Der plattformübergreifende SSH-Client erhält umfangreiche Terminal-Anpassungen, SSH-Snippets und erweiterte Server-Überwachung.

Mozilla hat die finale Version des Firefox 145 veröffentlicht, deren offizieller Start für den 11. November 2025 geplant ist. Mit diesem Update endet die Unterstützung für 32-Bit-Systeme unter Linux, wie bereits angekündigt. Künftig werden ausschließlich 64-Bit- und ARM64-Versionen des Browsers bereitgestellt. Wie Mozilla erklärt, unterstützen die meisten modernen Linux-Distributionen 32-Bit-Systeme nicht mehr aktiv. Die Pflege […]

Der Beitrag Mozilla beendet 32-Bit-Support für Linux: Firefox 145 markiert den Beginn einer neuen Ära erschien zuerst auf fosstopia.

Ca. seit 2020 kommt nftables (Kommando nft) per Default als Firewall-Backend unter Linux zum Einsatz. Manche Distributionen machten den Schritt noch früher, andere folgten ein, zwei Jahre später. Aber mittlerweile verwenden praktisch alle Linux-Distributionen nftables.

Alte Firewall-Scripts mit iptables funktionieren dank einer Kompatibilitätsschicht zum Glück größtenteils weiterhin. Viele wichtige Firewall-Tools und -Anwendungen (von firewalld über fail2ban bis hin zu den libvirt-Bibliotheken) brauchen diese Komaptibilitätsschicht aber nicht mehr, sondern wurden auf nftables umgestellt.

Welches Programm ist säumig? Docker! Und das wird zunehmend zum Problem.

Update 11.11.2025: In naher Zukunft wird mit Engine Version 29.0 nftables als experimentelles Firewall-Backend ausgeliefert. (Aktuell gibt es den rc3, den ich aber nicht getestet habe. Meine lokalen Installationen verwenden die Engine-Version 28.5.1.) Ich habe den Artikel diesbezüglich erweitert/korrigiert. Sobald die Engine 29 ausgeliefert wird, werde ich das neue Backend ausprobieren und einen neuen Artikel verfassen.

Docker versus libvirt/virt-manager

Auf die bisher massivsten Schwierigkeiten bin ich unter Fedora >=42 und openSUSE >= 16 gestoßen: Wird zuerst Docker installiert und ausgeführt, funktioniert in virtuellen Maschinen, die mit libvirt/virt-manager gestartet werden, das NAT-Networking nicht mehr. Und es bedarf wirklich einiger Mühe, den Zusammenhang mit Docker zu erkennen. Die vorgebliche »Lösung« besteht darin, die libvirt-Firewall-Funktionen von nftables zurück auf iptables zu stellen. Eine echte Lösung wäre es, wenn Docker endlich nftables unterstützen würde.

# in der Datei /etc/libvirt/network.conf
firewall_backend = "iptables"

Danach starten Sie den libvirt-Dämon dann neu:

sudo systemctl restart libvirtd

Weitere Infos gibt es hier und hier. Die openSUSE-Release-Notes weisen ebenfalls auf das Problem hin.

Sicherheitsprobleme durch offene Ports

Weil Docker iptables verwendet, ist es mit nftables oder firewalld nicht möglich, Container mit offenen Ports nach außen hin zu blockieren. Wenn Sie also docker run -p 8080:80 machen oder in compose.yaml eine entsprechende Ports-Zeile einbauen, ist der Port 8080 nicht nur auf dem lokalen Rechner sichtbar, sondern für die ganze Welt! nftables- oder firewalld-Regeln können dagegen nichts tun!

Deswegen ist es wichtig, dass Docker-Container möglichst in internen Netzwerken miteinander kommunizieren bzw. dass offene Ports unbedingt auf localhost limitiert werden:

