Erstinstallation - Verständnisfragen

[rola621]

Hallo!

Stehe nun kurz vor der Erstinstallation von Debian Buster, und möchte es mir von Grund auf einrichten.

Hierzu habe ich gewählt: https://cdimage.debian.org/cdimage/unof ... 64/iso-cd/

Bin jetzt bei der Installation an dem Punkt, an dem der Rechnername und ggf. root-Passwort vergeben wird.

Ich möchte jetzt nicht den Hundertsten Thread zum Thema sudo vs su anstoßen, jedoch nach Lesen vieler Threads zu dem Thema möchte ich einfach sichergehen, dass ich es richtig verstehe.

So wie es hier erklärt wird: viewtopic.php?t=174146
habe ich jetzt zwei Optionen:

kein root-Passwort bei Installation vergeben
- dann müsste ich mir bei allen Anleitungen und Empfehlungen im Netz, die sudo vorne dranhaben, in einem extra Terminalfenster mit

Code: Alles auswählen

su

erstmal dieses komplett auf Root setzen, sodass alles weitere dort mit root-Rechten abläuft
- weiters müsste ich mir dann bei "sudo-Anleitungen" das sudo vorne dran dann ersparen, da ich ja dem ganzen Terminalfenster sozusagen schon root-rechte verpasst habe

root-Passwort vergeben
- dies würde ich dann, da nur ich den Rechner nutze, identisch zu dem Passwort meines Nutzers wählen
- somit gäbe es dann "sudo" so wie ich es von Ubuntu kenne, einfach nichtmehr sofern ich es nicht nachträglich aktiviere
- das würde dann auch bedeuten, dass ich nichtmehr "befehlsspezifisch" root-rechte via sudo erhalte, sondern einfach bevor ich etwas am System verändern möchte, im entsprechenden Terminalfenster einmal

Code: Alles auswählen

su

ausführe und dann als root tue, was ich tun muss.

Sollte ich alles soweit richtig verstanden haben:
Mir sind beide Varianten gleich sympathisch. Die sudo-Variante, weil ich einfach befehlsspezifisch entscheiden kann, und nicht "vergessen" kann, dass ich ja gerade als root unterwegs bin.(was aber ohnehin sehr unwahrscheinlich ist)
Die su-Variante auch deshalb, weil es vielleicht auch bequemer ist, und sudo in der debian-Welt so wie ich es verstehe eher als "Ubuntu-Macke" angesehen wird, und daher wahrscheinlich auch Hilfestellungen von euch immer ohne sudo kommen werden.

Wenn ich also jetzt intuitiv root-Passwort und mein Nutzerpasswort identisch setze spare ich mir das sudo Ding und kann loslegen, oder?
Oder untergrabe ich dann in irgendeiner Art und Weise einen Sicherheitsaspekt und baue mir damit dann eine "eigene Sicherheitslücke"?

Zur Info:
Nur ich nutze den Rechner, es gibt keine mehreren User.

[mcb]

- lässt du das root passwd leer bekommt dein user sudo Rechte
- vergibst du ein root passwd nimmst du su (su -) zum Administrieren

Geht beides und ist Geschmackssache ... hoffe werde jetzt nicht gesteinigt ...

[rola621]

okay, da es ja scheinbar echt egal zu sein scheint, entscheide ich mich nach dem letzten Beitrag auf der ersten Seite dieses Threads: viewtopic.php?t=132712
für die sudo-Variante, werde also kein root-Passwort im Zuge der Installation vergeben.

[Swirlich]

@rola621 der von dir verlinkte Faden ist von 2011 - das ist selbst für Debian alt.
Das ist jetzt nicht als Pro/Contra sudo zu verstehen.

@mcb

Geht beides und ist Geschmackssache

nein, ist es nicht.

[rola621]

nein, ist es nicht.

Wie sollte man es Deiner Ansicht nach tun, und weshalb?

[rola621]

Ich möchte eine Vollverschlüsselung durchführen und gehe dabei nach folgender Anleitung vor:
https://curius.de/schwerpunkte/verschlu ... einrichten

momentan sieht es folgendermaßen aus:


(bei allen Partitionen ist 5% Reservierte Blöcke ausgewählt, was ich nach Lesen dieses Artikelshttps://www.dinotools.de/2015/11/01/roo ... -anpassen/ auch sicherheitshalber so lassen werde)

Nächster Schritt ist jetz die Konfiguration als verschlüsselte Datenträger..

