Leserartikel [How-To] Arch Linux installieren (verschlüsselt, gehärtet, spieletauglich, modular)

Für diejenigen, die mpv und nicht vlc nutzen, aber seit dem Update auf Plasma 6 letzteres installiert haben, ist es anscheinend ganz einfach das zu ändern. Keine Ahnung, wieso das vorher nicht wirklich ging.

Wenn Plasma 6 und damit auch vlc (als dep von phonon-qt6-vlc) installiert sind, phonon-qt6-mpv-git aus dem AUR installieren. In phononsettings sicherheitshalber das Installierte als Priorität setzen und dann einfach # pacman -Rns phonon-qt6-vlc deinstallieren.
Nach meinem Update wollte letzteres nicht gehen. Vielleicht hat sich das seit 6.0.2 (oder einem simplen reboot) geändert.
 
Noch etwas, was ich entdeckt habe. Vielleicht hilft das gerade Laptop Usern, die auch Firefox nutzen.

Mir ist seit kurzem aufgefallen, dass kwin_wayland eine teilweise ständige GPU Auslastung von knapp 50 % hatte. Habe es auf Firefox reduziert, war aber nicht bei jeder Website der Fall. Hier ohne Werbung alles normal, die GPU ging komplett Idle, andere hingegen nicht (golem.de mit Werbung oder ganz komisch moodle.univie.ac.at nach Klick auf Login, obwohl da kaum was ist). Hat etwas gedauert, konnte aber die Ursache finden.

Quelle 1 Quelle 2

Firefox zwingt kwin, warum auch immer, die Anzeige ständig zu aktualisieren. Das kann man leicht visualisieren, indem man in den Systemeinstellungen in Arbeitsflächen-Effekte/Extras die Option "Zeichnungsbereiche hervorheben" (Desktop effects - Show paint) aktiviert und einen Kurzbefehl angibt (habe Meta + Ü genommen). Somit kann man leicht erkennen, was gerade diese Aktualisierung auslöst und kann leicht beurteilen, ob das so normal ist.
Interessanterweise ist Filelight auch so eine App, die das ständig auslöst.

In Firefox leicht zu lösen:
  • about:config
  • widget.wayland.vsync.enabled auf false setzen
  • Firefox neu starten
@agon falls das interessant genug ist.
 
  • Gefällt mir
Reaktionen: Spike S.
@Deinorius Das wird doch bestimmt in den nächsten zwei Monaten gefixt sein. Dann würde dein Post denke ich mal hier genügen. In Filelight sah ich das Problem nicht. Evtl. aber bei der Steam-FL. Kann aber auch das Shader Pre-Caching im Hintergrund gewesen sein.

Plasma ist halt gerade noch etwas buggy. Mit Plasma 6.1 sollte dann auch Tearing möglich sein. Dann schaue ich mir auch Wayland wieder genauer an. Btw. mit dem neuen Kernel 6.8 benötigt man gerade noch die env var KWIN_DRM_NO_AMS=1 für Tearing.

Zu dem FF-Problem: Evtl. user_pref("layout.frame_rate", 144) setzen. (Hier für 144 Hz Display).

Ich habe übrigens den Abschnitt For Xorg: Disable "PageFlip" & "TearFree" aktualisiert.
 
agon schrieb:
@Deinorius Das wird doch bestimmt in den nächsten zwei Monaten gefixt sein.
Worauf bezieht sich das jetzt genau?

agon schrieb:
Zu dem FF-Problem: Evtl. user_pref("layout.frame_rate", 144) setzen. (Hier für 144 Hz Display).
Danke für den Tipp, muss ich mal überprüfen.
 
Deinorius schrieb:
Worauf bezieht sich das jetzt genau?
Auf kwin_wayland. Da das Problem dir erst "seit kurzem aufgefallen" ist, ist KDE6/Qt6 naheliegend. Vor allem, wenn du auch bei Filelight Probleme hast.

Ich habe aber folgende Zeile nun in user-overrides.js inkludiert:
user_pref("widget.wayland.vsync.enabled", false); // Necessary for "layout.frame_rate"
 
