Technisch ist es kein Problem, ein Linux als Livesystems auf einen USB-Stick zu portieren, etwa im klassischen Einsatz als Notfalloder Surfsystem. Da USB 3.0 aber auch jedes ordentlich installierte Linux flott ausliefert, gibt es für mobiles Linux kein Denkverbot (Punkte 1 bis 6). Die folgenden Beispiele sind praktische Anregungen und keine detaillierten Anleitungen. Lediglich bei den Spielarten der Verschlüsselung von USB-Medien (Punkte 7 bis 10) gehen wir weiter ins Detail.
1. Schnelles Surfsystem Porteus
Ins Internet bringt Sie jedes auf USB installierte Linux-System. Bei geringen Ansprüchen genügt sogar ein Livesystem, das dann allerdings keine Browserlesezeichen oder sonstigen Komfort erlaubt. Ein Surfsystem schlechthin ist aber der Spezialist Porteus - klein, schnell und auf Wunsch ein Browser pur im "Kiosk-Modus". Die Website mit Auswahl der zahlreichen Porteus-Varianten und -Versionen ist allerdings konfus. Wir vereinfachen die Auswahl und konzentrieren uns hier auf die interessante Kiosk-Variante mit Firefox oder Chrome pur.
Das ISO-Abbild müssen Sie in einem Zwischenschritt auf USB oder CD schreiben, um von dort auf das Zielmedium zu installieren. Man kann das ISO auch als virtuelle Maschine in Virtualbox oder Vmware laden und von dort auf das - vom Host freigegebene - Zielmedium installieren.
Die Einrichtung mit dem englischsprachigen Installer ist sehr detailliert und Sie sollten sich für die zahlreichen Optionen Zeit nehmen. System und Browser sind damit nämlich final konfiguriert. Neben der Browserwahl geht es um die Netzverbindung (Kabel, WLAN), das Tastaturlayout, um die Möglichkeit, mit Strg-Alt-Entf einen Shutdown-Dialog aufzurufen, um ein optionales Zugangskennwort oder um vorgegebene Lesezeichen. Generell empfehlen sich für ein selbst genutztes Kiosk-Porteus relativ großzügige Einstellungen. Am Ende erscheint der Dialog "System installation", wo Sie das Ziellaufwerk wählen. Nach Klick auf "Install system" ist Porteus im Handumdrehen auf dem USB-Stick. Das kleine System benötigt kaum ein GB Platz. Die Benutzung des Surfsystems ist denkbar unkompliziert - nach dem Booten des USB-Sticks einfach kurz warten, bis der Browser erscheint.
2. Reparatursysteme für Linux und Windows
Reparatursysteme müssen ihren Job machen und dafür griffbereit die richtigen Werkzeuge mitbringen. Ansprüche an Desktopästhetik und Anpassungsfähigkeit stehen hinten an, wenn wichtige Dateien vom bootunfähigen Hauptsystem gekratzt werden müssen. Daher genügen hier Livesysteme ohne Installation. Die beiden Nachfolgenden sind anspruchslos und laufen auf jedem PC. Netzwerk-, WLAN- und Internetzugriff sind an Bord.
Für Windows-Pannen ist die PC-Welt-Rettungs-DVD der ideale Nothelfer (775 MB). Sie bietet Virenscanner, Rettungstools für gelöschte Dateien und Partitionen, Kennwortlöschung, Kopier- und Klonspezialisten, den Gparted-Partitionierer und sogar einen Editor für die Windows-Registry. Für Linux-Pannen genügt oft das Livesystem der jeweiligen Distribution als Reparatursystem. Spezialisierter ist System Rescue CD (545 MB). Das sachliche System startet zum Prompt, zeigt aber nach startx auch eine einfache XFCE-Oberfläche. An grafischen Programmen gibt es mit Gparted, Dateimanager, Browser, Brennprogramm allerdings nur das Notwendigste. Der Reichtum des Reparatursystems erschließt sich nur im Terminal mit unzähligen Tools zur Dateibearbeitung und Datenrettung (7z, Badblocks, Ecrypt FS*, Grub2*, Gvfs*, Isoinfo, Nmap, Photorec, Testdisk, Unrar …). Partitionen muss man manuell mit mount einhängen.
