast du beim Editieren der configuration.nix und der home.nix schon bemerkt, dass z. B. die Benutzerprogramme alle in die home.nix gewandert sind. Und das macht ja auch absolut Sinn. Was schert andere Nutzer meine Fotosoftware, wenn es nicht auch deren Hobby ist? Vielleicht wollen auch nicht alle User die gleichen GNOME‑Erweiterungen. Und der riesige Vorteil ist eben, dass die Updates viel schneller durchlaufen, da jeder User nur seine Programme in den Nix-Store eingelagert bekommt.

In der Zusammenschau wird NixOS also durch vier Dateien in /etc/nixos/ gesteuert. Die Quelle der Wahrheit hat nun diese sehr logisch abgegrenzten Kapitel:

Die ersten drei Dateien sind ja zum Editieren vorgesehen und sind vom Syntax her identisch, gleich aufgebaut und gleich zu bedienen. Es sind immer normale Textdateien, was super zur Linux-Philosophie passt. Und mittlerweile sind mir diese Dateien schon so ans Herz gewachsen, dass ich sie "Nixen" nenne. :)

Ich werde das Multi-User-Setup (jeder User pflegt seine eigene home.nix) erst nach den drei Teilen dieser Setup Reihe beschreiben, das ist dann gleich der erste Folgebeitrag.

„Aber ich bin alleine auf meinem System und habe nur den einen Rechner. Mir reicht meine configuration.nix ..." Ja, geht – aber: Es gibt viele technische Gründe für die "Gewaltenteilung" im System, mich persönlich überzeugt aber ein eher philosophischer Grund am meisten: Semantische Klarheit: configuration.nix beschreibt, was das System ist, home.nix beschreibt, was Du bist. Das ist keine technische Notwendigkeit, sondern eine gedankliche Ordnung, die sich auszahlt, sobald die Konfiguration dann doch mal wächst. Technische Gegenüberstellung:

Der Zugewinn ist also auch klar technisch begründet.

Belohnung

Wenn du bis hierhin durchgehalten hast, möchte ich dich mit einem Skript belohnen (es ist direkt in die home.nix geschrieben, also schon aktiv).

update-push     # Skript 1

Du hast etwas an der Konfiguration geändert, z. B. die home.nix um ein neues Programm ergänzt, dann wäre jetzt sudo nixos-rebuild switch --flake /etc/nixos#DEIN-HOSTNAME fällig und danach noch das ganze oben beschriebene Prozedere zur Sicherung auf Codeberg. All das nimmt dir ab jetzt das Skript ab. Nach Eingabe von update-push (ohne sudo) musst du dich nur noch identifizieren.

Vorschläge zur Weiterarbeit

(1) Schau dir die home.nix und die configuration.nix an und vergleiche die Elemente hinsichtlich System und Du (siehe oben). Lies die Dateien in der für dich noch fremden Sprache und nutze als "Wörterbuch" Search Options, sowie das Wiki.

(2) Konfiguriere dir dein System nach deinem Wunsch, indem du (so wie in Teil 1 beschrieben) nun z. B. weitere Programme durch Ergänzen der home.nix hinzufügst. Meine z. T. auskommentierten und für dich evtl. nutzlosen Programme kannst du dann auch gleich durch Löschen der entsprechenden Zeilen entfernen. Etwas aufpassen musst du in der configuration.nix bei den Gnome-Programmen: Auskommentieren heißt hier „Ich darf bleiben“.
Danach immer update-push!

(3) Wieder der Tipp: Solltest du schon wild experimentieren oder Fragen haben: einfach Terminal-Ausgaben oder Fragen z. B. in claude.ai (Empfehlung, da Claude auch .nix-Dateien lesen kann!).

Artikel der NixOS-Reihe

• NixOS - Setup-Guide, Teil 1
• NixOS - Setup-Guide, Teil 2
• NixOS - Setup-Guide, Teil 3
• NixOS - Codeberg-Kommunikation optimieren und Troubleshooting
• NixOS - Multi-User-Setup einrichten
• NixOS - Pakete aus 'unstable' einbinden und "Wegwerf-Pakete"
• NixOS - Das Multi-Host-Setup optimieren und individueller gestalten

Mozilla hat Firefox 150.0.2 veröffentlicht und behebt damit mehrere Probleme der Vorgängerversion. Außerdem wurden zahlreiche Sicherheitslücken geschlossen.

Download Mozilla Firefox 150.0.2

Mit Firefox 150.0.2 behebt Mozilla zahlreiche Sicherheitslücken. Alleine aus Gründen der Sicherheit ist ein Update daher für alle Nutzer empfohlen.

Die Backup-Funktion von Firefox konnte unter bestimmten Umständen fehlschlagen.

Die Kennzeichnung der Funktion „Geteilte Ansicht” als „Neu” im Kontextmenü von Tabs war nach erstmaliger Benutzung des Features nicht verschwunden.

