= Entwickler-Diskussion =

Auf Wiki-Diskussionsseiten hat es sich als sinnvoll erwiesen,
Antworten auf Beiträge zu signieren, indem man seinen Namen
dahinterschreibt. -- ThomasBayen

: Ausserdem kann man Antworten auf den Beitrag eines anderen
einrücken. -- ThomasBayen

:: Und Antworten auf Antworten... (ich sehe, Ihr versteht) --
ThomasBayen

----

So... diese Seite ist zum rumerzählen über unser CD-Linux. Mal
sehen, wie aktiv das hier so wird, trotz Ferienzeit... Wie gefällt
Euch denn die Idee der neuen User-Homepage KrefixLinux? --
ThomasBayen

----
== Thema: Startskript ==

Ich denke, wir brauchen für einige Dinge ein eigenes Initskript.
Z.B. die Internetverbindung will ja nicht jeder Anwender immer
automatisch hochgefahren haben, wie das z.B. mit dem
pppd-Initskript möglich ist.

Dabei fallen mir im Moment ein paar Fragen ein:

''Welche Aufgaben hat das Skript?''

Generell haben wir ja bisher versucht, ohne ein Skript auszukommen,
das dann andere Teile des Systems manipuliert und nur mit den
normalen Konfigurationen der entsprechenden Dienste auszukommen.
Deshalb haben wir z.B. immer 4 Interfaces und der DHCP meckert ein
bisschen beim hochfahren. Das ist IMHO aber immer noch besser, als
zu viels in einem Skript zusammnezufassen, das dann die
Config-Dateien der anderen Dienste manipuliert. Das hat sowas von
Yast und Linuxconf. :-p

Also: Wollen wir, daß das Skript z.B. aus einer eigenen
Config-Datei Dinge wie Name und Passwort für den Internet-Zugang in
die entsprechenden Konfigurationsdateien schreibt (das hat sowas
von Yast :-p ) oder muss der User die originalen Files editieren.
(IMHO besser, aber dann brauchen wir mittelfristig ein kleines
Konfigurationstool)

''Welche Nummer (Reihenfolge beim Hochfahren) ist sinnvoll?''

''Sehe ich richtig, das es in das rcS.d-Verzeichnis gehört?''

Oder haben wir Services, die man hoch- und runterfahren können
sollte (Internet-Zugang?!?) wie mit den Runlevel-Initskripten
möglich? Braucht das jemand? Ist das wünschenswert, das sich jemand
auf einem Router einloggt, um dann da Dinge hoch- und
runterzufahren?

-- ThomasBayen

----
== Thema: Entwicklerversion / Replikat des "Master" ==

Wie komme ich zur allerletzten Beta-Version von Krefix? Muss ich
dann immer ISOs ziehen? Ich hab' hier ein Downloadlimit, das zwar
i.a. reicht, aber dann könnte es schon eng werden.
IMHO wäre auch hier ein Replikat des aktuellen Masters sinnvoll
indem ich die Änderungen einpflege.
Auch gleich eine Gelegenheit mit Debianstrukturen vertraut zu
werden.

=== Original-Master sieht so aus: ===

''Also wir haben hier ein Basissystem ("Master") in der LUG. Das
hat z.Zt. eine 200MB-Partition (ich empfehle 300-400MB). Davon
können wir mit einem Skript-Aufruf ein Image bauen. Das lege ich
dann ab und zu bei Sourceforge ab.''

=== Installation von CD auf Festplatte ===

''Du kannst die CD mit einem Befehl wieder auf eine Platte
installieren und hättest dann ein identisches Grundsystem wie wir.
Dann müssen wir allerdings Modifikationen synchronisieren. Wir
müssten uns dazu zwingen, keinen Pups am System zu ändern, ohne
dies im Wiki zu dokumentieren.''

