Leserartikel [How-To] Arch Linux installieren (verschlüsselt, gehärtet, spieletauglich, modular)

[agon]

Arch Linux [Update]​

• New: systemd-ukify for UKI generation
• Update: Secure Boot > New: Backup keys | FYI: Remove PK w/ noPK.auth | More Info
• Update: mkinitcpio > New: Install possibly missing firmware
• New: Configuring Zsh $PATH

---

systemd v256 ist nun erschienen.
run0 funktioniert zwar, die Passworteingabe erfolgt aber nicht im selben Terminal.

bootctl sieht nun so aus:

… 
             Stub: systemd-stub 256-...
     Features: ✓ Stub sets ESP information
               ✓ Picks up credentials from boot partition
               ✓ Picks up system extension images from boot partition
               ✓ Picks up configuration extension images from boot partition
               ✓ Measures kernel+command line+sysexts
               ✓ Support for passing random seed to OS
               ✓ Pick up .cmdline from addons
               ✓ Pick up .cmdline from SMBIOS Type 11
               ✓ Pick up .dtb from addons

---

Gerechtfertigt. Weißt du die Pakete einfach auswendig, oder kann man sogar anzeigen lassen?

less /usr/share/libalpm/hooks/90-mkinitcpio-install.hook
>
[Trigger]
Type = Path
Operation = Install
Operation = Upgrade
Operation = Remove
Target = usr/lib/initcpio/*
Target = usr/lib/firmware/*
Target = usr/src/*/dkms.conf
Target = usr/lib/systemd/systemd
Target = usr/bin/cryptsetup
Target = usr/bin/lvm

[Trigger]
Type = Path
Operation = Install
Operation = Upgrade
Target = usr/lib/modules/*/vmlinuz

[Trigger]
Type = Package
Operation = Install
Operation = Upgrade
Target = mkinitcpio
Target = mkinitcpio-git

[Action]
Description = Updating linux initcpios...
When = PostTransaction
Exec = /usr/share/libalpm/scripts/mkinitcpio install
NeedsTargets

 

[Spike S.]

Ich muss mal blöd fragen, wieso ist der mpv als Multimedia Abspieler die Empfehlung / "der heiße Scheiß"? Scheint ja allgemein recht populär zu sein....und VLC fällt hier mehr oder weniger unter den Tisch
Habe mpv mal unter Windows am Dienstrechner und jetzt auch unter Arch am heimischen Rechner ausprobiert. Am Rechner schaue ich nie Videos. Maximal was auf Youtube per FreeTube, aber keine Filme oder Serien. Den Player nutze ich also nur mal für Musik, MP3 von der Platte. Dabei klicke ich öfter mal drin rum, als bei einem Film oder Serien. Lied überspringen, Shuffle an/aus, Lied einfügen, Reihenfolge ändern....und dafür ist der mpv out of the box erstmal eine Katastrophe. Nicht wirklich intuitiv und mehr als rudimentäre GUI.
Zum Musik hören, ergo als ffmpeg Frontend (was im Grunde alle Player sind), keine gute Wahl für mich. Ich will manchmal auch nur Anwender sein und mich nicht erst wieder stundenlang einlesen
Nicht falsch verstehen, ich erwarte keine GUI bei der ich jedes Pixel einzeln umgestalten kann. Winamp und VLC liefen/laufen bei mir mit Default Skin.

 

[agon]

Am Rechner schaue ich nie Videos. […] Den Player nutze ich also nur mal für Musik, MP3 von der Platte.

Dann brauchst du weder mpv noch VLC. Benutze doch einfach einen Audio player wie Elisa(?) Ich nutze ihn nur als "Video player". VLC benutze ich bspw. auf meinem Smartphone nur für "Videos". /post

FYI: MP4, WebM & Matroska (MKV) are digital multimedia container formats.

....und dafür ist der mpv out of the box erstmal eine Katastrophe

Ohne Konfiguration würde ich mpv auch nicht nutzen. Man soll ihn ja auch an seine Bedürfnisse anpassen.

