COSMIC, der komplett neue Desktop der Firma system76 ist fertig! COSMIC ist integraler Teil von Pop!_OS. Diese ebenfalls von system76 entwickelte Distribution basiert auf Ubuntu, zeichnet sich aber durch viele Eigenheiten ab. Weil ich mir COSMIC ansehen wollte, habe ich die aktuelle Version von Pop!_OS auf meinen MiniPC installiert. Dieser Artikel fasst ganz kurz meine Beobachtungen zusammen.

Installation

Die Installation erfolgt aus einem Live-System. Der einzig spannende Punkt ist die Partitionierung der SSD. Sofern Sie sich für die manuelle Partitionierung entscheiden, zeigt das Installationsprogramm einen Überblick über die vorhandenen Disks und Partitionen aus. Sie können nun die Partitionen, die Sie einbinden (EFI) oder mit einem Dateisystem ausstatten möchten (zumindest die Systempartition) per Maus aktivieren. Wenn Sie die Partitionierung verändern wollen (Modify Partitions), startet das Installationsprogramm einfach das Programm gparted. Das ist ein pragmatischer Ansatz, mit dem fortgeschrittene Benutzer ans Ziel kommen. Wer verschlüsselte LVM-Setups will, muss selbst Hand anlegen und die erforderlichen Schritte vorweg selbst erledigen.

COSMIC Desktop

Der COSMIC Desktop besteht aus dem Fenstermanager/Compositor mit den üblichen Desktop-Elementen (Panel, Dock) sowie einigen COSMIC-spezifischen Programmen: Dateimanager, Terminal, Systemeinstellungen, Paketverwaltung, Texteditor und Media-Player. Bei den sonstigen Programmen greift COSMIC auf die üblichen Linux- (Firefox, Thunderbird, LibreOffice, Gimp) oder Gnome-Apps zurück (Systemüberwachung, Laufwerke).

Bei der Fensterverwaltung unterscheidet COSMIC zwischen dem Standardmodus, der im Prinzip wie unter Gnome oder KDE funktioniert, und einem Tiling-Modus mit halbautomatischer Fensteranordnung, wobei stets alle Fenster sichtbar sind. Zwischen den beiden Modi kann über ein Icon im Panel oder mit Super+Y gewechselt werden.

Die Bedienung ist intuitiv und funktioniert zumeist problemlos. Aber natürlich (Version 1.0!) gibt es noch kleinere Ungereimtheiten. Um ein paar zu nennen:

• Während sich echte COSMIC-Programme perfekt in den Desktop integrieren, wirken KDE- oder Gnome-Programme ein wenig wie Fremdkörper. Dieses Problem haben natürlich auch andere Desktop-Systeme.

• Obwohl ich Deutsch als Sprache eingestellt habe, bleibt es im Panel bei Workspaces und Applications, der Dateimanager zeigt das Änderungsdatum der Dateien mit AM/PM an usw. Wiederum: Ähnliche Probleme gibt es auch bei anderen Desktops.

• Drag&Drop zwischen Dateimanager und Webbrowser funktioniert unzuverlässig. (Diesem Wayland-Problem bin ich in den vergangenen Jahren auch schon oft begegnet, zuletzt aber immer seltener.)

• Das Erstellen von Screenshots in die Zwischenablage funktioniert unzuverlässig.

• Beim Verschieben von Icons im Dock hatte ich mehrfach Probleme. Manche Icons werden gar nicht oder mit falschen Symbolen angezeigt (z.B. Google Chrome).

• Die Tiling-Steuerung erfordert eine längere Eingewöhnung, erlaubt dann aber eine Bedienung weitgehend ohne Maus. Für Tiling- bzw. COSMIC-Einsteiger wäre hier mehr Dokumentation bzw. ein gutes Video hilfreich.

• Die Kennzeichnung des gerade aktiven Fensters durch einen farbigen Rahmen ist funktionell, aber nicht besonders ästhetisch.

• Im Dateimanager gibt es keine Funktion, um mehrere Dateien umzubenennen.

Letztlich sind das alles Kleinigkeiten. Meine Tests verliefen absturzfrei, ich konnte mit COSMIC gut und stabil arbeiten. Der Desktop hinterließ dabei einen sehr schnellen, flüssigen Eindruck — aber das ist eine eher subjektive Feststellung, die ich nicht durch Benchmark-Tests untermauern kann.

Meine Lieblingseinstellungen (Dock links, Light Mode, Maus mit Natural Scrolling, 4k-Monitor mit 150%-Skalierung) habe ich mühelos in den gut organisierten Systemeinstellungen gefunden. Anders als unter Gnome musste ich dazu keine Extensions installieren :-)

Paketverwaltung

Pop!_OS basiert auf Ubuntu, verwendet aber eigene Paketquellen und weicht nicht nur beim Desktop vom Original ab (z.B. beim Boot-System, siehe unten). Anstelle von Snap-Paketen setzt Pop!_OS auf Flatpaks. Flathub ist per Default eingerichtet, Flatpaks können mühelos aus dem COSMIC Store installiert werden.

Boot-System

Pop!_OS verwendet systemd_boot (nicht GRUB). Die erforderlichen Kernel- und Initrd-Dateien werden direkt in der EFI-Partition gespeichert (Verzeichnis /boot/efi/EFI/Pop-OS-xxx, Platzbedarf ca. 140 MByte). Auf meinem Testrechner erfolgt der Bootvorgang ohne die Anzeige eines Auswahlmenüs blitzschnell. Einige Hintergründe zur Konfiguration inklusive Reparatur-Tipps sind hier in einem Support-Artikel beschrieben.

Fazit

Für ein 1.0-Release funktioniert COSMIC sehr gut. Dafür muss man system76 einfach Respekt zollen! Einen kompletten Desktop neu zu implementieren (in der Programmiersprache Rust, noch ein Pluspunkt!) — das ist einfach bemerkenswert. system76 hat damit ein Fundament geschaffen, aus dem in den nächsten Jahren ein echter Mainstream-Desktop werden könnte, auf einer Stufe mit Gnome oder KDE.

Dessen ungeachtet verspüre ich aktuell keine Versuchung, auf COSMIC umzusteigen. Für meine Zwecke funktioniert Gnome mit ein paar Erweiterungen zufriedenstellend. Auch mit KDE kann ich gut arbeiten. Mein Leidensdruck, einen anderen Desktop zu suchen, ist gering. Meine Linux-Probleme haben selten mit dem Desktop zu tun. Für Linux-Einsteiger betrachte ich weiterhin Gnome als den besten Startpunkt.

system76 sieht hingegen primär Entwickler und fortgeschrittene Entwickler als Zielgruppe. Die Rechnung könnte aufgehen, insbesondere für Tiling-Fans.

Heute auf Pop!_OS 24.04 umzusteigen wirkt wenig attraktiv — in nur vier Monaten wird es mit Ubuntu 26.04 ein von Grund auf modernisiertes Fundament geben, wenig später vermutlich die entsprechende Pop!_OS-Version 26.04 mit sicher schon etwas verbesserten COSMIC-Paketen. Im Übrigen steht COSMIC als echtes Open-Source-Projekt auf für andere Distributionen zur Verfügung, z.B. in Form des durchaus attraktiven Fedora Spins.

Quellen/Links

• https://system76.com/pop
• https://system76.com/cosmic
• https://blog.system76.com/
• https://support.system76.com/articles/pop-cosmic-keyboard-shortcuts
• https://support.system76.com/articles/bootloader
• https://www.fedoraproject.org/spins/cosmic
• https://www.youtube.com/watch?v=7JX6xWg5lx4 (langes Interview mit Carl Richell and Jeremy Soller, beide von system76, über Pop!_OS und Cosmic)

„Hacking & Security: Das umfassende Handbuch“ von Michael Kofler, Roland Aigner, Klaus Gebeshuber, Thomas Hackner, Stefan Kania, Frank Neugebauer, Peter Kloep, Tobias Scheible, Aaron Siller, Matthias Wübbeling, Paul Zenker und André Zingsheim ist 2025 in der 4., aktualisierten und erweiterten Auflage im Rheinwerk Verlag erschienen und umfasst 1271 Seiten.

Ein Buchtitel, der bereits im Namen zwei gegensätzliche Extreme vereint: Hacking und Security. Dieser Lesestoff richtet sich nicht an ein breites Publikum, wohl aber an all jene, die Wert auf digitale Sicherheit legen – sei es im Internet, auf Servern, PCs, Notebooks oder mobilen Endgeräten. Gleichzeitig kann dieses umfassende Nachschlagewerk auch als Einstieg in eine Karriere im Bereich Ethical Hacking dienen.

Das Buch ist in drei inhaltlich spannende und klar strukturierte Teile gegliedert.

TEIL I – Einführung und Tools erläutert, warum es unerlässlich ist, sich sowohl mit Hacking als auch mit Security auseinanderzusetzen. Nur wer versteht, wie Angreifer vorgehen, kann seine Systeme gezielt absichern und Sicherheitsmaßnahmen umsetzen, die potenzielle Angriffe wirksam abwehren.

Behandelt werden unter anderem praxisnahe Übungsmöglichkeiten sowie Penetrationstests auf speziell dafür eingerichteten Testsystemen. Ziel ist es, typische Angriffsabläufe nachzuvollziehen und daraus wirksame Schutzkonzepte abzuleiten. Einen zentralen Stellenwert nimmt dabei das speziell für Sicherheitsanalysen entwickelte Betriebssystem Kali Linux ein, das in diesem Zusammenhang ausführlich vorgestellt wird.

TEIL II – Hacking und Absicherung widmet sich intensiv den beiden zentralen Themenbereichen Hacking und Security. Es werden unterschiedliche Angriffsszenarien analysiert und typische Schwachstellen aufgezeigt. Besonders hervorgehoben wird dabei die Bedeutung der Festplattenverschlüsselung, um den unbefugten Zugriff auf sensible Daten zu verhindern.

Auch der Einsatz starker Passwörter in Kombination mit Zwei-Faktor-Authentifizierung (2FA) gehört heute zum Sicherheitsstandard. Dennoch lauern Gefahren im Alltag: Wird ein Rechner unbeaufsichtigt gelassen oder eine Sitzung nicht ordnungsgemäß beendet, kann etwa ein präparierter USB-Stick mit Schadsoftware gravierende Schäden verursachen.

Server-Betreiber stehen zudem unter permanentem Druck durch neue Bedrohungen aus dem Internet. Das Buch bietet praxisnahe Anleitungen zur Härtung von Windows- und Linux-Servern – beispielsweise durch den Einsatz von Tools wie Fail2Ban, das automatisiert Brute-Force-Angriffe erkennt und unterbindet.

Ein weiteres Kernthema ist die Verschlüsselung von Webverbindungen. Moderne Browser weisen inzwischen deutlich auf unsichere HTTP-Verbindungen hin. Die Übertragung sensibler Daten ohne HTTPS birgt erhebliche Risiken – etwa durch Man-in-the-Middle-Angriffe, bei denen Informationen abgefangen oder manipuliert werden können.

Abgerundet wird das Kapitel durch eine ausführliche Betrachtung von Angriffsmöglichkeiten auf weit verbreitete Content-Management-Systeme (CMS) wie WordPress, inklusive praxisnaher Hinweise zur Absicherung.

TEIL III – Cloud, Smartphones, IoT widmet sich der Sicherheit von Cloud-Systemen, mobilen Endgeräten und dem Internet of Things (IoT). Unter dem Leitsatz „Die Cloud ist der Computer eines anderen“ wird aufgezeigt, wie stark Nutzerinnen und Nutzer bei der Verwendung externer Dienste tatsächlich abhängig sind. Besonders bei Cloud-Angeboten amerikanischer Anbieter werden bestehende geopolitische Risiken oft unterschätzt – obwohl sie spätestens seit den Enthüllungen von Edward Snowden nicht mehr zu ignorieren sind.

Selbst wenn Rechenzentren innerhalb Europas genutzt werden, ist das kein Garant für Datenschutz. Der Zugriff durch Dritte – etwa durch Geheimdienste – bleibt unter bestimmten Umständen möglich. Als datenschutzfreundliche Alternative wird in diesem Kapitel Nextcloud vorgestellt: ein in Deutschland entwickeltes Cloud-System, das sich auf eigenen Servern betreiben lässt. Hinweise zur Installation und Konfiguration unterstützen den Einstieg in die selbstbestimmte Datenverwaltung.

Wer sich für mehr digitale Souveränität entscheidet, übernimmt zugleich Verantwortung – ein Aspekt, dem im Buch besondere Aufmerksamkeit gewidmet wird. Ergänzend werden praxisnahe Empfehlungen zur Absicherung durch Zwei- oder Multi-Faktor-Authentifizierung (2FA/MFA) gegeben.

Ein weiteres Thema sind Sicherheitsrisiken bei mobilen Geräten und IoT-Anwendungen. Besonders kritisch: schlecht gewartete IoT-Server, die oft im Ausland betrieben werden und ein hohes Angriffspotenzial aufweisen. Auch hier werden konkrete Gefahren und Schutzmaßnahmen anschaulich dargestellt.

Das Buch umfasst insgesamt 24 Kapitel.

