Ubuntu 18.04 »Bionic Beaver« LTS kann ab heute in der Beta-Version des am 26. April erwarteten neuen Ubuntu mit Langzeitunterstützung getestet werden. Gerade erst hat die Beta-Version von Fedora GNOME 3.28 zu den Anwendern gebracht, da folgt Ubuntu auf dem Fuß. Allerdings ist das mit Ubuntu 18.04 ausgelieferte GNOME gegenüber dem Original leicht modifiziert. Um zu vermeiden, dass die Anwender die Möglichkeit verlieren, Icons auf dem Desktop zu platzieren, liefert Ubuntu beispielsweise den Nautilus-Dateimanager in Version 3.26 aus anstatt 3.28.
Ubuntu 18.04 ist die erste LTS-Version, die nach Jahren wieder mit dem GNOME-Desktop erscheint. Der Wechsel vom hauseigenen Unity zu GNOME war mit Ubuntu 17.10 vollzogen worden. Mit dieser Veröffentlichung fand auch der Wechsel von X.Org zu Wayland statt, der mit 18.04 allerdings als Standard wieder rückgängig gemacht wird. Wayland ist laut Ubuntu-Desktop-Chef Will Cooke für eine für fünf Jahre unterstützte Ubuntu-Version noch nicht ausgereift genug. Anwender können aber jederzeit im Anmeldemanager eine Wayland-Sitzung starten.
Im Vorfeld von 18.04 erregte Canonical einigen Unmut mit der Ankündigung, zu Diagnosezwecken technische Daten von den Rechnern der Anwender sammeln und anonymisiert speichern zu wollen. Der Anwender wird vorher nicht gefragt, sondern muss während der Installation widersprechen, damit keine Daten von seinem Rechner zu den Ubuntu-Servern fließen.
Eine neue Option bietet Ubuntu 18.04 in Ubiquity, dem Ubuntu-Installer an. Hier kann der Anwender entscheiden, ob er die bisher bekannte normale Installation möchte oder die neue, vom Umfang her wesentlich kleinere »Minimal Installation«. Bei Letzterem kommen lediglich der Browser und die wichtigsten Werkzeuge auf die Festplatte. Rund 80 Pakete aus dem Umfang der normalen Ubuntu-Version werden nicht installiert. Das spart rund 500 MByte auf der Festplatte.
Eine weitere Neuerung stellen als Snaps installierte Pakete dar. Dabei handelt es sich derzeit lediglich um einige GNOME-Helfer-Applikationen wie GNOME-Calculator und einige andere. Das Grundgerüst aus Kernel 4.15, X.Org 1.19.6 und Systemd 237-3 sowie der größte Teil der Paketliste besteht weiterhin aus DEB-Paketen.
Intel hat in einem Update seines Papiers Microcode Revision Guidance (PDF) erklärt, die Arbeiten an Microcodes gegen die Spectre-v2-Sicherheitslücke seien beendet. Damit bleiben 10 Produktfamilien mit insgesamt mehr als 230 CPUs ungeschützt vor den im Januar bekannt gewordenen katastrophalen Sicherheitslücken Meltdown und Spectre. Das berichtet heute das Magazin The Register.
Keine Microcodes gegen Spectre v2
Das am 2. April herausgegebene Papier nennt die Familien Bloomfield, Bloomfield Xeon, Clarksfield, Gulftown, Harpertown Xeon C0 und E0, Jasper Forest, Penryn/QC, SoFIA 3GR, Wolfdale, Wolfdale Xeon, Yorkfield und Yorkfield Xeon. Darunter sind CPU der Reihen Xeon, Core-i, Pentium, Celeron und Atom. Auch die einst weit verbreiteten Core 2 Duo gehören dazu. Die ungepatcht verbleibenden CPUs für Desktops oder Notebooks sind alle sechs bis zehn Jahre alt.
Intel nennt drei Gründe, warum CPUs einer dieser Familien nicht gepatched werden:
Mikroarchitektonische Merkmale, die eine technische Mitigation ausschließen, um Spectre v2 abzumildern
Eingeschränkte Unterstützung für kommerziell erhältliche Systemsoftware
Basierend auf den Eingaben der Kunden werden die meisten dieser Produkte als »geschlossene Systeme« implementiert und es wird daher eine geringere Wahrscheinlichkeit erwartet, dass sie diesen Schwachstellen ausgesetzt sind.
