Eine praxisorientierte Debian-Installationsanleitung

Diese Anleitung ist vor ihrer Erstveröffentlichung schon veraltet.Tja, so kann es gehen. :-) Ich werde sie beizeiten an die Debian v5.0 „Lenny” und/oder v6.0 „Squeeze” anpassen. Das meiste hier gesagte sollte aber ebenfalls für diese Versionen gelten!

Version 0.16 (2009.01.18)

Vorspeise

Ich beziehe mich bei dieser Installationsanleitung auf die Version Debian v4.0r2 „Etch” – meine Hinweise sollten aber für spätere Versionen von Debian v4.0.x „Etch” (1) gelten. Zu Debian 5.0 „Lenny” (2) (testing) werde ich mich beizeiten äußern, da es meiner Erfahrung nach noch nicht für den Produktiveinsatz geeignet ist. Die Community hat den Installer aber so weit modifiziert und aktualisiert, daß separate Hinweise nötig sind.

Zunächst besorgen (3) Sie sich möglichst folgende Zutaten, da sie das Leben als zukünftiger Linux-System-Administrator beträchtlich erleichtern – je mehr sie davon besitzen, desto mehr lässt sich an Ihrem System später ausrichten:

Ich favorisiere die klassische Methode „Ein Betriebssystem pro Festplatte”, da es sonst zu recht skurilen „Schmutzeffekten” kommen kann, wie beispielsweise nicht mehr bootfähige oder „verschwundene” Zweitsysteme. Parallel-Installationen sind zwar möglich, allerdings kann ich diesbezüglich keinerlei verbindliche Hinweise geben.
Auch bin ich kein Freund des Einsatzes des Logical Volume Managers (LVM), da ich der Meinung bin, man sollte sich bereits im Vorfeld eine praxisgerechte Partitionierung überlegen. Vielleicht übertreibe ich mit der Befürchtung, die „Zwischenschicht” LVM könnte zu weiteren Problemen führen. Unabhängig davon gelingt der Umzug auf eine größere Festplatte aber auch mit ein wenig Handarbeit ohne LVM. Doch dazu später mehr ...
Auch weiche ich von der immer wieder publizierten Unsitte ab, das home-Verzeichnis des Hauptbenutzers auf eine eigenständige Partition zu legen. Da ich dringend empfehle, vom laufenden frisch installierten System eine Komplettsicherung in Form eines sog. Images zu erstellen, wäre eine Trennung von System und den vielen sich im home-Verzeichnis befindenden Konfigurations-Dateien ungünstig, da sie somit nicht in der Sicherung mit enthalten währen und z.B. nach einem Systemupdate nicht mehr zum gesicherten System passen würden. Ich empfehle somit, System und Konfiguration auf die gleiche Partition zu legen und die Nutzerdaten auf einer separaten Partition mitsamt einem eigenen Einhängepunkt (z.B. /DATA) strikt vom System zu trennen.
Somit weicht meine Installationsanleitung also in einigen Punkten von den üblicherweise zu findenden ab.

Ihre Festplatte sollte natürlich groß genug sein, hier sind einige „unscharfe” Ratschläge zu den Partitionsgrößene:

Das ergibt somit etwa folgende Partitionierung:

Hauptgericht

Legen Sie nun die erste DVD ins Laufwerk und booten Sie den Rechner neu. Evtl. müssen Sie zunächst ins BIOS gehen (Meistens müssen Sie dazu die F2- oder Entf-Taste drücken – eine entsprechende Meldung erscheint kurz vor dem Start des Boot-Vorgangs. Bei Notebooks kann hier ein anderer Tastendruck nötig sein – entsprechende Hinweise finden Sie bei geschickter Suche möglicherweise im Internet, falls die Meldung nur so kurz erscheint, daß Sie sie nicht lesen können.) Beachten Sie auch, dass manche ältere Rechner nur vom ersten CD-Laufwerk booten können. Somit ist es hilfreich, den Brenner als Slave anzuschließen, damit Sie beim Betrieb des Rechners über eine LiveCD auch brennen können.

Nach kurzer Zeit erscheint der Bootprompt mit dem Debian-Logo. Sie können dem System bereits hier an dieser Stelle wichtige Zusatzinformationen geben (sog. Cheatcodes, im Falle von Knoppix finden Sie eine Auflistung aller „Schummelwerte” im Verzeichnis KNOPPIX auf der CD), was z.B. bei störrischer Hardware hilfreich sein kann. Viele Details finden Sie beim Druck auf die Funktionstasten F1-F10. Weitere Informationen finden sich auch im Debian-Installationshandbuch (16).

Denken Sie bitte auch daran, sämtliche Nicht-USB-Peripheriegeräte einzuschalten, damit die Hardware-Erkennung sie finden kann.

Ein verschlüsseltes System lässt sich derzeit nur über den Text-Installer realisieren. Aber keine Angst: Der heutige Debian-Installer ist sehr komfortabel geworden und lässt sich auch von „Normalsterblichen” bedienen – auch im Text-Modus!

Ich beschreibe hier den Weg um zur komfortablen KDE-Oberfläche zu gelangen.

Am Bootprompt geben Sie folgendes ein: (Achtung: Lassen Sie sich nicht durch die falsche Tastenbelegung aufgrund des noch nicht geladenen Tastatur-Treibers für deutsche Sprachunterstützung irritieren. Nur Mut – Sie finden schon die richtigen Tasten heraus. :-) )

expert tasks="kde-desktop, standard"

Achtung: Die Leerstelle hinter dem Komma ist wichtig! Geht beim anschliessenden Bootvorgang etwas schief und sie sehen auf einmal nichts mehr, übergeben Sie zusätzlich nach den abschliessenden Anführungszeichen

fb=false video=vga16:off

ein. Lesenswert sind auch die Hinweise im offiziellen Installationshandbuch im Kapitel „Häufige Installationsprobleme unter Intel x86” ab S. 48.

