Eine Installationsanleitung für die Linuxdistribution Arch Linux mit Rollback Funktion und den wichtigsten Post-Installations Konfigurationsschritten.
Arch Linux ist eine beliebte Linux-Distribution mit einer Do-It-Yourself Philosophie. In diesem Tutorial wird die Installation des Systems auf einem verschlüsselten BTRFS Dateisystem beschrieben.
Nutzer dieses Tutorials sollten mit einem CLI Texteditor umgehen können (z. B. nano oder vim) sowie grundlegende Verzeichnisnavigation beherrschen. Das Archwiki aufsuchen, falls auf Probleme gestossen werden sollte.
Grundlegender Ablauf
Dieses Tutorial ist für ein modernes System mit UEFI BIOS und einer SSD mit GPT-Partitionstabelle geschrieben. Es nutzt Verschlüsselung und das BTRFS Dateisystem.
- Festplatten partitionieren, verschlüsseln und formatieren.
- Arch Linux mit
pacstrapbootstrappen und ins System chrooten. - Initial RAM-Filesystem erstellen.
- Boot loader installieren und konfigurieren.
- Desktopumgebung einrichten.
- Snapshotfunktion einrichten.
- Post Install Konfiguration.
Informationen für Dualboot Systeme mit Windows:
Dieses Tutorial geht davon aus, dass Windows auf einer separaten Festplatte installiert ist. Falls das nicht möglich ist, dann sollte Windows zuerst installiert werden. Für die Linux-Installation sollte eine separate ESP Partition erstellt werden, damit in Zukunft Windows Updates nicht unerwünscht den Linux-Eintrag aus der ESP löschen.
Vorbereitung
Die ISO-Datei von der Arch Webseite herunterladen (Arch unterstützt nur die x86_64 Architektur), die Signatur verifizieren und einen bootable USB-Stick erstellen.
Signatur verifizieren
Wir nutzen GnuPG: PGP Signatur von der Webseite herunterladen und im gleichen Ordner wie die ISO Datei speichern. Den Signing Key vom WKD (Web Key Directory) herunterladen.
gpg --auto-key-locate clear,wkd -v --locate-external-key pierre@archlinux.orgSignatur verifizieren:
gpg --keyserver-options auto-key-retrieve --verify archlinux-2024.12.01-x86_64.iso.sig archlinux-2024.12.01-x86_64.isoBootable USB-Stick erstellen
Dann die Installationsdatei auf einen USB-Stick laden. Es gibt verschiedene Arten, einen bootable USB-Stick zu erstellen. Hier mache ich es mit dem dd Befehl:
dd bs=4M if=path/to/archlinux-version-x86_64.iso of=/dev/disk/by-id/usb-My_flash_drive conv=fsync oflag=direct status=progressDanach ins Live Environment booten und die eigentliche Installation beginnen.
Temporär Console Keyboard Layout setzen
Vorhandene Key maps anzeigen:
ls /usr/share/kbd/keymaps/**/*.map.gzKey map laden:
loadkeys de_CH-latin1Boot Modus verifizieren
UEFI bitness überprüfen:
cat /sys/firmware/efi/fw_platform_sizeFalls 64 ausgegeben wird, dann ist das System im UEFI Modus gebootet und hat ein 64-bit x64 UEFI. Falls es 32 ausgibt, dann ist das System im UEFI Modus gebootet und hat ein 32-bit IA32 UEFI; obwohl das auch unterstützt wird, wird es die Boot loader Wahl auf Systemd-boot reduzieren. Wenn die Datei nicht existiert, könnte das System im BIOS (oder CSM) Modus gebootet sein. Wenn das System nicht im richtigen Modus gebootet hat, sollte die Anleitung des Motherboards aufgesucht werden.
Internet verbinden
Überprüfen, ob das Netzwerk Interface gelistet und aktiviert ist. Dieser Befehl initialisiert auch mit Ethernet-Kabel verbundenes Internet.
ip link- Bei Ethernet-Verbindung einfach Kabel einstecken
- Bei Wireless mit
iwctlverbinden. Zuerst noch mitrfkillsicherstellen, dass der Wireless Adapter nicht blockiert ist.
iwctl verwenden, um Internet zu verbinden
Aktiven Prompt erhalten:
iwctlAlle WiFi Devices auflisten:
[iwd] device listFalls das Gerät oder der entsprechende Adapter ausgeschaltet ist, einschalten:
[iwd] device DEVICE set-property Powered on
[iwd] adapter ADAPTER set-property Powered onScan Initiieren:
[iwd] station DEVICE scanNetzwerke auflisten:
[iwd] station DEVICE get-networksNetzwerk verbinden:
[iwd] station DEVICE connect SSIDFalls ein Passwort benötigt wird, wird danach gefragt.
Systemuhr aktualisieren
In der Live-Umgebung ist systemd-timesyncd standardmäßig eingeschaltet und die Zeit wird automatisch synchronisiert, sobald das Internet verbunden ist.
