My Free Software Activities in August 2016

Welcome to Here is my monthly report that covers what I have been doing for Debian. If you’re interested in Android, Java, Games and LTS topics, this might be interesting for you.

Debian Android

  • This was the final month of the Google Summer of Code and the students achieved the main goal of packaging the Android SDK. It is now possible to build Android apps on Debian with packages only from the main distribution (apt install android-sdk). Chirayu Desai fixed the last remaining issue in android-platform-system-core (#827216).  That also means apktool is now ready to rebuild Android applications. You can find more information about the students’ work at and on their individual pages Chirayu Desai, Kai-Chung Yan and Mouaad Aallam.
  • I sponsored a new upstream release (2.2.0) of apktool for Chirayu Desai.
  • I also reviewed and sponsored the following packages for Kai-Chung and Chirayu Desai (RC bug fixes and new upstream releases): android-platform-dalvik, android-platform-frameworks-base, android-sdk-meta.

Debian Games

  • I started the month with package updates for foobillardplus, tuxpuck, etw, cube2, cube2-data and neverball.
  • I released a new revision of triplane to fix a reproducible build issue.
  • I packaged a new upstream release of springlobby.
  • I fixed GCC-6 FTBFS bugs in stormbaancoureur and love and updated both packages to use modern Debian helpers (stormbaancoureur needed it badly).
  • I invested some time to package Liquidwar 6 (#680023) and attached my preliminary work to the bug report. Liquidwar 6 has been in the works for a long time now and is a complete rewrite of the original Liquidwar game. The graphics are much more polished and dozens of new levels are available. I didn’t complete my work on Liquidwar 6 because, at least on my system, the game constantly consumes 100% CPU time. Network modus isn’t finished yet and it still depends on SDL 1. Nowadays I’m only interested in SDL 2 (or similar) games though because I think the library is more future-proof and SDL 1 will probably become a burden for future maintainers.
  • In the second half of the month I fixed a couple of RC bugs again caused by the Boost 1.61 transition and yes still more GCC-6 bugs : libclaw (GCC-6 and Boost 1.61 issues, new upstream release), freeorion (Boost 1.61 FTBFS, #833773. This one was arguably a regression in Boost 1.61 and I filed #833794 because of it), pokerth (GCC-6 RC bugs. I also took the opportunity to implement systemd support for pokerth-server and I modified the package to run the server as the _pokerth system user out-of-the-box.), 0ad (missing build-dependency on python).
  • Even music packages can pile up bug reports, so I went ahead and updated fretsonfire-songs-muldjord and fretsonfire-songs-sectoid.
  • In the last days of August 2016 I packaged a new upstream release of redeclipse and redeclipse-data, a first-person shooter. The older version was network-incompatible and long unsupported.

Debian Java

Debian LTS

This was my seventh month as a paid contributor and I have been paid to work 14,75 hours on Debian LTS, a project started by Raphaël Hertzog. In that time I did the following:

  • From 01. August to 07. August I was in charge of our LTS frontdesk. I triaged CVEs in wordpress, mysql-5.5, libsys-syslog-perl, libspring-java, curl and squid and answered questions on the debian-lts mailing list.
  • DLA-586-1. Issued a security update for curl fixing 2 CVE.
  • DLA-585-1. Announced the security update for firefox-esr which was prepared by Mike Hommey.
  • I was involved in an embargoed security issue that currently affects two source packages in Wheezy. The update will be released on 15. September 2016 and will be coordinated with Debian’s Security Team and other distributions. I will add more information next month.
  • DLA-610-1. I spent most of the time this month on triaging and fixing security issues in tiff3, a library providing support for the Tagged Image File Format (TIFF). 99 source packages currently build-depend on this library in Wheezy. In total I triaged 35 CVEs and fixed 23 of them. I could confirm that CVE-2015-1547, CVE-2016-5322, CVE-2016-5314, CVE-2016-5315, CVE-2016-5316, CVE-2016-5317 and CVE-2016-5320 were duplicates of other CVEs fixed in this update. The update hardened the library and fixed possible denial-of-service (application crash) and arbitrary code execution issues. I tested whenever possible against the provided reproducers (malicious tiff images). The tiff3 package now includes all currently available patches. Most of the current open vulnerabilities do not directly affect end-users since no binary package has been provided for the tiff tools in Wheezy. However they can still pose a threat to people who build these tools from source manually. Though the majority of users should not be affected. It is also unlikely that the remaining issues will be fixed by tiff’s upstream developers since they decided to remove the affected applications from newer releases but again most of them can’t be exploited since the tools are not built by default in this version.

Non-maintainer uploads

  • I did a NMU for pacman fixing one GCC-6 RC bug.


  • I packaged a new upstream release of pygccxml and worked around a RC bug that threatened to remove spring. For similar reasons I filed #835121 against castxml that got quickly fixed by Gert Wollny.

My Free Software Activities in July 2016

Welcome to Here is my monthly report that covers what I have been doing for Debian.

