Seminar Arch Linux Intensiv

Lernziele gesamt

• Reproduzierbare Arch‑Installation mit LUKS und Btrfs/Ext4.
• Betriebssichere Administration mit systemd, pacman, Snapshots und Backups.
• Paketbau mit PKGBUILD, Signierung und lokalem Repository.
• Härtungs‑Baseline inkl. Secure‑Boot, SSH‑Baseline, nftables, AppArmor und Audit.
• Bereitstellung gängiger Serverrollen inkl. TLS, VPN, Datenbank und Container.

Gesamtagenda

Inhaltsverzeichnis dieses Kapitels

• Tag 1 Grundlagen & Installation
• Tag 2 Administration & Systempflege
• Tag 3 Pacman, AUR & PKGBUILD
• Tag 4 Security & Hardening
• Tag 5 Serverdienste & Netzwerk

Tag 1
Philosophie, Repos, pacman‑Basics, UEFI/GPT, LUKS, Btrfs/Ext4, pacstrap, Bootloader, Netzwerk, Post‑Install, Recovery‑Zugänge.

Tag 2
systemd‑Units/Timer, pacman‑Hooks, Kernel‑ und Initramfs‑Pflege, Snapshots und Backups, Logging/Monitoring, Downgrade/Recovery.

Tag 3
ALPM/makepkg, PKGBUILD‑Struktur, Tests, Signierung, lokales Repo, AUR‑Workflows, Service‑Pakete und Hooks.

Tag 4
Secure‑Boot mit sbctl, SSH‑Baseline, nftables‑Baseline, AppArmor‑Profile, Audit‑Trails.

Tag 5
NGINX+TLS, PostgreSQL, WireGuard‑VPN, Container mit Podman rootless, Metriken und Log‑Weiterleitung.

Tag 1 – Arch Linux Grundlagen & Installation

Inhaltsverzeichnis dieses Kapitels

• Module
• Step‑by‑Step‑Labs
• Checkliste Installation

Module
Distribution und Repos, pacman‑Grundlagen, Firmware/UEFI, Partitions‑ und Verschlüsselungsdesign, Dateisysteme, Basissystem, Boot, Netzwerk, Post‑Install.

Step‑by‑Step‑Labs

• Lab 1: UEFI‑Modus und Datenträger vorbereiten
  1. Firmware‑Modus prüfen: cat /sys/firmware/efi/fw_platform_size.
  2. Ziel‑Disk identifizieren: lsblk -o NAME,SIZE,TYPE,MOUNTPOINT.
  3. GPT anlegen, Partitionen erstellen (ESP, Root, optional Home).
  4. Optional LUKS initialisieren: cryptsetup luksFormat /dev/nvme0n1p2.
  5. LUKS öffnen: cryptsetup open /dev/nvme0n1p2 cryptroot.
• Lab 2: Dateisysteme und Mounts
  1. Btrfs auf cryptroot oder Root‑Partition: mkfs.btrfs /dev/mapper/cryptroot.
  2. Subvolumes anlegen: @, @home, @log, @snapshots.
  3. Subvolumes mounten mit sinnvollen Optionen (noatime, compress=zstd).
  4. ESP als FAT32 formatieren und mounten.
• Lab 3: Basissystem installieren
  1. Mirrors aktualisieren.
  2. Basispakete: pacstrap -K /mnt base linux linux-firmware.
  3. Fstab: genfstab -U /mnt >> /mnt/etc/fstab.
  4. Wechsel in Chroot: arch-chroot /mnt.
• Lab 4: Systemkonfiguration
  1. Locale, Zeitzone, Hostname, hosts setzen.
  2. Root‑Passwort, Admin‑Benutzer, sudo konfigurieren.
  3. Netz: NetworkManager oder systemd‑networkd aktivieren.
  4. Zeitsync aktivieren.
• Lab 5: Boot‑Pfad
  1. Microcode installieren.
  2. Initramfs (mkinitcpio oder dracut) konfigurieren und erzeugen.
  3. Bootloader wählen: systemd‑boot initialisieren oder GRUB installieren.
  4. Kernel‑Einträge prüfen, LUKS‑Parameter setzen, Test‑Boot.
• Lab 6: Post‑Install und Recovery
  1. Journal‑Persistenz aktivieren.
  2. SSH installieren und absichern.
  3. Rettungszugang dokumentieren (Live‑ISO, Chroot‑Vorgehen).

Checkliste Installation
Firmware‑Modus, Partitionsplan, LUKS‑Status, Subvolumes, Fstab, Boot‑Einträge, Netz, Zeitsync, SSH, Journal.

Tag 2 – Administration & Systempflege

Inhaltsverzeichnis dieses Kapitels

• Module
• Step‑by‑Step‑Labs
• Betriebscheckliste

Module
systemd‑Einheiten und Timer, pacman‑Profi‑Praxis, Kernel/Initramfs, Btrfs‑Snapshots, Backups, Monitoring/Logging, Recovery.

Step‑by‑Step‑Labs

• Lab 1: Eigene systemd‑Services und Timer
  1. Unit‑Skeleton unter /etc/systemd/system/ anlegen.
  2. Abhängigkeiten und Restart‑Strategie definieren.
  3. Timer für Wartungstask erstellen und aktivieren.
  4. Debug mit systemd-analyze und journalctl -u.
• Lab 2: pacman‑Hooks und Cache‑Pflege
  1. Hook für Initramfs‑Rebuild anlegen.
  2. Hook für Service‑Restart bei Paketupdate erstellen.
  3. Cache‑Strategie und Spiegelserver‑Tuning umsetzen.
• Lab 3: Kernel‑Management
  1. LTS‑Kernel installieren, Boot‑Eintrag hinzufügen.
  2. Fallback‑Initramfs validieren.
  3. Microcode‑Update testen.
• Lab 4: Snapshots und Backups
  1. Snapper‑Konfigurationen für / und /home anlegen.
  2. Timeline aktivieren, Quotas setzen.
  3. Borg oder Restic initialisieren, Backup‑Timer erstellen.
  4. Restore‑Probe durchführen.
• Lab 5: Downgrade und Recovery
  1. Paket aus /var/cache/pacman/pkg gezielt downgraden.
  2. Chroot‑Reparatur eines nicht bootenden Systems üben.

