Leserartikel [How-To] Arch Linux installieren (verschlüsselt, gehärtet, spieletauglich, modular)

Spike S. schrieb:
Ich bräuchte erst einen zweiten Nitrokey, als Backup
Für FIDO2-Dienste, kann man noch einen Backup-Faktor wie eine Telefonnummer, etc. verwenden (wenn man keinen zweiten FIDO2-Authentikator hat). Sonst halt OpenPGP-Schlüsselerzeugung mit Backup.
Nebenbei: "Starting from Android 14, users can opt to use third-party credential management apps to store their passkeys." – Google. -> KeePassDX v5.

Spike S. schrieb:
Und zu KDE6, hatte mich schon gefragt, ob Januar oder Februar gesagt war
Release ist am 28. Feb.
Also Anfang März bei Arch. Wayland werde ich dann bestimmt erst etwas später benutzen, wenn Wine & Steam (Games) Wayland gut unterstützen. Auf meinem Notebook benutze ich hingegen nur Wayland.

SDDM wird erst in Plasma 6.1+ besser integriert sein. -> Work that's been decided on but not implemented yet.
 
Auf QMK/VIA bin ich zur Black Friday Zeit auch gestoßen und jetzt darf eine potenzielle neue Tastatur nur noch so eine sein. (Diese möglicherweise)

@Spike S.
Ich bin gerade überrascht, dass ich davon nichts sehe. Es gab ein KDE Frameworks Update.

@agon
Hast du überlegt, auch die XDG base directory specification einzupflegen? Ich habe mich für eine systemweite Integration mittels pam_env entschieden und da musste ich mich auch a bisserl einarbeiten (Format, eigene Variante für Vim, usw.).
Gerade die Änderung, dass GTK Programme (Firefox vorwiegend) Qt Dialogfenster verwenden, hat zu leichten Problemen mit dem Mauszeiger geführt. Lösung war die Installation von xdg-desktop-portal-gtk.
 
  • Gefällt mir
Reaktionen: agon
Deinorius schrieb:
Hast du überlegt, auch die XDG base directory specification einzupflegen?
Wäre eine gute Idee. Also einfach:
doas vim /etc/security/pam_env.conf
> Append:
XDG_CONFIG_HOME DEFAULT=@{HOME}/.config
XDG_CACHE_HOME DEFAULT=@{HOME}/.cache
XDG_DATA_HOME DEFAULT=@{HOME}/.local/share
XDG_STATE_HOME DEFAULT=@{HOME}/.local/state

Deinorius schrieb:
Das ANSI-Layout hat natürlich seine Vorteile ggü. der ISO (v.a. fürs Tippen). Fürs Gaming ist eine kleine LShift-Taste mMn. bestimmt besser, da ohne Stabs & die kleine Ctrl-Taste ist genau darunter.
Wenn man das deutsche Layout benutzen möchte, dann fehlt auch die "<|>"-Taste.

Für das deutsche Layout gibt es mehrere Möglichkeiten:
  • Man benutzt ein "Denglisches" Layout (mit AltGr): Ä->AltGr+A, ...
  • Man bindet folgende Tasten (mit Fn, Layer 1): Ä->Fn+A, Ö->Fn+O, Ü->Fn+U, ß->Fn+S.
Ich werde wahrscheinlich das Numpad auf Layer 2 klatschen.
Für Layer 0: Num7->PgUp & Num4->PgDn. Die Medien-Tasten landen dann alle oben rechts. Ich habe kB, dazu eine weitere Taste zu drücken. Und die F-Reihe ist mir heilig ;)

Ich glaube, ich müsste die Latenz der Melody96 verringern. Kontext: https://michael.stapelberg.ch/posts/2018-04-17-kinx-keyboard-controller/
 
Zuletzt bearbeitet:
agon schrieb:
Wäre eine gute Idee. Also einfach:
Genau. /etc/environment wird zwar an sich vorher ausgelesen, aber ich habe mich doch lieber für /etc/security/pam_env.conf entschieden, weil es erweiterter ist... oder sein kann.