Zeit überprüfen:
timedatectlFestplatte(n) konfigurieren
Wahl zwischen BTRFS oder EXT4. Allgemein: BTRFS für SSD, EXT4 für HDDs. XFS und ZFS sind auch beliebte Dateisysteme, werden hier allerdings nicht beachtet. Für mehr Informationen, Archwiki aufsuchen. LVM für Datenträgerverwaltung. Hier wird davon ausgegangen, dass das System auf einer SSD mit BTRFS Dateisystem installiert wird, mit zwei HDD-Festplatten im EXT4 Format als mass media storage in einer LVM.
Festplatteninhalt komplett löschen
Wir möchten unsere Festplatten verschlüsseln. Zunächst wird der ganze Inhalt der Platten mit Nullen überschrieben. Dazu nutzen wir den Befehl cryptsetup. Festplatten auflisten:
fdisk -l Festplatte in einem temporär verschlüsselten Container mit dem Namen "to_be_wiped" öffnen:
cryptsetup open --type plain -d /dev/urandom /dev/FESTPLATTE to_be_wipedFestplatte mit Nullen füllen:
dd bs=1M if=/dev/zero of=/dev/mapper/to_be_wiped status=progressContainer schließen:
cryptsetup close to_be_wiped
Partitionen erstellen
Festplatten auflisten:
fdisk -lFestplatte auswählen:
fdisk /dev/DEVICE- Alte Partitionen mit
dlöschen - Mit
geine neue GPT Partitionstabelle erstellen. - Allfällige alte Signaturen ruhig löschen.
Einfach dem Programm folgen, es ist ziemlich selbsterklärend.
EFI Partition (EFI System Partition, ESP)
- Mit
neine neue Partition erstellen. Default Nummer. Default erste Position. "+500M" Größe.- Typ mit
tdefinieren, Partition auswählen, und 1 (oder EFI System) eintippen.
- Typ mit
Root Partition
- Mit
neine neue Partition erstellen. Default Nummer. Default erste Position. Mit Enter einfach den Default Wert für Größe nehmen (= den ganzen Rest).- Typ mit
tdefinieren, Partition auswählen, und Linux Filesystem eintippen (ist der Standardwert).
- Typ mit
Encryption Setup
Die Partitionen werden mithilfe des cryptsetup-Tools verschlüsselt. ROOTPART steht für die zu verschlüsselnde Partition.
cryptsetup -y -v luksFormat --label ARCH_LUKS /dev/ROOTPARTPasswort eingeben. Danach die Partition entschlüsseln, um mit ihr arbeiten zu können:
cryptsetup open --type luks /dev/ROOTPART cryptrootWir haben somit die verschlüsselte Partition /dev/ROOTPART entschlüsselt und auf /dev/mapper/cryptroot gemappt.
Partitionen formatieren
Wir erstellen nun Dateisysteme auf den Partitionen. ESP-Partition in FAT32, ROOTPART in BTRFS formatieren und überprüfen:
mkfs.fat -F32 -n ESP /dev/PART1
mkfs.btrfs -L ARCH /dev/mapper/cryptroot
lsblk -f
BTRFS Subvolumes erstellen
Dafür muss die Root-Partition zuerst gemounted werden:
mount /dev/mapper/cryptroot /mntIns /mnt Verzeichnis wechseln und Subvolumes erstellen. Vorgeschlagenes Layout wird vom Archwiki übernommen, außer dass ich keine Subvolume für /var/log verwende. Eine Subvolume für root(@), eine für home, eine für swap und eine für snapshots. Am Schluss /mnt unmounten, damit wir die eigentlichen mount Verzeichnisse im nächsten Schritt definieren können.
cd /mnt
btrfs subvolume create @
btrfs subvolume create @home
btrfs subvolume create @snapshots
btrfs subvolume create @swap
cd ..
umount /mntSubvolumes und ESP mounten
Als BTRFS Optionen werden noatime (schaltet file writing access times ab für bessere performance), zstd:1 (Dateikompression auf Stufe 1) und space_cache=v2 (neue Implementation eines free space tree für BTRFS cache) genutzt.
