Linux-Magazin Packende Story (Vorschau)

06/11
Anzeige:
JeTzT
Linux DeDicateD Server
beSteLLen unD einen
DynamiSchen Linux v-Server
gratiS Dazu erhaLten!
STRATO PRO
Server-Technik, die begeistert!
strato-pro.de siehe Seite 31
STR0511_TKS_Dedi_Server_120x17.indd 1
15.04.2011 19:21:48 Uhr
Dateisysteme
verschlüsseln
Datenschutz für jedermann: Truecrypt,
DM-Crypt oder Ecryptfs. S. 50
Wochenanfang
Sysadmin Charly und Cron
haben so ihre Differenzen
über den Montag S. 59
Firmenpolitik
Nutzen bringende Freiheit:
Wie man ein Open-Source-
Unternehmen steuert S. 72
Packende Story
Wie aus einem wirren Software-Haufen
ein dauerhaft wartbares System entsteht
■ Signierte RPMs – die behüteten Schlüsselkinder S. 26
■ Seit Squeeze vereinfacht Debians Source-
Format 3.0 den Paketbau und die -pflege S. 32
■ Conary, Zero Install Injector, Portable Linux Apps S. 38
■ Need for Speed: Einzelne Gentoo-Pakete
mit dem ICC statt mit GCC übersetzen S. 42
■ Bei hohen Sicherheitsanforderungen geht
ohne Quellcode und Audits nichts S. 46
■ Archipel verwaltet Xen, KVM,
Open VZ und VMware S. 66
■ Haskell als Code-
Musterschüler S. 94
Open Search Server: Blitzschnelle Indexer-Suite mit Management-GUI und XML-API S. 60
www.linux-magazin.de
Deutschland Österreich Schweiz Benelux Spanien Italien
4 5,95 4 6,70 sfr 11,90 4 7,00 4 7,95 4 7,95
4 192587 305954 06

Professionelles
Hosting
Managed
Server
Clustersysteme
Hochverfügbarkeit
Disaster Recovery
Zuverlässige, rund um die Uhr
betreute Hostinglösungen.
Vom einzelnen Server bis zum Cluster-
System an verteilten Standorten.
Protieren Sie von über 10 Jahren
Erfahrung und unserem kompetenten
Support für mehr Performance, Sicherheit
und Verfügbarkeit.
hostserver.de/hosting
Berlin Marburg Frankfurt am Main
Kontakt:
030/420 200 24
info@hostserver.de

Einfach entsorgt
Login 06/2011
Editorial
Auf dem Weg zum Altpapiercontainer werden meine Arme unter der Last eines
Stapels alter Softwareschachteln immer länger. Das hat auch sein Gutes, denn
dann kann ich die Treppe besser sehen, die ich heruntertappe. Wer wie ich letztens
umziehen will, mistet vorher schweren Herzens und schweren Schrittes aus.
Einziger Trost: Beim nächsten Umzug wird alles besser, denn dank Downloads und
Subscriptions stehen Softwareboxen auf der Liste der akut vom Aussterben bedrohten
Alltagsutensilien. Kulturell ist das haptische Erlebnis des Brechen eines
Kunststoffsiegels zu verkraften („Mit dem Öffnen der Verpackung erkennen Sie
die Lizenzbedingungen…“). Zudem fallen die oft voluminösen Handbücher weg.
Ich bin kein Nostalgiker, mein Leben als Anwender könnte auch ohne gedruckte
Handbücher gelingen, die ich Jahre später sowieso zu einem Papiercontainer
bugsieren muss. Die Praxis zeigt jedoch, dass Hersteller und freie Projekte gleichermaßen
die digitale Form von Dokumentation als Einladung zum Reduzieren
Jan Kleinert, Chefredakteur
bis zur Unkenntlichkeit verstehen. Damit kommen die Anbieter durch, weil die Kunden keine Softwareschachtel
mehr zur Kasse tragen. Früher signaliserten Größe und Gewicht der Box noch etwas über die Bereitschaft des
Produzenten, seine Anwender beim Benutzen des Programms zu unterstützen – heute nicht.
Nach dem Wegfall ausführlicher Handbücher geht es mir nicht mal darum, wie der viel beschworene Einsteiger
seine ersten Schritte hinbekommt – die Hauptfunktionen vieler GUIs sind heute einigermaßen selbsterklärend.
Das wahre Elend lauert jenseits der ausgetretenen Wege – auch für technisch fittere Anwender. Letztens wollte
ich Maßlinien in Open Office Draw benutzen. Allein um herauszufinden, wie ich eine 3 mal 1 Meter große Zeichenfläche
anlege, habe ich fünf Minuten gebraucht.
RTFM, Read the fucking Manual, hätte man mir früher beschieden, wenn ich mich in einem Forum beschwert
hätte. Heute ist „RTFM“ zu posten außer Mode – zurecht: Read the fucking what?! Die Erklärungen zu den
Bemaßungsfunktionen in der Open-Office-Hilfe beginnen thematisch irgendwo und enden kurz danach. Wie
die zugehörige Ebene funktioniert, hat sich mir auch nach einer Stunde nicht erschlossen. Dann habe ich das
Projekt „Jan macht am PC eine einfache technische Zeichnung“ aufgegeben, die Sache mit Stift und Lineal in
wenigen Minuten auf Papier erledigt und das Ergebnis eingescannt.
Ich bezweifle nicht, dass „man“ in Open Office diese Arbeit ganz passabel erledigen kann – aber eben nicht
„jedermann“. Vielleicht wird diese Funktion so selten benutzt, dass es nicht lohnt, ihre Usability perfekt zu
gestalten. Aber genau hier entsteht die Notwendigkeit einer verständlichen und vor allem vollständigen Dokumentation!
„Stiefmütterlich“ behandeln viele Projekte ihre Hilfetexte, ist oft zu lesen. Wer das schreibt, tut
angesichts des lieblos-verknappten Geschreibsels Millionen Stiefmüttern tiefes Unrecht, die ihren angeheirateten
Kindern jeden Morgen das Pausenbrot in den Schulranzen stecken.
Ich meine, die Tendenz Programmbeschreibungen bis zur oder unter die Wahrnehmungsgrenze zu schrumpfen,
führt geraden Weges in die Sackgasse: Wozu noch Dutzende neuer Features, die als Stichworte in Changelog-
Dateien und sonst nirgends auftauchen?! Kaum jemand wird sie nutzen. Mit ein bisschen Weitsicht ist eine
gute Dokumentation kein disponibler Kostentreiber, sondern ein Marketingmittel, das Kunden den eigentlichen
Entwicklungsaufwand am Produkt erst verdeutlicht. Darum: Doku statt Produktflyer!
Solche Gedanken kommen einem, der eine gefühlte Zehn-Kilo-Dbase-Schachtel drei Etagen nach unten schleppt
und Handbuch für Handbuch in den Schlitz eines Altpapiercontainers plumpsen lässt.
www.linux-magazin.de
3

Inhalt
www.linux-magazin.de 06/2011 06/2011
4
Windows-Anwender könnten gelb vor Neid werden: Moderne Linux-Distributionen verfügen
über ein durchgängiges Update-, Abhängigkeits- und Konfliktmanagement für Programme,
Bibliotheken, Treiber und den Kernel. Zum Leidwesen der Konkurrenz legen die Linux-Distributionen
dauernd nach, zum Beispiel Debian Squeeze mit dem Source-Format 3.0.
Aktuell
Titelthema: Packende Story
6 News
n Gnome 3 in neuem Gewand
n Firefox Mobile 4 auch für Android
n Zenwalk 7 mit Libre Office
n Viel Neues in GCC 4.6
26 RPM-Signaturen
Red Hats Format im Detail: Zertifikate,
GPG und MD5-Hashes ermöglichen
verifizierbare Pakete im Eigenbau.
32 Neues Debian-Paketformat
Admins profitieren von wichtigen Neuerungen
in Deb-Source 3.0, die Bau und
Pflege von Software vereinfachen.
42 Gentoo-Software per ICC
Alles aus den zu Sourcen kompilieren,
das ist die Gentoo-Idee. Bringt ein anderer
Compiler als GCC mehr Performance?
Meego UX: Seit dem MWC in Barcelona hat
die Tablet-Ausgabe auch ein SDK.
14 Zahlen & Trends
n Das Ende von Groklaw
n IDC: Android wird die Nummer 1
n Linuxtag 2011: Das Vortragsprogramm
n Ubuntu lehnt unfreie Pakete ab
Die FSFE zeichnet Tagesschau.de für den
Einsatz freier Software aus.
22 Zacks Kernel-News
n Bufferbloat: Latenzprobleme im Netz
n Dokumentation für Overlay-Filesysteme
n Ath6kl: Bessere Aetheros-Treiber
24 10 Jahre Radio Tux
Shuttleworth, Maddog und mehr: Radio
Tux begleitet Linux seit einer Dekade.
Kein Aprilscherz:
Am
1.4.2001
produzierte
Radio Tux
seine erste
Sendung.
Debian-Entwickler lieben das neue Format. Es
bringt mehr Sicherheit und neue Möglichkeiten.
38 Exotische Paketmanager
Conary, Zero Install und Portable Linux.
Ungewohnt, aber nicht unhandlich:
Paketformate abseits des Mainstream.
Service
3 Editorial
108 IT-Profimarkt
109 Stellenanzeigen
111 Seminare
112 Inserenten, Veranstaltungen
113 Impressum, Autoren
114 Vorschau
PostgreSQL im Portage-System.
46 Schritte zur sicheren IT
Oft lohnt es sich, aus Sicherheitsgründen
die komplette Unter nehmenssoftware
aus den Quellen zu bauen.
Software
49 Einführung
Auf der DELUG-DVD: Gnome 3, eine
Suchmaschine, Cebit-Videos, das Beste
von Radio Tux und ein O’Reilly-E-Book.
50 Bitparade
Titel
Drei Festplattenverschlüsseler im Test:
Truecrypt, DM-Crypt und Ecryptfs.
56 Tooltipps
Adsuck, Xchainkeys, der bessere
Filemanager Pfm, Vidma und Weborf.
Partclone kopiert komplette Partitionen.

Komponententyp
proprietäre
Open Source
Community
Open Source
06/2011 06/2011
Inhalt
66 Reif für die Inseln
Wer unterschiedliche Virtualisierungsserver
in einem gemeinsamen Web-
GUI verwalten will, sollte sich über
den Newcomer Archipel informieren.
72 Konzertiert
Firmen, die auf freie Software setzen,
müssen wissen, wie sie Com munities
dirigieren. Wichtig dabei: Soziale Kompetenz
und Führungspersonal.
102 Heiße Rhythmen
Perl liest die Datenbank des Medienplayers
aus, repariert sie bei Bedarf
und ermittelt den richtigen Beatsper-Minute-Wert.
www.linux-magazin.de
5
Sysadmin
Forum
Know-how
59 Einführung
Titel
Wann fängt die Woche an und was hat
Napoleon damit zu tun? Sys admin Charly
und Cron zählen die Wochentage.
60 Open Search Server
Titel
Die Lucene-basierte Suchmaschine
durchsucht das Web, Datenbanken und
Files und überzeugt mit einem umfangreichen
Webinterface.
72 Freie Projekte steuern
Titel
Welche Möglichkeiten Softwareherstellern
bleiben, um Open-Source-
Projekte in die gewünschte Richtung
zu lenken.
Entwicklungskosten
reduzieren
soziale
Führung
soziale
Führung
Geschäftsziele
möglichst viele
Kunden erreichen
Wettbewerb
minimieren
Eigentum an
der Domain
Kontrolle über
Copyright,
Marke,
Entwicklung
soziale Führung,
Eigentum an
Domain, strategische
Positionierung
Kontrolle über
Marke,
Entwicklung,
Strategie
Closed-Source-Firma Single-Vendor-OSS-Firma Open-Source-Distributor
86 Kern-Technik 57
Das Crypto-API des Kernels verschlüsselt
Dateien und berechnet sichere Hashes.
DM-Crypt IPsec
...
Hash-Transform
Compress-Transform
Festplattenverschlüsselung
Verschlüsselte Kommunikation
»/usr/src/linux/crypto/api.c«
Crypto-API
»/usr/src/linux/crypto/algapi.c«
Asynchronous-Blockcipher-Transform
AEAD-Transform
Cipher-Transform
Blockcipher-Transform
AES 3DES MD5 Zlib ...
Verschlüsselung
Kompression
Hashsummen
Sonstiges (Zufallszahlen)
Abstrahierte Verschlüsselungsalgorithmen
im Crypto-Layer des Linux-Kerns.
Der richtige Hebel: Kontrollpunkte und
Steuer mechanismen für OSS-Hersteller.
78 Rechtsrat
Leser fragen, der Linux-Magazin-
Ratgeber antwortet: Urheberrecht,
Verträge und Lizenzen.
Programmieren
94 Haskell
Titel
Die funktionale Programmiersprache
macht den Code kurz und knackig.
Monitoring-Tools zeigen, wie der Open
Search Server die Linux-Magazin-Webseite
aussaugt und indiziert.
66 Archipel
Titel
Ganz auf Jabber-XMPP setzt Archipels
Cloud-Management. Via Chatprotokoll
steuert der Admin seine Xen-, KVM,- oder
VMware-Hypervisoren und -Instanzen..
82 Bücher
Zwei umfassende Werke
über die ungewöhnliche
Programmiersprache
Haskell.
83 Leserbriefe
Auf den Punkt gebracht.
Kann seinen Ursprung in der Mathematik nicht
verleugnen: Haskell glänzt durch Kürze.
102 Perl-Snapshot
Perlmeister Schillis Skripte analysieren
und archivieren Musik und kollaborieren
mit dem Mediaplayer Banshee.
Eine 1-Hz-Sinuskurve mit einer Abtastrate
von 44 100 Hz im Zweikanal-Rohformat.

Aktuell
www.linux-magazin.de News 06/2011
6
News
Gnome 3 im neuen Gewand
Die Release von Gnome 3
bedeutet für das Projekt den
bislang größten Umbau der
vergangenen neun Jahre,
heißt es bedeutungsschwer
in der Ankündigung des Projekts.
Das Nutzerinterface sei
ebenso revolutionär wie die
neuen Features, schreiben die
Entwickler. Die Gnome-Shell
sei komplett für die jeweilige
Aufgabenstellung angepasst,
so das Gnome-Designteam.
Der Nutzer soll sich damit
weitgehend ungestört von Benachrichtigungen
und Hintergrundfenstern
seiner Aufgabe
widmen können.
Ein damit verknüpftes Feature
ist der Schnellzugriff über die
Gnome in neuen Kleidern mit übersichtlicher Anordnung und App-Anmutung.
[Windows]-Taste der Tastatur.
Ein verbesserter Dateimanager,
geteilte Fensteransichten
und ein komplettes Redesign
der Systemeinstellungen zählen
zu den weiteren Änderungen
des Linux-Desktops.
Gnome 3 bringe darüber hinaus
bessere Anbindung an
die Hardware, ein neues API,
Verbesserungen der Suche,
der Messaging-Funktionen
und verschlankte Bibliotheken
mit. Miguel de Icaza, einer
der Gnome-Gründer, ist
begeistert: „Ich könnte mit
dem Resultat nicht glücklicher
sein.“
In Gnome 3 stecken fünf Jahre
Arbeit, und Jon McCann, einer
der Gnome-Shell-Designer
lobt daran besonders, dass die
ganze Entwicklung offen abgelaufen
sei. Jede Entscheidung,
gute und auch schlechte,
sei transparent gewesen.
McCann hält dieses offene
Entwicklungsmodell für den
richtigen Weg, um in einer
großen Community die besten
Resultate zu erzielen. Download
und Einblick in Gnome 3
gibt es auf der eigenen Seite:
[http://​www.​gnome3.​org] n
Firefox Mobile 4 für Android
Mit der mobilen Ausgabe des
Firefox-Browsers für Android-
Geräte und Maemo-Handys
hat Mozilla die nächste große
Release nach dem Desktop-
Browser Firefox 4 auf den
Weg gebracht. Der ehemals
als Fennec bekannte Browser
für mobile Geräte bringt laut
den Entwicklern die überarbeitete
Javascript-Engine Jägermonkey
mit.
Firefox Mobile synchronisiert
nach dem Vorbild des großen
Bruders auf Wunsch Bookmarks,
Tabs und Passwörter
mit anderen Firefox-Instanzen.
Die Zahl verfügbarer Add ons
liegt bei über 100, deren Auswahl
im Addon-Manager soll
bereits auf Kompatibilität mit
dem jeweiligen Android-Gerät
getrimmt sein.
Mozilla verspricht Bedienkomfort,
den die Entwickler
strikt an den kleinen Displays
der Smartphones ausgerichtet
haben. Vollbilddarstellungen,
Zoom und im Hintergrund
verschwindende Menüs sind
ein sichtbarer Teil davon. Der
Awesome-Screen mit der Möglichkeit,
wie bei einer Suchmaschine
bereits beim Eintippen
von URLs Vorschläge aus
der History, den Favoriten und
Bookmarks zu bekommen,
zählt ebenso dazu wie das
Setzen von Bookmarks mit
einem einzigen Touch.
Firefox Mobile bringt keine
Unterstützung für Adobe
Flash. Entwickler Matt Brubeck
erklärt, dass die Flash-
Integration für eine spätere
Version geplant sei. Zuvor
müsse man sich mit Adobe
abstimmen, denn
das Flash-Plugin
für Android nutze
einige nicht standardmäßige
Interfaces,
die speziell
für die Webkit-Bibliothek
ab Android
2.2 entwickelt
seien. Die übrigen
Features von Firefox Mobile 4
sind unter [http://www.mozilla.
com/en-US/mobile/features/]​ zusammengefasst.
Den Download
gibt es mit dem Smartphone
über den Android-Market
oder die Mozilla-Firefox-
Seite: [http://​www.​mozilla.​com/​
​en-US/​mobile/​download/] n
Funktioniert im Quer- wie im Hochformat: Der
mobile Firefox 4 auf Android.

Texmaker 3.0 mit umgebautem GUI
Texmaker, ein freier GUI-
Editor für den Textsatz mit
Latex, ist in Version 3.0 mit
neuen Features erhältlich.
Die Benutzeroberfläche hat
sich merklich verändert: Der
Editor verwendet keine Tabs
mehr und der PDF-Betrachter
ist nun in das Hauptfenster
integriert. Ebenfalls neu: Die
Tastenkombination [Strg]+
[Leertaste] schaltet zwischen
Editor und PDF-Viewer um.
Zudem ist die Präambel eines
Latex-Dokuments nun einklappbar
und der Anwender
kann jetzt die automatische
Vervollständigung von Kommandos
mit eigenen Einträgen
erweitern. Eine detaillierte
Liste der Änderungen findet
sich im Changelog.
Texmaker ist in C++ und Qt
umgesetzt und bietet Codevervollständigung,
Rechtschreibprüfung,
Code Folding,
eine Strukturansicht, Unicode-
Unterstützung sowie Wizards
für Tabellen und ähnliche
Layout-Bestandteile. Die Software
ist GPL-lizenziert und
steht auf der Homepage [http://​
​www.​xm1math.net/texmaker/]​ in
mehreren Linux-Paketformaten
sowie für Windows und
Mac OS X bereit.
n
Zenwalk 7.0 – ohne HAL, mit Libre Office
Die Desktop-Distribution Zenwalk
bietet in Version 7.0 neue
Pakete und verzichtet dafür
auf den Hardware Abstraction
Layer (HAL) zugunsten von
Udev/ GIO. Zudem haben die
Macher Libre Office 3.3.1 als
Büroprogramm gewählt. Begründung:
Libre Office habe
sich beim Testen als zuverlässiger
gezeigt als Open Office.
Der Xfce-Desktop ist in der
neuen Version 4.8.1 enthalten,
der Kernel trägt die Versionsnummer
2.6.37.4. Icecat
3.6.15 und Icedove 3.0.4 zählen
ebenfalls zur aufgefrischten
Software.
Die Entwickler verzichten zudem
auf das Current-Repository.
Um einer Zenwalk-Ausgabe
die passenden Pakete und
Aktualisierungen zu liefern,
hat das Team stattdessen ein
neues, auf die jeweilige Version
zugeschnittenes Repository
eingeführt, das Extrapakete
vorhält, die dort angebotenen
Anwendungen tragen das
Siegel „Certified compatible“.
Experimentellen Charakter
behält aber nach wie vor das
Snapshot-Repository.
In der Ankündigung für Version
7.0 von Zenwalk unter
[http://​www.​zenwalk.​org/​modules/​
​news/​article.​php?​storyid=126] sind
auch die Download-Links und
die Liste der Änderungen enthalten.
n
News 06/2011
Aktuell
www.linux-magazin.de
7
Ubuntu GNU/Linux
Linux-Server
Texmaker im neuen Layout für breite Bildschirme. Der PDF-Viewer ist rechts ins
Hauptfenster eingebettet.
1.150 S., 6. Auflage, mit 2 DVDs, 39,90 €
» www.GalileoComputing.de/2751
815 S., 2011, 49,90 €
» www.GalileoComputing.de/2205
Jboss Developer Studio 4
Version 4 des neu vorgestellten
Jboss Developer Studio
von Red Hat versteht sich besser
mit den Funktionen der
Java Server Faces 2.0. Red Hat
passte zu dem Zweck sein Developer
Studio an den Visual
Page Editor der Java Server
Faces an. Die Basis der Entwicklersoftware
bildet Eclipse
3.6 Helios. Eine Technologievorschau
von Java Contexts
and Dependency Injection
(CDI) zeigt das Entwicklerstudio
ebenfalls.
Eine kostenlose Version steht
nach vorheriger Registrierung
unter [http://​devstudio.​jboss.​com/​
​download/] zum Download bereit.
Zusammengepackt mit
Red Hat Enterprise Linux und
der Jboss Enterprise Application
Platform kostet die Portfolio
Edition von Jboss Developer
Studio dann rund 100
US-Dollar.
n
Linux-Know-how
Linux-Server einrichten
und administrieren
900 S., mit DVD, 39,90 €
» www.GalileoComputing.de/2443
www.GalileoComputing.de
Debian GNU/Linux
Ende Juni
im Handel!
820 S., 4. Auflage, mit DVD, 39,90 €
» www.GalileoComputing.de/2510
Wissen, wie’s geht.

Aktuell
www.linux-magazin.de News 06/2011
8
Fusion Directory forkt Gosa2
Einige Entwickler von Gosa2,
einer LDAP-basierten
Verwaltungssoftware für IT-
Infrastrukturen, haben ein
eigenes Projekt abgezweigt.
Die Software namens Fusion
Directory ist nun in der Version
1.0 verfügbar, sie basiert
auf dem Quellcode von Gosa2
2.6.12. Fusion Directory 1.1
soll dann später mit Gosa2 2.7
gleichziehen.
Die Gründer des Fork möchten
die Entwicklung der Software
in geringerer Abhängigkeit
von der Gonicus GmbH,
die maßgeblich hinter dem
GPLv2-lizenzierten Gosa2
steht, fortführen.
Übersichtlich: Die Hauptmenü-Ansicht von Fusion Directory.
Wie das Mutterprojekt verwaltet
Fusion Directory Benutzer
und Gruppen für Unix und
Samba, Dienste wie SMTP,
IMAP, POP, DHCP und DNS
sowie die Ausstattung von
Desktop-Clients. Die Software
arbeitet mit den Deployment-
Lösungen FAI und Opsi zusammen.
Die Version 1.0 von Fusion
Directory steht jetzt auf der
Projekt-Homepage [http://www.
fusiondirectory.org/doku.php?id=​
en:dl_install]​ als Quelltext-Tarball
sowie als Paket für Debian
Squeeze bereit. Der Quellcode
wird in einem Github-Repository
gepflegt.
n
Meego für Tablets samt SDK
Meego in der Tablet-Ausgabe.
Beim Mobile World Congress
in Barcelona zunächst vorgestellt,
ist Meego Tablet UX
nun dem geschlossenen Alphatest
entwachsen und steht
samt SDK zum Download bereit.
Die freie Software Meego
ist unter dem Dach der Linux
Foundation angesiedelt. Intel
fördert das Projekt.
Die auf Meego 1.2 (Linux-
Kernel 2.6.37) aufsetzende
Oberfläche Tablet UX ist noch
immer in der Testphase, dient
nun aber als Technologievorschau.
Sie ordnet den Desktop
in Spalten und bietet dem
Nutzer von dort aus Zugriff
auf die Anwendungen. Der
Meego-Tablet-Ansatz besteht
darin, dem Nutzer Objekte
wie Fotos und Musikdateien
zu präsentieren und ihm beim
Berühren die Auswahl der dazu
passenden Anwendungen
zu zeigen.
Das Meego-Projekt hat laut
Ankündigung [http://meego.
com/downloads/releases/1.2/meego​
-tablet-developer-preview]​ die
Programme für die Touch-
Oberfläche optimiert. Als unterstützte
Hardware ist das
Exo-PC-Tablet genannt, das
auf der Pinetrail-Plattform
von Intel aufbaut. Den Download
und Hinweise zur Installation
gibt es bei der Linux
Foundation auf den Seiten des
Meego-Projekts.
n
Skype-Beta verbindet mit Hotspots
Mit der Integration des kostenpflichtigen
Hotspot-Service
Skype Access wartet die Testversion
von Skype 2.2 für
Linux auf. Laut Anbieter ermöglicht
sie es, auf potenziell
rund 500 000 WLAN-Hotspots
weltweit zuzugreifen, deren
Nutzungsgebühren über das
Skype-Guthaben abgerechnet
werden. Wie gewohnt hinkt
die Linux-Ausgabe bei diesem
Feature der Windows-Version
hinterher.
Die Skype-Entwickler haben
sich zudem der Beseitigung
einiger Fehler gewidmet. So
sollen Ubuntu-Nutzer mit der
2.2 keine Probleme mehr mit
konkurrierenden Einstellungen
von Pulseaudio haben,
bei Linuxen mit KDE wiederum
funktioniere jetzt der
voreingestellte Oxygen-Style.
Möglich sind nun auch parallele
Anrufe – der Benutzer
kann damit weitere Anrufe
bei einer bereits bestehenden
Verbindung annehmen, wenn
er den aktuellen Gesprächspartner
solange auf „hold“
stellt. Es sind auch Dreier-
Telefonkonferenzen mit den
beiden Anrufern möglich.
Durch aufgefrischte Bibliotheken
sollen sich allgemein
die Audio- und Videoqualität
verbessert haben.
Die Änderungen, aber auch
die bestehenden Bugs, sind bei
Skype unter [http://​blogs.​skype.​
​com/​garage/​2011/​04/​skype_22_beta​
_for_linux_with_s.​html]​nachzulesen,
was sich auch dringend
empfiehlt, weil einige Distributionen
spezifische Probleme
mit Skype haben.
Dazu zählt, dass Skype sich
bislang nicht auf dem kommenden
Ubuntu 11.04 installieren
lässt. Skype verweist
bei diesem Fehler aber auf
die Mängelliste von Ubuntu,
wo das Problem – auch mit
Programmen wie Dropbox –
bereits diskutiert wird. n

1&1 DSL
INTERNET
UND TELEFON
19, 99
€/Monat *
Sparpreis für volle 24 Monate,
danach 24,99 €/Monat.
TOP LEISTUNG
MIT VIELEN
EXTRAS!
✓
1&1 HomeServer
inklusive
0,– €*
✓
4 SIM-Karten
inklusive
✓ Jetzt starten und
120,– € sparen
0,– €* www.1und1.de
Jetzt informieren und bestellen: 0 26 02 / 96 90
* 120,–€ Startguthaben als Sparpreis z.B.: 1&1 Surf-Flat 6.000: 24 Monate 19,99 €/Monat, danach 24,99 €/Monat. In den meisten Anschlussbereichen verfügbar. Inklusive Internet-Flat. Inklusive Telefonie
(Privatkunden): rund um die Uhr für 2,9 ct/Min. ins dt. Festnetz. Anrufe in alle dt. Mobilfunknetze 19,9 ct/Min. 1&1 HomeServer für 0,– € (Versand 9,60 €). Bis zu vier 1&1 SIM-Karten: für 0,- €/Monat,
kostenlos ins dt. Festnetz und zu 1&1 Mobilfunkkunden telefonieren, in andere dt. Mobilfunknetze nur 9,9 ct/Min. (Aktivierungsgebühr: 9,60 €/SIM-Karte). 24 Monate Mindestvertragslaufzeit.

Aktuell
www.linux-magazin.de News 06/2011
10
E-Café – ARM-Netbooks mit Linux
Mit dem Hercules E-Café
Slim HD bringt die Guillemot
Corporation ein Netbook mit
10-Zoll-Display (1024 mal 600
Pixel) auf den Markt, das mit
2 Zentimetern in der Höhe
schlank und mit 860 Gramm
auch leicht ist. Das zweite
Gerät, E-Café HD EX, ist bei
gleicher Bildschirmdiagonale
ein wenig dicker und wiegt
1100 Gramm.
Guillemot [http://www.hercules.
com/de/ecafe/]​setzt für die Geräte
sein Netbook OS genanntes
Linux ein. In beiden lüfterlosen
Netbooks hat der Hersteller
einen ARM-Cortex-A8-
Prozessor mit 800 MHz und
512 MByte RAM verbaut. Die
interne Speicherkapazität liegt
beim Slim bei 8 GByte und
beim HD bei 16 GByte. Über
Speicherslots sind beide Geräte
aufrüstbar. Den Netbooks
gemeinsam sind drei USB-
Anschlüsse, ein Mini-USB-
Port, Ethernet-Anschluss,
WLAN, Kopfhörer- und Mikrofonanschluss,
Webcam (0,3
Megapixel) mit Mikrofon und
Kartenlesegerät. Die Maße:
300 mal 171 mal 21 beziehungsweise
28 Millimeter in
der Höhe beim HD EX.
Das EX besitzt zusätzlich
einen HDMI-Ausgang und
Multimedia-Steuertasten an
den Seitenteilen und ist wegen
des leistungsfähigeren
Akkus mit 6800 Milliamperstunden
dicker und schwerer.
Die Laufzeit des Akkus gibt
Hercules mit optimistischen
13 Stunden an, der des Slim
soll 4,5 Stunden seinen Dienst
verrichten. Zur Software-Ausstattung
zählen Open Office,
Empathy für Instant Messaging,
Gwibber für soziale
Netze, Totem als Videoplayer
und Rhythmbox für Audiodateien
und der Firefox-Browser.
Spiele und weitere Multimedia-Applikationen
seien ebenfalls
bereits vorinstalliert. Ein
Bis zu 13 Stunden soll der Akku des HD EX durchhalten.
Downloadcenter für Applikationen
lässt sich als kostenfreies
Repository für weitere
Anwendungen nutzen. Slim
HD und EX HD sollen 2011
mit Erscheinen dieses Hefts
für 200 Euro beziehungsweise
250 Euro erhältlich sein. n
Collectd 5.0.0 – neue Plugins
GCC 4.6
Centos 5.6
Collectd, ein Daemon zum
Einsammeln von Systemstatistiken,
ist in Version 5.0.0
mit neuen Features verfügbar
und bricht zum ersten Mal
seit 2007 die Rückwärtskompatibilität.
Für Anwender, die
ein Upgrade von Version 4.x
vornehmen, gibt es daher eine
Migrationsanleitung.
Daneben gibt es neue Erweiterungen
für die Software: Das
AMQP-Plugin dient zum Austausch
von Daten mit anderen
Collectd-Instanzen sowie externer
Software. Dabei kommt
das Advanced Message Queuing
Protocol ins Spiel, das unter
anderem auch die Pointto-Multipoint-Kommunikation
erlaubt. Das LPAR-Plugin
bietet Daten über die virtuellen
CPUs von IBM-Power-
Systemen, das Redis-Plugin
sammelt Nutzungsdaten über
den Key-Value-Speicher Redis,
der in Web-2.0-Anwendungen
zum Einsatz kommt. Ebenfalls
neu ist das Varnish-Plugin,
das Statistiken über den
gleichnamigen Reverse-Proxy
einholt. Das Apache-Plugin
eignet sich nun auch für IBMs
HTTP-Server.
Daneben gibt es mit Collecttg
einen Traffic-Generator, der
für Stresstests größerer Collectd-Setups
und der Storage-
Plugins gedacht ist. Die Auflösung
der Statistiken ist nun
nicht mehr auf den Sekundentakt
beschränkt und praktisch
nur noch durch die Hardware
begrenzt. Weitere Details finden
sich bei Collectd: [http://​
​collectd.​org/​news.​shtml] n
Die GNU Compiler Collection
(GCC) 4.6 hat nach einem
Jahr Entwicklungszeit mannigfache
Änderungen erfahren.
Der Compiler verspricht
nun einen verbesserten Check
für die Kommandozeilen-Optionen,
wenn es um das Linken
geht. Die Bibliothek Libquadmath
hat Einzug gehalten und
verspricht präzise mathematische
Funktionen.
Verschlankend ist die Unterstützung
einiger Systeme und
Ports entfallen, etwa für die
Prozessor-Architekturen National
Semiconductor CRX und
Motorola 68HC11/ 68HC12. In
den Release Notes [http://​gcc.​
​gnu.​org/​gcc-4.​6/​changes.​html] finden
Entwickler Näheres zu
ihrer bevorzugten Sprache
oder Zielplattform. n
Mit Version 5.6 hat das freie
Enterprise-Linux Centos zu
seiner Basis Red Hat Enterprise
Linux 5.6 aufgeschlossen.
Centos führt nun mit dem
»CentOS-Debuginfo.repo« sowie
dem »CentOS-Vault.repo«
zwei neue Repositories ein,
die es bisher separat herunterzuladen
galt. Dafür fehlt in
Version 5.6 nun das Centos-
Extra-Repository, das die Vorversionen
noch als Menü-Eintrag
und Installationsoption
anboten.
An neuen Paketen zählen
die Release Notes [http://wiki.
centos.org/Manuals/ReleaseNotes/
CentOS5.6] unter anderem Bind
9.7, HPlip 3 und PHP 5.3 auf.
Daneben sind viele Fehlerbereinigungen
in die Release
eingeflossen.
n

Jetzt zuschlagen!
Homepage Go
1blu-Homepage „Go“
2, 89
¤/Monat*
Preis gilt dauerhaft!
1blu-Homepage „Go“
* Preis/Monat inkl. 19% MwSt. Es fällt keine Einrichtungsgebühr an. Vertragslaufzeit jeweils 6 Monate, jederzeit
kündbar mit einem Monat Frist zum Vertragsende. Bei Software-Bestellung 7,90 € Versandkosten.
030 - 20 18 10 00 | nur unter www.1blu.de/go

Aktuell
www.linux-magazin.de News 06/2011
12
Kurznachrichten
LLVM-Compiler 2.8:​LLVM​lässt​sich​als​vollwertiger​Compiler​verwenden,​
dient​aber​vielen​Projekten​als​Tool,​um​Code​just​in​time​zu​übersetzen,​
beispielsweise​auf​Mac​OS​X​zum​Kompilieren​von​Open-GL-Shadern.​Neu:
Das​LLVM-Compiler-Framework​erfüllt​nun​die​ISO-1998-​und​-2003-Standards​für​C++.​Lizenz:​BSD-artig​[http://​llvm.​org]
Libvirt 0.9.0:​Die​Virtualisierungsbibliothek​legt​auf​dem​Weg​zur​1.0​einen​
letzten​Zwischenstopp​ein.​Neu: Ein​neuer​VM-Treiber​macht​Gebrauch​
von​der​Libxenlight,​einer​Bibliothek​zum​Zugriff​auf​Xen-VMs.​Das​neue​
Feature​»cputune«​implementiert​CPU-Tuning.​Lizenz: LGPL​[ftp://​libvirt.​
​org/​libvirt/]
Rekonq 0.7.0:​Freier​Browser​auf​Webkit-Basis​für​KDE-Desktops.​Neu:
Unterstützung​für​das​Open​Search​Framework​zur​Einbindung​von​Sitespezifischen​Websuchen.​Der​Browser​merkt​sich​die​Vergrößerungsstufen​
für​jeden​Host.​Verbessertes​Cache-Management.​Lizenz:​GPLv3​[http://
sourceforge.net/projects/rekonq/files/0.7.0/0.7.0/]
Freeseer 2.0.0:​ Freeseer​ nimmt​ Videos​ vom​ Linux-Desktop​ sowie​ von​
USB-​oder​Firewire-Geräten​auf​und​mischt​sie​mit​Klängen,​beispielsweise​
von​ einem​ Mikrofon.​ Neu: Die​ Release​ speichert​ Videodaten​ in​
einer​SQLite-Datenbank,​kodiert​sie​aber​auch​ins​Video.​Zum​Starten​und​
Stoppen​der​Aufnahme​gibt​es​jetzt​Tastaturkürzel.​Lizenz: GPLv3​[https://
github.com/fosslc/freeseer]
Highlight 3.4: Highlight​erzeugt​farbige​Ausgaben​auf​dem​Terminal,​in​
HTML,​RTF,​Latex,​SVG​und​in​weiteren​Formaten.​Neu: Zu​den​Neuzugängen​der​unterstützten​Sprachen​zählen​ABC,​Algol,​AS/​400-CL,​Gambas,​
Transact-SQL​und​Java​FX.​Daneben​hat​der​Entwickler​Andre​Simon​die​
Plugins​repariert,​die​seine​Software​in​Dokuwiki​und​die​Blogs​Wordpress​
und​Serendipity​einbinden.​Lizenz: GPLv3​[http://​www.​andre-simon.​de/​
​doku/​highlight/​highlight.​html]
Quartz 2.0: Job-Scheduler​für​Java-Anwendungen.​Neu: Das​API​wurde​
modernisiert,​es​verwendet​nun​Collections​und​Generics.​Daneben​haben​
die​ Entwickler​ einige​ Methoden​ verborgen​ und​ eine​ Domain​ Specific​
Language​(DSL)​für​die​Arbeit​mit​Jobs​und​Triggers​geschaffen.​Lizenz:
Apache-2.0-Lizenz​[http://​www.​quartz-scheduler.​org/]
Xwiki 3.0:​In​Java​umgesetztes​Open-Source-Wiki​mit​Skins​und​Plugins.​
Neu: Ein​Activity-Stream​publiziert​kurze​Statusmeldungen​der​Nutzer​im​
Twitter-Stil.​Ein​grafischer​Dashboard-Editor​erleichtert​die​Gestaltung.​
Lizenz:​LGPLv2.1​[http://​www.​xwiki.​org/​xwiki/​bin/​view/​Main/​Download]
LM-Sensors 3.3.0:​LM-Sensors​überwacht​Hardwaredaten​und​besteht​
aus​ der​ Bibliothek​ Libsensors,​ dem​ Kommandozeilentool​ Sensors​ und​
dem​Daemon​Sensord.​Neu: Stellt​auch​das​Öffnen​des​Gehäuses​sowie​
Feuchtigkeitssensoren​ unter​ Überwachung.​ Für​ bestehende​ Sensoren​
gibt​es​neue​Attribute,​Coretemp​findet​nun​alle​CPUs​im​System.​Lizenz:​
LGPLv2.1​[http://​lm-sensors.​org/]
Foresight Linux 2.5.0: Foresight​Linux​verwendet​das​Rolling-Release-
Modell,​ nach​ dem​ sich​ die​ Distribution​ fortlaufend​ aktualisiert.​ Neu:
Aktuelle​Desktopumgebungen​mit​Gnome​2.32.1,​KDE​4.6.1​und​Xfce​4.8.​
Als​Kernel​kommt​die​Version​2.6.35.11​zum​Einsatz​Lizenz:​GPL​[http://​
​www.​foresightlinux.​org/]
Lin-Habu 11.1 – Druckfunktion repariert und Elster jetzt ohne Java
In Version 11.1 des Buchhaltungs-
und Fakturierungsprogramms
Lin-Habu hat der
Hersteller einen Fehler in der
Druckfunktion behoben. Linux-Nutzer
können nun dank
der überarbeiteten Bibliothek
die Standarddruckfunktionen
nutzen, so heißt es in der
Ankündigung zur überarbeiteten
Version. Außerdem bereitet
sich Lin-Habu auf die
für 2012 von den deutschen
Steuerbehörden angekündigte
Änderung vor. Eric ersetzt das
dann nicht mehr unterstützte
Übertragungsverfahren Coala
(auch als Elster 2 bekannt).
Linux-Nutzer können dieses
Verfahren bereits jetzt alternativ
nutzen. Vorteil von Eric
sei es, dass die Bibliotheken
nativ vorliegen, was den bisher
nötigen Umweg über Java
erspare.
Der Hersteller MC Richter präsentiert
unter [http://​mcrichter.​
​macbay.​de/​Seiten/​Deutsch/​Pro​gram-​
me/​HaBu/​Allgemein.​html] seine
Buchhaltungssoftware in verschiedenen
Kategorien und
mit unterschiedlichen Ausstattungen.
Das kleinste Softwarepaket
mit dem Namen
Bronze enthält lediglich die
Finanzbuchhaltungssoftware
und kostet rund 40 Euro. Die
Habu-Software steht auch für
Mac OS X und Windows zur
Verfügung.
n
Firebug 1.7 für Firefox 4
Die Macher des Webentwickler-Addon
Firebug für den
Mozilla-Browser haben mit
Version 1.7 nicht nur die
Kompatibilität mit Firefox 4
hergestellt.
In Firebug sind auch diverse
neue Features und Verbesserungen
eingeflossen, die Entwickler
Jan Odvarko „Honza“
in seinem Blog [http://​hacks.​
​mozilla.​org/​2011/​03/​firebug-1-7-new​
-features/] beschreibt.
Er hebt die leichte Nutzbarkeit
des DOM-Panels hervor
sowie die History des Kommandozeilentools,
die auf
Klick ein Popup mit vorher
eingegebenen Befehlen zeigt.
Zudem präsentiert das Panel
nun Attribute von Elementen
übersichtlicher. Die Summe
dieser Verbesserungen sei es,
die Firebug für Webentwickler
nützlich mache, schreibt Odvarko.
(ofr/mhu/uba) n
Die Eingabe »#Zeilennummer« springt zur gewünschten Codezeile.

WEBHOSTING · SCHULUNGEN · SUPPORT
Webhosting 5.0
Professionelle Hostinglösungen
für maximale Leistung und Sicherheit
Optimiert für TYPO3, Magento, Joomla!, ...
Ihre Vorteile bei Mittwald CM Service:
Unterstützung zahlreicher CMS- und E-Commerce-Lösungen
Versionsupdates Ihrer Anwendungen per Mausklick
Umfangreicher Sicherheitsservice für Ihre Webprojekte
Nahtlose Skalierbarkeit Ihres Hostingtarifs
Jetzt
kostenlos
30 Tage
testen!
Schnelle, freundliche und kompetente Unterstützung
Business Hosting 5.0 Profi Hosting 5.0
Managed Server 5.0
Der kostengünstige Einstieg:
ideal geeignet für kleine und
mittlere Webseiten
Bis zu 10 GB Speicherplatz
und 100 GB Transfervolumen
Einfache Installation und Updates
Ihrer Webseiten und Onlineshops
Über 20 Content Management
Systeme, Onlineshops und
Webanwendungen verfügbar
Tägliche Datensicherung:
bis zu 1 Woche verfügbar
Garantierte Hostingleistung für
professionelle Webprojekte:
optimal für Unternehmen,
Institutionen und Vereine
Bis zu 4 Prozessorkerne
und 2 GB Arbeitsspeicher
Bis zu 100 GB Speicherplatz
und 500 GB Transfervolumen
Höchste Sicherheit durch eigene
IP-Adresse und SSL-Zertifikat
Tägliche Datensicherung:
bis zu 4 Wochen verfügbar
NEU: Jetzt mit 300%
Magento
Performance für Ihr E-Commerce
Maximale Leistung durch
dedizierte Markenhardware
von Hewlett Packard und Intel
Bis zu 16 Prozessorkerne
und 128 GB Arbeitsspeicher
Umfangreiche Managed-Services:
Monitoring, Administration,
Optimierung, Sicherheitsupdates
Tägliche Datensicherung:
bis zu 4 Wochen verfügbar
bereits ab 4,99 € netto pro Monat* bereits ab 34,99 € netto pro Monat* bereits ab 129,- € netto pro Monat*
Alle Angebote richten sich ausschließlich an Gewerbetreibende.
*Die einmalige Einrichtungsgebühr für die Business und Profi Hostingpakete 5.0 beträgt 29,- € zzgl. MwSt., für die Managed Server 5.0 149,- € zzgl. MwSt. Die Vertragslaufzeiten und Abrechnungszeiträume betragen für
die Business Hostingpakete 5.0 zwischen 6 und 12 Monate, für die Profi Hostingpakete 5.0 zwischen 3 und 6 Monate und für die Managed Server 5.0 zwischen 12 und 36 Monate. Automatische Vertragsverlängerung um die
jeweilige Vertragslaufzeit, wenn der Vertrag nicht mit einer Frist von 30 Tagen zum Ende der jeweiligen Vertragslaufzeit gekündigt wird. Alle Angebote richten sich ausschließlich an Gewerbetreibende. Alle genannten Preise
verstehen sich monatlich zzgl. MwSt.
Wir beraten Sie gerne! Rufen Sie uns an.
✆ 0800 / 440 3000 oder besuchen Sie uns im Internet: www.mittwald.de

Aktuell
www.linux-magazin.de Zahlen & Trends 06/2011
14
Zahlen & Trends
Quartalsmeldung: Oracle legt kräftig zu
Oracle hat Ende März seine
Zahlen für das dritte Quartal
des Geschäftsjahres 2011 vorgelegt
und meldet darin gegenüber
dem Vorjahresquartal
ein Umsatzwachstum von 37
Prozent auf 8,8 Milliarden US-
Dollar. Der Gewinn stieg um
78 Prozent auf 2,1 Milliarden
US-Dollar.
Seit Oracle im Vorjahr Sun
Microsystems geschluckt hat,
werden ihre Quartalszahlen
mit Spannung erwartet und
nach möglichen Verdauungsproblemen
durchleuchtet. Die
scheint es allerdings nicht zu
geben. Oracle-Präsident Safra
Catz ist mit dem Quartal sehr
zufrieden und zeigt sich zuversichtlich,
dass die Umsatzziele,
die sich das Unternehmen
für das Sun-Business gesetzt
hat, erreichbar sind. 1,5
Milliarden Umsatz erwartet
Oracle von den zugekauften
Sun-Besitztümern im gesamten
Geschäftsjahr 2011.
Oracles Chef Larry Ellison
hebt bei seiner Quartalsbilanz
die besonders lukrativen
mehrjährigen Verträge hervor,
die Oracle in Sachen Cloud
Computing mit Kunden abgeschlossen
habe. Salesforce.
com sei ein Beispiel für ein gewichtiges
Unternehmen, das
sich beim Cloud Computing
komplett auf Oracle-Lösungen
verlasse.
n
Red Hat hofft auf den Milliarden-Umsatz
Das vierte Quartal mit rund
245 Millionen US-Dollar Umsatz
lässt Red Hat von einem
Geschäftsjahr träumen, in
dem der Umsatz die Milliarden-Dollar-Grenze
knackt.
Mit 25 Prozent mehr Umsatz
im vierten Quartal und mit
903 Millionen US-Dollar Umsatz
im gesamten Geschäftsjahr
2011 sieht CEO Jim
Whitehurst Red Hat auf einem
guten Weg, als erste reine
Open-Source-Firma die Milliarde
zu machen. Der Gewinn
im vierten Quartal stieg im
Vergleich zum Vorjahresquartal
von 26 Millionen US-Dollar
auf 33,5 Millionen an. Im gesamten
Geschäftsjahr 2011 hat
Red Hat 107 Millionen US-
Dollar verdient, verglichen
mit 87 Millionen im vorigen
Geschäftsjahr.
Whitehurst glaubt den Anstieg
beim Jahresumsatz mit
Subskriptionen um 21 Prozent
auf 773 Millionen US-Dollar
und die gestiegene Nachfrage
in allen Segmenten jenen Kunden
zuordnen zu können, die
ihre IT modernisieren und für
Cloud Computing umrüsten.
Der personelle Ausbau der
Vertriebsmannschaft und der
Entwicklung habe sich ausgezahlt.
Die Major-Releases
von Red Hat Linux seien gut
angekommen, so Finanzchef
Charlie Peters.
n
Das Vortragsprogramm des Linuxtags 2011
Clouds, Virtualisierung, Technik
und Fakten für Administratoren,
so überschreiben die
Veranstalter das Programm
des Linuxtags 2011. Mit über
200 Vorträgen und Workshops
verspricht die Konferenz in
Berlin Themenvielfalt.
Vom 11. bis 14. Mai gehört
das Berliner Messegelände
unter dem Funkturm wieder
der Linux- und Open-Source-
Szene. Bei den nun im Web
angekündigten Vorträgen unterscheidet
das neunköpfige
Linuxtag-Team unter anderem
zwischen den Bereichen Open
Source im Data Center, beim
Cloud Management und bei
Unternehmensapplikationen.
Security, IPv6, Datenbanken
und Virtualisierung sind
Schwerpunkte für den Admin,
Java, Software Development
und Webframeworks bedienen
thematisch die Entwicklergemeinde.
Die Vorstellung von Projekten
zum von Google ausgelobten
Lunar X-Prize, bei dem es um
die Entwicklung eines unbemannten
Fahrzeugs für eine
Mondmission geht, zählt zu
den außergewöhnlichen Programmpunkten.
Unter den
Sprechern finden sich Wim
Coekaerts, Oracles Vice President
of Linux Engineering,
und Bradley M. Kuhn, Executive
Director der Software
Feedom Conservancy, sowie
Steve Coast, Gründer von
Openstreetmap. Das Programm
sowie Informationen
zu den Sprechern und zur
Messe gibt es auf der Webseite
des Linuxtags 2011: [http://​
​www.​linuxtag.​org/​2011/] n
Das üppig gefüllte Programm des Linuxtags in Berlin lockte im vergangenen Jahr
zahlreiche Besucher in die Vortragssäle.

