Debian weist im aktuellen Security Advisory DSA-4279-1 auf die Schließung der kürzlich unter der Bezeichnung Foreshadow beziehungsweise L1 Terminal Fault (L1TF) bekannt gewordenen Sicherheitslücken in Intel-CPUs hin. Die geschlossenen Lücken beziehen sich auf die Kennnummern CVE-2018-3620 und CVE-2018-3646. Von den Lücken sind sowohl auf realer Hardware laufende als auch virtualisierte Systeme betroffen.
Bereits länger bekannt
Mehrere Forscher hatten die Schwachstellen in der Art, wie Intel-CPUs bei der spekulativen Ausführung von Anweisungen private Daten zugreifbar machen kann bereits vor Monaten entdeckt. Diese Fehler ähneln der Meltdown-Attacke und betreffen speziell die virtuelle Speicherverwaltung über Pagetables.
Kernel und Microcode
Um diese Schwachstellen vollständig zu schließen, ist es neben dem veröffentlichten Debian-Kernel 4.9.110-3+deb9u3 erforderlich, dass unter Debian »Stretch« der aktualisierte CPU-Microcode in Version 3.20180703.2~deb9u1 aus dem unfreien Repository non-free eingespielt wird. Dazu müssen Anwender kurzzeitig ihre Quellenliste erweitern. Dieser Microcode schließt durch Speculative Store Bypass Disable (SSBD) zusätzlich auch die Lücken Spectre Variante 3a und Variante 4 (CVE-2018-3639).
Anwender von Debian Stable sind aufgerufen, die aktualisierten Pakete schnellstmöglich einzuspielen, um gegen die Lücken geschützt zu sein.
Alex Larsson hat heute nach insgesamt drei Jahren Entwicklung Flatpak 1.0 freigegeben und damit das distributionsübergreifende Paketsystem, das seine Entwicklung unter dem Namen XDG-App begann, für den produktiven Einsatz freigegeben. Die Serie 1.x folgt auf die im Oktober 2017 veröffentlichte Reihe 0.10.x. Flatpak 1.0 soll über signifikant verbesserte Leistung und Zuverlässigkeit verfügen. Neben einer großen Anzahl an beseitigten Fehlern wurde auch mit neuen und verbesserten Funktionen nicht gespart.
Berechtigungen überarbeitet
Anwender wird es freuen, dass Flatpak 1.0 bereits bei der Installation einer Anwendung die Zustimmung zu den Berechtigungen anfragt, und nicht erst bei der ersten Ausführung. Wenn ein künftiges Update der Anwendung zusätzliche Berechtigungen benötigt, wird Flatpak dabei erneut auffordern, die Anfrage je nach Bedarf zu entscheiden.
Neues Portal
Der Ersteller eines Flatpak kann in der neuen Version der paketierten Anwendung ein Ablaufdatum mitgeben. Das kommt beispielsweise Entwicklern zugute, die eine Testversion herausgeben, die nur eine begrenzte Zeit lauffähig sein soll. Flatpak erhielt auch ein neues Flatpak-Portal, mit dem Linux-Anwendungen Sandboxen erstellen und sich selbst neu starten können. Das neue Werkzeug flatpak-spawn kann Befehle des Hosts ausführen, sofern die Berechtigungen das erlauben und kann unter Verwendung der APIs des neuen Portals neue Sandboxen aus einer Anwendung heraus erstellen. Zudem kann Flatpak 1.0 TLS-Zertifikate des Hosts für Sandbox-Anwendungen freigeben.
Flatpaks lernen SSH
Flatpak 1.0 ermöglicht Apps in Sandboxen zudem den Zugriff auf den SSH-Agent des Hosts für den sicheren Zugriff auf Git-Repositories oder Remote-Server und ermöglicht Apps den Zugriff auf Bluetooth-Geräte. Außerdem ist die P2P-Methode für die Installation von Flatpak-Anwendungen über USB-Sticks oder das lokale Netzwerk nun standardmäßig aktiviert und wird in allen Builds unterstützt. Eine neue Fallback-Lösung für Anwender in einer X11-Sitzung wurde in Flatpak implementiert. Dies kann verwendet werden, um sicherzustellen, dass eine App in Wayland keinen unnötigen X11-Zugriff hat, aber dennoch in einer X11-Sitzung alle nötigen Rechte erhält.