mount --mkdir -o noatime,compress=zstd:1,space_cache=v2,subvol=@ /dev/mapper/cryptroot /mnt
mount --mkdir -o noatime,compress=zstd:1,space_cache=v2,subvol=@home /dev/mapper/cryptroot /mnt/home
mount --mkdir -o noatime,compress=zstd:1,space_cache=v2,subvol=@snapshots /dev/mapper/cryptroot /mnt/.snapshots
mount --mkdir -o noatime,subvol=@swap /dev/mapper/cryptroot /mnt/swap
mount --mkdir /dev/ESPPART /mnt/bootSwap einrichten
Snapshot-Funktion für Swap Partition ausschalten, und ein Swap File erstellen (optional: mindestens so gross wie RAM, damit Hibernation gewährleistet wird. Im dd Befehl die count Option (in MB) anpassen):
cd /mnt/swap
# Snapshotfunktion deaktivieren
chattr +C /mnt/swap
# Swapspace definieren
dd if=/dev/zero of=./swapfile bs=1M count=4096 status=progress
chmod 0600 ./swapfile
mkswap -U clear ./swapfile
swapon ./swapfileOptional: Mass Media Storage mit LVM Setup
Ich habe 2 HDD-Festplatten, die ich als Mass Media Storage verwende. Diese möchte ich zu einer großen Partition zusammenfassen – dazu nutze ich LVM. Logical Volumes können auch verschlüsselt werden. Dazu entweder die eigentlichen Festplatten verschlüsseln und LVM obendrauf bauen, oder die Logical Volume als Ganzes im Nachhinein verschlüsseln. Für Vor- bzw. Nachteile Archwiki aufsuchen. Ich habe mich für LUKS on LVM entschieden. Anmerkung: Der Wiki-Eintrag geht davon aus, dass es als System-Partition verwendet wird, was hier nicht der Fall ist.
Festplatten vorbereiten
Zunächst müssen beide Festplatten vorbereitet werden. Gleich wie bei der Root Disk zuvor überschreiben wir den Inhalt mit Nullen und erstellen auf beiden Festplatten eine Partition über die komplette Größe vom Typ Linux Filesystem. Physical Volumes können auch direkt auf einer Disk ohne Partition definiert werden, wird aber nicht empfohlen.
LVM definieren
Mit dem pvcreate Befehl die frisch angelegten Partitionen als Physical Volumes definieren:
# sdb1 und sdc1 mit deinen eigenen Partitionen tauschen
pvcreate /dev/sdb1
pvcreate /dev/sdc1Mit dem Befehl pvdisplay können diese überprüft werden.
Nun wird mit dem vgcreate Befehl eine Volume Group (eine Art Container) erstellt, ich gebe ihr den Namen "vghome". Diese beinhaltet die beiden vorher erstellten Physical Volumes.
vgcreate vghome /dev/sdb1 /dev/sdc1Mit dem Befehl vgdisplay lässt sich die Volume Group überprüfen.
Aus dieser Volume Group können nun mit lvcreate Logical Volumes erstellt werden. Diese verhalten sich auf der Systemebene dann wie eine normale Partition einer Festplatte. Meine Logical Volume erstelle ich über die gesamte Grösse dieser LV.
lvcreate -l 100%FREE vghome -n lvcrypthomeMit lvdisplay lässt sich diese überprüfen.
Dieses Logical Volume muss nun noch verschlüsselt werden und ein Dateisystem erhalten.
Verschlüsselung & Formatierung
Ähnliches Vorgehen wie auf der Root-Partition. Logical Volume verschlüsseln:
cryptsetup -y -v luksFormat --label HOME_LUKS /dev/vghome/lvcrypthomePasswort eingeben, ich verwende dasselbe wie bei der Root-Partition. Wieder entschlüsseln und mappen damit wir sie formatieren können.
cryptsetup open --type luks /dev/vghome/lvcrypthome crypthomeFormatieren. Meine Festplatten sind HDDs, deswegen in EXT4.
mkfs.ext4 -L home /dev/mapper/crypthomeFestplatten sind vorbereitet, jetzt kann die Installation beginnen. Anzumerken ist, dass der [[Arch Linux Post Installation#Weitere verschlüsselte Festplatten bei Boot entschlüsseln und mounten|Mountpoint erst am Schluss definiert wird]]. Außerdem darf das lvm2 Paket nicht fehlen (wird im nächsten Schritt installiert).
Arch Installation
Mit pacstrap eine neue Arch-Installation beginnen und Basispakete installieren. Eigentlich ist nur das base Paket notwendig. Es beinhaltet eine minimale Sammlung an Paketen, die eine Arch Installation definieren.
pacstrap -i /mnt baseAber so fehlt es an vielen wichtigen Funktionen. Weitere Pakete werden einfach mit einem Abstand getrennt aufgeschrieben. Hier ist eine Liste von empfohlenen Softwarepaketen:
- Basic Stuff:
basebase-devel(diverse Build-tools)linux(Kernel)linux-lts(LTS kernel)linux-headers(Kernel headers)linux-lts-headers(LTS kernel headers)linux-firmwarevim(Text-Editor)viopenssh(SSH)intel-ucode(amd-ucodefür AMD-Prozessoren)sudo
- Filesystem Utilities:
ntfsprogsntfs-3gbtrfs-progslvm2exfat-utilsfuse-exfate2fsprogs
- Bootprozess:
dosfstoolsgrubefibootmgros-probermtools
- Netzwerk:
networkmanagerdialog(Wifi connect wie CL)
Milde interessant: Wenn das "Linux" Paket (Linux Kernel) nicht installiert wird, ist theoretisch keine Linux-Installation vorhanden, lediglich eine Sammlung von Softwarepaketen. Daher der Name Linux-Distribution - der Linux Kernel wird distribuiert.