Halbherziges Eingeständnis
Intel gibt an, einer oder mehrere dieser Punkte könnten dazu führen, dass eine CPU nicht gepatched wird. Zum ersten Punkt, in dem Intel verklausuliert zugibt, dass seine Ingenieure bestimmte CPUs technisch nicht gepatched bekommen, macht der Konzern keine Angaben, um welche CPUs es sich dabei handelt. Eine gute Nachricht enthält der aktualisierte Report jedoch: die Familien Arrandale, Clarkdale, Lynnfield, Nehalem und Westmere, die vorher nicht gepatcht wurden, haben jetzt funktionierende Korrekturen.
Kernel-Entwickler weiterhin beschäftigt
Für Intel scheint der Skandal um die Sicherheitslücken in den meisten CPUs der letzten 15 Jahre des Unternehmens abgeschlossen. Für die Linux-Kernel-Entwickler ist er das noch nicht. Die Patches direkt im Kernel halten die Entwickler immer noch in Atem. Der gerade erschienene Kernel 4.16 bringt weitere zusätzliche Patches gegen die insgesamt drei Schwachstellen.
Die Überprüfung des Kernelcodes wird die Entwickler noch eine Weile beschäftigen. Mittlerweile wird die Suche nach Stellen, die für Spectre v1 anfällig sind, teilweise automatisiert. Dazu zählt die Identifizierung anfälliger Code-Abschnitte und das Ersetzen des Array-Zugriffs durch die Funktion array_index_nospec() und damit die Abschaltung der spekulativen Ausführung.
Die mit einer Woche Verzögerung ausgelieferte Beta-Version zu Fedora 28 führt das kürzlich veröffentlichte GNOME 3.28 als Desktop-Umgebung ein. Die neue Ausgabe des Fedora-Standard-Desktops bringt neue Funktionen sowie viele kleinere Verbesserungen und Fehlerbehebungen. So kann der Dateimanager Nautilus favorisierte Dateien und Verzeichnisse mit einem Stern zu markieren. Aus der Seitenleiste heraus werden solcherart gekennzeichnete Daten dann gesammelt angezeigt.
Virtualisierung vereinfacht
Auch Boxen, die GNOME-Anwendung zur Verwendung von Remote- und virtuellen Maschinen, bietet eine Reihe neuer Funktionen und Verbesserungen. Eine wichtige Neuerung ist das automatische Herunterladen von Betriebssystemen direkt aus dem neuen Assistenten. Um eine virtuelle Maschine zu erstellen muss lediglich das Betriebssystem ausgewählt werden, den Rest erledigt Boxen.
Auch an anderer Stelle erfahren virtuelle Maschinen mit Fedora 28 bessere Unterstützung. Red-Hat-Mitarbeiter Hans den Goede arbeitet seit einiger Zeit daran, unter anderem das Modul vboxguest im Kernel zu verankern. Das ist mit dem gerade veröffentlicheten Kernel 4.16 gelungen, mit dem Fedora im Mai stabil veröffentlicht wird. Der User-Anteil der VirtualBox Gasterweiterungen ist bei Fedora Workstation nun ebenfalls in der Standardpaketliste.
Bessere Laufzeit
Hans de Goede arbeitet ebenfalls bereits seit geraumer Zeit an der Verlängerung der Laufzeit von Notebooks. Die jetzt in Fedora 28 implementierten Änderungen am Energiekonzept, die die Slides eines Vortrags auf der FOSDEM 2018 näher beleuchten, könnten bei bestimmten Notebooks bis zu 30 Prozent Laufzeitverlängerung bringen.
Anaconda, der Fedora-Installer wurde für Fedora 28 modularisiert. Er wurde dabei in die vier Teile Modules, Core, UI und Installer zerlegt, die per D-Bus kommunizieren und jeweils ein eigenes stabiles API mitbringen. Auf der dem Anwender zugewandten Seite wird der Installer einfacher auftreten und weniger Fragen stellen. Weiterhin stand die Beseitigung von Redundanzen zwischen Anaconda und der Ersteinrichtung des Systems mit den entsprechenden GNOME-Werkzeugen auf dem Programm.
Modularisierung fortgeschritten
Im Rahmen der Bemühungen, die gesamte Distribution weiter zu modularisieren bringt Fedora 28 einige zusätzliche Repositories mit. Aus der Sicht des Endbenutzers wird Fedora künftig mit zwei Sets von Repositories ausgeliefert. Zum einen mit den traditionellen Fedora-Repositories (Fedora, Updates und Update-Tests) und zum anderen mit einem neuen Satz von Repositories mit alternativen und ergänzenden Modulen. Damit sollen Anwender in die Lage versetzt werden, Pakete einer früheren noch unterstützten oder einer künftigen Version aus Git zu nutzen ohne gleich die gesamte Basis ändern zu müssen. Anwender, die von den Modulen keinen Gebrauch machen wollen, können die neuen Repositories deaktivieren und Fedora wie bisher verwenden.