Darüber hinaus erhielt Flatpak neue Kommandozeilenbefehle und weitere Verbesserungen für Plattform-Entwickler und Linux-Distributoren. Hauptentwickler Larsson bezeichnete die stabile Freigabe von Flatpak als »wichtigen Schritt in Richtung des Ziels, das Linux-Ökosystem zu revolutionieren«. Insbesondere bei Fedora 29 wird Flatpak im Rahmen des Projekts Silverblue eine wichtige Rolle zukommen.
Flatpak 1.0 braucht, wenn es aus den Quellen gebaut wird, Bubblewrap 0.2.1 und OSTree 2018.7. Distributoren sind aufgefordert, die neue Version möglichst bald ihren Anwendern zur Verfügung zu stellen. Alle Änderungen zu Flatpak 1.0 sind auf GitHub verzeichnet.
Kürzlich berichteten wir über eine Mozilla-Webseite, die 14 Firefox-Add-ons für den Schutz der Privatsphäre empfiehlt. Peinlich für Mozilla: Darunter befand sich mit dem Add-on Web-Security eine Erweiterung, die heimlich nach Hause telefonierte. Unter anderem berichtete auch das Blog von Mike Kuketz über den Vorfall.
Peinlicher Vorfall
Nachdem die Presse dies aufgegriffen hatte, hat Mozilla das beanstandete Add-on aus dem Artikel und mittlerweile auch komplett aus dem Kreis der installierbaren Erweiterungen entfernt, ohne aber die Zahl der Add-ons zu ändern, dort steht immer noch 14. Es stellte sich heraus, dass Web-Security seinem Namen nicht gerecht wurde, sondern im Gegenteil bei jedem Seitenaufruf nicht nur die URL der aktuellen Webseite, sondern auch von den zuvor besuchten Seiten unverschlüsselt an einen deutschen Server gesendet hat.
Das Online-Magazin The Register fragte bei der Entwicklerfirma Creative Software Solutions nach. Deren Direktor Fabian Simon sagt, dass die Sammlung von Browsing-Informationen nur durchgeführt wird, um eine Website gegen die globale Blacklist von Web Security zu prüfen und fährt fort:
[su_quote style=“modern-light“]»Dies ist ein notwendiger Schritt, um die Funktionalität des Add-ons zu gewährleisten und hat nichts mit der Verfolgung des Browserverhaltens des Benutzers zu tun, daher zeigten diese Berichte nur einen Teil der Funktionsweise des Add-ons zum Schutz des Benutzers.Wir nehmen den Datenschutz sehr ernst und verwenden diese Server-Kommunikation nicht, um den Verlauf der Benutzer zu verfolgen.«[/su_quote]
Die Entwickler erklärten mittlerweile, die Erweiterung überarbeiten und erneut einreichen zu wollen. Wünschenswert wäre, weniger Daten und diese verschlüsselt zu versenden.
Mozilla greift durch
Mozilla, einmal wachgerüttelt, nahm weitere Firefox-Add-ons unter die Lupe, um weiteren peinlichen Entdeckungen von dritter Seite zu entgehen. Im Rahmen dieser Untersuchung wurden nun 23 Erweiterungen entfernt. Die beanstandeten Add-Ons wurden auch bei den Anwendern, die sie installiert haben, deaktiviert.
Unklare Motive
Alle diese Erweiterungen verwendeten subtile Code-Verschleierung, bei der die eigentliche legitime Erweiterungsfunktionalität mit scheinbar unschuldigem Code gemischt wurde, der über mehrere Orte und Dateien verteilt ist. Die schiere Anzahl irreführender Bezeichner, verschleierter URLs / Konstanten und verdeckter Datenströme ließ wenig Zweifel an den Absichten der Autoren aufkommen:
Es war offensichtlich, dass sie versucht haben, bösartigen Code in ihrem Add-on zu verstecken, so Wu zu der Webseite Bleeping Computer. Diese hat am Ende ihres Berichts alle entfernten Firefox-Add-ons aufgeführt. Darunter sind auch die Erweiterungen Browser Security, Browser Privacy und Browser Safety, die URLs an die gleiche Serveradresse sendeten wie Web Security.
