Arch Linux est la distrib DIY par excellence, de son installation à sa configuration. Pour tous les passionés de systèmes GNU/Linux, c’est le terrain de jeu idéal. Mais tout configurer à la main à aussi l’inconvément de ne pas tout fournir par défaut, aussi bien pour les applications utiles que pour celles de sécurité. Voyons 5 choses qu’il est préférable, ou du moins utile, de faire une fois Arch installé.
Rappel: Avant de poursuivre la lecture, pensez à ouvrir votre terminal pour y faire un pacman -Syu
Arch wiki en version hors-ligne
Parce-ce qu’on est jamais à l’abri d’être hors-ligne quand un bug pointe le bout de ses pattes, il est préférable de garder une version locale du wiki d’Arch Linux. L’installation est simple:
sudo pacman -S arch-wiki-docs
Ses fichiers se trouvent dans le dossier arch-wikiqui lui-même contient le dossier html:
ls /usr/share/doc/arch-wiki/html/Ou « cd /usr/share/doc/arch-wiki/html/" puis "ls", au choix
Les dossiers qu’on voit en bleu correspondent à chaque langue. Chacun contient un fichier Main_page.html. Pour ouvrir par exemple la version française avec Firefox, vous pouvez ouvrir ce fichier .html dans le dossier fr:
firefox /usr/share/doc/arch-wiki/html/fr/Main_page.html Voici la page d’accueil de la version française:
Firewall UFW
Lors de l’installation du système, aucun pare-feu n’est ajouté ni paramétré par défaut. Vous pouvez choisir celui que vous voulez mais on va ici installer UFW.
sudo pacman -S ufwEnsuite, pour l’activer au boot du système et le démarrer maintenant on va utiliser systemctl:
sudo systemctl enable --now ufw
Pour activer les profils (Ensembles de règles prédéfinies pour les applications les plus courantes):
sudo ufw enablePour activer les paramètres par défaut pour les connexions entrantes (incoming) et sortantes (outgoing):
sudo ufw default deny incoming
sudo ufw default allow outgoing
Vous pouvez ensuite ajuster ces paramètres par défaut selon vos besoins, les 2 commandes précédentes vous permettent seulement d’avoir une base propre en quelques secondes. Si vous souhaitez par exemple autoriser le protocole SSH:
sudo ufw allow sshAppArmor
AppArmor, qui permet à chaque application d’otenir un profil de sécurité et d’en limiter certains accès, ceux à risque pour la sécurité de votre machine, n’est pas installé non plus par défaut contrairement à la majorité des distributions Linux puisque DIY, installation from scratch, tout ça tout ça…
Bien que l’installation ne soit pas si compliquée, elle comporte tout de même quelques étapes importantes pour son bon fonctionnement.
Chose très importante: La méthode qu’on va voir ici est pour Grub uniquement. Si vous utlisez systemd-boot ou un autre boot loader, vous devrez appliquer une autre méthode qu’on ne verra pas ici.
On commence d’abord par installer AppArmor bien sûr mais aussi Audit, qui permet d’améliorer / renforcer la journalisation:
sudo pacman -S apparmor audit
Ensuite on va éditer Grub:
sudo vim /etc/default/grubL’idée sera de trouver la ligne qui contient « GRUB_CMDLINE_LINUX_DEFAULT » et d’y ajouter « apparmor=1 security=apparmor » avant le dernier guillemet:
Dans le cas présent, à titre indicatif mais ça pourra être différent pour vous, ça nous donne donc ceci:
GRUB_CMDLINE_LINUX_DEFAULT="loglevel=3 quiet apparmor=1 security=apparmorMaintenant on génère à nouveau la config de Grub:
sudo grub-mkconfig -o /boot/grub/grub.cfg
Et on redémarre le PC:
sudo rebootOn peut maintenant activer AppArmor au boot du système et le démarrer maintenant (--now):
sudo systemctl enable --now apparmorEt pareil pour Audit:
sudo systemctl enable --now auditd
Vous pouvez vérifier que AppArmor est bien activé:
aa-enabledEt que les profils sont bien actifs:
sudo aa-status
Ces quelques lignes vous permettent d’avoir rapidement une configuration correcte, vous pourrez ensuite l’optimiser selon vos besoins.
Yay
Bien que le nombre de repo disponibles sur Arch soit déjà assez conséquent, comparé à d’autres distros, on peut encore en augmenter le nombre avec le AUR (pour Arch User Repository), un ensemble de repo maintenus par la communauté elle-même et non par les développeurs de Arch. Ça permet de rendre accessibles certains programmes qui ne sont pas disponibles par défaut et de les installer en une seule ligne de commande plutôt que de tout compliquer à la mano.
Tout d’abord, on installe git pour cloner le repo de yay, ainsi que base-devel pour être sûr d’avoir tous les compilateurs nécessaires:
sudo pacman -S --needed base-devel gitOn clone:
git clone https://aur.archlinux.org/yay.git…et on installe:
cd yay && makepkg -si
Les options sont les mêmes que pour pacman. Vous pouvez donc faire une update avant d’installer ce dont vous avez besoin:
yay -Syu
Vous pouvez ensuite installer ce dont vous avez besoin en l’utilisant comme pacman mais sans sudo, comme par exemple RustDesk:
yay -S rustdeskTransformer pacman en Pac-Man
Pour finir, parce-que ça ne sert à rien et que c’est donc indispensable, vous pouvez transformer les tristes barres de progression de pacman par une animation qui ressemble un peu plus au vrai Pac-Man. Pour cela, ouvrez pacman.conf:
sudo vim /etc/pacman.confEt dans les options, ajoutez simplement ILoveCandy avant de sauvegarder et quitter:
Reste plus qu’à fermer et relancer votre terminal pour tester en installant le programme de votre choix, comme ici Kdenlive. Voici le résultat:
Bonus: ZSH avec autocomplétion
Parce-que tout est plus simple et élégant avec ZSH, surtout quand il est bien configuré, vous pouvez suivre les instructions de ce Gist ci-dessous pour l’installer et activer l’autocomplétion. La seule chose à modifer dans notre cas est de remplacer le « apt install » de la première commande par « pacman -S« . Vous pouvez utiliser les autres commandes telles quelles:
https://gist.github.com/n1snt/454b879b8f0b7995740ae04c5fb5b7df