Konfiguration
Wir schreiben die zuvor definierten Mountpoints mithilfe des genfstab Befehls in die fstab (Filesystem table) Datei:
genfstab -U /mnt >> /mnt/etc/fstab
# Kontrolle
cat /mnt/etc/fstabWichtig für Restoren von Snapshots: Sicherstellen, dass beim mounten der einzelnen Subvolumes die Option "subvolid" nicht verwendet wird – die Option "subvol" reicht aus. Ausserdem sollte die top-level subvolume (immer ID=5) auf mnt/btrfs-root gemounted werden. Folgende Zeile einfügen:
UUID=UUID-der/installationspartition /mnt/btrfs-root btrfs rw,noatime,compress=zstd:1,ssd,space_cache=v2,subvolid=5 0 0Wir nehmen Zugriff auf die Arch Installation – die Konsoleneingabe wird auf die Work-in-Progress Installation angebunden:
arch-chroot /mntWir befinden uns nun in der Arch Installation auf der eigentlichen Festplatte in einer chroot (change root) Umgebung. Noch müssen wir ein paar Dinge konfigurieren, damit das System ohne den USB-Stick bootet. Ab jetzt kann auch der Paketmanager pacman verwendet werden, um Pakete zu installieren.
Zeitzone und Sprache
In /usr/share/zoneinfo die Region und Stadt finden und einen Symlink in /etc/localtime erstellen. Im Anschluss die Hardwareuhr synchronisieren:
ln -sf /usr/share/zoneinfo/Europe/Zurich /etc/localtime
hwclock --systohcSprachen in /etc/locale.gen auskommentieren (en_US.UTF-8 und de_CH.UTF-8), und locale generieren:
locale-genSprache setzen: /etc/locale.conf erstellen und für Englisch die Linie LANG=en_US.UTF-8 einfügen.
Keyboard-Layout definieren, indem /etc/vconsole.conf mit KEYMAP=de_CH-latin1 als Inhalt erstellt wird.
Netzwerk
Die Datei /etc/hostname editieren und in der ersten Linie den gewünschten Namen der Maschine eingeben.
Die Datei /etc/hosts editieren und folgende Linien eingeben:
127.0.0.1 localhost
127.0.1.1 hostname #der in /etc/hostname definierte hostnameRoot Passwort setzen und standard Benutzer hinzufügen
Wir sind als Root eingeloggt. Passwort ändern mit:
passwdStandard Benutzer erstellen, zur wheel Gruppe hinzufügen und Passwort setzen:
useradd -m -G wheel
passwdSudoers File Anpassen und wheel Gruppe Privilege erhöhen:
visudoDie Linie %wheel ALL=(ALL) ALL: auskommentieren.
Systemd Services autostart
Mit dem Befehl systemctl einige nützliche Dienste automatisch starten.
systemctl enable sshd NetworkManager fstrim.timer systemd-timesyncd paccache.timerInitial Ram Disc Environment generieren
Das Initial Ram Disc Environment (seit kernel Version 2.6 Initial Ram Filesystem) hilft dem Linux Kernel im Bootprozess, Treiber und das eigentliche Root Filesystem zu laden. Es muss zuerst generiert werden. Früher nutzte man dazu den Befehl initrd, heute wird initramfs genutzt. In Arch heißt heisst das äquivalente Programm mkinitpcio. Die alte und neue Methode unterscheiden sich in den Details, aber bewerkstelligen allgemein das Gleiche.
Wir editieren /etc/mkinitcpio.conf und fügen in der HOOKS=(... Variable zwischen block und filesystems das Keyword encrypt hinzu. Außerdem werden die Hooks keyboard und keymap benötigt. Falls z.B. von einer LVM gebootet wird, braucht es den lvm Hook.
Sicherstellen, dass die Linie wie folgt aussieht, falls nicht vom Tutorial abgewichen wurde:
HOOKS=(base udev autodetect modconf kms keyboard keymap consolefont block encrypt filesystems fsck grub)Mit dem Befehl mkinitcpio das Initial RAM Dateisystem regenerieren. Mit der -P Option wird es für alle installierten Kernels automatisch gemacht, sonst müsste man den Kernel als Option angeben (z. B. Linux-LTS) und den Prozess wiederholen.
mkinitcpio -PBoot loader installieren
Ich nutze den Bootloader GRUB. Auf dem Archwiki sind alle gängigen Bootloader und deren Vor- bzw. Nachteile aufgelistet.
Die UUID der Partition, die verschlüsselt wurde (nicht die geöffnet- und dann gemappte /dev/mapper/cryptroot) mit blkid holen (z.B. die UUID von /dev/nvme0n1p2) und aufschreiben.