Die KDE Applications enthalten die Anwendungen, die nicht direkt mit dem Plasma-Desktop gebündelt ausgeliefert werden. Jetzt wurde die Version KDE Applications 18.08 freigegeben, die eine Vielzahl von Verbesserungen bringt. Hauptsächlich profitieren davon diesmal der Dateimanager Dolphin, der Bildbetrachter Gwenview und das Screenshot-Tool Spectacle. Aber auch KMail und Akonadi wurden verbessert.
GUI-Apps als Root oder nicht?
Besonders oft nachgefragt war die Zurücknahme einer Änderung, die der ehemalige KWin-Betreuer Martin Flöser eingeführt hatte. Da er der Meinung ist, grafische Anwendungen sollten möglichst nicht als Root laufen, verhinderte er dies für die KDE-Anwendungen Dolphin, Kate und KWrite. Zumindest für Dolphin wurde das mit den KDE Applications 18.08 jetzt zurückgenommen. Der Plasma-Dateimanager kann mit dem Update wieder als Root gestartet werden.
Bessere Lösung
Aber die wichtigere Entwicklung in diesem Zusammenhang ist noch nicht abgeschlossen. Die Entwickler arbeiten daran, in einer Dolphin-Umgebung, die im Usermode läuft, eine Datei, die Root gehört, bearbeiten zu können, indem kurzfristig eine Authorisierung dazu erteilt wird und nicht die gesamte Anwendung als Root läuft. Dieses Prinzip soll dann auch auf andere Anwendungen portiert werden.
Darüber hinaus wurde der Einstellungsdialog von Dolphin weiter an die KDE-Design-Richtlinien angepasst und soll nun intuitiver nutzbar sein. Die neue Version soll zudem weniger Speicherlecks haben und sich nun besser an HiDPI-Auflösungen anpassen. Das Kontext-Menü wurde erweitert, das Sortieren nach Änderungszeit soll nun wesentlich schneller vonstatten gehen.
Gwenview aufgewertet
Die meisten Änderungen der KDE Applications 18.08 erfuhr jedoch der Bildbetrachter Gwenview. Dort wird künftig in der Statusleiste die laufende Nummer und die Anzahl der dargestellten Bilder angezeigt. Die Sortierung kann nun auch in umgekehrter Richtung erfolgen, zudem kann nach den Bewertungen sortiert werden. Die Bildgröße kann beim Ändern jetzt auch in Prozent angegeben werden.
Mit Drag&Drop lassen sich künftig Dateien und Ordner in den Ansichtsmodus ziehen. Bilder lassen sich aus der Anzeige in externe Anwendungen ziehen oder per Kopieren und Einfügen dorthin bewegen. Das gelingt auch mit modifizierten Bildern. Das Zoomen innerhalb der Anwendung wurde so erweitert, dass es unter anderem auch dann funktioniert, wenn das Bild im Modus für Beschneiden oder im Rote-Augen-Modus ist.
Der Share-Button weist nun darauf hin, wenn die Kipi-Plugins fehlen und steht nach deren Installation sofort zur Verfügung. Wird ein Bild unter einem neuen Namen gespeichert, springt Gwenview nicht mehr willkürlich zu einem anderen Bild.
Spektakulär
Spectacle, das früher KSnapshot hieß, erbte einige Funktionen von anderen Linux-Screenshootern. Diese betreffen die Rechteck-Auswahl. Vom GTK-Screenshot-Tool Shutter erbte Spectacle einen Zoom, der die genaue Platzierung der Auswahl erlaubt. Von Flameshot stammt die Möglichkeit, den Rahmen auch über das Richtungskreuz der Tastatur anzupassen. Um den gesamten Rahmen pixelweise zu verschieben, lassen sich die Richtungstasten nutzen. Geht es darum, den Rahmen zu verkleinern, lässt sich das pixelweise mittels der Richtungstasten in Kombination mit der Umschalt-Taste erreichen. Screenshots können nun automatisch in benutzerdefinierten Unterverzeichnissen gespeichert werden.
Reisedaten im Kalender
Der E-Mail-Client KMail extrahiert auf Wunsch Daten aus E-Mails und trägt sie in den Kalender ein. Das geht nun auch mit den Barcodes von E-Tickets nach UIC 918.3 und von der staatlichen Eisenbahngesellschaft Frankreichs, SNCF. Zudem wurde Unterstützung für Multi-Traveler-Routen hinzugefügt, KMail bietet zudem künftig Integration mit der KDE Itinerary-App. Das PIM-Framework Akonadi arbeitet jetzt schneller und bietet XOAUTH-Unterstützung für SMTP, was eine native Authentifizierung mit Google Mail ermöglicht.