Wenn der Bootvorgang klappt, landen Sie im Hauptmenü des Debian-Installers. Nacheinander werden Sie nun durch die hier aufgelisteten Konfigurationsschritte geführt. Im Einzelnen:

Unter „Choose language” wählen Sie die deutsche Sprache aus. Anschliessend bestätigen Sie, dass der Rechner in Deutschland steht. Nun gelangen Sie zum ersten „schwierigen” Punkt, der Auswahl der richtigen Lokalisierungsparameter. Das bedarf einige Worte der Erläuterung. Bisherige Systeme (z.B. Windows) setzen seit einigen Jahren schon auf den Zeichensatz „de_DE@euro”, was bedeutet, dass die Sonderzeichen @ und € implementiert sind. Im Zuge der Internationalisierung geht man aber langsam zur sog. Unicode-Darstellung über, welche zwar teils inkompatibel zu alten Zeichensätzen ist, dafür aber nahezu sämtliche Zeichensätze (kyrillisch, asiatische Sprachen, etc.) darstellbar macht. Somit lassen sich dann erstmals Sonderzeichen in Zeichennamen einsetzen (z.B. auch das Fragezeichen), was nach erfolgreicher Transformation der alten Dateinamensgebung (eine Anleitung dazu folgt weiter unten) recht praktisch ist, aber wiederum zu Problemen beim Brennen von CDs (selbst beim Einsatz der Joliet-Erweiterungf) oder dem Austausch mit anderen Datenträgern (z.B. USB-Sticks mit dem standardmässig eingesetzten FAT-Dateisystem) oder Systemen (Windows) führen kann. Je nach Einsatzzweck überwiegen aber die Vorteile, und ausserdem gibt es Lösungen für diese Problematik, die allerdings alles andere als trivial sind! So kann kann man z.B. die Daten auf dem Quellsystem in ein Archiv einpacken und auf dem Zielsystem wieder auspacken. Ohnehin ist das FAT-Dateisystem für heutige Verhältnisse dermaßen veraltet, dass es sich beim Datenaustausch zwischen Linux-Systemen ohnehin anbietet, den USB-Stick mit einem zeitgemäßen Dateisystem zu formatieren (z.B. ext3), was auch noch andere Vorteile bietet (Zugriffsregelungen und Journalfunktion).
Daten, die von Nicht-UTF-Systemen aufgespielt wurden, können beispielsweise mit dem Kommandozeilentool „convmv” konvertiert werden.
Vor dem Hintergrund, dass Sie sich nicht mehr von Herstellern schlechter Betriebssysteme knechten lassen wollen, wählen Sie sicher wie vorgegeben „de_DE.UTF-8” aus, und sind bereit noch einige leichte Handarbeiten auf sich zu nehmen, um zur „wahren Internationalisierung” zu gelangen. Den Zugriff auf die alten Zeichensätze „de_DE” und „de_DE@euro” wählen Sie im nachfolgenden Fenster jeweils mit der LEERTASTE aus. Weiter geht's mit TAB und ENTER.
Anschliessend wählen Sie die Tastaturbelegung (Anschluss und Sprache) aus, das klappt aber in der Regel gut.
Im nächsten Schritt werden die CD-Laufwerke erkannt und eingebunden. Irritiert es Sie vielleicht, dass der Installer Ihnen das vorsetzt, obwohl er ja von dieser CD gebootet hat? Nun ja, das Einleiten des Bootvorgangs ist eine Sache des BIOS und hat streng genommen nur bedingt etwas mit der CD zu tun. Ausserdem geht es hier darum, die Laufwerke ihren Bezeichnern zuzuordnen, und entsprechende Treiber zu laden, damit beide anschliessend an das zu installierende System übergeben werden können. Sie sollten auch wissen, das die beiden anderen Installations-DVDs später nach Fertigstellung der Grundinstallation ins System eingebunden werden.

Die anschliessende Abwahl nicht benötigter Kernel-Module sollten Sie lieber in der Standardeinstellung belassen oder nur im Problemfall und nach Lektüre entsprechender Fachinformationen ändern. Also TAB, ENTER – und weiter geht's ...
Die anschliessenden PC-Card-Dienste aktivieren Sie nur, wenn Sie entsprechende PCMCIA-Karten haben.
Jetzt wird das Installations-Medium nach den darauf befindlichen Installationspaketen durchsucht. Das dauert einen Moment und das Ergebnis erscheint im nächsten Fenster.
Die gefundenen Installer-Komponenten werden im nächsten Schritt geladen.
Dann kommen wir zur Auswahl optionaler Komponenten, die gar nicht so optional sind. Wichtig von ihnen sind die „crypto-modules”, schaden können nicht „choose-mirror” zur Spiegelserver-Auswahl und „ipv6-modules” für den überfälligen IPv4-IPv6-Transfer. Nach Bedarf implementieren Sie auch den NTFS-Support, den ssh-Support für sicheren Installer-Datenverkehr (Stichwort „man-in-the-middle-Attacke”), die PPP-Unterstützung oder eine rescue shell. Was Ihnen hier nicht klar ist, lassen Sie zunächst lieber weg.
Nun kommt die Erkennung der Netzwerk-Hardware dran und im Erfolgsfall anschliessend die Einrichtung. Beachten Sie, dass moderne Motherboards oft eine eigene Netzwerk-Schnittstelle implementiert haben. Falls Sie eine separate Netzwerkkarte in Ihrem Rechner eingebaut haben oder ihr Router per USB an Ihrem Rechner hängt, achten Sie darauf, dass Sie nicht durcheinander kommen und versehentlich die falsche Schnittstelle auswählen.
Im nächsten Fenster konfigurieren Sie Ihr Netzwerk. Normalerweise verwenden Sie die Standardeinstellung DHCP (Dynamic Host Configuration Protokoll). Sollten Ihnen von Ihrem Administrator oder Provider andere Daten vorliegen, können Sie diese hier eingeben. Den Erfolg Ihrer Bemühungen sehen Sie im nächsten Fenster.
Ihr „Kind” muss einen Namen haben – den bekommt es im nächsten Schritt.
Der Domainname ist für Privatrechner irrelevant oder wird im Netzwerk vom Systemguru zugeteilt.
Falls Sie bei den optionalen Komponenten die Spiegelserver-Auswahl aktiviert haben, kommt sie nun dran. Das Protokoll des Datentransfers wählen Sie hier aus, es mag sein, dass an der anschliessenden Warnung etwas dran ist. Wählen Sie nun Land und Ort des Spiegelservers aus. Die anschliessende Proxy-Konfiguration geben Sie nur an, wenn es notwendig ist.
Jetzt wird's echt spannend, denn nun werden die Festplatte(n) erkannt und partitioniert. Volle Kontrolle haben Sie nur bei der manuellen Partitionsmethode. Sie bekommen nun die Partitionen aufgelistet. Falls Ihre Festplatte nicht leer ist, verlassen Sie das Partitionierungswerkzeug wieder und erledigen dies wie folgt: Drücken Sie gleichzeitig ALT und die Pfeil-nach-rechts-Taste. Aktivieren Sie die Konsole mit der ENTER-Taste. Mit „fdisk -l” können Sie sich die Partitionierung der Festplatte ansehen. Achten Sie darauf, wie die Platte heißt, also z.B. /dev/hda oder /dev/hde. Mit „dd if=/dev/zero of=/dev/hda bs=512 count=1” (oder /dev/hde statt /dev/hda) können Sie die Partitionstabelle löschen.g Mit einem erneuten „fdisk -l” prüfen Sie, ob die Platte wirklich „platt” ist. Wechseln Sie nun per ALT + Links-Taste zurück zum Installer. Öffnen Sie nun erneut das Partionierungswerkzeug und wählen die gewünschte Festplatte aus. Lassen Sie eine neue leere Partitionstabelle mit einer „msdos”-Signatur anlegen (Die Signatur hat nichts mit den Dateisystemen zu tun!). Wählen Sie den nun logischerweise freien Speicher aus. Nun beginnen Sie mit dem Erstellen der ersten Partition, ich schlage die swap-Partition mit 2 GB vor.

