Arch Linux telepítése UEFI és Secure Boot mellett

Üdvözöllek, digitális kalandor! Ha ezt a cikket olvasod, valószínűleg már tudod, hogy az Arch Linux nem egy átlagos disztribúció. Ez a „Do It Yourself” filozófia megtestesítője a Linux világában, ahol minden egyes komponenst te magad építesz fel, megismerve a rendszer mélységeit. Ez a szabadság és az ebből fakadó teljes kontroll sokak számára ellenállhatatlan, de be kell vallani, a kezdetek kissé ijesztőek lehetnek.

De mi van akkor, ha a modern hardverek által megkövetelt UEFI (Unified Extensible Firmware Interface) rendszert használod, és ráadásul bekapcsolva szeretnéd hagyni a Secure Boot (Biztonságos Rendszerindítás) funkciót is? Nos, ez az a pont, ahol sokan megrettennek, és inkább kikapcsolják a Secure Bootot. Pedig nem kell! Ebben az átfogó, részletes útmutatóban lépésről lépésre végigvezetlek az Arch Linux telepítésén UEFI és Secure Boot környezetben, hogy ne kelljen kompromisszumot kötnöd a biztonság és a szabadság között.

Mi az a Secure Boot és miért okoz fejfájást?

A Secure Boot egy biztonsági funkció, amelyet az UEFI firmware biztosít. A célja, hogy megakadályozza a jogosulatlan operációs rendszerek vagy rosszindulatú szoftverek (rootkitek) betöltődését a rendszer indítása során. Elvileg nagyszerű dolog, hiszen védelmet nyújt. Gyakorlatilag viszont azt jelenti, hogy a rendszer csak olyan kódot hajthat végre, amelyet egy megbízható kulccsal aláírtak, általában a Microsoft által. Mivel az Arch Linux egy minimalista disztribúció, és a legtöbb felhasználó saját kernelt fordít vagy módosít, ezek a „custom” elemek általában nincsenek aláírva, így a Secure Boot alapból blokkolja őket. De ne aggódj, van megoldás!

Előkészületek: A Terv és az Eszközök

Mielőtt belevágnánk a mélybe, győződj meg róla, hogy minden készen áll. Egy gondosan előkészített terep megkímél a későbbi fejfájástól.

Rendszerkövetelmények: Egy üres, legalább 20-30 GB méretű partíció vagy egy teljesen üres merevlemez. Bőséges RAM (minimum 2 GB).
Arch Linux ISO: Töltsd le a legfrissebb Arch Linux ISO-t a hivatalos weboldalról (archlinux.org/download/).
Bootolható USB meghajtó: Egy legalább 2 GB-os USB stick, amire felírod az ISO-t. Használhatsz Ventoy, Rufus (Windows), vagy dd parancsot (Linux/macOS) erre a célra. Például Linux alatt: sudo dd if=/path/to/archlinux.iso of=/dev/sdX status=progress (cseréld az sdX-et a megfelelő USB eszközre, óvatosan!).
Internetkapcsolat: Vezetékes vagy vezeték nélküli (Wi-Fi).
UEFI/BIOS Beállítások: Lépj be a géped UEFI/BIOS menüjébe (általában F2, F10, F12, Del gomb a bootolás elején).
- Győződj meg róla, hogy a CSM (Compatibility Support Module) vagy Legacy Boot ki van kapcsolva. Kizárólag UEFI módban fogunk telepíteni!
- Ellenőrizd, hogy a Secure Boot engedélyezve van-e. Ha ki van kapcsolva, kapcsold be!
- Kapcsold ki a Fast Boot vagy Quick Boot funkciókat, mert ezek gondot okozhatnak.
- Állítsd be, hogy az USB-ről bootoljon a rendszer az Arch ISO-val.

A Telepítési Fázis: Lépésről Lépésre

1. Rendszerindítás az Arch ISO-ról

Indítsd újra a számítógéped, és válaszd ki az USB meghajtóról való bootolást. Egy szöveges menü fogad majd, válaszd az „Arch Linux install medium (x86_64)” opciót. Néhány pillanat múlva egy parancssor fog megjelenni, ami azt jelzi, hogy sikeresen elindult az Arch Live rendszer.