Debian Android

Debian Games

  • This month GCC-6 bugs became release critical. I fixed and triaged those kind of bugs in games like supertransball2, berusky2, freeorion, bloboats, armagetronad and megaglest.
  • I packaged new upstream releases of scorched3d, bzflag, spring, springlobby, freeorion, freeciv and extremetuxracer.
  • Freeciv, one of the best strategy games ever by the way, also got a new binary package freeciv-client-gtk3. This package will eventually become the new default client to play the game in the future. You are welcome to test it.
  • I packaged a new upstream release of adonthell and adonthell-data. This game is built with Python 3 and SDL 2 now and also uses the latest version of swig to generate its sources. We will probably see only one other future upstream release of adonthell because the main developer has decided to move on after more than 15 years of development.
  • I fixed another RC bug in minetest, updated whichwayisup for this release cycle and moved the package to Git.

Debian Java

Debian LTS

This was my sixth month as a paid contributor and I have been paid to work 14,7 hours on Debian LTS. In that time I did the following:

  • DLA-554-1. I spent most of the time this month on completing my work on libarchive. I issued DLA-554-1 and fixed 18 CVE plus another issue which was later assigned CVE-2016-6250.
  • DLA-555-1. Issued a security update for python-django fixing 1 CVE.
  • DLA-561-1. Issued a security update for uclibc fixing 3 CVE.
  • DLA-562-1. Issued a security update for gosa fixing 1 CVE. I could triage another open CVE as not-affected after confirming that the issue had already been fixed two years ago.
  • DLA-568-1. Issued a security update for wordpress fixing 6 CVE. I decided to go ahead with this update because I could not find any regressions. Unfortunately this wasn’t true for my intended fix for CVE-2015-8834. The database upgrade did not succeed hence I decided to postpone the fix for CVE-2015-8834 until we can narrow down the issue.
  • DLA-576-1. Issued a security update for libdbd-mysql-perl fixing 2 CVE.
  • From 04. July to 10. July I was in charge of our LTS frontdesk. I triaged CVEs in librsvg, bind9, trn, pdns and drupal7 and answered questions on the debian-lts mailing list.

Misc and QA

  • I fixed another GCC-6 bug in wbar, a light and fast launch bar.
  • Childsplay and gvrng were orphaned last month. I updated both of them, fixed the RC-bug in childsplay (non-free font) and moved the packages to the Debian QA Group.

Der eigene vServer: Meine Erfahrungen mit vier Anbietern

Im Jahr 2012 mietete ich meinen ersten vServer bei für mein Spieleprojekt und kurze Zeit später den Fünf-Cent-pro-Tag-Server von Nach vier Jahren habe ich nun Erfahrungen mit insgesamt vier Anbietern gesammelt und ich denke diese sind es nun Wert, sie mit dem Rest der Welt zu teilen. Worauf sollte man bei der Auswahl achten? Hilft viel Leistung wirklich viel und wie viel Geld sollte man vernünftigerweise einplanen?

Zur Zusammenfassung, auf was man beim vServer-“Kauf” achten sollte, geht es hier:

NbiServ in Gera/Thüringen bietet einen sehr günstigen PrePaid-vServer für den Einstieg. In 2012 kostete dieser noch fünf Cent pro Tag, heute sind es sechs Cent, jedoch haben alle wichtigen Kennzahlen wie RAM, Speicherplatz und Prozessorleistung deutlich zugelegt. Der aktuelle Name des Produkts lautet VS-Prepaid-2016-SATA. Es gibt 512 MB RAM und 30 GB Speicherplatz (SATA). Es existiert sogar noch eine kleinere Version mit 256 MB RAM und 15 GB Festplatte (SATA) für 3 Cent pro Tag und Versionen mit SSD. Besonders hervorzuheben ist, dass selbst in dieser Preisklasse ein Backup inklusive ist, wobei das gesamte System (offline) als Snapshot in einem Tarball gesichert wird, der sich bequem herunterladen lässt. Es stehen zwei verschiedene Arten von Virtualisierung zur Auswahl: OpenVZ und KVM. Ich persönlich habe bessere Erfahrungen mit KVM gemacht, weil es mir erlaubt den Server nach meinen Wünschen zu konfigurieren und es die größte Flexibilität bietet. Insbesondere der Kernel lässt sich beliebig anpassen und Dinge wie tun/tap-Netzwerkgeräte für VPN-Server lassen sich problemlos konfigurieren. Bei OpenVZ teilt man sich hingegen einen gemeinsamen Kernel mit anderen Clients und sollte Vorsicht walten lassen, wenn man sein System konfiguriert und dabei eventuell Pakete wie Quota deinstalliert, nur um festzustellen, dass das System nicht mehr starten wird. Der Overhead bei OpenVZ mag geringer und dadurch die Leistung etwas besser sein, jedoch bietet KVM die Möglichkeit auch Nicht-Linux-Systeme wie FreeBSD einmal auszuprobieren.