Zusätzlich würde ich auch, gerade für Anfänger, das Tool xdg-ninja anraten. Es gibt eine einfache Übersicht darüber, welche Ordner einfach verschoben werden können, wo es keine Chance gibt und bei welchen man zusätzliche Schritte unternehmen muss. (dep.: jq, glow)

Meines sieht z.B. so aus:
Code:
# Environment variables for $HOME folders
#
XDG_CACHE_HOME   DEFAULT=@{HOME}/.cache
XDG_CONFIG_HOME  DEFAULT=@{HOME}/.config
XDG_DATA_HOME    DEFAULT=@{HOME}/.local/share
XDG_STATE_HOME   DEFAULT=@{HOME}/.local/state

# Moving away files/folders from $HOME using XDG Portals
#
HISTFILE         DEFAULT=${XDG_STATE_HOME}/bash/history
# $HOME/.fonts.conf file moved to $XDG_DATA_HOME/fontconfig/fonts.conf
# $HOME/.fonts folder moved to $XDG_DATA_HOME/fonts
#GNUPGHOME        DEFAULT=$XDG_DATA_HOME/gnupg
GTK2_RC_FILES    DEFAULT=${XDG_CONFIG_HOME}/gtk-2.0/gtkrc
KDEHOME          DEFAULT=${XDG_CONFIG_HOME}/KDE
DVDCSS_CACHE     DEFAULT=${XDG_DATA_HOME}/dvdcss
MYVIMRC          DEFAULT=${XDG_CONFIG_HOME}/vim/vimrc
NPM_CONFIG_USERCONFIG   DEFAULT=${XDG_CONFIG_HOME}/npm/npmrc
# $HOME/.pki folder moved to $XDG_DATA_HOME/pki
_JAVA_OPTIONS    DEFAULT=-Djava.util.prefs.userRoot=${XDG_CONFIG_HOME}/java
# $HOME/.pulse-cookie file moved to $XDG_CONFIG_HOME/pulse/cookie
VIMINIT          DEFAULT="source ${MYVIMRC}"
ZDOTDIR          DEFAULT=${XDG_CONFIG_HOME}/zsh

# Unified file dialog under KDE Plasma
#
#GDK_DEBUG=portals
GTK_USE_PORTAL=1

Wie gesagt, für GTK_USE_PORTAL=1 sollte man xdg-desktop-portal-gtk installieren. Davor hat Firefox den hässlichen Standard GTK Mauscursor verwendet. Bleachbit glaube ich auch. Jetzt scheint letzteres aber den dark mode nimma verwenden zu wollen. Keine Ahnung, ob das damit zu tun hat.

Das einzige Problem, das ich habe und das würde nicht auffallen, wenn man nicht das journal abrufen würde, sind folgende Fehler, zu denen ich absolut nichts im Internet gefunden habe, also keine Ahnung, wie man das berichtigen könnte:
Code:
sddm-helper[1132]: pam_env(sddm:setcred): Unrecognized Option: Test  003c,erdtion file for pam_env, a PAM module to load in - ignoring line
sddm-helper[1002]: pam_env(sddm-greeter:setcred): Unrecognized Option: Test  003c,erdtion file for pam_env, a PAM module to load in - ignoring line
(systemd)[1135]: pam_env(systemd-user:session): Unrecognized Option: Test  003c,erdtion file for pam_env, a PAM module to load in - ignoring line
sddm-helper[1132]: pam_env(sddm:session): Unrecognized Option: Test  003c,erdtion file for pam_env, a PAM module to load in - ignoring line

agon schrieb:
Das ANSI-Layout hat natürlich seine Vorteile ggü. der ISO (v.a. fürs Tippen).
Nicht das ANSI-Layout, ich habe ISO ausgewählt. Das erstere hat ja Vorteile für Programmierer, aber ich bin keiner, also wurscht. :p
Ich weiß noch nicht 100pro, ob es das Q5 Pro wird, oder ob ich das Numpad doch links möchte... oder gar keines (aber ich glaube schon). Was ich aber bei diesem Modell sehr mag (ursprünglich beim V5 gefunden und dann das Q5 bzw. Q5 Pro entdeckt), sind die Abstände zwischen den Bereichen. Ich will auf blinde Art einfach sofort alle vorfinden können. Das habe ich beim Recherchieren am K4 Pro gar nicht gemocht.
Die F-Reihe ist heilig. Ich würde auch nie ein Laptop ohne physiche F-Reihe kaufen... DELL!

