KaOS ist eine kleine feine Linux-Distribution, die das im Namen mitschwingende Chaos völlig vermissen lässt. Das Team von KaOS bietet in Rolling-Release-Manier ständig die allerneuesten KDE-Pakete. Von daher ist die Distribution mit KDE Neon vergleichbar. Während letztere auf Ubuntu als Unterbau setzt und verschieden aktuelle Auszüge aus den KDE-Git-Repositorien darüberlegt, ist KaOS eigenständig und beruht auf keiner anderen Distribution. Es werden lediglich einige Werkzeuge aus Arch Linux eingesetzt. Alle Pakete der Distribution werden regelmäßig aus den Quellen selbst gebaut.
Mit Einschränkungen
Allerdings ist KaOS nur für eingefleischte KDE-Fans gedacht, denn es kommt mit einigen Einschränkungen daher. Ist die Beschränkung auf die 64-Bit-Plattform für die allermeisten Anwender zu verschmerzen, so ist es der eingeschränkte Paketumfang für viele eher nicht. Der Umfang der Repositories schwankt zwischen 2.500 und 3.00 Paketen. Im Vergleich mit den rund 30.000 Paketen bei Debian ist das wenig.
Selbst ist der Linuxer
Hier kommt allerdings eine Eigenschaft des von Arch ausgeliehenen Pacman als Paketmanager zu Hilfe. Die KaOS Community Packages (KCP) bedienen sich der Funktion PKGBUILD und erweitern damit den Paketbestand erheblich. Somit können Anwender von Paketen anderer User profitieren oder aber selbst bauen, was im Repo fehlt. Ein aktuell installiertes und aktualisiertes Abbild von KaOS bietet nach dem Upgrade KDE Frameworks 5.40.0, Plasma 5.11.3 und KDE Applications 17.08.3. Zudem ist bereits LibreOffice 5.4.3.2 in den Repos. Als Installer kommt Calamares zum Einsatz, an dessen Entwicklung KaOS-Entwicklerin Anke Börsma aktiv beteiligt ist. Als weiteres Highlight kann bei der Anmeldung Wayland als Sitzung gewählt werden.
Stabilität und Aktualität = KaOS
KaOS hat sich bei mir über Jahre als Zweitsystem ultrastabil gezeigt und wird liebevoll gepflegt. Die Aktualität ist unübertroffen. Dabei beschränkt sich das Team auf das saubere Paketieren der neuesten KDE-Software und bietet bewusst keine eigenen Entwicklungen und Tools an. Das Ziel heißt Qualität, nicht Quantität. KaOS will nicht die größte Distribution werden, sondern attraktiv für enthusiastische KDE-Anwender bleiben. Für mich ist KaOS eindeutig und trotzt der Einschränkungen die beste und aktuellste KDE-Distribution.
Update: 14.11.17: Gerade wurde KaOS 2017.11 veröffentlicht.
Jeder moderne Intel-Prozessor bringt eine Management Engine (IME) mit, die beim Booten, zur Laufzeit und im Schlafmodus aktiv ist. Da IME über die permanente 5-V-Versorgung aus dem Netzteil gespeist wird, muss der Rechner nicht einmal eingeschaltet sein. Sie besteht aus einem Microcontroller und einer passenden proprietären Firmware, die sich je nach CPU und OEM unterscheiden kann. Die Firmware ist eine von Intel kryptografisch signierte Binärdatei. ME ist von Intel nicht durchgängig dokumentiert. Somit führt die CPU im Rahmen der ME unbekannten und nicht nachprüfbaren Code aus, auf die der Käufer von Intels CPUs keinerlei Einfluss hat. Betroffen sind die Intel-Core-i-Serien i3, i5, i7 und die Intel Xeon Prozessorfamilien.
