Главная » Linux

Arch linux security boot

Содержание
  1. Installation guide (Русский)
  2. Contents
  3. Перед установкой
  4. Загрузка установочного образа
  5. Проверка подписи
  6. Подготовка установочного носителя
  7. Загрузка live-окружения
  8. Установка раскладки клавиатуры
  9. Проверка режима загрузки
  10. Соединение с интернетом
  11. Синхронизация системных часов
  12. Разметка дисков
  13. Примеры схем
  14. Форматирование разделов
  15. Монтирование разделов
  16. Установка
  17. Выбор зеркал
  18. Установка основных пакетов
  19. Настройка системы
  20. Fstab
  21. Chroot
  22. Часовой пояс
  23. Локализация
  24. Настройка сети
  25. Initramfs
  26. Пароль суперпользователя
  27. Загрузчик
  28. Перезагрузка
  29. После установки
  30. Arch linux security boot

Installation guide (Русский)

Этот документ является руководством по установке Arch Linux с помощью системы, загруженной с официальным установочным образом. Данный образ включает в себя специальные возможности, описанные на странице Install Arch Linux with accessibility options. Также на странице Category:Installation process доступны альтернативные методы установки.

Перед установкой рекомендуется прочитать часто задаваемые вопросы. Чтобы получить разъяснения по понятиям, используемым на этой странице, смотрите статью Help:Чтение. В частности, примеры кода могут содержать заполнители (отформатированные в курсиве ), которые необходимо заменить вручную. Более подробные инструкции приведены в соответствующих статьях ArchWiki и на страницах справочных руководств (man) различных программ. Ссылки и на то, и на другое присутствуют в этом руководстве. Также вы можете получить помощь в IRC-канале и на англоязычном и русскоязычном форумах Arch Linux.

Arch Linux способен работать на любой x86_64-совместимой машине, имеющей хотя бы 512 MiB ОЗУ, однако понадобится больше памяти для загрузки live-системы.[1] Базовая установка занимает меньше 2 GiB дискового пространства. Поскольку для процесса установки требуется получать пакеты из удалённого репозитория, необходимо работающее интернет-соединение.

Contents

Перед установкой

Загрузка установочного образа

В зависимости от желаемого способа загрузки, скачайте образ ISO или netboot (а также соответствующую подпись GnuPG) со страницы Загрузки.

Проверка подписи

Рекомендуется проверять подпись образа перед его использованием, особенно когда он был загружен с зеркала HTTP, где загрузки обычно подвержены перехвату для подмены образа на вредоносный.

На системах с установленным GnuPG это можно сделать, поместив PGP signature (находится на странице Загрузки в разделе Checksums) в каталог с образом и выполнив команду:

В качестве альтернативы, можно проверить подпись из установленного Arch Linux:

Подготовка установочного носителя

Установочный образ можно загрузить на конечном устройстве с помощью USB-накопителя, оптического диска или сети (при помощи PXE) — следуйте соответствующей статье для подготовки установочного носителя.

Загрузка live-окружения

  1. Загрузите устройство с установочного носителя с Arch Linux. Обычно при включении компьютера нажимается специальная клавиша (иногда она указывается на заставке) во время фазы POST для выбора загрузочного устройства. Обратитесь к руководству вашей материнской платы для получения более подробных инструкций.
  2. Когда появится меню установочного носителя, выберите Arch Linux install medium и нажмите Enter для входа в установочное окружение.

Чтобы переключиться на другую виртуальную консоль в процессе установки (например, для просмотра этого руководства в Lynx), используйте горячие клавиши Alt+стрелка . Для редактирования файлов доступны программы mcedit(1) , nano и vim, см. также packages.x86_64 для получения списка пакетов, поставляемых в установочном образе.

Установка раскладки клавиатуры

По умолчанию используется раскладка консоли US. Чтобы посмотреть список доступных раскладок, запустите:

Чтобы изменить раскладку, добавьте имя соответствующего файла к команде loadkeys(1) , не указывая полного пути и расширения. Например, чтобы выбрать русскую раскладку, запустите:

Консольные шрифты расположены в каталоге /usr/share/kbd/consolefonts/ и могут быть выбраны при помощи setfont(8) .