Ich muss an dieser Stelle eine Warnung aussprechen: Der Installer hat in einem Fenster des Partitionierungswerkzeugs einen Fehler, der bewirkt, dass bei Drücken der ESC-Taste zum Verlassen von Unterpunkten statt dem Drücken des vorgesehenen „Zurück”-Buttons an einer bestimmten Stelle der Installer hängen bleibt, und Sie von vorne beginnen müssen!!! Also im eigenen Interesse daran denken, konsequent den „Vorwärts”-Button zu benutzen!

Zurück zum Thema: Die ausgewählte erste Partition soll primär sein und am Anfang der Platte liegen. Jetzt wird's verwirrend: Wenn Sie Ihr System verschlüsseln wollen, wird diese Partition eben nicht für „Benutzen als swapfile” vorgesehen, denn auf einem verschlüsselten System muss konsequenterweise die Auslagerungsdatei ebenfalls verschlüsselt sein. Also wird sie als „physikalisches Volume für Verschlüsselung” deklariert. Möchten Sie doch den LVM einsetzen, wird die Verschlüsselungsdeklaration in einem weiteren Schritt konfiguriert. Ohne LVM wählen Sie also „physikalisches Volume für Verschlüsselung” aus. Die vorgesehene Verschlüsselungsmethode belassen Sie auf „dm-crypt”. Auch Verschlüsselungsalgorithmus und Schlüssellänge sind mitsamt den anderen Option gut vorgegeben. Schon länger kursieren im Netz Hinweise auf die angebliche Unsicherheit des AES-Verschlüsselungsalgorithmus, die bis jetzt aber nie offiziell bestätigt wurden. Es ist somit davon auszugehen, daß die etablierten Verfahren bis zur Einführung funktionsfähiger Quantencomputer als unknackbar gelten dürfen (bzw. der dafür nötige Zeitaufwand in keinem gesunden Verhältnis zum Nutzen steht). Zweifeln Sie dennoch an der Sicherheit von AES, können Sie ruhig auch Blowfish auswählen, der aber nicht so performant ist. Verwenden Sie bei der swap-Partition einen zufälligen Schlüssel statt einer Passphrase, damit diese dann bei jedem Bootvorgang mit einem neuen zufälligen Schlüssel überschrieben wird, was gegen unberechtigtes (oder erzwungenes) Auslesen hilft! Das Boot-Flag bleibt aus, die Daten müssen aufgrund der Neupartitionierung nicht unbedingt gelöscht werden, da die Partition ohnehin einen neuen Header verpaßt kriegt. Wir beenden nun das Anlegen der Partition.
Nun erstellen wir im freien Speicher die Boot-Partition, 100 MB groß, primär und am Anfang des freien Speichers. Da Grub noch nicht von verschlüsselten Partitionen booten kann, muss sie unverschlüsselt bleiben. Wählen Sie als Dateisystem ext2 (d.h. ohne Journal) aus. Zur Info: Da sich die Boot-Partition nur bei einem Kernel-Update verändert, kann diese ruhig ohne Journal formatiert werden (also ext2). Dies setzt natürlich voraus, dass wir direkt nach einem Kernel-Update ein neues Image dieser Partition erzeugen (auch um späteren Manipulationen unautorisierter Personen vorzubeugen!). Dank dieser Verfahrensweise brauchen wir nach einem Systemabsturz keinen Dateisystemcheck auf dieser Partition auszuführen. Als Einhänge-Punkt wählen wir /boot aus. Die Mount-Optionen belassen wir unverändert, einen Namen geben wir der Partition nicht. 5% reservierte Blöcke belassen wir auch.h Den Inode-Abstand belassen wir in der Standardeinstellung, das Boot-Flag setzen wir aber für diese Partition. Damit ist diese Partition auch schon fertig konfiguriert.
Nun legen wir im freien Bereich die Root- oder System-Partition an. Ich schlage 8 GB als Richtwert für normale Desktop-Anwender (Spiele- oder Multimedia-Enthusiasten wählen entsprechend mehr aus), primär, am Anfang des freien Speichers vor. Benutzt wird diese Partition wiederum als „physikalisches Volume für Verschlüsselung”. Auch hier müssen die Daten nicht explizit gelöscht werden, die anderen Optionen sind optimal. Diesen Dialog bitte nun auch beenden.
