AbcLinuxu:/ Blogy / zxtlpn / Instalační bloatpost

Instalační bloatpost

2.1.2013 15:30 | Přečteno: 1502× | poslední úprava: 19.1.2013 01:14

Protože jsem u sebe nedávno přeinstalovával, co jsem potkal, přišlo mi jako ne zas tak špatný nápad sepsat všechny ty hlouposti, co jsem při tom prováděl. Náhodní googlící nechť si z toho vytáhnou, co potřebují.

Stolní PC

Intel Core i5, HD Graphics 3000, ASUS P8Z77-M

Na hlavním SSD disku mám tři oddíly: /boot, LVM pod LUKS se swapem a rootem a ztruecryptované Windows 7. Na druhém disku mám další LVM pod LUKS s homem a druhý ztruecryptovaný oddíl pro Windows. Všechno to šifrování funguje docela pěkně a ani to nebylo pracné nastavit. Jen jsem přistoupil k menší prasárně s GRUB 2, viz dále.

(Původně jsem doufal, že bych mohl využít šifrovací schopnosti Sandforce SSD řadiče, ale BIOS od základní desky neumí vůbec používat ATA password. FFS. Nicméně výkonu mám na rozdávání a takhle nemusím alespoň to heslo při bootu zadávat dvakrát.)

První jsem instaloval samozřejmě Windows. Protože nemám CD mechaniku, musel jsem ISO pomocí nástroje od Microsoftu nahodit na USB flashku. Nevím, jestli existuje nějaký jednoduchý způsob, jak to provést z Linuxu. Rád bych poznamenal, že příliš zastrčených flashek zaráz může způsobit nechuť instalátoru použít diskový oddíl a vrátí nicneříkající chybovou hlášku. Zbytečného diskového oddílu se zbavíte tím, že pokud se vám tam objeví, smažete ten svůj původní oddíl a onen System Reserved rozšíříte na požadovanou velikost.

Další přišlo na řadu Ubuntu. Instalační USB médium lze podobně stvořit nástrojem Startup Disk Creator přítomným v každé instalaci Ubuntu. Nevím, jestli to jde provést nějak jednoduše z Windows. Pokud se vám stejně jako mně pokaždé v závěru objeví hláška o systémovém problému, ignorujte ji. Tyhle dialogy mi vyskakují neustále a přitom všechno funguje.

Instalace Ubuntu na LUKS/LVM

Následující text je spíše orientačního charakteru, neboť už si to přesně nepamatuju.

Silně doporučuju nechat instalační médium normálně naběhnout do GUI, zvolit Try Ubuntu a instalátor případně spustit odtud, pokud na to máte dost paměti. Pokud ne, neinstalujte na ten šrot Ubuntu.

V první řadě je třeba nakonfigurovat LUKS a LVM. Instalátor je na to moc hloupý, takže si přes g/parted vytvořte nějaké ty oddíly, spusťte terminál a půjdeme to trochu předkonfigurovat.

$ sudo cryptsetup luksFormat -c aes-xts-plain64 -s 512 -h sha512 <oddíl>
$ sudo luksOpen <oddíl> lvm-crypt
$ sudo pvcreate /dev/mapper/lvm-crypt
$ sudo vgcreate vg0 /dev/mapper/lvm-crypt
$ sudo lvcreate -n swap -L <velikost RAM> vg0
$ sudo lvcreate -n root -l 100%FREE vg0

Příkazy si případně upravte podle vlastního uvážení. Podobně můžete přidat LUKS/LVM oddíl i na některý další disk. Jakmile toto provedete, můžete pokračovat normálně v instalaci s použitím oddílů z LVM. Na konci si raději ověřte, že v /etc/crypttab na cílovém disku naleznete něco jako

lvm-crypt UUID=<UUID oddílu s LUKS> none luks

protože jinak vám to nenabootuje.

Truecrypt system encryption

Truecrypt bootloader dělá trochu potíže, protože se chce nainstalovat do MBR a novému GRUB 2 se instalace do oddílu už moc nelíbí. Každopádně jde k tomu překecat a také to bude fungovat. (Jen se to rozbije, když se pohne se souborem core.img v rámci diskového oddílu; k tomu je ten immutable flag.)

$ sudo chattr -i /boot/grub/i386-pc/core.img
$ sudo grub-install --target=i386-pc --recheck --force <oddíl s /boot>
$ sudo chattr +i /boot/grub/i386-pc/core.img

Nahození Truecrypt System Encryption je triviální a nebudu ho tu rozepisovat. Stejně jako funguje automatické připojení dalších TC jednotek s použitím toho samého klíče, stačí ty jednotky přidat do nějakého seznamu. Výsledek by měl být takový, že nejdříve se při bootu načte TC pre-boot authentication bootloader, který po vás bude chtít heslo k Windows. Když se zrovna budete cítit o něco více linuxově, stačí zmáčknout klávesu Escape a vjedete do GRUBu, odkud si můžete klasicky vybrat Ubuntu, které se vás v init ramdisku zeptá na heslo k oddílům v crypttab.