Проверка режима загрузки

Чтобы проверить режим загрузки, просмотрите содержимое каталога efivars:

Если содержимое отображается без каких-либо ошибок, система загружена в режиме UEFI. Если же такого каталога не существует, возможно, система загружена в режиме BIOS (или CSM). Если система не загрузилась в желаемом режиме, обратитесь к руководству пользователя вашей материнской платы.

Читайте также:  Не загружается windows после обновления драйвера видеокарты

Соединение с интернетом

Для настройки сетевого соединения в live-окружении выполните следующие действия:

  • Убедитесь, что ваш сетевой интерфейс обнаружен и включён, например, с помощью ip-link(8) :
  • Если планируется использовать Wi-Fi, убедитесь, что беспроводная карта не заблокирована с помощью rfkill.
  • Подключитесь к сети:
    • Ethernet: подключите кабель.
    • Wi-Fi: подключитесь к беспроводной сети с помощью iwctl.
  • Настройте сетевые соединения:
    • DHCP: установка динамического IP-адреса и адреса DNS-сервера (при помощи systemd-networkd и systemd-resolved) должна срабатывать автоматически для проводных и беспроводных сетевых интерфейсов.
    • Статический IP: см. Настройка сети#Статический IP-адрес.
  • Соединение можно проверить с помощью утилиты ping:

Синхронизация системных часов

Чтобы удостовериться, что время задано правильно, используйте timedatectl(1) :

Для проверки статуса службы используйте timedatectl status .

Разметка дисков

Когда запущенная система распознает накопители, они становятся доступны как блочные устройства, например, /dev/sda , /dev/nvme0n1 или /dev/mmcblk0 . Чтобы посмотреть их список, используйте lsblk или fdisk.

Результаты, оканчивающиеся на rom , loop и airoot , можно игнорировать:

На выбранном накопителе должны присутствовать следующие разделы:

Если вы хотите создать составное блочное устройство для LVM, шифрование диска или RAID, сделайте это сейчас.

Примеры схем

BIOS с MBR
Точка монтирования Раздел Тип раздела Рекомендуемый размер
[SWAP] /dev/раздел_подкачки Linux swap Более 512 МБ
/mnt /dev/корневой_раздел Linux Остаток
UEFI с GPT
Точка монтирования Раздел Тип раздела Рекомендуемый размер
/mnt/boot или /mnt/efi /dev/системный_раздел_efi системный раздел EFI Более 260 MiB
[SWAP] /dev/раздел_подкачки Linux swap Более 512 МБ
/mnt /dev/корневой_раздел Linux x86-64 root (/) Остаток

Форматирование разделов

Когда новые разделы созданы, каждый из них необходимо отформатировать в подходящую файловую систему. Например, для форматирования /dev/корневого_раздела в Ext4 выполните следующую команду:

Если вы создали раздел для подкачки (swap), инициализируйте его с помощью утилиты mkswap(8) :

Для получения дополнительной информации смотрите раздел Файловые системы#Создание файловой системы.

Монтирование разделов

Смонтируйте корневой раздел в каталог /mnt . Например, если корневой раздел — /dev/корневой_раздел , выполните следующую команду:

Используя mkdir(1) создайте точки монтирования для всех остальных разделов (например, /mnt/efi ) и примонтируйте соответствующие разделы.

Если вы ранее создали раздел подкачки (swap), активируйте его с помощью swapon(8) :

В дальнейшем genfstab(8) обнаружит смонтированные файловые системы и пространство подкачки.

Установка

Выбор зеркал

Пакеты для установки должны скачиваться с серверов-зеркал, прописанных в файле /etc/pacman.d/mirrorlist . В установочном образе, после подключения к сети, reflector обновит список зеркал (выбрав 70 наиболее актуальных HTTPS-зеркал) и отсортирует их по скорости загрузки.[2]

Чем выше зеркало расположено в списке, тем больший приоритет оно имеет при скачивании пакета. Вы можете проверить этот файл и, при необходимости, отредактировать его вручную, переместив наверх наиболее географически близкие зеркала. При этом также учитывайте и другие критерии.