Im folgenden Schritt wird im freien Bereich nun die Partition für die Systemsicherungen (also die Image-Partition) angelegt. Da es nur vier primäre Partitionen geben kann, und erweiterte Partitionen im Container der primären Partitionen angelegt werden, wird diese Partition nun als erweitert angelegt (weil wir am Ende fünf Partitionen haben wollen), auch wieder am Anfang des freien Speichers. Da das laufende System diese Partition nicht sehen soll, bekommt sie keinen Einhänge-Punkt zugeordnet. Als Dateisystem eignet sich ext3 eher als FAT, da zum einen bei FAT-Dateisystemen die maximale Größe einzelner Dateien max. 2 GB betragen kann, was im Falle großer Images fehlschlagen kann. Zum anderen läßt sich FAT im Gegnsatz zu ext3 nicht verschlüsseln, soweit Sie nicht Truecrypt 17) einsetzen wollen. Den restlichen Speicherplatz sehen Sie vor für Ihre ebenfalls verschlüsselte Daten-Partition mit den nun bekannten Optionen.
Nun müssen Sie im oberen Punkt noch die verschlüsselten Datenträger konfigurieren, da sie ja noch kein Dateisystem bekommen haben. Zunächst wird die Partitionierung auf die Platte geschrieben, die Einrichtung der verschlüsselten Partitionen vorbereitet und die unverschlüsselten Partitionen werden formatiert (hier also die Boot-Partition). Zur Schlüssel-Generierung läuft nun der Zufallsgenerator an, den sie durch irgendwelche Tastendrücke und/oder Mausbewegungen unterstützen können.
Nun geben Sie die Passphrase der ersten verschlüsselten Partition ein, in unserem Beispiel ist dies die Systempartition (/dev/hda3). Bedenken Sie, dass Sie aufgrund der ordentlichen Implementierung des kryptographischen Algorithmus im Falle des Schlüsselverlusts KEINE Chance mehr haben, an die Daten auf dieser Partition zu gelangen. Überlegen Sie sich diese Passphrase also gut, entsprechende Warnungen und Hinweise gibt es im Netz zuhauf, so dass ich mir hier Details ersparen kann. Um Vertipper zu vermeiden wird die Passphrase durch doppelte Eingabe bestätigt. Um das Mitlesen des Paßworts durch neugierige Personen mit einem Blick über die Schulter zu unterbinden, erscheinen nur Sterne in der Eingabezeile. Dies wiederholt sich nun für jede weitere verschlüsselte Partition.
Nachdem die verschlüsselten Partitionen vorbereitet sind, geht es nun darum sie zu konfigurieren und ihnen ein Dateisystem zuzuordnen. Sie sehen jetzt die Auflistung der Partitionen. Nacheinander wählen Sie im unteren Bereich die verschlüsselten noch unkonfigurierten Partitionen aus. Zunächst kommt die Systempartition dran, da die swap-Partition schon fertig ist. Sie bekommt nun ein ext3-Dateisystem, den Einhänge-Punkt / und ist somit fertig konfiguriert. Die nächste Sicherungspartition bekommt ext3 ohne Einhänge-Punkt. Der letzten Datenpartition verpassen wir ein ext3-Dateisystem und z.B. den Einhänge-Punkt /DATA. Damit können wir die Partitionierung beenden und die Änderungen auf die Platte schreiben lassen. Vorher werden wir noch gewarnt, dass die Sicherungs-Partition keinen Einhänge-Punkt hat, aber das wollten wir ja so haben.
Jetzt ist die Festplatte endlich fertig.

Nun richten wir die Zeitzone ein, in Westeuropa ist das natürlich Berlin.
Die Systemzeit stellen wir NICHT auf UTC, sonst weichen Hardware-Uhr und die Uhr des Betriebssystems voneinander ab.
Jetzt werden die Benutzer und die Passwörter eingerichtet.
Selbstverständlich benutzen sie Shadow-Passwörter.
Auch root lassen wir rein.
Nun geben wir das hochsichere! root-Passwort ein.
Richtigerweise sollen wir nun einen Benutzer mit geringeren Rechten anlegen, was die sicherste Massnahme gegen System-Einbruch und Selbstzerstörung des Systems durch unbedarfte Nutzer darstellt.
Der Benutzer muss nicht unbedingt einen vollen Namen haben, denn der ließe sich nach Systemeinbruch in das Konto des angemeldeten Benutzers auslesen und könnte ausserdem in diversen Dateien stecken. Das passt nicht zu unserem Wunsch nach Anonymität. Aber das müssen Sie selbst entscheiden, möglicherweise gefällt Ihnen dieses Feature. Kontoname und zweimalige Passworteingabe sind aber unverzichtbar.

Nun wird das Grundsystem installiert, es landen also die ersten Nutzdaten auf der Festplatte. Das dauert einige Minuten.
Anschliessend wählen Sie den Kernel passend zu Ihrer Architektur aus. (die Erkennung sollte in der Regel klappen)

