staging.inyokaproject.org

Wenn es um proprietäre und freie Software (im öffentlichen Dienst) geht, wird gerne ein Schwarz-Weiß-Bild gezeichnet. Dort der böse proprietäre Monopolist, der immer die Preise erhöht, hier die bessere und günstigere freie Software. Die Realität ist aber nicht schwarz-weiß, sondern grau.

Denn wenn Regierungen die Förderung von Open Source oder gar ein striktes Open Source-Mandat in ihr Programm schreiben und durchzusetzen versuchen, stoßen sie auf komplexere Realitäten, als es die einseitige Verengung auf Microsoft vs. Linux vermuten lässt. Ein Beispiel:

Eine Behörde setzt seit vielen Jahren auf eine proprietäre Software. Diese funktioniert anerkanntermaßen recht gut und wird von einem kleinen Softwarehaus in Deutschland ständig weiterentwickelt. Die Software ist eine eierlegende Wollmilchsau. Das Lizenzmodell ist die früher durchaus übliche Kombination aus Lizenzerwerb und Servicevertrag. Durchaus keine billige Kombination, die Marge der Firma ist nicht bekannt. Die Software läuft auf Servern in den Behörden. Beim lokalen Betrieb sind einige Varianten möglich, aber man kann die Leitplanken der Firma nicht durchbrechen. Bei Problemen steht der Service der Firma zur Verfügung. Die Software unterstützt die einschlägigen Standards und offenen Schnittstellen, ist aber ansonsten natürlich nicht offen. Sollte die Firma eines Tages nicht mehr existieren, stünde die Behörde ziemlich im Regen, aber dank offener Schnittstellen könnten die Daten jederzeit exportiert werden. Natürlich mit den üblichen Reibungsverlusten einer Migration.

Für den gleichen Zweck gibt es eine Freie-Software-Suite. Diese ist historisch gewachsen und die Qualität auch entsprechend. Es gibt bessere und schlechtere Module und viele Behörden nutzen nur einige Module und verwenden für den Rest andere Software, die sich anbinden lässt. Aber das weiß man natürlich nur, weil man in den Code schauen kann. Die Entwicklung findet über einen Verein statt, in dem die Mitgliedschaft quasi Pflicht ist. Damit verbunden sind Mitgliedsbeiträge und eine verpflichtende finanzielle Beteiligung an der Weiterentwicklung. Das ist natürlich keine rechtliche Verpflichtung, aber ohne diese ist man in gewisser Weise von der Community und den Dienstleistern abgeschnitten. Da es sich um freie Software handelt, sind den Anpassungen kaum Grenzen gesetzt. Je mehr Anpassungen, desto höher natürlich der Wartungsaufwand. Aber auch der Basisbetrieb ist nicht trivial. Dies führt in vielen Verwaltungen, die diese Software einsetzen, zu einem massiven Einsatz von Dienstleistern für die Ersteinrichtung und größere Updates. Aus diesem Grund haben sich einige Dienstleistungsunternehmen auf Serviceangebote für diese Software spezialisiert. Teilweise haben diese noch Beratungsleistungen im Portfolio und helfen bei der Evaluierung und Ausschreibung der Dienstleistung auf die sie sich dann selbst bewerben. Ohne diese Dienstleister wären die Behörden nicht in der Lage, die Software langfristig zu betreiben.

Die Kosten für beide Systeme sind in etwa gleich. Im Einzelfall kann die eine oder andere Lösung günstiger sein. Bei der einen Software sind es Lizenzen und Wartungsvertrag, bei der anderen Dienstleister, Mitgliedsbeiträge und Weiterentwicklung. Hinzu kommen der Betrieb der Server in den Verwaltungen und deren Wartung durch Systemadministratoren. Eine Migration ist natürlich immer mit spezifischen Migrationskosten verbunden.

Eine Migration zwischen beiden Systemen ist in beide Richtungen möglich, aber extrem aufwändig und beeinträchtigt die tägliche Arbeit und die Gestaltungsmöglichkeiten der Behörde während der Migrationsphase.

Dies ist ein reales Beispiel. Ich behaupte, dass die meisten proprietären Lösungen in Behörden in diese Kategorie fallen und keine Microsoft-Apple-Google-Produkte sind. Solche Beispiele habe ich im Kopf, wenn ich über proprietäre Lösungen und Open-Source-Software im öffentlichen Dienst schreibe.

Ist es hier sinnvoll, von einem System auf das andere umzusteigen, nur weil eine Koalition sich freie Software in den Koalitionsvertrag geschrieben hat? Was hat der Kunde, der Bürger davon?

Die Realität ist eben grau.

Ungefähr einmal im Jahr sind die Lizenzkosten von Microsoft in gewissen Kreisen ein Thema. Über 200 Millionen zahlt der Bund mittlerweile für seine IT. Wow! Klickzahlen-Garant! Leider auch immer wieder ein Ereignis, bei dem die Community tief blicken lässt.

Es gab eine Zeit, da wollte man überzeugen. Man wollte gleichwertige Produkte präsentieren, Alternativen aufzeigen, bessere Wege gehen. Davon ist man längst abgekommen. Denn das würde eine argumentative Anerkennung der Realität bedeuten, zu der sich viele in der Linux-Gemeinde offenbar nicht mehr durchringen können. Stattdessen bringt man andauernd das Geld-Argument. Mal populistisch, mal in Form von „Public Money, public Code“.

Das ist in gewisser Weise logisch. Denn ohne eine gemeinsame Faktenbasis ist eine Diskussion nur schwer möglich. Liebevoll gepflegte und durch ständige Wiederholung tief verankerte Narrative in der Open-Source-Community haben längst einen Fundus an alternativen Wahrheiten entstehen lassen. Gespickt mit den üblichen Methoden des Populismus und Verschwörungsglaubens, die auch sonst in vielen gesellschaftlichen Bereichen anschlussfähig sind. Manche werden das jetzt wieder übertrieben finden, aber ich glaube, es sind die gleichen Muster.

In bester AfD-Manier wird davon geschwafelt, dass die Regierung den Willen des Vokes missachtet – wir sind das Volk, natürlich bei auch bei ~5% Marktanteil für Linux. Es hätte doch alles anders kommen können, wenn LiMux nicht durch fiese Sabotage zerstört worden wäre. Es gibt gar keine objektiven Gründe, die für Microsoft-Produkte sprechen könnten, Open Source ist bereits perfekt und deshalb können nur dunkle Mächte den Siegeszug verhindern. Diese dummen Bürokraten schieben doch sowieso nur Word-Fenster durch die Gegend. Billiger wäre Open-Source in jedem Fall auch. Ist ja alles kostenlos. Natürlich kann die Bundes-IT mit Schwäbisch Hall vergleichen werden. Und Schleswig-Holstein erst. Dataport! Der Einsatz von Microsoft ist übrigens illegal. Schon gewusst. Sagt sogar… wer eigentlich?

Es ist schon beeindruckend, wie manche Journalisten und Kommentatoren Jahr für Jahr die gleichen Inhalte schreiben. Frei nach dem Motto: Verschone mich mit Fakten, ich habe mir meine Meinung schon gebildet.

Die Untiefen des Vergaberechts, Besoldungstabellen, Anforderungen, föderale Zuständigkeiten, Bundes- und Landesbehörden, Dienstleistungsverträge und Zertifizierungen – um nur einige Schlagworte zu nennen – sind scheinbar zu viel Inhalt. Da schreibt man lieber jedes Jahr den gleichen Text.

Die Meldung über 209 Millionen Lizenzkosten für Microsoft-Produkte ist kein Offenbarungseid für den Bund, die Meldungen und Kommentare darunter sind ein Offenbarungseid für die diskursive Anschlussfähigkeit von Teilen der Open-Source-Community.

Im Grunde genommen hat sich nichts geändert. Wer sich für das Thema interessiert, dem seien die drei folgenden Artikel empfohlen, in denen ich mich damit etwas ausführlicher beschäftigt habe:

• Der Staat und Open Source Software
• Staat und Open Source – Diese Woche Schleswig-Holstein
• LiMux – Ewige Phantomschmerzen?

Mo, 22. Mai 2023, Lioh Möller

Vor kurzem kam ich in die Verlegenheit, Windows auf einem Laptop zu installieren. Grund dafür war, dass der Trackpoint auf einem Lenovo Thinkpad T470s nicht funktionierte. Wer die Laptops von Lenovo kennt, wird die Vorzüge eines Trackpoints im Vergleich zu einem Touchpad möglicherweise auch schätzen. Es handelt sich dabei um einen kleinen roten Knubbel in der Mitte der Tastatur und zwei (im besten Falle) Hardwaretasten darunter. Damit lässt sich der Mauszeiger sehr präzise steuern. Ältere Modelle wie das X60 verfügten sogar nur über einen Trackpoint und kein Touchpad.

Seit einiger Zeit machen diese Trackpoints bei unterschiedlichen Thinkpad-Modellen unter Linux jedoch immer wieder Schwierigkeiten, so auch der in dem meinem Modell verbaute.

Mithilfe von modprobe psmouse proto=bare konnte ich die dazu zu bewegen zu reagieren, der Trackpoint jedoch machte weiterhin keinen Mucks.

Um sicherzugehen, dass es sich nicht um einen Hardwaredefekt handelt, sollte also Windows mit den offiziellen Treibern auf das Gerät gespielt werden. Leider ist die Erstellung eines bootfähigen USB-Sticks unter Linux nicht trivial. Glücklicherweise bin ich auf des Projekt WoeUSB gestossen.

Unter Ubuntu steht ein PPA zur einfachen Installation bereit, welches sich wie folgt aktivieren lässt

sudo add-apt-repository ppa:tomtomtom/woeusb
sudo apt update

Die Software inklusive eines kleinen grafischen Frontends lässt sich daraufhin mit dem Paketmanager einspielen:

sudo apt install woeusb woeusb-frontend-wxgtk

Nach dem Start präsentiert sich die Oberfläche aufgeräumt und man kann lediglich das ISO Abbild oder DVD-Laufwerk, das Dateisystem und das Zielgerät auswählen.

Nach einigen Minuten war das Image bereits übertragen und ich konnte Windows auf dem Gerät installieren.

Quelle: https://github.com/WoeUSB/WoeUSB

Spoiler Alert: auch unter Windows funktionierte der Trackpoint nicht.

---

GNU/Linux.ch ist ein Community-Projekt. Bei uns kannst du nicht nur mitlesen, sondern auch selbst aktiv werden. Wir freuen uns, wenn du mit uns über die Artikel in unseren Chat-Gruppen oder im Fediverse diskutierst. Auch du selbst kannst Autor werden. Reiche uns deinen Artikelvorschlag über das Formular auf unserer Webseite ein.

Es geistern mehrere Lösungen rum, die netdata mit basic auth und nginx abzusichern.

Es geht aber auch mit einer reinen Apache Lösung, die auch in der Doku von netdata beschrieben ist.

Hier meine Gedächtnisstütze.

ich verwende ISPconfig, entsprechend sind hier die notwendigen Einträge bei der Website in der Config.

Apache Direktiven:

  RewriteEngine on
  RewriteRule ^/\.well-known/carddav /nextcloud/remote.php/dav [R=301,L]
  RewriteRule ^/\.well-known/caldav /nextcloud/remote.php/dav [R=301,L]
  RewriteRule ^/\.well-known/webfinger /nextcloud/index.php/.well-known/webfinger [R=301,L]
  RewriteRule ^/\.well-known/nodeinfo /nextcloud/index.php/.well-known/nodeinfo [R=301,L]

    
      Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
    

    
        Require all granted
    

    # Local Netdata server accessed with '/netdata/', at localhost:19999
    ProxyPass "/netdata/" "http://localhost:19999/" connectiontimeout=5 timeout=30 keepalive=on
    #ProxyPass "/netdata/" "unix:/var/run/netdata/netdata.sock|http://localhost:19999/" connectiontimeout=5 timeout=30 keepalive=on


If
    ProxyPassReverse "/" "http://localhost:19999/"
    # if the user did not give the trailing /, add it
    # for HTTP (if the virtualhost is HTTP, use this)
    RewriteRule ^/netdata$ http://%{HTTP_HOST}/netdata/ [L,R=301]
    # for HTTPS (if the virtualhost is HTTPS, use this)
    #RewriteRule ^/netdata$ https://%{HTTP_HOST}/netdata/ [L,R=301]
    # add a  section
    
        AuthType Basic
        AuthName "Protected site"
        AuthUserFile /etc/apache2/.htpasswd
        Require valid-user
        Order deny,allow
        Allow from all
    

Damit ist Let's Encrypt frei Haus, da die Hauptdomain bereits ssl enabled ist.