/etc/default/grub/ bearbeiten, und auskommentieren:
GRUB_ENABLE_CRYPTODISK=yFür Dual boot Systeme folgende Linie auskommentieren:
GRUB_DISABLE_OS_PROBER=falseUm Grub bei Boot zu verstecken, folgende Linien bearbeiten (mit Drücken der ESC Taste im Bootprozess lässt es sich wieder anzeigen):
GRUB_TIMEOUT=0
GRUB_TIMEOUT_STYLE=hiddenSowie die Option GRUB_CMDLINE_LINUX_DEFAULT anpassen und folgende Linie nach quiet mit einem Abstand dazwischen einfügen (UUID mit der zuvor aufgeschriebenen ersetzen). Falls es eine SSD ist, mit :allow-discards TRIM support bei Boot aktivieren.
$ root=/dev/mapper/cryptroot cryptdevice=UUID=5f5b0b02-318c-4980-bcb5-793d44fe4387:cryptroot:allow-discardsInstallieren (für 64-Bit Systeme):
grub-install --target=x86_64-efi --efi-directory=/boot --bootloader-id=GRUB --recheckGrub Sprache auf Englisch stellen:
cp /usr/share/locale/en\@quot/LC_MESSAGES/grub.mo /boot/grub/locale/en.moGrub-Konfigurationsdatei generieren:
grub-mkconfig -o /boot/grub/grub.cfgDas System kann nun ohne den USB-Stick booten. Mit exitaus der chroot Umgebung aussteigen und mit reboot neu starten. Falls eine Windows-Installation auf einer Separaten Festplatte existiert, im BIOS sicherstellen, dass von der Linux Partition gebootet wird. Nach Neustart mit dem Networkmanager Befehl nmcli erneut mit dem WiFi Internet verbinden.
nmcli device wifi list
nmcli device wifi connect passwordDesktopumgebung einrichten
Es kann eine beliebige Desktopumgebung installiert werden - ich habe mich für KDE Plasma entschieden. Ausserdem wird der Display Server Xorg benötigt.
pacman -S xorg-server xorg xorg-xinit plasmaTreiber für Intel & AMD Grafikkarten. Sollte auch installiert werden, damit die Grafikausgabe der CPU funktioniert.
pacman -S mesaTreiber für Nvidia Grafikkarten. Muss gleich sein mit dem Kernel, also LTS auch installieren:
pacman -S nvidia nvidia-lts nvidia-settingsPlasma empfiehlt den sddm Display Manager (wird mit dem plasma Paket mitgeliefert). Ein Display Manager zeigt nach dem Bootprozess eine grafische Log-in-Oberfläche an.
systemctl enable sddmX11 Tastatur Keymap einstellen:
localectl set-keymap de_CH-latin1
localectl set-x11-keymap chNeustart, reboot. Das System sollte danach in eine Grafische Umgebung starten. Falls das Tastaturlayout immer noch falsch sein sollte, den letzten Schritt wiederholen - samt Neustart.
Automatische Snapshots mit Snapper
Automatische Snapshots des Systems bei Updates einrichten. Außerdem wird das GRUB Menu auch automatisch aktualisiert und ermöglicht das direkte Booten in den ausgewählten Snapshot (read-only). Snapshots sind nützlich, wenn bei einem Update (oder durch Nutzerfehler) das System unbrauchbar gemacht wird - es kann ruckzuck auf einen noch funktionierenden Systemstand gewechselt werden. Wichtig: Snapshots sind keine Backups.
Vom /home Verzeichnis erstelle ich keine Snapshots, da ich von diesen Daten bereits auf einer separaten Festplatte ein richtiges Backup halte. Falls gewünscht, können die Schritte für /home wiederholt werden.
Snapper installieren:
sudo pacman -S snapperBevor wir snapper konfigurieren, müssen wir unsere @snapshots Subvolume unmounten und den Mountpoint Ordner löschen, denn Snapper erstellt selbst einen gleichnamigen Ordner und Subvolume.
sudo umount /.snapshots
sudo rm -r /.snapshotsSnapper config erstellen mit dem Namen root
sudo snapper -c root create-config /Die von Snapper erstellte Subvolume und den Ordner löschen (zuerst sicherstellen, dass die neue Subvolume erstellt worden ist).
sudo btrfs subvolume list /
sudo btrfs subvolume delete /.snapshots
sudo rm -r /.snapshotsNun erstellen wir erneut einen Ordner, und mounten unsere bei der Installation erstellte Subvolume erneut.
sudo mkdir /.snapshots
sudo mount -aWir benötigen noch Lese-, Schreib- und Ausfuhrerlaubnis für unsere Snapshots, damit wir auf sie zugreifen können.