Позже pacstrap скопирует этот файл в новую систему, так что это действительно стоит сделать.

Установка основных пакетов

Используйте скрипт pacstrap(8) , чтобы установить пакет base , ядро Linux и прошивки часто встречающихся устройств:

Пакет base не содержит все инструменты, имеющиеся на установочном носителе, из-за чего может потребоваться установка других пакетов для получения полностью функциональной базовой системы. В частности, рассмотрите возможность установки следующего программного обеспечения:

  • утилиты для управления файловыми системами в пользовательском пространстве, которые будут использоваться в системе
  • утилиты для доступа к RAID- или LVM-разделам
  • специфические прошивки других устройств, не включённых в linux-firmware
  • ПО, необходимое для организации сети
  • текстовый редактор
  • пакеты для доступа к документации в man и info: man-db , man-pages и texinfo
Читайте также:  Экранная лупа windows 10 не работает

Чтобы установить другие пакеты или группы, добавьте их названия к команде pacstrap (разделяя их пробелом) или используйте pacman во время этапа #Chroot. Список пакетов на установочном носителе доступен на странице packages.x86_64.

Настройка системы

Fstab

Сгенерируйте файл fstab (используйте ключ -U или -L , чтобы для идентификации разделов использовались UUID или метки, соответственно):

После этого проверьте файл /mnt/etc/fstab и отредактируйте его в случае необходимости.

Chroot

Часовой пояс

Запустите hwclock(8) , чтобы сгенерировать /etc/adjtime :

Эта команда предполагает, что аппаратные часы настроены в формате UTC. Для получения дополнительной информации смотрите раздел System time#Time standard.

Локализация

Отредактируйте файл /etc/locale.gen , раскомментировав en_US.UTF-8 UTF-8 и другие необходимые локали (например, ru_RU.UTF-8 UTF-8 ), после чего сгенерируйте их:

Создайте файл locale.conf(5) и задайте переменной LANG необходимое значение:

Если вы меняли раскладку клавиатуры, сделайте это изменение постоянным в файле vconsole.conf(5) . Также добавьте шрифт для консоли с поддержкой кириллицы:

Настройка сети

Добавьте соответствующую запись в файл hosts(5) :

Если система имеет постоянный IP-адрес, его следует использовать вместо 127.0.1.1 .

Завершите настройку сети для вновь установленной среды, что также может включать в себя установку подходящего ПО для управления сетевым подключением.

Initramfs

Как правило, создание нового образа initramfs не требуется, поскольку pacstrap автоматически запускает mkinitcpio после установки пакета ядра.

Если вы используете LVM, системное шифрование или RAID, отредактируйте файл mkinitcpio.conf(5) и пересоздайте образ initramfs:

Пароль суперпользователя

Загрузчик

Выберите и установите загрузчик с поддержкой Linux. Если вы используете процессор Intel или AMD, включите также обновление микрокода.

Перезагрузка

Выйдите из окружения chroot, набрав exit или нажав Ctrl+D .

Вы можете размонтировать все разделы с помощью команды umount -R /mnt , чтобы убедиться в том, что ни один из разделов не остался занят какой-либо программой. Если нужно, для поиска таких программ используйте fuser(1) .

Теперь перезагрузите компьютер, набрав reboot : если какие-нибудь разделы остались смонтированными, systemd их размонтирует. Не забудьте извлечь установочный носитель. После загрузки войдите в систему в качестве суперпользователя.

После установки

Дальнейшие указания по настройке системы после установки (например, по настройке графического интерфейса, звука или тачпада) вы можете найти на странице Основные рекомендации.

Множество интересных и полезных программ вы найдете на странице Список приложений.

Источник

Arch linux security boot

UEFI SecureBoot on ArchLinux

⚠️ Note: this project will be deprecated soon, by the —uefi option in mkinitcpio and sbctl.