Vorerst nur für Server
Mit Fedora 28 sind diese neuen Repositories nur in der Server-Variante verfügbar. Einige module werden sofort ausgeliefert, andere sollen bis zum stabilen Release folgen. In den anderen Fedora-Varianten und so auch in Fedora-Workstation kann die Funktion zwar bereits freigeschaltet werden, GNOME Software oder Plasma Discover liefern aber noch keine Module. Die benötigte Unterstützung durch libdnf wurde nicht zeitgerecht fertig.
Ein gemeinsamer Satz von Basispaketen bildet die Grundlage jeder Fedora-Edition, und wie bei neuen Versionen des Fedora-Betriebssystems enthält Fedora 28 Beta eine Vielzahl kleinerer Fehlerbehebungen und Optimierungen an diesen Paketen. Die Änderungen an den Basispaketen von Fedora 28 Beta werden durch das Hinzufügen von glibc 2.27, der neuesten Version der GNU Compiler Collection (GCC) 8 und Updates für viele Open-Source-Sprachen, einschließlich Golang 1.10 und Ruby 2.5, hervorgehoben. Die stabile Version von Fedora 28 wird für den 1. Mai erwartet.
Mozilla Thunderbird 60 wird auch den letzten Zweifler überzeugen, dass der weit verbreitete E-Mail-Client nicht ausentwickelt ist, wie das Mozillas Michelle Baker vor Jahren behauptet hatte. Das war einer der Gründe, warum Mozilla sich von Thunderbird zurückziehen wollte. Heute nutzt Thunderbird zwar noch Mozillas Infrastruktur, wird aber ansonsten von einem unabhängigen Entwicklerteam betreut.
Lange wurde dementsprechend Thunderbird lediglich gepflegt anstatt weiter entwickelt. Das damit seit einiger Zeit Schluss ist, belegt auch die jetzt erschienene Beta-Version zu Thunderbird 60. Nachdem die optische Erneuerung in den Händen eines Design-Teams liegt, sind im Dezember 2017 vier neue Entwickler zum Team gestoßen.
Empfänger entfernen
Thunderbird 60 zeigt beim Überfahren des Empfänger-Felds der Adresseingabe eine Entfernen-Schaltfläche in Form eines X, sodass bereits eingetragene Empfänger mit einmem Klick wieder entfernt werden können. Zudem wird bei der Adresseingabe der bereits eingegebene Teil einer Adresse aus einem Adressbuch fett angezeigt. Der Tastenkürzel ALT-M zeigt während der Erstellung einer Mail das Eingabefeld für Anhänge.
Mbox oder Maildir
Ordner können nun vom Mbox-Format nach Maildir und zurück konvertiert werden. Diese Funktion ist derzeit allerdings noch im experimentellen Stadium. Zudem bietet Thunderbird 60 an, IMAP-Ordner zu komprimieren, auch wenn das Konto online ist. Auch die Kalender-Komponente wurde aufgewertet. So können einzelne oder mehrere Einträge kopiert, ausgeschnitten oder entfernt werden. Zudem ist es möglich, Orte für Kalenderereignisse sowohl in der Tages- als auch in der Wochenansicht anzuzeigen.
Die Kalender-Komponente bietet zudem nun auch die Möglichkeit, Terminbenachrichtigungen direkt zu versenden, anstatt ein Popup-Fenster anzuzeigen. Andererseits entfernt Thunderbird 60 die Möglichkeit, E-Mail-Einladungen zu versenden, die mit Microsoft Outlook 2002 und früheren Versionen kompatibel sind. Auf der Seite mit den Release Notes kann Thunderbird 60 Beta heruntergeladen werden.
Einige große Distributionen befinden sich seit geraumer Zeit im Umbau, um auf veränderte Herausforderungen in der IT zu reagieren. Sowohl Fedora als auch openSUSE haben sich in den letzten Jahren von Grund auf neu aufgestellt. Fedora teilte die Distribution in drei Teile für Desktop, Server und Cloud auf und arbeitet weiter an der Modularisierung. openSUSE verankerte Tumbleweed sehr erfolgreich als offizielle Rolling-Release-Variante und setzte obendrauf mit openSUSE Leap einen Hybriden, der sein Basissystem aus der Mutter-Distribution SUSE bezieht und den Rest aus Tumbleweed hinzufügt.