Jetzt nicht vergessen, mit

htpasswd -c /etc/apache2/.htpasswd monitoruser

einen user für die "basic auth" anzulegen.

und dann kann in   /etc/netdata/netdata.conf bind auf localhost gestellt werden.

... und die vorhandende Firewall Freischaltung für Port 19999 kann dann auch gleich raus. Denn die Kommunikation damit findet nur jetzt nur lokal statt.

Es gibt ja viele verschiedene Tools, mit denen man Diagramme erstellen kann. Zuletzt setzte ich vor allem auf draw.io.

Praktisch an drawio finde ich, dass das grafische Tool recht einfach zu bedienen ist und damit beziehe ich mich vor allem darauf, wie gut die gleichen Abstände zwischen den Elementen eines Diagramms abbildbar sind.

Viel lieber hätte ich allerdings ein Tool, womit ich die Diagramme als Code definieren kann. Hierzu bin ich neulich auf mermaid.js gestoßen.

Mermaid.js hat diverse Diagrammtypen, die verwendet werden können. Darunter Flowcharts, Gantt Charts oder Pie Chart. Persönlich finde ich Git Graph nützlich, Mindmaps, sowie Timeline. Die ganze Liste findet sich in der Dokumentation.

Besonders praktisch ist es vor allem, wenn man sich die Integrationen anschaut und genau dabei bin ich auch auf Mermaid gestoßen: Durch die Ablage der Dateien in GitLab oder auch GitHub, wird es direkt im Browser angezeigt. Das beinhaltet auch die Nutzung und Darstellung in Issues.

Beispiel-Code für die Darstellung von GitLab Flow:

%%{init: { 'logLevel': 'debug', 'theme': 'base', 'gitGraph': {'showBranches': true, 'showCommitLabel':true,'mainBranchName': 'production'}} }%%
gitGraph
    commit
    commit
    branch main
    commit
    commit
    branch feature/foobar
    commit
    commit
    checkout main
    merge feature/foobar
    checkout production
    merge main

Der Output:

Damit man aber nicht mühselig die Dokumentation lesen muss, existiert auch noch ein Editor im Browser unter mermaid.live. Dort kann man dann auch viel einfacher die Diagramme erstellen und dort hin rüberkopieren, wo man diese braucht.

Vielleicht hilft es ja der ein oder anderen Person!

Mozilla hat weitere Investitionen in junge Unternehmen über seinen Risikokapitalfonds Mozilla Ventures bekannt gegeben.

Das ist Mozilla Ventures

Mozilla Ventures ist ein anfänglich mit 35 Millionen USD ausgestatteter Risikokapitalfonds, über welchen Mozilla in Startups investiert, welche das Internet und die Tech-Industrie in eine bessere Richtung bringen. Neben heylogin, einem Passwort-Manager aus Deutschland, waren bereits zwei weitere Investitionen bekannt. Secure AI Labs entwickelt Sicherheits- und KI-Technologie zum Schutz von Patientendaten. Block Party entwickelt eine App, welche es Menschen ermöglicht, die regelmäßig belästigt werden, sich sicher an öffentlichen Konversationen in sozialen Medien zu beteiligen.

Mozilla Ventures investiert in Rodeo

Nun hat Mozilla die Investition in weitere Unternehmen via Mozilla Ventures bekannt gegeben. Der Schwerpunkt der Ankündigung dreht sich um die Investition in Rodeo. Dabei handelt es sich um eine App aus Großbritannien, welche das sogenannte Gigwork-Ökosystem für die Beschäftigten transparenter machen soll. Unter Gigwork versteht man das Arbeitskonzept, bei dem man kleine, zeitlich befristete Aufträge, sogenannte „Gigs“, erhält, welche über eine Onlineplattform vermittelt werden. Ein bekanntes Beispiel dafür sind Lieferdienste. So soll Rodeo beispielsweise bereits von über 10.000 Lieferfahrern von Deliveroo, Uber Eats und Just Eat genutzt werden. Der Sektor wächst rasant, weltweit soll es über eine Milliarde „Gigworker“ geben.

Rodeo hilft den Beschäftigten, auf ihre Daten zuzugreifen und sie zu kontrollieren, und bietet wichtige Einblicke, wie z. B. den Verdienst im Laufe der Zeit und die Lohnsätze auf verschiedenen Gig-Plattformen. Die App ermöglicht es außerdem, mit anderen Gigworkern zu chatten und wertvolle Erfahrungen und Tipps auszutauschen.

Weitere Investitionen in KI-Unternehmen

Neben den bereits oben erwähnten Startups erwähnt Mozilla am Ende der Ankündigung noch zwei weitere Unternehmen, in welche Mozilla Ventures investiert hat, von denen dies bislang noch nicht bekannt war: Lelapa AI sowie Themis AI.

Lelapa AI beschreibt sich selbst als ein auf Afrika ausgerichtetes Forschungs- und Produktlabor für Künstliche Intelligenz, das sich auf die Weisheit ressourceneffizienter Technologie stützt. Themis AI ermöglicht nach eigenen Angaben vertrauenswürdige KI in Hochrisikoszenarien, bei seltenen Ereignissen und überall dort, wo Ungleichgewichte und Verzerrungen in den Trainingsdaten gefunden werden können, durch eine Technologie, die von hochrangigen MIT-Alumni und Professoren entwickelt wurde.

Dabei handelt es sich um die nächsten Investitionen in den Bereich Künstlicher Intelligenz (KI), nachdem im März mit Mozilla.ai die Gründung eines weiteren neuen Tochterunternehmens von Mozilla bekannt gegeben worden war, welches mit einem Anfangs-Budget von 30 Millionen USD ausgestattet wurde und worüber ein vertrauenswürdiges, unabhängiges sowie quelloffenes KI-Ökosystem aufgebaut werden soll. Anfang dieses Monats wurde dann die Übernahme von Fakespot angekündigt, einem KI-Unternehmen, welches vor gefälschten Bewertungen beim Online-Shopping schützen möchte.

Noch mehr Investitionen von Mozilla

Von Mozilla bisher selbst noch nirgends kommuniziert ist die bereits im Februar über Mozilla Ventures erfolgte Investition in Webacy, einer Krypto-Wallet-Sicherheitsschicht, sowie eine Investition im April in Lockr, den Entwickler eines E-Mail-Verwaltungssystems für die Organisation und den Schutz elektronischer Post.

Mozilla investiert derzeit aber nicht nur über Mozilla Ventures und mozilla.ai. Unabhängig von diesen neuen Organisationen hat Mozilla im März bekannt gegeben, Hauptinvestor der Mastodon-App Mammoth zu sein. Bereits im Dezember wurde bekannt, dass Mozilla sowohl Active Replica, welche maßgeschneiderte Lösungen für virtuelle Räume und Ereignisse für Mozilla Hubs anbieten, vollständig übernommen hat, als auch Pulse, ein Unternehmen für maschinelles Lernen.

Der Beitrag Mozilla Ventures gibt weitere Investitionen bekannt erschien zuerst auf soeren-hentzschel.at.

Fr, 19. Mai 2023, Lioh Möller

Heute geht es weiter mit dem 2. Teil zum Thema Distrobau. In Teil 1 habe ich bereits die Ausgangslage erklärt. Es ging darum, eine gut funktionierende Distribution für mein altes Netbook zu finden. Das Gerät verfügt über einen 64-Bit Atom Prozessor und 2 GB RAM.

Die Displayauflösung beträgt 1024x600. Zunächst habe ich versucht, Distributionen zu finden, die darauf lauffähig sind. Meine Wahl fiel als Erstes auf ein BusyBox-basierendes System. In die engere Wahl kam 4MLinux. Dabei handelt es sich eine leichtgewichtige Distribution mit guter Software-Vorauswahl. Als Windowmanager kommt JWM zum Einsatz. Die Lösung läuft flüssig und zuverlässig. Mich hat lediglich gestört, dass man dauerhaft mit Root-Rechten arbeitet und dass es keinen Paketmanager gibt. Aktualisierungen sind zwar möglich, dabei wird aber das gesamte Grundsystem ausgetauscht und einige persönliche Anpassungen gehen verloren.

Da mir BusyBox sehr gut gefiel, habe ich mir Alpine Linux näher angeschaut. Tatsächlich lief die Distribution weniger schnell als erhofft und eine Installation gestaltet sich insbesondere dann als sehr aufwendig, wenn man nicht auf ein vorgefertigtes Desktop-Profil zurückgreift. Aktuell stehen Setups für GNOME, Plasma und Xfce zur Verfügung. Bei der Nutzung von Alpine ist mir sehr schnell aufgefallen, dass der Browser Firefox eher ungeeignet ist für diese Geräteklasse, also mussten auch hier Alternativen her. Dabei bin ich auf Falkon gestossen, den ich schon unter dem Namen QupZilla kannte. Mit kleineren Anpassungen lässt sich der Browser sehr gut nutzen und stellt alle von mir besuchten Webseiten sauber dar.

Ich hatte ja, wie im ersten Teil beschrieben, die Broadcom WLAN-Karte durch ein Modell mit Atheros Chipsatz getauscht und so konnte ich mir Trisquel GNU/Linux ebenfalls ansehen. Ich habe mich für die Trisquel Mini mit LXDE Desktop entschieden, und dieser gefiel mir grundsätzlich sehr gut. An Trisquel gefiel mir allerdings die vergleichsweise alte Softwareauswahl nicht. In diesem Zusammenhang habe ich mich an Kanotix erinnert und siehe da, das Projekt ist zwar nicht mehr wirklich aktiv, es stellt aber eine Variante für Eee PCs bereit. Auch diese kommt mit dem LXDE Desktop daher, wird allerdings nur als 32-Bit Version angeboten.

Die Vorkonfiguration ist sehr ausgewogen und bis auf ein paar Kleinigkeiten, wie der nicht vollständig konfigurierte Keyring Support lief es sehr gut. Die Softwareauswahl ist standardmässig eher klein und so musste ich einiges nachinstallieren.

Alternativ ist mir Q4OS bekannt, diese Distribution haben wir lange Zeit bei Faircomputer eingesetzt, einem Projekt, bei dem wir alte Laptops aufbereitet haben und an Schüler:innen verschenkt haben.

Zusammenfassend kann man sagen: Ich mochte die Softwareauswahl von 4MLinux und den LXDE Desktop. Ich benötige dennoch ein möglichst aktuelles System und da ich Debian GNU/Linux mag, kam für mich der Entwicklerzweig Sid infrage. Ich wünsche mir ein System, dass eine gute Auswahl an Software mitbringt und zum Entdecken einlädt. Diese sollte auch auf Hardware wie meinem Netbook lauffähig sein. Doch dazu im nächsten Teil mehr.

Bildquelle: https://michaelminn.com/linux/eeepc/

PS: Wer unseren Podcast von dieser Woche gehört hat, weiss möglicherweise schon mehr ;)

---

GNU/Linux.ch ist ein Community-Projekt. Bei uns kannst du nicht nur mitlesen, sondern auch selbst aktiv werden. Wir freuen uns, wenn du mit uns über die Artikel in unseren Chat-Gruppen oder im Fediverse diskutierst. Auch du selbst kannst Autor werden. Reiche uns deinen Artikelvorschlag über das Formular auf unserer Webseite ein.

Diese Nachricht ist insbesondere für alle Testing-Nutzer von Bedeutung: Arch Linux wird die Repositories umstellen, die für den Bezug der Testing-Pakete erforderlich sind.

Hintergrund ist die Migration von SVN auf Git in der Infrastruktur von Arch Linux. Dazu werden von Freitag, dem 19. Mai 2023 bis Sonntag, dem 21. Mai 2023 die Repositories eingefroren - das Arch Linux Packaging Team wird in der Zeit keine neuen Pakete bereitstellen können. Durch die Umstellung werden der SVN-Zugriff sowie der svn2git-Mirror obsolet.

Nach der Umstellung werden die Testing- und Staging-Repositories aufgespaltet und das Community-Repository aufgelöst:

• [testing] wird aufgeteilt in [core-testing] und [extra-testing]
• [staging] wird aufgeteilt in [core-staging] und [extra-staging]
• [community] wird in [extra] überführt

Nutzer von Arch Linux müssen auf die Änderungen folgendermaßen ab Montag, dem 22. Mai 2023 reagieren:

• (Optional) für alle Nutzer: in der /etc/pacman.conf kann der [community]-Abschnitt entfernt werden.
• Für Testing-Nutzer: in der /etc/pacman.conf müssen der Abschnitt für [testing] entfernt und zwei neue für [core-testing] und [extra-testing] hinzugefügt werden. Das gleiche muss, wenn eingesetzt, für das Staging-Repository unternommen werden.

