Wenn Sie über Links in unseren Artikeln einkaufen, erhalten wir eine kleine Provision. Das hat weder Einfluss auf unsere redaktionelle Unabhängigkeit noch auf den Kaufpreis.
Der eigene Linux-Server kann im 19-Zoll-Rack eines Hosters stehen oder aus einer Platine im Format eines Raspberry Pi bestehen: Sobald der Server an einem Netzwerk teilnimmt, sind Vorkehrungen zur Serversicherheit Pflicht.
Ein Linux-System ist nicht per se sicher, nur weil es den Linux-Kernel und bewährte Open-Source-Programme kombiniert. Ein System kann nur so nur sicher sein wie seine Konfiguration. Die größten Lücken werden nicht von genialen Hackern gerissen, sondern durch die Nachlässigkeit des Administrators.
Ein-Platinen-Computer wie der Raspberry Pi haben den Aufwand erheblich gesenkt, von zu Hause aus einen kleinen Linux-Server zu betreiben. Virtuelle Serverinstanzen bei Massenhostern erlauben den Betrieb eines Serversystems mit richtig schneller Internetanbindung für wenige Euro im Monat und bieten dabei volle Kontrolle für root – wie ein physikalisches System.
Sozialverträgliche Kosten bedeuten aber nicht, dass es damit auch einfach geworden ist, einen Server sicher zu betreiben. Auch wenn zum Serverbetrieb geeignete Linux-Distributionen wie Debian , Ubuntu Server , Open Suse oder Cent-OS mit einer sinnvollen Basiskonfiguration ausgeliefert werden, so müssen angehende Linux-Administratoren doch selbst einige Sicherheitsvorkehrungen treffen. Auch wenn der Server im Internet nur wenig Dienste für den eigenen Bedarf anbietet oder der heimische Miniserver nur an einer DSL-Leitung hängt und über eine dynamischen Hostadresse erreichbar ist, werden hin und wieder ungebetene Besucher anklopfen und Einlass begehren.
Dahinter stecken selten gezielte Angriffe, sondern automatisierte Scans, die nach dem Zufallsprinzip einen Adressbereich abklappern, um nach häufigen Sicherheitslücken und Einfallstoren zu suchen. Zu einfach sollte man es diesen Wegelagerern nicht machen, denn diese sind inzwischen gut vernetzt: Die Suchmaschine Shodan beispielsweise sucht mit Crawlern aktiv nach Routern, allen Sorten von Internet-of-Things-Geräten und von außen erreichbaren Raspberry-Pi-Platinen. Das Python-Script „ Autosploit “ kombiniert die Suchergebnisse von Shodan mit dem Metasploit-Framework und macht es so auch wenig versierten Hackern einfach, Exploit-Scripts gegen Hunderte von Adressen anzuwenden. Wer seinen Linux-Server korrekt konfiguriert und mit Updates versorgt, hat allerdings wenig zu befürchten.
1. Administration: Nur mit sudo
Ein fester Bestandteil jeder Linux-Distribution ist das von Unix geerbte sudo, kurz für „substitute user do“. Das Programm erlaubt einem Benutzer, Befehle im Kontext eines anderen Benutzerkontos auszuführen, beispielsweise als root. Der Vorteil: Eine Anmeldung als allmächtiger root-User ist dazu nicht nötig und sollte im Anschluss auch gleich deaktiviert werden. Für die Verwendung von sudo muss das root-Passwort nicht bekannt sein. Es genügt zur Systempflege ein gewöhnliches Benutzerkonto, das in der Konfiguration von sudo spezifiziert sein muss, um Programme und Befehle in der Shell gezielt mit root-Privilegien ausführen zu dürfen.
Tipp:Grundlegende Befehle für Linux-Server
Ubuntu brachte sudo einem großen Anwenderkreis näher, denn bei dieser Distribution ist es vorkonfiguriert und die Anmeldung als root ist schlicht deaktiviert, damit Anwender gar nicht erst auf die Idee kommen, den root-Account zu nutzen. Raspbian folgt diesem Beispiel und stattet den Standardbenutzer „pi“ mit sudo aus. Bei Cent-OS gibt es während der Installation die Option „Diesen Benutzer zum Administrator machen“ und bei Open Suse „Dieses Passwort für den Systemadministrator verwenden“, um das ersterstellte Benutzerkonto gleich für sudo freizuschalten.
Die Konfiguration von sudo liegt in der Datei „/etc/sudoers“ vor, wobei eine manuelle Anpassung dieser Datei mit dem Editorbefehl visudo erfolgen sollte, da dieser die korrekte Syntax beim Speichern überprüft. Über den root-Account ruft man den Editor zur ersten Konfiguration mit dem Kommando
su -c "visudo"
auf. Die Definition von Benutzerprivilegien erfolgt ganz am Ende der Datei nach dem folgenden Schema
[benutzer] ALL=(ALL:ALL)
wobei der Platzhalter „[benutzer]“ für den tatsächlichen Kontonamen steht. In Ubuntu/ Debian/Raspbian ist in der Datei schon die Gruppe „sudo“ eingetragen und es genügt, weitere Benutzer einfach mittels des Befehls
usermod -a -G sudo [Benutzername]
in diese Gruppe aufzunehmen, um sie damit für den Einsatz von sudo freizuschalten.
Cent-OS 7: Der erste angelegte Benutzer wird mit der Option „Diesen Benutzer zum Administrator machen“ für sudo freigeschaltet.
2. Tür zu! Kein Zugang für root
Server werden üblicherweise über SSH gepflegt, eine grafische Oberfläche direkt am Server oder über VNC ist eher die Ausnahme. Bei SSH kommt es darauf an, dass alle Benutzerkonten sichere, komplexe Passwörter haben. Standardaccounts wie root sollten über SSH nicht zugänglich sein, um es Angreifern nicht unnötig leicht zu machen (die mit „root“ schon mal einen Anmeldungsbestandteil, nämlich den Benutzernamen wüssten).
Damit man sich nicht selbst aussperrt, ist es wichtig, sich erst davon zu überzeugen, dass sudo funktioniert beziehungsweise su mit dem bekannten root-Passwort zum root-Konto wechselt. Besteht darüber kein Zweifel, kann man die Konfiguration des SSH-Diensts in der Datei „/etc/ssh/sshd_ config“ anpassen und mit der Zeile
PermitRootLogin no
die SSH-Anmeldung für root verbieten. Die Änderung ist nach einem Neustart des SSH-Dienstes aktiv, was beispielsweise in Debian/Raspbian/ Ubuntu der Befehl
sudo service ssh restart
erledigt. In den Distributionen Cent- OS und Open Suse lautet der Dienstname „sshd“ statt „ssh“.
Türsteher: Der SSH Guard
Automatisierte Angriffe per Wörterbuchattacken auf den SSH-Port des Servers prallen nach diesen ersten Maßnahmen schon zuverlässig ab. Bei mehreren Hundert gescheiterten Verbindungsversuchen täglich wird das Access-Logfile aber unübersichtlich. Dagegen ist ein Kraut gewachsen: SSH Guard ist ein Wächterdienst, der wiederholt gescheiterte Anmeldeversuche anhand deren ausgehender IP-Adresse abblockt und dabei auch IPv6 unterstützt. In Ubuntu, Debian und Raspbian ist der Dienst mit
sudo apt-get install sshguard
eingerichtet und sofort aktiv.
