Category Archives: Erfahrungsberichte

Erfahrungen aus dem Alltag eines Linux-Anwenders

Opensuse, Firefox 4, Flashplayer 32 oder 64 Bit?

Posted on by

Unter Opensuse 11.4 ist der Firefox 4 Standard. Ich habe – wie immer schon – die 64 Bit Variante des Betriebssystems und des Firefox installiert. Zudem läuft KDE 4.6.2.

Nun denkt man so, dass der von Suse als RPM ausgelieferte aktuelle Flashplayer 10.2 in der 32Bit-Variante über den üblichen “nspluginwrapper”-Mechanismus mit Firefox 4 (64 Bi) vernünftig zusammenarbeiten würde. Schießlich ging das mit Firefox 3.6.16 (64 bit) unter Opensuse 11.3 ja auch problemfrei !

Beim Firefox 4 (64 Bit) ist dem leider nicht so! Komplexe Flash-Filme oder sogar Adobe eigene Flashelemente (etwa die Audio oder Video-Player) werden häufig durch Darstellungsfehler so entstellt, dass es keinen Spaß mehr macht, Flash-Seiten anzusehen. Fehler über Fehler ! Man fragt sich, ob das jemals vernünftig getestet wurde ….

In meiner Not habe ich dann mal wieder nach einer halbwegs aktuellen 64Bit -Variante des Flash-Players für Linux umgesehen. Damit habe ich früher schon ganz gute Erfahrungen gemacht. Fündig wird man zur Zeit unter

http://labs.adobe.com/technologies/flashplayer10/square/

Ich habe mir dort die aktuelle Version heruntergeladen. Zur Installation der “libflashplayer.so”-Datei unter Opnsuse sehen Sie bitte folgenden früheren Beitrag:

https://linux-blog.anracom.com/2009/01/26/kurztest-der-64-bit-version-des-flash-plugins-von-adobe/

Bitte nicht die vorher notwendige Deinstallation des “nspluginwrapper” vergessen.

Das Ergebnis des Tests der 64-Bit-Variante: Das allermeiste an Flash-Seiten wird richtiger und schneller dargestellt als mit der für 64-bit Linux und 64-Bit Firefox 4 völlig ungeeigneten offiziellen 32Bit-Variante des Players.

Bleibt erneut die Frage offen: Wann sehen die verantwortlichen bei Adobe endlich ein, dass sie für Linux eine vernünftige “offizielle” 64Bit-Unterstützung bieten müssen?

KDM, root login, KDE 4.5.1/4.5.2

Posted on by

Bei KDE 4.5.1 und 4.5.2 ist defaultmäßig die Möglichkeit zum graphischen Login (kdm) für root abgestellt.

Nun könnte ich mich darüber aufregen – aber ich bin inzwischen zu alt für diese laufenden Aufregungen im Zusammenhang mit einer KDE- und Linux-Philosophie, die sich immer mehr an Windows annähert und aus meiner Sicht einen falschen Weg darstellt. Deshalb nur ein paar Anmerkungen aus dem Bauch raus:

Verfolgt man die Diskussionen in diversen Foren zu dem Login-Thema, so fällt einem auf, dass immer wieder mit dem dummen User argumentiert wird, der durch sein Handeln für sein System ein Sicherheitsrisiko darstellt und dem man deshalb systematisch Möglichkeiten wegnehmen muss. Wo hatten wir diese Argumentation kürzlich auch noch? Ach ja, beim Powermanagment unter KDE. Auch da wurden etablierte Möglichkeiten zur Einstellung des CPU Freq Governors beschnitten, weil der User zu dumm ist, die Folgen seines Tuns zu verstehen. Siehe einen entsprechenden Beitrag von mir in diesem Blog (https://linux-blog.anracom.com/2010/09/09/h/).

