Normalerweise halte ich mich ja vor Dingen fern, die „Volks-“ im Namen haben, aber die Volksverschlüsselung des Fraunhofer SIT klingt einfach zu verlockend.

TL:DR; Bei der Volksverschlüsselung erhält man nach Authentifizierung ein für 2 Jahre gültiges S/MIME Zertifikat. Leider ist das Zertifikat selbst signiert, aber das Fraunhofer Institut arbeitet wohl schon an einer Aufnahme in die trusted stores.

Was ist S/MIME?

Secure / Multipurpose Internet Mail Extensions (S/MIME) ist ein toller weg seine Emails zu signieren und zu verschlüsseln. Es ist vergleichbar mit GnuPG ist aber deutlich besser in alle Email-Clients integriert und man benötigt keine Plugins oder Erweiterungen. Mehr dazu hier: http://t3n.de/news/mails-verschlusseln-eigentlich-482381/

Wie bekomme ich das Zertifikat?

Da für das Zertifikat der vollständige Name überprüft werden muss, funktionieren derzeit leider nur folgende Verifikationsmethoden:

1. Personalausweis: Man nutzt die tollen Funktionen des Personalausweises und hat ein Lesegerät dafür.
2. Telekom: Man ist Festnetzkunde der Telekom und kann über die Rechnung seinen Namen verifizieren
3. Registrierungscode: Man findet jemanden vom Fraunhofer auf einer Veranstaltung und lässt sich vom Mitarbeiter verifizieren.

Die letzte Methdoe habe ich gewählt und beschreibe im Folgenden wie man sich das Zertifikat holt.

Leider gibt es die Antrags-Software derzeit nur für Windows. Daher empfehle ich einfach kurz eine Windows VM anzulegen und mit der Software ein Zertifikat beantrage. Das Tool einfach herunterladen, installieren und folgende Identitäsnachweis wählen:

Anschließend Email-Adresse und Antrags-Code auf der Karte eingeben. Nach der Überprüfung wird noch ein Bestätigungscode auf die angegebene Email-Adresse geschickt und schon ist der Antrag fertig.

Vergesst nicht euren Sperrcode sicher aufzuheben. Dieser wird benötigt, wenn das Zertifikat vor dem Ablaufdatum zurückgezogen werden muss.

Zertifikat exportieren

Zum exportieren des Zertifikates, muss links im Menü das Zahnrad ausgewählt werden und anschließend „Zertifikat exportieren“. Achtet darauf, dass ihr ein .p12 Zertifkat exportiert. Dieses kann in der Regel für alle Systeme verwendet werden.

Zertifikat in Thunderbird einbinden

Die Einbindung in Thunderbird ist dann eigentlich ein Kinderspiel. Man geht zu seinen Email-Konten (unter Linux: Bearbeiten -> Konten Einstellungen -> S/MIME-Sicherheit.

Anschließend wählt man für die Digitale Unterschrift und Verschlüsselung das richtige .p12 Zertifikat aus (gibt dann noch ein eventuell vergebenes Passwort ein) und schon wars das.

Es muss dann außerdem unter Bearbeiten -> Einstellungen -> Erweitert -> Zertifikate Verwalten das Zertifikat vom „Fraunhofer SIT“ suchen und bei allen Zertifikaten das „Vertrauen bearbeiten“ und alle drei Häckchen setzen.

Um zu testen, ob alles funktioniert hat, sendet das System automatisch eine verschlüsselte Email. Wenn alles richtig eingerichtet ist, solltet ihr die Nachricht ohne Probleme entschlüsseln können.

Hallo Zusammen,

die Reise des verteilten Rechnens geht weiter. Ich setze voraus, dass ihr bereits einen Funktionsfähigen Hadoop-Cluster habt. Wie man diesen Aufsetzt kann hier nachgelesen werden: Hadoop-Cluster mit Debian 9 aufsetzen

Ich setze bei der Namensgebung stark auf diese Anleitung auf. Es lohnt sich also immer, diese

Spark Herunterladen und Konfigurieren

Ich setze hier voraus, dass ihr die Key-File-Anmeldung mit SSH eingerichtet habt und die verschiedenen Rechner in der /etc/hosts benannt sind.