• Einführung
• Kali Linux
• Hacking-Tools
• Hacking lernen
• Bug-Bounty-Programme
• Offline Hacking
• Passwörter
• IT-Forensik
• WLAN, Bluetooth und SDR
• Angriffsvektor USB-Schnittstelle
• Externe Sicherheitsüberprüfungen
• Penetration-Testing
• Windows Server absichern
• Active Directory
• Linux absichern
• Sicherheit bei Samba-Fileservern
• Sicherheit von Webanwendungen
• Intrusion-Detection-Systeme
• Software-Exploitation
• Sichere KI-Anwendungen
• Sicherheit in der Cloud
• Microsoft 365 sicher betreiben
• Mobile Security
• IoT-Sicherheit

Leseprobe

• Leseprobe

Fazit

Das Buch bietet einen fundierten und praxisnahen Einstieg in die Welt von IT-Sicherheit und Hacking. Es richtet sich gleichermaßen an interessierte Einsteiger als auch an fortgeschrittene Anwender, die ihre Kenntnisse vertiefen möchten. Besonders gelungen ist die Verbindung technischer Grundlagen mit konkreten Anwendungsszenarien – vom Einsatz sicherer Tools über das Absichern von Servern bis hin zur datenschutzfreundlichen Cloud-Lösung.

Wer sich ernsthaft mit Sicherheitsaspekten in der digitalen Welt auseinandersetzen möchte, findet in diesem Werk einen gut strukturierten Leitfaden, der nicht nur Wissen vermittelt, sondern auch zum eigenständigen Handeln motiviert. Ein empfehlenswertes Nachschlagewerk für alle, die digitale Souveränität nicht dem Zufall überlassen wollen.

Der Beitrag Hacking & Security: Das umfassende Handbuch erschien zuerst auf intux.de.

Mozilla hat Firefox 146 für Android veröffentlicht. Dieser Artikel beschreibt die Neuerungen von Firefox 146 für Android.

Download Firefox für Android im Google Play Store

Neuerungen von Firefox 146 für Android

Vervollständigung und Synchronisation von Adressen

Das Speichern und Vervollständigen von Adressen wurde zusätzlich zu den USA und Kanada jetzt auch für Nutzer in Deutschland, Großbritannien, Frankreich, Spanien, Japan und Brasilien aktiviert. Außerdem können die Adressen jetzt geräteübergreifend synchronisiert werden.

Verbesserte Streaming-Kompatibilität

Firefox unterstützt nebem dem Widevine CDM jetzt auch das ClearKey CDM von Android, womit die Wiedergabe DRM-geschützter Videos auf diversen Websites funktioniert, auf denen es bislang in Firefox nicht möglich war.

Sonstige Neuerungen von Firefox 146 für Android

Auf dem Startbildschirm gibt es neben der Überschrift „Geschichten” einen neuen Link für einen eigenen Bildschirm, der empfohlene Artikel anzeigt. Während dieser aktuell einfach nur eine größere Darstellung der gleichen Artikel beinhaltet, sollen hier in Zukunft mehr Artikel angezeigt werden.

Die standardmäßig ausgelieferten Verknüpfungen auf dem Startbildschirm können sich jetzt je nach Region des Anwenders unterscheiden.

Bei Uploadfeldern auf Websites, welche keinen expliziten Dateitypen angegeben haben, kann der Nutzer nun wahlweise eine Datei auswählen, ein Foto aufnehmen oder Audio aufzeichnen.

Die Vibration für die Textauswahl wurde verbessert, wenn haptisches Feedback in den Android-Einstellungen aktiviert ist.

Das Feature, um ein Problem auf einer Website zu melden, wurde um eine Vorschau für die Meldung erweitert.

Dazu kommen weitere neue Plattform-Features der aktuellen GeckoView-Engine, diverse Fehlerbehebungen, geschlossene Sicherheitslücken sowie Verbesserungen unter der Haube.

Der Beitrag Mozilla veröffentlicht Firefox 146 für Android erschien zuerst auf soeren-hentzschel.at.

Mozilla hat Firefox 146 für Windows, Apple macOS und Linux veröffentlicht. Dieser Artikel fasst die wichtigsten Neuerungen zusammen – wie immer auf diesem Blog weit ausführlicher als auf anderen Websites.

Download Mozilla Firefox für Microsoft Windows, Apple macOS und Linux

Backup-Funktion für Nutzer von Windows

Mozilla hat eine Backup-Funktion in Firefox integriert, um wichtige Daten auch ohne Synchronisation auf einfache Weise von einem Gerät auf ein anderes übertragen zu können. Zum Sichern sensibler Daten wie Passwörter und Kreditkarten-Daten muss ein Passwort konfiguriert werden, welches zur Verschlüsselung der Daten verwendet wird.

Die Hauptzielgruppe in der ersten Phase der Feature-Ausrollung sind Nutzer von Windows 10, welche sich einen neuen Computer mit Windows 11 kaufen, da die offizielle Sicherheits-Unterstützung von Windows 10 durch Microsoft kürzlich ausgelaufen ist und nicht jedes System mit Windows 10 auf Windows 11 aktualisiert werden kann. Aus diesem Grund ist die Funktion zur Sicherung in Firefox 146 ausschließlich auf Geräten mit Windows 10 standardmäßig aktiviert, während die Wiederherstellen-Funktion sowohl auf Windows 10 als auch auf Windows 11 aktiviert ist. Standardmäßig ist das OneDrive-Verzeichnis als Speicherort für die Backups ausgewählt, sodass auf dem neuen Gerät direkt auf das Backup zugegriffen werden kann. Der Speicherort kann aber auch manuell verändert werden.

Auch wenn die Backup-Funktion komplett unabhängig von der Firefox-Synchronisation ist, ist die Funktion derzeit im Abschnitt „Sychronisation” der Firefox-Einstellungen platziert.

Geplant ist, die Backup-Funktion im Laufe der kommenden Monate auf alle Systeme zu bringen.

Profile: Desktop-Verknüpfungen, Kopierfunktion und Senden von Tabs an andere Profile

Auf Windows können für die Profile optional jetzt auch Desktop-Verknüpfungen erstellt werden. Außerdem wurde eine Funktion zum Kopieren von Profilen hinzugefügt und über das Kontextmenü der Tabs können diese in anderen Profilen geöffnet werden.

Automatischer Wetter-Standort per Opt-in

Die automatische Standort-Erkennung für die Wetterfunktion auf der Firefox-Startseite erfolgt für Nutzer in der Europäischen Union sowie manchen weiteren Ländern jetzt per Opt-in. Diese Neuerung wird schrittweise im Laufe der kommenden Wochen ausgerollt werden.

Firefox Labs auch für Nutzer ohne aktivierte Telemetrie

Der Abschnitt „Firefox Labs” in den Firefox-Einstellungen erlaubt die Aktivierung experimenteller Funktionen durch den Anwender. Bislang war die Aktivierung von Telemetrie und Teilnahme an Studien zwingende Voraussetzung, damit „Firefox Labs” zur Verfügung steht. Dies wird nicht länger vorausgesetzt.

Mehr Sicherheit für Firefox-Nutzer

Auch in Firefox 146 wurden wieder mehrere Sicherheitslücken geschlossen. Alleine aus Gründen der Sicherheit ist ein Update auf Firefox 146 daher für alle Nutzer dringend empfohlen.

Firefox unterstützt nun ML-KEM für WebRTC, indem es während des DTLS 1.3-Handshakes einen Post-Quantum-Schlüssel (PQ) sendet. ML-KEM ist ein Public-Key-Kryptosystem der nächsten Generation, das als sicher gegen Angreifer mit großen Quantencomputern gilt.

Sonstige Endnutzer-Neuerungen in Firefox 146

Die dünnen Scrollbalken auf Windows haben jetzt auch Schaltflächen zum nach oben und nach unten Scrollen.

Die von Firefox verwendete Grafikbibliothek Skia wurde aktualisiert, um die Rendering-Performance und Kompatibilität zu verbessern. Die Unterstützung für die alte Grafikschnittstelle Direct2D unter Windows wurde entfernt.

Auf auf macOS nutzt Firefox jetzt einen dedizierten GPU-Prozess für seine Grafik-Engine WebRender, WebGL und WebGPU. Schwerwiegende Fehler im Grafik-Code lassen damit nicht länger den kompletten Browser abstürzen.

Firefox unterstützt jetzt nativ fraktionierte Skalierungen auf Linux (Wayland), wodurch die Darstellung effektiver wird.

Die automatische Spracherkennung für die Übersetzungsfunktion wurde verbessert. Außerdem gab es mehrere Verbesserungen, um die Übersetzung aus und in Sprachen mit unterschiedlicher Schreibrichtung zu verbessern.

Für Nutzer in den USA kann die Adressleiste jetzt auch Auskünfte zur Flugzeiten und Sportergebnisse anzeigen. Diese Neuerung wird schrittweise im Laufe der kommenden Wochen ausgerollt werden.

Das Erweiterungs-Panel zeigt im Fehlerbehebungsmodus jetzt einen Hinweis an, dass aus diesem Grund sämtliche Erweiterungen deaktiviert sind.

Ein Import von Daten aus dem Internet Explorer wird nicht länger unterstützt.

In der Regelansicht des Inspektor-Entwicklerwerkzeugs werden unbenutzte benutzerdefinierte CSS-Eigenschaften nun standardmäßig ausgeblendet. Dies verbessert die Übersichtlichkeit und beschleunigt in manchen Fällen auch die Darstellung des Inspektor-Panels.

Verbesserungen der Webplattform

Firefox 146 unterstützt die CSS Funktion contrast-color, welche einen Farbwert entgegen nimmt und eine Kontrastfarbe zurück gibt. Die Funktion gewährleistet in der Regel den Mindestkontrast gemäß WCAG AA. Aktuell gibt die Funktion gemäß Spezifikation entweder Schwarz oder Weiß zurück. Diese Einschränkung soll in Zukunft aber entfallen.

Ebenfalls unterstützt wird jetzt das veraltete Schlüsselwort -webkit-fill-available als Wert für die CSS-Eigenschaften width und height. Dies verbessert die Darstellung von Inhalten auf Websites, die diesen Wert verwenden. Dieses Schlüsselwort ist ein Alias für das kürzlich standardisierte Schlüsselwort stretch, das von Firefox noch nicht unterstützt wird.

Die @scope-Regel in CSS wird nun unterstützt, sodass Autoren das Styling auf einen Teilbaum des DOM beschränken können. Dadurch muss nicht mehr auf übermäßig spezifische Selektoren zurückgegriffen werden.

Mittels text-decoration-inset kann in CSS der Start- und Endpunkt für Text-Unterstreichungen festgelegt werden.

Für den Zeit-Picker bei Verwendung von <input type="time"> pder <input type="datetime-local"> gibt es nun eine vollständige Unterstützung für Tastaturen und assistive Technologien.

Weitere Verbesserungen der Webplattform und für Erweiterungsentwickler lassen sich wie immer in den MDN Web Docs nachlesen.

Der Beitrag Mozilla veröffentlicht Firefox 146 erschien zuerst auf soeren-hentzschel.at.

Die Docker Engine 29 unter Linux unterstützt erstmals Firewalls auf nftables-Basis. Die Funktion ist explizit noch experimentell, aber wegen der zunehmenden Probleme mit dem veralteten iptables-Backend geht für Docker langfristig kein Weg daran vorbei. Also habe ich mir gedacht, probiere ich das Feature einfach einmal aus. Mein Testkandidat war Fedora 43 (eine reale Installation auf einem x86-Mini-PC sowie eine virtuelle Maschine unter ARM).

Inbetriebnahme

Das nft-Backend aktivieren Sie mit der folgenden Einstellung in der Datei /etc/docker/daemon.json:

{ 
  "firewall-backend": "nftables"
}

Diese Datei existiert normalerweise nicht, muss also erstellt werden. Die Syntax ist hier zusammengefasst.

Die Docker-Dokumentation weist darauf hin, dass Sie außerdem IP-Forwarding erlauben müssen. Alternativ können Sie Docker anweisen, auf Forwarding zu verzichten ("ip-forward": false in daemon.json) — aber dann funktionieren grundlegende Netzwerkfunktionen nicht.

# Datei /etc/sysctl.d/99-docker.conf
net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1

sysctl --system aktiviert die Änderungen ohne Reboot.

Die Docker-Dokumentation warnt allerdings, dass dieses Forwarding je nach Anwendung zu weitreichend sein und Sicherheitsprobleme verursachen kann. Gegebenenfalls müssen Sie das Forwarding durch weitere Firewall-Regeln wieder einschränken. Die Dokumentation gibt ein Beispiel, um auf Rechnern mit firewalld unerwünschtes Forwarding zwischen eth0 und eth1 zu unterbinden. Alles in allem wirkt der Umgang mit dem Forwarding noch nicht ganz ausgegoren.

