V dnešním tutoriálu nainstalujeme Arch Linux s úplným šifrováním disku.
Než budeme pokračovat, chci, abyste si zálohovali svá stávající data.
V předchozím tutoriálu jsme se naučili, co jsou dm-crypt a LUKS a jak šifrovat jeden diskový oddíl. Zatímco v dnešním příspěvku zvolíme trochu jiný přístup k zašifrování celého disku pomocí dm-crypt LUKS a nainstalujeme na něj Archlinux.
Začněme mazáním disku. Spusťte lsblk najít svůj primární disk a nahradit /dev/sda kde je potřeba:
shred --verbose --random-source=/dev/urandom --iterations=3 /dev/sda
Spustil jsem výše uvedený příkaz s '--iterations=15' na mém 120GB SSD přes noc a skončil po 7 hodinách.
Po dokončení rozdělte disk. Pokud vaše základní deska nepoužívá firmware UEFI, ujistěte se, že jste vybrali štítek „dos“ (msdos), jinak při psaní použijte „gpt“:
cfdisk /dev/sda
Poté vytvořte oddíl zavaděče:
New-> Partition Size: 100M -> primary -> Bootable
Poslední bude kořenový oddíl. Velikost oddílu by měla být automaticky nastavena na zbývající volné místo.
New-> Partition Size: xxxGB -> primary
Zapište změny a ukončete cfdisk.
Chcete-li spustit šifrovaný kořenový oddíl, oddíl spouštěcího zavaděče /dev/sda1 který bude připojen do /boot nebudou zašifrovány. Na konec tohoto příspěvku vložím několik odkazů, které vás navedou, jak zašifrovat a dokonce přesunout spouštěcí oddíl na CD/DVD/USB.
Vytvořte zařízení mapující kryptografické zařízení v režimu šifrování LUKS:
cryptsetup --verbose --cipher aes-xts-plain64 --key-size 512 --hash sha512 --iter-time 5000 --use-random luksFormat /dev/sda2
Odemkněte oddíl, všimněte si, že cryptroot bude název mapovače zařízení, se kterým budeme pracovat.
cryptsetup open --type luks /dev/sda2 cryptroot
Vytvořte spouštěcí a kořenový souborový systém:
mkfs.ext4 /dev/sda1
mkfs.ext4 /dev/mapper/cryptroot
Namontujte je:
mount -t ext4 /dev/mapper/cryptroot /mnt
mkdir -p /mnt/boot
mount -t ext4 /dev/sda1 /mnt/boot
Nainstalujte základní a základní systém:
pacstrap -i /mnt base base-devel
Vygenerujte soubor fstab:
genfstab -U -p /mnt >> /mnt/etc/fstab
Chroot pro konfiguraci základního systému:
arch-chroot /mnt
Odkomentujte cs_US národní prostředí:
sed -i 's/#en_US.UTF-8 UTF-8/en_US.UTF-8 UTF-8/g' /etc/locale.gen
Vygenerujte národní prostředí:
locale-gen
Vytvořte konfigurační soubor, který dá systému pokyn, jaké jazykové prostředí by měl používat:
echo LANG=en_US.UTF-8 > /etc/locale.conf
Exportovat národní prostředí
export LANG=en_US.UTF-8
Vytvořte symbolický odkaz s požadovaným časovým pásmem:
ln -s /usr/share/zoneinfo/Europe/Berlin /etc/localtime
Nastavte hardwarové hodiny na UTC:
hwclock --systohc --utc
Nastavte požadovaný název hostitele:
echo CookieMonster > /etc/hostname
Nastavte heslo uživatele root:
passwd
Přidat uživatele systému:
useradd -m -g users -G wheel,games,power,optical,storage,scanner,lp,audio,video -s /bin/bash username
Nastavte systémové uživatelské heslo:
passwd username
Nainstalujte sudo (base-devel) a zavaděč grub a os-prober:
pacman -S sudo grub-bios os-prober
Umožněte uživateli systému používat sudo a spouštět příkazy (dočasné) jako root:
EDITOR=nano visudo
Stiskněte CTRL + W a zadejte kolo, poté odkomentujte následující řádek:
Přidejte následující parametr jádra, abyste mohli odemknout kořenový oddíl šifrovaný LUKS během spouštění systému:
Přidejte šifrovat háček:
Protože jsme přidali nový háček do konfiguračního souboru mkinitcpio, měli bychom znovu vygenerovat náš obraz initrams (ramdisk):
mkinitcpio -p linux
Nainstalujte grub a uložte jeho konfigurační soubor:
grub-install --recheck /dev/sda
grub-mkconfig --output /boot/grub/grub.cfg
Ukončete chroot, odpojte oddíly, zavřete zařízení a restartujte (vyjměte instalační médium):
exit
umount -R /mnt/boot
umount -R /mnt
cryptsetup close cryptroot
systemctl reboot
Jakmile zadáte své heslo a přihlásíte se jako systémový uživatel, spusťte dhcpcd.
sudo systemctl start dhcpcd
ping -c2 youtube.com
Nainstalujte Xorg a zkopírujte .xinitrc přes váš $HOME dir:
sudo pacman -S xorg-server xorg-server-utils xorg-xinit mesa xterm xorg-twm xorg-xclock
cp /etc/X11/xinit/xinitrc ~/.xinitrc
Existuje speciální wiki stránka, která obsahuje užitečné informace o ovladačích GPU, podívejte se na https://wiki.archlinux.org/index.php/xorg#Driver_installation a pokud se stane, že vaše značka GPU je amd/ati, intel nebo nvidia nainstaluje příslušné ovladače zde uvedené.
Zadejte startx a měli byste vidět několik terminálů vedle sebe, nyní zadejte exit
Komentář na následujících řádcích v .xinitrc a přidejte nějaké, abyste určili, že chceme xfce desktopové prostředí, které se má spustit po úspěšném přihlášení:
Nainstalujte xfce, správce externího zobrazení a správce sítě:
sudo pacman -S slim archlinux-themes-slim xfce4 networkmanager network-manager-applet
Vyměňte výchozí tenký motiv:
Zastavte dhcpcd, povolte slim, povolte NetworkManager, startx:
sudo systemctl stop dhcpcd
sudo systemctl enable NetworkManager
sudo systemctl enable slim
startx
To bylo vše, doufám, že se vám tento příspěvek líbil.
Pokud se vám někdy podaří zprovoznit váš systém a budete muset provést chroot z vyměnitelného média, pořadí je:
cryptsetup open --type luks /dev/sda2 cryptroot
mount -t ext4 /dev/mapper/cryptroot /mnt
mount -t ext4 /dev/sda1 /mnt/boot
arch-chroot /mnt
Chcete-li je odpojit:
umount -R /mnt/boot
umount -R /mnt
cryptsetup close cryptroot
Odkazy
Slíbené odkazy, přečtěte si pozorně 8. a 9. odkaz, pokud máte SSD:
- odkaz 1
- odkaz 2
- odkaz 3
- odkaz 4
- odkaz 5
- odkaz 6
- odkaz 7
- odkaz 8
- odkaz 9
- odkaz 10