  • Gefällt mir
Reaktionen: Deinorius
Ich werde erst mal wieder auf Windows umsteigen. Die Gründe:
  • KDE6 (X11) ist einfach gerade zu buggy (auch siehe journalctl). Und die Wayland Session ist noch unausgereift. Tearing ist auch noch nicht "nativ" möglich.
  • CS2 hat gerade ein starkes Hacker-Problem. Es macht so einfach keinen Spaß. Deswegen spiele ich wieder mehr Faceit, welches nur in Windows funktioniert. EA macht es mit ihrem neuen AC auf Kernel-Level auch richtig.
  • Das Setzen des GPU-Power-Profils in "3D FULL SCREEN" wird nicht von GameMode gesetzt. Unter Windows geschieht dies automatisch. Auch AMD Radeon Anti-Lag ex. erst gar nicht für Linux.
  • Das Spielen außerhalb von Steam (mit Lutris) kann buggy sein. Bsp.: Das Starten meines Ubisoft-Spiels funktioniert erst nach ca. dem dritten Versuch. Der DualSense-Controller wird nicht als Playstation-Controller erkannt. Die Buttons sind dann auch im Xbox-Stil.
  • Steam hat keine GameMode-Integration. Man muss bei jedem Spiel gamemoderun %command% in den Startparametern eingeben.
  • Arch Linux benötigt relativ viel Maintenance. Bspw. kürzlich die mkinitcpio hook migration. Aber eben auch neu hinzugekommene Fehlermeldungen wie:
    dbus-broker-launch: Activation request for 'org.freedesktop.nm_dispatcher' failed.
    systemd-cryptsetup: No valid TPM2 token data found.
    … wollen gefixt werden.
  • Windows schafft es, stabil und aktuell zu sein. Bei Linux muss man präferieren.
Windows ist eben das bessere Betriebssystem – vor allem fürs Zocken. Natürlich nur, wenn man ordentlich gedebloatet & gewisse Privacy-Settings vorgenommen hat. Linux wird erst zur richtigen Alternative, wenn Wayland der Standard wird. 2026 (mit *buntu 26.04 LTS) wird bestimmt das Jahr des Linux-Desktops!
 
  • Gefällt mir
Reaktionen: Garmor, Deinorius, Beelzebub23 und 2 andere
agon schrieb:
Ich werde erst mal wieder auf Windows umsteigen.
IMG_2041.jpeg
 
  • Gefällt mir
Reaktionen: Garmor
April, April.
 
Holy shit! You got me. :lol:
 

Arch Linux [Update]​

  • Removed: vm.max_map_count value (is now the default in Arch)
  • Removed: "Use all cores for default zstd compression"
    • Curr default in /etc/makepkg.conf: COMPRESSZST=(zstd -c -T0 --ultra -20 -)
  • New: KDE Configuration
    • Set better defaults, Disable unneeded features, Set undefined mouse bindings, Optimize the Default Panel ("Icons-only Task Manager") for Desktop usage, …

Misc.

  • libavif ist keine Abh. mehr von ffmpeg. libjxl allerdings schon.
  • Die Passkey-Unterstützung von KeePassXC muss man im Browser-Addon aktivieren.
  • Die Latenz in Wayland mit KWIN_DRM_NO_AMS=1 ist immer noch höher als in X11. Ich habe dazu CS2 mit den Wayland & PipeWire Launch Options gestartet: SDL_VIDEO_DRIVER=wayland SDL_AUDIO_DRIVER=pipewire PIPEWIRE_LATENCY=64/48000 gamemoderun %command% -high -novid -nojoy +exec autoexec
  • Q: Welches PipeWire Audio Profile benutzt ihr und warum?
  • Den Post vom 1. April habe ich extra einfacher gestaltet. Schön, dass ihr den verstanden habt. Dann kann ich ja das Niveau wieder erhöhen ;)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Deinorius

Arch Linux [Update]​

  • New: Waydroid
    … is a container-based approach to boot a full Android system on a regular GNU/Linux system.
    • REQ for easy setup: AMD/Intel GPU, Wayland, linux-zen
  • New: libavif [dep]
  • Update: Firefox
    • Removed: CanvasBlocker

Wenn euer Android-Smartphone "google-frei" ist (ohne GAPPS), dann kann Waydroid (mit GAPPS) helfen, sich bspw. bei Telegram zu registrieren. Nach der Registrierung kann man dann bspw. Mercurygram mit UnifiedPush benutzen.
 
  • Gefällt mir
Reaktionen: Deinorius und Spike S.
Moin!
Zu erst: ein riesengroßes Danke für diesen tollen und ausführlichen Guide und die fortlaufende Anpassung und Weiterentwicklung.

Nun zu meiner Problemstellung:

Ich habe ein T14s Gen 3 AMD und es gab ein Firmware/Biosupdate. Seitdem bekomme ich bei mkinitcpio -P den Fehler
Code:
couldn't access /usr/share/secureboot/keys/db/db.pem: no such file or directory
==> ERROR: '/usr/lib/initcpio/post/sbctl' failed with exit code 1

Ich hatte meinen Luks Container immer mittels "systemd-cryptenroll --tpm2-device=auto --tpm2-pcrs=0+7 /dev/gpt-auto-root-luks" eine auto-entschlüsselung beim booten aktiv - die nun auch nicht mehr funktioniert.

Könnt ihr mir weiterhelfen wo ich ansetzen kann? Meine keys liegen alle unter /root/efi-keys

Sollte ich die keys mit sbctl neu zuweisen - also einfach Schritt 5 aus dem Tut noch mal machen?

Danke und Grüße:)
 
Hellmann schrieb:
systemd-cryptenroll --tpm2-device=auto --tpm2-pcrs=0+7 /dev/gpt-auto-root-luks
Der PCR 0-Status kann sich ändern, wenn die UEFI-Firmware geupdatet wurde.
-> Binde also ohne PCR0 (ohne --tpm2-pcrs)

==> ERROR: '/usr/lib/initcpio/post/sbctl' failed with exit code 1
sbctl wird nicht im Guide benutzt. Evtl. hier oder im Arch Forum einen neuen Thread dazu eröffnen.
Aus dem ArchWiki: "Note: sbctl does not work with all hardware. How well it will work depends on the manufacturer."

