17/7/2020

openSUSE 15.2

Filed under: — cybrarian @ 12:31 pm

Op 24 juni werd het officiële verschijnen van openSUSE 15.2 gevierd (“Celebrate The Upcoming openSUSE Leap Release“).

Afhalen
De ISO kan je downloaden van software.opensuse.org, hij is 4.0 GB groot (itt 3.8 GB voor 15.1).

Haal ook de checksum van dezelfde download pagina af en controleer:
sha256sum -c openSUSE-Leap-15.2-DVD-x86_64.iso.sha256

openSUSE-Leap-15.2-DVD-x86_64.iso: goed

USB-stick om te installeren
https://en.opensuse.org/SDB:Live_USB_stick

Je kan daarvoor de nieuwe desktop tool SUSE Studio Imagewriter gebruiken (sudo zypper install imagewriter, momenteel versie 1.10). Die biedt een venster aan om de iso naartoe te slepen. Als je een USB-stick aansluit, wordt die onmiddellijk weergegeven in de keuzelijst onderaan. Als je de ISO gesleept hebt moet je enkel nog op de “write” knop drukken..

Als de stick niet leeg was krijg je nog de vraag: “This will overwrite the contents of /dev/sdb. Are you sure you want to continue?”.
Daarno moet je het wachtwoord ingeven, en krijg je een venstertje dat zegt “writing”, met percentage klaar en een cancel knop; als het helemaal klaar is gaat het dicht (tot frustratie van sommigen): 12:16 20% .. 12:18 58% .. 12:21 94% .. weg.

Installatie
De installatie zelf verloopt zo:
Boot met USB disk … kies “installeren” van het SUSE scherm.
Een groene balk onderaan geeft weer dat openSUSE Leap 15.2 bezig is..

starting yast …
starting installer …
Initialising Network Configuration
Updating the installer…

Daarna kan je een paar keuzes maken en de installatie starten.

Taal, toetsenbordindeling (test), licentie..
Basiskeuze:
[x] Werkstation met KDE Plasma
[ ] Werkstation met Gnome
[ ] Algemene Desktop
[ ] Server
[ ] Transactionele Server

Dan wordt een harde schijf indeling voorgesteld die er bv zo uitziet:

GPT op /dev/sda aanmaken
Partitie /dev/sda1 (8 Mb) als BIOS boot-partitie aanmaken
Partitie /dev/sda2 (463 GB) voor / met btrfs aanmaken
Partitie /dev/sda3 (2GB) voor swap aanmaken
10 subvolume-akties (zie details)

(Als je encryptie wil moet je naar de Expert partitionering gaan).

De NTP server wordt gesynchroniseerd, en je krijgt een kaart om Regio/Tijdzone te kiezen.
(Als je taal NL gekozen hebt moet je eventueel van Nederland naar België klikken)

Na installatie zal je merken dat de gebruiker bij niet-aktiviteit terug moet aanmelden met zijn wachtwoord. Dat kan je verzetten in de instellingen.

15.2
Deze uitgave gebruikt KDE’s Plasma 5.18 Long-Term-Support versie (meer details, Changelog – Engels).
Nog steeds een donkergroene eenvoudige achtergrond met wat doorkomende technische tekenlijnen rechts.
Het menu kan je met rechtsklik – alternatieven tonen aanpassen, ik kies meestal “Programmastarter”.
Ik ben daar aangenaam verrast dat naast Konsole (of was dat al?) ook Kate een prominente plaats heeft gekregen in de favorieten, met nieuw logo!

9/7/2020

icewm blokkeert openSUSE updates

Filed under: — cybrarian @ 9:14 am

In een reeks openSUSE 15.1 updates (desktop update tool) zit er eentje die niet door gaat, en als foutmelding geeft:

icewm-1.4.2-lp151.8.6.1.x86_64 requeres icewm-theme-branding, but this requirement cannot be provided

De foutmelding treedt niet op bij een “clean install” 15.1, maar wel bij systemen die geupgrade werden uit vorige openSUSE systemen (Leap 42.x).

Via het Yast control center kan je in detail naar de “Online Update” gaan zien, en wordt meer uitleg gegeven: bij de oplossingen wordt aangeboden om
– icewm te de-installeren (“Verwijderen van icewm-1.4.2..x86-64 verwijderen van .. ” enz)
– icewm-config-upstream-1.4.2-lp151.8.3.1.noarch te de-installeren. (“Verwijderen van icewm-…noarch”)
– de patch over te slaan (“niet installeren”)
– de melding te negeren (“..door enige van zijn afhankelijkheden te negeren”)

De eerste optie is nogal drastisch: verwijderen van icewm.
IceWM is een lichtgewicht Windowmanager voor het “X Window System”, en als je die niet gebruikt omdat je bv KDE draait, speelt het niet zo’n rol, en kan je dat doen.