sudo chmod 750 /.snapshotsDie Snapper Konfigurationsdatei bei /etc/snapper/configs/root mit Sudo-Rechten anpassen. Den Namen des Standardusers bei ALLOW_USERS=username hinzufügen und die Aufbewahrungsfrist für timeline snapshots (automatische Snapshots) bearbeiten:
# limits for timeline cleanup
TIMELINE_MIN_AGE="1800"
TIMELINE_LIMIT_HOURLY="5"
TIMELINE_LIMIT_DAILY="7"
TIMELINE_LIMIT_WEEKLY="2"
TIMELINE_LIMIT_MONTHLY="1"
TIMELINE_LIMIT_YEARLY="0"Snapper timeline Services aktivieren:
sudo systemctl enable --now snapper-timeline.timer
sudo systemctl enable --now snapper-cleanup.timerWir brauchen Pakete, die nicht in den Offiziellen Repositories vorhanden sind. Diese finden wir auf dem Arch User Repository. Wir installieren einen AUR helper namens yay (der Befehl yay ohne Optionen updated zugleich das ganze System):
git clone https://aur.archlinux.org/yay
cd yay
makepkg -si PKGBUILDsnap-pac-grub und rsync installieren. snap-pac-grub (genauer gesagt, die Dependency snap-pac) nimmt bei jeder Änderung des Systems einen Snapshot auf (Update, Paket löschen/installieren) und stellt die Snapshots im GRUB Menu zur Verfügung (grub-btrfs Dependency), um von ihnen booten zu können.
yay -S snap-pac-grub rsync/etc/mkinitcpio.conf editieren und grub-btrfs-overlayfs ans Ende der HOOKS variable hinzufügen und initramfs regenerieren. Dieser Schritt aktualisiert das Grub Menu mit dem neuen Snapshot.
sudo mkinitcpio -PDa /boot auf einer separaten Partition existiert, wird der Ordner bis jetzt bislang nicht beachtet. Das Backup von /boot erstellen wir separat mit rsync. Dies erlaubt einen Fallback auf den alten Kernel, falls bei einem Update auf eine neue Kernel Version Instabilität eingeführt wird.
/etc/pacman.d/hooks erstellen und darin eine Hook definieren, die vor jedem Systemupdate ausgeführt wird.
sudo mkdir /etc/pacman.d/hooks
sudo vim /etc/pacman.d/hooks/0-bootbackup-preupdate.hookFolgenden Inhalt einfügen:
[Trigger]
Operation = Upgrade
Operation = Install
Operation = Remove
Type = Path
Target = usr/lib/modules/*/vmlinuz
[Action]
Depends = rsync
Description = Backing up /boot before updating...
When = PreTransaction
Exec = /usr/bin/rsync -a --delete /boot /.bootbackup/preupdateDiesen Hook als 95-bootbackup-postupdate.hook kopieren, und für den Postupdate Konfigurieren:
sudo cp /etc/pacman.d/hooks/0-bootbackup-preupdate.hook /etc/pacman.d/hooks/95-bootbackup-postupdate.hookEditieren mit folgendem Inhalt (Pre wird zu Post):
[Trigger]
Operation = Upgrade
Operation = Install
Operation = Remove
Type = Path
Target = usr/lib/modules/*/vmlinuz
[Action]
Depends = rsync
Description = Backing up /boot after updating...
When = PostTransaction
Exec = /usr/bin/rsync -a --delete /boot /.bootbackup/postupdateAls Test einen Snapshot erstellen, der auch gleichzeitig als "Clean Fallback" dient:
sudo snapper -c root create --description “Saubere BTRFS Installation mit Snapper”Fertig!, reboot
Installation fertig, Post Installation
An dieser Stelle lohnt es sich, in den General recommendations auf der Archwiki Webseite zu stöbern. Nvidia Nutzer sollten sich mit den Archwiki-Seiten Nvidia tips and tricks und Nvidia troubleshooting bekannt machen. Um hibernation zu aktivieren, folgende Wikiseite aufsuchen: Power management.
Hier sind einige wichtige Punkte aufgelistet:
Weitere verschlüsselte Partitionen bei Boot mounten
Mit jedem jetzigen Init System ist es nicht möglich, mit Eingabe eines Passwortes mehrere verschlüsselte Partitionen zu entschlüsseln. Deswegen wechsle ich auf das Systemd init System.
Zu Systemd init System wechseln
Dazu die Datei /etc/mkinitcpio.conf bearbeiten. Die Hooks base, udev (-> systemd), keymap, consolefont (-> sd-vconsole) und encyrypt (-> sd-encrypt) müssen ersetzt werden. Ausserdem kann die resume Hook entfernt werden.
sudo vim /etc/mkinitcpio.conf
# Im Moment sieht die Zeile noch etwa so aus:
# HOOKS=(base udev autodetect modconf keyboard kms keymap consolefont block encrypt filesystems fsck resume grub-btrfs-overlayfs)
# Neuer Inhalt
HOOKS=(systemd autodetect modconf kms keyboard sd-vconsole block sd-encrypt filesystems fsck grub-btrfs-overlayfs)Datei schliessen und initramfs neu bauen (mkinitcpio -P). Danach müssen die Kernel Parameter zur Entschlüsselung der Partition bei boot bearbeitet werden:
sudo vim /etc/default/grub
# Den Parameter bearbeiten:
# cryptdevice=UUID=b525e45e-874e-4b98-bafa-ae7f1daa75e0:cryptroot:allow-discards
# Neu:
rd.luks.name=b525e45e-874e-4b98-bafa-ae7f1daa75e0=cryptroot rd.luks.options=discard,password-echo=noGrub Konfiguration neu generieren
sudo grub-mkconfig -o /boot/grub/grub.cfgDer Computer läuft nun auf einem Systemd Init System.