Ještě bych dodal, že s hibernací na LUKS také není žádný problém.

Hardware

Všechno mi nádherně funguje, jen k tomu ovládání otáček u větráčků u desky ASUS P8Z77-M a získání nějakých těch pár údajů navíc je třeba balíček nct6775-dkms. V dalším vydání snad už bude součástí oficiálních repozitářů.

Na integrované grafice Intel HD 3000 běží Nexuiz v 1920x1080 plynule víceméně jen na nejnižší detaily, ale nestěžuju si, stejně hry v podstatě nehraju.

Netbook

Acer Aspire One 722, AMD C-60 APU, Radeon HD 6290

Tady jsem postupoval obdobně, jen jsem se z racionálních důvodů vyhnul šifrování, protože to už tak sotva belhá (ve srovnání s tím stolním PC, dobře se na to zvyká). Také jsem se rozhodl přiinstalovat Arch Linux.

Problém nastal, když mě napadlo chtít bootovat Arch Linux z toho totožného bootloaderu jako Ubuntu. Nádherně to nefunguje a generuje to totální pí-. Zkoušel jsem nechat ukládat kernel image a ramdisk na /boot z Ubuntu — chtělo to s nimi bootovat i to Ubuntu. Vrátil jsem ho zpátky na oddíl s Archem — chtělo to bootovat Arch s jádrem z Ubuntu a rootem odtamtéž. Nakonec jsem to vzdal, do /boot/defaults/grub strčil GRUB_DISABLE_OS_PROBER=true a do /etc/grub.d/40_custom přidal ty Windows a Arch ručně. Ničemu to nakonec neškodí:

#!/bin/sh
exec tail -n +3 $0
# This file provides an easy way to add custom menu entries.  Simply type the
# menu entries you want to add after this comment.  Be careful not to change
# the 'exec tail' line above.

menuentry 'Windows 7' --class windows --class os {
	insmod part_msdos
	insmod ntfs
	set root='hd0,msdos2'
	if [ x$feature_platform_search_hint = xy ]; then
	  search --no-floppy --fs-uuid --set=root --hint-bios=hd0,msdos2 --hint-efi=hd0,msdos2 --hint-baremetal=ahci0,msdos2  <UUID oddílu>
	else
	  search --no-floppy --fs-uuid --set=root  <UUID oddílu>
	fi
	chainloader +1
}

menuentry 'Arch Linux' --class gnu-linux --class gnu --class os {
	insmod part_msdos
	insmod ext2
	insmod lvm
	set root='lvm/vg0-arch'
	linux /boot/vmlinuz-linux root=/dev/mapper/vg0-arch resume=/dev/mapper/vg0-swap ro init=/usr/lib/systemd/systemd quiet $vt_handoff
	initrd /boot/initramfs-linux.img
}

menuentry 'Arch Linux Fallback' --class gnu-linux --class gnu --class os {
	insmod part_msdos
	insmod ext2
	insmod lvm
	set root='lvm/vg0-arch'
	linux /boot/vmlinuz-linux root=/dev/mapper/vg0-arch resume=/dev/mapper/vg0-swap ro init=/usr/lib/systemd/systemd $vt_handoff
	initrd /boot/initramfs-linux-fallback.img
}

Dodám přehled driverů, které u tohoto netbooku/s tímto APU fungují na 100 %, podle distribuce:

• Ubuntu 11.10 — výchozí open source driver
• Ubuntu 12.04 — fglrx
• Ubuntu 12.10 — fglrx-updates

Pozor, před instalací fglrx proveďte pro jistotu sudo apt-get install linux-headers-generic, jinak se vám nezkompiluje kernel modul a naběhne vám to bez Unity (ale Ctrl+Alt+T pro spuštění terminálu funguje stále — sudo apt-get install linux-headers-generic && sudo dpkg-reconfigure fglrx[-updates]). Nutí mě to vzpomínat na doby, kdy jsem si vybíral mezi ndiswrapper, b43 a broadcom-wl. Šmejdy uzavřený.

Nastavení Windows 7

Windows jsou hlavně plné hnusných omalovánek.

• Odstranění koše z plochy

  Pravý klik na plochu → Personalize → vlevo Change desktop icons → odškrtněte Recycle Bin.