Sicherheitstechnisch bedenklich
In frühen Versionen saß der Microcontroller im Netzwerkchip, dann in der Northbridge des Chipsatzes, um bei Intels i7-Architektur Teil der CPU zu werden. Der Controller der ME ist dabei völlig unabhängig von der CPU und stellt einen Computer im Computer dar. Die ME hat ihr eigenes Betriebssystem und verfügt über Flashspeicher, einen internen Bus, einen Web-Server und eine Kryptographie-Engine. ME hat Zugriff auf den Hauptspeicher des Systems und über den Intel Gigabit Ethernet Controller auch auf das Netzwerk. Die FSF bemängelt, dass Anwender keinerlei Kontrolle über die Management Engine haben. Wäre dies, wie bei freier Software der Fall, wäre sie ein mächtiges Subsystem, das zur Sicherheit und Administration des Systems beitragen könnte.
Soviel war bereits seit längerem bekannt. Bekannt war auch, dass IME ein großes Sicherheitsrisiko darstellt. Nicht nur die Free Software Foundation (FSF) hat sich gegen dieses zusätzliche proprietäre Sub-Betriebssystem gewandt, sondern auch die Electronic Frontier Foundation (EFF) und Sicherheitsexperten wie Matthew Garrett. Erst im Mai hatte Intel eine seit neun Jahren bestehende kritische Sicherheitslücke in seiner Active Management Technology (AMT), einer der Komponenten der IME, bekannt gegeben. Da das Schließen dieser Lücke eines Firmware-Updates bedarf, werden viele PCs, bei denen AMT aktiv ist, vermutlich nie einen Fix sehen. Ob AMT passiv oder aktiv eingeschaltet oder aus ist, hängt vom BIOS des jeweiligen Rechners ab.
Minix entdeckt
In letzter Zeit beschäftigte sich ein Team von Google-Sicherheitsexperten mit der IME. Dabei entdeckten sie zu ihrem Erstaunen, dass das versteckte Betriebssystem, das die ME steuert, auf den Namen Minix hört. Dabei handelt es sich um ein frühes unixoides Betriebssystem, das von Andrew S. Tanenbaum 1987 zu Lehrzwecken entwickelt wurde. Seine größte Bedeutung heute ist vermutlich, dass es Linus Torvalds zur Entwicklung von Linux inspirierte. Dank Googles Ronald Minnich wissen wir nun, dass Minix dank Intel das am weitesten verbreitete Unix und möglicherweise sogar das am weitesten »benutzte« Betriebssystem überhaupt ist.
Das enthüllte Minnich vor zwei Wochen auf einem Vortrag auf der Embedded Linux Conference Europe in Prag. Dabei handelt es sich um eine proprietäre Variante von Minix 3. Welche Änderungen hier vorgenommen wurden ist dank des Closed-Source-Status bisher nicht bekannt. Das System hat Zugriff auf die TCP/IP-Netzwerk-Schicht, das Dateisystem, auf Treiber und Web-Server. Es kann zudem die Firmware des Rechners selbst im ausgeschalteten Zustand ändern. Auch kann es selbst-modifizierenden Code einfügen, der selbst in einem stromlosen Rechner erhalten bleibt.
Auf unterster Ebene
Das IME erlangt diesen Zugriff dadurch, dass es im x86-Ring-Modell im niedrigsten Ring -3 läuft und somit noch eine Ebene unter UEFI angesiedelt ist. Um hier mehr Sicherheit zu ermöglichen ruft Minnich Intel dazu auf, anstelle seines proprietären Minix-Derivats ein offenes Linux-System einzusetzen. Im Besonderen sollten zudem der Web-Server und der IP-Stack aus der ME verschwinden. Auch AMD ist keine sichere Bank in dieser Hinsicht. Die neuen Ryzen-Chips enthalten mit dem AMD Platform Security Process ebenfalls »ein schwarzes Loch«. Minnich machte eindrücklich klar, dass er es Ernst meint, wenn er sagte: »Wenn ihr jetzt noch keine Angst habt, dann hab ich das schlecht erklärt. Ich jedenfalls habe Angst.«
Erst kürzlich konnten die Entwickler bei Purism, die auch das freie Smartphone Librem 5 entwickeln, vermelden, dass es ihnen gelungen sei, die IME völlig zu deaktivieren. Wie im hauseigenen Blog nachzulesen ist, hat es Jahre gedauert, bis eine vollständige Lösung gefunden war, die den Start des Systems auf den Notebooks Librem 13 und Librem 15 ohne aktivierte Management Engine erlaubt.