Bei NbiServ miete ich zur Zeit zwei dieser PrePaid-Server auf KVM-Basis, wobei einer von Debian Jessie und der andere von FreeBSD 10 angetrieben wird. Sicherlich kann dieser Einsteigerserver nicht alle Ansprüche erfüllen, er eignet sich aber insbesondere für kleine Webseiten (statische Webblogs laufen einwandfrei), OwnCloud-Server für private Zwecke oder der anonyme (S)FTP-Server. Andere Alternativen sind z.B. Mumble, OpenVPN oder das eigene Git-Repo. Wenn die Anzahl der Nutzer überschaubar ist, reichen selbst 512 MB ohne Weiteres aus. Selbst als Minetest-Server käme dieser vServer in Frage (schon ausprobiert), man sollte aber nicht zu viele Mods installieren und mehr als 10 Spieler gleichzeitig wäre nicht die beste Wahl. CPU- und I/O-Leistung reichen hier nicht an die Werte teurerer Alternativen heran. Wenn man anspruchsvolle Datenbankanwendungen betreibt, kann ich nur empfehlen mehr Geld zu investieren und sich Angebote mit SSD-Technologie anzuschauen. Traffic ist “fair-use”, das heißt man sollte mit einer Drosselung der Geschwindigkeit rechnen, wenn man Terrabyte an Daten der Welt pro Monat zur Verfügung stellt. In der Realität hat das aber keine konkreten Auswirkungen, da man selten mehr als ein paar 100 GB selbst für gut besuchte Webseiten und andere Dienste an Traffic verbraucht.

Übersichtlich finde ich auch den oVZManager, mit dem sich der vServer administrieren lässt. Es stehen eine sehr große Auswahl an Betriebssystemen zur Verfügung (z.B. Debian, Ubuntu, Arch Linux, Gentoo, FreeBSD, CentOS), wenn man KVM als Virtualisierungsmethode wählt. Überrascht sollte man nicht sein, wenn das Hostsystem ohne Vorwarnung neustartet, was nicht ungewöhnlich ist, da Sicherheitsupdates natürlich von Zeit zu Zeit eingespielt werden müssen. Die Verfügbarkeit des Servers ist trotzdem gut und liegt im Rahmen der anderen hier vorgestellten Anbieter.

Von Februar 2012 bis Mai 2016 war ich Kunde bei Serverway, deren Server im eigenen Rechenzentrum in Aachen untergebracht sind. Dort begann ich mein Spieleprojekt,, das anfangs auf einem XEN-virtualisierten vServer mit 256 MB RAM und 30 GB Festplatte problemlos lief. Das Nachfolgeprodukt heißt heutzutage schlicht Root Server K1, kostet 3,90 Euro im Monat, wobei immer drei Monate im Voraus bezahlt werden muss und bietet 1 GB RAM und eine 40 GB Festplatte (SATA). Zur Zuverlässigkeit und Verfügbarkeit des vServers kann ich nur sagen, dass ich den Support nicht einmal innerhalb von drei Jahren wegen irgendetwas anschreiben musste. Alles funktionierte wie es sollte und ich denke, das spricht für sich. Erst der Umzug von XEN auf den neuen KVM-Server machte das Schreiben eines Tickets notwendig. Die CPU-Leistung ist solide und insgesamt eignet sich dieses Angebot für alle schon bei NbiServ genannten Einsatzszenarien. I/O-mäßig war die Leistung wie bei NbiServ nicht berauschend, für anspruchsvolle Datenbankanwendungen sollte man besser nach SSD-Angeboten Ausschau halten. NbIServ bietet mit dem VS-2016-M-SATA ein vergleichbares Angebot, hat dazu aber auch schon als Alternative eine SSD-Variante im Portfolio. Sehr positiv war bei Serverway der ohne Extrakosten zur Verfügung gestellte externe Backupspeicher, der immer halb so groß wie die im Angebot enthaltene Festplatte ist. Mit einem Rsync-Skript, welches im Kundenbereich zu finden ist, lässt sich leicht per Cron-Job ein tägliches Backup einrichten.

Besagter Kundenbereich könnte meiner Meinung nach verbessert werden. Zwar stehen alle wesentlichen Funktionen wie Server neustarten, Trafficverbrauch und Neubestellungen zur Verfügung, die FAQ und Supportseiten hätten jedoch durchaus ausführlicher sein können. Wie gesagt hatte ich nie größere Probleme, weswegen das nie besonders ins Gewicht fiel. Leider war mein Server eines Tages Opfer einer DDoS-Attacke und ich war ziemlich enttäuscht, dass er nicht nur mehrere Tage deswegen abgeschaltet wurde, sondern mir auch nicht mitgeteilt werden konnte gegen welchen Dienst sich die Attacke richtete. Es gibt keinen perfekten Schutz gegen DDoS und für 3,90 bzw 6,90 Euro erwarte ich keine Wunder, ein Hoster sollte aber in der Lage sein den Port der Attacke herauszufinden.