Zweite Beta für Mozillas neue Lizenz
Die Mozilla Foundation überarbeitet
derzeit ihre Softwarebedingungen.
Die Mozilla Public
License (MPL) 2.0 steht nun
in der zweiten Betaversion zur
Diskussion. Nach zehn Jahren
MPL 1.1 möchte die Organisation
die Lizenz vereinfachen
und modernisieren.
Zu den wichtigsten Zielen der
Überarbeitung gehört die Kompatibilität
zur Apache-2.0-Lizenz.
Sie soll den Einsatz von
Apache-lizenziertem Code in
Mozilla-Software vereinfachen.
Daneben soll die Reform die
MPL in vielen Rechtssystemen
weltweit verwendbar machen
und die moderne Entwicklungspraxis
berücksichtigen.
Um den Betrieb von Webdiensten
mit freier Software
wird sich die neue MPL aber
nicht kümmern, anders als etwa
die Affero-GPL.
Kommentare aus der Community ausdrücklich erwünscht. Die Entwicklung der
MPL 2.0 erfolgt in einem offenen Prozess.
Die Beta 2 steht als Text,
HTML und PDF unter [http://
mpl.mozilla.org/participate/beta/]
zur Einsicht bereit. Die Mozilla
Foundation entwickelt die Lizenz-Novelle
in einem offenen
Prozess. Daher steht den
Interessierten eine Kommentarseite
zur Verfügung.
Der Gnome-Entwickler und
Jurist Luis Villa ist an der Revision
der MPL beteiligt. Als
Experiment hat er eine Version
des Lizenzentwurfs geschrieben,
die als FAQ [http://
tieguy.org/blog/2011/03/31/mpl-beta
-2-as-faq/] für Entwickler formuliert
ist.
n
IDC-Prognose: Android wird Nummer 1
Der weltweite Smartphonemarkt
wächst im Jahr 2011
um rund 50 Prozent, sagt der
US-Marktforscher IDC voraus.
In Geräten ausgedrückt sollen
das rund 450 Millionen sein,
verglichen mit 303 Millionen
im Jahr 2010. Das Wachstum
des Smartphonemarkts nimmt
damit laut den Auguren rasant
Fahrt auf und schlägt die
erwarteten Zuwächse für herkömmliche
Handys um das
Vierfache.
Android dürfte das führende
Smartphone-OS im Jahr 2011
werden, nachdem es sich im
Vorjahr auf Platz zwei vorgearbeitet
hat, orakelt IDC-Analyst
Ramon Llamas. Dem Zusammenschluss
von Nokia
mit Microsoft und der daraus
folgenden Verbindung von
Nokia-Hardware mit dem Betriebssystem
Windows Phone
Smartphones mit Android – hier das
Nexus S – sagt IDC eine glänzende
Zukunft voraus.
räumen die Analysten mittelfristig
Chancen ein. Bis 2015,
so IDC, könnte Windows
Phon e auf Platz zwei hinter
Android liegen.
Um diesen prognostizierten
zweiten Platz zu erreichen,
sollten aber vorab Geräte auf
den Markt kommen. Derzeit
gibt es noch kein Nokia-Windows-Smartphone.
IDC erwartet
die erste entsprechende
Hardware im Jahr 2012.
Das Apple-Handysystem I-OS
und damit auch das I-Phone
sieht IDC bei etwa 15 Prozent
Anteilen verharren. Symbian
stirbt bis zum Jahr 2015 gänzlich
aus, RIMs Blackberry-OS
verliert leicht und landet in
vier Jahren dann bei knapp
14 Prozent. n

Aktuell
www.linux-magazin.de Zahlen & Trends 06/2011
16
FSFE zeichnet Tagesschau.de aus
Im Zeichen des Document
Freedom Day haben die Free
Software Foundation Europe
(FSFE) und die Foundation for
a Free Information Infrastructure
e.V. (FFII) die Webseite
der ARD-Nachrichtensendung
„Tagesschau“ für den Einsatz
freier Formate ausgezeichnet.
Sabine Klein, stellvertretende
Redaktionsleiterin von Tagesschau.de
nahm die Auszeichnung
in Form eines Zertifikats
und einer Torte mit der Aufschrift
„rOgg on!“ im ARD-
Landesfunkhaus in Hamburg
entgegen.
Die für den Einsatz von freier
Software engagierten Stiftungen
loben die ARD für
die Verwendung des freien
Videocodecs Ogg-Theora, der
wiederum den freien Zugang
Einsatz von freier Software versüßt. Die FSFE überreicht Sabine Klein, der stellvertretenden
Redaktionsleiterin von Tagesschau.de, die Auszeichnung.
zu den Medien ermögliche.
Matthias Kirschner von der
FSFE wünschte sich in seiner
Laudatio, dass andere Medienanstalten
diesem Schritt
folgen mögen.
Bei Tagesschau.de seien die
Videos als Ogg-Dateien vorhanden,
bei Tagesschau24
seien sie mittels HTML-5-Tag
eingebunden. In einigen Bereichen
der Website müsse
der Nutzer allerdings immer
noch manuell vorgehen, um
eine Ogg-Datei herunterladen
und mit seinem Player anschauen
zu können. n
Canonical stoppt kostenlosen CD-Versand
Open Suse 11.2 geht in den Ruhestand
Canonicals Marketingmanager
Gerry Carr hat die Einstellung
des Ship-It-Programms und
der CD-Distributionsprogramme
für Ubuntu verkündet. Im
Rahmen der im Jahr 2005
gestarteten Programme hat
Canonical kostenlos Ubuntu-
CDs verschickt, um die neue
Distribution bekannt zu machen.
Millionen CDs seien so
in die Welt gegangen, resümiert
Carr in seinem Blog. Canonical
begründet den Stopp
der Ship-It-Aktionen mit der
inzwischen verbreiteten breitbandigen
Internetanbindung
der Nutzer.
Mit Ubuntu 11.04 hört der CD-
Versand auf. Es werde aber
weiterhin CDs geben, diese allerdings
will Canonical an die
lokalen Ubuntu-Communities
verschicken. Die so genannten
Ubuntu Local Communities
(Locos) können die Ubuntu-
CDs dann nach eigenem Gusto
an den Mann bringen oder
sich kreative Wege überlegen,
wie dies geschehen soll. Die
örtlichen Communities, so
Carr, wüssten besser, wo Bedarf
an CDs sei.
Canonical will eine Online-
Testversion von Ubuntu aufbauen.
Das Cloud-Angebot
für Ubuntu sei besonders für
Windows-Umsteiger gedacht,
die damit einen ersten Blick
auf Ubuntu werfen können. n
Ladenschluss: Canonical gibt den subventionierten CD-Versand auf.
Im Mai 2011 drehen die Entwickler
von Open Suse der
Version 11.2 den Update-Hahn
zu und versorgen die Linux-
Distribution nicht länger mit
Security-Updates. Nach dem
Fahrplan, eine Release so lange
zu pflegen, bis zwei weitere
Versionen veröffentlicht und
weitere zwei Monate verstrichen
sind, endet der Security-
Support am 12. Mai. Aktuell
ist Version Open Suse 11.4.
James Gosling geht zu Google
Im Mai verschwindet Open
Suse 11.2 dann auch aus dem
Buildservice in Richtung „discontinued“
und von den Distributionsverzeichnissen
der
Open-Suse-Server, heißt es in
der Ankündigung.
Um Verwirrungen vorzubeugen
schreibt das Projekt: Das
Support-Ende betreffe nicht
das von Novell mit kommerziellem
Support angebotene
Suse Linux Enterprise. n
James Gosling, Java-Erfinder,
hat bei Google angeheuert.
Gosling hatte kurz nach der
Übernahme von Sun Microsystems
durch Oracle das
Unternehmen verlassen. In
seinem Blog [http://​nighthacks.​
​com/​roller/​jag/​entry/​next_step_on_
the_road]​meldet Gosling, dass
er ab sofort bei Google arbeitet.
Zuvor habe er schon einige
tolle Angebote abgelehnt,
schreibt er weiter, nun habe er
einen etwas ausgetreteneren
Pfad eingeschlagen.
Eine Stellenbeschreibung
scheint es für ihn nicht zu geben,
er werde wohl von allem
ein bisschen machen, denkt
er – und ab und zu einen mürrischen
Griesgram geben, fügt
er augenzwinkernd an. n

Ubuntu lehnt unfreie Pakete ab
Virtuelle Server
Top-Performance zum Tiefpreis!
Das Ubuntu Technical Board
hat einstimmig einen Vorstoß
abgelehnt, Software von
Drittanbietern aus dem Restricted-Repository
zur Standardinstallation
von Ubuntu
hinzuzufügen. Der Vorschlag
unter [https://​bugs.​launchpad.​
​net/​ayatana-design/​+bug/​723831],
den Ubuntu-Installer entsprechend
anzupassen, kam vom
Projekt Ayatana Design. Die
fünf anwesenden Mitglieder
des Technical Board haben mit
5:0 Stimmen gegen den Vorschlag
gestimmt, der Ubuntu-
Installer bleibt diesbezüglich
also unverändert.
Das Ansinnen der Antragsteller
macht der Satz „Make Youtube
work“ konkreter. Wenn
sich Open-Source-Software
weltweit durchsetzen solle,
was das Ziel sei, hatte Ayatana
Design zur Begründung
angeführt, dann sei es aus
Usability-Gründen nötig, den
Nutzern vergleichbare Möglichkeiten
wie bei proprietärer
Software zu bieten. Open-
Source-Software solle auch
für nicht versierte User einsetzbar
sein und dazu zähle,
dass beispielsweise Youtube
auf Anhieb funktioniere, so
Ayatana Design.
Das technische Gremium war
aber anderer Auffassung: „A
great day for freedom“, kommentiert
ein Board-Mitglied
und ein anderes weist darauf
hin, dass die Forderung „Making
Youtube just work“ sich
von selbst erledigen werde,
wenn HTML 5 sich durchgesetzt
habe.
n
Pamela Jones gibt Groklaw auf
Als Begleiterin und Begutachterin
der jahrelangen, von
SCO angetriebenen Rechtsstreitigkeiten
um Unix-Rechte
hat sich die von Pamela Jones
gegründete Website Groklaw
einen internationalen Namen
gemacht. Nun stellt Groklaw
die Arbeit ein.
SCO habe verloren, heißt es
zur Begründung, Linux habe
die Krise überstanden, die
SCO in die Community getragen
habe. Mit dem achtjährigen
Bestehen am 16. Mai
sollen keine weiteren Artikel
mehr auf Groklaw erscheinen,
so Jones. Zwar werde es weitere
juristische Schlachten zu
schlagen geben – und einige
seien bereits in Gange –, Groklaw
werde bei diesen Auseinandersetzungen
aber weniger
gebraucht als im Fall SCO gegen
Linux, schreibt Jones. Sie
weist auch darauf hin, dass
sie nicht erwartet habe, dass
Groklaw eine solch große Resonanz
finden würde. Der Betrieb
von Groklaw habe dazu
geführt, dass sie viele für sie
wichtige Dinge habe hintanstellen
müssen. Jetzt wolle sie
wieder ein normales Leben
außerhalb des öffentlichen
Rampenlichts führen.
Sie habe nie zuvor in ihrem
Leben so hart gearbeitet wie
in der Zeit für Groklaw, so
Jones weiter, und es habe
Spaß gemacht, nun aber fehle
teilweise die Motivation. In
den derzeit laufenden Gefechten
zwischen Microsoft und
Google/Android sei Groklaw
nicht als Helfer vonnöten.
Google könne so viel Beistand
kaufen wie nötig.
n
Virtuelle Server von netclusive
• bis zu 3 CPU-Kerne und 8 GB RAM
• bis zu 95 GB Festplatte (RAID 10)
• 5 TB Traffic inklusive
• SSL-Zertifikat inklusive
• voller Root-Zugriff (SSH)
• 100 % Backup-Speicher
• 99,9 % garantierte Verfügbarkeit
• auch als Managed Server erhältlich
• viele 64-Bit-Betriebssysteme nach Wahl
6 Monate
kostenlos
danach ab 12,99 €*
Jetzt kostenlos informieren unter:
0800 638 2587
www.netclusive.de/linux
* Aktion „6 Monate kostenlos“ nur gültig bis 31.05.2011. Nach 6 Monaten regulärer monatlicher Grundpreis:
VPS L 12,99 €, VPS XL 16,99 €, VPS XXL 29,99 €. Die Mindestvertragslaufzeit beträgt wahlweise 12 Monate
(Aktion 6 Monate kostenlos entfällt) oder 24 Monate (6 Monate kostenlos). Abrechnung vierteljährlich.
Einmalige Einrichtungsgebühr 9,99 €. Preise inkl. MwSt. Preisänderungen und Irrtümer vorbehalten.

Aktuell
www.linux-magazin.de Zahlen & Trends 06/2011
18
Mozilla holt Thunderbird in die Labs
Mitchell Baker vereinfacht die Unternehmensstruktur.
Spezifikation von ODF 1.2 steht
Mit der Anfang April erfolgten
Anerkennung des zuständigen
technischen Komitees bei Oasis
hat die Spezifikation 1.2
des Open-Document-Formats
nun nur noch die abschließende
Zustimmung von Oasis
vor sich. Unter anderem will
Spezifikation 1.2 den bisher
ungeregelten Umgang mit Formeln
und Berechnungen in
Tabellen festlegen. Die Spezifikation
des Komitees ist unter
[http://​docs.​oasis-open.​org/​office/​
​v1.​2/​cs01/​OpenDocument-v1.​2-cs01.​
​html]​zu finden.
Die Zustimmung des „Oasis
Open Document Format for
Office Applications Technical
Committee“ gilt gewissermaßen
als Ritterschlag für die
Die Abspaltung von Mozilla
Messaging in ein eigenes Unternehmen
wird rückgängig
gemacht. Die Mozilla-Firma
werde in die Mozilla Labs integriert
und nach Vollzug des
Umbaus die Firma Mozilla
Messaging aufgelöst, erläutert
Mozillas Stiftungsvorsitzende
Mitchell Baker.
Messaging, Kommunikation
und soziale Netze hätten zu
weitreichenden Veränderungen
der Webnutzung in den
vergangenen Jahren geführt,
resümiert Baker. Um mit diesen
rasanten Entwicklungen
Schritt zu halten, sei es sinnvoll,
die Mozilla Labs und
Mozilla Messaging zu kombinieren.
Beide Teams seien im
Bereich Kommunikation tätig,
die Labs verstärkt in Sachen
Kontaktsoftware und Identity,
Mozilla Messaging maßgeblich
mit dem Mailclient Thunderbird,
aber auch mit Innovationen
wie der Kommunikationsplattform
Raindrop und der
Browser-Extension F1, die dem
Linktausch dient.
Beim Zusammenschluss wird
David Ascher in den Mozilla
Labs ein Team leiten, das sich
auf Online-Kommunikation
und soziale Netze konzentriert.
Ascher soll daneben wie
bisher das Thunderbird-Team
leiten, so Baker.
n
Verabschiedung der neuen
Spezifikation des freien Dokumentenformats.
Das technische
Komitee hat damit seine
Arbeit erledigt. Die Techniker
würden sich nun Version 1.3
zuwenden und auch noch einige
Korrekturen an Version
1.1 erledigen, schreibt der
Komitee-Vorsitzende Rob Weir
in einem Blogbeitrag [http://​
​www.​robweir.​com/​blog/​2011/​03/​odf​
-1-2-committee-specification.​html].
Das Open Document Format
ist dank XML-Basis von der
Plattform und der jeweiligen
Anwendung unabhängig. Ein
erster Entwurf der Version 1.2
liegt bereits seit Anfang 2009
in den Händen des zuständigen
Komitees.
n
Neues Schema für Open-Suse-Versionen
Kurzfristig lädt das Unternehmen
des Nagios-Gründers
Ethan Galstad nach Italien
ein: Zur ersten Nagios World
Conference Europe am 12.
Mai in Bozen. Würth Phoenix,
deutsch-italienischer Spezialist
für Business-Software auf
Microsoft-Basis, unterstützt
die Veranstaltung und ist Nagios-Partnerunternehmen.
Auf
dem Kongress werden neben
dem Nagios-Gründer auch der
Harmony für Codebeiträge
Das Projekt Harmony will
sich der Erstellung von einheitlichen
Contributor License
Agreements (CLA) widmen.
Freie Software soll von den
CLAs in mehrerer Hinsicht
profitieren.
Zum einen können Organisationen
und Firmen das Angebot
an vorgefertigten Agreements
zur einheitlichen Regelung
der Urheberrechte nutzen.
Zum anderen sollen es auch
Entwickler leichter haben,
ihre Softwarebeiträge durch
Die Distribution Open Suse
führt ein neues Schema zur
Nummerierung ihrer Distributions-Releases
ein. Das
hat der IT-Consultant Bryen
Yunashko aus dem Open Suse
Community Board bekannt
gegeben. Bisher stand nur
fest, dass das Projekt alle acht
Monate eine neue Release herausgibt,
also in den Monaten
November, Juli und März.
Unter anderem um Missverständnisse
auszuräumen („Ist
11.0 eine Major-Version?“) hat
das Projekt über ein neues
Schema abgestimmt.
Der Beschluss: Version x.0
entfällt, die November-Release
heißt künftig x.1, jene im Juli
x.2, und die März-Version
bekommt die Nummer x.3.
Die nächste Open Suse, die
im November 2011 erscheint,
wird demnach die Nummer
12.1 tragen. n
Nagios World Conference Europe
Koordinator der Nagios-Plugin-Entwicklung
Ton Voon und
Michael Medin, der Schöpfer
der NSCLient++-Erweiterung,
erwartet.
Die Agenda der Konferenz unter
[http://www.wuerth-phoenix.
com/en/company/event/the-agenda/]​weist
außerdem Beiträge
zu OTRS und DRBD aus. Die
Teilnahme ist kostenlos, eine
Anmeldung allerdings erforderlich.
n
den Dschungel der jeweiligen
Vorschriften zu lotsen.
Amanda Brock, Canonicals
Rechtsexpertin, hat Harmony
ins Leben gerufen. Erste Vorschläge
für die Vereinbarungen
sind unter [http://www.harmonyagreements.org]​online
und
stehen dort zur Diskussion.
Das Projekt betont, dass es
mit Apache und Eclipse große
Projekte gäbe, die CLAs nutzen,
mit Linux und Mozilla
aber auch solche, die darauf
verzichten.
n

Berlin: Wettbewerb zu Open Source
Der sechste Ideenwettstreit
der Initiative „Berlin – Made
to Create“ sucht Ideen und
Lösungen auf Basis von Open
Source und Open Standards.
Veranstalter des Wettbewerbs
sind die TSB Innovationsagentur
und die Berliner Landesinitiative
Projekt Zukunft. Der
Wettbewerb ist mit 12 000
Euro dotiert.
Die Bewerbung ist ab sofort
möglich, aber lokal auf die
Hauptstadt begrenzt. Gesucht
sind Unternehmen, Gründer
sowie öffentliche und private
Forschungseinrichtungen und
Projekte mit Sitz in Berlin. Die
Bewerbung ist bis Ende Juni
möglich.
Das Preisgeld teilt sich in die
Kategorien „Beste Ideen“ und
„Beste Praxisbeispiele“. Weitere
Informationen und die
Teilnahmebedingungen sind
online bei der Berliner Landesinitiative
Projekt Zukunft
abrufbar: [http://​www.​berlin.​de/​
​projektzukunft/​wettbewerbe/​berlins​
-zukunft-ist-offen/]
n
Server-Specs von Facebook
Facebook veröffentlicht im
Rahmen des Open-Compute-
Projekts die Spezifikationen
seiner Server und lädt zum
Nachbauen ein. Oberstes
Design ziel war die Einsparung
von Energie und damit
letztlich von Kosten. Gleichzeitig
sollten die Server aber
auch in der Herstellung nicht
zu teuer sein. Das neue Data
Center verbrauchte nun 38
Prozent weniger Energie bei
24 Prozent geringeren Herstellungskosten.
Das sei allerdings nicht nur
den neuen Serverdesigns zu
verdanken, sondern auch der
elektrischen Infrastruktur, die
mit einem Grundspannungspegel
von 480 Volt deutlich
weniger Energieverlust verzeichnet.
Die Spezifikationen
der Server sind online bei
Open Compute [http://opencompute.org]​frei
verfügbar. n
Video-Contest der Linux Foundation
Im Jahr des 20. Jubiläums von
Linux lobt die Linux Foundation
einen Videowettbewerb
aus. Bis Anfang Juli müssen
die Beiträge eingereicht sein.
Um der Bedeutung des Jubiläums
gerecht zu werden,
sucht Linus Torvalds dann
persönlich die Gewinner aus.
Die Videos sollten sich mit der
20-jährigen Geschichte von
Linux befassen und dies in 60
Sekunden.
Dem Gewinner winkt eine
Flugreise nebst Unterkunft
zu einer Linux-Veranstaltung.
Alle weiteren Details hat die
Linux Foundation online
[http://opencompute.org/​ auf einer
Webseite zusammengetragen.
Torvalds hatte im August
1991 seine inzwischen legendäre
Mitteilung zum späteren
Linux im Usenet veröffentlicht.
(jcb/ofr/mhu/uba) n

1&1. DOPPELT HOSTET BESSER.
1&1 DUAL H
&DOPPELT SICHER DURCH GEO-REDUNDANZ!
Niemand kann sich Ausfallzeiten seiner Website leisten … Darum bietet 1&1
Dual Hosting jetzt die ultimative Sicherheit der Geo-Redundanz: Ihre Website
wird parallel in zwei unserer Hightech-Rechenzentren an verschiedenen Orten
gehostet. Fällt Ihre Internet-Präsenz im ersten Rechenzentrum unerwartet aus,
läuft sie automatisch im zweiten Rechenzentrum weiter. Selbstverständlich ohne
Datenverlust.

OSTING
Kein anderer Webhoster überzeugt durch so viel
Kompetenz, Know-how und Qualität wie 1&1:
Bei 1&1 treffen über 20 Jahre Webhosting-Erfahrung auf modernste Technik in
deutschen Hochleistungs-Rechenzentren. Mehr als 1.000 IT-Profis entwickeln
unsere hochwertigen Lösungen permanent weiter. NEU: Jetzt bietet Ihnen 1&1
mit 1&1 Dual Hosting als weltweit erster Webhoster die doppelte Sicherheit der
Geo-Redundanz. Und das alles zu unschlagbar günstigen Preisen!
Doppelt sicher:
Redundante Rechenzentren!
Top-Performance:
High-End Server!
Superschnell:
210 GBit/s Anbindung!
Umweltschonend:
Grüner Strom!
NEU!
1&1 DUAL UNLIMITED
■ 12 Domains inklusive
■ UNLIMITED Webspace
■ UNLIMITEDTr a f fi c
■ UNLIMITED FTP-Accounts
■ UNLIMITED MySQL Datenbanken (je 1 GB)
■ UNLIMITED E-Mail Postfächer (je 2 GB)
■ UNLIMITED 1&1 Click & Build Apps
(freie Wahl aus 65 Applikationen)
■ 1&1 WebAnalytics
■ 1&1 Online Office
■ PHP5, PHP Dev, Zend Framework,
Ruby, SSI, SSH-Zugang,
git Versionsmanagement
■ NEU: 99,99% Verfügbarkeit
■ NEU: Geo-redundante Infrastruktur
1&1 DUAL
UNLIMITED
14, 99
€/Monat*
29, 99
€/Monat
50% Rabatt:
6 Monate 14,99 €/Monat,
danach 29,99 €/Monat*
Weitere Pakete auf der nächsten Seite.
Alle Hosting-Lösungen im Überblick
sowie viele weitere Sparangebote unter:
Zukunftssicher:
1.000 eigene Entwickler!
0 26 02 / 96 91 0800 / 100 668 www.1und1.info
* Mindestvertragslaufzeit 12 Monate. Einrichtungsgebühr 14,90 €.
Preise inkl. MwSt.

Aktuell
www.linux-magazin.de Kernel-News 06/2011
22
Zacks Kernel-News
Kampf den vollen Netzwerkpuffern
Unter dem Schlagwort Bufferbloat
(aufgeblähte Puffer)
beschäftigen sich gegenwärtig
zahlreiche Entwickler mit
Latenzproblemen. Manche
vermuten, dass unüberlegt
eingesetzte RAM-Puffer sogar
das Internet als Ganzes verlangsamen.
Ist eine Netzwerkverbindung
völlig ausgelastet, kann ein
Programmierer den Datenfluss
aufrechterhalten, indem er
ihn in Puffer umleitet. Sobald
wieder Kapazitäten frei werden,
schickt das Programm
den Pufferinhalt nach.
Da dieses Verfahren so praktisch
und da Arbeitspeicher
leicht verfügbar ist, haben
auch die Entwickler von Internet-Hardware
möglicherweise
allzu häufig mit Puffern gearbeitet,
statt sich ordentlich
um das richtige Queueing
und Dispatching der Pakete
zu kümmern.
Der Kernelentwickler John
W. Linville macht nun Werbung
für einen neuen Git-
Zweig, der eigens für Patches
und Algorithmen zur Lösung
der Bufferbloat-Misere gedacht
ist: [git://​git.​infradead.​org/​
​debloat‐testing.​git].
Theoretisch lässt sich das
Problem durch entsprechend
Volle Puffer, langsames Netzwerk: Dem so genannten Bufferbloat-Problem widmet
sich mittlerweile eine eigene Website.
geänderte Firm- und Software
für Internetgeräte lösen, die
die Puffer nicht mehr bis
zum Anschlag füllt. Daneben
könnte auch der Linux-Kernel
anders mit diesen Zwischenspeichern
umgehen.
Auf Johns Nachricht gab es
zahlreiche Reaktionen, die
viele technische Details erörterten.
Das Bufferbloat-Problem
wird dadurch verschärft,
dass die daran beteiligten
Hersteller von Netzwerk-
Hardware nicht gerne Fehler
zugeben. Das macht es
für Open-Source-Entwickler
schwierig, etwas dagegen zu
unternehmen. Auf jeden Fall
gibt es eine Gruppe innerhalb
der Kernel-Community, die
hier ein ernstes Problem sieht
und es beheben möchte. n
Dokumentation für gestapelte Dateisysteme
Atheros-Treiber
Der ungarische Entwickler
Miklos Szeredi hat ein Patch
eingereicht, das die Overlay-
Dateisysteme des Kernels dokumentiert.
Diese Systeme,
auch als transluzente, stapelbare
oder Union-Dateisysteme
bezeichnet, legen zwei Partitionen
übereinander und präsentieren
sie dem Anwender
als eine einzige.
Enthalten etwa die Partitionen
A und B beide ein Verzeichnis
»/home/«, so findet sich im
Overlay-Dateisystem ein einziges
Verzeichnis mit diesem
Namen. Enthält A »/home/
zbrown/« und B »/home/
zacharyb/«, ergibt das im
Overlay ein Homeverzeichnis,
indem sich sowohl »zbrown/«
als auch »zacharyb/« befinden
– als lägen beide auf derselben
Partition.
Interessant wird es allerdings,
wenn beide Partitionen je eine
Datei mit dem gleichen Namen
und Pfad enthalten, beispielsweise
»/home/zbrown/
Datei.txt«. Welche Version soll
das Dateisystem dann dem
Anwender präsentieren? Die
Lösung besteht darin, eine
der Partitionen als quasi obere
und die andere als untere
zu definieren. Bei Namenskonflikten
zeigt das Overlay
dem Benutzer dann immer
die Datei der oberen Partition
an, schreibt Szeredi in seinem
Dokument.
Randy Dunlap regte einige
kleinere Korrekturen an, die
Miklos in sein Patch aufnahm.
Die Dokumentation findet
sich unter »Documentation/
filesystems/overlayfs.txt« im
Kernel-Quelltext.
n
Der Atheros-Mitarbeiter Luis
R. Rodriguez hat Verbesserungen
und Bereinigungen
am WLAN-Treiber »ath6kl«
angekündigt. Diese können
aber zu Konflikten mit anderem
Code führen.
Daher gibt es zur Koordination
den IRC-Kanal »#ath6kl«
auf Freenode und eine Wiki-
Seite bei [http://​wireless.​kernel.​
​org/​en/​users/​Drivers/​ath6kl]. Das
Ziel besteht darin, dem Staging-Maintainer
Greg Kroah-
Hartman möglichst gute Patches
zu schicken.
n

Überarbeitete Online-Informationen
Der bei Parallels beschäftigte
Entwickler Rob Landley hat
die Onlinedokumentation des
Kernels unter [http://​kernel.​org/​
​doc/] überarbeitet. Seine neue
Festanstellung habe es ihm
ermöglicht, die Sache anzugehen,
schreibt er.
Die Webseiten enthalten alle
Dokumente, die er aus dem
Kernel-Quelltext extrahieren
konnte, sowie Informationen
zum Kernel außerhalb des
Quellcode, daneben Links zu
relevanten Standards. Auf der
Mailingliste bat er um Verbesserungsvorschläge.
Rob erläutert in seiner Mitteilung,
wie er die Seiten
erzeugt. Unter anderem verwendet
er »make htmldocs«,
das Dokumentations-Target
des Kernels. Unschön sei ihm
dabei aufgefallen, dass viele
Kernelentwickler das Erzeugen
der Dokumentation offenbar
vernachlässigen: Es gäbe
immer wieder Patches, die das
Target unbrauchbar machen,
besonders in den jüngsten
»-rc«-Versionen.
Daneben weist Rob Landley
darauf hin, dass seine Seiten
die »00-INDEX«-Dateien der
Dokumentationsverzeichnisse
verwenden. Diese seien aber
gelegentlich veraltet und gäben
den Inhalt nicht korrekt
an, beklagt er. Die Liste der
dort fehlenden Einträge sei
„wahnsinnig lang“.
Er selbst finde seine Überarbeitung
gut, befürchtet
aber andererseits, sie könne
„hübscher aussehen, als sie
eigentlich ist“. Rob möchte jedenfalls
weiter an den verbliebenden
Problemen arbeiten.
Dabei wird ihn Randy Dunlap
unterstützen, der zudem
gerne Patches für die Onlinedokumentation
annimmt. n
Chinesische Lösung
Ein Linux-Liebhaber namens
Harry Wei hat angeboten,
die Kernel-Dokumentation
in chinesischer Sprache zu
pflegen. Er schreibt, er habe
bereits einige Dateien übersetzt
und möchte der offizielle
Maintainer der Dokumentation
werden. Zu diesem
Zweck hat er ein Patch für die
»MAINTAINERS«-Datei eingeschickt.
Harry gibt in seinem Eintrag
die Gruppe »xiyoulinuxkernelgroup«
auf Google Groups als
offizielle Mailingliste an. Ein
chinesischer Diskussionsteilnehmer
merkte dazu an, dass
mit »linux-kernel@zh-kernel.
org« bereits eine Liste existiere.
Harry bestätigte das, berichtete
aber, die Mailingliste
sei so gut wie tot. Schließlich
entschlossen sie sich, beide
Listen anzugeben.
Danach meldete sich Tao Ma
zu Wort, der fragte, ob Harry
einfach den Maintainer-Posten
besetzen könne. Er habe
schließlich noch nicht unter
Beweis gestellt, dass er die
Beiträge anderer begutachten
könne.
Die Betreuer-Posten in der
Kernel-Community beruhen
jedoch zum Großteil auf freiwilligen
Meldungen. Daher
antwortete Harry Wei, er sei
nicht sicher, ob er ein guter
Maintainer werde, wolle aber
auf jeden Fall sein Bestes geben.
(Zack Brown/ mhu) n

Aktuell
www.linux-magazin.de Radio Tux 06/2011
24
Dachzeile Radio Tux feiert zehnjähriges Jubiläum
Überschrift
Die perfekte Welle
Als vor zehn Jahren zwei Science-Fiction-Fans mit Hang zu Linux ihr eigenes Internetradio gründeten, wählten
sie ausgerechnet den 1. April für die erste Sendung. Was viele für einen Scherz hielten, ist mit Höhen und Tiefen
inzwischen eine feste Instanz im Open-Source-Kosmos: Radio Tux. Ulrich Bantle
gart (HoRadS) produzierten wöchentlichen
Format „RadioTux@HoRadS“ nahm
die Produktion Fahrt auf. Interviews und
News aus der Open-Source-Welt landen
im „Ether Radio“. Erst im Jahr 2010 weicht
die „HoRadS“-Sendung dem neuen Talk-
Format.
Kurz vor dem zehnjährigen Jubiläum verzeichnet
Radio Tux einen Mitgliederzulauf,
schafft mit Mauspet und PPP (Playing
Pinguin Podcast) neue Formate und
besucht so viele Linux-Events wie nie
zuvor. Der Sendeplan [1] umfasst zudem
die Weekly News, die themenbezogene
Gesprächsrunde Binärgewitter und das
Radio Tux Magazin.
Abbildung 1: Thomas Steinbrecher in seinem Element: Am Mikrofon mit Interviewpartnern.
Steffen Zörnig und Ingo Ebel heißen die
Gründerväter, die sich nach dem Start
vor zehn Jahren einem damals nicht ungewöhnlichen
Problem stellen mussten:
Bandbreite. Der Traffic, den die über 3000
Hörer verursachten, konnte der Radio-
Tux-Server nicht stemmen. Dass auch der
redaktionelle Aufwand für ein Duo belastend
ist, spürten die beiden ebenfalls
und taten sich für die nun 14-tägig angebotenen
Sendungen mit Maurice Renck
zusammen, der die Website Linux4us.de
mitbrachte. Neben dem Radioprogramm
gab es nun eine Website, es folgte ein
Printmagazin, das die Radio-Tuxer 2002
aber einstampften.
Devise, und die Sendungen erschienen
jetzt im Monatsrhythmus. Ende 2004
kam es zur Auflösung der Fusion mit
Linux4us. Renck wandte sich anderen
Aufgaben zu und Ingo Ebel übernahm
das Ruder.
Dass das Projekt in Folge von Mitarbeiterfluktuation
unter chronischem Personalmangel
litt, mit Qualitätsproblemen
kämpfte und es trotzdem schaffte, Interviews
mit Richard Stallman und Mark
Shuttleworth zu produzieren, zeugt vom
Durchhaltevermögen der Radiomacher.
Bis 2006 dauerte die Dürreperiode.
Format beweisen
Geburtstagsfeier
Mit einem 20-köpfigen Team um Redaktionsleiter
Tobias Scholze und der Seele
von Radio Tux – Ingo Ebel – gehen die
Radiomacher [2] jetzt ins zehnte Jahr.
Henrik Heigl, Moderator, Interviewer und
für die Öffentlichkeitsarbeit zuständig,
weist auf das professionell eingerichtete
mobile Sendestudio hin, das – ausgerüstet
mit freier Software – für Events und
Veranstaltungen anfragbar ist. n
Infos
[1] Sendeplan Radio Tux:
[http:// blog. radiotux. de/ sendeplan/]
[2] Redaktion:
[http:// blog. radiotux. de/ redaktion/]
Wellenbewegungen
Maurice Renck lotste dann als Chefredakteur
die Linux4us/ Radio-Tux-Kombination
durch schwierige Zeiten. Konzentration
auf das Radioprogramm lautetet die
Dann richtete das Projekt wieder eine Mailingliste
ein, es meldeten sich Mitstreiter
und Tobias Luther übernahm die Chefredaktion,
Ingo Ebel und Mario Schroeder
teilten sich die Gesamtleitung. Mit dem
von Ingo Ebel beim Hochschulradio Stutt-
Radioschnipsel
DELUG-DVD
Auf der Delug-DVD finden sich
einige Radiobeiträge von Radio Tux, darunter
die erste Sendung, ein Interview mit Mark
Shuttleworth und eins mit Jon Maddog Hall.

Wie schnell
können Sie Ihr
Hosting ändern?
JETZT NEU!
MONATLICHE KÜNDIGUNGSFRIST
Innerhalb von Minuten können sich die Anforderungen
an einen Internetauftritt ändern. Deshalb sollte sich auch
das Hosting individuell anpassen und nicht durch lange
Vertragslaufzeiten unflexibel bleiben.
Wir setzen unsere eigene Thomas-Krenn Serverhardware ein.
Im Rechenzentrum sind alle Komponenten sofort verfügbar
und schaffen somit eine Hosting-Umgebung, die sich individuell
Ihren Bedürfnissen anpasst. So können wir Ihnen eine VMware
VM innerhalb einer Stunde freischalten. Sie bestimmen, wo es
langgeht, entscheiden über Laufzeit und Performance und das
bei 99.99% Verfügbarkeit und einem 24/7 Service in deutscher
Marco Escher
Director Hosting . Thomas-Krenn.AG
mescher@thomas-krenn.com
Tel: 08551/9150-170
Sprache.
Hochverfügbarkeit
und Flexibilität durch
ab sofort
IPv6
Alle Infos erhalten Sie in unserer
Videodokumentation auf unserer
neuen Hosting-Homepage
Die Thomas-Krenn.AG läßt Ihre Wünsche Wirklichkeit werden!
- www.thomas-krenn.com/hosting -
www.thomas-krenn.com
EU: +49 (0) 8551 9150-0 · AT: +43 (0) 7282 20797-3600 · CH: +41 (0) 848 207970
Made in Germany!

Titelthema
www.linux-magazin.de RPMs signieren 06/2011
26
Signierte Pakete mit Red Hats Paketmanagement
Sicher paketiert
Sichere Software entwickeln ist das eine. Genauso wichtig ist es, die Programme auf verlässlichen, nachvollziehbaren
Wegen zum Anwender zu bringen. Dieser Artikel zeigt, wie Entwickler RPMs erstellen, signieren, in
ein Repository stellen und sie vor Fehlern oder Manipulationen durch Dritte schützen. Christoph Wickert
© Kostyantine Pankin, 123RF.com
Linux lebt von seiner Vielfalt, aber genau
die macht es den Entwicklern bisweilen
auch schwer, ihre Programme an
die Besonderheiten und Unterschiede der
einzelnen Distributionen anzupassen.
Traditionell veröffentlichen Programmierer
deshalb einfach den Quellcode und
überlassen es dem Nutzer, diesen auf seinem
Computer zu übersetzen, üblicherweise
mit dem berühmten Dreisprung
»configure; make; sudo make install«.
Dabei passen die Build-
Tools die Software - zumindest
im Idealfall - automatisch
an das jeweilige
System an.
Unhandlich:
Source Code
Das Vorgehen hat jedoch
ein paar Haken: Es ist
zeit- und rechenintensiv,
erfordert einiges Wissen
und funktioniert leider
nicht immer problemlos.
Deshalb setzten
sich in den Neunziger
Jahren vorgefertigte Binärpakete
durch. Auf
Suse- und Red-Hat-Systemen liegen die
im RPM-Format [1] vor, was ehemals für
Red Hat Paketmanagement stand, heute
das rekursive Akronym „RPM Paketmanagement“
abkürzt.
Pakete haben viele Vorteile: Sie sind optimal
auf die Distribution abgestimmt und
lassen sich jederzeit per Knopfdruck installieren,
aktualisieren oder auch wieder
restlos entfernen. Die Ersteller können
Abhängigkeiten definieren, die Paketver-
waltung löst diese auf und installiert alles
Notwendige, auf Wunsch auch komfortabel
über das Internet.
Trügerische Sicherheit
In der Praxis hat dieser Komfort dazu
geführt, dass sich viele Nutzer nur mehr
wenig Gedanken um die Sicherheit der
von ihnen installierten Pakete machen.
Angesichts der umfangreichen Features,
die das Paketmanagement bietet, ist das
jedoch fahrlässig: Die Paketverwaltung
ermöglicht es dem Softwareentwickler,
bei der Installation Skripte auszuführen,
um beispielsweise einen Daemon vor der
Deinstallation herunterzufahren oder ihn
nach einer Aktualisierung automatisch
neu zu starten.
Deshalb verlangen diese Skripte volle
Rootrechte und lassen sich zu schädlichen
Manipulationen missbrauchen. Immer
wieder gab es Angriffe, wo Nutzer
Pakete untergeschoben bekamen, die
neben dem eigentlichen Inhalt auch böswillige
Skripte enthielten.
Bei Dateien aus dem Internet ist also eine
gewisse Skepsis angebracht, erst recht,
wenn sie nicht über die Paketverwaltung
aufs System kommen, sondern via Down-
Listing 1: »gpg ‐‐gen‐key«
01 [...]
02 gpg: enabled debug flags: memstat
03 Bitte wählen Sie, welche Art von Schlüssel Sie möchten:
04 (1) RSA und RSA (voreingestellt)
05 (2) DSA und Elgamal
06 (3) DSA (nur signieren/beglaubigen)
07 (4) RSA (nur signieren/beglaubigen)
08 Ihre Auswahl? 2
09 DSA‐Schlüssel können zwischen 1024 und 3072 Bit lang sein.
10 Welche Schlüssellänge wünschen Sie? (1024)
11 Die verlangte Schlüssellänge beträgt 1024 Bit
12 Bitte wählen Sie, wie lange der Schlüssel gültig bleiben soll.
13 0 = Schlüssel verfällt nie
14 = Schlüssel verfällt nach n Tagen
15 w = Schlüssel verfällt nach n Wochen
16 m = Schlüssel verfällt nach n Monaten
17 y = Schlüssel verfällt nach n Jahren
18 Wie lange bleibt der Schlüssel gültig? (0) 365
19 Key verfällt am Mi 18 Apr 2012 05:37:07 CEST
20 [...]
21 gpg: Schlüssel C6B8BAFB ist als uneingeschränkt vertrauenswürdig
gekennzeichnet
22 Öffentlichen und geheimen Schlüssel erzeugt und signiert.
23 [...]

load und lokaler Installation. Mit dem
Kommando »rpm -qp --scripts Paket.rpm«
einen Blick auf die Skripte zu werfen, die
das Paket bei Installation ausführen will,
ist da Pflicht, aber auch nur eine erste.
Prüfsummen und
Signaturen
Nahezu alle Distributionen haben die Gefahr
erkannt und treffen entsprechende
Schutzvorkehrungen. Dabei geht es nicht
nur um absichtliche Manipulationen,
sondern in erster Linie darum, ein viel
häufiger auftretendes Problem zu verhindern:
Die Installation beschädigter
Pakete, beispielsweise durch einen fehlerhaften
Download.
Per Definition enthalten RPM-Pakete in
ihrem Header Prüfsummen in den Formaten
SHA1 und MD5 sowie Informationen
über die Dateigröße. Damit kann der
Admin die Integrität eines heruntergeladenen
Paketes wirkungsvoll überprüfen.
Eine Authentifizierung des Herausgebers
ist damit jedoch noch nicht möglich, die
Quelle des Paketes bleibt vorerst im Unklaren.
Die Integrität eines RPMs prüft
das Kommando:
$ rpm ‐‐checksig beaver‐0.4.1‐1.x86_64.rpm
beaver‐0.4.1‐1.x86_64.rpm: sha1 md5 OK
Wer sicherstellen will, dass ein Paket auch
wirklich vom angegebenen Herausgeber
stammt, greift auf dessen Signatur zurück
– seriöse Entwickler signieren ihre Pakete.
Genau wie bei E-Mail oder Dateien
kommt hier das freie Kryptographiesystem
GPG zum Einsatz. Der Entwickler
erstellt als erstes ein GPG-Schlüsselpaar,
mit dem er seine Pakete anschließend
digital signiert. Das Erstellen des Schlüssels
erledigt der Befehl »gpg --gen-key«
(Listing 1).
Der Anwender wählt Algorithmen, Länge
und Verwendungszweck des Schlüssel
aus und definiert ein Verfallsdatum. Das
ist wichtig, damit Keys, die verloren gehen,
automatisch inaktiv werden und
nicht für immer als eigentlich nicht mehr
Online PLUS
Eine Anleitung zur Integration signierter
Pakete mit dem Open Suse
Build Service finden Sie unter: [http://www.
linux-magazin.de/plus/2011/06]
gültige Authentifizierungsquelle durchs
Web geistern. GPG erstellt anschließend
eine User-ID, die den Schlüssel identifizierbar
macht, wofür es einige Zufallsdaten
benötigt. Dazu verlangt es zufälligen
Input an der Konsole oder mit der Maus,
bevor es abschließend die Kerndaten des
Keys ausgibt.
Den erzeugten öffentlichen Schlüssel
lädt der Entwickler mit »gpg --send-key«
auf einen der offiziellen Schlüsselserver
hoch (Listing 2). Welchen Server
er hier verwendet, spielt keine Rolle, da
die Server ihre Schlüssel untereinander
austauschen.
Die Buildumgebung
Im nächsten Schritt geht es daran, eine
passende Umgebung für den Bau der
RPM-Pakete durch das Kommando Rpmbuild
zu schaffen. Entwickler sollten dabei
ihre Pakete niemals als Root bauen,
denn ein Fehler in einer ».spec«-Datei
oder einem Makefile könnten böse Folgen
haben. Ganz Vorsichtige legen sogar einen
dezidierten Benutzer zum Paketbau
an, um ihre Dateien zu schützen.
Ein »mkdir -p ~/rpmbuild/{BUILD,RPMS,
SOURCES,SPECS,SRPMS}« erzeugt die
passende Verzeichnisstruktur. Wer davon
abweichen und beispielsweise ein anderes
Directory als »~/rpmbuild« verwenden
möchte, muss Rpmbuild dessen Pfad
übergeben. Das erledigt am Einfachsten
das Makro »%_topdir« in der Datei
»~/.rpmmacros« (Listing 3). Wer will,
erweitert bei dieser Gelegenheit seine
Konfiguration gleich um nützliche und
zum Signieren notwendige Makros [2]
Ein Paket bauen
In der Build-Umgebung zimmert der Entwickler
jetzt sein erstes Paket, beispielsweise
eines für den Editor Beaver [3],
der hier auch als Beispiel für ein einfaches
Programm dient. Die Spec-Datei, die
den Paketbau steuert, legt der Paketierer
dazu in das Verzeichnis »SPECS« und das
Quellarchiv, das er von der Homepage
heruntergeladen hat, in das Verzeichnis
»SOURCES«. Dann startet »rpm --ba
SPECS/beaver.spec« den Bau des Paketes
(Abbildung 1).
Das Paket lässt sich anschießend mit Rpm
problemlos installieren. Leider warnt das
Meine Top-Prio’s:
1. Spannende Technologie-Projekte
mit Open-Source-Lösungen.
2. Ein starkes, kompetentes und
sympathisches Team.
3. Klare Perspektiven für die Zukunft.
Wir suchen Leute
mit den gleichen Prioritäten.
Systems Engineer
Linux (m/w)
Daniel Bäurer
Systems Engineer
bei inovex
Sie sind technologiebegeistert,
haben mindestens 2 Jahre Erfah rung
als Systems Engineer (GNU/Linux in
Verbindung mit Hochverfügbarkeit,
Data Center Management, Automatisierung,
Virtualisierung etc.)
und Spaß daran, Engineering-Projekte
von A bis Z umzusetzen. Wir arbeiten
u. a. für: 1&1, buch.de, Daimler,
EnBW, GMX, maxdome, Porsche und
WEB.DE
Interessiert? Dann möchten wir
Sie kennenlernen. Wir freuen uns
auf Ihre Bewerbung per E-Mail
an jobs@inovex.de
Ihre Ansprechpartnerin ist Slavka
Stofikova, Tel. 089 451 51 95 401.
Mehr über uns: www.inovex.de
inovex
live!
Besuchen Sie uns
auf dem LinuxTag
in Berlin
11. – 14. Mai !

Titelthema
www.linux-magazin.de RPMs signieren 06/2011
28
Konsolentool nicht wegen der fehlenden
Signatur, wohl aber die Paketverwaltungen
moderner Distributionen wie Yum
(Listing 4), Yast oder Packagekit (Abbildung
2). Während Packagekit immerhin
den Anwender noch einmal um Eingabe
des Rootpasswort bittet, verweigert Yum
die Installation kategorisch, sofern die
Überprüfung des GPG Schlüssels nicht
mit der Option »--nogpgcheck« deaktiviert
ist.
Um diese Warnung loszuwerden, sind
zwei Schritte notwendig: Der Paketbaumeister
muss das Paket signieren [4] und
der Benutzer den öffentlichen Schlüssel
in sein System integrieren. Als erstes signiert
der Ersteller das Paket mit dem
Befehl »rpm --addsign«.
$ rpm ‐‐addsign rpmbuild/RPMS/x86_64/U
beaver‐0.4.1‐1.x86_64.rpm
Bitte das Passwort eingeben:
Das Passwort ist richtig.
rpmbuild/RPMS/x86_64/beaver‐0.4.1‐1.U
x86_64.rpm:
Listing 2: »gpg ‐‐send‐key«
01 $ gpg ‐‐keyserver hkp://pgp.mit.edu ‐‐send‐key
C6B8BAFB
02 gpg: enabled debug flags: memstat
03 gpg: sende Schlüssel C6B8BAFB auf den hkp‐Server
pgp.mit.edu
04 random usage: poolsize=600 mixed=0 polls=0/0
added=0/0 outmix=0 getlvl1=0/0 getlvl2=0/0
06 secmem usage: 0/32768 bytes in 0 blocks
Listing 3: »~.rpmmacros«
03 %_topdir %(echo $HOME)/linux/rpmbuild
04 %packager Max Mustermann
05 %vendor Max Mustermann
06 %_signature gpg
07 %_gpg_name C6B8BAFB
08 %_hkp_keyserver http://pgp.mit.edu
Der Befehl akzeptiert auch Wildcards,
was es möglich macht, mehrere Pakete
gleichzeitig kryptografisch zu unterzeichnen,
ohne das Passwort erneut von Hand
eingeben zu müssen.
Im Prinzip reicht ein einzelner Ordner
mit signierten Paketen für Downloads
aus, aber erst wenn dazu eine bestimmte
Verzeichnisstruktur kommt, sprechen
Entwickler von einem Repository. Vor
dem Aufsetzen des „Repos“ sollte sich
der Admin Gedanken darüber machen,
welche Distributionen und Versionen er
bedienen will. Das folgende Beispiel bietet
Pakete in 32 und 64 Bit für Fedora 14
an und veröffentlicht auch die passenden
Quellpakete dazu. »mkdir -p repo/
fedora/14/{i386,x86_64,sources}« erstellt
die Ordnerstruktur, in der die fertigen
Pakete landen.
Repository bauen
Damit die Paketverwaltung die Pakete
erkennt, extrahiert »createrepo« einige
Metadaten aus dem RPMs, zum Beispiel
den Namen, die Version oder die Abhängigkeiten.
Creatrepo ruft der Entwickler
einfach im Verzeichnis mit den Paketen
auf, es legt die Metadaten in dem Unterordner
»repodata« ab:
$ cd ~/repo/fedora/14
$ for i in i386 x86_64 sources ; do
> cd $i
> createrepo .
> cd ..
> done
Createrepo darf der Admin aber erst nach
dem Signieren des Paketes ausführen,
weil sich das Paket durch die Signatur
natürlich verändert, ebenso wie seine
Metadaten. Im Wurzelverzeichnis des
Repositorys hinterlegt er zusätzlich zwei
Dateien, die Repository-Beschreibung
und den Schlüssel.
Damit ein Benutzer das Lager in seine Paketverwaltung
einbinden kann, braucht
es eine ».repo«-Datei. Landet die auf dem
Client, zum Beispiel mit Yum im Ordner
»/etc/yum.repos.d/«, kann der Admin
dort sofort Pakete aus dem Repository
installieren. Listing 5 zeigt die ersten
Zeilen einer solchen Datei. Dank des Eintrags
»gpgkey« weiß die Paketverwaltung
nun, welcher Schlüssel zum Signieren
der Pakete diente und wo der passende
Public Key zu finden ist. Der Paketersteller
exportiert ihn mit dem Kommando:
$ gpg ‐‐export ‐‐armor max.mustermann@U
example.net > RPM‐GPG‐KEY‐Mustermann
Damit die in der Repo-Datei angegebene
URL auch nach dem Upload auf den Server
noch stimmt, landet die Schlüsseldatei
»RPM-GPG-KEY-Mustermann« direkt
im Wurzelverzeichnis des Repository.
Unsichere Schlüssel-
Automatik für die Clients
Jetzt können Clients Pakete von hier installieren.
Beim ersten Versuch lädt die Paketverwaltung
automatisch den Schlüssel
herunter und fordert den Benutzer auf,
diesen zu prüfen und fragt, ob er ihn
installieren will (Abbildung 3). Manuell
geht das mit:
$ rpm ‐‐import http://example.net/repo/U
RPM‐GPG‐KEY‐Mustermann
Komfortabler, aber auch unsicherer, ist
es, ein Paket zu bauen, das Konfiguration
und Signaturschlüssel schon enthält.
Das hat den Vorteil, dass Anwender den
Listing 4: »yum localinstall«
01 # yum localinstall /home/chris/rpmbuild/RPMS/x86_64/beaver‐0.4.1‐1.
x86_64.rpm
02 Geladene Plugins: langpacks, presto, refresh‐packagekit,
03 Adding de_DE to language list
04 Einrichten der lokalen Paketverarbeitung
05 Untersuche /home/chris/rpmbuild/RPMS/x86_64/beaver‐0.4.1‐1.x86_64.rpm:
beaver‐0.4.1‐1.x86_64
06 Markiere /home/chris/rpmbuild/RPMS/x86_64/beaver‐0.4.1‐1.x86_64.rpm
zum Installieren
07 Löse Abhängigkeiten auf
08 ‐‐> Führe Transaktionsprüfung aus
09 ‐‐‐> Paket beaver.x86_64 0:0.4.1‐1 markiert, um installiert zu werden
10 ‐‐> Abhängigkeitsauflösung beendet
11 Abhängigkeiten aufgelöst
12 =====================================================================
13 Paket Arch Version Repository Grösse
14 =====================================================================
15 Installieren:
16 beaver x86_64 0.4.1‐1 /beaver‐0.4.1‐1.x86_64 448 k
17 Vorgangsübersicht
18 =====================================================================
19 Install 1 Package(s)
20 Gesamtgrösse: 448 k
21 Installed size: 448 k
22 Ist dies in Ordnung? [j/N] :j
23 Lade Pakete herunter:
24 Paket beaver‐0.4.1‐1.x86_64.rpm ist nicht unterschrieben

RPMs signieren 06/2011
Titelthema
Abbildung 1: Rpmbuild baut ein Softwarepaket aus einer Spec-Datei. Die lässt
sich einfach anpassen und bietet viele Möglichkeiten.
Abbildung 2: Package Kit warnt den Anwender eindringlich davor, unsignierte
Pakete zu verwenden, und verlangt erneut das Admin-Passwort.
www.linux-magazin.de
29
Schlüssel nicht mehr über das Internet
herunterladen müssen. Zwar stellt das
RPM-Paket jetzt die Datei-Integrität sicher,
und der Benutzer ist gegen DNS-
Manipulationen gewappnet, aber prinzipiell
kann so auch jedermann ein signiertes
Paket bauen und veröffentlichen, die
Signatur ist praktisch wertlos.
Trotzdem kann das Vorgehen auch nützlich
sein: Der Anwender bekommt automatisch
Aktualisierungen für die Repository-Konfiguration,
zum Beispiel wenn
neue Softwareversionen auftauchen. Wer
das einrichten will, ersetzt
gpgkey=http://example.net/repo/RPM‐GPG‐KEY‐U
Max‐Mustermann
in der Repository-Definition durch:
gpgkey=file:///etc/pki/rpm‐gpg/RPM‐GPG‐KEY‐U
Max‐Mustermann
Auch das Spec-File für dieses Paket ist
recht trivial, wie Listing 6 zeigt. Der Entwickler
könnte sogar noch einen Schritt
weiter gehen und den Schlüssel ebenfalls
automatisch durch das Paket installieren
lassen. Dazu fügt er folgenden Abschnitt
zur Spec-Datei hinzu:
%post
rpm ‐‐import etc/pki/rpm‐gpg/RPM‐GPG‐KEY‐U
Max‐Mustermann || :
1. Lernen Sie!
Ja, ã training-on-the-jobÒ , oft praktiziert, aber nicht
Ÿ berzeugend. Denn die Kollegen haben nie Zeit
fŸ r echte ErklŠ rungen, au§ erdem werden ã NeueÒ
sofort von dem vereinnahmt, was im Unternehmen
schon seit Ewigkeiten tradiert wird. Warum gibt's
seit 2000 Jahren Schulen und UniversitŠ ten?
ã LERNENÒ ist eine vollwertige TŠ tigkeit, auf die
man sich konzentrieren mu§ , die man nicht 'mal
eben so nebenbei tun kann, und die immer auch
eine Prise ã ErneuerungÒ beinhalten sollte!
2. Ineffiziente Arbeit nicht akzeptieren!
Je spezialisierter Sie arbeiten, desto weniger
echte, fachliche Kollegen haben Sie in Ihrem eigenen
Unternehmen. Wir stellen deshalb Gruppen
zusammen, in denen Sie neben hilfsbereiten
Kollegen mit Š hnlichen Kenntnissen an IHREM
Projekt arbeiten. Und stŠ ndig ist ein fachlicher Berater
anwesend.
ã Guided CoworkingÒ nennen wir das, und es
kš nnte DIE Lš sung fŸ r so manches Projekt sein,
das in Ihrer Firma ã haktÒ .
3. Hintergrund
Wer den riesigen OpenSource-Baukasten schnell
beherrschen mu§ , geht zu einer unserer Ÿ ber 100
Schulungen. Wer das bereits kann, aber schneller
mit seinen Projekten vorankommen will, der
kommt mit seiner Arbeit zum Guided Coworking.
Wir sind eine der erfolgreichsten Schulungseinrichtungen
im gesamten Bereich ã OpenSourceÒ
- sowohl fŸ r Admins, als auch fŸ r Entwickler.
Siehe www.linuxhotel.de

Titelthema
www.linux-magazin.de RPMs signieren 06/2011
30
Der vollautomatische Import des Schlüssels
ist aber nicht immer erwünscht, eigentlich
sollte der Benutzer den Schlüssel
ja prüfen und bestätigen, ansonsten hält
sich der Sicherheitsgewinn in Grenzen.
Bitte bestätigen
Wenn jetzt der Entwickler noch die Authentizität
des Paketes garantiert, das den
Schlüssel enthält, ist der Anwender auf
der sicheren Seite. Dafür gibt es leider
nur den altmodischen Weg über eine
Prüfsumme aus beispielsweise SHA1 sum,
wiederum per GPG-Schlüssel signiert:
$ sha1sum mustermann‐release‐1.0‐1.fc14U
.noarch.rpm > SHA1SUM
$ gpg ‐‐textmode ‐‐detach‐sign ‐‐local‐userU
C6B8BAFB SHA1SUMS
Auch die beiden Dateien »SHA1SUMS«
und »SHA1SUMS.sig« muss der Admin
jetzt zum Download bereitstellen.
Damit wäre theoretisch die Kette des Vertrauens
komplett: Ein garantiert authentisches
Paket installiert die Konfiguration,
01 [...]
05 [max‐mustermann]
06 name=Max Mustermann's RPM packages
07 baseurl=http://example.net/repo/fedora/
$releasever/$basearch/
08 enabled=1
09 skip_if_unavailable=1
10 gpgcheck=1
11 gpgkey=http://example.net/repo/
RPM‐GPG‐KEY‐Mustermann
12
die es ermöglicht,
weitere authentische
Pakete zu installieren.
Fazit
Listing 5: »/etc/yum.repos.d/mustermann.repo«
Mit RPM sichere Pakete
zu erzeugen ist
keine Hexerei. Mit
ein paar zusätzlichen Handgriffen lassen
sich Pakete signieren und vor Manipulationen
auf dem Weg zum Client schützen.
Das Verfahren ist einfach und lässt sich
mit wenig Aufwand automatisieren.
Enterprise-Distributionen wie SLES und
RHEL mit ihren Signaturen bieten hier
prinzipiell die gleiche Sicherheit wie
die Community-Distributionen, weil die
verwendeten Tools identisch sind. Jeder
Admin, der selbst Pakete baut, kann
– eine gewisse Umsicht vorausgesetzt –
ebenso sichere Software bauen wie ein
Distributor, solange er die Grundregeln
beachtet. Die Qualität und Länge der
Schlüssel liegt beim Eigenbau vollständig
13 [max‐mustermann‐sources]
14 name=Max Mustermann's RPM packages ‐ Sources
15 baseurl=http://example.net/repo/fedora/
$releasever/sources/
16 enabled=1
17 skip_if_unavailable=1
18 gpgcheck=1
19 gpgkey=http://example.net/repo/
RPM‐GPG‐KEY‐Mustermann
20 [...]
Abbildung 3: Die neue Paketquelle ist dem System noch nicht bekannt, beim
ersten Zugriff muss der Admin deshalb die Echtheit der Signatur bestätigen.
in der Hand des Admins, ebenso ist es
sein Job, sichere und vertrauenswürdige
Kanäle bereit zu stellen, über die die Dateien
an den Anwender gelangen.
Genau da liegt aber der größte Vorteil, den
die Enterprise-Distributionen für sich verbuchen
können: Sie haben zertifizierte
und signierte Pakete schon an Bord. Wem
die nicht reichen, der muss das Risiko
selbst schultern. (mfe)
n
Infos
[1] RPM Trac: [http://www.rpm.org]
[2] RPM Macros : [http://fedoraproject.org/
wiki/Packaging/ RPMMacros]
[3] Beaver:
[http://beaver‐editor.sourceforge.net]
[4] Pakete signieren:
[http://www. rpm. org/max‐rpm/
s1‐rpm‐pgp‐signing‐packages.html]
Der Autor
Christoph Wickert ist aktiver Mitarbeiter verschiedener
Linux‐ und FOSS‐Projekte. Dazu gehören
Fedora, die „One Laptop Per Child“‐Initiative,
XFCE und LXDE. Seit 2010 arbeitet er als Release‐
Manager bei der Kolab Systems AG.
Listing 6: »mustermnn‐release.spec«
01 Name: mustermann‐release
02 Version: 1.0
03 Release: 1%{?dist}
04 Summary: Max Mustermann's RPM packages
05 Summary(de): Max Mustermanns RPM Pakete
06
07 Group: System Environment/Base
08 License: GPLv2
09 URL: http://example.net/repo
10 Source0: mustermann.repo
11 Source1: RPM‐GPG‐KEY‐Mustermann.asc
12 BuildRoot: %{_tmppath}/%{name}‐
%{version}‐%{release}‐root‐%(%{__id_u} ‐n)
13 BuildArch: noarch
14
15 %description
16 This package contains the repository
definiton and signing keys for Max
17 Mustermann's RPM packages.
18
19 %description ‐l de
20 Dieses Pakete enthält die Informationen und
GPG Schlüssel für Max Mustermanns
21 RPM Pakete.
22
23 %prep
24 # nichts zu entpacken
25
26 %build
27 # nichts zu bauen
28
29 %install
30 rm ‐rf %{buildroot}
31 install ‐Dpm 0644 %{SOURCE0} %{buildroot}%
{_sysconfdir}/yum.repos.d/mustermann.repo
32 install ‐Dpm 0644 %{SOURCE1} %{buildroot}
%{_sysconfdir}/pki/rpm‐gpg/
RPM‐GPG‐KEY‐Mustermann
33
34 %clean
35 rm ‐rf %{buildroot}
36
37 %files
38 %defattr(‐,root,root,‐)
39 %doc
40 %{_sysconfdir}/pki/rpm‐gpg/
RPM‐GPG‐KEY‐Mustermann
41 %{_sysconfdir}/yum.repos.d/mustermann.repo
42
43 %changelog
44 * Sun Apr 17 2011 Max Mustermann ‐ 1.0‐1
45 ‐ Initial release

STRATO PRO
Server-Technik, die begeistert!
Jetzt noch mehr Flexibilität und
Unabhängigkeit für Ihre Projekte:
Jetzt Linux Dedicated
Server bestellen und einen
dynamischen Linux V-Server
gratis dazu erhalten!
Aktion nur bis 31.05.2011
BUY
1 GET
FREE
Dedicated-Server
V-Server
Schon ab 29 € * monatlich
Telefon: 0 18 05 - 00 76 77
(0,14 €/Min. aus dem dt. Festnetz, Mobilfunk max. 0,42 €/Min.)
strato-pro.de
*Mindestvertragslaufzeit 12 Monate, einmalige Einrichtungsgebühr 49 €, Preise inkl. MwSt.