Debian unzufrieden
Jetzt scheint auch Debian an einem Punkt angelangt, an dem eine Kurskorrektur ansteht. Schon seit Jahren sieht sich Debian, eine der ältesten Distributionen am Markt, zunehmend in der Situation, hauptsächlich als Basis für einige Hundert Derivate zu dienen und seine ursprüngliche Ausrichtung zu verlieren. Auch die Einführung von länger unterstützten Veröffentlichungen, die für die Distribution ein Kraftakt war, konnte an der Situation nichts ändern. Während ein Teil der Entwickler die Positionierung als Basis für andere Distributionen als akzeptabel empfinden, scheint nun eine andere Fraktion die Oberhand zu gewinnen, die diesen Zustand nicht hinnehmen will.
Rolling Release als Lösung
Aus gut unterrichteter Quelle ist zu erfahren, dass Debian plant, die für Desktop-Nutzer oft etwas angestaubte Variante Stable, die bisher als einzige veröffentlicht wird, um eine weitere Veröffentlichung auf der Basis von Debian Unstable aka Sid zu bereichern. Das würde dann in etwa dem Entwicklungsmodell von openSUSE mit Tumbleweed oder Red Hat mit Fedora entsprechen. Zudem ist eine schmale Variante für Cloud und Container unter dem Begriff Debtainer angedacht.
Chance für Entwicklungsimpulse
das inoffizielleDebian Unstable wird zwar von vielen Entwicklern genutzt, dient auch etwa dem Derivat Siduction als Basis, hat aber insgesamt nicht die Verbreitung wie die eben genannten Beispiele der Mitbewerber. Debian erhofft sich von dem geplanten Schritt eine breitere Basis an Benutzern für die Rolling-Release-Variante und verbindet damit die Hoffnung auf neue Impulse für die Entwicklung. Wie die neue Ausrichtung technisch umgesetzt wird und wie die zusätzliche Arbeitslast geschultert werden soll ist noch nicht ausgearbeitet.Auch ein genauer Termin ist noch nicht festgelegt.
Kernel haben gemeinhin eine recht kurze Lebensspanne, die kaum über das nächste Release hinausreicht. Ein oder zweimal im Jahr greift sich Greg Kroah-Hartman einen Kernel heraus und lässt ihm eine Langzeitpflege von rund zwei Jahren angedeihen. In dieser Zeit erhält dieser Kernel Sicherheits-Updates und Fehlerbereinigung.
Kernel 3.2 noch gepflegt
Einige Maintainer pflegen Kernel auch über längere Zeiträume, ohne dass dazu feste Regeln bestehen. Der derzeit älteste noch offiziell gepflegte Kernel ist der von Debian-Entwickler Ben Hutchins gepflegte Kernel 3.2, der im Januar 2012 veröffentlicht wurde. Vor nicht allzulanger Zeit erst wurde die Pflege des Kernels 2.6.32 von 2009 eingestellt.
20 Jahre Support geplant
Das alles erscheint kurz gegenüber den Plänen einer Initiative, die Kernel über 20 Jahre pflegen möchte, über die Jonathan Corbet jetzt auf LWN berichtet. Dabei handelt es sich um die Civil Infrastructure Platform (CIP). Entwickler Yoshitake Kobayashi stellte das Konzept auf der kürzlich abgehaltenen Embedded Linux Conference 2018 in Portland, Oregon vor. Dabei geht es darum, eine stabile Tragschicht für zivile Infrastruktursysteme zu schaffen.
Andere Zeitskala
Die Infrastrukturen, auf die wir uns alle verlassen, einschließlich derjenigen für Transport, Energieerzeugung und vieles mehr, basieren auf Linux. Wenn diese Systeme ausfallen, entstehen sofort ernsthafte Probleme. Diese Art von Infrastruktur läuft auf einer anderen Zeitskala als eine typische Linux-Distribution. Die Entwicklungszeit, die allein für die Inbetriebnahme eines solchen Systems benötigt wird, kann bis zu zwei Jahrzehnte betragen, und das System selbst kann dann üblicherweise 25-60 Jahre in Betrieb bleiben.
