Dies ist eine alte Version des Dokuments!
Inhaltsverzeichnis
ArchLinux - Minimal Server Installation - mit Festplattenverschlüsselung
Die hier verwendete Installationsmethode ist eine Installation von einem ISO-Image/USB-Stick. Es kommt die einzige verfügbare Variante von ArchLinux in der Version 2020.01.01 zum Einsatz.
Beschreibung | Externer Link |
---|---|
Homepage | https://www.archlinux.de/ |
Herunterladen | https://www.archlinux.de/download |
Dokumentation | https://wiki.archlinux.de/title/Hauptseite |
Installation | https://wiki.archlinux.de/title/Anleitung_für_Einsteiger |
- LVM | https://wiki.archlinux.de/title/LVM |
Herunterladen
Die Installationsquellen, sprich die ISO-Datei, kann unter nachfolgend aufgelistetem Link heruntergeladen werden:
Als Beispiel-Quelle kann hier nachfolgender Link dienen:
Zum Herunterladen der DVD in das Zielverzeichnis /tmp
, kann nachfolgender Befehl genutzt werden:
# wget https://www.archlinux.de/download/iso/2020.01.01/archlinux-2020.01.01-x86_64.iso -P /tmp
USB-Stick erstellen
Das ISO-Image kann mit nachfolgendem Befehl auf einen USB-Stick - hier /dev/sdb
als startbereite Abbilddatei (bootable image) erstellt werden:
# dd bs=4M if=/tmp/archlinux-2020.01.01-x86_64.iso of=/dev/sdb && sync
Start: ISO-Image
Nach dem Einschalten des Servers, kann mit der Installation begonnen werden, in dem ein Start von dem sich auf dem USB-Stick befindlichen ArchLinux-ISO-Image in der Version 2020.01.01, durchgeführt wird.
BOOT
Falls dies erfolgreich realisiert werden konnte, sollte in etwa nachfolgender Bildschirm erscheinen:
Durch drücken der [Eingabe|Return]-Taste auf dem Menüpunkt Boot Arch Linux (x86_64) wird ein initialer Start durchgeführt. Nach erfolgreichem Start des „Live“„-Images, sollte nachfolgender Bildschirm erscheinen.
HINWEIS - Eine Anmeldung als Benutzer root
ist bereits erfolgt!
Vorbereitungen
Um die folgenden Installationsschritte durchführen zu können, werden nachfolgende Gegebenheiten vorausgesetzt.
- Es besteht die Möglichkeit, eine Anbindung an das Internet zu konfigurieren
Tastaturlayout: deutsch
ACHTUNG - Nach dem starten des ISO-Images wird ein US/Englisches-Tastaturlayout verwendet!
Damit alle nachfolgenden Eingabe unter Verwendung eines deutschen Tastaturlayouts durchgeführt werden können, ist nachfolgender Befehl auszuführen:
root@archiso ~ # loadkeys de-latin1-nodeadkeys
*¹ Der Buchstabe [y]
befindet sich auf der englischen Tastatur auf der Taste [z]
.
*² Das Zeichen [-]
befindet sich auf der englischen Tastatur auf der Taste [ß]
.
HINWEIS - Anschließend sollte ein deutsches Tastaturlayout geladen sein!
Passwort: root
Damit später nachfolgende Konfigurationen durchgeführt werden können, soll eine Verbindung via SSH hergestellt werden.
Dazu ist es erforderlich, das der Benutzer root
im „Live“-System ein Passwort besitzt, was mit nachfolgendem Befehl gesetzt werden kann:
root@archiso ~ # passwd New password Retype new password: passwd: password updated successfully
Das Passwort ist in der shell
hinter New password:
einzugeben und mit der [Return/Enter]-Taste zu bestätigen. Anschließend ist der shell
hinter Retype new password:
das gleiche Passwort erneut einzugeben und ebenfalls mit der [Return/Enter]-Taste zu bestätigen.
Netzwerkkarte: manuelle Konfiguration
Nachfolgende Befehle sollen eine Verbindung mit einem bestehenden Netzwerk mit Internet-Zugang herstellen.