• Černá login screen

  Win+R → mspaint → plechovkou všechno začerněte. Soubor uložte na plochu jako backgroundDefault.jpg. Win+E → Windows\System32\oobe → vytvořte podadresář info\backgrounds, přesuňte do něj obrázek z plochy.

  Pro aktivaci obrázku Win+R → regedit → HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\Background → nastavte OEMBackground na 1.

• Vypnutí bootovací grafiky

  Někdo říká, že mu to boot zrychlilo. Mně sice ne, ale stejně tu animaci zrovna dvakrát vidět nemusím.

  Win+R → msconfig → Boot → zaškrtněte No GUI boot → OK.

• Systémový čas v UTC

  Kvůli letnímu času a dual bootu s Linuxem.

  Win+R → regedit → HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation → vytvořte DWORD RealTimeIsUniversal s hodnotou 1.

• Vlastní layout klávesnice

  Přešel jsem na českou variantu Dvoraka, která na Windows neexistuje. S tímto nástrojem od Microsoftu ale bylo docela snadné vzít klasického US Dvoraka a těch pár znáčků do layoutu doplnit. Bohužel jsem byl moc líný to dotáhnout do konce (musí se nadefinovat, co za kombinace přijímají dead keys a co z nich vytvoří), jinak bych to někam nahrál.

Nastavení Ubuntu 12.10

• Použití klíče z jednoho LUKS oddílu i pro další oddíly

  Do /etc/crypttab u každého odvozeného oddílu uveďte řádek

  <identifikátor LUKS oddílu pro mapper> UUID=<UUID LUKS oddílu> <ze kterého LUKS oddílu se má klíč vzít> luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
  

  a proveďte sudo update-initramfs -u, aby se to vzalo v potaz.

• Vypnutí větší části zbytečných animací

  Ctrl+Alt+T → sudo apt-get install compizconfig-settings-manager → Alt+F2 → ccsm → odškrtnout Animations a Fading Windows. Přestane se vysouvat launcher po najetí myší; pokud je to váš problém, odhlašte se a přihlašte zpátky.

  Přes CCSM se dá také provést spousta zásahů do konfigurace Unity, jako vypnutí nápovědy (Experimental/Enable Shortcut Hints Overlay), vypnutí barevného podsvícení ikonek spuštěných aplikací (Experimental/Backlight Mode), nebo vypnutí zbytečného fadingu při zajíždění launcheru (Experimental/Hide Animation).

• Zmenšení ikonek v toolbarech

  Otevřete /etc/gtk-3.0/settings.ini a gtk-icon-sizes přepište na něco jako:

  gtk-icon-sizes = panel-menu-bar=24,24:panel-menu=16,16:gtk-large-toolbar=16,16

• Změna fontů atp.

  Bohužel je spousta věcí nepřístupná přes System Settings, nicméně lze na to došáhnout přes defaultně nainstalovaný dconf-editor. U většiny věcí jsou nějaké vysvětlivky. U některých jinak relevantních klíčů se ignorují defaultní hodnoty, u některých jakékoliv, protože se to tady konfiguruje jinde. Pár důležitých cest:

  • /org/gnome/desktop/interface
  • /org/gnome/desktop/wm/preferences
  • /com/canonical/unity/panel

• Trochu lepší integrace Pidginu do Unity

  V tom novém Gnome absolutně domrdali Empathy. Bohužel to je jediný klient zcela podporovaný prostředím.

  Aby šel Pidgin spouštět z menu zpráv: Alt+F2 → dconf-editor → /com/canonical/indicator/messages → do applications přidejte pidgin.desktop.

  Abyste dostali Pidgin nějakým způsobem i nahoru mezi indikátory a neukončoval se po zavření okna, do /com/canonical/unity/panel/systray-whitelist připište Pidgin a pak v Preferences IM klienta přehoďte Show system tray icon na Always.

• Bootovací obrazovka v černé barvě

  Otevřete /lib/plymouth/themes/ubuntu-logo/ubuntu-logo.script v editoru a

  Window.SetBackgroundTopColor (0.17, 0.00, 0.12);     # Nice colour on top of the screen fading to
  Window.SetBackgroundBottomColor (0.17, 0.00, 0.12);  # an equally nice colour on the bottom
  

  přepište na něco jako

  Window.SetBackgroundTopColor (0.00, 0.00, 0.00);
  Window.SetBackgroundBottomColor (0.00, 0.00, 0.00);
  

  Na závěr sudo update-initramfs -u.

• GRUB v černé barvě

  Otevřete /lib/plymouth/themes/default.grub, celý ho zakomentujte a proveďte sudo update-grub2.

• Povolení hibernace v menu

  Vytvořte soubor /etc/polkit-1/localauthority/50-local.d/com.ubuntu.enable-hibernate.pkla a vložte do něj

  [Re-enable hibernate by default]
  Identity=unix-user:*
  Action=org.freedesktop.upower.hibernate
  ResultActive=yes
  

  Pro uplatnění se odhlašte a přihlašte nebo zabijte unity-panel-service.