Wer als Nutzer von Arch Linux keine Testing-Repositories einsetzt, muss kurzfristig auch nichts unternehmen, da das Extra-Repository nun auch alle Pakete des Community-Repositories führt. In einer Übergangsphase werden die drei nun aufgelösten Repositories (community, testing, staging) leer ausgeliefert. Mittelfristig sollten diese Repositories aber aus der /etc/pacman.conf entfernt werden, um Fehler zu vermeiden, wenn die Bereitstellung endet.

Weitere Inforamtionen zur Umstellung sind in der Mitteilung von Arch Linux vom 15. Mai 2023 zu finden.

Mozilla hat seine Entwickler-Dokumentation MDN Web Docs um eine sogenannte Baseline-Bewertung für Webkompatibilität ergänzt.

Für sehr viele Webentwickler stellen die MDN Web Docs eine wichtige Anlaufstelle dar, wenn es um die Dokumentation von Webtechnologie geht.

Die Webplattform entwickelt sich in einem rasanten Tempo weiter. Dies macht es für Entwickler mitunter schwer, mit all den Entwicklungen Schritt zu halten. Auch fehlt es an einer gemeinsamen Sprache, um über Funktionen zu sprechen, welche für die allgemeine Nutzung im Web verfügbar sind. Aus diesem Grund wurde Baseline eingeführt.

Statt sich durch Kompatibilitätstabellen zu lesen, welche es in den MDN Web Docs auch weiterhin geben wird, erscheint direkt am Anfang der Dokumentation eines Web-Features nun eine Baseline-Bewertung, welche entweder grün oder gelb ist. Grün bedeutet, dass diese Funktion in den zwei letzten Major-Releases von Firefox, Chrome, Edge und Safari unterstützt wird. Gelb bedeutet, dass das Feature noch nicht in der Baseline ist, hier also Vorsicht bei der Verwendung geboten ist. Die Baseline-Bewertung ist bereits auf einigen Seiten der Dokumentation zu finden. Im Laufe der kommenden Monate sollen alle Web-Features eine Baseline-Bewertung erhalten.

Bild: Baseline-Bewertung in den MDN Web Docs

Google, welche Baseline ebenfalls als Teil von web.dev nutzen werden, hat darüber hinaus angekündigt, dass es neben dieser sich ständig bewegenden Baseline-Bewertung auch hilfreich sein kann, über ein bestimmtes Featureset zu einem bestimmten Zeitpunkt sprechen zu können, weswegen auch ein jährliches Baseline-Set veröffentlicht werden wird. So soll im Laufe des Jahres die Baseline 2024 angekündigt werden, damit Entwickler dies für die Umsetzung ihrer Projekte als Ziel anvisieren können.

Bild: Baseline-Bewertung auf web.dev von Google

Der Beitrag MDN führt Baseline-Bewertung für Webkompatibilität ein erschien zuerst auf soeren-hentzschel.at.

Di, 16. Mai 2023, Lioh Möller

Eigentlich wollte ich gar keine Distro bauen. Meine letzten Erfahrungen in diesem Bereich liegen doch schon eine Weile zurück. Die älteren Semester unter euch erinnern sich vielleicht noch an easys GNU/Linux. Die letzte Veröffentlichung der Slackware basierten Distribution mit dem eigens dafür entwickelten grafischen Installer auf Qt-Basis liegt schon eine Weile zurück (29.09.2008). Herunterladen können Retro-Fans die ISOs danke des ArchiveOS Projektes immer noch und kürzlich habe ich getestet, ob diese noch in VirtualBox laufen würden: siehe da, es läuft immer noch.

Meine Erfahrungen aus dieser Zeit rieten mir, solch ein Projekt nicht nochmals zu starten. Wir hatten zwar ein kleines Team von 4 Entwicklern, dennoch bedeutet solch ein Projekt viel Arbeit, insbesondere wenn man selbst Software beisteuert. Neben dem Installationsprogramm gehörte unter anderem ein Partitionierungswerkzeug ähnlich wie GParted und eine grafische Paketverwaltung, beide ebenfalls auf Qt-Basis, zum Umfang.

Auch die Community zu pflegen, bedeutet Zeitaufwand. Da wir sehr treue Nutzer hatten, wollten wir diese natürlich nicht enttäuschen.

Als Resultat daraus ist letztendlich der LinuxKurs entstanden, in dem wir interessierten das Original Slackware von Grunde auf näher bringen. Dafür halt keine eigene Distro mehr.

Nun kam es aber doch anders. Der Grund dafür ist, dass ich ein altes Asus Eee PC Netbook (Typ 1015PW) wieder zum Fliegen bekommen wollte. Ich liebe alte Hardware, insbesondere dann, wenn sich sonst nicht mehr viele Menschen dafür interessieren.

Der verbaute Intel Atom N570 Prozessor ist bereits 64Bit-fähig, denn 32Bit Hardware tue selbst ich mir nicht mehr an ;)

Das Gerät ist mit einem 2 GB Riegel RAM befüttert. Ein weiterer Slot existiert nicht. Grössere Riegel werden ebenfalls nicht unterstützt.

Die verbaute Broadcom WLAN Karte ist ausserdem dafür bekannt, unter Linux nur schlecht und ausserdem nur mit unfreien Treibern zu laufen. Dafür stehen mit der 320 GB HDD genug Blöcke für Daten zur Verfügung.

Da es mir darauf nicht so sehr ankommt wie auf Geschwindigkeit, musste die HDD einer kleineren SSD weichen, die es heute bereits für CHF 14 für 128 GB zu kaufen gibt. Ergänzt habe ich die Investition mit einem Atheros Mini-PCI WLAN-Adapter, der ohne Binary Blobs auskommt.

Die Aufrüstung der Hardware stellt bei den Plastebombern eine besondere Herausforderung dar. Wer besseres gewöhnt ist, wie beispielsweise von Thinkpads, dem stellen sich dabei die Nackenhaare auf. Alles Plastikclips, die vorsichtig gelöst werden müssen, damit sie nicht abbrechen.

Mir ist es mit viel Geduld dann doch gelungen und das Gerät startete wieder.

Netbooks wie dieses haben oftmals ein gering auflösendes Display, wie auch dieses mit 1024 x 600 Pixeln. Da darf die Desktopumgebung nicht allzu viel Platz einnehmen, um noch einigermassen sinnvoll etwas damit anfangen zu können.

Da ich gerne Linux auf dem Netbook nutzen möchte, ging es als nächste zur Distrowahl. Doch dazu mehr im nächsten Teil.

---

GNU/Linux.ch ist ein Community-Projekt. Bei uns kannst du nicht nur mitlesen, sondern auch selbst aktiv werden. Wir freuen uns, wenn du mit uns über die Artikel in unseren Chat-Gruppen oder im Fediverse diskutierst. Auch du selbst kannst Autor werden. Reiche uns deinen Artikelvorschlag über das Formular auf unserer Webseite ein.

Mo, 15. Mai 2023, Lioh Möller

Im Mai Update hat der Hard- und Softwarehersteller System76 eine Vielzahl an Neuerungen bekannt gegeben. Diese betreffen einerseits den hauseigenen Scheduler, der Hardwareressourcen vorrangig Anwendungen, welche im Vordergrund laufen, zur Verfügung stellt. Dies macht sich beispielsweise bei Spielen bemerkbar, welche andernfalls bei im Hintergrund laufenden Applikationen weniger performant spielbar wären.

Die vorliegende Version 2.0 des Schedulers ermöglicht eine detaillierte Parametrisierung. Die Pipewire Integration sorgt dafür, dass eine Audio-Ausgabe als realtime Prozess möglich ist. Dies sorgt dafür, dass weniger Wiedergabeunterbrüche entstehen, sofern die Applikation, welche Audio ausgibt, im Hintergrund läuft.

Auch der Scheduler Prozess selbst wurde optimiert und verbraucht nun 75 % weniger Ressourcen unter anderem durch die Vermeidung von UTF-8-String-Prüfungen, sofern dies nicht erforderlich ist.

Die neu entwickelte Rust-basierte Desktopoberfläche, welche in kommenden Versionen der pop!_os Distribution zum Einsatz kommen soll, wurde weiter entwickelt. So unterstützt das Panel jetzt Applets über die sich die Funktionalität erweitern lässt. Dazu gehören Applets wie ein Arbeitsflächen-Wechsler, ein Batteriestands-Monitor, eine WLAN- Bluetooth-Verwaltung, oder eine Mediensteuerung. In Zukunft soll die Anzahl der Applets deutlich wachsen und beispielsweise ein Clipboard-Manager, Klebezettel, ein Wetter-Applet und vieles mehr hinzukommen.

Panels selbst können an die eigenen Vorstellungen angepasst werden und so kann man beispielsweise die Positionierung festlegen, die Grösse ändern oder die Deckkraft einstellen. Auch sogenannte Floating Panels, wie sie beispielsweise bei aktuellen KDE Plasma Versionen bereits möglich sind, lassen sich konfigurieren.

Die neue entwickelte Systemeinstellungsverwaltung erfuhr bereits grössere Änderungen. Für den kommenden Monat ist die Entwicklung der Eingabeeinstellungen sowie einer Möglichkeit Hintergrundbilder zu definieren geplant.

Wie auch die Applets sind die Systemeinstellungen modular aufgebaut und lassen sich über eine API ansteuern.

Die 10-bit Farbunterstützung, welche zum cosmic-comp, dem COSMIC compositor hinzugefügt wurde, ermöglicht eine bessere Farbwiedergabe und ist eine wesentliche Voraussetzung für eine geplante HDR-Unterstützung.

Weitere Informationen finden sich im Blog-Post des Monats Mai.

---

GNU/Linux.ch ist ein Community-Projekt. Bei uns kannst du nicht nur mitlesen, sondern auch selbst aktiv werden. Wir freuen uns, wenn du mit uns über die Artikel in unseren Chat-Gruppen oder im Fediverse diskutierst. Auch du selbst kannst Autor werden. Reiche uns deinen Artikelvorschlag über das Formular auf unserer Webseite ein.

Mo, 15. Mai 2023, Lioh Möller

Bei Multipass handelt es sich um eine von Canonical entwickelte Lösung zum leichtgewichtigen Betrieb virtueller Maschienen, vornehmlich mit Ubuntu.

Dabei setzt die Lösung im Hintergrund unter Linux auf KVM. Multipass ist allerdings auch für Microsoft Windows und macOS verfügbar und setzt dabei auf Hyper-V respektive HyperKit. Unter Windows und macOS kann alternativ auch VirtualBox als Backend genutzt werden.

Im Folgenden wird die Einrichtung unter Ubuntu beschrieben.

Zunächst muss das multipass Snap Paket installiert werden:

sudo snap install multipass

Mithilfe von multipass find lassen sich verfügbare VM Images anzeigen:

Herunterladen und starten lässt sich ein Image wie folgt:

multipass launch 22.04

Hinweis: sofern auf dem gleichen System bereits eine VirtualBox VM läuft, muss diese möglicherweise zuvor beendet werden.

Mithilfe von multipass list können alle laufenden Instanzen angezeigt werden.

multipass info gefolgt vom Namen der Instanz, welcher zufällig vergeben wird, können weitere Informationen eingeblendet werden:

Um eine Shell in einer laufenden Instanz zu öffnen, kann multipass shell gefolgt vom Instanznamen genutzt werden.

Innerhalb der VM stehen alle vom Betriebssystem her bekannten Befehle zur Verfügung.

Mittels multipass stop oder multipass start kann eine Instanz beendet oder gestartet werden. multipass delete löscht diese wieder, dabei gehen alle darin enthaltenen Informationen verloren.

Anhand von Parametern lässt sich der Ausbau einer VM beeinflussen:

multipass launch 22.04 --name ubuntu-test --memory 2G --disk 10G --cpus 2

multipass -h gibt Hilfe zu den nutzbaren Parametern.

Damit stellt die Lösung eine einfach und schnelle Möglichkeit zur Erstellung von virtuellen Maschinen, insbesondere unter Ubuntu dar. Diese lassen sich beispielsweise zur Entwicklung von Software oder für Systemtests nutzen. Multipass bezeichnet sich selbst explizit als Software für den Arbeitsplatz-Computer.