Ja, ja, der dumme User …. ob er wohl schlauer wird, wenn man ihn immer mehr einschränkt? Ich glaube nicht. Für wahrscheinlich halte ich es aber, dass immer mehr eingeschränkte User auch mehr Unterstützung durch Profis benötigen werden – cui bono ? Red Hat, Novell ? Wer hat eigentlich wirklich einen Vorteil davon, wenn die Hemmschwellen für User, sich auch in der Systemadministration zu versuchen und dabei etwas zu lernen, defaultmäßig immer höher gesetzt werden ?

Mich ärgert diese Default-Beschneidung von Rechten und Möglichkeiten – weil hier Chancen zum Lernen verbaut werden und das Leben einseitig nur den ausgebildeten Administratoren erleichtert wird. Das hat etwas mit Kommerz zu tun – aber nichts mit “Open”.

Wohlgemerkt, ich verstehe die wachsenden Sicherheitsbedürfnisse in einer Welt mit permanenter Anbindung an das Internet sehr gut. Ich verstehe auch, dass man in professionell genutzten Umgebungen mit hohen Sicherheitsanforderungen die Möglichkeiten des Standard-Users beschränkt – z.T. massiv zum Wohle aller. Dies gilt vor allem dann, wenn ein Administrator die (oft genug schwere) Verantwortung für die Sicherheit der Linux-Arbeitsplatz-PCs und des Netzwerkes übernehmen muss. In diesen Fällen sind Einschränkungen angesagt !

Das ging ja aber alles bisher auch schon!

Der erfahrene Admin wußte/weiss, was er dicht machen musste/muss. Auch ohne Default-Beschneidung durch die KDE-Leute und Distributoren. Dafür ist der Admin ja hoffentlich ausgebildet! Umgekehrt gilt das leider nicht:
Der “dumme” User, der Linux auf seinen Privat-PCs nutzt oder ausprobiert, weiss in der Regel nicht, was er tun muss, um die verlorengegangenen Entfaltungsmöglichkeiten bei Bedarf wiederzuerlangen. Und es ist irgendwie nicht einzusehen, dass User auf privaten PCs, für die sie alleine die Verantwortung tragen, von Haus aus in ihren Möglichkeiten beschnitten werden.

Irgendwann werden wir durch den dauernden Hang zur Begrenzung der Möglichkeiten den Linux-User schließlich so eingeschränkt haben, dass Verhältnisse wie heute bei Microsoft eintreten – der User soll gar nicht mehr wissen, was sein System eigentlich macht und worauf er Einfluss nehmen könnte … Tja, das führt dann irgendwann zu Usern die all ihre Dateien in genau ein Verzeichnis legen, weil sie nichts mehr von Filesystemen wahrnehmen (sollen).

Schöne neue Welt … Verstecken statt aufklären …. Möglichkeiten wegnehmen statt mit verständlichen Erläuterungen vor den Risiken zu warnen ….Mangel statt Entfaltungsmöglichkeiten … Angst vor dem User und zu wenig Entwickler-Kapazität für Hilfetexte …. Angst vor der Dummheit der User und zu wenig Mittel, die eigentlichen Sicherheitslücken zu stopfen ? Aber Klicki-Bunti (statt echter Funktionalität) bis zum Abwinken unter KDE ….

Open Source – quo vadis ?

Leider ist die gesamte Diskussion auch technisch zu eng und ähnlich wie bei der Diskussion um Holger Machts Patch zur Reduktion der Möglichkeiten für Power-Management-Möglichkeiten werden auch hier etliche Szenarien vergessen, in denen auch eine normaler User die Chance bekommen muss, ausnahmsweise (!) mal Einstellungen als root über die graphische Oberfläche vornehmen zu können. Ein Beispiel liefern Laptops. Nicht alle Linux-Systeme befinden sich in einer problematischen Umgebung, für die ein Administrator allein die Verantwortung tragen muss.

Hinzu kommt speziell unter KDE noch folgendes: Empfohlen wird ja vielfach, sich bei Bedarf ein Terminalfenster zu öffnen, sich dort als root einzuloggen und dann die benötigten Programme aufzurufen. Gerade das ist aber im Moment unter KDE in vielen Fällen wenig angenehm.