• Změna systémového rozvržení klávesnice

  sudo dpkg-reconfigure keyboard-configuration

  Dá se tu jednoduše zapnout i kill X serveru přes Ctrl+Alt+Bksp.

• Vypnutí excesivního parkování disků

  sudo touch /etc/pm/power.d/95hdparm-apm

  Podrobněji rozebrané.

• Přenesení nastavení rozložení klávesnice do GRUBu

  Můžete použít následující skript.

  #!/bin/sh
  # Sets GRUB2's keyboard layout to the current system layout
  # This script is meant to be run only once, under root
  . /etc/default/keyboard
  
  layoutname=$XKBLAYOUT
  [ "x$XKBVARIANT" != "x" ] && layoutname=$layoutname-$XKBVARIANT
  
  mkdir -p /boot/grub/layouts
  ckbcomp -model "$XKBMODEL" "$XKBLAYOUT" "$XKBVARIANT" "" \
  	| grub-mklayout -o /boot/grub/layouts/$layoutname.gkb
  
  cat >> /etc/grub.d/40_custom <<EOF
  insmod keylayouts
  keymap $layoutname
  EOF
  
  echo 'GRUB_TERMINAL_INPUT=at_keyboard' >> /etc/default/grub
  
  update-grub2
  

• Povolení TRIM

  Návod

Addendum: boot Windows z GRUBu přes Rescue Disk

Ohledně toho TrueCrypt bootloaderu, zjistil jsem, že je možné pro boot použít opravné ISO, které TrueCrypt vygeneruje při nastavování system encryption. Např. pomocí projektu grub2tc nebo s využitím memdisk loaderu z SYSLINUXu. V druhém případě je třeba do /boot/grub.d/40_custom vložit novou položku:

menuentry "TrueCrypt Rescue Disk" {
	linux16 /memdisk iso
	initrd16 "/TrueCrypt Rescue Disk.iso"
}

překopírovat do /boot i onen ISO soubor a provést:

$ sudo cp /usr/lib/syslinux/memdisk /boot
$ sudo update-grub2

Bohužel se zdá, že vstupní režim at_keyboard v GRUB2, který používám pro přenastavení layoutu, rozvrtává nějak klávesnici, takže s ní pak to TrueCrypt ISO nedovede pracovat.

Tiskni Sdílej:

Komentáře

Vložit další komentář

2.1.2013 15:59 rADOn | skóre: 44 | blog: bloK | Praha
Rozbalit Rozbalit vše ATA password

Odpovědět | Sbalit | Link | Blokovat | Admin

Muj notes ATA password umi, jak je to s realnou bezpecnosti? Nerad bych se dozvedel ze je na to nejaky proflakly univerzalni heslo vyrobce nebo tak neco.

"2^24 comments ought to be enough for anyone" -- CmdrTaco

2.1.2013 16:13 zxtlpn | skóre: 8 | blog: zxtlpn
Rozbalit Rozbalit vše Re: ATA password

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Nejsem bezpečnostní expert, ale minimálně u toho Intel SSH, co mám, je řečeno, že má každej disk unikátní klíč, kterej se dá tim ATA heslem zabezpečit (a výsledkem nějaký tý kombinace by snad mělo bejt to, čím se v závěru šifrujou data na tom samotnym disku). A má to jít přes nějakej ten nástroj i zresetovat na něco jinýho. Google.

2.1.2013 16:13 zxtlpn | skóre: 8 | blog: zxtlpn
Rozbalit Rozbalit vše Re: ATA password

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

SSD, samozřejmě.

3.1.2013 08:51 rADOn | skóre: 44 | blog: bloK | Praha
Rozbalit Rozbalit vše Re: ATA password

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ze je tam jinej klic je celkem jasny a prave to me zneklidnuje. Vzhledem k tomu jak tenhle svet funguje se nakonec ukaze ze ten "tajny" klic neni zase tak moc tajny. Kdyz jsem ten notes poridil tak to byla relativne nova vec a moc se toho vygooglit nedalo, a co se dalo bylo (a bude i ted) zapleveleno "heslovanim" v biosu.

OTOH kdyby to nejaky vyrobce (teoreticky) dokazal nepodelat, bylo by to mnohem lepsi reseni nez sifrovani v softwaru.

"2^24 comments ought to be enough for anyone" -- CmdrTaco

3.1.2013 22:17 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: ATA password

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Údajně… jak už se několikrát ukázalo, těmhle uzavřeným řešením se nedá věřit.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

Založit nové vlákno • Nahoru