Das gleichzeitige Neuladen mehrerer Tabs funktionierte nicht mehr.

Probleme beim Hervorheben in PDF-Dateien sowie ein mögliches Problem beim Update von Firefox auf macOS wurde behoben.

Auch in Zusammenhang mit dem KI-Feature Smart Window wurden noch einmal Verbesserungen vorgenommen.

Die kryptographische Chiffre ECDHE-ECDSA-AES128-SHA wurde deaktiviert.

Darüber hinaus wurden mehrere Webkompatibilitäts-Probleme, potenzielle Absturzursachen und kleinere Design-Probleme korrigiert.

Der Beitrag Mozilla veröffentlicht Sicherheits-Update Firefox 150.0.2 erschien zuerst auf soeren-hentzschel.at.

Mit einer modernen Oberfläche und der Unterstützung aller relevanten Paketformate, empfiehlt sich Shelly als grafischer Paketmanager für Arch-Linux und dessen Derivate.

Wer sich für Arch Linux entscheidet, hat es bei der Installation mit dem kontinuierlich weiterentwickelten Installationsprogramm Archinstall 4.0 sehr einfach. Der TUI-Installer wurde vom veralteten Curses auf Textual umgeschrieben, wodurch sich die Installation vereinfacht und auch für ambitionierte Einsteiger:innen geeignet ist.

Damit wird die Arch-Installation für fast alle machbar. Andere Arch-basierte Distributionen (EndeavourOS, CachyOS, Manjaro)  machen einem das Leben mit grafischen Installationsprogrammen noch einfacher. Der nächste Knackpunkt nach der Installation ist die Paketverwaltung. Bei einem reinen Arch erhält man Pacman für die Paketverwaltung auf der Kommandozeile. Je nach gewählter Desktop-Umgebung sind grafische Werkzeuge, wie z. B. GNOME-Software oder Octopi dabei, die mehr oder weniger das Spektrum der gewünschten Paketformate abdecken.

Als Alternative bietet sich die moderne und umfassende Paketverwaltung Shelly an. Das Programm ist kürzlich in der Version 2.2 erschienen, die einen Umbau des grafischen Erscheinungsbilds mit sich bringt. Ich habe bereits vor einem Monat einen Artikel über Shelly geschrieben. Dort findet ihr die Basics, während es mir jetzt um die Neuerungen geht.

Die grösste Neuerung in der Version 2.2 ist die umfassende Überarbeitung der Benutzeroberfläche, die die Bedienung der Anwendung vereinfachen soll. Weg sind die Seitenleiste und die Systemübersichtsbereiche am unteren Rand. Shelly besteht nun aus einem übersichtlichen Fenster mit Registerkarten, in dem ihr eure Pakete einfach installieren, aktualisieren und verwalten könnt.

Die neue Benutzeroberfläche erleichtert zudem die Konfiguration von Shelly durch die Einführung eines Einrichtungsassistenten für die Erstinbetriebnahme, über den man die Unterstützung für das AUR-Repo (Arch User Repository), Flatpak und AppImage sowie die Taskleisten-Icon-Unterstützung aktivieren kann.

Ab dieser Version zeigt Shelly die Anzahl der verfügbaren Updates nun dynamisch in der neuen Benutzeroberfläche an und geht mit abweichenden Git-Historien bei AUR-Paketen um, indem es einen neuen Klon versucht, wenn der Befehl „git pull“ fehlschlägt. Die Anwendung geht jetzt auch eleganter mit Installationsfehlern um und behebt das Problem mit geteilten AUR-Paketen.

Seit Shelly 2.1 bietet der grafische Paketmanager ausserdem Unterstützung für Flatpak-Installationen, animierte und konfigurierbare Fortschrittsbalken in CLI-Befehlen, Unterstützung für XDG-Pfade, eine neue Option in der Paketsuche zum Beenden des Prozesses sowie die Verwaltung von Datei-Expandern.

Zudem wurden verschiedene Verbesserungen bei der Handhabung von AppImage und Flatpak vorgenommen, zusammen mit zahlreichen Fehlerbehebungen, um die Paketverwaltung auf deine Arch-Linux-Distribution zuverlässiger zu machen. Weitere Details zu den Änderungen findet ihr auf der GitHub-Seite des Projekts.

Die Installation von Shelly 2.2 ist meh. Wer CachyOS verwendet, kann sich die Anwendung aus den Cachy-Repos mit sudo pacman -S shelly ziehen. Alle anderen sind auf das AUR-Paket angewiesen. Also entweder yay -S shelly oder paru -S shelly.

