Leserartikel [How-To] Arch Linux installieren (verschlüsselt, gehärtet, spieletauglich, modular)

[agon]

RDP

Evtl.:
doas pacman -S --asdeps freerdp
doas pacman -S krdc (Client: krdc | Server: krfb)

In Kapitel 13.6.1.2 INTERACTION sind aber noch die Kommentarzeichen vor dem toggle_hud und toggle_logging vorhanden. Nach meinem Verständnis der Anleitung müssten die doch auch weg, oder?

Das sind Default-Tastenkombinationen, welche wichtig zu wissen sind und welche man ändern kann.
Shift_L+F2 ist bspw. für CS2 nicht gerade ideal, da es dort schon belegt ist.
Heißt nun "FYI: INTERACTION".

 

[Beelzebub23]

Evtl.:
doas pacman -S --asdeps freerdp
doas pacman -S krdc (Client: krdc | Server: krfb)

Jepp, die beiden hab ich genutzt. Nur die Parameter für Bildschirmnutzung mit Multimonitor im Fullscreen und Weiterleitung von Audio und Micro laufen noch nicht so wie ich es gern hätte. Da probiere ich gerade noch rum. Über krdc kann man leider nicht alles so genau einstellen wie auf der Konsole

Das sind Default-Tastenkombinationen, welche wichtig zu wissen sind und welche man ändern kann.
Shift_L+F2 ist bspw. für CS2 nicht gerade ideal, da es dort schon belegt ist.
Heißt nun "FYI: INTERACTION".

Ah ok, so ist das gemeint. 👍

 

[Big Ed]

moin ich spiele es aktuell in einer vm durch danke für die anleitung.
aktuell bin ich am secure boot konfigurieren stecken geblieben und der efi-loader willl nicht automatisch starten. Dake für das copy paste verfahren setze die Maschine erneut als VM auf.
Ist es möglich kleine Änderungen ins ODT-Textformat einzupflegen und diese zur Prüfung an den Ersteller zu senden?

Ride On

 

[agon]

aktuell bin ich am secure boot konfigurieren stecken geblieben und der efi-loader willl nicht automatisch starten.

Für QEMU/KVM benötigst du "UEFI x86_64: …/x64/OVMF_CODE_4M.secboot.fd"
Sonst überspringe das einfach erst mal. (Die 2023er MS certs auch weglassen.)

Ist es möglich kleine Änderungen ins ODT-Textformat einzupflegen und diese zur Prüfung an den Ersteller zu senden?

Ich bin der Ersteller.
Du kannst die geänderte Version als ODT hier hochladen.
> In LO Writer: Tracking aktivieren oder Kommentare einfügen.

---

Es gibt neue PipeWire-Pakete: pipewire-session-manager & pulse-native-provider.
pipewire-session-manager fliegt dann raus, da es als Abh. installiert wird.

 

[Big Ed]

eine frage noch zum hardening, ist das secure boot feature wirklich so fancy, dass es sich überhaupt lohnt im privaten bereich auszurollen und einzusetzen?
habe jetzt bisschen das ganze nachgespielt und gesetern erst wieder über eine UEFI sicherheitslücke gelesen, dass irgendiwe mit den LOGO bildern kombiniert, zugriff auf das UEFI ermöglicht.

zurück zum secure boot feature unter linux, ist es sinnvoll?
so mit LUUKS verschlüsselung und auch den low latency stuff, gehe ich, mit verstehe ich, aber secure boot?

 

[agon]

und gesetern erst wieder über eine UEFI sicherheitslücke gelesen

Quelle?

zurück zum secure boot feature unter linux, ist es sinnvoll?

Also ich finde es sinnvoll. Ubuntu, Fedora & andere seriösere Distros unterstützen SB (nicht nur der Kompatibilität wegen).
> Secure the Windows boot process#Secure Boot, Brave New Trusted Boot World.

 

[sedot]

Quelle?

Ich bin mal so frei;
https://www.bleepingcomputer.com/ne...n-install-uefi-bootkits-through-bootup-logos/

Zu LogoFAILgab es in den letzten Tagen Meldungen in verschiedenen Publikationen.

Hierhin linkt bleepingcomputer als Quelle;
https://www.blackhat.com/eu-23/brie...ons-of-image-parsing-during-system-boot-35042
Das ist auch ein kurzes Abstract.