# Port 8080 ist nur für localhost zugänglich.
docker run -p localhost:8080:80 ...

Ihre Optionen in compose.yaml sehen so aus:

```bash
# compose.yaml
# Ziel: myservice soll mit anderem Container
# in compose.yaml über Port 8888 kommunizieren
services:
  myservice:
    image: xxx
    ports:
      # unsicher!
      # - "8888:8888"
      # besser (Port ist für localhost sichtbar)
      # - "127.0.0.1:8888:8888"
      # noch besser (Port ist nur Docker-intern offen)
      - "8888"
  otherservice:
    ...

Die sicherste Lösung besteht darin, die Container ausschließlich über ein Docker-internes Netzwerk miteinander zu verbinden (siehe backend_network im folgenden schablonenhaften Beispiel). Die Verbindung nach außen für die Ports 80 und 443 erfolgt über ein zweites Netzwerk (frontend_network). Die Angabe des drivers ist optional und verdeutlicht hier nur den Default-Netzwerktyp.

# compose.yaml
# am besten: die beiden Services myservice und
# nginx kommunizieren über das interne Netzwerk 
# miteinander
services:
  myservice:
    build: .
    ports:
      - "8888:8888"
    networks:
     - backend_network
  nginx:
    image: nginx:alpine
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./nginx.conf:/etc/nginx/nginx.conf
      - /etc/mycerts/fullchain.pem:/etc/nginx/ssl/nginx.crt
      - /etc/mycerts/privkey.pem:/etc/nginx/ssl/nginx.key
    depends_on:
      - myservice
    networks:
      - frontend_network
      - backend_network
networks:
  # Verbindung zum Host über eine Bridge
  frontend_network:
    driver:   bridge
  # Docker-interne Kommunikation zwischen den Containern
  backend_network:
    driver:   bridge
    internal: true

Restriktive Empfehlungen

Docker hat es sich zuletzt sehr einfach gemacht. Auf https://docs.docker.com/engine/install/ubuntu/#firewall-limitations steht:

If you use ufw or firewalld to manage firewall settings, be aware that when you expose container ports using Docker, these ports bypass your firewall rules. For more information, refer to Docker and ufw.

Docker is only compatible with iptables-nft and iptables-legacy. Firewall rules created with nft are not supported on a system with Docker installed. Make sure that any firewall rulesets you use are created with iptables or ip6tables, and that you add them to the DOCKER-USER chain, see Packet filtering and firewalls.

Und https://docs.docker.com/engine/security/#docker-daemon-attack-surface gibt diese Zusammenfassung:

Finally, if you run Docker on a server, it is recommended to run exclusively Docker on the server, and move all other services within containers controlled by Docker. Of course, it is fine to keep your favorite admin tools (probably at least an SSH server), as well as existing monitoring/supervision processes, such as NRPE and collectd.

Salopp formuliert: Verwenden Sie für das Docker-Deployment ausschließlich für diesen Zweck dezidierte Server und/oder verwenden Sie bei Bedarf veraltete iptable-Firewalls. Vor fünf Jahren war dieser Standpunkt noch verständlich, aber heute geht das einfach gar nicht mehr. Die Praxis sieht ganz oft so aus, dass auf einem Server diverse »normale« Dienste laufen und zusätzlich ein, zwei Docker-Container Zusatzfunktionen zur Verfügung stellen. Sicherheitstechnisch wird dieser alltägliche Wunsch zum Alptraum.

Land in Sicht?

Bei Docker weiß man natürlich auch, dass iptables keine Zukunft hat. Laut diesem Issue sind 10 von 11 Punkte für die Umstellung von iptables auf nftables erledigt. Aber auch dann ist unklar, wie es weiter gehen soll: Natürlich ist das ein massiver Eingriff in grundlegende Docker-Funktionen. Die sollten vor einem Release ordentlich getestet werden. Einen (offiziellen) Zeitplan für den Umstieg auf nftables habe ich vergeblich gesucht.