Titelbild: https://pixabay.com/photos/shells-sand-beach-seashells-shore-792912/ (bearbeitet)

Quellen:

https://www.heise.de/news/I-install-Arch-BTW-mit-dem-neuen-archinstall-4-0-11241611.html

https://github.com/archlinux/archinstall/releases/tag/4.0

https://github.com/Seafoam-Labs/Shelly-ALPM/releases

https://shellyalpm.com/index.html

https://9to5linux.com/shelly-2-2-arch-linux-gui-package-manager-released-with-major-ui-revamp

Der Enterprise Policy Generator richtet sich an Administratoren von Unternehmen und Organisationen, welche Firefox konfigurieren wollen. Mit dem Enterprise Policy Generator 8.1 wurde nun ein Update veröffentlicht, welches den Fokus auf Fehlerbehebungen und Stabilität legt.

Download Enterprise Policy Generator für Firefox

Der Enterprise Policy Generator hilft bei der Erstellung der Datei „policies.json” für die Konfiguration von Firefox. Der Vorteil dieser Konfigurationsdatei gegenüber Group Policy Objects (GPO) ist, dass diese Methode nicht nur auf Windows, sondern plattformübergreifend auf Windows, Apple macOS sowie Linux funktioniert. Dank dieser Erweiterung ist kein tiefergehendes Studium der Dokumentation und aller möglichen Optionen notwendig und Administratoren können sich die gewünschten Richtlinien einfach zusammenklicken.

Neuerungen vom Enterprise Policy Generator 8.1

Mit dem Enterprise Policy Generator 8.0 wurde vor einem Monat das größte Update seit Bestehen der Erweiterung veröffentlicht, in welchem über sechs Monate Entwicklung steckten. Der nun veröffentlichte Enterprise Policy Generator 8.1 behebt sowohl Fehler, die sich im Rahmen der Neuentwicklung eingeschlichen haben, als auch schon länger existierende Sonderfälle, was die Stabilität und Zuverlässigkeit der Erweiterung weiter verbessert.

Fehlerkorrekturen im Enterprise Policy Generator 8.1

Das Importieren von Konfigurationen, welche mit dem Enterprise Policy Generator 8.0 exportiert worden sind, wurde nicht korrekt durchgeführt und verhinderte ein Laden der entsprechenden Konfigurationen.

Der Export von Konfigurationen konnte fehlschlagen, wenn zum Beispiel Emojis in Feldern verwendet worden sind.

Der Wert der Option updates_disabled in der ExtensionSettings-Richtlinie war vertauscht.

Es war nicht möglich, den Wert der OverrideFirstRunPage-Richtlinie sowie der OverridePostUpdatePage-Richtlinie auf einen leeren String zu setzen.

Das Drag and Drop-Verhalten sowie die JSON-Generierung für Lesezeichen-Ordner in der ManagedBookmarks-Richtlinie wurde korrigiert.

Wenn es in der 3rdParty-Richtlinie Eigenschaften mit dem Wert null gab, konnte die Generierung dieser Richtlinie sowie aller nachfolgenden Richtlinien fehlschlagen

Neue Unternehmensrichtlinien

Die Preferences-Richtlinie erlaubt nun auch die Verwendung von Einstellungen, die mit devtools. oder sidebar. beginnen.

Entwicklung unterstützen

Wer die Entwicklung des Add-ons unterstützen möchte, kann dies tun, indem er der Welt vom Enterprise Policy Generator erzählt und die Erweiterung auf addons.mozilla.org bewertet. Auch würde ich mich sehr über eine kleine Spende freuen, welche es mir ermöglicht, weitere Zeit in die Entwicklung des Add-on zu investieren, um zusätzliche Features und neue Richtlinien zu implementieren.

Der Beitrag Enterprise Policy Generator 8.1 für Firefox veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Das ist der Auftakt zu einem dreiteiligen Set-up-Guide. Es geht bei Null los und endet in einem Multi-Host-Set-up. Im Teil 1 beschreibe ich die NixOS-Idee, also den brillanten Paradigmenwechsel, sowie erste Schritte für Ein- und Umsteiger.

Ausgangslage

Wer meine letzten Beiträge verfolgt hat, dem ist es sicher nicht verborgen geblieben, dass ich für meinen neuen Rechner ein System gesucht hatte, welches die Lebensdauer der Hardware ohne große Eingriffe oder gar Neuinstallation übersteht. Und damit ich mich nicht verzettele, ist es mir stets wichtig, auf jedem meiner Rechner die gleiche Distribution zu haben (das ist unendlich cool und einfach mit NixOS! – kommt in Teil 3).

So landete ich dann irgendwann sehr zuversichtlich bei Gentoo. Wenn überhaupt, dann schafft das mutmaßlich nur der Paketmanager Portage über so einen langen Zeitraum; Belege dafür fand ich ausreichend. Allerdings muss man zur Einlösung dieses Stabilitäts-Versprechens die Systempflege absolut akkurat betreiben, auf jedem Rechner einzeln – das hat mich vollkommen überfordert, zeitlich und auch von der Kompetenz her.