Praktische Erfahrungen

Mit diesen Einstellungen lässt sich die Docker Engine prinzipiell starten (systemctl restart docker, Kontrolle mit docker version oder systemctl status docker). Welches Firewall-Backend zum Einsatz kommt, verrät docker info:

docker info | grep 'Firewall Backend'

 Firewall Backend: nftables+firewalld

Ich habe dann ein kleines Compose-Setup bestehend aus MariaDB und WordPress gestartet. Soweit problemlos:

docker compose up -d

  [+] Running 2/2
  Container wordpress-sample-wordpress-1  Running   0.0s 
  Container wordpress-sample-db-1         Running   0.0s 
  Attaching to db-1, wordpress-1


docker compose ps

  NAME                           IMAGE             ...   PORTS
  wordpress-sample-db-1          mariadb:latest          3306/tcp
  wordpress-sample-wordpress-1   wordpress:latest        127.0.0.1:8082->80/tcp

Firewall-Regeln

Auch wenn ich kein nft-Experte bin, wollte ich mir zumindest einen Überblick verschaffen, wie die Regeln hinter den Kulissen funktionieren und welchen Umfang sie haben:

# ohne Docker (nur firewalld)
nft list tables

  table inet firewalld

nft list ruleset | wc -l

    374

# nach Start der Docker Engine (keine laufenden Container)
nft list tables

  table inet firewalld
  table ip docker-bridges
  table ip6 docker-bridges

nft list ruleset | wc -l

    736

Im Prinzip richtet Docker also zwei Regeltabellen docker-bridges ein, je eine für IPv4 und für IPv6. Die zentralen Regeln für IPv4 sehen so aus (hier etwas kompakter als üblich formatiert):

nft list table ip docker-bridges

table ip docker-bridges {
  map filter-forward-in-jumps {
    type ifname : verdict
      elements = { "docker0" : jump filter-forward-in__docker0 }
  }
  map filter-forward-out-jumps {
    type ifname : verdict
      elements = { "docker0" : jump filter-forward-out__docker0 }
  }
  map nat-postrouting-in-jumps {
    type ifname : verdict
      elements = { "docker0" : jump nat-postrouting-in__docker0 }
  }
  map nat-postrouting-out-jumps {
    type ifname : verdict
      elements = { "docker0" : jump nat-postrouting-out__docker0 }
  }
  chain filter-FORWARD {
    type filter hook forward priority filter; policy accept;
    oifname vmap @filter-forward-in-jumps
      iifname vmap @filter-forward-out-jumps
  }
  chain nat-OUTPUT {
    type nat hook output priority dstnat; policy accept;
    ip daddr != 127.0.0.0/8 fib daddr type local counter packets 0 bytes 0 jump nat-prerouting-and-output
  }
  chain nat-POSTROUTING {
    type nat hook postrouting priority srcnat; policy accept;
    iifname vmap @nat-postrouting-out-jumps
      oifname vmap @nat-postrouting-in-jumps
  }
  chain nat-PREROUTING {
    type nat hook prerouting priority dstnat; policy accept;
    fib daddr type local counter packets 0 bytes 0 jump nat-prerouting-and-output
  }
  chain nat-prerouting-and-output {
  }
  chain raw-PREROUTING {
    type filter hook prerouting priority raw; policy accept;
  }
  chain filter-forward-in__docker0 {
    ct state established,related counter packets 0 bytes 0 accept
      iifname "docker0" counter packets 0 bytes 0 accept comment "ICC"
      counter packets 0 bytes 0 drop comment "UNPUBLISHED PORT DROP"
  }
  chain filter-forward-out__docker0 {
    ct state established,related counter packets 0 bytes 0 accept
      counter packets 0 bytes 0 accept comment "OUTGOING"
  }
  chain nat-postrouting-in__docker0 {
  }
  chain nat-postrouting-out__docker0 {
    oifname != "docker0" ip saddr 172.17.0.0/16 counter packets 0 bytes 0 masquerade comment "MASQUERADE"
  }
}

Diese Tabelle richtet NAT-Hooks für Pre- und Postrouting ein, die über Verdict-Maps (Datenstrukturen zur Zuordnung von Aktionen) später dynamisch auf bridge-spezifische Chains weiterleiten können. Für das Standard-Docker-Bridge-Netzwerk (docker0, 172.17.0.0/16) sind bereits Filter-Chains vorbereitet, die etablierte Verbindungen akzeptieren, Inter-Container-Kommunikation erlauben würden und nicht veröffentlichte Ports blocken, sowie eine Masquerading-Regel für ausgehenden Traffic von Containern, damit diese über die Host-IP auf das Internet zugreifen können. Die meisten Chains sind vorerst leer oder inaktiv (nat-prerouting-and-output, raw-PREROUTING, nat-postrouting-in__docker0). Wenn Docker Container ausführt, interne Netzwerk bildet etc., kommen weitere Regeln innerhalb von ip docker-bridges hinzu.

Zusammenspiel mit libvirt/virt-manager

Vor ca. einem halben Jahr bin ich das erste Mal über das nicht mehr funktionierende Zusammenspiel von Docker mit iptables und libvirt mit nftables gestolpert (siehe hier). Zumindest bei meinen oberflächlichen Tests klappt das jetzt: libvirt muss nicht auf iptables zurückgestellt werden sondern kann bei der Defaulteinstellung nftables bleiben. Dafür muss Docker wie in diesem Beitrag beschrieben ebenfalls auf nftables umgestellt werden. Nach einem Neustart (erforderlich, damit alte iptables-Docker-Regeln garantiert entfernt werden!) kooperieren Docker und libvirt so wie sie sollen. libvirt erzeugt für seine Netzwerkfunktionen zwei weitere Regeltabellen:

nft list tables

table inet firewalld
table ip docker-bridges
table ip6 docker-bridges
table ip libvirt_network
table ip6 libvirt_network

Einschränkungen und Fazit

• Die Docker-Dokumentation weist darauf hin, dass das nftables-Backend noch keine Overlay-Regeln erstellt, die für den Betrieb von Docker Swarm notwendig sind. Docker Swarm funktioniert also aktuell nicht, wenn Sie Docker auf nftables umstellen. Für mich ist das kein Problem, weil ich Docker Swarm ohnedies nicht brauche.

• Ich habe meine Tests nur unter Fedora durchgeführt. (Meine Zeit ist auch endlich.) Es ist anzunehmen, dass RHEL plus Klone analog funktionieren, aber das bleibt abzuwarten. Debian + Ubuntu wären auch zu testen …

• Ich habe nur einfache compose-Setups ausprobiert. Natürlich kein produktiver Einsatz.

• Meine nftables- und Firewall-Kenntnisse reichen nicht aus, um eventuelle Sicherheitsimplikationen zu beurteilen, die sich aus der Umstellung von iptables auf nftables ergeben.

Losgelöst von den Docker-spezifischen Problemen zeigt dieser Blog-Beitrag auch, dass das Zusammenspiel mehrerer Programme (firewalld, Docker, libvirt, fail2ban, sonstige Container- und Virtualisierungssysteme), die jeweils ihre eigenen Firewall-Regeln benötigen, alles andere als trivial ist. Es würde mich nicht überraschen, wenn es in naher Zukunft noch mehr unangenehme Überraschungen gäbe, dass also der gleichzeitige Betrieb der Programme A und B zu unerwarteten Sicherheitsproblemen führt. Warten wir es ab …

Insofern ist die Empfehlung, beim produktiven Einsatz von Docker auf dem Host möglichst keine anderen Programme auszuführen, nachvollziehbar. Im Prinzip ist das Konzept ja nicht neu — jeder Dienst (Web, Datenbank, Mail usw.) bekommt möglichst seinen eigenen Server bzw. seine eigene Cloud-Instanz. Für große Firmen mit entsprechender Server-Infrastruktur sollte dies ohnedies selbstverständlich sein. Bei kleineren Server-Installationen ist die Auftrennung aber unbequem und teuer.

Quellen/Links

• https://kofler.info/dockers-nft-inkompatibilitaet-wird-zunehmend-zum-aergernis/
• https://docs.docker.com/engine/release-notes/29/
• https://docs.docker.com/engine/network/firewall-nftables/
• https://docs.docker.com/engine/network/firewall-nftables/#migrating-from-iptables-to-nftables
• https://docs.docker.com/engine/daemon/
• https://docs.docker.com/engine/security/#docker-daemon-attack-surface

Die Raspberry Pi Foundation hat vor einigen Tagen eine komplett reorganisierte Implementierung Ihres Raspberry Pi OS Imager vorgestellt. Das Programm hilft dabei, Raspberry Pi OS oder andere Distributionen auf SD-Karten für den Raspberry Pi zu schreiben. Mit der vorigen Version hatte ich zuletzt Ärger. Aufgrund einer Unachtsamkeit habe ich Raspberry Pi OS über die Windows-Installation auf der zweite SSD meines Mini-PCs geschrieben. Führt Version 2.0 ebenso leicht in die Irre?

Installation unter Linux

Der Raspberry Pi Imager steht für Windows als EXE-Datei und für macOS als DMG-Image zur Verfügung. Installation und Ausführung gelingen problemlos.

Unter Linux ist die Sache nicht so einfach. Die Raspberry Pi Foundation stellt den Imager als AppImage zur Verfügung. AppImages sind ein ziemlich geniales Format zur Weitergabe von Programmen. Selbst Linux Torvalds war begeistert (und das will was sagen!): »This is just very cool.« Leider setzt Ubuntu auf Snap-Pakete und die Red-Hat-Welt auf Flatpaks. Dementsprechend mau ist die Unterstützung für das AppImage-Format.

Ich habe meine Tests unter Fedora 43 durchgeführt. Der Versuch, den heruntergeladenen Imager einfach zu starten, führt sowohl aus dem Webbrowser als auch im Gnome Dateimanager in das Programm Gnome Disks. Fedora erkennt nicht, dass es sich um eine App handelt und bietet stattdessen Hilfe an, in die Image-Datei hineinzusehen. Abhilfe: Sie müssen zuerst das Execute-Bit setzen:

chmod +x Downloads/imager_2.2.0.amd64.AppImage

Aber auch der nächste Startversuch scheitert. Das Programm verlangt sudo-Rechte.

Mit sudo funktioniert es schließlich:

sudo Downloads/imager_2.2.0.amd64.AppImage

Tipp: Beim Start mit sudo müssen Sie imager_n.n.AppImage unbedingt einen Pfad voranstellen! Wenn Sie zuerst mit cd Downloads in das Downloads-Verzeichnis wechseln und dann sudo imager_n.n.AppImage ausführen, lautet die Fehlermeldung Befehl nicht gefunden. Hingegen funktioniert sudo ./imager_n.n.AppImage.

Bedienung

Ist der Start einmal geglückt, lässt sich das Programm einfach bedienen: Sie wählen zuerst Ihr Raspberry-Pi-Modell aus, dann die gewünschte, dazu passende Distribution und schließlich das Device der SD-Karte aus. Vorsicht!! Wie schon bei der alten Version des Programms sind die Icons irreführend. In meinem Fall (PC mit zwei zwei SSDs und einer SD-Karte) wird das SD-Karten-Icon für die zweite SSD verwendet, das USB-Icon dagegen für die SD-Karte. Passen Sie auf, dass Sie nicht das falsche Laufwerk auswählen!! Ich habe ein entsprechendes GitHub-Issue verfasst.

In den weiteren Schritten können Sie eine Vorabkonfiguration von Raspberry Pi OS vornehmen, was vor allem dann hilfreich ist, wenn Sie den Raspberry Pi ohne Tastatur und Monitor (»headless«) in Betrieb nehmen und sich direkt per SSH einloggen möchten.

Bei den Zusammenfassungen wäre die Angabe des Device-Namens der SD-Karte eine große Hilfe.

Fazit

Die Oberfläche des Raspberry Pi Imager wurde überarbeitet und ist ein wenig übersichtlicher geworden. An der Funktionalität hat sich nichts geändert. Leider kann es weiterhin recht leicht passieren, das falsche Device auszuwählen. Bedienen Sie das Programm also mit Vorsicht!

Quellen/Links

• https://www.raspberrypi.com/software/
• https://www.raspberrypi.com/news/a-new-raspberry-pi-imager/
• https://kofler.info/raspberry-pi-os-trixie/
• https://appimage.org/
• https://github.com/raspberrypi/rpi-imager/issues/1327

Mozilla hat Firefox 145.0.2 veröffentlicht und behebt damit mehrere Probleme der Vorgängerversion.

Download Mozilla Firefox 145.0.2

Mit dem Update auf Firefox 145.0.2 behebt Mozilla Probleme, welche vor allem eine Nutzung der chinesischen Suchmaschine Baidu erschwerten. Außerdem wurde eine Webkompatibilitäts-Intervention ausgeliefert, damit auch Firefox-Nutzer Rennen auf Formula1 TV streamen können.

Darüber hinaus gab es eine Korrektur für die Windows UI Automation Barrierefreiheits-Schnittstelle, eine Telemetrie-Korrektur für die Erkennung von Enterprise-Installationen sowie aktualisierte Übersetzungen für eine neue Backup-Funktion, welche bald ausgerollt werden soll.

Der Beitrag Mozilla veröffentlicht Firefox 145.0.2 erschien zuerst auf soeren-hentzschel.at.

Seit einiger Zeit treten unter Ubuntu 24.04 LTS Probleme beim Ausführen von VirtualBox auf. Diese lassen sich zwar temporär durch das Entladen eines KVM-Moduls beheben, tauchen jedoch nach einem Neustart wieder auf.

KVM steht für Kernel-based Virtual Machine und ist eine Virtualisierungstechnologie für Linux auf x86-Hardware.

Temporäre Lösung

Abhängig vom verwendeten Prozessor kann das jeweilige KVM-Modul aus dem laufenden Kernel mit folgendem Befehl entfernt werden:

sudo modprobe -r kvm_intel

bei AMD-Systemen:

sudo modprobe -r kvm_amd

Diese Methode ist jedoch nicht dauerhaft, da das Modul nach einem Neustart wieder geladen wird.

Bei der Recherche zu diesem Thema bin ich auf zwei Lösungsansätze gestoßen, die das Problem dauerhaft beheben sollten. Zum einen geht es um das Hinzufügen einer Boot-Option in GRUB, zum anderen um die Erstellung einer Blacklist der entsprechenden KVM-Module für VirtualBox.

