0. 前書き
私事ですが、最近lap-topを持ち運ばなくてはならないことになってしまった。そこでOS入ってないlap-top(iiyamaPC)を購入し、archLinuxをインストールしました。ただし、現在「iiyamaPC」はOSなし構成は選択できないようです。悲しみ、、、
構成
ちなみに当方が購入したPC構成は以下のとおりです。
項目 | 構成 |
---|---|
CPU | intel i3-10100 |
メモリ | ddr4-2666 16GB(8GB*2) |
GPU | GeForce MX350 2GB |
ストレージ(メイン) | SSD(PCIe) 256GB |
ストレージ(サブ) | SSD(sata) 512GB |
そしてこの記事でま目指すシステム構成は以下のとおりです。
2021/6/10 編集
ディスプレイマネージャとウインドウマネージャを変更しました。
機能のわりに軽量な気がするし、テーマがかっこいいから。異論は認める。
項目 | 構成 |
---|---|
OS | archLinux |
ブートローダー | GRUB |
ディスプレイマネージャ |
|
ウィンドウマネージャ |
|
その他、lap-topなのでセキュリティ関係はしっかりとしたいので、そのへんの構成は以下の感じ。
ストレージの暗号化
archLinuxに標準搭載の「dm-crypt」を用いて、ストレージを暗号化します。めんどくさいので、メインストレージは「/boot」「/」の2つのみのパーティションにしてます。そのうち「/」のみ暗号化します。起動時にパスワードを入力してマウントできるようにします。サブストレージはユーザースペースディレクトリにマウントできるようにして、復号化には乱数ファイルをメインストレージのどこかに保存します。そうすることによって、自身の個人的なデータはメインストレージのファイルがないと中身が見れないようにします。
ファイヤーウォール
archLinuxにファイヤーウォールは標準で有効になっていません。なので有効化しましょう。一応「iptables」が標準で入っていますが、ルール作成が面倒なのでさくっと設定できるサービスをインストールすることをおすすめします。今回は「firewalld」をインストールします。
ウイルススキャン
ウイルスファイルをスキャンする機能もarchLinuxには標準搭載していません。なのでそれもインストールしましょう。今回は「ClamAV」をインストールします。本来はWindows向けのマルウェア検出ソフトなので、linux系には意味がないと思われるかもしれません。ですが、ローカルネットにWindowsがあるような環境では間接的に感染させてしまうかもしれないので有効です。チームで開発する場合には、自身のセキュリティだけでなく周りのことも気にかけましょう。
ファイル保護
ファイルの不正な編集やディレクトリへの不正なアクセスを保護する考え方で「任意アクセス制御」「強制アクセス制御」があります。任意アクセス制御は標準で搭載されていますが、強制アクセス制御は導入されていません。なので、この記事では「SELinux」をインストールします。
この記事では「AppArmor」を使用導入します。「SELinux」は有効化するのがかなり面倒なので今回は見送りです。AppArmorとSELinuxの違いはここを参照してください。
とりあえずセキュリティ的にはこんなところ。あとの細かいところはインストール手順で説明します。
1. インストール手順
さて、やっと本題です。基本的にはインストール手順はここに書いてあるのですが、参考までに。また、linuxにはじめてさわる方はarchlinuxはおすすめしません。おとなしくubuntu等から始めましょう。CLI操作に慣れていないとかなりきついです。
インストールディスクの作成
まずはインストールメディアを入手します。ここにアクセスし、最新のisoファイルを入手してください。そしてWindowsでは「ブータブルUSB作成ツール」で作成してください。Macやlinuxでは以下のようにコマンドで作成できます。
$ sudo dd bs=1M if=path/to/iso of=/dev/sdX
sdXの部分には、インストールするUSBを指定してください。
BIOS設定
まずBIOSの設定画面に入ってください。そして以下の設定項目を探し、パラメータを更新してください。インストールUSBを挿した状態で入っておくとブートデバイスを指定できるので、この時点で挿しておくといいでしょう。
設定項目 | パラメータ |
---|---|
ブート方式 | UEFI |
セキュアブート | 無効 |
ブートデバイス | インストールUSB |
起動
インストールUSBを挿した状態で起動し、archLinuxのブート画面で一番上の選択肢を選択してインストールシェルを起動します。
CLIでの操作
ここから先はコンソールで設定することになります。インストールシェルでは「Zsh」がデフォルトで有効になっていて、コマンド補完が強力に動作します。なので、長いコマンドなどは最初の数文字打って「Tab」キーを押すと補完されます。便利なので使いましょう。コマンドだけでなく、ディレクトリやファイルも補完してくれるので是非。
キーボードレイアウトの指定
キーボードのレイアウトを変更します。おそらく日本語の標準キーボードだと思うので、レイアウトに「jp106」を指定。
$ loadkeys jp106
起動モードの確認
一応起動方式が「UEFI」であるかを確認するために、以下のコマンドを実行。もしディレクトリが存在しないと表示されたら、「MBR」で起動されていますので、BIOSの設定を確認してブート方式がUEFIになっているか確認してください。