Ein Beispiel liefert Dolphin. Dophin öffnet sich nach dem Aufruf von root zwar rasch, aber wenn man dann als root einzelne Dateien mit einem graphischen Editor öffnen will, wartet man erstmal bis zu 30 Sekunden während das Terminal mit Fehlermeldungen aus der Soprano-Nepomuk-Ecke überschüttet wird und im Hintergrund die Sicherheitslage gecheckt wird (z.B. von apparmor) weil ein Fremduser-Zugriff auf eine graphische Oberfläche erfolgt.

Und dann stolpert man ggf. über hässliche Schrifteinstellungen ohne Glättung etc. – weil halt die KDE-Einstellungen für root nur sehr rudimentär sind. Aber der dumme User weiß ja sicher, wie er von seinem Desktop aus die Desktop-Einstellungen für root verändern kann …

Ich höre schon das Gegen-Totschlag-Argument: Root braucht keine graphischen Programme, wozu gibt es denn “mc” und selbst das ist für Hartgesottene schon zu grapisch …. Außerdem gibt es ja “sudo” und “kdesudo”. Tja, das wird ja spannend, wenn der dumme User auch damit für etliche Zwecke an Grenzen stößt und dann eigentlich anfangen müsste, die sudo-Konfigurationsdatei abzuändern ….

Alles in allem ist mir dieses elitäre Getue zu blöd. Ich möchte mich manchmal (!) auch als root graphisch einloggen – vor allem wenn es wirklich schnell gehen muss. Ich bin root – ich darf das. Deshalb ein paar Hinweise zur Umgehung der Sperren für Opensuse 11.3 für die, die sich nicht einschränken lassen wollen:

Die “KDM”-Einstellungen erfolgen bei Opensuse 11.3 in 2 (!) Dateien:

/usr/share/kde4/config/kdm/kdmrc

/var/adm/kdm/kdmrc.sysconfig

In diesen Dateien muss mindestens im Abschnitt

[X-:*-Core]

folgender Eintrag erfolgen:

AllowRootLogin=true

Bis vor kurzem war das auch genug. Nun haben aber die Suse-Entwickler ein wenig mehr getan und Änderungen an der letzten der beiden genannten Dateien werden bei KDE-Starts rückgängig gemacht. Ein (längerer) Blick in die SuSE-Scripts zeigt jedoch, dass ein Eintrag in folgender Datei für KDM hilft (das habe nicht ich entdeckt sondern nur nachvollzogen – die Ehre gebührt Carlos E. R. (s. den Link zum Opensuse Forum):

Datei:         /etc/sysconfig/displaymanager

Eintrag:         DISPLAYMANAGER_ROOT_LOGIN_LOCAL=”yes”

Diese Eintragsmöglichkeit ist im Moment leider nicht im Yast-Editor für “/etc/sysconfig” enthalten. Es wäre fair von Suse, das da aufzunehmen.

Links

http://forums.opensuse.org/english/get-help-here/install-boot-login/446249-root-logins-not-allowed-2.html

Abschluss: Sicherheit entsteht
auf Dauer durch Wissen und dessen Verbreitung, aber nicht durch die systematische Beschränkung der User!

9650SE-4LPML – ein paar Einstellungen

Posted on by

Wenn man mit einer oder mehreren VMware-Workstation unter Linux hantiert, ist man froh über einen guten I/O. Gestern hat mich jemand in diesem Zusammenhang auf meine Erfahrungen mit 3ware-Controllern angesprochen.

Pauschal konnte und kann ich darauf nicht antworten – man müsste für eine solide Einschätzung systematische Vergleiche mit anderen Controllern durchführen. Dazu fehlen mir im Moment schlicht die Ressourcen. Es gibt aber interessaante Diskussionen im Internet. Ich empfehle den folgenden Beitrag

http://makarevitch.org/rant/raid/

Siehe auch die dortigen Links mit wirklich interessanten Statements und Erfahrungen zu 3ware-Controllern unter Linux. Hochinteressant finde ich vor allem die Vergleiche mit SW-Raid-Konfigurationen unter Linux, die mich ab und zu doch an meinen Investitionen in HW-Raid für Desktops zweifeln lassen.