1. Ansatz – Eingriff in den Bootloader (GRUB)

In der Datei /etc/default/grub wird der Eintrag

GRUB_CMDLINE_LINUX=

um folgenden Parameter (siehe Screenshot) ergänzt:

"kvm.enable_virt_at_load=0"

Anschließend muss die GRUB-Konfiguration aktualisiert werden:

sudo update-grub

Wichtiger Hinweis:
Ein fehlerhafter Eintrag in der GRUB-Konfiguration kann dazu führen, dass das System nicht mehr startet. Unerfahrene Nutzer könnten in eine schwierige Situation geraten. Daher ist ein vollständiges System-Backup vor dem Eingriff unbedingt empfehlenswert.

2. Ansatz – Blacklisting des KVM-Moduls

Ein sichererer und eleganterer Weg ist das Blacklisting des Moduls. Dazu wird eine neue Konfigurationsdatei angelegt:

sudo nano /etc/modprobe.d/blacklist-kvm.conf

Dort fügt man folgende Zeilen hinzu:

blacklist kvm
blacklist kvm_intel

Nach einem Neustart des Systems wird das jeweilige KVM-Modul nicht mehr geladen und VirtualBox sollte wie gewohnt funktionieren.

Fazit

Die zweite Methode ist risikoärmer und benutzerfreundlicher. Dennoch empfiehlt es sich, vor jeder Änderung am System ein Backup anzulegen.

Viel Erfolg beim Virtualisieren!

Der Beitrag KVM-Konflikte mit VirtualBox unter Ubuntu 24.04 dauerhaft lösen erschien zuerst auf intux.de.

Ende November erscheint die 19. Auflage meines Linux-Buchs und markiert damit ein denkwürdiges Jubiläum: Das Buch ist jetzt 30 Jahre alt!

Gleichzeitig ist das Buch so modern wie nie zuvor. Bei der Überarbeitung habe ich das Buch an vielen Stellen gestrafft und von Altlasten befreit. Das hat Platz für neue Inhalte gemacht, z.B. rund um die folgenden Themen:

• Die Shell fish (neues Kapitel)
• Swap on ZRAM
• Geoblocking mit nft (neuer Abschnitt)
• Samba im Zusammenspiel mit Windows 11 24H2
• Monitoring mit Prometheus und Grafana (neues Kapitel, Docker-Setup mit Traefik)
• KI-Sprachmodelle ausführen (neues Kapitel)
• Berücksichtigung von CachyOS

Umfang: 1429 Seiten
ISBN: 978-3-367-11069-8
Preis: Euro 49,90 (in D inkl. MWSt.)

Weitere Informationen zum Buch finden Sie hier.

Aus dem Vorwort

Sowohl Linux als auch mein Buch haben sich in den vergangenen 30 Jahren natürlich dramatisch verändert. Die folgenden Absätze stammen aus dem Vorwort. Das gesamte Vorwort befindet sich in der Leseprobe (PDF) zum Buch.

Als ich an der ersten Auflage dieses Buchs schrieb, hatten die meisten Privatanwenderinnen und -anwender noch gar keinen Internetzugang, und wenn doch, dann über ein unzuverlässiges Modem. Das World Wide Web war gerade im Entstehen. In der ersten Auflage des Buchs habe ich Mosaic als Linux-tauglichen Webbrowser empfohlen. Erst in der zweiten Auflage konnte ich auf Netscape eingehen, der damals als erster »richtiger« Browser kostenlos für Linux zur Verfügung stand. (Aus Netscape wurde später Mozilla Firefox.)

Das wichtigste Medium zur Verbreitung von Linux war in den 90er-Jahren die CD. Die ersten Auflagen dieses Buchs enthielten deswegen CDs (später DVDs) mit Linux-Distributionen. Der Siegeszug des Internets veränderte den Charakter dieses Buchs: Es war nicht mehr notwendig, alle Optionen diverser Kommandos bis ins letzte Detail zu beschreiben; jetzt reicht ein Link auf eine Webseite mit vertiefenden Informationen.

In den Vordergrund des Buchs rückte die Vermittlung von Unix/Linux-Grundlagen. Ja, alles steht im Internet, aber Leserinnen und Leser schätzen den geordneten Überblick über Linux, die strukturierte Sammlung von Basiswissen so sehr, dass sich regelmäßige Neuauflagen lohnen. Die altmodische, aber werbefreie Präsentation auf Papier (oder in einem E-Book), frei von blinkenden Bannern und lästigen Werbevideos, ist ein entscheidender Vorteil.

Parallel zur Entwicklung des Internets bekam dieses Buch einen neuen inhaltlichen Fokus. Immer mehr Organisationen und Firmen betreiben selbst Linux-Server, sei es zu Hause, auf gemieteten Root-Servern oder in virtuellen Maschinen (Cloud-Instanzen). Dementsprechend erklärt dieses Buch, wie Sie selbst SSH-, Web-, Mail- und Datenbank-Server einrichten und sicher betreiben.

Ein weiterer Meilenstein der Linux-Geschichte war die Vorstellung des Raspberry Pi vor gut einem Jahrzehnt. Dieser preisgünstige Linux-basierte Mini-Computer bietet viele Anwendungen, von elektronischen Bastelprojekten bis zur Basisstation für die eigene Home Automation.

Seit 2022 zeichnet sich eine weitere IT-Zeitenwende ab: Mit ChatGPT wird der erste brauchbare KI-Chatbot frei verfügbar. Es lässt sich trefflich darüber streiten, wie »intelligent« dieses und konkurrierende Systeme sind. Fest steht, dass KI-Tools eine großartige Hilfe bei Linux-Problemen aller Art sind.

Nachdem ich mich vor zwei Jahrzehnten gefragt habe, ob das Internet IT-Bücher obsolet macht, stellt sich diese Frage jetzt wieder. Und neuerlich glaube ich, dass dies nicht der Fall sein wird. KI-Tools helfen (auch) bei der Lösung von Linux-Problemen. Dennoch brauchen Sie einiges an Grundwissen, um funktionierende Prompts zu formulieren. Und noch mehr Wissen zur Abschätzung, ob die Antworten von ChatGPT & Co. plausibel, veraltet oder frei erfunden sind. Genau dieses Wissen vermittle ich hier — seit 30 Jahren!

Links

• https://kofler.info/20-jahre-linux-buch/
• https://kofler.info/25-jahre-linux-buch/

Mozilla hat Firefox 147 um die experimentelle Unterstützung einer Oberfläche zur Änderung von Tastenkombinationen erweitert.

Nutzer einer Nightly-Version von Firefox 147 können ab sofort über die Seite about:keyboard eine Reihe von Tastenkombinationen ändern. Einen direkten Einstiegspunkt über die Firefox-Oberfläche gibt es bislang bewusst nicht. Mozilla weist direkt am Anfang der Seite darauf hin, dass diese Funktion noch experimentell ist und möglicherweise nicht wie erwartet funktioniert. Auch fehlt es noch an einem richtigen Design für die Seite und es werden auch noch nicht alle Tastenkombinationen unterstützt, die Firefox anbietet. Aber für immerhin bereits 67 Funktionen wie zum Beispiel dem Öffnen eines neuen Tabs kann eine andere Tastatur-Belegung konfiguriert werden.

Der Beitrag Firefox 147 erlaubt Änderung von Tastenkombinationen erschien zuerst auf soeren-hentzschel.at.

Mozilla hat Firefox 145.0.1 veröffentlicht und behebt damit mehrere Probleme der Vorgängerversion.

Download Mozilla Firefox 145.0.1

Mit dem Update auf Firefox 145.0.1 wird die Übersetzungsfunktion nicht länger als „Beta” gekennzeichnet.

In veralteten Versionen von Windows 10 war es nicht möglich, Firefox über den Desktop-Launcher zu starten.

In der seit Firefox 145 neuen Sidebar für Passwörter waren die maskierten Passwort-Zeichen für einen kurzen Augenblick zu sehen, wenn beim Bearbeiten das Passwort-Feld geleert und der Eintrag dann gespeichert werden sollte.

Mehrere Webkompatibilitätsprobleme wurden behoben. Außerdem war mit den Entwicklerwerkzeugen nicht länger das Speichern aller Anfragen als HAR möglich.

Der Beitrag Mozilla veröffentlicht Firefox 145.0.1 erschien zuerst auf soeren-hentzschel.at.

Der Enterprise Policy Generator richtet sich an Administratoren von Unternehmen und Organisationen, welche Firefox konfigurieren wollen. Mit dem Enterprise Policy Generator 7.2 ist nun ein Update erschienen.

Download Enterprise Policy Generator für Firefox

Die Enterprise Policy Engine erlaubt es Administratoren, Firefox über eine Konfigurationsdatei zu konfigurieren. Der Vorteil dieser Konfigurationsdatei gegenüber Group Policy Objects (GPO) ist, dass diese Methode nicht nur auf Windows, sondern plattformübergreifend auf Windows, Apple macOS sowie Linux funktioniert.

Der Enterprise Policy Generator hilft bei der Zusammenstellung der sogenannten Enterprise Policies, sodass kein tiefergehendes Studium der Dokumentation und aller möglichen Optionen notwendig ist und sich Administratoren die gewünschten Enterprise Policies einfach zusammenklicken können.

Neuerungen vom Enterprise Policy Generator 7.2

Der Enterprise Policy Generator 7.2 bringt Unterstützung für die BrowserDataBackup-Richtlinie, welche in Firefox 145 und höher genutzt werden kann, um die Verwendung eines neuen Features für Firefox-Backups zu aktivieren respektive zu deaktivieren.

Außerdem kann über die Preferences-Richtlinie jetzt auch die Option security.webauthn.always_allow_direct_attestation gesetzt werden.

Entwicklung unterstützen

Wer die Entwicklung des Add-ons unterstützen möchte, kann dies tun, indem er der Welt vom Enterprise Policy Generator erzählt und die Erweiterung auf addons.mozilla.org bewertet. Auch würde ich mich sehr über eine kleine Spende freuen, welche es mir ermöglicht, weitere Zeit in die Entwicklung des Add-on zu investieren, um zusätzliche Features zu implementieren.

Der Beitrag Enterprise Policy Generator 7.2 für Firefox veröffentlicht erschien zuerst auf soeren-hentzschel.at.

Aktuell schreibe ich hier mehr zu Docker als mir lieb ist. Es ist eigentlich absurd: Ich verwende Docker seit Jahren täglich und in der Regel ohne irgendwelche Probleme. Aber in den letzten Wochen prasseln Firewall-Inkompatibilitäten und anderer Ärger förmlich über Docker-Anwender herein.

Konkret geht es in diesem Beitrag um zwei Dinge:

• Mit dem Update auf containerd 1.7.28 hat Docker eine Sicherheitslücke durch eine zusätzliche AppArmor-Regel behoben. Das ist eigentlich gut, allerdings führt diese Sicherheitsmaßnahme zu Ärger im Zusammenspiel mit gewissen Containern (z.B. immich) unter Host-Systemen mit AppArmor (Ubuntu, Proxmox etc.)

• Docker Engine 29 verlangt die API-Version 1.44 oder neuer. Programme, die eine ältere API-Version verwenden, produzieren dann den Fehler Client Version 1.nnn is too old. Betroffen ist/war unter anderem das im Docker-Umfeld weit verbreitete Programm Traefik.

AppArmor-Problem / net.ipv4.ip_unprivileged_port_start permission denied

Im Anfang war der Bug, in diesem Fall CVE-2025-52881. Ein Angreifer kann runc (das wiederum Teil von containerd.io ist) mit Shared Mounts dazu bringen, /proc-Schreibvorgänge auf andere procfs-Dateien umzuleiten. Das ist wiederum sicherheitstechnisch ziemlich ungünstig (Severity ist High). Docker hat das Problem mit containerd 1.7.28-2 behoben — aber jetzt spießt es sich mit AppArmor, das nicht mehr den kompletten Pfad sieht und deswegen eingreift. Der Docker-Security-Fix kann auf Hosts mit AppArmor also dazu führen, dass auch korrekte Zugriffe blockiert werden. Die beste Beschreibung gibt dieser Blog-Beitrag.

Ich kann aus eigener Erfahrung nicht viel zu diesem Problem sagen. Ich betreibe aktuell kein System, das betroffen ist. Besonders oft tritt der Bug in Kombination mit Proxmox oder LXC auf (siehe dieses containerd Issue). Aber auch die weit verbreitete immich.app zum Foto-Management ist betroffen (siehe diese Diskussion).

Die in den verlinkten Beiträgen präsentierten Lösungsvorschläge sind leider allesamt wenig überzeugend: Das Docker-Update nicht durchführen/blockieren, eine alte Docker-Version re-installieren, AppArmor-Regeln ändern etc.

Client Version too old

Vollkommen unabhängig vom ersten Probem, aber fast zeitgleich aufgetreten ist der Fehler Client Version 1.nnn too old. Er resultiert daraus, dass die Docker Engine ab Version 29 für die API-Steuerung zumindest die API-Version 1.44 voraussetzt. (Bis zur Docker Enginge 28 reichte die API-Version 1.24.)

docker version

  ...
  Server: Docker Desktop 4.51.0 (210443)
   Engine:
     Version:          29.0.0
     API version:      1.52 (minimum version 1.44)    <------
  ...

Wenn nun ein Programm eine ältere API-Version nutzt, kommt es zum in der Überschrift genannten Fehler. Betroffen ist davon Traefik. (Das ist ein HTTP-Reverse-Proxy für Microservices und Container-Umgebungen.) Dort ist das Problem bekannt und wurde vorgestern mit Traefik Version 3.6.1 behoben.