$ ls /sys/firmware/efi/efivars
ネットワークへの接続
インストールメディアにはインストールデータは入ってません。いや入ってはいるのですが、そこからコピーするのではなく、ネットワークからインストールします。なのでネットに接続しなければなりません。
有線接続の場合
PCにLANポートがある場合はそこにLANを挿して、以下のコマンドで自分がIPアドレスをもらえているか確認してください。
$ ip a
出力結果のうち、「lo」から始まる段はあまり気にせず。「eth~」か「enp~」から始まる段は有線接続のネットワークインターフェースの出力です。確認すべきは「inet」から始まる行に何かしらのアドレスが表示されていればIPアドレスが取得できています。「wlp~」か「wlan」から始まる段は無線接続のネットワークインターフェースの出力で、内容の見方は無線と同じです。
ルーターがDHCPに対応していない場合
もしルーターがDHCPに対応していない場合IPが自動でもらえません。なので手動で設定しましょう。ここを参考にしてください。ただしサブネットマスクなどが不明の場合、システム管理者に問い合わせてください。
$ ip link set eth0 up
$ ip addr add 192.168.1.2/24 broadcast 192.168.1.255 dev eth0
$ ip route add default via 192.168.1.1
1行目はネットワークインターフェイス起動しています。「eth0」はネットワークインターフェースを指定しますが、「eth~」か「enp~」で始まることが多いです。上記の「有線接続の場合」のコマンドを実行して確認してください。
2行目は自分にIPアドレスを指定し、それをローカルネットに通知しています。ちなみにコマンド引数の「192.168.1.2/24」の/より前がIPアドレス、後がサブネットマスクです。IPアドレスはローカルネット上で重複は許されません。なので手動で設定するするときにはちゃんと確認しましょう。サブネットマスクは、同じローカルネットでは一致していないといけません。なのでIPアドレスと同じく確認しましょう。
3行目はデフォルトのゲートウェイを指定しています。グローバルネットに接続するための設定です。
無線接続の場合
archLinuxのインストールメディアには無線接続ためのサービスで「iwd」が入っています。なのでここを参考に無線LANに接続します。
$ iwctl #無線設定用シェルを起動
[iwd]# device list #ワイヤレスデバイス名を確認します
[iwd]# station DEVICE scan #確認したデバイス名でネットワークをスキャンします
[iwd]# station DEVOCE get-networks #利用可能なネットワークを確認します
[iwd]# station DEVICE connect SSID #SSIDを指定してアクセスします。
パスフレーズが設定されている場合、パスフレーズを要求されますので、入力します。
ルーターがDHCPに対応していない場合
無線接続の場合も有線接続と同様、DHCPが有効になっていない場合、手動でIPアドレスを指定しなくてはなりません。ここを参考に設定していきます。
まずテキストエディタで「/var/lib/iwd/spaceship.psk」を編集します。ここでテキストエディタは「nano」を使います。
$ nano /var/lib/iwd/spaceship.psk
そしてファイルを以下のように編集します。
[IPv4]
Address=192.168.1.10
Netmask=255.255.255.0
Gateway=192.168.1.1
Broadcast=192.168.1.255
DNS=192.168.1.1
もし自身でネットワークを設定していない場合はネットワーク管理者に問い合わせてください。
接続の確認
以下のコマンドで、ネットワークへの接続を確認します。ちゃんとパケットが帰ってきていれば大丈夫。
$ ping archlinux.jp
システムクロックの更新
システムクロックを正確にしないと、たまにアクセスを拒否される時があります。なので「timedatectl」サービスを使ってシステムクロックを更新します。
$ timedatectl set-ntp true
パーティションの作成
今回のシステムでは暗号化をする関係上、設定が面倒になるので「tmp」や「var」等のパーティションは設定しません。「swap」すら用意しません。スワップファイルも設定しません。というかメモリ16GBあってサーバーでもないのにスワップあっても、パフォーマンスの向上を見込めないし、SSDの寿命を縮めるだけなのでいらないです。なので以下のような構成になります。
パーティション | 容量 | タイプ(タイプコード) |
---|---|---|
/dev/nvme0n1p1 | 256MB | EFI System partition(ef00) |
/dev/nvme0n1p2 | 残り全部 | dm-crypt(8308) |
まずはメインストレージのパーティションを行います。
$ gdisk /dev/nvme0n1 #gdiskでnvmeディスクを指定
~~~~ 省略 ~~~~
Command (? for help): o # 新規のGPTを作成する
This option deletes all partitions and creates a new protective MBR.