Quelle: https://multipass.run/

---

GNU/Linux.ch ist ein Community-Projekt. Bei uns kannst du nicht nur mitlesen, sondern auch selbst aktiv werden. Wir freuen uns, wenn du mit uns über die Artikel in unseren Chat-Gruppen oder im Fediverse diskutierst. Auch du selbst kannst Autor werden. Reiche uns deinen Artikelvorschlag über das Formular auf unserer Webseite ein.

Mo, 15. Mai 2023, Lioh Möller

Wer im Fedora Projekt aktiv ist, hat früher oder später sicher einmal Kontakt mit Ben Cotton gehabt. Der charismatische Entwickler hatte seit 2018 die Rolle des Fedora Program Manager inne. Am 24. April 2023 hat der Hauptsponsor und Arbeitgeber von Ben eine Kürzung aller globalen Stellen um 4% angekündigt.

Überraschenderweise ist auch Ben Cotton Opfer dieser Entwicklung geworden und verlässt nun seinen langjährigen Arbeitgeber. Laut eigenen Aussagen wurde er erstmalig gekündigt und hofft, dass dieses schmerzhafte Erlebnis in Zukunft nicht nochmals eintritt. Seine Reaktion auf die Nachricht hat viele Emotionen in ihm ausgelöst, unter anderem Verärgerung, Traurigkeit, aber in seiner humorvollen Art versucht er diese Entwicklung dennoch positiv zu sehen.

Da er bereits vor seiner Anstellung bei Red Hat im Fedora Projekt aktiv war, plant er dies auch weiterhin zu sein. Seine Hoffnung ist, dass seine Arbeit auch nach seinem Weggang weitergeführt wird.

Warum Red Hat ausgerechnet Stellen im Upstream Projekt gestrichen hat, ist weiterhin unklar. Die Community wünscht sich auch in Zukunft ein klares Commitment für das Projekt.

Wir wünschen Ben alles Gute für seine Zukunft und wünschen ihm viel Erfolg auf seinen zukünftigen Wegen.

Quelle: https://funnelfiasco.com/blog/2023/05/12/inaction-bcotton/

---

GNU/Linux.ch ist ein Community-Projekt. Bei uns kannst du nicht nur mitlesen, sondern auch selbst aktiv werden. Wir freuen uns, wenn du mit uns über die Artikel in unseren Chat-Gruppen oder im Fediverse diskutierst. Auch du selbst kannst Autor werden. Reiche uns deinen Artikelvorschlag über das Formular auf unserer Webseite ein.

Mo, 15. Mai 2023, anlhumsmfvdt

Gestartet wurde die Installation von einem USB-Stick mit dem Bookworm RC1 Installer. Ich habe eine manuelle Partitionierung gewählt, mit btrfs auf der root-Partition.

Das Partitionslayout entspricht dabei dem der Vorgängerversion Debian 11.

nvme0n1         259:2    0 931,5G  0 disk
├─nvme0n1p1     259:3    0   100M  0 part /boot/efi
├─nvme0n1p2     259:4    0   512M  0 part /boot
└─nvme0n1p3     259:5    0 930,9G  0 part
  ├─debian-root 254:0    0    15G  0 lvm  /
  ├─debian-swap 254:1    0     1G  0 lvm  [SWAP]
  ├─debian-opt  254:2    0     2G  0 lvm  /opt
  └─debian-home 254:3    0   912G  0 lvm  /home

Zum Abschluss habe ich in tasksel KDE Plasma und ssh-server ausgewählt.

Auf der root-Partition ist nach der Installation entsprechend ein @rootfs subvolume vorhanden.

Während der Installaiton kann man zwar weitere Mount-Optionen wählen, aber leider lässt sich darüber nicht die Kompression für btrfs aktivieren.

Daher habe ich die Optionen nachträglich in der Datei /etc/fstab hinzugefügt:

/dev/mapper/debian-root / btrfs defaults,noatime,compress-force=zstd:6,subvol=@rootfs 0 0

Meine ersten Erfahrungen sind ausdrücklich positiv, nur vlc braucht manchmal lange (mehrere Sekunden) um den Datei-Öffnen-Dialog anzuzeigen.

Nun der Kern meines Berichts: Die weitere Installation übernimmt mein Bash-Script installPackages.sh.

1. ./installPackages.sh
   installiert Pakete für einen (einfachen) Desktop mit Firefox und Thunderbird
2. ./installPackages.sh --vm
   installiert Pakete für eine virtuelle Maschine mit Softwareentwicklung, aber ohne Libreoffice.
3. ./installPackages.sh --laptop
   installiert Pakete für einen Laptop
4. ./installPackages.sh --workstation
   installiert Pakete für eine Arbeitsstation

Die Installation erfolgte auf der SSD, auf der bereits Debian 11 installiert war. Mittlerweile habe ich eine bessere SSD eingebaut und Debian mithilfe von Relax-and-Recover umgezogen. "rear recover" hat bestens funktioniert.

So sieht meine /etc/rear/local.conf aus:

OUTPUT=ISO
USB_UEFI_PART_SIZE="500"

### create a backup using the internal NETFS method, using 'rsync'
BACKUP=NETFS
BACKUP_PROG=rsync
BACKUP_PROG_EXCLUDE=( "${BACKUP_PROG_EXCLUDE[@]}" '/home/*' '/var/cache/apt/*.bin' '/var/cache/apt/archives/*' '/var/cache/app-info/cache/*' '/var/lib/apt/lists/*' )
BACKUP_RSYNC_OPTIONS=( "${BACKUP_RSYNC_OPTIONS[@]}" '--xattrs' )

### write both rescue image and backup to the device labeled REAR-000
BACKUP_URL=usb:///dev/disk/by-label/REAR-000

Mein /home habe ich anschliessend aus einem Backup wiederhergestellt.

Anders war es auf meinem Laptop. Dort habe ich ein Upgrade vorgenommen und daraufhin das System bereinigt.

Die SSD ist hier vergleichbar partitioniert, aber /dev/nvme0n1p3 ist verschlüsselt.

"rear recover" hat dort leider nicht funktioniert. Die Partitionierung und das Mounten (diskrestore.sh) lieferte immer einen Fehler. Endlich fand ich heraus, dass die root-Partition nicht gemountet werden konnte.

So ungefähr sah die Zeile aus (funktionierte nicht, sah aber richtig aus):

mount -t btrfs -o rw,...

So funktionierte es:

mount -o compress-force=zstd:6 /dev/mapper/debian-root /

---

GNU/Linux.ch ist ein Community-Projekt. Bei uns kannst du nicht nur mitlesen, sondern auch selbst aktiv werden. Wir freuen uns, wenn du mit uns über die Artikel in unseren Chat-Gruppen oder im Fediverse diskutierst. Auch du selbst kannst Autor werden. Reiche uns deinen Artikelvorschlag über das Formular auf unserer Webseite ein.

VPNs werden oft mit Anonymität assoziiert. Das ist Unsinn. Trotzdem haben VPNs ihre Berechtigung. Mullvad speichert nach neuesten Erkenntnissen wirklich keine Daten und bringt jetzt sogar einen Browser mit.

Wann sich ein VPN lohnt und warum Mullvad für mich einer der ganz wenigen Anbieter ist, denen ich vertraue, habe ich hier schon einmal beschrieben. Daran hat sich nichts geändert.

Die jüngsten Ereignisse haben diese Zuversicht jedoch noch verstärkt. Mullvad erhielt kürzlich Besuch von der schwedischen Polizei. Anlass waren wohl Ermittlungen in Deutschland, wie der Betreiber des Dienstes im Nachhinein erfuhr. Allerdings musste die Polizei wieder abziehen, ohne etwas Handfestes gefunden zu haben. Mullvad verspricht also nicht nur, keine Daten zu speichern. Er speichert wirklich keine Daten.

Zudem hat Mullvad eine technische Neuerung verkündet. Der Mullvad-Browser. Dabei handelt es sich um Kooperationsprojekt mit Tor. Die Vorgehensweise ist ähnlich. Auf Basis von Firefox wird ein Browser erstellt, der durch seine Konfiguration Fingerprinting erschwert. Der einzelne Nutzer geht dadurch in der Masse unter. Von dem Projekt profitieren beide Seiten, da sich durch den Mullvad-Browser die Anwenderzahlen weiter erhöhen und die Masse somit größer wird. Anstelle des Tor-Netzwerks verwendet der Mullvad-Browser natürlich das Mullvad-VPN. Dieses ist aber nicht in den Browser integriert, sondern muss weiter auf Systemebene, entweder durch Wireguard oder durch die Mullvad-Anwendung, eingerichtet werden. Mike Kuketz bescheinigt dem Browser ein exzellentes Datensendeverhalten.

Der Mullvad-Browser steht für alle verbreiteten Desktop-Betriebssysteme zum Download bereit. Linux-Anwender können zudem auf Flathub zurückgreifen und den Browser komfortabel als Flatpak installieren.

Vor einigen Wochen machte die Vermutung die Runde, LUKS sei gebrochen. Auslöser waren Berichte über ein erfolgreiches Knacken einer verschlüsselten Festplatte durch die französische Polizei. Der bekannte Entwickler Matthew Garrett vermutete als Ursache die veraltete Schlüsselableitungsfunktion PBKDF2.

Was ist das Problem?

Wir wissen bis heute nicht, ob das wirklich die Ursache war und die französische Polizei LUKS wirklich knacken konnte oder ob nicht ein zu schwaches Passwort oder ähnliches die Schwachstelle war. LUKS oder bestimmte Konfigurationen von LUKS pauschal für unsicher zu erklären, wäre daher eine Panikmache.

Der Vorfall sollte uns aber daran erinnern nicht nachlässig zu werden. Ich bemängele ja häufiger eine gewisse bräsige Selbstzufriedenheit in der Linux-Gemeinschaft. Die Gewissheit, durch Open Source und eine streckenweise überlegene Architektur ein sicheres System zu nutzen, hat sich tief in das kollektive Bewusstsein eingenistet. Selbstzufriedenheit kann zu falscher Untätigkeit führen.

Konkret geht es um LUKS und die Schlüsselabteilungsfunktion. LUKS wird stetig verbessert. Vor einigen Jahren gab es beispielsweise den Wechsel von LUKS1 auf LUKS2 mit allgemeinen Verbesserungen. Hinzu kommen Entwicklungen bei den Schlüsselabteilungsfunktionen.

Die Schlüsselabteilung generiert in mehreren Iterationen aus dem Passwort den eigentlichen LUKS-Key. Um das nicht unnötig in die Länge zu ziehen, berücksichtigt LUKS die verfügbare Hardware. PBKDF2 hat bekannte Schwächen, deshalb wurde bereits vor einiger Zeit argon2id als Ersatz entwickelt. Dieses Verfahren ist ab 2020 auch die Empfehlung des BSI.

Das denkbar schlechteste Szenario ist daher ein Container, der vor vielen Jahren mit aus heutiger Sicht völlig veralteter Hardware aufgesetzt wurde und mit einer mittelmäßigen Passphrase geschützt wurde. Ein solcher Container könnte aus heutiger Sicht wahrscheinlich geknackt werden. Dies ist kein abwegiges Szenario. Viele Linux-Benutzer – ob mit Rolling-Releases oder stabilen Systemen – sind stolz auf die langen Laufzeiten ihrer Installationen. Externe Festplatten werden wahrscheinlich sogar nur einmal – direkt nach dem Kauf – neu verschlüsselt.

Das Problem liegt hier in meinen Augen durchaus auch bei den Distributionen. Viele Leser werden dieses Lamento vermutlich nicht mehr hören können. Keine Distribution aktualisiert verschlüsselte Partitionen bei Upgrades und kein Kommandozeilentool oder grafisches Programm weist auf veraltete Einstellungen hin. Den meisten Anwendern fehlte oder fehlt vermutlich bis heute jegliches Problembewusstsein.

LUKS aktualisieren

Eine Aktualisierung ist relativ einfach durchzuführen. Es gibt jedoch Einschränkungen. Wer eine verschlüsselte Boot-Partition verwendet und daher auf die GRUB-Implementierung angewiesen ist, muss bei PBKDF2 bleiben. Ein weiterer Grund, warum ich verschlüsselte Bootpartitionen und Passworteingabe in GRUB für überbewertet halte. Für solche Dinge sind Integritätsprüfungen via TPM wesentlich sinnvoller, aber das führt hier zu weit.

Die aktuellen Standardeinstellungen seines Systems kann man wie folgt abfragen:

$ cryptsetup --help

Die Ausgabe bei einem aktuellen Fedora Kinoite ist wie folgt:

Vorgegebenes festeingebautes Metadatenformat ist LUKS2 (für luksFormat-Aktion).