Also zog ich mit dem Spieleprojekt zu Netcup und deren Rechenzentrum in Nürnberg um. Immerhin versprach dieser Anbieter einen DDoS-Schutz-Filter bis zu einem Traffic von 5 Gbit/s. In der Tat begann die Attacke nach wenigen Tagen erneut, doch dieses Mal erhielt ich eine automatische E-Mail, dass der Filter aktiv ist und welcher Port Ziel der Attacke war. Daumen hoch. Das System war zwar nur schwer zu erreichen, aber es gelang mir schließlich den Dienst zu deaktivieren, worüber ich an anderer Stelle schon kurz etwas geschrieben habe.
Mein neuer vServer lässt sich am besten mit dem VPS 2000 G7 vergleichen. Bei Netcup gibt es häufiger neue Produkte und zeitweise erhält man eine ältere Generation günstiger bevor die neue Generation eingeführt wird, was bei mir der Fall war. Ich habe mich dafür entschieden zwölf Monate im Voraus zu zahlen, was dann weniger als 8 Euro im Monat macht. Dafür gibt es eine 120 GB Festplatte (SAS), 6 GB RAM und die Möglichkeit Snapshots des aktuellen Systems auf der Festplatte anzulegen. Externer Backupspeicher kann zusätzlich gekauft werden. Im Vergleich zu Serverway bezahle ich nun anstatt 6,90 Euro 7,49 Euro im Monat, wodurch ich zahlungstechnisch weniger flexibel bin, die angebotenen Leistungen gleichen das jedoch wieder aus. Sechs Gigabyte RAM und die 120 GB Festplatte kann ich momentan nicht ausreizen, aber für die Zukunft lässt das mehr Spielraum für neue Ideen offen. Die I/O-Leistung ist besser als bei den anderen Anbietern, kommt aber nicht an die Latenz und die Leistung einer SSD heran. Herausheben möchte ich an dieser Stelle noch den Kundenbereich (customer control panel) und die Extraseite zur Wartung des vServers, die ich beide sehr übersichtlich finde. Server, Rechnungen, Bestandsdaten lassen sich problemlos verwalten. Dank KVM-Technologie stehen wie bei NbiServ und Serverway eine große Auswahl an Betriebssystemen zur Verfügung.

Ich bin nun seit fast drei Monaten Kunde bei Netcup und momentan sehr zufrieden. Gespannt bin ich wie reibungslos oder vielleicht auch nicht ein Serverupgrade nächstes Jahr verlaufen wird. Als Verbesserung hätte ich mir gewünscht, dass externer Backupspeicher schon im Angebot integriert gewesen wäre. Nicht überrascht sein: Als Neukunde wird man nach der Bestellung angerufen und überprüft, ob man tatsächlich auch existiert. 😉

Vor zwei Monaten bin ich mit zu Hosteurope umgezogen, nachdem ich neun Jahre zufriedener Kunde bei FCUBE war und dort ein maßgeschneidertes Webhostingpaket nutzte. Ich denke gerade wenn man sich nicht um alle Details selber kümmern möchte, sind Webhostingpakete eine gute Alternative zum vServer. Bei gibt es keine Stangenware, sondern man kann sich beraten lassen und nach Bedarf entscheiden.

Nach Hosteurope hat es mich schließlich verschlagen, weil ich endlich den Schritt zum eigenen Mailserver gegangen bin und auch für weitere Projekte flexibel sein wollte. Außerdem suchte ich einen anderer Anbieter, bei welchem ich nicht schon ein anderes Projekt hosten lasse und zum anderen sprach mich das Preis-/Leistungsverhältnis und die Rahmenbedingungen an.

Hosteurope betreibt derzeit zwei Rechenzentren in Straßburg und Köln. Als Produkt habe ich mich für den Virtual Server Starter entschieden, der für 9,99 im Monat 2 GB RAM und 100 GB Festplattenspeicher (SSD) und ein tägliches Dateibackup inklusive bereithält. Als Virtualisierungssystem kommt Virtuozzo zum Einsatz, das wie OpenVZ, die linuxbasierte FOSS-Version, auf Betriebssystemebene virtualisiert und dadurch weniger Ressourcen benötigt als KVM oder Xen. Wie bei OpenVZ teilen sich mehrere Gäste einen Kernel. Bei Hosteurope ist die Betriebssystemwahl deswegen eingeschränkt, weil ein reibungsloses Zusammenspiel nur für Ubuntu, Debian und CentOS garantiert wird. In der FAQ heißt es zwar, dass im Prinzip auch andere Distributionen genutzt werden können, jedoch wird dafür keine Garantie abgegeben. Kann man mit dieser Einschränkung so wie ich leben, wird ein vorkonfiguriertes Debian installiert. Positiv ist, dass alle wichtigen Anwendungen und Dienste schon installiert sind und z.B. IPv6 sofort einsatzbereit war. Wenn man jedoch wie ich gerne von einem Minimalsystem aus sein System aufbaut, ist das erst einmal gewöhnungsbedürftig und es leuchtet auch nicht sofort ein, warum man nicht auch ein Image ohne Apache und MySQL anbieten kann. Beachtung sollte man außerdem den Dateien /etc/hosts und /etc/hostname schenken, die nach einem Reboot immer wieder auf den Auslieferungszustand zurückgesetzt, sprich überschrieben werden. Auch dieser Punkt wird in der FAQ erwähnt, jedoch wirkt die vorgeschlagene Lösung veraltet in Zeiten von systemd. Für mich funktionierte auch ein @reboot Einzeiler in /etc/crontab.