Reservierte Konten mit bekannten Namen wie „root“ sollten bei Linux-Servern im Internet über SSH gar nicht erst erreichbar sein.
3. Automatisierte und regelmäßige Updates
Ein Linux-System kann sehr sicher sein, solange es regelmäßig Updates erhält. Denn auch ein vorbildlich konfiguriertes Linux-System kann durch neu entdeckte Bugs angreifbar werden. Obwohl die Paketmanager ein Systemupdate sehr komfortabel machen, werden Aktualisierungen im Alltag aber doch gerne mal aufgeschoben. Für Server bietet sich eine unbeaufsichtigte Aktualisierung im Hintergrund an, die neue, als Sicherheitsupdates markierte Pakete regelmäßig einspielt.
Mit grafischer Oberfläche:
Viele unterschiedliche Linux-Oberflächen stehen bereit, aber alle stellen dem Nutzer auch die Kommandozeile zur Verfügung.
Oder nur mit der Shell:
Der Nutzer muss wie hier bei einer reiner Server-Distribution alle Kommandos mit Hilfe der Shell absetzen.
Installation ohne viel Grafik
Die Installation einiger Linux-Servers (hier die Ubuntu-Variante) bietet eine Oberfläche, die mittels einfacher Grafik leichter zu bedienen ist.
Setzen des Root-Kennworts:
Bei den Ubuntu-Distributionen ist zwar der Superuser angelegt, aber ihm muss noch mit Hilfe des “sudo”-Kommandos ein Passwort zugewiesen werden.
Linux-Dateisystem auf die grafische Art.
Linux-Distributionen, die mit einer grafischen Oberfläche arbeiten, stellen dem Nutzer in der Regel auch einen Dateimanager zur Verfügung.
Das Dateisystem aus der Sicht der Shell:
Wenn der Administrator nur mit der Shell arbeitet (hier in einem xterm-Fenster) kann er mit dem “ls”-Befehl eine erste Übersicht über das Dateisystem bekommen.
Hilfe immer direkt parat:
Durch den Einsatz des “man”-Kommandos kann der Nutzer jederzeit Hilfe zu den Linux-Befehlen finden und bekommt so beispielsweise auch die zu verwendenden Argumente eines Befehls aufgelistet
Zugriffsrechte im Dateisystem:
Der “ls”-Befehl zeigt dem Nutzer, wer welche Arbeiten auf eine Datei oder ein Verzeichnis ausführen darf. Mit Hilfe von “chmod” wurden hier die Zugriffsrechte für alle Nutzer auf “Nur lesen” gesetzt.
Prozesse im Griff mit dem “ps”-Befehl:
Der “ps”-Befehl kann auf fast allen Distributionen (hier unter Fedora Linux) mit unterschiedlichen Ausprägungen der übergebenen Argumente aufgerufen werden.
Debian, Raspbian und Ubuntu: Die Scripts für unbeaufsichtigte Updates installiert dieser Terminalbefehl:
sudo apt-get install unattended-upgrades
Danach verlangt das System nur noch kleinere Anpassungen. Rufen Sie das Konfigurationsscript mit
auf, und beantworten Sie die Rückfrage nach dem automatischen Herunterladen und Installieren mit „Ja“. Die benötigten Einträge für einen täglichen Cronjob, der um 6:25 Uhr ausgeführt wird, erstellt das Konfigurationsscript nun selbständig. Testen können Sie dies mit diesem Befehl:
sudo unattended-upgrades --dry-run -d
Debian-und Ubuntu-Systeme bieten dieses unkomplizierte Konfigurationsscript für regelmäßige, unbeaufsichtigte Aktualisierungen per Cronjob.
Die Logdatei „/var/log/unattended-upgrades/unattended-upgrades.log“ protokolliert die Updates. Eine komplette Distributionsaktualisierung, die auch geänderte Abhängigkeiten unter Paketen beachtet, müssen Sie hin und wieder mit
sudo apt-get dist-upgrade
manuell ausführen.
Ratgeber:Linux ist sicher – stimmt das wirklich?Cent-OS: Im Klon von Red Hat Enterprise Linux gibt es das Paket „yumcron“, das unbeaufsichtigte Updates aktiviert. Sie installieren es mit
sudo yum install yum-cron
und finden die zugehörige kommentierte Konfiguration unter „/etc/yum/ yum-cron.conf“. Per Standard holt das Script alle Aktualisierungen – nicht nur Sicherheitsupdates. Mit
schalten Sie den Dienst für Updates ein.
Open Suse: Egal ob Server oder Desktop – die Konfiguration eines Open-Suse-Systems erfolgt mit dem Tool Yast , das auch als textbasierte Version auf der Kommandozeile zur Verfügung steht. Um diese Version zu nutzen, installieren Sie zuerst mit dem Kommando
das Yast-Modul für automatische Updates und rufen dann Yast mit
sudo yast
in der Shell auf. Dann gehen Sie im Yast-Menü auf „Software -> Konfiguration der Online-Aktualisierung“ und schalten dort mit „Automatische Online- Aktualisierungen“ (Tastenkombination Alt-A) die Updates ein und wählen das Intervall. Voreingestellt sind wöchentliche Updates.
Firmware: Auch Server brauchen Updates
Ein oft unterschätztes Risiko sind die Router selbst, die zur Anbindung des heimischen Servers ans Internet dienen und damit den eingehenden Datenverkehr regeln und per NAT (Network Address Translation) an die Teilnehmer im lokalen Netzwerk vermitteln. Nicht selten schlummern in der Firmware älterer Router Sicherheitslücken, die Einbrüche von außen, von der Internetverbindung aus ermöglichen. Eine gravierende Lücke betrifft aktiviertes UPnP (Universal Plug and Play), mit dem der Router Geräten und Programmen im LAN erlaubt, Ports nach außen automatisch zu öffnen. Diese Lücken wurden 2013 bekannt, aus Sicherheitsgründen von den Entdeckern aber damals nicht veröffentlicht, da Millionen von Routern verwundbar waren, etwa der damals immens populäre Cisco Linksys WRT54GL .
Inzwischen hat sich der Schleier der Geheimhaltung gelüftet und die Studie von 2013 ist hier veröffentlicht. Alte Router, für die es seit Jahren kein Firmwareupdate mehr gab, sind schlimmstenfalls genau für die UPnP-Lücke anfällig und sollten ausgemustert werden.
Für die Kommandozeile gibt es unter dieser Serverdistribution das unkomplizierte textbasierte Werkzeug system-config-firewall-tui.
4. Paketfilter: Eigene Firewallregeln erstellen
Überflüssige Serverdienste mit offenen Ports sollten auf keinem System laufen. Trotzdem kann es vorkommen, dass eine versehentlich installierte oder noch nicht fertig eingerichtete Serverkomponente unerwünscht Ports öffnet. Dagegen hilft der Paketfilter von Linux, der sehr detaillierte Regeln für Netzwerkpakete erlaubt.