Our civilization’s infrastructure runs on Linux
<em>Yoshitake Kobayashi</em>
Zuverlässigkeit, Robustheit und Sicherheit
Die Rechnersysteme, die diese Infrastrukturen unterstützen, müssen über lange Zeiträume funktionieren. Sie müssen auf industrietauglicher Software basieren, die in der Lage ist, das erforderliche Maß an Zuverlässigkeit, Robustheit und Sicherheit zu bieten. Aber auch in dieser konservativen Umgebung müssen diese Systeme stets auf dem aktuellen Stand der Technik sein. Bislang wurde die langfristige Unterstützung, die notwendig ist, um sie am Laufen zu halten, von einzelnen Unternehmen geleistet, ohne dass es zu gemeinsamen Anstrengungen kam, wie Kobayashi berichtet. Das hat diese Systeme zwar funktionsfähig gehalten, ist aber ein teurer Ansatz, der tendenziell hinter dem aktuellen Stand der Technik zurückbleibt.
Gemeinsam stärker
Der Weg zu einer Zusammenarbeit besteht darin, ein kollaboratives Framework zu schaffen, das industrietaugliche Software unterstützt und dabei so weit wie möglich mit den Entwickler-Communities zusammenarbeitet. Das ist die Rolle, für die das CIP geschaffen wurde. Derzeit unterstützen sieben Mitgliedsunternehmen die Initiative. Sie supporten das Projekt, indem sie direkt zu den Upstream-Projekten beitragen und Arbeiten finanzieren, die die Ziele des CIP vorantreiben.
SLTS-Kernel
CIP konzentriert sich derzeit auf die Erstellung einer Open-Source-Basisschicht, die aus einer kleinen Anzahl von Komponenten besteht, darunter der Kernel, die GNU C-Bibliothek und BusyBox. Die Distributoren sollen auf dieser Basis aufbauen können. Das Hauptprojekt im Moment ist die Erstellung des Super-Langzeit-Support-Kernels (SLTS), der hoffentlich mindestens zehn Jahre lang unterstützt werden kann. Wenn damit die Erfahrung mit extra langfristigem Support wächst, werden künftige Kernel auch längere Supportzeiten haben können. Der erste SLTS-Kernel basiert auf der 4.4 LTS-Version und wird von Ben Hutchings gewartet; die entsprechende 4.4.120-cip20-Version erschien am 9. März 2018.
Im Allgemeinen sehen die Richtlinien des Projekts vor, den stabilen Upstream-Versionen zu folgen, solange sie unterstützt werden. Backports von neueren Kerneln sind explizit erlaubt, aber sie müssen in der Hauptlinie liegen, bevor sie für einen SLTS-Kernel infrage kommen. Neue Kernel-Versionen werden alle vier bis sechs Wochen veröffentlicht. Es gibt eine explizite Richtlinie, die die Unterstützung für Out-of-Tree-Treiber aus dem Staging-Bereich des Mainline-Kernel-Trees ausschließt.
Anpassung an LTS-Auswahl
Alle zwei bis drei Jahre wird ein neues Major-Kernel-Release für den Super-Langzeit-Support ausgewählt. Das Projekt denkt derzeit darüber nach, welches Release die Basis für den nächsten SLTS-Kernel sein wird. Die Anpassung an die LTS-Auswahl von Greg Kroah-Hartman ergibt dabei den meisten Sinn. Bei einem Treffen auf dem Japan Open Source Summit im Juni wird diese Entscheidung getroffen werden.
Das Jahr-2038-Problem von EDV-Systemen könnte zu Ausfällen von Software im Jahr 2038 führen.« -<em> Wikipedia</em>
Zusammenarbeit mit Debian
Das Hauptaugenmerk von CIP-Core liegt bei der Erstellung von installierbaren Images, die aus einer kleinen Untermenge von Debian-Paketen und dem CIP-SLTS-Kernel bestehen. Der Code hierzu wird auf GitLab gepflegt. CIP arbeitet mit Debian zusammen, um eine Untermenge von Paketen längerfristig zu unterstützen, die Cross-Compilation zu verbessern und den Austausch von DEP-5-Lizenzinformationen zu verbessern.
Sicherheitszertifizierung angestrebt
Längerfristig strebt CIP eine Sicherheitszertifizierung nach IEC-62443 an. Das ist ein ehrgeiziges Ziel, das CIP nicht alleine erreichen kann. Das Projekt arbeitet an Dokumentationen, Testfällen und Tools, die hoffentlich bei einem Zertifizierungsantrag helfen werden. Ein weiteres Problem, das bei einem solchen Projekt auf dem Radar sein muss, ist das Jahr-2038-Problem, das derzeit eine harte Grenze setzt, wie lange ein Linux-System unterstützt werden kann. CIP arbeitet mit Kernel- und Libc-Entwicklern zusammen, um Lösungen in diesem Bereich voranzutreiben.