2. Hálózati Konfiguráció és Rendszeridő

Az internetkapcsolat elengedhetetlen a telepítéshez.

Vezetékes kapcsolat: Ha van Ethernet kábeled, az általában automatikusan konfigurálódik. Ellenőrizd: ping archlinux.org.
Vezeték nélküli kapcsolat (Wi-Fi):
1. Listázd a hálózati interfészeket: ip link (keresd a wlan0 vagy hasonló nevet).
2. Indítsd el a iwctl parancsot.
3. Listázd a Wi-Fi eszközöket: device list.
4. Keresd meg a hozzáférési pontodat: station scan, majd station get-networks.
5. Csatlakozz: station connect (meg kell adnod a jelszót).
6. Lépj ki az iwctl-ből: exit.

Szinkronizáld a rendszeridőt, ami fontos a fájlrendszer és a Secure Boot kulcsok megfelelő működéséhez:

timedatectl set-ntp true

3. Lemezparticionálás és Fájlrendszerek Létrehozása

Itt jön a bonyolultabb rész. Mivel UEFI rendszert használunk, GPT (GUID Partition Table) particionálási sémát fogunk alkalmazni.

Az fdisk -l paranccsal listázd a lemezeket, hogy megtaláld a célt. Például /dev/nvme0n1 vagy /dev/sda.
Indítsd el a gdisk-et a kiválasztott lemezen: gdisk /dev/nvme0n1.
- o: Új, üres GPT partíciós tábla létrehozása.
- n: Új partíció létrehozása.
- Partíciók tervezése (példa):
  - EFI Rendszerpartíció (ESP): Legalább 300-512 MB, fájlrendszer típusa EF00 (UEFI System Partition). Ezen lesz a GRUB és a Secure Boot kulcsok. Pl.: /dev/nvme0n1p1
  - Swap partíció (opcionális): Ajánlott a RAM méretével megegyező méret, de maximum 8-16 GB. Fájlrendszer típusa 8200 (Linux Swap). Pl.: /dev/nvme0n1p2
  - Gyökér (root) partíció: A fennmaradó hely, legalább 20 GB. Fájlrendszer típusa 8300 (Linux Filesystem). Pl.: /dev/nvme0n1p3
- Ha elkészültél, nyomd meg a w-t a változtatások kiírásához és a gdisk-ből való kilépéshez.

Fájlrendszerek formázása:

mkfs.fat -F 32 /dev/nvme0n1p1  # EFI partíció
mkswap /dev/nvme0n1p2         # Swap partíció
swapon /dev/nvme0n1p2
mkfs.ext4 /dev/nvme0n1p3      # Root partíció

Partíciók csatlakoztatása:

mount /dev/nvme0n1p3 /mnt       # Csatlakoztatjuk a root partíciót
mkdir /mnt/boot                 # Létrehozzuk a /boot könyvtárat
mount /dev/nvme0n1p1 /mnt/boot  # Csatlakoztatjuk az EFI partíciót a /boot-ra
                                # (Ez azért fontos, mert ide kerülnek a Secure Boot fájlok)

Megjegyzés: Sok Arch leírás az EFI partíciót `/mnt/boot/efi`-re csatlakoztatja. Én `/mnt/boot`-ra javaslom a Secure Boot lépések egyszerűsítése miatt, de mindkét megközelítés működhet.

4. Az Alaprendszer Telepítése

Most telepítsük az alapvető csomagokat:

pacstrap /mnt base linux linux-firmware nano

Javasolt még hozzáadni a hálózati eszközöket: networkmanager, iw, wpa_supplicant.

pacstrap /mnt networkmanager iw wpa_supplicant

5. Fstab Generálása és Chroot

Generáljuk a fstab fájlt, ami a rendszerindításkor csatlakoztatja a partíciókat:

genfstab -U /mnt >> /mnt/etc/fstab

Lépj be a frissen telepített rendszerbe a chroot paranccsal:

arch-chroot /mnt

6. Rendszerkonfiguráció (Chrooton belül)

Mostantól a parancsok a leendő Arch rendszereden futnak.