Debian, Raspbian und Ubuntu machen es heute mit dem Tool ufw einfach, Regeln für das nicht ganz triviale Kernel-Modul Iptables zu erstellen. Das Tool für die Kommandozeile ist mit
sudo apt-get install ufw
schnell installiert und hört auf eine sehr einfache Syntax. Um beispielsweise Verkehr von außen an die Ports 22 (SSH), 80 (HTTP) und 443 (HTTPS) durchzulassen, genügen diese drei einfachen Befehle:
Die Firewallkonfiguration wirkt anspruchsvoll, erlaubt aber auch die Auswahl von Diensten anhand des Namens.
Cent-OS: Auch von Red Hat gibt es ein Konfigurationstool für Iptables in der Kommandozeile, das über sudo yum install system-configfirewall-tui schnell installiert ist. Der Befehl
sudo system-config-firewall-tui
startet das recht bequeme Tool, das einfache Firewallregeln über Dienstnamen unter der Option „Anpassen“ aktivieren kann.
Open Suse: Eine Konfiguration für die Firewall ist in Yast von Haus aus enthalten und erfolgt über die Menüs von Yast im Textmodus. Die vergleichsweise umfangreichen Einstellungen öffnet das Menü „Sicherheit und Benutzer -> Firewall“. Unter „Erlaubte Dienste“ lassen sich gestattete Serverdienste per Namen hinzufügen, und über „Start“ wird die Firewall dann aktiviert.
Generell ist große Vorsicht geboten, dass zumindest SSH auf seinem Standardport 22 zur Fernwartung erlaubt ist und man sich nicht durch allzu strenge Regeln selbst aussperrt.
Router: Nur benötigte Ports öffnen
Wer heimische Datenserver nur im lokalen Netz betreibt, bietet keine Angriffsfläche via Internet. Sicherheitskritisch sind hingegen Linux-Server oder Platinenrechner, die zu Hause stehen und per Router ins Internet gehen. Deshalb kommt auch erst einmal die richtige Routerkonfiguration an die Reihe. Der Router ist es nämlich, der per Portweiterleitung den Zugang von außen auf einen Dienst im lokalen Netzwerk öffnet. Der Router dient zugleich als Firewall, die nur den Netzwerkverkehr auf die erlaubten Ports durchlassen soll. Einige Router bieten in ihrer Konfiguration die Möglichkeit, einen „Exposed Host“ beziehungsweise eine DMZ (Demilitarisierte Zone) einzurichten, um alle Anfragen ungefiltert an die angegebene Serveradresse im lokalen Netzwerk weiterzuleiten.
Diese Lösung scheint bequem, da man sich dann über die einzelnen Ports angebotener Dienste keine Gedanken machen muss. Sie kommt aber keinesfalls in Betracht: Der Server wäre damit völlig exponiert – ein unnötiges Risiko. Deshalb leitet man via Router besser ganz gezielt jene Ports an den Server im heimischen Netzwerk weiter, die dieser auch wirklich bedienen soll: Für den Wartungszugang per SSH brauchen Sie nur eine Weiterleitung von Port 22, HTTP verlangt Port 80 und HTTPS Port 443. Die Konfiguration einer Firewall mit iptables oder einem Hilfsprogramm wie ufw auf dem Linux-System kann dann entfallen.
5. Logwatch: Die Logdateien im Blick
Jedes Linux-System protokolliert etliche Prozesse und Leistungsdaten in seinem Logsystem und hilft damit bei der Problemanalyse. Weil es nicht einfach ist, alle relevanten Logs stets im Auge zu behalten, gibt es das Tool logwatch, das einen verkürzten Bericht als Zusammenfassung erstellt und per Mail an einen Empfänger senden kann. Empfehlenswert ist die Einrichtung dieser Berichte bei Servern, die wichtige Aufgaben erfüllen. Bei reinen Heimservern grenzt der Einsatz von logwatch dagegen schon an paranoiden Overkill.
Das Perl-Programm logwatch schickt täglich diese kurze Zusammenfassung der Serverlogs an die angegebene Mailadresse – empfehlenswert für wichtige Server.
Debian, Raspbian, Ubuntu, Cent- OS und Open Suse bieten alle das Paket „logwatch“ in ihren Paketquellen. In Debian und seinen Derivaten wird es beispielsweise mit
sudo apt-get install logwatch
installiert. In seinen Standardeinstellungen trägt sich logwatch als täglicher Cronjob unter „/etc/cron.daily“ ein und legt seine Konfiguration unter „/usr/share/logwatch/default.conf/logwatch. conf“ ab. Diese Konfigurationsdatei gilt es noch anzupassen. Öffnen Sie die Datei mit sudo in einen Texteditor, gehen Sie zur Zeile „MailTo = root“ und tragen Sie statt root die gewünschte E-Mail-Adresse ein.
Webbrowser weisen deutlich darauf hin, wenn ein Zertifikat keine CA-Signatur hat.
Es ist inzwischen zum großen Tabu geworden, im Internet mit unverschlüsselten Login-Daten zu arbeiten. Unverschlüsselte Protokolle wie FTP zur Datenübertragung oder HTTP zur Anmeldung auf Webseiten sind ein hohes Risiko.
Wer vom heimischen Server aus Webdienste anbietet, die ein Log-in erfordern, muss unbedingt auf die Verschlüsselung per HTTPS achten. Dazu benötigt der Webserver ein SSL-Zertifikat, das in die Webserver-Konfiguration eingebunden wird. Für den Eigenbedarf reicht ein selbst signiertes Zertifikat aus, das man sich selbst ausstellen kann. Bei dynamischen Domainnamen für den Router gibt es sowieso keine zuverlässige Alternative, da man dafür nicht einfach SSL-Zertifikate bekommt. Auf einem Ubuntu/Debian/Raspbian statten folgende Schritte einen Apache-2-Webserver mit einem selbst signierten Zertifikat und mit HTTPS aus:
1. Das selbst signierte Zertifikat und dessen Dateien erstellt dieser Befehl:
Das dabei angezeigte Frageformular können Sie mit beliebigen Angaben ausfüllen.
2. Der Webserver Apache liefert schon eine Standardkonfiguration für SSL mit, die in der Datei „/etc/apache2/sites-available/ default-ssl“ vorliegt. Mit einem beliebigen Texteditor wie Nano tauschen Sie die Zeile
3. Die gerade bearbeitete und gespeicherte Datei „default-ssl“ repräsentiert in Apache eine neue „Site“, die dann folgendes Kommando aktiviert:
sudo a2ensite default-ssl
4. Bevor Apache einen Port für HTTPS öffnen kann, müssen Sie noch das SSL-Modul von Apache mit dem Kommando
sudo a2enmod ssl
einschalten und anschließend den Webserver selbst mit
sudo service apache2 force-reload
neu starten. Falls ein Konfigurationsfehler auftritt, wird sich Apache jetzt mit einer Meldung beschweren. Die Warnung „Could not reliably determine the server’s fully qualified domain name“ kann man indes ignorieren.