Wenn Sie also ein Update auf die neueste Docker-Version durchführen, müssen Sie in compose.yaml für die Traefik-Version 3.6.1 oder einfach 3 oder latest angeben. Denken Sie daran, vor einem Neustart der Container ein Update des Traefek-Images mit docker pull traefik zu erledigen!

sudo apt full-upgrade -y
cd /mein/projekt/verzeichnis
docker pull traefik
docker compose down
docker compose up -d

Quellen/Links

AppArmor-Problem / net.ipv4.ip_unprivileged_port_start permission denied (containerd 1.7.28)

• https://github.com/containerd/containerd/issues/12484
• https://nvd.nist.gov/vuln/detail/CVE-2025-52881
• https://github.com/immich-app/immich/discussions/23644
• https://blog.ktz.me/apparmors-awkward-aftermath-atop-proxmox-9/

Client Version 1.nn is too old (Docker Engine 29)

• https://docs.docker.com/engine/release-notes/29/
• https://www.docker.com/blog/docker-engine-version-29/
• https://github.com/traefik/traefik/issues/12253
• https://forums.docker.com/t/docker-29-increased-minimum-api-version-breaks-traefik-reverse-proxy/150384
• https://github.com/traefik/traefik/issues/12253
• https://docs.docker.com/engine/deprecated/#deprecate-legacy-api-versions

Mozilla hat Firefox 145 für Android veröffentlicht. Dieser Artikel beschreibt die Neuerungen von Firefox 145 für Android.

Download Firefox für Android im Google Play Store

Neuerungen von Firefox 145 für Android

Verbesserte Sicherheit für Firefox-Nutzer

Firefox erzwingt nun die sogenannte „Certificate Transparency“ und verlangt von Webservern einen ausreichenden Nachweis, dass ihre Zertifikate öffentlich bekannt gegeben wurden, bevor sie als vertrauenswürdig eingestuft werden. Dies betrifft nur Server, welche Zertifikate verwenden, die von einer Zertifizierungsstelle in Mozillas Stammzertifikats-Programm ausgestellt wurden.

Firefox ist der erste und einzige Browser, der eine schnelle und umfassende Überprüfung von Zertifikatswiderrufen durchführt, ohne dass dabei die Browsing-Aktivitäten an Dritte (nicht einmal an Mozilla) weitergegeben werden. Dazu nutzt Firefox seinen CRLite-Mechanismus. Gegenüber OCSP resultiert bringt dies außerdem eine Verbesserung der Zeiten für den TLS-Handshake. Außerdem spart Mozillas Implementierung Traffic: Im Vergleich mit Google Chrome wird nur die Hälfte der Bandbreite benötigt, obwohl die Häufigkeit der Updates doppelt so hoch ist, während dennoch alle Wiederrufe enthalten sind. Im Übrigen stellt Mozilla sein CRLite-Backend als Open Source auch für andere Anwendungen zur Verfügung.

Firefox 145 für Android unterstützt außerdem ML-KEM (mlkem768x25519) in TLS 1.3 und HTTP/3, einem Ansatz der nächsten Generation zum Schutz vor zukünftigen Quantenangriffen.

Verbesserungen der Übersetzungsfunktion

Firefox besitzt eine Übersetzungsfunktion für Websites, welche im Gegensatz zu Cloud-Übersetzern wie Google Translate lokal arbeitet, die eingegebenen Texte also nicht an einen fremden Server sendet.

Die Übersetzungsmodelle werden nun mittels zstd komprimiert, womit diese weniger Platz benötigen und schneller heruntergeladen werden können.

Verbessert wurden auch die Übersetzungen in Sprachen mit zur Quellsprache entgegengesetzter Schreibrichtung.

Sonstige Neuerungen von Firefox 145 für Android

Firefox für Android verwendet jetzt einen modernen Rust-basierten Netzwerk-Stack für QUIC und HTTP/3, der schnellere, zuverlässigere Verbindungen und eine verbesserte Gesamtleistung bietet.

Lesezeichen-Ordner können auf Wunsch jetzt auch alphabetisch sortiert werden.

Dazu kommen weitere neue Plattform-Features der aktuellen GeckoView-Engine, diverse Fehlerbehebungen, geschlossene Sicherheitslücken sowie Verbesserungen unter der Haube. Unter anderem wurde das Verhalten von :hover beim langen Drücken auf einen Link an das Verhalten von Chrome auf Android und Safari auf iOS angeglichen. Außerdem können jetzt auch <hr>-Elemente innerhalb eines <select>-Elements dargestellt werden.

Der Beitrag Mozilla veröffentlicht Firefox 145 für Android erschien zuerst auf soeren-hentzschel.at.

Mozilla hat Firefox 145 für Windows, Apple macOS und Linux veröffentlicht. Dieser Artikel fasst die wichtigsten Neuerungen zusammen – wie immer auf diesem Blog weit ausführlicher als auf anderen Websites.

Download Mozilla Firefox für Microsoft Windows, Apple macOS und Linux

Bester Fingerprinting-Schutz aller Browser

Basierend auf Mozillas Forschung zur Reduzierung des digitalen Fingerabdrucks hat Mozilla die nächste Stufe seines Fingerprinting-Schutzes im strengen Modus des Schutzes vor Aktivitätenverfolgung sowie in privaten Fenstern aktiviert. In Zukunft sollen die neuen Maßnahmen für alle Nutzer aktiviert werden.

Die neuen Schutzmaßnahmen reduzieren den Prozentsatz der als einzigartig angesehenen Nutzer fast um die Hälfte. Nach Angaben von Mozilla ist Firefox dank der neuen Abwehrmaßnahmen der erste Browser mit einem solch tiefen Einblick in Fingerprinting und der Browser mit den wirksamsten Maßnahmen zur Reduzierung des Fingerabdrucks.

Ebenfalls neu im strengen Schutz vor Aktivitätenverfolgung ist der zustandslose Modus des Bounce-Tracking-Schutzes, um fortgeschrittene Tracking-Methoden zu blockieren, die auf Weiterleitungen basieren.

Zugriff auf gespeicherte Zugangsdaten über Sidebar

Neben dem Zugriff auf gespeicherte Passwörter via about:logins kann jetzt auch über eine neue Sidebar auf die Zugangsdaten zugegriffen werden, die parallel zur aktiven Website sichtbar ist.

Überblick über Tabs in geschlossenen Tab-Gruppen

Wird mit der Maus über eine geschlossene Tab-Gruppe gefahren, sieht man nun alle Tabs aufgelistet, welche sich in dieser Tab-Gruppe befinden.

Kommentare in PDF-Dateien

Der integrierte PDF-Betrachter wurde um die Möglichkeit erweitert, Textstellen zu kommentieren. Neben einer farblichen Markierung der entsprechenden Textstelle kann der jeweilige Kommentar über eine Schaltfläche ein- oder ausgeblendet werden. Über eine Schaltfläche in der Symbolleiste können alle Kommentare der PDF-Datei angezeigt und direkt zu diesen gesprungen werden.

Verbesserungen der Übersetzungsfunktion

Firefox besitzt eine Übersetzungsfunktion für Websites, welche im Gegensatz zu Cloud-Übersetzern wie Google Translate lokal arbeitet, die eingegebenen Texte also nicht an einen fremden Server sendet. Mit Firefox 145 hat Mozilla den dafür benötigten RAM-Bedarf erheblich verbessert.

Die Übersetzungsmodelle werden nun mittels zstd komprimiert, womit diese weniger Platz benötigen und schneller heruntergeladen werden können.

Verbessert wurden auch die Übersetzungen in Sprachen mit zur Quellsprache entgegengesetzter Schreibrichtung.

Außerdem wurde die Seite about:translations, über welche es möglich ist, beliebigen Text in ein Textfeld einzugeben und sich diesen dann von Firefox übersetzen zu lassen, verbessert. Das Design wurde überarbeitet und das Eingabefeld wird bei viel Text nun automatisch größer.

Link zur Hervorhebung kopieren

Auf einen bestimmten Abschnitt einer Website zu verlinken, ist über einen sogenannten Ankerlink (example.com#anker) kein Problem. Voraussetzung dafür ist, dass das zu verlinkende Element eine ID im Code hat, welche als Ankername verwendet werden kann. Was auf den etwas sperrigen Namen „URL Fragment Text Directives“ hört, bietet weitaus mehr Flexibilität. Nicht nur, dass man damit auch ohne ID im Code, sondern rein über den Inhalt der Website auf eine beliebige Stelle verlinken kann, der Browser hebt die verlinkte Stelle auch noch optisch hervor.

Bereits seit Firefox 137 unterstützt Mozillas Browser dieses Feature. Firefox 145 ergänzt einen Kontextmenü-Eintrag für markierten Text, um selbst einen solchen Link zu erzeugen.

Mehr Sicherheit für Firefox-Nutzer

Auch in Firefox 145 wurden wieder mehrere Sicherheitslücken geschlossen. Alleine aus Gründen der Sicherheit ist ein Update auf Firefox 145 daher für alle Nutzer dringend empfohlen.

Wird Firefox zum Beispiel über eine Umgebungsvariable mit deaktivierter Sandbox gestartet, zeigt Firefox nach dem Start jetzt eine Benachrichtigung darüber an. Außerdem wurde eine Sandbox für den GPU-Prozess auf macOS aktiviert.

Sonstige Endnutzer-Neuerungen in Firefox 145

Firefox 145 bringt eine minimale Anpassung des Browser-Designs, indem diverse Elemente der Oberfläche wie die Tabs, die Adressleiste und Buttons etwas runder wurden.

Eine neue Einstellung „Links aus Apps neben Ihrem aktiven Tab öffnen“ wurde hinzugefügt, um Links aus anderen Anwendungen neben dem aktiven Tab statt am Ende der Tableiste öffnen.

Sind keine Erweiterungen installiert, wird bei Klick auf das Erweiterungs-Symbol in der Navigations-Symbolleiste nun eine Meldung angezeigt, dass Erweiterungen das Surferlebnis verbessern können.

Wenn Firefox so konfiguriert ist, dass keine Chronik gespeichert wird, was einem „permanenten privaten Modus” entspricht, ist bei der Installation neuer Erweiterungen die Checkbox, um Erweiterung in privaten Fenstern auszuführen, nun standardmäßig aktiviert.

Für Windows-Nutzer wurde die bestehende Desktop-Verknüpfung mit einem neuen Desktop-Launcher ersetzt. Dieser startet Firefox, sofern installiert, und ermöglicht ansonsten die Installation von Firefox. Damit sollen Nutzer, die einen neuen Windows-Computer kaufen (zum Beispiel, weil sie von Windows 10 auf Windows 11 umsteigen wollen) und ihren Desktop über Microsoft OneDrive oder eine vergleichbare Lösung sichern, einen einfachen und von der Synchronisation unabhängigen Weg haben, um auch auf dem neuen Computer Firefox zu nutzen.

Das Debugger-Entwicklerwerkzeug formatiert minifizierten Quellcode nun automatisch lesbar.

Verbesserungen der Webplattform und für Erweiterungs-Entwickler

Firefox unterstützt jetzt das Matroska-Containerformat für die Codecs AVC, HEVC, VP8, VP9, AV1, AAC, Opus und Vorbis.

Neu ist auch die Unterstützung der WebGPU-API auf Geräten mit Apple Silicon und macOS 26 und höher. Auf Windows wird diese Schnittstelle bereits seit Firefox 141 unterstützt.

Über den Integrity-Policy-Header kann eine Website die Integrität von Unterressourcen für Skripte gewährleisten.

Weitere Verbesserungen der Webplattform und für Erweiterungsentwickler lassen sich wie immer in den MDN Web Docs nachlesen.

Firefox erscheint nicht länger für 32-Bit-Linux

Firefox 145 und höher unterstützen nicht länger Linux-Systeme mit 32-Bit-CPU. Eine 64-Bit-CPU wird also vorausgesetzt. Die meisten Linux-Distributionen und Browser unterstützen solche Systeme schon seit langer Zeit nicht mehr. Firefox ESR 140, die Firefox-Version mit Langzeit-Unterstützung, wird weiterhin und bis mindestens September 2026 auf Linux-Systemen mit 32-Bit-CPU laufen.

Der Beitrag Mozilla veröffentlicht Firefox 145 erschien zuerst auf soeren-hentzschel.at.

Ca. seit 2020 kommt nftables (Kommando nft) per Default als Firewall-Backend unter Linux zum Einsatz. Manche Distributionen machten den Schritt noch früher, andere folgten ein, zwei Jahre später. Aber mittlerweile verwenden praktisch alle Linux-Distributionen nftables.

Alte Firewall-Scripts mit iptables funktionieren dank einer Kompatibilitätsschicht zum Glück größtenteils weiterhin. Viele wichtige Firewall-Tools und -Anwendungen (von firewalld über fail2ban bis hin zu den libvirt-Bibliotheken) brauchen diese Komaptibilitätsschicht aber nicht mehr, sondern wurden auf nftables umgestellt.

Welches Programm ist säumig? Docker! Und das wird zunehmend zum Problem.

Update 11.11.2025: In naher Zukunft wird mit Engine Version 29.0 nftables als experimentelles Firewall-Backend ausgeliefert. (Aktuell gibt es den rc3, den ich aber nicht getestet habe. Meine lokalen Installationen verwenden die Engine-Version 28.5.1.) Ich habe den Artikel diesbezüglich erweitert/korrigiert. Sobald die Engine 29 ausgeliefert wird, werde ich das neue Backend ausprobieren und einen neuen Artikel verfassen.