=== Inkrementelle Updates mit rsync ===

''Evtl. könnte rsync unser Freund sein. Wir könnten u.U. etwas
basteln, so daß Du Dich per rsync hier einloggen könntest. Meine
Firewall könnte das NATen (wenn Du eine feste IP hast) oder wir
bauen ein VPNmitIPSec auf. -- ThomasBayen''

: Ich versuche was hier mit rsync zum Datenaustausch auf die Beine
zu stellen (was ich für grundsätzlich sehr sinnvoll halte, rsync
meine ich). Der Personenkreis ist eingeschränkt, ob und wie wir
eine Authentifizierung machen, müssen wir uns überlegen. Angenommen
ich krieg hier das "Bürokratische" hin, Disziplin vorausgetzt, mit
was für einem Datenvolumen rechnen wir (Platz auf der Platte)? Der
fragliche Rechner hat leider nicht viel Disk-Kapazität über. --
MichaelZacherl

:: Diesen gordischen Knoten der Authentifizierung per VPN zwischen
zwei d<ynamischen IP-Adressen habe ich bereits zerschlagen. Ich
habe hier ein VPNmitIPSec zwischen zwei Rechnern mit dynamischer IP
stehen, die per T-Online-Flatrate angebunden sind. Das Schwert für
den Knoten heisst dabei DynamischesDNS. Den IPSec-FAQs nach zu
urteilen, bin ich der erste auf der Welt, der das hinbekommen hat
(IPSec ohne feste Adressen). :-) 

:: Im Prinzip ist alles, was man dazu braucht, auf der Krefix
drauf. Vielleicht sollten wir also erstmal die vorhandene CD soweit
konfigurieren, dass wir ein VPN-Netzwerk hinbekommen. VPN könnte
dann ein Dienst der CD sein. Zuerst bastelst Du eine Konfig, die
Dir Internetzugang per pptp gibt. Wenn das läuft, bauen wir
zusammen ein VPN auf, so daß Du gesichert hier ins Netz kommst. Das
alles speicherst Du auf eine Diskette und hast erstmal einen
Router. Punkt. Dann schliesst Du einen zweiten Rechner an diesen
Router an. Zwischen diesem zweiten Rechner und unserem
Master-System kann man dann beruhigt rsync laufen lassen. --
ThomasBayen

: Ich merke g'rad' ich hab' keine Ahnung: Ich ging davon aus, dass
"der Master" irgendwo im Datenbereich einer Linuxkiste liegt und
nicht selbst ein aktives System ist!? Wie ist sichergestellt, dass
die Rsyncsklaven (also die Lesenden) nicht jeden Pups
mitübertragen, bzw. was ist später, mit sog. "neutralen"
Einstellungen? 

:: Es ist, wenn man an dem System basteln will (und darum gehts
hier ja) sinnvoll, wenn das System selber läuft. Man (ich) kann
apt-get nicht auf einen Datenbereich anwenden und man kann die
installierten Sachen nicht ausprobieren, wenn man nur "von aussen"
auf das Filesystem sieht. Trotzdem ist das System ausschließlich
als Master gedacht. Es enthält also keinen "Pups", der nicht
mitübertragen werden dürfte. Alles, was drin ist, gehört auch rein
(die einzige Konzession an unser LAN ist die Konfiguration von
eth0:2). Dieses Master-System ist nicht zu verwechseln mit dem
Router, der hier den Internetzugang regelt. Das ist (bisher) ein
ganz eigener Rechner, der mit Krefix nix zu tun hat.

::: Alles klar - das heisst aber, der Master steht unter einer
"disziplinären Käseglocke" - sonst wird er versaut!? -
MichaelZacherl

=== Update eines Masters mit Hilfe einer Disketten-Version ===

Fällt mir siedendheiss ein: was heisst die Sache mit der Floppy für
die HD-Installation hier? Wie wird die nun zur 0.06a? 
: "Einfach" eine Neuinstallation vom laufenden ISO-Krefix aus? -
MichaelZacherl
:: Zum Aufbau der Floppy gibts Infos auf [KrefixLinux.FormatDerDiskette] --
ThomasBayen

=== Sonstige Punkte ===

* Man könnte versuchen, die CD etwas kleiner und
bandbreitenschonender zu machen unter Verzicht auf z.B. Doku,
Paketlisten. etc. Allerdings wollen wir das nicht, da das System
dadurch unkomfortabler und nicht mehr "Original Debian" wird.