Für Konsoleros
Nicht zuletzt erhielt der Terminal-Emulator Konsole einige neue Escape-Sequenzen und das Fenster für die Suche wurde an den oberen Fensterrand verlegt. Zudem kann Konsole nun beliebige Zeichen auf ein Tastenkürzel legen. KDE hat sich zudem endlich entschieden, mit Ctrl+Alt+T eine standardmäßige globale Verknüpfung zum Starten der Konsole-Terminalanwendung festzulegen. Im Zuge der Entwicklung zu KDE Applications 18.08 wurden 120 Fehler in vielen Anwendungen behoben. Alle Änderungen verzeichnet das Changelog. Und zum Schluss an euch die Frage zu dem kontroversen Thema: Sollten GUI-Anwendungen als Root startbar sein?
SUSE feierte vor rund einem Jahr den 25. Geburtstag, Slackware blickte vor wenigen Wochen auf ein Vierteljahrhundert Entwicklung zurück. Heute nun vor 25 Jahren kündigte Ian Murdock im Usenet auf comp.os.linux.development die bevorstehende Fertigstellung einer neuen Linux-Veröffentlichung an, der er den Namen Debian gab. Der Name setze sich aus seinem und dem Vornamen seiner Freundin Debra zusammen. Murdock hatte die damals erste Linux-Distribution Softlanding Linux System benutzt und war mit einigem unzufrieden. Nach einer Zeit der Erweiterung des Vorhandenen entschloss er sich, ein System »from scratch«, als von vorne zu erstellen. Debian 0.01 wurde dann am 15. September 1998 veröffentlicht.
Oldtimer ohne Chef
Heute ist Debian die älteste der großen Linux-Distributionen, hinter der kein Unternehmen steht. Die rund 1.000 freiwilligen Entwickler leiten die Distribution nach dem Prinzip der Do-okratie. Das bedeutet in etwa: »Wer macht, bestimmt«. Das verlängert zwar Entscheidungen oft über Gebühr durch nicht enden wollende Diskussionen. Aber bisher hält Debian an diesem Prinzip trotzt einiger heftiger Krisen, deren letzte die Entscheidung für Systemd brachte, fest.
Gut geregelt
Den Rahmenbedingungen dieses oft chaotisch wirkenden Haufens bieten einige Richtlinien. Der Debian-Sozialvertrag, der eine Vision der Verbesserung der Gesellschaft bietet, beinhaltet auch die Debian-Richtlinien für Freie Software (DFSG), die Anhaltspunkte dazu geben, welche Software als brauchbar angesehen wird. Ergänzt werden sie durch die Projektverfassung, die die Projektstruktur festlegt, und den Verhaltenskodex, der den Ton für die Interaktionen innerhalb des Projekts vorgibt.
Stable, Testing und Unstable
Debians aktuelle Veröffentlichung hört auf den Namen Debian 9 »Strech«. Alle Veröffentlichungen tragen Namen von Figuren des Films Toy Story, so auch das für nächstes Jahr erwartete Debian 10 »Buster«-. Viele Anwender nutzen aber auch einen der anderen Zweige Testung oder Unstable aka Sid, was nach dem Jungen benennt ist, dessen Lieblingsbeschäftigung das Zerstören von Spielzeug ist. Früher stimmte diese Analogie durchaus, heute ist das nach dem Rolling-Release-Prinzip operierende Unstable aber relativ zahm und mit ein wenig Linux-Kenntnissen gut zu benutzen.
Dementsprechend gibt es seit Jahren einige Distributionen wie etwa Siduction, Xanadu oder das auf Router und Firewalls spezialisierte VyOS, die Debian Unstable erfolgreich als Basis nutzen. Insgesamt gibt es über 300 Distributionen, die Debian als ihre stabile Basis benutzen. Darunter sind auch Knoppix, dass das Prinzip von Live-CDs populär machte und Ubuntu, das eine Zeitlang die vermutlich am häufigsten genutzte Distribution war.
Debian GNU Linux wird 25 50!