Ich bin mir auch unsicher, ob ich KSA Caps nehmen würde. Ich nehme an, das meinst du mit den angewinkelten F-Tasten. Man kann immer noch Cherry nehmen (siehe hier). Hier liegt ja auch der Hund begraben. Ich würde es soooo gerne austesten. Ich habe im Grunde keine Ahnung. Ich glaube, ich würde lieber brown-Switches nehmen, aber was weiß ich. Wie hast du dich entscheiden können?
Würden mir stärker angewinkelte F-Tasten besser liegen? Ich sehe definitiv die Vorteile.
Ich weiß jetzt nicht genau, was du mit kantig meinst. Sind sicher beide sehr hochwertig. Das Q5 Pro hast zwar kein Messing, aber es wiegt dennoch 2,3 kg. Das sollte doch reichen. xD Und obwohl ich den Akku nicht bräuchte, so ist es dennoch sehr nützlich, wenn ich doch mal einen Raspberry Pi anwerfe.
 
  • Gefällt mir
Reaktionen: agon
Deinorius schrieb:
Wie gesagt, für GTK_USE_PORTAL=1 sollte man xdg-desktop-portal-gtk installieren. Davor hat Firefox den hässlichen Standard GTK Mauscursor verwendet.
Mein Mauscursor hat da keine Probleme. GDK_DEBUG=portals scheint nicht zu funktionieren in /etc/security/pam_env.conf.

Deinorius schrieb:
sind folgende Fehler
Kommentiere doch mal einige Sachen von /etc/security/pam_env.conf aus.

Deinorius schrieb:
Das erstere hat ja Vorteile für Programmierer
Auch, aber die längere Enter und LShift-Tasten sind ergonomischer beim Tippen. Man kommt einfacher ran.

Deinorius schrieb:
Ich will auf blinde Art einfach sofort alle vorfinden können
Falls du v.a. die Pfeiltasten meinst. Ich orientiere mich gerade an der ISO-Enter-Taste. Darunter die Pfeiltasten. Rechts daneben dann PgUp & PgDn. Fürs Navigieren.

Deinorius schrieb:
ob ich KSA Caps nehmen würde. Ich nehme an, das meinst du mit den angewinkelten F-Tasten.
Genau.

Deinorius schrieb:
Ich glaube, ich würde lieber brown-Switches nehmen, aber was weiß ich. Wie hast du dich entscheiden können?
Wenn du noch nicht weiß, ob Linear, Taktil oder Clicky, dann besuche bspw. ein MediaMarkt, Saturn, etc. und tippe auf die Tastaturen.
Ich habe mir zu erst einen Switch-Tester zugelegt. Mit einem Tealios-Switch und sonst alles Gaterons, Cherrys kannte ich ja schon. Der Gateron Yellow gefiel mir gut. Und der Tealios, ja ... ist schon sehr geil. Der war aber deutlich teurer (ca. 1€ pro Switch) – etwas zu teuer.
Habe mir Vergleichs-Videos von linearen Switches angesehen und angehört. Jedenfalls sollten sie sehr smooth sein (nicht rau). Habe dann all-in 110 Tangerines gekauft, und bin auch soweit zufrieden. Die Tealios sind dann aber noch smoother und stabiler (ich habe nur ein Exemplar).
Beim Keyboard-Kauf würde ich eher mehr Geld in bessere Switches legen, als in andere Komponenten.