Docker versus libvirt/virt-manager

Auf die bisher massivsten Schwierigkeiten bin ich unter Fedora >=42 und openSUSE >= 16 gestoßen: Wird zuerst Docker installiert und ausgeführt, funktioniert in virtuellen Maschinen, die mit libvirt/virt-manager gestartet werden, das NAT-Networking nicht mehr. Und es bedarf wirklich einiger Mühe, den Zusammenhang mit Docker zu erkennen. Die vorgebliche »Lösung« besteht darin, die libvirt-Firewall-Funktionen von nftables zurück auf iptables zu stellen. Eine echte Lösung wäre es, wenn Docker endlich nftables unterstützen würde.

# in der Datei /etc/libvirt/network.conf
firewall_backend = "iptables"

Danach starten Sie den libvirt-Dämon dann neu:

sudo systemctl restart libvirtd

Weitere Infos gibt es hier und hier. Die openSUSE-Release-Notes weisen ebenfalls auf das Problem hin.

Sicherheitsprobleme durch offene Ports

Weil Docker iptables verwendet, ist es mit nftables oder firewalld nicht möglich, Container mit offenen Ports nach außen hin zu blockieren. Wenn Sie also docker run -p 8080:80 machen oder in compose.yaml eine entsprechende Ports-Zeile einbauen, ist der Port 8080 nicht nur auf dem lokalen Rechner sichtbar, sondern für die ganze Welt! nftables- oder firewalld-Regeln können dagegen nichts tun!

Deswegen ist es wichtig, dass Docker-Container möglichst in internen Netzwerken miteinander kommunizieren bzw. dass offene Ports unbedingt auf localhost limitiert werden:

# Port 8080 ist nur für localhost zugänglich.
docker run -p localhost:8080:80 ...

Ihre Optionen in compose.yaml sehen so aus:

```bash
# compose.yaml
# Ziel: myservice soll mit anderem Container
# in compose.yaml über Port 8888 kommunizieren
services:
  myservice:
    image: xxx
    ports:
      # unsicher!
      # - "8888:8888"
      # besser (Port ist für localhost sichtbar)
      # - "127.0.0.1:8888:8888"
      # noch besser (Port ist nur Docker-intern offen)
      - "8888"
  otherservice:
    ...

Die sicherste Lösung besteht darin, die Container ausschließlich über ein Docker-internes Netzwerk miteinander zu verbinden (siehe backend_network im folgenden schablonenhaften Beispiel). Die Verbindung nach außen für die Ports 80 und 443 erfolgt über ein zweites Netzwerk (frontend_network). Die Angabe des drivers ist optional und verdeutlicht hier nur den Default-Netzwerktyp.

# compose.yaml
# am besten: die beiden Services myservice und
# nginx kommunizieren über das interne Netzwerk 
# miteinander
services:
  myservice:
    build: .
    ports:
      - "8888:8888"
    networks:
     - backend_network
  nginx:
    image: nginx:alpine
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./nginx.conf:/etc/nginx/nginx.conf
      - /etc/mycerts/fullchain.pem:/etc/nginx/ssl/nginx.crt
      - /etc/mycerts/privkey.pem:/etc/nginx/ssl/nginx.key
    depends_on:
      - myservice
    networks:
      - frontend_network
      - backend_network
networks:
  # Verbindung zum Host über eine Bridge
  frontend_network:
    driver:   bridge
  # Docker-interne Kommunikation zwischen den Containern
  backend_network:
    driver:   bridge
    internal: true

Restriktive Empfehlungen

Docker hat es sich zuletzt sehr einfach gemacht. Auf https://docs.docker.com/engine/install/ubuntu/#firewall-limitations steht:

If you use ufw or firewalld to manage firewall settings, be aware that when you expose container ports using Docker, these ports bypass your firewall rules. For more information, refer to Docker and ufw.

Docker is only compatible with iptables-nft and iptables-legacy. Firewall rules created with nft are not supported on a system with Docker installed. Make sure that any firewall rulesets you use are created with iptables or ip6tables, and that you add them to the DOCKER-USER chain, see Packet filtering and firewalls.

Und https://docs.docker.com/engine/security/#docker-daemon-attack-surface gibt diese Zusammenfassung:

Finally, if you run Docker on a server, it is recommended to run exclusively Docker on the server, and move all other services within containers controlled by Docker. Of course, it is fine to keep your favorite admin tools (probably at least an SSH server), as well as existing monitoring/supervision processes, such as NRPE and collectd.

Salopp formuliert: Verwenden Sie für das Docker-Deployment ausschließlich für diesen Zweck dezidierte Server und/oder verwenden Sie bei Bedarf veraltete iptable-Firewalls. Vor fünf Jahren war dieser Standpunkt noch verständlich, aber heute geht das einfach gar nicht mehr. Die Praxis sieht ganz oft so aus, dass auf einem Server diverse »normale« Dienste laufen und zusätzlich ein, zwei Docker-Container Zusatzfunktionen zur Verfügung stellen. Sicherheitstechnisch wird dieser alltägliche Wunsch zum Alptraum.

Land in Sicht?

Bei Docker weiß man natürlich auch, dass iptables keine Zukunft hat. Laut diesem Issue sind 10 von 11 Punkte für die Umstellung von iptables auf nftables erledigt. Aber auch dann ist unklar, wie es weiter gehen soll: Natürlich ist das ein massiver Eingriff in grundlegende Docker-Funktionen. Die sollten vor einem Release ordentlich getestet werden. Einen (offiziellen) Zeitplan für den Umstieg auf nftables habe ich vergeblich gesucht.

Docker ist als Plattform-überschreitende Containerlösung für Software-Entwickler fast konkurrenzlos. Aber sobald man den Sichtwinkel auf Linux reduziert und sich womöglich auf Red-Hat-ähnliche Distributionen fokussiert, sieht die Lage anders aus: Podman ist vielleicht nicht hundertprozentig kompatibel, aber es ist mittlerweile ein sehr ausgereiftes Container-System, das mit Docker in vielerlei Hinsicht mithalten kann. Installationsprobleme entfallen, weil Podman per Default installiert ist. Firewall-Probleme entfallen auch. Und der root-less-Ansatz von Podman ist sicherheitstechnis sowieso ein großer Vorteil (auch wenn er oft zu Netzwerkeinschränkungen und Kompatibilitätsproblemen führt, vor allem bei compose-Setups).

Für mich persönlich war Docker immer die Referenz und Podman die nicht ganz perfekte Alternative. Aber die anhaltenden Firewall-Probleme lassen mich an diesem Standpunkt zweifeln. Die Firewall-Inkompatibilität ist definitiv ein gewichtiger Grund, der gegen den Einsatz der Docker Engine auf Server-Installationen spricht. Docker wäre gut beraten, iptables ENDLICH hinter sich zu lassen!

Update 11.11.2025: Als ich diesen Artikel im Oktober 2025 verfasst und im November veröffentlicht habe, ist mir entgangen, dass die Docker-Engine in der noch nicht ausgelieferten Version 29 tatsächlich bereits ein experimentelles nftables-Backend enthält!

Version 29 liegt aktuell als Release Candidate 3 vor. Ich warte mit meinen Tests, bis die Version tatsächlich ausgeliefert wird. Hier sind die Release Notes, hier die neue Dokumentationsseite. Vermutlich wird es ein, zwei weitere Releases brauchen, bis das nftables-Backend den Sprung von »experimentell« bis »stabil« schafft, aber immerhin ist jetzt ganz konkret ein Ende der Firewall-Misere in Sicht.

Quellen / Links

• https://github.com/moby/moby/issues/49634
• https://github.com/docker/for-linux/issues/1472
• https://fedoraproject.org/wiki/Changes/LibvirtVirtualNetworkNFTables\
• https://doc.opensuse.org/release-notes/x86_64/openSUSE/Leap/16.0/html/~|~release-notes-leap-160\
• https://docs.docker.com/engine/install/ubuntu/#firewall-limitations
• https://docs.docker.com/engine/network/packet-filtering-firewalls\
• https://docs.docker.com/engine/security/#docker-daemon-attack-surface

Das neue nftables-Backend für Docker

• https://docs.docker.com/engine/release-notes/29/
• https://docs.docker.com/engine/network/firewall-nftables/
• https://www.docker.com/blog/docker-engine-version-29/

Mozilla hat den sogenannten „Early Access“ für sein neues kostenpflichtiges Support-Programm für Firefox im Unternehmen angekündigt.

Ab Januar 2026 wird Mozilla einen kostenpflichtigen Support für Firefox im Unternehmen anbieten. Bereits jetzt können sich Unternehmen hierfür anmelden. Dies hat Mozilla auf seinem Blog angekündigt.

Der sogenannte Enterprise Support für Firefox besteht aus den folgenden Komponenten:

• Privater Support-Kanal: Über ein Support-System können private Tickets eröffnet werden, um Unterstützung von erfahrenen Support-Mitarbeitern zu erhalten. Probleme werden nach Schweregrad bewertet, mit festgelegten Reaktionszeiten und klaren Eskalationswegen, um eine zeitnahe Lösung zu gewährleisten.
• Rabatte auf kundenspezifische Entwicklungen: Für Entwicklungsarbeiten an Integrationsprojekten, Kompatibilitätstests oder umgebungsspezifische Anforderungen erhalten Kunden des Enterprise-Supports 20 Prozent Rabatt. Mit kundenspezifischen Entwicklungen als zusätzliche bezahlte Erweiterung für die Support-Pläne kann Firefox an die Infrastruktur und Updates von Drittanbietern angepasst werden.
• Strategische Zusammenarbeit: Kunden des Enterprise Supports erhalten frühzeitig Einblicke in bevorstehende Entwicklungen und können so dabei helfen, die Enterprise-Roadmap durch Zusammenarbeit mit Mozillas Team zu gestalten.

Der Beitrag Mozilla startet kostenpflichtigen Enterprise-Support für Firefox erschien zuerst auf soeren-hentzschel.at.

Mozilla hat Kit vorgestellt, das neue Firefox-Maskottchen. Dieses zeigt sich auch jetzt schon in Firefox und in Form von Fan-Artikeln.

Auf einer neuen Landing Page der Firefox-Website hat Mozilla Kit mit den folgenden Worten vorgestellt:

Neuer Freund an Bord

Firefox bekommt einen frischen Look und du siehst es zuerst. Kit ist unser neues Maskottchen und dein Begleiter durch ein Internet, das privat, offen und wirklich deins ist.

Wer das Hintergrund-Bild der Firefox-Startseite anpassen möchte, findet bereits jetzt eine neue Firefox-Kategorie mit sechs neuen Hintergrundbildern, die auch Kit zeigen. Diese wurden via Remote-Einstellungen unabhängig von einem bestimmten Firefox-Update aktiviert. Außerdem wurde Mozillas Merchandise-Shop um Artikel mit Kit erweitert.

Das Ganze steht in Zusammenhang mit einem „Brand Refresh“ (Link 1, Link 2), der im Februar 2026 mit Erscheinen von Firefox 148 umgesetzt werden soll.

Der Beitrag Firefox hat ein neues Maskottchen: Kit erschien zuerst auf soeren-hentzschel.at.

Ein E-Mail-Umzug von einem Server auf einen anderen gehört zu den Aufgaben, die oft unterschätzt werden. Wer schon einmal versucht hat, ein E-Mail-Konto auf einen neuen Mailserver zu übertragen, kennt die typischen Probleme: unterschiedliche IMAP-Server, abweichende Login-Methoden, große Postfächer oder das Risiko, E-Mails doppelt oder gar nicht zu übertragen.

Für eine saubere und zuverlässige E-Mail-Migration gibt es jedoch ein bewährtes Open-Source-Tool: imapsync. Mit imapsync lassen sich komplette IMAP-Konten effizient und sicher von einem Server auf einen anderen synchronisieren – ohne Datenverlust und mit minimaler Ausfallzeit. Ob beim Providerwechsel, beim Umzug auf einen eigenen Mailserver oder beim Zusammenführen mehrerer Postfächer: imapsync bietet eine stabile und flexible Lösung für jede Art von Mailserver-Migration.

In diesem Artikel zeige ich Schritt für Schritt, wie imapsync funktioniert, welche Parameter in der Praxis wichtig sind und wie du deinen E-Mail-Umzug stressfrei und automatisiert durchführen kannst.

Die Open Source Software Imapsync vorgestellt

So einem Umzug von einem E-Mail-Server zu einem anderen mit einem Terminal-Programm zu machen, klingt etwas verrückt. In Wirklichkeit ist das aber eine große Stärke, da imapsync während der Übertragung bereits wertvolle Statusmeldungen ausgibt und man die Statistik im Blick behält.

Theoretisch lässt sich das Programm via Eingabe verschiedener Flags bedienen. Für mich hat sich aber bewährt, dass man es mit einem einfachen Skript ausführt. In aller Regel zieht man ja kein einzelnes Postfach um, sondern mehrere E-Mail-Konten. Motivation könnte zum Beispiel eine Änderung der Domain oder der Wechsel des Hosters sein. Aber selbst bei Einzelkonten empfehle ich die Benutzung des Skripts, weil sich hier die Zugangsdaten übersichtlich verwalten lassen.

Was imapsync jetzt macht, ist ziemlich straight-forward: Es meldet sich auf dem ersten Host („alter Server“) an, checkt erstmal die Ordnerstruktur, zählt die E-Mails und verschafft sich so einen Überblick. Hat man bereits die Zugangsdaten für den zweiten Host („neuer Server“), tut er das gleiche dort. Danach überträgt die Software die E-Mails von Host 1 auf Host 2. Bereits übertragene Mails werden dabei berücksichtigt. Man kann den Umzug also mehrfach starten, es werden nur die noch nicht übertragenen Mails berücksichtigt.

Die Webseite von imapsync ist auf den ersten Blick etwas ungewöhnlich, worauf der Entwickler auch stolz ist. Wenn man aber genauer hinsieht, merkt man die gute Dokumentation. Es werden auch Spezialfälle wie Office 365 von Microsoft oder Gmail behandelt.

Installation von imapsync

Die Software gibt es für Windows, Mac und Linux. Die Installation unter Ubuntu ist für geübte Benutzer recht einfach, auch wenn die Software nicht in den Paketquellen vorkommt. Github sei Dank.

sudo apt-get installlibauthen-ntlm-perl libclass-load-perllibcrypt-openssl-rsa-perl libcrypt-ssleay-perllibdata-uniqid-perl libdigest-hmac-perl libdist-checkconflicts-perl libencode-imaputf7-perl libfile-copy-recursive-perl libfile-tail-perl libio-compress-perl libio-socket-inet6-perl libio-socket-ssl-perl libio-tee-perllibjson-webtoken-perl libmail-imapclient-perl libmodule-scandeps-perl libnet-dbus-perllibnet-dns-perl libnet-ssleay-perllibpar-packer-perllibproc-processtable-perl libreadonly-perllibregexp-common-perl libsys-meminfo-perl libterm-readkey-perllibtest-fatal-perllibtest-mock-guard-perl libtest-mockobject-perl libtest-pod-perllibtest-requires-perl libtest-simple-perl libunicode-string-perlliburi-perl libtest-nowarnings-perl libtest-deep-perl libtest-warn-perl make time cpanminus

wget -N https://raw.githubusercontent.com/imapsync/imapsync/master/imapsync
chmod +x imapsync
sudo cp imapsync /usr/bin/

Die Installation ist nun fertig und systemweit verfügbar.

E-Mail-Postfach von einem Server zum anderen umziehen

Für den Umzug von einem Server zum anderen braucht man – wenig überraschend – jeweils die Zugangsdaten. Diese beinhalten IMAP-Server, Benutzername und Passwort. Das wars. Es empfiehlt sich, mit einem echten Host 1 zu starten, als Host 2 aber erstmal einen Testaccount zu verwenden.

Ich orientiere mich an den Empfehlungen des Programmierers und erstelle zunächst eine Datei mit den jeweiligen Zugangsdaten. Genau wie im Beispielskript verwende ich eine siebte, unnötige Spalte. Sie endet die Zeilen ordentlich ab, ohne dass man ein Problem mit den Zeilenumbruch zu erwarten hat.

Wir nennen die Datei file.txt. Jeweils die Einträge 1 bis 3 sind die Quelle, Spalten 4 bis 6 sind das Ziel.

host001_1;user001_1;password001_1;host002_1;user002_1;password002_1;;
host001_2;user001_2;password001_2;host002_2;user002_2;password002_2;;

Das Skript nennen wir mailumzug.sh und es enthält folgenden Inhalt.

echo Looping on accounts credentials found in file.txt
echo
line_counter=0
# Empty the error listing
> file_failures.txt
{ while IFS=';' read h1 u1 p1 h2 u2 p2 extra fake
    do 
        line_counter=`expr 1 + $line_counter` 
        { echo "$h1" | tr -d '\r' | egrep '^#|^ *$' ; } > /dev/null && continue # this skip commented lines in file.txt
        echo "==== Starting imapsync with --host1 $h1 --user1 $u1 --host2 $h2 --user2 $u2 $extra $@ ===="
        echo Got those values from file.txt presented inside brackets: [$h1] [$u1] [$h2] [$u2] [$extra] [$fake]
        if eval imapsync --host1 "$h1" --user1 "$u1" --password1 "$p1" \
                    --host2 "$h2" --user2 "$u2" --password2 "$p2" $extra "$@" 
        then
                echo "success sync for line $line_counter "
        else
                echo "$h1;$u1;$p1;$h2;$u2;$p2;$extra;" | tee -a file_failures.txt
        fi
        echo "==== Ended imapsync with --host1 $h1 --user1 $u1 --host2 $h2 --user2 $u2 $extra $@ ===="
        echo
    done
} < file.txt

Das Skript wird aufgerufen via

sh mailumzug.sh

Es wird während der Überführung ein ausführliches Log geführt, das man im Nachgang auch als Text-Datei erhält. Viel Spaß!

The post E-Mail-Konto umziehen mit imapsync first appeared on bejonet - Linux | Smart Home | Technik.

Mit ein wenig Verspätung ist Fedora 43 fertig. Ich habe in den letzten Monaten schon viel mit der Beta gearbeitet und war schon damit überwiegend zufrieden. Fedora 43 ist das erste weitgehend X-freie Release (X wie X Window System, nicht wie Twitter …), es gibt nur noch XWayland zur Ausführung von X-Programmen unter Wayland. Relativ neu ist das Installationsprogramm, auf das ich gleich näher eingehe. Es ist schon seit Fedora 42 verfügbar, aber diese Version habe ich in meinem Blog übersprungen.

Die folgenden Ausführungen beziehen sich auf Fedora 43 Workstation mit Gnome.

Installation

Das Installationsprogramm beginnt aus deutschsprachiger Sicht gleich mit einem Ärgernis: Zwar kann die Sprache mühelos auf Deutsch umgestellt werden, nicht aber das Tastaturlayout. Dazu verweist das Installationsprogramm auf die Systemeinstellungen. Dort müssen Sie nicht nur das gewünschte Layout hinzufügen, sondern auch das vorhandene US-Layout entfernen — vorher ist das Installationsprogramm nicht zufrieden. Das ist einigermaßen umständlich.

In virtuellen Maschinen wird bei der Installationsmethode (gemeint ist die Partitionierung des Datenträgers und das Einrichten der Dateisysteme) nur eine Option angezeigt: Gesamten Datenträger verwenden. Damit haben Sie weder Einfluss auf die Größe der Partitionen noch auf den Dateisystemtyp oder dessen Optionen. Das Standardlayout lautet: EFI-Partition (vfat), Boot-Partition (ext4) und Systempartition (btrfs mit zwei Subvolumes für / und /home und aktiver Komprimierung). Eine Swap-Partition gibt es nicht, Fedora verwendet schon seit einiger Zeit Swap on ZRAM.

Wenn Sie die Installation auf einem Rechner durchführen, auf dem schon Windows oder andere Linux-Distributionen installiert sind, wird die Auswahl größer:

• Die Option Share disk with other operation systems (vielleicht wird der Text bei späteren Versionen noch übersetzt) erscheint, wenn das Setup-Programm Windows oder andere Linux-Distributionen auf der SSD erkennt. In diesem Fall nutzt Fedora den verbleibenden freien Platz auf der SSD und richtet dort eine Boot- und eine Systempartition ein. Wenn es auf der SSD keinen oder zu wenig Platz gibt, sollten Sie zusätzlich die Option Zusätzlichen Speicherplatz zurückgewinnen aktivieren. Sie können dann in einem weiteren Dialog einzelne Partitionen löschen oder verkleinern.

• Gesamten Datenträger verwenden löscht alle vorhandene Partitionen und richtet dann wie oben beschreiben EFI-, Boot- und Systempartition ein.

• Zuweisung des Einhängepunkts bietet Linux-Profis die Möglichkeit, schon vorhandene Dateisysteme zu nutzen. Es gibt zwei Möglichkeiten, diese Dateisysteme einzurichten. Eine bietet der über den unscheinbaren Menü-Button erreichbare Speicher-Editor. Dort können Sie Partitionen, Logical Volumes, RAID-Setup und Dateisysteme samt Verschlüsselung einrichten. Es mangelt nicht an Funktionen, aber leider ist die Bedienung sehr unübersichtlich. Alle hier initiierten Aktionen werden sofort durchgeführt und können nicht rückgängig gemacht werden. Alternativ können Sie vorweg in einem Terminal mit parted Partitionen einrichten und dann mit mkfs.xxx darin die gewünschten Dateisysteme anlegen. Falls das Dateisystem verschlüsselt werden soll, müssen Sie sich auch darum selbst kümmern (Kommando cryptsetup). Das erfordert ein solides Linux-Vorwissen.

In der Speicher-Konfiguration können Sie das Dateisystem verschlüsseln (außer Sie haben sich im vorigen Schritt für die Zuweisung des Einhängepunkts entschieden). Zur Verschlüsselung geben Sie zweimal das Passwort an und stellen ein, welches Tastaturlayout beim Bootvorgang für die Eingabe dieses Passworts gelten soll.

Zuletzt zeigt das Installationsprogramm eine Zusammenfassung der Einstellungen ein. Ein Benutzeraccount samt Passwort wird erst später beim ersten Start von Gnome eingerichtet.

Alles in allem ist die Bedienung des neuen Programms zwar einfach, sie bietet aber zu wenig Optionen für eine technisch orientierte Distribution. Der aktuelle Trend vieler Distributionen besteht darin, den Installationsprozess auf Web-basierte Tools umzustellen. Die Sinnhaftigkeit erschließt sich für mich nicht, schon gar nicht, wenn dabei auch noch die Funktionalität auf der Strecke bleibt. Muss das Rad wirklich immer wieder neu erfunden werden?

Nach dem Neustart landen Sie in einen Assistenten, der bei der Grundkonfiguration von Gnome hilft: Sprache und Tastaturlayout noch einmal bestätigen, Zeitzone einstellen etc. Vollkommen missglückt ist das Dialogblatt zur Aktivierung von Drittanbieter-Softwarequellen. Gemeint sind damit die RPM-Fusion-Paketquellen mit Paketen und Treibern (z.B. für NVIDIA-Grafikkarten), die nicht dem Open-Source-Modell entsprechen. Im Zentrum des Bildschirms befindet sich ein Toggle-Button mit den Zuständen aktivieren oder deaktivieren. Es ist unmöglich zu erkennen, ob Sie den Button zur Aktivierung drücken müssen oder ob dieser den Zustand »bereits aktiv« ausdrückt. (Auflösung: Sie müssen ihn nicht drücken. Wenn mit blauem Hintergrund »aktivieren« angezeigt wird, werden die zusätzlichen Paketquellen mit Weiter eingerichtet.)

Erst jetzt werden Sie dazu aufgefordert, einen Benutzer einzurichten, der dann auch sudo-Rechte erhält. Sobald Sie alle Daten samt Passwort festgelegt haben, können Sie sich einloggen und mit Fedora loslegen.

Um den Hostname hat sich weder das Installationsprogramm noch der Setup-Assistent gekümmert. Außerdem sollten Sie gleich ein erstes Update durchführen:

sudo hostnamectl set-hostname <name>
sudo dnf update

Die Partitionierung eines zuvor leeren Systems sieht so aus:

lsblk

  NAME   MAJ:MIN RM  SIZE RO TYPE MOUNTPOINTS
  zram0  251:0    0  3,8G  0 disk [SWAP]
  vda    253:0    0   32G  0 disk 
  ├─vda1 253:1    0  600M  0 part /boot/efi
  ├─vda2 253:2    0    1G  0 part /boot
  └─vda3 253:3    0 30,4G  0 part /home
                                  /

cat /etc/fstab

  UUID=8ecb5756-a227-47e4-bb45-bf7087952ff5   /         btrfs subvol=root,compress=zstd:1 0 0
  UUID=32281370-1a5c-4440-8e16-60715e191080   /boot     ext4  defaults 1 2
  UUID=E969-E24F                              /boot/efi vfat  umask=0077,shortname=winnt 0 2
  UUID=8ecb5756-a227-47e4-bb45-bf7087952ff5   /home     btrfs subvol=home,compress=zstd:1 0 0

Versionen

Die folgende Tabelle fasst die Versionen der Kernkomponenten von Fedora 43 zusammen:

Basis               Programmierung     Server
---------------     --------------     --------------------------
Kernel     6.17     bash       5.3     Apache      2.4
glibc      2.42     gcc       15.2     CUPS        2.4
Wayland    1.24     git       2.51     MariaDB   10.11 / MySQL 8.4
Gnome        49     Java        25     OpenSSH    10.0
Mesa       25.2     PHP        8.4     PostgreSQL   18
Systemd     258     Podman     5.6     Postfix    3.10
NetworkMan 1.54     Python    3.14     qemu/KVM   10.1
GRUB       2.12     Node.js     22     Samba      4.23

Die einzige Auffälligkeit ist die komplett veraltete MariaDB-Version. Aktuell ist 12.0, Debian verwendet immerhin 11.8. Die von Fedora eingesetzte Version 10.11 wurde im Februar 2023 (!!) veröffentlicht.

Dafür enthält Fedora mit Version 8.4 eine ganz aktuelle MySQL-Version. Generell steht MySQL erst seit Fedora 41 wieder regulär in Fedora zur Verfügung; ältere Versionen waren MariaDB-only.

Neuerungen

Wenn man von durch Software-Updates verbundenen optischen Änderungen absieht (z.B. in Gnome), gibt es relativ wenig technische Änderungen, und noch weniger davon sind sichtbar.

Gnome und gdm sind seit Version 49 Wayland-only. Darüber wurde in den letzten Wochen schon viel geschrieben. Seit die NVIDIA-Treiber endlich Wayland-kompatibel sind, ist der Abschied von X nicht mehr aufzuhalten. (Persönlich vermisse ich X nicht. Die meisten Linux-Anwender werden keinen Unterschied bemerken bzw. arbeiten ohnedies schon seit zwei, drei Releases mit Wayland, ohne es zu wissen …)

Fedora 43 verwendet erstmals RPM 6.0 als Basis zur Verpackung von Software-Paketen. Daraus ergeben sich neue Möglichkeiten beim Signieren von Paketen, aber an der Anwendung des rpm-Kommandos (das Sie ohnedies selten benötigen werden, es gibt ja dnf) ändert sich nichts.

Distributions-Upgrades auf die neue Fedora-Version können Sie jetzt äußerst komfortabel direkt im Gnome-Programm Software starten.

Wie bisher können Sie natürlich auch auf die folgende Kommandoabfolge zurückgreifen:

sudo dnf update
sudo dnf repolist --releasever 43
sudo dnf system-upgrade download --releasever 43
sudo dnf offline reboot

Auf UEFI-Systemen setzt das Installationsprogramm nun eine GPT-Partitionierung voraus (nicht MBR).

Die /boot-Partition wird mit 2 GiB großzügiger als bisher dimensioniert, um Platz für zukünftige neue Boot-Systeme zu schaffen.

dnf module gibt es nicht mehr, weil das Modularity-Projekt eingestellt wurde. Bei Fedora ist das weniger schade als bei RHEL, wo ich dieses Feature wirklich vermisse.

dracut, das Tool zum Erzeugen von initramfs-Dateien, verwendet nun zstd statt xz zum Komprimieren der Dateien. Das macht die Boot-Dateien größer, aber den Boot-Vorgang schneller.

Fazit

Ich habe in den letzten Monaten sehr viel unter Fedora gearbeitet. Fedora ist dabei zu meiner zweiten Lieblingsdistribution geworden (neben Arch Linux). Im Betrieb gab es eigentlich nichts auszusetzen. Auch die Distributions-Upgrades haben mehrfach gut funktioniert: Ich habe zuletzt eine physische Installation von Fedora 41 auf 42 und vorgestern auf 43 aktualisiert. Zwischenzeitlich hat sich sogar der Rechner geändert, d.h. ich habe die SSD bei einem Rechner aus- und bei einem anderen Rechner wieder eingebaut. Hat alles klaglos funktioniert.

Das neue Installationsprogramm (neu schon seit der vorigen Version, also Fedora 42) ist aber definitiv ein Rückschritt — und das alte war schon keine Offenbarung. Bevor der Installer in Zukunft unter RHEL 11 zum Einsatz kommen kann, muss Red Hat noch viel nacharbeiten. Wie soll damit ein für den Server-Einsatz übliches RAID- oder LVM-Setup gelingen?

Der oft gehörten Empfehlung, Fedora sei durchaus für Einsteiger geeignet, kann ich deswegen nur teilweise zustimmen. Im Betrieb ist Fedora in der Tat so unkompliziert und stabil wie vergleichbare Distributionen (Debian, Ubuntu etc.). Für die Installation gilt dies aber nur, wenn Sie den gesamten Datenträger — z.B. eine zweite SSD — für Fedora nutzen möchten und mit dem vorgegebenen Default-Layout einverstanden sind. Unkompliziert ist natürlich auch die Installation in eine virtuelle Maschine. Aber jeder Sonderwunsch — ext4 statt btrfs, eine getrennte /home-Partition etc. — wird sofort zum Abenteuer. Schade.

Quellen/Links

• https://www.fedoraproject.org/workstation/download
• https://docs.fedoraproject.org/en-US/fedora/latest/release-notes
• https://fedoramagazine.org/announcing-fedora-linux-43
• https://rpm.org/releases/6.0.0
• https://www.heise.de/news/Fedora-Linux-43-Adieu-X11-Hallo-WebUI-10912606.html

Mozilla hat Firefox 144.0.2 veröffentlicht und behebt damit mehrere Probleme der Vorgängerversion. Auch eine Sicherheitslücke wurde behoben.

Download Mozilla Firefox 144.0.2

Mozilla hat Firefox 144.0.2 für Windows, macOS und Linux veröffentlicht. Firefox 144.0.1 wurde für diese Plattformen übersprungen, da diese Versionsnummer einem Android-Update vorbehalten war.

Mit dem Update auf Firefox 144.0.2 behebt Mozilla eine Sicherheitslücke.

Mehrere Verbesserungen wurden vorgenommen, um die Kompatibilität mit Apple macOS zu verbessern, darunter ein Problem, bei dem die Emoji-Auswahl-Tastenkombination sowie der Menüeintrag nach dem Wechsel zwischen Apps nicht mehr funktionierten. Auch das Ziehen von Bildern in Anwendungen von Drittanbietern wie „Vorschau“ konnte fehlschlagen. Nach dem Update auf macOS 26 konnte es außerdem zum einem Aufhängen des Browsers kommen, wenn Lesezeichenordner Schleifen oder wiederholte Verweise auf sich selbst enthielten, und ein Performance-Problem bei der Video-Wiedergabe unter hoher Systemlast nach dem neuesten macOS-Update wurde behoben.

Ein möglicher Absturz bei Systemstart unter Window, der unter anderem durch die Sicherheits-Software von Avast ausgelöst worden ist, wurde behoben.

Die Liste der verfügbaren Sprachen in den Einstellungen konnte mehr Sprachen enthalten, als heruntergeladen wurden oder derzeit unterstützt werden.

Die Tastatur-Bedienung der Suchmaschinen in der Adressleiste wurde verbessert.

Ein Problem wurde behoben, von dem Microsoft OneDrive betroffen war und bei dem kuratierte Fotosammlungen auf der Seite „Für Sie“ nicht geladen werden konnten.

Das Öffnen neuer Fenster hat unter bestimmten Umständen nicht mehr korrekt funktioniert.

Für manche Nutzer mit aktivierter Telemetrie wurden die Telemetrie-Daten nicht mehr übertragen.

Der Einstellungs-Button für die Seitenleiste war nicht mehr an den unteren Fensterrand fixiert.

Dazu kommen noch Korrekturen für mehrere weitere potenzielle Absturzursachen.

Der Beitrag Mozilla veröffentlicht Sicherheits-Update Firefox 144.0.2 erschien zuerst auf soeren-hentzschel.at.

Anknüpfend an den Artikel „Bilder unter Linux effizient per Kommandozeile skalieren“ möchte ich diesmal zeigen, wie man mehrere Bilder auf einmal zur Weiterverarbeitung umbenennen kann.

Solche Aufgaben können notwendig werden, wenn die Dateien aus unterschiedlichen Quellen stammen – so wie im folgenden Beispiel: Ich hatte vier verschiedene Zuarbeiten mit jeweils eigenen Benennungsregeln erhalten. Um die insgesamt 95 Dateien einheitlich in eine bestehende Webseite einzubinden, mussten sie alle nach einem gemeinsamen Schema umbenannt werden.

Umsetzung

Auf einem Ubuntu-System erfolgt die Mehrfachumbenennung ganz einfach: Zunächst wird das Verzeichnis geöffnet, in dem sich alle zu verarbeitenden Bilder befinden.

Im Dateimanager „Dateien“ (früher „Nautilus“) werden mit Strg + A alle Dateien markiert.

Mit einem Rechtsklick lässt sich nun die Option „Umbenennen“ auswählen. Hier wird „[Ursprünglicher Dateiname]“ durch den endgültigen Dateinamen ersetzt und über „+ Hinzufügen“ der neue Suffix ausgewählt.

In diesem Fall habe ich mich für „001, 002, 003, 004“ entschieden.

Der Vorgang wird durch Klicken auf „Umbenennen“ abgeschlossen.

Fazit

Die Mehrfachumbenennung unter GNOME ist ein einfaches, aber äußerst praktisches Werkzeug – besonders in Kombination mit einer automatischen Skalierung, wie im zuvor genannten Artikel beschrieben. So lässt sich die Verarbeitung großer Bildmengen deutlich effizienter gestalten und viel Zeit sparen.

Der Beitrag Mehrfachumbenennung von Dateien erschien zuerst auf intux.de.

In meinem Arbeitsalltag wimmelt es von virtuellen Linux-Maschinen, die ich primär mit zwei Programmen ausführe:

• virtual-machine-manager alias virt-manager (KVM/QEMU) unter Linux
• UTM (QEMU + Apple Virtualization) unter macOS

Dabei treten regelmäßig zwei Probleme auf:

• Bei Neuinstallationen funktioniert der Datenaustausch über die Zwischenablage zwischen Host und VM (= Gast) funktioniert nicht.
• Die Uhrzeit in der VM ist falsch, nachdem der Host eine Weile im Ruhestand war.

Diese Ärgernisse lassen sich leicht beheben …

Anmerkung: Ich beziehe mich hier explizit auf die Desktop-Virtualisierung. Ich habe auch VMs im Server-Betrieb — da brauche ich keine Zwischenablage (Text-only, SSH-Administration), und die Uhrzeit macht wegen des dauerhaften Internet-Zugangs auch keine Probleme.

Zwischenablage mit Spice als Grafik-Protokoll

Wenn das Virtualisierungssystem das Grafiksystem mittels Simple Protocol for Independent Computing Environments (SPICE) überträgt (gilt per Default im virtual-machine-manager und in UTM), funktioniert die Zwischenablage nur, wenn in der virtuellen Maschine das Paket spice-vdagent installiert ist. Wenn in der virtuellen Maschine Wayland läuft, was bei immer mehr Distributionen standardmäßig funktioniert, brauchen Sie außerdem wl-clipboard. Also:

sudo apt install spice-vdagent wl-clipboard 
sudo dnf install spice-vdagent wl-clipboard
sudo pacman -S spice-vdagent wl-clipboard

Nach der Installation müssen Sie sich in der VM aus- und neu einloggen, damit die Programme auch gestartet werden. Manche, virtualisierungs-affine Distributionen installieren die beiden winzigen Pakete einfach per Default. Deswegen funktioniert die Zwischenablage bei manchen Linux-Gästen sofort, bei anderen aber nicht.

Synchronisierung der Uhrzeit

Grundsätzlich beziehen sowohl die virtuellen Maschine als auch der Virtualisierungs-Host die Uhrzeit via NTP aus dem Internet. Das klappt problemlos.

Probleme treten dann auf, wenn es sich beim Virtualisierungs-Host um ein Notebook oder einen Desktop-Rechner handelt, der hin- und wieder für ein paar Stunden inaktiv im Ruhezustand schläft. Nach der Reaktivierung wird die Zeit im Host automatisch gestellt, in den virtuellen Maschinen aber nicht.

Vielleicht denken Sie sich: Ist ja egal, so wichtig ist die Uhrzeit in den virtuellen Maschinen ja nicht. So einfach ist es aber nicht. Die Überprüfung von Zertifikaten setzt die korrekte Uhrzeit voraus. Ist diese Voraussetzung nicht gegeben, können alle möglichen Problem auftreten (bis hin zu Fehlern bei der Software-Installation bzw. bei Updates).

Für die lokale Uhrzeit in den virtuellen Maschinen ist das Programm chrony zuständig. Eigentlich sollte es in der Lage sein, die Zeit automatisch zu justieren — aber das versagt, wenn die Differenz zwischen lokaler und echter Zeit zu groß ist. Abhilfe: starten Sie chronyd neu:

sudo systemctl restart chronyd

Um die automatische Einstellung der Uhrzeit nach der Wiederherstellung eines Snapshots kümmert sich der qemu-guest-agent (z.B. im Zusammenspiel mit Proxmox). Soweit das Programm nicht automatisch installiert ist:

sudo apt install qemu-guest-agent
sudo dnf install qemu-guest-agent
sudo pacman -S qemu-guest-agent

Quellen / Links

• https://man.archlinux.org/man/spice-vdagent.1.en
• https://github.com/utmapp/vd_agent
• https://github.com/bugaevc/wl-clipboard
• https://pve.proxmox.com/wiki/Qemu-guest-agent

Im August letzten Jahres habe ich euch gezeigt, was auf meinem Home Server so alles läuft und ich dachte mir, ich liefere euch über ein Jahr später mal einen aktualisierten Einblick. Der Unterbau des...

Mozilla hat Firefox 144 für Android veröffentlicht. Dieser Artikel beschreibt die Neuerungen von Firefox 144 für Android.

Download Firefox für Android im Google Play Store

Neuerungen von Firefox 144 für Android

Das Panel mit Informationen zur Verbindungssicherheit und blockierten Trackern, welches nach Tippen des Schild-Symbols in der Adressleiste erscheint, wurde komplett neu gestaltet.

Firefox zeigt jetzt in Form einer Leiste an, wenn die durch Firefox erfolgte Übersetzung einer Website dargestellt wird.

Der QR-Code-Scanner hat eine Zurück-Schaltfläche erhalten, um das Verlassen dieser Ansicht zu erleichtern, wenn die System-Buttons von Android nicht dargestellt werden.

Der Lesezeichen-Bildschirm zeigt nun für alle Ordner an, wie viele Lesezeichen sich darin befinden.

Dazu kommen weitere neue Plattform-Features der aktuellen GeckoView-Engine, diverse Fehlerbehebungen, geschlossene Sicherheitslücken sowie Verbesserungen unter der Haube.

Keine Unterstützung mehr für sehr alte Geräte

Firefox 144 läuft nicht länger auf Geräten mit Android 5 bis Android 7 als Betriebssystem sowie auf Geräten mit einer 32-Bit x86-CPU.

Firefox für Android in Huawei AppGallery verfügbar

Firefox für Android ist für Nutzer eines Huawei-Smartphones ab sofort auch in der Huawei AppGallery verfügbar.

Der Beitrag Mozilla veröffentlicht Firefox 144 für Android erschien zuerst auf soeren-hentzschel.at.