Dann wählen Sie das Werkzeug zur Erzeugung der Initial Ramdisk aus. Weichen Sie nur vom Standard ab, wenn es Probleme gibt oder Sie wissen, was Sie tun.
Nun wird der Paket-Manager konfiguriert. Wählen Sie einen passenden – d.h. möglichst raumnahen – Netz-Spiegel aus mitsamt dem passenden Protokoll. Anschliessend entscheiden Sie, ob Sie auch non-free-Pakete installieren wollen. Dann geht's zur Software-Auswahl. Möglicherweise wollen Sie an der anonymen Statistik der verwendeten Pakete teilnehmen.
Dann kommen die Sicherheitsaktualisierungen auf die Platte. Den Fortschritt können Sie sehen, in dem Sie mit ALT-Links zu den Systemmeldungen hinüberschalten. Zurück zum Installer geht's mit ALT-Rechts.
Im nächsten Schritt wird der Bootloader installiert, üblicherweise wird Grub verwendet, da er universeller als der ältere LiLo ist und leichter zu administrieren ist. Sie müssen sich nun entscheiden, wohin Sie ihn installieren wollen. Üblicherweise wird der Master Boot Record (MBR), also die ersten 512 Byte der Festplatte, in denen sich auch die Partitionstabelle befindet, empfohlen. Ich halte dagegen, das der Einbau in die Boot-Partition es dahingehend angenehmer macht, dass er sich somit in dem später erstellten Image des Systems befindet. Ohnehin sollte der MBR sowieso gesichert sein, um einem überschreiben des MBR durch Schadprogramme, ominöse Betriebssysteme oder einem simplen Crash gelassen ins Auge zu sehen. Denn Ihre Sicherung des Systems nützt Ihnen wenig, wenn die Partitionstabelle hinüber ist bzw. der MBR von einem Virus infiziert ist. Denn dann gibt es keine Partition mehr, wo Sie Ihre Sicherung hinschreiben könnten.i Entscheiden Sie sich hier für die Installation in die Partition, muss diese angegeben werden. Grub benutzt standardmässig eine andere Semantik zur Kennzeichnung der Partitionen. Der Debian-Installer kann diese aber umsetzen, so dass hier (hd0,1) und /dev/hda2 beide die 2. Partition auf der ersten Festplatte meinen (Grub fängt bei 0 an zu zählen!). Alternativ lässt er sich auch auf einer Diskette installieren (welche als „Killer-Feature” einen Schreibschutzschieber besitzt!). Vorsicht ist anzuraten bei der Installation des Boot-Managers bei Systemen mit mehreren Distributionen! (Sowohl der MBR als auch die Bootmanager-Konfigurationsdateien sollten vorher sicherheitshalber gesichert werden.)
Um zu vermeiden, dass unautorisierte Personen den Rechner hochfahren, kann er neben dem evtl. leicht auszuhebelnden BIOS-Passwort zusätzlich durch ein Bootloader-Passwort geschützt werden. Es ist aber zu bedenken, dass das hierfür eingesetzte md5-Prüfsummenverfahren längst nicht mehr als sicher gilt, und der Rechner ohnehin über einen externen Datenträger gestartet werden kann. Auch lässt sich die Konfiguration des unverschlüsselt vorliegenden Bootmanagers im Falle des Rechnerstarts über eine LiveCD ohnehin einsehen und manipulieren. Deshalb müssen wir später auch die Boot-Partition sichern, um einer Manipulation der Startdateien vorzubeugen! Dennoch hält ein vergebenes Bootmanager-Passwort auf und verhindert zumindest beim regulären Start die Einsicht in die Bootkonfiguration und den unautorisierten Start einer Root-Shell direkt vom installierten System aus. Aber versprechen Sie sich nicht zu viel davon. Daher wird es wohl auch nur einmal bei der Einrichtung abgefragt!

Nun beenden wir die Installation, das Installationsmedium wird ausgeworfen und der Rechner fährt hoffentlich erstmalig hoch.

Zunächst meldet sich der Bootloader. Soweit Sie keine Taste drücken startet das System mit dem Standard-Eintrag des Bootloaders nach der voreingestellten Wartezeit. Zunächst sind hier nur zwei Einträge zu sehen. Der (single-user mode) stellt grob gesprochen so etwas ähnliches wie der abgesicherte Modus unter Windows dar. Mit den Hinauf-/ Hinunter-Tasten können Sie die Einträge auswählen, per ENTER-Taste booten Sie mit dem gewählten Eintrag und mit der E-Taste können Sie temporär für diese eine Sitzung die Boot-Konfiguration editieren (z.B. um bei fehlerhaften Einträgen den Rechner trotzdem starten zu können; mit ESC kommen Sie jeweils wieder zurück). Falls Sie ein Bootloader-Passwort vergeben haben, müssen Sie P drücken und können nach der Passworteingabe den entsprechenden Eintrag via E-Taste editieren oder per ENTER-Taste booten. Wenn Sie mittels Passwort auch das Booten des Rechners beschränken wollen, müssen Sie dieses Feature von Hand nachrüsten. Auch finde ich es recht praktisch, wie auf vielen LiveCDs üblich, direkt einen Speichertest (MemTest86+) mit einzubauen (Anleitung folgt weiter unten). Doch zunächst starten wir den Rechner normal. Es rauschen die Meldungen durch, bis zur Eingabe des Verschlüsselungsmantras der Systempartition. Es kann sein, dass die Aufforderung zur Passwort-Eingabe aufgrund der Erkennungsmeldung erkannter SCSI-Geräte (bzw. Kartenleser) nach oben verschoben wird. Wenn der Rechner still zu stehen scheint, und bei Tastendruck nichts erscheint, ist wohl die Passworteingabe dran. (Evtl. ist sie auch an die Oberseite des Bildschirms gerutscht.) Geben Sie nun Ihr Passwort ein und drücken die ENTER-Taste. Dann sollte der Bootvorgang weiterlaufen bis zur Passwort-Abfrage der Datenpartition. Das kann einen Moment dauern, da erst die Swap-Partition initialisiert wird.
Dann kommt der Login-Prompt und Sie können sich erstmalig an Ihrem System anmelden, bitte zunächst als root.

Herzlichen Glückwunsch!!!