* Ich hoffe, dass wir irgendwann mal alle wichtigen Pakete drauf
haben. Dann sollte ein Update des Basissystems nicht mehr so oft
nötig sein. Die Kunst ist ja eigentlich die Konfiguration in /etc,
die auf die Diskette kommt.'' -- ThomasBayen

* DebianCDsMitJigdo nützt uns wahrscheinlich nichts, weil es
kompliziert zu nutzen ist und nichts kann, was rsync nicht auch
könnte.

----
== Thema: root-Passwort, Umgang mit Zugangsdaten im Allgemeinen ==

... ad "root-Passwort": Das derzeitige, ist das Debiankonvention?
-- MichaelZacherl
: ''Debian-Konvention ist, daß Du bei der Installation nach einem
Passwort gefragt wirst. Unser root-Passwort haben wir uns
ausgedacht ausgehend von dem Gedanken, daß ein Passwort, das wir
als CD-Image ins Internet stellen, sowieso nicht schützenswert ist.
Wenn wir keine besonderen Dienste vom Internet zugängig machen,
sollte das akzeptabel sein. Ansonsten kann der User das ja wie alle
Konfigurationen auf der Diskette ändern. '''Eine andere Methode'''
wäre, das root-Passwort ganz ausser Kraft zu setzen und dann auf
der Konsole direkt eine root-shell zur Verfügung zu stellen. So
löst KnoppixLinux das. Ist vielleicht besser?!? -- ThomasBayen''

=== Zugangsdaten / Klartextpasswörter ===
Ich sehe mehrere Möglichkeiten. Was ich nicht mag sind Passwörter,
die auf einem Medium im Klartext gespeichert sind - was jetzt beim
root-PW nicht der Fall ist, mir aber gestern beim
pptp-Konfigurieren sehr sauer aufgestossen ist!

Was sagt ihr zu der Möglichkeit, beim ersten Starten eines noch
"jungfräulichen" KrefixLinux nach dem ersten Login ein neues
root-PW zu erfragen und verschlüsselt auf der Floppy abzulegen?
: Ich hätte lieber auch die Möglichkeit, daß das System (mit
verminderter Funktionalität bzw. ohne Persistenz) auch ganz ohne
Diskette läuft. Denke mal an den Vorführeffekt von KnoppixLinux.
:: ''Sollte gut möglich sein. Wir denken uns ein paar
Standardscenarien aus, ein Gutteil lässt sich "erschnüffeln" und
die paar Dinge wie Providerkennung, Passwort etc. gibt man beim
Hochfahren (nicht-persistent) ein. Ebenso die Filter und Nat
Tabellen.''
: Was wäre denn, wenn man das root-PW löscht und beim hochfahren
dann, wenn kein root-PW vorliegt, eine offene root-Konsole auf ein
Virtuelles Terminal legt? Dann wäre der "Trick", um reinzukommen
"Drücke Alt-F8", aber von außerhalb könnte kein Mensch sich
einloggen und dummes Zeuch machen. -- ThomasBayen
:: ''Für die Nur-CD Version ein tolle Idee! Nur sollte der Router
doch auch fernwartbar sein (eh-klar), und (was mir hier, gerade bei
dem Sauwetter hier Sorge macht), er sollte, zB bei Stromausfall,
wieder ganz alleine zu sich finden, sobald der Saft wieder da ist.
- MichaelZacherl''
::: Wer den Router fernwarten will, muss halt erstmal an der
Konsole ein Passwort vergeben. -- ThomasBayen

=== Providerdaten im Klartext ===
Ebenso die Providerzugangsdaten, die derzeit im Klartext am System
(i.e.) Floppy rumliegen (das freut mich gar nicht, weil mit dem PW,
zB mein gesamter Account administriert werden kann)!? -
MichaelZacherl
: Dazu WarumPasswoerterImKlartextSeinMuessen. Das endet mit der
Erkenntnis:
: Also gut - Du hast mich überzeugt. Wir bauen eine Option, das das
Tar-Archiv auf der Diskette verschlüsselt ist. Der Schlüssel kommt
dann auf die CD. -- ThomasBayen