De tweede optie heeft misschien wel zin, want dat bevat:

Configuration files from upstream provider without suse branding

..wat mogelijk in conflict komt met de “branding” die in de update zit…
(ps: in een clean install van openSUSE 15.1 was icewm-config-upstream niet geïnstalleerd, en daarom trad het conflict ook niet op daar)

Dan wordt als automatische verandering aangeboden:
laaste

icewm-theme-branding 1.2.4-lp 151.3.9.1

Bevestigen, de update draait.

(Na uitloggen en terug inloggen weet ook de desktop “software updates notification” dat het ok is).

4/7/2020

OpenSUSE 15.1 installatie met versleutelde gebruikersgegevens (encrypted home directory)

Filed under: — cybrarian @ 3:23 pm

Installeren over bestaande versleutelde
Een installatie van openSUSE 15.1 over een bestaande 42.2 met versleutelde gebruikersmap (home directory) leverde wel een vraag naar het oorspronkelijke wachtwoord op, maar niet een versleutelde home directory na installatie.

Nadien versleutelen?

De home directory nadien versleutelen kan in principe, maar dan moet je op een andere manier werken. Je kan spijtig genoeg niet (meer?) een gebruiker bijmaken en aanvinken om de home directory te versleutelen…

Installatie met versleuteling

Op zoek naar de juiste plek en het juiste moment om de verleuteling te kiezen bij een nieuwe installatie van openSUSE 15.1:
Na System Role (Desktop met KDE) komt “Preparation, Disks” waarin de indeling en het gebruik van de harde schijf wordt bepaald.
Er wordt standaard voorgesteld (in dit geval, een 150 GB disk) onder “Suggested partitions” voor harde schijf sda:
– sda1 : ext4
– sda2 : BtrFS voor /
– sda3 : swap (2 GB)
(ps: Er is geen partitie voorzien voor de /home directory in dit voorstel, die komt ook onder de root- of hoofddirectory)
Hier moet je onderaan kiezen voor “Expert Partitioner”, “Start with Current proposal” om meer uitgebreide mogelijkheden te krijgen vanaf het huidig voorstel.
Je krijgt een tabel met de beschikbare opslagruimte en de voorgestelde partities.
Er is een kolom “F” die betekent dat die partitie geformatteerd gaat worden (hier sda2/BtrFS)
Er is ook een kolom “Enc” die betekent dat de partitie “encrypted” of versleuteld wordt; hier geen enkele in het voorstel.
Je kan dubbelklikken op de sda2 en aanvinken om die te versleutelen (Edit partition /dev/sda2, “Encrypt Device”).
Dan moet je het versleutel-wachtwoord ingeven. Niet vergeten. Echt niet vergeten. En vervelend: je hebt geen controle op wat je inktikt!
Daarna komt in het overzicht “Encrypted: Yes” staan.
Opgelet; sda1 en de swap zijn dus niet versleuteld, swap kan ook sporen van interessante informatie bevatten.
Bij het overzicht, onder “Booting” heb je ook een optie om de bootloader te beschermen met een wachtwoord.

Dubbel wachtwoord:
eigenaardig genoeg moet je twee keer het wachtwoord voor ontsleuteling ingeven na het opstarten…

1e keer onmiddellijk na aanzetten in een zwart scherm met enkel wat intel Matrix Storage Manager ROM informatie:

Welcome to GRUB! Attempting to decrypt master key… Enter passphrase for hd0,msdos2 (9527….):

Waarna het openSUSE startschem met keuze opkomt, .. en een tweede keer in een iets grafischer uitziend scherm vraagt om decryptie van sda2.


Op zoek naar oplossingen

oorspronkelijk niet gelukt..nadien na zowel systeem updates als wat uitproberen lukt het nu wel.

open terminal
Alles uit te voeren als root, dus om niet telkens sudo te moeten tikken…
su root
(vraagt het wachtwoord)

Maak het bestand waar de sleutel in moet komen:
touch /.root.key

Maak alleen leesbaar voor root:
chmod 600 /.root.key

maak de sleutel en zet in het bestand:
dd if=/dev/urandom of=/.root.key bs=1024 count=1
Geeft iets als

1+0 records in
1+0 records out
1024 bytes copied

(— Upd 5/7: controleer met:
# cryptsetup open --verbose --key-file /.root.key --test-passphrase /dev/sda2

Key slot 1 unlocked.
Command successful.