Zuerst sollte die Bezeichnung der Netzwerkkarte mit nachfolgendem Befehl ermittelt werden:
root@archiso ~ # ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000 link/ether 52:54:00:00:de:ad brd ff:ff:ff:ff:ff:ff inet6 fe80::baa6:bfbf:5fbd:1f6c/64 scope link valid_lft forever preferred_lft forever
Die Bezeichnung der Netzwerkkarte in oben gezeigtem Beispiel lautet aktuell: ens3. In der gleichen Zeile ist auch zu sehen, das die Karte bereits den Status UP
hat, also aktiv und nutzbar ist.
HINWEIS - Falls die Netzwerkkarte nicht UP
und damit aktiv sein sollte, kann mit nachfolgendem Befehl, die Karte mit der Bezeichnung ens3
aktiviert, sprich in den Status UP
versetzt werden:
root@archiso ~ # ip link set up dev ens3
Die Zuweisung einer IPv4-Netzwerkadresse kann mit nachfolgendem Befehl durchgeführt werden:
root@archiso ~ # ip addr add 192.168.1.250/24 dev ens3
Ein Überprüfung, ob die IPv4-Netzwerkadresse für die Netzwerkkarte mit der Bezeichnung ens3
gesetzt wurde, kann mit nachfolgendem Befehl erfolgen:
root@archiso ~ # ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000 link/ether 52:54:00:00:de:ad brd ff:ff:ff:ff:ff:ff inet 192.168.1.250/24 scope global ens3 valid_lft forever preferred_lft forever inet6 fe80::baa6:bfbf:5fbd:1f6c/64 scope link valid_lft forever preferred_lft forever
Damit nun eine Verbindung nicht nur in das bereits aktuelle erreichbare Netzwerk möglich ist, sondern auch eine Standardroute - default
-Route den Weg in Richtung Internet finden kann, ist die Konfiguration einer default
-Route erforderlich, was mit nachfolgendem Befehl durchgeführt werden kann:
root@archiso ~ # ip route add default via 192.168.1.10
Eine Überprüfung mit nachfolgendem Befehl zeigt nun die aktuellen Routen, inklusive der default
-Route an, welche auch in das Internet führen sollte:
root@archiso ~ # ip ro default via 192.168.1.10 dev ens3 192.168.1.0/24 dev ens3 proto kernel scope link src 192.168.1.250
Ob die Verbindung zum Internet hergestellt wurde, kann mit nachfolgendem Test durch den nachfolgenden Befehl durchgeführt werden. Drei ping
in Richtung eines Namensservers (DNS) von Google mit der IP-Adresse: 8.8.8.8
, sollte nun möglich sein und eine Rückmeldung wie nachfolgende zurück liefern:
root@archiso ~ # ping -c3 8.8.8.8 PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data. 64 bytes from 8.8.8.8 icmp_seq=1 ttl=57 time=82.4 ms 64 bytes from 8.8.8.8 icmp_seq=2 ttl=57 time=95.3 ms 64 bytes from 8.8.8.8 icmp_seq=3 ttl=57 time=113 ms --- 8.8.8.8 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2004ms rtt min/avg/max/mdev = 82.381/97.030/113.418/12.730 ms
Namensauflösung: /etc/resolv.conf
Damit nicht nur der Netzwerk technische Zugriff auf das Internet möglich ist, sondern auch eine Namensauflösung wie z.B. Google zu einer IP-Adresse möglich ist, ist es erforderlich, dass ein Namensserver konfiguriert wird, welche im Netzwerk oder aus dem Netzwerk erreichbar ist. Dies kann durch Ausführen des nachfolgenden Befehls durchgeführt werden:
root@archiso ~ # echo nameserver 192.168.1.20 >> /etc/resolv.conf
HINWEIS - Falls kein eigener Namensserver zur Verfügung stehen sollte, wäre auch ein extern erreichbarer Nameserver wie der von Google ein ggf. kurzfristige Option, was durch Ausführung von nachfolgenden Befehlen ermöglicht werden könnte:
root@archiso ~ # echo nameserver 8.8.8.8 >> /etc/resolv.conf root@archiso ~ # echo nameserver 8.8.4.4 >> /etc/resolv.conf
Mit nachfolgendem Befehl kann überprüft werden, ob die Ergänzung der Konfiguratiosndatei /etc/resolv.conf
erfolgreich war:
root@archiso ~ # cat /etc/resolv.conf # Resolver configuration file. # See resolv.conf(5) for details. nameserver 192.168.1.20
Ob die Namensauflösung Richtung Internet hergestellt wurde, kann mit nachfolgendem Test durch den nachfolgenden Befehl durchgeführt werden. Drei ping
in Richtung von Google, sollte nun möglich sein und eine Rückmeldung wie nachfolgende zurück liefern:
root@archiso ~ # ping -c3 google.de PING google.de (172.217.23.35) 56(84) bytes of data. 64 bytes from lhr35s02-in-f3.1e100.net (172.217.23.35): icmp_seq=1 ttl=57 time=23.5 ms 64 bytes from lhr35s02-in-f3.1e100.net (172.217.23.35): icmp_seq=1 ttl=57 time=25.0 ms 64 bytes from lhr35s02-in-f3.1e100.net (172.217.23.35): icmp_seq=1 ttl=57 time=22.9 ms --- google.de ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2619ms rtt min/avg/max/mdev = 22.853/23.799/25.031/0.911 ms
SSH-Dienst: starten
Damit eine Verbindung zum Server, welcher via „Live“-ISO-Image gestartet wurde, hergestellt werden kann, muss der bereits entsprechend vorkonfigurierte SSH-Dienst/Daemon mit nachfolgendem Befehl gestartet werden:
root@archiso ~ # systemctl start sshd.service
Eine Überprüfung ob der SSH-Dienst/Daemon auch ordnungsgemäß gestartet wurde, kann durch ausführen des nachfolgenden Befehls durchgeführt werden und sollte eine Ausgabe in etwa wie nachfolgende zur Folge haben:
root@archiso ~ # systemctl status sshd.service ● sshd.service - OpenSSH Daemon Loaded: loaded (/usr/lib/systemd/system/sshd.service; disabled; vendor prese> Active: active (running) since Sun 2020-01-10 08:28:08 UTC; 8s ago Main PID: 822 (sshd) Tasks: 1 (limit: 2332) Memory: 2.0M CGroup: /system.slice/sshd.service └─822 /usr/bin/sshd -D Jan 10 08:28:08 archiso systemd[1]: Started OpenSSH Daemon. Jan 10 08:28:08 archiso sshd[882]: Server listening on 0.0.0.0 port 22. Jan 10 08:28:08 archiso sshd[882]: Server listening on :: port 22.
Verbindung: SSH-Login (root)
Jetzt kann eine erste Verbindung als Benutzer root
via SSH-Login auf dem Server, welcher via „Live“-ISO-Image gestartet wurde, hergestellt werden. Nachfolgender Befehl soll dazu auf einer lokalen Workstation, nicht auf dem Server verwendet werden:
$ ssh root@192.168.1.250 The authenticity of host '192.168.1.250 (192.168.1.250)' can't be established. ECDSA key fingerprint is SHA256:AizXWHnKF2FQHZxGpuPW8Wk/TG/NZYuzNbwLxmmGCOw. ECDSA key fingerprint is MD5:a0:b5:24:1a:f5:84:81:14:b3:ec:2f:7c:3a:dd:1a:7f. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.1.250' (ECDSA) to the list of known hosts. root@192.168.1.250's password: Last login: Fri Jan 10 06:50:29 2020 root@archiso ~ #
Partitionierung: fdisk
Damit nun nach dem Start des sich auf dem USB-Stick befindlichen ArchLinux-ISO-Image in der Version 2020.01.01 aus dem „Live“-ISO-Image eine permanente Installation wird, ist zuerst die Partitionierung der Festplatte durchzuführen.