Die Unterstützung des externen Token-Plugins LUKS2 ist integriert.
Pfad des Plugins für externe LUKS2-Token: /usr/lib64/cryptsetup.

Werkseinstellungen für Schlüssel und Passphrasen:
        Maximale Größe der Schlüsseldatei: 8192 kB, Maximale Länge der interaktiven Passphrase: 512 Zeichen
Vorgabe-PBKDF für LUKS1: pbkdf2, Durchlaufzeit: 2000 Millisekunden
Vorgabe-PBKDF für LUKS2: argon2id
        Iterationszeit: 2000, benötigter Speicher: 1048576 kB, parallele Threads: 4

Standard-Verschlüsselungsparameter:
        Loop-AES: aes, Schlüssel 256 Bits
        plain: aes-cbc-essiv:sha256, Schlüssel: 256 Bits, Passphrase-Hashen: ripemd160
        LUKS: aes-xts-plain64, Schlüssel: 256 Bits, LUKS-Header-Hashen: sha256, Zufallszahlengenerator: /dev/urandom
        LUKS: Standard-Schlüsselgröße mit XTS-Modus (zwei interne Schlüssel) wird verdoppelt.

Wie man alte Container aktualisiert habe ich hier schon beschrieben: Verschüsselte Volumes von LUKS1 auf LUKS2 konvertieren

$ sudo cryptsetup convert /dev/<number> --type luks2 

Hiernach die Abfrage bestätigen und das war es auch schon. Bei einer erneuten Abfrage sollte Version 2 in der entsprechenden Zeile stehen.

Zusätzlich muss auch explizit PBKDF auf Argon2 umgestellt werden.

$ sudo cryptsetup luksChangeKey /dev/<number> --pbkdf argon2id

Zur Bestätigung muss das alte und neue Kennwort eingeben werden. Bei Bedarf kann man auch das alte Kennwort als neues Kennwort nutzen.

Zusammengefasst

Es ist nicht klar, ob LUKS wirklich gebrochen wurde, aber LUKS wird glücklicherweise ständig weiterentwickelt und veraltete und potentiell unsichere Elemente werden ersetzt. Der Vorfall sollte zum Anlass genommen werden, einen Blick auf die eigenen LUKS-Container zu werfen, da die Distributionen die Wartung für ihre Anwender nicht übernehmen.

Die MZLA Technologies Corporation hat mit Thunderbird 102.11 ein planmäßiges Update für seinen Open Source E-Mail-Client veröffentlicht.

Neuerungen von Thunderbird 102.11

Mit dem Update auf Thunderbird 102.11 hat die MZLA Technologies Corporation ein planmäßiges Update für seinen Open Source E-Mail-Client veröffentlicht. Das Update bringt diverse Fehlerbehebungen und Verbesserungen, welche sich in den Release Notes (engl.) nachlesen lassen. Auch wurden diverse Sicherheitslücken geschlossen.

Der Beitrag Thunderbird 102.11 veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Noch ist Google in den meisten Ländern die Standard-Suchmaschine in Firefox. Doch das könnte sich bald ändern. Der aktuelle Vertrag mit Google läuft in diesem Jahr aus. Und es bahnt sich an, dass ein namhafter und hoch motivierter Konkurrent um diese Position mitbieten wird.

Abgesehen von drei Jahren mit Yahoo! als wichtigstem Suchmaschinen-Partner von Mozilla war Google immer die Standard-Suchmaschine von Firefox in den meisten Ländern. Dabei liefen die Verträge zwischen Google und Mozilla in den letzten 15 Jahren immer für jeweils drei Jahre. So ist es auch jetzt, womit der aktuelle Vertrag mit Google Ende dieses Jahres auslaufen und diese Position neu verhandelt wird.

Die Wahrscheinlichkeit, dass Google daran interessiert ist, auch in Zukunft die Standard-Suchmaschine in Firefox zu sein, dürfte sehr hoch sein. Die Frage ist natürlich immer, welche Konditionen der neue Vertrag hat. Insbesondere wenn die Marktanteile von Firefox sinken und Google der einzige ernsthafte und finanziell potente Interessent ist.

Doch könnte es dieses Mal zu einem Wettbieten kommen: Wie Windows Central unter Berufung auf The Information (Paywall) berichtet, soll Microsoft ein großes Interesse daran haben, Bing als Standard-Suchmaschine in Firefox zu platzieren. Dabei beruft man sich auf zwei Personen, welche direkte Kenntnis von entsprechenden Diskussionen haben sollen.

Microsoft erlebt gerade einen regelrechten Hype rund um die Integration von ChatGPT in seine Suchmaschine Bing. Dieses Momentum möchte Microsoft offensichtlich nutzen, was Sinn ergibt: Für Microsoft bietet sich die einmalige Gelegenheit, einen technologischen Vorsprung gegenüber Google zu nutzen, und damit die wohl realistischeste Chance seit langem und auch auf absehbare Zeit, größere Anteile am von Google so sehr dominierten Suchmaschinenmarkt zu gewinnen. Daher investiert Microsoft aktuell sehr aggressiv in Bing und ChatGPT. Und eine solche Partnerschaft mit Mozilla würde perfekt in diese Strategie passen.

Zwar hat Firefox keinen sehr hohen Marktanteil am Browsermarkt, womit nur daraus auch keine sehr großen Sprünge für Bing zu erwarten wären. Aber wie Microsofts CFO Phil Ockenden im Februar in einem Investoren-Call erklärte, steckt in jedem Prozentpunkt mehr Anteil am Suchmaschinen-Werbemarkt das Potential von zwei Milliarden USD Umsatz. Dementsprechend wäre dies ein Geschäft, von dem sowohl Mozilla als auch Microsoft selbst profitieren könnten. Und die 15 Milliarden USD, die Google alleine im Jahr 2021 an Apple gezahlt haben soll, um Standard-Suchmaschine in Safari zu sein, dürften in Anbetracht dieser gigantischen Wette auf die Zukunft und den anderen Milliarden-Investitionen auch für Microsoft eine Nummer zu groß sein. Zum Vergleich: Mozilla hat im gleichen Jahr 528 Millionen USD von Google dafür erhalten, die Standard-Suchmaschine in Firefox zu sein.

Ein ernsthaftes Interesse Microsofts angenommen: Natürlich bleibt da immer noch Google, die mit Sicherheit auch wenigstens ein Angebot abgeben und Microsoft diesen Platz nicht einfach so überlassen werden.

Ob Bing im kommenden Jahr die Standard-Suchmaschine von Firefox sein wird, lässt sich nicht abschätzen. Am Ende bleibt vielleicht auch Google die Standard-Suchmaschine in Firefox. Sicher ist: Dieses gesteigerte Interesse ist nicht zu Mozillas Nachteil. Es verbessert in jedem Fall die Verhandlungsposition von Mozilla und sorgt vielleicht ja für den nächsten Rekordumsatz – egal ob nun mit Google oder Microsoft als Standard-Suchmaschine.

Der Beitrag Kommt es zum Wettbieten um die Standard-Suchmaschine in Firefox? erschien zuerst auf soeren-hentzschel.at.

Do, 11. Mai 2023, Lioh Möller

HTML-Mails erfreuen sich immer grösserer Beliebtheit und das Format ist in vielen Mailclients bereits als Standard eingestellt. Es erlaubt Formatierungen und auch das Nachladen von Informationen aus dem Internet. Die Marketing-Industrie macht sich dies seit jeher zunutze, indem beispielsweise anhand von extern eingebundenen Bildern eine eindeutige Nutzerzuordnung erstellt werden kann.

Anwendungen wie Thunderbird unterbinden daher standardmässig das Nachladen von Bildern, was dann wiederum bei Bedarf für einzelne Mails wieder erlaubt werden kann.

Der Adblocker uBlock Origin hingegen geht einen Schritt weiter. Bisher nur bekannt als Plug-in für den Webbrowser, steht nun erstmalig auch eine Erweiterung für den Thunderbird Mailclient zur Verfügung.

Nach der Installation über die AddOn-Verwaltung integriert sich uBlock Origin nahtlos in die Anwendung. Die Funktionsweise ähnelt dabei der Variante für den Webbrowser.

Damit steht nach langer Zeit endlich ein vollwertiger AdBlocker auch für Thunderbird zur Verfügung.

Quelle: https://addons.thunderbird.net/en-US/thunderbird/addon/ublock-origin/

---

GNU/Linux.ch ist ein Community-Projekt. Bei uns kannst du nicht nur mitlesen, sondern auch selbst aktiv werden. Wir freuen uns, wenn du mit uns über die Artikel diskutierst, sei es in unseren Chat-Gruppen oder über die Kommentarfunktion. Auch du selbst kannst Autor werden. Reiche uns deinen Artikelvorschlag über das Formular auf unserer Webseite ein.

Do, 11. Mai 2023, Lioh Möller

Um zu ermitteln, welche Prozesse viel RAM benötigen, gibt es verschiedene Möglichkeiten.

Im Folgenden stellen wir einige vor. ps zum Auflisten laufender Prozesse ist wahrscheinlich vielen bekannt. Ein üblicher Aufruf lautet:

ps aux

Die Anwendung bietet allerdings eine Vielzahl von Möglichkeiten, die Ausgabe zu beeinflussen. So stellt beispielsweise der folgende Befehl alle Prozesse sortiert nach Speicherverbrauch dar:

ps aux --sort -%mem

Möchte man hingegen nur die letzten 10 Prozesse darstellen, kann wie folgt vorgegangen werden:

ps aux --sort -%mem | head -10

Auch, welche Spalten dargestellt werden sollen, kann beeinflusst werden:

ps -eo pid,ppid,cmd,comm,%mem,%cpu --sort=-%mem | head -10

Alternativ eignet sich beispielsweise top zur Darstellung des Speicherverbrauchs von Anwendungen:

top -o %MEM

Sollte top bereits ohne Parameter gestartet worden sein, eignet sich die Eingabe von Shift+m innerhalb der Applikation.

Auf diese Weise lassen sich Arbeitsspeicherfresser schnell ermitteln und mögliche weitere Schritte einleiten.

---

GNU/Linux.ch ist ein Community-Projekt. Bei uns kannst du nicht nur mitlesen, sondern auch selbst aktiv werden. Wir freuen uns, wenn du mit uns über die Artikel in unseren Chat-Gruppen oder im Fediverse diskutierst. Auch du selbst kannst Autor werden. Reiche uns deinen Artikelvorschlag über das Formular auf unserer Webseite ein.

Mi, 10. Mai 2023, Ralf Hersel

Die meisten GNU/Linux-Distributionen machen es Interessierten einfach, einen Blick darauf zu werfen: ISO-Datei herunterladen, eine virtuelle Maschine starten und schon kann man eine neuen Distro ausprobieren. Wer es noch einfacher mag, kann auf gehostete Distributionen zurückgreifen. Bis vor einem Jahr war das bei distrotest.net möglich. Nun gibt es ein neues One-Trick-Pony namens DistroSea. Auch hierbei handelt es sich um eine one-man-show mit sehr begrenzten Ressourcen.

Wer das gute Angebot nutzen möchte, sollte sich beeilen. Ich gehe davon aus, dass dieser neue Spielplatz für Distro-Hopper in Kürze auch wieder verschwinden wird. So gut die Idee ist, so schlecht ist das Geschäftsmodell dahinter. Keine Werbung, keine Gebühren, nur Spenden, unendliche Serverkosten - wie soll das nachhaltig funktionieren? Nun gut, freuen wir uns kurzfristig über den Service von u/basilky, von dem/der nicht mehr bekannt ist, als sein Reddit-Account.

Die Seite https://distrosea.com/ ist sehr übersichtlich und für jede:n verständlich. Neben der Präsentation der Distro-Logos gibt es einen Button zum Spenden und für die Kontaktaufnahme via E-Mail. Ausserdem kann man zwischen einem dunklen und hellen Thema umschalten. Natürlich kann man nach Distributionen suchen.

Aktuell bietet DistroSea 39 Distributionen zum Testen an. Darunter finden sich die üblichen Verdächtigen, aber auch weniger bekannte Distributionen wie das neue CachyOS, FreeDOS, TrueNAS Core, sowie unerwartete Distros wie Alpine, ArchCraft, Mageia, RebornOS, Slackware und Solus.