Nicht wirklich intuitiv und mehr als rudimentäre GUI.

"mpv has no official GUI, other than the OSC (ON SCREEN CONTROLLER), which is not a full GUI and is not meant to be."
haruna hat bspw. eine GUI. Oder mpv.net (Windows only).

wieso ist der mpv als Multimedia Abspieler die Empfehlung / "der heiße Scheiß"? Scheint ja allgemein recht populär zu sein....und VLC fällt hier mehr oder weniger unter den Tisch

Because "mpv is stable, efficient, customizable and extensible via user scripts."

 

[Spike S.]

Ja, ich schau mir das mal an, ob ich mit einem dedizierten Audioplayer auskomme.

Man soll ihn ja auch an seine Bedürfnisse anpassen.

"mpv has no official GUI, other than the OSC (ON SCREEN CONTROLLER), which is not a full GUI and is not meant to be."

Das der mitgelieferte OSC nicht als eigentliche GUI für den täglichen Gebrauch gedacht ist, hatte ich mir schon gedacht und auch so gelesen.
Dann fehlt in deinem Guide aber zumindest eine Klarstellung in der Richtung was die GUI angeht. Auf Seite 1 hier steht immer noch was von "Arch Beginners"
Ein CLI Multimedia Player ist erstmal nicht eingängig, wenn man aus der Ecke kommt, wo es Winamp, VLC, WMP und Co gibt.

Also ich war gestern Abend zumindest überfordert mit der GUI Frage.... Und bei "user scripts" hab ich bis jetzt keine klare Vorstellung, wozu und wie, und war deshalb auch von der Liste an fertig angebotenen Skripten erschlagen.

 

[agon]

@Spike S. Vornweg, von dem, was ich lese, macht es bei dir wahrscheinlich wenig Sinn, mpv zu benutzen.
Das liegt daran, dass du keine hohen Anforderungen an den Media Player hast (was ja auch okay ist).
Nur als Info: mpv war bedeutend schwerer/umständlicher einzurichten als Firefox. Dafür habe den am besten für mich angepassten Player.

Der mpv-Abschnitt gibt einen vereinfachten Einstieg in mpv. Meine Konfigurationsdateien können dabei als Ausgangspunkt genommen werden, in denen es auch noch mehr Infos gibt. Genau so wie im Firefox- oder Zsh-Abschnitt.

Dann fehlt in deinem Guide aber zumindest eine Klarstellung in der Richtung was die GUI angeht.

Wenn du nicht mit der GUI zufrieden bist, dann ändere doch einfach die GUI.

Auf Seite 1 hier steht immer noch was von "Arch Beginners"

Ist auch eher für die Installation gedacht. Alles, was danach kommt, ist Extra bzw. optional, bei dem dann erwartet wird, dass der Leser die Installation abgeschlossen hat. An sich ist ja alles optional

Ein CLI Multimedia Player ist erstmal nicht eingängig, wenn man aus der Ecke kommt, wo es Winamp, VLC, WMP und Co gibt.

"The On Screen Controller (short: OSC) is a minimal GUI […]".
Falls du mit CLI Mediaplayer, das Konfigurieren über Textdateien meinst, dann ja. Die Arch Installation ist auch nicht eingängig, who cares.

Und bei "user scripts" hab ich bis jetzt keine klare Vorstellung

wozu? > adding functionality that is not part of the core mpv player
wie? > Wie in meinen Konf.dateien.
Liste? > https://github.com/mpv-player/mpv/wiki/User-Scripts#lists-of-mpv-scripts

Das wird mir hier wieder zu OT > Neuen Thread erstellen.

 

[Spike S.]