Titelthema
www.linux-magazin.de Debian Src 3.0 06/2011
32
Dachzeile Das neue Sourceformat für Debian-Pakete
Überschrift
Zusammenpacken!
Debian 6.0 enthält neben vielen angenehmen Features für Endnutzer auch eine wichtige Neuerung für Entwickler:
das Source-Paketformat 3.0. Admins profitieren vom 3.0-Format durch neue Funktionen, die Bau und
Pflege ihrer Pakete vereinfachen. Martin Loschwitz
enthält dann alle Veränderungen, die
der Paketbauer am originalen Quelltext
während des Paketierungsvorgangs vorgenommen
hat.
Zu den beiden Dateien gesellt sich eine
dritte mit der Endung ».dsc«, die den
Namen des Quellpakets sowie Informationen
wie etwa die MD5- und SHA-Checksummen
und zusätzlich die Größe der
beiden zuvor erwähnten Dateien enthält.
Sie ist vom Paketbauer zu signieren und
landet bei offiziellen Paketen mit den
zwei anderen Dateien auf dem Debian-
FTP-Server.
© Helder Almeida, 123RF.com
Die Veröffentlichung von Debian GNU/
Linux 6.0 (Squeeze) ist für Admins von
Debian-Systemen ein freudiges Ereignis.
Denn Squeeze bringt neben Verbesserungen
für den laufenden Betrieb auch
essenzielle Neuerungen für all jene mit,
die von der eigenen Software Debian-Pakete
erstellen oder als Debian-Entwickler
fertige Software für Debian vorbereiten:
Dpkg in Squeeze beherrscht das Source-
Paketformat 3.0 und bietet damit eine
ganze Latte an Funktionen und Gimmicks,
die das Verpacken von Software
bequem machen. Der folgenden Artikel
berichtet, welche Vorteile das neue Paketformat
bringt.
Was noch immer gilt
Die Änderungen an Dpkg in Squeeze betreffen
nur das Format der Sourcen eines
Debian-Pakets. An den Binärpaketen ändert
sich wenig: Noch immer handelt es
sich bei ».deb«-Dateien um Ar-Archive
der Version 2, die mit »ar x« ihren Inhalt
preisgeben. Sie bestehen wie gewohnt
aus den TGZ-Archiven »binary.tar.gz«
und »control.tar.gz« und einer Textdatei
namens »debian-binary«.
Zwar sind im Lauf der Jahre ein paar optionale
Felder im »control«-File eines Pakets
dazugekommen, wer nachschauen
möchte, findet sie in »control.tar.gz«.
Diese Optionen betreffen die meisten
Entwickler aber nicht.
Maßgeblich sind die Veränderungen an
den Dateien, aus denen später fertige
».deb« entstehen. Wer sich schon mit
dem Debian-Paketing befasst hat, weiß:
Die Quellen eines Pakets umfassen die
originalen Quellen eines Programms. Sie
liegen in Form eines TGZ-Archivs mit der
Endung ».orig.tar.gz« vor. Dazu gehört
eine Datei, die auf ».diff.gz« endet – sie
Eine geht, eine kommt
So war es bisher, und an dieser Stelle
treffen Paketbauer auf die erste handfeste
Neuerung im 3.0-Format: Statt der ».diff.
gz-Datei« gibt es nun eine ».debian.tar.
gz«-Datei, die die Debian-eigenen Veränderungen
enthält. Der Grund für die Änderung:
Die ».diff.gz«-Dateien waren normale
Patches, die »dpkg-buildpackage«
auf den entpackten Original-Quelltext
mittels »patch« anwendeten.
Diese Prozedur stößt bei Binärdateien
jedoch schnell an ihre Grenzen: Patches
sind Textdateien, in denen sich Binaries
nur über Umwege wie »uuencode« und
»uudecode« unterbringen lassen. PNG-
Icons sind ein gutes Beispiel: Ein im
Debian-Unterverzeichnis existierendes
PNG-Bild hat »dpkg-buildpackage« bisher
einfach ignoriert. Der Maintainer musste
es deshalb erst in Base64 enkodieren und
später beim Paketbau per »rules«-Anweisung
wieder zurückwandeln.
Im Sourceformat 3.0 ist dieser Umweg
nicht mehr nötig: Die ».debian.tar.gz«-
Datei entpackt der Ersteller des Pakets in
das »debian«-Unterverzeichnis. Alle Da-

Wissbegierig?
Schulungen von Profis für Profis
LAST MINUTE MAI/JUNI
Firewalls mit iptables / fwbuilder
Konfliktmanagement in IT-Projekten
Dovecot IMAP-Server
OTRS
http://www.heinlein-support.de/akademie
Abbildung 1: Das Paket »bzr« nutzt das 3.0-(quilt)-Format, hier zu erkennen am ».debian.tar.gz«-File.
teien, die im TGZ-Archiv liegen, landen
im Quelltext und sind von dort aus weiter
verwendbar.
Mehrere Upstream-Tarballs
Eine weitere Neuerung im Sourceformat
3.0 erlaubt es, mehrere Tarballs für Originalsourcen
zu verwenden. Bisher gab es
lediglich das eine schon erwähnte ».orig.
tar.gz«-File, künftig können die Paketbauer
noch zusätzliche verwenden. Die
neue Funktion ist besonders in jenen
Fällen praktisch, wenn der Programmierer
des zu paketierenden Werkzeugs ein
Hauptprogramm und viele Zusatzmodule
herausgibt.
In dem neuen Format Deb-Src 3.0 lassen
sich all diese Komponenten in einem Paket
verteilen, ohne die Upstream-Tarballs
erneuern zu müssen. Dazu benennt der
Paketbauer ein TGZ-Archiv nach dem
folgenden Schema: »paketname_version.
orig-Komponente.tar.gz«. Der unter »Komponente«
angegebene Wert ist wichtig,
denn er bestimmt, in welchem Ordner
dieser Tarball später im entpackten Quelltext
landet.
Steht hier der Wert »test«, müssen sich
die Dateien dieses Tarball im Quelltext
später auch in dem Ordner »test« befinden.
Beim ersten Bauen wird also zunächst
händisch der Ordner »test« angelegt
und dann mittels »tar -C test -xvzf ../
(Paketname_Version).orig-test.tar.gz« der
Inhalt des TGZ-Archivs in diesen Ordner
hinein entpackt.
Beim nächsten Anlauf zu einem Paketbau
mit »dpkg-buildpackage« erkennt das
Programm die Zusatzquellen und integriert
dann den zweiten Tarball in die
».dsc«-Datei. Weitere Informationen zu
diesem Vorgehen liefert eine ausführli che
Anleitung von Raphael Hertzog, der als
Mastermind hinter dem 3.0-Source format
3.0 [1] steht.
Neue Kompressionsformate
Quelltext-Tarballs konnten bisher ausschließlich
das Gzip-Format verwenden,
sollte »dpkg-source« damit umgehen
können. Das ist im neuen Format für
Sourcepakete anders: In 3.0 ist auch
Bzip2 unterstützt. Als Dreingabe steht
sogar LZMA zur Verfügung, ist aber mit
Vorsicht zu genießen: Besteht der Plan,
das Paket irgendwann in das offizielle
Debian-Archiv hochzuladen, dann ist
LZMA keine Option, zumindest fehlt im
Augenblick dafür der Support auf Debians
Haupt-FTP-Server.
Sowohl Bzip2- als auch LZMA-Tarballs
sind genauso zu verwenden wie bisher
Gzip-Tarballs, es ist aber – auch wenn
es trivial klingt – darauf zu achten, dass
die Dateien nicht auf ».orig.tar.gz« enden,
sondern auf ».orig.tar.bz2« oder auf
».orig.tar.lzma«.
Keine blinden Passagiere
Die Urheber von Software meinen es häufig
gut mit ihren Benutzern und packen
in ihren Programmquelltext ein »debian«-
Verzeichnis, mit dem Endanwender dann
schnell und leicht zu einem ».deb«-Paket
kommen. Für Debian-Entwickler war
das ärgerlich: Mit dem zuvor schon beschriebenen
Diff-Verfahrens war es nicht

Titelthema
www.linux-magazin.de Debian Src 3.0 06/2011
34
Abbildung 2: Wenn ein Programm es regelmäßig mit Patches zu tun bekommt, macht das neue Sourceformat
das Leben des Betreuers bedeutend einfacher.
sinnvoll möglich, Files im Debian-Ordner
zu entfernen, »dpkg-source« hat fehlende
Dateien beim Erstellen des ».diff«-
File einfach ignoriert. Das Resultat war,
dass selbst nach dem Erstellen des Pakets
durch einen Debian-Entwickler im
»debian«-Verzeichnis oft noch Altlasten
des gleichen Ordners vom Programmautor
vorhanden waren.
Deb-Source 3.0 löst das Problem: Erkennt
»dpkg-source« im Tarball der originalen
Quellen ein Debian-Verzeichnis, löscht
es den Ordner, und zwar bevor es die Debian-Änderungen
auf den Quelltext anwendet.
Wer Pakete gebaut hat, in denen
er sich auf vorhandene Files in »debian«
verlässt, muss beim Umstieg auf Deb-
Source 3 Anpassungen vornehmen.
Unter Debian-Entwicklern ist es verpönt,
Veränderungen außerhalb des Debian-
Ordners einfach in das ».diff«-File zu
übernehmen. Die herrschende Auffassung
lautetet, dass das ».diff.gz«-File nur
und ausschließlich Veränderungen in
»debian/ « vornehmen darf. Wer diesem
ungeschriebenen Gesetz folgte, stand aber
vor einem Problem: Wie ist mit unvermeidbaren
Änderungen im Quelltext umzugehen?
Viele Autoren verwenden zum
Beispiel für ihre Software hartkodierte
Pfade. Wenn diese nicht dem Filesystem
Hierarchy Standard (FHS) entspre chen,
muss ein Debian-Entwickler die Pfade
ändern, wenn er nicht gegen die Debian-
Policy [2] verstoßen will. Abhilfe schafft
nur eine Lösung, bei der im Debian-
Ordner Patches liegen, die während des
Bauvorgangs quasi on the Fly auf den
Quelltext angewendet werden.
Allerdings wäre es mühsam, für jedes
einzelne Paket die Logik, die ein solches
System braucht, separat zu implementieren.
So kursierten bereits fertige Lösungen:
Dpatch [3] war eine davon, »dbs«
hatte ebenso eine eigene Patchlogik, aber
die bekannteste Lösung der letzten Jahre
heißt Quilt [4]. All diese Systeme beruhen
auf dem Prinzip, dass im »debian/
patches«-Ordner Diff-Dateien liegen, die
beim Bauen des Pakets dynamisch angewendet
und beim Aufrufen des »clean«-
Target in »debian/ rules« wieder entfernt
werden. Für jedes einzelne System waren
dabei in »debian/ rules« andere Einstellungen
zu treffen.
Einer für alle
Deb-Source 3.0 macht Schluss mit Patch-
Wildwuchs und hat das Patchsystem
Quilt bereits integriert. Für Paketbauer
heißt das vor allem, dass sie weniger
Problemfall Patches
Die Vorgehensweise, damit »dpkg-source«
die Bestimmungen von Deb-Source 3 für
ein Paket einsetzt, ist einfach: Es genügt,
»3.0 (quilt)« in das File »debian/ source/
format« zu schreiben, fertig. Zumindest
in der Theorie, denn wer im Paket Patches
verwendet, muss Umbauarbeiten
auf sich nehmen.
Für das Sourceformat 3.0 sind zwei
Namen im Umlauf, auf der einen Seite
„3.0 (native)“ und auf der anderen „3.0
(quilt)“. Letzteres hat das Patchsystem
Quilt implementiert, eine wichtige Neuerung
in Source 3.0 (Abbildung 1).
Abbildung 3: Ansteigende Beliebtheit: Eine Grafik von Enrico Zini zeigt, wie viele Entwickler ihre Debian-
Pakete schon auf das neue Sourceformat umgebaut haben.

Klimmzüge machen müssen, um Patches
mit Quilt zu nutzen (Abbildung 2). Kam
in einem Paket bisher ein anderes Patchsystem
als Quilt zum Einsatz und ist der
Umstieg geplant, bedeutet dies, alles aus
den Dateien im Debian-Ordner zu entfernen,
was mit dem alten Patchsystem
zu tun hat.
Dazu gehören besonders der Eintrag im
Feld »Build-Depends« in »debian/ control«
sowie die Regeln in »debian/ rules«, die
die Patch- und Unpatch-Funktionen des
Patchsystems aufrufen. Letzteres gilt auch
für alle, die Quilt zuvor bereits als separates
Patchsystem nutzten. Die Patches
in »debian/ patches« können bleiben, es
sind aber eventuell vorhandene Header
aus ihnen zu entfernen – insbesondere
Dpatch sah solche Patch-Header vor. Die
Patches sollten den Level 1 verwenden,
also mittels »patch -p1« händisch anwendbar
sein.
Die Vorgehensweise: Nutzer erstellen eine
Datei namens »debian/ patches/ series«
und legen für jedes Patch in »debian/
patches« eine Zeile an, die die Syntax »+
Patchname« hat. Heißt das Patch »test.
diff«, lautet die passende Zeile »+ test.
diff«. Damit ist Quilt einsatzbereit. Beim
nächsten Bauvorgang wendet es alle
Patches in »debian/ patches/ series« an,
und beim Aufruf des »clean«-Target in
»debian/ rules« macht es die Änderungen
der Patches rückgängig.
Übrigens: »Dpkg-Source« ist nicht tolerant,
wenn es darum geht, dass Patches
korrekt sind. Lässt sich ein Patch nur
mit Fuzz anwenden, verweigert »Dpkg-
Source« die Arbeit. Entsprechende Patches
sind also neu zu erstellen. Tipp:
Weil das Verändern von Dateien außerhalb
des Debian-Ordners nicht mehr
möglich ist, legt das neue »dpkg-source«
von erkannten Änderungen zu Beginn
des Bauprozesses ein eigenes Quilt-Patch
an. Wer die Ursprungsquellen angefasst
hat, tut gut daran, für diese Änderungen
Patches händisch und aufgesplittet zu
erstellen – im Nachhinein ist es sonst
schwierig, Veränderungen zu verstehen.
Blick in die Werkzeugkiste
Die maßgeblichen Umbauarbeiten für
den Umstieg auf Deb-Src 3.0 mit Quilt
sind damit beendet. Wie sieht es mit den
anderen Werkzeugen aus dem Package-
Universum aus? Für die Pakete, die ohnehin
überwiegend mit Binärdateien hantieren,
ändert sich nichts. Verschiedene
Systeme zur Pflege eines eigenen Debian-
FTP-Repository – darunter auch Reprepro
– werten für ihre Arbeit die ».dsc-Files«
aus, die beim Deb-Src 3.0 logischerweise
die Dateinamen der neuen Sourcedateien
enthalten. Auch hier sind beim Umstieg
keine Probleme zu erwarten.
Etwas hakeliger sind die Helferlein, die
Git, SVN oder Bazaar und das Paketbauen
verbinden: Git funktioniert zwar
einwandfrei und ist wie immer der Musterschüler,
aber bei »svn-buildpackage«
fehlt noch die Unterstützung für mehrere
Quelltext-Tarbälle. Bazaar hat bis zum
3.0-Format noch einen längeren Weg vor
sich, aber in Colin Watson findet sich
ein prominenter Debian-Developer, der
das System verwendet und die Weiterentwicklung
von »bzr-builddeb« in nächster
Zeit vorantreiben will.
Lintian [5], das unbedingt zu verwenden
ist, um die (Source-)Pakete auf ihre
Konformität mit der Debian-Policy zu
überprüfen, funktioniert größtenteils.
Allerdings klappt das Testen von mehreren
Tarballs im Quelltext nicht. Lintian
überprüft jeweils nur den ersten Tarball
im ».dsc«-File und ignoriert alle weiteren.
Im schlimmsten Fall würde es also Fehler
in Zusatz-Tarballs übersehen.
Fazit
Für den Bau von Debian-Paketen sei der
Einsatz des neuen Sourceformats wärmstens
empfohlen. Es erleichtert und erspart
viele Schritte, besonders die Patchverwaltung
profitiert davon. Die Entwickler akzeptieren
(Abbildung 3) das neue System
bereits. (uba)
n
Infos
[1] Raphael Hertzog, „Mehrere Source-Tarballs“:
[http:// raphaelhertzog. com/ 2010/
09/ 07/ how-to-use-multiple-upstream
-tarballs-in-debian-source-packages/]
[2] Debians Policy-Manual für Pakete: [http://
www. debian. org/ doc/ debian-policy/]
[3] Dpatch: [http://packages.debian.org/
squeeze/dpatch]
[4] Quilt in Debian:
[http://wiki.debian.org/UsingQuilt]
[5] Lintian: [http://lintian.debian.org]
E-Mails
sorgenfrei
Server von Heinlein Elements
DIE ARBEITEN HAND IN HAND
Die modulare Appliance-Familie aus einem
Guß, verfügbar in Hardware oder virtuell
http://www.heinlein-support.de/elements
MAIL-ARCHIV
Gesetzeskonform
und revisionssicher
ANTI-SPAM
Blocken statt
verwalten
IMAP-SERVER
Es muss nicht immer
Groupware sein
MAILTRACE
E-Mail-Recherche
für Helpdesks

Titelthema
www.linux-magazin.de Alternativen 06/2011
38
Dachzeile Conary, Zero Install und Portable Linux Apps
Überschrift
Exotische Päckchen
Die Open-Source-Welt ist für ihre Vielfalt bekannt. Da überrascht es kaum, dass sich kluge Köpfe auch für das
Installieren und Aktualisieren von Software originelle Alternativen ausgedacht haben – von der Versionskontrolle
für das ganze Betriebssystem bis zur Instant-Anwendung auf dem USB-Stick. Mathias Huber
© Yvonne Bogdanski, 123RF.com
Die meisten Linux-Distributionen verwenden
RPM oder Dpkg, um Software
zu installieren und zu warten. Die Alternative
Gentoo hat mit ihrem Quelltextbasierten
System einen eigenen Weg beschritten
(siehe den Beitrag in diesem
Schwerpunkt). Daneben existieren aber
noch weitere reizvolle Ansätze. Dieser
Artikel stellt drei von ihnen vor.
Alles versioniert
Software-Entwickler pflegen ihren Quellcode
in einem Versionskontrollsystem.
Warum sollten Packager und Sysadmins
nicht auch die Vorteile solcher Systeme
nutzen, um installierte Programme und
Systeme zu verwalten? Diese Überlegung
steht hinter der Software Conary [1]. Erik
Troan, zuvor bei Red Hat an RPM beteiligt,
veröffentlichte sie erstmals 2004,
inspiriert von der verteilten Versionskontrolle
Mercurial. Conary steht unter der
Open-Source-Lizenz CPL und dient als
Basistechnologie für die Produkte der von
Troan gegründeten Firma Rpath.
Das in Python umgesetzte Conary stellt
das gesamte Betriebssystem unter Versionskontrolle.
Auf diese Weise lassen sich
nicht nur einzelne Pakete, sondern auch
Gruppen, ja ganze Systemimages versionieren.
So können große Anwender beispielsweise
maßgeschneiderte Systeme
für einen Mail- oder Webserver auf einer
bestimmte Hardware auschecken.
Die unterschiedlichen Varianten eines
Pakets für bestimmte Prozessorarchitekturen
oder mit besonderen Compile-Optionen
verwaltet Conary als so genannte
Flavors (Geschmacksrichtungen). Das
erspart es den Distributionsbauern, mehrere
Zweige parallel zu pflegen.
Diese Technologie steckt im Systembaukasten
Rbuilder, der in einer öffentlichen
Instanz [2] für Open-Source-Projekte
kostenlos bereitsteht. Dort entsteht auch
das Conary-basierte Foresight Linux [3].
Ein kommerzieller Kunde ist EMC, der
damit komplette Systeme für RSA-Datensicherheits-Appliances
baut.
Auch für den Maintainer, der ausgewählte
Software für eine Linux-Distribution paketiert,
hat das System einiges zu bieten.
Die als Recipe (Rezept) bezeichneten Dateien,
die das Bauen aus den Quelltexten
steuern, sind in einer Domain Specific
Language (DSL) auf Python-Basis formuliert.
Für viele Arten von Builds existieren
fertige Superklassen, beispielsweise
»AutoPackageRecipe« in Listing 1, das
C-Software mit den Autotools baut. Daneben
gibt es eine ganze Bibliothek solcher
Klassen, unter anderem für C++-
Programme, Java, Gnome-Anwendungen
und CPAN-Module.
Deep Inspection
Es fällt auf, dass das Rezept in Listing 1
keine expliziten Abhängigkeiten nennt.
Deren Auflösung automatisiert Conary
weitgehend. Deep Inspection nennt
sich der Vorgang, bei dem Conary den
Quellcode inspiziert und die benötigten
Bibliotheken ermittelt. Das funktioniert
unter anderem für Java, PHP und Ruby.
Rpath-CTO Brett Adam bezeichnet dieses
Feature als Alleinstellungsmerkmal. Es
erfasse rund 90 Prozent der Abhängigkeiten,
schätzt er. Der Anwender ergänzt
etwaige unerkannte Abhängigkeiten in
der Recipe-Datei und kann auf Wunsch
die automatisch ermittelten Einstellungen
manuell überschreiben.
Für alles, was sich nicht in der DSL regeln
lässt, kann er zu Python greifen. In
Listing 1 geschieht das in den Zeilen 9

Alternativen 06/2011
Titelthema
Abbildung 1: Da Rpaths Paketmanager Conary fremde Binärpakete einkapseln kann, eignet er sich auch zur
Verwaltung eigentlich RPM-basierter Enterprise-Distributionen wie Suse und Red Hat.
Abbildung 2: Zero Install legt die Software-Installation
in die Hand des einfachen Anwenders.
www.linux-magazin.de
39
und 10, um in dem Namen des Quelltext-
Tarball einen Bindestrich zu ersetzen, der
bei Conary nicht erlaubt ist.
Sparsam
Bei der Aktualisierung von installierter
Software verhält sich Conary ebenfalls
wie ein Versionskontrollsystem: Es überträgt
lediglich ein Changeset, überspielt
also nicht sämtliche Binärdateien, wenn
sich nur eine Konfigurationsdatei ändert
– laut Brett Adam ein großer Vorteil gegenüber
RPM. Dabei lässt er allerdings
außer Acht, dass Suse und Red Hat ein
ähnliches Feature bieten (siehe Kasten
„Delta-RPM“). Immerhin berichtet der
Rpath-CTO von einem großen Kunden,
der zu Conary gewechselt habe, um seine
Anwendungen zur Kreditkartenabrechnung
schneller und effizienter auf seinen
zahlreichen und weltweit verteilen Servern
zu aktualisieren.
Besagter Kunde nutze zudem ein Feature,
das Conary seit rund eineinhalb
Jahren bietet. Das System kann RPM-
Pakete von Suse Linux Enterprise, RHEL
und Centos einkapseln (Abbildung 1). So
erhielt das Unternehmen eine Conary-
Systemverwaltung aus einem Guss und
Delta-RPM
kann dennoch weiterhin bei seiner bevorzugten
Enterprise-Distribution bleiben.
Die Subskriptionsverträge bleiben davon
unberührt, da Conary die Original-Binärpakete
des Herstellers unverändert lässt
und lediglich einpackt.
Wer Conary kennenlernen möchte, kann
als Alternative zu Rpaths kommerziellen
Angeboten zum freien Foresight Linux
greifen, das alle erforderlichen Tools enthält.
Unter [4] hat Rpath eine Community-Website
eingerichtet, die zum Austausch
von Recipes dient, derzeit aber
nicht besonders üppig befüllt ist. Ein
Artikel im „LinuxUser“ [5] beschreibt
die Conary-Kommandos sowie das Bauen
eigener Pakete und Appliances.
Endanwender-Installation
Während Conary ganze Betriebssysteme
versioniert, bedient der Zero Install Injector,
kurz 0install [6], das andere Extrem:
Die Software ermöglicht es Normalanwendern
ohne Superuser-Rechte,
einzelne Programme nach Wunsch zu
installieren. Dabei ist sie distributionsneutral
– ein Paket lässt sich auf allerlei
Linuxen installieren, sofern dort die Zero-
Install-Tools vorhanden sind.
Bereits seit Version 9.2 verwendet Suse Linux
so genannte Delta-RPMs, um Software zu aktualisieren.
Dabei handelt es sich um Pakete, die
zwar einen vollständigen RPM-Header enthalten,
als Payload aber nur einen Binär-Diff zur
Vorgängerversion des Pakets.
Das Patchen übernimmt nicht RPM selbst, sondern
die darüberliegende Schicht Libzypp –
beziehungsweise Yum, denn seit 2009 setzen
auch Red Hat und Fedora auf Deltas. Als Resultat
kommt ein normales RPM-Paket heraus, das
sich wie gewöhnlich installieren lässt.
Als jüngste Entwicklung hat die LZMA/ XZ-
Komprimierung bei Delta-RPM Einzug gehalten,
daneben haben die Entwickler eine
Option eingebaut, die den tendenziell hohen
Speicherverbrauch des Tools in Grenzen hält.
Die Delta-RPM-Werkzeuge stehen unter BSD-
Lizenz, den Quellcode pflegen die Entwickler
in einem Gitorious-Repository [11].
Zero Install ist einer von mehreren Versuchen,
die Software-Installation unter
Linux ähnlich anwenderfreundlich zu gestalten
wie unter Windows oder Mac OS X,
und verwendet dabei ein übersichtliches
GUI (Abbildung 2). Im Gegensatz zu eingeschlafenen
Projekten wie Autopackage
und Klik erfreut es sich aktiver Pflege und
Entwicklung. Das Projekt möchte noch
2011 die Version 1.0 publizieren, derzeit
ist 0.54 aktuell.
Software-Entwickler profitieren von Zero
Install, da sie ihre Programme dezentral
auf der eigenen Website in einem
installierbaren Format publizieren können,
ohne auf die Arbeitsabläufe und
Repositories der Linux-Distributionen
angewiesen zu sein. Thomas Leonard,
der Erfinder des Zero Install Injector,
legt solche Gedanken in einem online
verfügbaren Artikel dar [7]. Der Brite
entwickelt das Installationssystem seit
2003 und verwendet es unter anderem
für seine Desktopumgebung Rox und deren
Anwendungen.
Zum Installieren eines Softwarepakets
benötigt der Anwender einen Zero Install
Feed. Dabei handelt es sich um
Listing 1: Conary-Recipe
01 class Goom(AutoPackageRecipe):
02
03 name = 'goom'
04 version = '2k4_0'
05
06 buildRequires = []
07
08 def unpack(r):
09 r.macros.upstreamVersion = r.macros.version.
replace('_','‐')
10 r.addArchive('mirror://sourceforge/%(name)
s/%(name)s‐%(upstreamVersion)s‐src.tar.gz')

Titelthema
www.linux-magazin.de Alternativen 06/2011
40
Abbildung 3: Was hier als XML-Quelltext sichtbar gemacht ist, erlebt der Anwender als schlichten Weblink zum Anklicken: Die so
genannten Feeds enthalten die Metadaten, die Zero Install zum Herunterladen und Einspielen von Software benötigt.
eine im Web veröffentlichte XML-Datei
mit Meta-Informationen zum Paket. Sie
enthält unter anderem die Adresse des
Installationsarchivs und den Hashwert,
der das Paket identifiziert (Abbildung
3). Eine ständig aktualisierte Sammlung
zahlreicher Feeds bietet [8].
Zieht der Benutzer die Feed-Adresse aus
dem Webbrowser in das Zero-Install-Fenster,
starten Download und Installation.
Dabei landen alle Dateien eines Pakets
unterhalb von »~/.cache/0install.net/
implementations/Hashwert/« im Homeverzeichnis
des Anwenders. Dort findet
sich für jedes installierte Programm ein
Baum von Systemverzeichnissen wie auf
einem ganz gewöhnlichen Unix-System
(Abbildung 4).
Zero Install löst Abhängigkeiten automatisch
auf und lädt die benötigten Dateien
herunter. Befindet sich eine Bibliothek
bereits im Installationsverzeichnis des
Benutzers, wird sie nicht neu geladen.
Daneben können optional auch verschiedene
Benutzer auf einem Rechner
vorhandene Bibliotheken teilen, wofür
das Installationssystem diese in »/var/
cache/0install.net/« bereithält.
Interessanterweise kennt Zero Install im
Grunde nur das Ausführen von Programmen.
Das Kommando
»0launch« und seine
GUI-Entsprechung führen
eine Anwendung
aus, wenn sie bereits installiert
ist. Andernfalls
lädt es die Software zur
Installation herunter. Ist
ein Programm bereits
länger als einen Monat
nicht gelaufen, sucht
Zero Install automatisch
nach Updates. Aktualisierungen
lassen sich
auch von Hand im GUI
des Installationssystems
veranlassen.
Dazu gesellen sich Features,
die einer Softwareverwaltung
gut
zu Gesicht stehen: GPG-signierte Feeds
stellen Herkunft und Unversehrtheit sicher.
Daneben kann der Anwender Policies
vorgeben, die beispielsweise nur die
Installation stabiler Programmversionen
erlauben. Versionen mit Sicherheitsproblemen
werden in den Web-Feeds als
»insecure« gebrandmarkt.
Ohne Root
Bei Zero Install kommt nicht nur der Benutzer
ohne Rootrechte aus, das System
verwendet auch keine Pre- oder Post-
Install-Skripte, die mit den Berechtigungen
des Superusers laufen. Kombiniert
mit entsprechenden Policies könnte es
für den Sysadmin ein Möglichkeit bieten,
Anwender administrierter Rechner zusätzlich
gewünschte Software installieren
zu lassen – unter Umständen aus einer
im lokalen Netzwerk vorgehaltenen, vertrauenswürdigen
Quelle.
Software-Entwickler und Packager finden
auf der 0install-Website umfangreiche
Anleitungen und einige Tools, um
eigene Pakete zu bauen und Feeds zu
publizieren. Es gibt auch Utilities, die
Zero-Install-Feeds aus Dpkg- oder RPM-
Repositories generieren.
Einstecken statt
installieren
Abbildung 4: Innerhalb eines Zero-Install-Pakets befindet sich ein Unix-Verzeichnisbaum. Bereits heruntergeladene
Bibliotheken kommen bei der Installation weiterer Software erneut zur Verwendung.
Noch weiter treiben es die Portable Linux
Apps [9]: Was seit Jahren unter Windows
funktioniert, gibt es seit April 2010 auch

opensourcepress.de
Bücher
unter Linux: Binärdateien auf USB-Speicher
kopieren, einstecken und ausführen.
Die Sammlung tragbarer Programme
für den Speicherstick ist beträchtlich und
reicht von Libre Office über den Videoplayer
VLC bis zum Security-Tool Wireshark
(Abbildung 5).
Ein beliebter Tipp empfiehlt, die Lieblingsanwendung
in Linux- und Windows-
Version auf einen USB-Stick zu spielen.
So kann man unter den verschiedenen
Betriebssystemen als Gast in vertrauter
Umgebung arbeiten. Möchten die Programme
allerdings Einstellungen oder
andere Daten speichern, ist es nicht besonders
schön, wenn sie auf dem fremden
Rechner landen, insbesondere bei
Passwörtern. Zumindest unter Linux lässt
sich das mit einer auf den Stick zeigenden
»HOME«-Variablen beheben, wie der
„LinuxUser“ [10] empfiehlt.
Hindernisse
Das alles funktioniert derzeit allerdings
nur auf 32-Bit-Systemen, womit viele
neuere Computer ausscheiden. Daneben
funken neuere Udisks-Versionen auch
noch dazwischen: Beim automatischen
Mounten des eingesteckten Speichers
hängen sie FAT-formatierte Sticks mit der
Option »showexec« ein. Diese erlaubt
nur das Ausführen von Dateien mit der
Endung ».exe« ».com« oder ».bat«. Allerdings
lässt sie sich auch austricksen:
Ist das Executable passend umbenannt
und der Stick erneut eingesteckt, funktioniert
die Portable-App. Dem absurden
Vorschlag aus einem Ubuntu-Forum, das
Udisks-Binary mit Sed zu traktieren, sollten
man auf keinen Fall folgen. n
Infos
[1] Conary:
[http:// wiki. rpath. com/ wiki/ Conary]
[2] Rbuilder: [http:// www. rpath. org/ ui/]
[3] Foresight Linux:
[http:// www. foresightlinux. org]
[4] Community-Seite mit Conary-Rezepten:
[http:// www. conaryrecipes. com]
[5] Christian Meyer, „Packstation“: LinuxUser
01/ 08, Seite 76
[6] Zero Install Injector: [http:// 0install. net]
[7] Thomas Leonard, „Decentralised Installation
Systems“:
[http:// www. osnews. com/ story/ 16956/
Decentralised_Installation_Systems]
[8] Zero Install Feeds:
[http:// roscidus. com/ 0mirror/]
[9] Portable Linux Apps:
[http:// portablelinuxapps. org]
[10] Florian Effenberger, „Apps to Go“:
LinuxUser 11/ 10, Seite 67
[11] Quelltext der Delta-RPM-Suite: [http://
www. gitorious. org/ deltarpm/ deltarpm]
Kurse
NEU
ISBN 978-3-941841-34-5
592 Seiten · brosch. · 39,90 [D]
ISBN 978-3-941841-23-9
248 Seiten · brosch. · 19,90 [D]
NEU
ISBN 978-3-941841-24-6
214 Seiten · brosch. · 34,90 [D]
Mai
2011
ISBN 978-3-941841-36-9
ca. 370 Seiten · brosch. · 34,90 [D]
04.-08. & 11.-15. Juli 2011
Vorbereitung auf LPIC-1& LPIC-2
Diese Kurse bereiten Sie auf die Prüfungen
101 und 102 bzw. 201 und 202 des Linux
Professional Institute vor. Am letzten Kurstag
können Sie die Prüfungen bei uns ablegen!
Dozent:
Michael
Gisbers
Abbildung 5: Portable Linux Apps bringt eine große Software-Auswahl auf den USB-Stick. Der Einsatz ist
allerdings auf 32-Bit-Systeme beschränkt und kann an Mount-Optionen scheitern.
Auswahl Kurstermine Mai – Juli 2011
C++: STL und Boost
Python
Applikationsentwicklung für Android
Git
IPv6
Virtualisierung mit KVM
TCP/IP-Analyse mit Wireshark
Bacula Grundlagen
Apache Webserver
FAI
OTRS::ITSM Change Builder
Nagios Advanced
opensourceschool.de
23. – 24.05.
23. – 25.05.
25. – 27.05.
06. – 07.06.
06. – 08.06.
06. – 09.06.
08. – 10.06.
14. – 16.06.
20. – 22.06.
04. – 06.07.
11. – 12.07.
20. – 22.07.
Sonderpreise
für Studierende

Titelthema
www.linux-magazin.de ICC für Gentoo 06/2011
42
Gentoo-Software optimiert übersetzen
Schneller, schneller
Das Software-Management von Gentoo Linux fußt auf dem Sourcecode der Programme. Damit eignet sich die
Distribution im besonderen Maße für Performance-Experimente mit Compileroptionen. Teile von Gentoo lassen
sich sogar mit der ICC übersetzen. Ein Praxistest. Kay Königsmann
gewählten Kategorie. Ein »search«-Feld
besitzt Portage auch. Die Abbildung 1
zeigt als Beispiel die verfügbare Versionen
zum Paket »postgresql«.
Emerge und Ebuilds
© Christophe Schmid, 123RF.com
Gentoo Linux [1],[2] verwaltet seine
Software grundsätzlich anders als andere
Distributionen. Der Administrator
installiert keine kompilierten Programme
als Deb- oder RPM-Pakete, sondern kompiliert
Sourcen, wobei er auf einfache
Weise zur Hardware passende Compilerflags
setzt. Das versteht dieser Artikel als
Einladung zu dem Experiment, die Sourcen
von PostgreSQL mit verschiedenen
Compilern optimiert zu übersetzen und
die entstehenden Binarys einem Benchmark
zu unterziehen.
Daniel Robbins hatte Gentoo 1999 gegründet.
Robbins, der zwischenzeitlich
Listing 1: PostgreSQL-Ebuild (Auszug)
auch bei Free BSD mitmischte, veröffentlichte
im Jahr 2002 Gentoo 1.0. Diese
Version besaß bereits ein Free-BSD-ähnliches
Autobuild-System, das Programmequellen
aus dem Internet holt und
auf dem Zielsystem lokal kompiliert. In
Anlehnung an den Free-BSD-Terminus
„Ports“ nannte Robbins die Gentoo-Paketdatenbank
Portage.
Diese sortiert ihre Programmpakete in
Kategorien [3]. Wählt der Nutzer eine
aus, so zeigt eine Übersicht zunächst die
nachgefragtesten Programmpakete. Erst
die Auswahl von »category-full« in den
»Links« listet alle Programmpakete der
01 src_compile() {
02 local bd
03 for bd in . contrib $(use xml && echo contrib/xml2); do
04 PATH="${EROOT%/}/usr/$(get_libdir)/postgresql‐${SLOT}/bin:${PATH}" \
05 emake ‐C $bd ‐j1 || die "emake in $bd failed"
06 done
07 }
Die Gentoo-Maintainer liefern zu jedem
Programm Paketbeschreibungen, genannt
Ebuilds. Diese Dateien beinhalten
Informationen über den Paketnamen, die
Programmversion, den Status des Pakets
(stabil, instabil), die erlaubten Rechnerarchitekturen,
Abhängigkeiten zu anderen
Programmen und so weiter. Zurzeit
(April 2011) verfügt Gentoo über 27 201
Ebuilds zu 14 605 Paketen in 154 Kategorien.
Die Mehrheit der Ebuilds sind Bash-
Skripte, die das System mit Informationen
zur Kompilierung und Installation
der Quellen versorgen. Ebuilds enthalten
somit im Unterschied zu »src.rpm«-Paketen
nicht den eigentlichen Sourcecode,
sondern die URL zum Download.
Für die Installation der Sourcen dient
Gentoos Paketmanager-Frontend
»emerge«. Der Emerge-Prozess durchläuft
nacheinander mehrere Stufen, die in den
Ebuilds als Funktionen eingetragen sind.
Die Hauptphasen im Installationsprozess
jedes Programms spiegeln die Teile
»setup«, »unpack«, »compile«, »test« und
»install« wider. Vor diesen Phasen führt
der Installationsprozess gegebenenfalls
die »/etc/portage/bashrc« aus.
Das Ebuild zu PostgreSQL, zu finden in
der Kategorie »dev-db«, zeigt auszugsweise
Listing 1. Hier dient »emake« als
Wrapper innerhalb der Compile-Phase.
Es ruft »make« mit den Optionen »-C«
(Verzeichniswechsel) sowie »-j1« (nur einen
Prozessor-Thread nutzen) auf. Make
bedient sich des installierten »gcc«. Glo-

Abbildung 1: Stabile Programmversionen erhalten in Portage ein »+«. Die Tilde »~« kennzeichnet den Status
Unstable. Als Vorgabe installiert der Gentoo-Paketmanager nur die jeweils neueste als stabil gekennzeichnete
Version eines Programms.
bale Compilerflags setzt der Anwender
in der Datei »/etc/make.conf«, zum Beispiel
»-march=core2« für die Intel-CPU
Core2Duo.
PostgreSQL kompiliert und installiert der
Administrator durch
USE="perl python tcl" LINGUAS="de" emergeU
‐v postgresql‐server
Der Paketmanager wertet die Angaben
im zugehörigen Ebuild aus, stellt dabei
Abhängigkeiten fest und installiert darum
das Paket »postgresql-base«. Die »USE«-
Angaben stellen optionale »./configure«-
Parameter dar, »LINGUAS« wählt neben
der englischen die deutsche Sprachunterstützung
aus. Weitere Hinweise gibt der
Kasten „PostgreSQL installieren“.
Testlauf mit der GCC
Die Basis für die folgenden Optimierungsexperimente
stellte ein Intel-E6300-Core-
2-Duo-System mit 2 GByte RAM und einem
unmodifizierten Gentoo-64-Bit-Kernel
im Server-Profil, den »genkernel all«
übersetzt hatte. Vor der PostgreSQL-Installation
brachten »emerge --sync«, »emerge
portage« sowie »emerge -uND world«,
»dispatch-conf«, »emerge --depclean« das
System auf den neuesten Stand.
Sämtliche Pakete waren anfangs mit der
GCC 4.4.5 übersetzt. In diesem Zustand
erfolgten die ersten Performancemessungen
am PostgreSQL-Server, um eine Vergleichsgrundlage
zu erhalten. Als Benchmark
diente »pgbench«, den PostgreSQL
per se im Gepäck hat. Vor der Messung
legt ein »createdb dbtest && pgbench -i
-s 100 dbtest« die Datenbank »dbtest« an,
initialisiert und füllt sie mit 10 Millionen
Tupeln (»-s« beinhaltet den Skalierungsfaktor
100).
pgbench ‐t 100 ‐c 10 ‐M prepared dbtest
startet den Benchmark. Der Prozess
vollführt bei jeder der simulierten zehn
Verbindungen (Connections) je 100 nichttriviale
(»-M«) Transaktionen. Im Ergebnis
erscheinen unter anderem die gemessenen
Transaktionen pro Sekunde (tps).
ICC in Gentoo einrichten
Als alternativer Closed-Source-Compiler
soll hier Intels Compiler-Collection dienen,
für die mehrere Ebuilds vorliegen.
PostgreSQL installieren
Vor dem »emerge«-Befehl setzt der Gentoo-
Admin nach Bedarf seine Configure-Optionen,
zum Beispiel: »USE="perl python tcl"
LINGUAS="de"«. Nach der PostgreSQL-Installation
führt er folgende Schritte aus:
n In »/etc/conf.d/postgresql-server-9.0« gegebenenfalls
»locale« auf »de_DE.UTF-8«
setzen,
n »emerge --config =dev-db/postgresql-server-9.0.3«
ausführen sowie
n »/var/lib/postgresql/9.0/data/postgresql.
conf« passend zum eigenen Anforderungsprofil
modifizieren, zum Beispiel:
Ein »emerge -v icc« installiert die Version
10.0.026, die für den nicht-kommerziellen
Gebrauch kostenfrei ist [4]. Die Lizenzen
von Intels „C++ Composer XE for
Linux“ decken auch die älteren in Portage
aufgeführten ICC-Versionen ab. Die per
E-Mail von Intel erhaltene Lizenzdatei
mit Endung ».lic« speichert der Anwender
unter dem manuell anzulegendem
Verzeichnis »/opt/intel/licenses/«.
Nun muss er in die Datei »/opt/intel/
cce/10.0.026/bin/icc.cfg« die Zeile »-idirafter
/usr/include/linux« aufnehmen.
Andernfalls tritt beim Kompilieren von
Programmen, die die Datei »limits.h«
inkludieren, ein »catastrophical error«
auf. Auch ist es erforderlich, die Gentoo-Datei
»/etc/make.conf« mit Umgebungsvariablen
für die ICC erweitern:
»ICCCFLAGS="-O2 -xT -ip"«. Das »-xT«
veranlasst die ICC Code zu erzeugen, der
die SSSE3-Einheit des Core 2 Duo heranzieht.
Zum Abschluss führt der Admin
»env-update« sowie »source /etc/profile«
aus, um die Umgebungsvariablen an die
neuen Gegebenheiten anzupassen.
Lost in Compilation
Dem ersten Impuls, Gentoo nun komplett
per »emerge world« mit ICC zu übersetzen,
sollte man nicht nachkommen.
Denn die Quellen der Bash, von Sed, Binutils,
GCC, Glibc, Ncurses, Libstdc++v3,
Zlib oder Procps enthalten GCC-spezifischen
Code. Als Lösung bietet sich
an, den Paketmanager über eine manuell
anzulegende und mit ausführbaren
Rechten versehene Datei »/etc/portage/
bashrc« zu beeinflussen. Der Installationsprozess
führt in der genannten Datei
vorhandenen Code in jeder Ebuilds-Stufe
temp_buffers = 8MB
work_mem = 1MB
maintenance_work_mem = 16MB
checkpoint_segments = 12
autovacuum = off
Die letzte Zeile ist nötig für alle, die beabsichtigen
Benchmarks laufen zu lassen – so wie in
diesem Artikel geschehen.
Jetzt richtet Root noch ein Passwort für den
Benutzer »postgres« ein. Der Befehl »/usr/
lib64/postgresql-9.0/bin/postgres -D /var/lib/
postgresql/9.0/data« startet schließlich die
Datenbank.
ICC für Gentoo 06/2011
Titelthema
www.linux-magazin.de
43

Titelthema
www.linux-magazin.de ICC für Gentoo 06/2011
44
aus. Auf [5] gibt es entsprechende Code-
Beispiele.
Für diesen Artikel reicht es aber, nur die
Software mit dem ICC zu übersetzen,
die der Benchmark vermessen soll. Der
Administrator hinterlegt dazu die mit der
ICC zu kompilierenden Programme ohne
Versionsnummern, jedoch einschließlich
ihrer Portage-Kategorie in der Datei
»/etc/portage/bashrc/package.icc«:
dev‐db/postgresql‐base
dev‐db/postgresql‐server
Bei allen anderen Programmen nutzt der
Installationsprozess GCC weiter. Um die
PostgreSQL-GCC-Binarys aus dem System
zu kicken, deinstalliert der Admin jetzt
»postgresql-base« sowie »postgresql-server«
und installiert sie gleich wieder. Nun
übersetzt die ICC die Datenbank.
Um noch einen weiteren Benchmark-
Vergleichswert zu erheben, installierten
die Tester in der Folge noch die in Portage
eingetragene, als instabil gekennzeichnete
ICC-Version 11.1.072-r1 (Abbildung
2). Der Befehl »autounmask >=
dev-lang/icc-11.1.072-r1« kennzeichnet
die instabile Version intern als installierbar
und ermöglicht so das Ausprobieren.
Die Sourcen haben übrigens eine beachtliche
Größe: 770 MByte. (Inoffizielle
12er-Versionen der ICC für Gentoo gibt es
übrigens auch bereits [6].)
Egal, ob man Programmpakete mit der
stabilen oder der instabilen ICC kompiliert,
linkt der Compiler den Code dynamisch
gegen ICC-Bibliotheken. Das will
dann beachtet sein, wenn der Administrator
die ICC wieder deinstalliert: Denn
nun finden die Binarys ihre Bibliotheken
nicht mehr – das Neuübersetzen mit der
GCC steht somit an.
Benchmark-Ergebnisse
Die im Rahmen dieses Artikels durchgeführten
Benchmarks zeigen recht un-
terschiedliche Ergebnisse
(Abbildung 3). Zur Bildung
eines aussagekräftigen
Mittelwerts dienten
die jeweils zehn besten
Ergebnisse der einzelnen
Durchläufe. Die ICC 10.
0.026 zeitigte im Mittelwert
eine 25 bis 29 Prozent
schnelleren Code als
die GCC, im Einzelfall sogar
deutlich mehr. Die ICC
11.0.072-r1 erreichte im
Mittelwert nur rund 10
Prozent mehr Durchsatz
als die GCC und fällt somit im Vergleich
zum älteren Bruder stark ab.
Die Ergebnisse zeigen natürlich nur eine
Tendenz auf und sind nicht auf jeden
Einzelfall übertragbar – das Spielen mit
Compilerflags, das Optimie ren auf andere
CPUs und ein Tu ning der PostgreSQL-
Konfiguration führ ten sicher zu anderen
Ergebnissen. Andererseits fällt der Gewinn
der stabilen ICC-Version so deutlich
aus, dass er Beachtung verdient.
Fazit
Abbildung 3: Die bei PostgreSQL-Benchmark zur Mittelwertbildung herangezogenen
Einzelwerte der beiden Intel-Compiler liegen durchgehend
über dem erreichbaren Durchsatz der GCC. Insbesondere das Kompilat
der stabilen ICC-Version überzeugt.
Gentoo verfolgt mit dem Herunterladen
der Sourcen und deren anschließendes
Kompilieren einen gänzlich anderen Ansatz
als der Linux-Mainstream mit seinen
Deb- oder RPM-Binärpaketen. Der
erfahrene Gentoo-Anwender wählt dabei
die Compilervorgaben genau passend zu
seiner Hardware aus. Ob das Ganze in
der Praxis vor- oder nachteilig ist, mag
jeder selbst entscheiden. Zumindest
zum Testen der Wirksamkeit von Compilern
eignet sich Gentoo Linux offenbar
prima. Auch weil das Portage-System die
Möglichkeit einräumt, nur einzelne Programmpakete
zum Übersetzen mit einem
alternativen Compiler auszuwählen.
Im Rahmen dieses Artikels geschah das
für einen PostgreSQL-Server. Der gemessene
Geschwindigkeitsvorteil von rund
25 Prozent ist so relevant, dass bei einer
Datenbank, deren Antwortzeiten unter
Last anschwellen, das Neukompilieren
mit der ICC die Investition in neue Hardware
hinauszögern kann. So betrachtet,
sind Testläufe mit variierten Compilerflags
und alternativen Übersetzern keine
Spielerei, sondern helfen Kosten zu sparen.
Das gilt tendenziell für alle Serverapplikationen.
Die auf auf Desktopsystemen
erzielbare Performancesteigerung
wird zwar auch in dieser Größenordnung
ausfallen, jedoch spüren PC-Anwender
einen Geschwindigkeitsgewinn subjektiv
erst ab rund 30 Prozent. (jk) n
Infos
[1] Gentoo-Projekt: [http://www.gentoo.org]
[2] Deutschsprachiges Gentoo-Portal:
[http://www. gentoo.de]
[3] Gentoo-Software-Katego rien:
[http://packages. gentoo.org/categories/]
[4] Intel-Compiler zum nicht-kommerziellen
Gebrauch:
[http://software. intel.com/en-us/articles/n
on-commercial-software-development/]
[5] Anleitung zur ICC-Konfiguration auf Gentoo-Systemen:
[http://www.gentoo-wiki.
info/HOWTO_ICC_and_Portage]
[6] Inoffizielles Portage-Archiv mit Ebuilds zu
den ICC-Versionen 12.X:
[http://gpo. zugaina.org/dev-lang/icc]
Abbildung 2: Der Griff zu »autounmask« ermöglicht instabile Programmpakete zu installieren.
Der Autor
Kay Königsmann arbeitet seit 1999 im IT-Bereich,
zunächst als Datenbank- und Java-Dozent, später
auch im Projektmanagement. Debian sowie IT-
Security bilden die Schwerpunkte seiner heutigen
Tätigkeit. Er ist Autor zahlreicher Fernlehrgänge
für die Erwachsenenweiterbildung.