Proceed? (Y/N): Y # 作成して大丈夫?って聞かれてるだけなのでYを入力
Command (? for help): n #新規パーティション作成
Partition number (1-128, default 1): #そのままEnter
First sector (~省略~): #そのままEnter
Last sector (~省略~): +256MB #サイズを256MBに指定
Current type is 8300 (Linux filesystem)
Hex code or GUID (L to show codes, Enter = 8300): ef00 #パーティションタイプを「EFI system partition」に指定
Changed type of partition to 'EFI system partition'
Command (? for help): n #新規パーティション作成
Partition number (1-128, default 2): #そのままEnter
First sector (~省略~): #そのままEnter
Last sector (~省略~): #そのままEnter
Current type is 8300 (Linux filesystem)
Hex code or GUID (L to show codes, Enter = 8300): 8308 #パーティションタイプを「Linux dm-crypt」に指定
Changed type of partition to 'Linux dm-crypt'
Command (? for help): w #変更を保存
Final checks complete. About to write GPT data. THIS WILL OVERWRITE EXISTING PARTITIONS!!
Do you want to proceed? (Y/N): Y #変更保存しちゃって大丈夫?って聞かれてるだけなのでYを入力
これでメインストレージはパーティショニングが終了。
次にサブストレージのパーティションを作成します。サブストレージは単一パーティションのみで「/home」にマウントします。パーティションタイプを「dm-crypt」にする以外はデフォルトでOK。
$ gdisk /dev/sda #gdiskでsdaディスクを指定
~~~~ 省略 ~~~~
Command (? for help): o # 新規のGPTを作成する
This option deletes all partitions and creates a new protective MBR.
Proceed? (Y/N): Y # 作成して大丈夫?って聞かれてるだけなのでYを入力
Command (? for help): n #新規パーティション作成
Partition number (1-128, default 1): #そのままEnter
First sector (~省略~): #そのままEnter
Last sector (~省略~): #そのままEnter
Current type is 8300 (Linux filesystem)
Hex code or GUID (L to show codes, Enter = 8300): 8308 #パーティションタイプを「Linux dm-crypt」に指定
Changed type of partition to 'Linux dm-crypt'
Command (? for help): w #変更を保存
Final checks complete. About to write GPT data. THIS WILL OVERWRITE EXISTING PARTITIONS!!
Do you want to proceed? (Y/N): Y #変更保存しちゃって大丈夫?って聞かれてるだけなのでYを入力
これでサブストレージもパーティショニング終了。
メインストレージの暗号化
先ほど作成したパーティションのうち「/dev/nvme0n1p2」をパスフレーズによって暗号化します。サブストレージは後程キーファイルによって暗号化するのでここでは暗号化しません
$ cryptsetup -v luksFormat /dev/nvme0n1p2
~~~~ 省略 ~~~~
Are you sure? (Type 'yes' in capital letters): YES #諸々了承したら大文字で「yes」と入力
/dev/nvme0n1p2のパスフレーズを入力して下さい: #パスフレーズを入力してEnter
同じパスフレーズを入力して下さい: #同じパスフレーズを入力してEnter
~~~~ 省略 ~~~~
$ cryptsetup open /dev/nvme0n1p2 crypt-root #暗号化デバイスを「crypt-root」として接続
/dev/nvme0n1p2のパスフレーズを入力してください: #パスフレーズを入力してEnter
~~~~ 省略 ~~~~
メインストレージのフォーマット
メインストレージのフォーマットを行います。フォーマと形式は以下の通り。
ディスク | フォーマット |
---|---|
/dev/nvme0n1p1 | FAT32 |
/dev/mapper/crypt-root | ext4 |
なお「/dev/nvme0n1p2」を指定してフォーマットしないように注意しましょう。
$ mkfs.vfat -F32 /dev/nvme0n1p1 #FAT32を指定してフォーマット
$ mkfs.ext4 /dev/mapper/crypt-root #ext4を指定してフォーマット
メインストレージのマウント
メインストレージをマウントします。
$ mount /dev/mapper/crypt-root /mnt #「/mnt」に「/dev/mapper/crypt-root」をマウント
$ mkdir /mnt/boot #「boot」ディレクトリを作成
$ mount /dev/nvme0n1p1 /mnt/boot #「/mnt/boot」に「/dev/nvme0n1p1 」をマウント