HINWEIS - Es gibt keinen Installationsmanager wie bei anderen Distributionen, der diese Konfiguration Menü gestützt durchführt!
Nachfolgend soll eine Partitionierung der Festplatte unter Einsatz eines LVM eingerichtet werden. Die Partitionierung soll hier beispielhaft mit nachfolgender Festplattenaufteilung durchgeführt werden
Phyische Festplatte/LVM | Größe | Mount-Point | Dateisystem |
---|---|---|---|
/dev/vda |
|||
/dev/vda1 |
|||
/dev/vda1 | 1 GB | /boot | ext4 |
/dev/vda2 |
|||
/dev/mapper/archlinux-swap | 2 GB | [SWAP] | swap |
/dev/mapper/archlinux-root | 10 GB | / | ext4 |
/dev/mapper/archlinux-home | 1 GB | /home | ext4 |
/dev/mapper/archlinux-var | 3 GB | /var | ext4 |
/dev/mapper/archlinux-var_log | 2 GB | /var/log | ext4 |
SUMME | 19 GB |
Damit die noch unformatiert Festplatte partitioniert werden kann, soll dies mit Unterstützung des Befehl fdisk
durchgeführt werden.
Nachfolgender Befehl listet die aktuelle, noch leere Festplattenkapazitäten auf:
root@archiso ~ # fdisk -l | grep -i 'Disk /dev/vd' Disk /dev/vda: 19.54 GiB, 20971520000 bytes, 40960000 sectors
Schritt 1: fdisk Interaktiver-Modus
ACHTUNG - Die Befehle bitte mit großer Sorgfalt ausführen, da sonst Beschädigungen am Dateisystem entstehen !!!
ACHTUNG - Bitte darauf achten, nicht versehentlich eine andere Festplatte zu formatieren !!!
Mit nachfolgenden Befehlen, wird die Festplatte /dev/vda in Bearbeitung genommen, um diese dann zu partitionieren:
ACHTUNG -Hier ist dies /dev/vda
, bitte ggf. an Ihre Umgebung und Bedürfnisse anpassen !!!
root@archiso ~ # fdisk /dev/vda Welcome to fdisk (util-linux 2.34). Changes will remain in memory only, until you decide to write them. Be careful before using the write command. Device does not contain a recognized partition table. Created a new DOS disklabel with disk identifier 0xea65ab2f. Command (m for help):
Schritt 2: Erste Partition anlegen
Durch nachfolgende Befehle wird eine
- neue „primäre“ Partition
- mit der Nummer 1
- und einer Größe von 1 GB angelegt:
Nachfolgende Tasten sind wie folgt zu drücken:
n
p
1
[Enter/Return]-Taste = Bestätigung für „First sector 2048“
- und die Eingabe der Größe, durch
+1024M
Command (m for help): n Partition type p primary (0 primary, 0 extended, 4 free) e extended (container for logical partitions) Select (default p): p Partition number (1-4, default 1): 1 First sector (2048-40959999, default 2048): Last sector, +/-sectors or +/-size{K,M,G,T,P} (2048-40959999, default 40959999): +1024M Created a new partition 1 of type 'Linux' and of size 1 GiB.
Anschließend kann durch drücken der Taste p
die neue Partitionierung aufgelistet werden, was eine Ausgabe wie nachfolgende zur Anzeige bringen sollte:
Command (m for help): p Disk /dev/vda: 19.54 GiB, 20971520000 bytes, 40960000 sectors Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disklabel type: dos Disk identifier: 0xea65ab2f Device Boot Start End Sectors Size Id Type /dev/vda1 2048 2099199 2097152 1G 83 Linux
Schritt 3: Zweite Partition anlegen
Durch nachfolgende Befehle wird eine
- neue „primäre“ Partition
- mit der Nummer 2
- in der Größe der restlichen Festplatte angelegt:
Nachfolgende Tasten sind wie folgt zu drücken:
n
p
2
[Enter/Return]-Taste = Bestätigung für „First sector …“
[Enter/Return]-Taste = Bestätigung für „Last sector …“
Command (m for help): n Partition type p primary (1 primary, 0 extended, 3 free) e extended (container for logical partitions) Select (default p): p Partition number (2-4, default 2): 2 First sector (2099200-40959999, default 2099200): Last sector, +/-sectors or +/-size{K,M,G,T,P} (2099200-40959999, default 40959999): Created a new partition 2 of type 'Linux' and of size 18.5 GiB.