I want full control at what boots the computer to avoid the so called evil maid attack. That requires setting SecureBoot with only my own keys. SecureBoot protects the computer from tampering with the installed OS and boot files, while it’s left powered off outside our view. It’s not a substitute for disk encryption though, it’s an addition to it.

  • secure-boot gen-keys will create the keys in /etc/secure-boot/ — make sure no-one can access them!

The *.auth files must be enrolled in the UEFI firmware the first time. Unfortunately this procedure depends on the hardware i.e. the BIOS/UEFI (see below for a Thinkpad).

secure-boot enroll (experimental) enrolls the keys into the UEFI firmware using efi-updatevar from efitools package.

secure-boot update will update the EFI executable in /boot/Efi/Secure/secure-boot-linux.efi

secure-boot install will run update and add an entry to the EFI boot list for the newly created image

Читайте также:  Linux mint не работает cinnamon

secure-boot.hook can be installed as a pacman hook ( /etc/pacman.d/hooks/ ) that runs secure-boot update when the linux , -ucode package or initramfs is updated. You can use that file as a template for other kernels too (this procedure should converge to systemds kernel-install).

Options can be put in /etc/secure-boot/config.mk (in makefile format). See the top lines of secure-boot for the possible options. You can also specify them on the command line:

  • secure-boot KERNEL=linux-lts update will sign and setup the -lts kernel (also linux-git, linux-zen, etc) — but make sure to setup the pacman hook for those too.
  • by default the script expects a cpu microcode archive exists at /boot/intel-ucode.img , and packs it to the common initramfs. Use secure-boot UCODE= update to disable it.

To simplify, I boot Linux directly from UEFI (no intermediate bootloaders).

UEFI can only boot a single efi executable, but to boot Linux you also need one or more initramfs (including intel micro-code) and a command line[1]. So all of these things have to be combined with objcopy . The combined file is then signed.

Alternatively I’d need to use grub2 or some other bootloader that knows about SecureBoot — that kind of scares me since it increases the attack surface.

[1] command line: the boot command line maybe could be avoided with auto-discovery. AFAIK Arch is not fully ready for that yet.

Three keys/certificates are needed for UEFI SecureBoot (PK, KEK, DB). They are created with openssl.

MAKE SURE YOU KEEP your keys SECURE! Also put a BIOS password!

ASSUMPTIONS: /boot/ is the ESP (EFI System Partition)

Required packages: efibootmgr and from AUR: sbsigntools and efitools. pesign was recommended in some docs, didn’t work at all for me when signing files.

Thinkpads (T450s, X1 Carbon) don’t have key management in the firmware (the bios), so a third-party one needs to be used. efitools has KeyTool.efi , so I copied it and the *.auth files in /boot/keys and set it up to boot on next-boot with efibootmgr.

Make sure to clear the built-in keys first, otherwise you can’t setup your own. In some firmwares there’s a separate option for that, or it does it when you select Enter Setup mode option. Save and reset, and now KeyTool.efi will be able to replace the PK, KEK and db certificates. I didn’t just add the certificate because I wanted only my own keys there. If that is ok, reboot and enable SecureBoot.

On the next reboot KeyTool.efi can’t run since it’s not signed, so the boot will continue to my own combined and signed Linux image.

Don’t forget to upgrade the firmware before starting. Bugs are often fixed and not even documented.

You need an OVMF (the opensource UEFI firmware) binary. Since the one in Arch repos doesn’t support SecureBoot, and the one in AUR doesn’t compile (yet), I took a prebuilt one from a Fedora repository, and unpacked it with bsdtar. Download the edk2.git-ovmf-x64*rpm file and get the OVMF-pure-efi.fd file from it (or alternatively OVMF_CODE-pure-efi.fd and OVMF_VARS-pure-efi.fd).

To run QEMU/KVM with the OVMF firmware, run it as:

or just install some Linux from .iso. Don’t forget, UEFI requires GPT.

Источник

Оцените статью
© 2024 Советы по настройке компьютера