Zum Ausprobieren klickt man das gewünschte Logo an. Daraufhin öffnet sich manchmal eine Unterauswahl, in der man die Version oder die Desktop-Umgebung auswählen kann. Dann kann man die Distro-Virtualisierung starten oder landet in einer Warteschlange. Bei meinen Versuchen musste ich jeweils nur ein paar Sekunden warten, bis ich an der Reihe war. Als negatives Beispiel möchte ich CachyOS präsentieren. Nach dem Klick auf das Logo erhält man diese Auswahl:

Ich habe mich für die GNOME-Version entschieden. So geht es weiter:

Danach gibt es mehrere Möglichkeiten: entweder man erhält eine Fehlermeldung, oder wird in eine Warteschlange eingereiht, oder kann gleich loslegen (falls man nicht zu lange mit dem Start zögert):

Wenn es dann endlich losgeht, befindet man sich in derselben Situation, als hätte man ein ISO-Image in einer virtuellen Maschine auf der eigenen Hardware gestartet. Der Webbrowser schaltet in den Fullscreen-Modus und der Bootprozess der ausgewählten Distro startet. In den Fällen, die ich getestet habe, funktionierte das einwandfrei. Nicht so bei CachyOS:

Das hat jedoch nichts mit DistroSea zu tun; auch unter anderen Bedingungen ist es mir noch nie gelungen, CachyOS zu starten. Um diesen Artikel nicht mit dem Cachy-Fail zu beenden, starte ich eine einfache Distribution, nämlich Zorin OS in der Version 15 Core 64. Nach dem normalen Booten landet man im Live-System:

Die Bedienbarkeit hängt von der Netzwerk-Bandbreite und der Belastung des (ja, es ist nur einer) DistroSea-Servers ab. Nach meiner Erfahrung ist die Flüssigkeit der Bedienung um einiges schlechter, als bei einer lokalen Installation in einer VM. Es reicht jedoch aus, um sich einen ersten Eindruck von der Distribution zu schaffen.

Es ist zu hoffen, dass u/basilky Sponsoren und Spender von seiner Distro-Hopping-Plattform überzeugen kann. Für die Community ist dieser Service eine Bereicherung, da er gerade für Einsteiger eine einfache Möglichkeit bietet, die Tür zu verschiedenen GNU/Linux-Distributionen zu öffnen.

Ich persönlich halte das Ausprobieren einer ISO in einer lokalen VM dennoch für die bessere Wahl, obwohl es ein klein wenig aufwändiger ist.

Quelle: https://distrosea.com/

---

GNU/Linux.ch ist ein Community-Projekt. Bei uns kannst du nicht nur mitlesen, sondern auch selbst aktiv werden. Wir freuen uns, wenn du mit uns über die Artikel in unseren Chat-Gruppen oder im Fediverse diskutierst. Auch du selbst kannst Autor werden. Reiche uns deinen Artikelvorschlag über das Formular auf unserer Webseite ein.

Mozilla hat Firefox 113 für Windows, Apple macOS und Linux veröffentlicht. Dieser Artikel fasst die wichtigsten Neuerungen zusammen – wie immer auf diesem Blog weit ausführlicher als auf anderen Websites.

Download Mozilla Firefox für Microsoft Windows, Apple macOS und Linux

Entfernen von Adressleisten-Vorschlägen mit der Maus

Wer etwas in die Adressleiste von Firefox eingibt, erhält eine Reihe von Vorschlägen aus der Chronik, vergangenen Suchanfragen, synchronisierten Tabs, Lesezeichen und mehr. Während ein Entfernen von Vorschlägen aus der Chronik oder Suchanfragen schon immer per Tastatur möglich war, ist dies vielen Nutzern nicht bekannt. Ein neues Menü, dessen Schaltfläche nur erscheint, wenn die jeweilige Zeile den Fokus hat, erlaubt in Zukunft auch das Entfernen per Maus und damit auf etwas intuitivere Art.

Viele Verbesserungen der Bild-im-Bild-Funktion für Videos

Der sogenannte Bild-im-Bild-Modus erlaubt es, Videos von der Website loszulösen und über andere Tabs und sogar Anwendungen zu legen. Innerhalb des losgelösten Video-Fensters kann die Wiedergabe pausiert oder wieder gestartet werden, außerdem lässt sich die Lautstärke ändern, ohne dass hierfür der originale Tab im Browser verwendet werden muss. Auch Untertitel werden auf vielen Plattformen unterstützt.

Firefox 113 bringt weitere Funktionen in das Bild-im-Bild-Fenster. So sieht man nun eine Fortschrittsleiste, über welches sich nicht nur der aktuelle Zeitpunkt sowie die Gesamtlänge ablesen lässt, man kann darüber auch direkt zu anderen Stellen im Video springen. Außerdem gibt es neue Schaltflächen, um fünf Sekunden zurück oder fünf Sekunden vorwärts zu springen, sowie eine Schaltfläche, um in den Vollbildmodus zu wechseln.

Wird über about:config der Schalter media.videocontrols.picture-in-picture.urlbar-button.enabled auf true gesetzt, lässt sich der Bild-im-Bild-Modus über eine Schaltfläche in der Adressleiste aktivieren oder deaktivieren.

Außerdem werden Untertitel jetzt auch für Hulu Live-Videos und bei AOL-Videos unterstützt.

Weitere Verbesserungen der Passwort-Verwaltung

Nachdem die Passwort-Verwaltung bereits verschiedene Verbesserungen in Firefox 111 sowie Firefox 112 erhalten hat, folgen in Firefox 113 die nächsten: Von Firefox generierte Passwörter beinhalten für mehr Sicherheit ab sofort Sonderzeichen. Außerdem wird das maxlength-Attribut von Passwortfeldern auf Websites für die Länge der generierten Passwörter nun berücksichtigt.

Beim Bearbeiten von Passwörtern über about:logins erscheinen diese jetzt automatisch im Klartext, sobald man das Passwort-Feld fokussiert.

Verschiebbares Erweiterungs-Menü

Mit Firefox 109 wurde ein neues Erweiterungs-Menü links vom Hauptmenü eingeführt. Die Position dafür war bisher nicht veränderbar. Seit Firefox 113 lässt sich die Schaltfläche an eine beliebige Stelle innerhalb der Navigations-Symbolleiste verschieben. Übrigens: Ab Firefox 114 lässt sich auch die Position der einzelnen Erweiterungen innerhalb des Erweiterungs-Menüs vom Benutzer frei verändern.

Neuer Barrierefreiheits-Cache verbessert Leistung

Mit Firefox 113 führt Mozilla den neuen Barrierefreiheits-Cache ein, an dem Mozilla bereits seit Anfang 2021 arbeitet. Dieser verbessert die Performance und Stabilität von Firefox signifikant, wenn Barrierefreiheits-Schnittstellen genutzt werden. Der offensichtlichste Fall ist, wenn ein Barrierefreiheits-Werkzeug wie ein Screenreader genutzt wird. Aber auch andere Software kann durch Verwendung bestimmter Funktionen die Nutzung von Barrierefreiheits-Schnittstellen aktivieren, was sich entsprechend auf Firefox auswirkt.

In den Anwendungsfällen, in denen Firefox am schlechtesten performt hat, ist Firefox nun bis zu 20 Mal schneller. Aber auch in einfachen Anwendungsfällen wie dem Öffnen und Schließen einer Nachricht in Gmail oder dem Wechseln eines Raumes in Slack ist die Performance für betroffene Nutzer mit dem neuen Barrierefreiheits-Cache zwei bis drei Mal besser.

Sonstige Endnutzer-Neuerungen von Firefox 113

Beim Import von Lesezeichen aus Google Chrome, einem anderen Chromium-basierten Browser oder Safari werden jetzt auch die dazugehörigen Favicons importiert. Auch synchronisierte Lesezeichen aus Google Chrome können jetzt importiert werden. Außerdem kann der Import von Daten aus anderen Browsern jetzt auch über die Einstellungsoberfläche von Firefox aus gestartet werden.

In den Synchronisations-Einstellungen wurde eine zusätzliche Erklärung hinzugefügt, dass sich ein Änderung der Einstellung, was synchronisiert werden soll, auf alle verbundenen Geräte auswirkt.

Die Performance beim Wiederherstellen vieler Tabs wurde verbessert.

Private Fenster schützen die Privatsphäre der Nutzer jetzt noch besser, indem Cookies von Drittanbietern und die Speicherung von Content-Trackern blockiert werden.

Der sogenannte Overscroll-Effekt, der in Firefox auf macOS bereits aktiviert war, ist nun auch auf Windows standardmäßig aktiviert. Dieser Effekt beschreibt das Verhalten, welches zu beobachten ist, wenn man über den Seitenanfang respektive das Seitenende hinaus scrollt.

Neben weiteren Verbesserungen des Debuggers in den Entwicklerwerkzeugen, wie dem einheitlichen Formatieren von Inline-Scripts in HTML-Dateien und Verbesserungen der Suche, wurde dieser um die Möglichkeit erweitert, Website-Dateien mit lokalen Dateien zu überschreiben, um auf diese Weise Code-Änderungen testen zu können.

Firefox unterstützt jetzt auch Drag and Drop von Dateien aus Microsoft Outlook.

Mehr Sicherheit für Firefox-Nutzer

Auch in Firefox 113 wurden wieder mehrere Sicherheitslücken geschlossen. Alleine aus Gründen der Sicherheit ist ein Update auf Firefox 113 daher für alle Nutzer dringend empfohlen.

Die mit Firefox 110 eingeführte GPU-Sandbox unter Windows wurde für eine zusätzlich gesteigerte Sicherheit mit Firefox 113 schärfer gestellt. Die bereits seit langem unter Windows auf Geräten mit x86-CPU sowie auf macOS aktivierte Audio-Sandbox ist nun auch auf Windows-Geräten mit ARM-CPU aktiviert.

Verbesserungen der Webplattform

Firefox 113 untertützt jetzt auch Animationen für das AVIF-Bildformat.

Auf CSS-Seite neu ist die Unterstützung von Farbfunktionen aus dem CSS Farbmodul Level 4, darunter lab(), lch(), oklab(), oklch() und color() sowie aus dem CSS Farbmodul Level 5 color-mix(). Außerdem wird die Eigenschaft forced-color-adjust sowie der scripting Media Query unterstützt. Darüber hinaus wird jetzt :nth-child of <selector> unterstützt.

Firefox 113 unterstützt außerdem eine ganze Reihe weiterer WebRTC-Features.

Für Erweiterungs-Entwickler interessant ist die Unterstützung der neuen Manifest v3-Schnittstelle declarativeNetRequest. Wenn eine Erweiterung mehrere Listener für das gleiche Ereignis registriert, werden jetzt alle Event-Listener aufgerufen, wenn die Ereignisseite „aufwacht“, und nicht mehr nur der erste.

Weitere Neuerungen für Entwickler von Websites und Browser-Erweiterungen lassen sich in den MDN Web Docs nachlesen.

Der Beitrag Mozilla veröffentlicht Firefox 113 mit vielen Neuerungen erschien zuerst auf soeren-hentzschel.at.

Die MZLA Technologies Corporation hat ihren Finanzbericht für Thunderbird für das Jahr 2022 veröffentlicht. Dieser gibt Einblick in die Entwicklung des Umsatzes sowie das Vermögen des Projektes. Die Einnahmen konnten demnach mehr als verdoppelt werden. Außerdem hat MZLA bestätigt, dass nicht nur Thunderbird für Android kommen wird, sondern in diesem Jahr auch die Entwicklung von Thunderbird für Apple iOS starten wird.

Wie bereits in den vorherigen Jahren hat MZLA auch im Jahr 2022 die Einnahmen durch Spenden steigern können – und das signifikant. Lagen die Spenden-Einnahmen im Jahr 2021 noch bei knapp 2,8 Millionen USD, waren es 2022 über 6,4 Millionen USD. Dies ist dem Finanzbericht des Jahres 2022 zu entnehmen.

Die Spenden-Einnahmen entsprechen praktisch auch dem Gesamt-Umsatz der MZLA Technologies Corporation, einer 100-prozentigen Tochter der Mozilla Foundation. Langfristig soll sich dies ändern. Wie ich bereits im Februar berichtet habe, plant MZLA die Einführung weiterer Angebote, über welche zusätzliche Einnahmen generiert werden sollen. Details sind hierzu noch keine bekannt, allerdings sollen erste Angebote noch in diesem Jahr als Beta starten. Thunderbird selbst wird natürlich weiterhin vollständig kostenlos bleiben, versichert MZLA.

Personalkosten bleiben der mit Abstand teuerste Posten und machen fast 80 Prozent der Ausgaben aus. Insgesamt hatte MZLA Ausgaben in Höhe von knapp 3,6 Millionen USD, verglichen mit fast 2 Millionen USD im Jahr 2021.