Bisher konnte sich Debian immer an die Gegebenheiten und Erfordernisse des Marktes anpassen. So wurde vor drei Jahren Langzeitunterstützung realisiert, wodurch Debian-Veröffentlichungen nun insgesamt fünf Jahre Support erhalten und damit für Unternehmen interessant bleiben. Es besteht deshalb kein Grund anzunehmen, dass Debian nicht auch die 50 vollmachen kann.
In einem kurzen Promotion-Video, das anlässlich der SIGGRAPH2018 Konferenz veröffentlicht wurde, bestätigt Intel hartnäckige Gerüchte, der Konzern arbeite an einer diskreten Grafikkarte. In den letzten Jahren hatte Intel Grafikkerne nur als Teil der CPU verkauft.
Zunächst gescheitert
Allerdings ist Intels Plan, eine selbstständige Grafikkarte zu vermarkten, nicht der erste Ausflug des Konzerns in diese Richtung. Bereits 1998, vor 20 Jahren, hat Intel einen diskreten Grafikchip auf den Markt gebracht. Dieser hörte auf den Namen Intel740, kurz i740, trug den Codenamen Auburn und erlebte seinen zweiten Geburtstag nicht.
AGP war schuld
Der Chip, den Intel auf eigenen Karten anbot, wurde damals im 350nm-Prozess hergestellt – heute ist man bei 14nm – und bediente die AGP-Schnittstelle. Intel hatte gehofft, mit dem i740 den AGP-Port zu popularisieren, während die meisten Grafikanbieter noch PCI nutzten. Im Februar 1998 mit großem Aufwand für 34,50 US-Dollar auf den Markt gebracht, entsprach die Karte nicht der erwarteten Leistung und verschwand nach wenigen Monaten bereits wieder aus dem Fokus der Anwender. Im August 1999, nach weniger als 18 Monaten, zog Intel die i740 vom Markt zurück.
Intel versuchte das Debakel abzumildern und entwarf verbesserte Versionen in Form der Chips i752 und i754, die doppelte beziehungsweise vierfache AGP-Leistung brachten, hatte jedoch auch damit keinen Erfolg. Karten mit dem i752 erreichten den Markt, konnten die Leistung der i750 jedoch nur marginal verbessern. Die i754 wurde daraufhin erst gar nicht veröffentlicht. Die i752- und i754-Kerne wurden später für die integrierte Grafik in den Intel-Chipsätzen 810 und 815 verwendet. In späteren Analysen erhielt dieAGP-Schnittstelle den schwarzen Peter.
Zweiter Versuch
Jetzt folgt also ein weiterer Anlauf von Intel in Sachen diskrete Grafikchips. Die derzeitigen HD-Grafik-Chips des Herstellers bieten 4K-Video und hardwareunterstütztes Video-Encoding, lassen aber einen großen Teil der Gamer und Grafikdesigner außen vor. Auch Data-Center und Artificial Intelligence (AI) kommen nicht ohne AMD oder Nvidia aus.
Letztes Jahr gab es erste Hinweise auf Intels Pläne, als das Unternehmen den AMD-Vizepräsidenten und ehemaligen Apple-Grafik-Chef Raja Koduri als Vizepräsident und Chief Architect seiner Grafikabteilung anheuerte. Intel CEO Brian Krzanich verriet bereits im Juni, kurz vor seinem Ausscheiden, 2020 werde Intel in den Markt einsteigen.
Wenig Details
Krzanich ging nicht im Detail darauf ein, welches Leistungsniveau oder welchen Zielmarkt diese erste diskrete GPU-Lösung ansprechen soll, aber Intels Executive Vice President der Rechenzentrumsgruppe, Navin Shenoy, bestätigte, dass die Strategie des Unternehmens auch Lösungen für Rechenzentrumssegmente (Think AI, Machine Learning) umfassen wird. Für uns als Anwender kann es nur gut sein, wenn ein weiterer Anbieter den Markt der diskreten Grafikkarten betritt.
Intel hat drei neue Sicherheitslücken in den Prozessoren der Baureihen Skylake und Kaby Lake bekannt gegeben. Eine der Lücken wurde vor Monaten von Forschern entdeckt und bekam den Namen Foreshadow. Die beiden anderen Lücken entdeckte Intel selbst während der Untersuchung von Foreshadow. Intel bezeichnet die Lücken als L1 Terminal Fault (L1TF), da sie den Inhalt des Level-1-Cache der Prozessoren gefährden. Die drei neuen Lücken wurden als CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646 katalogisiert. Es sind davon nur Intel-Prozessoren betroffen.