Dennoch und aus dem Bauch heraus: Meine Erfahrungen sind im Mittel nicht schlecht, aber gerade mit laufenden VMware-Workstations wird der Platten I/O auf meine Opensuse Kisten bisweilen für kurze Momente zu einem echten, spürbaren Engpass. Zumindest, wenn man sich nicht ein wenig um die (begrenzten) Einstellmöglichkeiten des Controllers und auch des Linux-Systems kümmert.

Aufgefallen ist mir in der Praxis auch, dass auf meinen Opensuse-Systemen mit Quadcore-Prozessoren unter Last irgendwie immer (oder vor allem) der erste Core hohe WAIT I/O-Werte aufweist. Ich gehe mal davon aus, dass die 3ware-Treiber in Kombination mit dem Kernel den Controllerzugriff und den Datentransfer über genau einen Core handhaben. Auch dazu gibt es Hinweise in einschlägigen Diskussionen im Internet.

Der von mir auf den Desktop-Systemen verwendete Controller “9650SE-4LPML” ist ferner nicht ein System, bei dem man die Performance über große Raid-Stapel mit 12 oder 24 Platten hochziehen könnte. Mit 4 Platten sind die Möglichkeiten halt begrenzt.

Also fängt man an, ein wenig herumzuprobieren und vor ein paar Monaten habe ich tatsächlich mal ein wenig Zeit investiert, um mir mit “Bonnie++” verschiedene Konfigurationen anzusehen. Allerdings nur mit EXT3/Ext4 als Filesystem. Wenn ich auf dieser Basis Empfehlungen geben sollte, dann wären es folgende:

1) 4 Platten – Raid 10

2) Wenn man es sich leisten kann : Eher kein LVM einsetzen.

3) Controller-Parameter: Read-Cache auf “Intelligent” setzen und Write-Cache aktivieren (Battery Unit zur Vermeidung von Datenverlusten/Inkonsistenzen einkalkulieren). StorSave auf “Balance” oder “Performance” setzen. Verwendung von “Queuing” (NTQ Feature der Platten, wenn vorhanden) anschalten.
(Zum Einstellen von Controller-Eigenschaften kann man übrigens gut das übersichtliche “3DM2” benutzen.)

4) Linux-Einstellungen – z.B. für ein Raid-Device, das unter “/dev/sda” anzusprechen ist:

echo “512” > /sys/block/sda/queue/nr_requests

und danach (!):

blockdev   −−setra 16384 /dev/sda

5) VMware-Workstation (konfiguriert für 2 CPU-Cores eines Quad-Core-Systems):
Zuweisung des “vmware-vmx”-Prozesses an zwei andere Prozessor-Cores als den ersten, auf dem zumeist der I/O kontrolliert wird. Also z.B.:

taskset -pc 2,3 <pid des vmware-vmx-Prozesses>

Testet man die Performance unter diesen Bedingungen etwa mit zwei Raid 1 Units, die bei mir unter Linux als “/dev/sda” und “/dev/sdb” erscheinen, so erhält man mit Bonnie++ recht gute Werte für sequentielles Lesen und Schreiben (ca. 10% unter den theroretischen Maximalwerten der Platten). Aber es lohnt sich, auch andere Parameter-Werte – vor allem für blockdev – unter Linux auszuprobieren. Hier konnte ich durchaus messbare Unterschiede feststellen. Hat man gute Werte gefunden, hinterlegt man sich die Einstellungen in einem kleine Startup-Script.
Der Wechsel auf Raid 10 führt dann nochmals zu einer signifikanten Steigerung der I/O-Werte.

Mit unterschiedlichen Schedulern habe ich auch rumgespielt. Irgendwie erschienen mir die Unterschiede aber nicht so signifikant zu sein.

Ich hoffe, ein paar von den Hinweisen helfen auch anderen weiter.