5. Bei einem ersten Aufruf des Webservers mit einem Browser über „https://[Server- Adresse]“ zeigt der Browser einen Warnhinweis über ein ungültiges Zertifikat an. Denn das eigene Zertifikat ist nicht durch eine zentrale Zertifizierungsstelle (CA) signiert und aktuelle Webbrowser stufen die Verbindung zunächst daher als nicht vertrauenswürdig ein.
Die Verbindung ist aber trotzdem sicher verschlüsselt. In den üblichen Browsern wie Firefox und Chrome/Chromium müssen Sie nur einmalig eine Ausnahme für das eigene Zertifikat und für den genutzten Domainnamen gestatten.
7. Unbeschränkte Zugriffsrechte finden
Ein Schritt, der sich am Ende der gesamten Serverkonfiguration empfiehlt, wenn bereits der Webserver und alle Dienste laufen, ist eine systematische Suche nach Dateien und Verzeichnissen mit zu laxen Zugriffsrechten. Wer keine Gruppen für gemeinsame Zugriffsrechte für Verzeichnisse und Dateien einrichtet, behilft sich oft mit einer simplen, aber unsicheren Abkürzung: Dateien bekommen kurzerhand die Zugriffsrechte 666 oder gar 777 zugewiesen und Verzeichnisse die Rechte 777. Damit sind Lese- und Schreibberechtigungen effektiv ausgehebelt, da alle Welt Vollzugriff auf diese Dateisystemobjekte hat.
Auf einem Server ist dies keine gute Idee und schlicht ein Konfigurationsfehler, auch wenn nachlässig geschriebene Anleitungen diese Rechte oft empfehlen. Denn auch unprivilegierte Benutzer und eigentlich abgeschottete Serverdienste könnten diese Dateien und Verzeichnisse manipulieren. Sie können Dateien und Verzeichnisse mit unbeschränkten Zugriffsrechten einfach ausfindig machen und benötigen dazu noch nicht mal root-Rechte.
Das Kommando
find / -path /proc -prune -o -type f -perm 666
findet alle Dateien im gesamten Dateisystem, ausgenommen „/proc“, die von allen gelesen und beschrieben werden dürfen. Ferner listet
find / -path /proc -prune -o -type f -perm 777
alle Dateien auf, die dazu noch ausführbar sind. Genauso findet
find / -path /proc -prune -o -type d -perm 777
Verzeichnisse, die zum Lesen und Schreiben offenstehen.
Anstatt für Dateien und Verzeichnisse uneingeschränkten Vollzugriff zu setzen, ist es besser, Gruppen für gemeinsam genutzte Dateien zu verwenden. Der Befehl
chgrp [Gruppe] [Datei/Verzeichnis]
ändert die Gruppe für Dateisystemobjekte. Für den Vollzugriff für Besitzer und Gruppe genügen dann bei Verzeichnissen die Rechte 770 sowie bei Dateien 660.
Zum Abschluss: Wenn Ihnen dieser Beitrag geholfen hat, interessieren Sie sich vielleicht auch für die umgekehrte Perspektive: Nicht was man tun sollte, um einen Linux-Server abzusichern, sondern welche Fehler man auch vermeiden sollte, wird in diesem Ratgeber erklärt.
Serveradministration: Pannen und Sünden
Auch wenn es absolute Sicherheit auf Servern mit Internetanbindung nicht gibt, so sollte man es potenziellen Angreifern so schwer wie möglich machen. Die folgenden Konfigurationspannen treten häufiger auf, oft erst nach längerer Laufzeit im Dauerbetrieb.
– Einfache Passwörter: Alle Passwörter, nicht nur jene von root, müssen ausreichend komplex sein.
– Keine Updates: Auch wenn es selten vorkommt, so hat auch bewährte Open-Source-Software bisweilen Sicherheitslücken. Regelmäßige Updates des Systems sind Pflicht.
– Unverschlüsselte Protokolle: Sobald Benutzer-Log-ins übertragen werden, darf dies nur über verschlüsselnde Protokolle wie SSH, HTTPS oder bei Dateiübertragung per SFTP geschehen.
– Obsolete Linux-Distributionen: Reguläre Distributionen erreichen schon nach wenigen Monaten das Ende ihres Wartungszyklus. Für Server kommen deshalb nur Distributionen mit Langzeitsupport in Frage.
– PHP-Software zu alt: PHP hat sich als schnell zu erlernende Script-Sprache im Web durchgesetzt, aber Sicherheit bekommt von den PHP-Entwicklern, wenn überhaupt, oft nur wenig Aufmerksamkeit. Jedes PHP-Projekt muss akribisch auf dem neusten Stand gehalten werden.
– Ungepflegte Webserver: Vergessene Konfigurationsdateien, unsichere Zugriffsrechte auf Verzeichnisse oder fehlende SSL-Zertifikate lassen einen Webserver zu viel ausplaudern.
– Offenstehende Datenbanken: Eine Menge PHP-Projekte laufen mit einer Datenbank wie Maria DB oder My SQL im Rücken. Auch die Konten der Datenbank inklusive Datenbank-Rootzugang brauchen ein sicheres Passwort.