[mcb]

Ich möchte eine Vollverschlüsselung durchführen und gehe dabei nach folgender Anleitung vor:
https://curius.de/schwerpunkte/verschlu ... einrichten

momentan sieht es folgendermaßen aus:


(bei allen Partitionen ist 5% Reservierte Blöcke ausgewählt, was ich nach Lesen dieses Artikelshttps://www.dinotools.de/2015/11/01/roo ... -anpassen/ auch sicherheitshalber so lassen werde)

Nächster Schritt ist jetz die Konfiguration als verschlüsselte Datenträger..

Ich kann da kein Crypto device finden - Sorry

Die Anleitung ist "gut" - Windows wegdenken /boot /EFI brauchst du unencrypted ->

https://ertugrulharman.com/en/2017/09/0 ... ncryption/

- 5% Reserve ?!? - ich habe es bei den Voreinstellungen belassen.

Beispiel:

Code: Alles auswählen

nvme0n1             259:0    0 476.9G  0 disk  
├─nvme0n1p1         259:1    0 119.5G  0 part  /data
├─nvme0n1p2         259:2    0   477M  0 part  /boot/efi
├─nvme0n1p5         259:3    0   954M  0 part  /boot
└─nvme0n1p6         259:4    0   356G  0 part  
  └─nvme0n1p6_crypt 254:0    0   356G  0 crypt 
    ├─VG-root       254:1    0  33.7G  0 lvm   /
    ├─VG-swap       254:2    0   9.5G  0 lvm   [SWAP]
    └─VG-home       254:3    0 312.7G  0 lvm   

[rola621]

lieber mcb, herzlichen Dank für deine Antwort.
Erst war ich verwirrt, aber nachdem ich meine verlinkte Anleitung nochmal gelesen habe, und anschließend nochmal die von dir verlinkte auf Englisch, ist mir ein Lichtlein aufgegangen, und ich musste alles wieder rückgangig machen, mit gParted alles nochmal Plattmachen etc., aber ja aus Fehlern lernt man, oder?

Habe die Partitionierung und Vollverschlüsselung (glaube ich zumindest) jetzt erfolgreich hinter mich gebracht und es sah vor der Installation so aus:


Wurde jetzt erfolgreich installiert, habe mich jetzt doch auch für ne Swap entschieden, die paar GB hin oder her, seis drum.
Meine Vorgehensweise bisher war wie folgt:

Dokumentation für mich, weil ich es so am besten in ein paar Jahren auch noch verstehen kann:
(direkt aus meinem Wiki kopiert, leider ohne Formatierung)

Code: Alles auswählen

Installationsprozess
--------------------

* vom USB Stick booten, "Graphical Installer" wählen
* Sprache: Deutsch
* Standort: Deutschland
* Tastatur: Deutsch
* Netzwerk einrichten (individuell unterschiedlich):
→ Router auswählen, konfigurieren
→ Rechnername: z.B. debian
→ Domain-Name: leerlassen

* Benutzer und Passwörter einrichten:
→ Root-Passwort freilassen: Es können im System nur Befehlsindividuell root-rechte via sudo vor dem Befehl vergeben werden.
→ Root-Passwort vergeben: sudo wird nicht aktiviert, und es können via su dann ganze Terminalfenster zu root gemacht werden.
(ist Geschmackssache, ich entscheide mich zunächst für die sudo Variante)

→ Vollständiger Name des neuen Benutzers: z.B. debian
→ Benutzername für Ihr Konto: z.B. debian
→ Passwort für neuen Benutzer vergeben

* Partitionierung (manuell)
### wenn Vollverschlüsselung gewünscht

* alle Festplatten erstmal plattmachen, also vorhandene Partitionen löschen (sodass nur noch freier Speicherplatz übrig ist)
* auf gewünschter Systemplatte zunächst nur die Partitionen anlegen, die unverschlüsselt bleiben sollen:
(Bei EFI-Systemen: /boot & EFI-System-Partition bleiben unverschlüsselt. Bei BIOS/CSM: nur /boot unverschlüsselt)
1. EFI Systempartition 200MB | EFI-System-Partition
2. Boot-Partition (500MB | ext4 | Einhängepunkt: /boot)