Alle folgenden Arbeiten werden zunächst auf dem Master „hadoop-master“ (192.168.123.90) durchgeführt (vgl. Hadoop-Cluster mit Debian 9 aufsetzen). Zunächst die aktuelle Version herunterladen und entpacken. Wählt dazu die Pre-build Version für Apache Hadoop in der entsprechenden Version.

cd /opt/
wget https://d3kbcqa49mib13.cloudfront.net/spark-2.2.0-bin-hadoop2.7.tgz
tar xvf spark-2.2.0-bin-hadoop2.7.tgz
mv spark-2.2.0-bin-hadoop2.7/ spark/
chown -R hadoop:hadoop spark/

• /opt/spark/conf/slaves.template zu /opt/spark/conf/slaves kopieren, anpassen und festlegen, auf welchen Maschinen ein Spark Worker gestartet werden soll

# A Spark Worker will be started on each of the machines listed below.
#localhost
hadoop-master
hadoop-slave-1
hadoop-slave-2
hadoop-slave-3
hadoop-slave-4
hadoop-slave-5
hadoop-slave-6

• /opt/spark/conf/sparks-env.sh.template zu /opt/spark/conf/spark-env.sh kopieren und am Ende Folgendes einfügen:

SPARK_MASTER_HOST=hadoop-master

• /opt/spark/conf/sparks-defaults.conf.template zu /opt/spark/conf/spark-defaults.conf kopieren und wie folgt anpassen:

spark.master                     spark://hadoop-master:7077
spark.eventLog.enabled           true
spark.eventLog.dir               hdfs://hadoop-master:8021/spark-log

Spark auf Slaves Verteilen

Nun erstelle wir zunächst mit Hilfe von tmuxinator (vgl. ) auf den Slaves das Sparks-Verzeichnis.

sudo mkdir /opt/spark/
sudo chown -R hadoop:hadoop /opt/spark/

Jetzt verteilen wir auf dem master die files auf die slaves:

scp -r spark/* hadoop-slave-1:/opt/spark/.
scp -r spark/* hadoop-slave-2:/opt/spark/.
scp -r spark/* hadoop-slave-3:/opt/spark/.
scp -r spark/* hadoop-slave-4:/opt/spark/.
scp -r spark/* hadoop-slave-5:/opt/spark/.
scp -r spark/* hadoop-slave-6:/opt/spark/.

Spark Cluster Starten

Nun sollte alles installiert sein und wir können den Spark-Cluster starten:

# Starts both a master and a number of slaves.
./opt/spark/sbin/start-all.sh
# Stops both the master and the slaves.
./opt/spark/sbin/stop-all.sh

Ab jetzt kann man über http://192.168.123.90:8080/ (hier natürlich die eigene IP eingeben) das Webinterface aufrufen und sieht seine Worker.

Im Rahmen einer Forschungsarbeit beschäftige ich mich mit Spark auf einem Hadoop-Cluster. Ich habe daher ein wenig Spielzeug bekommen und wollte mal sehen, wie geeignet das System für uns ist. Der Testaufbau soll vor allem auch zeigen, ob man große Daten auch mit geringen Ressourcen gut verarbeiten kann.

Die Maschinen

Ingesamt 7 Desktop-Rechner mit

• i7-2600 @3,4 GHz mit 4 Kernen
• 500GB HDD
• 8 GB RAM

Ich weiß, die Specs sind laut Empfehlungen viel zu klein für ein Hadoop-Cluster, aber der Test soll auch zeigen, wie weit man mit geringen Ressourcen kommt.

Das Betriebssystem

Mal wieder steht man vor der Wahl des Betriebssystem. Ich fühle mich eigentlich auf Arch am wohlsten, da ich aber weniger Arbeit mit der Wartung der Maschinen als vielmehr mit Hadoop verbringen möchte, hab ich mich für Debian 9 entschieden.

Festplattenkonfiguration

• 30GB: /
• 8GB: SWAP
• Rest für /home/

Netzwerkkonfiguration

Wir arbeiten ein einem abgeschottenen Netzwerk innerhalb der Hochschule. Die IP-Adressen sind eigentlich egal und dienen nur mir als Gedächtnisstütze ;). Wichtig ist nur, dass man die Hosts-Datei /etc/hosts entsprechend anpasst:

192.168.123.90 hadoop-master
192.168.123.91 hadoop-slave-1
192.168.123.92 hadoop-slave-2
192.168.123.93 hadoop-slave-3
192.168.123.94 hadoop-slave-4
192.168.123.95 hadoop-slave-5
192.168.123.96 hadoop-slave-6

tmux dein Freund zur Administration vieler Maschinen

Für die Administration vieler Maschinen ist tmux quasi unverzichtbar. Ich verwende dazu noch das tool tmuxinator mit folgender Konfiguration:

name: hadoop
root: ~/
windows:
  - editor:
      layout: tiled
      synchronize: after
      panes:
        - ssh hadoop@192.168.123.90
        - ssh hadoop@192.168.123.91
        - ssh hadoop@192.168.123.92
        - ssh hadoop@192.168.123.93
        - ssh hadoop@192.168.123.94
        - ssh hadoop@192.168.123.95
        - ssh hadoop@192.168.123.96
  - server: bundle exec rails s

Installation Hadoop

Ich habe mich an der Anleitung http://hadoop.apache.org/docs/stable/hadoop-project-dist/hadoop-common/ClusterSetup.html orientiert und bilde hier nur die wichtigsten Schritte ab.

Zunächst die neuste Java-Version und rsync installieren:

sudo apt-get install openjdk-8-jdk rsync

SSH Public-Key Authentifizierung für alle Maschinen

Der master sollte auf alle slaves Zugriff haben. Daher habe ich auf dem master einen Schlüssel erstellt und diesen auf die anderen Maschinen verteilt.

Installation und Konfiguration des Masters

Die folgenden Arbeiten werden zunächst nur auf dem Master vorgenommen. Die neuste Version von Hadoop herunterlade und entpacken:

mkdir /opt/hadoop
cd /opt/hadoop/
wget http://www-eu.apache.org/dist/hadoop/common/hadoop-2.8.1/hadoop-2.8.1.tar.gz
tar -xzf hadoop-1.2.0.tar.gz
mv hadoop-2.8.1 hadoop
chown -R hadoop:hadoop /opt/hadoop/

Nun müssen einige files auf dem Master angepasst werden:

• /opt/hadoop/hadoop/etc/hadoop/hadoop-env.sh

export JAVA_HOME=$(readlink -f /usr/bin/java | sed "s:bin/java::")

• /opt/hadoop/hadoop/etc/hadoop/core-site.xml

<configuration>
	<property>
		<name>fs.default.name</name> 
		<value>hdfs://hadoop-master:9000/</value>
	</property>
	<property>
		<name>io.file.buffer.size</name>
		<value>131072</value>
	</property>
</configuration>

• /opt/hadoop/hadoop/etc/hadoop/hdfs-site.xml

<configuration>
	<property> 
		<name>dfs.name.dir</name> 
		<value>/home/hadoop/hadoop/dfs/name</value> 
	        <final>true</final> 
	</property> 
</configuration>

• /opt/hadoop/hadoop/etc/hadoop/slaves

hadoop-slave-1
hadoop-slave-2
hadoop-slave-3
hadoop-slave-4
hadoop-slave-5
hadoop-slave-6

Installation und Konfiguration der Slaves

Nun müssen die Files auf alle slaves verteilt werden (hier hilft wieder tmux).

scp -r /opt/hadoop/hadoop hadoop-slave-1:/opt/hadoop
scp -r /opt/hadoop/hadoop hadoop-slave-2:/opt/hadoop
scp -r /opt/hadoop/hadoop hadoop-slave-3:/opt/hadoop
scp -r /opt/hadoop/hadoop hadoop-slave-4:/opt/hadoop
scp -r /opt/hadoop/hadoop hadoop-slave-5:/opt/hadoop
scp -r /opt/hadoop/hadoop hadoop-slave-6:/opt/hadoop

Nun auf den Slaves noch folgendes Config-File anpassen:

• /opt/hadoop/hadoop/etc/hadoop/hdfs-site.xml

<configuration>
	<property> 
		<name>dfs.name.dir</name> 
		<value>/home/hadoop/hadoop/dfs/name</value> 
	        <final>true</final> 
	</property> 
</configuration>

Und fertig ist die komplette Konfiguration. Nund muss das HDFS formatiert werden:

/opt/hadoop/hadoop/bin/hdfs namenode -format <cluster_name>

Starten und Beenden der Dienste

Am Ende sollten verschiedene Dienste gestartet werden. Dazu zunächst in folgendes Verzeichnis wechseln:

• /opt/hadoop/hadoop/sbin/

# Starten der HDFS Namenode und Datanodes
./start-dfs.sh
# Starten der YARN Prozesse
./start-yarn.sh
# Starten des WebAppProxy Servers
./yarn-daemon.sh --config /opt/hadoop/hadoop/etc/hadoop/ start proxyserver
# Starten des MapReduce JobHistory Servers
mr-jobhistory-daemon.sh --config /opt/hadoop/hadoop/etc/hadoop/ start historyserver

Möchte man die Server beenden können folgende Befehle verwendet werden:

# Stoppen der HDFS Namenode und Datanodes
./stop-dfs.sh
# Stoppen der YARN Prozesse
./stop-yarn.sh
# Stoppen des WebAppProxy Servers
./yarn-daemon.sh --config /opt/hadoop/hadoop/etc/hadoop/ stop proxyserver
# Stoppen des MapReduce JobHistory Servers
mr-jobhistory-daemon.sh --config /opt/hadoop/hadoop/etc/hadoop/ stop historyserver

Webinterfaces

Nach dem Starten aller Dienste, sollten folgende Dienste erreichbar sein (IP-Addresse ist diejenige wo auch der Service läuft, in dieser Beschreibung der Master; Port ist jeweils der Standardport):

• NameNode: http://192.168.123.90:50070
• ResourceManager: http://192.168.123.90:8088
• MapReduce JobHistory Server: http://192.168.123.90:19888

Heute nach langer Zeit mal wieder ein kleiner quick and dirty bugfix:

Ich habe mir Android Studio aus den Paketquellen installiert, doch leider konnte ich keine virtuellen Devices starten.

Einzige Lösung:

/home/[user]/Android/Sdk/emulator/emulator -use-system-libs -avd [vm_name]

Damit das ganze auch innerhalb von Android Studio klappt, musste ich folgenden Workaround anwenden:

cd /home/[user]/Android/Sdk/emulator/lib64/libstdc++
mkdir old
mv * old/
ln -s /usr/lib/libstdc++.so.6
ln -s /usr/lib/libstdc++.so.6.0.24

und nochmal das ganze für 32bit:

cd /home/[user]/Android/Sdk/emulator/lib/libstdc++
mkdir old
mv * old/
ln -s /usr/lib/libstdc++.so.6
ln -s /usr/lib/libstdc++.so.6.0.24

Das hat bei mir zum Erfolg geführt.

Update 27.08.2017

Übrigens muss diese Methode nach einem Update der SDKs wiederholt werden.

Hallo Zusammen,

ich arbeite derzeit mit FreeNAS und bin sehr begeistert von diesem System. Dieses bietet alles, was man 2017 von einem NAS erwartet und gibt mir noch dazu viele Freiheiten.

Situation

Leider befindet sich der FreeNAS Server hinter einer Firewall, die zwar Verbindungen in das Internet zulassen, aber nicht aus dem Internet auf den FreeNAS-Server. Dennoch habe ich einen Server im Internet, welcher als openVPN-Server fungiert. Das Ziel ist es, dem FreeNAS automatisch eine VPN-Verbindung zu dem Server im Internet aufbauen zu lassen. Von hier aus kann dann weiter agiert werden.

VPN Konfiguration

FreeNAS verwendet openBSD als Betriebssystem mein VPN-Server läuft mit Arch Linux. Da ich jetzt nicht den 100dersten „Wie konfiguriere ich VPN“-Beitrag posten möchte, verweise ich auf zwei sehr sehr gute Wiki-Beiträge im ArchWiki:

• OpenVPN
• Easy-RSA

Konfiguration im FreeNAS

Für die Konfiguration im FreeNAS haben wir verschiedene Möglichkeiten. Leider habe ich es nur über eine Möglichkeit geschafft (die erste direkt im Betriebssystem). Unabhängig von der Lösung müssen alle benötigten Dateien auf den Ordner gepackt werden:

• ca.crt
• freenas.crt
• freenas.key
• ta.key
• client.conf

Anschließend kann die Konfiguration auf dem FreeNAS-Server mit

openvpn /root/vpn/client.conf

getestet werden.

Speicherung der Dateien auf dem FreeNAS

Damit die Zertifikate und Konfigrationsfiles korrekt gespeichert werden, muss ein Pool eingebunden werden, der unverschlüsselt ist und automatisch gemountet wird. Da meine anderen Pools verschlüsselt sind, habe ich eine kleinere Festplatte eingebaut und diese unter /mnt/misc/ gemounted. Dort liegen die benötigten Dateien in einem Verzeichnis.