AntiX Linux: Oldie-gerecht
Ein sehr ressourcenschonendes Debian-Derivat und auch für antike Rechner geeignet. AntiX Linux beansprucht 256 MB RAM sollte vorhanden sein, ein Pentium-3-Prozessor sollte ausreichen. Als Fenster-Manager ist Fluxbox vorhanden. Für Web-Surfer steht der Iceweasel-Browser bereit, Debians Version des Firefox-Browsers.AntiX Linux: Oldie-gerecht
Aptosid (ehemals: Sidux)
Ist eine Debian-Variante für Desktop-Anwender, die anders als das klassische Debian besonders aktuelle Pakete bereitstellt. Ehemals als Sidux bezeichnet.Aptosid (ehemals: Sidux)
Arch Linux
Sehr einfach gehaltene Distributionen für fortgeschrittene Anwender.Arch Linux
AppArmor: Sicherheitserweiterung
Das Sicherheitssystem AppArmor war Novells Alternative zu SELinux. Dabei handelt es sich um die ursprüngliche Sicherheitslösung Subdomain, die Novell aufkaufte und seinerzeit in Opensuse integrierte. Heute sind die Sicherheitsfunktionen von AppArmor Bestandteil von verschiedenen Linux-Distributionen unter anderem Opensuse und Ubuntu. Mit AppArmor können die Rechte von Anwendungen genauer verwaltet werden.AppArmor: Sicherheitserweiterung
Bodhi Linux
Ein sehr schlankes Linux für ältere Hardware ist Bodhi Linux. Es verwendet als Desktop-Umgebung Enlightment und kommt mit 128 MB Arbeitsspeicher und einem 300-MHz-Prozessor zurecht.Bodhi Linux
Backbox
Backbox ist eine auf Ubuntu basierende Linux-Live-Distribution für Sicherheitstests. Mit XFCE-Desktop. Vor allem aber mit einer übersichtlichen Auswahl an Sicherheits-Tools.Backbox
BSD und FreeBSD: Unix-Derivate
Hierbei handelt es sich Unix-artige Betriebssysteme, die über einen eigenen von Linux unabhängigen Entwicklungszweig verfügen. Die Berkeley Software Distribution (BSD) entstand in den 1970er Jahren an der Universität von Berkeley als Weiterentwicklung von Unix. Prominenter Zögling: MacOS X basiert auf BSD. Diverse Prozessorplattformen werden unterstützt. Alle gängigen Linux-Programme und Oberflächen (wie Gnome) laufen auch unter FreeBSD/BSD. Das signifikante Markenzeichen von FreeBSD ist das rote Teufelchen.FreeBSD und BSD: Unix-Derivate
CentOS: RHEL-kompatibel
Das Community Enterprise Operating System basiert auf Red Hat Enterprise Linux (RHEL) von Red Hat, wird aber von einer Community entwickelt. Centos wird vor allem auf Servern eingesetzt.CentOS: RHEL-kompatibel
Clonezilla
Live-System zum Klonen/Kopieren von Partitionen.Clonezilla
ClearOS Community
Eine bekannte Distribution für kleine Unternehmen ist ClearOS. Basiert auf CentOS. ClearOS
Damn Small Linux (DSL): Verdammt klein
Sehr schlankes System für USB-Sticks und alte Rechner sowie als virtuelles System. Damn Small Linux (DSL) baut auf Knoppix auf. Das Boot-Image verlangt nach 50 MB Speicherplatz, für den Betrieb sind 128 MB RAM erforderlich. Als http-Server steht der Monkey HTTP Daemon zur Verfügung, für FTP-Downloads gibt es den BetaFTP-Server. Zur weiteren Ausstattung gehören eine Bürosuite, ein Datei-Manager sowie ein Dateibetrachter für Windows-Dokumente und PDF-Files. Als Mediaplayer tut XMMS seinen Dienst.Damn Small Linux (DSL): Verdammt klein
Debian GNU/Linux: Profi-System für Server
Der Veteran unter den Linux-Distribution und immer noch erste Wahl für ein professionelles Serversystem. Neue Versionen von Debian erscheinen nur in relativ großen Abständen. Als grafische Oberfläche kommt Debian standardmäßig mit Gnome. Debian GNU/Linux ist unter anderem die Basis für Ubuntu, aber auch für SteamOS. Auch als Live-System zum gefahrlosen Testen ist Debian mittlerweile erhältlich. Debian GNU/Linux umfasst ausschließlich freie Software. Wer zum ersten Mal Debian installiert, sucht selbst Firefox und Thunderbird vergeblich, zumindest auf dem ersten Blick. Denn aufgrund von Namensstreitigkeiten heißt der Mozilla-Browser Iceweasel und der Mailclient Icedove. Als Paketmanager kommen dpkg und deb zum Einsatz, für die es mit apt, aptitude und synaptic bequeme Frontends gibt.Debian GNU/Linux: Profi-System für Server
DEFT
Mit dem “Digital Evidence & Forensic Toolkit” DEFT können Forensiker Eindringlinge auspüren und deren spuren sichern. Dafür besitzt es diverse Tools zur Datenanalyse und Wiederherstellung. Die Grundlage des Live-Systems ist ebenfalls Ubuntu.DEFT
Devil-Linux: Firewall- und Routersystem
Devil-Linux läuft komplett von CD-ROM oder SSD. Die Konfigurationsdaten können auf eine Diskette oder auf einen USB-Stick gespeichert werden. Der Zweck von Devil-Linux: Eine Firewall beziehungsweise einen Router aufsetzen. Devil-Linux wird also typischerweise auf einen separaten Rechner-(Oldie) verwendet, der dem eigentlichen PC oder dem eigenen LAN vorgeschaltet ist. Aber auch ein Server lässt sich mit Devil-Linux umsetzen.Devil-Linux: Firewall- und Routersystem
Easy Peasy: Linux für Netbooks
Für Netbooks angepasstes Ubuntusystem. Die letzte neue Version liegt aber schon lange zurück. Easy Peasy: Linux für Netbooks
Edubuntu: Linux zum Lernen
Edubuntu ist eine Ubuntu-Variante, die um spezielle Lernsoftware erweitert wurde. Wie Gcompris, TuxPaint, TuxMath und TuxTyping. Edubuntu wird immer nahezu zeitgleich mit Ubuntu aktualisiert, es erscheinen also neue Releases im Frühjahr und im Herbst. Aktuell ist Edubuntu 14.04.2 LTS.Edubuntu: Linux zum Lernen
elementary OS
Elementary OS basiert auf Ubuntu und will eine Art MacOS-Optik bieten. Als Desktop-Umgebung kommt Pantheon zum Einsatz. Installer, Software-Center und viele Systemkomponenten stammen von Ubuntu. Allerdings ist die Auswahl der Anwendungsprogramme etwas anders als unter Ubuntu: So kommt beispielsweise Midori als Browser zum Einsatz. Elementary OS ist ein relativ schlankes System mit schicker Optik, das sich sowohl zur Festinstallation auf einem PC als auch als portables System eignet. Tuxedo liefert das Slim-Notebook Infinitybook standardmäßig mit ElementaryOS aus. Im Unterschied zu Ubuntu bietet ElementaryOS aber nicht sofort den Download der passenden Video-Codecs an, wenn man erstmals ein Video abspielen will.Elementary OS auf dem Infinitybook
Fedora: Fortschrittlich