dann:
* verschlüsselte Datenträger konfigurieren (davor müssen die eben erstellten Partitionen geschrieben, hierfür mit "Ja" bestätigen)
→ verschlüsselte Datenträger erzeugen → nur freien Speicher der Festplatte(n) auswählen, wo dann noch die weiteren (verschlüsselten) Partitionen draufsollen (ESP und /boot bleiben unverschlüsselt!)
→ im weiteren Dialog keine Namen vergeben, einfach bestätigen und Änderungen schreiben → freier Speicherplatz wird somit verschlüsselt
→ Fertigstellen
→ sofern keine sensiblen Daten auf den Platten: bei jeder Partition das Überschreiben mit zufälligen Daten mit Nein beantworten (kann lang dauern, kann optional auch gemacht werden...)
→ Verschlüsselungsphrase der verschlüsselten Partitionen festlegen (=Passwort → wenn das vergessen wird, sind die Daten weg, also gut überlegen)
→ Änderungen werden angewandt, kurz warten


zurück im Hauptfenster muss man jetzt noch den LVM (Logical Volume Manager) konfigurieren
→ bisherige Änderungen auf die Speichergeräte schreiben und LVM einrichten? Ja.

verschlüsselte Systemplatte einteilen
→ Volume-Gruppe erstellen → Name der Volume-Gruppe: z.B. LUKS_LVM_SYSTEM → Systemfestplatte auswählen → Änderungen schreiben
→ neues logisches Volume erstellen → Name: root → Größe: 20-50GB
→ neues logisches Volume erstellen → Name: home → Größe: Rest abzüglich RAM-Größe (freilassen für swap)
→ neues logisches Volume erstellen → Name: swap → Größe: =Rest (sollte dann in etwa so groß wie der RAM sein)

verschlüsselte Datenplatte einteilen
→ Volume-Gruppe erstellen → Name der Volume-Gruppe: z.B. LUKS_LVM_DATEN → Datenfestplatte auswählen → Änderungen schreiben
→ neues logisches Volume erstellen → Name: DATEN → Größe: max.
→ Doppelklick auf Fertigstellen

fast fertig! → zurück im Hauptfenster müssen jetzt noch die erstellten verschlüsselten Partitionen doppelgeklickt werden, und jeweils //Verwendungszweck sowie Einhänge-/mount-Punkt zugewiesen werden://

→ LV DATEN → benutzen als: ext4 → Einbindungspunkt: von Hand angeben → /media/DATEN → Name: DATEN
→ LV home → benutzen als: ext4 → Einbindungspunkt: /home → Name: /home
→ LV root → benutzen als: ext4 → Einbindungspunkt: / Name: /
→ LV swap → benutzen als: Auslagerungsspeicher (swap)

stimmt alles? → Partitionierung beenden und Änderungen übernehmen → Basisinstallation wird durchgeführt

Jetzt geht es weiter mit "Paketmanager konfigurieren"

[rola621]

Also, soweit ich das jetzt beurteilen kann, sieht es super aus, Debian bootet problemlos und zügig.
Mein Gefühl sagt mir, es war die richtigste Entscheidung die ich nur hätte treffen können. Danke!

EDIT: Der Übersichtlichkeit halber, stelle ich innerhalb dieses Threads jetzt wirklich nur die Fragen, die sich auf das, was ich im Verlauf dieses Threads und der Erstinstallation getan und eingerichtet habe, beziehen
(Danke an Kalle für den Hinweis, habe in meinem Wahn gestern hier einfach mal drauf los gefragt.)


Minimalinstallation
Ich habe ja die folgende .iso installiert: https://cdimage.debian.org/cdimage/unof ... 64/iso-cd/ und im letzten Installationsschritt bei Softwareauswahl "Standard-Systemwerkzeuge" ausgewählt.

Jetzt ist bei mir folgendes z.B. schon da:
Firefox ESR, LibreOffice, Ristretto Bildbetrachter etc. installiert.
Wäre das nicht der Fall, wenn ich die Standard-Sysemwerkzeuge nicht angehakt hätte? Was wäre dann installiert gewesen zu Beginn? (nur interessehalber, dann könnte ich das ggf. bei der nächsten Installation aufm Desktop PC entsprechend anders machen).


Berechtigungen & Co.
Bei Ubuntu würde ich jetzt zu Beginn zunächst mal die Berechtigung für meine DATEN-Partition ändern:

Code: Alles auswählen

sudo chown -c $USER /media/DATEN

Sollte ich sonst noch etwas beachten, oder müssen noch gewisse Befehle ausgeführt werden, um Rechte-mäßig "normal" mit sudo-Kommandos agieren zu können?