Die zusätzliche Windows-Partition Für einen idealen USB-Stick ist neben dem Linux-System oft eine zusätzliche Windows-Partition mit FAT32 oder NTFS unerlässlich. Wenn Sie daran schon beim Setup des Linux-Systems denken, umso besser: Dann setzen Sie diese Partition am besten an den Anfang des USB-Sticks. Das heißt, Sie beginnen die Partitionierung des freien Speicherplatzes mit einer primären Partition mit Windows-Dateisystem. Das verhindert später harmlose, aber lästige Windows-Fehlermeldungen über nicht erkannte Partitionen. Aber auch nachträglich können Sie mit Gparted auf einem anderen Linux-System die Systempartition auf dem Stick verkleinern und auf dem freien Platz FAT32 oder NTFS einrichten. Die Swappartition, sofern es die Größe erlaubt, können Sie mit Gparted sogar im laufenden System verkleinern, wenn Sie die Partition in Gparted vorher deaktivieren („Auslagerungsspeicher ausschalten“). |
3. Der Zweit-Desktop
Für eine mobile Arbeitsumgebung sind Livesysteme kaum geeignet: Die eine oder andere Desktopeinstellung vermisst man auf Dauer schmerzlich und bei der mitgelieferten Software fehlen wesentliche Programme. Eventuell genügt ein Livesystem mit Persistenz, um dies auszugleichen, auf der sicheren Seite ist man aber nur mit einem echt installierten Desktopsystem auf USB. Je nach Anspruch und Zielgerät können oder müssen die später genannten Minimalisten genügen (Punkt 6).
Wer aber auf USB 3.0 rechnen kann, ist mit einer kleineren Ubuntu-Edition am besten beraten. Ubuntu Mate und Xubuntu sind gute Kandidaten, um Desktopkomfort und flüssiges Arbeiten auf dem USB-Stick zu kombinieren.
4. Musikstation und Mediacenter
Der Aufwand für transportable Mediensammlungen kann sehr unterschiedlich ausfallen. Wer sich darauf verlässt, dass er auf anderen PCs die nötigen Player und Codecs vorfindet, kann seine Medien einfach ohne Softwareunterstützung auf USB-Medien kopieren. Die sollten dann vorzugsweise mit FAT32 oder NTFS formatiert sein, um wenigstens allen Betriebssystemen Zugriff zu erlauben. Etwas mehr Service und Unabhängigkeit geht aber auch bei dieser einfachen Variante: Den Universalplayer VLC (und eventuell weitere Software wie einen Bildviewer) können Sie in jedem Fall mitliefern: Den portablen VLC für Windows gibt es etwa unter https://portableapps.com, ein portables VLC-Appimage für Linux unter https://bintray.com/probono/AppImages/VLC. Beachten Sie, dass der Start von Appimages auf FAT32 nicht funktioniert, was aber durch Kopieren auf das jeweilige Linux-System leicht zu beheben ist.
Eine ambitionierte Lösung ist ein komplettes Kodi-Mediencenter auf USB, hier dann vorzugsweise auf einer USB-Festplatte. Mit das kleinste und schnellste Linux-System als Transporteur für Kodi ist Libre Elec, das auf USB 3.0 in etwa 15 Sekunden startet. Die Installation erfolgt am einfachsten mit dem "LibreELEC USB-SD Creator" von der Adresse https://libreelec.tv/downloads/ (Linux, Windows, Mac-OS). Der lädt automatisch das aktuelle Libre Elec für die gewünschte Plattform, in unserem Fall "Generic_ x86" für PCs, und schreibt es auf einen angeschlossenen Stick. Dies ist dann vorläufig nur der Installer, mit dem Sie booten und dann Libre Elec auf das eigentliche Zielmedium installieren.
