Редактирование инструкции по установке ArchLinux

У arch лучшая вики, и если покопаться в ней, то найдёшь ответы на все свои вопросы.

Для изучения выбрал arch - он не совсем для новичком, и поэтому привыкай сразу сам разбираться.

Arch - конструктор. Как захочешь так и будет.

Пробуй, осваивай.

со временем дойдешь до того, что изначально хватает:

• поднять сеть
• разметить диск, примонтировать
• поставить нужные пакеты чтоб сразу загрузить в ДЕ (в моем случае plasma, sddm, sudo, dhcp и прочее)
• настроить загрузчик и fstab
• добавить пользователей

на остальное я забиваю и по мере необходимости настраиваю из уютных кед. когда уже точно знаешь что тебе нужно, то установка занимает +- 5 минут с минимальным нахождением в консоли. понимание придет после нескольких установок. всю эту портянку заучивать не надо.

ну и в vconsole.conf

KEYMAP=ruwin_alt_sh-UTF-8
FONT=cyr-sun16

Есть официальная вики. Все остальные инструкции - шлак.

Как конспект выглядит очень даже неплохо, но

1. у опытных пользователей нет времени ревьюить технические тексты

2. archwiki будет поддерживаться долгие десятилетия, а все остальные инструкции неизбежно устареют.

3. Linux — это очень распределённая экосистема. Ты не можешь элегантно покрыть все её аспекты одновременно. Хочешь создать гайд — выбери конкретную цель, аудиторию и убери всё что мешает.

Пишу для себя.

А зачем тебе btrfs?

выглядит как минимальный набор шагов для настройки (или восстановления ОС).
Можно распечатать и использовать без доступа в интернет и к wiki.

без доступа в интернет

Для таких случаев есть пакет arch-wiki-docs

Здравствуйте. Насколько мне известно,Btrfs оптимизирована для работы с SSD, она меньше расходует ресурс накопителя и обеспечивает более высокую скорость передачи данных по сравнению с ext4. Поправьте меня, если я ошибаюсь.

Особой разницы в производительности нет.

Забыл про настройку шифрования, перевод initramfs на systemd, настройку secure boot, шифрование на tpm2. Это минимальный джентльменский набор, имхо, без него пользоваться ноутбуком некомфортно.

без него пользоваться ноутбуком некомфортно

Не заметил дискомфорта. Если откинуть аспект безопасности, а он не для всех важен, то в чем это выражается?

Btrfs оптимизирована для работы с SSD, она меньше расходует ресурс накопителя

Это вранье, не знаю откуда ты это взял. Оптимизирована для работы с SSD f2fs, вот она меньше расходует ресурса накопителя чем даже ext4 и намного меньше чем Btrfs.

Инструкция слишком большая, поэтому файл с ней залил на гугл диск

Для таких инструкций больше подходит AsciiDoctor.

• Несколько файлов для разделов: https://docs.asciidoctor.org/asciidoc/latest/directives/include/
• Легко выделить куски кода: https://docs.asciidoctor.org/asciidoc/latest/verbatim/source-blocks/
• Можно добавить пояснения к коду: https://docs.asciidoctor.org/asciidoc/latest/verbatim/callouts/
• Хранить на GitHub
• Публиковать на GitHub Pages.

Без шифрования данных любой воришка, укравший твой ноутбук, легко получает доступ ко всему, что у тебя было. Это просто неприемлемо ни для кого.

Без Secure Boot и TPM придётся вводить пароль при каждой загрузке для расшифровки диска. Это приемлемо, но неудобно.

Разве ТС где-то упоминал про ноутбук?

Если не рассматривать сценарий с кражей девайса, то зачем отказываться от возможности подключить SSD к любому ПК с Linux и прочитать данные?

Без шифрования данных любой воришка, укравший твой ноутбук, легко получает доступ ко всему

Я же уточнил, что без аспекта безопасности. Я так и подумал, что шифрование, это скорее необходимость, а не удобство (комфорт).

И часто у тебя крадут ноутбуки?

Сейчас 90% компьютеров это ноутбуки.

Если не рассматривать, то, конечно, шифрование несёт только проблемы. Без него проще.

Поправьте меня, если я ошибаюсь.

SSD уже давно всё-равно на перезаписи, это было актуально где-то лет 10 назад. Btrfs по производительности медленнее Ext4, если у тебя не райд, то единственные её плюшки - компрессия (не особо заметно), дедупликация (не особо заметно), снапшоты - тут дело вкуса, ниразу не понадобилось. Ну и самое критичное - в случае её «рассыпания» - сложнее восстанавливать.

перевод initramfs на systemd

это что и для чего?

https://wiki.archlinux.org/title/Mkinitcpio

It is important to note that there are two distinct approaches how the various tasks during initial ramdisk phase are performed:

Busybox based initial ramdisk

An init script is started that in turn scans the filesystem of the initial ramdisk for scripts to be executed (here in this context called runtime hooks).

systemd based initial ramdisk

systemd is already started at the beginning of the initial ramdisk phase. The tasks to be executed are determined by regular systemd unit files. See systemd bootup process.

The concrete variant is determined by the absence or presence of the systemd hook in the HOOKS array of /etc/mkinitcpio.conf. See #Common hooks for more details.