—upd)

Zoek je root partitie:

fdisk -l
Conclusie: sda2 bevat mijn root partitie

Voeg de sleutel toe als manier om de root partitie te ontsleutelen:

cryptsetup luksAddKey /dev/sda2 /.root.key

Enter any existing passphrase: …

cat /etc/crypttab

cr_swap  UUID=66cd2ab6-0e7c-47f7-b8a3-4a5f5d3ab85c
cr_root  UUID=6091968a-e432-47b3-9cbb-e38947bbe585  none  x-initrd.attach

Wijzig /etc/crypttab, zoek de lijn die verwijst naar de root partitie door de UUID en voeg de keyfile toe in de derde kolom.
(ik gebruik daarvoor mcedit /etc/crypttab ; mcedit je krijg je bij mc met zypper install mc)
(twee spaties vormen de tab afstand)

cr_sda1 UUID=... /.root.key

Pas dracut aan om de key file toe te voegen aan initrd:

echo -e 'install_items+=" /.root.key "' | sudo tee --append /etc/dracut.conf.d/99-root-key.conf > /dev/null
(of bv manueel aanmaken in vullen als die niet bestaat)

(—Upd 05/07: —
bij het uitvoeren van mkinitrd – zie verder – krijg je een foutmelding op het bestand

1. bovenaan bij mkinitrd uitvoer krijg je een foutmelding

/etc/dracut.conf.d/99-root-key.conf: line 1: /.root.key: Permission denied

Je kan dat bestand /etc/dracut.conf.d/99-root-key.conf bekijken. Ik heb de enkele aanhalingstekens bv weggehaald omdat het niet werkte)

2. meer onderaan in de uitvoer een foutmelding dat het niet uitgevoerd is:

dracut-install: ERROR: installing ‘”/.root.key”‘

Daarna haalde ik nog wat spaties weg en zo tot ik geen foutmelding meer kreeg.

—upd)

Om te vermijden dat het overschreven wordt, moet een lijn toegevoegd worden aan /etc/permissions.local:

/boot/ root:root 0700

Zoals in het bestand /etc/permissions.local ook vermeld wordt moet je na de wijziging:

chkstat --system --set

De initrd moet terug aangemaakt worden:
(controleer uitvoer, zie ook bovengenoemde fouten)

mkinitrd

Dat zou het moeten zijn … exit

Alles afsluiten en herstarten om te proberen.

(upd 2023: mkinitrd is buiten gebruik, zie recentere versie hier; vervangen door dracut)

(— Upd 5/7: controleer initrd
Vraag inhoud initrd op en kopieer naar een txt bestand:
lsinitrd > /root/lsinitrd.txt
Bekijk het bestand/zoek naar /.root.key bv met de voorvermelde mcedit (F7=zoek):
mcedit /root/lsinitrd.txt
—upd)

Conclusie 06/07: het is me uiteindelijk gelukt, waarbij ik niet weet welk aandeel de systeem updates hebben, en welk aandeel mijn eigen wijzigingen/afwijkingen van het arktikel in de link bovenaan.

Bronnen
o.m.
https://en.opensuse.org/SDB:Encrypted_root_file_system (alg)
https://linux.die.net/man/5/crypttab (crypttab)
https://unix.stackexchange.com/questions/533233/grub2-luks-how-to-avoid-to-type-the-passphrase-twice (over hoe checken)
https://www.reddit.com/r/openSUSE/comments/any9af/i_think_i_add_root_key_to_wrong_partition_when/

——-

PS: Volgende foutmelding duidt waarschijnlijk op het verkeerd ingeven van het wachtwoord.
Let bv op azerty/qwerty, oorspronkelijk wachtwoord waarschijnlijk in keyboard en/us

error: access denied.
error: hd1 cannot get C/H/S values.
error: hd2 cannot get C/H/S values.
error: hd… cannot get C/H/S values.

error: hd15 cannot get C/H/S values.
error: no such cryptodisk found.
error: disk ‘cryptouuid/…’ not found.
error: disk ‘cryptouuid/…’ not found.
Entering rescue mode…
grub rescue >

Powered by WordPress