Artifizielle Intelligenz (AI) ist ein Teilgebiet der Informatik, welches sich mit der Automatisierung intelligenten Verhaltens, Maschinenlernen (ML) und Deep Learning befasst. Sie ist ein aufstrebendes Forschungsgebiet und wird unser Leben nachhaltig ändern. Hoffnungen und Befürchtungen halten sich die Waage. Die Linux Foundation ist bestrebt, mit der Gründung der Deep Learning Foundation Open-Source-Prinzipien in diesem Bereich der Entwicklung zu verankern.
AI als Open Source
Vor einigen Tagen gab die Open-Source-Organisation offiziell die Gründung der Deep Learning Foundation an. Das offizielle Ziel ist es, Open-Source-Innovationen in den Bereichen KI, maschinelles Lernen und Deep Learning zu fördern. Wie die meisten Linux-Foundation-Projekte bedeutet dies vor allem die Entwicklung von Software. Das noch junge Projekt hat bereits Sponsoren wie Amdocs, AT&T, B.Yond, Baidu, Huawei, Nokia, Tech Mahindra, Tencent, Univa und ZTE am Start.
Das Acumos AI-Projekt
Die Software, die bereits zum Download zur Verfügung steht, ist das Acumos AI-Projekt und wurde von AT&T und Tech Mahindra aus Indien, einem Anbieter von IT für die Telekommunikation, geliefert. Die Plattform ermöglicht die einfache Erstellung, gemeinsame Nutzung und Bereitstellung von Modellen für maschinelles Lernen, Deep Learning und Analysen, entweder in eigenständigen Implementierungen oder integriert in andere Anwendungen. Die Linux Foundation wird das Projekt zusammen mit einem unterstützenden Acumos Marketplace hosten. Ziel ist, eine Gemeinschaft von Entwicklern um das Projekt herum aufzubauen, um den Anteil von Open-Source-Software in diesem rapide wachsenden Bereich zu erhöhen.
Vom Buzzword zur Realität
Obwohl AI bereits seit über einem Jahrzehnt ein Schlagwort ist, hat es erst seit kurzem seinen Weg in den Rechenzentren sowie in kommerzielle Anwendungen gefunden. In den letzten Jahren hat die Technologie, insbesondere das maschinelle Lernen, einen dramatischen Anstieg bei Anwendungen gezeigt. Die Technologie ist gereift, und in der kommerziellen IT ist es bereits jetzt schwierig, Anwendungen zu finden, die nicht über einen gewissen Grad des maschinellen Lernens verfügen.
Es handelt sich hier um eine Technologie, die besonders für das Open-Source-Entwicklungsmodell geeignet ist, wenn man eine tolerante Lizenzierung verwendet, da Unternehmen zusammenarbeiten können, um die grundlegenden AI- oder ML-Frameworks zu erstellen und dann ihre eigenen proprietären Aufsätze hinzuzufügen.
Nach fast zwei Jahren Entwicklung, fünf Release-Kandidaten, unzähligen Tests und einiger Verzögerung aufgrund der Sicherheitslücken Meltdown und Spectre ist Qubes OS 4.0 nun stabil verfügbar. Das auf Sicherheit ausgelegte Qubes OS geht davon aus, dass es generell keine perfekte fehlerfreie Desktop-Benutzerumgebung gibt.
Einigermaßen sicheres Betriebssystem
Die seit 2010 entwickelte Distribution Qubes OS hat ein eigenes Sicherheitskonzept entwickelt und nennt es »Sicherheit durch Isolation«. Dabei wird ein minimales Gastsystem als Xen-VM (Dom0) ohne Netzzugang, in dem die Desktopumgebung läuft, durch virtuelle Maschinen erweitert, die ebenfalls auf dem Hypervisor Xen basieren. In den virtuellen Maschinen (VMS) werden Applikationen voneinander getrennt, wobei verschiedene Sicherheitslevel zur Anwendung kommen. Diese werden in den Fensterleisten der Applikationen durch verschiedene Farben markiert. Projektgründerin Joanna Rutkowska, die das Sicherheitslabor Invisible Things Lab gegründet hat, beschreibt das ureigene Konzept von Qubes OS als »einigermaßen sicheres Betriebssystem«.