Fedora ist die Community-basierte Variante von Red Hat Linux. Vom US-Unternehmen Red Hat selbst kommt heute nur noch die für den professionellen Einsatz gedachten Linux-Systeme wie Red Hat Enterprise Linux, die Trennung ist hier also ähnlich wie bei Opensuse/Novell Suse. Red Hat und Fedora arbeiten bei der Weiterentwicklung aber eng zusammen. Aktuell ist Fedora 24 mit Gnome 3.20.Fedora implementiert relativ schnell technische Neuerungen und gilt deshalb als fortschrittliche Linux-Distribution. Von Red Hat stammt auch der unter Linux weit verbreitete RPM Package Manager alias Red Hat Paket Manager, mit dem oft Software für Linux bereit gestellt wird. Auch Opensuse, PCLInuxOS, CentOS und Mandriva benutzen RPM (wobei unter Opensuse die Paketverwaltung meist über das grafische Frontend YAST erfolgt), Debian dagegen setzt auf dpkg und deb. Fedora verwendet nach wie vor Gnome als standardmäßige Benutzeroberfläche. Fedora: Fortschrittlich
Freetz-Linux
Linuxsystem für Virtualbox, in dem sich die Fritzbox-Firmware erstellen lässt.Freetz-Linux
FreeNAS
Einen zentralen Speicherplatz im Netzwerk können Sie mit FreeNAS einrichten. FreeNAS
Gentoo Linux: Für Hardcore-User
Diese Linux-Distribution richtet sich an Anwender, die ihr Linux möglichst individuell einrichten wollen. Dafür steht Gentoo in erster Linie in noch nicht kompilierten Paketen bereit, die dann erst auf dem Zielsystem übersetzt und so optimal an dieses angepasst werden. Durch die Bank sind manuelle Eingriffe bei der Installation und Konfiguration erforderlich. Dafür sind zwangsläufig gründliche Fachkenntnisse von Linux nötig, für Einsteiger ist Gentoo also die falsche Wahl. Dagegen Ideal für Tüftler und wissbegierige Techniker.Gentoo Linux: Für Hardcore-User
Parted Magic: Partitioniert Datenträger
Mit Parted Magic und dem darin enthaltenen Gparted können Sie Datenträger partitionieren. Es wird von CD oder USB-Stick gestartet. Partitionen können verlustfrei vergrößert und verkleinert werden. Als Editor dienen die Klassiker Vim oder Nano. Als Fenster-Manager kommt ein reduziertes Fluxbox zum Einsatz. Parted Magic: Partitioniert Datenträger
Grml ist ein Live-System auf Knoppix/Debian-Basis für Administratoren. Der lautmalerische Titel dieser Profi-Linux-Distribution bringt zum Ausdruck, was Grml vermeiden helfen soll: Ein ärgerliches Grummeln des Admins. Dafür hat es unzählige Profi-Tools mit an Bord, mit denen der Linux-Administrator Schwachstellen und Probleme, beispielsweise im Netzwerk aufspüren soll. Standardmäßig laufen verschiedene Shells und mehrere Systemmonitore.Grml: Linux für Administratoren
IPFire: Firewall
IPFire ist eine kostenlose auf Linux basierende Firewall, mit der Sie Ihr Heim-Netzwerk absichern können. Die Filterregeln lassen sich differenziert einstellen. IPFire unterstützt OpenSSL, OpenSSH, Apache, Squid, Snort, collectd, ntfs-3g, Openswan, Updatexlrator, iptables und l7protocols und S.M.A.R.T (Self-Monitoring, Analysis and Reporting Technology) zur Überwachung der Festplatten. Sie können IPFire als separate Firewall problemlos auf einem Rechner-Oldie aufsetzen, den Sie ungenutzt herumstehen haben. IPFire: Firewall
Linux SME
Der Server bietet eine zentrale Datenablage, eine Benutzerverwaltung, E-Mail-Server mit Viren- und Spamschutz sowie den Webserver Apache und einen Faxserver.Linux SME
IPCop
Mit IPCop setzen Sie eine Firewall auf einem separaten Rechner auf. Mit Proxyserver auf Squid-Basis und DHCP-Server. Optional stehen auch Intrusion Detection (SNORT) und VPN zur Verfügung. IPCop
Kali Linux
Eine auf Debian basierende Linux-Version,mit der man die Sicherheit eines Systems testen kann. Nachfolger des bekannten Backtrack Linux. Kali umfasst eine Reihe von Programmen, die man als Hackertools bezeichnen kann und mit denen sich Verschlüsselungen knacken und Netzwerkverbindungen manipulieren lassen. Kali Linux
Knoppix: Die Mutter aller Live-Systeme
Das Rettungs- und Live-System schlechthin. Knoppix bedient sich der Debian-Distribution und bietet eine umfangreiche Hardware-Unterstützung. Als Desktop kommt der schlanke LXDE zum Einsatz. Knoppix ist zwar für den Einsatz von CD oder USB-Stick gedacht, kann aber auch jederzeit fest auf den PC installiert werden. Knoppix: Die Mutter aller Live-Systeme
Linux Mint: Schicke Optik
Schicke Ubuntu-Variante mit eigenen Konfigurationstools. Bei der Beliebtheit läuft Mint Ubuntu zunehmend den Rang ab. Mittlerweile gilt Mint auf Desktop-Rechnern als weiter verbreitet als Ubuntu. Mint besitzt mit Cinnamon eine eigene Desktop-Oberfläche. Zudem verfügt Mint über eigene Systemtools wie das Backup-Programm MintBackup. Neben der bekanntesten Mint-Version, die auf Ubuntu basiert, gibt es mit Linux Mint Debian Edition (LMDE) auch eine auf Debian basierende Mint-Variante. Aktuell ist Linux Mint Cinnamon 18. Als Unterbau dient Ubuntu 16.04 LTS.Linux Mint: Schicke Optik
Mageia
Endanwender-Distribution, die ebenfalls zur Red-Hat-Familie gehört. Guter Installationsassistent. Stammt von Mandriva ab, hat diese bei der Verbreitung aber längst überholt.Mageia
Mandriva: Linux aus Frankreich
Das Linux-System aus Frankreich. Es gilt als besonders einsteigerfreundlich. Ursprünglich wurde Mandriva unter dem Namen Mandrake von Mandrakesoft entwickelt. Als sich Mandrakesoft mit Conectiva zusammenschloss, entstand Mandriva. Technisch stammt es von Red Hat ab von dem es auch den Paketmanager RPM geerbet hat. Mittlerweile ist Mandriva jedoch ziemlich out, es versucht neuerdings als OpenMandriva Lx zu überleben. Stattdessen gewinnt die Abspaltung Mageia Anhänger.OpenMandriva: Linux aus Frankreich
Manjaro
Eine auf Arch Linux basierende Distribution. Mit Rolling Release: Man muss das einmal installierte Manjaro nie mehr durch eine neue Version ersetzen, sondern es aktualisiert sich fortlaufend.Manjaro
Smallwall und t1n1wall (Monowall): Firewall
Falls Sie einen Rechner übrig haben, den Sie als Internet-Gateway einsetzen wollen, konnten Sie lange Zeit die Firewall Monowall darauf installieren. Monowall war Open-Source und basierte auf FreeBSD. Sie starteten einfach den Rechner mit der m0n0wall CD und richteten die Firewall per Text-Menü ein, indem Sie die Netzwerkkarten und die IP-Nummer einstellten. Danach konnten Sie die Firewall über das Web-Interface weiter einrichten und steuern. Die Konfiguration konnte dann als XML Datei auf einer Diskette gespeichert werden. Monowall wurde aber 2015 eingestellt. Als Nachfolger werden Smallwall und t1n1wall empfohlen.Smallwall: Firewall
Opensuse: (Ehemals) made in Germany