Für diese Einschränkungen bei der Konfiguration erhält man jedoch ein sehr performantes System, dessen I/O-Leistung dank SSD beachtlich und gut geeignet für Datenbankanwendungen ist. Auch die CPU-Leistung hat mich bisher überzeugt, 2 GB reichen für die eigene Webpräsenz mit WordPress plus Mailserver ohne Weiteres aus. Positiv ist auch, dass man über Serverwartungen per E-Mail im Voraus informiert wird. Die Zahlungsmodalitäten sind kundenfreundlich. Abgerechnet wird monatlich, es gibt keine Mindestvertragslaufzeit.

Während mich die Leistung bisher voll überzeugt hat, frage ich mich natürlich wie reibungslos ein Upgrade auf Debian 9 nächstes Jahr verlaufen wird und wie gut es mit dem Virtuozzo-Container sich vertragen wird. Blind sollte man auf gar keinen Fall Pakete deinstallieren, einige von ihnen werden definitiv benötigt, ansonsten bootet der Server nämlich nicht mehr. 🙄

Auf was man achten sollte

  • CPU: Ich bin absichtlich nicht auf die Angaben der Anbieter zur CPU eingegangen, da die Informationen hierzu bestenfalls schwammig sind. Mal wird von einem vCore und an anderer Stelle von dedizierten CPU-Resourcen gesprochen. Eigentlich sollte gelten, dass mehr CPU-Kerne besser sind als nur einer und dediziert mehr Leistung verspricht als virtualisiert. Eigentlich. Manche Anbieter, nicht nur die hier vorgestellten, verwenden beide Begriffe austauschbar und man kann von der Produktbeschreibung nicht automatisch auf die tatsächlich zur Verfügung gestellte CPU-Performance schließen. Meine Empfehlung: Produkt vorher testen, wenn man nicht sicher ist, ob es für die eigenen Einsatzzwecke reichen wird.
  • Vertragslaufzeit: Hosteurope, Netcup und NbiServ bieten monatliche Zahlweise und keine Mindestvertragslaufzeit oder im Falle von NbiServ auch Prepaid an. Netcup offeriert flexible Vertragslaufzeiten, wodurch sich der Preis senken lässt, man jedoch auch bis zu einem Jahr an den Vertrag gebunden sein kann. Bei Serverway ist man für drei Monate festgelegt, bezahlt aber für den kleinsten vServer auch nur 3,90 Euro im Monat, was ein sehr überschaubares Risiko darstellt und ich deshalb auch nie als negativ empfunden habe. Meine Empfehlung: Alle hier vorgestellten Anbieter haben faire Vertragslaufzeiten. Zum Ausprobieren empfiehlt es sich keine Mindestvertragslaufzeit zu wählen, insbesondere wenn man sich noch nicht 100% sicher ist oder flexibel bleiben möchte.
  • Festplatte: Wenn man wählen kann, ganz klare Empfehlung für SSD für die beste I/O-Leistung. Klassische Festplatten haben technisch bedingt schlechtere Zugriffszeiten, wodurch es z.B. bei datenbanklastigen Spielen schnell zum berühmten Lag kommen kann. Dieser Makel wird jedoch durch mehr Speicherplatz für den gleichen Preis ausgeglichen, was für Backuplösungen oder die eigene Cloud von Vorteil sein kann. Falls es in der Produktbeschreibung erwähnt wird, dann sollte RAID 10 theoretisch bessere Werte liefern als RAID 1. Für bestimmte Dienste wie z.B. Mumble, Tor oder OpenVPN sind CPU-Leistung und Bandbreite die wichtigeren Kennwerte. Im Zweifelsfall wie beim Punkt CPU zu unterschiedlichen Zeiten testen bevor man sich langfristig bindet.
  • Bandbreite/Traffic: Ich bin mir sicher als Otto-Normal-Benutzerin wird man bei keinem der vorgestellten Anbieter an Grenzen stoßen, was Traffic oder Bandbreite angeht. Bei Hosteurope und Netcup gibt es sogar eine Flat, welche nur in der Bandbreite temporär gedrosselt wird, sollte man in einem Zeitintervall eine gewisse Datenmenge pro Sekunde überschreiten. Von der Bandbreite her liegt Hosteurope bei mir im Moment vor Netcup, dann kommt Serverway (5000 GB Traffic inklusive) und zum Schluss NbiServ (Fair Use). Wobei ich hier natürlich Äpfel mit Birnen vergleiche, denn bei NbiServ zahle ich auch nur 1,80 pro Monat im Gegensatz zu 9,99 € bei Hosteurope.
  • Backups: Die besten Anbieter stellen zumindest eine Backupvariante inklusiv zur Verfügung. NbiServ bietet für wenig Geld ein Offlinebackup, Hosteurope ein tägliches inkrementelles Dateibackup, welches automatisch durchgeführt wird und im Kundenbereich wieder zurückgespielt werden kann. Bei teureren vServern sind dann auch Snapshots bei Hosteurope inklusive. Serverway bietet ebenfalls externen Speicherplatz an, Backups müssen aber selbst angelegt werden. Snapshots sind nicht im Angebot. Externe Backups kosten bei Netcup extra, dafür werden deutlich mehr Varianten angeboten Abbilder und Backups zu exportieren, später wieder zu importieren und dabei auch vServer zu klonen. Meine Empfehlung: Das Angebot von inklusiven Backups sollte man beim Kauf eines vServers immer berücksichtigen.