コアパッケージのインストール
必要最低限のパッケージをインストールします。
$ pacstrap /mnt base base-devel linux linux-firmware
fstabの生成
fstabを生成し、自動マウントできるようにします。
$ genfstab -U /mnt >> /mnt/etc/fstab
chroot
新しくインストールした環境に仮想的にログインします。
$ arch-chroot /mnt
PGP鍵の取得
PGPを取得します。
$ pacman-key --populate archlinux
$ pacman-key --init
タイムゾーン
タイムゾーンを日本に設定します。
$ ln -sf /usr/share/zoneinfo/Asia/Tokyo /etc/localtime
$ hwclock --systohc
ロケールの設定
/etc/locale.gen を編集して、「en_US.UTF-8 UTF-8」と「ja_JP.UTF-8 UTF-8」をアンコメント(行頭の#を消去)します。そして以下のコマンドを実行。
$ locale-gen #ロケールの生成
$ echo 'LANG=en_US.UTF-8' > /etc/locale.conf #ロケールの設定
$ echo 'KEYMAP=jp106' > /etc/vconsole.conf #仮想コンソールのキーボードマップ設定永続化
rootパスワードの変更
rootパスワードがない状態は非常に危険なので、変更しましょう。
$ passwd
新しいパスワードを入力してください: #設定したいパスワードを入力してEnter
新しいパスワードを再入力してください: #もう一度パスワードを入力してEnter
ブートローダーの設定
さてここからブートローダーの設定をしていきます。
GRUBのインストール
まずはブートローダー関係のパッケージをインストールします。今回の環境では「GRUB」を導入します。「UEFI」方式のブートに対応していて、カーネルパラメータが設定しやすい。(気がする)またGEUBでUEFIブートに必要なパッケージとして「EFI boot manager」もインストールします。
$ pacman -S grub efibootmgr
マイクロコードのインストール
マイクロコードをインストールします。マイクロコードとは、CPUのファームウェアのようなもので、これを入れておかないとシステムが不安定になる場合があるらしい。
インテル系のCPUの場合
$ pacman -S intel-ucode
AMD系CPUの場合
$ pacman -S amd-ucode
mkinitcpioの設定
デバイスの暗号化をしているため、起動時にパスコードを要求できるようにします。これをしないとブートできても暗号化が解除できないので使えるようになりません。
ここを参考に、まず「/etc/mkinitcpio.conf」を編集します。「keyboard」「keymap」「encrypt」を追加しています。ちなみに記述した順番に読み込まれるので、この順番に記述してください。
~~~~ 省略 ~~~~
HOOKS="base udev autodetect keyboard keymap consolefont modconf block encrypt lvm2 filesystems fsck"
~~~~ 省略 ~~~~
編集したのち、以下のコマンドを実行してmkinitcpioを再生成します。
$ mkinitcpio -p linux
GRUBカーネルパラメータの編集
起動時にどのデバイスの暗号化を解除させるかを指定し、mapperを命名します。「/etc/default/grub」を編集し、以下のようなカーネルパラメータを指定してください。
~~~~ 省略 ~~~~
GRUB_CMDLINE_LINUX_DEFAULT="loglevel=3 quiet cryptdevice=/dev/nvme0n1p2:crypt-root root=/dev/mapper/crypt-root"
~~~~ 省略 ~~~~
ブートローダーのインストール
次にブートローダーをインストールし、設定ファイルを生成します。
$ grub-install --target=x86_64-efi --efi-directory=/boot --bootloader-id=grub --boot-directory=/boot --debug
$ grub-mkconfig -o /boot/grub/grub.cfg
暗号化デバイスの自動マウント設定
暗号化したディスクを起動時に自動マウントするために、「/etc/crypttab」を編集します。
~~~~ 省略 ~~~~
crypt-root /dev/nvme0n1p2 none luks,timeout=180
その他パッケージのインストールと設定
ここからは最低限動かすのに必要(であろうものも含めて)なパッケージをインストール。
- NetworkManager・・・ネットワーク設定ツール。有線接続も無線接続もちゃんとできて、VPNなどのプラグインもあるので結構便利。
- firewalld・・・ファイヤーウォール。
- nano・・・コンソールテキストエディタ。初心者に比較的優しい。
- gdisk・・・GPT用のディスクパーティション作成ツール。
$ pacman -S networkmanager firewalld nano gdisk
インストールしたのち、起動時に有効化するようにします。
$ systemctl enable NetworkManager
$ systemctl enable firewalld
###再起動
再起動して、ブートが完了するか確認してください。
$ exit #arch-chrootから脱出
$ umount -R /mnt #ディスクをアンマウント
$ reboot #再起動する。
再起動時にインストールUSBを外し、BIOS画面に移行し、起動ディスクをインストールしたメディアに設定。
ここまででいったん記事は終わります。GUI導入からはまた後日書きたいと思います。