=== Ausgaben beim Hochfahren ===
Ich denke, obwohl Knoppix eindeutig die Buntheit der X-Oberfläche
auf seiner Seite hat, lässt sich auch mit Krefix ein Ah-Oh-Effekt
erzeugen. Ich fände eine Art "Demomode" auch super, just to show
the beauty of ASCII ;-) Also wo angezeigt wird, was wird im Netz
gefunden, pseudografisch die Routen ausgibt etc. etc. -
MichaelZacherl ''
::::: Könnte man standardmässig beim hochfahren als letztes als
eine Bildschirmseite ausgeben, und darunter dann das login (Aber
erstmal hat die reine Funktion für mich Priorität). -- ThomasBayen

----
== Thema: Änderungen zur nächsten Version ==

Diskussion, "Was sollte noch an der nächsten, zu veröffentlichenden
Version geändert werden?". ''(Gute Idee)''

=== KrefixLinux 0.07 ===

* traceroute (schon besprochen) - ''Ist schon drin''
* IP-Forwarding fix einschalten (nachdem's ein Router sein soll?)
: ''Ist Aufgabe der Firewall.'' - macht Checkpoint auch so. FW
gestoppt, kein Routing. Ist vernünftig, trotzdem musste ich erst
mal draufkommen ;-) -
MichaelZacherl

Grundsätzliches: nehmen wir Dinge, wie zB eine Netzwerkstruktur
vorweg an? D.h. Das private Netz ist 192.168.x.x, etc.? Ist IMHO
nicht nur Geschmackssache.
: ''Die Autokonfig erzeugt die Netze 192.168.200+x.y (x=Interface
ethx). Davon sollten wir ausgehen. Wer das ändert bzw. selber
anders einstellt, muss dann auch die Firewall etc. selber ändern.''
:: Dann tu ich mir schwer mit Testen. Die PCs hier müssen bis auf
Weiteres das ADSL-Modem selbst erreichen können. 2.IP Adresse ist
v.a. unter NT4. Win2k teilw. genauso unvorhersehbar was passiert.
Eine traurige Sache. :-| -
MichaelZacherl
:: ''Ich habe keine separate Testumgebung sondern teste im LAN
@Home, wo auch u.a. meine Freundin, die selbständig ist, arbeiten
muss. D.h. zumindest zwei der Rechner (ihrer und meiner) müssen ans
ADSL Modem können (abwechselnd, solange der Router noch nicht
zuverlässig tut). D.h. sie müssen IP Adressen aus dem 10.0.0.0er
Netz haben. Den KrefixRouter teste ich sinnvollerweise so, wie ich
ihn von dir auf CD kriege, d.h. mit aktivem DHCP etc. Die Rechner
(zumindest meiner, mit dem ich aber auch zu Hause schaffe) würden 2
IPs brauchen, die eine zum Modem (10.0.0.x), die andere die er per
DHCP vom KrefixRouter zum Testen kriegt (192.168.200.y wenn ich's
jetzt richtig auswendig weiss). Und genau das kann Linux, aber
M$-Zeugs ned. Hast DHCP, kannst keine virtuellen Interfaces mehr
anlegen, d.h. Einstellungen ändern und Rebooten bestimmen den
Zeitablauf und Aufwand :-(''
:: ''Derzeit gehe ich davon aus, dass DHCP funzt und habe die
IP-Adressen am Win-Rechner fix eingestellt. Finde ich aber nicht
berauschend, da kein Test unter "realen Bedingungen". Aber so kann
ich zumindest mal schaun, dass das Routing am Krefix hinhaut und
trotzdem ab und zu direkt ins Internet, ohne Reboot vom Win. --
MichaelZacherl''
::: Irgendwelche Standard-Adressen muss man schliesslich auswählen.
Diese Adressen müssen auch in der Konfiguration verschiedener
Dienste angegeben werden, sind also nicht an einer zentralen Stelle
änderbar. Das hängt damit zusammen, daß wir ausschließlich die
Original-Konfigurationsdateien benutzen wollen und kein zentrales
Skript a la "Yast", das beim hochfahren alle Config-Dateien
durcheinanderwürfelt. Die betroffenen Files müsstest Du allerdings
mit '''grep "192.168" -r /etc ''' erfahren können (sollten so 3-4
sein). Wenn Du alle gleich änderst, sollte das kein Problem geben.