Während die MZLA Technologies Corporation Anfang 2022 noch 15 Menschen beschäftige, besteht das Team mittlerweile aus 24 Mitarbeitern. Auch in diesem Jahr wird ein leichter Wachstum erwartet. So soll noch in diesem Jahr ein iOS-Entwickler dazu stoßen und die Entwicklung von Thunderbird für iOS beginnen. An Thunderbird für Android arbeitet MZLA bereits seit der Übernahme von K-9 im vergangenen Jahr, außerdem wurde in diesem Jahr ein zweiter Android-Entwickler eingestellt. Die Voraussetzungen für iOS sind allerdings deutlich schwieriger, da hier noch kein fertiger E-Mail-Client existiert, auf den MZLA aufbauen kann. Bis also tatsächlich Thunderbird für iOS erscheinen wird, wird vermutlich noch einige Zeit vergehen.

Der Beitrag Thunderbird: Einnahmen in 2022 mehr als verdoppelt, Thunderbird für iOS wird kommen erschien zuerst auf soeren-hentzschel.at.

Firefox Monitor ist ein kostenloser Dienst von Mozilla, welcher Nutzer überprüfen lässt, ob deren Benutzerkonten im Web in der Vergangenheit Teil eines bekannten Datendiebstahls waren. Aktuell arbeitet Mozilla an der Einführung von Firefox Monitor Premium. Nun sind erste Informationen über potentielle Funktionen bekannt.

Das ist Firefox Monitor

Mozillas kostenfreier Dienst Firefox Monitor zeigt nach Eingabe einer E-Mail-Adresse an, ob diese Teil eines bekannten Datendiebstahls in der Vergangenheit war. Neben dem Zeitpunkt des Diebstahls und dem Zeitpunkt des Bekanntwerdens wird auch angegeben, welche Daten gestohlen worden sind, zum Beispiel E-Mail-Adressen, Benutzernamen oder Passwörter. Darüber hinaus nennt Firefox Monitor allgemeine Tipps, welche man in Betracht ziehen sollte, wenn man von einem Datendiebstahl betroffen ist.

Firefox Monitor Premium wird kommen

Anfang April hatte Mozilla einen Relaunch von Firefox Monitor durchgeführt, bei dem im Hintergrund einiges neu implementiert worden ist, vor allem aber wurde das Design komplett erneuert. Doch dabei wird es nicht bleiben. Mozilla plant die Einführung von Firefox Monitor Premium, worüber ich ebenfalls im April exklusiv berichtete.

Potentielle Features von Firefox Monitor Premium

Welche Vorteile Firefox Monitor Premium bringen wird, wurde noch nicht offiziell kommuniziert, ebenso nicht der Preis sowie der Zeitpunkt der geplanten Einführung. Daher sind die folgenden Informationen als erste Hinweise zu betrachten, sollten aber noch mit Vorsicht genossen werden.

Aktuell können bis zu fünf E-Mail-Adressen hinterlegt werden, welche dann auf Vorfälle hin überwacht werden. Ein neuer Text in der Implementierung deutet darauf hin, dass in der kostenfreien Version in Zukunft nur noch eine E-Mail-Adresse hinterlegt werden kann. Ohnehin dürften die allermeisten Nutzer nur eine einzige E-Mail-Adresse haben, womit die Möglichkeit, mehrere E-Mail-Adressen überwachen zu können, ein naheliegendes Premium-Feature ist.

Erwähnt wird in dem Text zum Abbruch des Abonnements auch, dass mit der Beendigung die Ergebnisse der Datenschutz-Scans dauerhaft gelöscht werden. Dies in Zusammenhang mit der Implementierung von Code, welcher die OneRep-API nutzt, deutet die Integration eines Dienstes an, welcher persönliche Informationen von Google und über 190 Personen-Suchmaschinen entfernt. Tatsächlich gab es Anfang 2022 bereits eine Warteliste für ein entsprechendes Feature auf der Website von Firefox Monitor.

Einen Haken hat diese Integration allerdings: OneRep ist derzeit ausschließlich auf den US-Markt ausgelegt. Ob es seitens OneRep Pläne zur Expansion gibt oder ob Mozilla bereits Pläne für Europa über einen alternativen Anbieter hat, ist zu diesem Zeitpunkt nicht bekannt. Möglicherweise hängen derartige Pläne auch davon ab, wie dieses Feature in den USA angenommen wird.

Der Beitrag Erste Informationen über Features von Firefox Monitor Premium erschien zuerst auf soeren-hentzschel.at.

Nachdem ich bereits beschrieben habe, wie ich Labor-Umgebungen mit Ansible in KVM erstelle, beschreibe ich in diesem Artikel, wie ich die dort verwendeten Gold-Images erstelle.

Ich erkläre kurz, was ein Gold-Image ist und wofür man es verwendet. Anschließend zeige ich, wie man mit dem Programm qemu-img eine Image-Datei auf der Kommandozeile erzeugt und diese im Installationsprozess für die Partitionierung und Erzeugung des LVM nutzt. Im Anschluss daran dokumentiere ich, welche Laufwerke und Dateisysteme ich für welchen Zweck erstelle und warum ich mich so entschieden habe. Der Text endet mit einer Sammlung von Quellen und weiterführenden Links zum Thema.

Der Text soll mir helfen, in Zukunft nachvollziehen zu können, warum ich mich so entschieden habe. Für euch mag er als Information dienen, wie ich im Unterschied zu euch an das Thema herangehe. Wer noch nie etwas von Gold-Images gehört hat, findet in diesem Text eine Erklärung und passende Quellen dazu.

Was ist ein Gold-Image?

Ein Gold-Image, auch Golden Image oder Baseline-Image genannt, bezeichnet eine Vorlage (engl. template) in virtuellen Umgebungen, woraus sich virtuelle Maschinen (VMs) klonen lassen (siehe [1-5]).

In ein Gold-Image werden all die Softwarekomponenten, Anwendungen und Konfigurationsoptionen aufgenommen, welche Bestandteil aller davon abgeleiteten VMs sein sollen. Klonen ermöglicht die schnelle Bereitstellung neuer Systeme. Dies ist besonders dann nützlich, wenn sich die VMs sehr ähnlich sind und man nur eine geringe Anzahl von Gold-Images pflegen muss.

Ich nutze Gold-Images, um für die von mir verwendeten Linux-Distributionen jeweils eine Installation manuell durchzuführen, welche die minimal erforderlichen Pakete enthält, um die abgeleiteten Klone mit Ansible fertig konfigurieren zu können. Wie ich dabei vorgehe, beschreibe ich in den folgenden Abschnitten.

Erstellung der Image-Datei

Im ersten Schritt erstelle ich Image-Dateien im qcow2-Format. Bei diesem Format handelt es sich um das heute gebräuchliche Format in KVM-/QEMU-Umgebungen. Zur Erstellung verwende ich das QEMU disk image utility qemu-img.

Die allgemeine Form des Befehls lautet (Details siehe Manpage qemu-img(1)):

qemu-img create -f FORMAT DATEINAME GRÖßE

Der folgende Befehl erstellt eine Image-Datei im qcow2-Format, mit 20 Gigabyte Größe und dem Dateinamen debian11-template.qcow2 im Pfad /var/lib/libvirt/images/:

$ qemu-img create -f qcow2 /var/lib/libvirt/images/debian11-template.qcow2 20G
Formatting '/var/lib/libvirt/images/debian11-template.qcow2', fmt=qcow2 cluster_size=65536 extended_l2=off compression_type=zlib size=21474836480 lazy_refcounts=off refcount_bits=16

Dabei werden die 20 GB nicht sofort alloziert. Zu Beginn belegt die Datei lediglich einige Kilobyte und kann je nach Nutzung auf die maximale Größe von 20 GB anwachsen. Diese Bereitstellungsform ist auch als Thin provisioning bekannt.

ls -sh /var/lib/libvirt/images/debian11-template.qcow2
193K /var/lib/libvirt/images/debian11-template.qcow2

Es lässt sich auf diese Weise mehr Speicherplatz provisionieren, als tatsächlich im System zur Verfügung steht. Dabei gilt jedoch zu beachten, dass sich die Physik nicht betrügen lässt. Man ist gut beraten, den realen Speicherverbrauch zu überwachen, um volllaufende Dateisysteme zu vermeiden.

Installation und Partitionierung

Bei der Installation des Gold-Images für Labor-Umgebungen mache ich es mir relativ einfach. Ich erstelle z.B. im virt-manager oder cockpit eine VM, die ich von einem Installations-ISO-Image der jeweiligen Distribution installiere.

Bei Debian installiere ich für gewöhnlich ein System ohne grafische Oberfläche, welches zusätzlich zur Basis-Installation lediglich die Paketgruppen SSH-Server und System-Werkzeuge umfasst. Bei Fedora oder RHEL führe ich die Minimal-Installation durch.

Ob bzw. welches Passwort für den Benutzer root vergeben wird, ist an dieser Stelle nicht wichtig, da dies beim Klonen in eine neue VM durch die Ansible-Rolle kvm_provision_lab geändert wird.

Der Installer erkennt eine Festplatte, die in diesem Text exemplarisch als /dev/vda bezeichnet wird. Diese wird nun wie folgt konfiguriert.

Vorwort zur Partitionierung

Das optimale Partitionslayout hängt vom konkreten Anwendungsfall ab und kann sich je nach Umgebung stark unterscheiden. Das von mir verwendete Layout passt aktuell am besten zu meinen Anforderungen. Es mag in Zukunft völlig anders aussehen.

Ich beschreibe, welche Partitionen ich erstelle und erläutere, warum ich mich zum Zeitpunkt der Erstellung dieses Textes dafür entschieden habe. Bitte übernehmt dieses Layout nicht stumpf, sondern überlegt, ob es zu euren Anforderungen passt.

Primäre Partition /dev/vda1 für /boot

In dieser Partition werden die Kernel und das initramfs abgelegt. Nach meiner Erfahrung reicht eine Größe von 1 GiB aus, um auch einige ältere Kernel vorzuhalten. Formatiert habe ich diese Partition mit dem Dateisystem ext4.

Ich bevorzuge ext4 gegenüber XFS, da es sich im Gegensatz zu letzterem auch verkleinern lässt. Zugegeben, dass dies notwendig ist, ist mir in 20 Jahren nur einmal untergekommen. Doch in diesem einen Moment war ich froh, dass es möglich war.

LVM, PV, VG, LV, Dateisysteme und Einhängepunkte

Der Logical Volume Manager (LVM) (siehe [11-13]) bietet die Möglichkeit, Partitionen (genaugenommen Logical Volumes) für weitere Einhängepunkte zu erstellen, welche sich später noch flexibel in der Größe anpassen lassen (Vergrößern und Verkleinern). Und dies, ohne die verwendeten Dateisysteme aushängen zu müssen.

Wer mit den für LVM relevanten Begriffen Physical Volume, Volume Group und Logical Volume nicht vertraut ist, findet weiterführende Hinweise in [12] für Debian bzw. [13] für RHEL. Ich werde die Erstellung hier nicht im Detail beschreiben.

Ich erstelle eine zweite primäre Partition /dev/vda2 mit Typ LVM, welcher ich die verbleibende Speicherkapazität von 19 GiB zuweise. Mein fertiges Partitionslayout sieht wie folgt aus:

lsblk -o +FSTYPE
NAME                  MAJ:MIN RM  SIZE RO TYPE MOUNTPOINT FSTYPE
sr0                    11:0    1 1024M  0 rom             
vda                   254:0    0   20G  0 disk            
├─vda1                254:1    0  953M  0 part /boot      ext4
└─vda2                254:2    0 19.1G  0 part            LVM2_member
  ├─vg_system-root    253:0    0  9.3G  0 lvm  /          ext4
  ├─vg_system-var_log 253:1    0  4.7G  0 lvm  /var/log   ext4
  └─vg_system-home    253:2    0  1.9G  0 lvm  /home      ext4

Vorstehendem Code-Block ist zu entnehmen, dass ich drei Logical Volumes für die Einhängepunkte /, /var/log und /home verwende. Ich verwende auch hier durchgängig das ext4-Dateisystem.

Log-Dateien und unkontrolliert wachsende Daten in HOME-Verzeichnissen führen schnell dazu, dass das Root-Dateisystem (/) vollläuft. Dies lässt sich mit der Verwendung separater Einhängepunkte sicher verhindern.

Eurem aufmerksamen Auge ist sicher aufgefallen, dass ich keine Swap-Partition verwende. Da ich sie für die meist kurzlebigen Labor-VMs nicht benötige, lasse ich diese in der Regel weg. Für Systeme, die ich für langfristigen Betrieb installiere, füge ich diese nachträglich hinzu. Dank LVM ist dies kein Problem.