  • Mindestverfügbarkeit: Manche Anbieter garantieren nur 95% Mindestverfügbarkeit für den vServer im Jahr oder 95 % für die Verfügbarkeit des Netzwerks im Jahresmittel, was meist versteckt irgendwo in den AGB steht. Das kann bedeuten, dass der Server tagelang im Jahr nicht erreichbar ist. Alle hier vorgestellten Anbieter garantieren mindestens 99 %, Netcup 99,6% und Hosteurope gar 99,95% im Monatsmittel.
  • Support: Außerdem nicht ganz unwichtig sind die Bedienbarkeit und Funktionsfülle des Kundenbereichs und der eigentliche Support, also der freundliche Mensch, der sich um die Fragen und Wünsche kümmert. Meiner Meinung nach ist es um so besser, je weniger ich mich mit dieser Frage beschäftigen muss. Hervorzuheben ist, dass Netcup z.B. auch ein Forum zum Austausch anbietet und bei Hosteurope eine große FAQ angelegt wurde, wobei ich mir eher wünschen würde, dass Dateien wie /etc/hosts einfach mal nicht überschrieben werden. NbiServ und Serverway haben hier nur ein eingeschränktes Angebot, der eigentliche Support per E-Mail war und ist bei beiden gut, auch wenn ich mir eine bessere Reaktion auf die DDoS-Attacke bei Serverway gewünscht hätte.
  • Sonstiges: Je nach Virtualisierungslösung ist man bei der Wahl des Betriebssystems eingeschränkt. Am flexibelsten ist man mit KVM.  Man bekommt heutzutage für weniger als 10 Euro im Monat einen guten vServer und für kleine Projekte kann es auch deutlich weniger sein. Für statische Webseiten oder VPN-Server genügen schon 512 MB RAM und eine kleine Festplatte. Zwischen 1 bis 2 GB RAM und eine SSD > 15 GB sollte man für das eigene Blog mit Datenbank einplanen oder den eigenen Minetestserver. Die Konfigurationsarbeit fordert einiges an Zeit. Auf der anderen Seite hat man die vollständige Kontrolle und kann sein System beliebig erweitern und anpassen. Wer weniger Aufwand betreiben möchte kann sich über Plesk informieren, was die Administration vereinfacht, aber auch mit zusätzlichen Kosten verbunden ist. Ansonsten gibt es noch “Managed Server”, die vollständig vom Anbieter administriert werden. Selbst tun muss man dann nichts mehr. Die Kosten liegen hierbei zwischen 15 Euro und mehr als 100 Euro pro Monat je nach Produkt. Als günstigere Alternative lohnt es sich dann doch eher Webhostingprodukte zu buchen oder spezielle Angebote je nach Anwendung, z.B. der eigene OwnCloud-Server.

My Free Software Activities in June 2016

My monthly report covers what I have been doing for Debian. I write it for Debian’s Long Term Support sponsors but also for the wider free software community in the hope that it might inspire people to get more involved with Debian or free software in general.

Debian Android

Debian Games

  • I packaged CaveExpress and CavePacker for Debian. CaveExpress is a remake of the old Amiga classic Ugh! In this game you control a pedal-powered flying machine and pick up packages from your clients. An interesting aspect of CaveExpress is its physics-based gameplay. The packages must be delivered to a collection point and their movement is quite realistic thanks to the excellent Box2d physics engine. The other game, CavePacker, based on the same engine as CaveExpress is a Sokoban-like game. Both games feature dozens of levels and if you have nothing better to do, you should definitely check them out.
  • This month I also packaged a new upstream release of Netpanzer. Apparently there is new upstream activity.
  • Blockattack 2.0 was released and is now available in Debian.
  • I also updated the following packages: kball, pathogen, ceferino, slimevolley, pangzero and airstrike.
  • I adopted abe, berusky and berusky-data, updated the packages to use modern debian helpers and also packaged version 1.7 of berusky, a great Sokoban-like game by the way.
  • June also saw a new release of debian-games, several metapackages that make it much easier to install a subset of games or even the finest.
  • I sponsored RC-bug fixes for parsec47, tumiki-fighters, mu-cade and tatan all prepared by Peter De Wachter who keeps our D (yes, that’s a language) games alive. But we will face more issues in the post Stretch future. Apparently the D language people intend to remove parts of their API and of course all our D-based games are affected. Peter has announced more information about that. I think all these games are pretty unique and real gems. If you know a little D and want to help out, please get involved.

