Standardmäßig möchte ich bei mir, dass Verzeichnisse und Dateien nur mit Rechten für meinen Benutzer angelegt werden. Unter X11 reichte dafür bei mir immer eine entprechende umask-Konfiguration in der ~/.bash_profile. Unter Wayland hat das bei mir jedoch nicht mehr funktioniert. Nach etwas Recherche habe ich es nun so hinbekommen, dass die umask-Konfiguration sowohl auf Konsolen-/Terminalebene als auch GUI-Ebene greift.
Ab und an nutze ich Tails und boote es von einem USB-Stick. Mein Rechner läuft jedoch mit aktiviertem UEFI Secure Boot in Verbindung mit eigenen Schlüsseln bzw. Keys. Aus diesem Grund führt mein System die von Tails bereitgestellte EFI-Bootdatei nicht aus, da diese nicht mit meinem DB-Key signiert ist. Anstatt nun aber die Sicherheitskette aufzubrechen und einfach temporär Secure Boot zu deaktivieren, signiere ich einfach die entsprechende EFI-Bootdatei. Das ganze lässt sich relativ leicht bewerkstelligen.
Bisher habe ich zum Signieren von EFI-Dateien bzw. Unified Kernel Images (UKIs) immer sbsign (im Paket sbsigntools enthalten) eingesetzt. Mittlerweile bietet systemd seit Version 257 mit systemd-sbsign aber auch eine gleichwertige Alternative. Da ich selbst sowieso systemd-ukify zum Erstellen von Unified Kernel Images verwende, nutze ich nun systemd-sbsign zum Signieren der UKIs mit meinem eigenen UEFI-Secure-Boot-Schlüssel.
Die letzten Wochen habe ich im Rahmen meines digitalen Frühjahrsputzes nebst E-Mail-Konten/Postfächer und Online-Konten aufzuräumen, meine Systeme (Notebook, Tablet, Smartphone etc.) bereinigt, optimiert und teilweise umgestellt. Damit bin ich quasi pünktlich zum gestrigen Digital Cleanup Day 2025 fertiggeworden. Einen kleinen Überblick was sich diesbzgl. bei mir geändert hat, erfahrt ihr in diesem Beitrag.
Aus Sicherheitsgründen ist es ratsam neben dem regelmäßigen Aktualisieren des Betriebssystems und der dazugehörigen Anwendungssoftware auch die (Hardware-)Firmware seines Rechners aktuell zu halten. Unter Linux nutze ich hierfür fwupd mit Gnome Firmware als GUI. Im Normalfall erfordern die Firmware-Updates einen Neustart, bei welchem dann die fwupd-EFI-Datei anstelle des Betriebssystems geladen wird. Wer wie ich UEFI-Secure-Boot mit eigenen Schlüsseln (Keys) verwendet, muss hierzu jedoch sicherstellen, dass diese fwupd-EFI-Datei entsprechend mit dem eigenen Secure-Boot-Key signiert ist. Wie ich das unter Arch Linux bewerkstelligt habe, erfahrt in diesem Beitrag.