Der Displaymanager startet und Sie landen im Anmeldedialog. Der Versuch, sich als root anzumelden schlägt fehl. Klicken Sie unten auf „Menu” und wählen Sie „Console Login” aus und melden sich in der Konsole an. Anschliessend korrigieren wir dieses „Sicherheits-Feature”. Dazu installieren wir zunächst den später noch oft benötigten Midnight-Commander (ein funktions- und tastenkompatibler Klon des unter DOS bekannten Norton Commander) von der ersten Installations-DVD. Mittels „apt-get install mc” zaubern Sie ihn auf die Platte, gestartet wird er mit „mc”. Dort navigieren Sie zur Datei /etc/kde3/kdm/kdmrc. Öffnen Sie die Datei mit F4 und ändern Sie den Eintrag „AllowRootLogin=false” in „AllowRootLogin=true”. Speichern Sie die Datei mit F10 und verlassen Sie den Midnight Commander ebenfalls mit F10. Für diejenigen, die öfters an Ihrem System „rumschrauben” macht es aber eher Sinn, den Login direkt in der Konsole auszuführen. Dafür müssen Sie in den Verzeichnissen /etc/rc2.d/ und /etc/rc3.d/ die Dateien S99kdm in K99kdm umbenennen.j In der Konsole läßt sich dies mit „cd /etc/rc2.d” und anschliessendem „mv S99kdm K99kdm” bzw. „cd /etc/rc3.d” und anschliessendem „mv S99kdm K99kdm” bewerkstelligen.k

Mit folgendem „apt-get update” aktualisieren Sie die Paketliste. Mit „apt-get upgrade” bringen Sie das System auf den neusten Stand. Es empfiehlt sich ohnehin, System-Aktualisierungen stets im Textmodus auszuführen – auch aus diesem Grunde erfolgt der Hinweis an dieser Stelle. Durch den angegebenen Schritt weisen Sie ihr System an, zukünftig in die Konsole hochzufahren (= Runlevel 2). Die graphische Oberfläche starten Sie durch den Befehl „startx”. Nach beenden der graphischen Oberfläche fahren Sie den Computer (als root) per 'shutdown -h now' runter, neu starten können Sie ihn in der Standardkonfiguration entweder über „shutdown -r now”, „reboot” oder per Tastendruck Strg-Alt-Entf. Soll der genannte „Affengriff” standardmässig zum runterfahren des Computers führen, ändern Sie als Root in der Datei /etc/inittab den Eintrag „ctrlaltdel:/sbin/shutdown -t1 -a -r now” in „ctrlaltdel:/sbin/shutdown -t1 -a -h now”. Mittels „apt-get clean” putzen Sie verbliebene Reste der Installationskandidaten von der Platte.

Legen Sie nun die 2. DVD ein und geben „apt-add cdrom” ein. Lassen Sie nun die zweite Installations-DVD indexieren und wiederholen anschliessend den Vorgang mit der dritten DVD. Somit haben Sie den gesamten „offiziellen” Debian-Pool ins System integriert.

Nun können Sie die graphische Oberfläche mit „startx” starten.

Nachdem Sie das KDE-Erscheinungsbild im Einrichtungsassistenten konfiguriert haben, erscheint die Arbeitsfläche.
Starten Sie nun im Bereich Internet den Knetworkmanager und den Browser Iceweasel. Versuchen sie dann eine Internetseite aufzurufen. Klappt das nicht, liegt das vielleicht daran, dass die falsche Netzwerkstelle aktiviert ist, falls sie mehrere haben (siehe oben). Per Rechtsklick auf das Symbol des Programms rechts unten in der Ecke können Sie die richtige Netzwerkschnittstelle auswählen. Klappt danach die Internetverbindung immer noch nicht, wird's komplizierter und sie benötigen eine externe Anleitung.
Steht die Verbindung dürfen Sie sich freuen und „tunen” nun als nächsten Schritt die Konfiguration Ihres Bootmanagers. Sichern Sie zunächst die automatisch generierte Konfigurationsdatei. Zur Anregung zeige ich hier meine /boot/grub/menu.lst:

default 0
timeout 0
password --md5 HierStehtIhrVerschluesseltesBootpasswort
lock

title Debian GNU/Linux, kernel 2.6.18-5-686
lock
root (hd0,1)
kernel /vmlinuz-2.6.18-5-686 root=/dev/mapper/hda3_crypt ro vga=normal noresume
initrd /initrd.img-2.6.18-5-686
savedefault

title MEMTEST - Memtest86+
lock
kernel (hd0,1)/boot/memtest.bin

Ihnen wird sicher auffallen, dass hier nun im Gegensatz zur ursprünglichen Version das Passwort des Bootmanagers verschlüsselt eingetragen ist. Zur Generierung Ihres eigenen Passworts starten Sie Grub in der Konsole mittels „grub”. Die Generierung erfolgt mit dem Befehl „md5crypt”. Geben Sie Ihr gewünschtes Passwort ein und tragen Sie die ausgegebene Zeichenkette an die entsprechende Stelle in Ihrer „menu.lst” ein. (GROSSklein-Schreibung beachten!)
Beachten Sie auch, dass ich den timeout und default-Bootwert ausgenullt habe. Der Eintrag „lock” dort oben bewirkt, dass das Passwort zum Booten benötigt wird. Steht es nur unten bei den Einträgen wird es lediglich zum Verändern der vorgegeben Bootparameter benötigt, die sich mit Druck auf die Taste E (=editieren) für den aktuellen Bootvorgang bearbeiten lässt. Eingetragen an beiden Stellen bewirkt dies somit, dass man sowohl zum booten, als auch zum editieren der Bootparameter das Passwort benötigt. Es wäre sogar denkbar, zwei verschiedene Passwörter einzusetzen. (Die ist besonders reizvoll für Paranoiker bzw. Systeme, bei denen sich der/die Benutzer und der Systemverwalter nicht in die Quere kommen sollen.)
Von einer der oben genannten LiveCDs besorgen Sie sich den memtest.bin und kopieren ihn ins Verzeichnis /boot auf Ihrer /dev/hda2. Alle anderen Einträge habe ich gnadenlos rausgeworfen, da ich bei Boot- bzw. System-Problemen grundsätzlich die Sicherung des Systems zurückspiele, statt meine Zeit mit mehr oder weniger sinnvollen Reparaturversuchen zu verschwenden.
Mit Eingabe von „quit” verlassen Sie die Grubshell wieder.
Sie besitzen nun bereits einen großen Pool an installierbaren Paketen. Verwalten lässt sich dieser entweder in der Kommandozeile, oder komfortabler mit div. Tools in der graphischen Oberfläche. Ich persönlich ziehe Synaptic dem bereits vorhandenen Kpackage vor. Installiert wird es, wie Sie sicher schon ahnen per „apt-get install synaptic”. Wenn Sie Ihr System um neuere Komponenten oder auch für spezielle Bedürfnisse, z.B. im Multimedia-Bereich fit kriegen wollen, können Sie noch weitere Repositories einbinden. Um die mit Debian (18) v4 „Etch” eingeführte Signierung der Installationskandidaten auch hier nutzen zu können (um z.B. Schnüffel-Politiker daran zu hindern, Ihnen manipulierte Pakete unterzuschieben), befolgen Sie bitte die entsprechenden Hinweise auf den jeweiligen Internet-Seiten zur Einbindung der Schlüssel ins System. Empfehlen möchte ich Ihnen die Repositories Debian Multimedia (19) und Debian Unofficial (20) (Anleitung auf den Internetseiten im Bereich FAQ).
Installieren Sie nun die gewünschten Pakete und Anwendungen, verlassen die graphische Oberfläche wieder und bringen Ihr System wie bereits bekannt auf Stand.

