Unfortunately boohomil went off grid. I still haven’t replicated his config fully. And it still sucks.
One more step was fixing those super-ugly ligatures in Linux. Works at least in LibreOffice (just restart the app to see changes).
Ever used update-alternatives to switch everything to vim and … crontab -e still used nano?
Well, I had this. I found the answer:
|
1 |
select-editor |
I recently had to re-install my beloved Arch Linux. For security I need (and use) full disk encryption. This is a cheatsheet for the whole procedure, because although the Arch Linux Wiki is excellent, it is also huge and sometimes you must pick your stuff together from many pages.
This is what I am doing here 🙂
NOTE: Usually you only have to follow the one subsection I link to!
One after another, we will do the following steps
Use parted to init the disk and …
Basically,
Cause we want “properly” encrypted swap (you can also encrypt swap using a /dev/random key every time, but then you will not persist data between reboots and you can’t do things like suspend-to-disk), we need at least two “partitions” “inside” the crypted volume. Sounds like LVM on LUKS? It does. We already used it 🙂 .
NOTE: Do not follow the above link down to “prepare the boot partition”, cause they use ext2 and we need FAT32 for EFI boot partitions. Just don’t.
I use the name “secure” for the VG, and I use btrfs cause I am so incredibly elite, and so we don’t need to set a specific size for the / and /home “partitions” and can just use btrfs subvolumes, while still being able to wipe the system without the home directories. That’s pretty neat if you need it (I never did, but now I can ;). So that’s the final setup:
|
1 2 |
/dev/mapper/secure-swap 40 GB, swap /dev/mapper/secure-system rest, btrfs with 2 subvols: root & home |
Of course, Arch has already a wiki page section for that. I did it 3 times in a different way until I found it and had to do it again. So here is my summary.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
# CREATE BTRFS & SUBVOLUMES $ mkfs.btrfs /dev/mapper/secure-system $ mount /dev/mapper/secure-system /mnt $ btrfs subvolume create /mnt/@ $ btrfs subvolume create /mnt/@home $ btrfs subvolume create /mnt/@snapshots $ umount /mnt # MOUNT PARTITIONS $ mount -o subvol=@ /dev/mapper/crypted-system /mnt $ mkdir -p /mnt/home /mnt/boot $ mount -o subvol=@home /dev/mapper/crypted-system /mnt/home $ mount /dev/sda1 /mnt/boot |
NOTE: /boot is not on an encrypted partition 😉 , and the leading “ @” is a convention for subvolumes which should be mounted somewhere. I also don’t use compress=... parameters, cause I don’t need / want transparent compression.
Then you follow up with the usual installation procedure, but you stop at the “Initramfs” section. Here we will pick up again.
We are using systemd-boot. Or bootctl, as the binary is called. It should be already installed. The procedure is also outlined here. We also enable TRIM support, it seems to lessen security, but it raises SSD performance and life time.
Now create those files (all inside /mnt and relative to it, but of course you should be in a chroot right now :):
|
1 2 3 4 5 |
title Arch Linux linux /vmlinuz-linux initrd /intel-ucode.img # ONLY FOR INTEL CPUs!! initrd /initramfs-linux.img options luks.uuid=FS_UUID root=/dev/mapper/secure-system rootflags=subvol=@ rd.luks.options=discard |
You can get FS_UUID in the options line above by using the blkid command. If you don’t want to copy the UUID by hand, you can start console mouse support with copy-on-mark and paste-on-middleclick with gpm -m /dev/input/mice -t imps2. Note that the FS_UUID is the UUID of the encrypted luks partition, and not the filesystem within!
The list of normal and dm-crypt related kernel parameters … well, is also in the Arch wiki.
|
1 2 3 |
default arch # the file above without .conf extension, can have wildcards!! timeout 2 editor 0 |
|
1 2 |
# Just MODIFY that file, to be precisely this line: HOOKS=(base systemd autodetect modconf keyboard sd-vconsole block sd-encrypt sd-lvm2 filesystems fsck) |
The key idea is to use the “systemd” parameters instead of the “normal” ones. The full list of hooks is of course also available, and the order is important.
Now execute:
|
1 |
mkinitcpio -p linux |
… and actually, that should be it.
|
1 |
$ reboot |
Ah, ich bin langsam – der Post schimmelt schon eine Weile hier vor sich hin, weil ich den Screenshot hochlade. Jetzt isses soweit. Es geht also weiter mit: Drucken. Denn irgendwann lief das System schließlich, und ich kam an den Punkt, an dem ich etwas drucken wollte. Gnome war installiert, Firefox auch, also theoretisch (kenne ich ja vom Mac, da verrichtet CUPS ja auch hervorragende Dienste) einfach die WebGui aufrufen, Drucker auswählen, fertig.
Zuallererst musste ich an Linus denken: root-Passwort-Eingabe für die Administration von CUPS nötig. Hm. Egal, eingegeben, dann “Add Printer” geklickt, und erst mal erfreut folgendes gesehen:
Hm. Sieht erst mal gut aus, oder? Na, jedenfalls bis man sich die Frage stellt: Welcher der Drucker ist jetzt genau der hier im Büro? Nur Typenbezeichnungen, kein Standort, keine IP? Nicht optimal.