Das sollte es jetzt erstmal gewesen sein..

Entschuldigt bitte die vielen Fragen, habe es versucht so strukturiert wie möglich zu halten.
Ich brauche jetzt nach einem Tag voller Grübeleien und abenteuerlichen fehlerbehafteten Ausflügen in die Welt der Partitionierung erstmal einige Stunden Schlaf, Sport, und muss morgen einen Arbeitstag hinter mich bringen.
Dann werde ich mich meinem neuen kleinen Debian-Projekt weiter widmen.
Ich bin froh, diese Entscheidung getroffen zu haben, und hoffe, zumindest bis jetzt schonmal nicht allzuviel versemmelt zu haben

Eine gute Nacht und danke im Voraus für jede Art von konstruktiver Beteiligung

[kalle123]

Snapshots, notwendig?
Habe in einem Tutorial gesehen, dass da teilweise mit "timeshift" und "Snapper" gearbeitet wird, um während der Einrichtung des Systems + DE ggf. wieder an einen früheren Punkt zurückspringen zu können. Habt ihr damit Erfahrung, und funktioniert das ohne Probleme? Wenn empfehlenswert, welches Tool würdet ihr wählen?

Hab Timeshift installiert und aktiviert für das System und mache den Backup meiner Daten mit grsync.

Und gut isses.

cu KH

PS. So ein Konglomerat von Fragen macht das hier nicht gerade übersichtlich.

Eine Frage, ein Problem, ein posting macht es einfacher ......

[JTH]

Firefox ESR, LibreOffice, Ristretto Bildbetrachter etc. installiert.
Wäre das nicht der Fall, wenn ich die Standard-Sysemwerkzeuge nicht angehakt hätte? Was wäre dann installiert gewesen zu Beginn?

Nein, Firefox und Co. sind nicht die Anwendungen, die damit gemeint sind. Die Standard-Sysemwerkzeuge sind einige oft benutzte Kommandozeilenwerkzeuge und ähnliches. Wenn du nicht weißt was genau dahinter steckt, würd ich dir empfehlen, sie immer mit zu installieren.

Den Browser etc. hast du wahrscheinlich durch die Installation eines Desktops bekommen, die werden da häufig als Abhängigkeit mitinstalliert. Wenn man das nicht möchte, muss man je nach gewähltem Desktop ein anderes Paket (z.B. gibt es gnome-core) oder den Desktop in einzelnen Pakete installieren.

Welche Werkzeuge hinter „Standard-Sysemwerkzeuge“ genau stecken, kannst du z.B. so herausfinden:

Code: Alles auswählen

dpkg-query -f'${Package} ${Priority}\n' -W '*' | awk '$2=="standard" {print $1}'

(Fällt jemandem etwas kürzeres und ohne aptitude immer verfügbares dafür ein?)

[mcb]

Moin -

ja deine Notizen sind "richtig"

- sudo / root ja / nein usw. könnte man auch jetzt im laufendem System noch ändern - aber ich denke wenn du gut mit sudo klar kommst ist das o.k...

Verschlüsselung kannst du dir z.B. mit lsblk im Terminal anschauen:

Code: Alles auswählen

marc@mb:~$ lsblk
NAME                MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
mmcblk0             179:0    0 183.3G  0 disk  
└─mmcblk0p1         179:1    0 183.3G  0 part  /media/Card
nvme0n1             259:0    0 476.9G  0 disk  
├─nvme0n1p1         259:1    0 119.5G  0 part  /data
├─nvme0n1p2         259:2    0   477M  0 part  /boot/efi
├─nvme0n1p5         259:3    0   954M  0 part  /boot
└─nvme0n1p6         259:4    0   356G  0 part  
  └─nvme0n1p6_crypt 254:0    0   356G  0 crypt 
    ├─VG-root       254:1    0  33.7G  0 lvm   /
    ├─VG-swap       254:2    0   9.5G  0 lvm   [SWAP]
    └─VG-home       254:3    0 312.7G  0 lvm   /run/timeshift/backup
marc@mb:~$ 

Dann siehst du die Verschachtelung.


tlp ist für ein Thinkpad noch ganz cool. Vorzugsweise aus den backports Sonst steinigt dich linnrunner bei Spportanfragen.

https://linrunner.de/tlp/settings/index.html

Es ist kein Zwang Voreinstellungen gleich zu ändern. https://linrunner.de/tlp/installation/debian.html