STRATO ist der Spot
für meine Website.
Hier funktioniert alles so,
wie ich will!
Marius Hoppensack
www.marius-hoppensack.de
Erstellt mit dem PowerPlus-Paket
Marius
Hoppensack
STRATO Hosting
Für Anwender mit hohen Ansprüchen
Ihre Website mit echten Profi-Features:
8 Domains und 5 GB Speicher inklusive
10 MySQL-Datenbanken und unlimited Traffic
Unterstützung von CMS (Joomla!, WordPress etc.)
Profi-Features: PHP, Perl, Python, Ruby u.v.m.
Hosting PowerPlus L
Ohne Risiko testen!
FREE
TRIAL
*
Aktionsangebot nur
bis zum 31.05.2011
(Leserwahl Ausgabe 6/11)
Jetzt bestellen unter: s trato.de / hosting
Servicetelefon: 0 18 05 - 055 055
(0,14 €/Min. aus dem dt. Festnetz, Mobilfunk max. 0,42 €/Min.)
* 30 Tage kostenlos testen, danach 14,90 €/Monat, Mindestvertragslaufzeit 6 Monate. Preise inkl. MwSt.

Titelthema
www.linux-magazin.de Quellenanalyse 06/2011
46
Wann es sich lohnt, Softwarequellen zu inspizieren
An der Quelle
Open Source sei sicherer, weil jedermann jederzeit nachvollziehen könne, was die Software alles treibt – so
lautet ein gängiges Urteil. Doch wie sieht das in Unternehmen wirklich aus? Wer sich nicht auf die Peer Review
der Community verlassen kann oder darf, steht vor einer Herausforderung. Markus Rothmeyer, Markus Feilner
© Tom Grundy, 123RF.com
Am Tag der offenen Tür der Raumfahrtagentur
ESA im bayerischen Oberpfaffenhofen
steht der aktuelle Status des
Galileo-Projekts im Mittelpunkt. Bei der
Führung durch die Satellitenkontrollzentrale
stellt ein Teilnehmer die auf der
Hand liegende Frage: „Warum setzen Sie
hier eigentlich Linux auf den Arbeitsplätzen
ein?“ In der Tat überwachen die
Mitarbeiter der Raumfahrtagentur an
KDE-Desktops die Flugbahnen der ersten
beiden Testsatelliten des europäischen
GPS-Programms. Die kurze Antwort des
Spezialisten sitzt, überrascht aber doch
einige der Besucher: „Für unsere Ansprüche
an Ausfallsicherheit haben sich gängige
Closed-Source-Betriebssysteme als
ungeeignet erwiesen.“
Die Aussage ist typisch für Unternehmen
oder Institutionen, die höhere Ansprüche
an Security oder Stabilität der eingesetzten
Software haben.
Aber mit Open- und
Closed-Source konkurrieren
nur zwei
Entwicklungsmodelle,
die für IT-Leiter in
den kritischen Einsatzszenarien
nicht
unbedingt das Maß
aller Dinge sind. Viel
wichtiger ist es für
sie, überhaupt Zugriff
auf den Quelltext
zu erhalten, weil
ohne diesen gründliche
Audits und Analysen
kaum möglich
sind.
Dabei spielt es nur
eine untergeordnete
Rolle, ob der Code
im Rahmen eines
Partneragreements wie etwa Microsofts
Shared-Source-Initiative für Regierungsbehörden
[1] oder als vollständig freie
Software verfügbar ist. Wer von seinem
Closed-Source-Lieferanten per Vertrag
vollen Zugriff auf den Code erhält und
somit seine Software fortlaufend selbst
überprüfen kann, ist zumindest theoretisch
auf der sichereren Seite.
Hauptsache Sourcecode
Aber ist der Quelltext wirklich so bedeutsam
für die IT-Sicherheit eines Unternehmens?
Zahllose Firmen verwenden
doch Open-Source-Programme in Routern,
Firewalls und Servern, ohne jemals
die Sourcen heruntergeladen und eines
Blickes gewürdigt zu haben. Für viele Anwender
und Admins ist das Versprechen
ausreichend, dass eine Community mit
gemeinsamer Anstrengung, Peer Review
und verteiltem Debugging Fehler und Lücken
deutlich schneller findet als eine
Firma, die exklusiv über ihre Programmierleistungen
herrscht, auch wenn sie
Millionen Entwickler beschäftigt.
Dieser Ansatz ist jedoch eher pragmatisch,
entscheidend ist der Anspruch, den
ein Unternehmen an seine IT-Security hat.
Denn der Aufwand, den eine Firma bereit
ist zu leisten, wächst nahezu exponentiell
mit dem Schutzbedürfnis oder den zu
erwartenden Gefahren und Risiken.
Paranoiker-Leitfaden
Für den, der mit sehr hoher Wahrscheinlichkeit
Sicherheitsprobleme in der von
ihm verwendeten Software ausschließen
will, stellt auch das BSI-Grundschutzhandbuch
[2] nur einen – wenn auch
durchaus sinnvollen – Einstieg dar. Darüber
hinaus muss die IT-Leitung mindestens
folgende Punkte umsetzen:
n KIS-Prinzip (Keep it simple): Alle unternehmenskritischen
Bestandteile der
IT müssen so einfach und übersichtlich
wie nur möglich gestaltet sein.
Funktionen, Hard- und Softwarekomponenten,
die nicht unternehmensrelevant
sind, sind zu entfernen.
n Zugriff auf den Quellcode: Regelmäßige
Analysen und Säuberungsaktionen
vermindern das Risiko von Softwarefehler
oder Backdoors.
n Experten-Audits: Zusätzlich prüfen externe
Spezialisten kritische Teile der
Quellcodes.
n Definierte Build-Prozeduren: Nur Binärcode,
der nachvollziehbar mit einer
dokumentierten Build-Prozedur aus
den geprüften Quellen kompiliert ist,
darf Verwendung finden.

n Test Harness: Ein automatisiertes Test-
Framework [3] gibt Admins die Möglichkeit,
sicherheitskritische Funktionen
zu prüfen, ohne die eigene IT zu
gefährden.
n Quellcode-Repository: Ein eigenes
Repository ist unverzichtbar. Es hilft
Admins den Überblick zu bewahren
und die Software transparent zu verwalten.
Seine Versionskontrolle stellt
die Nachvollziehbarkeit der Änderungen
(Wer hat wann was geändert?)
sicher und hilft bei der Softwareverteilung.
n Updates: Jedes Patch, jedes Update
oder Upgrade muss den kompletten
Zyklus der oben beschriebenen Maßnahmen
durchlaufen. Aktualisierungen
und Bugfixes sind nur erlaubt,
wenn sie im Quelltext vorliegen und
die IT-Abteilung sie selbst kompiliert,
testet und verteilt.
Dem vom Controlling gegängelten IT-
Leiter dürfte sich jetzt angesichts der
zu erwartenden Kosten für diese Vorgehensweise
die Stirn in Falten legen. Die
meisten Unternehmen wägen hier den im
Katastrophenfall zu erwartenden finanziellen
Schaden mit dem notwendigen
Aufwand an IT-Personal ab und entscheiden
danach, welche der Punkte sie in
welchem Maß umsetzen.
Wer nicht ganz so lax vorgehen will,
weicht die Vorgaben für einzelne Bereiche
auf, zum Beispiel bei den (hoffentlich)
unkritischeren Gerätetreibern wie
Grafikkarten oder Druckern. Wichtig ist
dabei jedoch fast immer ein externer IT-
Dienstleister, der im Ernstfall die Verantwortung
übernimmt.
Für Firmen mit speziellen Risikoszenarien
ergeben sich manchmal sogar rechtliche
Vorgaben, etwa durch die US-Börsenaufsicht
SEC oder als Voraussetzung für die
Kreditvergabe durch Banken (Basel II,
[4]). Typische Situationen, die es notwendig
machen, die oben beschriebenen
Maßnahmen umzusetzen, sind:
n Aufträge mit sehr hohem Volumen,
zum Beispiel im Bereich dreistelliger
Millionen-Euro-Beträge.
n Sehr hohe Vertragsstrafen, die den Bestand
des Unternehmens gefährden.
n Unternehmenskritisches Know-how
auf IT-Systemen.
n Nicht vermeidbare Speicherung sehr
sensibler Personendaten (Steuerberatung,
Anwälte, Health Care, …).
n Einsatz in Gefahrenbereichen, zum
Beispiel Nukleartechnik, Waffentechnik,
Militär, Chemische Industrie.
n In der IT von Nachrichtendiensten.
n Ausgeprägte Wettbewerbssituationen,
vor allem mit ausländischen Konkurrenten
(Stichwort Echelon, [5]).
Immerhin bewegt sich der laufende Aufwand
in einem akzeptablen Rahmen,
wenn das KIS-Prinzip in IT-Sicherheitsrelevanten
Bereichen umgesetzt ist, also
beispielsweise für die Identifikation
der unternehmenskritischen Daten, IT-
Systeme, Funktionen, Prozesse und Be-
Quellenanalyse 06/2011
Titelthema
www.linux-magazin.de
47
Das Linux-Jahr 2010
auf einer scheibe
• Zwölf ausgaben komplett
als hTML und PDf
• ausgeklügelte navigation
in jedem browser
• b litzschnelle Volltextsuche
mit Javascript
• inklusive adobe reader
JETZT NEU!
12 Ausgaben
auf DVD nur
14,95 E!
MAGAZIN
Auf der 2. Seite der doppelseitigen DVD
finden Sie die Live-Distribution Backtrack
4r2 in der überall Exklusiv-Edition
bootfähigen 32-Bit-Version.
Backtrack eignet sich hervorragend für
Penetrationstests im eigenen Netzwerk.
back track
JeTZT schneLL besTeLLen:
• Telefon: 07131 / 2707 274 • fax 07131 / 2707 78 601
• e-Mail: info@linux-magazin.de • internet: http://www.linux-magazin.de/DVD2010
Ihr Widerrufsrecht: Sie können Ihre Bestellung innerhalb von 14 Tagen beim Linux-Magazin-Leserservice, Putzbrunner Straße 71, D-81739 München, widerrufen. Zur Wahrung der Frist genügt die rechtzeitige Absendung des Widerrufs.

Titelthema
www.linux-magazin.de Quellenanalyse 06/2011
48
nutzer. Konkret bringt die Reduktion der
Anzahl von Datenbanken, Repositories,
Servern, Benutzern, Softwarefunktionen
und alternativen Zugriffsmöglichkeiten
viele Vereinfachungen.
Migration
Die langwierigste und arbeitsintensivste
Phase einer Migration hin zu einer sicheren
IT umfasst die Bestandsaufnahme,
Klassifikation und Dokumentation der
IT-Prozesse und ihrer Gefährdungsszenarien.
Dabei helfen die Migrationsleitfäden
des Innenministeriums [6] oder
von IBM [7].
Nach der Überlegung, welche der Prozesse
redundant auszulegen sind, folgt
die Prüfung der Dateiformate, auch mit
der Bewertung, ob an der jeweiligen
Stelle Lese- oder Schreibzugriff nötig ist
– getreu dem KIS-Prinzip. Dann stellt sich
die Frage nach dem zu verwendenden
Open-Source-Betriebssystem.
Da nur wenige Anwender in Unternehmen
Zugriff auf Microsofts Sourcen erhalten
werden, scheiden das Redmonder OS
wie auch die Serverprodukte in sensiblen
Umgebungen von vornherein aus – siehe
Galileo bei der ESA. Typischer ist eher,
dass Firmen mit großen Umgebungen
mehrere freie Systeme parallel verwenden,
meist sind dies Linux, BSD oder
Open Solaris.
Aus den benötigten Dateiformaten ergibt
sich zwangsläufig die Liste erforderlicher
Open-Source-Anwendungen. Proprietäre
Dateiformate, die keine freie Software
unterstützt, müssen die IT-Strategen hier
Abbildung 1: Zarafas freie Groupware unterstützt
den Simko2-Standard für sichere Telefonie, der bisher
aber nur in wenigen HTC-Geräten funktioniert.
einer besonderen Prüfung unterziehen:
Ist das Dateiformat wirklich operationell
notwendig? Unterstützt die Software, die
das Format erzwingt, alle kritischen Prozesse
des Unternehmens? Gibt es kostengünstige
Alternativen?
Wer nicht um die ungewollten Formate
herumkommt, muss auf Virtualisierung
und Terminalserver setzen. So lassen
sich auch unsichere proprietäre Umgebungen
wie MS Windows mit installierten
Closed-Source-Anwendungen in einer
Art Sandbox betreiben. Die setzt der
Server automatisch (beispielsweise mit
VM-Image-Templates) auf einen sicheren
Ausgangszustand zurück, sobald sich der
Anwender abmeldet.
Ebenfalls prüfen muss die IT-Leitung,
inwieweit für kritische Funktionen
Hardwareverschlüsselung zum Einsatz
kommen soll, etwa in Mobiltelefonen.
Certgate zeigt das anhand der Sprachverschlüsselung
in sicheren Smartcards
für das „Merkel-Smartphone“ (Abbildung
1, [8]). Den gleichen Stellenwert sollten
Pass wort-Policies (Länge, Gültigkeitsdauer,
Sonderzeichen, lexikalische Überprüfung),
Arten der Authentifizierung
(Token, Smartcards, Zertifikate) und Stellvertreter
definitionen genießen.
Eine Single-Sign-on-Struktur erweist sich
in vielen Fällen als schwierig, vor allem
mit Open-Source-Mitteln. Hier hat die
Community abseits von LDAP-Kerberos
noch einige Entwicklungsarbeit zu leisten,
vor allem bei der Integration mit
gängigen Desktop-Utilities.
Auch für die Verteilung der nach den
beschriebenen Vorgaben erstellten und
verifizierten Software gelten klare Regeln.
Ein eigenes Repository ist Pflicht,
Binärpakete müssen unbedingt mit Hashcodes
abgesichert und verifizierbar sein.
Downloads über ungesicherte Protokolle
wie HTTP oder FTP sind tabu, für die
stattdessen ausschließlich verwendeten
HTTPS und SFTP bedarf es signierter Zertifikate.
Eine eigene PKI ist spätestens
dann nötig, wenn Mitarbeiter Zugang
über ein VPN erhalten.
Viel Arbeit – die sich lohnt
Egal ob es sich um den eigenen LDAP-
Server, das VPN-Gateway, die Kernel der
im Unternehmen verwendeten Betriebssysteme
oder die Office-Suite handelt: Im
Extremfall muss dieser Leitfaden für jede
Softwarekomponente Anwendung finden.
Admins mit hohem Sicherheitsanspruch
kommen nicht umhin, jede x-beliebige
Software, die sie im Unternehmen einsetzen,
von der Quelle bis zum Desktop des
Mitarbeiters zu verfolgen, zu analysieren
und abzusichern.
An offener Software, freien Standards und
vollständig dokumentierten APIs führt
da kein Weg vorbei. Dabei gilt immer
der KIS-Grundsatz „Weniger ist mehr“:
Schon im Quelltext lassen sich unnötige
Komponenten entfernen, nicht verwendete
Optionen und Funktionen rauswerfen
und so das potenzielle Angriffsziel
minimieren.
In den meisten Fällen ist das nur mit
freier Software möglich, weil nur wenige
große Hersteller ihren Kunden Einblick
in ihre proprietären Produkte gewähren.
Hier schließt sich ein Kreis: Das berechtigte
Sicherheitsbedürfnis der Software-
Entwickler, die ihr geistiges Eigentum vor
der Konkurrenz schützen wollen, verhindert
häufig den Einsatz in Umgebungen
mit hohem Sicherheitsanspruch. n
Infos
[1] Microsofts Shared-Source-Initiative:
[http://www. microsoft.com/resources/
sharedsource/ default.mspx]
[2] BSI-Grundschutzhandbuch:
[http://www. bsi. de/gshb/]
[3] Test Harness:
[http:// en. wikipedia. org/ wiki/Test_harness]
[4] Basel II:
[http://de. wikipedia.org/wiki/Basel_II]
[5] Echelon: [http://en.wikipedia.org/wiki/
Echelon_(signals_intelligence)]
[6] Migrationsleitfaden BMI: [http://www.cio.
bund.de/DE/ IT-Methoden/Migrationsleitfaden/migrationsleitfaden_inhalt.html]
[7] Migrationsleitfaden IBM:
[http://www. redbooks.ibm.com/redbooks/
pdfs/sg246380. pdf]
[8] Certgate: [http://www.certgate.com]
Der Autor
Dr. Markus Rothmeyer ist als Unternehmensberater
tätig und Geschäftsführer
von Maxxel Software.
Seine Spezialgebiete sind
die IT-Strategien, Geo-Data-
Warehouses, Mobilfunkplanung
und GIS.

In eigener Sache: DELUG-DVD
Gnome 3, Suchmaschine, Radio Tux
Einführung 12/2010 06/2011
Software
Auch diesen Monat bekommen die DELUG-Käufer die doppelte Datenmenge zum einfachen Preis: Auf der DVD
finden sich eine virtuelle Appliance mit einem Index der kompletten Linux-Magazin-Webseite, sechs Vi deos,
das Beste von Radio Tux, ein E-Book und viel Software. Von der DVD bootet das brandneue Gnome 3. Markus Feilner
www.linux-magazin.de
49
Inhalt
50 Bitparade
Drei Werkzeuge zur Datenverschlüsselung
im Vergleich: Wofür eignen sich
Truecrypt, DM-Crypt und Ecryptfs? Wer
hat unter Linux die Nase vorn?
56 Tooltipps
Adsuck bremst Werbung aus, Partclone
hilft beim Partitionieren, und Pfm ist der
bessere Filemanager. Vidma verwaltet
Virtualbox-Images, Xchainkeys die
Tastaturbelegung unter X11. Dazu der
schlanke Webserver Weborf.
Neben einem normalen Linux-Magazin
und dem Abonnement ohne Datenträger
gibt es die DELUG-Ausgabe mit Monats-
DVD, bei der die Redaktion den Datenträger
nach einem speziellen Konzept
zusammenstellt: In einer Art modularem
System enthält er Programme und Tools,
die in der jeweiligen Magazin-Ausgabe
getestet und besprochen sind. Zudem
gibt es nicht im Heft abgehandelte Software,
die die Redaktion besonders emp-
Abbildung 2: Komplett als E-Book auf der DVD:
O’Reillys „Linux-Schnellkurs für Administratoren“.
fiehlt, alles gebündelt unter
einer HTML-Oberfläche. Wer
den Silberling einlegt, findet
in den Webseiten gleich als
Erstes den Menüpunkt »Exklusiv«,
der zu einer virtuellen
Appliance von Open Search
Server und einem E-Book von
O’Reilly führt.
DVD-Boot: Suse 11.4
mit Gnome 3
Von der DVD bootet Open
Suse mit der nagelneuen
Gnome-3-Oberfläche (Abbildung
1). Hier zeigt sich
nach fünf Jahren harter Entwicklungsarbeit
das neueste
Desktop-Design, das die Entwickler stolz
als „revolutionär“ bezeichnen. Mit der Linux-Magazin-DVD
lässt sich ein eigener
Eindruck gewinnen, ohne die zahlreichen
Softwarepakete installieren zu müssen.
Open Search Server
Im virtuellen Image auf der DVD liegt eine
Suchmaschine, deren Crawler bereits den
gesamten Webserver des Linux-Magazins
durchforstet und daraus einen schnell
durchsuchbaren lokalen Index erzeugt
hat. Mit dem klappen Suchanfragen auch
offline – meist in wenigen Millisekunden.
Open Search Server (siehe Artikel auf
Seite 60) basiert auf Tomcat und Lucene,
die Entwickler haben ihn erst vor Kurzem
unter die GPL gestellt.
Wem das noch nicht reicht, der schaut
sich Jon „Maddog“ Hall in der Keynote
auf der Cebit an – als Video direkt von der
DVD, zusammen mit fünf weiteren Open-
Source-Experten. Oder er lauscht Maddog
per Offline-Audiostream: Die Macher
Abbildung 1: Die Gnome-Shell in Version 3 der Desktop-Oberfläche
bringt eine komplett überarbeitete Umgebung.
von Radio Tux haben zum zehnten
Geburtstag des Senders ihre besten Sendungen
zusammengetragen, zum Beispiel
ein Interview mit Mark Shuttleworth.
Admin-Schnellkurs
Damit nicht genug, neben den vielen
Werkzeugen aus den Tooltipps, der Bitparade
und dem Archipel-Artikel aus der
Sysadmin-Rubrik findet sich auf der DVD
auch das komplette E-Book (Abbildung
2, [1]) „Linux-Schnellkurs für Administratoren“
mit umfangreichem Grundlagenwissen.
Auf 350 Seiten bringen die Autoren
Tom Adelstein und Bill Lubanovic
dem Leser Linux-Know-how nahe, von
der Administration einzelner Rechner bis
zur virtualisierten Umgebung. n
Infos
[1] Tom Adelstein, Bill Lubanovic, „Linux-
Schnellkurs für Administratoren“: [http://
www. oreilly.de/catalog/linuxsysadminger/]

Software
www.linux-magazin.de Bitparade 06/2011
50
Vier freie Verschlüsselungstools für Linux und Windows im Vergleich
Sicher weggeschlossen
Wer die eigenen Datenbestände vor unbefugtem Zugriff schützen will, verschlüsselt seine Festplatten oder
einzelne Partitionen. Außer dem plattformübergreifenden Truecrypt empfiehlt sich DM-Crypt, aber auch
Ecryptfs oder das Windows-Tool Disk Cryptor haben einiges zu bieten. Markus Feilner, Norbert Graf
© Maxim Kazmin, 123RF.com
Das Verschlüsseln von Dateien, Verzeichnissen
und ganzen Partitionen ist
ein probates Mittel, um Unbefugten den
Zugriff auf die eigenen Daten zu verwehren.
Mit DM-Crypt, Truecrypt und
Ecryptfs haben die Anwender mächtige
Werkzeuge an der Hand, die nicht nur
unter Linux, sondern auch unter Windows
und Mac OS X sensible Daten
wegsperren. Darüber hinaus integrieren
fast alle Distributoren diverse Verschlüsselungsoptionen
bereits in die Installationsroutinen
(Debian, Ubuntu, Centos,
Open Suse) beziehungsweise in die Partitionierungstools
(Abbildung 1).
Dieser Artikel vergleicht drei Verschlüsselungstools
miteinander, die recht unterschiedliche
Ansätze verfolgen. Tabelle 1
zeigt die wichtigsten Features von Truecrypt,
DM-Crypt und Ecryptfs. Außer
Konkurrenz treten zwei Windows-Tools
im Test an: das zu DM-Crypt kompatible
Free OTFE und Disk Cryptor. Im
Test durfte sich die Software auf einem
Rechner mit AMD Phenom II X4 sowie
8 GByte RAM und einer 80-GByte-Intel-
SSD (SSDSA2M080G2GC) unter Open
Suse 11.4, Ubuntu 10.10 und Windows
XP beweisen.
E Truecrypt
Truecrypt [1] ist der wohl bekannteste
Vertreter der Festplattenverschlüsseler.
Die Software läuft auf neueren Windows-
Systemen (2000, 7, Vista, XP, Server 2003
und 2008), unter Mac OS X ab Version
10.4 und auch auf Linux-Rechnern mittels
Fuse. Der Quellcode des Programms
ist zwar erhältlich, dennoch unterliegen
einzelne Komponenten nach wie vor Lizenzen,
die nicht GPL-kompatibel sind:
Das Tool steht unter der Truecrypt-License-Version
3.0, ist kostenlos erhältlich,
aber keine freie Software.
Als einziger Testkandidat bietet Truecrypt
ein GUI und einen grafischen Einrichtungsassistenten
– beide sehen auf allen
Betriebssystemen ähnlich aus und haben
einen vergleichbaren Funktionsumfang.
Truecrypt verschlüsselt per Mausklick
entweder ein ganzes Gerät oder eine bestehende
Partition. Außerdem kennt es
so genannte Container, innerhalb derer
es ein Dateisystem verwaltet.
Container eignen sich vor allem dazu,
auf einer nicht verschlüsselten Partition
einen sicheren Bereich anzulegen. Zum
Lesen und Schreiben mountet Truecrypt
diese Containerdatei. Unter Windows erstellt
es für die sichere Aufbewahrung ein
neues virtuelles Laufwerk, unter Mac OS
X und Linux hängt es den Container in
einen beliebigen Ordner ein.
Die Ver- und Entschlüsselung übernimmt
der Truecyrypt-Treiber im Hintergrund
on the Fly. Als Algorithmen unterstützt
die Software AES, Twofish und Serpent.
Es ist möglich, mehrere Algorithmen zu
kaskadieren. Die Windows-Variante hat
gegenüber den Linux- und Mac-OS-X-
Versionen die Nase vorn, da sie auch
die Systempartition verschlüsselt (siehe
Abbildung 2).
Insgesamt punktet Truecrypt mit seiner
intuitiven Oberfläche, und der Umgang
ist auch für sicherheitsbewusste Nutzer,
Verschlüsselungstools
DELUG-DVD
Auf der Delug-DVD dieses Magazins
befinden sich die in diesem Artikel
beschriebenen Programme Truecrypt, Free
OTFE, Ecryptfs, DM-Crypt sowie Disk Cryptor,
ein GPL-Tool für Windows.

www.linux-magazin.de
Bitparade 06/2011
Software
51
Abbildung 1: Schon lange bietet Yast an, während der Installation oder danach
Partitionen zu verschlüsseln, hier unter Gnome 3 auf Open Suse 11.4.
Abbildung 2: Truecrypt unter Windows erlaubt es dem Admin sogar, die Systempartition
selbst zu verschlüsseln.
die sich nicht mit Kryptographie auskennen,
leicht zu erlernen (siehe Abbildung
4). Die Defaultwerte im GUI sind in der
Regel sinnvoll gewählt. Wer unsicher ist,
findet in der vorbildlichen Onlinehilfe
umfangreiche und sinvoll gegliederte Informationen.
Besonderes Lob verdient die Automount-
Funktion: Mit einem Klick erkennt das
Programm alle mit Truecrypt verschlüsselten
Volumes und bindet sie – das richtige
Keyfile oder Passwort vorausgesetzt
– automatisch ein.
E DM-Crypt
Einen anderen Ansatz verfolgt DM-Crypt
([2], [3]). Das „DM“ im Namen steht für
Device Mapper – die Software greift auf
das Crypto-API des Kernels (siehe Seite 86)
zu und arbeitet damit auf einer ganz anderen
Ebene als Truecrypt.
Das Kryptographiemodul verschlüsselt
beliebige Gerätedateien mit den Algorithmen
AES und Twofish und fungiert
als zusätzliche Schicht zwischen den
Rohdaten und dem Dateisystem. Diverse
Installationsroutinen und Management-
Tools der Distributoren nutzen DM-Crypt,
um schon bei der Installation etwa das
Home verzeichnis eines Nutzers oder eine
andere Partition zu verschlüsseln.
Das Kommandozeilentool »cryptsetup«
(aus dem gleichnamigen Paket) dient
dazu, nachträglich eine Partition zu verschlüsseln.
Abbildung 5 zeigt die Syntax
und einen typischen Ablauf – vom Erstellen
über das Mounten bis zum Aushängen
und Entschlüsseln. Als ersten Parameter
erwartet »cryptsetup« eine Anweisung
wie »create« oder »luksOpen«, als zweite
Option das Blockdevice (im Beispiel
»/dev/sdb7«) und als dritte den Namen,
unter dem der Mapper das verschlüsselte
Gerät zur Verfügung stellen soll.
Anschließend hängt der Nutzer die verschlüsselte
Partitionen wie gewohnt mit
»mount« ein und mit »umount« wieder
aus. Wer lieber mit einem GUI arbeitet,
verwendet die Partitionierungstools der
Distributoren.
LUKS (Linux Unified Key Setup) erweitert
die verschlüsselten Daten um einen
identifizierbaren, standardisierten Header
und speichert in diesem Metadaten
sowie bis zu acht Schlüssel. Auf diese
Weise macht LUKS DM-Crypt skript- und
automatisierbar. Das gestaltet es einerseits
recht einfach, auch die System- und
Außer Konkurrenz: Disk Cryptor
Zwar unter der GPL, aber dennoch ganz auf
Windows beschränkt, präsentiert sich Disk
Cryptor [4]. Das Tool wartet mit einer ähnlich
intuitiven Oberfläche wie Truecrypt auf (siehe
Abbildung 3) und erschließt sich dem Anwender
durch einfaches Ausprobieren. Die umfangreiche
Dokumentation auf der Webseite erklärt
zudem die Integration mit Linux-Bootloadern
für Dual-Boot-Systeme oder
auch für Windows-Live-CDs mit
Bart PE.
Bis einschließlich Version 0.4
war Disk Cryptor sogar kompatibel
zu Truecrypt, doch dann
schlugen die Entwickler einen
anderen Weg ein – laut eigener
Aussagen wegen einiger „Unzulänglichkeiten
des Truecrypt-
Formats“. Damit verabschiedeten
sie sich leider aber auch von
der Plattformunabhängigkeit.
Heute hängt Disk Cryptor der
Swap-Partitionen zu verschlüsseln, wenn
der Benutzer dafür sorgt, dass die benötigten
Module wie »dm-crypt« in der Initial
Ramdisk vorhanden sind. Anders als
Truecrypt, das seinen eigenen Bootloader
mitbringt, braucht DM-Crypt andererseits
ein unverschlüsseltes »/boot«-Verzeichnis
in einer eigenen Partition oder auf einem
USB-Stick.
Im Gegensatz zu reinem DM-Crypt sind
LUKS-DM-Crypt-Partitionen beispielsweise
durch den Header als solche erkennbar.
Bei Truecrypt findet die Software
verschlüsselte Partitionen zwar
auch automatisch, ermöglicht aber trotzdem
Hidden Volumes.
Auch für Wanderer zwischen den Betriebssystemwelten
hat DM-Crypt etwas
Konkurrenz, vor allem dem Rivalen Truecrypt,
im Funktionsumfang deutlich hinterher. Das
Tool beherrscht keine Containerverschlüsselung
und liest verschlüsselte Partitionen nur,
wenn diese mit FAT oder NTFS formatiert sind.
Überraschenderweise bietet Disk Cryptor jedoch
eine Konsolenversion (»dccon.exe«) für
den ambitionierten Windows-User.
Abbildung 3: Das GPL-Tool Disk Cryptor punktet ebenfalls mit einer
übersichtlichen Oberfläche.

Software
www.linux-magazin.de Bitparade 06/2011
52
Abbildung 4: Truecrypt gilt für viele Anwender als das Desktop-Verschlüsselungstool schlechthin. Die Oberfläche
ist selbsterklärend; detaillierte Informationen verrät das Terminal im Hintergrund.
Bordmittel. Listing 1 zeigt eine typische
Ecryptfs-Sitzung. Beim erstmaligen Einbinden
mit »mount -t ecryptfs« fragt
die Software den Anwender nach den
möglichen Parametern für die Verschlüsselung,
zum Beispiel nach Cipher, Key
oder Passwort, nach Key-Typ und -Länge.
Bei jedem weiteren Mountvorgang dieses
Verzeichnisses verlangt es nur mehr die
Legitimation.
Eine konzeptionelle Schwachstelle darf
nicht unerwähnt bleiben: Jeder Benutzer
mit Administrator-Rechten kann die verschlüsselten
Verzeichnisse der anderen
Anwender auslesen, da die Passphrase
für die verschlüsselten Daten an das Benutzerkennwort
gebunden ist. Ein möglicher
Ausweg ist, die Passphrase auf ein
externes Medium wie einen USB-Stick
oder eine SSD-Karte auszulagern [8].
Benchmarks
zu bieten. Das GPL-Projekt Free OTFE
[5] stellt ein Windows-Programm bereit,
das unter Linux verschlüsselte Volumes
auch auf dem Redmonder Betriebssystem
liest und schreibt (siehe Abbildung 6).
E Ecryptfs
Im Gegensatz zu den beiden ersten Testkandidaten
verschlüsselt Ecryptfs [6]
auf Dateiebene, nicht auf der Ebene der
Blockdevices. Ecryptfs setzt im Hintergrund
auf Cryptfs und den Fist-Standard
mit seinen Stackable Filesystems [7]. Das
Enterprise Cryptographic Filesystem ist
fester Bestandteil des Linux-Kernels seit
Version 2.6.19. Ubuntu setzt seit 9.04,
Jaunty Jackalope, auf Ecryptfs und bietet
schon im Installer an, das eigene Homeverzeichnis
zu verschlüsseln.
Das Tool unterstützt keine Container
oder Partitionen, und obwohl es ein eigenes
Werkzeug für die Verschlüsselung
von Swap-Partitionen mitbringt, kann es
keine Systempartitionen absichern. Wer
»/swap« mit Ecryptfs sichert, sollte beachten,
dass auf vielen Linux-Systemen
danach das Schlafenlegen beziehungsweise
Aufwachen (Hibernate/Resume)
nicht mehr funktionieren.
Wie DM-Crypt verzichtet auch Ecryptfs
auf ein GUI und setzt ganz auf Linux-
Tabelle 1 zeigt die drei für Linux verfügbaren
Tools in einem direkten Vergleich.
Beim Bonnie++-Benchmark
überraschte Ecrypt fs mit deutlich höherem
Lesedurchsatz als die beiden Konkurrenten.
Der Preis dafür ist klar: Die
CPU war beim Schreiben zu 86 Prozent,
beim Lesen sogar zu 96 Prozent ausgelastet
– das ist deutlich mehr Last als
bei den anderen beiden. Wer Durchsatz
braucht, sollte sich Ecryptfs anschauen,
allerdings bieten die beiden Konkurrenten
mehr Features.
Truecrypt und DM-Crypt sind zwar etwas
langsamer, gehen aber dafür auch schonender
mit der CPU um. Truecrypt glänzt
Listing 1: »ecryptfs«-Sitzung
01 # mount ‐t ecryptfs Quellverzeichnis
verschlüsseltes Verzeichnis
02 Select key type to use for newly created files:
03 1) pkcs11‐helper
04 2) tspi
05 3) passphrase
06 4) openssl
07 Selection: 3
08 Passphrase:
09 Select cipher:
10 1) aes: blocksize = 16; min keysize = 16;
max keysize = 32 (loaded)
11 2) blowfish: blocksize = 16; min keysize =
16; max keysize = 56 (not loaded)
12 3) des3_ede: blocksize = 8; min keysize =
24; max keysize = 24 (not loaded)
13 4) cast6: blocksize = 16; min keysize = 16;
max keysize = 32 (not loaded)
14 5) cast5: blocksize = 8; min keysize = 5;
max keysize = 16 (not loaded)
15 Selection [aes]: 1
16 Select key bytes:
17 1) 16
18 2) 32
19 3) 24
20 Selection [16]: 1
21 Enable plaintext passthrough (y/n) [n]:
22 Enable filename encryption (y/n) [n]:
23 Attempting to mount with the following options:
24 ecryptfs_unlink_sigs
25 ecryptfs_key_bytes=16
26 ecryptfs_cipher=aes
27 ecryptfs_sig=d395309aaad4de06
28 WARNING: Based on the contents of [/root/.
ecryptfs/sig‐cache.txt],
29 it looks like you have never mounted with
this key
30 before. This could mean that you have typed
your
31 passphrase wrong.
32
33 Would you like to proceed with the mount
(yes/no)? : yes
34 Would you like to append sig
[d395309aaad4de06] to
35 [/root/.ecryptfs/sig‐cache.txt]
36 in order to avoid this warning in the future
(yes/no)? : yes
37 Successfully appended new sig to user sig
cache file
38 Mounted eCryptfs

Bitparade 06/2011
Software
www.linux-magazin.de
53
Abbildung 5: Wer braucht schon ein GUI, wenn er eine Kommandozeile hat? So
sieht eine typische DM-Crypt-Sitzung aus.
Abbildung 6: Die GPL-Software Free OTFE erlaubt es, mit DM-Crypt verschlüsselte
Datenträger unter Windows einzubinden.
mit seinem vorbildlichen GUI, DM-Crypt
mit nahezu perfekter Linux-Integration,
die flexible Setups mit nahezu beliebigen
Filesystemen ermöglicht.
Wer sein Linux-System komplett verschlüsseln
will, greift zu DM-Crypt. Dagegen
setzt der Windows-Anwender auf
Truecrypt, das für derartige Setups einen
eigenen Bootloader mit Pre-Boot-Authentication
mitbringt, der als Chainloader
auch Linux startet. Für Anwender tragbarer
Geräte, die Linux und Windows als
Dual-Boot-System betreiben, führt daher
kein Weg an einer Doppellösung vorbei,
auch wenn die unfreie Lizenz einige vielleicht
dabei stört.
Auch wer seinen verschlüsselten USB-
Stick an einen Windows- oder Mac-OS-X-
Rechner anstöpseln will, sollte Truecrypt
wegen seiner Plattformunabhängigkeit
bevorzugen. In Szenarien, wo nur Linux
im Einsatz ist, eignet sich die Kernelbasierte
DM-Crypt-Variante meist besser
– und falls doch einmal ein Windows-
System ins Spiel kommt, hilft das GPL-
Tool Free OTFE. (hej)
n
Infos
[1] Truecrypt: [http://www.truecrypt.org]
[2] DM-Crypt:
[http://www. saout. de/misc/dm-crypt]
[3] Michael Nerb, „Mobiler Datentresor“:
Linux-Magazin 10/ 06, S. 46
[4] Disk Cryptor: [http://diskcryptor.net]
[5] Free OTFE: [http://www.freeotfe.org]
[6] Ecryptfs: [https://launchpad.net/ecryptfs]
[7] Fist: [http:// www.filesystems.org]
[8] Bruce Byfield, Kristian Kißling, „Gut versteckt“:
Ubuntu User 4/10, S. 46
Tabelle 1: Verschlüsselungstools für Linux im Vergleich
Truecrypt DM-Crypt Ecryptfs
Version 7.0a Kernel 2.6.37 86
Lizenz TCL 3.0 GPL GPL
Plattform Linux, Windows, Mac OS X Linux Linux
Testsysteme Open Suse 11.4, Ubuntu 10.10,
Windows XP
Open Suse 11.4, Ubuntu 10.10 Open Suse 11.4, Ubuntu 10.10
Features
Algorithmen AES, Serpent, Twofish AES, Twofish (je nach Kernel) AES, Blowfish, Des3_ede, Twofish,
Cast5, Cast6
Container ja ja nein
Systempartition ja (nur Windows) ja nein
Partitionen ja ja nein
Container-Dateisystem FAT, NTFS, Ext 2, Ext 3, Ext 4
(im GUI, weitere am CLI)
alle gängigen Linux-Dateisysteme nur Dateiverschlüsselung
GUI ja nein nein
Bechmark-Ergebnisse (Bonnie++)
Sequenzielles Schreiben 57 MByte/ s 58 MByte/ s 76 MByte/ s
CPU-Last dabei 8 Prozent 16 Prozent 86 Prozent
Sequenzielles Lesen 67 MByte/ s 64 MByte/ s 197 MByte/ s
CPU-Last dabei 10 Prozent 10 Prozent 96 Prozent
Random Seeks 2200 pro Sekunde 2900 pro Sekunde 1490 pro Sekunde

Software
www.linux-magazin.de Tooltipps 06/2011
56
Werkzeuge im Kurztest
Tooltipps
Partclone 0.2.21
Partitionen klonen
Quelle: [http:// www.partclone.org]
Lizenz: GPLv2
Alternativen: G4u, Clonezilla
Personal File Manager 2.11.2
Schlanker Dateimanager für die Konsole
Quelle: [http:// p‐f‐m.sourceforge.net]
Lizenz: GPLv2
Alternativen: Midnight Commander, Last File
Manager
Vidma 0.0.3a
Virtual Disk Images manipulieren
Quelle: [http:// wiki.przemoc.net/projects/
start#vidma]
Lizenz: GPLv2
Alternativen: Vboxmanage
Partclone unterstützt den Anwender
beim Sichern und Wiederherstellen von
Partitionen. Das Tool erfasst dazu die
benutzten Blöcke und speichert sie in
einer Datei. Zusätzlich zu dieser blockweisen
Sicherung bietet Partclone Optimierungsfunktionen
für gängige Dateisysteme
wie Ext 4, Btrfs, NTFS, FAT, HFS
Plus und UFS2.
Alle Einstellungen übergibt der Anwender
in Form von Aufrufparametern auf
der Shell. Um das Image einer Partition
zu erstellen, definiert er das Device und
gibt den Namen der Ausgabedatei an. Mit
der Option »­­clone« fasst das Programm
nur die belegten Blöcke einer Partition
in einem speziellen Imageformat zusammen.
Um beschädigte Partitionen zu
sichern, ruft der Nutzer das Tool zusammen
mit »­­rescue« auf. Partclone überspringt
dann nicht lesbare Blöcke.
Befinden sich Quell­ und Zielpartition auf
demselben Rechner, sorgt der Parameter
»­­dev­to­dev« dafür, dass Partclone ohne
Umweg über ein Image die Daten direkt
in die Zielpartition schreibt. Mit Partclone
erstellte Imagedateien überprüft das mitgelieferte
Tool »partclone.chkimg« auf
Fehler – eine gute Idee, falls der Anwender
sie nicht selbst erstellt hat.
★★★★★ Partclone klont Partitionen
ohne großen Aufwand, bezieht auf
Wunsch nur die belegten Blöcke mit ein
und erzeugt so wesentlich schlankere
Images als der Klassiker »dd«. n
Der Personal File Manager, kurz PFM, ist
die Reinkarnation des DOS­Dateimanagers
»PFM.COM«. Das in Perl geschriebene
Tool bietet eine klar strukturierte Ncurses­
Oberfläche und zahlreiche Shortcuts, sodass
alle wichtigen Funktionen mit einer
oder zwei Tasten erreichbar sind.
Etwas gewöhnungsbedürftig sind die
Case­sensitiven Tastenkombinationen.
Hilfe erhält der Anwender über die am
oberen und unteren Rand eingeblendeten
Statuszeilen. Da der Platz meist nicht
für alle Shortcuts ausreicht, besteht die
Möglichkeit, mit den Tasten []
nach rechts und links zu blättern.
Neben den klassischen Aufgaben wie dem
Kopieren, Löschen, Suchen oder Verschieben
von Dateien erstellt PFM auch Links
und Named Pipes und verändert Zugriffsund
Benutzerrechte. In der Voreinstellung
wendet PFM alle Aktionen nur auf die
Datei unter dem Auswahlbalken an. Mit
[F10] wechselt der Nutzer auf Wunsch
in den Multi­File­Modus und markiert
dann mehrere Objekte. Wer sich zusätzlich
Mausunterstützung wünscht, schaltet
diese mit [F12] hinzu.
★★★★★ PFM ist ein leistungsfähiger Dateimanager
für die Konsole. Da alle wichtigen
Funktionen über höchstens zwei
Tasten erreichbar sind, überzeugt das Tool
vor allem durch schnelle Bedienung. n
Oracles Virtualbox zählt neben VMware
zu den beliebtesten Virtualisierungs­Lösungen
im Desktopbereich. Zusammen
mit dem grafischen Frontend bringt Virtualbox
das Tool Vboxmanage mit, das virtuelle
Maschinen auf der Kommandozeile
erstellt, wartet und modifiziert. Vidma
erlaubt es dem Admin, auch ohne Virtualbox­Installation
die Größe von Virtualbox
Disk Images (VDI) zu verändern.
Das Tool, das sich noch im Entwicklungsstadium
befindet, arbeitet sowohl mit dynamisch
wachsenden als auch mit Images
fester Größe zusammen. Übergibt der
Anwender beim Aufruf eine VDI­Datei
ohne weitere Parameter, erhält er eine
Liste mit deren Konfigurationsdateien.
Hier findet er unter anderem Informationen
zur Größe und zur UUID und erfährt,
wie viele Sektoren, Leseköpfe und Zylinder
die virtuelle Festplatte hat.
Um die Größe zu verändern, gibt es zwei
Ansätze. Bei der In­Place­Modifikation
definiert der Nutzer beim Aufruf die
Imagedatei und die neue Größe in MByte
und überschreibt das VDI. Sicherer ist der
zweite Weg, bei dem Vidma alle Daten in
eine neue Imagedatei kopiert.
★★★★★ Vidma manipuliert die Größe
von VDI­Dateien und hilft damit Anwendern,
die keinen Zugriff auf eine Virtualbox­Installation
haben.
n

MAGAZIN
5. Mailserver-Konferenz
Sie waren
26. und 27. Mai 2011 in Berlin
noch nie auf der Mailserver-
Konferenz? Da haben
Sie aber was verpasst. Was
genau, das zeigt Ihnen unser
Doku-Film vom letzten mal.
http://www.heinlein-support.de/mk-film
Mailserver-Spezialist Peer Heinlein lädt zur 5. Mailserver-Konferenz
mit zahlreichen ausführlichen Vorträgen nach Berlin.
Postfix Dovecot Spamhaus
Groupware-Wettstreit Amavis
Spamhaus
E-Mail-Clouds DE-Mail
Archivierung
Rechtsfragen Botnetze
...und weitere Themen!
Vorträge mit:
Timo Sirainen (Dovecot)
Wietse Venema (Postfix)
Mark Martinec (Amavis)
Special Guests von Spamhaus und anderen...
Jetzt anmelden:
http://www.heinlein-support.de/mk
Mit freundlicher Unterstützung von

Software
www.linux-magazin.de Tooltipps 06/2011
58
Adsuck 2.2
Kleiner DNS‐Server mit Filterfunktion
Quelle: [http:// opensource.conformal.com/
wiki/Adsuck]
Lizenz: BSD Revised
Alternativen: Rbldnsd, Dnsmasq
Weborf 0.13
Schlanker Webserver für den Datenaustausch
Quelle: [http:// galileo.dmi.unict.it/wiki/
weborf]
Lizenz: GPLv3
Alternativen: Ashd, Darkhttpd
Xchainkeys 0.9
Verwaltung von Tastenkürzeln für X11
Quelle: [http:// code.google.com/p/
xchainkeys]
Lizenz: GPLv3
Alternativen: Xbindkeys, Arq Key
Adsuck ist ein kompakter Domain Name
Server, dessen Schwerpunkt im Gegensatz
zu ISC Bind nicht bei der Verwaltung
von DNS­Zonen liegt, sondern bei der
Filterung fragwürdiger Domains.
Für den Client läuft das transparent ab:
Der Nutzer trägt den Rechner, auf dem
Adsuck aktiv ist, wie einen gewöhnlichen
DNS­Server in die Datei »resolv.conf« des
Clients ein. Adsuck agiert dann wie ein
„Man in the middle“ und fängt zunächst
alle DNS­Anfragen ab. Diese vergleicht
das Tool mit seiner Blacklist.
Dabei handelt es sich um eine einfache
Textdatei, die ähnlich wie die »resolv.
conf« aufgebaut ist und je einen Domaineintrag
pro Zeile enthält. Findet Adsuck
in der Blacklist einen Treffer, antwortet
das Programm auf die Anfrage mit einem
DNS­Paket, in dem das »NXDOMAIN«­
Flag gesetzt ist. Damit gaukelt das Tool
dem Client vor, es gäbe keine Domain
mit diesem Namen. Anfragen an nicht
gelistete Domains leitet Adsuck hingegen
an einen geeigneten DNS­Server weiter,
der diese dann beantwortet.
Aus Sicherheitsgründen läuft Adsuck in
einer Chroot­Umgebung mit den Rechten
eines unprivilegierten Benutzers. Über
Parameter legt der Nutzer eine IP­Adresse
und einen Port fest, auf dem Adsuck
eingehende Verbindungen erwartet. Die
Blacklist und den DNS­Server für gültige
Anfragen übergibt der Anwender ebenfalls
beim Aufruf per Option; eine Konfigurationsdatei
besitzt das Tool nicht.
★★★★★ Adsuck unterbindet den Zugriff
auf Domains schon auf DNS­Ebene. Die
mitgelieferte Blacklist ist sehr umfangreich,
der Anwender erweitert sie problemlos
um eigene Einträge.
n
Weborf ist ein minimalistischer Webserver,
der dazu dient, schnell Verzeichnisse
freizugeben. Das Tool kommt auch
mit größeren Datenmengen zurecht und
überträgt auf Wunsch Verzeichnisse als
»tar.gz«­Archive. Um ein Verzeichnis freizuschalten,
übergibt der Nutzer es beim
Start als »basedir«. Weborf stellt es dann
inklusive aller Unterverzeichnisse auf allen
Interfaces an Port 8080 bereit.
In der Voreinstellung erzeugt der Webserver
eine Liste aller Dateien in einem
Ordner und wertet eventuell enthaltene
Indexdateien nicht aus. Das Verhalten
ändert der Nutzer über den Parameter
»­­index« und legt damit fest, welche Dateien
Weborf als Index interpretiert. Mehrere
Dateien sind möglich, zum Beispiel
»­­index index.html,index.php«. Weborf
zeigt deren Inhalt dann anstelle des Dateiverzeichnisses.
Wer gleich mehrere Verzeichnisse freigeben
möchte, kann dies über virtuelle
Hosts erledigen. Die Option »­V« erwartet
eine Liste virtueller Hosts, die neben den
Namen auch jeweils ein »basedir« enthält.
Weitere Beispiele hierfür und zu anderen
Startoptionen bietet die Manpage.
Alle Einstellungen nimmt der Nutzer
wahlweise über Parameter auf der Shell
vor oder trägt sie in die Einrichtungsdatei
»weborf.conf« ein. Für den Dauereinsatz
des Servers empfiehlt sich eine Kombination
mit einem Daemon wie Inetd oder
Xinetd, um Ressourcen zu sparen. Die
Zusammenarbeit mit einem Superserver
erlaubt bei Weborf der Parameter »­T«.
★★★★★ Weborf ist ein leistungsfähiger
kleiner Webserver, der sich ideal zur
Datenfreigabe in lokalen oder Ad­hoc­
Netzen eignet.
n
Mit Hilfe von Xchainkeys definiert der
Anwender unabhängig von der grafischen
Oberfläche Tastenkürzel. Somit
eignet sich das Tool nicht nur für Nutzer
schlanker Windowmanager, sondern
auch für jene, die öfter die grafische Umgebung
wechseln.
Alle Shortcuts und die zugehörigen Ereignisse
legt der Anwender in der Konfigurationsdatei
(»~/.config/xchainkeys«) fest.
Alternativ gibt er beim Start über »­f« eine
andere Einrichtungsdatei an. Ein grafisches
Tool zum Erstellen der Konfigurationsdatei
liefert Xchainkeys nicht mit,
sodass der Anwender diese im Texteditor
bearbeitet. Die Syntax ist eingängig – jede
Zeile enthält genau ein Tastenkürzel und
eine Aktion mitsamt ihrer jeweiligen Argumente.
Für komplexere Aufgaben ist
es möglich, mehrere Shortcuts mit dem
»group«­Parameter zusammenzufassen.
Dieser deaktiviert den Timeout­Wert,
damit Kombinationen, zwischen denen
mehr als drei Sekunden liegen, als zusammengehörig
gelten.
Darüber hinaus ist es möglich, über
den Parameter »load« Tastenkürzel aus
einer externen Datei nachzuladen. Die
Manpage zeigt für alle Einsatzgebiete
Beispiele. Wer dennoch unsicher ist,
wie eine gewünschte Kombination in
der Xchainkeys­Konfiguration aussehen
muss, startet das Tool mit der Option
»­k« im interaktiven Modus. Xchainkeys
fängt nun alle Eingaben ab und gibt den
zugehörigen Shortcut aus.
★★★★★ Wer einen Windowmanager
ohne vorgefertigte Tastaturshortcuts einsetzt
oder öfter die grafische Umgebung
wechselt, findet in Xchainkeys den idealen
Helfer. (U. Vollbracht/ hej) n

Aus dem Alltag eines Sysadmin: Kalendarische Crontab-Probleme
Tag eins, tagaus
Einführung 12/2010 06/2011
Sysadmin
Diesmal beschränkt sich Sysadmin Charly thematisch auf Gott, die Herrschaft der Jakobiner, den neuen Konservatismus
Napoleon Bonapartes, die jüdische und islamische Tradition sowie einen Cronjob, der fast nicht
funktioniert hätte. Charly Kühnast
Inhalt
60 Open Search Server
Was die recht junge Version der Indexer-
Suite mit Management-GUI und XML-API
zu bieten hat, sucht seinesgleichen.
66 Archipel
Das Management-Tool landet ein
schickes GUI an und kommunziert mit
den virtuellen Instanzen, die Server mit
Xen, KVM, Open VZ und VMware bereitstellen.
„Aber am siebenten Tag ruhte Er von
allen seinen Werken“ [1]. „Und nirgends
steht geschrieben, dass er am achten
Tage wieder anfing“ (Konrad Beikircher,
Kabarettist).
Kurz nach der Französischen Revolution
führte Frankreich ein neues Kalendersystem
ein. Es sollte die Trennung
von Kirche und Staat manifestieren und
das Dezimalsystem als „Prinzip der Vernunft“
feiern. Ab dem Jahr 1792 dauerte
eine Woche 10 Tage. Der neue Kalender
war einigermaßen unbeliebt, denn er bescherte
den Franzosen deutlich längere
Arbeitswochen. Napoleon machte dem
Kalenderspuk 13 Jahre später ein Ende
und repatriierte die 7-Tage-Woche. Zurück
blieb eine gewisse Verunsicherung
der Bürger gegenüber der Institution
Woche, beispielsweise in der Frage, an
welchem Tag sie beginnt.
Zwar gibt es eine Norm der International
Organization for Standardization (ISO)
mit der Ziffer 8601, die festlegt, dass eine
Kalenderwoche mit dem Montag beginnt.
Diese Regelung besteht im europäischen
Raum seit dem 1.1.1976. Allerdings ist in
vielen Ländern der erste Tag der Woche
nicht automatisch auch der erste Arbeitstag
der Woche. Gemäß der jüdischen,
christlichen und islamischen Tradition
beginnt die Woche nämlich mit dem
freien Sonntag. Der Montag als erster Arbeitstag
ist bereits
der zweite Tag der
Woche. Das praktizieren
zum Beispiel
die USA und
Aus tralien so und
auch viele arabische
Länder.
Ich erzähle das alles,
weil ich (a)
gern klugscheiße
und mir (b) ein
wichtiges Cronskript
um ein Haar
auf den Fuß gefallen
wäre – nur ein
Blick in die Manpage
hat mich im letzten Moment gerettet.
Mein Skript sollte an jedem Montag
um 03:00 Uhr nachts laufen. Mein Cron-
Eintrag sah so aus:
0 3 * * 0 /Pfad/Skript.sh
Ich wusste zwar, dass die Wochentage in
der Crontab von 0 bis 6 und nicht von 1
bis 7 durchnummeriert sind. Allerdings
ist der Autor des Cron-Daemon, Paul
Vixie, US-Amerikaner. Der erste Tag der
Woche, der Tag »0«, ist für ihn der Sonntag.
Mein Skript wäre am falschen Tag
gelaufen, denn ich hätte im fünften Feld
eine »1« setzen müssen.
Entziffert
Allerdings lässt sich das Wochentagsfeld
in der Crontab auch so füllen, dass
es eindeutig ist, denn Cron akzeptiert
an Stelle der Ziffern von Null bis Sechs
auch die englischen Drei-Buchstaben-
Abkürzungen der Wochentage:
0 3 * * Mon /Pfad/Skript.sh
Wie von den Ziffern gewohnt, darf ich
auch hier Zeiträume definieren. Wenn
mein Skript täglich von Montag bis Freitag
laufen soll, lautet der Eintrag:
0 3 * * Mon‐Fri /Pfad/Skript.sh
Cron kennt übrigens auch ein paar
Schleichwege: Soll mein Skript täglich
um Mitternacht laufen, genügt der Eintrag
»@daily /Pfad/Skript.sh«. Ähnlich
verhalten sich »@hourly« (zu jeder
vollen Stunde), »@monthly« (um Mitternacht
am Monatsanfang), »@yearly«
(zum Silvesterfeuerwerk) und »@reboot«
(bei jedem Neustart). (jk) n
Infos
[1] Die Bibel, 2. Mose, 10
Der Autor
Charly Kühnast administriert Unix-Syste me im
Rechenzentrum Niederrhein in Kamp-Lintfort.
Zu seinen Aufgaben gehören die Sicherheit und
Verfügbarkeit der Firewalls
und der DMZ. Im heißen Teil
seiner Freizeit frönt er dem
Ko chen, im feuchten Teil der
Süßwasseraquaristik und im
östlichen lernt er Japanisch.
© Kellerbrandt, Photocase.com
www.linux-magazin.de
59