In Deutschland dürfte Opensuse immer noch eine der bekanntesten Linux-Distributionen sein, dementsprechend viele Communites gibt es zu Opensuse. Das einst in Nürnberg entwickelte und von Novell aufgekaufte Suse hat aber einiges an Popularität eingebüßt. Novell pflegte seinerzeit neben der professionellen Unternehmensversion SUSE Linux Enterprise Desktop (SLED) und die Servervariante SUSE Linux Enterprise Server (SLES) auch die Community-Variante Opensuse, die eine Vielzahl von Prozessorplattformen unterstützt. Attachmate kaufte schließlich Novell. Während Opensuse als Community-Projekt weiter betrieben wird, bringt Attachmate mit SLED und SLES (für den Server) auch kommerzielle Versionen von Suse-Linux heraus.Die Besonderheit an Opensuse ist bis heute das umfangreiche Konfigurationswerkzeug YAST (Yet another Setup Tool). Als grafische Oberfläche kommt traditionell KDE zum Einsatz, Gnome lässt sich aber auch jederzeit installieren. Wie jede große Distribution bietet Opensuse bereits bei der Installation eine Vielzahl von Paketen an. Opensuse: (Ehemals) made in Germany
Open Elec
Multimedia-Linux-Distribution mit dem Player XBMC – es handelt sich also um eine Mediacenter-Software.Open Elec
PCLinuxOS
Geht ursprünglich auf Mandrake zurück und wurde speziell für den Desktopeinsatz optimiert. Gilt als einfach und benutzerfreundlich.PCLinuxOS
Pidora
Fedora-Variante für die Installation auf dem Mini-PC Raspberry Pi.Pidora
Porteus
Porteus ist ein auf Slackware basierendes Linuxsystem, das in erster Linie für das Surfen im Internet entwickelt wurde. Unter anderem sind Firefox mit Flash-Plugin, ein Datei-Manager, Messenger und Dokumenten-Viewer mit an Bord. Das Partitionierprogramm Gparted gehört ebenfalls zur Ausstattung. Die Porteus-Version mit dem schlanken XFCE als Desktop-Oberfläche ist als ISO nur 157 MB groß und lässt sich problemlos von USB-Stick oder SD-Karte starte. Die Hardwarevoraussetzungen sind sehr einfach gehalten: 800-MHz-CPU und 256 MB RAM.Porteus
Privatix: Besonders sicheres Linux
Ein besonders sicheres mobiles System für den USB-Stick, das mit Verschlüsselungstechniken (für Daten und Mails) und Tools zum anonymen Surfen glänzt. Es eignet sich hervorragend dafür, von fremden Rechnern aus zu surfen. Die technische Grundlage ist Debian.Privatix: Besonders sicheres Linux
Puppy Linux: Klein aber fein
Sehr schlankes Live-System für USB-Sticks und alte Rechner. Das Boot-Image ist knapp 100 MB groß. Puppy Linux: Klein aber fein
QNX: Echtzeitsystem mit Mikrokernel
QNX ist ein sehr schlankes Echtzeit-Mikrokernelsystem (Real Time Operating System). Es verfügt über eine eigene grafische Oberfläche namens Photon microGUI. Server, Browser und einige Programme gehören zur Ausstattung.Ein Microkernelsystem besteht aus vielen kleinen Teilprogrammen, die nach Bedarf geladen werden und jeweils geschützte Speicherbereiche nutzen. Mikrokernelsysteme eignen sich gut zur Gerätesteuerung, der typische Einsatzzwecke ist also der Embedded-Bereich und die Automatensteuerung. Zunehmend kommt QNX auch in modernen Autos wie von Ford als Basis für deren Infotainmentsysteme zum Einsatz.QNX: Echtzeitsystem mit Mikrokernel
Raspbian
Debian-Variante für die Installation auf dem Mini-PC Raspberry Pi. Hier die Variante Raspbian Mate.Raspbian
Die OpenSource-Software bietet eine zentrale Datenablage. Windows-Clients lassen sich mit Samba 4 anbinden, die Verwaltung erfolgt über eine grafische Oberfläche. DNS-Server und ein DHCP-Server sind ebenfalls vorhanden.Resara
OSMC ist eine Mediacenter-Linux-Distribution für Raspberry Pi, Vero und Apple TV. Basiert auf Raspbian. Damit kann der Raspberry PI nicht nur als Mediacentrale, sondern auch als normaler PC genutzt werden. OSMC ersetzte Rasp BMC.OSMC
Redo Backup
Redo Backup bietet mit Partclone ein Open-Source-Programm für das Backup von Partitionen. Es stellt eine leichter bedienbare Alternative zu Clonezilla dar.Redo Backup
Sabayon lite MCE Edition
Eine auf Gentoo Linux basierende Multimedia-Distribution mit Media Center. Dabei handelt es sich um ein Live-System, das sich jederzeit fest installieren lässt.Sabayon lite MCE Edition
SELinux: Sicherheitserweiterung vom US-Geheimdienst
Hierbei handelt es sich nicht um eine Distribution im eigentlichen Sinn, sondern um eine Kernelerweiterung von Linux, die von Red Hat maßgeblich entwickelt wird und ursprünglich von dem US-Geheimdienst NSA stammt. Mittlerweile ist SELinux aber Open Source. Der Kernel soll mit SELinux die Ausführung von Programmen anhand von Regeln überwachen. Regelverstöße werden protokolliert und verhindert. SELinux überwacht aber nur bestimmte Netzwerkdienste wie Apache, Samba, CUPS etc. Damit SELinux auch tatsächlich einen Sicherheitsgewinn bringt, müssen die Regeln aber komplex und richtig erstellt werden, was Linux-Einsteiger überfordert.SELinux: Sicherheitserweiterung vom US-Geheimdienst
SteamOS
Der Spiele-Hersteller Valve hat mit SteamOS ein Linux-System entwickelt, das nur einen Zweck hat: Spielen. SteamOS basiert auf Debian. Sie können damit aus einem normalen PC eine Steam Machine bauen. Falls Sie aus Ihrem PC keine reine Steam Machine machen wollen, gibt es eine Alternative: Neben Steam OS gibt es nämlich auch einen separaten Steam Client zum Nachinstallieren, mit dem einen Linux-Rechner Steam-Spiele-tauglich machen können. Valve empfiehlt den Steam Client auf einem Ubuntu-System zu installieren. Im Test klappte das bei uns reibungslos.SteamOS
SimplyMepis
Eine einsteigerfreundliche Variante von Linux, die auf Debian basiert.SimplyMepis
Skolelinux alias Debian-Edu
Eine angepasste Debian-Variante, die sich besonders für den Einsatz in Schulen eignen soll. Basiert auf Debian, weshalb diese Linux-Distribution auch als Debian-Edu
bezeichnet wird.Skolelinux
Slackware: Dinosaurier-Linux
Slackware ist die Mutter vieler heute gängige Linux-Distributionen und somit ein absoluter Veteran. Die Distribution ist bewusst schlank gehalten und wendet sich an Linux-Profis, Einsteiger und Windows-Umsteiger dürften mit Slackware durchaus Probleme haben, zumal die Kommandozeile bei Slackware die Schaltzentrale schlechthin darstellt (obwohl natürlich alle gängigen grafische Oberflächen vorhanden sind). Bildete die Basis für Suse.Slackware: Dinosaurier-Linux
SliTaz Linux: Oldie-gerecht
Sehr ressourcenschonend und damit auch für antike Rechner geeignet. Das Boot-Image von SliTaz Linux wurde dank der Kompressionsverfahren Gzip und LZMA, sowie durch die Reduzierung auf das nach Einschätzung der Entwickler Nötigste auf 30 MB reduziert. SliTaz Linux: Oldie-gerecht