Foreshadow betrifft nur Intel
Auch hier handelt es sich, wie bereits bei den anderen bekannten Spectre-Lücken, um Seitenkanal-Attacken. In einem Papier der Entdecker der ersten Lücken im Januar 2018 heißt es dazu, diese Angriffe veranlassten die CPU zu spekulativen Operationen, die während der korrekten Programmausführung so nicht stattfinden würden. Die so abgegriffenen Informationen werden dann über einen Seitenkanal exfiltriert.
Tatort Pagetables
Die neuen Lücken ähneln der Meltdown-Attacke und betreffen die virtuelle Speicherverwaltung über Seitentabellen. Diese Tabellen übernehmen die Zuweisung virtueller und realer Speicheradressen, denn in einem virtuellen Speichersystem zeigen die Speicheradressen, die sowohl vom Userspace als auch vom Kernel verwendet werden, nicht direkt auf den physischen Speicher.
Bis zu 50 Prozent langsamer
Besonders betroffen von den neuen Angriffsvektoren sind Cloud-Anbieter. Um sich gegen die neuen Angriffe zu schützen, reicht es nicht, auf Software-Ebene Patches einzuspielen. Es muss, wenn es um virtuelle Maschinen geht, auch das Hyperthreading abgeschaltet werden, da sich diese Threads teils den gleichen L1-Daten-Cache teilen. Das Abschalten kann zu großen Performance-Verlusten führt. Im Endeffekt wird Intel, wie bereits gehabt, neue Microcodes zur Verfügung stellen, um die Patches zu ergänzen.
Die unbeabsichtigte Offenlegung von Speicherinhalten des Level-1-Datencache kann zwischen Userspace-Prozessen, zwischen Kernel und Userspace, zwischen virtuellen Maschinen und zwischen VMs und dem Gastsystem stattfinden.
Kernel bereits gepatched
Linus Torvalds hat den Linux-Kernel bereits gestern, zeitgleich mit Intels Bekanntgabe der Lücken, mit Patches gegen L1TF versehen. Neben dem im Oktober erwarteten Kernel 4.19 wurden die Patches von Greg Kroah-Hartman auch in die noch unterstützten Kernel-Versionen 4.18.1, 4.17.15, 4.14.63, 4.9.120 und 4.4.148 rückportiert.
Die Distributionen arbeiten bereits an der Umsetzung auf die jeweiligen Distributionskernel. Red Hat hat sich sehr ausführlich zu L1TF geäußert. Im Ubuntu-Wiki gibt es ebenfalls ausführliche Informationen sowie Verweise auf bereits gepatchte Kernel. Auch auf Kernel.org selbst gibt es Informationen zu den Lücken.
Bereits seit einigen Wochen können Neugierige Beta-Versionen des demnächst kommenden Nextcloud 14 ausprobieren. Derzeit aktuell ist Version 14.0.0 Beta 3. Jetzt haben die Entwickler in einem Blogeintrag erste Neuerungen der kommenden Version der freien Cloud-Speicher- und Kollaborations-Software vorgestellt.
Identity als Authentifizierungssystem
Nextcloud 14 führt den OpenStack-Objekt-Store Swift v3 mit API-Unterstützung für das Authentifizierungs- und Rechtesystem Identity für Nextclouds Primärspeicher-Backend ein. Swift v3 ist eine Anforderung vieler Unternehmenskunden mit größeren privaten Cloud-Instanzen. Es gibt eine Vielzahl von Hardware- und Software-Speicherlösungen, die die Authentifizierung mit Swift v3 von führenden Anbietern wie Netapp, IBM, Red Hat, SUSE und anderen unterstützen und den Nextcloud-Kunden eine große Auswahl an Speichertechnologien für die Zukunft bieten.
Für jeden etwas dabei
An Administratoren in Unternehmen wie auch an den Privatanwender richtet sich eine weitere Neuerung. Wenn ein Problem auftritt und die Ursache ermittelt werden soll, müssen oft mehrere Logs des Webservers durchsucht werden. Mit Nextcloud 14 wird die Möglichkeit zum zentralen Protokollieren im Journal von Systemd eröffnet. Dazu muss die Erweiterungphp-systemd installiert sein und in der config.php die Zeile ‚log_type‘ => ’systemd‘ stehen.