Sysadmin
www.linux-magazin.de Open Search Server 06/2011
60
Open Search Server durchsucht das Web, Datenbanken und Files
Gut sortiert
Freie Suchmaschinen gibt es viele, doch was der Open Search Server zu bieten hat, sucht seinesgleichen. Dieser
Artikel nimmt die noch recht junge Version der Indexer-Suite mit Management-GUI und XML-API unter die
Lupe und zeigt, wie sich die Suche mit PHP in Webseiten integriert. Markus Feilner, Thomas Pfeiffer, Markus Heller
© Paweł Szpytma, 123RF.com
Paris, Februar 2010. Das französische
Startup Jaeksoft nimmt seine Arbeit auf.
Ein Jahr später veröffentlicht der Hersteller
bereits Version 1.2 seiner Such- und
Indizierungssuite Open Search Server [1].
Das jugendliche Stadium zeigt sich zwar
noch an einigen ärgerlichen Ecken und
Kanten, doch der üppige Funktionsumfang
überrascht. Da zeigt sich dann, dass
Entwickler bereits seit 2007 an dem Projekt
arbeiten – bis 2010 allerdings hinter
verschlossenen Türen.
Freies Indizieren
Der Open Search Server (OSS) scannt
Webseiten, lokale Dateisysteme und Datenbanken.
Sein Indexer versteht eine
lange Liste von Dateiformaten, ein API
ermöglicht den unkomplizierten und
schnellen Zugriff auf die Ergebnisse
sowie auf die meisten der zahlreichen
Funktionen (Abbildung 1). Im Hintergrund
werkelt Java in einem Tomcat-Server
[2]. Dazu kommt die Lucene-Search-
Engine [3], deren Query-Parser-Syntax
und Score-Funktionen Admins und
Entwickler nicht nur im Management-
Interface nutzen können (siehe Kasten
„Lucene“). Als Scheduler setzt OSS auf
Quartz [4]. Das flotte und flexible GUI
(Abbildung 2) ist mit Zkoss [5] implementiert
und funktioniert mit allen Ajaxfähigen
Browsern.
Enterprise-Support
Über die freie Variante hinaus, die ihrer
modularen Natur gemäß auf einem
ganzen Bündel von Lizenzen (darunter
Open Search Server
DELUG-DVD
Auf der Delug-DVD findet sich
der Open Search Server sowohl als Installationspaket
als auch als virtuelle Maschine mit
einem vorbereiteten Index von über 50 000
Seiten von [http:// www.linux-magazin.de].
auch AGPL und GPLv3) aufbaut, bietet
Hersteller Jaeksoft auch eine Enterprise-
Version mit optionalem Support, SLAs
und erweiterten Funktionen in Form von
Zusatzmodulen an.
Ab 3600 Euro pro Jahr erhalten Kunden
Basissupport (Silver), das „Enterprise
Pack Platinum“ kostet mehr als 6000
Euro, bietet aber neben kürzeren Reaktionszeiten
auch Remote-Wartung, Monitoring
und Weiterbildung in Form von
vierteljährlichen Webinaren. Und natürlich
hat der Hersteller auch Entwicklung,
Implementierung und Optimierung von
Zusatzmodulen im Angebot.
Voraussetzung sind ein funktionierender
Webserver mit PHP5, »php5-curl« und einem
Java Runtime Environment. Die Community-Edition
ist schnell installiert: Von
der Webseite lädt sich der Admin ein Tar.
gz-File herunter (dieser Artikel testet die
Version »open-search-server-1.2.1-r987.
tar.gz« vom 30.3.2011), entpackt es auf
einem Webserver und ruft an der Shell
das Skript »start.sh« auf. Auf Windows
erledigt dies »start.bat«.
Ein Init-Skript fehlt dem Paket, wer den
Server permanent laufen lassen möchte,
muss dafür noch selbst Hand anlegen.
Leider gibt’s nur wenig mehr Details zur
Installation im noch recht spärlichen
Wiki von OSS [6].
Erster Start
Im Unterverzeichnis »apache-tomcat
-6.0.32« des ausgepackten Archivs finden
sich alte Bekannte: Hier liegt der vorkonfigurierte
Tomcat-Applikationsserver
mit seinen Binaries, Logfiles und Config-
Dateien. Wenn etwas nicht funktioniert,
lohnt sich ein Blick in die Protokolldatei
»catalina.out«. Hier hinterlässt der Ka-

Zusatzmodule
Dateisysteme
Externe Applikationen
ter deutliche Kratzspuren, wenn ihm etwas
nicht passt. Die Indexe liegen unter
»data«, dort findet sich auch ein Unterverzeichnis
mit der Index-Konfiguration
in Klartext-XML-Dateien. Hier lassen sich
per Skript URLs und Patterns hinzufügen,
aber danach ist ein Restart des OSS
notwendig.
Voller Features: Das Web-
Interface
Nach dem Start lauscht Tomcat auf dem
Standardport 8080. Diesen Port sollte eine
Firewall vor unbefugtem Zugriff schützen
und ihn nur lokalen Diensten verfügbar
machen. Wer mit seinem Browser auf die
URL [http://localhost:8080] zugreift,
Open Search Server 1.2
Webseiten
Datenbanken
File-Crawler Web-Crawler Datenbank-Crawler
Dokument-Parser (HTML, MS Office, RTF, XML, MP3,...)
OSS Enterprise
Indexer
Community Edition
Lucene
Enterprise Edition
Abbildung 1: Lucene, Tomcat und ein flexibles API ergeben den Open Search Server.
Zusatzmodule
Client
Library
(PHP,
Dotnet,
Java)
Applikationen
bekommt das Management-Interface
zu Gesicht, vorerst nur mit den Reitern
»Index« und »Privileges«. Hier legt der
Admin zunächst einen neuen Index oder
einen privilegierten Benutzer an. Für Indexe
stehen drei Templates zur Verfügung
(»Empty index«, »file crawler« und
»web crawler«). Später kann er aus der
Liste unten einen existierenden Index
zum Bearbeiten auswählen. Mit geladenem
Index bevölkern zahlreiche Reiter
das Menü des OSS, ganz ähnlich wie in
Abbildung 2.
Mangels Dokumentation ist der Admin
mit den zahlreichen Tabs, Konfigurationsoptionen
und Untereinträgen recht allein
gelassen, doch die Templates und (meist)
selbsterklärenden Funktionen erleichtern
das Einarbeiten. Unter »Schema« editiert
er Details der Suchfunktionen, in »Query«
setzt er eigene Anfragen ab oder koordiniert
beispielsweise die Form der Ergebnisausgabe.
OSS kann die Ergebnisse
zusammenfassen (»Query | Collapsing«),
wenn bestimmte Kriterien darauf schließen
lassen, dass beispielsweise identische
Webseiten vorliegen.
Als Modi dafür stehen »full«, »cluster«
und »optimized« zur Verfügung. Welcher
sich für ein Projekt besser eignet, lässt
sich mangels Dokumentation nur durch
individuelles Ausprobieren herausfinden.
Die »Snippet fields« (bei einer aktiven
Abfrage ebenfalls im Reiter »Query«) bestimmen
das Format der Ausgabe. Sowohl
die Felder als auch deren Länge
kann der Admin hier festlegen und so die
Ergebnislisten konfigurieren.
Im Reiter »Crawler« trägt er das Ziel seiner
Suchmaschine ein: Webseiten, Datenbanken
oder ein Filesystem, wobei ihm
zahlreiche Filter bei der Anpassung helfen.
Abbildung 2 zeigt das Unterfenster
»Crawl process« einer Maschine, welche
die komplette Linux-Magazin-Webseite
indiziert.
Dabei erwies sich eine Einstellung als
irreführend: Wer hier glaubt, für einen
umfangreichen Webserver müsse er die
maximale Anzahl der Webseiten pro Host
erhöhen, tappt in die Falle. Der Wert
sagt nur, wie viele Seiten OSS in einer
Session holen soll, bevor er diese seinem
Index hinzufügt. Wer das zu hoch
dreht, braucht viel RAM oder bekommt
irgendwann die Fehlermeldung aus Abbildung
3, häufig blieben OSS oder der
Java-Prozess auch einfach hängen, wenn
ihnen der Speicher ausging.
Wer große Webseiten indizieren will,
sollte also genug Speicherriegel im System
vorhalten oder etwas Zeit einplanen.
Um die Java Virtual Machine mit
2 GByte RAM zu versorgen, braucht es
im Startskript zusätzlich die beiden folgenden
Zeilen:
CATALINA_OPTS="‐Xms2G ‐Xmx2G ‐server"
export CATALINA_OPTS
Open Search Server 06/2011
Sysadmin
www.linux-magazin.de
61
Abbildung 2: Der OSS durchforstet die Webseite des Linux-Magazins. Als irreführend erweist sich das Eingabefeld
»Maximum number of URLs per host«: Wer hier zu hohe Werte eingibt, dem geht schnell der RAM aus.
Online PLUS
Zwei einfache, aber vollständige
PHP-Skripte für den Open Search
Server finden Sie unter dieser URL:
[http://www. linux-magazin.de/plus/2011/06]

Sysadmin
www.linux-magazin.de Open Search Server 06/2011
62
Abbildung 3: Zkoss meldet »Java heap space« –
meist deutet diese Fehlermeldung auf zu wenig
Arbeitsspeicher für die JVM hin.
Mehr als 2 GByte sind nur mit 64-Bit-
Betriebssystem und 64-Bit-Java möglich.
Dann aktivieren die folgenden Optionen
6 GByte Arbeitspeicher für Java:
CATALINA_OPTS="‐d64 ‐Xms6G ‐Xmx6G ‐server"
export CATALINA_OPTS
Monitoring-Tools wie das simple Darkstat
(Abbildung 4, [7], in den Debian-Repositories)
überwachen gleichzeitig den
erzeugten Traffic. Manche Firewalls oder
Webserver klassifizieren allzu häufige
systematische Anfragewellen als DoS-
Angriff und weisen den Client ab.
Beim Indizieren unterstützt OSS laut
Hersteller 16 Sprachen, Wörter kann es
sowohl komplett als auch in Fragmenten
oder Varianten der Grundform erkennen
(Lemmata, [8]). Die Liste der Dokumentformate
umfasst XML, HTML/ XHTML,
PDF, Microsoft Word, Powerpoint, Open
Office, RTF, Plaintext, Torrent, Audio files
(MP3/ MP4, OGG, FLAC, WMA) und viele
andere. Die komplette Liste der jeweiligen
Installation findet sich unter »Schema |
Parser List«.
| Edit | Query« eine Eingabemaske (»Pattern
Query«), mit der der Admin im
Index suchen kann. Listing 1 zeigt die
Default-Vorgabe der früheren Versionen,
sie funktioniert aber auch in 1.2 und lässt
sich leicht erweitern. »$$« steht dabei für
den Suchbegriff, ein »^« gefolgt von einer
Zahl definiert die Gewichtung, Schlüsselbegriffe
wie »title« oder »urlSplit« bestimmen,
wo und wie genau der Suchbegriff
vorkommen soll.
Der Teufel steckt dabei oft im Detail:
Während Urlsplit die URL [http://www.
open‐search‐server.com] auf »http«,
»www«, »ope«, »search« und »serv« reduziert
(lemmatisiert), interpretiert Urlexakt
die gleiche URL auf »http«, »www«,
»open«, »search« und »server«. Laut den
Entwicklern verwendet OSS dabei verschiedene
Analyzer: Der »text«-Analyzer
erkennt auch ähnliche Schreibweisen,
während »urlExact«, »titleExact« und
»contentExact« auf den Standard-Analyser
zurückgreifen.
Unter dem Reiter »Scheduler« trägt der
Admin Cronjobs ein, die den OSS steuern,
zum Beispiel für die empfehlenswerten
Rebuilds des Indexes (»Optimize«). In
»Runtime« erhält er wertvolles Feedback
über und Zugriff auf den Zustand von
Index, Cache und System. Auch für HA-
Setups ist OSS vorbereitet: Auf dem Reiter
»Replication« finden sich Eingabefelder
für URLs und Indexnamen weiterer OSS-
Instanzen.
API und PHP
In den Unterverzeichnissen »open-searchserver/examples/php/OSSquery«
und
»open-search-server/php/example« liegen
einige Beispiele für simple PHP-
Skripte, die sich in eigene Webseiten integrieren
lassen und so die Suchfunktion
aus dem Management-Interface in den
Browser des Clients bringen.
In »webSearch.php« beispielsweise trägt
der Admin seinen Index als Standard ein,
und schon hat er ein (zumindest teilweise)
funktionierendes Suchfrontend.
Allerdings hatte es im Test schon mit
Umlauten Probleme und konnte die Parameter
der Lucene-Query-Language nur
bedingt umsetzen. Das gelingt der Query
Query und Lemma
Abfragen lassen sich übers XML-Interface
via HTTP-Queries abwickeln und
mit einer PHP-Client-Library in eigene
Webseiten integrieren. Doch auch das
Management-Interface hat unter »Query
Listing 1: OSS Query
01 title:($$)^10 OR title:("$$")^10
02 OR
03 titleExact:($$)^10 OR titleExact:("$$")^10
04 OR url:($$)^5 OR
05 url:("$$")^5
06 OR urlSplit:($$)^5 OR urlSplit:("$$")^5
07 OR
08 urlExact:($$)^5
09 OR urlExact:("$$")^5
10 OR content:($$) OR
11 content:("$$")
12 OR
13 contentExact:($$) OR contentExact:("$$")
Abbildung 4: Das Monitoring-Tool Darkstat zeigt: Schön vorsichtig, mit deutlich unter 100 KByte/ s saugt
der lokale Open Search Server den zu crawlenden Webserver aus, weil der Admin in der Konfiguration unter
anderem die maximale Thread-Anzahl und die Abfragefrequenz beschränkt hat.

Open Search Server 06/2011
Sysadmin
www.linux-magazin.de
63
Abbildung 5: Wer direkt in der Query versucht
speziellere Lucene-Parameter zu verwenden (im
Beispiel die unscharfe Suche mit »~« ), der scheitert
bisweilen an der OSS-Implementierung.
Abbildung 6: Schon im GUI formatiert der geplante Renderer in künftigen Versionen die Suchergebnisse.
im Web-GUI besser, aber auch nicht immer
(Abbildung 5).
Zu empfehlen ist dafür das XML-API. Mit
ihm können Programmierer in nahezu jeder
beliebigen Sprache den Index durchsuchen
und die Ergebnisse darstellen. An
den passenden HTTP-Request hängen sie
einfach via »GET«-Request die erforderlichen
Parameter:
optional. Das Query-Template »search«
steht von Anfang an im Open Search
Server zur Verfügung und bietet eine sehr
einfache Abfrage für den Index.
Jetzt gibt der Admin im Backend des
OSS im Reiter »Query | Returned Fields«
an, welche Felder er in der XML-Antwort
zurückgeliefert haben will. In dem einfachen
Beispiel oben sind das die beiden
Felder »url« und »host«. Die drei Parameter
für das Collapsing geben an, ob
OSS Treffer zusammenfassen soll. Das
maßgebliche Feld ist frei wählbar, zum
Beispiel der Host oder der Titel einer
Seite. Auf diese Weise lassen sich im Ergebnis
ähnliche Treffer auch erst nach
einem weiteren Klick anzeigen, was die
Übersichtlichkeit deutlich erhöht.
http://localhost:8080/select?use=Index
&qt=Query&q=Suchbegriff.
Auf derlei Anfragen liefert der Server eine
XML-Datei zurück, welche die Treffer
und die entsprechenden Vorschautexte
(die Snippets) enthält. Ein Programmierer
braucht also nur
n die Usereingaben zu filtern und zu
prüfen (Vorsicht, das API erlaubt auch
das Löschen von Dokumenten aus
dem Index!),
n den String für die Abfrage des API
zusammenzubauen,
n das zurückgelieferte XML-Dokument
zu parsen und formatiert auszugeben.
Listing 2 zeigt einen Auszug aus einem
einfachen PHP-Skript, das die Query für
das API zusammenstellt. In den Zeilen
4 und 20 enthält es einen minimalen
Schutz vor schädlichem Code. Gegen
Cross Site Scripting hilft Zeile 4, Zeile
20 löscht den Parameter »delete«, falls
es einem Angreifer dennoch gelungen
ist, ihn einzuschleusen. Der assoziative
Array »Params« stellt alle Parameter für
die API-Abfrage zusammen, »use«, »qt«
und »q« sind verpflichtend, die anderen
Listing 2: »build-query.php«
01 function build_query($q){
02 $params=array(); // Für alle Parameter
03 // Entferne Tags
04 $this‐>q=substr(trim(strip_tags($q),0,80));
05 // Grund‐Parameter
06 $params['use']='meinIndex'; // verwendeter
Index
07 $params['qt']='search'; // verwendetes
Query‐Template
08 // Collapsing
09 $params['collapse.mode']='cluster';
10 $params['collapse.field']='host';
11 $params['collapse.max']=1;
12 // Pagination
13 if(isset($_GET['page'])) $params['start']=
Listing 3: XML-Antwort
01
02
03
04 0
05 Query_Name
06
07
08
((int) $_GET['page']*10)‐9;
14 else $params['start']=1;
15 $params['rows']=$this‐>rpp;
16 $params['query']=trim($q); // der eigentliche
Suchbegriff
17 $params['sort']='score'; // für umgekehrte
Reihenfolge Minuszeichen voranstellen
18 $host='http://127.0.0.1:8080/select'; // URL
des OSS‐Host
19 // Falls jemand den Parameter "Delete" eingeschmuggelt
hat:
20 unset($params['delete']);
21 $this‐>query=$host.'?'.http_build_query
($params);
22 }
09 http://www.meinserver.de/
Pfad/Datei.html
10 www.meinserver.de
11 Titel der Seite
12 Kurze Voransicht des Treffers und seiner
Nachbarschaft...
13
14

Sysadmin
www.linux-magazin.de Open Search Server 06/2011
64
In Listing 2 passiert das in den Zeilen 9
bis 11. Beim Modus »cluster« ist als Maximalanzahl
nur eine 1 möglich, gleichwohl
darf dieser Parameter aber nicht
fehlen. Die vorletzte Zeile verknüpft
schließlich die Query-Parameter mit der
Host-URL und kodiert sie. Um die so erstellte
API-Abfrage auszuführen, genügt
ein einfacher Aufruf mittels »simplexml_
load_file($this->query)«. Er liefert ein
XML-Dokument zurück, zum Beispiel
das aus Listing 3.
Die eigentlichen Ergebnisse stehen hier
innerhalb von »result« als »doc« zur Verfügung.
Eine »foreach ($hits->result->doc
as $doc)«-Schleife geht Eintrag für Eintrag
durch. Mit den beiden Beispiel-PHP-
Dateien vom Online-Plus des Linux-Magazins
funktionieren dann auch Lucene-
Features wie die unscharfe Suche mit
»~«, die bisher – wie in Abbildung 5
– noch Probleme bereitete.
Neu in 1.2 und Roadmap
In die jüngste Version 1.2 halten einige
lobenswerte Features Einzug. Der Web-
Crawler zeigt jetzt, wann er eine Seite im
Index aktualisiert hat, merkt sich anhand
von Unique Keys, welche Seiten identisch
sind, und erlaubt das Ignorieren von »robots.txt«-Dateien.
Der Datenbank-Crawler
versteht jetzt auch SQL-Querys, sowohl
Pattern- als auch Exklusion-Listen lassen
sich deaktivieren und die Abfragen erkennen
ähnliche Dokumente besser.
Das »modified«-Tag stellt aktuell noch ein
mittleres Problem dar. Es erkennt bisher
nur, ob eine Seite verändert wurde, nicht
aber, ob vielleicht nur die Anzeige darin
ausgetauscht wurde oder der Text sich
verändert hat, weil beispielsweise ein
RSS-Feed integriert ist. Bei eigenen Webservern
lässt sich das mit CSS verbessern,
indem ein Div-Tag Menüs, Werbung und
Feeds vor dem Indexer verbirgt:
Zahlreiche Features sind in Arbeit: Eine
Art Pagerank (basierend auf Lucenes
Score-Funktion) ist laut Entwickler Emmanuel
Keller schon teilweise integriert.
Fertig sind wohl die Funktionen
»score«, »ord«, »rord«, »byte«, »float«,
»int« und »short«. Ein gültiges Beispiel
in einer Query wäre demnach »score()
+ rord('modified_date')«. Die nächste
Version bekommt außerdem eine Screenshot-Funktion
und bringt eine Rendering-
Extension (Abbildung 6) mit.
Darauf zu warten mag sich lohnen, vor
allem die Roadmap macht Lust auf mehr.
Der Open Search Server ist sicherlich
noch nicht perfekt, aber auf einem guten
Weg. Und er ist schnell: Auf einem
Desktop-PC gestartet, beantwortet er
Suchanfragen im alle 25 000 Webseiten
des Linux-Magazins umfassenden Index
sehr schnell. Nur selten braucht er mehr
als eine halbe Sekunde, was auch ein Test
mit zwei Millionen zufällig ausgewählten
HTML-Seiten im Index bestätigte. n
Infos
[1] Open Search Server:
[http://www. open-search-server.com]
[2] Peter Roßbach, „Reicher schwarzer Kater“:
ADMIN-Magazin 03/ 08, S.38
[3] Lucene bei Apache: [http://lucene.apache.
org/java/ docs/ index.html]
[4] Quartz-Scheduler:
[http://www. quartz-scheduler.org]
[5] Carsten Zerbst, Nils Magnus, „Allzweckmittel“:
Linux-Magazin 05/ 10, S. 104
[6] OSS-Wiki: [http://www.open-search-server.
com/wiki/ en/ index. php/Main_Page]
[7] Darkstat: [http://dmr.ath.cx/net/darkstat/]
[8] Lemma: [http://de.wikipedia.org/wiki/
Lemma_(Lexikografie)]
Lucene
Der Kern jeder modernen Suchmaschine ist der
Indexer. Mit der freien Java-Bibliothek Lucene
gebaute, skalierbare Indexer brauchen sich
hinter kommerziellen Suchmaschinenprodukten
nicht zu verstecken.
Analyzer, Indexer und Felder
Das Grundprinzip ist einfach: Ein Analyzer
zerpflückt die Dokumente und verteilt deren
Metadaten und Textkomponenten auf vorgegebene
Felder. Anschließend erstellt daraus ein
Index-Builder den eigentlichen Index. Der ist
üblicherweise im Kern ein Transduktor-Automat,
der über die Eingabe eines Terms zu einer
Liste von Links führt. Das nennen Experten
dann „Inverted Files“, weil ein Index zwar mehr
oder weniger dem Originalkorpus entspricht,
aber die Wörter nicht mehr in ihrer natürlichen
Reihenfolge gespeichert sind, sondern in einer
alphabetischen Ordnung mit einem Vermerk
ihrer Originalposition.
Die Erstellung und Pflege des Automaten während
der Laufzeit und die kompakte Ablage der
Links im Dateisystem ist normalerweise eine
trickreiche Aufgabe, die Lucene sehr elegant
löst. Indexierungsleistungen von 30 MByte pro
Sekunde auf einem modernen Rechner schafft
es spielend, ebenso die Reduktion der Ausgangstexte
im Index auf etwa 20 Prozent ihrer
Größe. Dies hängt natürlich davon ab, wie sehr
der Suchmaschinenentwickler ein Dokument
zerpflückt und auf Felder verteilt.
Boost und Pagerank
Anhand der Felder von Lucene kann der Programmierer
beispielsweise dem Titel einen besonderen
Boost verpassen, etwa indem er Überschriften
bevorzugt oder externe Metadaten
wie den Dateinamen oder den Autor als besonders
relevante Textdeskriptoren nutzt. Kommt
der Suchbegriff in diesen Feldern vor, dann erhält
der Treffer einen höheren Wert im Ranking,
als wenn er nur irgendwo im Body erscheint. Die
richtige Gewichtung dieser Felder zueinander
ergibt dann das (hoffentlich richtige) Ranking,
das sich der User wünscht.
Trotzdem lassen sich auch bei Lucene gezielt
einzelne Felder befragen oder die Suchergebnisse
nach ihnen sortieren. Dabei sind nicht nur
Textfelder, sondern auch Range-Abfragen mit
verschiedensten Feldtypen möglich.
Neben vergleichsweise langweiligen booleschen
Abfragen sind so auch Wildcard- oder fehlertolerante
Suchen möglich. Dabei geht es nicht nur
darum, Treffer mit einem identischen Prefix zu
finden (wie in SQL mit »'Linux-Mag%'«), sondern
auch unterschiedliche Schreibweisen. Über
das Levenshtein-Distanz-Verfahren lassen sich
mit einer eigenen Syntax ohne nennenswerte
Geschwindigkeitseinbußen beispielsweise alle
Schreibweisen von »Schmie?[dt]+« oder »M[ae]
[iy]e?r« finden.
Distanz bitte!
Eine andere Form von Distanzabfragen erlaubt
der Proximity-Operator (»~«) bei Multiword-
Queries. Er findet alle Abschnitte von Texten,
bei denen mehrere Wörter innerhalb eines definierbaren
Maximalabstands erscheinen. Als
Kontrast zu den eher statischen Dokumentenoder
Feldgewichten lassen sich während der
Abfragezeit auch Terme höher gewichten als
andere. Der Termboost-Operator (»^«) erlaubt
es, bei Multiword-Queries einzelne Suchbegriffe
wichtiger einzustufen als den Rest.
Doch bei der idealen Suchmaschine braucht sich
der Anwender damit gar nicht zu beschäftigen,
weil die den relevantesten Treffer ohnehin an
erster Stelle liefert, auch ohne Operatoren. Der
Indexer von Lucene bringt dafür schon sehr
viele Hausmittel mit.

Open Source
mobilisiert.
Security-Day by Astaro plus Hacking Contest (13. Mai)
LPI-Zertifizierungen und Vorbereitungstutorien by Egilia
Academy-Day: Weiterbildung und Recruitment (14. Mai)
»Die Zukunft ist offen.« sagen:
-› Wim Coekaerts, Oracle‘s Vice President of
Linux Engineering
-› Bradley M. Kuhn, Executive Director Software
Feedom Conservancy
-› Daniel Walsh, Principal Software Engineer, Red Hat
Open Source ist Geschäftsmodell, Arbeitgeber
und Trendsetter.
Komm vorbei. Mach dich schlau. Tausch dich aus.
11. –14. Mai 2011 in Berlin
EUROPE‘S LEADING
OPEN SOURCE EVENT
CONFERENCE | EXHIBITION | PROFESSIONAL DEVELOPMENT
www.linuxtag.org
Medienpartner: Official Certification Partner: Bronze Partner:
MAGAZIN

Sysadmin
www.linux-magazin.de Archipel 06/2011
66
Das VM-Orchestration-Tool Archipel verwaltet Hypervisoren
Reif für die Inseln
Das Hypervisor-übergreifende Management-Tool Archipel landet ein schickes GUI an und kommunziert mit den
virtuellen Instanzen, die Server mit Xen, KVM, Open VZ und VMware bereitstellen. Dazu nutzt es das Jabber-
Protokoll und erweist sich als ausgesprochen unterhaltsam. Andrej Radonic
Die Open-Source-Welt hat Virtualisierungstechnologien
vom Allerfeinsten hervorgebracht
– darunter die Hypervisoren
Xen und KVM, APIs und Schnittstellen
wie die Libvirt [1] und viele mehr. Allein
an wirklich gut gestalteten und Hypervisor-übergreifenden
Management-Tools
für virtualisierte Umgebungen fehlt es
bisher noch.
Die wenigen Vertreter dieser Gattung sind
entweder auf eine bestimmte Ober fläche
festgelegt wie zum Beispiel die X11-Applikation
Virt-manager [2] oder sehr umfassende
Werkzeuge mit Cloud-Ambitionen
wie Xens Enomalism [3], die für
normale Hypervisor-Administrationsaufgaben
überdimensioniert sind.
Gefragt bei Administratoren sind mehr
und mehr intuitive Web-GUIs, die den
üblichen Zoo von virtuellen Systemen –
von Xen über KVM bis hin zu VMware
– komplett und zentral verwalten und
den Überblick auch bei Tausenden von
virtuellen Maschinen herstellen.
Hier springt Archipel [4] mit frischen
Ansätzen in die Bresche. Das kleine französische
Entwicklerteam beansprucht für
sich, es besser als Enomalism oder Proxmox
[5] machen zu wollen, und greift
dazu tief in die Open-Source-Toolbox:
Das Web-GUI bedient sich des Cappuccino-Javascript-Framework
[6], um eine
Desktop-ähnliche Benutzer-Erfahrung zu
bieten. Im Kern nutzt das System das
Libvirt-API, um die Steuerung aller bekannten
Hypervisoren wie KVM, Xen,
Open VZ und VMware zu ermöglichen.
Vor Kurzem erschien die zweite Beta von
Archipel, dieser Artikel zeigt, ob das System
hält, was es verspricht.
Plausch mit dem Hypervisor
Beim intern verwendeten Protokoll zum
Anbinden des Hypervisors beschreitet
Archipel mit XMPP neue Wege. Das von
Jabber bekannte Instant Messaging Protokoll
dient dem internen Nachrichten-
verkehr für Steuerung und Information
in Realtime. Dies ermöglicht sogar die
Nutzung von Jabber-Clients, um Statusinformationen
von VMs abzurufen oder
ihnen Kommandos zu schicken.
Archipel besteht im Kern aus drei Komponenten
(Abbildung 1):
n Der Archipel-Client (Testclients unter
[7]) stellt ein stark an I-Tunes erinnerndes,
optisch ansprechendes Web-
GUI zur Verfügung, das dank Javascript
in den meisten Browsern läuft.
n Pro Hypervisor-Instanz kommt Serverseitig
ein Archipel-Agent zum Einsatz.
Der ist in Python geschrieben und
modular aufgebaut. Der Administrator
nutzt Shellkommandos, um ihn zu
installieren und zu aktualisieren.
n Über XMPP kommuniziert der Agent
via Libvirt mit virtuellen Maschinen.
Das macht das Aufsetzen eines Jabber-Servers
erforderlich.
Archipel empfiehlt den Einsatz von Ejabberd
[8], andere Implementierungen
sollten aber auch funktionieren. Die Anweisung,
eine VM zu starten, durchläuft
der Reihe nach Jabber-XMPP auf dem Archipel-Client,
dann den XMPP-Server, erreicht
die Libvirt (Libvirt-create) und endlich
den Hypervisor (etwa KVM-create).
Installation
Schon bei der Installation zeigt sich einer
der größten Nachteile von Archipel, die
äußerst magere Dokumentation. Immerhin
ist das korrekte Setup recht ordentlich
beschrieben [9], auch wenn dort noch
ein paar Bugs lauern. Zunächst installiert
der Archipel-Interessent Ejabberd, mindestens
in der Version 2.1.6, am besten
über den Binärinstaller. Den XMPP-Server
muss er danach um die Module »ejab-

Archipel-Agent
VM
Mit der UUID geht es nun an den eigentlichen
Import (Listing 4). Die VM er-
Archipel-
Client
Rechner A
Libvirt
VM
berd_xmlrpc« und »mod_admin_extra«
erweitern. Dann holt er sich die Quellen,
kompiliert die Erlang-Sourcen und kopiert
die resultierenden »*.beam«-Dateien
ins »ebin«-Verzeichnis des Ejabberd-
Daemon (Listings 1 und 2).
Anschließend ist die Anpassung von
»/opt/ejabberd-2.1.6/conf/ejabberd.cfg«
(je nach Distribution vielleicht »/etc/
ejabberd/ejabberd.cfg«) an der Reihe:
Hier aktiviert der Administrator die neu
erstellten Module und setzt vor allem den
vollqualifizierten Domainnamen (FQDN)
seines Servers ein. Leider führt der vom
Archipel-Projekt dokumentierte Konfigurationsvorschlag
an mehreren Stellen in
die Irre, daher sollte sich der Admin besser
an Listing 3 orientieren.
Das Erstellen eines Administratorkontos
schließt die Ejabberd-Einrichtung ab:
ejabberdctl register admin FQDN Passwort
Das Einrichten des Archipel-Agenten geht
etwas schneller von der Hand, am Anfang
steht der Check der Abhängigkeiten.
Nötig sind Python ab Version 2.5, Libvirt
ab Version 0.8.7 sowie ein Hypervisor
wie KVM mit Qemu ab Version 0.12.5.
Zudem sollten auch Qemu-img sowie die
Python Setup Tools an Bord sein. Die
folgende Befehlssequenz installiert den
Archipel-Agenten:
easy_install archipel‐agent
archipel‐initinstall
XMPP-Server A
In »/etc/archipel/archipel.conf« setzt
der Admin nun die Server-FQDN ein und
Archipel-Agent
VM
Rechner B
Libvirt
VM
startet Archipel mit dem mitgelieferten
Init-Skript:
/etc/init.d/archipel start
Archipel-Agent
VM
Rechner C
Libvirt
XMPP-Server B
Abbildung 1: Die Archipel-Architektur mit Hypervisoren, virtuellen Maschinen, Archipel-Agenten und redundant
ausgelegten XMPP-Servern.
Abschließend bedarf es noch zweier
Ejabberd-Pubsub-Nodes, damit das Berechtigungssystem
sowie die Tag-Verwaltung
funktionieren:
archipel‐tagnode ‐‐jid=admin@FQDN U
‐‐password=Passwort ‐‐create
SUCCESS: pubsub node /archipel/tags created!
archipel‐rolesnode ‐‐jid=admin@FQDN U
‐‐password=Passwort ‐‐create
SUCCESS: pubsub node /archipel/roles U
created!
Auf das im Archipel-Wiki ausführlich beschriebene
eigenhändige Kompilieren des
Clients kann der Administrator getrost
verzichten, stattdessen besorgt er sich
unter [10] eine aktuelle Archipel-Client-
Distribution. Diese entpackt er einfach
in ein lokales Verzeichnis und öffnet die
Datei »index.html« in einem Browser.
Bei dem folgenden Login ist es wichtig,
die Jabber-ID fully qualified einzugeben,
also mit dem kompletten Servernamen
(Abbildung 2). Als Passwort dient das
beim Erstellen des Administratorkontos
definierte Credential. Die URL für das
Feld »Service BOSH« folgt dem Schema
»http://FQDN:5280/ http-bind«.
Wo laufen sie denn?
VM
Archipel präsentiert sich dem VM-Verwalter
aufgeräumt und bis ins Detail liebevoll
gestaltet. Doch ohne Bewohner
– also Hypervisor-Hosts und VMs – taugt
der schönste Archipel nicht viel. Der erste
Schritt zur Population erschließt sich dabei
nicht unbedingt von selbst: Der Administrator
muss zunächst den Hypervisor
in Archipel anmelden. Hierzu klickt er
unten links auf das »+«-Zeichen, um einen
neuen (Jabber-)Kontakt im Archipel-
XMPP-System anzulegen.
Als Kontakt-ID gibt er »Hypervisor@
FQDN« an und bestätigt mit »Ok«. Der Hypervisor
taucht in der Kontaktleiste links
mit seinem Avatar auf. Die Hauptansicht
des Hosts zeigt direkt die so genannte
»Health«-View mit allen wichtigen Informationen
in Echtzeit (Abbildung 3).
Die VMs des Hypervisors sind Archipel
damit aber leider noch nicht bekannt. Der
Administrator hat nun zwei Möglichkeiten:
Er kann bereits existierende VMs der
Archipel-Verwaltung hinzufügen, wobei
ihm das Skript »archipel-importvirtualmachine«
hilfreich zur Seite steht. Dieses
benötigt zwei Argumente, die vorab zu
ermitteln sind: Zum einen die SQLite-3-
Datenbank-Beschreibungsdatei des lokalen
Hypervisors, zu finden unter »/var/
lib/archipel/hypervisor.sqlite3.2«), und
zum anderen die UUID der zu importierenden
VM. Die ermittelt am einfachsten
das Libvirt-Tool Virsh:
virsh ‐‐connect qemu:///system
list
dominfo ID_der_VM
UUID
Listing 1: »ejabberd_xmlrpc«
kompilieren und installieren
01 wget http://www.ejabberd.im/files/contributions/
xmlrpc‐1.13‐ipr2.tgz
02 tar ‐xzvf xmlrpc‐1.13‐ipr2.tgz
03 cd xmlrpc‐1.13/src
04 make
05 cd ../../
06 cp ebin/*.beam /opt/ejabberd‐2.1.6/lib/
ejabberd‐2.1.6/ebin
Listing 2: »mod_admin_extra«
kompilieren und installieren
01 cd /usr/local/src/ejabberd‐modules/mod_admin_extra/
trunk/
02 ./build.sh
03 cp ebin/mod_admin_extra.beam /opt/ejabberd‐2.1.6/lib/
ejabberd‐2.1.6/ebin
Archipel 06/2011
Sysadmin
www.linux-magazin.de
67

Sysadmin
www.linux-magazin.de Archipel 06/2011
68
Abbildung 2: Ein Archipel-Login auf dem Client
verlangt den kompletten Login-Namen (inklusive
Domain) auch im Feld »Jabber ID«.
scheint nun ebenfalls in der Kontaktliste
links. Von hier aus kann der Archipel-Verwalter
ihren Status einsehen sowie alle
Lifecycle-Kommandos wie Start, Stop,
Pause bis hin zur Migration auf einen
anderen Hypervisor-Host ausführen oder
Snapshots erstellen.
Die zweite Möglichkeit, die VM-Population
in Archipel wachsen zu lassen,
besteht darin, virtuelle Maschinen direkt
im Archipel-GUI anzulegen. Auch das ist
in wenigen Schritten erledigt. Zunächst
Listing 3: »ejabberd.cfg«
01 {hosts, ["jabber.deutschewolke.datenwerk‐it.de"]}.
02 [...]
03 {listen,
04 [
05 {4560, ejabberd_xmlrpc, []},
06 {5280, ejabberd_http, [
07 http_bind,
08 http_poll,
09 web_admin
10 ]}
11 ]}.
12 [...]
13 {modules,
14 [
15 {mod_adhoc, []},
16 {mod_http_bind,[]},
17 [...]
18 {mod_admin_extra, []}
19 ]}.
20 [...]
legt der Verwalter das gewünschte Installations-ISO
in das Verzeichnis »/vm/
iso«. Im GUI klickt er dann auf »New
VM«, wechselt zum Reiter »Definition«
und setzt die gewünschten Einstellungen
wie RAM, Festplattenlaufwerke und
Netzwerk (Abbildung 4).
Anschließend legt er eine neue (virtuelle)
CD-ROM an und stellt den Bootvorgang
von CD ein. Ein Klick auf »Play«
erweckt die VM und damit den Installationsvorgang
zum Leben. Ihre grafische
Oberfläche bedient der VM-DJ in einer
sehr schlanken und ansehnlichen, in
Javascript verfassten VNC-Implementierung,
zu finden auf dem Reiter »VNC« .
Mit einer virtuellen
Maschine reden
Ein originelles Detail, das zugleich zeigt,
wie konsequent Archipel auf dem XMPP-
Protokoll aufbaut, ist der integrierte Chat.
Der taugt zwar auch zur Kommunikation
zwischen den Administratoren der Umgebung,
überrascht aber vor allem durch
die Möglichkeit, direkt und verbal mit
seinen Hypervisoren und VMs zu kommunizieren
(Abbildung 5).
Das natürlich klingende sprachliche Vokabular
von Archipel ist zwar sehr begrenzt,
die Kommunikation bereitet aber
Spaß und ist durchaus praxistauglich.
Ein »how are you« quittiert eine VM zum
Beispiel mit einer komprimierten Statusmeldung
in der ersten Person Singular.
Konsequenterweise funktioniert dies von
jedem Jabber-Client aus.
Auch darüber hinaus zeigt sich Archipel
auskunftsfreudig. Logs aller Systeme und
Aktionen können Admins zur Echtzeit
im GUI einsehen, ausgewählte Benachrichtigungen
empfangen sie per Push-
Notification auf dem Smartphone. Dafür
lädt sich der Sysadmin zum Beispiel die
»App Notifications«-App auf sein I-Phone
und trägt den privaten API-Key in »archipel.conf«
ein.
Rollenkonzepte,
Deployment, Tagging
Archipel bringt als ambitionierter VM-
Verwalter mächtige Deployment-Werkzeuge
mit: Das integrierte VM Casting
Protocol (ursprünglich von Enomalism
entwickelt) stellt via RSS-Feeds Appliance-Downloads
für die Hypervisoren
bereit. Damit sind auch automatisch installierbare,
auf definierten Appliances
basierende Instanzen und Updates von
VMs möglich.
Archipel-Admins können zudem Appliances
direkt aus vorhandenen virtuellen
Maschinen selbst erstellen, sie quasi als
Templates ablegen und für neue VMs
nutzen. Archipel unterstützt dabei das
XVM2-Templateformat (ebenfalls eingeführt
von Enomalism, bekannt auch von
Xen Server) und demnächst den verbreiteten
OVF-Standard.
An diesem Punkt hören viele Verwaltungstools
auf, nicht jedoch Archipel, das
mit einer ganzen Reihe weiterer Enterprise-Features
aufwartet. Dazu gehört ein
ausgefeiltes Rollenkonzept für das Definieren
feingranularer Berechtigungen für
unterschiedliche User und Rollen.
Für Admins sehr großer Umgebungen mit
vielen VMs bringt es ein Tagging-System
Listing 4: VMs importieren
01 /etc/init.d/archipel stop # Archipel Agent stoppen
02 archipel‐importvirtualmachine ‐‐file=/var/lib/
archipel/hypervisor.sqlite3 ‐‐uuid=UUID
‐‐xmppserver=FQDN ‐‐name=vm1
03 /etc/init.d/archipel start # Archipel Agent stoppen
Abbildung 3: Der Gesundheitszustand eines Hypervisors in Archipels »Health«-Übersicht.

Abbildung 4: Die Konfiguration einer virtuellen Maschine in Archipel erschließt sich dem Admin von selbst.
in Verbindung mit einer entsprechenden
Suche mit sowie die Möglichkeit, Kontakte,
also Hypervisoren und virtuelle
Maschinen, logisch zu gruppieren.
Elegant ist auch die Fähigkeit, mittels
Massen-Kommandos ganze Gruppen von
VMs mit einem einzigen Klick zu steuern,
zum Beispiel mehrere gleichzeitig
zu starten, zu stoppen oder zu migrieren.
Den Administratoren steht außerdem ein
Scheduler zur Verfügung, um VM-orientierte
Aktionen im Voraus zu planen und
automatisiert ablaufen zu lassen.
Clustern, geografische
Migration und Billing
Damit kein Single Point of Failure durch
den Einsatz eines einzelnen XMPP-Servers
entsteht, sieht Archipel Clustering
vor. Es unterstützt Multisite-Setups und
ist in der Lage, die Hypervisor-Hosts und
zugehörigen VMs grafisch in einer integrierten
Google-Map zu visualisieren und
diese auf der Weltkarte zu verschieben,
de facto zu migrieren. Auf der Roadmap
stehen außerdem eine modulare Erweiterung
um Cloud-Computing-Fähigkeiten
inklusive Billing.
Sobald das angekündigte SDK erscheint,
dürfte der eigenen, modularen Weiterentwicklung
nichts mehr im Wege stehen.
Schade nur, dass die finale Version vermutlich
noch bis Ende 2011 auf sich warten
lässt. Wer gern experimentiert und ein
wenig Zeit erübrigen kann, dem sei ein
Test ans Herz gelegt. Etwas Geduld muss
der Interessent aber mitbringen und sich
derzeit auch mit sehr knapper Dokumentation
begnügen. Bleibt zu hoffen, dass
die aufkeimende Archipel-Community
schnell wächst und durch entsprechende
Beiträge auch die typischen Kinderkrankheiten
behebt.
Archipel ist aber jetzt schon weit mehr
als ein schickes GUI für Open-Source-
Hypervisoren. Ambitionierte Administratoren
heterogener virtueller Umgebungen
finden hier eine sehr interessante
und leistungsfähige Alternative zu anderen
Web-basierten Verwaltungstools.
Kontakt freudige Administratoren können
sich über den IRC-Chat rasch Rat und
Unterstützung aus der Community und
von den Entwicklern selbst holen, diese
haben sich auch bei den ersten Versuchen
des Linux-Magazin-Autors als sehr
hilfsbereit herausgestellt. (mfe) n
Infos
[1] Thorsten Scherf, „Dienste aus der Wolke“:
ADMIN-Magazin 05/ 10, S. 64
[2] Virt-manager:
[http:// virt-manager. et. redhat. com]
[3] Enomalism: [http:// wiki. xensource. com/
xenwiki/ Enomalism]
[4] Archipel: [http:// archipelproject. org]
[5] Proxmox VE: [http:// www. proxmox. com]
[6] Cappuccino-Framework:
[http:// cappuccino. org]
[7] Testclients für Archipel:
[http:// app. archipelproject. org]
[8] Ejabberd: [http:// www. ejabberd. im]
[9] Archipel-Wiki: [https:// github. com/
primalmotion/ archipel/ wiki]
[10] Nightly Builds:
[http:// nightlies. archipelproject. org]
Der Autor
Der Autor Andrej Radonic ist
IT-Journalist und außerdem
Vorstand der Intersales AG in
Köln sowie Autor des Buches
„Xen 3.2“. Seine Spezialgebiete
sind Virtualisierung,
Open-Source-Unternehmenslösungen und E-
Commerce.
Archipel 06/2011
Sysadmin
www.linux-magazin.de
69
Pro und Kontra Archipel
‚ Ausgefeiltes und ansprechendes Web-GUI
‚ Auch für große Umgebungen geeignet
‚ Umfassendes Feature-Set
‚ Unterstützt viele gängige Hypervisor-
Plattformen
„ Dürftige Dokumentation
„ Noch nicht bereit für den Produktiveinsatz
„ Health-Auskunft nur global je Hypervisor,
nicht für einzelne VMs (zum Beispiel für
Speicher- oder CPU-Auslastung)
Abbildung 5: Auf Chat-Anfragen antwortet Archipel in der Ich-Form und gibt bereitwillig Auskunft über den
Gesundheitszustand der Hypervisoren und der VMs.