Для чего - не знаю, но я считаю, что всё становится лучше с systemd. Раз такой вариант есть, значит надо его использовать.

я тут просто еще вот че нашел:

https://wiki.archlinux.org/title/Arch_boot_process#Running_without_initramfs

прям новое-новое получается.

Понял вас. А что можете сказать насчет F2FS ?

Понял вас. А что можете сказать насчет F2FS ?

Тут увы, не интересовался и не бенчил.

Сейчас 90% компьютеров это ноутбуки.

спорно. Как минимум из-за стоимости, ноутбук массовым быть не может.
Но вернемся к сценарию кражи (или утери): почему не ограничиться зашифрованным разделом (или файлом подключаемым через loop) под приватные данные?

Без Secure Boot и TPM придётся вводить пароль при каждой загрузке для расшифровки диска.

вот тут не совсем понял. Имеется в виду, что достаточно будет пароля пользователя (и далее данные для расшифровки будут извлечены из TPM)?

прям новое-новое получается.

Всегда ж было.

Для примера

Сборка ядра без initramfs с hibernate.

P.S. Посмотрел, что написано по ссылке. Получается, что для обычного ядра, а не самосборного. Ладно, не буду стирать.

1)Secure Boot не помогает загружаться без пароля от шифрования.

2)TPM решето (как, в прочем, и Secure Boot в обычной реализации). Если пользователь один, то лучше сделать автоматический вход в него и оставить пароль от шифрования.

А какие плюсы дает ruwin_alt_sh-UTF-8 в отличие от ru ?

это просто способ переключения. alt-shift, вместо ctrl-shift.

дело привычки.

Но вернемся к сценарию кражи (или утери): почему не ограничиться зашифрованным разделом (или файлом подключаемым через loop) под приватные данные?

Можно и так, но проще шифровать корень и не думать про то, что там зашифровано, а что нет.

Без Secure Boot и TPM придётся вводить пароль при каждой загрузке для расшифровки диска.

вот тут не совсем понял. Имеется в виду, что достаточно будет пароля пользователя (и далее данные для расшифровки будут извлечены из TPM)?

Нет, никакого пароля не надо, данные для расшифровки будут извлечены из TPM. Это работает только если Firmware (BIOS), Loader, Kernel, Initrd не изменились (ну у меня так настроено, можно настроить по-разному). Если я обновил ядро, к примеру, то я знаю, что при следующей загрузке надо будет ввести пароль и потом обновить LUKS-slot. А если я ничего не обновлял и увидел этот запрос, значит что-то тут не так. Хотя атаки из категории «коварная домработница» я для себя исключаю, не того масштаба я персона, но, тем не менее, защита от таких атак есть.

Можно и так, но проще шифровать корень и не думать про то, что там зашифровано, а что нет.

диагностика будет сложнее. Проблемы загрузки и проблемы шифрования даже не складываются, а перемножаются.

Нет, никакого пароля не надо, данные для расшифровки будут извлечены из TPM. Это работает только если Firmware (BIOS), Loader, Kernel, Initrd не изменились (ну у меня так настроено, можно настроить по-разному).

я это и имел в виду: kernel подписан, поэтому задача ограничения доступа к зашифрованному контенту переложена на ОС.

Здравствуйте. Насколько мне известно,Btrfs оптимизирована для работы с SSD, она меньше расходует ресурс накопителя и обеспечивает более высокую скорость передачи данных по сравнению с ext4.

А еще отлично ломается и теряет данные. Здесь масса кулстори, поищи.

Дрочилово какое-то

Я кстати ни разу не настраивал console.conf

Нет, никакого пароля не надо, данные для расшифровки будут извлечены из TPM.

Ну то есть если что-то понадобиться из твоего ноута отковырять - отковыряют.

а от чего твоя схема защитит? шифрование нужно чтобы при обыске в личные документы не залезли… только дебил правоохранительным органам доверять будет, что они чего на диск не подкинут или деньги со счетов, кошельков себе не присвоят

ну значит не пользуешься tty. либо по другому настраиваешь.

Или не отковыряют.

Я в итоге отказался от btrfs в сторону ext4.

(Если нужен swap для гибернации, убедитесь, что его размер ≥ объёма RAM.)

Это неверная оценка размера swap ;-)
Пусть и не вызывающая проблем, кроме возможно лишнего места под swap.

Хорошо, я это учту.Спасибо.

учти еще что

Команда 1: sudo useradd -mG realtime,wheel - создаёт нового пользователя в системе с домашней директорией и добавляет его в группы realtime и wheel.

можно сделать в chroot сразу после установки, до первой перезагрузки; и группа wheel в sudoers закомментирована.

не пытайся составлять идеальную портянку. у тебя в принципе достаточно информации. просто ставь в виртуалку и эксперементируй.

Пользуюсь, не настраиваю.

тогда каким образом ты видишь кириллицу?

Никаким, и не только кириллицу.
Я в компьютерах не использую нигде языки отличные от Американского.

С телефона пишешь, получается.

этот файл же только на консоль влияет. В браузере и DE и без этого кириллица настраивается, будет

Я уже переместил создание пользователя до первой перезагрузки и разкомментировал группу wheel в файле sudoers. Сейчас экспериментирую на виртуалке.