Benutzer:Tuxnix

Aus wiki.archlinux.de

Nur für eigene Zwecke: Hier auf dieser Seite gibt es nur chaotische Arbeitsnotizen


  • Zur Sicherheit wird die Festplatte jetzt überschrieben:
root@archiso ~ # shred -v /dev/sda2

Standardmäßig wird dieser Vorgang drei Mal durchgeführt, wobei ein Durchgang bei einer ca. 2 TB großen Festplatte schon mal fünf bis sechs Stunden in Anspruch nehmen kann.

  • Wer deswegen den Vorgang nur einmal durchführen möchte, kann stattdessen folgenden Befehl ausführen:
shred -v -n 1 /dev/sda2



Verschlüsseltes LVM einrichten

  • Jetzt werden die benötigte Kernel-Modul für die Verschlüsselung geladen:
root@archiso ~ # modprobe dm-crypt
  • Anschließend wird sda2 verschlüsselt:
root@archiso ~ # cryptsetup -c aes-xts-plain64 -y -s 512 luksFormat /dev/sda2
  • Die Eingabeaufforderung mit YES bestätigen und anschließend ein sicheres Passwort vergeben. Hierbei sollten schon 20 Zeichen inkl. Sonderzeichen und Zahlen verwendet werden.
  • Jetzt wird die verschlüsselte Partition geöffnet und das LVM eingerichtet:
cryptsetup luksOpen /dev/sda2 lvm
pvcreate /dev/mapper/lvm
vgcreate main /dev/mapper/lvm
lvcreate -L 60GB -n root main
lvcreate -L 8GB -n swap main
lvcreate -l 100%FREE -n home main

Wenn das home-Volume (-n home) nicht den verbleibenden Platz komplett ausfüllt, können später LVM-Snapshots erstellt werden. Dazu kann - wie bei den anderen lvcreate-Befehlen - eine geringere Größe angegeben werden, zum Beispiel -L 50GB.

  • Mit mkfs wird nun das Dateisystem auf die Partitionen geschrieben.

Bei boot muss mit -O die 64-Bit-Fähigkeit deaktiviert werden, weil syslinux nur von einem 32-Bit-Dateisystem booten kann. 

mkfs.ext4 -L root /dev/mapper/main-root
mkfs.ext4 -L home /dev/mapper/main-home
mkfs.ext4 -L boot -O '^64bit' /dev/sda1
mkswap -L swap /dev/mapper/main-swap
  • Dann werden die Partitionen gemountet:
mount /dev/mapper/main-root /mnt
mkdir /mnt/home
mount /dev/mapper/main-home /mnt/home
mkdir /mnt/boot
mount /dev/sda1 /mnt/boot

Basissystem und Bootloader installieren

* In der Mirrorliste sollten alle weit entfernten Server am Anfang der Liste mit # auskommentiert werden. 

nano /etc/pacman.d/mirrorlist
  • Dann wird das Basissystem inkl. Bootloader (in diesem Fall Syslinux) installiert.
root@archiso ~ # pacstrap /mnt base base-devel syslinux nano linux linux-firmware mkinitcpio lvm2 dhcpcd
  • Nach der Basis-Installation wird syslinux in den MBR von sda geschrieben:
root@archiso ~ # syslinux-install_update -i -a -m -c /mnt
  • Dann wird syslinux konfiguriert:
root@archiso ~ # nano /mnt/boot/syslinux/syslinux.cfg
  • Die APPEND-Zeile muss bei beiden Einträgen (arch und archfallback) angepasst werden:
APPEND cryptdevice=/dev/sda2:main root=/dev/mapper/main-root rw lang=de locale=de_DE.UTF-8

System konfigurieren

  • Nun wird die Swap-Partition aktiviert:
swapon -L swap
  • Dann wird die fstab generiert und im Editor kontrolliert:
genfstab -U -p /mnt >> /mnt/etc/fstab
nano /mnt/etc/fstab
  • Jetzt wird in die chroot-Umgebung gewechselt:
arch-chroot /mnt


  • Config-Dateien für systemd werden angepasst:
echo myhostname >> /etc/hostname
echo KEYMAP=de-latin1 >> /etc/vconsole.conf
echo FONT=lat9w-16 >> /etc/vconsole.conf
echo FONT_MAP=8859-1_to_uni >> /etc/vconsole.conf
  • Symlink für die Zeitzone wird erstellt:
ln -sf /usr/share/zoneinfo/Europe/Berlin /etc/localtime
  • /etc/mkinitcpio.conf wird angepasst:
nano /etc/mkinitcpio.conf
  • Die MODULES- und HOOKS-Werte werden entsprechend angepasst:
MODULES=(ext4)
HOOKS=(base udev autodetect modconf block keyboard keymap encrypt lvm2 filesystems fsck shutdown)

Die hier vorgegebenen Hooks sind für das Booten von einer S-ATA-Festplatte mit einer USB-Tastatur gedacht und müssen daher evtl. angepasst werden. Alle verfügbaren Hooks sind unter https://wiki.archlinux.org/index.php/Mkinitcpio#HOOKS zu finden.

Kernel-Image erstellen und der erste Neustart

  • Das Kernel-Image wird erstellt mittels:
mkinitcpio -p linux


  • Damit per DHCP automatisch eine IP-Adresse beim Bootvorgang bezogen wird, muss jetzt der entsprechende systemd-Dienst aktiviert werden:
systemctl enable dhcpcd.service
  • Anschließend werden die chroot-Umgebung verlassen und die Partitionen ausgehängt:
exit
umount /mnt/{boot,home,}
reboot
  • Der PC startet nun neu und man wird vom Bootloader gefolgt von der Eingabeaufforderung zur Entschlüsselung des cryptdevice begrüßt. Nun ist das Passwort einzugeben. Nachdem der Bootvorgang abgeschlossen ist, muss man sich als root anmelden.
Abgerufen von „https://wiki.archlinux.de/index.php?title=Benutzer:Tuxnix&oldid=22619