ADMIN-MAgAzIN
für ALLe IT-AdmInISTrAToren
von WIndoWS und LInux
AdmIn erscheint alle zwei
monate und bietet IT-Admins:
■ Schwerpunktthemen zu
Storage, Backup, netzwerk,
monitoring, virtualisierung
und Security
■ Howtos und Tutorials für alle
IT-Administratoren von Linux,
Windows und unix
■ Hilfe bei der täglichen
Systemverwaltung
heterogener netze
TesTen sie Admin
im mini-Abo!
Lesen Sie 2 Ausgaben für
zusammen nur 9,80 E!
2 Hefte
NUR
e9,80
So können Sie beStellen:
• Web: www.admin-magazin.de/abo
• Telefon 07131 / 2707 274 • fax 07131 / 2707 78 601
• e-mail: abo@admin-magazin.de • Shop: Shop.Linuxnewmedia.de
Gleich hier bestellen:
www.admin-magazin.de/
miniabo
Abovorteile
• Preisvorteil gegenüber Kioskkauf
• kostenlose & sichere Zustellung
• Zustellung vor dem offiziellen
verkaufstermin
Globusillustration: Rafa Irusta Machin, 123RF

SIe wolleN keIN Heft MeHr verpASSeN?
Abonnieren sie Admin im Prämienabo!
Lesen Sie das AdmIn-magazin für
nur E 49,90 im Jahr statt E 58,80
im einzelkauf am Kiosk!
Als Prämie erhalten Sie einen Yubikey
www.admin-magazin.de/jahresabo
sichern sie sich
ihren gratis YubikeY!
Sicher unterwegs: uSB-Crypto-Key für einmal-
Passwörter mit AeS-128. funktioniert ohne spezielle Treiber
mit allen Betriebssystemen. Weitere Applikationen unter www.yubico.com
JetZt auch
als PDF und/oder
als Online-archiv
erhältlich!
Mehr inFOrMatiOnen unter
www.aDMin-MagaZin.De
Jetzt beStellen:
versandkostenfrei!
• www.admin-magazin.de/einzelheft
• Telefon 07131 / 2707 274 • fax 07131 / 2707 78 601
• e-mail: abo@admin-magazin.de • Shop: Shop.Linuxnewmedia.de

Forum
www.linux-magazin.de OSS-Projekte steuern 06/2011
72
Kontrollpunkte und Steuerungsmechanismen in Open-Source-Projekten
Konzertiert
Eine Firma, die auf freie Software setzt, sollte darauf achten, dass sich das Open-Source-Projekt in eine Richtung
entwickelt, die dem Unternehmen nutzt. Dieser Artikel zeigt, wie kommerzielle Hersteller freie Communities
steuern und beeinflussen können. Dirk Riehle, Markus Feilner
Die Marktforscher sind sich einig: Open
Source ist längst zum integralen Bestandteil
von Unternehmen geworden. Spätestens
2012 läuft laut einer Gartner-Studie
freie Software bei über 80 Prozent aller
Softwarehersteller [1], Forrester Research
interpretiert die Ergebnisse seiner Befragungen
ähnlich: 2009 gab fast die Hälfte
aller Firmen an, freie Software zu verwenden
oder zu implementieren [2].
Wie steuern?
Doch diese gestiegene Bedeutung in
Unternehmen macht Manager und Controller
unruhig. Wie steuert man ein
Open-Source-Software-Produkt? Welche
Kontrollmechanismen lassen sich von
Firmen instrumentalisieren? Wie verhindern
sie, dass die freien Komponenten
in unerwünschte Richtungen davoneilen
und so die Unternehmensziele in Gefahr
bringen? Mit zunehmender Bedeutung
von freier Software wächst auch das
Interesse an der gezielten Lenkung der
Community und dem Verständnis für die
zugrunde liegenden Prozesse.
Für den folgenden Artikel dienen drei
Kategorien von Unternehmen als Maßstab:
Traditionelle Softwarefirmen, Single-Vendor-Open-Source-Firmen
[3] und
Distributoren:
n Closed-Source-Firmen besitzen alle
Softwarekomponenten, die ihr Produkt
vom Wettbewerb unterscheiden.
Die Softwarequellen bleiben unveröffentlicht.
Typische Beispiele hierfür
sind Microsoft Windows, Oracles Datenbank
oder SAPs Business Suite.
n Die Single-Vendor-Open-Source-Firmen
besitzen ebenfalls alle Rechte an
den zentralen Softwarekomponenten,
aber sie haben diese unter Freigabe
der Quelltexte öffentlich gemacht [4].
Typische Beispiele dafür sind Alfrescos
Contentmanagement-System, Jaspersofts
Business Intelligence Tools [5]
und (zumindest früher) MySQL.
© Yuri Arcurs, 123RF.com
n Open-Source-Distributoren integrieren
eine große Anzahl freier Komponenten
und vertreiben das Gesamtpaket gegen
Gebühr. Sie besitzen kein Eigentum an
den Komponenten. Typische Vertreter
dieser Riege sind Suse und Red Hat,
aber auch Acquias Drupal [6].
Allen drei Typen gemeinsam ist, dass
die Firmen dahinter exklusiv über eine
Art von geistigem Eigentum (Intellectual
Property) verfügen und es zu Geld
machen. Die ersten beiden erzeugen
Software, die Distributoren eine vorkonfigurierte
Zusammenstellung mit Wiedererkennungswert
und eigener Marke.
Eigentum
Auch wenn freie Software gemäß einer
Open-Source-Lizenz beliebig verfügbar
ist, existieren dennoch Eigentumsrechte
daran. Bei Single Vendor Open Source ist
die Sachlage sehr einfach: Ein einzelnes
Unternehmen ist der rechtliche Eigentümer
und wird aggressiv seine Eigentumsrechte
verteidigen.
Doch bei Community Open Source liegen
die Rechte bei einer diffusen Masse
von Einzelpersonen (den Entwicklern
und Code-Kontributoren), bestenfalls
bei einer Stiftung, die stellvertretend für
ihre vielen Mitglieder deren Rechte wahrnimmt
([7], [8], [9]).
Die Lizenzen selbst lassen sich im Wesentlichen
in reziproke (virale) und liberale
(permissive) Lizenzen kategorisieren.
Eine Firma, die Software einbaut, die
einer reziproken Lizenz wie der GPL oder
der AGPL unterstellt ist, kann sich dazu
gezwungen sehen, den eigenen Sourcecode
ebenfalls zu offenbaren. Liberalere
Lizenzen wie die Apache- oder die
BSD-Lizenz gestatten es dagegen, auch

Community
Open Source
Komponententyp
proprietäre
Open Source
Closed
Open
Owned Closed Source
Licensed Closed Source
Single Vendor Open Source
Community Open Source
Entwicklungskosten
reduzieren
soziale
Führung
soziale
Führung
Geschäftsziele
möglichst viele
Kunden erreichen
Wettbewerb
minimieren
Eigentum an
der Domain
Kontrolle über
Copyright,
Marke,
Entwicklung
soziale Führung,
Eigentum an
Domain, strategische
Positionierung
Kontrolle über
Marke,
Entwicklung,
Strategie
OSS-Projekte steuern 06/2011
Forum
www.linux-magazin.de
73
Plattform
Closed-Source-Firma Single-Vendor-OSS-Firma Open-Source-Distributor
Abbildung 1: Open oder Closed Source, Community-eigen oder im vollständigen
Besitz der Entwicklerfirma? In modernen Softwarefirmen findet sich all das.
Abbildung 2: Bei den Kontrollpunkten und Steuermechanismen ist für die Hersteller
von freier Software viel soziale Führung gefragt.
proprietäre Closed-Source-Produkte als
Derivate zu erstellen.
In der Regel finden sich in jeder modernen
Software zahlreiche Einzelkomponenten
mit divergierenden Lizenzen,
die unterschiedliche Nutzungsvarianten
erlauben oder verbieten.
Produkttypen und Ziele
Abbildung 1 zeigt schematisch die vier
möglichen Typen. Das vereinfacht dargestellte
Produkt enthält sowohl einen
Closed-Source- als auch einen Open-
Source-Anteil. Im ersten Teil finden sich
Komponenten, die im vollständigen Besitz
der Firma sind. Meist verwenden
Entwickler diese in ihren Produkten, die
sich im Idealfall dadurch von der Konkurrenz
abheben.
Das Unternehmen hat außerdem Closed-
Source-Software von Dritten lizenziert,
um das Produkt zu vervollständigen.
Bei klassischen Softwarefirmen ist das
Produkt damit abgeschlossen, doch bei
Open-Source-Herstellern kommen offene
Bestandteile hinzu: Der Single-Vendor-
Open-Source-Anbieter hat vielleicht auch
Closed-Source-Komponenten dabei, vor
allem um sein Produkt von einer ebenfalls
existierenden freien Community-Version
zu differenzieren (Open-Core-Modell).
Open-Source-Distributoren haben normalerweise
keinerlei proprietären Code
in ihren Produkten.
Ein Single-Vendor-Open-Source-Anbieter
besitzt seine Software, macht sie aber
trotzdem aus strategischen Gründen unter
einer freien Lizenz der Welt zugänglich.
Community Open Source dagegen
ist im Besitz einer Entwicklergemeinschaft,
nicht einer einzelnen Rechtsperson.
Reine Closed-Source-Firmen erstellen
keine freie Software, aber alle drei
Firmentypen nutzen sie.
Closed-Source- und Single-Vendor-Hersteller
bevorzugen liberale Lizenzen, weil
sie so die proprietären Anteile ihres Code
nicht gefährden oder offenlegen müssen.
Distributoren dagegen nutzen alle Typen
von freier Software, unabhängig von der
Natur der Lizenz. Das gründet in der
Tatsache, dass ihre Stärke im Wettbewerb
nicht in der Software selbst liegt, sondern
in ihrer (bewährten) Konfigurations- und
Integrationsleistung.
Ein gutes Beispiel hierfür ist Jaspersoft
[5], eine Open-Source-Firma, die unter
anderem Software für Business-Intelligence-Produkte
herstellt, zum Beispiel
den Reportgenerator Jasper Server. In
dessen Enterprise-Produkte integriert
sie eigenen Closed-Source-Code. Der
wiederum baut auf der Open Source
Community Edition auf, die vollständig
Jaspersoft gehört, aber auch freie Komponenten
wie den relationalen Datenbank-Mapper
Hibernate [9] integriert.
Als Plattform darunter dient Jaspersoft
sowohl Windows als auch Linux.
Es existieren drei typische strategische
Ziele für den Einsatz freier Software:
n Minimieren der Entwicklungskosten
n Maximieren der Verbreitung
n Minimieren des Wettbewerbs
Community Open Source und lizenzierte
Closed-Source-Produkte helfen die Entwicklungskosten
im Griff zu behalten.
Die Software als Open-Source-Projekt
zu veröffentlichen und zu verbreiten
lässt den Hersteller ein besseres Produkt
schneller, günstiger und deutlich breiter
auf den Markt bringen – was wohl die
wesentliche Belohnung dafür ausmacht,
dass eine Firma ihr geistiges Eigentum
freigibt. Nebenbei erhält das Unternehmen
im Idealfall so auch eine aktive selfsupporting
Community.
Gleichzeitig kann kein Hersteller, der
den Mut zur GPL aufbringt, verhindern,
dass die neu geschaffene Öffentlichkeit
der Quelltexte auch den Wettbewerbern
nützt. Deshalb achten sowohl Single-
Vendor-Firmen als auch Distributoren
penibel auf die Konkurrenz. Eine aktive
Steuerung des neugeschaffenen Open-
Source-Projekts wird notwendig.
Kontrollpunkte
Softwarehersteller nutzen eine ganze
Reihe von Werkzeugen, um freie Projekte
zu managen, von denen ihr Business-
Erfolg abhängt. Kontrollpunkte sind dabei
Hebel, die helfen, die eigenen Ziele
zu erreichen, und die sich über rechtliche
Schritte erzwingen lassen. Dem stehen
Steuermechanismen gegenüber, die
zwar demselben Ziel dienen, aber nicht
erzwingbar sind, sondern über soziale
Faktoren und entsprechendes Verhalten
wirken.
Abbildung 2 stellt die oben genannten
Ziele den Kontrollpunkten und Steuermechanismen
gegenüber und zeigt, in welchen
Firmentypen und Lizenzmodellen
sie angebracht sind. Drei Kontrollpunkte

Forum
www.linux-magazin.de OSS-Projekte steuern 06/2011
74
Für Distributoren stehen vielmehr die
Markenrechte im Vordergrund, die aber
auch Single-Vendor-Firmen helfen können.
Auch Closed-Source-Unternehmen
nutzen sie, aber nicht in OSS-Projekten.
In der Regel dienen eingetragene Markenzeichen
dazu, den Wettbewerb im Zaum
zu halten. Distributoren investieren viel
in ihren „Brand“, weil der das wichtigste
Unterscheidungsmerkmal zur Konkurrenz
ausmacht.
Zwar bieten häufig Dienstleister Produkte
rund um die Open-Source-Produkte aus
den Distributionen an, doch Wettbewerber
könnten diese nur dann nutzen,
wenn sie zuerst die fremden Markenzeichen
entfernen. Das wiederum kann
der ursprüngliche Hersteller erschweren
und so den Markteintritt der Konkurrenz
verzögern.
Darüber hinaus stehen Kunden diesem
Entfernen der wohlbekannten Symbole
häufig skeptisch gegenüber, weil in ihren
Augen jetzt nicht mehr der verlässliche,
erfahrene Distributor hinter dem
Produkt steht. Diesen Effekt suchen Hersteller
meist noch mit intelligenten Zertifizierungsprogrammen
zu verstärken, die
den gefühlten Wert des Originals deutlich
über den der Kopie heben. Single-Vendor-Firmen
kennzeichnen ihre Produkte
mittlerweile in sehr ähnlicher Weise und
stärken ihre Position mit der Androhung
von Klagen gegen Wettbewerber, die die
Markenzeichen nicht entfernen.
Auch der dritte Kontrollpunkt, die Internetdomäne
eines Open-Source-Projekts,
spiegelt in der Regel das oder die Progarantieren
einem Unternehmen signifikante
Kontrolle über ein OSS-Projekt:
n Copyright: Während eine Firma einem
Dritten Nutzungsrechte über eine
Open-Source-Lizenz einräumen kann,
mag sie das Eigentum des Copyrights
für sich allein reservieren. Als Eigner
kann sie so verhindern, dass Dritte die
Software unter abweichenden Lizenzen
verwenden.
n Marken: Logos, Slogans, Namen – darüber
definieren sich viele Softwarepakete
auf dem Markt. Faktisch kann der
Besitzer einer Marke verhindern, dass
Wettbewerber derart geschützte Produkte
verwenden. Bei Open-Source-
Software etwa lässt sich verhindern,
dass Dritte mit der Marke werben. Der
Hersteller kann verlangen, alle verwendeten
Markenzeichen zu entfernen,
was sich durchaus als kostspielige
Aktion erweisen kann.
n Eigentum der Domain: Wer die Domain
besitzt, auf der Entwickler und
Kunden nach Informationen suchen,
hat einen klaren Vorteil. Mit dieser Informationshoheit
lassen sich Anwender
benachrichtigen und ihre Wahrnehmung
des Produkts beeinflussen.
Marken helfen die Domains zu schützen
und halten Wettbewerber davon
ab, ähnlich oder gleich klingende Domains
zu verwenden.
Überraschenderweise finden sich Patente
nicht in der Liste der Kontrollpunkte. Vor
Gericht dienen Patente häufig dazu, es
anderen Firmen, meist Wettbewerbern,
zu untersagen, eine bestimmte Software
zu verwenden, weil diese die Rechte des
Patentinhabers verletzt.
Patente eignen sich aber in der Regel
nicht dazu, ein Open-Source-Projekt zu
steuern. Vielmehr finden sich in zahlreichen
freien Lizenzen mehr und mehr
Klauseln, die Patente und Patentklagen
zurückweisen.
So genannte Vergeltungsklauseln (Retaliation
Clauses) entziehen dem Kläger
dabei schlagartig alle Nutzungsrechte an
der freien Software, was mit zunehmender
Verbreitung freier Software in Unternehmen
beträchtliche finanzielle Folgen
mit sich bringen kann.
Copyright
Abbildung 3: Markenrechte und Patente dienen kommerziellen Herstellern
zur Eindämmung der Konkurrenz, meist setzen sie diese erst vor Gericht
durch. In OSS-Firmen spielen Patente dagegen keine Rolle.
Das Urheberrecht bietet Single-Vendor-
Anbietern den besten Hebel, um den
Wettbewerb zu minimieren. Zwar haben
sie der ganzen Welt Nutzungsrechte an
der Software eingeräumt, doch meist
nehmen diese Hersteller zentrale Teile
der Software, die sie als Vorsprung vor
der Konkurrenz ansehen, davon aus und
lizenzieren sie unter einer kommerziellen
Lizenz. Das dient zum einen der Gewinnmaximierung,
zum anderen dem Schutz
vor den Wettbewerbern. Dabei gelten für
Hersteller zwei gängige Regeln:
n Jeder Beitrag von Dritten zum Sourcecode
erfordert zwingend einen Copyright-Transfer
an den Hersteller. In
der Praxis muss der Contributor ein
Copyright Transfer Agreement (CTA)
unterzeichnen, das nicht selten auch
Patente und andere Rechtsfragen
gleich mit abdeckt.
n Die gewählte Open-Source-Lizenz
für das freie Projekt sollte aggressiv
reziprok sein. Jede Software, die auf
dem Projekt aufbaut,
muss wiederum OSS
sein, damit kein Mitbewerber
die Software
für eigene, proprietäre
Produkte nutzen kann.
Gleichwohl kann der
Hersteller als Inhaber
des Urheberrechts jederzeit
eine identische
Version unter einer für
Closed Source geeigneten
Lizenz veröffentlichen
und so auch Kunden
bedienen, die keine
OSS-Produkte einsetzen
können oder wollen.
© Sam Aronov, 123RF.com
Details der CTAs und die Wahl einer
bestimmten Open-Source-Lizenz hängen
von den Gegebenheiten der Softwarefirma
ab. Meist verwenden diese die
GPL, doch auch der Bestand an AGPL-
Software wächst derzeit stark.
Closed-Source-Compagnies brauchen sich
mit dieser Thematik naturgemäß nicht zu
beschäftigen, aber auch Distribu toren interessiert
das wenig. Die Kontrolle über
einzelne Komponenten spielt bei ihnen
eine eher untergeordnete Rolle, sie tragen
mit ihrer Arbeit einfach zur OSS-
Community bei, ohne viel über Copyright
nachdenken zu müssen.
Trademark und Domains
schützen Produkte

dukte der Firma dahinter wieder. Hier
erreicht der Hersteller das Gros seiner
existierenden und potenziellen Kunden.
Ähnlich wie die eingetragenen Markenzeichen
betrifft dies alle drei Typen von
Firmen, aber nur Single-Vendor-Firmen
und Distributoren nutzen es, um ihre
Intellectual Property zu schützen.
Über ihren Internetauftritt bestimmen
sie, welche Aspekte der Software Dritte
kennenlernen und in welchem Maß. Im
Idealfall spiegeln sich hier die Geschäftsziele
wieder. Und Trademarks helfen, den
Wettbewerber von ähnlichen Domainnamen
fernzuhalten, was wiederum potenzielle
Kunden eher zu den eigenen
Produkten lenkt.
Steuermechanismen
Neben den Kontrollpunkten stehen einem
Unternehmen drei wichtige Steuermechanismen
zur Verfügung, mit denen
es die Richtung eines Softwareprojekts
beeinflussen kann:
n Soziale Führung: Die Leiter eines
OSS-Projekts sind ein wichtiger Hebel.
Das fängt bei der Lizenzwahl an,
erstreckt sich über Projektkultur und
Führungsstil bis hin zur Umsetzung
von Releaseplänen, Featurelisten und
Roadmaps.
n Entwicklungsprozess: Eine Firma, die
einen Contributor eines Projekts einstellt,
kann damit den Entwicklungsprozess
signifikant beeinflussen. Die
eigentliche Entwicklung muss dabei
nicht öffentlich sein, Codebeiträge lassen
sich verzögern und die Software
nur in (un)regelmäßigen Snapshots
veröffentlichen.
n Strategische Positionierung: Manche
Marketingkanäle funktionieren besser
als andere. Gerade Open-Source-
Stiftungen bieten wichtige Marketing-
Gelegenheiten.
Die soziale Führung der Community hat
verschiedene Aspekte, je nach Firma und
Entwicklungsweise lässt sie sich sehr
unterschiedlich instrumentalisieren. Im
Single-Vendor-Modell beschäftigt der
Hersteller alle oder viele der wichtigsten
Entwickler. Zumindest einige von ihnen
können auch Führungsrollen in der
Community einnehmen und so das Interesse
freier Developer anstoßen oder nach
dem Geschmack des Herstellers leiten.
Der Sun-Vize Mårten
Mickos rechnet vor, dass
nur ein kleiner Teil der
Entwicklungskosten auf
das Konto des eigentlichen
Programmierens
geht [11]. Mindestens
genauso viel, nicht
selten mehr Aufwand
verursachen Qualitätssicherung
und das Testen,
also Arbeiten, bei
denen die OSS-Community
große Hilfestellung
leisten kann.
Auch eine Firma, die
Entwickler dafür bezahlt,
ein Community-Projekt voranzubringen,
kann davon profitieren und an
Einfluss gewinnen. Indem die Entwickler
darauf achten, dass die freie Variante mit
den Produkten des Herstellers funktioniert,
helfen auch sie Kosten sparen. Je
einflussreicher die Entwickler sind, umso
mehr sind sie auch in der Lage, das freie
Projekt in die von der Firma gewünschte
Richtung zu bewegen und durch Community-Code
kostspielige Eigenentwicklungen
unnötig zu machen.
Alter Adel
Der Einfluss eines Entwicklers wächst
aber erst mit der Zeit. Ein wichtiger Erfolgsfaktor
mag es sein, einer der Gründer
gewesen zu sein. Nach zwanzig Jahren
gilt etwa Linus Torvalds immer noch als
oberster Schiedsrichter über den Linux-
Kernel, seine Stimme hat Gewicht wie
wenige andere. Bei weniger hierarchisch
organisierten Projekten wie PostgreSQL
oder Apache spielt dieser Faktor jedoch
eine geringere Rolle.
Die Führungsfiguren in einem Projekt
nutzen ihre Position, um eine bestimmte
Kultur zu installieren, die im Idealfall
Menschen anzieht und motiviert, manchmal
aber auch abschreckt, und die sich
für ihren Arbeitgeber nutzen lässt. Überraschenderweise
ist diese Einflussnahme
in der Community nicht verpönt, sondern
meist allseitig als unvermeidbarer Interessenkonflikt
verstanden.
Die Führungspersönlichkeit stellt sich in
den Dienst des Projekts und erwirbt damit
auch ein gewichtiges Mitspracherecht
bei Entscheidungen, zum Beispiel über
Abbildung 4: Das Finetuning der Community erledigt der OSS-Hersteller
am besten mit viel Gespür für die Entwicklergemeinde. Soziale Führung,
die passende Strategie und die richtigen Entwickler helfen dabei.
die Richtung der weiteren Entwicklung.
Über sozial kompetente Leader erweitern
Single-Vendor-Firmen und Distributoren
auch ihren Kundenkreis.
Prominente Vertreter von Open-Source-
Projekten (und gleichzeitig auch der
Firma dahinter) stehen nicht selten im
Licht der Öffentlichkeit und verfügen
über einen guten Draht zu den Anwendern.
Ihr Wort zählt und wenn sie die
Enterprise-Produkte und deren Interoperabilität
mit der freien Variante loben,
erhalten sie meist viel Aufmerksamkeit.
Quasi Huckepack landen so Informationen
vom Hersteller mit gutem Leumund
direkt bei den Kunden, egal ob via Mailingliste,
Vortrag auf einer Konferenz oder
über die Medien.
Der Entwicklungsprozess
Sowohl Single-Vendor-Firmen als auch
Distributoren nutzen spezielle Entwicklungsprozesse,
um die Konkurrenz auszusperren.
Typischerweise findet viel Entwicklung
hinter verschlossen Türen statt,
sodass Wettbewerber nicht wissen, was
für neue Features demnächst kommen –
und so hoffentlich länger brauchen, um
ihre Codebasis dahingehend anzupassen.
Auch das Veröffentlichen von Snapshots
anstelle einer vollständigen History oder
verzögerte Sourcecode-Releases (erst
nach den Binaries) dienen dazu, sich einen
Zeitvorsprung vor Wettbewerbern zu
erarbeiten.
In vielen Fällen wünschen Firmen nicht,
dass die Konkurrenz einen Einblick in die
aktuelle Entwicklung erhält. Greg Kroah-
Hartman kritisiert beispielsweise in sei-
© Sam Aronov, 123RF.com
OSS-Projekte steuern 06/2011
Forum
www.linux-magazin.de
75

Forum
www.linux-magazin.de OSS-Projekte steuern 06/2011
76
Abbildung 5: Gemeinsam stärker: Eine Stiftung erweist sich häufig als die
richtige Partnerschaft für eine Firma, die mit Open-Source-Software Geld
verdienen will. Die Foundation hilft dabei nicht nur vor Gericht.
nem viel diskutierten Blogeintrag [12]
die Haltung der Entwickler von Hardwareherstellern,
die binäre Kerneltreiber
entwickeln, um Konkurrenten keine Firmengeheimnisse
preiszugeben. Wie viele
Stimmen aus der Community wirbt auch
Hartmann für das Linux Kernel Driver
Interface und Open-Source-Treiber. Doch
offener Code würde allzu viele Rückschlüsse
auf die Neuheiten der nächsten
Hardwaregeneration geben und so technischen
Vorsprung gefährden.
Aber Community-Open-Source-Projekte
lassen sich auch vollständig blockieren,
wenn eine Firma alle wichtigen Entwickler
anstellt und so verhindert, dass neues
Personal (Anwender, Entwickler, Committer)
in diesen Kreis vordringt. Bisher
hat sich solches Verhalten jedoch meist
als schädlich für das Projekt erwiesen,
außer wenn der Hersteller entscheidende
strategische Weichen richtig gestellt hat
(siehe unten). Auf jeden Fall ist das Einstellen
von Entwicklern aus Schlüsselpositionen
von Open-Source-Projekten
ein zentraler Faktor für Unternehmen,
die einen erfolgreichen und dauerhaften
Entwicklungsprozess etablieren wollen,
der zu den Firmenzielen passt.
Die richtigen Strategien
Mit den richtigen Strategien lässt sich die
Kundenbasis erweitern und gleichzeitig
der Wettbewerb verringern. Doch weil
Open-Source-Firmen mit der Community-
Edition kein Geld verdienen, bedarf es
einer anderen, erweiterten oder zusätzlichen
Einnahmequelle. Als Beispiel kann
da Actuate dienen, der
Hersteller des Report-
Designers BIRT [13].
Abseits des Eclipse-
Projekts verdankt die
Firma den Großteil ihrer
Einnahmen einem
kommerziellen Report-
Generator.
Auch ist es eine gute
Idee, Community-Open-
Source-Projekte unter
dem Dach einer etablierten
Stiftung zu gründen.
Die Stiftung steht
für Glaubwürdigkeit
und verleiht dem Projekt
öffentliches Ansehen.
Indem ein Closed-Source- oder Single-Vendor-Hersteller
zwei oder drei Erweiterungen
ebenfalls als freie Software
freigibt, kann er sich die Unterstützung
der Foundation sichern und diese als
Marketingkanal benutzen.
Wenn die Stiftung erlaubt, kann die Firma
auch das Projekt in Beschlag nehmen und
die Konkurrenz der Community aussperren.
Damit das funktioniert, bedarf es
aber der Herrschaft über das Projekt, was
wiederum durch das Einstellen aller oder
zumindest einer Mehrheit der Core-Developer
erfolgen kann. Derartiges Vorgehen
liegt natürlich nur selten im Interesse der
Foundation, die ihm normalerweise auch
entgegenwirken wird. Die Apache Foundation
beispielsweise erlaubt konkurrierende
Projekte ausdrücklich und erwartet
eine ausreichende Diversität unter den
Kernentwicklern.
Einer Stiftung beizutreten kann eine Softwarefirma
auch schützen, beispielsweise
in Gerichtsverfahren. Gehört das Projekt
zur Foundation, dann wird diese es und
die Hersteller dahinter auch gegen Klagen
und vergleichbare Angriffe schützen.
Nicht zu verachten ist dabei auch die
Wirkung in der Öffentlichkeit und das
schlechte Licht, das solche Aktionen auf
den Kläger werfen. Nicht selten schrecken
da Konkurrenten zurück, wo sie gegen
eine Firma hart vorgehen würden.
Fazit
© Dmitriy Shironosov, 123RF.com
Softwarehersteller, die über Open-Source-
Projekte Gewinne erzielen möchten, verfolgen
drei Ziele: Sie wollen Entwick-
lungskosten minimieren, mehr neue Kunden
anwerben und die Konkurrenz durch
freie Software verringern. Um dies zu erreichen,
nutzen sie eine ganze Reihe von
Einflussmöglichkeiten, teils mit rechtlichen
Mitteln durchsetzbar, teilweise aber
eher weiche soziale Steuermechanismen.
Sozial kompetente Führungspersonen,
Marken, Copyright und die richtigen Domains
spielen eine große Rolle, Patente
dagegen nicht.
n
Infos
[1] Mark Driver, „Key Issues for Open Source
Software 2010“: Gartner Research, 2010
[2] Jeffrey S. Hammond, „Open Source
Software Goes Mainstream“: Forrester
Research, 2009
[3] Dirk Riehle, Markus Feilner, „Fest vernetzt“:
Linux-Magazin 05/ 11, S. 78
[4] Das kommerzielle OSS-Modell:
[http:// dirkriehle.com/publications/2009/
the-commercial-open-source-businessmodel/]
[5] Jaspersoft: [http:// www. jaspersoft. com]
[6] Acquias Drupal Distribution:
[http:// acquia. com/ products-services/
acquia-drupal]
[7] Fred Andresen, „Recht einfach – Stiftungen“:
Linux-Magazin 05/ 11, S. 84
[8] Stiftungen und OSS: [http:// dirkriehle.
com/publications/2010/the-economiccase-for-open-source-foundations/]
[9] Die ökonomische Motivation: [http://
dirkriehle.com/computer-science/research/2007/computer-2007-article.html
[10] Hibernate: [http:// www. hibernate. org]
[11] Marten Mickos, „Open for Business“: Präsentation
bei der PARC am 8. April 2010
[12] Greg Kroah-Hartman, „The Linux Kernel
Driver Interface“: [http:// www. kroah.
com/ log/ linux/ stable_api_nonsense. html]
[13] BIRT: [http:// www. actuate. com],
[http:// www. eclipse.org/birt]
Der Autor
Dr. Dirk Riehle ist Professor
für Open Source Software an
der Friedrich-Alexander-Universität
Erlangen-Nürnberg.
Seine Interessen sind die
Open-Source-Software-Entwicklung
sowie agile Methoden, komplexe adaptive
Systeme, Computer-unterstütze menschliche
Zusammenarbeit und Software-Entwurf. Er bloggt
regelmäßig auf [http:// dirkriehle. com].

MAGAZIN
SondErAkTion
Testen Sie jetzt
3 Ausgaben
für 3 Euro!
JETZT
MiT dVd!
Jetzt schnell bestellen:
• Telefon 07131 / 2707 274
• Fax 07131 / 2707 78 601
• E-Mail: abo@linux-magazin.de
• Web:
www.linux-magazin.de/probeabo
Mit großem Gewinnspiel
(Infos unter: www.linux-magazin.de/probeabo)
GEwinnEn SiE... EinEn MulTiMEdiA-PlAyEr MiT doPPElTEM
dVB-T-TunEr Von wyPlAyEr iM wErT Von 300,- Euro (uVP)
Einsendeschluss ist der 15.06.2011

Forum
www.linux-magazin.de Rechts-Rat 06/2011
78
Dachzeile Leser fragen, der Linux-Magazin-Ratgeber antwortet
Überschrift
Recht einfach
Urheberrecht, Verträge, Lizenzen und so weiter: In der Serie „Rechts-Rat“ erhalten Linux-Magazin-Leser verständliche
Auskünfte zu Rechtsproblemen des Linux-Alltags. Fred Andresen
©BarbaraReddoch,123RF.com
Abbildung1:DergrenzüberschreitendeVersandvonWarenmitrichtiger
BesteuerungkanneinenervenaufreibendeSachesein.
In dieser Ausgabe geht’s um die Umsatzsteuer
in Auslandsgeschäften, GUI-Plagiate,
Facebook-Links, Widerrufsrechte im
Fernabsatz und den urheberrechtlichen
Erschöpfungsgrundsatz.
i Umsatzsteuerim
Internet-Vertrieb
Welche Umsatzsteuer fällt an, wenn man Softwaretools
und Programme wie auch Server- und
Wartungsdienste online in andere Länder vertreibt
oder von dort bezieht?
Hans-Werner P.
Das kommt zunächst darauf an, ob der
Empfänger selbst Unternehmer ist oder
ob es sich bei ihm um einen Verbraucher
handelt: Unternehmer ist, wer eine gewerbliche
oder berufliche Tätigkeit selbstständig
ausübt, Verbraucher sind alle anderen.
Das und Weiteres
regelt in Deutschland
das Umsatzsteuergesetz
[1]. Außerdem kommt es
darauf an, ob der Kunde
innerhalb der EU oder
außerhalb sitzt.
Im Umsatzsteuergesetz
ist auch definiert, dass
es sich beim Onlinevertrieb
von Software um
eine sonstige Leistung
handelt. Es kommt für
die umsatzsteuerliche
Behandlung auch darauf
an, ob es sich um eine
Lieferung handelt oder
sonstige Leistung (alles,
was nicht Lieferung ist).
Also – aus traditioneller
Sicht – ob Güter versandt
werden oder etwas
anderes passiert.
So genannte Katalogleistungen sind in
Paragraf 3a UStG aufgeführt, um klarzustellen,
dass diese Tätigkeiten unter die
Umsatzsteuerpflicht fallen, um aber auch
explizit zu regeln, welche Umsatzsteuer
dafür anfällt: Im grenzüberschreitenden
Wirtschaftsverkehr kommt es auf den Ort
an, an dem eine Lieferung oder sonstige
Leistung als ausgeführt gilt, um daran
festzumachen, wer wie viel Umsatzsteuer
bezahlen muss.
Der Grundsatz ist einfach: Die Umsatzsteuer
ist eine Konsum- oder Verbrauchssteuer,
die nur den Endverbraucher treffen
soll. Jeder Unternehmer, der Lieferungen
durchführt oder sonstige Leistungen erbringt,
für die Umsatzsteuer anfällt, muss
sich darum kümmern: Er muss die Steuer
auf den eigentlichen Preis der Ware oder
Dienstleistung (netto) ermitteln und
aufschlagen (dann brutto), die Gesamt-
summe einziehen und an die Finanzkasse
abführen. Bezahlen müssen sie zunächst
alle, doch Unternehmer dürfen die von
ihnen bezahlten Umsatzsteuerbeträge in
Abzug bringen.
Es wird also nur der Konsum besteuert,
aber faktisch fällt die Steuer beim Unternehmer
an. Weil die beiden Orte dafür
nicht notwendigerweise die gleichen
sind, kann es im grenzüberschreitenden
Verkehr Probleme geben: Landesspezifische
Steuersätze und unterschiedliche Finanzämter
erfordern exakte Regelungen
zu den Fragen, wofür wo, wann, welche
Steuer anfällt und wer diese einbehalten
und zahlen muss.
In den Mitgliedsstaaten der EU ist freier
Waren- und Dienstleistungsverkehr vereinbart,
das macht die Sache komplizierter:
Ohne echte Grenzen lässt sich der
Warenverkehr faktisch nicht mehr kontrollieren,
der (elektronische) Dienstleistungsverkehr
ohnehin nicht. Sollen sich
doch die Unternehmer darum kümmern
(Abbildung 1).
Der Grundsatz, dass Verbrauchssteuern
dort besteuert werden, wo etwas verbraucht
wird (Bestimmungslandprinzip),
ist damit schon durchbrochen. Weil den
Unternehmern außerdem nicht zuzumu-
Mailen Sie uns Ihre Fragen!
Im monatlichen Wechsel mit aktuellen Fachbeiträgen
lässt das Linux-Magazin in der Serie
„Rechts-Rat“ Leserfragen durch einen
Rechtsanwalt kompetent beantworten. Was
immer Sie beschäftigt oder ärgert oder was
Sie einfach nur wissen möchten: Schreiben
Sie eine entsprechende E-Mail an die Adresse
[rechtsrat@linux-magazin.de].
Die Themen dürfen von Software lizenzen bis
zum Hardwarekauf reichen. Die Redaktion
behält es sich vor, abgedruckte Zuschriften
zu kürzen und eventuell enthaltene persönliche
Daten zu ändern.

ten ist, für jeden privaten Kunden in jedem
EU-Mitgliedsstaat die jeweils unterschiedliche
Steuer auszurechnen und an
dessen zuständige Behörden abzuführen,
bietet sich an, in diesen Fällen den nationalen
Steuersatz anzuwenden und alles
ans eigene Finanzamt zu zahlen.
Nach Paragraf 3 UStG setzt die Lieferung
stets einen Gegenstand voraus, also eine
körperliche Sache. Damit kann alles, was
jemand auf elektronischem Wege verbreitet
oder durchführt, nur mehr eine
sonstige Leistung sein. Paragraf 3a UStG
regelt, wo der Umsatz anfällt (Leistungsort)
und damit auch, wer sich um die
Umsatzsteuer kümmern muss: Der erste
Absatz stellt den Grundsatz auf, dass
bei sonstigen Leistungen der Sitz beziehungsweise
die Betriebsstätte des Unternehmers
der Leistungsort sei.
Im zweiten Absatz steckt die erste und
wichtigste Ausnahme: Wird die Leistung
für einen (weiteren) Unternehmer
erbracht, gilt dessen Sitz oder Betriebsstätte
als Leistungsort. Von den folgenden
Ausnahmeregelungen sind im Internetverkehr
gerade die genannten Katalogleistungen
entscheidend.
Nach Paragraf 3a Absatz 4 UStG gelten
als so genannte Katalogleistungen die
Einräumung und Übertragung von Urheber-
und ähnlichen Rechten, die Datenverarbeitung,
die Vermietung beweglicher
körperlicher Gegenstände und auf
elektronischem Weg erbrachte sonstige
Leistungen. Für diese Katalogleistungen
gilt: Ist der Leistungsempfänger ein Privater,
gilt sein Standort als Leistungsort, bei
Unternehmern sowieso. Für die Katalogleistungskategorie
der auf elektronischem
Weg erbrachten sonstigen Leistungen gilt
zudem: Sitzt der Unternehmer in einem
Drittland, gilt der Ort des Empfängers als
Leistungsort.
Das führt zu folgender Situation: Für
einen deutschen Unternehmer unterliegen
alle reinen Inlandsgeschäfte sowie
die Geschäfte mit privaten EU-Kunden
dem normalen Umsatzsteuersatz, der
aufzuschlagen und abzuführen ist. Bei
Geschäften mit privaten Kunden außerhalb
der EU fallen alle genannten Geschäfte
unter die Katalogleistungen und
unterliegen daher nicht der hiesigen
Umsatzsteuerpflicht: Softwareverkauf
(urheberrechtlich relevante Geschäfte),
Serververmietung (beweglich trotz Rack-
Mount), (Auftrags-)Datenverarbeitung
oder auf elektronischem Wege erbrachte
sonstigen Leistungen. Hier müssen Sie
weder aufschlagen noch abführen. Allerdings
sind diese Geschäfte in einer so
genannten zusammenfassenden Meldung
dem zuständigen Finanzamt mitzuteilen,
so viel Kontrolle muss sein.
i Oberflächenvon
Softwareabkupfern
Ist es zulässig, die Oberflächen bestimmter kommerzieller
Anwendungsprogramme für eigene
Open-Source-Projekte nachzubauen oder in sehr
ähnlicher Form zu übernehmen?
Anja
Die Gestaltung grafischer Oberflächen
ist nach neuester Rechtsprechung des
Europäischen Gerichtshofs (EuGH, [2])
keine Ausdrucksform eines Computerprogramms,
mithin stellt sie keine eigenständige
Software dar. Diese Oberflächen
sind damit nicht vom urheberrechtlichen
Softwareschutz umfasst. Das ist im Hinblick
auf die typische MVC-Abstraktion
(Model-View-Controller) entscheidend,
da sich damit ein modularer Anteil quasi
frei nachprogrammieren lässt.
Diese Entscheidung konkretisiert die Auslegung
der EU-Richtline über den Rechtsschutz
von Computerprogrammen [3]
und wirkt sich unmittelbar auf die Anwendung
des deutschen Urheberrechts
aus. Der Gerichtshof will lediglich den
Quell- und Objektcode geschützt wissen
und deklariert die grafische Oberfläche
der Programme als „notwendige“ Bedienungshilfe.
Zwar sind grundsätzlich auch grafische
Oberflächen wie jede Art grafischer Gestaltung
dann schützenswert, wenn sie
eine bestimmte Schöpfungshöhe aufweisen,
also wenn sie individueller Ausdruck
und Ausfluss der persönlichen
Gestaltung
des „programmierenden
Grafikers“ sind.
Der Gerichtshof hat
aber klargestellt, dass
dies nicht anzunehmen
ist, wenn die Komponenten
und deren Anordnung
durch die
technische Funktion
bedingt seien. Nach Industriestandard
oder ähnlich sachlichneutrale
Oberflächen-Nachbauten sind
damit in der Regel unbedenklich.
i Dasmagich,andere
abernicht
Wir möchten zur Bewerbung unserer Produkte
auf unserer Homepage gerne Verknüpfungen
zu Social Networks nutzen. Bestehen rechtliche
Bedenken dagegen, den »Like«-Button in unsere
Seiten aufzunehmen?
Christoph P.
Aus datenschutzrechtlicher Sicht ist
das Einbinden solcher »Like«-Buttons
bedenklich, selbst wenn Sie als Seitenbetreiber
keine Daten für sich oder ihr
Unternehmen erheben. Es besteht die
begründete Befürchtung, dass der Betreiber
des Social Network über die Daten
Ihrer Website und der in seinem Nutzerbestand
angemeldeten Personen hinaus
auch Daten weiterer Personen erhebt,
die – mittelbar oder unmittelbar – aus
Ihrer Website hervorgehen, und diese
Daten zudem aus dem Schutzbereich
des deutschen Datenschutzgesetzes [4]
verschiebt.
Sie erheben damit Daten für Dritte, was
nach den deutschen Datenschutzbestimmungen
der Einwilligung bedarf, die
nicht ohne explizite und ausführliche
Belehrung darüber erfolgen darf. Doch
selbst wenn eine solche Einwilligung
über gesonderte Hinweistexte, Links oder
die Erweiterung der bereits vorhandenen
Datenschutzerklärungen wirksam wäre,
könnten sie gegenüber den Betroffenen
für deren Löschungs- und Auskunftsansprüche
verantwortlich sein.
Wenn Sie derartige Ansprüche der Betroffenen
im Fall des Falles nicht gegenüber
dem Betreiber des Social Network (Abbildung
2) durchsetzen können, haften Sie
Abbildung2:FacebookistwegendermöglichenDatensammlungdes
Betreibersjuristischumstritten.
Rechts-Rat 06/2011
Forum
www.linux-magazin.de
79

Forum
www.linux-magazin.de Rechts-Rat 06/2011
80
eventuell als „Veranlasser“; gleichzeitig
drohen Buß- und Ordnungsgelder in erheblicher
Höhe nach den Bestimmungen
unter anderem des Telemediengesetzes
(TMG, [4]).
i Softwarevermieten
undzurückkaufen
Die Weiterverkauf von Software auf Originaldatenträgern
ist zulässig. Darf ich auf diese Weise
auch Software vermieten? Denn wenn keine lokalen
Kopien bestehen, kann sonst niemand die
Software nutzen und das Ergebnis ist das gleiche.
Und wenn das nicht gestattet ist, könnte
man die Software verkaufen und dann wieder
zurückkaufen!
Tom L.
Das Recht zur Weiterveräußerung von
Software folgt aus dem urheberrechtlichen
Erschöpfungsgrundsatz: Der besagt,
dass sich das Verbreitungsrecht des Urhebers
an einem konkreten Werkstück
mit dem Inverkehrbringen erschöpft.
Das ansonsten ausschließlich dem Urheber
zustehende Recht, zu bestimmen,
ob und wie sein Werk verbreitet, also
weitergegeben werden darf, erstreckt
sich damit nicht mehr auf dieses eine
konkrete Werkstück. Daher gilt der Erschöpfungsgrundsatz
nur für Originaldatenträger.
Das „Inverkehrbringen“ ist
nichts anderes, als der erstmalige Verkauf
dieses Datenträgers.
In letzter Zeit war es wieder sehr umstritten,
ob man den Erschöpfungsgrundsatz
auch auf nicht körperliche „Vervielfältigungsstücke“,
also etwa Downloads erstrecken
kann oder soll: Derzeit beschäftigt
sich der Europäische Gerichtshof mit
Abbildung3:BeimHandelmitgebrauchterWareisteinWertverlustdurch
dieIngebrauchnahmeschwerzuermitteln.
dieser Frage. Für die Vermietung gilt jedenfalls
nach dem Urheberrechtsgesetz
ein Ausschluss: Das Verbreitungsrecht,
das sich erschöpft, umfasst nicht das Vermietrecht
[5].
Wenn nun ein findiger Kopf meint, dieses
Verbot dadurch umgehen zu können,
dass er die Originaldatenträger verkauft
und wieder zurückkauft – womöglich
noch gleich zusammen in einem einzigen
Vertrag vereinbart –, ist Vorsicht angebracht:
Dergleichen gilt üblicherweise als
reines Umgehungsgeschäft und lässt sich
im Falle eines Rechsstreits sehr leicht entdecken
– mit den negativen Folgen einer
erkannten Urheberrechtsverletzung.
i Rücknahmeund
Wertersatz
Ich möchte gebrauchte Notebooks mit vorinstalliertem
Linux über einen Webshop und auf einer
Internet-Auktionsplattform anbieten. Nun ist es
aber so, dass private Käufer ohne Grund die Waren
zurücksenden können und ich den Kaufpreis
zurückerstatten müsste. Andererseits heißt es,
dass ich einen Wertersatz für den Gebrauch abziehen
könnte. Wie hoch ist so ein Betrag? Gibt
es dafür irgendwelche Listen?
Tobias M.
Ich fürchte, die geplante Zurückbehaltung
oder Aufrechnung ist in diesen
Fällen nicht rechtmäßig: Grundsätzlich
muss der Käufer, der sein Widerrufsrecht
ausübt, für die Wertverschlechterung einer
Sache einstehen, die durch deren Ingebrauchnahme
entsteht. Hiervon gibt es
aber einige Ausnahmen und auch die Berechnung
dieses Wertverlustes wäre bei
dem geplanten Geschäft mit gebrauchter
Ware wohl ohnehin
schwierig.
Einerseits besteht ein
gesetzlich normierter
Ausschluss des Widerrufsrechts
bei entsiegelter
Software – was
in Ihrem Fall bereits
deswegen unerheblich
wäre, weil das Betriebssystem
und die Anwendungsprogramme
auf
Festplatte vorinstalliert
sind. Das würde in diesem
Fall jedoch auch
wirtschaftlich ins Leere
©cxflyer,photocase.com
laufen, da Sie für die Linux-Systeme ja
ohnehin keine Lizenzgebühren verlangen
könnten, sondern nach den Bestimmungen
der GPL allenfalls eine Gebühr für
das Anfertigen der Kopie. Diese fiele aber
im Falle der Rückgabe kaum unter einen
Wertverlust.
Darüber hinaus ist auch der Wertverlust
nicht zu ersetzen, der durch die Prüfung
der Ware entsteht: Selbst bei einem
fabrikneuen Notebook wäre der Käufer
daher berechtigt, das Gerät in Betrieb zu
nehmen, um die Funktionsfähigkeit zu
überprüfen – ohne den dadurch eintretenden
Wertverlust ersetzen zu müssen.
Gerade dieses Inbetriebnehmen macht
aber aus einem fabrikneuen Notebook
ein gebrauchtes und bewirkt damit erst
den in diesem Fall erheblichen Wertverlust
(Abbildung 3).
Bei Ihrem Geschäftsmodell handelt es
sich um gebrauchte Ware, bei der ein
Wertverlust durch eine erneute Ingebrauchnahme
noch schwerer zu ermitteln
ist, allerdings auch wesentlich geringer
ausfällt. So gesehen gibt es zwar
keine Möglichkeit, eine Wertminderung
bei der Rückerstattung in Abzug zu
bringen, allerdings müssen Sie keine solche
befürchten – jedenfalls keine wirklich
messbare.
Zu beachten sind dabei allerdings auch
die gesetzlichen Gewährleistungsbestimmungen:
Während Verbraucher bei der
privaten Veräußerung von Waren die
gesetzliche Gewährleistung von zwei
Jahren ausschließen dürfen, können gewerblicher
Händler selbst bei Gebrauchtwaren,
die sie an Verbraucher verkaufen,
lediglich auf zwölf Monate verkürzen.
Die Verkürzung muss dann aber auch
explizit geschehen. (uba)
n
Infos
[1] Umsatzsteuergesetz: [http://bundesrecht.
juris.de/ustg_1980/ index.html]
[2] Homepage des Europäischen Gerichtshofs:
[http://curia. europa.eu/jcms/jcms/j_6/]
[3] Bundesdatenschutzgesetz (BDSG):
[http://www. gesetze-im-internet.de/
bundesrecht/ bdsg_1990/index. html]
[4] Paragraf 16 Telemediengesetz:
[http://www. gesetze-im-internet.de/
bundesrecht/ tmg/ index.html]
[5] Paragraf 69c Ziff. 3 UrhG: [http://www.
gesetze.juris. de/ urhg/index.html]

Linux-Magazin
ACADEMY
... wir qualifizieren Ihre Mitarbeiter!
IT Trainings Online
Linux und Open Source
Nutzen Sie die Vorteile
der Linux-Magazin Academy!
✓
✓
✓
✓
✓
Kompetent: Unsere Dozenten sind ausge wiesene
Profis mit lang jähriger Schulungserfahrung.
Flexibel: Der Schulungsteilnehmer lernt, wann,
wo und sooft er möchte.
Kosteneffizient: Nutzen Sie Einsparungen
gegenüber Vor-Ort-Schulungen.
Übersichtlich: Die komfortable Web- Oberfläche
zeigt gleich zeitig den Trainer und dessen
Arbeitsfläche
Individuell: Jeder Teilnehmer folgt seinem eigenen
Lerntempo.
Trainingspakete:
Monitoring mit Nagios
• WordPress 3.0
www.lpi.org
LPIC-1- / LPIC-2-Training
IT-Sicherheit Grundlagentraining
OpenOffice – Arbeiten mit Vorlagen
Was Teilnehmer über die
Linux-Magazin Academy sagen:
„Mit den Videos haben Sie ins Schwarze
getroffen. Es gibt nichts Vergleichbares.“
„Eine hervorragende Anleitung zum
praktischen Arbeiten“
Testen Sie unsere Demovideos:
academy.linux-magazin.de/demo
Präsentiert von:
www.linux-magazin.de
www.linuxhotel.de
Weitere Infos: academy.linux-magazin.de

Forum
www.linux-magazin.de Bücher 06/2011
82
Bücher über die Programmiersprache Haskell
Tux​liest
Passend zum Haskell-Artikel in dieser Ausgabe bespricht das Linux-Magazin zwei Bücher über die funktionale
Programmiersprache. Das erste ist auf Deutsch erschienen und kommt als Intensivkurs schnell zur Sache, das
zweite ist englischsprachig und besticht durch seine Originalität. Rainer Grimm
Das Buch „Haskell Intensivkurs“ von
Marco Block und Adrian Neumann wird
seinem Namen voll gerecht: Die Autoren
bieten eine kompakte Einführung in Haskell
auf knapp 300 Seiten.
Flottes Haskell-Abc
Info
Marco Block,
Adrian Neumann
Haskell Intensivkurs
Springer 2011
300 Seiten
30 Euro
ISBN: 978-3-642-04717-6
gorithmen auf die bekannten Verfahren
wie Bubblesort, Quicksort und Mergesort
ein, um nur einige zu nennen.
Bei der Lektüre des Buchs muss der Leser
das eine oder andere Mal Hintergrundinformationen
nachschlagen, darüber hinaus
dienen Übungsbeispiele zum Selbststudium.
Block und Neumann bieten alle
Listings unter [http://​page.​mi.​fu‐berlin.​
​de/​block/​publications.​html] an.
„Haskell Intensivkurs“ ist ein besonderes
Buch. Es gelingt den Autoren, den vor
allem an der Problemlösung orientierten
Programmierer für das Nachdenken über
das Programm zu gewinnen. Wer den
etwas anderen Einstieg in die Informatik
sucht, der findet in diesem Buch eine
Lektüre, die Appetit auf mehr macht.
Erfrischende Alternative
Das Buch „Learn You a Haskell for Great
Good!“ von Miran Lipovaca ist ein alternatives,
englischsprachiges Einsteigerbuch
in Haskell. Auf gut 400 Seiten stellt
der Autor anhand vieler beeindruckender
Beispiele die Mächtigkeit der funktionalen
Programmiersprache vor.
Lipovacas erfrischender Schreibstil und
seine vielen, witzigen Grafiken machen
Lust aufs Haskell-Lernen. Es gelingt dem
Autor, nicht nur die grundlegenden Konzepte
von Haskell und der funktionalen
Programmierung leicht verständlich zu
vermitteln, sondern auch die deutlich
anspruchsvolleren.
Haskells Syntax, Rekursion als Strukturelement
funktionaler Programmierung,
Funktionen höherer Ordnung fürs Schreiben
von kompaktem Code, Module zur
Organisation des Sourcecode, Typklassen
und eigene Typen oder auch der Umgang
mit der Kommandozeile und Dateien –
Gut 100 Seiten des Bandes widmen sich
den Grundlagen von Haskell, der Rest
beschäftigt sich mit fortgeschrittenen
Themen der Informatik. Ein mutiges
Unterfangen, das gelungen ist. Einfache
Datentypen und Datenstrukturen, Funktionen,
Operatoren, Rekursion, Funktionen
höherer Ordnung, eigene Datentypen,
Typklassen und letztlich Module und
Schnittstellen – der erste Teil stellt das
Haskell-Abc im Stakkato-Takt vor.
Auf die Pflicht folgt die Kür in Form der
fortgeschrittenen Konzepte von Haskell.
Hier finden sich Implementierungen der
klassischen Datenstrukturen wie Listen,
Warteschlangen, Bäume und Graphen in
Haskell. Aber auch theoretische Themen
wie die Laufzeitanalyse von Algorithmen,
das Verifizieren von Programmen, die
Berechenbarkeit und der Lambda-Kalkül
finden im zweiten Teil neben den Monaden
ihren Platz.
Block und Neumann präsentieren diese
Themen anschaulich. Beispielsweise gehen
sie bei ihrer Laufzeitanalyse von Aldas
sind die Konzepte, die das Buch auf
den ersten gut 200 Seiten vorstellt.
Auf die Suche in der Breite folgt die in
der Tiefe: Der Autor führt Monaden über
applikative Funktoren und Monoiden ein.
Das klingt komplizierter, als es ist, denn
dieser Ansatz macht Haskells Monaden
deutlich leichter verdaulich.
Neben den bekannten Monaden »Maybe«
und »Either« für die Fehlerbehandlung,
den Monaden »Reader« für das Lesen
der Umgebung beziehungsweise »Writer«
zum Loggen von Aktionen und »State« für
die zustandsbehaftete Ausführung eines
Haskell-Programms entwickelt Lipovaca
die Zipper-»Monade«, die eine direkte
Manipulation von Datenstrukturen adressiert.
Spätestens bei seiner Vorstellung
der List Comprehension ist dem Leser
klar, dass der Umgang mit Monaden in
Haskell sehr intuitiv sein kann
Das Werk ist schon länger online unter
[http://​learnyouahaskell.​com] verfügbar.
Leider liegt die Druckversion nur
schwarz-weiß vor, das E-Book ist farbig.
„Learn You a Haskell for Great Good!“ ist
ein absolut erfrischendes Einsteigerbuch
in Haskell, das aber durchaus auch für
den erfahrenen Haskell-Programmierer
einen großen Reiz besitzt. Seine mutige
Andersartigkeit zeichnet es aus. Besser
kann man nicht für die Programmiersprache
Haskell werben. (mhu) n
Info
Miran Lipovaca
Learn You a Haskell for
Great Good!
No Starch Press 2011
400 Seiten
36 Euro
ISBN 978-1-59327-283-8

Auf den Punkt gebracht
Leserbriefe
Leserbriefe 06/2011
Forum
Haben Sie Anregungen, Statements oder Kommentare? Dann schreiben Sie an [redaktion@linux-­magazin.­de].
Die Redaktion behält es sich vor, die Zuschriften und Leserbriefe zu kürzen. Sie veröffentlicht alle Beiträge mit
Namen, sofern der Autor nicht ausdrücklich Anonymität wünscht.
www.linux-magazin.de
83
Paket-Déjà-vu
12/ 2008, S. 102: Ich hatte neulich ein
Déjà-vu-Erlebnis in Bezug auf Tobias Eggendorfers
Artikel „Wie DHL Kundendaten
preisgibt“: Ich bekam von DPD eine
Sendung zugestellt. Eigentlich sollte die
aus zwei Teilen bestehen, es kam aber
nur ein Paket an. Die Paketschein-Nummer
für das gelieferte Paket hatte ich.
Damit rief ich dann beim DPD-Service an
und wollte wissen, wo denn der zweite
Teil der Lieferung steckt. Dort sagte man
mir, dass bei zusammengehörigen mehrteiligen
Lieferungen jedes Paket seinen
eigenen Paketschein hat.
Aus Neugier habe ich einfach meine Paketscheinnummer
um eins hochgezählt
und in die Sendungsverfolgung eingetragen
– und ich erhielt alle Informationen
über das noch fehlende Paket. Dann habe
ich noch mal um eins weitergezählt –
auch das war eine gültige Paketscheinnummer.
So erfährt man immer noch die
Route des Pakets, die Ziel-Postleitzahl,
den Nachnamen der annehmenden Person
und die Uhrzeit der Auslieferung.
Volkmar Glauche, per E-Mail
Interessant. Ich möchte Ihnen dazu den
Artikel unter [http://­w w w.­linux-magazin.­
­de/­Heft-Abo/­Ausgaben/­2010/­01/­Angriff­
-auf-Pakete] ans Herz legen, in dem wir
die von Ihnen beschriebene Problematik
bei DPD (und UPS) bereits untersucht
haben. Das Problem der Enumeration besteht
offenbar immer noch. (mg)
Open Office kanns
05/ 2011, S. 102: Ich finde Mike Schillis
Artikel „Gute Etikette“ aus der Sicht des
Perl-Coders recht informativ. In diesem
Fall aber ist das Anwendungsbeispiel
doch etwas ungünstig gewählt: Open Office
bietet seit Jahren auf komfortable
Weise alles, was man zur Generierung
von Serienetiketten aus diversen Datenbanken
(JDBC) und -quellen braucht.
Durch die Kombination von MySQL-
Datenbankadapter oder CSV mit Calc,
Seriendruckfunktion und Etikettenvorlagen
ist diese Aufgabenstellung meiner
Meinung nach schneller und komfortabler
lösbar. Das Schreiben oder Anpassen
eines Skripts dürfte auch bei den meisten
Perl-Profis länger dauern.
Ich beispielsweise habe mich bei einer
ähnlichen Aufgabenstellung schließlich
doch für den Office-Weg entschieden,
obwohl der Kunde ein Perl- oder Python-
Skript vorschlug. In kurzer Zeit (zwei
Stunden hatte ich bis zum fertigen PDF)
erzeugte ich mit Open Office rund 8000
individuelle Guthabentickets für einen
Wireless-ISP – mit Logo und beidseitig
bedruckt –, die als PDF auf A4-Seiten
passten. Als Datenquelle diente mir die
zur Radius-Authentifizierung verwendete
MySQL-Datenbank des Kunden.
Niels Dettenbach, per E-Mail
Apple vs. Duden
Es fällt mir auf, dass Sie Apple-Produkte
konsequent falsch schreiben. Die Dinger
heißen iPhone, iPod und iPad, nicht I-
Phone, I-Pad und I-Pod.
Ulf Klose, per E-Mail
Das Linux-Magazin schreibt schon länger
Produktbezeichnungen nicht zwangsweise
so, wie das Marketing des Herstellers es
gerne hätte – denken Sie an Dinge wie E-
Directory oder Z-Series. Der Hintergrund:
Als Zeitschrift bemühen wir uns, Dudenkonform
zu schreiben. Beispiel I-Phone:
Substantive, dazu zählt die Bezeichnung
eines Mobiltelefons, beginnen laut Duden
stets mit einem Großbuchstaben. Um den
Charakter der ursprünglichen Schreibweise
nicht völlig aufzuheben, versuchen
wir eine Transformation der Marketinginduzierten
Apple-Schreibweise ins
Schriftdeutsche. Dazu trennen wir zuerst
das „I“ ab zu I Phone. Weil das aber typografisch
auseinanderdriftet und schnell
als „1 Phone“ missdeutet wird, koppeln
wir es wieder an zu I-Phone. (jk) n
Früher 49,90
1 €!
Linux- und IT-Bücher zu Sonderpreisen
PortableGUIProgrammierungunterLinux/Unix/Windows
Mehr als 350 Beispielprogramme veranschaulichen das Zusammenspiel der einzelnen Klassen und
MethodenundzeigentypischeKonstrukteoderProgrammiertechniken.
Das umfangreiche Buch ist jetzt bei terrashop.de in einer Sonderaktion zum absoluten
Schnäppchenpreislieferbar.NursolangederVorratreicht!
Millin, 811 Seiten
Best.-Nr.: 8999012
Ladenpreis aufgehoben
Früher 49,90
1,00
Jetzt bei
Das Buch zum Schnäppchenpreis - So geht´s
Gehen Sie auf:
www.terrashop.de/gutschein
Dort Code* eingeben - fertig!
Gutscheincode:
linux1106
*Gutschein gültig bis 01.06.11 bzw. solange Vorrat reicht. Zzgl. 3,95€ Versand.