Autostart: Über Init/Shutdown Scripts

Dies ist der empfohlene weg, da diese Methode auch ein Update überlebt. Dazu muss zunächst ein kleines Script unter /mnt/misc/ angelegt werden:

#!/bin/bash

echo "start openvpn daemon"
/usr/local/sbin/openvpn --config /mnt/misc/vpn/client.conf --daemon

Eigentlich sollte es ausreichen diesen Befehl direkt über Init/Shutdown-Scripts aufzurufen, aber das hat bei mir nicht geklappt. Über Tasks -> Init/Shutdown Scripts -> Add kann das Starten des Skriptes aktiviert werden.

Nun sollte das Script automatisch starten!

Autostart: Direkt im Betriebssystem

Achtung, die folgende Konfiguration ist nicht empfohlen, da diese bei jedem Upgrade überschrieben wird.

Ich habe die oben genannten Dateien unter /root/vpn/ gelegt. Achtet dabei, dass in der client.conf immer der absolute Pfad angegeben ist. Anschließend muss in der Datei /conf/base/etc/rc.conf am Ende Folgendes Ergänzt werden:

# Start openVPN 
openvpn_enable="YES" 
openvpn_if="tun" 
openvpn_dir="/root/vpn" 
openvpn_configfile="/root/vpn/client.conf"

Anschließend reicht ein Neustart und die openVPN Verbindung wird automatisch erstellt.

In meiner neuen Wohnung in Regensburg habe ich bereits kurz nach dem Einzug die freudige Nachricht erhalten, dass bald Glasfaser ins Haus kommt und man sich bei Glasfaster Ostbayern (eine Marke der R-Kom) einen Vertrag klicken kann. Alleine das Wort Glasfaser sorgt bei jedem Nerd schon für Euphorie. Kommen dann noch die Worte „In“ „der“ „eigenen“ „Wohnung“ dazu, brechen Freudenschreie aus. Gesagt getan *klickklick*.

Das Bestellformular

Seit Neustem darf sich jeder Internetnutzer seinen Router selbst aussuchen und manchmal ist das auch gar keine so schlechte Idee. Eine kurze Recherche hat ergeben, dass die Fritz!Box 7490 super mit dem FTTB Anschluss von Glasfaser Ostbayern klar kommt, daher habe ich mir diese auf Amazon gekauft. Irgendwie hatte ich aber das Gefühl die R-Kom möchte nicht nicht so gerne, dass sich dieser doofe Kunde seinen Router selbst aussucht, denn ich musste gleich 5x bestätigen, wie gefährlich doch so ein eigener Router ist.

Der Anschluss

Eigentlich hätte ich es mir schon denken können, dass der Glasfaseranschluss unter keinem guten Stern steht, denn auch der Anschlusstermin wurde kurz vor knapp nochmal um 3 Wochen nach hinten verschoben, wegen (jetzt kommts): „Es ist nicht genug Glasfaser auf Lager“ (*hihi*). Drei Wochen später kam dann aber der Techniker und hat meine Telefon-Kupferleitung von der Wohnung mit dem Verteiler im Keller angeschlossen. Mehr war dann aber auch nicht drin, denn der Techniker musste dann feststellen, dass man wohl vergessen hatte, das Glasfaserkabel auch mit dem Verteiler zu verbinden ^^. Ein paar Tage später war es dann aber so weit und ich konnte endlich im Internet surfen… naja… fast…

Die Konfiguration

Die R-Kom war in dieser Hinsicht besonders hilfreich und hat in dem Schreiben, welches mich über meinen erfolgreichen Anschluss informiert, für die Installation/Konfiguration von Routern auf folgendes sehr hilfreiches Dokument verwiesen: Schnittstellenbeschreibung (das war übrigens auch die einzige „Anleitung“ auf die verwiesen wurde)

Hier mal die erste Seite dieser tollen und für „nicht-Techniker“ sehr verständlichen Beschreibung:

Auszug aus der Schnittstellenbeschreibung der R-Kom. Es handelt sich um ein Dokument zu finden auf: https://www.glasfaser-ostbayern.de/hilfe-service/downloads/#routerwahlrecht

Natürlich beinhaltet das Dokument alles was man braucht, aber mal ehrlich: Das soll ein nicht-Techniker verstehen? Das Dokument geht über 7 Seiten so weiter und verzichtet vollständig auf beschreibenden Text.