Weitere Partitionen entschlüsseln
Die /etc/crypttab Datei anpassen, um bei der Entschlüsselung im Bootprozess das Passwort im Cache zu nutzen.
sudo vim /etc/crypttab
# Folgenden Inhalt einfügen
# "home" ist der name der entschlüsselten Partition, /dev/home/crypthome die eigentliche verschlüsselte Partition, none für kein Keyfile (nutzt Passsword im Cache)
home /dev/home/crypthome noneDanach die /etc/fstab Datei bearbeiten und die entschlüsselte Partition an der gewünschten Stelle mounten. Bei mir sieht es so aus: (etwas unkonventionell, ich erstelle bind mounts auf die Verzeichnisse in /home).
# /dev/mapper/home LABEL=home
/dev/mapper/home /run/media/hddhome/ ext4 defaults 0 0
/run/media/hddhome/Pictures /home/seid/Pictures none defaults,bind 0 0
/run/media/hddhome/Videos /home/seid/Videos none defaults,bind 0 0
/run/media/hddhome/Documents /home/seid/Documents none defaults,bind 0 0
/run/media/hddhome/Downloads /home/seid/Downloads none defaults,bind 0 0
/run/media/hddhome/Games /home/seid/Games none defaults,bind 0 0
/run/media/hddhome/Music /home/seid/Music none defaults,bind 0 0
/run/media/hddhome/Software /home/seid/Software none defaults,bind 0 0
/run/media/hddhome/Templates /home/seid/Templates none defaults,bind 0 0
/run/media/hddhome/Public /home/seid/Templates none defaults,bind 0 0
/run/media/hddhome/Phone /home/seid/Phone none defaults,bind 0 0Package Management
Pacman Konfigurieren
/etc/pacman.conf anpassen, folgende Linien unter "Misc Options" auskommentieren bzw. bearbeiten:
Color
ParallelDownloads = 5 # AUF 10 STELLEN
ILoveCandy # Hinzufügen am EndeMirrorlist optimieren
Reflector Paket installieren:
$ sudo pacman -S reflectorSicherungskopie der alten Mirrorlist erstellen:
$ sudo cp /etc/pacman.d/mirrorlist /etc/pacman.d/mirrorlist.bakMirrorlist optimieren:
$ sudo reflector --verbose --latest 10 --protocol https --sort rate --save /etc/pacman.d/mirrorlistLokale Paketdatenbank updaten:
$ sudo pacman -SyWir automatisieren diesen Schritt, damit Reflector uns in Zukunft Arbeit abnimmt. /etc/xdg/reflector/reflector.conf editieren und folgende Linien anpassen:
--save /etc/pacman.d/mirrorlist
--protocol https
--country Switzerland
--latest 10
--sort rateSystemd Service aktivieren und voilà.
$ sudo systemctl enable reflector.timerFirewall einrichten
ufw Paket installieren:
sudo pacman -S ufwSimple Konfiguration:
# Alle Verbindungen ablehnen
ufw default deny
# Verbindungen aus dem lokalen Netzwerk erlauben
ufw allow from 192.168.0.0/24
# Beispiel: kdeconnect Rules
sudo ufw allow 1714:1764/udp
sudo ufw allow 1714:1764/tcp
# ssh rate limiten, schützt vor brute-force Attacken
ufw limit ssh
sudo ufw reloadUFW selbst und den systemd service einschalten:
sudo ufw enable
sudo systemctl enable ufwReboot und prüfen
sudo systemctl ufw status
ufw statusBluetooth & Audio einrichten
sudo pacman -S bluez bluez-utils pipewire pipewire-pulse pipewire-jack pipewire-alsa wireplumber pavucontrol
sudo modprobe btusb
sudo systemctl enable bluetooth
sudo systemctl start bluetoothPipewire bei Systemstart für den Benutzer aktivieren:
systemctl --user enable pipewire.service pipewire-pulse.serviceBluetooth pairing
Um in einem Dual boot System Bluetoothgeräte mit beiden Betriebssystemen verbinden zu können, müssen die Pairing Keys auf der Linux Installation mit den von Windows übereingestimmt werden. Da ich Windows nur noch sehr selten nutze, habe ich mir nicht die Mühe gemacht dies zu implementieren. Details sind im Archwiki verzeichnet.