Debian Java

Debian LTS

This was my fifth month as a paid contributor and I have been paid to work 19,75 hours on Debian LTS. In that time I did the following:

  • DLA-501-1. Salvatore Bonaccorso from Debian’s Security Team discovered that the original fix for CVE-2015-7552 (DLA-450-1) was incomplete. I prepared and uploaded a new revision of gdk-pixbuf and issued the DLA.
  • DLA-502-1. Issued a security update for graphicsmagick fixing 1 CVE.
  • DLA-504-1. Issued a security update for libxstream-java fixing 1 CVE which was prepared by Emmanuel Bourg.
  • DLA-505-1. Issued a security update for libpdfbox-java fixing 1 CVE.
  • DLA-508-1. Issued a security update for expat fixing 2 CVE.
  • DLA-511-1. Issued a security update for libtorrent-rasterbar fixing 1 CVE.
  • DLA-526-1. Issued a security update for mysql-connector-java fixing 1 CVE. I also prepared the update for Jessie which is still pending to be reviewed by the Security Team.
  • DLA-528-1. Issued a security update for libcommons-fileupload-java fixing 1 CVE.
  • DLA-529-1. Issued a security update for tomcat7 fixing 1 CVE.
  • DLA-530-1. As previously announced I switched the default Java implementation from OpenJDK 6 to OpenJDK 7.
  • DLA-537-1. Issued a security update for roundcube fixing 1 CVE. I triaged CVE-2016-5103, CVE-2015-2180 and CVE-2015-2181 and marked them as “not-vulnerable”.
  • I triaged 22 CVEs for libarchive and marked two of them as “not-vulnerable”. You can find my preliminary work for libarchive on the wheezy branch in Debian’s git repository. I expect a security update very soon.
  • From 13 June to 19. June I was responsible for Wheezy’s LTS frontdesk. It was a rather calm week on the debian-lts mailing list and in our IRC channel. I triaged CVE-2016-4970 (netty), CVE-2016-3189 (bzip2), CVE-2016-1621 (libvpx) and CVE-2016-4493, CVE-2016-4492, CVE-2016-4491, CVE-2016-4490, CVE-2016-4489, CVE-2016-4488, CVE-2016-4487, CVE-2016-2226 which were all minor issues in developer tools or in the gcc toolchain.
  • I commented on Ola’s question about open security issues in phpmyadmin.

QA uploads

  • I fixed pygccxml that threatened to remove spring.
  • I completely overhauled gl-117, fixed four bugs and closed two obsolete ones. gl-117 always reminds me a little of the Falcon series from the early 90ies.

My Free Software Activities in May 2016

My monthly report covers what I have been doing for Debian. I write it for Debian’s Long Term Support sponsors but also for the wider free software community in the hope that it might inspire people to get more involved with Debian or free software in general.

Debian LTS

This was my  fourth month as a paid contributor and I have been paid to work 30 hours on Debian LTS. During this month I worked on the following things:

  • DLA-460-1. Issued a security update for file fixing 1 CVE.
  • DLA-461-1. Issued a security update for nagios3 fixing 1 CVE.
  • From 2 May until 8 May I managed the LTS frontdesk and triaged CVEs in ikiwiki, jansson, libuser, librsvg, roundcube, ocaml, wpa and sogo. I reviewed a security update of icu for Roberto C. Sánchez. I also reviewed the security update of ikiwiki prepared by Simon McVittie and took care of the announcement which resulted in DLA-463-1.
  • DLA-468-1. I fixed two serious issues in the libuser library that allowed a normal user to gain root privileges and to corrupt /etc/passwd.
  • DLA-449-2. I issued a regression update for botan1.10’s reverse dependencies, monotone and softhsm. Both packages had to be rebuilt in Wheezy. I also prepared the no-change rebuilds for all reverse-dependencies in Jessie. (DSA-3565-2)
  • DLA-471-1. Issued a security update for jansson fixing 1 CVE.
  • DLA-473-1. Issued a security update for wpa fixing 2 CVE.
  • DLA-475-1. Issued a security update for python-tornado fixing 1 CVE.
  • DLA-483-1. Issued a security update for expat fixing 1 CVE.
  • DLA-484-1. Issued a security update for graphicsmagick fixing 8 CVE. Graphicsmagick is a fork of Imagemagick and also affected by vulnerabilities commonly known as ImageTragick. It is likely that we will see more CVEs in the near future.
  • DLA-488-1. Issued a security update for xymon fixing 4 CVE. I marked CVE-2016-2057 as not-affected in Wheezy.
  • DLA-490-1. Issued a security update for bozohttpd fixing 2 CVE.
  • Misc: I sent a short news update to and debian-lts-announce which was released on 2 June and announced the now official support of armel and armhf for Wheezy LTS.
  • I sent a DLA announcement for Icedove. The security update was prepared by Christoph Goehre. (DLA-472-1)

Debian Android

  • I packaged a new version of apktool. This tool has several issues at the moment. The most important one is the missing basic framework resource files which are needed for decoding apk files. They are not part of the source tarball release so we need to find other ways to make them available in Debian. Chirayu Desai, one of the GSoC students 2016, already came up with a good proposal.
  • We had our first GSoC meetings.