Ja, unsere Anforderungen sind dann sehr unterschiedlich.
Meine Intention war zuletzt auch nur noch anzuregen, dass im Guide irgendwie deutlicher zu machen. Da das der einzige Player ist der darin behandelt wird und schon ne ganz schöne "Frickelei" ist. Was ja auch sein darf und irgendwie auch passt, aber das Ausmaß hatte ich so nicht erwartet.
Und ich hab mal in zwei drei LUAs die du mitlieferst reingeschaut....ich verstehe, wie Linux zu seinem Ruf als Bastelsystem gekommen ist

 

[Sensei21]

Unified kernel image (UKI) – a single executable which will be booted directly from UEFI firmware (no extra boot manager). Using mkinitcpio as the UKI generator with systemd init.

minimalistisch - sehr gut

wenn man keine Fehlersuche betreiben muss oder Ersatz-Kernel benötigt oder experimentiert, ist das eine runde Sache

 

[agon]

Meine Intention war zuletzt auch nur noch anzuregen, dass im Guide irgendwie deutlicher zu machen.

Note hinzugefügt: "Configuring mpv to your personal requirements can be very time-consuming. For an easier start, take a look at my configuration files."

Und ich hab mal in zwei drei LUAs die du mitlieferst reingeschaut

Die soll man ja auch nicht lesen – die haut man einfach in scripts/ rein.
Das Zeitaufwendige war auch eher die Wahl der Shader & co., wegen Frame-by-Frame-Analyse.

wenn man keine Fehlersuche betreiben muss oder Ersatz-Kernel benötigt oder experimentiert, ist [ein UKI] eine runde Sache

Häää? Wenn du schon trollen möchtest, dann musst du dich schon etwas mehr anstrengen. So macht das einfach keinen Sinn.

Wollt ihr wirklich, dass ich wieder mehr trolle? Also ich hätte nichts dagegen. Und danach schieben wir einfach alles wieder ins Aquarium.

 

[Spike S.]

@agon
Vielen Dank, für die Aufnahme des Hinweises

Das man Skripte aus dem Internet sich nicht wenigstens mal vorher anschaut, läuft aber schon etwas konträr zu den Best Practises in der FOSS Gemeinde. Auch wenn es "nur" unter einem Programm und nicht auf der Shell läuft.

Und trollen war nicht meine Absicht, ich überspitze nur gerne meine Eindrücke. Hatte mir nämlich u.a. das Skript angeschaut, bei dem ein Lied/Video zu einer bestehenden Playlist hinzugefügt wird, mehr als 5 Zeilen hätte ich da nicht erwartet und war entsprechend erschlagen.

So, für mich ist das Thema abgehakt, alle Klarheiten im Kontext des Guides beseitigt. Der mpv wird bei Bedarf anderswo ausdiskutiert

 

[Sensei21]

Häää? Wenn du schon trollen möchtest, dann musst du dich schon etwas mehr anstrengen. So macht das einfach keinen Sinn.

was soll daran bitte Trollen sein ?

Irgendwie geht der Trend in Online-Konversationen dahin, dass sich alle angegriffen fühlen und überreagieren.

Das war ernst gemeintes Lob oder Zustimmung. Ich sehe da die Parallelen z.B. zu den Pixel Phones (schiele gerade zum 7a mit dem kerneltoast bzw. sultan Kernel - was auch UKI ist mit allem drin).

Für meinen Anwendungszweck ist das einfach nichts, da ich viel mit externen Modulen, welche sich ändern (z.B. ZFS) oder Troubleshooting (CFI, IBT - UBSAN trap Einstellung, etc.) vorgeschädigt bin, wo der Kernel einfach eine Panic schiebt und ich zig dutzende Kernel mit unterschiedlichen Konfigurationen bauen musste, für git bisect was auch für Optimierungen vom Clear Linux Patch Pool zutraf.

Wenn man kein schönes Bootloader Menu a la grub hat, ist das um einiges unkomfortabler und aufwändger, wenn man nicht zwischen den Kernel Versionen hin und herbooten kann.

(oder hab ich mich damit noch nicht richtig damit beschäftigt, dass das ganze auch schön via UEFI und UKI mit Beschreibung geht ?)