Nachspeise

Nun wird es Zeit, erstmalig Ihr System zu sichern. Ich beschreibe hier stellvertretend die Verfahrensweise mit grml (4), mit anderen Live-CDs wie z.B. Mandriva One (21) ab Version 2008.0, Fedora live (22) ab Version 9, neueren Knoppix-CDs (15) oder sidux (12) geht dies ebenso (jeweils in der Root-Shell):

Legen Sie eine der genannten CDs ins Laufwerk und starten den Rechner mit „reboot” neu. Wenn der Neustart ausgeführt ist, können Sie bei „grml” per Taste D auf die deutsche Tastaturbelegung umschalten und per Q das Konfigurations-Skript beenden. Mit „fdisk -l” können Sie sich die Partitionen noch einmal anzeigen lassen.
/dev/hda2 ist Ihre Boot-Partition und /dev/hda3 die verschlüsselte Systempartition – beide wollen Sie sichern. Mounten Sie zunächst die Sicherungspartition /dev/hda5 (Zielpartition), die zu sichernden Partitionen bleiben ausgehängt. Ist Ihre Sicherungs-Partition unverschlüsselt, reicht ein einfaches „mount /dev/hda5”. Ist sie verschlüsselt, wird zunächst der Container mit „cryptsetup.luksOpen /dev/hda5 hda5” aufgemacht und die Partition mit „mount /dev/mapper/hda5 /mnt/hda5” eingehängt. Mitdenker werden bereits ahnen, dass „grml” den Mountpunkt /mnt/hda5 beim Booten automatisch anlegt. Bei anderen LiveCDs muss er vor dem Einhängen der Partition manuell angelegt werden (mittels „cd /mnt” und anschließendem „mkdir hda5”). Mit „cd /mnt/hda5” begeben wir uns nun in diese Partition. Dann packen wir die zu sichernde Partition wie folgt von dort aus ein:
Die unverschlüsselte Bootpartition /dev/hda2 können wir mit „dd if=/dev/hda2 | gzip -9 > hda2_01.gz” in die Datei hda2_01.gz schreiben. Das geht recht flott und schrumpft die Sicherung nochmals auf 50% zusammen. Die verschlüsselte /dev/hda3 schließen wir zunächst mit „cryptsetup.luksOpen /dev/hda3 hda3” auf. (Dies hat den Vorteil, dass wir nur die wirklich benutzen Sektoren sichern, anderenfalls würde die Sicherung auch die unbeschriebenen Sektoren beinhalten, was zu einem größeren Image und Zeitbedarf führen würde.) Ein anschließendes „dd if=/dev/mapper/hda3 | gzip -9 > hda3_01.gz” sichert diese Partition analog. (Spätere Sicherungen werden analog mit hda3_02.gz usw. benannt.) Für Paranoiker läßt sich noch mittels „md5sum hda2_01.gz > md5sum hda2_01.gz.md5” bzw. „md5sum hda3_01.gz > md5sum hda3_01.gz.md5” eine Prüfsumme des Images generieren (was Beschädigungen des Images z.B. durch Dateisystem-Probleme auf der Sicherungspartition aufdecken würde). Zurückgeschrieben wird per „gunzip -c hda2_01.gz | of=/dev/hda2” bzw. „gunzip -c hda3_01.gz | of=/dev/mapper/hda3”.
Ist alles durchgelaufen, verlassen wir mit „cd ..” das Sicherungsverzeichnis und hängen die Sicherungs-Partition wieder aus (also „umount /dev/mapper/hda5”). Mit „tune2fs -o journal_data /dev/mapper/hdaX” stellen Sie pro Partition die Journale Ihrer Platte auf die höchste Sicherheitsstufe. Allerdings geht die Performance des Dateisystems runter auf die Hälfte, aber Sicherheit ist zumeist wohl wichtiger als Geschwindigkeit. Mit „fsck.ext3 -adfvDC0 /dev/hdaX” führen Sie einen Dateisystemcheck mit automatischer Reparatur pro Partition aus. Abschließend schließen Sie die Container wieder mit „cryptsetup luksClose hdaX”. (Bitte beachten Sie die extravagante Schreibweise bei „luksOpen” und „luksClose”!)

Den MBR sichern Sie wie folgt: Stecken Sie einen USB-Stick ein. Mit „fdisk -l” können Sie ihn sehen. Mit „mount /dev/sda1 /mnt/sda1” (falls der Mount-Punkt automatisch angelegt wurde, sonst erstellen Sie ihn nach der o.g. Anleitung manuell) hängen Sie ihn ein und mit „cd /mnt/sda1” „besuchen” Sie ihn. Den MBR sichern Sie von dort aus mit „dd if=/dev/hda of=hda.mbr bs=512 count=1”12. Verlassen Sie den USB-Stick wieder mit „cd ..” (Liebe DOSianer, die Leerstelle ist wichtig!) und hängen ihn mit „umount /dev/sda1” aus. Zurück schreiben Sie den MBR vom eingehängten und „besuchten” USB-Stick aus via „dd if=hda.mbr of=/dev/hda” (Die Blockgröße ergibt sich automatisch und muss somit nicht angegeben werden.)