Schneller Bildwechsel
Die Bildergalerie von Nextcloud 14 hat Verbesserungen beim Caching erfahren und ist dadurch spürbar schneller geworden. Die automatisch generierten ZIP-Dateien, die ausgeliefert werden, wenn mehrere Dateien auf einmal herunterladen werden, erzeugen nun keine Fehler beim Öffnen mehr, wie dies bei einigen Betriebssystemen der Fall war.
Das ist nur ein kleiner Anreißer der neuen Funktionen von Nextcloud 14, für dessen Veröffentlichung noch kein Termin bekannt ist. Weitere kleine Verbesserungen zeigt das Video. Die Entwickler versprechen für demnächst mehr.
Eine Woche später als zunächst erwartet hat Linus Torvalds Kernel 4.18 nach zehn Wochen Entwicklung freigegeben. Im Nachhinein, so Torvalds, hätte es die zusätzliche Woche nicht gebraucht, es seien aber noch eine Reihe kleinerer Änderungen eingeflossen. Insgesamt liegt die Zahl der Änderungen über 13.000. Wie schon der 4.17 ist auch 4.18 wiederum kleiner als der Vorgänger und insgesamt ein eher kleiner Kernel-Zyklus. Das ist der Entfernung des bei High Performance Computing (HPC) verwendeten Cluster-Dateisystems Lustre zu verdanken.
Raspberry Pi 3B offiziell unterstützt
Zu den Highlights zählen die Unterstützung von USB 3.2 sowie initialer Support für Raspberry Pi 3B und 3B+. Zudem wird ab 4.18 neben Iptables und Nftables eine dritte Variante von Paketfiltern für Firewalls eingeführt. Stichwort ist hier BPF (Bpfilter), das deutlich schneller arbeiten soll wie die beiden bereits verfügbaren Varianten. Welche der drei Filtertechniken am Ende das Rennen machen wird, ist ungewiss. Klar ist aber, dass Iptables an vielen Stellen noch über Jahre hinweg dominant bleiben wird.
4.18 unterstützt Speck
Änderungen, die die Nutzung des umstrittenen, in Kernel 4.17 aufgenommenen Speck-Algorithmus der NSA ermöglichen, sind in 4.18 eingeflossen, obwohl Google sich mittlerweile wieder von Speck distanziert hat. Ursprünglich sollte die Cypher in günstigen Android-Smartphones unter 100 US-Dollar eingesetzt werden, die nicht über ausreichend Platz und Leistung für ausgewachsene Krypto-Verfahren verfügen und somit ansonsten keinerlei Verschlüsselung bieten würden.
XFS rüstet sich für die Zukunft
Bei den Dateisystemen gab es Änderungen für Btrfs, XFS und F2FS. Bei Btrfs erhalten unprivilegierte Nutzer jetzt mehr Rechte. So können sie leere Snapshots entfernen und Informationen zu Subvolumes abrufen. Die Zeit für das Löschen sehr großer Verzeichnisse mit vielen Dateien konnte drastisch verkürzt werden. So dauerte das Löschen eines Verzeichnisses mit zwei Mio. Dateien bisher über 33 Stunden. Nach einer Änderung des Checks, ob alle Kindprozesse abgearbeitet sind, dauerte das Löschen nur noch 98 Sekunden.
Die Entwickler von XFS unterziehen seit rund zwei Jahren das Dateisystem einem tiefgreifenden Umbau, der zum Ziel hat, dessen Eigenschaften zu erweitern. Die für Kernel 4.18 eingereichten Patches bereiten die Unterstützung von Subvolumes vor und bauen die initiale Fähigkeit zur Reparatur zur Laufzeit ein. Bei dem für Flash-Chips optimierten F2FS-Dateisystem wurden Probleme mit discard und fstrim behoben.
AMD vorne
Bei den Grafiktreibern steht AMD im Vordergrund. Der AMDGPU-Treiber unterstützt nun auch die kommenden Vega-20-GPUs. Zudem lernte der Treiber Energie sparen, indem er den Kern der Ryzen G Prozessoren abschalten kann. Außerdem unterstützt 4.18 den Kombiprozessor von Intels Core-i-8-Baureihe Kaby Lake mit Vega-M-GPU von AMD. Der Grafiktreiber Nouveau unterstützt jetzt Nvidias Volta-Chips.