 

[agon]

wenn man keine Fehlersuche betreiben muss oder Ersatz-Kernel benötigt oder experimentiert

Das stimmt eben so nicht:

• Ersatz-Kernel wie den LTS-Kernel, kann man einfach benutzen & davon booten
• Experimentieren geht auch, vor allem mit System-Rollback-Funktionalität (wenn nicht in einer Testumgebung getestet werden kann)
• systemctl kexec support für UKIs gibt es allerdings noch nicht
• Fehlersuche, wenn das System nicht bootet? Reicht da nicht systemd-bsod? Wie gut od. schlecht man mit UKIs troubleshooten kann, kann ich nicht sagen. Dafür bräuchte ich erst mal Boot-Probleme.

Wenn man kein schönes Bootloader Menu a la grub hat, ist das um einiges unkomfortabler und aufwändger, wenn man nicht zwischen den Kernel Versionen hin und herbooten kann.

Aus dem Guide: "Note: Press vendor specific key after POST to open the UEFI boot menu (often [F8] or [F12])."
Unabhängig vom UEFI Bootmanager, kann man auch einen anderen zusätzlichen Bootmanager benutzen.

"UKI – a single executable which will be booted directly from UEFI firmware" bezieht sich nur auf die Systemkonfiguration. Siehe: "Create UEFI boot entries using efibootmgr".

 

[Tacheles]

MPV ist sehr minimalistisch und konfigurierbar, was viele Linux user vom Prinzip her schätzen. Wer mehr möchte kann smplayer nutzen oder haruna. Die nutzen auch mpv als backend und bieten dabei aber mehr full featured gui an.

Unified Kernel sind für jene die gerne die Systemsicherheit hoch halten wollen indem Kernel, CMD, Initramfs gebundelt wird und mit einem Key für Secureboot auf eine unverschlüsselte Partition hinterlegt werden soll. Geht auch ganz ohne bootloader oder mit einem minimalistischen bootloader wie Systemdboot. Dabei werden dann alle vorhandenen UKI's automatisch zum booten angeboten.

Übrigends sehr cool @agon das du dein installtionsscript aktuell hälst und mit den Veränderungen anpasst. Es ist meiner preferrierten Arch konfiguration immer sehr nahe gekommen sodas ich hin & wieder mal drin rumstöber. Wie im Baumarkt, spannend was man da so findet.

 

[Spike S.]

New: Hardware Security Key

• Using the exemplary Nitrokey 3C NFC
• Setup of the OpenPGP smartcard using Ed25519/Curve25519 in the OpenPGP key generation (w/ backup)
• Setup of FIDO2 w/ browser integration (for Firejail). Waiting for KeePassXC FIDO2 support.
• Setup integration with the KeePassXC password manager by registering an HMAC-SHA1 challenge-response credential (w/ backup)
• TODO: Test the import of the backed up keys

Nitrokey hat jetzt eine eigene Anleitung bereitgestellt, Nitrokey für KeepassXC auf Linux zu verwenden (teile ich ungelesen):
https://docs.nitrokey.com/nitrokey3/linux/keepassxc

Und ich bin mal gespannt, wann Wayland das liefert, damit Autotype von KeepassXC wieder funktioniert. Das ist bisher mein größtes und einziges Manko an Wayland (Plasma 6), ansonsten verlief die Umstellung völlig reibungslos (von ein oder zwei Abhängigkeitskonflikten in pacman mal abgesehen).

 

[agon]

Unified Kernel sind für jene die gerne die Systemsicherheit hoch halten wollen […]

Du meinst eher für jene, die eine geringe Systemsicherheit haben wollen.
Lt. der "Host Security ID Specification" von fwupd, gehört Secure Boot zu "HSI:1 (Critical State)":
"Basic protection but any failure would lead to a critical security impact.

This security level corresponds to the most basic of security protections considered essential by security professionals. Any failures at this level would have critical security impact and could likely be used to compromise the system firmware without physical access."

systemd wird auch immer mehr auf UKIs aufbauen. Siehe bspw. "systemd and TPM2 - Lennart Poettering, Microsoft (YT)".

systemd-boot wird im Guide auch als Alternative zu efibootmgr vermerkt. Ich habe nun ergänzt, dass es ein boot manager ist.