Debian Java

  • I fixed an RC bug in gradle-jflex-plugin due to an incompatibility with Gradle >= 2.12.
  • I clarified licenses and updated debian/copyright for Netbeans. I also removed some files from the original tarball with possibly controversial licenses.
  • I packaged new upstream releases of hsqldb and objenesis and updated fontchooser.
  • I sponsored libmnemonicsetter-java for Felix Natter.
  • I prepared a security update for Tomcat 8 which still awaits  approval by the Security Team.
  • I spent too much time with trying to upgrade libnetlib-java. In the end I came to the conclusion that it is not worth the effort.

Debian Games

  • I fixed a long standing RC bug in warzone2100 and another bug in fretsonfire.
  • I packaged new upstream releases of springlobby, freeorion and freeciv. This fixed the lags in FreeOrion which were seemingly introduced by an X server update. I also uploaded the latest versions of FreeCiv and Minetest to jessie-backports.


  • Xarchiver crashed when someone attempted to cancel the extraction procedure with the Thunar plugin. (#822115) I fixed the issue in Sid, Stretch and Jessie.

My Free Software Activities in April 2016

My monthly report covers what I have been doing for Debian. I write it for Debian’s Long Term Support sponsors but also for the wider free software community in the hope that it might inspire people to get more involved with Debian or free software in general.

Debian LTS

This was my third month as a paid contributor and I have been paid to work 16 hours on Debian LTS. During this month I worked on the following things:

DSA-3552-1: . . . → Weiterlesen: My Free Software Activities in April 2016

Syncany: Dropbox-Alternative für die Datensicherung in der Cloud

Da habe ich eben noch von der klassischen Sicherung auf externe Datenträger geschrieben und natürlich gibt es noch die Möglichkeit alles Wichtige wie Fotos, Urkunden, Krankenakten und Versicherungspolicen säuberlich eingescannt und für jeden einsehbar in der ominösen Cloud abzuspeichern. Warum nicht einfach beides nutzen? Doch macht das alles wirklich Sinn und welche Alternativen gibt es?

Anfang des Jahrzehnts nutzte ich für eine Weile Dropbox, weil es für mich ein einfacher Weg war, um Dateien an andere Leute freizugeben. Gleichzeitig hatte . . . → Weiterlesen: Syncany: Dropbox-Alternative für die Datensicherung in der Cloud

luckyBackup: Die benutzerfreundliche Datensicherung mit rsync

Was Backup-Lösungen angeht halte ich es am liebsten einfach. Rsync ist immer noch mein bevorzugtes Werkzeug für die Datensicherung und in Kombination mit Dirvish setze ich es noch heute ein, um wichtige Informationen auf meinem Laptop und dem entfernten vServer zu sichern. Nun hat rsync auch so seine Tücken. Insbesondere kann ich mir die Dutzenden von Kommandozeilenoptionen nicht alle merken und die Handhabung lässt sich schwer mit dem Wort intuitiv umschreiben. Es stellt sich immer mal wieder die Frage, ob . . . → Weiterlesen: luckyBackup: Die benutzerfreundliche Datensicherung mit rsync

My Free Software Activities in March 2016

My monthly report covers what I have been doing for Debian. I write it for Debian’s Long Term Support sponsors but also for the wider free software community in the hope that it might inspire people to get more involved with Debian or free software in general.

Debian LTS

This was my second month as a paid contributor and I have been paid to work 14,25 hours on Debian LTS. During this month I worked on the following things:

DSA-3530-1: . . . → Weiterlesen: My Free Software Activities in March 2016

Debian mit FreeBSD-Kernel: GNU/kFreeBSD

Im Jahr 2013 kam ich zum ersten Mal mit Debian GNU/kFreeBSD in Berührung als ich an einem Patch für libgphoto2 arbeitete. Galt GNU/kFreeBSD zu Zeiten von Debian 6 “Squeeze” noch als technische Vorschau, war es in Debian 7 “Wheezy” schon eine offiziell unterstützte Debian-Architektur. Als Teil von Debian Testing konnten demnach Kompilierungsfehler von GNU/kFreeBSD die Veröffentlichung eines Pakets verhindern. Dieser Status hat sich mit der aktuellen stabilen Debian-Veröffentlichung nun erneut geändert, leider aber zum Schlechteren. GNU/kFreeBSD ist keine offizielle unterstützte . . . → Weiterlesen: Debian mit FreeBSD-Kernel: GNU/kFreeBSD