Időzóna:

ln -sf /usr/share/zoneinfo/Europe/Budapest /etc/localtime
hwclock --systohc

Lokalizáció:

nano /etc/locale.gen # Töröld a # jelet az en_US.UTF-8 UTF-8 és hu_HU.UTF-8 UTF-8 sorok elől
locale-gen
echo LANG=hu_HU.UTF-8 > /etc/locale.conf # Vagy en_US.UTF-8
echo KEYMAP=hu > /etc/vconsole.conf # Magyar billentyűzetkiosztás a konzolon

Hostnév:

echo myarch > /etc/hostname # Cseréld myarch-ot a kívánt névre
nano /etc/hosts # Add hozzá a következőket:
127.0.0.1       localhost
::1             localhost
127.0.1.1       myarch.localdomain      myarch # Cseréld myarch-ot a hostnévre

Root jelszó:
```
passwd
```

Felhasználó létrehozása (ajánlott):

useradd -m -g users -G wheel,storage,power -s /bin/bash 
passwd

Engedélyezd a sudo használatát:

pacman -S sudo
visudo # Töröld a # jelet a %wheel ALL=(ALL:ALL) ALL sor elől

Microcode: Fontos a CPU stabilitásához és teljesítményéhez.

pacman -S intel-ucode # Ha Intel CPU-d van
pacman -S amd-ucode # Ha AMD CPU-d van

7. Rendszerbetöltő és Secure Boot Konfiguráció: A Mágikus Rész

Itt jön a Secure Boot varázslat. A cél az, hogy a GRUB rendszerbetöltő és a Linux kernel aláírva legyen, és a rendszerünk tudja, hogy megbízhat bennük. Az sbctl eszköz nagyban megkönnyíti ezt a folyamatot.

Szükséges csomagok telepítése:
```
pacman -S grub efibootmgr openssl sbsigntools efitools sbctl
```
- grub: A rendszerbetöltő.
- efibootmgr: Az UEFI boot bejegyzések kezelésére.
- openssl, sbsigntools, efitools: Az aláíráshoz szükséges segédeszközök.
- sbctl: A kulcskezelést és aláírást automatizáló eszköz.
GRUB telepítése az EFI partícióra:
```
grub-install --target=x86_64-efi --efi-directory=/boot --bootloader-id=GRUB --modules="normal test efi_gop efi_uga all_video gfxmenu gfxterm_background gfxterm font" --disable-shim-lock --removable
```
A --disable-shim-lock és a --removable paraméterek segítenek a Secure Boot-tal való kompatibilitásban. A --efi-directory=/boot feltételezi, hogy az EFI partíciót a /mnt/boot-ra csatlakoztattad.
GRUB konfiguráció generálása:
```
grub-mkconfig -o /boot/grub/grub.cfg
```
sbctl kulcsok generálása és bejegyzése:
Ez a legfontosabb lépés. Saját Secure Boot kulcsokat generálunk, amiket bejegyzünk az UEFI firmware-be.
```
sbctl create-keys # Létrehozza a PK, KEK, DB kulcsokat az /etc/sbctl/keys/ mappában
```
Most be kell jegyezned a publikus kulcsokat (DB és KEK) az UEFI firmware-be. Ez egy újraindítást igényel.
```
sbctl enroll-keys -m
```
Ez a parancs arra utasít, hogy indítsd újra a rendszert. Amikor újraindulsz, a rendszer valószínűleg egy MOKManager képernyővel fogad. Ez a felület lehetővé teszi, hogy megerősítsd a kulcsok bejegyzését. Válaszd az „Enroll MOK” (vagy hasonló) opciót, majd erősítsd meg. Lehet, hogy meg kell adnod a jelszót, amit a sbctl enroll-keys parancs futtatásakor állítottál be. Ezután a rendszer újraindul.
Rendszerbetöltő és kernel aláírása:
Miután a kulcsok bejegyzésre kerültek az UEFI-be (és újraindultál), indítsd el ismét az Arch ISO-t, arch-chroot-olj vissza a rendszeredbe, és most aláírhatjuk a szükséges fájlokat.
```
sbctl sign -s /boot/grub/x86_64-efi/core.efi
sbctl sign -s /boot/EFI/GRUB/grubx64.efi
sbctl sign -s /boot/vmlinuz-linux
```
A /boot/grub/x86_64-efi/core.efi és /boot/EFI/GRUB/grubx64.efi a GRUB EFI betöltő fájljai. A /boot/vmlinuz-linux a Linux kernel. Ezen fájlok aláírása biztosítja, hogy a Secure Boot megbízhatónak találja őket.