---

https://docs.nitrokey.com/nitrokey3/linux/keepassxc

Ist doch schon im Guide zu finden, siehe "HMAC-SHA1 challenge-response credential".

Und ich bin mal gespannt, wann Wayland das liefert, damit Autotype von KeepassXC wieder funktioniert

Ist seit einem Monat WIP, siehe: https://github.com/keepassxreboot/keepassxc/pull/10905 (mit 402$ bounty)

 

[Tacheles]

New: Hardware Security Key

• Using the exemplary Nitrokey 3C NFC
• Setup of the OpenPGP smartcard using Ed25519/Curve25519 in the OpenPGP key generation (w/ backup)
• Setup of FIDO2 w/ browser integration (for Firejail). Waiting for KeePassXC FIDO2 support.
• Setup integration with the KeePassXC password manager by registering an HMAC-SHA1 challenge-response credential (w/ backup)
• TODO: Test the import of the backed up keys

KeepassXC wird laut den Entwicklern kein FIDO2 anbieten. FIDO2 eignet sich für 2FA, aber nicht um die Database weiter abzusichern. Deshalb HMAC-SHA1, da man hiermit die komplexität vom Masterpasswort erweitert.

Wenn du unter dem "TODO" ein Backup des HMAC-SHA1 challenge-response seed's meinst dann kann ich bestätigen das es klappt. Beim Einrichten vom Nitrokey muss man den HMAC Seed-Key kopieren, speichern, aufschreiben, whatever. Damit kann man jeglichen Harwarekey für HMAC-SHA1 mit dem gleichen Seed einrichten. Da man den Seed aber nicht extrahieren kann muss man allerdings schon beim ersten einrichten des Nitrokeys dran denken den HMAC Schlüssel zu sichern.

Du meinst eher für jene, die eine geringe Systemsicherheit haben wollen.
Lt. der "Host Security ID Specification" von fwupd, gehört Secure Boot zu "HSI:1 (Critical State)":

Ja, natürlich.

In einem System mit vielen Angriffsvektoren ist Secureboot ein Teil vom Sicherheitskonzept. Viele Linux Distributionen bieten ja mittlerweile Mandatory Access Control an und lassen Diskencrytion & Secureboot vom Nutzer optional einrichten. MAC kann man hier also auch als basic bezeichnen. Mit Fulldiscencryption, Secureboot, Encryptet-Ram, konfigurierter Firewall, einem Kernel mit sane defaults, Usbguard & Nutzerverstand kombiniert kann man die Messlatte für die Endgerätesicherheit relativ hoch legen. Will man mehr kann man sich auch Software installieren die System- & Netzwerkveränderungen überwacht.

Basic, high oder paranoid, alles eine Frage der Perspektive.


Vielleicht ist das ja auch von Interesse: Login, Sudo, und andere Passwortabfragen im System kann man auch durch Fido2 touch am Hardwarekey oder per Fingerabdrucksensor im System bestätigen. Damit kann das Systempasswort auch ein komplexer ausfallen da man es nicht mehr ständig eingeben muss. Ist auf dem Notebook ziemlich bequem und schnell eingerichtet.

 

[agon]

KeepassXC wird laut den Entwicklern kein FIDO2 anbieten.

Haben sie aber schon – nämlich Passkeys. Der Nitrokey hat auch gerade nur eine begrenzte Anzahl freier Pw-Slots. War jetzt nicht für die zusätzl. Absicherung der Db gemeint.

Wenn du unter dem "TODO" ein Backup des HMAC-SHA1 challenge-response seed's meinst

Mit Update #278 hatte ich das schon getestet.

In einem System mit vielen Angriffsvektoren ist Secureboot ein Teil vom Sicherheitskonzept

Ich wollte das nur klarstellen, weil das auch nicht ganz ersichtlich war. Es gibt relativ viele im CB-Forum, welche SB falsch einschätzen.