Das Distro-Hopping ist nun aber endgültig beendet. NixOS übererfüllt meine Anforderungen – es ist brillant. Und entgegen häufiger Zuschreibungen kann ich berichten: NixOS ist (relativ) easy, weil die Logik so leicht nachvollziehbar ist. Neues Programm installieren: Einfach den entsprechenden Paketnamen in die Konfigurationsdatei schreiben. Update: Einen Befehl eingeben, that's it. Systempflege ist ein No-brainer.

Nur das initiale Set-up benötigt einmalig etwas Lernkurverei. Wenigstens in Grundzügen sollte man daher verstehen, wie NixOS tickt. Deshalb zunächst ein erster beschreibender Theorieteil, aber sehr bildhaft.

Fragmentierung ist unausweichlich

Wir alle sind mit dem imperativen Bauen unserer Systeme aufgewachsen und haben das nie hinterfragt. Für uns ist es selbstverständlich, dass wir uns das System nach unseren Vorstellungen, Vorlieben und Notwendigkeiten (Treiber etc.) Schritt für Schritt selbst zusammenbasteln, und das wichtigste Werkzeug dafür ist der Paketmanager. Manchmal ärgern wir uns, wenn das System eines Tages nicht die gewohnte oder erwartete Funktionalität und/oder Performance liefert. Im Extremfall setzen wir die Kiste dann neu auf; das ist eben so, damit hat man sich abgefunden. Viele von uns kennen es ganz krass von Windows. Nach geraumer Zeit der Nutzung wird das System unerträglich langsam und Fehlermeldungen häufen sich, die Neuinstallation wird unumgänglich. Aber auch Linux ist von diesem Verhalten nicht frei – keineswegs. Woran liegt das eigentlich?

(1) Der "Snowflake"-Effekt Jedes Mal, wenn wir eine Veränderung des Systems vornehmen, also ein Paket installieren, die Konfiguration verändern, einen Patch laufen lassen etc., wird das System immer individueller und einzigartiger. Wie eine Schneeflocke: Unmöglich, eine solche exakt zu kopieren oder wiederherzustellen, sollte diese schmelzen. In der Informatik ist das der "Mutable State", der veränderte und veränderbare Zustand. Der tägliche Wahnsinn für Servicetechniker:innen, egal ob vor Ort oder über Hotline. Unwahrscheinlich, dass User im Dialog alle je gemachten Eingaben und Änderungen beschreiben können, um dem Fehler auf die Spur zu kommen. Oft bleibt dann eben nur, den einen ultimativen definierten (Ur-)Zustand durch Neuinstallation herzustellen.

So viel sei schon mal verraten: Es ist kein Zufall, dass DIE herausragende Weiterentwicklung von NixOS "Flakes" heißt. Und das Logo ... schaut es mal an. Wir kommen im Teil 2 drauf.

(2) Die "Dependency Hell" Die "Hölle" bricht immer los, wenn man ein Systemupdate macht. Die neue Programmversion sagt, ich benötige die Laufzeitumgebung 2.0 und den Treiber XY. Es wird also auf 2.0 und XY aktualisiert. Ein anderes Programm ist aber nur für 1.5 optimiert und schon wird es kritisch. Vielleicht doch wieder versuchen, den Ursprungszustand herzustellen? Es ist ein Teufelskreis. Je nachdem, wie gut der Paketmanager mit solchen Herausforderungen umgehen kann, kommen die Probleme früher oder später, aber sie kommen; spätestens dann, wenn die Summe der Konflikte ein kritisches Maß überschritten hat.

Systeme fragmentieren also, weil sie versuchen, die globale Ordnung in einer Welt voller widersprüchlicher Anforderungen mit vielen einzelnen imperativen Gegenmaßnahmen zu halten. So kennen wir das bei allen gängigen Betriebssystemen (und der Weltordnung, welche auch zunehmend fragiler wird).

Der Paradigmenwechsel von Nix bzw. NixOS

Wenn die Erfahrung zeigt, dass die imperative Verwaltung unausweichlich problembehaftet ist, lohnt es sich vielleicht nicht, zwanghaft am System festzuhalten, sondern das Grundsätzliche mal neu zu denken. Ein solcher Paradigmenwechsel wurde mit Nix bzw. NixOS umgesetzt. Und zwar fabelhaft – keep it simple, but not simpler than it needs to be.

[!Note] Nix ist ein Paketmanager, welcher distributions- und sogar betriebssystemübergreifend verwendet werden kann. Maximal wirksam und konsequent ist es, wenn auch die Betriebssystem-Komponenten gemäß des neuen Ansatzes verwaltet werden, daher lieber gleich NixOS.

Ich möchte versuchen, das neue Paradigma am Beispiel einer Großküche in einem Restaurant bildhaft zu erklären.