Docker ist als Plattform-überschreitende Containerlösung für Software-Entwickler fast konkurrenzlos. Aber sobald man den Sichtwinkel auf Linux reduziert und sich womöglich auf Red-Hat-ähnliche Distributionen fokussiert, sieht die Lage anders aus: Podman ist vielleicht nicht hundertprozentig kompatibel, aber es ist mittlerweile ein sehr ausgereiftes Container-System, das mit Docker in vielerlei Hinsicht mithalten kann. Installationsprobleme entfallen, weil Podman per Default installiert ist. Firewall-Probleme entfallen auch. Und der root-less-Ansatz von Podman ist sicherheitstechnis sowieso ein großer Vorteil (auch wenn er oft zu Netzwerkeinschränkungen und Kompatibilitätsproblemen führt, vor allem bei compose-Setups).

Für mich persönlich war Docker immer die Referenz und Podman die nicht ganz perfekte Alternative. Aber die anhaltenden Firewall-Probleme lassen mich an diesem Standpunkt zweifeln. Die Firewall-Inkompatibilität ist definitiv ein gewichtiger Grund, der gegen den Einsatz der Docker Engine auf Server-Installationen spricht. Docker wäre gut beraten, iptables ENDLICH hinter sich zu lassen!

Update 11.11.2025: Als ich diesen Artikel im Oktober 2025 verfasst und im November veröffentlicht habe, ist mir entgangen, dass die Docker-Engine in der noch nicht ausgelieferten Version 29 tatsächlich bereits ein experimentelles nftables-Backend enthält!

Version 29 liegt aktuell als Release Candidate 3 vor. Ich warte mit meinen Tests, bis die Version tatsächlich ausgeliefert wird. Hier sind die Release Notes, hier die neue Dokumentationsseite. Vermutlich wird es ein, zwei weitere Releases brauchen, bis das nftables-Backend den Sprung von »experimentell« bis »stabil« schafft, aber immerhin ist jetzt ganz konkret ein Ende der Firewall-Misere in Sicht.

Quellen / Links

• https://github.com/moby/moby/issues/49634
• https://github.com/docker/for-linux/issues/1472
• https://fedoraproject.org/wiki/Changes/LibvirtVirtualNetworkNFTables\
• https://doc.opensuse.org/release-notes/x86_64/openSUSE/Leap/16.0/html/~|~release-notes-leap-160\
• https://docs.docker.com/engine/install/ubuntu/#firewall-limitations
• https://docs.docker.com/engine/network/packet-filtering-firewalls\
• https://docs.docker.com/engine/security/#docker-daemon-attack-surface

Das neue nftables-Backend für Docker

• https://docs.docker.com/engine/release-notes/29/
• https://docs.docker.com/engine/network/firewall-nftables/
• https://www.docker.com/blog/docker-engine-version-29/

Der Trinity Desktop Environment (TDE), Nachfolger des klassischen KDE 3.5, hat Version 14.1.5 veröffentlicht. Die neue Ausgabe richtet sich an Nutzer, die ein leichtgewichtiges, traditionelles Desktop-Erlebnis bevorzugen, ohne auf moderne Stabilität und Kompatibilität zu verzichten. Die wichtigste Neuerung betrifft den Fenstermanager TWin, der nun Tiling bei Mehrschirmkonfigurationen unterstützt. Damit lassen sich Arbeitsflächen auf mehreren Monitoren […]

Der Beitrag Trinity Desktop 14.1.5 bringt frischen Glanz für das klassische KDE Erlebnis erschien zuerst auf fosstopia.

Im WordPress-Plug-in AI Engine ist eine Sicherheitslücke entdeckt worden, die es Angreifern ermöglichen kann, ihre Benutzerrechte auszuweiten und im schlimmsten Fall die komplette Website zu…

Administratoren sollten aufpassen, welche Docker-Images sie nutzen. Angreifer können sich Root-Zugriff auf das Hostsystem verschaffen. (Sicherheitslücke, Security)

Ein Team aus 29 Wissenschaftlern hat 445 KI-Benchmarks einer systematischen Untersuchung unterzogen und herausgefunden: Fast alle weisen Mängel auf.

Tuxedo hat das Notebook-Modell InfinityBook Max 15 vorgestellt.

IncusOS ist ein unveränderliches Betriebssystem, das ausschließlich für den sicheren und zuverlässigen Betrieb des LXD-Forks Incus entwickelt wurde.Jetzt ist die erste stabile Version erschienen.