Login, Sudo, und andere Passwortabfragen im System kann man auch durch Fido2 touch am Hardwarekey oder per Fingerabdrucksensor im System bestätigen

Ich wollte das später mal testen, frühestens wenn ich einen zweiten Nitrokey besitze.
Wie hast du das bewerkstelligt? https://docs.nitrokey.com/nitrokey3/linux/desktop-login

 

[Tacheles]

Haben sie aber schon – nämlich Passkeys.

Ah ja, ich dachte du meintest als alternative usecase für den Hardwarekey.

Wie hast du das bewerkstelligt? https://docs.nitrokey.com/nitrokey3/linux/desktop-login

Die Anleitung ist schon ausführlich. In Arch muss jedoch "pam-u2f" installiert werden und was in deiner Anleitung "common-auth" ist findest du in Arch als "system-auth" vor.

Wenn du es mit nur einem vorhanden Nitrokey ausprobieren willst konfigurierst du einfach das der Nitrokey nur eine Alternative zum Passwort ist.

https://wiki.archlinux.org/title/Universal_2nd_Factor#Authentication_for_user_sessions

Zuerst wird der public key vom Hardware Token entweder Nutzerbezogen unter /home/.. oder systemweit als central-mapping file unter /etc angelegt. Dann kann man mit:

/etc/pam.d/system-auth
auth            sufficient      pam_u2f.so cue origin=pam://hostname appid=pam://hostname

den jeweiligen PAM Modulen die Nutzung von pam-u2f mit der zuvor angelegten public-key file vorgeben.

Sufficient ersetzt die Passworteingabe, required macht eine 2FA Abfrage daraus. So kann man weiter system-auth, system-local-login, system-login, su & sudo den eigenen Bedürfnissen anpassen, jenachdem wo man die Passworteingabe im System ersetzen möchte.

Da die PAM Module aber Sicherheitsrelevant sind sollte man sich vorher gut einlesen und hier auch nur spärlich mit den Änderungen vorgehen.



Für fingerprint authentication "fprintd" installieren und Einträge in die PAM Module anlegen. Für KDE login screen ist der Eintrag schon angelegt, muss nur uncommented werden:

/etc/pam.d/kde-fingerprint
auth      required                    pam_fprintd.so

https://wiki.archlinux.org/title/Fprint#Installation

 

[agon]

Arch Linux [Update]​

• Update: NVIDIA
  • The Open Linux Kernel Modules are now the default in v560.28.03
  • I need feedback from NVIDIA users on what additional configuration is needed
• Update: Intel
  • Pkg onevpl-intel-gpu renamed to vpl-gpu-rt
  • New pkg gst-plugin-qsv
• Update: "Preparing btrfs" & "Setting the sector size to 4 KiB"
  • Corrected some phrases
• Q: "SDDM: Rootless Xorg (or Wayland)" is enabled by default?

---

Synchronization and backup programs​

borg2 wird wahrscheinlich dieses Jahr nicht fertig werden, siehe #6602 (comment).
Nun ist aber borg 1.4 und Restic 0.17 erschienen.
Ich werde mir wahrscheinlich Restic anschauen.

 

[Tacheles]

Q: "SDDM: Rootless Xorg (or Wayland)" is enabled by default?

Unter Wayland ja.

ps aux | grep kwin_wayland

eos         2170  0.0  0.0 147320 17480 ?        Ssl  06:31   0:00 /usr/bin/kwin_wayland_wrapper --xwayland
eos         2175  0.7  1.0 3567684 351580 ?      Sl   06:31   0:13 /usr/bin/kwin_wayland --wayland-fd 7 --socket

 

[agon]

@Tacheles Nice. Unter X11 sieht das bei mir so aus:

$ ps aux | grep kwin_x11
>
agon       1985  0.9  0.3 1262696 125876 ?      Ssl  10:45   0:00 /usr/bin/kwin_x11 --replace
agon       3218  0.0  0.0   9252  5940 pts/1    S+   10:46   0:00 grep --colour=auto kwin_x11

Dann kann ich den Abschnitt ja löschen.