Megjegyzés: Kernel frissítéskor (pacman -Syu) újra alá kell írni a vmlinuz-linux fájlt! Ezt automatizálhatod egy Pacman hook segítségével. Lásd az sbctl dokumentációját!

8. Utolsó Simítások és Újraindítás

Most, hogy minden készen áll:

exit              # Kilépés a chroot környezetből
umount -R /mnt    # Leválasztjuk az összes csatlakoztatott partíciót
reboot            # Újraindítás

Húzd ki az USB meghajtót. A gépnek most már a frissen telepített Arch Linux rendszert kell bootolnia, engdélyezett Secure Boot mellett! Gratulálok!

Post-Install: Első Lépések a Vadiúj Arch Linuxodon

Miután sikeresen bejelentkeztél az új rendszeredbe, még van néhány dolog, amit érdemes beállítani.

Hálózati szolgáltatás engedélyezése:
```
sudo systemctl enable --now NetworkManager
```
Ezután a hálózati kapcsolatot a nmtui (grafikus felület), vagy nmcli (parancssor) paranccsal kezelheted.

Grafikus környezet (Desktop Environment / Window Manager):

sudo pacman -S xorg # Alap Xorg szerver
sudo pacman -S plasma # KDE Plasma példa
sudo systemctl enable sddm # Display manager engedélyezése (ha KDE)

Választhatsz GNOME-ot, XFCE-t, i3-at, Sway-t, stb. A választás a tiéd!

Hang:

sudo pacman -S pipewire pipewire-alsa pipewire-pulse wireplumber # Modern hangkiszolgáló

Betűtípusok, fájlkezelő, böngésző stb.: Ezek mind a te igényeid szerint telepíthetőek.

Problémamegoldás és Tippek

Nem bootol? Ellenőrizd az UEFI boot menüjében, hogy a GRUB bejegyzés létezik-e és a megfelelő sorrendben van-e. Használhatod a Live USB-t és az efibootmgr-t a boot bejegyzések kezelésére.
Secure Boot hibaüzenet? Valószínűleg a kulcsok bejegyzése nem sikerült megfelelően az MOKManageren keresztül, vagy valamelyik fájl nincs aláírva. Győződj meg róla, hogy az sbctl enroll-keys -m és az azt követő MOKManager lépés sikeres volt. Futtasd le újra az aláírási parancsokat.
Hálózati problémák? Ellenőrizd a systemctl status NetworkManager parancsot, és próbáld meg újra konfigurálni a kapcsolatot az nmtui vagy nmcli segítségével.

Összefoglalás

Az Arch Linux telepítése UEFI és Secure Boot mellett valóban egy kihívás, de mint láthatod, abszolút megoldható. Ez a folyamat nemcsak egy működő rendszert ad a kezedbe, hanem rendkívül sokat tanít a Linux működéséről, a rendszerbetöltésről és a modern hardverek sajátosságairól. Ez a tudás felbecsülhetetlen, és biztos vagyok benne, hogy most már büszkén tekintesz a saját építésű, biztonságos és testreszabott Arch Linux rendszeredre!

Gratulálok, sikeresen végrehajtottad a digitális kalandodat!