Deinorius schrieb:
Würden mir stärker angewinkelte F-Tasten besser liegen?
Die Tastatur ist halt schon etwas angewinkelt. Und die Taster möchten auch gerade nach unten gedrückt werden für mehr Smoothness. Eigentlich müsste man das selber probetippen.

Deinorius schrieb:
Ich weiß jetzt nicht genau, was du mit kantig meinst.
Vom Case die Kanten. Die sind nicht abgerundet. Ein Wrist Rest wäre also nötig.

Deinorius schrieb:
Und obwohl ich den Akku nicht bräuchte, so ist es dennoch sehr nützlich, wenn ich doch mal einen Raspberry Pi anwerfe.
Man bezahlt eben auch für die Extras. Für die Pi gibt es bestimmt auch andere Wege. Der Bizeps brennt doch, wenn man die Tastatur verschieben will.
 
Zuletzt bearbeitet:
agon schrieb:
Kommentiere doch mal einige Sachen von /etc/security/pam_env.conf aus.
Ja, muss ich wohl. Dennoch schräg, dass ich nirgendwo etwas gefunden habe.

agon schrieb:
Auch, aber die längere Enter und LShift-Tasten sind ergonomischer beim Tippen. Man kommt einfacher ran.
Wir müssen jetzt nicht über ANSI vs. ISO diskutieren. Ich mag ISO primär aus zwei Gründen. Ich bin daran gewöhnt und es hat eine Taste mehr.

agon schrieb:
Falls du v.a. die Pfeiltasten meinst.
Nein, ich meine alles.

agon schrieb:
Wenn du noch nicht weiß, ob Linear, Taktil oder Clicky, dann besuche bspw. ein MediaMarkt, Saturn, etc. und tippe auf die Tastaturen.
Habe ich schon mal gemacht, aber ohne Recherche. Ich muss ja vorher schauen, was es im Media Markt mit der größten Auswahl so gibt und was für Switches die im Grunde nutzen.

agon schrieb:
Ich habe mir zu erst einen Switch-Tester zugelegt.
Gibt es eigentlich Angebote zum Leihen? So etwas zu kaufen, finde ich blöd. Ansonsten muss ich es halt wieder verkaufen.

agon schrieb:
Vom Case die Kanten. Die sind nicht abgerundet. Ein Wrist Rest wäre also nötig.
Von einem Wrist Rest gehe ich grunsätzlich aus.

agon schrieb:
Der Bizeps brennt doch, wenn man die Tastatur verschieben will.
Extra Training. Hell yeah! Aber das muss so auch nicht sein. Es sollte wohl möglich sein, vom Kabel-Betrieb auf Bluetooth zu wechseln, wenn gewünscht. Ein Bewegen der Tastatur dürfte nicht mal zwingend erforderlich sein.
Im Grunde muss es für mich nicht gleich ein so schweres Teil sein. Ich würde ein günstigeres V5 mit dem selben Layout vom Q5 Pro ohne zu Zögern wählen... Tjo.
 
Zuletzt bearbeitet:

QMK (Quantum Mechanical Keyboard)​

QMK-Guide ist im Anhang. (Guide ist noch unvollständig)

Interessantes:
  • Wenn alles eingerichtet ist, ist das Kompilieren & Flashen recht einfach: qmk compile; qmk flash
  • Die drei Haupt-Konigurationsdateien werden auf verschiedenen Ebenen zusammengeführt. Die Dateien in keymaps/ haben die höchste Priorität.
  • Das Deaktivieren von Build-Optionen kann zu einer besseren Latenz führen, wenn das MCU des PCBs relativ schwach ist. Das von meiner Melody96 hat bspw. einen schwachen Atmega32u4.
  • NKRO muss man aktivieren.
  • Switches haben oft eine erhöhte Bounce Time von bspw. 5ms. Um dieses Rauschen (beim Betätigen) abzuschwächen, gibt es verschiedene Debounce Methoden. Die Standard-Methode erhöht allerdings die Input-Latenz um 5ms.
  • Die CHERRY MX2A Red haben eine Bounce Time von <1ms. Die Gateron Pro Yellow stolze 5ms.
    Also: Cherry > Gateron
Die genannten Probleme wurden im Guide behoben.