Qubes Core Stack aktualisiert
Mit QubesOS 3.2 erschien die letzte Version des Betriebssystems im Herbst 2016. Version 4.0 enthält einige grundlegende Verbesserungen der Sicherheit und Funktionalität von Qubes OS. So wurde der Kernel auf Version 4.9 LTS angehoben und Qubes Core Stack auf Version 3 aktualisiert. Qubes Core Stack ist, wie der Name schon sagt, die Kernkomponente von Qubes OS. Es ist der Klebstoff, der alle anderen Komponenten miteinander verbindet und es Benutzern und Administratoren ermöglicht, mit dem System zu interagieren und es zu konfigurieren.
Fedora 25 als Grundlage
Die zentrale Dom0-Domain wurde auf Fedora 25 aufgesetzt. Neu eingeführt wurde die Qubes Admin API. Deren Grundlage ist die Qrexec-Richtlinie, die die Kommunikation zwischen den einzelnen isolierten Xen-Domains regelt. Dabei geht es auch um Administrationsrechte, Paket-Installation, Backups und vieles mehr. So sind Backups in Qubes 4.0 nur noch verschlüsselt zulässig. In der Folge der Sicherheitslücken Meltdown und Spectre wurden die meisten Virtuellen Maschinen (VM) von Hardware Assisted Virtualisation (HVM) auf PVH als Xen-Virtualisierungsmethode umgestellt.
Einweg-VM-Templates
Zudem führt Qubes 4.0 verschiedene Einweg-VM-Templates (DispVM). Damit kann schnell eine VM hochgezogen werden, die beim Schließen wieder zerstört wird. Einweg-VMs werden typischerweise erstellt, um eine einzelne Anwendung wie einen Viewer, Editor oder Webbrowser zu hosten. Änderungen an einer in einer DispVM geöffneten Datei werden an die ursprüngliche VM zurückgegeben. Das bedeutet, dass man sicher mit nicht vertrauenswürdigen Dateien arbeiten kann, ohne das Risiko einzugehen, die andere VMs zu gefährden. DispVMs können entweder direkt aus dem Startmenü, dem Terminalfenster von Dom0 oder aus AppVMs heraus gestartet werden.
Librem 13 zertifiziert
Ein neuer Volume-Manager erlaubt mehr Flexibilität bei der Auslagerung von VMs auf externe Speichermedien. Zudem wurden die Kommandozeilenwerkzeuge neu geschrieben und um neue Optionen erweitert. Das 64-Bit-Image von Qubes-R4.0 mit einer Größe von 4,7 GByte steht auf der Projektseite zum Download bereit. Anwender, die Qubes 4.0-rc5 einsetzen, können aus dem System heraus upgraden. Für Anwender, deren Hardware Qubes 4.0 nicht unterstützt oder die nicht sofort aktualisieren können, steht eine bis zum 28.3.2019 unterstützte Version Qubes 3.2.1 mit aktualisierten TemplateVMs und neuerem Kernel bereit. Erst kürzlich wurde das Linux-Notebook Librem 13 speziell für Qubes OS 4 zertifiziert.
Angesichts der Nachrichten über das millionenfache Abgreifen von Daten von Facebook durch die Firma Cambridge Analytica hat Mozilla eine seit Jahren in der Entwicklung befindliche Technik aufgegriffen und, beschleunigt durch die Ereignisse, ein neues Add-on veröffentlicht, dass auf den Namen Facebook Container hört. Es basiert auf der Entwicklung der bereits länger verfügbaren Erweiterung Firefox Multi-Account Containers und soll das Tracking der Anwender von Firefox beim Besuch von Facebook verhindern.
Weniger Tracking von Facebook
In einem Beitrag im Mozilla-Blog schreibt Firefox Vice President Nick Nguyen, es sei heute für den Anwender kaum noch zu verstehen, wie technisch komplex Imperien wie Facebook, Google und andere mit den Informationen handeln, die sie über uns im Internet abgreifen. Die Seiten, die wir im Internet besuchen, sagen viel über uns aus. Per Tracking können Anbieter ableiten, wo wir leben, welche Hobbys wir nachgehen und welcher politischen Überzeugung wir den Vorrang geben. Die per Tracking gewonnenen Daten werden mit unseren sozialen Profilen verknüpft und an Dritte verkauft oder einfach entwendet, wie im jüngsten Fall. Facebook verfügt über ein Netzwerk von Trackern auf verschiedenen Websites, die genau diesen Fall begünstigen.