Einstellungen für die Fritzbox 7490

Für Alle, die vor dem selben Problem standen, hier die korrekten Einstellungen für die Fritzbox 7490 in Verbindung mit einem FTTB-Anschluss von Glasfaser Ostbayern:

Unter Internet -> Zugangsdaten: „Anschluss an einen DSL-Anschluss“ auswählen. Anschließend unter Verbindungseinstellungen folgendes Einstellen:

Unter Telefonie -> Eigene Rufnummer -> Anschlusseinstellungen muss dann noch folgendes eingestellt werden:

Nun muss noch bei Telefonie -> Eigene Rufnummer -> Bei der entsprechenden Telefonnummer die Option „Anmeldung immer über eine Internetverbindung“ deaktivieren (danke an vitallo). Nun sollte alles funktionieren.

Geschwindigkeit und Beschwerdemanagement

Nach all den Beschwerden hier im Beitrag muss ich aber auch sagen, dass die gelieferte Geschwindigkeit, der Ping und die allgemeine Verbindungsqualität exquisit sind und exakt den bestellten Leistungen entsprechen (wirklich ohne Ironie, ich bin damit sehr zufrieden). Auch das „Beschwerdemanagement“ finde ich in Ordnung. Als der Techniker-Termin verschoben wurde, hat man mich per Brief und sogar per Telefonanruf informiert. Jetzt muss die R-Kom nur noch ein bisschen besser in der Kundenfreundlichkeit bezüglich der freien Routerwahl werden und ein bisschen den „Hass“ auf Freifunk Regensburg verlieren und alles ist gut :).

Hallo Zusammen,

heute widme ich mir mal wieder einer Linux-Geschichte. Im Grunde geht es um mein Standardsetup für meine Linux-Kisten (wenn es um Desktop-Versionen geht). Ich verwende hier sehr gerne Arch Linux insbesondere aus drei Gründen:

• Immer auf dem neusten Stand (Rolling Release)
• Sehr aktuelle Pakete
• Arch User Repository

Beim heutigen Thema geht es lediglich um die Konfiguration der Partionen und die Installation von Grub und dem UEFI Bootloader. Alles weitere kann den Anleitungen im Arch Wiki entnommen werden. Diese sind extrem ausführlich und sehr gut!

Was möchte ich haben? Und warum?

Meine Ideale Konfiguration sieht wie folgt aus:

                     +-------+--------------------------+
                     |       |                          |
                     | SWAP  |       Systemplatte       |
                     |       |                          |
+----------------------------+--------------------------+
|                    |                                  |
|   UEFI/Grub Boot   | Verschlüsselter Container (LUKS) |
|                    |                                  |
+--------------------+----------------------------------+

Am Anfang der Festplatte befindet sich eine 512 MB große Partition für das UEFI Boot-System und den Grub Bootloader. Der Rest wird verwendet für eine LUKS verschlüsselte Partition. Innerhalb dieser ist das eigentliche Betriebsystem mit SWAP und System. Dadurch sind meine Daten und das gesamte Betriebsystem verschlüsselt. Direkt nach dem Bootloader muss ein Passwort eingegeben werden, welches den LUKS Container entsperrt und anschließend wird normal das System gebootet.

Wie bekomme ich das hin?

Im Grunde ist alles im sehr ausführlichen Arch Wiki beschrieben. Leider sind die einzelnen Artikel aber teilweise leicht versteckt und es gibt Diskrepanzen zwischen den Übersetzungen. Einige Punkte sind nur im deutschen Wiki beschrieben, Anderes nur im englischen Wiki. Ich halte mich gerne an den Beginners guide: https://wiki.archlinux.org/index.php/Installation_guide

1. Festplatte partitionieren

Zunächst partitionieren wir die Festplate.

fdisk -l

Damit finden wir raus, unter welchem Device die Festplatte zu finden ist (in meinem Fall /dev/sda).

gdisk /dev/sda

Ich Arbeite gerne mit gdisk. Die wichtigsten Befehle:

o      # Neue Tabelle anlegen
n      # Neue Partition erstellen
w      # Schreibe Tabelle auf die Festplatte

Weitere Infos zu den Befehlen und wie man die Partitionen anlegt: https://wiki.archlinux.de/title/GPT
Das erstellte Partitionsschema sollte dann wie folgt aussehen:

/dev/sda1	512M	ef00	EFI System
/dev/sda2	REST	8E00	Linux Filesystem

2. Crypt-Container auf sda2 erstellen

Nun erstellen wir den verschlüsselten Container auf sda2 mit LUKS.
Mehr Infos: https://wiki.archlinux.org/index.php/Dm-crypt/Encrypting_an_entire_system#LVM_on_LUKS
Mehr Infos zu cryptsetup: https://wiki.archlinux.org/index.php/Dm-crypt/Device_encryption#Encryption_options_for_LUKS_mode

# Verschlüssele /dev/sda2
cryptsetup luksFormat -c aes-xts-plain64 -s 512 /dev/sda2

# Öffnet verschlüsselten Cotainer wieder und mapped auf "lvm"
cryptsetup open --type luks /dev/sda2 lvm

3. LVM innerhalb des LUKS-Containers erstellen

Wir haben zwar jetzt einen (offenen) verschlüsselten Container, haben darin aber noch kein LVM. Dieses folgt nun mit folgenden Befehlen:

vgcreate main /dev/mapper/lvm		# Erstelle Volume Group auf /dev/mapper/lvm mit Namen "main"
lvcreate -L 32G main -n swap		# Erstelle 32GB SWAP
lvcreate -l 100%FREE main -n root	# Erstelle root mit Rest

Achtet bitte beim letzten Befehl darauf: Ein kleines „-l“ kein „-L“. Zum Swap: Ich halte mich nach wie vor daran: 2x RAM-Größe = SWAP-Größe

4. Filesystem erstellen

Jetzt fehlt nur noch das Filesystem auf den innerhalb des Containers erstellten Partitionen und der UEFI Partition am Anfang. Die UEFI Partiton MUSS Fat32 formatiert werden.

mkfs.ext4 /dev/mapper/main-root
mkswap /dev/mapper/main-swap
mkfs.fat -F 32 /dev/sda1

5. Mounten des Systems

Jetzt mounten wir nur noch die Festplatten an die richtige Stelle und wir können das Grundsystem installieren:

mount /dev/mapper/main-root /mnt
mkdir /mnt/boot
mount /dev/sda1 /mnt/boot
swapon /dev/mapper/main-swap

Ab hier kann mit der Installation laut Anleitung fortgefahren werden, bis ihr zum Erstellen des Linux-Kernels kommt!

6. Hooks für Linux-Kernel anpassen

Folgende Datei muss angepasst werden: /etc/mkinitcpio.conf

HOOKS="base udev autodetect modconf block keyboard keymap encrypt lvm2 filesystems fsck shutdown"

Danach folgenden Befehl ausführen:

mkinitcpio -p linux

7. GRUB installieren

Jetzt wollen wir noch unseren Bootloader auf die UEFI-Platte schmeißen. Weitere Infos dazu: https://wiki.archlinux.de/title/UEFI_Installation#GRUB

Zunächst erst mal die efi-Variablen laden und die wichtigsten Pakete installieren.

mount -t efivarfs efivarfs /sys/firmware/efi/efivars
pacman -S grub efibootmgr dosfstools

Wenn ihr einen intel-CPU habt, noch folgendes Paket installieren:

pacman -S intel-ucode

Nun muss die Datei /etc/default/grub wegen unserer Verschlüsselung angepasst werden.

GRUB_CMDLINE_LINUX="cryptdevice=/dev/sda2:main root=/dev/mapper/main-root lang=de locale=de_DE.UTF-8"

Anschließend installieren wir grub und erstellen uns eine Config. Achtet darauf, dass hier keine Fehler ausgegeben werden.

grub-install --target=x86_64-efi --efi-directory=/boot --bootloader-id=arch_grub --recheck --debug
grub-mkconfig -o /boot/grub/grub.cfg

Update: Luks Passwort hinzufügen / löschen / ändern

Beinahe vergessen, aber ab und an will man dann doch einen Key hinzufügen bzw. ändern/löschen:

Um die vorhandenen Schlüssel anzuzeigen:

sudo cryptsetup -y luksDump /dev/sda2

Um einen neuen Key hinzuzufügen:

sudo cryptsetup -y luksAddKey /dev/sda2

Um einen Key zu löschen:

sudo cryptsetup -y luksRemoveKey /dev/sda2

Beim letzten Befehl wird man dann gefragt, welches Passwort entfernt werden soll. Vorher UNBEDINGT einen neuen Key hinzufügen!