StressLinux
Damit können Sie einen Server oder einen Linux-Rechner einen Belastungstest unterziehen. Es basiert auf einer Opensuse-Live-CD.StressLinux
SystemRescueCD: Rettet Daten
Ein auf Gentoo basierendes Notfallsystem, um auf ein defektes Betriebssystem zugreifen zu können. SystemsRescueCD stellt GParted sowie die Tools Partimage, TestDisk und den Norton Commander-Klon Midnight Commander zur Verfügung. Es erkennt die meisten Linux-Dateisysteme wie ext2, ext3, reiser3, jfs und xfs sowie einige Exoten etwa reiser4, ext4 und btrfs und natürlich FAT, FAT 32 und NTFS. Insgesamt ist der Ausstattungsumfang größer als bei GParted Live.SystemRescueCD: Rettet Daten
Tor und Tails
Die Linux-Live-Distribution Tails ermöglicht das anonyme Surfen im Web. Wobei jedoch jedem Anwender von Tor spätestens seit der NSA-Affäre klar sein muss, dass es für Geheimdienste durchaus Möglichkeiten gibt, eine IP-Adresse zurückzuverfolgen. In Tails ins Tor bereits vorkonfiguriert. Das ISO-Image können Sie auf eine DVD oder auf einen USB-Stick installieren. Sie können Tor aber auch auf jeder anderen Linux-Distribution wie beispielsweise Ubuntu nutzen, indem Sie einfach das Tor-Paket installieren.Tor und Tails
Ubuntu und Derivate für Server, Netbooks und Home Entertainment
Ubuntu war lange Zeit der Senkrechtstarter unter den Linux-Distributionen und dürfte weltweit das bekannteste Linux-Betriebssystem sein. Allerdings ging Hersteller Canonical zuletzt einige Sonderwege, wodurch Ubuntu prompt Anhänger verlor – überwiegend wohl an das Ubuntu-Derivat Linux Mint. Ubuntu basiert auf dem bewährten Debian, wird aber deutlich flotter weiterentwickelt und trumpft besonders bei der Hardwareerkennung und der Benutzerfreundlichkeit auf. Ubuntu wird kostenlos zur Verfügung gestellt. Hinter der Distribution steht das bereits erwähnte Canonical, ein Unternehmen des südafrikanischen Millionärs Mark Shuttleworth. Jeweils im April und Oktober erscheint eine neue Version von Ubuntu, die Versionen heißen demnach immer x.04 und x.10. Neben der klassischen Desktop-Variante mit der Eigenentwicklung Unity als Oberfläche gibt es auch Ubuntu Server (inklusive AppArmor und ohne grafische Oberfläche) und diverse Varianten mit KDE und Gnome sowie Xfce. Ubuntu und Derivate für Server, Netbooks und Home Entertainment
Kodi
Mit Kodi (ehemals XBMC Media Center) wird Ihr Desktop-PC zur Medienzentrale für das Wohnzimmer. Ihr PC ist nach der Installation von Kodi (XBMCbuntu) aber wirklich ein reines Medienzentrum. Falls Sie den Linux-Rechner daneben auch noch als klassischen PC verwenden wollen, empfiehlt es sich das Paket XBMC einfach unter einem normalen Linux wie beispielsweise Ubuntu mitzuinstallieren.Kodi (ehemals XBMCbuntu)
Yellow Dog Linux
Eine auf RHEL/CentOS basierende Linux-Distribution für PowerPC-CPUs und die Sony PlayStation 3.Yellow Dog Linux
Zentyal – Linux Small Business Server
Ein Linux-Server, der über eine grafische Weboberfläche verwaltet wird. Inklusive dem E-Mail-Server Zarafa. Für Unternehmen.Zentyal
GoboLinux
Bei GoboLinux sind die Verzeichnisse /etc, /dev, /opt, /usr und /var versteckt. Gobo Linux
Liberté Linux ist eine Alternative zum bekannteren Tails. Also eine Linux-Distribution, die das anonyme Surfen im Internet ermöglichen soll. Es basiert auf Gentoo Linux und verwendet einen gehärteten Kernel.Liberté Linux
Geexbox
Die minimalistische Linux-Distribution Geexbox besitzt keinen eigenen Desktop, jedoch das Mediacenter XBMC. Mit Geexbox kann man PCs und ARM-Mini-Platinen in ein Multimedia-Center verwandeln. Dafür sind 2 GB RAM und ein Dualcore-Prozessor erforderlich.Geexbox
Peppermint Linux
Peppermint Linux stellt die Cloud in den Mittelpunkt und basiert auf Lubuntu, verwendet also den LXDE-Desktop. Peppermint Linux
Mate
Mate ist ebenfalls eine Ubuntu-Variante für den Desktop. Mit der Desktopumgebung Mate als Ersatz für das Ubuntu-typische Unity sind auch gleich die wichtigsten Programme mit dabei. Vorhanden sind ein File Manager, ein Text-Editor, ein Rechner, ein Archiv-Manager, ein Image- und Document-Viewer und ein Systemüberwachungsprogramm. Die Programme werden über ein Control Center verwaltet und sollen laut Hersteller größtenteils individualisierbar sein. Das System ist auf Stabilität ausgelegt und soll gleichermaßen auf Workstations und Netbooks funktionieren.Ubuntu Mate
NayuOS ist ein alternatives Betriebssystem für Chromebooks von der französischen Firma Nexedi. Ein Fork von Googles Chromium OS, aber ohne dessen proprietäre Google-Apps.NayuOS
KDE neon kombiniert aktuelle KDE-Pakete mit Ubuntu 16.04.
KDE neon kombiniert aktuelle KDE-Pakete mit Ubuntu 16.04.
KDE Neon
Bunsenlabs Hydrogen ist eine Debian-Variante und ersetzt Crunchbang.. Ein schlankes System für Puristen mit Openbox als Wndow-Manager.
Bunsenlabs Hydrogen ist eine Debian-Variante und ersetzt Crunchbang.. Ein schlankes System für Puristen mit Openbox als Wndow-Manager.Bunsenlabs Hydrogen
Antergos
Antergos ist ein Derivat von Arch Linux mit grafischem Installer. Antergos
Icebox ist eine inoffizielle Ubuntu-Variante mit schlanker Openbox-Oberfläche.
Icebox ist eine inoffizielle Ubuntu-Variante mit schlanker Openbox-Oberfläche.Icebox
Quirky ist ein Ableger von Puppy Linux, das kaum noch weiter entwickelt wird. Für Quirky dagegen erscheinen immer wieder Updates. Quirky ist in erster Linie als Live-Distribution gedacht. Ein vollständiger englischsprachiger Desktop gehört zur Ausstattung
Quirky ist ein Ableger von Puppy Linux, das kaum noch weiter entwickelt wird. Für Quirky dagegen erscheinen immer wieder Updates. Quirky ist in erster Linie als Live-Distribution gedacht. Ein vollständiger englischsprachiger Desktop gehört zur Ausstattung.Quirky
SliTaz GNU/Linux arbeitet vollständig aus dem Arbeitsspeicher und wird von einem externen Speichermedium wie einer CD oder einem USB-Stick gebootet. Die Installation auf der Festplatte ist ebenfalls möglich. Als Browser kommt Midori zum Einsatz.
SliTaz GNU/Linux arbeitet vollständig aus dem Arbeitsspeicher und wird von einem externen Speichermedium wie einer CD oder einem USB-Stick gebootet. Die Installation auf der Festplatte ist ebenfalls möglich. Als Browser kommt Midori zum Einsatz.Slitaz Cooking