Inzwischen hat sich Andew Tanenbaum, völlig unreflektiert die Tatsache ignorierend, das Minix als Backdoor eingesetzt wird, bei Intel für die Verwendung von Minix bedankt.
Bild: Hacker by The Preiser Project | Flickr | License: CC-BY 2.0
Wenn von sehr aktueller Linux-Software die Rede ist, fallen oft Namen wie Arch Linux oder Debian Unstable und im Fall KDE auch Neon. Dabei gibt es mit openSUSE Tumbleweed eine weitere Rolling-Release-Distribution, die sehr um Aktualität bemüht ist. Die Geburtsstunde von Tumbleweed in seiner heutigen, gut gepflegten Form schlug mit der Veröffentlichung von openSUSE 13.2 im November 2014, als das Projekt seine beiden Rolling-Release-Zweige »Tumbleweed« und »Factory« zusammenlegte. Das ursprünglich von Kernel-Entwickler Greg Kroah-Hartman erstellte Tumbleweed wurde zum gepflegten Rolling-Release, Factory nahm die Rolle ein, die bei Debian der Experimental-Zweig innehat: Auffangbecken für frische, ungetestete Software.
openSUSE takes a Leap
Der Zuspruch, den openSUSE Tumbleweed daraufhin erhielt, führte zu einen Mangel an Mitwirkenden bei openSUSE. Das Projekt überlegte, warum der Hauptzweig Nutzer und Entwickler an die Rolling-Release-Variante verlor. Man kam zu dem Schluss, openSUSE zu modernisieren. Die Idee zu openSUSE Leap war geboren. Heute setzt openSUSE auf einen Kern von stabilen Paketen aus dem kommerziellen SUSE Linux Enterprise Server (SLES) und aktueller Anwendungssoftware aus Tumbleweed.
Aktuelle Software, innovative Konzepte
SUSE feiert gerade seinen 25. Geburtstag, openSUSE hat sich erholt und Tumbleweed hat eine stabile User-Basis. Douglas DeMaio, Senior-Consultant bei SUSE hat in dieser Woche noch einmal in einer News auf die Aktualität von Tumbleweed verwiesen. Das alle paar Tage aktualisierte Tumbleweed bietet im Moment Kernel 4.13.5 als Grundlage. Bei den Desktops sind unter anderem KDE Plasma 5.11 und GNOME 3.26.1 aktuell. Als Browser ist Firefox 56 dabei, der Grafik-Stack bietet Mesa 17.2.2. Apache 2.4.28 und CMake 3.9.4 bedeinen Administratoren und Entwickler. Eine Besonderheit bei SUSE ist das Paket Snapper, das die vom Standarddateisystem Btrfs angelegten Snapshots grafisch verwalten kann. Es liegt aktuell in Version 0.5.2 vor. Nicht unerwähnt bleiben soll auch das letzten Monat vorgestellte neue Nvidia-Repository für Tumbleweed, das die in der Vergangenheit öfter auftretenden Probleme bei neuen Snapshots der Distribution auffangen soll.
Bereits seit 25 Jahren besteht die Gesellschaft für Software und System Entwicklung mbH, kurz S.u.S.E mit Sitz in Nürnberg. Seit etwas über 20 Jahren gibt das Unternehmen, das sich heute SUSE Linux GMbH, kurz SUSE nennt, Distributionen heraus. Den Ausgangspunkt für die Softwarezusammenstellungen, die wir heute mit SUSE in Verbindung bringen, stellte zunächst Softlanding Linux System (SLS) und dann Slackware dar, das in Zusammenarbeit mit dessen Gründer Patrick Vollerding ins Deutsche übertragen wurde.