PRAXISORIENTIERTE ARTIKEL,
WORKSHOPS UND TESTS
AlS MAGAzIN
FÜR DIE PRAxIS
präsentiert LinuxUser die Inhalte
weitgehend in Form lösungsorientierter
Artikel mit Workshop-
Charakter. Darüber hinaus
liefern Software-Rezensionen,
Hardware-Tests und Grundlagenbeiträge
aktuelle Produktinformationen
und Basiswissen zu den
technischen Hintergründen.
WIE OFT?
LinuxUser erscheint
12x im Jahr
WAS IST DABEI?
LinuxUser gibt es als DVD-Edition sowie
als preisgünstige No-Media-Ausgabe.
Auf je 108 Seiten Umfang besprechen
beide Heftvarianten aktuelle Soft- und
Hardware für Linux-PCs.
WAS KOSTET DAS?
Jahresabo ohne DVD
in Deutschland: 56,10 Euro
Jahresabo DVD-Version in
Deutschland: 86,70 Euro
KÜNDIGUNGSFRIST?
Wir sind fair zu unseren Kunden - Sie
können selbst entscheiden, wie lange Sie
LinuxUser beziehen möchten. Es gibt keine
Kündigungsfrist, Sie können die Zustel-
lung jederzeit beenden. Geld für bereits
bezahlte, aber noch nicht gelieferte
Ausgaben erhalten
Sie zurück!
Abovorteile
Preisvorteil gegenüber Kioskkauf
kostenlose & sichere Zustellung
Zustellung vor dem offiziellen
Verkaufstermin

JetZt teSteN!
Geld SpAreN!
SIE SPAREN 22,50€ GEGENüBER
DEM EINZELKAUF
TESTEN SIE
3 Ausgaben
liNUxUSer
FÜr NUr
3 w
OHNE RISIKO TESTEN!
Testen Sie uns sorgenfrei drei Monate lang. Nur wenn Sie 14 Tage nach Eintreffen der dritten
Ausgabe nichts von sich hören lassen, erhalten Sie LinuxUser weiter jeden Monat frei Haus
zum Vorzugspreis von € 7,23 statt € 8,50 im Einzelverkauf.
lesen Sie linuxuser im Miniabo und Sie nehmen
automatisch an unserem Gewinnspiel teil:
Gewinnen Sie...
einen MultiMedia-player Mit doppelteM
dVB-t-tuner Von wyplayer iM wert
Von 300,- euro (uVp)
(Nur bis 15.06.2011)
iHre beStellMÖGliCHKeiteN
Shop: www.linux-user.de/abo Telefon: (07131) 2707 274
Fax: (07131) 2707 78 601
E-Mail: abo@linux-user.de
Weitere Infos rund um LinuxUser finden Sie unter www.linuxuser.de

Know-how
www.linux-magazin.de Kern-Technik 06/2011
86
Kernel- und Treiberprogrammierung mit dem Kernel 2.6 – Folge 57
Kern-Technik
Texte mit AES verschlüsseln, Daten komprimieren oder Hashsummen mit MD5 berechnen: Mit dem Crypto-API
des Linux-Kernels und etwas Know-how kein Problem! Jürgen Quade, Eva-Katharina Kunst
Die umfassende Internetnutzung und
das Bedürfnis nach Sicherheit sorgen für
stärkere Verbreitung der Kryptographie.
Hardwarehersteller bauen aus diesem
Grund seit einigen Jahren entsprechende
Erweiterungen in die hauseigenen Chips
ein, beispielsweise VIA mit Padlock [1]
oder Intel mit dem AES-NI-Befehlssatz
[2]. Linux wiederum stellt dem Programmierer
mit dem Crypto-API Kryptographie-Routinen
zur Verfügung,
die entweder rein in
Software oder aber Hardwareunterstützt
ablaufen. Ziel der
Kernelentwickler ist es, dies
für den Entwickler transparent
zu halten.
Das Crypto-API ist nicht nur
für Verschlüsselung zuständig,
sondern auch für das Bilden
von Hash- und Checksummen,
für Kompression oder
die Generierung von Zufallszahlen.
Durch den modularen
Aufbau des Crypto-Layers
lassen sich auf der unteren
Seite die unterschiedlichsten
Algorithmen andocken (siehe
Tabelle 1), die sich auf der
oberen Seite von verschiedenen Subsystemen
wie beispielsweise der Festplattenverschlüsselung
(DM-Crypt) oder der
geschützten VPN-Kommunikation (IPsec)
nutzen lassen (siehe Abbildung 1).
Transform-Objekte
Basis des Crypto-API im Kernel sind die
Transform-Objekte. Für die Bildung von
Hashsummen sowie Kompressions- und
Verschlüsselungsverfahren gibt es jeweils
eigene Objekte. Wenn es um Verschlüsselung
geht, hat der Entwickler sogar die
Auswahl zwischen vier unterschiedlichen
Transforms: Cipher, Blockcipher, Asynchronous
Blockcipher und AEAD (Authenticated
Encryption with Associated
Data). Diese unterscheiden sich bezüglich
der Angabe von Quell- und Zielspeicherbereichen
und der Funktionalität.
Verstreute Daten
Block-orientierte Transform-Objekte,
wozu neben Blockcipher, Asynchronous
Blockcipher und AEAD auch Hashsummen
gehören, spezifizieren Quelle und
Ziel der Operationen auf Basis von Scatter-Gather-Listen
(siehe Kasten „Scatter-Gather-Listen“).
Stream-orientierte
Transforms (Cipher, Compress) verwenden
direkt virtuelle Adressen.
Generell arbeiten die Algorithmen synchron,
mit dem »ablkcipher«-Transform
ist auch eine asynchrone Ver- und Entschlüsselung
möglich: Der Crypto-Layer
übernimmt Aufträge und übergibt das
Ergebnis später per Callback-Funktion
Scatter- Gather-Listen
Scatter-​Gather-Listen​ tauchen​ im​ Kernel​ immer​dann​auf,​wenn​größere​Mengen​an​Daten​
zu​ transferieren​ sind.​ Größere​ Datenmengen​
–​also​typischerweise​mehr​Daten,​als​in​eine​
so​genannte​Page​(4096​Byte)​passen​–​verteilen​sich​nämlich​im​Hauptspeicher​häufig​über​
verschiedene​physische​Adressen.
Scatter-Gather-Listen​fassen​diese​physischen​
Adressen​in​einer​Datenstruktur​zusammen,​sodass​die​Transferfunktionen​–​etwa​das​Schreiben​der​Daten​auf​die​Festplatte​–​in​einem​Zug​
alle​ notwendigen​ Informationen​ besitzen​ und​
den​ Transfer​ auch​ per​ DMA​ durchführen​ können.​
Eigentlich​ wäre​ Scatter-Gather-Feld​ die​
korrekte​Bezeichnung,​denn​die​grundlegende​
Datenstruktur​ ist​ ein​ Array​ vom​ Typ​ »struct​
scatterlist«.​Jedes​Element​eines​solchen​Felds​
repräsentiert​ ein​ zusammenhängendes​ Fragment​im​Speicher,​das​durch​eine​Page-Adresse,​
den​Startoffset​innerhalb​der​Speicherseite​sowie​
die​ Länge​ der​ dort​ abgelegten​ Daten​ (in​
Bytes)​gekennzeichnet​ist.
Ein​ derartiges​ Feld​ kann​ der​ Programmierer​
entweder​dynamisch​während​der​Laufzeit​allozieren​
und​ initialisieren​ oder​ dies​ statisch​
durch​den​Compiler​erledigen​lassen.​Im​letzteren​
Fall​ muss​ der​ Code​ zur​ Initialisierung​
»sg_init_table()«​ aufrufen.​ Um​ die​ einzelnen​
Feldelemente​ zu​ belegen,​ kommt​ entweder​
»sg_set_buf()«​oder​»sg_set_page()«​zum​Aufruf​–​je​nachdem,​ob​die​Adresse​der​Daten​als​
virtuelle​oder​als​Page-Adresse​vorliegt.​Wurde​
das​Scatter-Gather-Feld​per​»sg_alloc_table()«​
angelegt,​ gibt​ es​ »sg_free_table()«​ nach​ Gebrauch​wieder​frei.
Neben​den​in​Tabelle​2​aufgeführten​Funktionen​
gibt​ es​ noch​ eine​ Reihe​ weiterer,​ die​ insbe-
sondere​die​Abarbeitung​einer​Scatter-Gather-
Liste​vereinfachen.

dem Auftraggeber. Das AEAD-Transform
schließlich kombiniert Verschlüsselung
und Hashing, wie es bei IPsec benötigt
wird. Vor der Nutzung einer Kryptofunktion
im Kernel steht das Anlegen eines
geeigneten Transform-Objekts. Dabei ist
gleichzeitig der gewünschte Algorithmus
anzugeben, beispielsweise »md5«. Vereinfacht
ausgedrückt ist hiernach die gewünschte
Kryptofunktion mit Übergabe
der Quell- und Zielspeicheradressen aufzurufen.
Dass sich der Programmierer im Detail
jedoch noch mit Scatter-Gather-Listen,
einem Descriptor-Objekt und so etwas
wie »digestsize« herumschlagen muss,
verdeutlicht dieser Artikel an den Beispielen
MD5-Hashsummenbildung und
AES-Verschlüsselung.
Hash berechnen
Mit »digestsize« dimensioniert der Entwickler
die Größe des Speicherbereichs,
der das Ergebnis der Hashsummenbildung
aufnimmt, den Hashwert. Dieser ist
– abhängig vom gewählten Hashalgorithmus
– unterschiedlich groß und lässt sich
über die Inline-Funktion »crypto_hash_
digestsize()« abfragen. Das erwähnte
Descriptor-Objekt dient als Container für
die verschiedenen Kryptofunktionen. Der
Programmierer initialisiert es mit der Adresse
des Transform-Objekts.
Die Scatter-Gather-Listen schließlich enthalten
die Adressen der Speicherbereiche.
Sie bilden den aus Sicht einer Applikation
zusammenhängenden Speicherbereich
Tabelle 1: Unterstützte Krypto-
Algorithmen
DM-Crypt IPsec
...
Hash-Transform
Compress-Transform
Festplattenverschlüsselung
Verschlüsselte Kommunikation
»/usr/src/linux/crypto/api.c«
Crypto-API
»/usr/src/linux/crypto/algapi.c«
Asynchronous-Blockcipher-Transform
AEAD-Transform
AES 3DES MD5 Zlib ...
Verschlüsselung
Kompression
Hashsummen
Sonstiges (Zufallszahlen)
auf die physischen, realen Speicherorte
ab, also die meist verstreut liegenden zugehörigen
Pages.
Listing 1 zeigt die Bildung der MD5-
Summe des kurzen Datensatzes „Linux-
Magazin“ im Kernel. Zeile 27 reserviert
das Transform-Objekt unter Angabe des
gewünschten Hashsummen-Algorithmus
(»md5«), Zeile 33 initialisiert das
Descriptor-Objekt mit der Adresse des
Transform. Die Vorbereitung der Scatter-
Gather-Listen ist in den Zeilen 24 und 25
zu sehen, und schließlich wird in Zeile 36
der Hashwert gebildet.
Dass dieser korrekt ist, lässt sich leicht –
wie in Abbildung 2 dargestellt – überprüfen,
indem man den Hashwert mit dem
»md5sum«-Kommando erzeugt und mit
der Ausgabe des Kernels im Syslog vergleicht.
Der negative Rückgabewert (Zeile
49) signalisiert dem Kernel übrigens, dass
er das Modul direkt wieder entladen soll.
Das erspart beim Testen das ansonsten
notwendige manuelle Entladen.
Verschlüsseln
Cipher-Transform
Blockcipher-Transform
Abbildung 1: Der Crypto-Layer des Linux-Kernels abstrahiert Verschlüsselungsalgorithmen.
Daneben bietet das Crypto-API des Kernels
auch Verfahren zur Verschlüsselung
an. Hier ist ein kleiner Ausflug in die
Kryptographie [3] angebracht: Bei der
Verschlüsselung wird eine Klartextnachricht
mit Hilfe von Verschlüsselungsalgorithmen
– so genannte Cipher – und unter
Zuhilfenahme eines geheimen Schlüssels
in den Ciphertext gewandelt. Unter der
Voraussetzung, dass sowohl Algorithmus
als auch der eingesetzte Schlüssel als
Kern-Technik 06/2011
Know-how
www.linux-magazin.de
87
Funktion
Hashsummen
Cipher
Kompression
Sonstiges
Algorithmen
md4,​md5,​michael.mic,​
ripemd-128,​ripemd-160,​
ripemd-256,​ripemd-320,​
sha1,​sha256,​sha512,​tiger,​
vmac,​whirlpool
3des,​aead,​aes,​anubis,​
arc4,​blowfish,​camellia,​
cast5,​cast6,​des,​fcrypt,​
khazad,​salsa20,​seed,​serpent,​tea,​xtea,​xeta,​twofish
deflate,​lzo,​zlib
ansi_cprng​(Pseudo​Random​
Nummer​Generator),​kernel​
random​number​generator,​
random​number​generator,​
crc32c​(Checksummen)
Abbildung 2: Die Gegenprobe mit »md5sum« beweist: Der Code aus Listing 1 – zum Kernelmodul »lm.ko«
kompiliert – berechnet beim Laden den MD5-Hashwert.

Know-how
www.linux-magazin.de Kern-Technik 06/2011
88
Electronix Code Book mode (unsicher)
Key
EBC(AES)
Klartext
Ciphertext
Abbildung 3a: Das Verfahren Electronic Code Book
Mode (EBC) gilt als nur beschränkt sicher.
sicher gelten, kann nur derjenige den
Cipher text zurückwandeln (entschlüsseln)
und interpretieren, der im Besitz
des passenden Schlüssels ist.
Prinzipiell sind zwei Arten der Verschlüsselung
zu unterscheiden: die
symmetrische Verschlüsselung von der
asymmetrischen. Die asymmetrische (Public-Key-Verfahren)
setzt zur Ver- und
Entschlüsselung unterschiedliche Schlüssel
ein. Vorteil: Eine Verschlüsselung ist
gezielt für einen dedizierten Empfänger
beziehungsweise Empfängerkreis möglich.
Die symmetrische Verschlüsselung
demgegenüber setzt für beide Vorgänge
denselben Key ein.
Die sichere Übergabe des geheimen
Schlüssels und der Umstand, dass mehrere
Personen oder Systeme den (geheimen)
Schlüssel kennen, ist aus Sicht der
Cipher Block Chaining (sicher, aber nicht parallelisierbar)
Key
CBC(AES)
Klartext
Ciphertext
Abbildung 3b: Verkettung: Cipher Block Chaining (CBC) ist sicher,
aber nicht für Multicore-Computer geeignet.
Kryptographen bedenklich und erfordert
besondere Sicherungsmaßnahmen. Andererseits
ermöglichen symmetrische
Verfahren aber eine sehr schnelle Kodierung
und Dekodierung.
Die Cipher selbst lassen sich nach ihrer
internen Arbeitsweise unterscheiden:
Streamcipher verschlüsseln Nachrichten
beliebiger Länge und typischerweise Zeichen
für Zeichen, während Blockcipher
Nachrichten blockweise verarbeiten.
Nachrichten, die nicht dem Vielfachen
einer Blöckgröße entsprechen, werden
mit Nullen aufgefüllt.
Sicher oder nicht sicher
Falls der Algorithmus jeden Block unabhängig
bearbeitet, spricht man vom Electronic
Code Book Mode (EBC). Da dieses
Verfahren für mehrfach vorkommende
identische Blöcke
den gleichen Ciphertext
erstellt, gilt das Verfahren
nur als eingeschränkt sicher
(siehe Abbildung 3a).
IV
Das Cipher Block Chaining
(CBC) vermengt den jeweils
vorangehenden Block mit
dem zu verschlüsselnden,
zum Beispiel per XOR, wobei
ein als Initialisierungsvektor
(IV) bezeichneter
Block für die Verknüpfung
mit dem allerersten Block zuständig ist
(Abbildung 3b).
Der IV wird typischerweise mit Zufallszahlen
vorbelegt und braucht nicht geheim
gehalten zu werden. CBC hat aber
gerade in Zeiten von Multicore-Systemen
einen entscheidenden Nachteil: Die Verschlüsselung
ist nur sequenziell, also
Block für Block möglich, nicht parallel.
CTR macht Tempo
Diesen Nachteil überwindet der Counter
Mode (CTR): Er verschlüsselt jeden
Block mit einem Initialisierungsvektor
(Abbildung 3c). Der Inhalt des für jeden
Block unterschiedlichen IV ergibt
sich aus einem einmal festgelegten (Zufalls-)Wert
und der Blocknummer durch
sinnvolle mathematische Verknüpfung
Listing 1: MD5-Summe des Textes „Linux-Magazin“ (»lm.c«)
01 #include
02 #include
03 #include
04
05 static struct scatterlist sg_text;
06 static char result[128];
07 static struct crypto_hash *tfm;
08 static struct hash_desc desc;
09
10 static int __init mod_init( void )
11 {
12 struct page *pg;
13 char *buf;
14 int i;
15
16 pg = alloc_pages( GFP_USER, 0 );
17 if (pg==NULL) {
18 printk("alloc_pages failed\n");
19 return ‐EIO;
20 }
21 buf = page_address( pg );
22 memcpy( buf, "Linux‐Magazin", 13 );
23
24 sg_init_table( &sg_text, 1 );
25 sg_set_page( &sg_text, pg, 13, 0 );
26
27 tfm = crypto_alloc_hash("md5", 0,
CRYPTO_ALG_ASYNC);
28 if (IS_ERR(tfm)) {
29 printk("crypto_alloc_hash
failed\n");
30 goto out_free_pages;
31 }
32
33 desc.tfm = tfm;
34 desc.flags = 0;
35
36 if (crypto_hash_digest(&desc,
&sg_text, 13, result)) {
37 printk("crypto_hash_digest
failed\n");
38 } else {
39 printk("Ergebnis md5sum:\n");
40 for (i=0; i <
crypto_hash_digestsize(tfm); i++ ) {
41 printk("%02x",
(unsigned char) result[i]);
42 }
43 printk("\n");
44 }
45
46 crypto_free_hash(tfm);
47 out_free_pages:
48 free_pages( (unsigned long)
page_address(pg), 0 );
49 return ‐EIO;
50 }
51
52 static void __exit mod_exit( void )
53 {
54 return;
55 }
56
57 module_init( mod_init );
58 module_exit( mod_exit );
59 MODULE_LICENSE("GPL");

Key
CTR(AES)
Klartext
Ciphertext
(zum Beispiel XOR). Das Verschlüsseln
von Daten mit dem Linux-Kernel verwendet
eines der Cipher-Transforms aus
dem Crypto-API. Für die weitverbreitete
AES-Verschlüsselung eignet sich beispielsweise
das Blockcipher-Transform.
Die Verschlüsselung transformiert eine
Klartextnachricht mit Hilfe des Schlüssels
und mit einem Initialisierungsvektor (bei
CBC und CTR) in den Ciphertext.
Erforderliche Parameter
Blocknummer
Abbildung 3c: Das Beste zweier Welten: Der Counter Mode (CTR) schafft es, durch die Verknüpfung jedes
Blocks mit einem eigenen IV zugleich sicher und parallelisierbar zu sein.
Den Speicherbereich, der den Schlüssel
enthält, übergibt der Programmierer
zusammen mit der zugehörigen Schlüssellänge
der Funktion »crypto_blkcipher_setkey()«.
Den Speicherbereich
für den Initialisierungsvektor stellt das
Blockcipher-Transform-Objekt selbst zur
Verfügung (siehe Abbildung 4). Er muss
damit nur noch belegt werden.
In Form einer Scatter-Gather-List werden
noch zwei weitere Speicherbereiche benötigt:
Der erste enthält die Klartextnachricht,
der zweite nimmt die verschlüsselte
Nachricht auf, den Ciphertext. Mit Klartextnachricht,
Key, Initialisierungsvektor
und Speicher für das Ergebnis startet
durch Aufruf der Funktion »crypto_blkcipher_encrypt()«
die Verschlüsselung.
Am Ende ist der Ergebnispuffer mit dem
Ciphertext gefüllt. Das Entschlüsseln
funktioniert genauso: Der Programmierer
muss Ciphertext, Key, IV und Speicher
für das Ergebnis – in diesem Fall die
Klartextnachricht – bereitstellen.
Listing 2 zeigt die Ver- und Entschlüsselung
des Textes „Linux Magazin“ mit
AES im Blockchaining-Modus (»cbc«).
IV
Der Einfachheit halber kommt als Key
und ebenso als IV eine Folge von Nullen
zum Einsatz. AES ist ein Blockcipher,
verschlüsselt also immer nur Daten, die
ein Vielfaches eines Blocks (256 Bit) lang
sind. Ist die Nachricht etwas kürzer, füllt
man sie einfach mit Nullen auf.
Der Code zeigt im Syslog (auf vielen Systemen
die Datei »/var/log/messages«)
die Klartextnachricht (»mesg«), den
Cipher text (»encr«) und die entschlüsselte
Nachricht (»decr«) an (siehe Abbildung
5). Es versteht sich von selbst,
dass ein Entwickler beim Praxiseinsatz
den Key intelligenter wählt, besonders
schützt und nicht für jedermann sichtbar
im Quellcode hinterlegt.
Keine asymmetrische
Verschlüsselung
Die übrigen vier, hier nicht weiter vorgestellten
Transform-Objekte arbeiten ähnlich.
Leider gibt es insgesamt nur sehr
wenig Dokumentation. Im Wesentlichen
existiert nur die Textdatei in [4]. Der
Programmierer ist praktisch gezwungen,
sich die zugehörigen Funktionsnamen
Transform Key Klartext Ciphertext
IV
Desc sg sg Länge
Parameter der Funktion »crypto_blkcipher_encrypt()«
Abbildung 4: Zur Verschlüsselung notwendige Datenstrukturen: der Name des Transform-Objekts, der Schlüssel,
die Speicherorte von Klar- und Ciphertext als Scatter-Gather-Listen (»sg«) sowie die Länge.
Kern-Technik 06/2011
Know-how
www.linux-magazin.de
89
Tabelle 2: Funktionen zum Aufbau von Scatter-Gather-Listen
Funktionsprototyp
int​sg_alloc_table(struct​sg_table​*table,​unsigned​int​nents,​
gfp_t​gfp_mask)
Reserviert​und​initialisiert​eine​Scatter-Gather-Liste​mit​»nents«​Feldern.​»gfp_mask«​
gibt​den​Kontext​an,​in​dem​die​Funktion​abläuft​(User-,​Kernel-​oder​Interrupt-Kontext),​»table«​enthält​nach​dem​Aufruf​die​Adresse​der​Liste.
void​sg_init_table(struct​scatterlist​*sg,​unsigned​int​nents)
void​sg_init_one(struct​scatterlist​*sg,​const​void​*buf,​unsigned​int​length)
static​inline​void​sg_set_page(struct​scatterlist​*sg,​struct​
page​*page,​unsigned​int​len,​unsigned​int​offset)
static​inline​void​sg_set_buf(struct​scatterlist​*sg,​const​
void​*buf,​unsigned​int​buflen)
static​inline​void​*sg_virt(struct​scatterlist​*sg)
Kurzbeschreibung
Initialisiert​die​Liste​»sg«,​die​»nents«​Einträge​hat.
Initialisiert​die​Liste​»sg«​(die​aus​einem​einzigen​Listenelement​besteht)​und​belegt​
sie​mit​der​Adresse​des​Speicherbereichs​»buf«​und​der​Länge​»length«​vor.
Initialisiert​das​Listenelement​»sg«​mit​der​Seitenadresse​»page«,​der​Länge​»len«​
und​dem​Offset​»offset«​innerhalb​der​Seite.
Initialisiert​das​Listenelement​»sg«​mit​der​virtuellen​Adresse​»buf«​und​der​Länge​
»buflen«.
Gibt​die​virtuelle​Adresse​des​Listenelements​»sg«​zurück.

Know-how
www.linux-magazin.de Kern-Technik 06/2011
90
inklusive der erforderlichen
Parameter aus dem Quelltext
der Crypto-Headerdatei
[5] rauszusuchen.
Hinzu kommt, dass das
Crypto-API des Linux-Kernels
Gegenstand aktiver
Weiterentwicklung ist. Das
Ziel von Maintainer Herbert Xu ist es,
eine universelle Programmierschnittstelle
zu schaffen, die – analog zu »memcpy«
– Daten transferiert und dabei falls notwendig
auch transformiert. Dank des
zurzeit leider sehr spärlich genutzten
asynchronen Interface lässt sich dabei
auch Parallelverarbeitung auf Multicore-
Maschinen nutzen.
Zukunftsvision
Außerdem befindet sich eine Progammierschnittstelle
zum Userspace in Entwicklung,
sodass auch normale Linux-
Abbildung 5: Blick ins Syslog: Die Ausgabe des Moduls »aes_user.ko« – aus dem Code in Listing 2 kompiliert – zeigt den Klartext,
den Ciphertext und schließlich die entschlüsselte Nachricht.
Programme bequem und transparent
Verschlüsselung einsetzen können, und
das nach Möglichkeit mit Hardware-Unterstützung.
Sobald auch noch die asymmetrischen
Verschlüsselungsverfahren
hinreichend Umsetzung finden, ist Linux
im Bereich Kryptographie bestens ausgestattet.
(mhu)
n
Infos
[1]​ ​Wikipedia,​Padlock​Security​Engine:​
[http://​de.​wikipedia.​org/​wiki/​PadLock]
[2]​​Wikipedia,​AES​instruction​set:​[http://​en.​
​wikipedia.​org/​wiki/​AES_instruction_set]
[3]​​Wikipedia,​Kryptographie:​[http://​de.​
​wikipedia.​org/​wiki/​Kryptografie]
[4]​​Herbert​Xu,​„Scatterlist​Cryptographic​
API“:​[http://​lxr.​free-electrons.​com/​source/​
​Documentation/​crypto/​api-intro.​txt]
[5]​​Headerdatei​»linux/​crypto.h«:​​
[http://​lxr.​free-electrons.​com/​source/​
​include/​linux/​crypto.​h]
Die Autoren
Eva-Katharina​ Kunst,​ Journalistin,​ und​ Jürgen​
Quade,​Professor​an​der​Hochschule​Niederrhein,​
sind​seit​den​Anfängen​von​Linux​Fans​von​Open​
Source.​Mittlerweile​ist​die​dritte​Auflage​ihres​
Buches​„Linux​Treiber​entwickeln“​erschienen.
Listing 2: Verschlüsseln und Entschlüsseln im Kernel (»aes_user.c«)
01 #include
02 #include
03
04 #define DATA_SIZE 32
05
06 static int __init aes_user_init(void)
07 {
08 char key[16], *iv;
09 struct crypto_blkcipher *tfm_cbc;
10 struct scatterlist sg[3];
11 int ret;
12 char *msg, *encrypted, *decrypted;
13 struct blkcipher_desc desc;
14 size_t ivsize;
15
16 printk("aes‐user\n");
17 memset(key, 0, sizeof(key));
18
19 tfm_cbc = crypto_alloc_blkcipher
("cbc(aes)",0,CRYPTO_ALG_ASYNC);
20 if ( IS_ERR(tfm_cbc) )
21 return ‐EIO;
22
23 desc.tfm = tfm_cbc;
24 desc.flags = 0;
25
26 ret = crypto_blkcipher_setkey
(tfm_cbc, key, sizeof(key));
27 if ( retiv;
50 ivsize = crypto_blkcipher_ivsize
(tfm_cbc);
51 memset(iv, 0, ivsize);
52
53 ret = crypto_blkcipher_encrypt(&desc,
&sg[1], &sg[0], DATA_SIZE);
54 if ( retiv;
58 ivsize = crypto_blkcipher_ivsize
(tfm_cbc);
59 memset(iv, 0, ivsize);
60
61 ret = crypto_blkcipher_decrypt(&desc,
&sg[2], &sg[1], DATA_SIZE);
62 if ( ret

Linux-Magazin
ACADEMY
Online-Training
IT-Sicherheit
Grundlagen
mit Tobias Eggendorfer
Themen (Auszug):
❚ physikalische
Sicherheit
❚ logische Sicherheit
• Betriebssystem
• Netzwerk
❚ Sicherheitskonzepte
❚ Sicherheitsprüfung
20%
Treue-Rabatt für
Abonnenten
@Kirsty Pargeter, 123RF
Deckt in Teilbereichen auch das Prüfungswissen für LPIC-303-Inhalte ab.
Inklusive Benutzer- und Rechteverwaltung, Authentifizierung, ACLs
sowie wichtige Netzwerkprotokolle und mehr!
Das Grundlagentraining für IT-Sicherheit richtet sich an Systemadministratoren
und solche, die es werden wollen ebenso wie an ambitionierte
Heimanwender.
Nur 299 E inkl. 19 % MwSt.
Informationen und Anmeldung unter:
academy.linux-magazin.de/sicherheit

Programmieren
www.linux-magazin.de Haskell 06/2011
94
Dachzeile Prägnante Programmierung in Haskell
Überschrift
Kurz und bündig
In der funktionalen Programmiersprache Haskell lässt sich bemerkenswert kompakter Code schreiben, der
dennoch leicht zu lesen ist. Dieser Artikel erklärt, welche Sprachkonstrukte und -eigenschaften diese Meisterleistung
ermöglichen. Eine Code-Besichtigung für Haskell-Interessierte. Rainer Grimm
© Aleksandar Jovanovic, 123RF.com
Haskell, die rein funktionale Programmiersprache,
soll kompakteres und eleganteres
Programmieren erlauben, als
es traditionelle imperative Programmiersprachen
wie C/ C++, Java oder auch
Python möglich machen. Eine Stufe abstrakter
formuliere die Sprache Algorithmen,
behaupten ihre Fans. Wie das im
Detail aussieht, zeigt dieser Artikel: Programmieren
in Haskell ist das Programmieren
auf einer höheren Ebene.
Das Sieb des Eratosthenes (»sieve«) in
Listing 1 ist ein alter Bekannter aus
Schule und Uni [1], der sich in Haskell
Listing 1: Kompakt implementiert
01 import Data.List
02
03 ‐‐ Sieb des Eratosthenes
04 primes = sieve[2..]
05 sieve (x:xs) = x: sieve[ y | y

www.linux-magazin.de
Haskell 06/2011
Programmieren
95
Abbildung 1: Ein erster Eindruck von Haskell zeigt kompakte Algorithmen in Aktion.
Abbildung 3: Die hier eingesetzten Funktionen
verwenden Rekursion.
erste Element der Liste mittels »x« zu, auf
den Rest der Liste mit »xs«.
Rekursion
Abbildung 2: Pattern Matching hilft bei der Arbeit
mit positionalen Argumenten und Listen.
Pattern Matching, bei dem es je eine Regel
für die leere Liste und für die Liste mit
einem Element gibt, kommt in Haskell
typischerweise zusammen mit Rekursion
zum Einsatz. Die Funktion »sumList« in
Listing 2 beispielsweise wertet in dem
Pattern »sumList (x:xs)= x + sumList
xs« das erste Element aus und wendet
»sumList« rekursiv auf dem Rest der Liste
an. Da es charakteristisch für Haskell ist,
eine Aktion auf dem ersten Element einer
Liste und auf dem Rest der Liste zu definieren,
sprechen Haskell-Programmierer
nur noch vom »head« beziehungsweise
»tail« einer Liste. Die Rekursion über
»sumList« beendet sich genau dann,
wenn der Rest der Liste nur noch die
leere Liste »[]« ist.
Wer bei Rekursion gewöhnt ist, auf den
bekannten Stack-Overflow-Fehler zu warten,
dem sei versichert, dass der Haskell-
Compiler für die Rekursion optimiert ist.
Konkret heißt dies, dass endrekursive
Aufrufe in Haskell einen konstanten Speicherplatzbedarf
besitzen.
Listing 3 zeigt ein paar einfache Algorithmen,
die auf Rekursion basieren.
In Abbildung 3 sind die Funktionen in
Aktion zu sehen. Bemerkenswert an
der Funktion »mult« ist, dass sie in der
Zeile 13 ohne Multiplikation auskommt.
Stünde hier schlicht »mult n m = m *
n«, dann würde sie Multiplikation durch
Multiplikation definieren. Doch auf »mult
n (m -1 )« wird so lange Pattern Matching
angewandt, bis es zur Addition »n + n +
n + n + n + n + n« entrollt ist.
Weg mit dem Ballast
„Haskell programmers don’t like boilerplate“
heißt es in dem online zu lesenden
Buch „Real World Haskell“ [3]. Dem ist
nichts hinzuzufügen. Boilerplate-Code
bezeichnet Codefragmente, die häufig in
einem Programm auftauchen. Der Haskell-Programmierer
bemüht sich solche
Wiederholungen zu vermeiden. Wenn er
ein Muster für eine Listenverarbeitung
identifiziert, abstrahiert er darüber und
bietet es als Funktion höherer Ordnung
an. Funktionen, die andere Funktionen
als Argumente annehmen oder zurückgeben,
bezeichnet man als Funktionen höherer
Ordnung. Sie geben typischerweise
die Ablaufstruktur für die Verarbeitung
einer Datenstruktur vor und werden über
eine Funktion parametrisiert.
Da diese Funktion meist nur einmal zur
Verwendung kommt und in der Regel
einen kurzen Funktionskörper hat, eignet
sie sich für die Schreibung als Lambda-
Listing 2: Pattern Matching
01 neg True = False
02 neg False= True
03
04 getSecond (_,b,_) = b
05
06 sumList [] = 0
07 sumList (x:xs) = x + sumList xs
08
09 isTitle [] = False
10 isTitle (x:xs) = isUpper x && all isLower xs
Listing 3: Rekursion
01 fak 0 = 1
02 fak 1 = 1
03 fak n = n + fak (n ‐ 1)
04
05 lengthList []= 0
06 lengthList (x:xs)= 1 + lengthList xs
07
08 reverseList [] = []
09 reverseList (x:xs) = reverseList xs ++ [x]
10
11 mult n 0 = 0
12 mult n 1 = n
13 mult n m = (mult n (m ‐ 1)) + n
14
15 fib 0 = 0
16 fib 1 = 1
17 fib n = fib(n‐2) + fib(n‐1)

Programmieren
www.linux-magazin.de Haskell 06/2011
96
Funktion (siehe Kasten „Lambda-Funktionen“)
sowie für partielle Funktionsanwendung.
Die Klassiker unter den Funktionen
höherer Ordnung bilden:
n »map«: Wende eine Funktion sukzessive
auf alle Elemente der Liste an.
n »filter«: Filtere Elemente aus einer
Liste heraus.
n Die »fold«-Funktionsfamilie: Wende
eine Operation sukzessive auf jedes
nächste Element der Liste und das
bisherige Ergebnis der Operation an.
Damit lassen sich die Ergebnisse sehr
kompakt berechnen (Abbildung 4). Die
Algorithmen sind der Einfachheit halber
als lokale Funktionen in der Interpreter-
Shell »ghci« implementiert, was insbesondere
der Lesbarkeit dient.
In einem Ausdruck der Form »make-
Quad= map (^2)« bezeichnen »map« die
Funktion höherer Ordnung und »(^2)«
die Verarbeitungsvorschrift für die Elemente
der Liste, die erst beim Aufruf der
Funktion »makeQuad [1 .. 20]« verwendet
wird. Die einzelnen Schritte bei der
Berechnung von »foldl (+) 0 [1,2,3,4,5]«
sind in Abbildung 5 dargestellt. Während
die Fold-Familie die Liste durch iteratives
Anwenden der Operation auf einen Wert
reduziert, gibt ihr Schwager, die Funktionsfamilie
Scan, die Ergebnisse aller
Iterationsschritte in einer Liste aus.
Das sind aber bei Weitem nicht alle Funktionen
höherer Ordnung, die Haskell
bietet. Sowohl die »fold«- als auch die
»scan«-Funktionsfamilie gibt es in vier
verschiedenen Varianten [4]. Ein paar
weitere Beispiele zeigt Abbildung 6. Noch
ein Wort zum Algorithmus »zipWith (\a
b -> (a,b)) [1..]['a'..'z']«: Er verknüpft
zwei Listen, indem er die Lambda-Funktion
»(\a b -> (a,b))« anwendet. Der
Ausdruck »[1..]« beschreibt die unendliche
Liste aller natürlichen Zahlen. Die
Funktion verknüpft sie mit der endlichen
Liste »['a'..'z']«, sodass auch der Gesamtausdruck
ein Ende findet.
Bedarfsauswertung
Haskell ist durch und durch faul: Lazy
Evaluation, zu Deutsch als Bedarfsauswertung
bekannt, stellt ein Charakteristikum
der Sprache dar. Sie erlaubt es, Algorithmen
zu formulieren, die unendliche
Datenstrukturen erzeugen, und besitzt
einen weiteren bedeutenden Vorteil: Da
die Datenstruktur erst dann ausgewertet
wird, wenn eine Funktion ihre Elemente
anfordert, spart Bedarfsauswertung häufig
Zeit und auch Speicher.
Sowohl der Primzahlen- als auch der
Fibonacci-Algorithmus aus Listing 1
beschreiben, wie alle Folgen der Serien
berechnet werden. Die entscheidende
Frage ist aber noch nicht beantwortet:
Wie funktioniert der Primzahlen-Algorithmus?
Das lässt sich am besten mit
dem Haskell-Interpreter
demonstrieren
(Abbildung 7).
»let sieve (x:xs) =
x: sieve[ y | y a^2 ) [1,2,3,4] ‐‐ [1,4,9,16]
map (\a ‐> toUpper a) "abcd" ‐‐ "ABCD"
Abbildung 4: Map, Filter und Fold sind Klassiker der funktionalen Programmierung,
von denen Haskell ausgiebig Gebrauch macht.
Der Lambda-Ausdruck wird durch »\« eingeleitet, denn der Backslash
entspricht am ehesten dem griechischen Buchstaben λ. Links vom Pfeil
befinden sich die Argumente, rechts davon das Ergebnis des Lambda-Ausdrucks.
Die Kompaktheit von Lambda-Funktionen lässt sich mit partieller
Funktionsanwendung noch deutlich steigern, die in „Real World Haskell“
[3] detailliert erläutert sind.

Abbildung 6: Von Scan bis Partition hat Haskell einige weitere Funktionen höherer Ordnung im Repertoire.
jedes n angewandt wird, filtert der Ausdruck
»n `mod` 2 /= 0« jedes ungerade n
aus der Menge heraus. Tatsächlich ist List
Comprehension, die mittlerweile auch in
vielen anderen Programmiersprachen zu
Hause ist, nur Syntactic Sugar, also eine
vereinfachte Schreibweise, für die beiden
Funktionen »map« und »filter« [1].
Nach dieser Analyse der Einzelteile gilt
es, die Ergebnisse zusammenzutragen.
»primes=sieve[2..]« ist durch »sieve
(2:[3..]) = 2: sieve[ y | y

Programmieren
www.linux-magazin.de Haskell 06/2011
98
die Funktionskomposition recht einfach
definieren:
f . g = \x ‐> f (g x)
Die Funktionskomposition ist ein leistungsstarkes
Werkzeug, um neue Funktionen
zu definieren. Wer die vorgestellten
Bausteine wie Pattern Matching, Rekursion,
Lambda-Funktionen, partielle Funktionsanwendung,
Funktionen höherer
Ordnung und Bedarfsauswertung zusammenfügt,
erhält mächtige Ausdrücke
(Abbildung 9). Das ist Code-Wiederverwendung
auf Haskell-Art.
Code und Prosa
Obwohl die Komponenten der Beispiele
nach der Lektüre des Artikels bekannt
sein sollten, ist das Kompositum nicht so
einfach zu verstehen. Am besten gelingt
es, wenn man die Funktionskomposition
von rechts nach links in Prosa übersetzt.
So lässt sich die Anweisung »(takeWhile
(

Webentwickler 58x266 mm 08.04.2011 10:29
Die Deutschlandradio Service GmbH ist ein
Tochterunternehmen von Deutschlandradio
(www.dradio.de) dem nationalen Hörfunk
mit seinen Programmen Deutschlandfunk,
Deutschlandradio Kultur und DRadio Wissen.
Zum nächstmöglichen Zeitpunkt suchen
wir für die Weiterentwicklung unseres
Webangebotes im Funkhaus Köln einen
Webentwickler/
Programmierer (m/w)
Abbildung 11: Die Sprache Clojure bringt die funktionale Programmierung auf die Java Virtual Machine.
der Sammlung des Gutenberg-Projekts
[7], analysieren (Abbildung 10).
Fazit
Der Autor
Rainer Grimm arbeitet seit 1999 als Software-
Entwickler bei der Science +
Computing AG in Tübingen.
Insbesondere hält er dort
Schulungen für das hauseigene
Softwareprodukt SC
Venus.
Nach ein wenig Eingewöhnung lassen
sich Haskell-Ausdrücke sowohl einfach
lesen als auch schreiben, da sie ihre
Funktionalität prägnant auf den Punkt
bringen. Nicht von ungefähr finden
funktionale Elemente in letzter Zeit auch
Eingang in traditionelle Programmiersprachen.
So kennt C++ Funktionen
höherer Ordnung, und der kommende
Standard C++0x [8] führt Lambda-
Funktionen ein, die das Programmieren
mit der Standard Template Library deutlich
effizienter machen.
Vor allem Python 3 [9] ist da schon ein
paar Schritte weiter: Lambda-Funktionen,
Funktionen höherer Ordnung, List Comprehension,
Bedarfsauswertung – all dies
ist idiomatisch, wenn es um das kompakte
Verarbeiten von Daten in Python
geht. Java ist zwar eine objekt orientierte
Programmiersprache. Es ist aber durchaus
denkbar, dass die funktionale Sprache
Clojure [10], die die Java-Runtime
nützt, dort einspringt, wo Java Schwächen
zeigt (Abbildung 11). (mhu) n
Infos
[1] Rainer Grimm, „Funktionale Grundzüge“:
[http:// www.linux-magazin.de/
Online-Artikel/ Funktionale-Programmierung-1-Grundzuege]
[2] Partielle Funktionsanwendung:
[http://book. realworldhaskell.org/
read/functional-programming.html#fp.
partialapp]
[3] B. O'Sullivan et al., „Real World Haskell“:
[http://book. realworldhaskell.org]
[4] Die Fold- und Scan-Funktionsfamilien:
[http://www. haskell.org/ghc/docs/latest/
html/libraries/ base/Data-List.htm]
[5] Primzahlenalgorithmen in Haskell:
[http://www. haskell.org/haskellwiki/
Prime_numbers]
[6] Fibonacci-Algorithmen in Haskell:
[http://www. haskell.org/haskellwiki/
The_Fibonacci_sequence]
[7] Grimms Märchen beim Project Gutenberg:
[http://www. gutenberg.org/ebooks/2591]
[8] Rainer Grimm, „Erfrischend neu“:
[http://www. linux-magazin.de/Heft-Abo/
Ausgaben/ 2010/ 04/Erfrischend-neu]
[9] Rainer Grimm: „Im Zeichen der Drei“
[http://www. linux-magazin.de/Heft-Abo/
Ausgaben/ 2009/ 09/Im-Zeichen-der-Drei]
[10] Programmiersprache Clojure:
[http://www. clojure.org]
Zu Ihren Aufgaben gehören:
• Entwicklung neuer Schnittstellen für die
Erfordernisse neuer digitaler Radioangebote
• Weiterentwicklung des Webangebots mit
seiner hochdynamischen, personalisierbaren
Homepage
• Qualitätssicherung und Dokumentation
der Systeme
• Teilnahme am Rufbereitschaftsdienst
Erforderliche Kenntnisse:
• Programmierung in den Skriptsprachen
Ruby, Ruby on Rails, Perl
• Programmierung in SQL, Grundkenntnisse
in der PHP-Programmierung
• sehr gute Kenntnisse der DBMS MySQL
und SQLite
• Erfahrung mit den Technologien
XML, XSLT, SOAP, Zeichenkodierungen
(UTF-8, ISO-8859-1)
• objektorientierte Programmierung,
Test driven development, Subversion
• sicherer Umgang mit UNIX/Linux Systemen
• sicherer Umgang mit den Protokollen scp,
sftp, ssh, smb, ftp, http
Wir erwarten mehrjährige Berufserfahrung in
den oben genannten Bereichen. Wünschenswert
sind Kenntnisse in JavaScript, Flash,
Unix Shell Programmierung.
Wir bieten:
• Integration in ein erfolgreiches und
innovatives Team
• einen sicheren und zukunftsorientierten
Arbeitsplatz mit flexibler Arbeitszeit
• tariflich festgelegte Rahmenbedingen
wie z.B.: 30 Tage Urlaub und 38,5 h/Woche
Bitte richten Sie Ihre vollständigen Bewerbungsunterlagen
ausschließlich auf dem Postweg
unter Angabe Ihrer Gehaltsvorstellung an:
Deutschlandradio Service GmbH
Frau Heike Hahn
Raderberggürtel 40 • 50968 Köln
Bitte beachten Sie, dass wir Bewerbungsunter
lagen nicht zurücksenden, sondern – unter
Berücksichtigung der Datenschutzbestimmungen
– in der Regel nach 6 bis 12
Monaten vernichten. Verzichten Sie daher bitte
auf aufwendige Bewerbungsmappen und
Originalunterlagen.

Programmieren
www.linux-magazin.de Perl-Snapshot 06/2011
102
Perl-Skripte analysieren und archivieren Tanzmusik
Heiße Rhythmen
Der bekannte Musikplayer Banshee legt die Metadaten der von ihm verwalteten Songs in einer SQLite-Datenbank
ab, die zwei Perl-Skripte auslesen, restaurieren und mit automatisch ermittelten Beats-per-Minute-
Werten auffrischen. Michael Schilli
banshee.db«. Der Pfad zu den Audiodateien
im System steht in der »Uri«-Spalte.
© Dmitriy Shironosov, 123RF.com
Wie bei der Wahl zwischen »vi« oder
Emacs schwören viele Nutzer von Musikplayern
auf ihren Favoriten und wechseln
selten. Denn schließlich lassen sich
Einstellungen wie die jahrelang mühsam
von Hand erstellten Song-Ratings nicht
so einfach übertragen. Zwar werde ich
niemals einen anderen Editor als »vi«
benutzen, doch neulich probierte ich den
Abbildung 1: Das aufgeräumte GUI des Musikplayers Banshee.
Musikplayer Banshee ([2], Abbildung 1)
aus, da die bislang in den Perlmeister-
Studios verwendete Rhythmbox keinen
einfachen Rating-Export anbietet.
Das GUI kommt extrem sauber und
durchdacht daher. Als ich dann entdeckte,
dass sich Ratings in Banshee ganz
einfach sichern, exportieren oder extern
manipulieren lassen, weil der Player sie
in einer leicht zugänglichen
SQLite-
Datenbank ablegt,
war’s um mich geschehen,
die Operation
Playerwechsel
lief an.
Wie in Abbildung
2 zu sehen ist, sichert
Banshee die
Song-Metadaten in
der Tabelle »Core-
Tracks« der Datenbank
datei »~/.
config/banshee-1/
Bewertungen gesichert
Wie der SQLite-Befehl ».schema« zeigt,
enthält die Tabelle weitere interessante
Spalten wie die Anzahl der vergebenen
Ratingsterne (»Rating«) oder die Basstrommelschläge
pro Minute (»BPM«,
Beats per Minute). Listing 1 sichert alle
Song-Ratings in einer YAML-Datei (Abbildung
3).
Ohne Parameter aufgerufen öffnet Listing
1 die Datenbank mit dem DBI-Modul und
iteriert in der Funktion »backup()« ab
Zeile 32 mit einem Select-Befehl über
alle Einträge der Tabelle »CoreTracks«.
Falls das für einen Song gefundene Rating
null ist, springt Zeile 44 weiter zum
nächsten Eintrag. Findet sich aber ein
positiver Wert, speichert Zeile 46 ihn im
Hash »%ratings« unter dem Pfad der Audiodatei.
Am Ende der Tabelle schreibt
die Funktion »DumpFile()« aus dem
YAML-Modul die Ratings in die YAML-
Datei »banshee-ratings.yml«.
Zum Restaurieren der Ratings ruft der User
das Skript mit »banshee-rating-backup
restore« auf, worauf es die Datei »banshee-ratings.yml«
mittels »LoadFile()« in
Zeile 60 einliest und über den so initialisierten
Hash iteriert. Dessen Schlüssel
sind die Pfadnamen zu den Audiodateien
und seine Werte die Ratings, sodass Zeile
67 pro Eintrag einfach ein SQL-Update
absetzen muss, um die Datenbank wieder
auf Vordermann zu bringen.
Der typische DBI-Dreisprung besteht aus
dem Zusammenstellen der SQL-Query
mit »prepare()«, einem anschließenden
»execute()« mit Parametern, der die in der
Query freigehaltenen Variablen ersetzt,

Abbildung 2: Dank des offenen Datenbankdesigns lässt sich Banshee in
die Karten sehen.
und einem abschließenden »finish()«
zum Freigeben des Statement-Handle.
Stampfer pro Minute
Um eine Playlist für bestimmte Anlässe
oder Gemütszustände zusammenzustellen,
reichen Ratings allein nicht, denn
wer hört schon AC/ DC während eines
Kerzenlichtdinners? Banshee führt in der
Metadatenbank ein Feld »BPM« (Beats
per Minute), das die Taktschläge eines
Titels pro Minute anzeigt.
Wummernde Diskobässe eines Party-
Titels wie „Memories“ von David Guetta
kommen auf 120 BPM, ein schnelles
Techno-Stück auf 180 und ein klassischer
Titel wie Mozarts „Zauberflöte“ kommt
ohne jegliches Getrommel aus und führt
den Wert 0. Radio-DJs schwören auf diesen
Messwert und stellen zum Teil mit
automatischen Tools ein BPM-kompatibles
Programm zusammen.
Mit einer Kombination aus Rating und
erlaubtem BPM-Bereich kann der User
später die passende musikalische Untermalung
für gewisse Stunden auswählen.
Allerdings führen Audiodateien
normalerweise keine BPM-Werte in ihren
Metadaten mit sich. Version 1.5 des
Banshee-Players liefert aber ein BPM-Erkennungstool
mit. Ein Klick auf eine im
Dateiscan-Dialog versteckte Checkbox aktiviert
es (Abbildung 4). Der Menüpunkt
Abbildung 4: Banshee ermittelt die BPM-Werte aller
gefundenen Songs und füllt sie in die Datenbank.
Abbildung 3: Ausschnitt aus der YAML-Datei, in der Listing 1 die bislang vorgenommenen
Ratings in Banshee sichert.
»Tools | Rescan Music Library« startet
das CPU-intensive Update, das bei großen
Sammlungen einige Zeit läuft.
Die Ergebnisse lassen jedoch zu wünschen
übrig. So meint das Tool zum
Beispiel, dass das eher behäbige „I Feel
Fine“ von den Beatles mit 213 BPM-
Punkten dreimal so schnell wie der nur
mit dem Wert 68 bewertete superschnelle
Pop-Punk-Titel „Rich Lips“ von Blink 182
sei (Abbildung 5).
Listing 2 versucht deshalb mit einem
BPM-Verfahren der Marke Eigenbau eine
Listing 1: »banshee-rating-backup«
01 #!/usr/local/bin/perl ‐w
02 use strict;
03 use Log::Log4perl qw(:easy);
04 Log::Log4perl‐>easy_init($DEBUG);
05
06 use DBI qw(:sql_types);
07 use DBD::SQLite;
08 use Data::Dumper;
09 use YAML qw(LoadFile DumpFile);
10 use Getopt::Std;
11
12 getopts( "r", \my %opts );
13
14 my $db = glob
15 "~/.config/banshee‐1/banshee.db";
16 my $dbh = DBI‐>connect( "dbi:SQLite:$db",
17 "", "", { RaiseError => 1,
18 AutoCommit => 1 });
19
20 my $yml = "banshee‐ratings.yml";
21 my %ratings = ();
22
23 if( $opts{ r } ) {
24 restore( $yml, $dbh );
25 } else {
26 backup( $dbh, $yml );
27 }
28
29 $dbh‐>disconnect();
30
31 ###########################################
32 sub backup {
33 ###########################################
34 my( $dbh, $yml ) = @_;
35
36 my %ratings = ();
37
zuverlässigere Lösung auf die Beine zu
stellen. Es wandelt die komprimierten
Audiodateien mit dem Utility »sox« in
rohe Audiodaten um, jagt diese durch einen
schmalen Bandpass im Bass-Bereich
und misst dann die Abstände zwischen
den hoffentlich ausgeprägten Bass-Maxima.
Diese Methode funktioniert zwar
auch nicht fehlerfrei, unterscheidet aber
klar Discostampf von Klassik.
Das als Paket für viele Distributionen erhältliche
Audiotool Audacity zeigt in den
Abbildungen 6 und 7, wie die Audioda-
38 my $sth = $dbh‐>prepare(
39 "SELECT * FROM CoreTracks" );
40 $sth‐>execute();
41
42 while( my $hash_ref =
43 $sth‐>fetchrow_hashref() ) {
44 next if $hash_ref‐>{ Rating } == 0;
45
46 $ratings{ $hash_ref‐>{ Uri } } =
47 $hash_ref‐>{ Rating };
48 }
49
50 DumpFile( $yml, \%ratings );
51
52 $sth‐>finish();
53 }
54
55 ###########################################
56 sub restore {
57 ###########################################
58 my( $yml, $dbh ) = @_;
59
60 my $ratings = LoadFile( $yml );
61
62 for my $song ( keys %$ratings ) {
63 DEBUG "Restoring $song";
64
65 my $rating = $ratings‐>{ $song };
66
67 my $sth = $dbh‐>prepare(
68 "UPDATE CoreTracks SET Rating = ?" .
69 "WHERE Uri = ?" );
70 $sth‐>execute( $rating, $song );
71 $sth‐>finish();
72 }
73 }
Perl-Snapshot 06/2011
Programmieren
www.linux-magazin.de
103