Der Einfachheit halber einfach manuell installieren. IP vom Kollegen erfragt, und los. Und stop. Drucker URL eingeben … nur wie? Mit “http://”? Oder “lpd://”? Oder “ipp://”? Und hier dann mit oder ohne “/ipp” am Ende? Ich entschied mich für “ipp://” ohne “/ipp”. Dann bitte “Make and Model” auswählen, Brother war nicht in der Liste, Ende.
Aber kein Problem, Brother gibt ja eigens Linux-Treiber raus. Nur nicht auf der “normalen” Brother-Downloads-Seite, die hat nur Mac und Windows-Treiber. Hm. Ich bin faul, also mal die Variante versucht, die früher mal ging: Zurück, HP Drucker ausgewählt, PCL6, Testseite gedruckt, klappt … nicht. Na gut, wäre auch nicht schön gewesen, aber trotzdem.
Nochmal zurück, Drucker gelöscht. Dann Google bemüht, die “richtige normale” Brother-Homepage für den Linux-Support gefunden (wäre unter Support -> Linux gewesen, und nicht Support -> Downloads, aber ehrlich, wer schaut noch den Rest der Seite an wenn er das Bild unten sieht? Ich jedenfalls nicht).
Dort gibts für das von mir gesuchte Modell 5 Treiber zum herunterladen, und zwar folgende:
Aha. Ich entschied mich für PPD, ich bin ja CUPS, ne, und nochmal von vorn: Drucker hinzufügen, manuell, URL diesmal mit “ipp://…/ipp” (also mit “/ipp” am Ende), und siehe da – jetzt kamen auch automatisch Brother-Geräte in der Liste (WTF?), wenn auch nicht das Modell hier im Büro. Daher runtergeladenes PPD eingebunden, bestätigt, Testseite gedruckt, fertig.
Nicht so ganz optimal.
Wie versprochen – ein klein wenig gemecker über die Linux Desktop Bemühungen. Erste Hürde: Die Installation.
Meine Wahl fiel auf Arch Linux, das sollte gut sein, und ich wollte nicht auf den Ubuntu-Zug aufspringen. Bedingungen: Vollverschlüsselte Festplatte (incl. Swap und System), verlangt der Kunde. Ist prinzipiell gut dokumentiert, auch durch eine Howto eines Kollegen. Aber ich wollte statt LVM auf Partition mal BTRFS testen – wenn schon denn schon.
Um es kurz zu machen – die Installation dauerte knapp 3 Tage.
Zuerst bootete das System nicht. Grub 2 wollte partout nicht starten und hing – auch nach mehrfachem neu schreiben des Bootsektors – in einer Boot-Loop fest. Zwischendrin hatte ich Arch schon aufgegeben und es mit Ubuntu 13.04 versucht – nur auch hier startete Grub nicht durch, sondern hing einfach. Schließlich gelang mir ein Systemstart nach einem vollständigen Überschreiben der ersten 50 MB der Festplatte durch /dev/random, und einer Neuinstallation von Arch vom allerersten Schritt an.
Anschließend installierte ich Grafiktreiber, X, Gnome, aktivierte Swap in der /etc/crypttab und startete neu.
Der Laptop startete, ich muss mein Passwort für die Festplatten-Entschlüsselung eingeben, der Bildschirm flackert, und der Rechner steht. Erste Vermutung: Grafiktreiber. Keinerlei Debug-Meldungen nirgendwo.
Nach einer weiteren Arch Neuinstallation, da ich irgendwann einfach nicht weiter wusste, kam ich irgendwann durch Zufall und Faulheit auf den Trichter, dass es nicht die Grafik war (denn die ging dann auf einmal), sondern ein fehlerhaftes Einbinden der swap-Partition in der /etc/crypttab. Stand – wie ich im Nachhinein erfuhr – auch sehr klein im Kleingedruckten. So halb meine Schuld also, dennoch sehr, sehr schlecht zu diagnostizieren, und mit enormem Zeitverlust verbunden. Dass vergesse ich auch so schnell nicht wieder.
Ein neuer Blog, über Linux, Puppet, Systemadministration, und was mir sonst noch so technisches einfällt. Erstes Thema: Der Linux Desktop.
Es ist eine Ewigkeit her, seitdem ich hauptsächlich mit dem Linux-Desktop gearbeitet habe. Linux Server? Ständig. Dauernd. Immer. Aber Linux Desktop? Über 7 Jahre nicht mehr, mindestens. Und jetzt – die erste Frage in meinem aktuellen Projekt war: Was magst haben? Linux? Windows? 🙂 . Oh wie geil – Linux natürlich! Endlich konnte ich mal mit einer der aktuellen, vielgelobten, gut gereiften Linux-Distris arbeiten.
Dennoch bin ich von der Entwicklung der letzten Jahre alles andere als begeistert. In den nächsten Posts erläutere ich anhand einiger Beispiele aus erster Hand, warum.
Und ja, ich fange mein neues Blog mit einem klein wenig Gemecker an. Man gönnt sich ja sonst nix 🙂 . Trotz allem bin ich ein Fan, man redet schließlich nicht über Dinge, die einem egal sind.
Reply