Nach einigen Monaten oder Jahren des Betriebs quellen Schränke und Lagerräume mit angeschafften Kochutensilien, Gewürzen etc. völlig über. Man hat kaum Platz zum Arbeiten und sucht ewig nach den richtigen Zutaten. Reibscheiben verschiedener Gemüsehobel liegen nebeneinander, kompatibel sind diese nicht, dauernd vergreift man sich und es klemmt; Gewürze verstecken sich hinter anderen Zutaten im Schrank, das pure Chaos. Der Betrieb läuft einfach nicht rund, es werden Fehler gemacht und alles dauert länger.

Da die Situation nicht mehr tragbar ist, wechselt man zu einem neuen Küchenchef, dem Starkoch Nixos. Was man üblicherweise alles in einer Restaurantküche parat haben sollte und wie der Zustand der Küche zu dem geworden ist, wie er sich momentan darstellt, interessiert ihn nicht die Bohne! Nixos vollzieht einen vollständigen Paradigmenwechsel und stellt auf eine rein deklarative und funktionale Systematik um. Es gibt nur eine einzige Quelle der Wahrheit und das ist die Speisekarte!

Ein NixOS-System wird deterministisch aus hauptsächlich einer zentralen Konfigurationsdatei (der configuration.nix) abgeleitet. Mit dieser Textdatei beschreibt der User deklarativ den gewünschten funktionalen Endzustand seines Systems. Und dies ist die einzige Quelle der Wahrheit. Wichtig für das Verständnis: Man baut das System nicht mehr selbst (das lässt man NixOS machen), sondern man beschreibt es nur - in einem vorgeschriebenen Syntax.

Die Speisekarte definiert somit den gesamten Zustand. Damit wird die Küche ausschließlich mit den Kochutensilien und mit den Zutaten bestückt, die zur Herstellung der beschriebenen Speisen in reproduzierbarer Qualität notwendig sind.

Über eine clevere Zuordnungsfunktion, abgebildet durch eine für jedes Gericht individuelle "Teilenummer", wird sichtbar, dass z. B. Curry von 'Speise 1' und 'Speise 2' gebraucht wird. Das Rezept wird also numerisch verschlüsselt. Wir kennen so was von Personalnummern, die sich vielleicht durch unseren Geburtstag und den Anfangsbuchstaben des Familiennamens mit aufbauen; die Nummer ist also ein Informationsträger.

Bei NixOS ist das ein kryptografischer 160-Bit-Hash, der aus allen Parametern berechnet wird, also alle Abhängigkeiten (sogar die verwendete glibc-Version oder den Compiler) einbezieht.

Wenn die Speisekarte wechselt, was dann? Die Küche wird nach den Anforderungen der neuen Karte (also der veränderten configuration.nix) konsequent umgeräumt, die Speisekarte ist die einzige Quelle der Wahrheit. Den Plan dazu liefert eben diese individuelle und eindeutige "Teilenummer" für jedes Gericht, in welcher alle Informationen (Curry …, Gemüsehobel …) als numerisch-mathematisches Rezept verschlüsselt sind.

Starkoch Nixos lässt nach dem Editieren der neuen Speisekarte eine Update-Routine über alle Nummern laufen. Wird im Ergebnis (reine, eindeutige Mathematik) dann zu manchen Zutaten und Utensilien keine Zuordnung ausgespuckt, fliegt z. B. Curry aus der Küche raus. Benötigt man hingegen noch ein spezielles Küchengerät für eine Speise, wird es angeschafft und an den Zubereitungsplatz der zugehörigen Speise gestellt.

Nix übersetzt die neue Beschreibung in seiner neuen Gesamtheit in eine präzise, maschinenlesbare Bauanleitung, die alle notwendigen Eingaben, Abhängigkeiten und Build-Schritte spezifiziert.

Nixos verlangt außerdem, dass alle Zutaten und Utensilien zur Zubereitung von 'Speise 1' gesammelt an einem definierten und abgegrenzten Zubereitungsplatz für eben diese bereitliegen. Und dieses Ordnungssystem wird grundsätzlich für alle Speisen so angewendet.

Ein zentraler Baustein zur Vermeidung von Systemfragmentierung ist der Nix-Store in unserem Verzeichnisbaum, er ist das Lager für Pakete und Konfigurationsdateien. Der User muss hier nicht (und darf auch nicht) eingreifen, das erledigt NixOS für uns. Jedes Paket und jede Systemdatei wird dort in einem eigenen, isolierten Verzeichnis gespeichert.

Und tatsächlich funktioniert die Systemgastronomie auch nach solchen Grundsätzen. Schaut euch nur die Küchen – nein, falsch – schaut euch die Gerichte von McDoof an unterschiedlichen Orten an: identisch.

Angenommen, Starkoch Nixos möchte eine weltweite Kette "McNixos" aufbauen, dann muss er allerdings berücksichtigen, dass sich die Gebäude baulich unterscheiden und noch viele andere abweichende äußerliche Rahmenbedingungen vorhanden sind. Diese Rahmenbedingungen für eine neue Filiale müssen im Lastenheft für den Bau dokumentiert und berücksichtigt werden.

