#!/coding/blatt
Sammelsurium mit Schwerpunkten Linux & IT-Sicherheit

Debian: Minimal-Installation - Grundsystem installieren

8. April 2022 Stephan

Leider stellt Canoncial für Ubuntu seit der Version 20.10 kein Netboot-Installationsimage (mini.iso) mehr bereit. Das betrifft auch dazugehörige Derivate, wie z.B. Xubuntu, welches ich jahrelang verwendet habe. Im Gegensatz zu Ubuntu wird für Debian aber immer noch eine mini.iso bereitgestellt. Wer also weiterhin ein minimales Grundsystem, z.B. mit Xfce, installieren möchte und für Alternativen offen ist, kann analog zur Minimal-Installation von Xubuntu, also auch Debian verwenden.

Verwendete Software für diesen Beitrag
  • Debian v11 (Bullseye)
  • gpg v2.2.32

Debian-Netboot-Image herunterladen & verifizieren

Ladet euch zunächst das Netboot- bzw. Netzwerkinstallationsimage von Debian herunter. Zu finden ist die aktuelle mini.iso z.B. unter https://deb.debian.org/debian/dists/ unter dem Pfad der aktuellen Debian-Version (aktuell z.B. Bullseye):
bullseye/main/installer-amd64/current/images/netboot/

Speichert die mini.iso in einem Verzeichnis namens netboot. Jetzt benötigen wir noch einige Dateien zum Verifizieren der Imagedatei, was aus Sicherheitsgründen immer erfolgen sollte (siehe auch Software-Signaturen verifizieren). Dazu geht es im Browser nun ein Verzeichnisebene höher, wo ihr die SHA256SUMS herunterladet und auf der gleichen Ebene, wie das zuvor angelegte netboot-Verzeichnis abspeichert. Wechselt danach im Browser ins Hauptverzeichnis der aktuellen Debian-Version und ladet die folgenden Dateien herunter:

  • Release
  • Release.gpg

Zum Verifizieren der Imagedatei wechselt in euer Terminal und ins Download-Verzeichnis, in dem sich das netboot-Verzeichnis befindet. Als erstes prüfen wir, ob die Signatur der Release-Datei korrekt ist:

gpg --keyid-format long --verify Release.gpg Release
gpg: Signatur vom Sa 26 Mär 2022 11:20:07 CET
gpg:                mittels RSA-Schlüssel 0146DC6D4A0B2914BDED34DB648ACFD622F3D138
gpg: Signatur kann nicht geprüft werden: Kein öffentlicher Schlüssel
gpg: Signatur vom Sa 26 Mär 2022 11:20:08 CET
gpg:                mittels RSA-Schlüssel A7236886F3CCCAAD148A27F80E98404D386FA1D9
gpg: Signatur kann nicht geprüft werden: Kein öffentlicher Schlüssel
gpg: Signatur vom Sa 26 Mär 2022 11:25:13 CET
gpg:                mittels RSA-Schlüssel A4285295FC7B1A81600062A9605C66F00D6C9793
gpg:                Aussteller "debian-release@lists.debian.org"
gpg: Signatur kann nicht geprüft werden: Kein öffentlicher Schlüssel
Terminal / Konsole

Falls ihr die verwendeten öffentlichen GPG-Schlüssel von Debian noch nicht in eurem Schlüsselbund habt, erhaltet ihr eine Meldung wie oben aufgeführt. In diesem Fall ladet die Schlüssel in euren Schlüsselbund:

gpg --keyid-format long --keyserver hkp://keyserver.ubuntu.com --recv-keys 0x0146DC6D4A0B2914BDED34DB648ACFD622F3D138 0xA7236886F3CCCAAD148A27F80E98404D386FA1D9 0xA4285295FC7B1A81600062A9605C66F00D6C9793
gpg: Schlüssel 605C66F00D6C9793: Öffentlicher Schlüssel "Debian Stable Release Key (11/bullseye) <debian-release@lists.debian.org>" importiert
gpg: Schlüssel 73A4F27B8DD47936: Öffentlicher Schlüssel "Debian Archive Automatic Signing Key (11/bullseye) <ftpmaster@debian.org>" importiert
gpg: Schlüssel DC30D7C23CBBABEE: Öffentlicher Schlüssel "Debian Archive Automatic Signing Key (10/buster) <ftpmaster@debian.org>" importiert
gpg: Anzahl insgesamt bearbeiteter Schlüssel: 3
gpg:                              importiert: 3
Terminal / Konsole