Die freie Software Himmelblau erreicht Version 2.0 und integriert Linux-Systeme vollwertig in Azure Entra ID – jetzt mit Offline-Modus und SELinux-Support.

Die Universität Utah hat aufgeräumt - und in einem Lagerraum eine spektakuläre Entdeckung gemacht: eine Kopie des verschollenen Unix V4. (Unix, Betriebssysteme)

Office-Suiten bieten meist mehr, als für den alltäglichen Gebrauch benötigt wird. Das bietet die Chance für eine moderne Mittelklasse-Office-Suite für den GNOME-Desktop.

IncusOS ist ein modernes, unveränderliches Betriebssystem auf der Basis von Debian 13 »Trixie«, das ausschließlich für den sicheren und zuverlässigen Betrieb der Container des LXD-Forks Incus entwickelt wurde.

Das Team hinter MX Linux hat die neue Version 25 mit dem Namen „Infinity“ veröffentlicht. Die Distribution basiert nun auf Debian 13 „Trixie“ und bringt zahlreiche Verbesserungen für Stabilität, Leistung und Bedienkomfort. MX Linux 25 erscheint in drei Editionen: Xfce, KDE Plasma und Fluxbox. Alle Desktop-Umgebungen kommen mit aufgefrischten aber nicht mehr taufrischen Versionen. Mit […]

Der Beitrag MX Linux 25 „Infinity“: Neuer Glanz für den beliebten Debian Fork erschien zuerst auf fosstopia.

IONOS und Nextcloud haben auf dem IONOS Summit 2025 in Berlin eine gemeinsame Plattform vorgestellt, die sich als europäische Antwort auf Microsoft 365 positioniert. Angekündigt wurde das Projekt bereits im Sommer. Der neue IONOS Nextcloud Workspace soll Unternehmen, Behörden und Organisationen eine sichere, datenschutzkonforme und vollständig souveräne Alternative für die digitale Zusammenarbeit bieten. Die Lösung basiert auf […]

Der Beitrag IONOS Nextcloud Workspace: Europäische Microsoft 365 Alternative startet erschien zuerst auf fosstopia.

Manche Forks erweisen sich als sehr langlebig, wenn sie ausreichend Anwender finden. Dazu zählt das Trinity Desktop Environment, der seit 2008 bestehende Fork von KDE 3.5.

Allerlei Mythen ranken um die Frage, wer im Fall der Fälle die Leitung von Linux übernimmt. Dabei gibt es eine Nachfolgeregelung. Die kennt nur kaum jemand.

💾

Mozilla hat den sogenannten „Early Access“ für sein neues kostenpflichtiges Support-Programm für Firefox im Unternehmen angekündigt.

Ab Januar 2026 wird Mozilla einen kostenpflichtigen Support für Firefox im Unternehmen anbieten. Bereits jetzt können sich Unternehmen hierfür anmelden. Dies hat Mozilla auf seinem Blog angekündigt.

Der sogenannte Enterprise Support für Firefox besteht aus den folgenden Komponenten:

• Privater Support-Kanal: Über ein Support-System können private Tickets eröffnet werden, um Unterstützung von erfahrenen Support-Mitarbeitern zu erhalten. Probleme werden nach Schweregrad bewertet, mit festgelegten Reaktionszeiten und klaren Eskalationswegen, um eine zeitnahe Lösung zu gewährleisten.
• Rabatte auf kundenspezifische Entwicklungen: Für Entwicklungsarbeiten an Integrationsprojekten, Kompatibilitätstests oder umgebungsspezifische Anforderungen erhalten Kunden des Enterprise-Supports 20 Prozent Rabatt. Mit kundenspezifischen Entwicklungen als zusätzliche bezahlte Erweiterung für die Support-Pläne kann Firefox an die Infrastruktur und Updates von Drittanbietern angepasst werden.
• Strategische Zusammenarbeit: Kunden des Enterprise Supports erhalten frühzeitig Einblicke in bevorstehende Entwicklungen und können so dabei helfen, die Enterprise-Roadmap durch Zusammenarbeit mit Mozillas Team zu gestalten.

Der Beitrag Mozilla startet kostenpflichtigen Enterprise-Support für Firefox erschien zuerst auf soeren-hentzschel.at.