Schöner Boot Splashscreen
Nicht notwendig, aber schön. Das Softwarepaket Plymouth erstellt schöne Boot Splashscreens.
Kernel Parameter bearbeiten, quiet und splash Parameter einbauen. Ausserdem einige GRUB Optionen setzen, sodass es nicht sichtbar ist. Durch Drücken der ESC Taste im Bootprozess kommt man ins GRUB Menu, so kann auch Plymouth ein- oder ausgeschaltet werden.
sudo vim /etc/default/grub
# GRUB Einstellungen
GRUB_TIMEOUT=0
GRUB_HIDDEN_TIMEOUT=0
GRUB_TIMEOUT_STYLE=hidden
# Kernel Parameter, ganz am Anfang rein. "loglevel=3" löschen
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash"Initramfs bearbeiten, plymouth hook nach systemd einbauen.
sudo vim /etc/mkinitcpio.conf
# Inhalt:
HOOKS(systemd plymouth ...)Plymouth HiDPI Scaling in der Konfigurationsdatei aktivieren:
sudo vim /etc/plymouth/plymouthd.conf
# unter [Deamon]
DeviceScale=an-integer-scaling-factorEin Plymouth Theme auswählen und setzen. Kann mit der Shell gemacht werden. Ich nutze einfach die Einstellung "Boot Splash Screen" in KDE. Es können Screens im KDE Store heruntergeladen werden, ich nutze einen der Defaults - bgrt. In der vorherigen Konfigurationsdatei nachschauen, ob es wirklich gesetzt wurde. Ein Preview kann wie folgt angeschaut werden:
# als root
plymouthd; plymouth --show-splash; sleep 5; plymouth --quitInitramfs neu erbauen, grub cfg neu bauen. Nach dem Setzen eines neuen Splashscreens muss das Initramfs immer neu gebaut werden.
sudo mkinitcpio -P
sudo grub-mkconfig -o /boot/grub/grub.cfgSnapshots restoren
Die Pakete snapper-rollback (CLI) oder btrfs-assistant (GUI) aus dem AUR installieren. Hier erkläre ich, wie snapper-rollback funktioniert.
Die Datei /etc/snapper-rollback.conf bearbeiten, und bei der Option mountpoint den Mountpoint der BTRFS Toplevel Subvolume angeben (BTRFS root). Falls dem Installationstutorial gefolgt wurde, ist das in /mnt/btrfs-root. Speichern und schliessen. Danach wie folgt vorgehen:
# Alle Subvolumes und Snapshots listen (nicht nötig, aber nice to know)
sudo btrfs subvolume list -t /
# Besser: Snapper Snapshots auflisten und die gewünschte ID aussuchen
snapper list
# Oder: Snapper Snapshots einer bestimmten Konfiguration anzeigen
snapper -c configname list
# Snapshot restoren mit snapper-rollback und neustarten
sudo snapper-rollback ID
sudo reboot -h now
# Nach neustart pacman db lock datei löschen
sudo rm /var/lib/pacman/db.lcksnapper-rollback hat automatisch ein Backup des zuletzt gebrauchten Subvolume erstellt. Diese kann gelöscht werden bei Bedarf, kann einfach mit btrfs-assistant gemacht werden.
Falls das System komplett unbrauchbar ist, zuerst im GRUB Menü in den funktionierenden Snapshot booten. Dabei ist es wichtig, sich die ID jetzt zu merken (ist im Pfad ersichtlich z. B. @snapshots/5408/snapshot). Dann im eingeloggten Systemsnapper-rollback IDNUMMER ausführen und neu starten.
Quellen:
https://wiki.archlinux.org/title/installation_guide
https://wiki.archlinux.org/title/Dual_boot_with_Windows
https://wiki.archlinux.org/title/Dm-crypt/Encrypting_an_entire_system
https://wiki.archlinux.org/title/Dm-crypt/Drive_preparation
https://wiki.archlinux.org/title/Arch_boot_process
https://wiki.archlinux.org/title/NVIDIA/Tips_and_tricks
https://wiki.archlinux.org/title/NVIDIA/Troubleshooting
https://wiki.archlinux.org/title/Power_management/Suspend_and_hibernate
https://wiki.archlinux.org/title/General_recommendations
https://www.codyhou.com/arch-encrypt-swap/
https://dev.to/tassavarat/installing-arch-linux-with-btrfs-and-encryption-48na
GNU/Linux.ch ist ein Community-Projekt. Bei uns kannst du nicht nur mitlesen, sondern auch selbst aktiv werden. Wir freuen uns, wenn du mit uns über die Artikel in unseren Chat-Gruppen oder im Fediverse diskutierst. Auch du selbst kannst Autor werden. Reiche uns deinen Artikelvorschlag über das Formular auf unserer Webseite ein.
Mozilla VPN
Produkt-Beschreibung
Preis