Bei der Installation erfasst NixOS sehr präzise die Hardware und schreibt alle Informationen in die Datei hardware-configuration.nix. Auch diese Informationen werden mit in den Hash aufgenommen und führen beim Bau des Systems z.B. zur Installation von Treibern.

Wenn die Rahmenbedingungen bekannt sind und somit durch Maßnahmen berücksichtigt werden können, ist es möglich, die Speisekarte an jedem beliebigen Ort identisch gleich umzusetzen.

Die Quelle der Wahrheit, also die configuration.nix bestimmt auch auf einer anderen Hardware wie mit den veränderten Parametern gerechnet werden muss. Mathematisch exakt entsteht wieder das gleiche Ergebnis: ein Bit-genau identisches System wird gebaut, vollständig reproduzierbar.

Kurz zusammengefasst: Der User beschreibt, was er vorfinden möchte (configuration.nix), das Installationsprogramm klärt die Rahmenbedingungen (hardware-configuration.nix), NixOS selbst übersetzt das in eine maschinenlesbare Bauanleitung und administriert auch das System und den Nix-Store rein mathematisch und eindeutig reproduzierbar über die Hashes. All das wird durch einen einzigen Befehl des Users ausgelöst: sudo nixos-rebuild switch.

Das ist der Grundaufbau. Sofern mehrere User die gleiche Hardware nutzen (oder auch bei der üblichen Trennung zwischen Root und User) wird es für den einzelnen User noch einmal einfacher. Er beschreibt seine individuelle Wohnung in dem Nix-Haus dann nur über eine einzige Datei, der home.nix. Seht das ausschließliche Arbeiten mit der configuration.nix⁣ also nicht als Endpunkt, sondern nur als Fingerübung oder Zwischenlösung. Dazu aber erst in der nächsten Folge.

Eine Schnellstart-Anleitung

Installation

1. Graphical ISO image von https://nixos.org/download herunterladen (dazu bis zu NixOS runter scrollen)
2. ISO auf USB-Stick schreiben und von diesem booten
3. Internetverbindung herstellen
4. Dem grafischen Installer wie gewohnt folgen. Empfehlung: "allow unfree software" zulassen
5. Reboot
6. Internetverbindung herstellen

Wer es später einfacher bei der Übernahme meiner Konfiguration haben möchte, soll zunächst "nixos" als Hostname belassen.

Erste Konfigurationsschritte und Kennenlernen des Systems

[!Vorab] Man kann nichts kaputt machen. Selbst wenn man seine configuration.nix vollständig zerstört, wählt man beim Boot einfach einen vorherigen Boot-Point und man hat den alten Zustand.

Terminal öffnen und die configuration.nix im Editor (hier Nano) öffnen:

sudo nano /etc/nixos/configuration.nix

Der Aufbau der Datei sieht wie im folgenden Ausschnitt aus. Unten zwischen den zwei geschweiften Klammern ist jeweils Platz für Befehle. Hier definiere ich einmalig den Programmbereich und trage da einfach meine gewünschten Pakete ein. (Einrückungen am besten immer mit je zwei Leerzeichen, keine Tabulatoren.) NixOS hat das allergrößte(!) Repositorium, von da den richtigen Paketnamen auslesen.

{ config, pkgs, ... }:

{
  # Programme (normale Binärpakete)
  environment.systemPackages = with pkgs; [
    thunderbird          # Mailprogramm
    libreoffice-fresh    # Office-Suite (neueste Version)
    hunspell             # Rechtschreibprüfung-Engine
    hunspellDicts.de_DE  # Deutsches Wörterbuch
    mythes               # Thesaurus für LibreOffice
    languagetool         # Grammatik- und Stilprüfung
  ];

  # Firefox als NixOS-Modul (kein Eintrag in systemPackages nötig)
  programs.firefox = {
    enable = true;
    languagePacks = [ "de" ];
  };

}

Ich kann es verstehen, wenn man an dieser Stelle abbrechen möchte, weil es kompliziert aussieht. Aber bitte kurz innehalten – es ist objektiv nicht schwieriger als das Aufrufen und Bedienen eines Paketmanagers über die Kommandozeile. Für mich ist dieses Vorgehen überdies viel transparenter und einfacher nachzuvollziehen, als die Black Box eines Paketmanagers.

Speichern: STRG+O und ENTER, dann den Editor mit STRG+X verlassen.

sudo nixos-rebuild switch    # System bauen - fertig!

[!Hinweis] Warum Firefox als NixOS-Modul? Es gibt nur ganz wenige Programme, die als Modul installiert werden. Module existieren ausschließlich nur für Programme die eine tiefe Systemintegration brauchen. Und ein Browser gehört als systemimmanentes Programm dazu. Alle anderen Programme "installiert" man ganz normal als Pakete.

Deinstallieren gibt es übrigens im herkömmlichen Sinne nicht. Würde ich oben thunderbird löschen oder mit # auskommentieren, beschreibe ich ja deklarativ einen anderen gewünschten Systemzustand. Und der wird mir durch sudo nixos-rebuild switch auch wie gewünscht gebaut, also dann ohne Thunderbird.

Hat man länger nichts an der Konfiguration geändert, sollte man wenigstens gelegentlich ein Update fahren.

sudo nixos-rebuild switch --upgrade   # Turnusmäßiges Update!

Vorschläge zur Weiterarbeit

(1) Schau dir mal in Ruhe den Syntax der configuration.nix an und versuche, die Angaben und die Systematik zu verstehen. Mehr dazu auch in Teil 2. Du wirst unter anderem die Zeile i18n.defaultLocale = "de_DE.UTF-8"; sehen. Durch diese wird in allen Programmen (sofern verfügbar) die deutsche Benutzeroberfläche praktischerweise automatisch mitinstalliert (evtl. muss sie im Programm noch ausgewählt werden).

(2) Sofern bislang nicht vorhanden, hol dir einen Account bei codeberg.org und lege dort ein Repo mit dem Namen "NixOS" an. Das nutzen wir dann im Teil 2.

(3) Solltest du schon wild experimentieren oder Fragen haben: einfach Terminal-Ausgaben oder Fragen z. B. in claude.ai (Empfehlung für Linux-Themen) reinnageln … Ich bin nur ein mieser kleiner User und mache es auch so.

Quellen:

Inspiration gab mir ein Blog-Beitrag: https://joshblais.com/blog/nixos-is-the-endgame-of-distrohopping/
Offizielle Dokumentation: https://nixos.org/learn/
Titelbild und Wallpaper: https://hdqwalls.com/linux-nixos-wallpaper

Artikel der NixOS-Reihe

• NixOS - Setup-Guide, Teil 1
• NixOS - Setup-Guide, Teil 2
• NixOS - Setup-Guide, Teil 3
• NixOS - Codeberg-Kommunikation optimieren und Troubleshooting
• NixOS - Multi-User-Setup einrichten
• NixOS - Pakete aus 'unstable' einbinden und "Wegwerf-Pakete"
• NixOS - Das Multi-Host-Setup optimieren und individueller gestalten

Großflächige Linux-Updates sind angesagt: Auch wenn CVE-2026-31431 „nur“ mit CVSS 7.8 eingestuft wird, hat die Lücke aufgrund ihrer Verbreitung es in sich. Forscher von Xint konnten im cryptography-Subsystem einen Logikfehler identifizieren, der es einem einfachen Benutzer ermöglicht, eine 4-Byte-Schreibsequenz im Page Cache jeder lesbaren Datei vorzunehmen.

Der „Copy Fail“ getaufte Angriff funktioniert dabei so ähnlich wie Cache Poisoning. Da Dateien unter Linux im RAM gecached werden, um Mehrfachzugriffe auf die Festplatten zu reduzieren, kann ein Angreifer, der es schafft, diesen RAM-Inhalt zu kontrollieren, Einfluss auf Dateiinhalte nehmen. Normalerweise geht das nicht direkt, da der Kernel prüft, ob auch Schreibrechte vorliegen. In diesem Fall kann das umgangen werden.

Die Gefahr der Rechteausweitung ergibt sich durch die Manipulation von setuid-Binaries wie su oder sudo, die automatisch als root ausgeführt werden, aber deren gehärtete Logik unautorisierten Zugriffen normalerweise standhält. In diesem Fall wird aber der Inhalt der Binary durch den o. g. Cache-Angriff so manipuliert, dass die Angreifer ohne jegliche Zugriffsprüfung Root-Rechte erlangen.

Besondere Gefahr ergibt sich für Container-Umgebungen. Da zwei isolierte Container sich trotzdem denselben Kernel teilen, ermöglicht der Angriff potentiell auch Container-Breakouts.

Ein Fix liegt bereits vor, die betroffenen Kernel-Versionen reichen bis in das Jahr 2017 zurück. Das Xint-Team geht auf seiner Seite auf die genauen Details hinter dem Angriff und dem Fund ein.

Zum Formatieren der Template-Dateien von Hugo haben viele Nutzer bisher prettier-plugin-go-template verwendet. Dieses Plugin wurde aber seit einigen Jahren nicht mehr weiterentwickelt.

Der Hauptentwickler von Hugo (Bjørn Erik Pedersen aka bep) bietet mit gotmplfmt nun eine aktuelle, offizielle Alternative an.

Wer VS Code nutzt, findet die Erweiterung im offiziellen Marktplatz unter https://marketplace.visualstudio.com/items?itemName=GoHugoIO.gotmplfmt.

Wer einen anderen Editor verwendet, kann das Tool über das CLI nutzen (https://github.com/gohugoio/gotmplfmt/#usage ).

Ich habe meine Template-Dateien, welche ich bisher mit prettier-plugin-go-template formatiert habe, inzwischen mit gotmplfmt formatiert. In meinem Fall war der Unterschied ersichtlich aber nicht störend. Ich kann daher einen Umstieg aktuell nur empfehlen.

Die MZLA Technologies Corporation hat mit Thunderbird 150.0.1 ein Update für seinen Open Source E-Mail-Client veröffentlicht.

Neuerungen von Thunderbird 150.0.1

Mit Thunderbird 150.0.1 hat die MZLA Technologies Corporation ein Update für seinen Open Source E-Mail-Client veröffentlicht und behebt damit eine mögliche Absturzursache sowie Sicherheitslücken.

Der Beitrag Thunderbird 150.0.1 veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Thunderbird steht nicht mehr nur für einen E-Mail-Client. Mit Thunderbird Pro steht ein kostenpflichtiges Zusatzangebot in den Startlöchern. Der Fokus liegt derzeit auf dem neuen E-Mail-Dienst Thundermail. Die ersten Beta-Einladungen sollen bald verschickt werden.

Thunderbird ist vor allem für seinen kostenlosen E-Mail-Client für Windows, macOS und Linux bekannt. Seit November 2024 gibt es Thunderbird auch für Android, Thunderbird für iOS ist in Entwicklung. Doch dabei soll es nicht bleiben: Die MZLA Technologies Corporation möchte ein Ökosystem aus Clients und Diensten als Alternative zu denen der Tech-Giganten wie Google Mail und Microsoft Office 365 etablieren, welches zu 100 Prozent Open Source ist. Im November hatte ich eine erste Vorschau auf den Funktionsumfang der drei neuen Dienste Thundermail, Thunderbird Send sowie Thunderbird Appointment gegeben.

Die Auswertung des Nutzerfeedbacks hat ein klares Bild dahingehend ergeben, dass sich die meisten Nutzer vor allem für den E-Mail-Dienst Thundermail interessieren. Dementsprechend hat MZLA die Entwicklung von Thundermail priorisiert. Auch Thunderbird Send und Thunderbird Appointment werden weiterhin entwickelt, müssen in der Priorisierung derzeit aber etwas hinten anstehen. Fortschritte gibt es aber bei allen drei Diensten, auf die MZLA in seinem Blog näher eingeht.

Auch am anfänglichen Preis möchte man Anpassungen vornehmen, um besser den Erwartungen der Nutzer zu entsprechen, geht in diesem Punkt aber nicht weiter ins Detail. Zuletzt war von 9 USD im Monat zu lesen, aktuell zeigt die Website keinen Preis mehr an. Vermutlich deutet die Aussage auf einen niedrigeren Preis als ursprünglich geplant hin.

Im Mai sollen die ersten Beta-Einladungen für Nutzer verschickt werden, welche sich auf die Warteliste haben setzen lassen.

Der Beitrag Thunderbird Pro: Fokus auf E-Mail-Dienst Thundermail, Beta-Start steht bevor erschien zuerst auf soeren-hentzschel.at.

Mozilla hat Firefox 150.0.1 veröffentlicht und behebt damit mehrere Probleme der Vorgängerversion. Außerdem wurden zahlreiche Sicherheitslücken geschlossen.

Download Mozilla Firefox 150.0.1

Mit Firefox 150.0.1 behebt Mozilla zahlreiche Sicherheitslücken. Alleine aus Gründen der Sicherheit ist ein Update daher für alle Nutzer empfohlen.

Diverse Verbesserungen in Zusammenhang mit dem KI-Feature Smart Window wurden vorgenommen, für dessen Beta-Version erste Nutzer von Firefox 150 eingeladen worden sind.

Das Schreiben in die Dateien profiles.ini und installs.ini wurde sicherer gemacht, um Profilverluste durch defekte Einträge zu verhindern.

Tabs konnten nicht zu geschlossenen Tab-Gruppen hinzugefügt werden, wenn diese vor Firefox 149 erstellt worden sind.

Ein Problem wurde behoben, welches für Nutzer der Sicherheits-Software von Bitdefender dafür sorgte, dass Facebook und andere Websites nicht mehr geladen werden konnte.

Es wurde ein Problem behoben, bei dem Firefox den System-Berechtigungsdialog bei einem zweiten Versuch erneut anzeigte, wenn die Abfrage zur Geolokalisierungs-Berechtigung abgelehnt wurde.

Wurden Websites als Web-App geöffnet, konnte die Adressleiste unter Umständen zu kurz dargestellt werden.

Der Abschnitt „Firefox Labs” in den Einstellungen von Firefox zeigte nach dem ersten Start unter Windows möglicherweise keine Einträge an.

Darüber hinaus wurden eine Performance-Regression und mehrere Webkompatibilitäts-Probleme behoben.

Der Beitrag Mozilla veröffentlicht Sicherheits-Update Firefox 150.0.1 erschien zuerst auf soeren-hentzschel.at.