Vor einiger Zeit habe ich gezeigt, wie man einen Stromzähler auslesen und in Home Assistant integrieren kann. Dieser verwendet die SML und macht es uns dadurch sehr einfach, den Zählerstand in Home Assistant zu übertragen. Der Gaszähler konnte mit einem ESP32 und einem Reed-Schalter digitalisiert werden. Das war etwas komplizierter, aber auch das haben wir gemeinsam geschafft. Nun ist der Wasserzähler an der Reihe:

In diesem Beitrag zeige ich dir Schritt für Schritt, wie du deinen Wasserverbrauch mit Home Assistant digitalisieren und automatisiert erfassen kannst. So hast du jederzeit den Überblick über deinen täglichen Wasserverbrauch, erkennst Lecks frühzeitig und kannst deinen Ressourcenverbrauch nachhaltig optimieren. Auch für diesen Zweck verwenden wir ein neues Tool. Es nennt sich AI on the Edge und ist – meiner Meinung nach – das mächtigste Tool in dieser Reihe. Es verwendet die ESP32-Cam und digitalisiert den Wasserzähler über Bilderkennung.

Schritt 0: Die Einkaufsliste. Als Hardware benötigen wir den ESP32 mit Kamera. Diese gibt es oft als Paket zusammen und nennt sich dann ESP32-CAM. Mit ca. 10 Euro ist man am Start. Dann braucht ma neine Micro-SD-Karte mit max. 8 GB Speicher. Notfalls geht auch größer, man muss sie dann aber ggf. schrumpfen (siehe Schritt 2). Weiterhin benötigt man ein 5V-Netzteil, das vom Handy tut es hierbei auch schon.

Schritt 1: ESP32-CAM flashen. Das geht am über die Webconsole sehr einfach und schnell. Dazu den ESP mit USB-Kabel mit dem PC verbinden, mit Google Chrome oder Edge auf den Webseite der Konsole gehen und die Anweisung dort befolgen. Das ist gleich zu Beginn der kritische Punkt, da hier einiges nicht klappen kann.

Stolperstein 1: falscher COM-Port. Ich habe die Liste der verfügbaren COM-Ports beobachtet, während ich den ESP eingesteckt habe. COM11 kam neu hinzu –> das ist der richtige.

Stolperstein 2: Installation klappt nicht. Mögliche Ursachen, die bei mir auftragen: Falsches USB-Kabel. Ich hatte zuerst ein günstiges, das aber nur die Spannungsversorgung überträgt. Man braucht auch eines, das Daten Übertragen kann. Weitere Ursache für die nicht-funktionierende Installation: Der ESP ist schreibgeschützt. Entweder es gibt einen Button, den man während der Installation gedrückt halten muss, oder man muss GPIO 0 auf low ziehen. Glücklicherweise liegen GPIO 0 und GND direkt nebeneinander, sodass man einen Draht sehr einfach dagegen halten kann.

Schritt 2: Die SD-Karte vorbereiten. Dazu benötigt man eine SD-Karte mit max. 8 GB. Hatte ich nicht, darum habe ich – schweren Herzens – eine 64 GB Karte geopfert, und „geschrumpft“. Das geht unter Windows mit diskpart, bei Reddit gibt es eine gute Anleitung dafür. Auf die SD-Karte schiebt man nun die Daten aus Github und trägt in die wifi.ini seine Netzwerk-Zugangsdaten ein.

Schritt 3: Setup der Software. Was haben wir bisher? Firmware ist drauf, SD-Karte ist fertig und WLAN ist eingestellt. Wir können nun also auf die Weboberfläche zugreifen. Los gehts! Gib die IP-Adresse des Gerätes im Browser ein. (Schaut im Zweifel bei eurem Router nach, welche IP der ESP hat).

Ein Setup begrüßt euch. Die Beschreibungen sind sehr ausführlich dort, darum beschränke ich mich auf ein paar Stichpunkte:

1. Anpassen von Fokus und Reflektionen. Hier sieht man live das Bild aus der Kamera. Stellt die Helligkeit des Lichts so ein, dass man alle Zahlen gut lesen kann. Den Fokus der Kamera kann man anpassen, muss vorher aber evtl. ein Stück Kleber von der Linse entfernen. Das geht leicht mit einem Teppichmesser. Anschließend kann man die Linse rein- oder rausschrauben und somit den Fuks anpassen.
2. Aufnahme eines Referenzfotos. Dieses Foto werden wir in den folgenden Schritten in seine Einzelteile zerlegen und die Software anlernen. Hier stellt sich heraus, ob das Bild geeignet ist. Dreht das Bild möglichst genau in die Horizontale, damit man alle Zahlen gut nebeneinander lesen kann. Das erleichtert später die Erkennung der Ziffern.
