Nachdem ich meinen Homelab-Server auf Arch Linux umgestellt habe, wollte ich wie zuvor bei Debian mein mit LVM on LUKS voll-verschlüsseltes System per SSH entsperren können. Erste Anlaufstelle war für mich wie immer das Arch-Linux-Wiki. Die im Wiki vorgestellten Lösungen verwenden jedoch zum gegenwärtigen Zeitpunkt alle min. ein Paket aus dem Arch User Repository (AUR). Aus Sicherheitsgründen versuche ich, wenn möglich, AUR-Pakete zu vermeiden. Nach etwas Recherche habe ich dann eine Lösung mithilfe des Pakets mkinitcpio-systemd-tool in Verbindung mit dem SSH-Server Dropbear gefunden. Welche Schritte diesbzgl. zum Einrichten nötig sind, findet ihr im folgenden Beitrag.
Arch Linux: LUKS-voll-verschlüsseltes System beim Booten per SSH entsperren (mittels systemd und Dropbear)
Arch Linux und Gnome (Wayland): umask systemweit setzen
Standardmäßig möchte ich bei mir, dass Verzeichnisse und Dateien nur mit Rechten für meinen Benutzer angelegt werden. Unter X11 reichte dafür bei mir immer eine entprechende umask-Konfiguration in der ~/.bash_profile. Unter Wayland hat das bei mir jedoch nicht mehr funktioniert. Nach etwas Recherche habe ich es nun so hinbekommen, dass die umask-Konfiguration sowohl auf Konsolen-/Terminalebene als auch GUI-Ebene greift.
Tails: Live-USB-Stick mit eigenen Secure-Boot-Keys booten
Ab und an nutze ich Tails und boote es von einem USB-Stick. Mein Rechner läuft jedoch mit aktiviertem UEFI Secure Boot in Verbindung mit eigenen Schlüsseln bzw. Keys. Aus diesem Grund führt mein System die von Tails bereitgestellte EFI-Bootdatei nicht aus, da diese nicht mit meinem DB-Key signiert ist. Anstatt nun aber die Sicherheitskette aufzubrechen und einfach temporär Secure Boot zu deaktivieren, signiere ich einfach die entsprechende EFI-Bootdatei. Das ganze lässt sich relativ leicht bewerkstelligen.
systemd-sbsign: Alternative zu sbsign (sbsigntools)
Bisher habe ich zum Signieren von EFI-Dateien bzw. Unified Kernel Images (UKIs) immer sbsign (im Paket sbsigntools enthalten) eingesetzt. Mittlerweile bietet systemd seit Version 257 mit systemd-sbsign aber auch eine gleichwertige Alternative. Da ich selbst sowieso systemd-ukify zum Erstellen von Unified Kernel Images verwende, nutze ich nun systemd-sbsign zum Signieren der UKIs mit meinem eigenen UEFI-Secure-Boot-Schlüssel.
fwupd: Firmware aktualisieren mit aktiviertem Secure Boot und eigenen Secure-Boot-Schlüsseln
Aus Sicherheitsgründen ist es ratsam neben dem regelmäßigen Aktualisieren des Betriebssystems und der dazugehörigen Anwendungssoftware auch die (Hardware-)Firmware seines Rechners aktuell zu halten. Unter Linux nutze ich hierfür fwupd mit Gnome Firmware als GUI. Im Normalfall erfordern die Firmware-Updates einen Neustart, bei welchem dann die fwupd-EFI-Datei anstelle des Betriebssystems geladen wird. Wer wie ich UEFI-Secure-Boot mit eigenen Schlüsseln (Keys) verwendet, muss hierzu jedoch sicherstellen, dass diese fwupd-EFI-Datei entsprechend mit dem eigenen Secure-Boot-Key signiert ist. Wie ich das unter Arch Linux bewerkstelligt habe, erfahrt in diesem Beitrag.