 

[agon]

"The researchers found that an attacker could store a malicious image or logo on the EFI System Partition (ESP) or in unsigned sections of a firmware update."
> Hier evtl. angreifbar, wenn man ein EFI-Update über einem USB-Stick durchführt. Auf /efi/ hat nur root Zugriff.
Das Boot-Logo kann man oft auch im UEFI deaktivieren. Das UEFI Admin Passwort ist hier nicht relevant(?)

So oder so kommen demnächst die Patches. Schlechte Sicherheit ist auch besser als gar keine.

 

[sedot]

So oder so kommen demnächst die Patches.

Ich bin jetzt kein Experte, meinem (Laien-)Verständnis nach muss das UEFI selbst gepatcht werden da der potenzielle Angriff noch vor dem Boot des OS stattfinden kann. Wann und/oder ob der Hersteller meines Boards überhaupt einen Patch nachschiebt bleibt abzuwarten.

 

[andy_m4]

Früher war alles ähm ... einfacher. Da gabs irgendwie nur ein BIOS und das war auf einem ROM und das war dann nicht patchbar aber i.d.R. war das auch kein Problem, weil es einfach war und damit auch gut testbar.
Inzwischen ist Firmware fett und die Wahrscheinlichkeit für Fehler und die Angriffsfläche wird größer. Und weil es fetter ist, ist die Fehlerwahrscheinlichkeit höher. Man muss also eine Infrastruktur mitschleppen um das ganze patchbar zu machen. Das wiederum erhöht dann wiederum die Angriffsfläche usw.
Insbesondere da bösartige Firmware nicht mehr so ohne Weiteres von Betriebssystem erkannt werden kann. Um mit der Problematik umzugehen braucht man dann auch wieder eine Supervisionsmöglichkeit was noch mehr Komplexität und damit Angriffsanfälligkeit reinbringt.
Komplexitätserhöhung hat halt immer im Schlepptau weiter notwendige Komplexitätserhöhung. Das ist ein Rattenschwanz ohne Ende. Und anstatt man sich dann mal sagt: Ok. Back to the roots. Wirds immer schlimmer.
Gleichzeitig sind wir heutzutage immer mehr abhängig von einer funktionierenden IT. Ich weiß nicht, wo das noch hinführen soll.

 

[Big Ed]

so mein verständnis warum und wieso welche härtungsgrade.
ich nutze meinen rechner ausschließlich privat, experimentiere damit gerne rum und habe sogar ein tripple boot streng genommen ein quadroboot system.
1. Windows gaming barmetal und virtuell mit gpu passthrough
2. pop_os! linux spielen und linux
3. proxmox experminetiere damit
4. Unraid baremetal und virtualisiert

veschlüsseln der Platten weil: Sicherheit zu haben, dass wenn jemand direkt an meinen rechner kommt nicht einfach daten abziehen kann, folge backup wird komplexer
UEFI und secure boot: weil eben das mittlerweile da ist und eben feststellen soll, das sich am system nichts geändert hat und man sich irgendetwas gefährliches einfängt, um sich aber etwas einzufangen wurde wie schon erwähnt das BIOS abgelöst durch diese neue funktionalität des UEFI und der menge an daten die jetzt gespeichert werden können, können noch mehr (schad)-software vor dem betriebssystem geladen werden.
TPM: vor UEFI das sicherheitsschloss um zu verschlüsseln und zu härten.

selbst ich habe nur persönliche daten auf dem rechner und gehe nicht davon aus, dass jemand interresse an meinen daten hat, außer vielleicht meine infrastruktur für ein botnetz zu nutzen oder mich zu ärgern und alles verschlüsseln um irgendeinen betrag x gegen bitocoins von mir zu erpresssen.

ich vrestehe wenn es sensible daten sind von konzernen, firmen usw. das man härten sollte, aber mir erschließt sich der sinn nicht überhaupt erst zu verschlüsseln, denn wenn jemand bei mir einbricht wird es gestohlen und evtl. irgendow verhökert.

denn wenn dein rechner in betrieb ist, bist auch unverschlüsselt und der dreck an (schad)software den dir dann einfängst ist und nicht abgefangen wird, trifft dich genauso hart. es ist toll es mal zu versuchen und diese anleitng hier lauffähig zu bekommen aus hobby und interresse. erhöht die komplexität und alles andere.