3. Definition von zwei Ausrichtungspunkten. Sie definieren sozusagen das Koordinatensystem.
4. ROI für Ziffern. Regions of Interest, so heißen die Bereiche, die später ausgelesen werden. Hier müssen also die Ziffern ausgewählt werden. Macht das sorgfältig!
5. ROI für analoge Zeiger. Wasseruhren haben häufig Analogzeiger. Falls man sie nicht hat, kann man diesen Schritt überspringen.
6. Zusätzliche Parameter, diese können später auch noch eingestellt werden.
7. Abschluss der Einrichtung. Dieser Schritt beendet das Setup und speichert die Werte.

Schritt 4: Überprüfen der Einstellung. Nach dem Reboot landet man automatisch auf der Überblickseite des Controllers. Dort sieht man sowohl ein Foto des Zählers, als auch die digitalisierten Werte daraus. Überprüft, ob die Werte stimmen. Bei mir wurde beispielsweise eine 9 als 4 erkannt. Anpassen der Helligkeit hat das Problem behoben. Eine kleine Reflektion auf der Schreibe war die Ursache.

Schritt 5: Einbindung in Home Assistant. Falls noch nicht geschehen, sollte man in der Konfiguration das MQTT-Protokoll aktivieren. Dort findet sich auch die Funktion „Homeassistant Discovery“. Tragt also die Zugangsdaten zum MQTT-Broker ein. Wählt außerdem aus, dass es sich um ein Watermeter handelt, mit einer Einheit die von Home Assistant unterstützt wird. Startet den ESP neu, ihr werdet dazu aufgefordert.

In Home Assistant wird die Wasseruhr nun unter „Einstellungen“, „Geräte & Dienste“ und „MQTT“ aufgelistet. Seht mal nach, ob die Werte korrekt ankommen. Falls ja, defenieren wir es noch als „Wasserzähler“: „Einstellungen„, „Dashboards„, „Energie„. Dort fügt man einen neuen Wasserzähler hinzu und wählt „value“ vom „watermeter„.

The post Wasserzähler mit ESP32 und Home Assistant digitalisieren first appeared on bejonet - Linux | Smart Home | Technik.

Linux-Notebook-Hersteller TUXEDO aus Augsburg erweitert seine InfinityBook-Reihe nach oben. Das InfinityBook Max 15 vereint Komponenten von AMD und NVIDIA zu einem Kraftpaket für diverse Aufgaben.

Mozilla hat Kit vorgestellt, das neue Firefox-Maskottchen. Dieses zeigt sich auch jetzt schon in Firefox und in Form von Fan-Artikeln.

Auf einer neuen Landing Page der Firefox-Website hat Mozilla Kit mit den folgenden Worten vorgestellt:

Neuer Freund an Bord

Firefox bekommt einen frischen Look und du siehst es zuerst. Kit ist unser neues Maskottchen und dein Begleiter durch ein Internet, das privat, offen und wirklich deins ist.

Wer das Hintergrund-Bild der Firefox-Startseite anpassen möchte, findet bereits jetzt eine neue Firefox-Kategorie mit sechs neuen Hintergrundbildern, die auch Kit zeigen. Diese wurden via Remote-Einstellungen unabhängig von einem bestimmten Firefox-Update aktiviert. Außerdem wurde Mozillas Merchandise-Shop um Artikel mit Kit erweitert.

Das Ganze steht in Zusammenhang mit einem „Brand Refresh“ (Link 1, Link 2), der im Februar 2026 mit Erscheinen von Firefox 148 umgesetzt werden soll.

Der Beitrag Firefox hat ein neues Maskottchen: Kit erschien zuerst auf soeren-hentzschel.at.

Wenn vordergründig positive Begriffe zum Spielball von politischen Argumenten werden, sollte man hellhörig werden und diese Begriffe hinterfragen.

Die Tux-Tage 2025 finden dieses Jahr am 7. und 8. November statt. Das von Linux Guides initiierte Projekt bietet zahlreiche Online-Beiträge über Linux und Open-Source-Software. Die Veranstaltung wird live moderiert und direkt über die eigene Website übertragen oder findet sich alternativ auf YouTube.

Die FSFE und LUG BZ haben den Präsidenten und Kernentwickler von VLC mit einem europäischen Preis für sein langjähriges Engagement geehrt. Aus einer Studenteninitiative wurde dank seiner stetigen Arbeit einer der meistgenutzten Mediaplayer mit Milliarden von Nutzern weltweit.