Programmieren
www.linux-magazin.de Perl-Snapshot 06/2011
104
Abbildung 5: Banshees BPM-Messer meint ernsthaft,
dass „I Feel Fine“ von den Beatles dreimal so
schnell wie „Rich Lips“ von Blink 182 ist.
ten zweier unterschiedlicher Musikgenres
aussehen. Während das klassische Orchesterstück
nur mäßig ausgesteuert ist
und keinen stetigen Rhythmus erkennen
lässt, zeigt der breitbandige Synthi-Sound
durchaus periodische Tendenzen.
Abgetastete Musik
Die Musik, die das Ohr als Bündel gleichzeitig
gespielter Tonfrequenzen hört, erzeugt
die Soundkarte aus digitalen Abtastwerten.
Eine Stereo-Aufnahme besteht
pro Kanal typischerweise aus 44 100
verschiedenen 16-Bit-Messwerten pro Sekunde,
die zwischen -32768 und +32767
variieren. Ein reiner Ton käme als Sinus-
kurve zum Vorschein, aber
Musikinstrumente oder Stimmen
erzeugen ein weites Frequenzspektrum.
Die Abbildung 8 demonstriert
als Beispiel die Audiodaten
einer 1-Hz-Sinusschwingung
im Rohformat.
Wer beispielsweise den
ersten (grünen) Kanal betrachtet,
der sieht, dass die
Werte von »15 06«, »18 06«,
»1c 06« und so weiter stetig
ansteigen. (Zu beachten ist
die umgekehrte Byte-Order
auf Intel-Prozessoren, die
zugehörigen dezimalen Werte sind 1557,
1560 und 1564).
Innerhalb einer Periode mit 44 100 Abtastwerten
durchläuft das 1-Hz-Signal
einmal einen Bereich, der mit insgesamt
65 536 Werten kodiert ist, also ist der
Sprung von 0x0615 (dezimal 1557) zu
0x0618 (dezimal 1560) schon in der Nähe
des Maximums zu finden. Das Testsignal
ist auf beiden Kanälen identisch, beide
Kanäle (grün und blau) weisen die gleichen
Werte auf.
Eine MP3-Datei kodiert die Abtastwerte
auf raffinierte Weise, das Skript muss sie
vor der Analyse erst ins Rohformat von
Abbildung 8 bringen. Hierzu eignet sich
das Utilty »sox«, das mit dem Aufruf
sox infile.mp3 ‐r 44100 ‐c 2 ‐b 16 U
‐b 16 ‐t raw ‐e signed outfile.raw
Abbildung 6: „Zu Hilfe, zu Hilfe, sonst bi-i-in ich verloren“ trällert
Tamino in Mozarts „Zauberflöte“.
aus »infile.mp3« die Rohformatdatei »outfile.raw«
als Zweikanal-Kodierung mit
vorzeichenbehafteten 16-Bit-Werten bei
einer Abtastrate von 44 100 Hz erzeugt.
Um darin die Bass-Aktivität zu analysieren
und die zu bearbeitenden Daten
auf 30 Sekunden zu beschränken, hängt
der BPM-Messer an das Kommando oben
noch folgende Argumente an:
... bandpass 100 1 trim 60 30
Der Bandpass blendet Frequenzen, die
nicht im Bereich einer Basstrommel liegen
mit einem 3-dB-Dämpfer pro Oktave
aus und der »trim«-Filter fährt 60 Sekunden
ins Musikstück hinein und extrahiert
dort nur die Daten der nächsten 30
Sekunden, damit das Skript später nicht
ewig herumorgeln muss.
Listing 2: »banshee-bpm-update« (Teil 1)
001 #!/usr/local/bin/perl ‐w
002 use strict;
003 use Log::Log4perl qw(:easy);
004 use DBI qw(:sql_types);
005 use DBD::SQLite;
006 use Sysadm::Install qw(tap);
007 use URI::Escape;
008 use File::Temp qw(tempfile);
009 use POSIX;
010
011 my $SAMPLE_RATE = 10_000;
012 my $OFFSET = 60;
013 my $SAMPLE_SECS = 30;
014 my $MIN_SIZE = 500;
015 my $MIN_DROP = 0.7;
016 my $NWINDOWS = 20;
017
018 Log::Log4perl‐>easy_init({ level => $INFO,
019 category => "main" });
020 my $db = glob
021 "~/.config/banshee‐1/banshee.db";
022 my $dbh = DBI‐>connect( "dbi:SQLite:$db",
023 "", "", { RaiseError => 1,
024 AutoCommit => 1 });
025 bpm_update( $dbh );
026 $dbh‐>disconnect();
027
028 ###########################################
029 sub bpm_update {
030 ###########################################
031 my( $dbh ) = @_;
032
033 my $sth = $dbh‐>prepare(
034 "SELECT Uri FROM CoreTracks" );
035 $sth‐>execute();
036
037 my $upd_sth = $dbh‐>prepare(
038 "UPDATE CoreTracks SET BPM=? " .
039 "WHERE Uri = ?");
040
041 while( (my $uri) =
042 $sth‐>fetchrow_array() ) {
043 my $file = uri_unescape( $uri );
044 $file =~ s#^file://##;
045 INFO "Updating $uri";
046 $upd_sth‐>execute( bpm( $file ),
047 $uri );
048 }
049 $upd_sth‐>finish();
050 $sth‐>finish();
051 }
052
053 ###########################################
054 sub bpm {
055 ###########################################
056 my( $file ) = @_;
057
058 my $rawfile;
059
060 if( $file =~ /\.raw$/ ) {
061 $rawfile = $file;
062 } else {
063 $rawfile = File::Temp‐>new(
064 SUFFIX => ".raw", UNLINK => 1 );
065
066 my($stdout, $stderr, $rc) =

Abbildung 7: Voller Synthi-Sound: „Memories“ von David Guetta.
Abbildung 9 zeigt die auf diese Weise
gefilterten Audiodaten verschiedener Titel.
Die Basstrommel von „I Feel Fine“
und das Synthi-Gewummere von David
Guettas „Memories“ erzeugen saubere
Maxima, die das Skript erkennt und
durch simple Streckung auf Beats per
Minute umrechnet. Bei klassischer Musik
oder Liedern wie „I Got a Name“ von Jim
Croce hingegen liefert der Algorithmus
den Wert 0.
Nach dem Verbinden mit der Datenbankdatei
ruft Listing 2 die Funktion »bpm_
update()« ab Zeile 29 auf. Die Select-
Query in Zeile 34 liefert die Pfade aller
von Banshee verwalteten Musikdateien
als URIs in der Form »file://Pfad/Datei«
zurück. Da in diesen URIs Leerzeichen
als »%20« kodiert sind, verwandelt die
Funktion »uri_escape()« aus dem CPAN-
Modul URI::Escape sie wieder in normale
Leerzeichen zurück.
Die Zeile 44 entfernt anschließend
noch das »file://«
– und schon steht in der Variablen
»$file« der Unix-Pfad
zur Audiodatei.
Das zweite SQL-Kommando,
das Zeile 37 mit Platzhaltern
vorbereitet, frischt den
Wert der BPM-Spalte auf,
indem es die URI als Selektionskriterium
mit Where
vorgibt. Zeile 46 schickt mit
»execute()« das Update mit
den eingesetzten Parametern »Uri« und
»BPM« an die Datenbank ab.
Während die While-Schleife alle gefundenen
Audiodateien abklappert, bleibt
das SQL-Statement in »upd_sth« gespeichert
und Zeile 46 ruft es jedes Mal mit
neuen Parametern auf. Nach dem Ende
der While-Schleife gibt »finish()« die Datenstrukturen
wieder frei.
Das Errechnen des BPM-Werts einer Audiodatei
übernimmt die Funktion »bpm()«
ab Zeile 54. Falls sie
bereits eine Raw-
Datei überreicht bekam,
übernimmt
diese jetzt Zeile 61.
Doch im Normalfall
dürfte es sich um
ein WAV-, MP3- Ogg-
Format oder Ähnliches
handeln.
Zweikanal-Rohformat.
Der mit der »tap()«-Funktion des CPAN-
Moduls abgesetzte Sox-Befehl ab Zeile 67
extrahiert 30 Sekunden Musik nach der
1-Minuten-Marke, pfercht sie durch den
schmalen Bandpass und legt die resultierenden
Rohdaten in einer gleichnamigen
Raw-Datei ab. Um den Datenwust auf ein
erträgliches Maß zurechtzustutzen, reduziert
er die Samplingrate auf den in Zeile
11 gesetzten Wert für »$SAMPLE_RATE«
(10 000 pro Sekunde).
Die Funktion »samples()« ab Zeile 84
liest anschließend die in der Raw-Datei
abgelegten Werte in 4-Byte-Schritten mit
»sysread()« aus (zwei Kanäle à 2 Byte)
und nutzt Perls eingebaute Funktion »unpack()«
mit dem Platzhalter »ss«, um die
beiden vorzeichenbehafteten Integer zu
extrahieren.
Sie ignoriert den Wert für den zweiten
Kanal in »$c2« (weil identisch) und nur
der erste Kanalwert in »$c1« wandert ans
Ende des Ergebnisarray »@vals«, falls er
über dem Schwellenwert »$MIN_SIZE«
liegt. Dieser in Zeile 14 auf 500 gesetzte
Abbildung 8: Eine 1-Hertz-Sinuskurve mit einer Abtastrate von 44 100 Hz im
Perl-Snapshot 06/2011
Programmieren
www.linux-magazin.de
105
Listing 2: »banshee-bpm-update« (Teil 2)
067 tap "sox", $file, "‐r", $SAMPLE_RATE,
068 "‐c", 2, "‐b", 16, "‐t", "raw",
069 "‐e", "signed", $rawfile,
070 "bandpass", 100, 1,
071 "trim", $OFFSET, $SAMPLE_SECS;
072
073 if( $rc ) {
074 LOGWARN "sox $file: $stderr";
075 return 0;
076 }
077 }
078
079 return raw_bpm(
080 samples( $rawfile‐>filename ) );
081 }
082
083 ###########################################
084 sub samples {
085 ###########################################
086 my( $file ) = @_;
087
088 my @vals = ();
089 sysopen FILE, "$file", O_RDONLY
090 or LOGDIE "$file: $!";
091
092 while( sysread( FILE, my $val, 4 ) ) {
093 my($c1, $c2) = unpack 'ss', $val;
094 $c1 = 0 if $c1 < $MIN_SIZE;
095 push @vals, $c1;
096 }
097 close FILE;
098 return @vals;
099 }
100
101 ###########################################
102 sub raw_bpm {
103 ###########################################
104 my(@samples) = @_;
105
106 my $win = scalar @samples /
107 ($NWINDOWS*$SAMPLE_SECS);
108 my($bumps, $pmax, $slope) = (0, 0, "up");
109
110 for( my $o = 0; $o $pmax;
127 }
128 $pmax = $max;
129 }
130
131 return int($bumps / $SAMPLE_SECS * 60.0);
132 }

Programmieren
www.linux-magazin.de Perl-Snapshot 06/2011
106
definiert »$MIN_
DROP« mit 0,7, dass
das globale Maximum
mindestens um 30
Prozent fallen muss,
damit der vorher
durchlaufene Hügel
als Maximum gilt.
Zeile 131 dividiert die
Anzahl gefundener
Maxima dann noch
durch die Sekundenlänge
des untersuchten
Datenbereichs
und multipliziert das
Ergebnis mit 60, um
BPM zu erhalten.
Abbildung 9: Die Bass-Linie von Songs verschiedener Genres nach dem Anwenden des schmalspurigen Bandfilters.
Wert soll verhindern, dass die Maximumsuche
sich in dümpelnden Signalen oder
leisen Passagen verliert.
Bergsteigermethode
Im Voraus weiß das Skript nicht, wie
viele Maxima es im Datenarray findet,
und hat keinen Anhaltspunkt über deren
Höhe. Es arbeitet daher nach der Bergsteigermethode
(Abbildung 10), indem
es alle Signalamplituden in einem schmalen
Zeitfenster (etwa 1/ 20 Sekunde) untersucht
und das dort gefundene lokale
Maximum speichert.
Ist das lokale Maximum im nächsten
Zeitfenster größer als das gespeicherte,
klettert der Signalgraph aufwärts und der
Algorithmus setzt ein Flag. Stellt sich
in diesem Modus im nächsten Zeitfenster
ein kleineres lokales Maximum ein,
ist soeben ein globales Signalmaximum
überschritten und das Skript erhöht den
entsprechenden Zähler.
Das Verfahren funktioniert, da die maximale
Anzahl zu findender Maxima nach
oben beschränkt ist. BPM-Werte über 600
Online PLUS
Ein Screencast mit Michael Schilli demonstriert
das Beispiel unter:
[http:// www.linux-magazin.de/ plus/ 2011/ 06]
sind sinnlos und uninteressant, daher gilt
als gesichert, dass innerhalb zweier Zeitfenster
von jeweils einer 1/ 20 Sekunde
keine zwei Maxima vorliegen.
Die Funktion »raw_bpm()« nimmt den
Datenarray eines Kanals entgegen und
macht sich auf Gipfelsuche. Zeile 106 definiert
die Fensterbreite, indem sie die
Anzahl der Datenpunkte durch das Produkt
aus den gewünschten Fensterdichten
(»$NWINDOWS«, auf 20 Windows
pro Sekunde gesetzt) und der Anzahl der
Sample-Sekunden dividiert.
Die Variable »$slope« markiert das Flag,
mit dem der Algorithmus feststellt, ob er
sich in einem Aufwärts- oder Abwärtstrend
befindet. Das letzte globale Maximum
speichert »raw_bpm()« in »$pmax«,
das lokale Maximum des untersuchten
Fensters steht in »$max«.
Damit kleinere Signalfluktuationen das
Verfahren nicht aus dem Tritt bringen,
Abbildung 10: Bergsteigermethode: zur Maximum-
Bestimmung: Das erste Fenster, dessen Maximalwert
nach einem Anstieg unter dem vorherigen Wert
liegt, zeigt die Überschreitung des Maximums an.
Installation
Die nötigen Perl-Module
DBI, DBD::SQ-
Lite, Sysadm::Install,
URI::Escape sowie
Log::Log4perl finden sich entweder als
Pakete in der verwendeten Linux-Distribution
oder lassen sich mit einer CPAN-
Shell einspielen. Wer kein MP3 verwenden
will, kann mit WAV- oder Ogg-Dateien
arbeiten.
Bei großen Musiksammlungen sollte der
Benutzer Banshee aus Performance-Gründen
im Tools-Dialog auf MySQL umstellen.
Dank DBIs Datenbankunabhängigkeit
muss das Skript dann nur die »connect()«-
Zeile anpassen, statt »"dbi:SQLite:$db"«
das Kürzel »"dbi:mysql:dbname"« einfügen
sowie einen Usernamen und ein
Passwort angeben. (jcb)
n
Infos
[1] Listings zu diesem Artikel:
[ftp:// www. linux‐magazin. de/ pub/ listings/
magazin/ 2011/ 06/ Perl]
[2] Banshee‐Player‐Homepage:
[http:// banshee. fm]
Der Autor
Michael Schilli arbeitet als Software‐Engineer bei
Yahoo! in Sunnyvale, Kalifornien. Er hat „Goto
Perl 5“ (auf Deutsch) und
„Perl Power“ (auf Englisch)
für Addison‐Wesley
geschrieben und ist unter
[mschilli@perlmeister. com]
zu erreichen.

Virtualisierung
Die besten Virtualisierer und die
Features ihrer Produkte im Vergleich:
• VMware
• Hyper-V
• Oracle VM
• Citrix Xen Server
• Qemu
• ConVirt
• OpenQRM
• Red Hats RHEV
• KVM
• Novell
• Proxmox
Große
Technical Review
Marktstudie
Powered by
www.admin-magazin.de
ADMIN
Netzwerk & Security
© Dmitry Sunagatov, Fotolia.und Diego Alíes, 123RF
Mehr als
500 Stunden
Recherche, Tests
und Vergleiche
für nur
98 Euro
und andere
Leseprobe mit 10 Seiten unter
www.technicalreview.de/tr-marktstudie

Service
www.linux-magazin.de IT-Profimarkt 06/2011
108
PROFI
MARKT
Sie fragen sich, wo Sie maßgeschneiderte
Linux-Systeme und kompetente
Ansprechpartner zu Open-Source-Themen
finden? Der IT-Profimarkt weist Ihnen
als zuverlässiges Nachschlagewerk
den Weg. Die hier gelisteten Unternehmen
beschäftigen Experten auf ihrem
Gebiet und bieten hochwertige Produkte
und Leistungen.
Die exakten Angebote jeder Firma entnehmen
Sie deren Homepage. Der ersten
Orientierung dienen die Kategorien
Hardware, Software, Seminaranbieter,
Systemhaus, Netzwerk/TK und Schulung/Beratung.
Der IT-Profimarkt-Eintrag
ist ein Service von Linux-Magazin
und LinuxUser.
Online-Suche
Besonders bequem finden Sie einen
Linux-Anbieter in Ihrer Nähe über die
neue Online-Umkreis-Suche unter:
[http://www.it-profimarkt.de]
Informationen
fordern Sie bitte an bei:
Linux New Media AG
Anzeigenabteilung
Putzbrunner Str. 71
D-81739 München
Tel.: +49 (0)89/99 34 11-23
Fax: +49 (0)89/99 34 11-99
E-Mail: anzeigen@linux-magazin.de
1 = Hardware 2 = Netzwerk/TK 3 = Systemhaus
IT-Profimarkt – Liste sortiert nach Postleitzahl
4= Fachliteratur 4= Seminaranbieter 5 = Software 5 = Software 6 = Schulung/Beratung 6 = Firma Anschrift Telefon Web 1 2 3 4 5 6
Schlittermann internet & unix support 01099 Dresden, Tannenstr. 2 0351-802998-1 www.schlittermann.de 3 3 3 3
imunixx GmbH UNIX consultants 01468 Moritzburg, Heinrich-Heine-Str. 4 0351-83975-0 www.imunixx.de 3 3 3 3 3
future Training & Consulting GmbH Leipzig 04315 Leipzig, Kohlgartenstraße 15 0341-6804100 www.futuretrainings.com 3
future Training & Consulting GmbH Halle 06116 Halle (Saale), Fiete-Schulze-Str. 13 0345-56418-20 www.futuretrainings.com 3
future Training & Consulting GmbH Chemnitz 09111 Chemnitz, Bahnhofstraße 5 0371-6957730 www.futuretrainings.com 3
TUXMAN Linux Fan-Shop 10367 Berlin, Möllendorffstr. 44 030-97609773 www.tuxman.de 3 3 3 3 3
Hostserver GmbH 10405 Berlin, Winsstraße 70 030-47375550 www.hostserver.de 3
Compaso GmbH 10439 Berlin, Driesener Strasse 23 030-3269330 www.compaso.de 3 3 3 3 3
Linux Information Systems AG Berlin 12161 Berlin, Bundesallee 93 030-818686-03 www.linux-ag.com 3 3 3 3 3
elego Software Solutions GmbH 13355 Berlin, Gustav-Meyer-Allee 25 030-2345869-6 www.elegosoft.com 3 3 3 3
future Training & Consulting GmbH Berlin 13629 Berlin, Wernerwerkdamm 5 030-34358899 www.futuretrainings.com 3
verion GmbH 16244 Altenhof, Unter den Buchen 22 e 033363-4610-0 www.verion.de 3 3 3
i.based: Systemhaus GmbH & Co.KG 18439 Stralsund, Langenstr. 38 03831-2894411 www.ibased.de 3 3 3 3 3
Logic Way GmbH 19061 Schwerin, Hagenower Str. 73 0385-39934-48 www.logicway.de 3 3 3 3
Sybuca GmbH 20459 Hamburg, Herrengraben 26 040-27863190 www.sybuca.de 3 3 3 3 3
iTechnology GmbH c/ o C:1 Solutions GmbH 22083 Hamburg, Osterbekstr. 90 c 040-52388-0 www.itechnology.de 3 3 3 3
UDS-Linux - Schulung, Beratung, Entwicklung 22087 Hamburg, Lübecker Str. 1 040-45017123 www.uds-linux.de 3 3 3 3 3 3
Comparat Software-Entwicklungs- GmbH 23558 Lübeck, Prießstr. 16 0451-479566-0 www.comparat.de 3 3
future Training & Consulting GmbH Wismar 23966 Wismar, Lübsche Straße 22 03841-222851 www.futuretrainings.com 3
Dr. Plöger & Kollegen secom consulting
GmbH & Co. KG
24105 Kiel, Waitzstr. 3 0431-66849700 www.secom-consulting.de 3 3 3 3 3
talicom GmbH 30169 Hannover, Calenberger Esplanade 3 0511-123599-0 www.talicom.de 3 3 3 3 3
futureTraining & Consulting GmbH Hannover 30451 Hannover, Fössestr. 77 a 0511-70034616 www.futuretrainings.com 3
Servicebüro des grafischen Gewerbes 31789 Hameln, Talstraße 61 05151-774800 www.service4graphic-trade.com 3
teuto.net Netzdienste GmbH 33602 Bielefeld, Niedenstr. 26 0521-96686-0 www.teuto.net 3 3 3 3 3
MarcanT GmbH 33602 Bielefeld, Ravensberger Str. 10 G 0521-95945-0 www.marcant.net 3 3 3 3 3 3
Hostserver GmbH 35037 Marburg, Biegenstr. 20 06421-175175-0 www.hostserver.de 3
OpenIT GmbH 40599 Düsseldorf, In der Steele 33a-41 0211-239577-0 www.OpenIT.de 3 3 3 3 3
UD Media GmbH 41460 Neuss, Schwannstraße 1 01805-880-900 www.udmedia.de 3 3
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um Linux bieten. Alle Angaben ohne Gewähr.
(S.110)

Markt / Stellenanzeigen
vertrieb@jeltimer.de
Markt 06/2011
Service
Wareneingang
Inventuren
Erfassung mit
Barcodes
100.000 fach
bewährte Qualität
Ausweiserstellung
Zutrittssysteme
Zeiterfassung
Joberfassung
12345678
www.linux-magazin.de
109
HT-630
Inventuren
Wareneingang
JEL-MR370
Terminal
als WEBSERVER
www.netways.de/jobs
Data Room Services GmbH & Co. KG ist ein auf virtuelle Datenräume
spezialisierter Transaktionsdienstleister, der Unternehmen beim Austausch
von hochsensiblen Unternehmensdaten unterstützt. Für unseren
Hauptsitz in Frankfurt suchen wir zum nächstmöglichen Zeitpunkt einen
System-Administrator Linux (w/m)
Ihre Aufgaben:
Anforderungen:
Entwicklung, Implementierung, Weiterentwicklung
der Server- und Serviceinfrastruktur
Verwaltung sämtlicher technischer Einrichtungen
Dokumentation der Service-Bestandteile
Analyse von Störungen und Problemen. Koordination
von Supportanfragen, Lösungsvorschläge, Entstörung
UNIX-Scripting-Fähigkeiten bzw. Programmieren/
Skripten in Ruby/Perl/Bash
Abgeschlossenes Studium (FH/Uni) der Informatik
oder vergleichbare langjährige Berufserfahrung
Nachweisbare Praxis-Erfahrung in der hauptverantwortlichen
oder wesentlich mitverantwortlichen Administration
eines aus mehreren Servern bestehenden
Systems mit hohen Anforderungen an Performance
und Ausfallsicherheit auf Linux-/Windows-Basis
Teamfähigkeit, hohes Verantwortungsbewusstsein,
Leistungsbereitschaft und zielorientierte Arbeitsweise
Wir bieten die Mitarbeit in einem sich international sehr dynamisch entwickelnden
Unternehmen mit jungem Team. Wenn Sie diese Herausforderungen
ansprechen, dann freuen wir uns über Ihre aussagekräftigen
Bewerbungsunterlagen mit Angabe Ihrer Gehaltsvorstellung und Ihres
frühestmöglichen Eintrittstermins an hr@dataroomservices.com
Werden Sie Teil unseres Teams als:
LINUX CONSULTANT
mit Fokus auf Systems Management
DEVELOPER
Schwerpunkt Open Source Development
Die NETWAYS GmbH unterstützt seit
mehr als 15 Jahren Unternehmen beim
Management komplexer IT Umgebungen auf der
Basis von Open Source Software. Die angebotenen
Lösungen ermöglichen den störungsfreien Betrieb von
Netzen, Servern und Applikationen.
oder
www.netways.de/jobs

Service
www.linux-magazin.de IT-Profimarkt 06/2011
110
IT-Profimarkt
IT-Profimarkt – Liste sortiert nach Postleitzahl (Fortsetzung von S. 108)
1 = Hardware 2 = Netzwerk/TK 3 = Systemhaus
4= Seminaranbieter 5 = Software 6 = Beratung
Firma Anschrift Telefon Web 1 2 3 4 5 6
Linux-Systeme GmbH 45277 Essen, Langenbergerstr. 179 0201-298830 www.linux-systeme.de 3 3 3 3 3
Linuxhotel GmbH 45279 Essen, Antonienallee 1 0201-8536-600 www.linuxhotel.de 3
Herstell 45888 Gelsenkirchen, Wildenbruchstr. 18 0176-20947146 www.herstell.info 3 3 3 3
OpenSource Training Ralf Spenneberg 48565 Steinfurt, Am Bahnhof 3-5 02552-638755 www.opensource-training.de 3
Intevation GmbH 49074 Osnabrück, Neuer Graben 17 0541-33508-30 osnabrueck.intevation.de 3 3 3 3
LWsystems GmbH & Co. KG 49186 Bad Iburg, Tegelerweg 11 05403-5556 www.lw-systems.de 3 3 3 3 3 3
Systemhaus SAR GmbH 52499 Baesweiler, Arnold-Sommerfeld-Ring 27 02401-9195-0 www.sar.de 3 3 3 3 3 3
uib gmbh 55118 Mainz, Bonifaziusplatz 1b 06131-27561-0 www.uib.de 3 3 3 3 3
LISA GmbH 55411 Bingen, Elisenhöhe 47 06721-49960 www.lisa-gmbh.de 3 3 3 3 3
saveIP GmbH 64283 Darmstadt, Schleiermacherstr. 23 06151-666266 www.saveip.de 3 3 3 3 3
LAMARC EDV-Schulungen u. Beratung GmbH 65193 Wiesbaden, Sonnenberger Straße 14 0611-260023 www.lamarc.com 3 3 3 3
ORDIX AG 65205 Wiesbaden, Kreuzberger Ring 13 0611-77840-00 www.ordix.de 3 3 3 3 3
LinuxHaus Stuttgart 70565 Stuttgart, Hessenwiesenstrasse 10 0711-2851905 www.linuxhaus.de 3 3 3 3 3
comundus GmbH 71332 Waiblingen, Schüttelgrabenring 3 07151-5002850 www.comundus.com 3 3 3
Veigel Linux Software Development 71723 Großbottwar, Frankenstr. 15 07148-922352 www.mvlsd.de 3 3 3 3
Intra2net AG 72072 Tübingen, Mömpelgarderweg 8 07071-56510-30 www.intra2net.com 3 3 3 3
future Training & Consulting GmbH
Reutlingen
72770 Reutlingen, Auchterstraße 8 07121-14493943 www.futuretrainings.com 3
Manfred Heubach EDV und Kommunikation 73728 Esslingen, Hindenburgstr. 47 0711-4904930 www.heubach-edv.de 3 3 3 3
eBIS GmbH 74080 Heilbronn/ Neckar, Neckargartacher Str. 94 07131-39500 www.ebis.info 3 3 3 3 3
Waldmann EDV Systeme + Service 74321 Bietigheim-Bissingen, Pleidelsheimer Str. 25 07142-21516 www.waldmann-edv.de 3 3 3 3 3
in-put Das Linux-Systemhaus 76133 Karlsruhe, Moltkestr. 49 0721-6803288-0 www.in-put.de 3 3 3 3 3 3
Bodenseo 78224 Singen, Pomeziastr. 9 07731-1476120 www.bodenseo.de 3 3 3
Gendrisch GmbH 81679 München, Cuvilliesstraße 14 089-38156901-0 www.gendrisch.de 3 3 3 3 3
Linux Information Systems AG 81739 München, Putzbrunnerstr. 71 089-993412-0 www.linux-ag.com 3 3 3 3 3
Synergy Systems GmbH 81829 München, Konrad-Zuse-Platz 8 089-89080500 www.synergysystems.de 3 3 3 3 3
B1 Systems GmbH 85088 Vohburg, Osterfeldstrasse 7 08457-931096 www.b1-systems.de 3 3 3 3 3
ATIX AG 85716 Unterschleißheim, Einsteinstr. 10 089-4523538-0 www.atix.de 3 3 3 3 3
Bereos OHG 88069 Tettnang, Kalchenstraße 6 07542-9345-20 www.bereos.eu 3 3 3 3 3
alpha EDV Systeme GmbH 88250 Weingarten, Liebfrauenstr. 9 0751-46265 www.alpha-edv.de 3 3 3 3 3
OSTC Open Source Training and Consulting
GmbH
90425 Nürnberg, Delsenbachweg 32 0911-3474544 www.ostc.de 3 3 3 3 3 3
Dipl.-Ing. Christoph Stockmayer GmbH 90571 Schwaig, Dreihöhenstr. 1 0911-505241 www.stockmayer.de 3 3 3
pascom - Netzwerktechnik GmbH & Co.KG 94469 Deggendorf, Berger Str. 42 0991-270060 www.pascom.de 3 3 3 3 3
fidu.de IT KG 95448 Bayreuth, Ritter-v.-Eitzenb.-Str. 19 09208-657638 www.linux-onlineshop.de 3 3 3 3
Computersysteme Gmeiner 95643 Tirschenreuth, Fischerhüttenweg 4 09631-7000-0 www.gmeiner.de 3 3 3 3 3
RealStuff Informatik AG CH-3007 Bern, Chutzenstrasse 24 0041-31-3824444 www.realstuff.ch 3 3 3
CATATEC CH-3013 Bern, Dammweg 43 0041-31-3302630 www.catatec.ch 3 3 3
EBP Gasser CH-4208 Nunningen, Winkel 6 0041-61793-0099 www.ebp-gasser.ch 3 3 3 3 3
Syscon Systemberatungs AG CH-8003 Zürich, Zweierstrasse 129 0041-44-4542010 www.syscon.ch 3 3 3 3 3
Helvetica IT AG CH-8890 Flums, Bahnhofstrasse 15 0041-817331567 www.helvetica-it.com 3 3 3
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um Linux bieten. Alle Angaben ohne Gewähr.
n

Seminare
Linux-Magazin
ACADEMY
Online-Training der
Linux-Magazin Academy
Prüfungsvorbereitung
für LPIC 1 & 2
Besorgen Sie sich Brief und
Siegel für Ihr Linux-
Knowhow mit der
LPI-Zertifizierung.
- Training für die Prüfungen
LPI 101 und 102
- Training für die Prüfungen
LPI 201 und 202
SPAREN SIE MIT
PAKETPREISEN!
20%
Treue-Rabatt für
Abonnenten
Treue-Rabatt für
Abonnenten
Linux-Magazin
ACADEMY
20%
Treue-Rabatt für
Abonnenten
Online-Training der
Linux-Magazin Academy
Erfolgreicher Einstieg in
WordPress 3.0
Ansprechende Webseiten, Blogs
und Shops einfach selber erstellen
❚ Installation in 5 Minuten
❚ Designs ändern
❚ Optimieren für Suchmaschinen
❚ Funktionen erweitern
❚ Benutzerrechte festlegen
❚ Geld verdienen mit Werbung
❚ Besucher analysieren
❚ Sicherheit und Spam-Schutz
X25
Seminare 06/2011
Service
www.linux-magazin.de
111
Informationen und Anmeldung unter:
academy.linux-magazin.de/lpic
Informationen und Anmeldung unter:
academy.linux-magazin.de/wordpress
Linux-Magazin
Academy_1-9h_Anzeige_LPIC.indd 1
©mipan, fotolia
ACADEMY
20%
Treue-Rabatt für
Abonnenten
Online-Training
IT-Sicherheit
Grundlagen
Themen:
- physikalische Sicherheit
- logische Sicherheit
• Betriebssystem
• Netzwerk
- Sicherheitskonzepte
- Sicherheitsprüfung
Inklusive Benutzer- und
Rechteverwaltung, Authentifizierung,
ACLs sowie
wichtige Netzwerkprotokolle
und mehr!
Informationen und Anmeldung unter:
academy.linux-magazin.de/sicherheit
01.09.2010 1-9h_Anzeige_wordpress.indd 15:41:58 Uhr
1
Harte Nuss?
Geknackt!
n Hilfe für Einsteiger
n Topaktuelle News
n Riesiges Artikelarchiv
www.linux-community.de
Deine tägliche Portion Linux
fahrschule_weber.indd 1
22.01.2007 15:10:01 Uhr
OpenSource Training Ralf Spenneberg
02.09.2010 16:24:36 Uhr
Schulungen direkt vom Autor
Sourcefire 3D System
4 Tage 12.04. ­ 15.04.2011
Virtualisierung mit XEN 4.0
3 Tage 18.04. ­ 20.04.2011
Quality of Service mit Linux
3 Tage 18.04. ­ 20.04.2011
OpenVPN ­ Die IPsec Alternative
3 Tage 18.04. ­ 20.04.2011
Hacking Webapplications
4 Tage 26.04. ­ 29.04.2011
Modsecurity
3 Tage 09.05. ­ 11.05.2011
Administration and Deployment of Kolab
5 Tage 16.05. ­ 20.05.2011
Snort IDS/IPS Technology
4 Tage 24.05. ­ 27.05.2011
Sichere Mailserver Lösungen mit Postfix
5 Tage 06.06. ­ 10.06.2011
Freie Distributionswahl:
Opensuse, Fedora, Debian Squeeze,
CentOS oder Ubuntu LTS
Ergonomische Arbeitsplätze
Umfangreiche Schulungsunterlagen mit
Übungen
Am Bahnhof 3­5
48565 Steinfurt
Tel.: 02552 638755
Fax: 02552 638757
Weitere Informationen unter www.os­t.de
cademy_1-9h_Security.indd
Linux-Magazin
1
ACADEMY
Online-Training der
Linux-Magazin Academy
OpenOffice -
Arbeiten mit Vorlagen
Erleichtern Sie sich Ihre
tägliche Arbeit mit (Auszug):
❚ einheitlichen Dokumentenvorlagen
❚ automatischen Formatierungen
❚ generierten Inhaltsverzeichnissen
20%
Treue-Rabatt für
Abonnenten
18.11.2010 12:37:52 Uhr
Mit vielen
Praxisbeispielen
Informationen und Anmeldung unter:
academy.linux-magazin.de/openoffice
Linux-Magazin
ACADEMY
Online-Training der
Linux-Magazin Academy
Monitoring mit Nagios
Netzwerk überwachen
leicht gemacht (Auszug):
20%
❚ das Webfrontend
❚ Überwachung von
Windows/Linux/Unix
❚ Strukturieren der Konfiguration
❚ Überwachen von
SNMP-Komponenten
❚ Addons Nagvis,
Grapher V2, NDO2DB Mit vielen
Treue-Rabatt für
Abonnenten
Praxisbeispielen
Informationen und Anmeldung unter:
academy.linux-magazin.de/nagios
UNIX-C-C++ Java
Seminare
in Nürnberg
(oder inhouse)
UNIX/Linux
UNIX/Linux-Aufbau
C, C-Aufbau
C++
OOA/OOD (mit UML)
Java
Perl, XML
weitere Kurse auf Anfrage, Telephonhotline
Dipl.-Ing.
Christoph Stockmayer GmbH
90571 Schwaig/Nbg • Dreihöhenstraße 1
Tel.: 0911/505241 • Fax 0911/5009584
EMail: sto@stockmayer.de
http://www.stockmayer.de
Academy_1-9h_Anzeige_openoffice.indd 1
02.09.2010 LM_Anzeige_1-9h_Anzeige_Nagios.indd 12:45:58 Uhr
1
03.09.2010 10:43:40 Uhr

Service
www.linux-magazin.de Inserenten 06/2011
112
Inserentenverzeichnis
1&1 Internet AG http:// www.einsundeins.de 9, 20, 23
1blu AG http:// www.1blu.de 11
ADMIN http:// www.admin-magazin.de 70
Data Room Services http:// www.dataroomservices.com 109
Deutschlandradio http:// www.dradio-service.de 99
embedded projects GmbH http:// www.embedded-projects.net 109
Fernschule Weber GmbH http:// www.fernschule-weber.de 111
Galileo Press http:// www.galileo-press.de 7
Happyware GmbH http:// www.happyware.de/ 19
Heinlein Professional Linux Support GmbH http:// www.heinlein-partner.de 33, 35, 57
Hetzner Online AG http:// www.hetzner.de 116
Hostserver GmbH http:// www.hostserver.de 2
Linux-Magazin Academy
http:// www.academy.linux-magazin.de
81, 91, 111
LinuxTag - Messe Berlin GmbH http:// www.linuxtag.org 65
LinuxUser http:// www.linuxuser.de 84
Mittwald CM Service GmbH & Co. KG http:// www.mittwald.de 13
Netclusive GmbH http:// www.netclusive.de 17
netways GmbH http:// www.netways.de 109
Open Source Press GmbH http:// www.opensourcepress.de 41
PlusServer AG http:// www.plusserver.de 36, 54, 92, 100
Smart Developer http:// www.smart-developer.de 115
SolvetecIT Services GmbH http:// www.solvetec.de/ 15
Spenneberg Training & Consulting http:// www.spenneberg.com 111
Inovex GmbH http:// www.inovex.de 27
JEL GmbH, Jannsen Electronic http:// www.jelgmbh.de 109
Linux Technical Review http:// www.linuxtechnicalreview.de 107
Linux-Community http:// www.linux-community.de 111
Linux-Hotel http:// www.linuxhotel.de 29
Linux-Magazin http:// www.linux-magazin.de 47, 77
Stockmayer GmbH http:// www.stockmayer.de 111
Strato AG http:// www.strato.de 1, 31, 45
Terrashop GmbH http:// www.terrashop.de 83
Thomas Krenn AG http:// www.thomas-krenn.com 25
Einem Teil dieser Ausgabe liegt eine Beilage der Firma Heinlein Professional Linux
Support GmbH (http:// www.heinlein-partner.de) bei. Wir bitten unsere Leser um
freundliche Beachtung.
Veranstaltungen
03.-06.05.2011
Red Hat Summit and JBoss World 2011
Boston, MA USA
http://www.redhat.com/summit/
06.-08.05.2011
Linux Audio Conference 2011
Maynooth, Ireland
http://lac.linuxaudio.org/2011/
08.-12.05.2011
Interop 2011
Las Vegas, NV, USA
http://www.interop.com/lasvegas/
10.-11.05.2011
Google I/O
San Francisco, CA, USA
http://www.google.com/events/io/2010/
10.-13.05.2011
Libre Graphics Meeting 2011
Montreal, Kanada
http://www.libregraphicsmeeting.org
11.-14.05.2011
LinuxTag 2011
Berlin, Germany
http://www.linuxtag.org
13.-14.05.2011
V Concurso Universitario de Software Libre – Fase
Final
Granada, Spain
http://www.concursosoftwarelibre.org
14.-19.05.2011
TakeDownCon 2011
Dallas, TX USA
http://www.takedowncon.com
16.-19.05.2011
RailsConf 2011
Baltimore, MD, USA
http://en.oreilly.com/rails2011
18.05.2011
WhyFLOSS Madrid 2011
Madrid, Spain
http://whyfloss.com/es/conference/madrid11/program
19.-20.05.2011
PGCon 2011: PostgreSQL Conference for Users &
Developers
Ottawa, ON Canada
http://www.pgcon.org/2011/
19.-21.05.2011
2011 Dutch PHP Conference
Amsterdam, The Netherlands
http://www.phpconference.nl/
20.-22.05.2011
Akademy-es 2011
Barcelona, Spain
http://www.kde-espana.es/akademy-es2011/
23.-25.05.2011
MeeGo Conference 2011: San Francisco
San Francisco, CA, USA
http://sf2011.meego.com
23.-26.05.2011
All About the Cloud
San Francisco, CA USA
http://www.siia.net/aatc/2011/
26.05.2011
Mobile App Conference 2011: Beijing
Beijing, China
http://www.mobileappconf.com
26.-27.05.2011
IV Jornadas estatales de OpenERP
Lugo, Spain
http://www.jornadasopenerp.com
01.-02.06.2011
Apps World Africa 2011
Cape Town, South Africa
http://www.apps-world.net/africa/
01.-02.06.2011
Uplinq 2011
San Diego, CA, USA
http://www.uplinq.com
01.-03.06.2011
LinuxCon Japan 2011
Yokohama, Japan
http://events.linuxfoundation.org/events/linuxconjapan/
01.-03.06.2011
SPTechCon
Boston, MA USA
http://www.sptechcon.com
02.-05.06.2011
LUG-Camp 2011
Tschierv, Schweiz
http://2011.lug-camp.ch
03.-05.06.2011
Open Help Conference 2011
Cincinatti, OH USA
http://openhelpconference.com/index.html
06.-07.06.2011
Berlin Buzzwords 2011
Berlin, Germany
http://berlinbuzzwords.de
06.-08.06.2011
DjangoCon Europe 2011
Amsterdam, The Netherlands
http://djangocon.eu
10.-12.06.2011
SouthEast LinuxFest 2011
Spartanburg, SC USA
http://www.southeastlinuxfest.org
14.06.2011
HotStorage ’11
Portland, OR, USA
http://www.usenix.org/events/hotstorage11/
14.-16.06.2011
MobileAppEx
Chicago, IL, USA
http://www.mobileappex.com
14.-16.06.2011
Velocity 2011
Santa Clara, CA, USA
http://velocityconf.com/velocity2011
15.-16.06.2011
WebApps ’11
Portland, OR, USA
http://www.usenix.org/events/webapps11/

Impressum
Linux-Magazin eine Publikation der Linux New Media AG
Redaktionsanschrift Putzbrunner Str. 71
81739 München
Tel.: 089/993411-0
Fax: 089/993411-99 oder -96
Internet
www.linux-magazin.de
E-Mail
redaktion@linux-magazin.de
Geschäftsleitung
Chefredakteure
stv. Chefredakteure
Brian Osborn (Vorstand), bosborn@linuxnewmedia.de
Hermann Plank (Vorstand), hplank@linuxnewmedia.de
Jan Kleinert (V.i.S.d.P.), jkleinert@linux-magazin.de (jk)
Ulrich Bantle (Online), ubantle@linux-magazin.de (uba)
Markus Feilner, mfeilner@linux-magazin.de (mfe)
Mathias Huber, mhuber@linux-magazin.de (mhu)
Print- und Onlineredaktion
Aktuell, Forum Ulrich Bantle, ubantle@linux-magazin.de (uba)
Mathias Huber, mhuber@linux-magazin.de (mhu)
Software, Programmierung Mathias Huber, mhuber@linux-magazin.de (mhu)
Jens-Christoph Brendel, jbrendel@linuxnewmedia.de (jcb)
Sysadmin, Know-how Markus Feilner, mfeilner@linux-magazin.de (mfe)
Ständige Mitarbeiter Fred Andresen (fan), Zack Brown, Mela Eckenfels, Hans-Georg
Eßer (hge), Oliver Frommel (ofr), Heike Jurzik (hej), Charly
Kühnast, Martin Loschwitz, Michael Schilli, Carsten Schnober
(csc), Mark Vogelsberger, Uwe Vollbracht, Britta Wülfing (bwü)
Schlussredaktion
Grafik
Bildnachweis
DELUG-DVD
Chefredaktionen
International
Produktion
Onlineshop
Abo-Infoseite
Abonnenten-Service
ISSN 1432 – 640 X
Jürgen Manthey
Judith Erb (Layout)
xhoch4, München (Titel-Illustration)
123RF.com, Fotolia.de, Photocase.com, Pixelio.de und andere
Thomas Leichtenstern, tleichtenstern@linuxnewmedia.de (tle)
Linux Magazine International
Joe Casad (jcasad@linux-magazine.com)
Linux Magazine Poland
Artur Skura (askura@linux-magazine.pl)
Linux Magazine Spain
Paul C. Brown (pbrown@linux-magazine.es)
Linux Magazine Brasil
Rafael Peregrino (rperegrino@linuxmagazine.com.br)
Christian Ullrich, cullrich@linuxnewmedia.de
shop.linuxnewmedia.de
www.linux-magazin.de/Produkte
Lea-Maria-Schmitt
abo@linux-magazin.de
Tel.: 07131/27 07 274
Fax: 07131/27 07 78 601
CH-Tel: +41 43 816 16 27
Preise Print Deutschland Österreich Schweiz Ausland EU
No-Media-Ausgabe 4 5,95 4 6,70 Sfr 11,90 (siehe Titel)
DELUG-DVD-Ausgabe 4 8,50 4 9,35 Sfr 17,— (siehe Titel)
Jahres-DVD (Einzelpreis) 4 14,95 4 14,95 Sfr 18,90 4 14,95
Jahres-DVD (zum Abo 1 ) 4 6,70 4 6,70 Sfr 8,50 4 6,70
Mini-Abo (3 Ausgaben) 4 3,— 4 3,— Sfr 4,50 4 3,—
Jahresabo No Media 4 63,20 4 71,50 Sfr 126,10 4 75,40
Jahresabo DELUG-DVD 4 87,90 4 96,90 Sfr 161,90 4 99,90
Preise Digital Deutschland Österreich Schweiz Ausland EU
Heft-PDF Einzelausgabe 4 5,95 4 5,95 Sfr 8,10 4 5,95
DigiSub (12 Ausgaben) 4 63,20 4 63,20 Sfr 85,95 4 63,20
DigiSub (zum Printabo) 4 12,— 4 12,— Sfr 16,30 4 12,—
HTML-Archiv (zum Abo 1 ) 4 12,— 4 12,— Sfr 12,— 4 12,—
Preise Kombiabos Deutschland Österreich Schweiz Ausland EU
Mega-Kombi-Abo 2 4 143,40 4 163,90 Sfr 289,40 4 173,90
Profi-Abo 3 4 136,60 4 151,70 Sfr 259,90 4 165,70
1
nur erhältlich in Verbindung mit einem Jahresabo Print oder Digital
2
mit LinuxUser-Abo (DVD) und beiden Jahres-DVDs, inkl. DELUG-Mitgliedschaft (monatl.
DELUG-DVD)
3
mit ADMIN-Abo und beiden Jahres-DVDs
Schüler- und Studentenermäßigung: 20 Prozent gegen Vorlage eines Schülerausweises
oder einer aktuellen Immatrikulationsbescheinigung. Der aktuelle Nachweis ist bei
Verlän gerung neu zu erbringen. Andere Abo-Formen, Ermäßigungen im Ausland etc.
auf Anfrage.
Adressänderungen bitte umgehend mitteilen, da Nachsendeaufträge bei der Post nicht
für Zeitschriften gelten.
Pressemitteilungen presse-info@linux-magazin.de
Marketing und Vertrieb
Anzeigenleitung,
Hubert Wiest, hwiest@linuxnewmedia.de
Vertrieb und Marketing Tel.: +49 (0)89 / 99 34 11 – 23
Mediaberatung D, A, CH
Mediaberatung UK, Irland
Mediaberatung USA
Pressevertrieb
Druck
Fax: +49 (0)89 / 99 34 11 – 99
Petra Jaser, anzeigen@linuxnewmedia.de
Tel.: +49 (0)89 / 99 34 11 – 24
Fax: +49 (0)89 / 99 34 11 – 99
Penny Wilby, pwilby@linux-magazine.com
Tel.: +44 (0)1787 211100
Joanna Earl, jearl@linuxnewmedia.com
Tel.:+1 785 727 5275
Ann Jesse, ajesse@linuxnewmedia.com
Tel.: +1 785 841 8834
MZV Moderner Zeitschriften Vertrieb GmbH & Co. KG
Ohmstraße 1, 85716 Unterschleißheim
Tel.: 089/31906-0, Fax: 089/31906-113
Vogel Druck und Medienservice GmbH, 97204 Höchberg
Der Begriff Unix wird in dieser Schreibweise als generelle Bezeichnung für die Unixähnlichen
Betriebssysteme verschiedener Hersteller benutzt. Linux ist eingetragenes
Marken zeichen von Linus Torvalds und wird in unserem Markennamen mit seiner
Erlaubnis verwendet.
Eine Haftung für die Richtigkeit von Veröffentlichungen kann trotz sorgfältiger Prüfung
durch die Redaktion vom Verlag nicht übernommen werden. Mit der Einsendung von
Manus kripten gibt der Verfasser seine Zustimmung zum Abdruck. Für unverlangt
eingesandte Manuskripte kann keine Haftung übernommen werden.
Das Exklusiv- und Verfügungsrecht für angenommene Manuskripte liegt beim Verlag. Es
darf kein Teil des Inhalts ohne ausdrückliche schriftliche Genehmigung des Verlags in
irgendeiner Form vervielfältigt oder verbreitet werden.
Copyright © 1994 – 2011 Linux New Media AG
Impressum 06/2011
Service
www.linux-magazin.de
113
Krypto-Info
GnuPG-Schlüssel der Linux-Magazin-Redaktion:
pub 1024D/44F0F2B3 2000-05-08 Redaktion Linux-Magazin
Key fingerprint = C60B 1C94 316B 7F38 E8CC E1C1 8EA6 1F22 44F0 F2B3
Public-Key der DFN-PCA:
pub 2048R/7282B245 2007-12-12,
DFN-PGP-PCA, CERTIFICATION ONLY KEY (DFN-PGP-Policy: 2008-2009)
Key fingerprint = 39 D9 D7 7F 98 A8 F1 1B 26 6B D8 F2 EE 8F BB 5A
PGP-Zertifikat der DFN-User-CA:
pub 2048R/6362BE8B (2007-12-12),
DFN-PGP-User-CA, CERTIFICATION ONLY KEY (DFN-PGP-Policy: 2008-2009)
Key fingerprint = 30 96 47 77 58 48 22 C5 89 2A 85 19 9A D1 D4 06
Root-Zertifikat der CAcert:
Subject: O=Root CA, OU=http://www.cacert.org, CN=CA Cert Signing Authority/
Email=support@cacert.org
SHA1 Fingerprint=13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
MD5 Fingerprint=A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B
GPG-Schlüssel der CAcert:
pub 1024D/ 65D0FD58 2003-07-11 [expires: 2033-07-03]
Key fingerprint = A31D 4F81 EF4E BD07 B456 FA04 D2BB 0D01 65D0 FD58
uid CA Cert Signing Authority (Root CA)
Autoren dieser Ausgabe
Fred Andresen Recht einfach 78
Zack Brown Zacks Kernel-News 22
Norbert Graf Sicher weggeschlossen 50
Rainer Grimm Kurz und bündig 94
Rainer Grimm Tux liest 82
Markus Heller Gut sortiert 60
Eva-Katharina Kunst Kern-Technik 86
Kay Königsmann Schneller, schneller 42
Charly Kühnast Einführung 59
Martin Loschwitz Zusammenpacken 32
Jürgen Quade Kern-Technik 86
Thomas Pfeiffer Gut sortiert 60
Andrej Radonic Reif für die Inseln 66
Dirk Riehle Konzertiert 72
Markus Rothmeyer An der Quelle 46
Michael Schilli Heiße Rhythmen 102
Uwe Vollbracht Tooltipps 56
Christoph Wickert Sicher paketiert 26

Service
www.linux-magazin.de Vorschau 7/2011 1/2011 12/2010 06/2011
114
Vorschau
7/2011 Dachzeile
Kreatives Schreiben
© knallgrün, photocase.com
Startformation in die Cloud
Der Wunsch oder Wille allein, Teile der eigenen IT in die Cloud
zu verfrachten, bewirkt gar nichts. Gefragt ist ein detaillierter
Flugplan in Richtung Troposphäre, der klarmacht, welchen
Dienst oder welche Infrastruktur der Admin praktischerweise
zuerst starten lassen sollte.
Es kommt nämlich nicht drauf an, auf Biegen und Brechen jeden
Dienst auf Reisen zu schicken, sondern genau jene, die
von den Cloud-typischen Skaleneffekten am meisten und am
schnellsten profitieren. Der nächste Magazin-Schwerpunkt befragt
zudem viel fliegende Admins nach ihren persönlichen Erfahrungen
und erkundet die Leistungen einige Cloudanbieter.
MAGAZIN
Überschrift
Um die Gunst von Sachbuch- und Romanautoren, Spielemachern
oder Drehbuchschreibern wetteifern in der nächsten Bitparade
Scrivener Celtx, Writer’s Café und Storybook. Sie helfen
Geschichten zu entwickeln, den Überblick über Erzählstränge
zu behalten und Struktur ins Recherchematerial zu bringen.
Verteilter Bugtracker
Spätestens seit Git kann jeder Entwickler sein eigenes Quelltext-Repository
pflegen und mit anderen synchronisieren. Die
Software SD müht sich um Gleiches mit der Fehlerdatenbank.
Außerdem versucht sich der Bugtracker an einem unbürokratischen
Bonjour-Modus für gemeinsame Programmiersessions.
Objekte erkennen mit Python
Dank moderner Speichermedien horten die stolzen Besitzer
von Digitalkameras Unmengen von Bildern. Wer die Erinnerungsflut
nicht von Hand sortieren mag, erkennt mit etwas Python
und freien Bibliotheken wie Open CV automatisch Schriften,
Gesichter und nackte Haut.
Die Ausgabe 7/2011
erscheint am 9. Juni 2011
Ausgabe 06/2011
erscheint am 19.05.2011
© szazesk2, sxc.hu
Tools für Audio und Video
Dank ausgefeilter Subsysteme und neuer
Chipsätze verwandelt sich der PC in eine
ausgewachsene Workstation zum Bearbeiten
von Audio- und Videodateien. Für jeden
Einsatzzweck haben Sie als Anwender
die Auswahl an Werkzeugen. Dabei spielen
die Applikationen ihre jeweiligen Stärken
vor allem aus, wenn Sie genau wissen,
welche Parameter sie steuern. Wir stellen
neue Entwicklungen im Audio-Processing vor und zeigen, wie Sie Videos
unter Linux schneiden und Radiosendungen ins Netz schicken.
Photivo
Das Raw-Format als digitales Negativ liefert dann qualitativ hochwertige
Ergebnisse, wenn die Software das Potenzial voll ausreizt. Mit
Photivo haben Sie ein Werkzeug an der Hand, mit dem Sie nicht nur
Raw-Formate konvertieren, sondern auch normale Bitmap-Dateien
bearbeiten.
Termine synchron
Um Termine zu synchronisieren, braucht es keine umfangreiche
Groupware: Der Calendar-Server aus dem Darwin-Projekt läuft genügsam
auf einem Rechner im Netz und verteilt von dort die Daten
an PCs und mobile Geräte, zum Beispiel ein Android-Telefon. Unser
Workshop zeigt, welche Vorteile die aktuelle Entwicklerversion
bringt und wie Sie diese aufsetzen.
Intel SSD 510 im Test
Mit einem Preis von knapp 300 Euro für eine 120-GByte-Platte sind
SSDs zwar immer noch recht teuer, aber
immerhin bezahlbar. Wir haben
das neueste Modell von Intel
getestet, das aus der Serie 510
stammt, und unter Ext 4 und Btrfs
überprüft, ob die vom Hersteller
angegebenen Werte beim Lesen
und Schreiben sich auch in der
Praxis widerspiegeln.

Smart Developer
Alles zum Thema mobile Betriebssysteme
Für Smartphone-Entwickler und Entscheidungsträger
4 Hefte
nur
E 26,90
JETZT auch
als PDF
ErhälTlich!
Jetzt bestellen unter:
Meine Vorteile:
+ Ich erhalte vier ausgaben des smart
developer frei Haus für e 26,90 statt
e 31,60 (preise gelten für deutschland)
+ das abonnement ist jeder zeit kündbar.
Ich gehe kein risiko ein
+ aktuell informiert mit allen Neuigkeiten
rund um tablets und smartphones
www.smart-developer.de/abo
Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@smart-developer.de