Weitere Infos:

Der PCR 7-Status kann sich übrigens ändern, wenn die Firmware-Zertifikate geändert werden. Wenn bspw. fwupdmgr UEFI dbx updatet. Deswegen ist das Thema auch noch nicht im Guide zu finden.

Ich hatte vor Monaten Folgendes in der VM getestet:
systemd-cryptenroll --tpm2-device=auto --tpm2-with-pin=yes /dev/nvme0n1p2 (w/ default --tpm2-pcrs=7)

-> Beim Boot hat man:
  • 3 Versuche mit dem TPM2-Passwort zu entschlüsseln, und dann noch
  • 3 Versuche mit der Passphrase

Anscheinend kann man auch in libvirt ein UEFI-FW/UEFI-SB Update simulieren.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Hellmann

Arch Linux [Update]​

Update: Hardware Security Key – Nitrokey 3
  • New: FYI: Import the secured Private Key into your OpenPGP card
  • Note: The Secure element support for the OpenPGP Card is now available!
    Check: nitropy nk3 get-config opcard.use_se050_backend
    Activate: nitropy nk3 set-config opcard.use_se050_backend true. This will wipe the OpenPGP Card.
  • Update: FIDO2
    • New: SSH Keys for e.g. git or to login into your OpenWRT router w/o entering the ssh user/password.
      Simply enter the FIDO2 PIN & touch the token.
  • Note: The Nitrokeys have a 5% discount right now.
New: Podman (Basic setup)

Btw.: If Spectacle doesn't work, it's firejails fault.
Fix: rm ~/.local/share/applications/org.kde.spectacle.desktop
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: h-the und Spike S.
Moin,

so die nun, auf Grund meines Urlaubes späte Antwort: Vielen Dank für deine sehr Hilfreiche Antwort, alles läuft wieder wie gehabt. :)
 
  • Gefällt mir
Reaktionen: agon
Auch von mir erst einmal vielen Dank für deine umfangreiche Arbeit hier. Mittlerweile habe ich mich bis zum Schluß durchgearbeitet und bin bei 16.2 Check for errors (also for maintanance) angekommen.

Am 1. April schriebst du u.a.:

agon schrieb:
Arch Linux benötigt relativ viel Maintenance. Bspw. kürzlich die mkinitcpio hook migration. Aber eben auch neu hinzugekommene Fehlermeldungen wie:
dbus-broker-launch: Activation request for 'org.freedesktop.nm_dispatcher' failed.
systemd-cryptsetup: No valid TPM2 token data found.
… wollen gefixt werden.

Diese Fehler treten u.a. bei mir auch auf, d.h. also abwarten und Tee trinken, wenn ich da so richtig verstanden habe. Ansonsten hat das Thinkpad noch ein paar "thinkarch kernel: ACPI Error:", aber die resultieren wahrscheinlich zwischen einem Konflikt BIOS <--> Linux Kernel generell.

Hier noch einmal komplett:

Code:
Mai 24 12:47:58 archlinux systemd-cryptsetup[219]: No valid TPM2 token data found.
Mai 24 12:48:38 thinkarch kernel: ACPI Error: Needed [Integer/String/Buffer], found [Package] 00000000fa063247 (20230628/exresop-469)
Mai 24 12:48:38 thinkarch kernel: ACPI Error: AE_AML_OPERAND_TYPE, While resolving operands for [ToHexString] (20230628/dswexec-433)
Mai 24 12:48:38 thinkarch kernel: ACPI Error: Aborting method \ADBG due to previous error (AE_AML_OPERAND_TYPE) (20230628/psparse-529)
Mai 24 12:48:38 thinkarch kernel: ACPI Error: Aborting method \_SB.HIDD._DSM due to previous error (AE_AML_OPERAND_TYPE) (20230628/psparse-529)
Mai 24 12:48:41 thinkarch kernel: Bluetooth: hci0: Malformed MSFT vendor event: 0x02
Mai 24 16:24:02 thinkarch kwin_wayland[973]: kwin_wayland_drm: Pageflip timed out! This is a kernel bug
Mai 24 16:24:05 thinkarch kernel: Bluetooth: hci0: Malformed MSFT vendor event: 0x02
Mai 24 17:20:56 thinkarch dbus-broker-launch[960]: Activation request for'org.kde.ksystemstats1' failed.
Mai 24 17:20:56 thinkarch dbus-broker-launch[960]: Activation request for'org.kde.ksystemstats1' failed.
Mai 24 17:20:56 thinkarch dbus-broker-launch[960]: Activation request for'org.kde.ksystemstats1' failed.
Mai 24 17:20:57 thinkarch dbus-broker-launch[800]: Activation request for'org.freedesktop.nm_dispatcher' failed.
Mai 24 17:20:57 thinkarch dbus-broker-launch[800]: Activation request for'org.freedesktop.nm_dispatcher' failed.
 
Zurück
Oben