Die Einrichtung von Kodi können wir an dieser Stelle nicht ausführen. Wichtig ist für eine mobile USB-Nutzung, dass Sie auf Netzwerkquellen verzichten und alle Medien auf dem USB-Medium bevorraten.
5. Das Wiki in der Hosentasche
Wer seine Notizen, Adressen, Anleitungen und Infosammlungen in einem Wiki auf Apache- oder Nginx-Basis abruft, bearbeitet und erweitert, kann dieses Wiki natürlich auch auf USB-Stick transportieren. Voraussetzung ist ein ordentlich auf USB installiertes Linux-System mit Apache/Nginx, Wiki-Software und mindestens PHP. Eine Datenbank benötigt das hier empfohlene Dokuwiki nicht. Dokuwiki ist deshalb ein guter Mobilbegleiter, weil der Datenabgleich mit der heimischen Wiki-Installation leicht fällt: Nur das Unterverzeichnis "/data" enthält die Inhalte und ist mit rsync leicht zu synchronisieren.
Sie können die Wiki-Inhalte sogar zusätzlich auf Windows-PCs abrufen, da es eine portable Windows-Version des Dokuwiki gibt (siehe https://download.dokuwiki.org/ und dort "MicroApache"). Um dies auf einem einzigen USB-Stick zu realisieren, benötigen Sie neben der Linux-Installation eine zusätzliche FAT32-Partition. Infos dazu finden Sie im Kasten "Die zusätzliche Windows-Partition".
6. USB-2.0-taugliche Allzweckdistributionen
Die nachfolgend empfohlenen Distributionen basieren alle auf Debian und sind anspruchslos genug, um auf jedem USB-Stick mit vier bis 16 GB schnell zu starten und flüssig zu arbeiten. Auf USB 3.0 ist kein Unterschied zu einer Festplatteninstallation spürbar. Diese kleinen Systeme laufen aber auch mit USB 2.0 responsiv.
Q4-OS mit dem Desktop Trinity ist schnell und anspruchslos (Download unter http://q4os.org, ca. 580 MB). Das System startet auf USB-3.0-Stick in 13 Sekunden zum Login-Bildschirm und belegt nach der Anmeldung für System und Desktop nur etwa 175 MB RAM. Der Desktop Trinity basiert auf KDE 3. Diese schon seit zehn Jahren eingestellte KDE-Version wirkt heute zwar altbacken bis retro, ist aber KDE-typisch anpassungsfähig. Die Arbeitsfläche ist eine klassische Dateiablage, das Menü einfach im Stil alter Windows-Versionen und die Systemleiste ("Kontrollleiste") enthält mit Schnellstarter, Fensterliste und Indikatoren die typischen Elemente.
Die Installation startet aus dem Livesystem über den Desktoplink "Install Q4OS". Das Setup auf den USB-Stick erledigen Sie mit dem Debian-Installer, wobei unter "Festplatten partitionieren" der Eintrag "Manuell" und danach als Ziel die richtige Kennung des USB-Sticks "/dev/sd[n]" gewählt werden muss. Nach der Installation bietet der Desktopprofiler an, die schmale Softwareausstattung zu komplettieren.
Bunsenlabs Hydrogen hat als Basis ein Debian 8 und den einfachen Fenstermanager Openbox am Desktop. Das Download-ISO unter www.bunsenlabs.org/installation.html mit circa 850 MB ist ein Livesystem, das als Bootoption das Angebot "Install" anzeigt. Im laufenden Livesystem gibt es keine Installationsoption. Das Setup erledigt wie bei Q4-OS der Debian-Installer.