Darüber, ob man eine Swap-Partition braucht und wie groß diese sein sollte, werden teils esoterische Diskussionen geführt. Ich selbst orientiere mich an Table B.1. Recommended system swap space aus [14].

Damit habe ich ein Gold-Image erstellt, welches mir als Vorlage für weitere VMs dient und dabei nur wenig Platz auf der Festplatte des Hypervisor belegt:

ls -sh /var/lib/libvirt/images/debian11-template.qcow2
2.3G /var/lib/libvirt/images/debian11-template.qcow2

Sysprep

Sysprep ist ursprünglich ein Programm von Microsoft, mit welchem Gold-Images für die automatische Verteilung von Microsoft Windows vorbereitet werden. Heute taucht dieser Begriff in den Programmbezeichnungen weiterer Projekte auf und beschreibt gleichzeitig die Tätigkeit, ein Gold-Image für die weitere Verwendung vorzubereiten. Ich selbst verwende das Programm virt-sysprep von Richard W.M. Jones (Red Hat) und Wanglong Gao (Fujitsu Ltd.).

Virt-sysprep entfernt Einstellungen, User, Host-spezifische Dateien und leert Protokolldateien in dem erzeugten Image. Damit soll sichergestellt werden, dass die von dem Gold-Image abgeleiteten VMs keine Eigenschaften besitzen, die spezifisch für das Original sind, wie z.B. der Hostname, MAC-Adressen oder die SSH-Host-Keys, um nur drei Beispiele zu nennen. Die Anwendung ist daher dringend empfohlen.

Mit dem Befehl virt-sysprep --list-operations kann man sich die Aktionen anzeigen lassen, die virt-sysprep ausführen kann. Die Standard-Aktionen sind in der Ausgabe mit einem ‚*‘ markiert. Unter RHEL 9 sieht die Ausgabe wie folgt aus:

$ virt-sysprep --list-operations
abrt-data * Remove the crash data generated by ABRT
backup-files * Remove editor backup files from the guest
bash-history * Remove the bash history in the guest
blkid-tab * Remove blkid tab in the guest
ca-certificates   Remove CA certificates in the guest
crash-data * Remove the crash data generated by kexec-tools
cron-spool * Remove user at-jobs and cron-jobs
customize * Customize the guest
dhcp-client-state * Remove DHCP client leases
dhcp-server-state * Remove DHCP server leases
dovecot-data * Remove Dovecot (mail server) data
firewall-rules   Remove the firewall rules
flag-reconfiguration   Flag the system for reconfiguration
fs-uuids   Change filesystem UUIDs
ipa-client * Remove the IPA files
kerberos-data   Remove Kerberos data in the guest
kerberos-hostkeytab * Remove the Kerberos host keytab file in the guest
logfiles * Remove many log files from the guest
lvm-system-devices * Remove LVM2 system.devices file
lvm-uuids * Change LVM2 PV and VG UUIDs
machine-id * Remove the local machine ID
mail-spool * Remove email from the local mail spool directory
net-hostname * Remove HOSTNAME and DHCP_HOSTNAME in network interface configuration
net-hwaddr * Remove HWADDR (hard-coded MAC address) configuration
net-nmconn * Remove system-local NetworkManager connection profiles (keyfiles)
pacct-log * Remove the process accounting log files
package-manager-cache * Remove package manager cache
pam-data * Remove the PAM data in the guest
passwd-backups * Remove /etc/passwd- and similar backup files
puppet-data-log * Remove the data and log files of puppet
rh-subscription-manager * Remove the RH subscription manager files
rhn-systemid * Remove the RHN system ID
rpm-db * Remove host-specific RPM database files
samba-db-log * Remove the database and log files of Samba
script * Run arbitrary scripts against the guest
smolt-uuid * Remove the Smolt hardware UUID
ssh-hostkeys * Remove the SSH host keys in the guest
ssh-userdir * Remove ".ssh" directories in the guest
sssd-db-log * Remove the database and log files of sssd
tmp-files * Remove temporary files
udev-persistent-net * Remove udev persistent net rules
user-account   Remove the user accounts in the guest
utmp * Remove the utmp file
yum-uuid * Remove the yum UUID
customize * Customize the guest
dhcp-client-state * Remove DHCP client leases
dhcp-server-state * Remove DHCP server leases
dovecot-data * Remove Dovecot (mail server) data
firewall-rules   Remove the firewall rules
flag-reconfiguration   Flag the system for reconfiguration
fs-uuids   Change filesystem UUIDs
ipa-client * Remove the IPA files
kerberos-data   Remove Kerberos data in the guest
kerberos-hostkeytab * Remove the Kerberos host keytab file in the guest
logfiles * Remove many log files from the guest
lvm-system-devices * Remove LVM2 system.devices file
lvm-uuids * Change LVM2 PV and VG UUIDs
machine-id * Remove the local machine ID
mail-spool * Remove email from the local mail spool directory
net-hostname * Remove HOSTNAME and DHCP_HOSTNAME in network interface configuration
net-hwaddr * Remove HWADDR (hard-coded MAC address) configuration
net-nmconn * Remove system-local NetworkManager connection profiles (keyfiles)
pacct-log * Remove the process accounting log files
package-manager-cache * Remove package manager cache
pam-data * Remove the PAM data in the guest
passwd-backups * Remove /etc/passwd- and similar backup files
puppet-data-log * Remove the data and log files of puppet
rh-subscription-manager * Remove the RH subscription manager files
rhn-systemid * Remove the RHN system ID
rpm-db * Remove host-specific RPM database files
samba-db-log * Remove the database and log files of Samba
script * Run arbitrary scripts against the guest
smolt-uuid * Remove the Smolt hardware UUID
ssh-hostkeys * Remove the SSH host keys in the guest
ssh-userdir * Remove ".ssh" directories in the guest
sssd-db-log * Remove the database and log files of sssd
tmp-files * Remove temporary files
udev-persistent-net * Remove udev persistent net rules
user-account   Remove the user accounts in the guest
utmp * Remove the utmp file
yum-uuid * Remove the yum UUID

Selbstverständlich gibt es mit virt-sysprep(1) auch eine Manpage, welche die Nutzung des Programms und sämtliche Optionen erläutert.

Es ist sehr wichtig, dass die zu behandelnde Domain (VM) ausgeschaltet ist, bevor virt-sysprep gestartet wird, um eine Korruption der Image-Datei zu vermeiden.

Der nun folgende Code-Block zeigt die Anwendung von virt-sysprep auf die qcow2-Datei meines debian11-templates. Die dabei verwendeten Option --operations defaults,-ssh-userdir sorgt dafür, dass alle Standard-Operationen mit der Ausnahme durchgeführt werden, dass die .ssh-Verzeichnisse der User erhalten bleiben. Die Option --firstboot-command 'dpkg-reconfigure openssh-server' stellt sicher, dass beim ersten Start des Klons neue SSH-Hostkeys generiert werden. Andernfalls kann der SSH-Dienst nicht starten und ich wäre nicht in der Lage mich via SSH anzumelden. Anschließend ist das Image bereit, um geklont bzw. kopiert zu werden.

$ virt-sysprep -a /var/lib/libvirt/images/debian11-template.qcow2 --operations defaults,-ssh-userdir --firstboot-command 'dpkg-reconfigure openssh-server'
[   0.0] Examining the guest ...
[   2.0] Performing "abrt-data" ...
[   2.0] Performing "backup-files" ...
[   2.1] Performing "bash-history" ...
[   2.1] Performing "blkid-tab" ...
[   2.1] Performing "crash-data" ...
[   2.1] Performing "cron-spool" ...
[   2.1] Performing "dhcp-client-state" ...
[   2.1] Performing "dhcp-server-state" ...
[   2.1] Performing "dovecot-data" ...
[   2.1] Performing "ipa-client" ...
[   2.1] Performing "kerberos-hostkeytab" ...
[   2.2] Performing "logfiles" ...
[   2.2] Performing "lvm-system-devices" ...
[   2.2] Performing "machine-id" ...
[   2.2] Performing "mail-spool" ...
[   2.2] Performing "net-hostname" ...
[   2.2] Performing "net-hwaddr" ...
[   2.3] Performing "net-nmconn" ...
[   2.3] Performing "pacct-log" ...
[   2.3] Performing "package-manager-cache" ...
[   2.3] Performing "pam-data" ...
[   2.3] Performing "passwd-backups" ...
[   2.3] Performing "puppet-data-log" ...
[   2.3] Performing "rh-subscription-manager" ...
[   2.3] Performing "rhn-systemid" ...
[   2.4] Performing "rpm-db" ...
[   2.4] Performing "samba-db-log" ...
[   2.4] Performing "script" ...
[   2.4] Performing "smolt-uuid" ...
[   2.4] Performing "ssh-hostkeys" ...
[   2.4] Performing "sssd-db-log" ...
[   2.4] Performing "tmp-files" ...
[   2.4] Performing "udev-persistent-net" ...
[   2.4] Performing "utmp" ...
[   2.4] Performing "yum-uuid" ...
[   2.4] Performing "customize" ...
[   2.4] Setting a random seed
[   2.5] Setting the machine ID in /etc/machine-id
[   2.5] Installing firstboot command: dpkg-reconfigure openssh-server
[   2.5] SELinux relabelling
[   2.5] Performing "lvm-uuids" ...

Das Programm ist nicht auf qcow2-Images beschränkt. Einen weiteren Anwendungsfall habe ich bereits hier im Blog beschrieben: VMware ESXi: VMDK-Datei einer Gast-VM mit virt-sysprep bereinigen.

Verwendung der Gold-Images

Die Gold-Images werden verwendet, um durch Klonen neue VMs zu erstellen. Ich verwende dazu die Eingangs erwähnte Ansible-Rolle kvm_provision_lab.

Was tun, wenn der Platz knapp wird?

Wird im Laufe des Lebenszyklus einer VM mehr Speicherplatz benötigt, so lässt sich das Vorgehen wie folgt skizzieren:

1. Neue virtuelle Festplatte mit ausreichend Speicherkapazität der VM hinzufügen.
2. Eine Partition auf der neuen virtuellen Festplatte erstellen (optional).
3. Mit pvcreate ein neues Physical Volume erstellen.
4. Das Physical Volume mit vgextend der Volume Group hinzufügen.
5. Das Logical Volume mit lvextend vergrößern.

Die Schritte 3-5 werden ausführlich in der RHEL-9-Dokumentation in Chapter 5. Modifying the size of a logical volume beschrieben. Dort wird auch beschrieben, wie ein Logical Volume verkleinert werden kann.

Falls ihr euch hierzu ein Tutorial wünscht, lasst es mich bitte in den Kommentaren wissen. Dann liefere ich ein entsprechendes Beispiel nach.

Quellen und weiterführende Links

1. Was ist ein Golden Image? URL: https://www.redhat.com/de/topics/linux/what-is-a-golden-image.
2. What is a golden image? On opensource.com by Seth Kenlon (Team, Red Hat). URL: https://opensource.com/article/19/7/what-golden-image.
3. What is a golden image? Definition by Nick Martin on TechTarget. URL: https://www.techtarget.com/searchitoperations/definition/golden-image
4. Definition Golden Image (auch Master Image oder Goldenes Abbild). ComputerWeekly.de. URL: https://www.computerweekly.com/de/definition/Golden-Image-auch-Master-Image-oder-Goldenes-Abbild
5. Was ist ein Golden Image? 21.11.2018: Autor / Redakteur: Dipl. Betriebswirt Otto Geißler / Ulrike Ostler. URL: https://www.datacenter-insider.de/was-ist-ein-golden-image-a-775197/
6. Wikipedia-Artikel zu qcow {EN}
7. QEMU disk image utility
8. Wikepdia-Artikel Thin zu provisioning {EN}
9. Performing a standard RHEL 9 installation; Appendix B. Partitioning reference; URL: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/performing_a_standard_rhel_9_installation/partitioning-reference_installing-rhel#recommended-partitioning-scheme_partitioning-reference
10. Debian: Empfohlene Partitionsschemata. URL: https://www.debian.org/releases/bullseye/amd64/apcs03.de.html
11. Wikipedia-Artikel zu LVM
12. LVM – Debian Wiki {EN}
13. Configuring and managing logical volumes. Red Hat Enterprise Linux 9. A guide to the configuration and management of LVM logical volumes. {EN}
14. Appendix B. Partitioning reference. Performing a standard RHEL 9 installation. {EN}
15. VMware ESXi: VMDK-Datei einer Gast-VM mit virt-sysprep bereinigen