Arch Linux

Current upgrade issue: "kde power management system keeps crashing"
Fix: doas pacman -U /var/cache/pacman/pkg/ddcutil-2.0.0-1-x86_64.pkg.tar.zst
  • New: "Define missing default XDG Base Directory variables" (thanks to @Deinorius )
  • Update: The recommended size of the ESP is now only 1 GiB, as the kernel grows relatively quickly (100 -> 185 MiB).

Deinorius schrieb:
Ich muss ja vorher schauen, was es im Media Markt mit der größten Auswahl so gibt und was für Switches die im Grunde nutzen.
Einfach auf die Farbe des Switches achten. Rot ist bspw. meistens linear (fühlt sich auch so an).
Hier eine Übersicht von den Cherrys.

Deinorius schrieb:
Gibt es eigentlich Angebote zum Leihen?
Keine Ahnung. Sonst gebe das einfach einen interessierten Freund weiter, oder so.
 

Anhänge

Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Spike S.
Arch Linux [Update]

New:
LibreOffice
  • Based on v24.2. The last update of libreoffice-still was a bit buggy. So I had to delete ~/.config/libreoffice/.
  • Contents: Language aids (Spell checking, Hyphenation rules, Thesaurus, Grammar checking), Set default font to Liberation Sans, Enable "Snap to Grid"
  • New: ttf-carlito (Metrically compatible with Calibri)
  • Maybe you have a few more suggestions. This is not a "guide" on how to use LO.
Update: ROCm
  • Interesting to note: The RX 7600 & RX 6600+ are official supported for Windows, but not for Linux.
  • If your GPU supports the HIP SDK for Windows, you can use the "AMD Software: PRO Edition" for Consumer GPUs as the HIP SDK installer includes the "PRO installer".
Future Change: For Gstreamer v1.24+
  • gst-plugin-va instead of gstreamer-vaapi
If anyone has problems with the PDF, I can make the PDF more compatible despite the growing size of ~1.7 MB.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Spike S.
@agon Du machst dir echt viel Arbeit hier top 👍 Ich habe eine eine Sache, welche mir persönlich nicht gefällt. Wenn ich es richtig gesehen habe, erstellst du per efibootmgr Booteinträge direkt im EFI. Wenn du jetzt aber dieses Bootdevice (SSD) in einen anderen PC/Laptop einbaust, kannst du dein Linux dort nicht starten, da die Einträge, wie gesagt im EFI erstellt worden sind und nicht auf der SSD im Bootmanager.
 
agon schrieb:
Ein zusätzlicher Bootmanager ist in der idealen Konfiguration von SB auch nicht vorgesehen, falls du das meinst.
Damit könnte man das erreichen, was ich meine ja. Ist ja einer der Vorteile von Linux. Wenn ich ein neues System habe, kann ich die alte Installation kopieren und einfach starten. Ohne einen Bootmanager auf der SSD, geht das dann nicht. Ein Bootmanager kann auch weitere Vorteile bringen z.B: das starten einer ISO Datei.
 
Lord_X schrieb:
Ist ja einer der Vorteile von Linux. Wenn ich ein neues System habe, kann ich die alte Installation kopieren und einfach starten.
Sollte doch auch bei Windows gehen.

Lord_X schrieb:
Ohne einen Bootmanager auf der SSD, geht das dann nicht.
So umständlich ist es nun auch wieder nicht, einen Boot-Eintrag im UEFI zu erstellen.

Lord_X schrieb:
Ein Bootmanager kann auch weitere Vorteile bringen z.B: das starten einer ISO Datei.
Dafür gibt es USB-Sticks. Die ESP ist auch nicht so groß.