Zur oben angesprochenen Problematik der Zeichenkodierung: Wenn Ihnen auffallen sollte, dass nach dem Transfer der Daten vom alten System auf Ihr neues die Umlaute in den Dateinamen zu unleserlichem Zeichensalat verunstaltet werden, können Sie dies mit dem Kommandozeilen-Tool „convmv” korrigieren. (apt-get install convmv). Versuchen Sie folgendes: „convmv -r -f iso8859-15 -t utf-8 '/Pad/zu/den/Daten'”. Sieht die Ausgabe korrekt aus, können Sie mit der zusätzlich angegebenen Option „--notest” die Umbenennungen tatsächlich durchführen. Entgegengesetzt konvertieren können Sie natürlich per „convmv (--notest) -r -f utf-8 -t iso8859-15 '/Pad/zu/den/Daten'”. Aber seien Sie gewarnt: Die Umstellung auf UTF-8 ist zwar einerseits ein konsequenter Schritt, kann aber auch zu unangenehmen Seiteneffekten führen. Außerdem erinnere ich daran, daß momentan (Stand März 2008) die Implementation von UTF-8 noch nicht vollständig umgesetzt wurde. Dies soll aber mit Debian (18) v5 „Lenny” abgeschlossen sein. Hoffen wir mal das beste ...

Bei den unterschiedlichen Distributionen bekommen die Benutzer verschiedene IDs, so daß die Zugriffsrechte u.U. nicht mehr stimmen. Dies können Sie mittels „chown -R Name:Gruppe 'Pfad/zu/den/Daten'” ändern.

Trotz des hohen Niveaus bei Debian sind einige wenige Pakete fehlerhaft oder ganz einfach defekt. Bei mir jedenfalls kam es ein oder zweimal zu entsprechenden Warnungen, und noch schlimmer: die Installation des Paketes 'debsig-verify' brachte mein ganzes Paketmanagement durcheinander, was sich nach längerer Suche erst durch die Deinstallation dieses Paketes auflösen lies.

Zutaten

Weitere Pakete die Sie immer wieder brauchen werden, sind:

sudo (also „apt-get install sudo”), ddrescue

a Alternativ eignet sich jede Live-CD, die das Paket „cryptsetup” mit an Board hat. Geeignet sind zum Beispiel die SystemRescueCD (23) oder auch RIPLinuX (24). Auch können zunehmend diverse Live-CDs der großen Distributoren eingesetzt werden. Bitte schauen Sie in die häufig online vorrätige Paketliste Ihres Lieblingsdistributors.

b Bitte besorgen Sie sich von „grml” die Version 1.1, da ab der folgenden Version 2008.11 nicht nur das Versions-Schema geändert, sondern aus lizenzrechtlichen Gründen auch TrueCrypt entfernt wurde. Achtung: Die CD hat einen kleinen Fehler: Wenn Sie den Rechner neustarten wollen, wird sie zunächst ausgeworfen. Vor dem anschließenden Neustart erfolgt aber nochmals ein CD-Zugriff, was zu einem Rattenschwanz an Fehlermeldungen führt und den Neustart ungünstigerweise verhindert. Schließen Sie also bitte noch mal die Laufwerks-Schublade, bevor Sie den Rechner neu starten.

c Die „Nachwuchs-Paranoiker” unter Ihnen denken automatisch an die Möglichkeit, daß schlechte und infizierte Betriebssysteme beim herunterladen die Informationsmedien zumindest theoretisch manipulieren könnten, was auch beim Überprüfen mittels schwacher Hashes wie z.B. md5 unbemerkt bleiben könnten.

d Dies kann ich aus eigener Erfahrung bestätigen: Ich habe einmal über den Zeitraum von einer Woche meinen Rechner ohne Neustart mit der LiveCD Kanotix 2005-04 betrieben und dabei sämtliche im Internet anfallenden Arbeiten ohne ein einziges Problem durchgeführt! Lediglich beim Herunterfahren der LiveCD hing sich der Rechner auf, was wohl zu verschmerzen sein dürfte. :-)

e Ich rate zum Einhalten dieser Partitions-Reihenfolge, da so der Umzug ohne LVM mit relativ geringem Aufwand möglich ist.

f Es bietet sich die Option an, beim Brennen von CDs und DVDs die Joliet-Erweiterung durch Aktivierung der UDF-Strukturen auszuhebeln, was zwar den angenehmen Effekt hat, das die Probleme der beschränkten Dateinamenslänge, der GROSSklein-Problematik und der beschränkten Pfadtiefe gelöst sind, der Daten-Austausch mit kundenfeindlichen Betriebssystemen aber unmöglich ist. Welch ein Verlust ... ;-)

g Das bedeutet, dass Sie 512 Null-Bytes an den Anfang Ihrer Platte schreiben, so daß der dort befindliche Master-Boot-Record (MBR) mitsamt der dort befindlichen Partitionstabelle gelöscht wird.

h Das ist eine Sicherheits-Reserve die für normale Benutzer gesperrt ist, damit der Systemadministrator noch mit dem Computer arbeiten kann, selbst wenn der Benutzer allen Speicherplatz verbraucht hat.

i Dies bedeutet also, daß Sie Ihren MBR auf mindestens einem externen Datenträger sichern. „Berufs-Paranoiker” signieren diese 512 Byte große Datei zusätzlich.

j Zur Erklärung: Hier wird festgelegt, welche Prozesse und Dienste in den jeweiligen Runleveln des Systems gestartet werden. Ein S (= Start) bedeutet, dass der Dienst gestartet wird, ein K (= Kill) bedeutet, dass er beendet wird.

k Zur komfortablen Konfiguration Ihres Systems via Browser eignet sich auch das distributionsübergreifende Tool Webmin (25).

l Der Befehl bewirkt, daß Sie 1x einen 512 Byte großen Block kopieren.

 

 

d = deutsch, e = englisch, int. = mehrsprachig, <EXT> = externer Link

Statischer Link:
http://www.zonesystem.de/html/deutsch/linux/installation-debian/

Sie dürfen diese Homepage gern verlinken!

Stand: 7. April 2010