beispiel bakup: aktuell sichere ich meine dinge komplett über nacht ~ 10-14 Stunden auf eine exsterne platte und habe ein mirror der verbauten festplatten zum stand x mit installierter software, das mit clonezilla und unvershlüsselt. es ist theoretisch auch mögliich verschlüsselt die paltten zu spiegeln und wieder herzustellen, aber wenn dann noch secure boot ins spiel kommt etc und bei einem firmware patch man noch die ganzem keys im UEFI erst sichern muss und danach wieder einspielen muss um ein lauffähiges system zu haben deutlich merh aufwand für einen user un dmehr potentielle fehlerquellen.
ich habe mir gedanken auch gemacht um meine rechner daheim in irgedneiner weise automatisch zu verwalten und zu sichern inkl. betriebssystem auf NAS und zusätzlich noch auf ext. festplatte, aber nehme immer mehr abstand davon, da es unmengen an zeit firsst bis es eingerichtet ist und meist noch weitere kostenpflichtige softwarei ins spiel kommt.

danke @SE. für das nachreichen der quellen wegen dem UEFI hack
irgendwo kiss (keep it simmple stupid) prinzip vs unendliche komplexität und fehlerquellen die waage zu finden ist mittlerweile echt schwierig.

das nur für den fall, das ein böser mensch einbricht, meinen rechner anzapft oder mitnimmt und meine persönlichen daten im netz postet.
im gengensatz dazu es die böse software aber auch im betriebsmodus schafft auf meinen rechner zu kommen und das gleiche erreichen kann, da im betrieb die platte ja aufgeschlossen ist.

so denke ich mal darüber, leider ist die sicherheit immer mehr durchlöchert durch die gesteigerte komplexität,

sorry für die textwall.

 

[andy_m4]

leider ist die sicherheit immer mehr durchlöchert durch die gesteigerte komplexität,

Ja. Das ist ein Punkt. Auf der anderen Seite sagt ja auch niemand, das man alles was möglich ist auch machen muss. Man kann ja für sich selbst gucken, welche Dinge für einen wirklich relevant sind und dann auch nur das realisieren.

 

[agon]

Reduziert euer OT
Versucht mal in diesem Thread nur Sachen zu diskutieren, welche dem Guide auch nützen. Also Guide-spezifisches, nichts Themen-spezifisches.

Probleme mit firejail? -> Neuen Thread erstellen.
Sicherheitslücke in Komponente XY? -> Neuen Thread erstellen.
Sollte ich verschlüsseln? -> Neuen Thread erstellen.

Ich möchte hier keine Probleme, sondern Lösungen sehen.
(Ein bisschen OT & Spaß nebenbei ist OK.)

 

[agon]

BTT
Kernel parameters resume= & resume_offset= are no longer needed w/ systemd 255.
lockdown=integrity continues to deactivate hibernation.

"Measured UKI" is present w/ TPM2 support. See bootctl.

 

[Big Ed]

ok @agon hast ja auch recht, baue es vielleicht komplett außerhalb einer vm nach, direkt auf eine festplatte, bin gespannt wie es vs vm funktioniert, also barmetal mal probieren. hofffentlich zerschieße ich mit dem secure boot feature nicht mein ganzes system LOL.
werde mich einlesen, bevor ich es nochmals angehe.
bleib dran, toller thread.

 

[agon]

hofffentlich zerschieße ich mit dem secure boot feature nicht mein ganzes system LOL.

Falls du dich auf "Microsoft's UEFI CA certificates" beziehst: Warum bindest du die nicht einfach ein?
Nebenbei: Bei meinem Dell Notebook benötige ich die nicht & bei meinem ASUS-Board funktioniert SB ohne diese Certs einfach nicht (kein Brick).

Microsoft's 2023er Certs sollten nun funktionieren. Das Arch-Wiki wurde auch dementsprechend geändert.

firmware keys:
  PK:
    /CN=my Platform Key
  KEK:
    /CN=my Key Exchange Key
  db:
    /C=US/O=Microsoft Corporation/CN=Windows UEFI CA 2023
    /C=US/O=Microsoft Corporation/CN=Microsoft UEFI CA 2023
    /C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Corporation UEFI CA 2011
    /C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/CN=Microsoft Windows Production PCA 2011
    /CN=my Signature Database key
  dbx:
    ...

 

[agon]

Arch Linux [Mini-Update]

• OpenRGB is no longer an AUR package
• There are new pkgs for OpenRazer > Refers to the wiki page
• MOZ_ENABLE_WAYLAND=1 firefox no longer needed for Wayland
• mpv:
  • New: Good alternative upsampling shader: ravu-zoom-ar-r3 (in gather/ or compute/)
  • Update: mpv v0.37 comes with a newer libplacebo version & vapoursynth support -> AUR packages are no longer necessary.