Das System soll möglichst sicher und minimal sein. Ein zusätzlicher Bootmanager passt da einfach nicht rein. Hätte ich bspw. relativ oft Boot-Probleme, hätte ich schon längst rEFInd installiert. Ich möchte jetzt auch keine Diskussion anfangen, warum der Umzug des Boot-Drives in ein anderes System nicht immer eine gute Idee ist.
Du kannst doch dein System so konfigurieren, wie du magst.
 
Hier kann man ja davon ausgehen, dass der User keine Scheu vorm Terminal hat. Also ist das Erstellen eines UEFI Eintrages wirklich keine Hexerei.
Und das Booten einer SSD in einem System ist jetzt auch weit von üblich. Finde ich jetzt auch nicht erforderlich.
 
Ich habe letztens in einem Guide gesehen, dass dort das Root-Passwort mit passwd -l root deaktiviert wurde. Könnte man das nicht noch als weitere Sicherheitsmaßnahme miteinbringen bzw. macht das überhaupt Sinn?
 
  • Gefällt mir
Reaktionen: agon
Gibt es diese ganzen Schritte auch als Script oder gleich vollwertige ISO?
 
Whiterose schrieb:
Gibt es diese ganzen Schritte auch als Script oder gleich vollwertige ISO?
Als ISO macht eh wenig Sinn. Ein Vorteil von Arch ist, dass man sich gleich bei der Installation die aktuellsten packages lädt.
Auch ganz nett ist das Netboot. Unter 1 MB lädt das auch für die Live-Installation die aktuellsten packages runter, benötigt aber zwingend LAN.

Zum Script hast du am ehesten zwei Möglichkeiten. Selber schreiben oder ein bestehendes forken. Mit letzterem kann Ich dienen. Basiert auf diesem Guide, ist aber noch nicht aktualisiert. Dazu aber wichtige Hinweise:

Man sollte mit dem Guide und den einzelnen Schritten vertraut sein und wissen, was diese durchführen. Da ich dieses Script stark bearbeitet habe, bin ich damit vertraut und kann Fehler debuggen. Würdest du dieses Script verwenden wollen, würdest du so oder so einzelne Aspekte für deine Bedürfnisse anpassen wollen, also auskennen.
 

Arch Linux [Update] – 2-year, 100 pages & KDE6 special​

Update: KDE
  • Update: Packages for KDE6 (>Distributions/Packaging Recommendations)
  • New: (3rd-party) Packages w/ KDE integration [deps]
    • Hybrid/Multi-GPU support, Automatic screen rotation, Streaming Wayland windows to X applications, …
    • xdg-desktop-portal-gtk necessary? (syncs font settings to Flatpak apps when run in Plasma)
    • Include orca? (Screen reader for individuals who are blind or visually impaired)
New: Tor Browser
  • Disable Firejail => Only use AA to be able to start the browser
Update: Gstreamer
  • New: gst-plugin-libcamera
Update: Security
  • New: Restricting root login (thanks to @Beelzebot )
New: Hardware Security Key
  • Using the exemplary Nitrokey 3C NFC
  • Setup of the OpenPGP smartcard using Ed25519/Curve25519 in the OpenPGP key generation (w/ backup)
  • Setup of FIDO2 w/ browser integration (for Firejail). Waiting for KeePassXC FIDO2 support.
  • Setup integration with the KeePassXC password manager by registering an HMAC-SHA1 challenge-response credential (w/ backup)
  • TODO: Test the import of the backed up keys
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Tacheles, Beelzebub23, Spike S. und eine weitere Person

Arch Linux [System Upgrade requires manual intervention]​

> mkinitcpio hook migration and early microcode

1. doas pacman -Syu

2. doas vim /etc/mkinitcpio.conf
> Add: microcode
HOOKS=(systemd keyboard autodetect microcode modconf kms block sd-vconsole sd-encrypt filesystems)

3. doas vim /etc/mkinitcpio.d/linux-zen.preset
> Delete line w/ ALL_microcode

4. doas mkinitcpio -P

New: GStreamer 1.24 has been released => gstreamer-vaapi removed.
 
  • Gefällt mir
Reaktionen: Deinorius, Beelzebub23 und Spike S.
Zurück
Oben