Definieren wir ein Minimum an Filterregeln vor? Derzeit ist nichts
drinnen (soweit ich es jedenfalls erkennen kann).

: ''Sollte in der 0.07 drin sein. Kennst Du ShoreWall? Dann ists
jetzt Zeit, da mal reinzuschauen.''
:: Shorewall ist über die iptables drübergelegt, d.h. sie definiert
nichts, was in iptables nicht auch geht - nur übersichtlicher!?
(Muss mich erst einlesen).
::: Ja, shorewall definiert letztlich auch nur iptables-Regeln.
Allerdings ist die Konfiguration sehr übersichtlich und logisch,
wenn man sich erstmal abgewöhnt hat, in iptabbles-Chains zu denken
und sich angewöhnt, in Zonen zu denken. -- ThomasBayen
:::: ''Und Troubleshooting in den chains ist nicht notwendig?'' -
MichaelZacherl
::::: Ich weiss jetzt nicht genau, was Du mit troubleshooting
meinst, aber ich habe ShoreWall auf drei unterschiedlichen Rechnern
laufen und habe noch nie Trouble gehabt. Ein "nachbearbeiten" der
Regeln von Hand war noch nie nötig (ist auch nicht ganz einfach,
weil die "Logik" von ShoreWall und iptables eine andere ist und Du
Dich erstmal zurechtfinden musst.

Definieren wir Hiding-NAT vor? Hängt von den Netzen ab (so
vordefiniert)?

: ''Ich nehme an, mit Hiding-NAT meinst Du das gleiche wie
Masquerading? Alle 192.168.x.x-Netze werden standardmässig in
Richtung ppp0 maskiert.''
:: ''Ich frag den NAT-Table und der weiss nix davon - mittlerweile
liegt die Vermutung nahe, dass du die 0.07er Version meintest, wo
das dann auch so ist. ;-)
MichaelZacherl'' Ja - ist erst mit ShoreWall in 0.07 (siehe
/etc/shorewall/masq) -- ThomasBayen

:'' Die Konfiguration der ShoreWall in der 0.07 ist noch nicht
abschliessend getestet. Wenn obige Angaben also so nicht stimmen
sollten, melden. Dann gibts eine 0.07a. :-(''
:: Na Freude ... allerdings bin ich der Meinung, du solltest die
0.07er rausschieben. Erstens will sehen, was Sache ist und
ausserdem haben wir noch 93 Releases bis zur 1.0er vor uns ;-)) 
:: Ausserdem wird's damit jetzt endlich spannend! -
MichaelZacherl
::: Wie denn rausschieben, wenn Du immer wieder Änderungen
vorschlägst. ;-) Ich wollte das Paket heute morgen bei SF
freigeben, da überzeugst Du mich eben, das wir ein Paket zur
Verschlüsselung von Dateien brauchen... Daraufhin habe ich gerade
mehrere Sekunden hart mir mir gekämpft, aber dann beschlossen, daß
das erst in die 0.08 kommt. Ausserdem wollte ich warten, ob Du mir
den Vollzug von PPTPoverDSL meldest, falls da noch was zu ändern
gewesen wäre. Aber egal - jetzt ist sie draussen. Damit sinds nur
noch 92! -- ThomasBayen
:::: ''Ja, tut mir sorry, ich kann immer nur in 10 Minuten
Abschnitten was tun, mehr is nich im Moment. Ausserdem muss ich
noch viel lesen ;-) -
MichaelZacherl''

=== Eigene Version von FranzLischka ===

FranzLischka und AndreasBeckermann haben einige Anfragen bezüglich
einer eigenen, angepassten Version von KrefixLinux abgegeben. Da
diese Diskussion sicherlich auch für andere interessant ist, habe
ich sie auf die Seite [KrefixLinux.KrefixAnpassungFuerFranz] geschrieben.