Zudem wird der neue Broadcom-Grafiktreiber V3D unterstützt, der als kommender Treiber für Raspberry Pi im Gespräch ist. Qualcomms Snapdragon 845 wird mit 4.18 teilweise unterstützt. Die Unterstützung für USB 3.2 erlaubt künftig nominell maximale Datenübertragungsraten von 20 GBit/s in beide Richtungen.
Zahlen zu Kernel 4.18
Zu Kernel 4.18 haben 1.668 Entwickler beigetragen, die 553.000 Zeilen hinzugefügt und 652.000 entfernt haben. Damit schrumpfte der Kernel um rund 99.000 Zeilen. Damit ist 4.18 erst der vierte Kernel, der kleiner ist als sein Vorgänger. Das traf auch bereits auf 4.17 zu. Von den 1.668 Beitragenden leisteten 226 Entwickler ihren ersten Beitrag. An der Spitze der Unternehmen, die zu 4.18 beitrugen, liegen Intel, Red Hat, AMD und IBM.
Die aktuelle Version von Linux kann von Kernel.org bezogen werden. Das zweiwöchige Fenster für Einreichungen zu Linux 4.19 ist geöffnet. Wenn alles glatt läuft, sollte der nächste Kernel Mitte bis Ende Oktober erscheinen. Wie immer bietet die Seite Kernel Newbies eine derzeit noch nicht komplette, leicht verständliche Zusammenfassung der Änderungen zu Kernel 4.18.
Wie heute bekannt wurde, wird der Synchronisationsdienst Dropbox ab dem 7. November keine Daten mehr über den Linux-Client synchronisieren, die auf den Linux-Dateisystemen Btrfs, XFS oder verschlüsseltem Ext4 liegen. Selbst NTFS-Partitionen unter Linux sind angeblich von der Maßnahme betroffen. Unter Linux wird die Synchronisation mit dem Dienst nur noch auf Ext4-Dateisystemen funktionieren.
Anwender informiert
Anwender, die ihre Daten auf einem der inkriminierten Dateisysteme vorhalten und per Dropbox synchronisieren, haben entsprechende Mitteilungen per Popup erhalten mit der Aufforderung, die Daten auf ein unterstütztes Dateisystem zu verlagern. Offiziell gibt es von dem Unternehmen hierzu keine Pressemitteilung. Lediglich im Forum von Dropbox hat ein Admin die Meldung verbreitet und verweist auf die bereits abgeänderten Nutzungsbedingungen. Eine wirkliche Erklärung für diese Verstümmelung des Dienstes für Linux-Anwender gibt es dort aber nicht. Es ist lediglich die Rede von »uncommon file systems«.
Verschlüsseltes Home-Verzeichnis
Eine Vielzahl der betroffenen Anwender scheinen Ubuntu als Betriebssystem zu nutzen. Sie verwenden zwar das Standard-Dateisystem Ext4, allerdings machen sie von der Möglichkeit Gebrauch, während der Installation das Home-Verzeichnis mit eCryptfs zu verschlüsseln. Technisch spannt eCryptfs ein virtuelles Dateisystem über Ext4 auf. Erwartet Dropbox jetzt allen Ernstes, dass Anwender ihre Sicherheit herabsenken oder das Dateisystem der Wahl aufgeben, nur um Dropbox das Leben zu erleichtern?
Ausreichend Alternativen
Immerhin gibt es reichlich Open-Source-Alternativen zum kommerziellen Angebot von Dropbox. Das reicht unter anderem vom teils offenen SpiderOak über Syncthing bis hin zu ausgewachsenen Lösungen wie Seafile, ownCloud und Nextcloud. Da sollte für jeden Geschmack etwas dabei sein.
Freemium-Prinzip
Dropbox, das weltweit über 500 Millionen Anwender hat, arbeitet nach dem Prinzip der meisten Synchronisationsdienste, indem die Daten in einem speziellen Ordner im Home-Verzeichnis mit dem Online-Dienst synchronisiert werden. Unter Linux ist der Dienst im GNOME-Dateimanager Nautilus eingebunden. Das Unternehmen arbeitet nach dem Freemium-Prinzip, wobei Anwender zwei GByte Speicher kostenlos erhalten. Darüber hinaus wird der Dienst kostenpflichtig.