Weniger Verknüpfung von Daten
Facebook Container isoliert die Facebook-Identität des Anwenders vom Rest seiner Web-Aktivitäten. Facebook kann damit weiterhin normal genutzt werden. Der Unterschied ist, dass es für Facebook viel schwieriger ist, die während der Facebook-Sitzungen gesammelten Informationen zu nutzen, um maßgeschneiderte Werbung und andere gezielte Nachrichten zu versenden. Mozilla betont, die Erweiterung richte sich nicht gegen Facebook, denn viele Nutzer von Firefox würden Nutzen aus Facebook ziehen. Es versuche, dem Anwender mehr Kontrolle über seine Daten zu geben. Zum Schluss verlinkt Nguyen noch zu einer Seite der Electronic Frontier Foundation (EFF), die gute Tipps für mehr Privatspäre im Zusammenhang mit Facebook bietet.
Nach der Installation der Erweiterung werden zunächst die Facebook-Cookies gelöscht und der Anwender von Facebook abgemeldet. Beim nächsten Besuch von Facebook wird der Dienst in einem neuen blauen Browser-Tab, einem sogenannten »Container-Tab« geöffnet. Auf diesem Tab kann sich der Anwender bei Facebook einloggen und es wie gewohnt nutzen. Wird auf einen Nicht-Facebook-Link geklickt oder zu einer Nicht-Facebook-Website in der URL-Leiste navigiert, werden diese Seiten außerhalb des Containers geladen. Ein Klick auf Facebook-Share-Buttons in anderen Tabs lädt diese in den Facebook-Container. Beim Benutzen dieser Schaltflächen werden üblicherweise Informationen über die Website, auf der sie geklickt wurden, als Referrer an Facebook gesendet.
Anders als gewohnt
Werden Facebook-Anmeldeinformationen verwendet, um bei einem anderen Dienst ein Konto zu erstellen oder mit Facebook-Anmeldeinformationen anzumelden, kann es sein, dass der Container das unterbindet. Da der Anwender im Container-Tab bei Facebook angemeldet ist, funktionieren auch eingebettete Facebook-Kommentare und Like-Buttons in Tabs außerhalb des Facebook-Container-Tabs nicht. Dadurch wird verhindert, dass Facebook Informationen über Ihre Aktivitäten auf externen Webseiten außerhalb von Facebook mit Ihrer Facebook-Identität verknüpft.
Eigentlich ist die Distribution Slax ein Blender. Wer Slax erstmals entdeckt, erwartet, dass sich dahinter ein Derivat von Slackware verbirgt. Slax hieß ursprünglich Slackware-Live-CD, was klar verdeutlicht, was dahintersteckt. 2013 wurde das Projekt Slax von Entwickler Tomáš Matějíček eingestellt, um von ihm 2017 unter dem gleichen Namen wiederbelebt zu werden. Die Basis änderte sich dabei von Slackware und KDE auf Debian Stable und Fluxbox. Als Grund für die Änderung der Basis gibt Matějíček die ihm zu eigene Faulheit an. Unter Debian sei die Pflege der Distribution wesentlich einfacher als unter Slackware, so Matějíček.
Kleines Image mit Persistenz
Die nur rund 260 MByte große Live-CD bedient sich eines modularen Konzepts, das eine Erweiterung des Systems erlaubt. So können ohne feste Installation auf der Festplatte weitere Anwendungen hinzugefügt werden, sofern Slax von einem beschreibbaren Medium wie einem USB-Stick oder einer Festplatte live gestartet wird. Die dahinter stehende Technik nennt sich bei Slax Persistent Changes. Hinzugefügte Anwendungen und vorgenommene Konfigurationen bleiben auch über einen Neustart hinaus erhalten, wobei nicht die gleiche Hardware zum Einsatz kommen muss.
Auch für alte Hardware
Slax erscheint für 32- und 64-Bit, die 32-Bit-Version läuft laut Entwickler auf Rechnern mit Intel 686 bis zurück ins Jahr 1995, wenn diese mindestens 128 MByte RAM mitbringen. Die neue Version bringt neben Fehlerbereinigungen einige neue Pakete sowie Detailverbesserungen. So kann der Dateimanager PCManFM nun besser mit verschiedenen Dateitypen umgehen. Die Pakete Xarchiver, Rfkill, Libdrm-Intel1-, Libgl1-Mesa-Dri- sowie Libglu1-Mesa wurden der Distribution für die neue Version hinzugefügt. Die Images in 32- und 64-Bit sowie ein Image mit dem Open-Source-Netzwerk-Bootloader iPXE stehen auf der Downloadseite des Projekts zum Herunterladen bereit.