Jetzt sollte die Signatur-Verifizierung problemlos funktionieren:

gpg --keyid-format long --verify Release.gpg Release
gpg: Signatur vom Sa 26 Mär 2022 11:20:07 CET
gpg:                mittels RSA-Schlüssel 0146DC6D4A0B2914BDED34DB648ACFD622F3D138
gpg: Korrekte Signatur von "Debian Archive Automatic Signing Key (10/buster) <ftpmaster@debian.org>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = 80D1 5823 B7FD 1561 F9F7  BCDD DC30 D7C2 3CBB ABEE
Unter-Fingerabdruck  = 0146 DC6D 4A0B 2914 BDED  34DB 648A CFD6 22F3 D138
gpg: Signatur vom Sa 26 Mär 2022 11:20:08 CET
gpg:                mittels RSA-Schlüssel A7236886F3CCCAAD148A27F80E98404D386FA1D9
gpg: Korrekte Signatur von "Debian Archive Automatic Signing Key (11/bullseye) <ftpmaster@debian.org>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = 1F89 983E 0081 FDE0 18F3  CC96 73A4 F27B 8DD4 7936
Unter-Fingerabdruck  = A723 6886 F3CC CAAD 148A  27F8 0E98 404D 386F A1D9
gpg: Signatur vom Sa 26 Mär 2022 11:25:13 CET
gpg:                mittels RSA-Schlüssel A4285295FC7B1A81600062A9605C66F00D6C9793
gpg:                Aussteller "debian-release@lists.debian.org"
gpg: Korrekte Signatur von "Debian Stable Release Key (11/bullseye) <debian-release@lists.debian.org>" [unbekannt]
gpg: WARNUNG: Dieser Schlüssel trägt keine vertrauenswürdige Signatur!
gpg:          Es gibt keinen Hinweis, daß die Signatur wirklich dem vorgeblichen Besitzer gehört.
Haupt-Fingerabdruck  = A428 5295 FC7B 1A81 6000  62A9 605C 66F0 0D6C 9793
Terminal / Konsole

Achtet darauf, dass eine Korrekte Signatur vorhanden ist.

Nachdem ihr sichergestellt habt, dass die Release-Datei vertrauenswürdig ist, prüft nun, ob die Prüfsumme der SHA256SUMS mit der Prüfsumme in der Release-Datei übereinstimmt:

sha256sum SHA256SUMS
7183d4b62b3338d28b55576ec9d872c83bdd337ff84be7c3734a1f01d912a65f  SHA256SUMS
cat Release | grep 7183d4b62b3338d28b55576ec9d872c83bdd337ff84be7c3734a1f01d912a65f
7183d4b62b3338d28b55576ec9d872c83bdd337ff84be7c3734a1f01d912a65f    77333 main/installer-amd64/20210731+deb11u3/images/SHA256SUMS
7183d4b62b3338d28b55576ec9d872c83bdd337ff84be7c3734a1f01d912a65f    77333 main/installer-amd64/current/images/SHA256SUMS
Terminal / Konsole

Abschließend, nun wo sichergestellt ist, dass die SHA256SUMS valide ist, gilt es die mini.iso zu verifizieren:

sha256sum -c SHA256SUMS 2>&1 | grep OK
./netboot/mini.iso: OK
Terminal / Konsole

Wenn ihr ein OK als Ausgabe erhaltet, könnt ihr dem heruntergeladenen Image vertrauen.

Debian-Grundsystem installieren

Bootet die Imagedatei und folgt der Installationsroutine bis zum Dialog mit der Softwareauswahl. Im Gegensatz zur Minimal-Installation von Xubuntu, gibt es an dieser Stelle leider keine Auswahl zur Installation einer minimalen Xfce-Desktop-Umgebung. In diesem Schritt habe ich bei mir alles abgewählt und die Installation forgesetzt. Das Ergebnis ist ein minimalistisches Debian gänzlich ohne Display-Server, Desktop-Umgebung etc.

Nach der Installation könnt ihr anschließend alle Pakete installieren, die ihr benötigt. Bei mir sind das für einen grundlegenden Xfce-Desktop ohne zusätzlichen Schnickschnack bspw. folgende Pakete:

  • network-manager
  • network-manager-gnome
  • policykit-1-gnome
  • alsa-base
  • pulseaudio-utils
  • pavucontrol
  • xorg
  • dbus-x11
  • xfce4
  • xfce4-terminal
  • xfce4-power-manager-plugins
  • xfce4-indicator-plugin
  • xfce4-notifyd
  • xfce4-screenshooter
  • xfce4-statusnotifier-plugin
  • xfce4-whiskermenu-plugin
  • gvfs
  • thunar-volman
  • tumbler
  • mousepad
  • bash-completion
  • greybird-gtk-theme
  • elementary-xfce-icon-theme
  • dmz-cursor-theme
  • fonts-noto
  • spice-vdagent (nur, wenn Debian als Gastsystem innerhalb VM verwendet wird)

Fazit

Die hier vorgestellte Variante zur Installatons eines minimalistischen Debians ohne zusätzliche Software, verwende ich zumeist als Grundlage für meine verschiedenen VMs.