Beliebter Einstiegspunkt für Linux-Neulinge
Im Mai 1996 erfolgte dann die erste eigene Zusammenstellung, die auf Jurix basierte. Dessen Gründer Florian La Roche arbeitete anschließend für SUSE und schrieb das heute noch verwendete und nicht überall geliebte Konfigurations-Werkzeug YaST. Zur Jahrtausendwende erschien erstmals das heutige Hauptprodukt von SUSE, der SUSE Linux Enterprise Server (SLES). Den meisten heutigen Linux-Anwendern dürfte aber eher die Community-Version openSUSE bekannt sein. Sie stellte damals den Einstiegspunkt für viele Linux-Neulinge dar. Im Gegensatz zu Debian war sie damals bereits per grafischem Installer auf die Festplatte zu bannen.
Hier steht noch der damals für 40 DM erworbene grüne Schuber von SUSE Linux 5.3 samt bebildertem Installationshandbuch im Regal, der meinen Einstieg in die Welt von Linux darstellte. Ab Version 10.2 im Jahr 2006 lautete der Name der Community-Ausgabe openSUSE, um dann 2015 abermals umbenannt zu werden, diesmal in openSUSE Leap. Unter dem Dach von openSUSE wird außerdem die Rolling-Release-Distribution Tumbleweed gepflegt, die einen Teil ihrer Pakete in neue Versionen von Leap einspeist. Doch nicht nur der Name hat eine wechselvolle Geschichte, auch dem Unternehmen selbst blieb eine solche nicht erspart.
openSUSE Leap 42.3 (Screenshot)
Wechselvolle Geschichte
Nachdem das Unternehmen um die Jahrtausendwende von Nürnberg aus in die USA, Großbritannien, Italien und Tschechien expandiert war, wurde es 2004 für 210 Mio. US-Dollar von Novell übernommen, das damit wieder Fuß im Segment der Betriebssysteme fassen wollte. 2005 leitete Novell mit openSUSE die Öffnung für die Community ein. Der Firmensitz wanderte von Nürnberg nach Massachusetts in die USA. Nach Übernahme von Novell durch Attachmate im Jahr 2011 ging es wieder zurück nach Nürnberg und nach der Übernahme von Attachmate durch Micro Focus im Jahr 2014 dann aber erneut in die USA. Mittlerweile wird aber wieder Nürnberg als Hauptquartier gelistet.
Im Wandel der Zeit
»openSUSE is well known for doing everything a bit – making everybody a little happy, but nobody REALLY happy.« Jos Poortvliet. 2010
Wie einige andere Distributionen nahm auch openSUSE in den letzten Jahren konzeptionelle Anpassungen vor, um sich neuen Gegebenheiten anzupassen und verlorene Anwender zurückzugewinnen. Das neue Konzept, das unter dem Namen openSUSE Leap ab 2015 umgesetzt wurde, sah vor, auf einem stabilen Kern von Software-Stacks der Mutter-Distribution SLES aktuelle Anwendungen aus der Experimentierküche von Tumbleweed einzusetzen.
Bisher scheint das Konzept Leap aufzugehen, denn bereits auf der letztjährigen openSUSE-Konferenz wurden Statistiken veröffentlicht, die wieder steigende Nutzerzahlen auswiesen. Das Konzept kommt neuen Linux-Nutzerschichten entgegen, die oft Distributionen mit aktueller Softwareauswahl bevorzugen. Auch Tumbleweed konnte seine Nutzerzahlen verdoppeln, seit es ein klareres Konzept erhalten hat. Attraktiv wird openSUSE auch für viele Anwender durch das Dateisystem Btrfs, das unter anderem mit Snapshots arbeitet, die sich durch das SUSE-Tool Snapper leicht handhaben lassen.