 

[agon]

Arch Linux [Update]

• Update:KDE
  • New: Recommended & Optional apps from KDE Gear
    Also the kde-utilities-meta package became too bloaty.
  • Update: isoimagewriter will be the new ISO flashing tool (KDE6 app)
  • Update: The "Phonon (Qt 5) backend" is now phonon-qt5-vlc (instead of the deprecated phonon-qt5-gstreamer). For KDE6, it will be phonon-qt6-vlc.
• New: The Qt Multimedia backend is qt6-multimedia-ffmpeg (recommended by Qt).
• New: Intel QuickSync (QSV)

News: mpv v0.37 is out!

News: dbus-broker is compatible with AppArmor -> During system upgrade, choose dbus-broker-units.
"It turns out that the "AppArmor support" talked about is an Ubuntu feature requiring a patched kernel adding SO_PEERSEC (Ubuntu also patches dbus-daemon), see a GitHub comment. I've removed the references to AppArmor." – Source.

 

[agon]

Roadmap/TODOs/Misc.​

1. KDE Plasma 6 RC1 habe ich in der VM getestet.
So weit funktioniert alles. Ihr solltet aber möglichst viele Pakete von KDE5 sowie Qt5 deinstallieren. VLC benötigt bspw. noch Qt5. Auch Pakete wie plasma-wayland-session sollten deinstalliert werden. (pacman -Rns <pkg>; paru -c).


2. Nitrokey 3C NFC, den ich noch erwarte.
Geplant ist eine Integration mit KeePassXC und Passkeys (FIDO2/WebAuthn Discoverable Credential) – fürs Erste. Ihr könnt mir da gerne weitere Vorschläge machen. Vielleicht von @Spike S.?

Nebenbei: Das "SE050 secure element backend" kann nun auch aktiviert werden – ist jedoch noch experimentell, siehe: https://github.com/Nitrokey/nitrokey-3-firmware/releases.
nitrokey-app2 gibt es nun auch als AUR-Paket (mit Qt6/PySide6 migration).
Passkeys sollen in der nächsten größeren Version von KeePassXC unterstützt werden.


3. QMK (Quantum Mechanical Keyboard Firmware)
Mein Custom-Keyboard ist nun vollständig. Es handelt sich dabei um:

• Case & PCB: YMDK Melody96 (Kit 2, Hotswap, Layout D, Brass plate, South Facing)
  Sehr gute Qualität!
• Keycaps von GMK (Cherry-Profil; auch der Kompatibilität wegen)
• Switches: C³Equalz X TKC Tangerine (62g)
  Auf jeden Fall besser als die Gateron Yellows & Cherry Reds. Die Tangerines wurden leider nicht gleich gut gelubt. Die Tealios V2 sind dann doch eine Liga besser, aber auch teurer (jetzt nur noch 8€/10 switches).
• Screw-in Stabilizer: DUROCK V2

Erstaunlicherweise ist das Flashen der Firmware relativ einfach, siehe: https://docs.qmk.fm/#/newbs.
Für einen besseren Überblick könnte ich dazu etwas schreiben.
Man kann bspw. QK_BOOT auf Fn+ESC binden, um schnell in den "DFU (Bootloader) Mode" zu gelangen. NKRO ist kurioserweise auch standardmäßig deaktiviert. Solche Sachen wären dann auch im Guide zu finden, wie man das aktiviert.

Ich hatte noch geplant, vom Numpad die große "+"-Taste in "-" & "+" zu verwandeln, und die "Enter"-Taste in zwei kleinere zu ersetzen, denn links gibt es doch schon eine große ISO-Enter-Taste. EDIT: Das geht nur mit der soldered Version.

Ich schreibe morgen weiter.

 

[Spike S.]

Ich hatte KeepassXC mit dem Nitrokey zum Laufen bekommen, konnte damit die Datenbank entsperren. Nutze das allerdings gar nicht momentan. Habe dann auch nicht weiter gemacht, bei weiteren Einsatzmöglichkeiten vom Nitrokey. Ich bräuchte erst einen zweiten Nitrokey, als Backup, sonst fühlt sich das für mich unsicher an^^
Bei Passkeys warte ich auf die Umsetzung in/um KeepassXC, bis dahin ziehen vielleicht noch weitere Online-Dienste nach, mit der Unterstützung.

Und zu KDE6, hatte mich schon gefragt, ob Januar oder Februar gesagt war....und ob die im Zeitplan liegen
Auf jeden Fall war ich überrascht, über mein gestriges Update, fast 1GB (ganz grob aufgerundet) an KDE5 Apps...

Ansonsten steht bei mir auch noch eine QMK/VIA Tastatur auf der Agenda....