Der Desktop hat keine Ordnerfunktionalität; statt eines Hauptmenüs gibt es nach Rechtsklick auf den Desktop ein hierarchisches Textmenü; die Standardleiste (Tint2) bietet nur das Wesentlichste und die Softwareausstattung ist zunächst stark reduziert. Die schlichte Oberfläche ist aber sehr wohl anpassungsfähig. Das Wichtigste finden Sie unter "Preferences -› Openbox -› GUI Config Tool" sowie "Preferences -› Appearance". Bei spezielleren Konfigurationswünschen landen Sie aber schnell direkt in den Konfigurationsdateien, so etwa bei der Anpassung einer Tint2-Systemleiste oder einer Conky-Info.
Bunsenlabs Hydrogen startet auf einem USB-3.0-Stick in 15 Sekunden zum Anmeldefenster. Der Speicherbedarf nach der Anmeldung beträgt lediglich 170 MB und dem puren System reicht ein Vier-GB-Stick. Fehlende Software ist über apt install […] beziehbar.
Kanotix Spitfire in der LXDE-Variante (es gibt auch KDE) ist ein weiteres anspruchsloses System auf Basis von Debian 8 (Download unter www.kanotix.com, ca. 980 MB). Das konsequent deutschsprachige System ist auf USB 3.0 nach 16 Sekunden am Anmeldebildschirm und belegt nach der Anmeldung etwa 210 MB. Die LXDE-Arbeitsfläche dient als normale Dateiablage und bietet eine Systemleiste mit den typischen Elementen inklusive Hauptmenü.
Ein schickes Desktopsystem ist Kanotix nicht, aber über "Einstellungen -› Compiz-Config Einstellungs-Manager" ist doch mehr möglich, als man dem Desktop zunächst zutraut. Wesentliche Einstellungen erlaubt auch das Standardsymbol "Compiz Fusion Icon" im Systembereich, das nach Umstellung auf den Compiz-Window-Manager eine andere Fensterdekoration als das nüchterne GTK erlaubt.
Die Installation auf USB erledigen Sie aus dem Livesystem über den Menüeintrag "Kanotix -› acritoxinstaller". Die Software müssen Sie später in jedem Fall über apt install […] ergänzen, denn außer dem Browser Iceweasel (Firefox) und Skype bringt Kanotix keine größeren Programme mit.
7. Der komplett verschlüsselte Datenstick
Luks (Linux Unified Key Setup) ist eine einbruchssichere Datenträgerverschlüsselung. Ohne Zugangskennwort gestatten Datenträger keinerlei Einblick in die Verzeichnisstruktur und in die Daten.
Luks-verschlüsselte USB-Medien können generell nur unter Linux geöffnet, gelesen und beschrieben werden. Wer seine verschlüsselte Daten auch unter Windows lesen will, muss andere Methoden nutzen (siehe Punkt 10).
Die Einrichtung: Luks-Verschlüsselung eines USB-Laufwerks ist unter jedem Linux möglich, unter Ubuntu und Linux Mint mit den Systemtools gnome-disks ("Laufwerke") oder partitionmanager ("KDE Partition Manager") aber besonders einfach. Wir beschreiben die Vorgehensweise zur Luks-Verschlüsselung mit gnome-disks (Gnome, Mate, Unity, Cinnamon, XFCE):
1. Sie schließen den USB-Stick an und starten das Tool "Laufwerke". Dort hängen Sie das Laufwerk mit dem viereckigen Symbol links unterhalb der Partitionsanzeige aus und löschen mit der Minus-Schaltfläche eventuell bestehende Partitionen.
2. Klicken Sie auf das Zahnradsymbol und dort auf "Partition formatieren". Im Folgedialog wählen Sie als "Typ" den Eintrag "Verschlüsselt, kompatibel mit Linux-Systemen (LUKS + Ext4)". Danach geben Sie zweimal die "Passphrase" - also das Entschlüsselungskennwort ein. Ein Klick auf "Formatieren" schließt den Vorgang ab.
3. Unter der Partitionsanzeige gibt es ein neues "Schloss"-Symbol, um die verschlüsselte Partition zu entsperren. Nachdem dies durch Eingabe des Kennworts erfolgt ist, erscheint eine horizontal zweigeteilte Partitionsanzeige - oben die Verwaltungsebene "LUKS", unten die eigentliche, noch unformatierte Datenpartition. Diese braucht jetzt noch ein reguläres Dateisystem über das Zahnradsymbol und "Partition formatieren". Da der Luks-Stick sowieso nur unter Linux lesbar wird, wählen Sie am besten Ext4. Der Eintrag "Name" ist nicht erforderlich, macht aber den späteren Mountpunkt lesbarer.
4. Nach der Formatierung können Sie den Datenträger mit dem üblichen "Dreieck"- Symbol einhängen und mit Daten befüllen.
Die Benutzung: Die Alltagsbedienung ist ganz einfach - dafür sorgen die Dateimanager Nautilus, Nemo, Caja, Dolphin, Thunar. Wenn Sie das USB-Gerät anschließen, erscheint automatisch der Dialog "Geben Sie eine Passphrase zum Entsperren […] ein". Bei manchen Dateimanagern muss das Gerät in der Navigationsspalte angeklickt werden, das dort als "verschlüsselt" erscheint. Nach Eingabe des Kennworts ist das Medium entsperrt, gemountet und normal benutzbar. Im Dateimanager können Sie den Luks-Datenträger auch wieder trennen.
8. Das komplett verschlüsselte Linux auf dem USB-Stick
Eine coole Kombination von einbruchssicheren Daten und flexiblem Mobilsystem ist ein bootfähiges, ordentlich installiertes Linux mit Luks-Verschlüsselung. Im Hinblick auf die verschlüsselten Daten ist es flexibler als ein Luks-verschlüsselter USB-Datenträger (Punkt 7), weil Sie das benötigte Linux-System mit dabei haben. Nebenbei haben Sie ein vollständiges System an der Hand, um die Daten produktiv zu nutzen. Für die Luks-Variante gelten jedoch völlig andere Regeln als für eine übliche Installation eines Linux-Systems auf dem USB-Stick. Wir beschreiben diese wieder anhand des Ubuntu-Installers, der eine Luks-Installation auch auf USB unterstützt, dies aber auf etwas irritierende Weise.
1. Beim Schritt "Installationsart" verwenden Sie "Festplatte löschen und […] installieren" und ferner die Option "[…] Installation zur Sicherheit verschlüsseln". Dabei wird automatisch der Punkt "LVM […] verwenden" aktiv.
2. Nach einem Klick auf "Weiter" folgt die Abfrage des Sicherheitsschlüssels. Dieses Kennwort ist künftig vor jedem Systemstart erforderlich.
3. Mit Klick auf "Jetzt installieren" geht es weiter. Jetzt erscheint der Dialog "Festplatte löschen und [.] installieren" mit dem Angebot "Laufwerk wählen". Hier wählen Sie den USB-Stick aus, der bereits eingesteckt sein muss. Nun erscheint erneut die Schaltfläche "Jetzt installieren", die nun tatsächlich die Installation auslöst.
Die Benutzung als System: Wenn Sie künftig das verschlüsselte USB-System booten, erscheint je nach Distribution ein grafisches Eingabefeld "Please unlock disk […]" oder eine identische Aufforderung am Prompt. Dort geben Sie das Passwort ein. Das Luks-Volume wird entsperrt und unverschlüsselt nach "/dev/mapper/[sd…]" gemountet. Der Systemstart und die weitere Benutzung erfolgen wie bei einem normalen System.
Die Benutzung als Datenstick: Mit einem beliebigen Linux kommen Sie auch von außen an die enthaltenen Daten. Das läuft genauso ab wie beim oben beschriebenen Luks-Datenstick (Punkt 7): Beim Anstecken erscheint der Dialog "Geben Sie eine Passphrase zum Entsperren […] ein". Wer das Kennwort nicht weiß, kann die Partitionen des Sticks nicht einhängen.
9. Linux-System mit verschlüsseltem Home auf USB
Eine Alternative zu Luks für einbruchssichere Daten auf einem Mobilsystem ist ein installiertes Linux mit Home-Verschlüsselung. Diese Methode (mit Ecrypt FS) ist nicht so kompromisslos wie Luks, aber oft ausreichend und technisch anspruchsloser.
Die Einrichtung: Wenn Sie im Ubuntu-Installer beginnen, erscheint nach der Angabe des deutschen Tastaturlayouts die Abfrage des Erstbenutzers "Wer sind Sie?". Für "Ihr Name", Rechnernamen und Kontonamen empfehlen sich für ein USB-Mobilsystem neutrale Angaben wie "Mustermann". Bei der Vergabe des Passworts sollte der Installer ein "Gutes Passwort" melden. Das Passwort ist der entscheidende Schutz dafür, dass sich kein Fremdbenutzer anmelden kann, was zugleich das Home-Verzeichnis aufschließt.
Selbstverständlich muss im Installationsdialog die Option "Passwort zum Anmelden abfragen" eingestellt sein. Darunter gibt es nun die zusätzliche Option "Meine persönlichen Daten verschlüsseln". Aktivieren Sie dieses Kästchen und starten Sie dann die eigentliche Einrichtung mit "Weiter".
Die Benutzung: Die Anmeldung des beim Setup eingerichteten Erstbenutzers mit korrektem Kennwort öffnet den Zugang zum System. Zugleich werden die verschlüsselten Daten von "/home/.ecryptfs/ [konto]/.Private" unverschlüsselt nach "/home/[Benutzer]" gemountet. Damit verhält sich das System aus Anwendersicht wie ein unverschlüsseltes.
Der Fremdzugriff: Wird der so eingerichtete USB-Stick unter einem (Linux-)Fremdsystem gelesen, dann sind Systemordner und Binärdateien ersichtlich. Das Verzeichnis "/home/[konto]" ist hingegen leer und die verschlüsselten Daten unter "/home/.ecryptfs/[konto]/.Private" zeigen nur binären Zeichensalat. Auch Dateinamen sind verschlüsselt, lediglich die Dateigrößen sind ersichtlich.
10. Verschlüsselte Daten für Windows und Linux
Bei den bisher genannten Varianten der Verschlüsselung bleiben andere Systeme außen vor. Die verschlüsselten Daten liest entweder ein separates Linux-System oder das Linux-System auf dem Stick.
Soll auch ein Windows oder Mac-OS Zugriff haben, brauchen Sie eine andere Lösung. Wir empfehlen dafür Veracrypt , das für alle Plattformen zur Verfügung steht.
sudo add-apt-repository ppa:unit193/encryption sudo apt-get update sudo apt-get install veracrypt |
Für Windows gibt es sogar eine portable Variante , so dass der USB-Stick die Windows-Software gleich mittransportieren kann. Die Linux-Variante haben Sie ebenfalls auf dem Stick dabei, wenn Sie darauf ein Linux installieren und ebendort Veracrypt nachrüsten. Das ist in Ubuntu und Co. mittels der Zeilen schnell erledigt.
Für die Daten und die portable Windows-Variante ist eine FAT32-Partition (oder NTFS) erforderlich. Infos dazu finden Sie im Kasten "Die zusätzliche Windows-Partition". Für Linux und Windows ist somit alles auf dem Stick - Daten und Kryptosoftware. Lediglich auf einem Mac-PC muss Veracrypt installiert sein, um die Daten zu erreichen. Den Umgang mit Veracrypt setzen wir an dieser Stelle voraus. Entscheidend ist, dass Veracrypt unter allen Betriebssystemen gleich aussieht, gleich funktioniert und dass verschlüsselte Container auf der FAT32-Partition überall geöffnet und genutzt werden können. (PC-Welt)