Betriebscheckliste
Update‑Fenster, Snapshot/Backup‑Status, Journal‑Rotation, Timer‑Health, Kernel‑Fallback.

Tag 3 – Pacman, AUR & Packaging mit PKGBUILD

Inhaltsverzeichnis dieses Kapitels

• Module
• Step‑by‑Step‑Labs
• Qualitätskriterien Packaging

Module
ALPM/makepkg, PKGBUILD‑Syntax, Tests, Signierung, lokales Repo, AUR‑Workflows, Service‑Pakete und Hooks.

Step‑by‑Step‑Labs

• Lab 1: Erstes PKGBUILD
  1. Skeleton anlegen, pkgname, pkgver, source, sha256sums definieren.
  2. prepare(), build(), package() implementieren.
  3. Build und Installation: makepkg -si.
• Lab 2: Tests, Patches, Versionierung
  1. Patch in prepare() anwenden.
  2. Tests in check() integrieren.
  3. pkgver() für VCS‑Quellen implementieren.
• Lab 3: Signierung und lokales Repository
  1. GPG‑Key erstellen und vertrauen.
  2. makepkg --sign verwenden.
  3. Repo erzeugen: repo-add.
  4. pacman.conf um lokales Repo erweitern.
• Lab 4: Service‑Paket mit Hooks
  1. Systemd‑Unit beilegen.
  2. pacman‑Hook für Neustart nach Update erstellen.
  3. Upgrade‑Pfad testen.
• Lab 5: AUR‑Workflow
  1. PKGBUILD‑Review gegen Richtlinien durchführen.
  2. Build in sauberer Umgebung wiederholen.
  3. Update‑Prozess dokumentieren.

Qualitätskriterien Packaging
Reproduzierbarkeit, Validierte Checksums, Saubere Abhängigkeiten, Signierte Artefakte, Rollback‑Pfad.

Tag 4 – Security & Hardening

Inhaltsverzeichnis dieses Kapitels

• Module
• Step‑by‑Step‑Labs
• Härtungs‑Baseline

Module
Secure‑Boot, SSH‑Baseline, nftables‑Firewall, AppArmor, Audit‑Trails.

Step‑by‑Step‑Labs

• Lab 1: Secure‑Boot mit sbctl
  1. Firmware‑Status prüfen, Secure‑Boot aktivieren.
  2. Eigene Schlüssel generieren und verwalten.
  3. Unified Kernel Image signieren und einbinden.
  4. Boot verifizieren, Unsigned‑Block testen.
• Lab 2: SSH‑Härtung
  1. Root‑Login deaktivieren, Key‑Authentifizierung erzwingen.
  2. Starke Kex/Cipher setzen.
  3. Rate‑Limiting und Fail2ban‑Jail einrichten.
  4. Notfallzugang dokumentieren.
• Lab 3: nftables‑Baseline
  1. Policies und Named‑Sets definieren.
  2. Service‑abhängige Regeln erstellen.
  3. Persistenz und Reload testen.
• Lab 4: AppArmor und Audit
  1. AppArmor aktivieren, Profile zuweisen.
  2. complain/enforce‑Modi testen.
  3. Audit‑Regeln definieren, Analyse mit ausearch.

Härtungs‑Baseline
Secure‑Boot aktiv, SSH‑Baseline, Minimal‑Dienste, definierte Firewall‑Regeln, MAC‑Profile, Audit‑Regeln, wiederholbare Prüfung.

Tag 5 – Serverdienste & Netzwerk

Inhaltsverzeichnis dieses Kapitels

• Module
• Step‑by‑Step‑Labs
• Betriebschecklisten pro Rolle

Module
Web‑Stack, TLS‑Bereitstellung, Datenbank, VPN, Container, Metriken und Logs.

Step‑by‑Step‑Labs

• Lab 1: NGINX mit TLS
  1. NGINX installieren, vHost anlegen.
  2. ACME‑Client konfigurieren, Zertifikate beziehen.
  3. Automatische Erneuerung per systemd‑Timer.
  4. HTTP zu HTTPS umleiten, HSTS setzen.
• Lab 2: PostgreSQL
  1. Datenbank initialisieren.
  2. Auth‑Methoden und Rollen definieren.
  3. Dump‑Backup und Restore testen.
  4. Wartungstimer einrichten.
• Lab 3: WireGuard‑Server
  1. Schlüssel erzeugen, wg0 konfigurieren.
  2. IP‑Forwarding aktivieren, nftables‑Regeln setzen.
  3. Peer anbinden, Durchsatz testen.
• Lab 4: Container‑Dienst mit Podman rootless
  1. Podman installieren, rootless User einrichten.
  2. Compose‑ähnliche Definition anwenden, Service starten.
  3. Healthcheck und Logzugriff prüfen.
• Lab 5: Monitoring und Log‑Weiterleitung
  1. Systemmetriken bereitstellen.
  2. Journal‑Forwarding konfigurieren.
  3. Alarme definieren und testen.