Schritt 4: Zweite Partition Typ ändern
Anschließend muss der Partitionstyp bei der zweiten Partition auf Linux LVM mit nachfolgenden Tasten angepasst werden:
t
[Enter/Return]-Taste = Bestätigung für „Partition number (1,2, default 2)“
8e
Command (m for help): t Partition number (1,2, default 2): 2 Hex code (type L to list all codes): 8e Changed type of partition 'Linux' to 'Linux LVM'.
Abschließend kann durch drücken der Taste p
die neue Partitionierung aufgelistet werden, was eine Ausgabe wie nachfolgende zur Anzeige bringen sollte:
Command (m for help): p Disk /dev/vda: 19.54 GiB, 20971520000 bytes, 40960000 sectors Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disklabel type: dos Disk identifier: 0xea65ab2f Device Boot Start End Sectors Size Id Type /dev/vda1 2048 2099199 2097152 1G 83 Linux /dev/vda2 2099200 40959999 38860800 18.5G 8e Linux LVM
Schritt 5: Partitionstabelle schreiben
Anschließend ist nun die Taste
w
zu drücken, um die Änderung auch tatsächlich in die Partitionstabelle der Festplatte zu schreiben:
Command (m for help): w The partition table has been altered. Calling ioctl() to re-read partition table. Syncing disks. root@archiso ~ #
LUKS-Verschlüsselung
Schritt 1: Modul dm-crypt laden
Zuerst muss das Kernel-Modul - dm-crypt
mit nachfolgendem Befehl:
root@archiso ~ # modprobe dm-crypt
Schritt 2: Modul dm-mod laden
Als nächstes muss das Kernel-Modul - dm-mod
mit nachfolgendem Befehl:
root@archiso ~ # modprobe dm-mod
Schritt 3: Verschlüsselung durchführen
ACHTUNG - Die Befehle bitte mit großer Sorgfalt ausführen, da sonst Beschädigungen am Dateisystem entstehen !!!
ACHTUNG - Bitte darauf achten, nicht versehentlich eine andere Festplatte zu verschlüsseln !!!
Zur Verschlüselung der gesamten PArtition der Festplatte, soll nachfolgender Befehl verwendet werde:
root@archiso ~ # cryptsetup -v --type luks --cipher aes-xts-plain64 --key-size 256 --hash sha256 --iter-time 2000 --use-urandom --verify-passphrase luksFormat /dev/sda2 WARNING! ======== This will override data on /dev/sda2 irrevocably. Are you sure? (Type 'yes' in captal letters): YES Enter passphrase for /dev/sda2: Verify passphrase: Key slot 0 created. Command succesful.
Nachfolgende Tabelle veranschaulicht die Parameter:
Option | Standard | Beschreibung |
---|---|---|
–cipher -c | aes-xts-plain64 | „Cipher“ Mechanismus |
–key-size -s | 256 | Schlüssellänge, es wäre auch z.B. 512 möglich |
-hash -h | sha256 | Hash Algorithmus, es wäre auch z.B. sha512 möglich |
-iter-time -i | 2000 | Anzahl der Millisekunden zur Berechnung der Passphrase |
–use-{u,}random | –use-urandom | Welcher Zufallsgenerator verwendet werden soll |
–verify-passphrase -y | –verify-passphrase | Überprüfung der Eingabe der Passphrase |
Schritt 4: Verschlüsselte Partition öffenen
Nachfolgender Befehl öffnet nun die verschlüsselte Partition der Festplatte:
root@archiso ~ # cryptsetup open /dev/sda2 archlinux Enter passphrase for /dev/sda2: