ArchWiki - 利用者の投稿記録 [ja]

公式リポジトリ

2023-09-12T02:45:53Z

Aosho235: fix typo

[[Category:パッケージ管理]]
[[Category:Arch について]]
[[en:Official repositories]]
[[es:Official repositories]]
[[fr:Official repositories]]
[[pt:Official repositories]]
[[ru:Official repositories]]
[[zh-hans:Official repositories]]
{{Related articles start}}
{{Related|Arch Build System}}
{{Related|Arch User Repository}}
{{Related|makepkg}}
{{Related|ミラー}}
{{Related|公式リポジトリウェブインターフェイス}}
{{Related|pacman}}
{{Related|PKGBUILD}}
{{Related|非公式ユーザーリポジトリ}}
{{Related articles end}}
[[Wikipedia:ja:ソフトウェアリポジトリ|ソフトウェアリポジトリ]]とはソフトウェアパッケージの保管場所であり、インストールの際はここからパッケージが取得されます。

Arch Linux の'''公式リポジトリ'''には重要で人気のあるソフトウェアがあり、[[pacman]] ですぐにアクセスできます。これらのリポジトリは[[Arch 用語集#パッケージメンテナ|パッケージメンテナ達]]によってメンテナンスされています。

公式リポジトリ内のパッケージは絶えずアップグレードされます: パッケージがアップグレードされると、古いバージョンはリポジトリから削除されます。Arch にはメジャーリリースというものはありません: それぞれのパッケージは、上流のソースで新しいバージョンが利用可能になると、アップグレードされます。各リポジトリは常に一貫性が保たれています。つまり、リポジトリ内のパッケージは、常に他のパッケージと互換性のあるバージョンであるということです。

== 安定版リポジトリ ==

=== core ===

このリポジトリは[[ミラー]]上の {{ic|.../core/os/}} にあります。

''core'' には以下のようなパッケージが含まれます:

* Arch Linux の起動に必要なパッケージ。
* [[ネットワーク設定|インターネットの接続]]に必要なパッケージ。
* [[パッケージの作成|パッケージのビルド]]に必要なパッケージ。
* サポートされている[[ファイルシステム]]の管理・修復に必要なパッケージ。
* システムのセットアップに必要なパッケージ (例: {{Pkg|openssh}})。
他にも、上記パッケージが依存しているパッケージ (必ずしも [[makedepends]] ではない) や {{Pkg|base}} [[メタパッケージ]]も含まれています。

''core'' には、かなり厳しい品質要件が課されています。開発者/ユーザたちは、パッケージの更新が受理される前に、更新を承認する必要があります。使用頻度の低いパッケージの場合は、次のような適切な方法を取れば十分です: 対象パッケージのメンテナの暗黙の承認と共に、人々に更新について通知する、承認を要求する、変更の重大度に応じて [[#core-testing|core-testing]] に1週間留める、目立ったバグレポートが無い。

{{Tip|インターネット接続無しで ''core'' (或いは他のリポジトリ) のパッケージを含むローカルリポジトリを作成するには、[[Pacman ヒント#パッケージを CD/DVD や USB スティックからインストールする]] を見てください。}}

=== extra ===

このリポジトリは[[ミラー]]上の {{ic|.../extra/os/}} にあります。

''extra'' には、''core'' に当てはまらない全てのパッケージが含まれています。
このリポジトリは、[[Trusted Users]] と Arch の開発者によって共同でメンテナンスされています。
パッケージ例: Xorg、ウィンドウマネージャ、ウェブブラウザ、メディアプレイヤ、Python、Ruby などの言語で作業するためのツール。

=== multilib ===

このリポジトリは[[ミラー]]上の {{ic|.../multilib/os/}} にあります。

''multilib'' には、64 ビット環境で 32 ビットアプリケーションを実行したりビルドしたりするために使用できるソフトウェアとライブラリが含まれています ({{Pkg|wine}}、{{Pkg|steam}} など)。

''multilib'' リポジトリを有効化すると、32 ビット互換のライブラリは {{ic|/usr/lib32/}} 下に配置されます。

==== multilib を有効化する ====

''multilib'' リポジトリを有効化するには、{{ic|/etc/pacman.conf}} 内の {{ic|[multilib]}} セクションをアンコメントしてください:

{{hc|1=/etc/pacman.conf|2=
[multilib]
Include = /etc/pacman.d/mirrorlist}}

そして、システムを[[アップグレード]]し、好きな ''multilib'' パッケージをインストールしてください。

{{Tip|''multilib'' リポジトリ内のパッケージをすべて一覧表示するには、{{ic|pacman -Sl multilib}} を実行してください。32 ビットライブラリのパッケージ名は {{ic|lib32-}} で始まります。}}

==== multilib を無効化する ====

''multilib'' からインストールしたパッケージをすべて取り除くには、以下のコマンドを実行してください:

# pacman -R $(comm -12 <(pacman -Qq | sort) <(pacman -Slq multilib | sort))

gcc-lib と衝突が発生する場合、{{Pkg|base-devel}} パッケージの依存パッケージと {{pkg|gcc-libs}} パッケージを再インストールしてください ([[Pacman ヒント#パッケージの依存パッケージ]] を参照)。

{{ic|/etc/pacman.conf}} 内の {{ic|[multilib]}} セクションをコメントアウトしてください:

{{hc|1=/etc/pacman.conf|2=
#[multilib]
#Include = /etc/pacman.d/mirrorlist}}

そして、システムを[[アップグレード]]してください。

== テストリポジトリ ==

テストリポジトリの用途は、パッケージをメインのリポジトリに入れる前に置いておくための中間的な場所を提供することです。パッケージのメンテナ (及び一般ユーザ) は、これらのテストパッケージにアクセスして、新しいパッケージの統合に問題がないことを確認することができます。パッケージがテストされ、誤りが見つからなければ、そのパッケージをメインのリポジトリに移動することができます。

すべてのパッケージがこのテストプロセスを通らなければならないわけではありません。新しいパッケージがテストリポジトリに入るケースとしては:

* そのパッケージが ''core'' リポジトリに入る場合。''core'' 内のすべてのパッケージは ''core-testing'' を通らなければなりません。
* そのパッケージをアップデートすると何かを壊してしまうことが予想され、まずテストする必要がある場合。
* そのパッケージが多くのパッケージに影響を与える場合 ({{Pkg|perl}} や {{Pkg|python}} など)。

また、テストリポジトリは [[GNOME]] や [[KDE]] といった、パッケージの巨大なコレクションの新しいリリースの際にも用いられます。

{{Note|1=テストリポジトリは、最も新しいパッケージを保管するためにあるのではありません。このリポジトリの目的の1つは、''core'' パッケージ群の一部であったり別な方法で重要であったりするという理由でシステムを壊してしまう可能性があるパッケージのアップデートを保留することです。なので、テストリポジトリのユーザは、[https://lists.archlinux.org/mailman3/lists/arch-dev-public.lists.archlinux.org/ arch-dev-public メーリングリスト]を購読すること、[https://bbs.archlinux.org/viewforum.php?id=49 テストリポジトリのフォーラム]を読むこと、[[バグ報告ガイドライン|すべてのバグを報告する]]ことが強く推奨されています。また、[[Arch テストチーム]]への参加も考慮すべきです。}}

{{Warning|
* テストリポジトリを有効にするときは気をつけて下さい。アップデート後にシステムが壊れる可能性があります。潜在的なシステムの故障の対処方法を知っている、経験のあるユーザーだけがこのリポジトリを使うべきです。
* ''core-testing'' を有効にするときは、''extra-testing'' も一緒に有効にする必要があります。逆も然りです。また、以下のサブセクションに書かれている他のテストリポジトリを有効にする場合も、''core-testing'' と ''extra-testing'' の両方も有効にしなければなりません。
}}

=== core-testing ===

このリポジトリはミラー上の {{ic|.../core-testing/os/}} にあります。

''core-testing'' には、''core'' リポジトリへの候補となるパッケージが含まれています。

''core-testing'' は、他の公式リポジトリと名前の衝突を起こす可能性がある唯一のリポジトリです。有効化するには、このリポジトリを {{ic|/etc/pacman.conf}} ファイル内の最初のリポジトリにしなければなりません。

=== extra-testing ===

このリポジトリは ''core-testing'' リポジトリと似ていますが、''extra'' リポジトリの候補になっているパッケージのために存在しています。

=== multilib-testing ===

このリポジトリは ''core-testing'' リポジトリと似ていますが、''multilib'' リポジトリの候補になっているパッケージのために存在しています。

=== gnome-unstable ===

このリポジトリにはメインの ''extra-testing'' リポジトリに入る前の [[GNOME]] デスクトップ環境の次期安定板や安定板のリリース候補版が入っています。

有効化するには、以下を {{ic|/etc/pacman.conf}} に追加してください:

{{hc|/etc/pacman.conf|2=
[gnome-unstable]
Include = /etc/pacman.d/mirrorlist
}}

''gnome-unstable'' エントリは、設定ファイル内のリポジトリリストの中で最初のリポジトリにする必要があります (つまり、''extra-testing'' エントリよりも上)。

パッケージに関連するバグは Arch Linux の[https://bugs.archlinux.org/ バグトラッカー]に、その他のバグについては上流の [https://gitlab.gnome.org GNOME Gitlab] に報告してください。

=== kde-unstable ===

このリポジトリには [[KDE]] Plasma や KDE Applications の最新''ベータ''版や''リリース候補版''が入っています。

有効にするには、以下を {{ic|/etc/pacman.conf}} に追加してください:

{{hc|/etc/pacman.conf|2=
[kde-unstable]
Include = /etc/pacman.d/mirrorlist
}}

''kde-unstable'' エントリは、設定ファイル内のリポジトリリストの中で最初のリポジトリにする必要があります (つまり、''extra-testing'' エントリよりも上)。

何か問題を発見したときは[[バグ報告ガイドライン|バグレポートを作成]]してください。

=== testing リポジトリの無効化 ===

有効にした testing リポジトリを無効化したい場合、以下を実行してください:

# {{ic|/etc/pacman.conf}} からリポジトリを削除 (あるいはコメントアウト)。
# {{ic|pacman -Syuu}} を実行して、リポジトリからのアップデートを"ロールバック"。

二番目のコマンドは必ずしも実行する必要がないこともありますが、何か問題が起きていたら実行してみてください。

== ステージングリポジトリ ==

{{Warning|''staging'' リポジトリはどのような理由でも有効化してはいけません。アップデート後にシステムが間違いなく破壊されます。バックエンドの開発者のみが使用することを意図しています。}}

このリポジトリには壊れたパッケージが含まれており、多数のパッケージを一度にリビルドする間だけ開発者が使います。共有ライブラリが新しくなったときなどの理由で依存パッケージをリビルドするとき、まず最初に共有ライブラリ自体がビルドされるとステージングリポジトリにアップロードされ他の開発者が利用可能になります。全ての依存パッケージがリビルドされた直後 testing か main リポジトリのうち適切なほうに移動されます。

歴史的背景の詳細は、[https://lists.archlinux.org/archives/list/arch-dev-public@lists.archlinux.org/thread/7RNII5TUKV3BJPGGBYKB7DNUK3WI26GZ/ ステージングリポジトリの導入に関するアナウンス]を参照。

== 歴史的背景 ==

リポジトリが分割されていますが、これらの殆どは歴史的な理由によるものです。昔、Arch Linux を利用している人がとても少なかった頃、'''official''' (現在の ''core'') と呼ばれるたった一つのリポジトリだけがありました。当時は、''official'' には主として Judd Vinet の好きなアプリケーションが入っていました。プログラムの"タイプ"ごとにそれぞれ一つのプログラムが入っていたのです (一つの DE、一つのメジャーブラウザ、など)。

ユーザーが Judd の選択したプログラムを好まない時は、簡単に使える [[Arch Build System]] により、自分たちでパッケージを作っていました。これらのパッケージは '''unofficial''' という名のリポジトリに入れられ、Judd 以外の開発者によって管理されていたのです。次第に、その 2 つのリポジトリは開発者によって等しくサポートされるようになり、''official'' と ''unofficial'' という名前は実態を表さなくなりました。そこで、リリースバージョン 0.5 あたりで、それらは共に '''current''' と '''extra''' と名前を変えました。

2007.8.1 リリースのすぐ後、何が含まれているのか混乱することを防ぐために ''current'' は '''core''' になりました。新旧リポジトリのほとんどは開発者やコミュニティの目からみると今でもあまり変わっていませんが、''core'' は少々異なっています。主な違いは、インストール CD やリリーススナップショットに入っているパッケージだけが ''core'' に含まれていたということです。このリポジトリだけでも Linux システムを構築することはできますが、おそらくあなたの求める Linux システムにはなりません。

さて、0.5 や 0.6 の期間に、開発者が管理するには吝か、パッケージが多すぎることが問題になりました。[https://archlinux.org/people/developer-fellows/#jason Jason Chu] は "Trusted User リポジトリ" を作り、信用されたユーザー (Trusted User) が作ったパッケージを置く非公式リポジトリにしました。'''staging''' リポジトリという、公式リポジトリに提案されているパッケージを置くリポジトリがありましたが、それは Arch Linux 開発者によるもので、それ以外の開発者と信用されたユーザーは多かれ少なかれ異なっていたのが理由です。

信用されたユーザーが彼らのリポジトリに飽き、信用されてないユーザー (Untrusted User) が彼らのパッケージを共有したいと思う前になされたこの作業は、[https://aur.archlinux.org/ AUR] の開発として引き継がれました。TU たちは結集して、より強固なグループを作り、''community'' リポジトリを集団で管理するようになりました。信用されたユーザーたちは未だに Arch Linux の開発者とは分裂していましたが、開発者との間ですくなからず連絡を取り合っていました。しかし、時には ''community'' から ''extra'' に人気のあるパッケージを移動するように求めることもありました。また、すべてのユーザーは [https://aur.archlinux.org/ AUR] を使って PKGBUILD を投稿することができます。

''core'' に入ったカーネルが[https://archlinux.org/news/please-avoid-kernel-261614-1/ 多くのユーザーのシステムを破壊する事件]がおこった後、"core 承認ポリシー" (core signoff policy) が導入されました。その時から、''core'' にある全てのパッケージはアップデートの際にまず '''core-testing''' を通過しなくてはならなくなり、[[Arch テストチーム]]の他の開発者や人々から複数の承認が得られて初めて ''core'' への移動が許されるようになりました。それも時間がたつにつれ、いくつかの ''core'' パッケージがあまり使われなくなったので、そのようなパッケージはユーザーの承認やバグレポートが少ないという基準で運用されています。

2009年末から2010年初頭にかけて、新しいファイルシステムの出現とそれらのサポートの要望ために、''core'' は明確には定義されなくなった (たんに"開発者によって選ばれた重要なパッケージ"が入っている) 実情にあわせて、リポジトリにはより正確な説明が付けらました。

2023年、数年の準備作業を経て、ディストリビューションの[https://lists.archlinux.org/archives/list/arch-dev-public@lists.archlinux.org/thread/SHCCCKHLIWPXPOIR5ARNJKSVWL2SSUO7/ バックエンドサービスを git に移行し]、それと同時に新しいリポジトリレイアウトに切り替わりました。新しいレイアウトでは、以前 ''community'' にあったパッケージがすべて ''extra'' へ移動され、テストリポジトリが ''testing'' から ''core-testing'' と ''extra-testing'' に分かれ、''community-testing'' は完全に削除されました。この時点から、[[Trusted Users]] は新しいパッケージを ''extra'' にプッシュできるようになりました。

{{TranslationStatus|Official repositories|2023-05-26|779252}}

Fcitx

2018-04-30T04:31:05Z

Aosho235: 私の環境では ~/.xinitrc で fcitx を明示的に起動する必要がありました。

[[Category:国際化]]
[[en:Fcitx]]
[[zh-hans:Fcitx]]
{{Related articles start}}
{{Related|IBus}}
{{Related|SCIM}}
{{Related2|uim を使って日本語を入力|UIM}}
{{Related articles end}}
[https://fcitx-im.org/wiki/Fcitx Fcitx] (Flexible Input Method Framework) は Linux に環境非依存の言語サポートを提供する[[Wikipedia:ja:インプットメソッド|インプットメソッドフレームワーク]]です。多くの言語をサポートし便利な non-CJK 機能が含まれています。

==インストール==
{{Pkg|fcitx}} は[[公式リポジトリ]]から [[Pacman]] でインストールできます。

=== インプットメソッドエンジン ===

入力したい言語にあわせて、インプットメソッドエンジンをインストールしてください:

====日本語====

* {{Pkg|fcitx-anthy}}: 人気の日本語入力エンジン。開発は停止しています。
* {{Pkg|fcitx-mozc}}: Google 日本語入力のオープンソース版である [[Mozc]] がベース。
* {{Pkg|fcitx-kkc}}: {{Pkg|libkkc}} がベースの新しい日本語仮名漢字入力エンジン。
* {{Pkg|fcitx-skk}}: {{Pkg|libskk}} がベースの日本語仮名漢字入力エンジン。

==== 他の言語 ====

* {{Pkg|fcitx-sunpinyin}}: {{Pkg|sunpinyin}} がベース。速度と正確性のバランスが良い。
* {{Pkg|fcitx-libpinyin}}: {{Pkg|libpinyin}} がベース。{{Pkg|fcitx-sunpinyin}} よりも優れたアルゴリズムが使われています。
* {{Pkg|fcitx-rime}}: [[Rime IME]] プロジェクトのスキーマがベース。
* {{Pkg|fcitx-googlepinyin}}: {{Pkg|libgooglepinyin}} がベース。Android 用の Google ピンイン IME。
* {{AUR|fcitx-sogoupinyin}}: Linux 向けの捜狗インプットメソッド。同音異字、クラウド入力、英語入力、混合入力をサポート。
* {{Pkg|fcitx-cloudpinyin}}: クラウドによる中国語入力をサポート。
* {{Pkg|fcitx-chewing}}: {{Pkg|libchewing}} がベースの繁体字の注音入力エンジン。
* {{Pkg|fcitx-table-extra}}: [[Wikipedia:ja:倉頡輸入法|倉頡]], [[Wikipedia:Zhengma_method|郑码]], [[Wikipedia:Boshiamy_method|嘸蝦米]]サポートを追加。
* {{Pkg|fcitx-hangul}}: {{Pkg|libhangul}} がベースの韓国語のハングル入力エンジン。
* {{Pkg|fcitx-unikey}}: ベトナム文字入力エンジン。
* {{Pkg|fcitx-sayura}}: シンハラ文字入力エンジン。
* {{Pkg|fcitx-m17n}}: [https://www.nongnu.org/m17n/ M17n] によって提供されている他の言語の入力エンジン。

=== インプットメソッドモジュール ===

GTK+ や Qt プログラムでより良い動作を得るには、必要に応じて {{Pkg|fcitx-gtk2}}, {{Pkg|fcitx-gtk3}}, {{Pkg|fcitx-qt4}}, {{Pkg|fcitx-qt5}} パッケージをインストールしてください。もしくは {{Grp|fcitx-im}} グループで全てのパッケージをインストールできます。モジュールをインストールしなくてもアプリケーション上でインプットメソッドは動作しますが、フリーズしたりプレビューウィンドウの位置がおかしくなったり、プレビューが表示されなくなったりします。

以下のアプリケーションは GTK+/Qt インプットモジュールを使用しません:

* Tk, motif, xlib などを使用するアプリケーション
* [[Emacs]], [[Opera]], [[OpenOffice]], [[LibreOffice]], [[Skype]], [[Wine]], [[Java]], [[Xterm]], [[urxvt]], WPS

=== スキン ===
fcitx にはスキンで外観をカスタマイズする機能があります。標準では dark, classic, default の3つのスキンのみが提供されています。

しかしながら、いくつかの追加スキンが [[AUR]] からインストールできます。以下はその一部です:

* {{AUR|fcitx-skin-material}}: マテリアルデザイン風の fcitx スキン。
* {{AUR|fcitx-skins}}: 8個のスキンを含んだリッチなパッケージ。

=== その他 ===

* {{Pkg|fcitx-ui-light}}: fcitx の軽量 UI。
* {{Pkg|fcitx-fbterm}}{{Broken package link|{{aur-mirror|fcitx-fbterm}}}}: Fbterm のサポート。
* {{Pkg|fcitx-table-other}}: Latex, 絵文字など。
* {{AUR|fcitx-tablet}}: 手書きのタブレットサポート。
* {{AUR|fcitx-tsundere}}: 文字を入力した後に何某かを追加するモジュール。
* {{Pkg|kcm-fcitx}}: fcitx の KDE 設定モジュール。

fcitx のコンポーネントをインストールした後は fcitx の再起動が必要です。

== 使用方法 ==

=== デスクトップ環境 ===

[[KDE]], [[GNOME]], [[Xfce]], [[LXDE]] などの XDG 互換のデスクトップ環境を使っている場合は、再ログインで自動的に起動するようになるはずです。起動しないときは、ターミナルを開いて次のように入力してください:

$ fcitx-autostart

fcitx が正しく動作しているか確認するために、leafpad といったアプリケーションを開いて CTRL+Space (インプットメソッドの切り替えのデフォルトのショートカット) を押して FCITX を呼び出しなにか文字を入力してみて下さい。

Fcitx があなたの環境で自動で起動しない場合や fctix を起動するパラメータを変更したい場合は、デスクトップ環境によって提供されているツールを使って xdg の自動起動を設定するか {{ic|~/.config/autostart/}} ディレクトリ内の {{ic|fcitx-autostart.desktop}} ファイルを編集してください (存在しないときは {{ic|/etc/xdg/autostart/}} からコピーしてください)。

デスクトップ環境が xdg 自動起動をサポートしていない場合は、(環境変数を正しく設定した後に) 次の行をスタートアップスクリプトに追加してください:

$ fcitx-autostart

xim サポートのある他のインプットメソッドが動作していると、Fcitx は xim エラーで起動できません。Fcitx を起動する前に他のインプットメソッドが動いていないことを確認してください。

=== 非デスクトップ環境 ===

以下の行をデスクトップのスタートアップスクリプトファイル (GDM, LightDM, SDDM を使っている場合は {{ic|.xprofile}} もしくは {{ic|.profile}}、startx や Slim を使っている場合は {{ic|.xinitrc}}、Wayland を使っている場合は {{ic|/etc/environment}}) に追加してください。この設定で、fcitx は gtk/qt のインプットメソッドモジュールを使うようになり xim プログラムをサポートします (必要なインプットメソッドモジュールがすでにインストールされているか確認してください):

export GTK_IM_MODULE=fcitx
export QT_IM_MODULE=fcitx
export XMODIFIERS=@im=fcitx

fcitx プロセスが自動的に起動しない場合は、{{ic|~/.xinitrc}} に {{ic|fcitx &}} を追加する必要があるかもしれません。

{{Warning|上記の設定を {{ic|.bashrc}} でしないでください。{{ic|.bashrc}} はインタラクティブな bash セッションを初期化するときに使われます。インタラクティブでないセッションや X セッションの初期化では用いられません。さらに、{{ic|.bashrc}} で環境変数を設定すると、コマンドラインから実行した診断ツールに誤解を与えて、X セッションでは環境変数が使われていないのに正しく設定されているかのように表示されることがあります。}}

{{Note|
* 上の設定で動かないときは {{ic|1=export DefaultIMModule=fcitx}} を追加してみて下さい。
* Fcitx で全ての Qt アプリに問題が発生する場合、qtconfig (qtconfig-qt4) を起動して、3番目のタブを開いて、"Default Input Method" コンボボックスに fcitx があることを確認してください。
* 現在、Qt5 アプリケーション + fcitx を使用する場合、上記の環境変数を {{ic|.bashrc}} ファイルにも追加しないと動作しないという報告があります (Plasma 5 を startx した場合や、gnome-shell で qt5 アプリケーションを起動した場合)。}}

変更を適用するためにログインしなおしてください。

=== Xim ===

任意で、gtk や qt のプログラムで xim を使うように設定することも可能で、その場合上の行を以下のように変更してください:

export GTK_IM_MODULE=xim
export QT_IM_MODULE=xim

{{Warning|xim を使用するとインプットメソッドによって、入力ができなくなったりインプットメソッドを再起動するとアプリケーションがフリーズするなどの問題がおこることがあります。xim 関連の問題に対しては Fcitx は修正やサポートを提供できません。これは他のインプットメソッドフレームワークでも同じで、可能な限り xim ではなくツールキット (gtk/qt) のインプットメソッドモジュールを使って下さい。}}

{{Note|Gtk2 は 2.24.20 から immodule のキャッシュファイルとして {{ic|/usr/lib/gtk-2.0/2.10.0/immodules.cache}} を使っています。{{ic|GTM_IM_MODULE_FILE}} 環境変数を設定していたり公式パッケージの install スクリプトを使ってキャッシュを更新していない場合、環境変数を変更・削除して {{ic|/usr/bin/gtk-query-immodules-2.0 --update-cache}} を使って immodule キャッシュを更新してください。}}

変更を適用するためにログインしなおしてください。

== 設定 ==

=== 設定ツール ===

Fcitx は GUI の設定ツールを提供しています。{{Pkg|kcm-fcitx}} (KDE) または {{Pkg|fcitx-configtool}} (GTK+3 ベース) がインストールできます。{{Pkg|fcitx-configtool}} をインストールしたら ''fcitx-config-gtk3'' を起動してください。別の言語のインプットメソッドを使用したいときは ''Only Show Current Language'' の設定を解除してください。

設定を変更する前に fcitx は停止してください。停止しないと変更が反映されません。

スペルチェックを有効にするには、fcitx が fcitx-keyboard によるインプットメソッドを使っている時に ctrl + alt + h を押して下さい。長い単語を入力すれば、動いているかどうか確認できます。

=== デフォルト UI の変更 ===

Fcitx は kimpanel プロトコルによるデスクトップの統合をサポートしています。

* Gnome-Shell: extensions.gnome.org や {{AUR|gnome-shell-extension-kimpanel-git}} パッケージから kimpanel をインストールでき、ibus-gjs と同じように使うことができます。
* KDE: {{Pkg|kimtoy}} は Sogou や fcitx のスキンを使えます。

=== ピンイン辞書の拡張 ===

ピンイン辞書は {{ic|~/.config/fcitx/pinyin}} に存在します。{{ic|pybase.mb}} ファイルには単一文字が {{ic|pyphrase.mb}} ファイルにはピンインのフレーズが定義されています。拡張するには {{ic|/usr/share/fcitx/pinyin}} にファイルを保存して fcitx を再起動してください。

== ヒントとテクニック ==

===クリップボード===
fcitx を使ってクリップボード (とクリップボード履歴) にある文章を入力することが可能です。デフォルトのトリガーキーは Control-; です。このトリガーキーはクリップボードのアドオンの設定ページにある他のオプションと同じように設定することが可能です。

{{Note|クリップボードマネージャではないため、クリップボードマネージャにあるような中身の選択や変更はできません。クリップボードからの入力にだけ使えます。}}

{{Warning|クライアントによっては複数行の入力をサポートしていないため fcitx-clipboard を使ってクリップボードの中身をペーストすると一行しか出ないことがあります。これはバグかプログラムの方の入力の問題なので fcitx は何もできません。}}

==トラブルシューティング==
=== 問題の診断 ===
fcitx を使っていて問題が発生する場合、例えばどのアプリケーションでも Ctrl+Space が使えないときは、{{ic|fcitx-diagnose}} を使ってまず問題を診断してみてください。{{ic|fcitx-diagnose}} はよくある問題についての手がかりを提供してくれます。また、(IRC やフォーラムなどで) 他の人に相談するときはコマンドの出力を貼り付けると役に立つはずです。

===Emacs===
{{ic|LC_CTYPE}} が英語の場合、emacs のバグによって emacs でインプットメソッドが使えなくなることがあります。emacs を起動する前に {{ic|ja_JP.UTF-8}} など {{ic|LC_CTYPE}} を他の値に設定することで問題を回避できます。

使用するロケールは有効である必要があります。{{ic|/etc/locale.gen}} を編集して適当な行 (例: {{ic|ja_JP.UTF-8}}) をアンコメントし、{{ic|locale-gen}} を実行してください。

デフォルトのフォントセットはベースフォントとして {{ic|-*-*-*-r-normal--14-*-*-*-*-*-*-*}} を使います (src/xfns.c)。マッチするフォント (terminus や 75dpi など、{{ic|xlsfonts}} の出力を見て下さい) がない場合、XIM は有効になりません。

==== Emacs デーモン ====

[[Emacs#デーモンとして|emacs デーモン/クライアントモード]]を使う場合、デーモンの起動時に {{ic|LC_CTYPE}} を設定してください。例えば {{ic|1=LC_CTYPE=ja_JP.UTF-8 emacs --daemon}} というコマンドを使って emacs デーモンを起動します。

systemd から emacs デーモンを起動している場合、ユニットファイルで以下のように Environment を設定してください:

Environment="LC_CTYPE=ja_JP.UTF-8" "XMODIFIERS=@im=fcitx"

systemd は {{ic|.xprofile}} をロードしないため XMODIFIERS は明示的に設定する必要があります。emacs で {{ic|initial-environment}} 変数をチェックして変数が両方とも正しく設定されていることを確認してください。

===Ctrl+Space が GTK のプログラムで機能しない===

ロケールを英語に設定しているとこの問題が発生することがあります。GTK_IM_MODULE が正しく設定されているか確認してください。

参照: [http://fcitx-im.org/wiki/FAQ#When_use_Ctrl_.2B_Space.2C_Fcitx_cannot_be_triggered_on FAQ]

*_IM_MODULE 環境変数を設定していても fcitx が有効にできない場合は、適切なインプットメソッドモジュールをインストールしているか確認してください。

プログラムによっては xim しか使わないため、そうしたプログラムを使っているときは、XMODIFIERS が正しく設定されているか確認してください。プログラムの例: gtk や qt を使わないプログラム全て (例: tk や motif、もしくは xlib を直接使っているプログラム), emacs, opera, openoffice, libreoffice, skype。

gnome の gnome-terminal で fcitx が有効にできず、上の方法で効果がない場合は、以下のコマンドを試してみて下さい:

$ gsettings set org.gnome.settings-daemon.plugins.xsettings overrides "{'Gtk/IMModule':<'fcitx'>}"

=== 内蔵の Chinese Pinyin がデフォルトで有効にならない ===

ロケールが {{ic|en_US.UTF-8}} である場合、fcitx は内蔵の Chinese Pinyin インプットメソッドをデフォルトで有効にしません。{{ic|fcitx-keyboard-us}} インプットメソッドだけが有効にされます。{{ic|fcitx-diagnose}} コマンドを実行すると以下のように表示されます:

## Input Methods:
1. Found 1 enabled input methods:
fcitx-keyboard-us
2. Default input methods:
**You only have one input method enabled, please add a keyboard input method as the first one and your main input method as the second one.**

GUI の設定ツールで {{ic|Pinyin}} や {{ic|Shuangpin}} インプットメソッドを追加してインプットメソッドが有効にしてください。

=== fcitx と KDE ===

何らかの理由で、[[KDE]] がキーボードレイアウトを適切に扱えないことがあります。例えば、US (English) から LT (Lithuanian) に切り替えた場合、キーボードの数字キーは全てリトアニア文字になるはずですが、数字が出力されてしまいます。以下の手順で修正することが可能です:

# [[#KDE|上のセクション]]で書かれているパッケージをインストールしてください。
# バックグラウンドで {{ic|fcitx}} を動かしている場合は終了してください。
# KDE に関連することを無効にします:
## ''System settings --> Input devices --> Layouts (tab)'' から "Configure layouts" のチェックを外して下さい。
## ''System settings --> Input devices --> Advanced (tab)'' から "Configure keyboard options" のチェックを外して下さい。
# ターミナルを開いて {{ic|fcitx}} と入力して fcitx を起動します。ターミナルは閉じてもかまいません。{{ic|fcitx}} はバックグラウンドで動作し続けます。
# 必要なレイアウトを設定してください (システムトレイアイコンを右クリックして "Configure" をクリック)。
# システムトレイアイコンを右クリックして、"Exit" をクリック。

これでレイアウトがちゃんと使えるようになるはずです。KDE のレイアウト切り替えrアイコンが表示され、マウススクロールしたりアイコンをクリックすることでレイアウトを切り替えられます。

=== 勝手にインプットメソッドが英語に切り替わってしまう ===

XMind でエンターを押してノードを作成したときなど、インプットメソッドが勝手に英語に切り替わってしまって、元のインプットメソッドに手動で戻さなくてはならないことがあります。

この問題を修正するには、fcitx の GUI 設定ツール ({{Pkg|fcitx-configtool}} に含まれています) を開いて、"Global Config" タブの "Share State Among Window" ドロップダウンメニューから、"PerProgram" または "All" を選択してください。

=== GNOME/Wayland 上での Fcitx の利用 ===

Wayland は {{ic|~/.xprofile}} に保管された環境変数を読み込むことができないため、Wayland 上で Fcitx を使うときは {{ic|/etc/environment}} で環境変数を設定してください。

=== xmodmap の設定が上書きされる ===

Fcitx はキーボードレイアウトを制御するため、xmodmap の設定は上書きされてしまいます。4.2.7 から、Fcitx は {{ic|~/.Xmodmap}} のロードを行うようになります。

xmodmap の変更を保存する方法については [http://fcitx-im.org/wiki/FAQ#xmodmap_settings_being_overwritten FAQ] を参照してください。

==参照==
*[https://github.com/fcitx/fcitx/ Fcitx GitHub]
*[http://fcitx-im.org/ Fcitx Wiki]

Mozc

2018-04-30T04:17:54Z

Aosho235: Mozcの仕様により、rootでMozcを起動することはできません。

[[Category:国際化]]
[[en:Mozc]]
{{Related articles start}}
{{Related|Uim を使って日本語を入力}}
{{Related articles end}}
[https://github.com/google/mozc プロジェクトホームページ]より:
:''Mozc は Android OS、Chromium OS、Windows、macOS、あるいは GNU/Linux など、マルチプラットフォームで動作するよう設計された日本語インプットメソッドエディタ (IME) であり、このオープンソースプロジェクトは [https://www.google.com/intl/ja/ime/ Google 日本語入力] から派生したものです。Mozc と Google 日本語入力との差異は [https://github.com/google/mozc/blob/master/docs/about_branding.md About Branding] で説明されています。'' (簡単に言うと、Mozc は辞書やその関連データが Google 日本語入力と異なっているか省略されており、Google 日本語入力と同等の変換品質は持ちません)

== インストール ==

どういうセットアップにしたいかによって、複数の Mozc パッケージから適切なパッケージを選択してください。まず、Mozc のコアパッケージとお好きなインプットメソッドフレームワーク ([[Fcitx]], [[IBus]], [[UIM|uim]] など) のモジュールをインストールする必要があります。ただし一部の Fcitx パッケージにはコアパッケージが同梱されています。次に、非公式の辞書がいくつか存在します: Google/Yahoo のヒット件数や Wikipedia などを元に作成された UT (開発終了) と UT2 辞書と、mecab-ipadic-NEologd Neologism 辞書を元に作られた NEologd UT 辞書があります。

以下の表ではコンポーネントと辞書の組み合わせに従ってどのパッケージをインストールするべきか示しています。1つのセル内に複数のパッケージがある場合、それらは分割パッケージです。一部のパッケージは [[非公式ユーザーリポジトリ#pnsft-pur|pnsft-pur]] リポジトリからインストールできます。

{| class="wikitable"
! !! 標準 !! UT !! UT2 !! NEologd UT
|-
! Fcitx 統合
| rowspan="2" | {{Pkg|fcitx-mozc}}
| rowspan="3" | {{AUR|fcitx-mozc-ut}}
| rowspan="2" | {{AUR|fcitx-mozc-ut2}}
| rowspan="3" | {{AUR|fcitx-mozc-neologd-ut}} {{AUR|mozc-neologd-ut}}
|-
! rowspan="2" | Mozc コア
|-
| rowspan="3" | {{AUR|mozc}} {{AUR|ibus-mozc}} {{AUR|emacs-mozc}}
| rowspan="4" | {{AUR|mozc-ut2}} {{AUR|ibus-mozc-ut2}} {{AUR|emacs-mozc-ut2}} {{AUR|uim-mozc-ut2}}
|-
! IBus 統合
| ||
|-
! Emacs 統合
| ||
|-
! uim 統合
| {{AUR|uim-mozc}} || ||
|}

上記のパッケージでは、PKGBUILD の中に特定の機能を有効化・無効化する定義が含まれていることがあります。特に、emacs パッケージをビルドする場合は {{ic|_emacs_mozc}} 行をアンコメントする必要があります:
## If you will be using mozc.el on Emacs, uncomment below.
_emacs_mozc="yes"
同じように uim-mozc-ut2 もビルドするときは手動で有効にしてください。

Mozc をインストールしたら、X やインプットメソッドフレームワークを再起動することで Mozc を使うことができます。

== 設定 ==

=== IBus ===
''IBus の設定については [[IBus]] の記事を参照してください。''

Mozc をデフォルトのインプットメソッドにするには、''ibus-setup'' で設定します:
$ ibus-setup
「インプットメソッド」タブを選び、''Mozc'' をインプットメソッドリストの先頭に移動します。

インプットメソッドの切り替えは、{{ic|Alt + Shift_L}} (IBus のデフォルト) で行えます。

=== uim ===
''uim の設定については [[UIM]] の記事を参照してください。''

以下のコマンドを実行して GUI を立ち上げて uim を設定してください (もしくは uim-pref-gtk3/uim-pref-qt4 を使用):
$ uim-pref-gtk

「標準の入力方式」としてお好きなインプットメソッドを選択してください。
{{Note|初めて Mozc をインストールした直後は、Mozc は選択できません。これは Mozc が「使用可能にする入力方式」で有効になっていないためです。その右の「編集」ボタンをクリックして Mozc を有効にしてください。}}

{{Warning|'''uim''' をアップグレード・再インストールしたときは次のコマンドを実行する必要があります: {{ic|# uim-module-manager --register mozc}}。}}

=== Fcitx ===
''Fcitx の設定については [[Fcitx]] の記事を参照してください。''

以下のコマンドを実行して Fcitx の設定ダイアログを開いてください:
$ fcitx-configtool
''Input Method'' タブからプラス記号をクリックしてダイアログのリストから Mozc を選択してください。設定によっては、Mozc を使うために ''Only Show Current Language'' オプションを無効化する必要があります。ダイアログの確認後、標準のキーボードショートカットを使って Mozc をインプットメソッドとして有効にできます。

=== Emacs で Mozc を使う ===

mozc.el (mozc-mode) を使用して LEIM (Library of Emacs Input Method) 経由で日本語を入力することができます。mozc-mode を使用するには、以下を {{ic|.emacs.d/init.el}} あるいはその他の Emacs カスタム設定用ファイルに追加します:
(require 'mozc) ; or (load-file "/path/to/mozc.el")
(setq default-input-method "japanese-mozc")
mozc.el は変換候補の表示スタイルに、候補のリストを入力中文字列のそばに表示する "overlay" モードを提供しています (Mozc r77以降)。このモードをデフォルトで利用する場合は、以下の設定を追加します:
(setq mozc-candidate-style 'overlay)

{{ic|C-\}} (''toggle-input-method'') で mozc-mode のオン/オフを切り替えます。

==== Emacs 上で C-SPC が IM のオン・オフで使われてしまうのを抑止する ====

デスクトップ環境上で IM のオン・オフのキー割り当てに C-SPC を設定しており、Emacs 上でもそちらが優先されて C-SPC/C-@ で set-mark-command が使えなくて困る、という場合は、{{ic|~/.Xresources}} か {{ic|~/.Xdefaults}} に以下を追加します。
Emacs*UseXIM: false

== ヒントとテクニック ==

=== 現在使用している Mozc のバージョンを表示する ===

Mozc 起動中に "ばーじょん" と入力し変換すると、変換候補の中に現在の Mozc のバージョン番号が表示されます:
{{hc|ばーじょん
|バージョン
ヴァージョン
ばーじょん
Mozc-1.6.1187.102 ''⇐ Mozc のバージョン''
...}}

=== コマンドラインから Mozc ツールを起動 ===

以下のコマンドで Mozc のツールを起動できます:
* Mozc 設定: {{ic|1=$ /usr/lib/mozc/mozc_tool --mode=config_dialog}}
* Mozc 辞書ツール: {{ic|1=$ /usr/lib/mozc/mozc_tool --mode=dictionary_tool}}
* Mozc 単語登録: {{ic|1=$ /usr/lib/mozc/mozc_tool --mode=word_register_dialog}}
* Mozc 手書き文字入力: {{ic|1=$ /usr/lib/mozc/mozc_tool --mode=hand_writing}}
* Mozc 文字パレット: {{ic|1=$ /usr/lib/mozc/mozc_tool --mode=character_palette}}

=== ASCII キーボードで CapsLock キーを英数キーとして使用する ===

Mozc のプリセットのキーバインドや多くの日本語入力メソッドでは、変換前入力中の英数入力切り替えは、{{ic|英数}}キー、{{ic|ひらがな/カタカナ}}キー、あるいは{{ic|無変換}}キーなどに割り当てられていますが、ASCII キーボードにそれらはありません。CapsLock キーに英数キー (Eisu_toggle) を割り当てることで日本語キーボードと同じように使用できます (Mozc は CapsLock キーを認識しないようです)。

以下の設定では、OADG キーボードと等価な、Eisu_toggle を {{ic|CapsLock}} キーに、Caps_Lock を {{ic|Shift + CapsLock}} キーに割り当てます。
{{Warning|この設定はデスクトップ全体に作用します。}}

{{ic|~/.Xmodmap}} を以下のように編集します:
keycode 66 = Eisu_toggle Caps_Lock
clear Lock

X 再起動するか、xmodmap コマンドを実行して編集を適用します:
$ xmodmap ~/.Xmodmap

== トラブルシューティング ==

=== Mozc のビルドに失敗する (プロセスが強制終了される) ===

ビルドが以下のようなメッセージで異常終了した場合:
...
/bin/sh: 1 行: xxxx 強制終了
...
make: *** [xxx/xxx ...] エラー 137
...
メモリ不足になっていないか確認してください。

=== Mozc をアップグレードし、X または IBus を再起動しても (リブートはしていない) 古い Mozc が動いている ===

古いバージョンの Mozc が終了されずにずっとメモリ上で動作しているのかもしれません。Mozc のプロセスを一度 kill してみてください:
$ killall mozc_server

=== mozc_serverがdefunctになる ===

Mozcの仕様により、rootでMozcを起動することはできません。一般ユーザーでXを起動してください。

== 参照 ==

* [https://github.com/google/mozc Mozc 公式サイト]

GnuPG

2016-01-24T18:28:27Z

Aosho235: /* gpg-agent */

[[Category:セキュリティ]]
[[en:GnuPG]]
[[es:GnuPG]]
[[ru:GnuPG]]
[http://www.gnupg.org 公式サイト] によれば:

:GnuPG は RFC4880（別名 [[Wikipedia:PGP|PGP]]）で定義される OpenPGP 標準の完全でフリーな実装です。GnuPG を使うことでデータや通信を暗号化したり署名することができます。多目的の鍵管理システムであり、あらゆる種類の公開鍵ディレクトリのアクセスモジュールです。GnuPG（またの名を GPG）は他のアプリケーションとの簡単に連携できる機能を備えたコマンドラインツールです。豊富なアプリケーションとライブラリが利用可能です。GnuPG のバージョン2は S/MIME と ssh のサポートも含んでいます。

== インストール ==

{{Pkg|gnupg}} をインストールしてください。

gnupg をインストールすると、GnuPG がパスフレーズエントリに使用するシンプルな PIN やパスフレーズエントリダイアログのコレクションである {{Pkg|pinentry}} もインストールされます。''pinentry'' はシンボリックリンク {{ic|/usr/bin/pinentry}} によって決められ、デフォルトでは {{ic|/usr/bin/pinentry-gtk-2}} になります。

グラフィカルフロントエンドや GnuPG と連携するプログラムを使いたい場合は[[アプリケーション一覧/セキュリティ#暗号化, 署名, ステガノグラフィー]]を参照してください。

== 環境変数 ==

=== GNUPGHOME ===

{{ic|$GNUPGHOME}} は全ての設定ファイルを保存するディレクトリを指定するのに GnuPG によって使われます。デフォルトでは {{ic|$GNUPGHOME}} は設定されておらず、代わりに {{ic|$HOME}} が使われます。そのためインストール直後は {{ic|~/.gnupg}} ディレクトリが確認できます。[[自動起動|スタートアップファイル]]に次の行を記述することでデフォルト設定を変更できます:

export GNUPGHOME="''/path/to/directory''"

{{Note|デフォルトでは、gnupg ディレクトリの[[ファイルのパーミッションと属性|パーミッション]]は ''700'' に設定されており、ディレクトリのファイルのパーミッションは ''600'' に設定されています。ファイルの読み書きやアクセスの権限を持っているのはディレクトリの所有者だけです (''r'',''w'',''x'')。これはセキュリティ上の理由で設定されていることなので変更してはいけません。ディレクトリやファイルがこのセキュリティ対策に従っていない場合、ファイルやホームディレクトリのパーミッションが安全ではないという警告が表示されます。}}

== 設定ファイル ==

デフォルトは {{ic|~/.gnupg/gpg.conf}} と {{ic|~/.gnupg/dirmngr.conf}} です。デフォルトの場所を変更したい場合は、{{ic|$ gpg --homedir ''path/to/file''}} と gpg を実行するか {{ic|$GNUPGHOME}} 変数を使って下さい。どんな長いオプションもこのファイルに追加します。2つのダッシュを書かないで、オプションや必要な引数の名前を書いて下さい。スケルトンファイルは {{ic|/usr/share/gnupgl}} にあります。gpg がなんらかの操作のため最初に起動されたとき、~/.gnupg が存在しなければこれらのファイルが ~/.gnupg にコピーされます。[[#参照]] に他の例があります。

== 使い方 ==

{{Note|コマンドに ''{{ic|<user-id>}}'' が必要なときは、鍵 ID、指紋、名前やメールアドレスの一部などを指定できます。これについて GnuPG は寛容です。}}
{{Note|以下のステップのいくつかは、使用法によってはメールクライアントなどの外部プログラムにより提供されていることもあります。[[アプリケーション一覧/セキュリティ#暗号化, 署名, ステガノグラフィー]]も参照}}

=== 鍵の作成 ===

秘密鍵を生成するにはターミナルに次を入力:

$ gpg --full-gen-key

{{Tip|{{ic|--expert}} を使うことで他の暗号を利用することができます ([[wikipedia:ja:楕円曲線暗号|楕円曲線暗号]]など)}}

いくつか質問がきかれます。一般的に、ほとんどのユーザーは RSA (署名のみ) と RSA (暗号化のみ) の両方の鍵が必要になります。鍵長は2048ビットで十分です。4096ビットを使ったところで [https://www.gnupg.org/faq/gnupg-faq.html#no_default_of_rsa4096 "大した効果はありませんし、無駄に時間がかかるようになるだけです"] 。

副鍵の有効期限の設定は技術的には必須ではありませんが、設定することは悪くありません。標準的なユーザーなら、1年間で十分でしょう。たとえ鍵束へのアクセスを失っても、他の人が有効でないことを知ることができるようになります。鍵を作成した後、新しい鍵を再発行しなくても満了日は延長することができます。

安全なパスフレーズを選ぶようにしてください（[[セキュリティ#パスワードの管理]]を参照）。

=== 秘密鍵のバックアップ ===

秘密鍵をバックアップするには:

$ gpg --export-secret-keys --armor ''<user-id>'' > privkey.asc

秘密鍵はロックされたコンテナや暗号化されたドライブなど安全な場所に置いてください。

{{Warning|上記のエクスポートされたファイルにアクセスできる人は誰でも、''パスフレーズを知らなくても''あなたのふりをして文書を暗号化したり署名したりできます}}

=== 公開鍵のエクスポート ===

他の人があなたに暗号化したメッセージを送れるようにするには、彼らがあなたの公開鍵を知っている必要があります。

（メールで送る場合などのために）ASCII 版の公開鍵を生成するには:

$ gpg --armor --output public.key --export ''<user-id>''

あるいは、[[#鍵サーバを使用する|鍵サーバ]]で鍵を共有する方法もあります。

{{Tip|{{ic|--no-emit-version}} を使うか、これを設定ファイルに書くことでバージョン番号の表示を抑制できます。}}

=== 鍵のインポート ===

メッセージを暗号化して他の人に送るには、彼らの公開鍵が必要です。公開鍵を自分の公開鍵リングにインポートするには:

$ gpg --import public.key

あるいは、[[#鍵サーバを使用する|鍵サーバ]]で公開鍵を見つけます。

=== 鍵サーバを使用する ===

自分の公開鍵を公共の PGP 鍵サーバに登録することで、他の人があなたに直接連絡することなしにあなたの鍵を入手できるようになります。

$ gpg --send-keys ''<key-id>''

鍵サーバから鍵をインポートするには:

$ gpg --recv-keys ''<key-id>''

{{Warning|誰でも鍵サーバに鍵を送ることができます。そのため、ダウンロードした鍵が本当にその人のものであると信用してはいけません。入手した鍵の指紋を、持ち主が別の場所（ブログ、サイト、メール・電話で連絡するなど）で公開している指紋と比較してその鍵の真正性を確かめるべきです。複数の情報源を使うことでその鍵の信頼性は増します。[[Wikipedia:Public key fingerprint]]を参照。}}

{{Tip|
* 代わりの鍵サーバは {{ic|pool.sks-keyservers.net}} で {{ic|--keyserver}} で指定できます。[[wikipedia:Key server (cryptographic)#Keyserver examples]]を参照
* {{ic|--use-tor}} を使うと [[Tor]] で鍵サーバに接続できます。{{ic|hkp://jirk5u4osbsr34t5.onion}} は sks-keyservers プールの onion アドレスです。[https://gnupg.org/blog/20151224-gnupg-in-november-and-december.html See this GnuPG blog post] を参照}}

=== 暗号化と復号化 ===

暗号化や復号化をするときは複数の秘密鍵を使用することが可能です。複数の鍵を使うときは使用する鍵を選択する必要があります。{{ic|-u ''<user-id>''}} オプションや {{ic|--local-user ''<user-id>''}} オプションを使うことで選択できます。このオプションを使うとデフォルトの鍵を使用する代わりに指定された鍵を使用します。

ASCII armor（テキストでメッセージをコピー＆ペーストするのに適している）を使ってファイルを暗号化するには、次を使用:

$ gpg --encrypt --armor secret.txt

単に暗号化だけしたいときは{{ic|--armor}}は不要です。

{{Tip|
* 受取人を変更したい場合は {{ic|-r ''<user-id>''}} オプションで変更できます (または {{ic|--recipient ''<user-id>''}})
* Add {{ic|-R ''<user-id>''}} or {{ic|--hidden-recipient ''<user-id>''}} instead of {{ic|--recipient}} to not put the recipient key IDs in the encrypted message. This helps to hide the receivers of the message and is a limited countermeasure against traffic analysis.
* Add {{ic|--no-emit-version}} to avoid printing the version number, or add the corresponding setting to your configuration file.}}

{{Note|gnupg を使えば機密文書を暗号化できますが、一度に複数のファイルを暗号化することはできません。ディレクトリやファイルシステム全体を暗号化したいときは、[[TrueCrypt]] や [[EncFS]] などを使用するか、tarball にファイルをまとめて暗号化すると良いでしょう。}}

ファイルを復号化するには、次を使用:

$ gpg --decrypt secret.txt.asc

パスフレーズの入力が求められます。復号化するには送信者の公開鍵をインポートしてある必要があります。

== 鍵の管理 ==

=== 鍵の編集 ===

* {{ic|gpg --edit-key ''<user-id>''}} コマンドを実行するとメニューが表示され、鍵管理に関連するほとんどの作業を行うことができます。以下は満了日を設定する例です:

$ gpg --edit-key ''<user-id>''
> key ''number''
> expire ''yyyy-mm-dd''
> save
> quit

便利なコマンド:
> passwd # change the passphrase
> clean # compact any user ID that is no longer usable (e.g revoked or expired)
> revkey # revoke a key
> addkey # add a subkey to this key
> expire # change the key expiration time

* 公開鍵の ASCII バージョンを生成 (例: メールなどで配るため):

$ gpg --armor --output public.key --export ''<user-id>''

* PGP 公開鍵サーバーに鍵を登録して、他の人があなたに直接連絡しなくても鍵を取得できるようにする:

$ gpg --keyserver pgp.mit.edu --send-keys ''<key-id>''

* ユーザー Bob あてに署名と暗号化:

$ gpg -se -r Bob ''file''

* クリアテキスト署名を作成:

$ gpg --clearsign ''file''

=== 副鍵のエクスポート ===

複数のデバイスで同じ鍵を使い回す場合、マスター鍵を分離させて、セキュリティが低いシステムでは暗号化に必要な副鍵だけを使いたいという状況が考えられます。

まず、エクスポートしたい副鍵を確認してください:

$ gpg -K

エクスポートする副鍵だけを選択:

$ gpg -a --export-secret-subkeys [subkey id]! > /tmp/subkey.gpg

{{Warning|If you forget to add the !, all of your subkeys will be exported.}}

ここで作業を終えても良いですが、パスフレーズの変更もしておくと安全です。一時フォルダに鍵をインポートします:

$ gpg --homedir /tmp/gpg --import /tmp/subkey.gpg
$ gpg --homedir /tmp/gpg --edit-key ''<user-id>''
> passwd
> save
$ gpg --homedir /tmp/gpg -a --export-secret-subkeys [subkey id]! > /tmp/subkey.altpass.gpg

{{Note|マスター鍵が存在しない、また、マスター鍵のパスワードが変更されていないという警告が表示されますが、変更したのは副鍵のパスワードなので無視してかまいません。}}

これで、他のデバイスで {{ic|/tmp/subkey.altpass.gpg}} を使うことができます。

=== 副鍵の使用 ===

{{Warning|何か特段の事情がないかぎり、有効期限が切れたり無効になった副鍵を削除しないでください。削除してしまうとその副鍵で暗号化したファイルを復号化できなくなってしまいます。満了した、または無効のキーを削除するのは他のユーザーの鍵束を整理するときだけにしてください。}}

副鍵を設定して一定期間後に満了したら、新しい副鍵を作成できます。他のユーザーが鍵束を更新できるように数週間前に行うようにしましょう。

{{Note|新しい鍵を作成する必要はありません。期限がきて使えなくなっただけだからです。有効期間を延長することができます。}}

* 新しい副鍵を作成 (署名と暗号化の鍵の両方)

$ gpg --edit-key ''<user-id>''
> addkey

そして質問に答えて下さい (推奨される設定については前のセクションを参照)。

* 変更を保存:

> save

* キーサーバーにアップデート:

$ gpg --keyserver pgp.mit.edu --send-keys ''<user-id>''

{{Note|満了した副鍵を失効させる必要はありません、また、良い行いとは言えません。しょっちゅう鍵を無効化させているようでしたら、他人はあなたを信用しなくなるかもしれません。}}

=== 鍵を表示 ===

* 公開鍵束の鍵:

$ gpg --list-keys

* 秘密鍵束の鍵:

$ gpg --list-secret-keys

== gpg-agent ==

{{Deletion|多くの部分が古くて不要になっています|section=gpg-agent deletion}}
{{Out of date|[[#GPG_AGENT_INFO]] is deprecated since {{pkg|gnupg}}-2.1. See [[#Unattended passphrase]] for new method.}}

''gpg-agent'' はキーチェインにパスワードをリクエストしたりキャッシュしたりするのに使われるデーモンです。メールクライアントなど外部のプログラムから GnuPG を利用する場合に便利です。{{ic|gpg.conf}} に次の行を追加することで使用できます:

{{hc|~/.gnupg/gpg.conf|use-agent}}

この設定によって GnuPG はパスワードが必要になった時にエージェントを使うようになります。ただし、あらかじめエージェントを実行しておく必要があります。エージェントを自動的に起動するには、{{ic|.xinitrc}} や {{ic|.bash_profile}} に以下のエントリを追加してください。{{ic|$GNUPGHOME}} を変更していた場合は envfile のパスを忘れずに変更するようにしてください。

{{hc|~/.bash_profile|2=<nowiki>
envfile="$HOME/.gnupg/gpg-agent.env"
if [[ -e "$envfile" ]] && kill -0 $(grep GPG_AGENT_INFO "$envfile" | cut -d: -f 2) 2>/dev/null; then
eval "$(cat "$envfile")"
else
eval "$(gpg-agent --daemon --enable-ssh-support --write-env-file "$envfile")"
fi
export GPG_AGENT_INFO # the env file does not contain the export statement
export SSH_AUTH_SOCK # enable gpg-agent for ssh
</nowiki>}}

その後、セッションを一度ログアウトしてからログインしなおして下さい。''gpg-agent'' が有効になっているか確認:

$ pgrep gpg-agent

=== 設定 ===

gpg-agent は {{ic|~/.gnupg/gpg-agent.conf}} ファイルで設定することができます。設定オプションは {{ic|man gpg-agent}} に記載されています。例えば、未使用の鍵の cache ttl を変更することができます:

{{hc|~/.gnupg/gpg-agent.conf|
default-cache-ttl 3600
}}

{{Tip|セッションを通してパスフレーズをキャッシュするには、次のコマンドを実行してください:
$ /usr/lib/gnupg/gpg-preset-passphrase --preset XXXXXX

XXXX は鍵輪に置き換えてください。鍵輪の値は {{ic|gpg --with-keygrip -K}} を実行することで取得できます。パスフレーズは {{ic|gpg-agent}} が再起動されるまで保存されます。{{ic|default-cache-ttl}} の値を設定した場合、そちらが優先されます。
}}

=== エージェントのリロード ===

設定を変更した後は、{{ic|gpg-connect-agent}} に {{ic|RELOADAGENT}} という文字列をパイプで渡して、エージェントをリロードしてください。

$ echo RELOADAGENT | gpg-connect-agent

シェルに {{ic|OK}} と出力されます。

=== pinentry ===

最後に、ユーザーにパスワードを尋ねる方法をエージェントに設定する必要があります。gpg-agent の設定ファイルで設定できます。

デフォルトでは gtk のダイアログが使われます。使用できるオプションは {{ic|info pinentry}} を見て下さい。ダイアログの実装を変更するには {{ic|pinentry-program}} 設定オプションを設定します:
{{hc|~/.gnupg/gpg-agent.conf|

# PIN entry program
# pinentry-program /usr/bin/pinentry-curses
# pinentry-program /usr/bin/pinentry-qt4
# pinentry-program /usr/bin/pinentry-kwallet

pinentry-program /usr/bin/pinentry-gtk-2
}}

{{Tip|{{ic|/usr/bin/pinentry-kwallet}} を使うには {{Pkg|kwalletcli}} パッケージをインストールする必要があります。}}

変更を行った後は、gpg-agent をリロードしてください。

=== systemd ユーザーで gpg-agent を起動 ===

[[Systemd/ユーザー]] 機能を使ってエージェントを起動することが可能です。

systemd ユニットファイルを作成:

{{hc|~/.config/systemd/user/gpg-agent.service|2=
[Unit]
Description=GnuPG private key agent
IgnoreOnIsolate=true

[Service]
Type=forking
ExecStart=/usr/bin/gpg-agent --daemon --homedir=%h/.gnupg
ExecStop=/usr/bin/pkill gpg-agent
Restart=on-abort

[Install]
WantedBy=default.target
}}

{{Note|
* {{ic|GNUPGHOME}} など、サービスに環境変数を設定する必要があります。詳しくは [[systemd/ユーザー#環境変数]] を見て下さい。
* gnupg ホームディレクトリが {{ic|~/.gnupg}} の場合、パスを指定する必要はありません。
* {{ic|gpg -agent}} は標準ソケットを使いません。代わりに gnupg のホームディレクトリにある {{ic|S.gpg-agent}} という名前のソケットを使います。environment ファイルを読み込んで {{ic|/tmp}} に作成されたランダムなソケットのパスを取得するスクリプトは忘れることができます。
}}
* If you use SSH capabilities of gpg-agent (--enable-ssh-support), the systemd unit above will not work

{{Tip|gpg-agent が実行していること、接続を待機していることを確認するには、次のコマンドを実行してください: {{ic|$ gpg-connect-agent}}。設定が問題なければ、プロンプトが表示されます (''bye'' や ''quit'' と入力すれば接続が終了します)。}}

=== 無人のパスフレーズ ===

GnuPG 2.1.0 から gpg-agent と pinentry の利用が必須になりました。これによって {{ic|--passphrase-fd 0}} コマンドラインオプションによって STDIN からパイプで渡されたパスフレーズの後方互換性が損ねられています。古いリリースと同じような機能を使うには2つのことをする必要があります:

まず、gpg-agent の設定を編集して ''loopback'' pinentry モードを許可してください:

{{hc|1=~/.gnupg/gpg-agent.conf|2=
allow-loopback-pinentry
}}

gpg-agent プロセスが実行している場合は再起動して変更を適用します。

次に、更新する必要があるアプリケーションに以下のようにコマンドラインパラメータを含めて loopback モードを使用します:

$ gpg --pinentry-mode loopback ...

もしくは、コマンドラインで設定ができない場合、オプションを設定に追加します:

{{hc|1=~/.gnupg/gpg.conf|2=
pinentry-mode loopback
}}

{{Note|上流の開発者は ''gpg.conf'' で ''pinentry-mode loopback'' を設定すると他の機能が使えなくなる可能性があると示唆しています。出来るかぎりコマンドラインオプションを使うようにして下さい [https://bugs.g10code.com/gnupg/issue1772]。}}

== スマートカード ==

{{Note|{{Pkg|pcsclite}} と {{Pkg|libusb-compat}} をインストールして、{{ic|pcscd.service}} サービスを [[systemd#ユニットを使う|systemd]] で実行する必要があります。}}

GnuPG はスマートカードリーダーのインターフェイスとして ''scdaemon'' を使います。詳しくは [[man ページ]]を参照してください。

=== GnuPG のみ設定 ===

GnuPG ベース以外のカードを使う予定がない場合は、{{ic|~/.gnupg/scdaemon.conf}} の {{Ic|reader-port}} パラメータを確認してください。'0' が最初に利用できるシリアルポートリーダーを、'32768' (デフォルト) が最初の USB リーダーを示しています。

=== GnuPG と OpenSC ===

opensc ドライバーであらゆるスマートカードを使う場合は (例: いろいろな国の ID カード)、GnuPG の設定に注意する必要があります。何も設定をしていないと {{Ic|gpg --card-status}} を使った時に以下のようなメッセージが表示されることがあります:

gpg: selecting openpgp failed: ec=6.108

デフォルトでは、scdaemon はデバイスに直接接続しようとします。リーダーが他のプロセスによって使用中だとこの接続は失敗します。例えば: OpenSC によって使用される pcscd デーモン。この状況に対処するには、opensc と同じ基盤のドライバーを使って一緒に動作できるようにする必要があります。scdaemon に pcscd を使用させるため、{{ic|~/.gnupg/scdaemon.conf}} から {{Ic|reader-port}} を削除して、{{ic|libpcsclite.so}} ライブラリの場所を指定し、ccid を無効化してください:

{{hc|~/.gnupg/scdaemon.conf|<nowiki>
pcsc-driver /usr/lib/libpcsclite.so
card-timeout 5
disable-ccid
</nowiki>}}

OpenSC を使わない場合は {{Ic|man scdaemon}} をチェックしてください。

== Tips and tricks ==

=== Different algorithm ===

You may want to use stronger algorithms:

{{hc|~/.gnupg/gpg.conf|
...

personal-digest-preferences SHA512
cert-digest-algo SHA512
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
personal-cipher-preferences TWOFISH CAMELLIA256 AES 3DES
}}

In the latest version of GnuPG, the default algorithms used are SHA256 and AES, both of which are secure enough for most people. However, if you are using a version of GnuPG older than 2.1, or if you want an even higher level of security, then you should follow the above step.

=== Encrypt a password ===

It can be useful to encrypt some password, so it will not be written in clear on a configuration file. A good example is your email password.

First create a file with your password. You '''need''' to leave '''one''' empty line after the password, otherwise gpg will return an error message when evaluating the file.

Then run:

$ gpg -e -a -r ''<user-id>'' ''your_password_file''

{{ic|-e}} is for encrypt, {{ic|-a}} for armor (ASCII output), {{ic|-r}} for recipient user ID.

You will be left with a new {{ic|''your_password_file''.asc}} file.

=== Default options for new users ===

If you want to setup some default options for new users, put configuration files in {{ic|/etc/skel/.gnupg/}}. When the new user is added in system, files from here will be copied to its GnuPG home directory. There is also a simple script called ''addgnupghome'' which you can use to create new GnuPG home directories for existing users:

# addgnupghome user1 user2

This will add the respective {{ic|/home/user1/.gnupg}} and {{ic|/home/user2/.gnupg}} and copy the files from the skeleton directory to it. Users with existing GnuPG home directory are simply skipped.

=== Revoking a key ===

{{Warning|
*Anybody having access to your revocation certificate can revoke your key, rendering it useless.
*Key revocation should only be performed if your key is compromised or lost, or you forget your passphrase.}}

Revocation certificates are automatically generated for newly generated keys, although one can be generated manually by the user later. These are located at {{ic|~/.gnupg/openpgp-revocs.d/}}. The filename of the certificate is the fingerprint of the key it will revoke.

To revoke your key, simply import the revocation certificate:

$ gpg --import ''<fingerprint>''.rev

Now update the keyserver:

$ gpg --keyserver subkeys.pgp.net --send ''<userid>''

=== Change trust model ===

By default GnuPG uses the [[Wikipedia::Web of Trust|Web of Trust]] as the trust model. You can change this to [[Wikipedia::Trust on First|Trust on First]] Use by adding {{ic|1=--trust-model=tofu}} when adding a key or adding this option to your GnuPG configuration file. More details are in [https://lists.gnupg.org/pipermail/gnupg-devel/2015-October/030341.html this email to the GnuPG list].

=== Hide all recipient id's ===

By default the recipient's key ID is in the encrypted message. This can be removed at encryption time for a recipient by using {{ic|hidden-recipient ''<user-id>''}}. To remove it for all recipients add {{ic|throw-keyids}} to your configuration file. This helps to hide the receivers of the message and is a limited countermeasure against traffic analysis. (Using a little social engineering anyone who is able to decrypt the message can check whether one of the other recipients is the one he suspects.) On the receiving side, it may slow down the decryption process because all available secret keys must be tried (''e.g.'' with {{ic|--try-secret-key ''<user-id>''}}).

=== Using caff for keysigning parties ===

To allow users to validate keys on the keyservers and in their keyrings (i.e. make sure they are from whom they claim to be), PGP/GPG uses he [[Wikipedia::Web of Trust|Web of Trust]]. Keysigning parties allow users to get together in physical location to validate keys. The [[Wikipedia:Zimmermann–Sassaman key-signing protocol|Zimmermann-Sassaman]] key-signing protocol is a way of making these very effective. [http://www.cryptnet.net/fdp/crypto/keysigning_party/en/keysigning_party.html Here] you will find a how-to article.

キーサインパーティの後、鍵に署名したり所有者に署名を送るのを簡略化するために、''caff'' というツールを使うことができます。AUR のパッケージ {{AUR|caff-svn}} でインストールすることができ、{{AUR|signing-party-svn}} パッケージなど他の便利なツールにも付属しています。どちらにせよ、AUR から大量の依存パッケージをインストールすることになります。また、以下のように CPAN からインストールすることも可能です:
cpanm Any::Moose
cpanm GnuPG::Interface

To send the signatures to their owners you need a working [[Wikipedia:Message transfer agent|MTA]]. If you do not have already one, install [[msmtp]].

== トラブルシューティング ==

=== Make it work behind an http proxy ===
Since 2.1.9 the http proxy option can be set like this:

gpg --keyserver-option http-proxy=HOST:PORT

See https://bugs.gnupg.org/gnupg/issue1786 for more explanation.

=== Not enough random bytes available ===
鍵を生成するときに、gpg は以下のエラーを表示することがあります:
Not enough random bytes available. Please do some other work to give the OS a chance to collect more entropy!
残っているエントロピーを確認するには、カーネルパラメータをチェックしてください:
cat /proc/sys/kernel/random/entropy_avail

エントロピーがたくさんある健康的な Linux 環境ならマックスの 4,096 ビットに近い値が返されます。返ってくる値が 200 以下の場合、システムのエントロピーが足りていません。

エントロピー問題を解決するには、メッセージ通りのことをするのがベストです (例: ディスクを動かす、マウスを動かす、wiki を編集する - 何でもエントロピーの生成に繋がります)。それでも問題が解決しない場合、エントロピーを使い果たしているサービスが何なのかチェックして、しばらくそのサービスを停止してみてください。サービスを停止できない場合、[[乱数生成#高速な RNG]] を見て下さい。

=== su ===

{{Ic|pinentry}} を使う場合、使用するターミナルデバイス (例: {{Ic|/dev/tty1}}) の適切なパーミッションが必要です。しかしながら、''su'' (または ''sudo'') を使用すると、所有権は元のユーザーに残り、新しいユーザーにはなくなります。これでは pinentry はたとえ root であっても起動しません。pinentry を使用する (つまりエージェントで gpg を使用する) 前にデバイスのパーミッションを同じ所に変更する必要があります。root で gpg を実行する場合、gpg を使用する直前に所有者を root に変更してください:

chown root /dev/ttyN # where N is the current tty

そして gpg を使用した後に元に戻して下さい。おそらく {{Ic|/dev/pts/}} と同じのが正しいです。

{{Note|The owner of tty ''must'' match with the user for which pinentry is running. Being part of the group {{Ic|tty}} '''is not''' enough.}}

=== エージェントがファイルの終末についてエラーを表示する ===

デフォルトの pinentry プログラムは pinentry-gtk-2 であり、D-Bus セッションバスを正しく実行する必要があります。詳しくは[[一般的なトラブルシューティング#セッションのパーミッション]]を見て下さい。

もしくは、{{ic|pinentry-qt}} を使うこともできます。[[#pinentry]] を参照。

=== KGpg 設定のパーミッション ===

There have been issues with {{Pkg|kdeutils-kgpg}} being able to access the {{ic|~/.gnupg/}} options. One issue might be a result of a deprecated ''options'' file, see the [https://bugs.kde.org/show_bug.cgi?id=290221 bug] report.

Another user reported that ''KGpg'' failed to start until the {{ic|~/.gnupg}} folder is set to {{ic|drwxr-xr-x}} permissions. If you require this work-around, ensure that the directory contents retain {{ic|-rw-------}} permissions! Further, report it as a bug to the [https://bugs.kde.org/buglist.cgi?quicksearch=kgpg developers].

=== gnome-keyring と gpg-agent が衝突する ===

Gnome keyring は GPG エージェントコンポーネントを実装していますが、GnuPG バージョン 2.1 から、GnuPG は {{ic|GPG_AGENT_INFO}} 環境変数を無視するようになったため、Gnome keyring を GPG エージェントとして使うことはできません。

However, since version 0.9.6 the package {{Pkg|pinentry}} provides the {{Ic|pinentry-gnome3}} program. You may set the following option in your {{Ic|gpg-agent.conf}} file
pinentry-program /usr/bin/pinentry-gnome3
in order to make use of that pinentry program.

Since version 0.9.2 all pinentry programs can be configured to optionally save a passphrase with libsecret. For example, when the user is asked for a passphrase via {{Ic|pinentry-gnome3}}, a checkbox is shown whether to save the passphrase using a password manager. Unfortunately, the package {{Pkg|pinentry}} does not have this feature enabled (see {{Bug|46059}} for the reasons). You may use {{AUR|pinentry-libsecret}} as a replacement for it, which has support for libsecret enabled.

=== mutt and gpg ===

To be asked for your GnuPG password only once per session as of GnuPG 2.1, see [https://bbs.archlinux.org/viewtopic.php?pid=1490821#p1490821 this forum thread].

=== gnupg バージョン 2.1 にアップグレードすると鍵が"消失"する ===

{{ic|gpg --list-keys}} を実行しても以前まで使っていた鍵が表示されない場合、また、アプリケーションが鍵を見つけられないまたは鍵が不正だとエラーを吐く場合、鍵が新しいフォーマットに移行できていない可能性があります。

[http://jo-ke.name/wp/?p=111 GnuPG invalid packet workaround] を読んで下さい。要約すると、旧式の {{ic|pubring.gpg}} と {{ic|secring.gpg}} ファイルの鍵にはバグが存在しており、新しい {{ic|pubring.kbx}} ファイルと {{ic|private-keys-v1.d/}} サブディレクトリ、そしてディレクトリのファイルによって置き換えられたということが書かれています。以下のコマンドを実行することで消失した鍵を復旧させることができるかもしれません:

$ cd
$ cp -r .gnupg gnupgOLD
$ gpg --export-ownertrust > otrust.txt
$ gpg --import .gnupg/pubring.gpg
$ gpg --import-ownertrust otrust.txt
$ gpg --list-keys

=== (鍵を受信しようとすると) どのキーサーバーでも gpg がフリーズする ===

特定のキーサーバーで鍵を受信しようとして gpg がフリーズしている場合、dirmngr を kill して (問題が起こっていない) 他のキーサーバーにアクセスできるようにする必要があります。そうしないと全てのキーサーバーでフリーズしてしまいます。

=== スマートカードが検出されない ===

スマートカードにアクセスするための権限がない場合、カードを正しく設定して接続しても、{{ic|card error}} が表示されることがあります。

スマートカードにアクセスする必要があるユーザーに {{ic|scard}} を追加することで解決できます。追加したら、以下のような [[Udev#udev ルールを記述する|udev]] ルールを作って下さい:
{{hc|/etc/udev/rules.d/71-gnupg-ccid.rules|<nowiki>
ACTION=="add", SUBSYSTEM=="usb", ENV{ID_VENDOR_ID}=="1050", ENV{ID_MODEL_ID}=="0116|0111", MODE="664", GROUP="scard"
</nowiki>}}

VENDOR と MODEL は {{ic|lsusb}} の出力にあわせて変更する必要があります。上記は YubikeyNEO の例です。

== 参照 ==

* [https://gnupg.org/ GNU Privacy Guard Homepage]
* [https://fedoraproject.org/wiki/Creating_GPG_Keys Creating GPG Keys (Fedora)]
* [https://wiki.debian.org/Subkeys OpenPGP subkeys in Debian]
* [http://blog.sanctum.geek.nz/series/linux-crypto/ A more comprehensive gpg Tutorial]
* [https://help.riseup.net/en/security/message-security/openpgp/gpg-best-practices gpg.conf recommendations and best practices]
* [https://github.com/ioerror/torbirdy/blob/master/gpg.conf Torbirdy gpg.conf]
* [https://www.reddit.com/r/GPGpractice/ /r/GPGpractice - a subreddit to practice using GnuPG.]

GnuPG

2016-01-24T18:26:28Z

Aosho235: /* 暗号化と復号化 */

[[Category:セキュリティ]]
[[en:GnuPG]]
[[es:GnuPG]]
[[ru:GnuPG]]
[http://www.gnupg.org 公式サイト] によれば:

:GnuPG は RFC4880（別名 [[Wikipedia:PGP|PGP]]）で定義される OpenPGP 標準の完全でフリーな実装です。GnuPG を使うことでデータや通信を暗号化したり署名することができます。多目的の鍵管理システムであり、あらゆる種類の公開鍵ディレクトリのアクセスモジュールです。GnuPG（またの名を GPG）は他のアプリケーションとの簡単に連携できる機能を備えたコマンドラインツールです。豊富なアプリケーションとライブラリが利用可能です。GnuPG のバージョン2は S/MIME と ssh のサポートも含んでいます。

== インストール ==

{{Pkg|gnupg}} をインストールしてください。

gnupg をインストールすると、GnuPG がパスフレーズエントリに使用するシンプルな PIN やパスフレーズエントリダイアログのコレクションである {{Pkg|pinentry}} もインストールされます。''pinentry'' はシンボリックリンク {{ic|/usr/bin/pinentry}} によって決められ、デフォルトでは {{ic|/usr/bin/pinentry-gtk-2}} になります。

グラフィカルフロントエンドや GnuPG と連携するプログラムを使いたい場合は[[アプリケーション一覧/セキュリティ#暗号化, 署名, ステガノグラフィー]]を参照してください。

== 環境変数 ==

=== GNUPGHOME ===

{{ic|$GNUPGHOME}} は全ての設定ファイルを保存するディレクトリを指定するのに GnuPG によって使われます。デフォルトでは {{ic|$GNUPGHOME}} は設定されておらず、代わりに {{ic|$HOME}} が使われます。そのためインストール直後は {{ic|~/.gnupg}} ディレクトリが確認できます。[[自動起動|スタートアップファイル]]に次の行を記述することでデフォルト設定を変更できます:

export GNUPGHOME="''/path/to/directory''"

{{Note|デフォルトでは、gnupg ディレクトリの[[ファイルのパーミッションと属性|パーミッション]]は ''700'' に設定されており、ディレクトリのファイルのパーミッションは ''600'' に設定されています。ファイルの読み書きやアクセスの権限を持っているのはディレクトリの所有者だけです (''r'',''w'',''x'')。これはセキュリティ上の理由で設定されていることなので変更してはいけません。ディレクトリやファイルがこのセキュリティ対策に従っていない場合、ファイルやホームディレクトリのパーミッションが安全ではないという警告が表示されます。}}

== 設定ファイル ==

デフォルトは {{ic|~/.gnupg/gpg.conf}} と {{ic|~/.gnupg/dirmngr.conf}} です。デフォルトの場所を変更したい場合は、{{ic|$ gpg --homedir ''path/to/file''}} と gpg を実行するか {{ic|$GNUPGHOME}} 変数を使って下さい。どんな長いオプションもこのファイルに追加します。2つのダッシュを書かないで、オプションや必要な引数の名前を書いて下さい。スケルトンファイルは {{ic|/usr/share/gnupgl}} にあります。gpg がなんらかの操作のため最初に起動されたとき、~/.gnupg が存在しなければこれらのファイルが ~/.gnupg にコピーされます。[[#参照]] に他の例があります。

== 使い方 ==

{{Note|コマンドに ''{{ic|<user-id>}}'' が必要なときは、鍵 ID、指紋、名前やメールアドレスの一部などを指定できます。これについて GnuPG は寛容です。}}
{{Note|以下のステップのいくつかは、使用法によってはメールクライアントなどの外部プログラムにより提供されていることもあります。[[アプリケーション一覧/セキュリティ#暗号化, 署名, ステガノグラフィー]]も参照}}

=== 鍵の作成 ===

秘密鍵を生成するにはターミナルに次を入力:

$ gpg --full-gen-key

{{Tip|{{ic|--expert}} を使うことで他の暗号を利用することができます ([[wikipedia:ja:楕円曲線暗号|楕円曲線暗号]]など)}}

いくつか質問がきかれます。一般的に、ほとんどのユーザーは RSA (署名のみ) と RSA (暗号化のみ) の両方の鍵が必要になります。鍵長は2048ビットで十分です。4096ビットを使ったところで [https://www.gnupg.org/faq/gnupg-faq.html#no_default_of_rsa4096 "大した効果はありませんし、無駄に時間がかかるようになるだけです"] 。

副鍵の有効期限の設定は技術的には必須ではありませんが、設定することは悪くありません。標準的なユーザーなら、1年間で十分でしょう。たとえ鍵束へのアクセスを失っても、他の人が有効でないことを知ることができるようになります。鍵を作成した後、新しい鍵を再発行しなくても満了日は延長することができます。

安全なパスフレーズを選ぶようにしてください（[[セキュリティ#パスワードの管理]]を参照）。

=== 秘密鍵のバックアップ ===

秘密鍵をバックアップするには:

$ gpg --export-secret-keys --armor ''<user-id>'' > privkey.asc

秘密鍵はロックされたコンテナや暗号化されたドライブなど安全な場所に置いてください。

{{Warning|上記のエクスポートされたファイルにアクセスできる人は誰でも、''パスフレーズを知らなくても''あなたのふりをして文書を暗号化したり署名したりできます}}

=== 公開鍵のエクスポート ===

他の人があなたに暗号化したメッセージを送れるようにするには、彼らがあなたの公開鍵を知っている必要があります。

（メールで送る場合などのために）ASCII 版の公開鍵を生成するには:

$ gpg --armor --output public.key --export ''<user-id>''

あるいは、[[#鍵サーバを使用する|鍵サーバ]]で鍵を共有する方法もあります。

{{Tip|{{ic|--no-emit-version}} を使うか、これを設定ファイルに書くことでバージョン番号の表示を抑制できます。}}

=== 鍵のインポート ===

メッセージを暗号化して他の人に送るには、彼らの公開鍵が必要です。公開鍵を自分の公開鍵リングにインポートするには:

$ gpg --import public.key

あるいは、[[#鍵サーバを使用する|鍵サーバ]]で公開鍵を見つけます。

=== 鍵サーバを使用する ===

自分の公開鍵を公共の PGP 鍵サーバに登録することで、他の人があなたに直接連絡することなしにあなたの鍵を入手できるようになります。

$ gpg --send-keys ''<key-id>''

鍵サーバから鍵をインポートするには:

$ gpg --recv-keys ''<key-id>''

{{Warning|誰でも鍵サーバに鍵を送ることができます。そのため、ダウンロードした鍵が本当にその人のものであると信用してはいけません。入手した鍵の指紋を、持ち主が別の場所（ブログ、サイト、メール・電話で連絡するなど）で公開している指紋と比較してその鍵の真正性を確かめるべきです。複数の情報源を使うことでその鍵の信頼性は増します。[[Wikipedia:Public key fingerprint]]を参照。}}

{{Tip|
* 代わりの鍵サーバは {{ic|pool.sks-keyservers.net}} で {{ic|--keyserver}} で指定できます。[[wikipedia:Key server (cryptographic)#Keyserver examples]]を参照
* {{ic|--use-tor}} を使うと [[Tor]] で鍵サーバに接続できます。{{ic|hkp://jirk5u4osbsr34t5.onion}} は sks-keyservers プールの onion アドレスです。[https://gnupg.org/blog/20151224-gnupg-in-november-and-december.html See this GnuPG blog post] を参照}}

=== 暗号化と復号化 ===

暗号化や復号化をするときは複数の秘密鍵を使用することが可能です。複数の鍵を使うときは使用する鍵を選択する必要があります。{{ic|-u ''<user-id>''}} オプションや {{ic|--local-user ''<user-id>''}} オプションを使うことで選択できます。このオプションを使うとデフォルトの鍵を使用する代わりに指定された鍵を使用します。

ASCII armor（テキストでメッセージをコピー＆ペーストするのに適している）を使ってファイルを暗号化するには、次を使用:

$ gpg --encrypt --armor secret.txt

単に暗号化だけしたいときは{{ic|--armor}}は不要です。

{{Tip|
* 受取人を変更したい場合は {{ic|-r ''<user-id>''}} オプションで変更できます (または {{ic|--recipient ''<user-id>''}})
* Add {{ic|-R ''<user-id>''}} or {{ic|--hidden-recipient ''<user-id>''}} instead of {{ic|--recipient}} to not put the recipient key IDs in the encrypted message. This helps to hide the receivers of the message and is a limited countermeasure against traffic analysis.
* Add {{ic|--no-emit-version}} to avoid printing the version number, or add the corresponding setting to your configuration file.}}

{{Note|gnupg を使えば機密文書を暗号化できますが、一度に複数のファイルを暗号化することはできません。ディレクトリやファイルシステム全体を暗号化したいときは、[[TrueCrypt]] や [[EncFS]] などを使用するか、tarball にファイルをまとめて暗号化すると良いでしょう。}}

ファイルを復号化するには、次を使用:

$ gpg --decrypt secret.txt.asc

パスフレーズの入力が求められます。復号化するには送信者の公開鍵をインポートしてある必要があります。

== 鍵の管理 ==

=== 鍵の編集 ===

* {{ic|gpg --edit-key ''<user-id>''}} コマンドを実行するとメニューが表示され、鍵管理に関連するほとんどの作業を行うことができます。以下は満了日を設定する例です:

$ gpg --edit-key ''<user-id>''
> key ''number''
> expire ''yyyy-mm-dd''
> save
> quit

便利なコマンド:
> passwd # change the passphrase
> clean # compact any user ID that is no longer usable (e.g revoked or expired)
> revkey # revoke a key
> addkey # add a subkey to this key
> expire # change the key expiration time

* 公開鍵の ASCII バージョンを生成 (例: メールなどで配るため):

$ gpg --armor --output public.key --export ''<user-id>''

* PGP 公開鍵サーバーに鍵を登録して、他の人があなたに直接連絡しなくても鍵を取得できるようにする:

$ gpg --keyserver pgp.mit.edu --send-keys ''<key-id>''

* ユーザー Bob あてに署名と暗号化:

$ gpg -se -r Bob ''file''

* クリアテキスト署名を作成:

$ gpg --clearsign ''file''

=== 副鍵のエクスポート ===

複数のデバイスで同じ鍵を使い回す場合、マスター鍵を分離させて、セキュリティが低いシステムでは暗号化に必要な副鍵だけを使いたいという状況が考えられます。

まず、エクスポートしたい副鍵を確認してください:

$ gpg -K

エクスポートする副鍵だけを選択:

$ gpg -a --export-secret-subkeys [subkey id]! > /tmp/subkey.gpg

{{Warning|If you forget to add the !, all of your subkeys will be exported.}}

ここで作業を終えても良いですが、パスフレーズの変更もしておくと安全です。一時フォルダに鍵をインポートします:

$ gpg --homedir /tmp/gpg --import /tmp/subkey.gpg
$ gpg --homedir /tmp/gpg --edit-key ''<user-id>''
> passwd
> save
$ gpg --homedir /tmp/gpg -a --export-secret-subkeys [subkey id]! > /tmp/subkey.altpass.gpg

{{Note|マスター鍵が存在しない、また、マスター鍵のパスワードが変更されていないという警告が表示されますが、変更したのは副鍵のパスワードなので無視してかまいません。}}

これで、他のデバイスで {{ic|/tmp/subkey.altpass.gpg}} を使うことができます。

=== 副鍵の使用 ===

{{Warning|何か特段の事情がないかぎり、有効期限が切れたり無効になった副鍵を削除しないでください。削除してしまうとその副鍵で暗号化したファイルを復号化できなくなってしまいます。満了した、または無効のキーを削除するのは他のユーザーの鍵束を整理するときだけにしてください。}}

副鍵を設定して一定期間後に満了したら、新しい副鍵を作成できます。他のユーザーが鍵束を更新できるように数週間前に行うようにしましょう。

{{Note|新しい鍵を作成する必要はありません。期限がきて使えなくなっただけだからです。有効期間を延長することができます。}}

* 新しい副鍵を作成 (署名と暗号化の鍵の両方)

$ gpg --edit-key ''<user-id>''
> addkey

そして質問に答えて下さい (推奨される設定については前のセクションを参照)。

* 変更を保存:

> save

* キーサーバーにアップデート:

$ gpg --keyserver pgp.mit.edu --send-keys ''<user-id>''

{{Note|満了した副鍵を失効させる必要はありません、また、良い行いとは言えません。しょっちゅう鍵を無効化させているようでしたら、他人はあなたを信用しなくなるかもしれません。}}

=== 鍵を表示 ===

* 公開鍵束の鍵:

$ gpg --list-keys

* 秘密鍵束の鍵:

$ gpg --list-secret-keys

== gpg-agent ==

{{Deletion|Much of this is outdated and unnecessary info.|section=gpg-agent deletion}}
{{Out of date|[[#GPG_AGENT_INFO]] is deprecated since {{pkg|gnupg}}-2.1. See [[#Unattended passphrase]] for new method.}}

''gpg-agent'' はキーチェインにパスワードをリクエストしたりキャッシュしたりするのに使われるデーモンです。メールクライアントなど外部のプログラムから GnuPG を利用する場合に便利です。{{ic|gpg.conf}} に次の行を追加することで使用できます:

{{hc|~/.gnupg/gpg.conf|use-agent}}

この設定によって GnuPG はパスワードが必要になった時にエージェントを使うようになります。ただし、あらかじめエージェントを実行しておく必要があります。エージェントを自動的に起動するには、{{ic|.xinitrc}} や {{ic|.bash_profile}} に以下のエントリを追加してください。{{ic|$GNUPGHOME}} を変更していた場合は envfile のパスを忘れずに変更するようにしてください。

{{hc|~/.bash_profile|2=<nowiki>
envfile="$HOME/.gnupg/gpg-agent.env"
if [[ -e "$envfile" ]] && kill -0 $(grep GPG_AGENT_INFO "$envfile" | cut -d: -f 2) 2>/dev/null; then
eval "$(cat "$envfile")"
else
eval "$(gpg-agent --daemon --enable-ssh-support --write-env-file "$envfile")"
fi
export GPG_AGENT_INFO # the env file does not contain the export statement
export SSH_AUTH_SOCK # enable gpg-agent for ssh
</nowiki>}}

その後、セッションを一度ログアウトしてからログインしなおして下さい。''gpg-agent'' が有効になっているか確認:

$ pgrep gpg-agent

=== 設定 ===

gpg-agent は {{ic|~/.gnupg/gpg-agent.conf}} ファイルで設定することができます。設定オプションは {{ic|man gpg-agent}} に記載されています。例えば、未使用の鍵の cache ttl を変更することができます:

{{hc|~/.gnupg/gpg-agent.conf|
default-cache-ttl 3600
}}

{{Tip|セッションを通してパスフレーズをキャッシュするには、次のコマンドを実行してください:
$ /usr/lib/gnupg/gpg-preset-passphrase --preset XXXXXX

XXXX は鍵輪に置き換えてください。鍵輪の値は {{ic|gpg --with-keygrip -K}} を実行することで取得できます。パスフレーズは {{ic|gpg-agent}} が再起動されるまで保存されます。{{ic|default-cache-ttl}} の値を設定した場合、そちらが優先されます。
}}

=== エージェントのリロード ===

設定を変更した後は、{{ic|gpg-connect-agent}} に {{ic|RELOADAGENT}} という文字列をパイプで渡して、エージェントをリロードしてください。

$ echo RELOADAGENT | gpg-connect-agent

シェルに {{ic|OK}} と出力されます。

=== pinentry ===

最後に、ユーザーにパスワードを尋ねる方法をエージェントに設定する必要があります。gpg-agent の設定ファイルで設定できます。

デフォルトでは gtk のダイアログが使われます。使用できるオプションは {{ic|info pinentry}} を見て下さい。ダイアログの実装を変更するには {{ic|pinentry-program}} 設定オプションを設定します:
{{hc|~/.gnupg/gpg-agent.conf|

# PIN entry program
# pinentry-program /usr/bin/pinentry-curses
# pinentry-program /usr/bin/pinentry-qt4
# pinentry-program /usr/bin/pinentry-kwallet

pinentry-program /usr/bin/pinentry-gtk-2
}}

{{Tip|{{ic|/usr/bin/pinentry-kwallet}} を使うには {{Pkg|kwalletcli}} パッケージをインストールする必要があります。}}

変更を行った後は、gpg-agent をリロードしてください。

=== systemd ユーザーで gpg-agent を起動 ===

[[Systemd/ユーザー]] 機能を使ってエージェントを起動することが可能です。

systemd ユニットファイルを作成:

{{hc|~/.config/systemd/user/gpg-agent.service|2=
[Unit]
Description=GnuPG private key agent
IgnoreOnIsolate=true

[Service]
Type=forking
ExecStart=/usr/bin/gpg-agent --daemon --homedir=%h/.gnupg
ExecStop=/usr/bin/pkill gpg-agent
Restart=on-abort

[Install]
WantedBy=default.target
}}

{{Note|
* {{ic|GNUPGHOME}} など、サービスに環境変数を設定する必要があります。詳しくは [[systemd/ユーザー#環境変数]] を見て下さい。
* gnupg ホームディレクトリが {{ic|~/.gnupg}} の場合、パスを指定する必要はありません。
* {{ic|gpg -agent}} は標準ソケットを使いません。代わりに gnupg のホームディレクトリにある {{ic|S.gpg-agent}} という名前のソケットを使います。environment ファイルを読み込んで {{ic|/tmp}} に作成されたランダムなソケットのパスを取得するスクリプトは忘れることができます。
}}
* If you use SSH capabilities of gpg-agent (--enable-ssh-support), the systemd unit above will not work

{{Tip|gpg-agent が実行していること、接続を待機していることを確認するには、次のコマンドを実行してください: {{ic|$ gpg-connect-agent}}。設定が問題なければ、プロンプトが表示されます (''bye'' や ''quit'' と入力すれば接続が終了します)。}}

=== 無人のパスフレーズ ===

GnuPG 2.1.0 から gpg-agent と pinentry の利用が必須になりました。これによって {{ic|--passphrase-fd 0}} コマンドラインオプションによって STDIN からパイプで渡されたパスフレーズの後方互換性が損ねられています。古いリリースと同じような機能を使うには2つのことをする必要があります:

まず、gpg-agent の設定を編集して ''loopback'' pinentry モードを許可してください:

{{hc|1=~/.gnupg/gpg-agent.conf|2=
allow-loopback-pinentry
}}

gpg-agent プロセスが実行している場合は再起動して変更を適用します。

次に、更新する必要があるアプリケーションに以下のようにコマンドラインパラメータを含めて loopback モードを使用します:

$ gpg --pinentry-mode loopback ...

もしくは、コマンドラインで設定ができない場合、オプションを設定に追加します:

{{hc|1=~/.gnupg/gpg.conf|2=
pinentry-mode loopback
}}

{{Note|上流の開発者は ''gpg.conf'' で ''pinentry-mode loopback'' を設定すると他の機能が使えなくなる可能性があると示唆しています。出来るかぎりコマンドラインオプションを使うようにして下さい [https://bugs.g10code.com/gnupg/issue1772]。}}

== スマートカード ==

{{Note|{{Pkg|pcsclite}} と {{Pkg|libusb-compat}} をインストールして、{{ic|pcscd.service}} サービスを [[systemd#ユニットを使う|systemd]] で実行する必要があります。}}

GnuPG はスマートカードリーダーのインターフェイスとして ''scdaemon'' を使います。詳しくは [[man ページ]]を参照してください。

=== GnuPG のみ設定 ===

GnuPG ベース以外のカードを使う予定がない場合は、{{ic|~/.gnupg/scdaemon.conf}} の {{Ic|reader-port}} パラメータを確認してください。'0' が最初に利用できるシリアルポートリーダーを、'32768' (デフォルト) が最初の USB リーダーを示しています。

=== GnuPG と OpenSC ===

opensc ドライバーであらゆるスマートカードを使う場合は (例: いろいろな国の ID カード)、GnuPG の設定に注意する必要があります。何も設定をしていないと {{Ic|gpg --card-status}} を使った時に以下のようなメッセージが表示されることがあります:

gpg: selecting openpgp failed: ec=6.108

デフォルトでは、scdaemon はデバイスに直接接続しようとします。リーダーが他のプロセスによって使用中だとこの接続は失敗します。例えば: OpenSC によって使用される pcscd デーモン。この状況に対処するには、opensc と同じ基盤のドライバーを使って一緒に動作できるようにする必要があります。scdaemon に pcscd を使用させるため、{{ic|~/.gnupg/scdaemon.conf}} から {{Ic|reader-port}} を削除して、{{ic|libpcsclite.so}} ライブラリの場所を指定し、ccid を無効化してください:

{{hc|~/.gnupg/scdaemon.conf|<nowiki>
pcsc-driver /usr/lib/libpcsclite.so
card-timeout 5
disable-ccid
</nowiki>}}

OpenSC を使わない場合は {{Ic|man scdaemon}} をチェックしてください。

== Tips and tricks ==

=== Different algorithm ===

You may want to use stronger algorithms:

{{hc|~/.gnupg/gpg.conf|
...

personal-digest-preferences SHA512
cert-digest-algo SHA512
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
personal-cipher-preferences TWOFISH CAMELLIA256 AES 3DES
}}

In the latest version of GnuPG, the default algorithms used are SHA256 and AES, both of which are secure enough for most people. However, if you are using a version of GnuPG older than 2.1, or if you want an even higher level of security, then you should follow the above step.

=== Encrypt a password ===

It can be useful to encrypt some password, so it will not be written in clear on a configuration file. A good example is your email password.

First create a file with your password. You '''need''' to leave '''one''' empty line after the password, otherwise gpg will return an error message when evaluating the file.

Then run:

$ gpg -e -a -r ''<user-id>'' ''your_password_file''

{{ic|-e}} is for encrypt, {{ic|-a}} for armor (ASCII output), {{ic|-r}} for recipient user ID.

You will be left with a new {{ic|''your_password_file''.asc}} file.

=== Default options for new users ===

If you want to setup some default options for new users, put configuration files in {{ic|/etc/skel/.gnupg/}}. When the new user is added in system, files from here will be copied to its GnuPG home directory. There is also a simple script called ''addgnupghome'' which you can use to create new GnuPG home directories for existing users:

# addgnupghome user1 user2

This will add the respective {{ic|/home/user1/.gnupg}} and {{ic|/home/user2/.gnupg}} and copy the files from the skeleton directory to it. Users with existing GnuPG home directory are simply skipped.

=== Revoking a key ===

{{Warning|
*Anybody having access to your revocation certificate can revoke your key, rendering it useless.
*Key revocation should only be performed if your key is compromised or lost, or you forget your passphrase.}}

Revocation certificates are automatically generated for newly generated keys, although one can be generated manually by the user later. These are located at {{ic|~/.gnupg/openpgp-revocs.d/}}. The filename of the certificate is the fingerprint of the key it will revoke.

To revoke your key, simply import the revocation certificate:

$ gpg --import ''<fingerprint>''.rev

Now update the keyserver:

$ gpg --keyserver subkeys.pgp.net --send ''<userid>''

=== Change trust model ===

By default GnuPG uses the [[Wikipedia::Web of Trust|Web of Trust]] as the trust model. You can change this to [[Wikipedia::Trust on First|Trust on First]] Use by adding {{ic|1=--trust-model=tofu}} when adding a key or adding this option to your GnuPG configuration file. More details are in [https://lists.gnupg.org/pipermail/gnupg-devel/2015-October/030341.html this email to the GnuPG list].

=== Hide all recipient id's ===

By default the recipient's key ID is in the encrypted message. This can be removed at encryption time for a recipient by using {{ic|hidden-recipient ''<user-id>''}}. To remove it for all recipients add {{ic|throw-keyids}} to your configuration file. This helps to hide the receivers of the message and is a limited countermeasure against traffic analysis. (Using a little social engineering anyone who is able to decrypt the message can check whether one of the other recipients is the one he suspects.) On the receiving side, it may slow down the decryption process because all available secret keys must be tried (''e.g.'' with {{ic|--try-secret-key ''<user-id>''}}).

=== Using caff for keysigning parties ===

To allow users to validate keys on the keyservers and in their keyrings (i.e. make sure they are from whom they claim to be), PGP/GPG uses he [[Wikipedia::Web of Trust|Web of Trust]]. Keysigning parties allow users to get together in physical location to validate keys. The [[Wikipedia:Zimmermann–Sassaman key-signing protocol|Zimmermann-Sassaman]] key-signing protocol is a way of making these very effective. [http://www.cryptnet.net/fdp/crypto/keysigning_party/en/keysigning_party.html Here] you will find a how-to article.

キーサインパーティの後、鍵に署名したり所有者に署名を送るのを簡略化するために、''caff'' というツールを使うことができます。AUR のパッケージ {{AUR|caff-svn}} でインストールすることができ、{{AUR|signing-party-svn}} パッケージなど他の便利なツールにも付属しています。どちらにせよ、AUR から大量の依存パッケージをインストールすることになります。また、以下のように CPAN からインストールすることも可能です:
cpanm Any::Moose
cpanm GnuPG::Interface

To send the signatures to their owners you need a working [[Wikipedia:Message transfer agent|MTA]]. If you do not have already one, install [[msmtp]].

== トラブルシューティング ==

=== Make it work behind an http proxy ===
Since 2.1.9 the http proxy option can be set like this:

gpg --keyserver-option http-proxy=HOST:PORT

See https://bugs.gnupg.org/gnupg/issue1786 for more explanation.

=== Not enough random bytes available ===
鍵を生成するときに、gpg は以下のエラーを表示することがあります:
Not enough random bytes available. Please do some other work to give the OS a chance to collect more entropy!
残っているエントロピーを確認するには、カーネルパラメータをチェックしてください:
cat /proc/sys/kernel/random/entropy_avail

エントロピーがたくさんある健康的な Linux 環境ならマックスの 4,096 ビットに近い値が返されます。返ってくる値が 200 以下の場合、システムのエントロピーが足りていません。

エントロピー問題を解決するには、メッセージ通りのことをするのがベストです (例: ディスクを動かす、マウスを動かす、wiki を編集する - 何でもエントロピーの生成に繋がります)。それでも問題が解決しない場合、エントロピーを使い果たしているサービスが何なのかチェックして、しばらくそのサービスを停止してみてください。サービスを停止できない場合、[[乱数生成#高速な RNG]] を見て下さい。

=== su ===

{{Ic|pinentry}} を使う場合、使用するターミナルデバイス (例: {{Ic|/dev/tty1}}) の適切なパーミッションが必要です。しかしながら、''su'' (または ''sudo'') を使用すると、所有権は元のユーザーに残り、新しいユーザーにはなくなります。これでは pinentry はたとえ root であっても起動しません。pinentry を使用する (つまりエージェントで gpg を使用する) 前にデバイスのパーミッションを同じ所に変更する必要があります。root で gpg を実行する場合、gpg を使用する直前に所有者を root に変更してください:

chown root /dev/ttyN # where N is the current tty

そして gpg を使用した後に元に戻して下さい。おそらく {{Ic|/dev/pts/}} と同じのが正しいです。

{{Note|The owner of tty ''must'' match with the user for which pinentry is running. Being part of the group {{Ic|tty}} '''is not''' enough.}}

=== エージェントがファイルの終末についてエラーを表示する ===

デフォルトの pinentry プログラムは pinentry-gtk-2 であり、D-Bus セッションバスを正しく実行する必要があります。詳しくは[[一般的なトラブルシューティング#セッションのパーミッション]]を見て下さい。

もしくは、{{ic|pinentry-qt}} を使うこともできます。[[#pinentry]] を参照。

=== KGpg 設定のパーミッション ===

There have been issues with {{Pkg|kdeutils-kgpg}} being able to access the {{ic|~/.gnupg/}} options. One issue might be a result of a deprecated ''options'' file, see the [https://bugs.kde.org/show_bug.cgi?id=290221 bug] report.

Another user reported that ''KGpg'' failed to start until the {{ic|~/.gnupg}} folder is set to {{ic|drwxr-xr-x}} permissions. If you require this work-around, ensure that the directory contents retain {{ic|-rw-------}} permissions! Further, report it as a bug to the [https://bugs.kde.org/buglist.cgi?quicksearch=kgpg developers].

=== gnome-keyring と gpg-agent が衝突する ===

Gnome keyring は GPG エージェントコンポーネントを実装していますが、GnuPG バージョン 2.1 から、GnuPG は {{ic|GPG_AGENT_INFO}} 環境変数を無視するようになったため、Gnome keyring を GPG エージェントとして使うことはできません。

However, since version 0.9.6 the package {{Pkg|pinentry}} provides the {{Ic|pinentry-gnome3}} program. You may set the following option in your {{Ic|gpg-agent.conf}} file
pinentry-program /usr/bin/pinentry-gnome3
in order to make use of that pinentry program.

Since version 0.9.2 all pinentry programs can be configured to optionally save a passphrase with libsecret. For example, when the user is asked for a passphrase via {{Ic|pinentry-gnome3}}, a checkbox is shown whether to save the passphrase using a password manager. Unfortunately, the package {{Pkg|pinentry}} does not have this feature enabled (see {{Bug|46059}} for the reasons). You may use {{AUR|pinentry-libsecret}} as a replacement for it, which has support for libsecret enabled.

=== mutt and gpg ===

To be asked for your GnuPG password only once per session as of GnuPG 2.1, see [https://bbs.archlinux.org/viewtopic.php?pid=1490821#p1490821 this forum thread].

=== gnupg バージョン 2.1 にアップグレードすると鍵が"消失"する ===

{{ic|gpg --list-keys}} を実行しても以前まで使っていた鍵が表示されない場合、また、アプリケーションが鍵を見つけられないまたは鍵が不正だとエラーを吐く場合、鍵が新しいフォーマットに移行できていない可能性があります。

[http://jo-ke.name/wp/?p=111 GnuPG invalid packet workaround] を読んで下さい。要約すると、旧式の {{ic|pubring.gpg}} と {{ic|secring.gpg}} ファイルの鍵にはバグが存在しており、新しい {{ic|pubring.kbx}} ファイルと {{ic|private-keys-v1.d/}} サブディレクトリ、そしてディレクトリのファイルによって置き換えられたということが書かれています。以下のコマンドを実行することで消失した鍵を復旧させることができるかもしれません:

$ cd
$ cp -r .gnupg gnupgOLD
$ gpg --export-ownertrust > otrust.txt
$ gpg --import .gnupg/pubring.gpg
$ gpg --import-ownertrust otrust.txt
$ gpg --list-keys

=== (鍵を受信しようとすると) どのキーサーバーでも gpg がフリーズする ===

特定のキーサーバーで鍵を受信しようとして gpg がフリーズしている場合、dirmngr を kill して (問題が起こっていない) 他のキーサーバーにアクセスできるようにする必要があります。そうしないと全てのキーサーバーでフリーズしてしまいます。

=== スマートカードが検出されない ===

スマートカードにアクセスするための権限がない場合、カードを正しく設定して接続しても、{{ic|card error}} が表示されることがあります。

スマートカードにアクセスする必要があるユーザーに {{ic|scard}} を追加することで解決できます。追加したら、以下のような [[Udev#udev ルールを記述する|udev]] ルールを作って下さい:
{{hc|/etc/udev/rules.d/71-gnupg-ccid.rules|<nowiki>
ACTION=="add", SUBSYSTEM=="usb", ENV{ID_VENDOR_ID}=="1050", ENV{ID_MODEL_ID}=="0116|0111", MODE="664", GROUP="scard"
</nowiki>}}

VENDOR と MODEL は {{ic|lsusb}} の出力にあわせて変更する必要があります。上記は YubikeyNEO の例です。

== 参照 ==

* [https://gnupg.org/ GNU Privacy Guard Homepage]
* [https://fedoraproject.org/wiki/Creating_GPG_Keys Creating GPG Keys (Fedora)]
* [https://wiki.debian.org/Subkeys OpenPGP subkeys in Debian]
* [http://blog.sanctum.geek.nz/series/linux-crypto/ A more comprehensive gpg Tutorial]
* [https://help.riseup.net/en/security/message-security/openpgp/gpg-best-practices gpg.conf recommendations and best practices]
* [https://github.com/ioerror/torbirdy/blob/master/gpg.conf Torbirdy gpg.conf]
* [https://www.reddit.com/r/GPGpractice/ /r/GPGpractice - a subreddit to practice using GnuPG.]

GnuPG

2016-01-24T18:18:49Z

Aosho235: 4.使い方まで完全に同期できていることを確認

[[Category:セキュリティ]]
[[en:GnuPG]]
[[es:GnuPG]]
[[ru:GnuPG]]
[http://www.gnupg.org 公式サイト] によれば:

:GnuPG は RFC4880（別名 [[Wikipedia:PGP|PGP]]）で定義される OpenPGP 標準の完全でフリーな実装です。GnuPG を使うことでデータや通信を暗号化したり署名することができます。多目的の鍵管理システムであり、あらゆる種類の公開鍵ディレクトリのアクセスモジュールです。GnuPG（またの名を GPG）は他のアプリケーションとの簡単に連携できる機能を備えたコマンドラインツールです。豊富なアプリケーションとライブラリが利用可能です。GnuPG のバージョン2は S/MIME と ssh のサポートも含んでいます。

== インストール ==

{{Pkg|gnupg}} をインストールしてください。

gnupg をインストールすると、GnuPG がパスフレーズエントリに使用するシンプルな PIN やパスフレーズエントリダイアログのコレクションである {{Pkg|pinentry}} もインストールされます。''pinentry'' はシンボリックリンク {{ic|/usr/bin/pinentry}} によって決められ、デフォルトでは {{ic|/usr/bin/pinentry-gtk-2}} になります。

グラフィカルフロントエンドや GnuPG と連携するプログラムを使いたい場合は[[アプリケーション一覧/セキュリティ#暗号化, 署名, ステガノグラフィー]]を参照してください。

== 環境変数 ==

=== GNUPGHOME ===

{{ic|$GNUPGHOME}} は全ての設定ファイルを保存するディレクトリを指定するのに GnuPG によって使われます。デフォルトでは {{ic|$GNUPGHOME}} は設定されておらず、代わりに {{ic|$HOME}} が使われます。そのためインストール直後は {{ic|~/.gnupg}} ディレクトリが確認できます。[[自動起動|スタートアップファイル]]に次の行を記述することでデフォルト設定を変更できます:

export GNUPGHOME="''/path/to/directory''"

{{Note|デフォルトでは、gnupg ディレクトリの[[ファイルのパーミッションと属性|パーミッション]]は ''700'' に設定されており、ディレクトリのファイルのパーミッションは ''600'' に設定されています。ファイルの読み書きやアクセスの権限を持っているのはディレクトリの所有者だけです (''r'',''w'',''x'')。これはセキュリティ上の理由で設定されていることなので変更してはいけません。ディレクトリやファイルがこのセキュリティ対策に従っていない場合、ファイルやホームディレクトリのパーミッションが安全ではないという警告が表示されます。}}

== 設定ファイル ==

デフォルトは {{ic|~/.gnupg/gpg.conf}} と {{ic|~/.gnupg/dirmngr.conf}} です。デフォルトの場所を変更したい場合は、{{ic|$ gpg --homedir ''path/to/file''}} と gpg を実行するか {{ic|$GNUPGHOME}} 変数を使って下さい。どんな長いオプションもこのファイルに追加します。2つのダッシュを書かないで、オプションや必要な引数の名前を書いて下さい。スケルトンファイルは {{ic|/usr/share/gnupgl}} にあります。gpg がなんらかの操作のため最初に起動されたとき、~/.gnupg が存在しなければこれらのファイルが ~/.gnupg にコピーされます。[[#参照]] に他の例があります。

== 使い方 ==

{{Note|コマンドに ''{{ic|<user-id>}}'' が必要なときは、鍵 ID、指紋、名前やメールアドレスの一部などを指定できます。これについて GnuPG は寛容です。}}
{{Note|以下のステップのいくつかは、使用法によってはメールクライアントなどの外部プログラムにより提供されていることもあります。[[アプリケーション一覧/セキュリティ#暗号化, 署名, ステガノグラフィー]]も参照}}

=== 鍵の作成 ===

秘密鍵を生成するにはターミナルに次を入力:

$ gpg --full-gen-key

{{Tip|{{ic|--expert}} を使うことで他の暗号を利用することができます ([[wikipedia:ja:楕円曲線暗号|楕円曲線暗号]]など)}}

いくつか質問がきかれます。一般的に、ほとんどのユーザーは RSA (署名のみ) と RSA (暗号化のみ) の両方の鍵が必要になります。鍵長は2048ビットで十分です。4096ビットを使ったところで [https://www.gnupg.org/faq/gnupg-faq.html#no_default_of_rsa4096 "大した効果はありませんし、無駄に時間がかかるようになるだけです"] 。

副鍵の有効期限の設定は技術的には必須ではありませんが、設定することは悪くありません。標準的なユーザーなら、1年間で十分でしょう。たとえ鍵束へのアクセスを失っても、他の人が有効でないことを知ることができるようになります。鍵を作成した後、新しい鍵を再発行しなくても満了日は延長することができます。

安全なパスフレーズを選ぶようにしてください（[[セキュリティ#パスワードの管理]]を参照）。

=== 秘密鍵のバックアップ ===

秘密鍵をバックアップするには:

$ gpg --export-secret-keys --armor ''<user-id>'' > privkey.asc

秘密鍵はロックされたコンテナや暗号化されたドライブなど安全な場所に置いてください。

{{Warning|上記のエクスポートされたファイルにアクセスできる人は誰でも、''パスフレーズを知らなくても''あなたのふりをして文書を暗号化したり署名したりできます}}

=== 公開鍵のエクスポート ===

他の人があなたに暗号化したメッセージを送れるようにするには、彼らがあなたの公開鍵を知っている必要があります。

（メールで送る場合などのために）ASCII 版の公開鍵を生成するには:

$ gpg --armor --output public.key --export ''<user-id>''

あるいは、[[#鍵サーバを使用する|鍵サーバ]]で鍵を共有する方法もあります。

{{Tip|{{ic|--no-emit-version}} を使うか、これを設定ファイルに書くことでバージョン番号の表示を抑制できます。}}

=== 鍵のインポート ===

メッセージを暗号化して他の人に送るには、彼らの公開鍵が必要です。公開鍵を自分の公開鍵リングにインポートするには:

$ gpg --import public.key

あるいは、[[#鍵サーバを使用する|鍵サーバ]]で公開鍵を見つけます。

=== 鍵サーバを使用する ===

自分の公開鍵を公共の PGP 鍵サーバに登録することで、他の人があなたに直接連絡することなしにあなたの鍵を入手できるようになります。

$ gpg --send-keys ''<key-id>''

鍵サーバから鍵をインポートするには:

$ gpg --recv-keys ''<key-id>''

{{Warning|誰でも鍵サーバに鍵を送ることができます。そのため、ダウンロードした鍵が本当にその人のものであると信用してはいけません。入手した鍵の指紋を、持ち主が別の場所（ブログ、サイト、メール・電話で連絡するなど）で公開している指紋と比較してその鍵の真正性を確かめるべきです。複数の情報源を使うことでその鍵の信頼性は増します。[[Wikipedia:Public key fingerprint]]を参照。}}

{{Tip|
* 代わりの鍵サーバは {{ic|pool.sks-keyservers.net}} で {{ic|--keyserver}} で指定できます。[[wikipedia:Key server (cryptographic)#Keyserver examples]]を参照
* {{ic|--use-tor}} を使うと [[Tor]] で鍵サーバに接続できます。{{ic|hkp://jirk5u4osbsr34t5.onion}} は sks-keyservers プールの onion アドレスです。[https://gnupg.org/blog/20151224-gnupg-in-november-and-december.html See this GnuPG blog post] を参照}}

=== 暗号化と復号化 ===

暗号化や復号化をするときは複数の秘密鍵を使用することが可能です。複数の鍵を使うときは使用する鍵を選択する必要があります。{{ic|-u ''<user-id>''}} オプションや {{ic|--local-user ''<user-id>''}} オプションを使うことで選択できます。このオプションを使うとデフォルトの鍵を使用する代わりに指定された鍵を使用します。

ファイルを暗号化するには、次を使用:

$ gpg --encrypt -o secret.tar.gpg secret.tar

* 受取人を変更したい場合は {{ic|-r ''<user-id>''}} オプションで変更できます (または {{ic|--recipient ''<user-id>''}})。
* gnupg を使えば機密文書を暗号化できますが、一度に複数のファイルを暗号化することはできません。ディレクトリやファイルシステム全体を暗号化したいときは、[[TrueCrypt]] や [[EncFS]] などを使用するか、tarball にファイルをまとめて暗号化すると良いでしょう。

ファイルを復号化するには、次を使用:

$ gpg --decrypt secret.tar.gpg

パスフレーズの入力が求められます。

== 鍵の管理 ==

=== 鍵の編集 ===

* {{ic|gpg --edit-key ''<user-id>''}} コマンドを実行するとメニューが表示され、鍵管理に関連するほとんどの作業を行うことができます。以下は満了日を設定する例です:

$ gpg --edit-key ''<user-id>''
> key ''number''
> expire ''yyyy-mm-dd''
> save
> quit

便利なコマンド:
> passwd # change the passphrase
> clean # compact any user ID that is no longer usable (e.g revoked or expired)
> revkey # revoke a key
> addkey # add a subkey to this key
> expire # change the key expiration time

* 公開鍵の ASCII バージョンを生成 (例: メールなどで配るため):

$ gpg --armor --output public.key --export ''<user-id>''

* PGP 公開鍵サーバーに鍵を登録して、他の人があなたに直接連絡しなくても鍵を取得できるようにする:

$ gpg --keyserver pgp.mit.edu --send-keys ''<key-id>''

* ユーザー Bob あてに署名と暗号化:

$ gpg -se -r Bob ''file''

* クリアテキスト署名を作成:

$ gpg --clearsign ''file''

=== 副鍵のエクスポート ===

複数のデバイスで同じ鍵を使い回す場合、マスター鍵を分離させて、セキュリティが低いシステムでは暗号化に必要な副鍵だけを使いたいという状況が考えられます。

まず、エクスポートしたい副鍵を確認してください:

$ gpg -K

エクスポートする副鍵だけを選択:

$ gpg -a --export-secret-subkeys [subkey id]! > /tmp/subkey.gpg

{{Warning|If you forget to add the !, all of your subkeys will be exported.}}

ここで作業を終えても良いですが、パスフレーズの変更もしておくと安全です。一時フォルダに鍵をインポートします:

$ gpg --homedir /tmp/gpg --import /tmp/subkey.gpg
$ gpg --homedir /tmp/gpg --edit-key ''<user-id>''
> passwd
> save
$ gpg --homedir /tmp/gpg -a --export-secret-subkeys [subkey id]! > /tmp/subkey.altpass.gpg

{{Note|マスター鍵が存在しない、また、マスター鍵のパスワードが変更されていないという警告が表示されますが、変更したのは副鍵のパスワードなので無視してかまいません。}}

これで、他のデバイスで {{ic|/tmp/subkey.altpass.gpg}} を使うことができます。

=== 副鍵の使用 ===

{{Warning|何か特段の事情がないかぎり、有効期限が切れたり無効になった副鍵を削除しないでください。削除してしまうとその副鍵で暗号化したファイルを復号化できなくなってしまいます。満了した、または無効のキーを削除するのは他のユーザーの鍵束を整理するときだけにしてください。}}

副鍵を設定して一定期間後に満了したら、新しい副鍵を作成できます。他のユーザーが鍵束を更新できるように数週間前に行うようにしましょう。

{{Note|新しい鍵を作成する必要はありません。期限がきて使えなくなっただけだからです。有効期間を延長することができます。}}

* 新しい副鍵を作成 (署名と暗号化の鍵の両方)

$ gpg --edit-key ''<user-id>''
> addkey

そして質問に答えて下さい (推奨される設定については前のセクションを参照)。

* 変更を保存:

> save

* キーサーバーにアップデート:

$ gpg --keyserver pgp.mit.edu --send-keys ''<user-id>''

{{Note|満了した副鍵を失効させる必要はありません、また、良い行いとは言えません。しょっちゅう鍵を無効化させているようでしたら、他人はあなたを信用しなくなるかもしれません。}}

=== 鍵を表示 ===

* 公開鍵束の鍵:

$ gpg --list-keys

* 秘密鍵束の鍵:

$ gpg --list-secret-keys

== gpg-agent ==

{{Deletion|Much of this is outdated and unnecessary info.|section=gpg-agent deletion}}
{{Out of date|[[#GPG_AGENT_INFO]] is deprecated since {{pkg|gnupg}}-2.1. See [[#Unattended passphrase]] for new method.}}

''gpg-agent'' はキーチェインにパスワードをリクエストしたりキャッシュしたりするのに使われるデーモンです。メールクライアントなど外部のプログラムから GnuPG を利用する場合に便利です。{{ic|gpg.conf}} に次の行を追加することで使用できます:

{{hc|~/.gnupg/gpg.conf|use-agent}}

この設定によって GnuPG はパスワードが必要になった時にエージェントを使うようになります。ただし、あらかじめエージェントを実行しておく必要があります。エージェントを自動的に起動するには、{{ic|.xinitrc}} や {{ic|.bash_profile}} に以下のエントリを追加してください。{{ic|$GNUPGHOME}} を変更していた場合は envfile のパスを忘れずに変更するようにしてください。

{{hc|~/.bash_profile|2=<nowiki>
envfile="$HOME/.gnupg/gpg-agent.env"
if [[ -e "$envfile" ]] && kill -0 $(grep GPG_AGENT_INFO "$envfile" | cut -d: -f 2) 2>/dev/null; then
eval "$(cat "$envfile")"
else
eval "$(gpg-agent --daemon --enable-ssh-support --write-env-file "$envfile")"
fi
export GPG_AGENT_INFO # the env file does not contain the export statement
export SSH_AUTH_SOCK # enable gpg-agent for ssh
</nowiki>}}

その後、セッションを一度ログアウトしてからログインしなおして下さい。''gpg-agent'' が有効になっているか確認:

$ pgrep gpg-agent

=== 設定 ===

gpg-agent は {{ic|~/.gnupg/gpg-agent.conf}} ファイルで設定することができます。設定オプションは {{ic|man gpg-agent}} に記載されています。例えば、未使用の鍵の cache ttl を変更することができます:

{{hc|~/.gnupg/gpg-agent.conf|
default-cache-ttl 3600
}}

{{Tip|セッションを通してパスフレーズをキャッシュするには、次のコマンドを実行してください:
$ /usr/lib/gnupg/gpg-preset-passphrase --preset XXXXXX

XXXX は鍵輪に置き換えてください。鍵輪の値は {{ic|gpg --with-keygrip -K}} を実行することで取得できます。パスフレーズは {{ic|gpg-agent}} が再起動されるまで保存されます。{{ic|default-cache-ttl}} の値を設定した場合、そちらが優先されます。
}}

=== エージェントのリロード ===

設定を変更した後は、{{ic|gpg-connect-agent}} に {{ic|RELOADAGENT}} という文字列をパイプで渡して、エージェントをリロードしてください。

$ echo RELOADAGENT | gpg-connect-agent

シェルに {{ic|OK}} と出力されます。

=== pinentry ===

最後に、ユーザーにパスワードを尋ねる方法をエージェントに設定する必要があります。gpg-agent の設定ファイルで設定できます。

デフォルトでは gtk のダイアログが使われます。使用できるオプションは {{ic|info pinentry}} を見て下さい。ダイアログの実装を変更するには {{ic|pinentry-program}} 設定オプションを設定します:
{{hc|~/.gnupg/gpg-agent.conf|

# PIN entry program
# pinentry-program /usr/bin/pinentry-curses
# pinentry-program /usr/bin/pinentry-qt4
# pinentry-program /usr/bin/pinentry-kwallet

pinentry-program /usr/bin/pinentry-gtk-2
}}

{{Tip|{{ic|/usr/bin/pinentry-kwallet}} を使うには {{Pkg|kwalletcli}} パッケージをインストールする必要があります。}}

変更を行った後は、gpg-agent をリロードしてください。

=== systemd ユーザーで gpg-agent を起動 ===

[[Systemd/ユーザー]] 機能を使ってエージェントを起動することが可能です。

systemd ユニットファイルを作成:

{{hc|~/.config/systemd/user/gpg-agent.service|2=
[Unit]
Description=GnuPG private key agent
IgnoreOnIsolate=true

[Service]
Type=forking
ExecStart=/usr/bin/gpg-agent --daemon --homedir=%h/.gnupg
ExecStop=/usr/bin/pkill gpg-agent
Restart=on-abort

[Install]
WantedBy=default.target
}}

{{Note|
* {{ic|GNUPGHOME}} など、サービスに環境変数を設定する必要があります。詳しくは [[systemd/ユーザー#環境変数]] を見て下さい。
* gnupg ホームディレクトリが {{ic|~/.gnupg}} の場合、パスを指定する必要はありません。
* {{ic|gpg -agent}} は標準ソケットを使いません。代わりに gnupg のホームディレクトリにある {{ic|S.gpg-agent}} という名前のソケットを使います。environment ファイルを読み込んで {{ic|/tmp}} に作成されたランダムなソケットのパスを取得するスクリプトは忘れることができます。
}}
* If you use SSH capabilities of gpg-agent (--enable-ssh-support), the systemd unit above will not work

{{Tip|gpg-agent が実行していること、接続を待機していることを確認するには、次のコマンドを実行してください: {{ic|$ gpg-connect-agent}}。設定が問題なければ、プロンプトが表示されます (''bye'' や ''quit'' と入力すれば接続が終了します)。}}

=== 無人のパスフレーズ ===

GnuPG 2.1.0 から gpg-agent と pinentry の利用が必須になりました。これによって {{ic|--passphrase-fd 0}} コマンドラインオプションによって STDIN からパイプで渡されたパスフレーズの後方互換性が損ねられています。古いリリースと同じような機能を使うには2つのことをする必要があります:

まず、gpg-agent の設定を編集して ''loopback'' pinentry モードを許可してください:

{{hc|1=~/.gnupg/gpg-agent.conf|2=
allow-loopback-pinentry
}}

gpg-agent プロセスが実行している場合は再起動して変更を適用します。

次に、更新する必要があるアプリケーションに以下のようにコマンドラインパラメータを含めて loopback モードを使用します:

$ gpg --pinentry-mode loopback ...

もしくは、コマンドラインで設定ができない場合、オプションを設定に追加します:

{{hc|1=~/.gnupg/gpg.conf|2=
pinentry-mode loopback
}}

{{Note|上流の開発者は ''gpg.conf'' で ''pinentry-mode loopback'' を設定すると他の機能が使えなくなる可能性があると示唆しています。出来るかぎりコマンドラインオプションを使うようにして下さい [https://bugs.g10code.com/gnupg/issue1772]。}}

== スマートカード ==

{{Note|{{Pkg|pcsclite}} と {{Pkg|libusb-compat}} をインストールして、{{ic|pcscd.service}} サービスを [[systemd#ユニットを使う|systemd]] で実行する必要があります。}}

GnuPG はスマートカードリーダーのインターフェイスとして ''scdaemon'' を使います。詳しくは [[man ページ]]を参照してください。

=== GnuPG のみ設定 ===

GnuPG ベース以外のカードを使う予定がない場合は、{{ic|~/.gnupg/scdaemon.conf}} の {{Ic|reader-port}} パラメータを確認してください。'0' が最初に利用できるシリアルポートリーダーを、'32768' (デフォルト) が最初の USB リーダーを示しています。

=== GnuPG と OpenSC ===

opensc ドライバーであらゆるスマートカードを使う場合は (例: いろいろな国の ID カード)、GnuPG の設定に注意する必要があります。何も設定をしていないと {{Ic|gpg --card-status}} を使った時に以下のようなメッセージが表示されることがあります:

gpg: selecting openpgp failed: ec=6.108

デフォルトでは、scdaemon はデバイスに直接接続しようとします。リーダーが他のプロセスによって使用中だとこの接続は失敗します。例えば: OpenSC によって使用される pcscd デーモン。この状況に対処するには、opensc と同じ基盤のドライバーを使って一緒に動作できるようにする必要があります。scdaemon に pcscd を使用させるため、{{ic|~/.gnupg/scdaemon.conf}} から {{Ic|reader-port}} を削除して、{{ic|libpcsclite.so}} ライブラリの場所を指定し、ccid を無効化してください:

{{hc|~/.gnupg/scdaemon.conf|<nowiki>
pcsc-driver /usr/lib/libpcsclite.so
card-timeout 5
disable-ccid
</nowiki>}}

OpenSC を使わない場合は {{Ic|man scdaemon}} をチェックしてください。

== Tips and tricks ==

=== Different algorithm ===

You may want to use stronger algorithms:

{{hc|~/.gnupg/gpg.conf|
...

personal-digest-preferences SHA512
cert-digest-algo SHA512
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
personal-cipher-preferences TWOFISH CAMELLIA256 AES 3DES
}}

In the latest version of GnuPG, the default algorithms used are SHA256 and AES, both of which are secure enough for most people. However, if you are using a version of GnuPG older than 2.1, or if you want an even higher level of security, then you should follow the above step.

=== Encrypt a password ===

It can be useful to encrypt some password, so it will not be written in clear on a configuration file. A good example is your email password.

First create a file with your password. You '''need''' to leave '''one''' empty line after the password, otherwise gpg will return an error message when evaluating the file.

Then run:

$ gpg -e -a -r ''<user-id>'' ''your_password_file''

{{ic|-e}} is for encrypt, {{ic|-a}} for armor (ASCII output), {{ic|-r}} for recipient user ID.

You will be left with a new {{ic|''your_password_file''.asc}} file.

=== Default options for new users ===

If you want to setup some default options for new users, put configuration files in {{ic|/etc/skel/.gnupg/}}. When the new user is added in system, files from here will be copied to its GnuPG home directory. There is also a simple script called ''addgnupghome'' which you can use to create new GnuPG home directories for existing users:

# addgnupghome user1 user2

This will add the respective {{ic|/home/user1/.gnupg}} and {{ic|/home/user2/.gnupg}} and copy the files from the skeleton directory to it. Users with existing GnuPG home directory are simply skipped.

=== Revoking a key ===

{{Warning|
*Anybody having access to your revocation certificate can revoke your key, rendering it useless.
*Key revocation should only be performed if your key is compromised or lost, or you forget your passphrase.}}

Revocation certificates are automatically generated for newly generated keys, although one can be generated manually by the user later. These are located at {{ic|~/.gnupg/openpgp-revocs.d/}}. The filename of the certificate is the fingerprint of the key it will revoke.

To revoke your key, simply import the revocation certificate:

$ gpg --import ''<fingerprint>''.rev

Now update the keyserver:

$ gpg --keyserver subkeys.pgp.net --send ''<userid>''

=== Change trust model ===

By default GnuPG uses the [[Wikipedia::Web of Trust|Web of Trust]] as the trust model. You can change this to [[Wikipedia::Trust on First|Trust on First]] Use by adding {{ic|1=--trust-model=tofu}} when adding a key or adding this option to your GnuPG configuration file. More details are in [https://lists.gnupg.org/pipermail/gnupg-devel/2015-October/030341.html this email to the GnuPG list].

=== Hide all recipient id's ===

By default the recipient's key ID is in the encrypted message. This can be removed at encryption time for a recipient by using {{ic|hidden-recipient ''<user-id>''}}. To remove it for all recipients add {{ic|throw-keyids}} to your configuration file. This helps to hide the receivers of the message and is a limited countermeasure against traffic analysis. (Using a little social engineering anyone who is able to decrypt the message can check whether one of the other recipients is the one he suspects.) On the receiving side, it may slow down the decryption process because all available secret keys must be tried (''e.g.'' with {{ic|--try-secret-key ''<user-id>''}}).

=== Using caff for keysigning parties ===

To allow users to validate keys on the keyservers and in their keyrings (i.e. make sure they are from whom they claim to be), PGP/GPG uses he [[Wikipedia::Web of Trust|Web of Trust]]. Keysigning parties allow users to get together in physical location to validate keys. The [[Wikipedia:Zimmermann–Sassaman key-signing protocol|Zimmermann-Sassaman]] key-signing protocol is a way of making these very effective. [http://www.cryptnet.net/fdp/crypto/keysigning_party/en/keysigning_party.html Here] you will find a how-to article.

キーサインパーティの後、鍵に署名したり所有者に署名を送るのを簡略化するために、''caff'' というツールを使うことができます。AUR のパッケージ {{AUR|caff-svn}} でインストールすることができ、{{AUR|signing-party-svn}} パッケージなど他の便利なツールにも付属しています。どちらにせよ、AUR から大量の依存パッケージをインストールすることになります。また、以下のように CPAN からインストールすることも可能です:
cpanm Any::Moose
cpanm GnuPG::Interface

To send the signatures to their owners you need a working [[Wikipedia:Message transfer agent|MTA]]. If you do not have already one, install [[msmtp]].

== トラブルシューティング ==

=== Make it work behind an http proxy ===
Since 2.1.9 the http proxy option can be set like this:

gpg --keyserver-option http-proxy=HOST:PORT

See https://bugs.gnupg.org/gnupg/issue1786 for more explanation.

=== Not enough random bytes available ===
鍵を生成するときに、gpg は以下のエラーを表示することがあります:
Not enough random bytes available. Please do some other work to give the OS a chance to collect more entropy!
残っているエントロピーを確認するには、カーネルパラメータをチェックしてください:
cat /proc/sys/kernel/random/entropy_avail

エントロピーがたくさんある健康的な Linux 環境ならマックスの 4,096 ビットに近い値が返されます。返ってくる値が 200 以下の場合、システムのエントロピーが足りていません。

エントロピー問題を解決するには、メッセージ通りのことをするのがベストです (例: ディスクを動かす、マウスを動かす、wiki を編集する - 何でもエントロピーの生成に繋がります)。それでも問題が解決しない場合、エントロピーを使い果たしているサービスが何なのかチェックして、しばらくそのサービスを停止してみてください。サービスを停止できない場合、[[乱数生成#高速な RNG]] を見て下さい。

=== su ===

{{Ic|pinentry}} を使う場合、使用するターミナルデバイス (例: {{Ic|/dev/tty1}}) の適切なパーミッションが必要です。しかしながら、''su'' (または ''sudo'') を使用すると、所有権は元のユーザーに残り、新しいユーザーにはなくなります。これでは pinentry はたとえ root であっても起動しません。pinentry を使用する (つまりエージェントで gpg を使用する) 前にデバイスのパーミッションを同じ所に変更する必要があります。root で gpg を実行する場合、gpg を使用する直前に所有者を root に変更してください:

chown root /dev/ttyN # where N is the current tty

そして gpg を使用した後に元に戻して下さい。おそらく {{Ic|/dev/pts/}} と同じのが正しいです。

{{Note|The owner of tty ''must'' match with the user for which pinentry is running. Being part of the group {{Ic|tty}} '''is not''' enough.}}

=== エージェントがファイルの終末についてエラーを表示する ===

デフォルトの pinentry プログラムは pinentry-gtk-2 であり、D-Bus セッションバスを正しく実行する必要があります。詳しくは[[一般的なトラブルシューティング#セッションのパーミッション]]を見て下さい。

もしくは、{{ic|pinentry-qt}} を使うこともできます。[[#pinentry]] を参照。

=== KGpg 設定のパーミッション ===

There have been issues with {{Pkg|kdeutils-kgpg}} being able to access the {{ic|~/.gnupg/}} options. One issue might be a result of a deprecated ''options'' file, see the [https://bugs.kde.org/show_bug.cgi?id=290221 bug] report.

Another user reported that ''KGpg'' failed to start until the {{ic|~/.gnupg}} folder is set to {{ic|drwxr-xr-x}} permissions. If you require this work-around, ensure that the directory contents retain {{ic|-rw-------}} permissions! Further, report it as a bug to the [https://bugs.kde.org/buglist.cgi?quicksearch=kgpg developers].

=== gnome-keyring と gpg-agent が衝突する ===

Gnome keyring は GPG エージェントコンポーネントを実装していますが、GnuPG バージョン 2.1 から、GnuPG は {{ic|GPG_AGENT_INFO}} 環境変数を無視するようになったため、Gnome keyring を GPG エージェントとして使うことはできません。

However, since version 0.9.6 the package {{Pkg|pinentry}} provides the {{Ic|pinentry-gnome3}} program. You may set the following option in your {{Ic|gpg-agent.conf}} file
pinentry-program /usr/bin/pinentry-gnome3
in order to make use of that pinentry program.

Since version 0.9.2 all pinentry programs can be configured to optionally save a passphrase with libsecret. For example, when the user is asked for a passphrase via {{Ic|pinentry-gnome3}}, a checkbox is shown whether to save the passphrase using a password manager. Unfortunately, the package {{Pkg|pinentry}} does not have this feature enabled (see {{Bug|46059}} for the reasons). You may use {{AUR|pinentry-libsecret}} as a replacement for it, which has support for libsecret enabled.

=== mutt and gpg ===

To be asked for your GnuPG password only once per session as of GnuPG 2.1, see [https://bbs.archlinux.org/viewtopic.php?pid=1490821#p1490821 this forum thread].

=== gnupg バージョン 2.1 にアップグレードすると鍵が"消失"する ===

{{ic|gpg --list-keys}} を実行しても以前まで使っていた鍵が表示されない場合、また、アプリケーションが鍵を見つけられないまたは鍵が不正だとエラーを吐く場合、鍵が新しいフォーマットに移行できていない可能性があります。

[http://jo-ke.name/wp/?p=111 GnuPG invalid packet workaround] を読んで下さい。要約すると、旧式の {{ic|pubring.gpg}} と {{ic|secring.gpg}} ファイルの鍵にはバグが存在しており、新しい {{ic|pubring.kbx}} ファイルと {{ic|private-keys-v1.d/}} サブディレクトリ、そしてディレクトリのファイルによって置き換えられたということが書かれています。以下のコマンドを実行することで消失した鍵を復旧させることができるかもしれません:

$ cd
$ cp -r .gnupg gnupgOLD
$ gpg --export-ownertrust > otrust.txt
$ gpg --import .gnupg/pubring.gpg
$ gpg --import-ownertrust otrust.txt
$ gpg --list-keys

=== (鍵を受信しようとすると) どのキーサーバーでも gpg がフリーズする ===

特定のキーサーバーで鍵を受信しようとして gpg がフリーズしている場合、dirmngr を kill して (問題が起こっていない) 他のキーサーバーにアクセスできるようにする必要があります。そうしないと全てのキーサーバーでフリーズしてしまいます。

=== スマートカードが検出されない ===

スマートカードにアクセスするための権限がない場合、カードを正しく設定して接続しても、{{ic|card error}} が表示されることがあります。

スマートカードにアクセスする必要があるユーザーに {{ic|scard}} を追加することで解決できます。追加したら、以下のような [[Udev#udev ルールを記述する|udev]] ルールを作って下さい:
{{hc|/etc/udev/rules.d/71-gnupg-ccid.rules|<nowiki>
ACTION=="add", SUBSYSTEM=="usb", ENV{ID_VENDOR_ID}=="1050", ENV{ID_MODEL_ID}=="0116|0111", MODE="664", GROUP="scard"
</nowiki>}}

VENDOR と MODEL は {{ic|lsusb}} の出力にあわせて変更する必要があります。上記は YubikeyNEO の例です。

== 参照 ==

* [https://gnupg.org/ GNU Privacy Guard Homepage]
* [https://fedoraproject.org/wiki/Creating_GPG_Keys Creating GPG Keys (Fedora)]
* [https://wiki.debian.org/Subkeys OpenPGP subkeys in Debian]
* [http://blog.sanctum.geek.nz/series/linux-crypto/ A more comprehensive gpg Tutorial]
* [https://help.riseup.net/en/security/message-security/openpgp/gpg-best-practices gpg.conf recommendations and best practices]
* [https://github.com/ioerror/torbirdy/blob/master/gpg.conf Torbirdy gpg.conf]
* [https://www.reddit.com/r/GPGpractice/ /r/GPGpractice - a subreddit to practice using GnuPG.]

GnuPG

2016-01-24T17:53:39Z

Aosho235: 同期

[[Category:セキュリティ]]
[[en:GnuPG]]
[[es:GnuPG]]
[[ru:GnuPG]]
[http://www.gnupg.org 公式サイト] によれば:

:GnuPG は RFC4880（別名 [[Wikipedia:PGP|PGP]]）で定義される OpenPGP 標準の完全でフリーな実装です。GnuPG を使うことでデータや通信を暗号化したり署名することができます。多目的の鍵管理システムであり、あらゆる種類の公開鍵ディレクトリのアクセスモジュールです。GnuPG（またの名を GPG）は他のアプリケーションとの簡単に連携できる機能を備えたコマンドラインツールです。豊富なアプリケーションとライブラリが利用可能です。GnuPG のバージョン2は S/MIME と ssh のサポートも含んでいます。

== インストール ==

{{Pkg|gnupg}} をインストールしてください。

gnupg をインストールすると、GnuPG がパスフレーズエントリに使用するシンプルな PIN やパスフレーズエントリダイアログのコレクションである {{Pkg|pinentry}} もインストールされます。''pinentry'' はシンボリックリンク {{ic|/usr/bin/pinentry}} によって決められ、デフォルトでは {{ic|/usr/bin/pinentry-gtk-2}} になります。

グラフィカルフロントエンドや GnuPG と連携するプログラムを使いたい場合は[[アプリケーション一覧/セキュリティ#暗号化, 署名, ステガノグラフィー]]を参照してください。

== 環境変数 ==

=== GNUPGHOME ===

{{ic|$GNUPGHOME}} は全ての設定ファイルを保存するディレクトリを指定するのに GnuPG によって使われます。デフォルトでは {{ic|$GNUPGHOME}} は設定されておらず、代わりに {{ic|$HOME}} が使われます。そのためインストール直後は {{ic|~/.gnupg}} ディレクトリが確認できます。[[自動起動|スタートアップファイル]]に次の行を記述することでデフォルト設定を変更できます:

export GNUPGHOME="''/path/to/directory''"

{{Note|デフォルトでは、gnupg ディレクトリの[[ファイルのパーミッションと属性|パーミッション]]は ''700'' に設定されており、ディレクトリのファイルのパーミッションは ''600'' に設定されています。ファイルの読み書きやアクセスの権限を持っているのはディレクトリの所有者だけです (''r'',''w'',''x'')。これはセキュリティ上の理由で設定されていることなので変更してはいけません。ディレクトリやファイルがこのセキュリティ対策に従っていない場合、ファイルやホームディレクトリのパーミッションが安全ではないという警告が表示されます。}}

== 設定ファイル ==

デフォルトは {{ic|~/.gnupg/gpg.conf}} と {{ic|~/.gnupg/dirmngr.conf}} です。デフォルトの場所を変更したい場合は、{{ic|$ gpg --homedir ''path/to/file''}} と gpg を実行するか {{ic|$GNUPGHOME}} 変数を使って下さい。どんな長いオプションもこのファイルに追加します。2つのダッシュを書かないで、オプションや必要な引数の名前を書いて下さい。スケルトンファイルは {{ic|/usr/share/gnupgl}} にあります。gpg がなんらかの操作のため最初に起動されたとき、~/.gnupg が存在しなければこれらのファイルが ~/.gnupg にコピーされます。[[#参照]] に他の例があります。

== 使い方 ==

{{Note|コマンドに ''{{ic|<user-id>}}'' が必要なときは、鍵 ID、指紋、名前やメールアドレスの一部などを指定できます。これについて GnuPG は寛容です。}}
{{Note|以下のステップのいくつかは、使用法によってはメールクライアントなどの外部プログラムにより提供されていることもあります。[[アプリケーション一覧/セキュリティ#暗号化, 署名, ステガノグラフィー]]も参照}}

=== 鍵の作成 ===

秘密鍵を生成するにはターミナルに次を入力:

$ gpg --full-gen-key

{{Tip|{{ic|--expert}} を使うことで他の暗号を利用することができます ([[wikipedia:ja:楕円曲線暗号|楕円曲線暗号]]など)}}

いくつか質問がきかれます。一般的に、ほとんどのユーザーは RSA (署名のみ) と RSA (暗号化のみ) の両方の鍵が必要になります。鍵長は2048ビットで十分です。4096ビットを使ったところで [https://www.gnupg.org/faq/gnupg-faq.html#no_default_of_rsa4096 "大した効果はありませんし、無駄に時間がかかるようになるだけです"] 。

副鍵の有効期限の設定は技術的には必須ではありませんが、設定することは悪くありません。標準的なユーザーなら、1年間で十分でしょう。たとえ鍵束へのアクセスを失っても、他の人が有効でないことを知ることができるようになります。鍵を作成した後、新しい鍵を再発行しなくても満了日は延長することができます。

安全なパスフレーズを選ぶようにしてください（[[セキュリティ#パスワードの管理]]を参照）。

=== Backup your private key ===

To backup your private key do the following:

$ gpg --export-secret-keys --armor ''<user-id>'' > privkey.asc

Place the private key in a safe place, such as a locked container or encrypted drive.

{{Warning|Anyone who gains access to the above exported file will be able to encrypt and sign documents as if they were you ''without'' needing to know your passphrase.}}

=== Export your public key ===

In order for others to send encrypted messages to you, they need your public key.

To generate an ASCII version of your public key (e.g. to distribute it by e-mail):

$ gpg --armor --output public.key --export ''<user-id>''

Alternatively, or in addition, you can share your key [[#Use_a_keyserver|on a keyserver]].

{{Tip|Add {{ic|--no-emit-version}} to avoid printing the version number, or add the corresponding setting to your configuration file.}}

=== Import a key ===

In order to encrypt messages to others, you need their public key. To import a public key to your public key ring:

$ gpg --import public.key

Alternatively, find a public key [[#Use_a_keyserver|on a keyserver]].

=== Use a keyserver ===

You can register your key with a public PGP key server, so that others can retrieve your key without having to contact you directly:

$ gpg --send-keys ''<key-id>''

To import a key from a key server:

$ gpg --recv-keys ''<key-id>''

{{Warning|Anyone can send keys to a keyserver, so you should not trust that the key you download actually belongs to the individual listed. You should verify the authenticity of the retrieved public key by comparing its fingerprint with one that the owner published on an independent source, such as their own blog or website, or contacting them by email, over the phone or in person. Using multiple authentication sources will increase the level of trust you can give to the downloaded key. See [[Wikipedia:Public key fingerprint]] for more information.}}

{{Tip|
* An alternative key server is {{ic|pool.sks-keyservers.net}} and can be specified with {{ic|--keyserver}}; see also [[wikipedia:Key server (cryptographic)#Keyserver examples]].
* You can connect to the keyserver over [[Tor]] using {{ic|--use-tor}}. {{ic|hkp://jirk5u4osbsr34t5.onion}} is the onion address for the sks-keyservers pool. [https://gnupg.org/blog/20151224-gnupg-in-november-and-december.html See this GnuPG blog post] for more information.}}

=== 暗号化と復号化 ===

暗号化や復号化をするときは複数の秘密鍵を使用することが可能です。複数の鍵を使うときは使用する鍵を選択する必要があります。{{ic|-u ''<user-id>''}} オプションや {{ic|--local-user ''<user-id>''}} オプションを使うことで選択できます。このオプションを使うとデフォルトの鍵を使用する代わりに指定された鍵を使用します。

ファイルを暗号化するには、次を使用:

$ gpg --encrypt -o secret.tar.gpg secret.tar

* 受取人を変更したい場合は {{ic|-r ''<user-id>''}} オプションで変更できます (または {{ic|--recipient ''<user-id>''}})。
* gnupg を使えば機密文書を暗号化できますが、一度に複数のファイルを暗号化することはできません。ディレクトリやファイルシステム全体を暗号化したいときは、[[TrueCrypt]] や [[EncFS]] などを使用するか、tarball にファイルをまとめて暗号化すると良いでしょう。

ファイルを復号化するには、次を使用:

$ gpg --decrypt secret.tar.gpg

パスフレーズの入力が求められます。

== 鍵の管理 ==

=== 鍵の編集 ===

* {{ic|gpg --edit-key ''<user-id>''}} コマンドを実行するとメニューが表示され、鍵管理に関連するほとんどの作業を行うことができます。以下は満了日を設定する例です:

$ gpg --edit-key ''<user-id>''
> key ''number''
> expire ''yyyy-mm-dd''
> save
> quit

便利なコマンド:
> passwd # change the passphrase
> clean # compact any user ID that is no longer usable (e.g revoked or expired)
> revkey # revoke a key
> addkey # add a subkey to this key
> expire # change the key expiration time

* 公開鍵の ASCII バージョンを生成 (例: メールなどで配るため):

$ gpg --armor --output public.key --export ''<user-id>''

* PGP 公開鍵サーバーに鍵を登録して、他の人があなたに直接連絡しなくても鍵を取得できるようにする:

$ gpg --keyserver pgp.mit.edu --send-keys ''<key-id>''

* ユーザー Bob あてに署名と暗号化:

$ gpg -se -r Bob ''file''

* クリアテキスト署名を作成:

$ gpg --clearsign ''file''

=== 副鍵のエクスポート ===

複数のデバイスで同じ鍵を使い回す場合、マスター鍵を分離させて、セキュリティが低いシステムでは暗号化に必要な副鍵だけを使いたいという状況が考えられます。

まず、エクスポートしたい副鍵を確認してください:

$ gpg -K

エクスポートする副鍵だけを選択:

$ gpg -a --export-secret-subkeys [subkey id]! > /tmp/subkey.gpg

{{Warning|If you forget to add the !, all of your subkeys will be exported.}}

ここで作業を終えても良いですが、パスフレーズの変更もしておくと安全です。一時フォルダに鍵をインポートします:

$ gpg --homedir /tmp/gpg --import /tmp/subkey.gpg
$ gpg --homedir /tmp/gpg --edit-key ''<user-id>''
> passwd
> save
$ gpg --homedir /tmp/gpg -a --export-secret-subkeys [subkey id]! > /tmp/subkey.altpass.gpg

{{Note|マスター鍵が存在しない、また、マスター鍵のパスワードが変更されていないという警告が表示されますが、変更したのは副鍵のパスワードなので無視してかまいません。}}

これで、他のデバイスで {{ic|/tmp/subkey.altpass.gpg}} を使うことができます。

=== 副鍵の使用 ===

{{Warning|何か特段の事情がないかぎり、有効期限が切れたり無効になった副鍵を削除しないでください。削除してしまうとその副鍵で暗号化したファイルを復号化できなくなってしまいます。満了した、または無効のキーを削除するのは他のユーザーの鍵束を整理するときだけにしてください。}}

副鍵を設定して一定期間後に満了したら、新しい副鍵を作成できます。他のユーザーが鍵束を更新できるように数週間前に行うようにしましょう。

{{Note|新しい鍵を作成する必要はありません。期限がきて使えなくなっただけだからです。有効期間を延長することができます。}}

* 新しい副鍵を作成 (署名と暗号化の鍵の両方)

$ gpg --edit-key ''<user-id>''
> addkey

そして質問に答えて下さい (推奨される設定については前のセクションを参照)。

* 変更を保存:

> save

* キーサーバーにアップデート:

$ gpg --keyserver pgp.mit.edu --send-keys ''<user-id>''

{{Note|満了した副鍵を失効させる必要はありません、また、良い行いとは言えません。しょっちゅう鍵を無効化させているようでしたら、他人はあなたを信用しなくなるかもしれません。}}

=== 鍵を表示 ===

* 公開鍵束の鍵:

$ gpg --list-keys

* 秘密鍵束の鍵:

$ gpg --list-secret-keys

== gpg-agent ==

{{Deletion|Much of this is outdated and unnecessary info.|section=gpg-agent deletion}}
{{Out of date|[[#GPG_AGENT_INFO]] is deprecated since {{pkg|gnupg}}-2.1. See [[#Unattended passphrase]] for new method.}}

''gpg-agent'' はキーチェインにパスワードをリクエストしたりキャッシュしたりするのに使われるデーモンです。メールクライアントなど外部のプログラムから GnuPG を利用する場合に便利です。{{ic|gpg.conf}} に次の行を追加することで使用できます:

{{hc|~/.gnupg/gpg.conf|use-agent}}

この設定によって GnuPG はパスワードが必要になった時にエージェントを使うようになります。ただし、あらかじめエージェントを実行しておく必要があります。エージェントを自動的に起動するには、{{ic|.xinitrc}} や {{ic|.bash_profile}} に以下のエントリを追加してください。{{ic|$GNUPGHOME}} を変更していた場合は envfile のパスを忘れずに変更するようにしてください。

{{hc|~/.bash_profile|2=<nowiki>
envfile="$HOME/.gnupg/gpg-agent.env"
if [[ -e "$envfile" ]] && kill -0 $(grep GPG_AGENT_INFO "$envfile" | cut -d: -f 2) 2>/dev/null; then
eval "$(cat "$envfile")"
else
eval "$(gpg-agent --daemon --enable-ssh-support --write-env-file "$envfile")"
fi
export GPG_AGENT_INFO # the env file does not contain the export statement
export SSH_AUTH_SOCK # enable gpg-agent for ssh
</nowiki>}}

その後、セッションを一度ログアウトしてからログインしなおして下さい。''gpg-agent'' が有効になっているか確認:

$ pgrep gpg-agent

=== 設定 ===

gpg-agent は {{ic|~/.gnupg/gpg-agent.conf}} ファイルで設定することができます。設定オプションは {{ic|man gpg-agent}} に記載されています。例えば、未使用の鍵の cache ttl を変更することができます:

{{hc|~/.gnupg/gpg-agent.conf|
default-cache-ttl 3600
}}

{{Tip|セッションを通してパスフレーズをキャッシュするには、次のコマンドを実行してください:
$ /usr/lib/gnupg/gpg-preset-passphrase --preset XXXXXX

XXXX は鍵輪に置き換えてください。鍵輪の値は {{ic|gpg --with-keygrip -K}} を実行することで取得できます。パスフレーズは {{ic|gpg-agent}} が再起動されるまで保存されます。{{ic|default-cache-ttl}} の値を設定した場合、そちらが優先されます。
}}

=== エージェントのリロード ===

設定を変更した後は、{{ic|gpg-connect-agent}} に {{ic|RELOADAGENT}} という文字列をパイプで渡して、エージェントをリロードしてください。

$ echo RELOADAGENT | gpg-connect-agent

シェルに {{ic|OK}} と出力されます。

=== pinentry ===

最後に、ユーザーにパスワードを尋ねる方法をエージェントに設定する必要があります。gpg-agent の設定ファイルで設定できます。

デフォルトでは gtk のダイアログが使われます。使用できるオプションは {{ic|info pinentry}} を見て下さい。ダイアログの実装を変更するには {{ic|pinentry-program}} 設定オプションを設定します:
{{hc|~/.gnupg/gpg-agent.conf|

# PIN entry program
# pinentry-program /usr/bin/pinentry-curses
# pinentry-program /usr/bin/pinentry-qt4
# pinentry-program /usr/bin/pinentry-kwallet

pinentry-program /usr/bin/pinentry-gtk-2
}}

{{Tip|{{ic|/usr/bin/pinentry-kwallet}} を使うには {{Pkg|kwalletcli}} パッケージをインストールする必要があります。}}

変更を行った後は、gpg-agent をリロードしてください。

=== systemd ユーザーで gpg-agent を起動 ===

[[Systemd/ユーザー]] 機能を使ってエージェントを起動することが可能です。

systemd ユニットファイルを作成:

{{hc|~/.config/systemd/user/gpg-agent.service|2=
[Unit]
Description=GnuPG private key agent
IgnoreOnIsolate=true

[Service]
Type=forking
ExecStart=/usr/bin/gpg-agent --daemon --homedir=%h/.gnupg
ExecStop=/usr/bin/pkill gpg-agent
Restart=on-abort

[Install]
WantedBy=default.target
}}

{{Note|
* {{ic|GNUPGHOME}} など、サービスに環境変数を設定する必要があります。詳しくは [[systemd/ユーザー#環境変数]] を見て下さい。
* gnupg ホームディレクトリが {{ic|~/.gnupg}} の場合、パスを指定する必要はありません。
* {{ic|gpg -agent}} は標準ソケットを使いません。代わりに gnupg のホームディレクトリにある {{ic|S.gpg-agent}} という名前のソケットを使います。environment ファイルを読み込んで {{ic|/tmp}} に作成されたランダムなソケットのパスを取得するスクリプトは忘れることができます。
}}
* If you use SSH capabilities of gpg-agent (--enable-ssh-support), the systemd unit above will not work

{{Tip|gpg-agent が実行していること、接続を待機していることを確認するには、次のコマンドを実行してください: {{ic|$ gpg-connect-agent}}。設定が問題なければ、プロンプトが表示されます (''bye'' や ''quit'' と入力すれば接続が終了します)。}}

=== 無人のパスフレーズ ===

GnuPG 2.1.0 から gpg-agent と pinentry の利用が必須になりました。これによって {{ic|--passphrase-fd 0}} コマンドラインオプションによって STDIN からパイプで渡されたパスフレーズの後方互換性が損ねられています。古いリリースと同じような機能を使うには2つのことをする必要があります:

まず、gpg-agent の設定を編集して ''loopback'' pinentry モードを許可してください:

{{hc|1=~/.gnupg/gpg-agent.conf|2=
allow-loopback-pinentry
}}

gpg-agent プロセスが実行している場合は再起動して変更を適用します。

次に、更新する必要があるアプリケーションに以下のようにコマンドラインパラメータを含めて loopback モードを使用します:

$ gpg --pinentry-mode loopback ...

もしくは、コマンドラインで設定ができない場合、オプションを設定に追加します:

{{hc|1=~/.gnupg/gpg.conf|2=
pinentry-mode loopback
}}

{{Note|上流の開発者は ''gpg.conf'' で ''pinentry-mode loopback'' を設定すると他の機能が使えなくなる可能性があると示唆しています。出来るかぎりコマンドラインオプションを使うようにして下さい [https://bugs.g10code.com/gnupg/issue1772]。}}

== スマートカード ==

{{Note|{{Pkg|pcsclite}} と {{Pkg|libusb-compat}} をインストールして、{{ic|pcscd.service}} サービスを [[systemd#ユニットを使う|systemd]] で実行する必要があります。}}

GnuPG はスマートカードリーダーのインターフェイスとして ''scdaemon'' を使います。詳しくは [[man ページ]]を参照してください。

=== GnuPG のみ設定 ===

GnuPG ベース以外のカードを使う予定がない場合は、{{ic|~/.gnupg/scdaemon.conf}} の {{Ic|reader-port}} パラメータを確認してください。'0' が最初に利用できるシリアルポートリーダーを、'32768' (デフォルト) が最初の USB リーダーを示しています。

=== GnuPG と OpenSC ===

opensc ドライバーであらゆるスマートカードを使う場合は (例: いろいろな国の ID カード)、GnuPG の設定に注意する必要があります。何も設定をしていないと {{Ic|gpg --card-status}} を使った時に以下のようなメッセージが表示されることがあります:

gpg: selecting openpgp failed: ec=6.108

デフォルトでは、scdaemon はデバイスに直接接続しようとします。リーダーが他のプロセスによって使用中だとこの接続は失敗します。例えば: OpenSC によって使用される pcscd デーモン。この状況に対処するには、opensc と同じ基盤のドライバーを使って一緒に動作できるようにする必要があります。scdaemon に pcscd を使用させるため、{{ic|~/.gnupg/scdaemon.conf}} から {{Ic|reader-port}} を削除して、{{ic|libpcsclite.so}} ライブラリの場所を指定し、ccid を無効化してください:

{{hc|~/.gnupg/scdaemon.conf|<nowiki>
pcsc-driver /usr/lib/libpcsclite.so
card-timeout 5
disable-ccid
</nowiki>}}

OpenSC を使わない場合は {{Ic|man scdaemon}} をチェックしてください。

== Tips and tricks ==

=== Different algorithm ===

You may want to use stronger algorithms:

{{hc|~/.gnupg/gpg.conf|
...

personal-digest-preferences SHA512
cert-digest-algo SHA512
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
personal-cipher-preferences TWOFISH CAMELLIA256 AES 3DES
}}

In the latest version of GnuPG, the default algorithms used are SHA256 and AES, both of which are secure enough for most people. However, if you are using a version of GnuPG older than 2.1, or if you want an even higher level of security, then you should follow the above step.

=== Encrypt a password ===

It can be useful to encrypt some password, so it will not be written in clear on a configuration file. A good example is your email password.

First create a file with your password. You '''need''' to leave '''one''' empty line after the password, otherwise gpg will return an error message when evaluating the file.

Then run:

$ gpg -e -a -r ''<user-id>'' ''your_password_file''

{{ic|-e}} is for encrypt, {{ic|-a}} for armor (ASCII output), {{ic|-r}} for recipient user ID.

You will be left with a new {{ic|''your_password_file''.asc}} file.

=== Default options for new users ===

If you want to setup some default options for new users, put configuration files in {{ic|/etc/skel/.gnupg/}}. When the new user is added in system, files from here will be copied to its GnuPG home directory. There is also a simple script called ''addgnupghome'' which you can use to create new GnuPG home directories for existing users:

# addgnupghome user1 user2

This will add the respective {{ic|/home/user1/.gnupg}} and {{ic|/home/user2/.gnupg}} and copy the files from the skeleton directory to it. Users with existing GnuPG home directory are simply skipped.

=== Revoking a key ===

{{Warning|
*Anybody having access to your revocation certificate can revoke your key, rendering it useless.
*Key revocation should only be performed if your key is compromised or lost, or you forget your passphrase.}}

Revocation certificates are automatically generated for newly generated keys, although one can be generated manually by the user later. These are located at {{ic|~/.gnupg/openpgp-revocs.d/}}. The filename of the certificate is the fingerprint of the key it will revoke.

To revoke your key, simply import the revocation certificate:

$ gpg --import ''<fingerprint>''.rev

Now update the keyserver:

$ gpg --keyserver subkeys.pgp.net --send ''<userid>''

=== Change trust model ===

By default GnuPG uses the [[Wikipedia::Web of Trust|Web of Trust]] as the trust model. You can change this to [[Wikipedia::Trust on First|Trust on First]] Use by adding {{ic|1=--trust-model=tofu}} when adding a key or adding this option to your GnuPG configuration file. More details are in [https://lists.gnupg.org/pipermail/gnupg-devel/2015-October/030341.html this email to the GnuPG list].

=== Hide all recipient id's ===

By default the recipient's key ID is in the encrypted message. This can be removed at encryption time for a recipient by using {{ic|hidden-recipient ''<user-id>''}}. To remove it for all recipients add {{ic|throw-keyids}} to your configuration file. This helps to hide the receivers of the message and is a limited countermeasure against traffic analysis. (Using a little social engineering anyone who is able to decrypt the message can check whether one of the other recipients is the one he suspects.) On the receiving side, it may slow down the decryption process because all available secret keys must be tried (''e.g.'' with {{ic|--try-secret-key ''<user-id>''}}).

=== Using caff for keysigning parties ===

To allow users to validate keys on the keyservers and in their keyrings (i.e. make sure they are from whom they claim to be), PGP/GPG uses he [[Wikipedia::Web of Trust|Web of Trust]]. Keysigning parties allow users to get together in physical location to validate keys. The [[Wikipedia:Zimmermann–Sassaman key-signing protocol|Zimmermann-Sassaman]] key-signing protocol is a way of making these very effective. [http://www.cryptnet.net/fdp/crypto/keysigning_party/en/keysigning_party.html Here] you will find a how-to article.

キーサインパーティの後、鍵に署名したり所有者に署名を送るのを簡略化するために、''caff'' というツールを使うことができます。AUR のパッケージ {{AUR|caff-svn}} でインストールすることができ、{{AUR|signing-party-svn}} パッケージなど他の便利なツールにも付属しています。どちらにせよ、AUR から大量の依存パッケージをインストールすることになります。また、以下のように CPAN からインストールすることも可能です:
cpanm Any::Moose
cpanm GnuPG::Interface

To send the signatures to their owners you need a working [[Wikipedia:Message transfer agent|MTA]]. If you do not have already one, install [[msmtp]].

== トラブルシューティング ==

=== Make it work behind an http proxy ===
Since 2.1.9 the http proxy option can be set like this:

gpg --keyserver-option http-proxy=HOST:PORT

See https://bugs.gnupg.org/gnupg/issue1786 for more explanation.

=== Not enough random bytes available ===
鍵を生成するときに、gpg は以下のエラーを表示することがあります:
Not enough random bytes available. Please do some other work to give the OS a chance to collect more entropy!
残っているエントロピーを確認するには、カーネルパラメータをチェックしてください:
cat /proc/sys/kernel/random/entropy_avail

エントロピーがたくさんある健康的な Linux 環境ならマックスの 4,096 ビットに近い値が返されます。返ってくる値が 200 以下の場合、システムのエントロピーが足りていません。

エントロピー問題を解決するには、メッセージ通りのことをするのがベストです (例: ディスクを動かす、マウスを動かす、wiki を編集する - 何でもエントロピーの生成に繋がります)。それでも問題が解決しない場合、エントロピーを使い果たしているサービスが何なのかチェックして、しばらくそのサービスを停止してみてください。サービスを停止できない場合、[[乱数生成#高速な RNG]] を見て下さい。

=== su ===

{{Ic|pinentry}} を使う場合、使用するターミナルデバイス (例: {{Ic|/dev/tty1}}) の適切なパーミッションが必要です。しかしながら、''su'' (または ''sudo'') を使用すると、所有権は元のユーザーに残り、新しいユーザーにはなくなります。これでは pinentry はたとえ root であっても起動しません。pinentry を使用する (つまりエージェントで gpg を使用する) 前にデバイスのパーミッションを同じ所に変更する必要があります。root で gpg を実行する場合、gpg を使用する直前に所有者を root に変更してください:

chown root /dev/ttyN # where N is the current tty

そして gpg を使用した後に元に戻して下さい。おそらく {{Ic|/dev/pts/}} と同じのが正しいです。

{{Note|The owner of tty ''must'' match with the user for which pinentry is running. Being part of the group {{Ic|tty}} '''is not''' enough.}}

=== エージェントがファイルの終末についてエラーを表示する ===

デフォルトの pinentry プログラムは pinentry-gtk-2 であり、D-Bus セッションバスを正しく実行する必要があります。詳しくは[[一般的なトラブルシューティング#セッションのパーミッション]]を見て下さい。

もしくは、{{ic|pinentry-qt}} を使うこともできます。[[#pinentry]] を参照。

=== KGpg 設定のパーミッション ===

There have been issues with {{Pkg|kdeutils-kgpg}} being able to access the {{ic|~/.gnupg/}} options. One issue might be a result of a deprecated ''options'' file, see the [https://bugs.kde.org/show_bug.cgi?id=290221 bug] report.

Another user reported that ''KGpg'' failed to start until the {{ic|~/.gnupg}} folder is set to {{ic|drwxr-xr-x}} permissions. If you require this work-around, ensure that the directory contents retain {{ic|-rw-------}} permissions! Further, report it as a bug to the [https://bugs.kde.org/buglist.cgi?quicksearch=kgpg developers].

=== gnome-keyring と gpg-agent が衝突する ===

Gnome keyring は GPG エージェントコンポーネントを実装していますが、GnuPG バージョン 2.1 から、GnuPG は {{ic|GPG_AGENT_INFO}} 環境変数を無視するようになったため、Gnome keyring を GPG エージェントとして使うことはできません。

However, since version 0.9.6 the package {{Pkg|pinentry}} provides the {{Ic|pinentry-gnome3}} program. You may set the following option in your {{Ic|gpg-agent.conf}} file
pinentry-program /usr/bin/pinentry-gnome3
in order to make use of that pinentry program.

Since version 0.9.2 all pinentry programs can be configured to optionally save a passphrase with libsecret. For example, when the user is asked for a passphrase via {{Ic|pinentry-gnome3}}, a checkbox is shown whether to save the passphrase using a password manager. Unfortunately, the package {{Pkg|pinentry}} does not have this feature enabled (see {{Bug|46059}} for the reasons). You may use {{AUR|pinentry-libsecret}} as a replacement for it, which has support for libsecret enabled.

=== mutt and gpg ===

To be asked for your GnuPG password only once per session as of GnuPG 2.1, see [https://bbs.archlinux.org/viewtopic.php?pid=1490821#p1490821 this forum thread].

=== gnupg バージョン 2.1 にアップグレードすると鍵が"消失"する ===

{{ic|gpg --list-keys}} を実行しても以前まで使っていた鍵が表示されない場合、また、アプリケーションが鍵を見つけられないまたは鍵が不正だとエラーを吐く場合、鍵が新しいフォーマットに移行できていない可能性があります。

[http://jo-ke.name/wp/?p=111 GnuPG invalid packet workaround] を読んで下さい。要約すると、旧式の {{ic|pubring.gpg}} と {{ic|secring.gpg}} ファイルの鍵にはバグが存在しており、新しい {{ic|pubring.kbx}} ファイルと {{ic|private-keys-v1.d/}} サブディレクトリ、そしてディレクトリのファイルによって置き換えられたということが書かれています。以下のコマンドを実行することで消失した鍵を復旧させることができるかもしれません:

$ cd
$ cp -r .gnupg gnupgOLD
$ gpg --export-ownertrust > otrust.txt
$ gpg --import .gnupg/pubring.gpg
$ gpg --import-ownertrust otrust.txt
$ gpg --list-keys

=== (鍵を受信しようとすると) どのキーサーバーでも gpg がフリーズする ===

特定のキーサーバーで鍵を受信しようとして gpg がフリーズしている場合、dirmngr を kill して (問題が起こっていない) 他のキーサーバーにアクセスできるようにする必要があります。そうしないと全てのキーサーバーでフリーズしてしまいます。

=== スマートカードが検出されない ===

スマートカードにアクセスするための権限がない場合、カードを正しく設定して接続しても、{{ic|card error}} が表示されることがあります。

スマートカードにアクセスする必要があるユーザーに {{ic|scard}} を追加することで解決できます。追加したら、以下のような [[Udev#udev ルールを記述する|udev]] ルールを作って下さい:
{{hc|/etc/udev/rules.d/71-gnupg-ccid.rules|<nowiki>
ACTION=="add", SUBSYSTEM=="usb", ENV{ID_VENDOR_ID}=="1050", ENV{ID_MODEL_ID}=="0116|0111", MODE="664", GROUP="scard"
</nowiki>}}

VENDOR と MODEL は {{ic|lsusb}} の出力にあわせて変更する必要があります。上記は YubikeyNEO の例です。

== 参照 ==

* [https://gnupg.org/ GNU Privacy Guard Homepage]
* [https://fedoraproject.org/wiki/Creating_GPG_Keys Creating GPG Keys (Fedora)]
* [https://wiki.debian.org/Subkeys OpenPGP subkeys in Debian]
* [http://blog.sanctum.geek.nz/series/linux-crypto/ A more comprehensive gpg Tutorial]
* [https://help.riseup.net/en/security/message-security/openpgp/gpg-best-practices gpg.conf recommendations and best practices]
* [https://github.com/ioerror/torbirdy/blob/master/gpg.conf Torbirdy gpg.conf]
* [https://www.reddit.com/r/GPGpractice/ /r/GPGpractice - a subreddit to practice using GnuPG.]

GnuPG

2016-01-24T16:57:11Z

Aosho235: この.serviceをそのまま使うとエラーになるため、英語版の最新版に修正

[[Category:セキュリティ]]
[[en:GnuPG]]
[[es:GnuPG]]
[[ru:GnuPG]]
[http://www.gnupg.org GnuPG] を使うことでデータや通信を暗号化したり署名することができます。多目的の鍵管理システムであり、あらゆる種類の公開鍵ディレクトリのアクセスモジュールです。

== インストール ==

[[公式リポジトリ]]にある {{Pkg|gnupg}} をインストールしてください。

gnupg をインストールすると、GnuPG がパスフレーズエントリに使用するシンプルな PIN やパスフレーズエントリダイアログのコレクションである {{Pkg|pinentry}} もインストールされます。''pinentry'' はシンボリックリンク {{ic|/usr/bin/pinentry}} によって決められ、デフォルトでは {{ic|/usr/bin/pinentry-gtk-2}} になります。

== 環境変数 ==

=== GNUPGHOME ===

{{ic|$GNUPGHOME}} は全ての設定ファイルを保存するディレクトリを指定するのに GnuPG によって使われます。デフォルトでは {{ic|$GNUPGHOME}} は設定されておらず、代わりに {{ic|$HOME}} が使われます。そのためインストール直後は {{ic|~/.gnupg}} ディレクトリが確認できます。[[自動起動|スタートアップファイル]]に次の行を記述することでデフォルト設定を変更できます:

export GNUPGHOME="''/path/to/directory''"

{{Note|デフォルトでは、gnupg ディレクトリの[[ファイルのパーミッションと属性|パーミッション]]は ''700'' に設定されており、ディレクトリのファイルのパーミッションは ''600'' に設定されています。ファイルの読み書きやアクセスの権限を持っているのはディレクトリの所有者だけです (''r'',''w'',''x'')。これはセキュリティ上の理由で設定されていることなので変更してはいけません。ディレクトリやファイルがこのセキュリティ対策に従っていない場合、ファイルやホームディレクトリのパーミッションが安全ではないという警告が表示されます。}}

=== GPG_AGENT_INFO ===

{{ic|GPG_AGENT_INFO}} は gpg-agent を示すのに使われます。コロンで区切られた3つのフィールドから成ります:

# Unix ドメインソケットのパス
# gpg-agent の PID
# プロトコルのバージョン

例: {{ic|1=GPG_AGENT_INFO=/tmp/gpg-eFqmSC/S.gpg-agent:7795:1}}。gpg-agent を起動すると、この変数が適切に設定されます。

{{Note|[https://www.gnupg.org/faq/whats-new-in-2.1.html GnuPG 2.1 のアナウンス] によると: GnuPG 2.1 で {{ic|GPG_AGENT_INFO}} の必要性は完全になくなり変数は無視されるようになりました。代わりに、{{ic|$GNUPGHOME/S.gpg-agent}} という決まった名前の Unix ドメインソケットが使われます。エージェントも必要に応じて、ツールがエージェントのサービスを必要としたときに起動します。}}

== 設定ファイル ==

デフォルトは {{ic|~/.gnupg/gpg.conf}} です。デフォルトの場所を変更したい場合は、{{ic|$ gpg --homedir ''path/to/file''}} と gpg を実行するか {{ic|$GNUPGHOME}} 変数を使って下さい。

どんな長いオプションもこのファイルに追加します。2つのダッシュを書かないで、オプションや必要な引数の名前を書いて下さい。スケルトンファイルは {{ic|/usr/share/gnupg/gpg-conf.skel}} にあります。以下はベーシックな設定ファイルです:
{{hc|~/.gnupg/gpg.conf|
default-key ''name'' # useful in case you manage several keys and want to set a default one
keyring ''file'' # will add ''file'' to the current list of keyrings
trustdb-name ''file'' # use ''file'' instead of the default trustdb
homedir ''dir'' # set the name of the gnupg home dir to ''dir'' instead of ~/.gnupg
display-charset utf-8 # bypass all translation and assume that the OS uses native UTF-8 encoding
keyserver ''name'' # use ''name'' as your keyserver
no-greeting # suppress the initial copyright message
armor # create ASCII armored output. Default is binary OpenPGP format
}}

新規ユーザーのデフォルトオプションを設定したいときは、{{ic|/etc/skel/.gnupg/}} に設定ファイルを置いて下さい。システムに新しいユーザーが追加されたとき、ここからファイルが GnuPG のホームディレクトリにコピーされます。''addgnupghome'' というシンプルなスクリプトもあり、既存のユーザーに新しい GnuPG ホームディレクトリを作成できます:

# addgnupghome user1 user2

このコマンドで {{ic|/home/user1/.gnupg}} と {{ic|/home/user2/.gnupg}} が作成されスケルトンディレクトリからファイルがコピーされます。既に GnuPG ホームディレクトリが存在するユーザーは無視されます。

== 基本的な鍵の管理 ==

{{Note|コマンドに ''{{ic|<user-id>}}'' が必要なときは、鍵 ID、指紋、名前やメールアドレスの一部などを指定できます。これについて GnuPG は寛容です。}}

=== 鍵の作成 ===

最初に強力なアルゴリズムを使うように設定して下さい:

{{hc|~/.gnupg/gpg.conf|
personal-digest-preferences SHA512
cert-digest-algo SHA512
default-preference-list SHA512 SHA384 SHA256 SHA224 AES256 AES192 AES CAST5 ZLIB BZIP2 ZIP Uncompressed
personal-cipher-preferences TWOFISH CAMELLIA256 AES 3DES
}}

GnuPG の最新版では、デフォルトのアルゴリズムとして SHA256 と AES が使われており、どちらも殆どの場合安全です。しかしながら、2.1 以前の古い GnuPG を使っている場合や、さらに高いセキュリティを求めたい場合、上記のように設定するようにしてください。

秘密鍵を生成するにはターミナルに次を入力:

$ gpg --full-gen-key

{{Note|
* {{ic|--full-gen-key}} オプションは {{Pkg|gnupg}}-2.1.0 から使えるようになりました。
* {{ic|--expert}} を使うことで他の暗号を利用することができます ([[wikipedia:ja:楕円曲線暗号|楕円曲線暗号]]など)。
}}

いくつか質問がきかれます。一般的に、ほとんどのユーザーは RSA (署名のみ) と RSA (暗号化のみ) の両方の鍵が必要になります。鍵長は2048ビットで十分です。4096ビットを使ったところで [https://www.gnupg.org/faq/gnupg-faq.html#no_default_of_rsa4096 "大した効果はありませんし、無駄に時間がかかるようになるだけです"] 。

副鍵の有効期限の設定は技術的には必須ではありませんが、設定することは悪くありません。標準的なユーザーなら、1年間で十分でしょう。たとえ鍵束へのアクセスを失っても、他の人が有効でないことを知ることができるようになります。鍵を作成した後、新しい鍵を再発行しなくても満了日は延長することができます。

=== 鍵の管理 ===

* {{ic|gpg --edit-key ''<user-id>''}} コマンドを実行するとメニューが表示され、鍵管理に関連するほとんどの作業を行うことができます。以下は満了日を設定する例です:

$ gpg --edit-key ''<user-id>''
> key ''number''
> expire ''yyyy-mm-dd''
> save
> quit

便利なコマンド:
> passwd # change the passphrase
> clean # compact any user ID that is no longer usable (e.g revoked or expired)
> revkey # revoke a key
> addkey # add a subkey to this key
> expire # change the key expiration time

* 公開鍵の ASCII バージョンを生成 (例: メールなどで配るため):

$ gpg --armor --output public.key --export ''<user-id>''

* PGP 公開鍵サーバーに鍵を登録して、他の人があなたに直接連絡しなくても鍵を取得できるようにする:

$ gpg --keyserver pgp.mit.edu --send-keys ''<key-id>''

* ユーザー Bob あてに署名と暗号化:

$ gpg -se -r Bob ''file''

* クリアテキスト署名を作成:

$ gpg --clearsign ''file''

=== 副鍵のエクスポート ===

複数のデバイスで同じ鍵を使い回す場合、マスター鍵を分離させて、セキュリティが低いシステムでは暗号化に必要な副鍵だけを使いたいという状況が考えられます。

まず、エクスポートしたい副鍵を確認してください:

$ gpg -K

エクスポートする副鍵だけを選択:

$ gpg -a --export-secret-subkeys [subkey id]! > /tmp/subkey.gpg

{{Warning|If you forget to add the !, all of your subkeys will be exported.}}

ここで作業を終えても良いですが、パスフレーズの変更もしておくと安全です。一時フォルダに鍵をインポートします:

$ gpg --homedir /tmp/gpg --import /tmp/subkey.gpg
$ gpg --homedir /tmp/gpg --edit-key ''<user-id>''
> passwd
> save
$ gpg --homedir /tmp/gpg -a --export-secret-subkeys [subkey id]! > /tmp/subkey.altpass.gpg

{{Note|マスター鍵が存在しない、また、マスター鍵のパスワードが変更されていないという警告が表示されますが、変更したのは副鍵のパスワードなので無視してかまいません。}}

これで、他のデバイスで {{ic|/tmp/subkey.altpass.gpg}} を使うことができます。

=== 副鍵の使用 ===

{{Warning|何か特段の事情がないかぎり、有効期限が切れたり無効になった副鍵を削除しないでください。削除してしまうとその副鍵で暗号化したファイルを復号化できなくなってしまいます。満了した、または無効のキーを削除するのは他のユーザーの鍵束を整理するときだけにしてください。}}

副鍵を設定して一定期間後に満了したら、新しい副鍵を作成できます。他のユーザーが鍵束を更新できるように数週間前に行うようにしましょう。

{{Note|新しい鍵を作成する必要はありません。期限がきて使えなくなっただけだからです。有効期間を延長することができます。}}

* 新しい副鍵を作成 (署名と暗号化の鍵の両方)

$ gpg --edit-key ''<user-id>''
> addkey

そして質問に答えて下さい (推奨される設定については前のセクションを参照)。

* 変更を保存:

> save

* キーサーバーにアップデート:

$ gpg --keyserver pgp.mit.edu --send-keys ''<user-id>''

{{Note|満了した副鍵を失効させる必要はありません、また、良い行いとは言えません。しょっちゅう鍵を無効化させているようでしたら、他人はあなたを信用しなくなるかもしれません。}}

=== 鍵のインポート ===

* 公開鍵を公開鍵束にインポート:

$ gpg --import public.key

* 秘密鍵を秘密鍵束にインポート:

$ gpg --import private.key

* キーサーバーから鍵をインポート ('--keyserver' を省略した場合、デフォルトのサーバーが使われます):

$ gpg --keyserver pgp.mit.edu --recv-keys <keyid>

=== 鍵を表示 ===

* 公開鍵束の鍵:

$ gpg --list-keys

* 秘密鍵束の鍵:

$ gpg --list-secret-keys

== 暗号化と復号化 ==

暗号化や復号化をするときは複数の秘密鍵を使用することが可能です。複数の鍵を使うときは使用する鍵を選択する必要があります。{{ic|-u ''<user-id>''}} オプションや {{ic|--local-user ''<user-id>''}} オプションを使うことで選択できます。このオプションを使うとデフォルトの鍵を使用する代わりに指定された鍵を使用します。

ファイルを暗号化するには、次を使用:

$ gpg --encrypt -o secret.tar.gpg secret.tar

* 受取人を変更したい場合は {{ic|-r ''<user-id>''}} オプションで変更できます (または {{ic|--recipient ''<user-id>''}})。
* gnupg を使えば機密文書を暗号化できますが、一度に複数のファイルを暗号化することはできません。ディレクトリやファイルシステム全体を暗号化したいときは、[[TrueCrypt]] や [[EncFS]] などを使用するか、tarball にファイルをまとめて暗号化すると良いでしょう。

ファイルを復号化するには、次を使用:

$ gpg --decrypt secret.tar.gpg

パスフレーズの入力が求められます。

=== パスワードの暗号化 ===

パスワードを暗号化すれば、設定ファイルに平文で書き込まれなくなります。メールのパスワードなどが良い例でしょう。

まずパスワードを記述したファイルを作成してください。パスワードの後に空行を'''一行'''だけ追加しておく必要があります。そうしないとファイルを評価するときに gpg がエラーメッセージを返します。

そして次を実行:

$ gpg -e -a -r ''<user-id>'' ''your_password_file''

{{ic|-e}} は encrypt、{{ic|-a}} は armor (ASCII 出力)、{{ic|-r}} は受取人のユーザー ID です。

新しく {{ic|''your_password_file''.asc}} ファイルが作られます。

== gpg-agent ==

''gpg-agent'' はキーチェインにパスワードをリクエストしたりキャッシュしたりするのに使われるデーモンです。メールクライアントなど外部のプログラムから GnuPG を利用する場合に便利です。{{ic|gpg.conf}} に次の行を追加することで使用できます:

{{hc|~/.gnupg/gpg.conf|use-agent}}

この設定によって GnuPG はパスワードが必要になった時にエージェントを使うようになります。ただし、あらかじめエージェントを実行しておく必要があります。エージェントを自動的に起動するには、{{ic|.xinitrc}} や {{ic|.bash_profile}} に以下のエントリを追加してください。{{ic|$GNUPGHOME}} を変更していた場合は envfile のパスを忘れずに変更するようにしてください。

{{hc|~/.bash_profile|2=<nowiki>
envfile="$HOME/.gnupg/gpg-agent.env"
if [[ -e "$envfile" ]] && kill -0 $(grep GPG_AGENT_INFO "$envfile" | cut -d: -f 2) 2>/dev/null; then
eval "$(cat "$envfile")"
else
eval "$(gpg-agent --daemon --enable-ssh-support --write-env-file "$envfile")"
fi
export GPG_AGENT_INFO # the env file does not contain the export statement
export SSH_AUTH_SOCK # enable gpg-agent for ssh
</nowiki>}}

その後、セッションを一度ログアウトしてからログインしなおして下さい。''gpg-agent'' が有効になっているか確認:

$ pgrep gpg-agent

=== 設定 ===

gpg-agent は {{ic|~/.gnupg/gpg-agent.conf}} ファイルで設定することができます。設定オプションは {{ic|man gpg-agent}} に記載されています。例えば、未使用の鍵の cache ttl を変更することができます:

{{hc|~/.gnupg/gpg-agent.conf|
default-cache-ttl 3600
}}

{{Tip|セッションを通してパスフレーズをキャッシュするには、次のコマンドを実行してください:
$ /usr/lib/gnupg/gpg-preset-passphrase --preset XXXXXX

XXXX は鍵輪に置き換えてください。鍵輪の値は {{ic|gpg --with-keygrip -K}} を実行することで取得できます。パスフレーズは {{ic|gpg-agent}} が再起動されるまで保存されます。{{ic|default-cache-ttl}} の値を設定した場合、そちらが優先されます。
}}

=== エージェントのリロード ===

設定を変更した後は、{{ic|gpg-connect-agent}} に {{ic|RELOADAGENT}} という文字列をパイプで渡して、エージェントをリロードしてください。

$ echo RELOADAGENT | gpg-connect-agent

シェルに {{ic|OK}} と出力されます。

=== pinentry ===

最後に、ユーザーにパスワードを尋ねる方法をエージェントに設定する必要があります。gpg-agent の設定ファイルで設定できます。

デフォルトでは gtk のダイアログが使われます。使用できるオプションは {{ic|info pinentry}} を見て下さい。ダイアログの実装を変更するには {{ic|pinentry-program}} 設定オプションを設定します:
{{hc|~/.gnupg/gpg-agent.conf|

# PIN entry program
# pinentry-program /usr/bin/pinentry-curses
# pinentry-program /usr/bin/pinentry-qt4
# pinentry-program /usr/bin/pinentry-kwallet

pinentry-program /usr/bin/pinentry-gtk-2
}}

{{Tip|{{ic|/usr/bin/pinentry-kwallet}} を使うには {{Pkg|kwalletcli}} パッケージをインストールする必要があります。}}

変更を行った後は、gpg-agent をリロードしてください。

=== systemd ユーザーで gpg-agent を起動 ===

[[Systemd/ユーザー]] 機能を使ってエージェントを起動することが可能です。

systemd ユニットファイルを作成:

{{hc|~/.config/systemd/user/gpg-agent.service|2=
[Unit]
Description=GnuPG private key agent
IgnoreOnIsolate=true

[Service]
Type=forking
ExecStart=/usr/bin/gpg-agent --daemon --homedir=%h/.gnupg
ExecStop=/usr/bin/pkill gpg-agent
Restart=on-abort

[Install]
WantedBy=default.target
}}

{{Note|
* {{ic|GNUPGHOME}} など、サービスに環境変数を設定する必要があります。詳しくは [[systemd/ユーザー#環境変数]] を見て下さい。
* gnupg ホームディレクトリが {{ic|~/.gnupg}} の場合、パスを指定する必要はありません。
* {{ic|gpg -agent}} は標準ソケットを使いません。代わりに gnupg のホームディレクトリにある {{ic|S.gpg-agent}} という名前のソケットを使います。environment ファイルを読み込んで {{ic|/tmp}} に作成されたランダムなソケットのパスを取得するスクリプトは忘れることができます。
}}

{{Tip|gpg-agent が実行していること、接続を待機していることを確認するには、次のコマンドを実行してください: {{ic|$ gpg-connect-agent}}。設定が問題なければ、プロンプトが表示されます (''bye'' や ''quit'' と入力すれば接続が終了します)。}}

=== 無人のパスフレーズ ===

GnuPG 2.1.0 から gpg-agent と pinentry の利用が必須になりました。これによって {{ic|--passphrase-fd 0}} コマンドラインオプションによって STDIN からパイプで渡されたパスフレーズの後方互換性が損ねられています。古いリリースと同じような機能を使うには2つのことをする必要があります:

まず、gpg-agent の設定を編集して ''loopback'' pinentry モードを許可してください:

{{hc|1=~/.gnupg/gpg-agent.conf|2=
allow-loopback-pinentry
}}

gpg-agent プロセスが実行している場合は再起動して変更を適用します。

次に、更新する必要があるアプリケーションに以下のようにコマンドラインパラメータを含めて loopback モードを使用します:

$ gpg --pinentry-mode loopback ...

もしくは、コマンドラインで設定ができない場合、オプションを設定に追加します:

{{hc|1=~/.gnupg/gpg.conf|2=
pinentry-mode loopback
}}

{{Note|上流の開発者は ''gpg.conf'' で ''pinentry-mode loopback'' を設定すると他の機能が使えなくなる可能性があると示唆しています。出来るかぎりコマンドラインオプションを使うようにして下さい [https://bugs.g10code.com/gnupg/issue1772]。}}

== キーサインパーティ ==

キーサーバーやキーリングにある鍵の正当性をユーザーが確認 (つまり鍵の持ち主が本人であることを確認) できるように、PGP/GPG はいわゆる信頼の輪 ("Web of Trust") を利用しています。信頼の輪を維持するために様々なハッカーイベントが開かれており、キーサインパーティはそのひとつです。

[[Wikipedia:Zimmermann–Sassaman key-signing protocol|Zimmermann-Sassaman]] 鍵署名プロトコルはキーサインパーティを効果的に行うための方式です。[http://www.cryptnet.net/fdp/crypto/keysigning_party/en/keysigning_party.html こちら] にハウツー記事があります。

=== caff ===

キーサインパーティの後、鍵に署名したり所有者に署名を送るのを簡略化するために、''caff'' というツールを使うことができます。AUR のパッケージ {{AUR|caff-svn}} でインストールすることができ、{{AUR|signing-party-svn}} パッケージなど他の便利なツールにも付属しています。どちらにせよ、AUR から大量の依存パッケージをインストールすることになります。また、以下のように CPAN からインストールすることも可能です:
cpanm Any::Moose
cpanm GnuPG::Interface

所有者に署名を送信するには [[Wikipedia:ja:メール転送エージェント|MTA]] が必要です。MTA を設定していない場合、[[msmtp]] をインストールして下さい。

== スマートカード ==

{{Note|{{Pkg|pcsclite}} と {{Pkg|libusb-compat}} をインストールして、{{ic|pcscd.service}} サービスを [[systemd#ユニットを使う|systemd]] で実行する必要があります。}}

GnuPG はスマートカードリーダーのインターフェイスとして ''scdaemon'' を使います。詳しくは [[man ページ]]を参照してください。

=== GnuPG のみ設定 ===

GnuPG ベース以外のカードを使う予定がない場合は、{{ic|~/.gnupg/scdaemon.conf}} の {{Ic|reader-port}} パラメータを確認してください。'0' が最初に利用できるシリアルポートリーダーを、'32768' (デフォルト) が最初の USB リーダーを示しています。

=== GnuPG と OpenSC ===

opensc ドライバーであらゆるスマートカードを使う場合は (例: いろいろな国の ID カード)、GnuPG の設定に注意する必要があります。何も設定をしていないと {{Ic|gpg --card-status}} を使った時に以下のようなメッセージが表示されることがあります:

gpg: selecting openpgp failed: ec=6.108

デフォルトでは、scdaemon はデバイスに直接接続しようとします。リーダーが他のプロセスによって使用中だとこの接続は失敗します。例えば: OpenSC によって使用される pcscd デーモン。この状況に対処するには、opensc と同じ基盤のドライバーを使って一緒に動作できるようにする必要があります。scdaemon に pcscd を使用させるため、{{ic|~/.gnupg/scdaemon.conf}} から {{Ic|reader-port}} を削除して、{{ic|libpcsclite.so}} ライブラリの場所を指定し、ccid を無効化してください:

{{hc|~/.gnupg/scdaemon.conf|<nowiki>
pcsc-driver /usr/lib/libpcsclite.so
card-timeout 5
disable-ccid
</nowiki>}}

OpenSC を使わない場合は {{Ic|man scdaemon}} をチェックしてください。

== トラブルシューティング ==

=== Not enough random bytes available ===
鍵を生成するときに、gpg は以下のエラーを表示することがあります:
Not enough random bytes available. Please do some other work to give the OS a chance to collect more entropy!
残っているエントロピーを確認するには、カーネルパラメータをチェックしてください:
cat /proc/sys/kernel/random/entropy_avail

エントロピーがたくさんある健康的な Linux 環境ならマックスの 4,096 ビットに近い値が返されます。返ってくる値が 200 以下の場合、システムのエントロピーが足りていません。

エントロピー問題を解決するには、メッセージ通りのことをするのがベストです (例: ディスクを動かす、マウスを動かす、wiki を編集する - 何でもエントロピーの生成に繋がります)。それでも問題が解決しない場合、エントロピーを使い果たしているサービスが何なのかチェックして、しばらくそのサービスを停止してみてください。サービスを停止できない場合、[[乱数生成#高速な RNG]] を見て下さい。

=== su ===

{{Ic|pinentry}} を使う場合、使用するターミナルデバイス (例: {{Ic|/dev/tty1}}) の適切なパーミッションが必要です。しかしながら、''su'' (または ''sudo'') を使用すると、所有権は元のユーザーに残り、新しいユーザーにはなくなります。これでは pinentry はたとえ root であっても起動しません。pinentry を使用する (つまりエージェントで gpg を使用する) 前にデバイスのパーミッションを同じ所に変更する必要があります。root で gpg を実行する場合、gpg を使用する直前に所有者を root に変更してください:

chown root /dev/ttyN # where N is the current tty

そして gpg を使用した後に元に戻して下さい。おそらく {{Ic|/dev/pts/}} と同じのが正しいです。

{{Note|The owner of tty ''must'' match with the user for which pinentry is running. Being part of the group {{Ic|tty}} '''is not''' enough.}}

=== エージェントがファイルの終末についてエラーを表示する ===

デフォルトの pinentry プログラムは pinentry-gtk-2 であり、D-Bus セッションバスを正しく実行する必要があります。詳しくは[[一般的なトラブルシューティング#セッションのパーミッション]]を見て下さい。

もしくは、{{ic|pinentry-qt}} を使うこともできます。[[#pinentry]] を参照。

=== KGpg 設定のパーミッション ===

There have been issues with {{Pkg|kdeutils-kgpg}} being able to access the {{ic|~/.gnupg/}} options. One issue might be a result of a deprecated ''options'' file, see the [https://bugs.kde.org/show_bug.cgi?id=290221 bug] report.

Another user reported that ''KGpg'' failed to start until the {{ic|~/.gnupg}} folder is set to {{ic|drwxr-xr-x}} permissions. If you require this work-around, ensure that the directory contents retain {{ic|-rw-------}} permissions! Further, report it as a bug to the [https://bugs.kde.org/buglist.cgi?quicksearch=kgpg developers].

=== gnome-keyring と gpg-agent が衝突する ===

Gnome keyring は GPG エージェントコンポーネントを実装していますが、GnuPG バージョン 2.1 から、GnuPG は {{ic|GPG_AGENT_INFO}} 環境変数を無視するようになったため、Gnome keyring を GPG エージェントとして使うことはできません。

=== gnupg バージョン 2.1 にアップグレードすると鍵が"消失"する ===

{{ic|gpg --list-keys}} を実行しても以前まで使っていた鍵が表示されない場合、また、アプリケーションが鍵を見つけられないまたは鍵が不正だとエラーを吐く場合、鍵が新しいフォーマットに移行できていない可能性があります。

[http://jo-ke.name/wp/?p=111 GnuPG invalid packet workaround] を読んで下さい。要約すると、旧式の {{ic|pubring.gpg}} と {{ic|secring.gpg}} ファイルの鍵にはバグが存在しており、新しい {{ic|pubring.kbx}} ファイルと {{ic|private-keys-v1.d/}} サブディレクトリ、そしてディレクトリのファイルによって置き換えられたということが書かれています。以下のコマンドを実行することで消失した鍵を復旧させることができるかもしれません:

$ cd
$ cp -r .gnupg gnupgOLD
$ gpg --export-ownertrust > otrust.txt
$ gpg --import .gnupg/pubring.gpg
$ gpg --import-ownertrust otrust.txt
$ gpg --list-keys

=== (鍵を受信しようとすると) どのキーサーバーでも gpg がフリーズする ===

特定のキーサーバーで鍵を受信しようとして gpg がフリーズしている場合、dirmngr を kill して (問題が起こっていない) 他のキーサーバーにアクセスできるようにする必要があります。そうしないと全てのキーサーバーでフリーズしてしまいます。

=== スマートカードが検出されない ===

スマートカードにアクセスするための権限がない場合、カードを正しく設定して接続しても、{{ic|card error}} が表示されることがあります。

スマートカードにアクセスする必要があるユーザーに {{ic|scard}} を追加することで解決できます。追加したら、以下のような [[Udev#udev ルールを記述する|udev]] ルールを作って下さい:
{{hc|/etc/udev/rules.d/71-gnupg-ccid.rules|<nowiki>
ACTION=="add", SUBSYSTEM=="usb", ENV{ID_VENDOR_ID}=="1050", ENV{ID_MODEL_ID}=="0116|0111", MODE="664", GROUP="scard"
</nowiki>}}

VENDOR と MODEL は {{ic|lsusb}} の出力にあわせて変更する必要があります。上記は YubikeyNEO の例です。

== 参照 ==

* [http://gnupg.org/gph/en/manual.html GNU Privacy ハンドブック]
* [http://blog.sanctum.geek.nz/series/linux-crypto/ A more comprehensive gpg Tutorial]
* [https://www.gnupg.org/faq/gnupg-faq.html GnuPG FAQ]
* [https://help.riseup.net/en/security/message-security/openpgp/gpg-best-practices gpg.conf recommendations and best practices]
* [https://github.com/ioerror/torbirdy/blob/master/gpg.conf Torbirdy gpg.conf]

カテゴリ:Arch の入手とインストール

2016-01-24T08:35:02Z

Aosho235:

[[en:Category:Getting and installing Arch]]
このカテゴリは Arch Linux のリリース、ダウンロード、インストールについての記事を含みます。

インストールメディアとその [[GnuPG]] 署名は [https://archlinux.org/download/ Download] から入手できます。ひとつの ISO で32ビットと64ビット両方のアーキテクチャをサポートしています。

== 署名の検証 ==

イメージを使う前に署名を検証することを推奨します。''HTTP ミラー'' からダウンロードした場合は特にそうです。ミラーはボランティアによって運営されており、[http://www.cs.arizona.edu/stork/packagemanagersecurity/attacks-on-package-managers.html#explanation 悪意のあるイメージを提供している] 可能性もあるからです。

[[GnuPG]] がインストールされているシステムで署名を検証するには、（''Checksums'' の下にある）''PGP signature'' を ISO と同じディレクトリにダウンロードし、{{ic|gpg --verify archlinux-<version>-dual.iso.sig}} とします。もし公開鍵が見つからない場合は {{ic|gpg --recv-keys ''key-id''}} で [[GnuPG#鍵のインポート|インポート]] します。

別の方法としては、既存の Arch Linux システムから {{ic|pacman-key -v archlinux-<version>-dual.iso.sig}} を実行します。

{{Note|
* [https://archlinux.org/download/ archlinux.org] でなくミラーサイトからダウンロードした場合は署名自体が改ざんされていることもあり得ます。その場合は、署名を復号化するのに使われる公開鍵が別の信頼できる鍵によって署名されていることを確認してください。{{ic|gpg}} コマンドを使うと公開鍵の指紋を出力できます。
* 署名の真正性を検証する別の方法としては、公開鍵の指紋が ISO ファイルを署名した [https://www.archlinux.org/people/developers/ Arch Linux 開発者] の鍵指紋と同じであることを確認します。鍵の信頼性を確認する方法についてより詳しくは[[Wikipedia:ja:公開鍵暗号|公開鍵暗号]]を参照してください。
}}

== インストール方法 ==
以下の表はインストールメディアを起動する一般的な方法の概要を示しています。インストールの手順中にリモートのリポジトリからパッケージを取得するため、これらの方法はインターネットに接続できることが必要になります。インターネットが利用できない場合は[[オフラインでのパッケージのインストール]]と[[Archiso#インターネットにアクセスできない環境でのインストール]]を参照してください。

{| class="wikitable"
! 方法
! 記事
! 条件
|-
| イメージをフラッシュメディアや光学ディスクに書き込んでそこから起動する。
|
* [[USB インストールメディア]]
* [[光学ディスクドライブ#焼き込み]]
|
* 1台、または多くとも2,3台のマシンへのインストール
* 直接ブート可能なシステムが得られる
|-
| サーバでイメージをマウントし、クライアントにネットワーク越しでそこから起動させる。
|
* [[PXE]]
* [[ディスクレスシステム]]
|
* クライアント・サーバモデル
* （1Gbit以上の）有線ネットワーク接続
|-
| 既存の Linux でイメージをマウントし、chroot 環境から Arch をインストールする。
|
* [[既存の Linux からインストール]]
* [[SSH からインストール]]
|
* 短いダウンタイムで既存のシステムを置き換える
* ローカルマシンへのインストール、または [[VNC]] か [[SSH]] 経由でリモートマシンへのインストール
|-
| 仮想マシンをセットアップして Arch をゲストとしてインストールする。
|
* [[:Category:Hypervisors]]
* [[既存のインストールを仮想マシンへ（または仮想マシンから）移す]]
|
* 仮想化ソフトウェアが動作する OS
* 学習・テスト・デバッグ用の隔離されたシステムが得られる
|}

== 参考 ==
* [https://projects.archlinux.org/archiso.git/tree/docs/README.transfer README.transfer]
* [https://projects.archlinux.org/archiso.git/tree/docs/README.altbootmethods README.altbootmethods]

カテゴリ:Arch の入手とインストール

2016-01-24T08:33:46Z

Aosho235: リンクを修正

[[Category:Archについて]]
[[en:Category:Getting and installing Arch]]
このカテゴリは Arch Linux のリリース、ダウンロード、インストールについての記事を含みます。

インストールメディアとその [[GnuPG]] 署名は [https://archlinux.org/download/ Download] から入手できます。ひとつの ISO で32ビットと64ビット両方のアーキテクチャをサポートしています。

== 署名の検証 ==

イメージを使う前に署名を検証することを推奨します。''HTTP ミラー'' からダウンロードした場合は特にそうです。ミラーはボランティアによって運営されており、[http://www.cs.arizona.edu/stork/packagemanagersecurity/attacks-on-package-managers.html#explanation 悪意のあるイメージを提供している] 可能性もあるからです。

[[GnuPG]] がインストールされているシステムで署名を検証するには、（''Checksums'' の下にある）''PGP signature'' を ISO と同じディレクトリにダウンロードし、{{ic|gpg --verify archlinux-<version>-dual.iso.sig}} とします。もし公開鍵が見つからない場合は {{ic|gpg --recv-keys ''key-id''}} で [[GnuPG#鍵のインポート|インポート]] します。

別の方法としては、既存の Arch Linux システムから {{ic|pacman-key -v archlinux-<version>-dual.iso.sig}} を実行します。

{{Note|
* [https://archlinux.org/download/ archlinux.org] でなくミラーサイトからダウンロードした場合は署名自体が改ざんされていることもあり得ます。その場合は、署名を復号化するのに使われる公開鍵が別の信頼できる鍵によって署名されていることを確認してください。{{ic|gpg}} コマンドを使うと公開鍵の指紋を出力できます。
* 署名の真正性を検証する別の方法としては、公開鍵の指紋が ISO ファイルを署名した [https://www.archlinux.org/people/developers/ Arch Linux 開発者] の鍵指紋と同じであることを確認します。鍵の信頼性を確認する方法についてより詳しくは[[Wikipedia:ja:公開鍵暗号|公開鍵暗号]]を参照してください。
}}

== インストール方法 ==
以下の表はインストールメディアを起動する一般的な方法の概要を示しています。インストールの手順中にリモートのリポジトリからパッケージを取得するため、これらの方法はインターネットに接続できることが必要になります。インターネットが利用できない場合は[[オフラインでのパッケージのインストール]]と[[Archiso#インターネットにアクセスできない環境でのインストール]]を参照してください。

{| class="wikitable"
! 方法
! 記事
! 条件
|-
| イメージをフラッシュメディアや光学ディスクに書き込んでそこから起動する。
|
* [[USB インストールメディア]]
* [[光学ディスクドライブ#焼き込み]]
|
* 1台、または多くとも2,3台のマシンへのインストール
* 直接ブート可能なシステムが得られる
|-
| サーバでイメージをマウントし、クライアントにネットワーク越しでそこから起動させる。
|
* [[PXE]]
* [[ディスクレスシステム]]
|
* クライアント・サーバモデル
* （1Gbit以上の）有線ネットワーク接続
|-
| 既存の Linux でイメージをマウントし、chroot 環境から Arch をインストールする。
|
* [[既存の Linux からインストール]]
* [[SSH からインストール]]
|
* 短いダウンタイムで既存のシステムを置き換える
* ローカルマシンへのインストール、または [[VNC]] か [[SSH]] 経由でリモートマシンへのインストール
|-
| 仮想マシンをセットアップして Arch をゲストとしてインストールする。
|
* [[:Category:Hypervisors]]
* [[既存のインストールを仮想マシンへ（または仮想マシンから）移す]]
|
* 仮想化ソフトウェアが動作する OS
* 学習・テスト・デバッグ用の隔離されたシステムが得られる
|}

== 参考 ==
* [https://projects.archlinux.org/archiso.git/tree/docs/README.transfer README.transfer]
* [https://projects.archlinux.org/archiso.git/tree/docs/README.altbootmethods README.altbootmethods]

カテゴリ:Arch の入手とインストール

2016-01-24T08:28:42Z

Aosho235: 英語版より翻訳

[[Category:Archについて]]
[[en:Category:Getting and installing Arch]]
このカテゴリは Arch Linux のリリース、ダウンロード、インストールについての記事を含みます。

インストールメディアとその [[GnuPG]] 署名は [https://archlinux.org/download/ Download] から入手できます。ひとつの ISO で32ビットと64ビット両方のアーキテクチャをサポートしています。

== 署名の検証 ==

イメージを使う前に署名を検証することを推奨します。''HTTP ミラー'' からダウンロードした場合は特にそうです。ミラーはボランティアによって運営されており、[http://www.cs.arizona.edu/stork/packagemanagersecurity/attacks-on-package-managers.html#explanation 悪意のあるイメージを提供している] 可能性もあるからです。

[[GnuPG]] がインストールされているシステムで署名を検証するには、（''Checksums'' の下にある）''PGP signature'' を ISO と同じディレクトリにダウンロードし、{{ic|gpg --verify archlinux-<version>-dual.iso.sig}} とします。もし公開鍵が見つからない場合は {{ic|gpg --recv-keys ''key-id''}} で [[GnuPG#鍵のインポート|インポート]] します。

別の方法としては、既存の Arch Linux システムから {{ic|pacman-key -v archlinux-<version>-dual.iso.sig}} を実行します。

{{Note|
* [https://archlinux.org/download/ archlinux.org] でなくミラーサイトからダウンロードした場合は署名自体が改ざんされていることもあり得ます。その場合は、署名を復号化するのに使われる公開鍵が別の信頼できる鍵によって署名されていることを確認してください。{{ic|gpg}} コマンドを使うと公開鍵の指紋を出力できます。
* 署名の真正性を検証する別の方法としては、公開鍵の指紋が ISO ファイルを署名した [https://www.archlinux.org/people/developers/ Arch Linux 開発者] の鍵指紋と同じであることを確認します。鍵の信頼性を確認する方法についてより詳しくは[[Wikipedia:ja:公開鍵暗号|公開鍵暗号]]を参照してください。
}}

== インストール方法 ==
以下の表はインストールメディアを起動する一般的な方法の概要を示しています。インストールの手順中にリモートのリポジトリからパッケージを取得するため、これらの方法はインターネットに接続できることが必要になります。インターネットが利用できない場合は[[オフラインでのパッケージのインストール]]と[[Archiso#インターネットにアクセスできない環境でのインストール]]を参照してください。

{| class="wikitable"
! 方法
! 記事
! 条件
|-
| イメージをフラッシュメディアや光学ディスクに書き込んでそこから起動する。
|
* [[USB flash installation media]]
* [[Optical disc drive#Burning]]
|
* 1台、または多くとも2,3台のマシンへのインストール
* 直接ブート可能なシステムが得られる
|-
| サーバでイメージをマウントし、クライアントにネットワーク越しでそこから起動させる。
|
* [[PXE]]
* [[Diskless system]]
|
* クライアント・サーバモデル
* （1Gbit以上の）有線ネットワーク接続
|-
| 既存の Linux でイメージをマウントし、chroot 環境から Arch をインストールする。
|
* [[Install from existing Linux]]
* [[Install from SSH]]
|
* 短いダウンタイムで既存のシステムを置き換える
* ローカルマシンへのインストール、または [[VNC]] か [[SSH]] 経由でリモートマシンへのインストール
|-
| 仮想マシンをセットアップして Arch をゲストとしてインストールする。
|
* [[:Category:Hypervisors]]
* [[Moving an existing install into (or out of) a virtual machine]]
|
* 仮想化ソフトウェアが動作する OS
* 学習・テスト・デバッグ用の隔離されたシステムが得られる
|}

== 参考 ==
* [https://projects.archlinux.org/archiso.git/tree/docs/README.transfer README.transfer]
* [https://projects.archlinux.org/archiso.git/tree/docs/README.altbootmethods README.altbootmethods]

Audit フレームワーク

2016-01-24T07:41:39Z

Aosho235: 翻訳完了

[[Category:セキュリティ]]
[[en:Audit framework]]
Linux の audit フレームワークは CAPP (Controlled Access Protection Profiles) に準拠した監査システムであり、システム上のセキュリティに関係した（または無関係な）イベントを収集できます。これを使うことにより、システム上で行われた動作を追跡できるようになります。

Linux audit はシステム上で何が起きているかを詳細に分析できる手段であり、システムをよりセキュアにするために役に立ちます。しかしそれ自体がなにかセキュリティを強化するものではありません。つまり、それ自体が悪意のあるコードや様々な悪用からシステムを守ってくれるものではありません。そうではなく、これらの問題を追跡し、セキュリティ対策を施すための情報を audit は提供します。

audit フレームワークはカーネルが報告するイベントを受信し、ログファイルに書き込みます。

{{Note|Linux 3.12の時点では、audit フレームワークは名前空間の実装と互換性がありません。名前空間を使っている場合は audit フレームワークを使わないでください。}}
{{Note|システムのパフォーマンスに影響を与える可能性があります。}}

==インストール==
CONFIG_AUDIT を有効にしたカスタムカーネルをインストールします。
{{Pkg|audit}} をインストールし、次を実行します:
# systemctl enable auditd.service
# systemctl start auditd.service

audit フレームワークは auditd デーモンから構成されます。アプリケーションやシステムの動作によりカーネルの audit インターフェイスが発動し、audit インターフェイスが生成した audit メッセージを auditd が書き込みます。

このデーモンはいくつかのコマンドとファイルにより制御されます:
* auditctl : その場でデーモンの挙動をコントロールします。ルールを追加するなど
* /etc/audit/audit.rules : ルールや auditd のパラメータを記述します
* aureport : システムの動作レポートを生成します
* ausearch : イベントを検索します
* auditspd : イベント通知をディスク上のログに書き込む代わりに他のアプリケーションに中継するデーモンです
* autrace : プロセスをトレースするためのコマンド。straceに似ています
* /etc/audit/auditd.conf : ログに関する設定ファイルです

==ルールの追加==
ルールを追加する前に注意しなければならないのは、audit フレームワークは非常に饒舌で、ルールを実際に運用する前に注意深くテストする必要があることです。実際、たった1つのルールにより2,3分でログを溢れてしまうこともあり得ます。

===ファイルとディレクトリへのアクセスを監査する===
audit フレームワークの一番簡単な使い方は、特定のファイルへのアクセスをログに記録することです。
それには {{ic|-w}} オプションを使います。
一番簡単なルールの例として passwd ファイルへのアクセスを追跡する:

# auditctl -w /etc/passwd -p rwxa

フォルダへのアクセスを追跡するには:

# auditctl -w /etc/security/

最初のルールは {{ic|/etc/passwd}} への読み込み {{ic|r}}、書き込み {{ic|w}}、実行 {{ic|x}}、属性変更 {{ic|a}} を追跡します。
2番目のルールは {{ic|/etc/security/}} への全てのアクセスを追跡します。

有効なルールのリストを表示するには:

# auditctl -l

全てのルールを削除するには:

# auditctl -D

ルールが正しく動作することを確認したら、それを {{ic|/etc/audit/audit.rules}} に書きます:

-w /etc/audit/audit.rules -p rwxa
-w /etc/security/

===システムコールを監査する===
{{ic|-a}} オプションをつけると、システムコール呼び出しを監査できます。

セキュリティに関連したルールの例として、{{ic|chmod システムコール}} を追跡し、ファイル所有権の変更を検出します:

auditctl -a entry,always -S chmod

全てのシステムコールのリストを見るには: man syscalls

たくさんのルールと方法が考えられます。man auditctl と man audit.rules を参照してください。

==ログを検索する==
audit フレームワークにはシステム上で発生したイベントを調べるためのツールがいくつか含まれています。

===PIDを指定する===
特定の PID に関係するイベントを検索するには {{ic|ausearch}} を使います:

# ausearch -p 1

このコマンドを実行すると、ルールに応じて記録されたイベントの中から PID 1 (systemd) に関係するものすべてを表示します。

===キーの使い方===
イベントを管理するためにキーを使うことが推奨されます。

イベントの検索を容易にするために、ルールに {{ic|-k}} オプションをつけます:

# auditctl -w /etc/passwd -p rwxa -k KEY_pwd

するとキー {{ic|KEY_pwd}} を使ってイベントを検索できるようになります。次のコマンドにより {{ic|/etc/passwd}} に関係するイベントだけを表示できます:

# ausearch -k KEY_pwd

===異常を探す===
{{ic|aureport}} を使うと異常なイベントの発生を素早く報告させることができます。異常なイベントとは、ネットワークインターフェイスがプロミスキャスモードに設定された、プロセスまたはスレッドが ENOMEM エラーで異常終了した、などです。

{{ic|aureport}} の一番簡単な使い方は :

# aureport -n

aureport を使ってカスタムレポートを生成することもできます。man aureport を参照してください。

==どのファイル・システムコールを監査すべきか？==
ルールを追加するとログの量も増えます。その情報量が処理できる範囲内でなければならないことを忘れないで下さい。
基本的に、セキュリティに関係したイベント・ファイルは監視しなければなりません。ids、ips、anti-rootkits などです。
逆に、全ての write システムコールを追跡することはまったく無意味です。ちょっとコンパイルしただけでログが溢れてしまうでしょう。

粒度を非常に小さくして複雑なルールセットを構成することもできます。もしそうしたい場合は auditctl の man ページは読む価値があります。

==他のホストからのログを収集する==
audit フレームワークはプラグインシステムを備えており、それによりローカルのログファイルをリモートの auditd に送ることができます。

=== ログファイルを送信する ===
ログファイルをリモートホストに送るには、{{ic|audisp-remote}} プラグインが必要です。これは {{Pkg|audit}} パッケージにより自動的にインストールされます。このパッケージを有効にするには:
{{hc|head=/etc/audisp/plugins.d/au-remote.conf|output=
active = yes
direction = out
path = /usr/bin/audisp-remote
type = always
format = string
}}

そしてログの送り先になるリモートホストを設定します：

{{hc|head=/etc/audisp/audisp-remote.conf|output=
remote_server = domain.name.or.ip
port = 60
##local_port = optional
transport = tcp
}}

=== ログファイルを受け取る ===
リモートの audispds からのメッセージを受信できるようにするには、tcp オプションをセットするだけです:
{{hc|head=/etc/audit/auditd.conf|output=
tcp_listen_port = 60
tcp_listen_queue = 5
tcp_max_per_addr = 1
##tcp_client_ports = 1024-65535 #任意
tcp_client_max_idle = 0
}}

これで設定した'''全部の'''ホストのログが受信する auditd のログファイルに書き込まれるようになります。

Audit フレームワーク

2016-01-24T01:11:53Z

Aosho235: 英語版より部分的に翻訳

[[Category:セキュリティ]]
[[en:Audit framework]]
Linux の audit フレームワークは CAPP (Controlled Access Protection Profiles) に準拠した監査システムであり、システム上のセキュリティに関係した（または無関係な）イベントを収集できます。これを使うことにより、システム上で行われた動作を追跡できるようになります。

Linux audit helps make your system more secure by providing you with a means to analyze what is happening on your system in great detail. It does not, however, provide additional security itself—it does not protect your system from code malfunctions or any kind of exploits. Instead, Audit is useful for tracking these issues and helps you take additional security measures, to prevent them.

audit フレームワークはカーネルが報告するイベントを受信し、ログファイルに書き込みます。

{{Note|Linux 3.12の時点では、audit フレームワークは名前空間の実装と互換性がありません。名前空間を使っている場合は audit フレームワークを使わないでください。}}
{{Note|システムのパフォーマンスに影響を与える可能性があります。}}

==インストール==
CONFIG_AUDIT を有効にしたカスタムカーネルをインストールします。
{{Pkg|audit}} をインストールし、次を実行します:
# systemctl enable auditd.service
# systemctl start auditd.service

audit フレームワークは auditd デーモンから構成されます。アプリケーションやシステムの動作によりカーネルの audit インターフェイスが発動し、audit インターフェイスが生成した audit メッセージを auditd が書き込みます。

このデーモンはいくつかのコマンドとファイルにより制御されます:
* auditctl : その場でデーモンの挙動をコントロールします。ルールを追加するなど
* /etc/audit/audit.rules : ルールや auditd のパラメータを記述します
* aureport : システムの動作レポートを生成します
* ausearch : イベントを検索します
* auditspd : イベント通知をディスク上のログに書き込む代わりに他のアプリケーションに中継するデーモンです
* autrace : プロセスをトレースするためのコマンド。straceに似ています
* /etc/audit/auditd.conf : ログに関する設定ファイルです

==ルールの追加==
ルールを追加する前に注意しなければならないのは、audit フレームワークは非常に饒舌で、ルールを実際に運用する前に注意深くテストする必要があることです。実際、たった1つのルールにより2,3分でログを溢れてしまうこともあり得ます。

===ファイルとディレクトリへのアクセスを監査する===
audit フレームワークの一番簡単な使い方は、特定のファイルへのアクセスをログに記録することです。
それには {{ic|-w}} オプションを使います。
一番簡単なルールの例として passwd ファイルへのアクセスを追跡する:

# auditctl -w /etc/passwd -p rwxa

フォルダへのアクセスを追跡するには:

# auditctl -w /etc/security/

最初のルールは {{ic|/etc/passwd}} への読み込み {{ic|r}}、書き込み {{ic|w}}、実行 {{ic|x}}、属性変更 {{ic|a}} を追跡します。
2番目のルールは {{ic|/etc/security/}} への全てのアクセスを追跡します。

有効なルールのリストを表示するには:

# auditctl -l

全てのルールを削除するには:

# auditctl -D

ルールが正しく動作することを確認したら、それを {{ic|/etc/audit/audit.rules}} に書きます:

-w /etc/audit/audit.rules -p rwxa
-w /etc/security/

===システムコールを監査する===
The audit framework allow you to audit the syscalls performed with the {{ic|-a}} option.

A security related rule is to track the {{ic|chmod syscall}}, to detect file ownership changes :

auditctl -a entry,always -S chmod

For a list of all syscalls : man syscalls

A lot of rules and posibilities are available, see man auditctl and man audit.rules

==ログを検索する==
audit フレームワークにはシステム上で発生したイベントを調べるためのツールがいくつか含まれています。

===PIDを指定する===
特定の PID に関係するイベントを検索するには {{ic|ausearch}} を使います:

# ausearch -p 1

このコマンドを実行すると、ルールに応じて記録されたイベントの中から PID 1 (systemd) に関係するものすべてを表示します。

===キーの使い方===
イベントを管理するためにキーを使うことが推奨されます。

イベントの検索を容易にするために、ルールに {{ic|-k}} オプションをつけます:

# auditctl -w /etc/passwd -p rwxa -k KEY_pwd

するとキー {{ic|KEY_pwd}} を使ってイベントを検索できるようになります。次のコマンドにより {{ic|/etc/passwd}} に関係するイベントだけを表示できます:

# ausearch -k KEY_pwd

===異常を探す===
The {{ic|aureport}} tool can be used to quicly report any anormal event performed on the system, it include network interface used in promiscous mode, process or thread crashing or exiting with ENOMEM error etc.

The easiest way to use {{ic|aureport}} is :

# aureport -n

aureport can be used to generate custom report, see man aureport.

==どのファイル・システムコールを監査すべきか？==
Keep in mind that each audit rule added will generate logs, so you must be ready to treat this amount of information.
Basically, each security-related event/file must be monitored, like ids, ips, anti-rootkits etc.
On the other side, it's totally useless to track every write syscall, the smallest compilation will fill your logs with this event.

More complex set of rules can be set up, performing auditing on a very fine-grained base. If you want to do so, the man pages of auditctl are worth-reading.

==他のホストからのログを収集する==
The audit framework has an plugin system which provides the possibility to send local logfiles to an remote auditd.

=== ログファイルを送信する ===
To send your logfiles to an remote host you need the {{ic|audisp-remote}} plugin which comes automatically with the {{Pkg|audit}} package.
Activate the plugin:
{{hc|head=/etc/audisp/plugins.d/au-remote.conf|output=
active = yes
direction = out
path = /usr/bin/audisp-remote
type = always
format = string
}}

and set the remote host where the logs should be send to:

{{hc|head=/etc/audisp/audisp-remote.conf|output=
remote_server = domain.name.or.ip
port = 60
##local_port = optional
transport = tcp
}}

=== ログファイルを受け取る ===
To make audit listen for remote audispds you just need to set the tcp options:
{{hc|head=/etc/audit/auditd.conf|output=
tcp_listen_port = 60
tcp_listen_queue = 5
tcp_max_per_addr = 1
##tcp_client_ports = 1024-65535 #optional
tcp_client_max_idle = 0
}}

Now you can view the logs of '''all''' configured hosts in the logfiles of the recieving auditd.

Graphviz

2016-01-23T08:09:33Z

Aosho235:

[[Category:Applications]]
[[en:Graphviz]]

Graphviz はグラフを描画するためのパッケージです。独自の DOT 言語で書かれたテキストファイルから様々なフォーマットの画像ファイルを生成することが出来ます。

== インストール ==

[[公式リポジトリ]]から {{Pkg|graphviz}} パッケージをインストールしてください。

== フォント ==

グラフに文字列を含めるためにはフォントをインストールしておく必要があります。フォントのインストール方法については[[フォント]]を参照してください。

日本語を表示するには例えば IPA フォントが使えます:

# pacman -S otf-ipafont

利用可能なフォントの一覧を表示するには:

$ fc-list

dot コマンドがどのフォントを使用しているかを確認するには:

$ dot example.dot -Tpng -o foo.png -v 2>&1 | grep font

== 例 ==

dot ファイルの例です。

{{hc|1=example.dot|2=
digraph graph_name {
graph [
charset = "UTF-8";
label = "sample graph",
labelloc = "t",
labeljust = "c",
bgcolor = "#343434",
fontcolor = white,
fontsize = 18,
style = "filled",
rankdir = TB,
margin = 0.2,
splines = spline,
ranksep = 1.0,
nodesep = 0.9
];

node [
colorscheme = "rdylgn11"
style = "solid,filled",
fontsize = 16,
fontcolor = 6,
fontname = "Migu 1M",
color = 7,
fillcolor = 11,
fixedsize = true,
height = 0.6,
width = 1.2
];

edge [
style = solid,
fontsize = 14,
fontcolor = white,
fontname = "Migu 1M",
color = white,
labelfloat = true,
labeldistance = 2.5,
labelangle = 70
];

// node define
alpha [shape = box];
beta [shape = box];
gamma [shape = Msquare];
delta [shape = box];
epsilon [shape = trapezium];
zeta [shape = Msquare];
eta;
theta [shape = doublecircle];

// edge define
alpha -> beta [label = "a-b", arrowhead = normal];
alpha -> gamma [label = "a-g"];
beta -> delta [label = "b-d"];
beta -> epsilon [label = "b-e", arrowhead = tee];
gamma -> zeta [label = "g-z"];
gamma -> eta [label = "g-e", style = dotted];
delta -> theta [arrowhead = crow];
zeta -> theta [arrowhead = crow];
}
}}

このファイルから png 画像を生成するには:

$ dot -Tpng example.dot -o example.png

== 参考 ==

* [http://www.graphviz.org/ The official Graphviz website]

Graphviz

2016-01-23T03:52:16Z

Aosho235: 英語版より翻訳

[[Category:Applications]]
[[en:Graphviz]]

Graphviz はグラフを描画するためのパッケージです。独自の DOT 言語で書かれたテキストファイルから様々なフォーマットの画像ファイルを生成することが出来ます。

== インストール ==

[[公式リポジトリ]]から {{Pkg|graphviz}} パッケージをインストールしてください。

== フォント ==

グラフに文字列を含めるためにはフォントをインストールしておく必要があります。フォントのインストール方法については[[フォント]]を参照してください。

日本語を表示するには例えば IPA フォントが使えます:

pacman -S otf-ipafont

利用可能なフォントの一覧を表示するには:

$ fc-list

dot コマンドがどのフォントを使用しているかを確認するには:

$ dot foo.gv -Tpng -o foo.png -v 2>&1 | grep font

== 例 ==

dot ファイルの例です。

{{hc|1=example.png|2=
digraph graph_name {
graph [
charset = "UTF-8";
label = "sample graph",
labelloc = "t",
labeljust = "c",
bgcolor = "#343434",
fontcolor = white,
fontsize = 18,
style = "filled",
rankdir = TB,
margin = 0.2,
splines = spline,
ranksep = 1.0,
nodesep = 0.9
];

node [
colorscheme = "rdylgn11"
style = "solid,filled",
fontsize = 16,
fontcolor = 6,
fontname = "Migu 1M",
color = 7,
fillcolor = 11,
fixedsize = true,
height = 0.6,
width = 1.2
];

edge [
style = solid,
fontsize = 14,
fontcolor = white,
fontname = "Migu 1M",
color = white,
labelfloat = true,
labeldistance = 2.5,
labelangle = 70
];

// node define
alpha [shape = box];
beta [shape = box];
gamma [shape = Msquare];
delta [shape = box];
epsilon [shape = trapezium];
zeta [shape = Msquare];
eta;
theta [shape = doublecircle];

// edge define
alpha -> beta [label = "a-b", arrowhead = normal];
alpha -> gamma [label = "a-g"];
beta -> delta [label = "b-d"];
beta -> epsilon [label = "b-e", arrowhead = tee];
gamma -> zeta [label = "g-z"];
gamma -> eta [label = "g-e", style = dotted];
delta -> theta [arrowhead = crow];
zeta -> theta [arrowhead = crow];
}
}}

このファイルから png 画像を生成するには:

$ dot -Tpng example.dot -o example.png

== 参考 ==

* [http://www.graphviz.org/ The official Graphviz website]

学習資料

2016-01-15T14:20:03Z

Aosho235: 英語版より翻訳

[[Category:開発]]
[[en:Learning Resources]]
==プログラミング/スクリプティング==

===一般的な教材===
*[http://www.aosabook.org/ The Architecture of Open Source Applications]
*[http://open-advice.org/ Open Advice] FOSS: 初心者のときに知りたかったこと

====動画====
*[http://see.stanford.edu/ Stanford Engineering Everywhere (SEE)]
*[http://webcast.berkeley.edu/ UC Berkeley's webcasts]
*[http://ocw.mit.edu/courses/electrical-engineering-and-computer-science/ MIT Course]
*[http://cs50.tv/2010/fall/ Introduction to Computer Science] ハーバードカレッジの入門コース動画
*[http://academicearth.org/subjects/computer-science Academic Earth]

===言語===

====[[Wikipedia:Bash (Unix shell)|Bash/Shell]]====
*[http://mywiki.wooledge.org/BashFAQ Bash FAQ]
*[http://mywiki.wooledge.org/BashGuide Bash Guide]
*[http://wiki.bash-hackers.org/start Bash Hacker's Wiki]
*[http://steve-parker.org/sh/sh.shtml Shell Scripting: Expert Recipes for Linux, Bash and More]
*[http://tldp.org/HOWTO/Bash-Prog-Intro-HOWTO.html BASH Programming - Introduction HOW-TO]

====[[Wikipedia:C (programming language)|C]]====
*[http://cm.bell-labs.com/cm/cs/cbook/ The C Programming Language, Second Edition]
*[http://c.learncodethehardway.org/ Learn C The Hard Way]

====[[Wikipedia:C++|C++]]====

====[http://www.erlang.org/ Erlang]====
*[http://learnyousomeerlang.com/ Learn you Some Erlang for Great Good!]

====[http://haskell.org/ Haskell]====
*[http://learnyouahaskell.com/ Learn You a Haskell for Great Good!]
*[http://book.realworldhaskell.org/ Real World Haskell]

====[http://www.oracle.com/technetwork/java/ Java]====
*[http://math.hws.edu/javanotes/ Introduction to Programming Using Java]

====[[Wikipedia:JavaScript|JavaScript]]====
*[http://shop.oreilly.com/product/9780596517748.do JavaScript: The Good Parts]
*[http://eloquentjavascript.net/ Eloquent JavaScript: A Modern Introduction to Programming]

====[http://www.lua.org/ Lua]====

====[http://www.perl.org/ Perl]====
*[http://hop.perl.plover.com/ Higher-Order Perl]
*[http://onyxneon.com/books/modern_perl/ Modern Perl]

====[http://php.org/ PHP]====

====[http://python.org/ Python]====
*[http://learnpythonthehardway.org/ Learn Python The Hard Way]
*[http://diveintopython3.ep.io/ Dive Into Python 3]
*[http://www.greenteapress.com/thinkpython/thinkpython.html Think Python: How to Think Like a Computer Scientist]

====[http://www.ruby-lang.org/ Ruby]====
*[https://en.wikipedia.org/wiki/Why's_(poignant)_Guide_to_Ruby why's (poignant) Guide to Ruby]
*[http://ruby.learncodethehardway.org/ Learn Ruby The Hard Way]

==[[Wikipedia:組版|組版]]/[[Wikipedia:マークアップ言語|マークアップ言語]]==

===([[Wikipedia:XHTML|X]])[[Wikipedia:HTML|HTML]]===
*[http://diveintohtml5.info/ Dive into HTML5]

===[http://www.latex-project.org/ LaTeX]===

SystemTap

2016-01-15T06:50:51Z

Aosho235: 一旦翻訳完了

[[Category:カーネル]]
[[en:SystemTap]]
[[zh-cn:SystemTap]]
[http://sourceware.org/systemtap/ SystemTap] は動作中の Linux システムについての情報収集を簡略化するためのフリーソフトウェア (GPL) インフラストラクチャを提供します。

==SystemTap==

[[AUR]] から SystemTap をインストールするだけです: {{AUR|systemtap}}。上流での最新のリリースと比較してみてください [https://sourceware.org/systemtap/wiki/SystemTapReleases]。また [https://sourceware.org/git/?p=systemtap.git;a=summary] にあるソースからビルドすることも検討してください。新しいカーネルやディストロのサポートは最初にここに現れます。

==標準的なカーネル==

すくなくとも {{Pkg|linux-headers}} がインストールされている必要があります。

Arch は配布バイナリ（カーネルを含む）からデバッグ情報を取り除いている（strip している）ので、systemtap の機能の多くは利用できません。なので ''/usr/share/doc/systemtap/examples'' にある例の多くは動作しません。しかし [https://sourceware.org/systemtap/man/stapprobes.3stap.html stapprobes man page] で動作する NON-DWARF および AUTO-DWARF のプローブタイプを見ることができます。例えば:

* カーネルトレースポイント: kernel.trace("*")
* ユーザースペースプローブ: process("...").function("...") (-g をつけて自分でビルドしたプログラムに限る)
* ユーザースペースマーカー: process("...").mark("...") (''<sys/sdt.h>'' のマーカーをつけて configure されていれば)
* perfctrベースのプローブ: perf.*
* NON-DWARF カーネルプローブ: kprobe.function("...") と nd_syscall.* tapset (/boot/System.map* ファイルがあれば。下記参照)

==カーネルのリビルド==

SystemTap を実行するために ''linux-custom'' パッケージをビルドすることを考えているかもしれません。しかしオリジナルの {{Pkg|linux}} パッケージをリビルドすることは簡単で効率的です。[https://wiki.archlinux.org/index.php/Kernels/Compilation/Traditional] も参照してください。

===準備===
最初に {{ic|<nowiki>ABSROOT=. abs core/linux; cd core/linux</nowiki>}} を実行してオリジナルのカーネルビルドファイルを取得します。
そして {{ic|makepkg --verifysource}} を実行して追加のファイルを取得します。この検証をしておけば「チェックサムの更新」のステップを飛ばしても安全です。

===config の修正===
'''config''' (32-bit システム向け) または '''config.x86_64''' (64-bit システム向け) を編集して以下のオプションを有効にします:
* CONFIG_KPROBES=y
* CONFIG_KPROBES_SANITY_TEST=n
* CONFIG_KPROBE_EVENT=y
* CONFIG_NET_DCCPPROBE=m
* CONFIG_NET_SCTPPROBE=m
* CONFIG_NET_TCPPROBE=y
* CONFIG_DEBUG_INFO=y
* CONFIG_DEBUG_INFO_REDUCED=n
* CONFIG_X86_DECODER_SELFTEST=n
デフォルトでは ''CONFIG_DEBUG_INFO'' と ''CONFIG_DEBUG_INFO_REDUCED'' だけが設定されていません。

現在の core/linux (3.15.2 でテスト済み) では、以下の行を config.[x86_64] に追加するだけです:
{{hc|x86_64|<nowiki>
echo '
CONFIG_DEBUG_INFO=y
CONFIG_DEBUG_INFO_REDUCED=n
' >> config.x86_64
</nowiki>}}

''これらの行を自己メンテナンスされているスクリプトに追加するときは CONFIG_* の行の前にスペースを入れないでください。.''

===チェックサムを更新する===
''ソースファイルが正しいと確信できるときはこのステップを飛ばしても安全です''。

{{ic|md5sum config[.x86_64]}} を実行して新しい md5sum を計算します。

'''PKGBUILD''' ファイル中で {{ic|<nowiki>md5sums=('sum-of-first' ... 'sum-of-last')</nowiki>}} は
{{ic|<nowiki>source=('first-source' ... 'last-source')</nowiki>}} と同じ順序で並んでいます。新しい md5sum を正しい位置に入れてください。

===ビルドとインストール===
任意: コンパイル速度向上のために {{ic|/etc/makepkg.conf}} で {{ic|<nowiki>MAKEFLAGS="-j16"</nowiki>}} とセットしておくことを推奨します。

ビルドするには約 12 GB のディスク領域が必要です。大容量の DRAM を持っている場合はインメモリの tmpfs を使うことを検討してください。
{{ic|makepkg}} または {{ic|makepkg --skipchecksums}} を実行してコンパイルします。そして {{ic|sudo pacman -U *.pkg.tar.gz}} とするだけでパッケージをインストールできます。
'''pacman''' が '''reinstall''' かどうか尋ねてきますので y と答えます。

{{Pkg|linux}} と {{Pkg|linux-headers}} を再インストールすべきです。{{Pkg|linux-docs}} はどちらでも構いません。

この方法に従う場合、外部モジュール（{{Pkg|nvidia}} や {{Pkg|virtualbox}} など）を再ビルドする必要はありません。

==カスタムカーネルをビルドする==
[http://sourceware.org/git/?p=systemtap.git;a=blob_plain;f=README;hb=HEAD README] を参照してください。

==トラブルシューティング==

=== 起動時にパス 4 が失敗する ===

以下のメッセージが表示されるときは

/usr/share/systemtap/runtime/stat.c:214:2: error: 'cpu_possible_map' undeclared (first use in this function)

systemtap-git パッケージをインストールしてみてください。

=== System.map がない ===

DEBUG_INFO を有効にしてカーネルをビルドした場所から復元できます

# cp src/linux-3.6/System.map /boot/System.map-3.6.7-1-ARCH

または

# cp /proc/kallsyms /boot/System.map-`uname -r`

SystemTap

2016-01-14T21:09:20Z

Aosho235: 翻訳継続

[[Category:Kernel]]
[[en:SystemTap]]
[[zh-cn:SystemTap]]
[http://sourceware.org/systemtap/ SystemTap] は動作中の Linux システムについての情報収集を簡略化するためのフリーソフトウェア (GPL) インフラストラクチャを提供します。

==SystemTap==

[[AUR]] から SystemTap をインストールするだけです: {{AUR|systemtap}}。上流での最新のリリースと比較してみてください [https://sourceware.org/systemtap/wiki/SystemTapReleases]。また [https://sourceware.org/git/?p=systemtap.git;a=summary] にあるソースからビルドすることも考慮してください。新しいカーネルやディストロのサポートは最初にここに現れます。

==標準的なカーネル==

すくなくとも {{Pkg|linux-headers}} がインストールされている必要があります。

Arch は配布バイナリ（カーネルを含む）からデバッグ情報を取り除いている（strip している）ので、systemtap の機能の多くは利用できません。なので ''/usr/share/doc/systemtap/examples'' にある例の多くは動作しません。しかし [https://sourceware.org/systemtap/man/stapprobes.3stap.html stapprobes man page] で動作する NON-DWARF および AUTO-DWARF のプローブタイプを見ることができます。例えば:

* カーネルトレースポイント: kernel.trace("*")
* ユーザースペースプローブ: process("...").function("...") (-g をつけて自分でビルドしたプログラムに限る)
* ユーザースペースマーカー: process("...").mark("...") (''<sys/sdt.h>'' のマーカーをつけて configure されていれば)
* perfctrベースのプローブ: perf.*
* NON-DWARF カーネルプローブ: kprobe.function("...") と nd_syscall.* tapset (/boot/System.map* ファイルがあれば。下記参照)

==カーネルのリビルド==

SystemTap を実行するために ''linux-custom'' パッケージをビルドすることを考えているかもしれません。しかしオリジナルの {{Pkg|linux}} パッケージをリビルドすることは簡単で効率的です。[https://wiki.archlinux.org/index.php/Kernels/Compilation/Traditional] も参照してください。

===準備===
最初に {{ic|<nowiki>ABSROOT=. abs core/linux; cd core/linux</nowiki>}} を実行してオリジナルのカーネルビルドファイルを取得します。
そして {{ic|makepkg --verifysource}} を実行して追加のファイルを取得します。この検証をしておけば「チェックサムの更新」のステップを飛ばしても安全です。

===config の修正===
'''config''' (32-bit システム向け) または '''config.x86_64''' (64-bit システム向け) を編集して以下のオプションを有効にします:
* CONFIG_KPROBES=y
* CONFIG_KPROBES_SANITY_TEST=n
* CONFIG_KPROBE_EVENT=y
* CONFIG_NET_DCCPPROBE=m
* CONFIG_NET_SCTPPROBE=m
* CONFIG_NET_TCPPROBE=y
* CONFIG_DEBUG_INFO=y
* CONFIG_DEBUG_INFO_REDUCED=n
* CONFIG_X86_DECODER_SELFTEST=n
デフォルトでは ''CONFIG_DEBUG_INFO'' と ''CONFIG_DEBUG_INFO_REDUCED'' だけが設定されていません。

現在の core/linux (3.15.2 でテスト済み) では、以下の行を config.[x86_64] に追加するだけです:
{{hc|x86_64|
<nowiki>
echo '
CONFIG_DEBUG_INFO=y
CONFIG_DEBUG_INFO_REDUCED=n
' >> config.x86_64
</nowiki>
}}

''これらの行を自己メンテナンスされているスクリプトに追加するときは CONFIG_* の行の前にスペースを入れないでください。.''

===チェックサムを更新する===
''ソースファイルが正しいと確信できるときはこのステップを飛ばしても安全です''。

{{ic|md5sum config[.x86_64]}} を実行して新しい md5sum を計算します。

'''PKGBUILD''' ファイル中で {{ic|<nowiki>md5sums=('sum-of-first' ... 'sum-of-last')</nowiki>}} は
{{ic|<nowiki>source=('first-source' ... 'last-source')</nowiki>}} と同じ順序で並んでいます。新しい md5sum を正しい位置に入れてください。

===ビルドとインストール===
Optional: It is recommended to set {{ic|<nowiki>MAKEFLAGS="-j16"</nowiki>}} in {{ic|/etc/makepkg.conf}} to speed up the compilation.

You will need about 12 GB disk space for this build. Consider using an in-memory tmpfs if you have large DRAM.
Run {{ic|makepkg}} or {{ic|makepkg --skipchecksums}} to compile, then simply {{ic|sudo pacman -U *.pkg.tar.gz}} to install the packages.
'''pacman''' will tell you '''reinstall''', and you should say y.

{{Pkg|linux}} and {{Pkg|linux-headers}} should be reinstalled, {{Pkg|linux-docs}} does not matter.

Via this method, external modules (e.g. {{Pkg|nvidia}} and {{Pkg|virtualbox}}) do not need to be rebuilt.

==カスタムカーネルをビルドする==
[http://sourceware.org/git/?p=systemtap.git;a=blob_plain;f=README;hb=HEAD README] を参照してください。

==トラブルシューティング==

=== 起動時にパス 4 が失敗する ===

以下のメッセージが表示されるときは

/usr/share/systemtap/runtime/stat.c:214:2: error: 'cpu_possible_map' undeclared (first use in this function)

systemtap-git パッケージをインストールしてみてください。

=== System.map がない ===

DEBUG_INFO を有効にしてカーネルをビルドした場所から復元できます

cp src/linux-3.6/System.map /boot/System.map-3.6.7-1-ARCH

または

sudo cp /proc/kallsyms /boot/System.map-`uname -r`

SystemTap

2016-01-14T20:37:44Z

Aosho235: 英語版よりコピー

[[Category:Kernel]]
[[en:SystemTap]]
[[zh-cn:SystemTap]]
[http://sourceware.org/systemtap/ SystemTap] は動作中の Linux システムからの情報収集を簡略化するためのフリーソフトウェア(GPL)インフラストラクチャを提供します。

==SystemTap==

[[AUR]] から SystemTap をインストールします: {{AUR|systemtap}}。

上流での最新のリリースと比較します [https://sourceware.org/systemtap/wiki/SystemTapReleases]。

[https://sourceware.org/git/?p=systemtap.git;a=summary] にあるソースからビルドすることも考慮してください。新しいカーネルやディストロのサポートは最初にここに現れます。

==標準的なカーネル==

すくなくとも {{Pkg|linux-headers}} がインストールされている必要があります。

Because Arch permanently strips debugging data from its distributed binaries (including the kernel),
many normal/fancier systemtap capabilities are simply not available, so many examples at ''/usr/share/doc/systemtap/examples'' will not work. However, see the [https://sourceware.org/systemtap/man/stapprobes.3stap.html stapprobes man page] for the NON-DWARF and AUTO-DWARF probe types for what should still work, for example:

* kernel tracepoints: kernel.trace("*")
* user-space probes: process("...").function("...") (for programs you build yourself with -g)
* user-space markers: process("...").mark("...") (if they were configured with the ''<sys/sdt.h>'' markers)
* perfctr-based probes: perf.*
* non-dwarf kernel probes: kprobe.function("...") and nd_syscall.* tapset (if a /boot/System.map* file is available, see below).

==Kernel rebuild==

You may consider to build a ''linux-custom'' package to run SystemTap, but rebuilding the original {{Pkg|linux}} package is easy and efficient. See also [https://wiki.archlinux.org/index.php/Kernels/Compilation/Traditional].

===Prepare===
First, run {{ic|<nowiki>ABSROOT=. abs core/linux; cd core/linux</nowiki>}} to get the original kernel build files.
Then use {{ic|makepkg --verifysource}} to get the additional files. By performing the verification, you can safely '''skip''' the steps on "Update checksum".

===modify config===
Edit '''config''' (for 32-bit systems) or '''config.x86_64''' (for 64-bit systems), turn on these options:
* CONFIG_KPROBES=y
* CONFIG_KPROBES_SANITY_TEST=n
* CONFIG_KPROBE_EVENT=y
* CONFIG_NET_DCCPPROBE=m
* CONFIG_NET_SCTPPROBE=m
* CONFIG_NET_TCPPROBE=y
* CONFIG_DEBUG_INFO=y
* CONFIG_DEBUG_INFO_REDUCED=n
* CONFIG_X86_DECODER_SELFTEST=n
By default only ''CONFIG_DEBUG_INFO'' and ''CONFIG_DEBUG_INFO_REDUCED'' are not set.

With current core/linux (tested with 3.15.2) you can simply append these lines into config.[x86_64]:
{{hc|x86_64|
<nowiki>
echo '
CONFIG_DEBUG_INFO=y
CONFIG_DEBUG_INFO_REDUCED=n
' >> config.x86_64
</nowiki>
}}

''Note that if you want to put these lines into a self-maintained script, do not insert any space before CONFIG_* lines.''

===Update checksum===
''You can safely skip this step if you believe the source files are correct''.

Run {{ic|md5sum config[.x86_64]}} to get a new md5sum.

In '''PKGBUILD''' file, the {{ic|<nowiki>md5sums=('sum-of-first' ... 'sum-of-last')</nowiki>}} has the same order with
{{ic|<nowiki>source=('first-source' ... 'last-source')</nowiki>}}, put your new md5sum in the right place.

===Build and Install===
Optional: It is recommended to set {{ic|<nowiki>MAKEFLAGS="-j16"</nowiki>}} in {{ic|/etc/makepkg.conf}} to speed up the compilation.

You will need about 12 GB disk space for this build. Consider using an in-memory tmpfs if you have large DRAM.
Run {{ic|makepkg}} or {{ic|makepkg --skipchecksums}} to compile, then simply {{ic|sudo pacman -U *.pkg.tar.gz}} to install the packages.
'''pacman''' will tell you '''reinstall''', and you should say y.

{{Pkg|linux}} and {{Pkg|linux-headers}} should be reinstalled, {{Pkg|linux-docs}} does not matter.

Via this method, external modules (e.g. {{Pkg|nvidia}} and {{Pkg|virtualbox}}) do not need to be rebuilt.

==Build custom kernel==
Please reference this [http://sourceware.org/git/?p=systemtap.git;a=blob_plain;f=README;hb=HEAD README]

==Troubleshooting==

=== Pass 4 fails when launching ===

If you have:

/usr/share/systemtap/runtime/stat.c:214:2: error: 'cpu_possible_map' undeclared (first use in this function)

Try to install systemtap-git package

=== System.map is missing ===

You can recover it where you build your linux kernel with DEBUG_INFO enabled

cp src/linux-3.6/System.map /boot/System.map-3.6.7-1-ARCH

Alternately,

sudo cp /proc/kallsyms /boot/System.map-`uname -r`

指定ブロックがどのファイルに属するか調べる

2016-01-14T11:54:29Z

Aosho235: 翻訳完了

[[Category:ファイルシステム]]
[[en:Find File that Owns a Given Block]]
この記事では、ディスク上の指定のブロックがどのファイルに属するか調べる方法を説明します。主な目的は、ストレージに破損ブロックが生じたときに、どのファイルが破損したかを調べることです（そして重要なデータが失われたかどうかを確認できます）。

この記事の中のほとんどのコマンドを実行するには、root か、ディスクに直接読み込みアクセスができるユーザーになる必要があります（disk グループのメンバーであれば十分です）。いつもの通り、現在のバックアップを取っておくとよいでしょう。もうすぐディスクが壊れそうな場合は特にそうです。壊れそうかどうかを調べるには [[S.M.A.R.T.]] が役に立ちます。

今のところ、この記事は JFS と EXT ファイルシステムだけに向けて書かれています。

==破損ブロックを見つける==
[[en2:badblocks|badblocks]] コマンドを使います。このコマンドにはいくつかのスキャンモードがあります。リードオンリーモード（デフォルト）は正確さが一番低くなります。破壊的書き込みモード（-w オプション）は最も正確ですが、より時間がかかり、（当然ながら）ディスク上の全データを破壊します。ですのでこれはブロックが属するファイルを見つけるのには使えません。そして最後に非破壊的読み書きモードがあります。これはおそらく破壊的モードと同じくらい正確で、唯一のデメリットはおそらく一番遅いことです。しかし、ディスクが壊れつつあるとわかっているときは、リードオンリーモードが一番安全でしょう。

次のどちらかのコマンドを実行し、-v オプション（冗長表示）つきでリードオンリースキャンを実行します（x はディスクを表す文字で、y はパーティション番号です）。

ディスク全体をスキャンする:
badblocks -v /dev/sdx

1個のパーティションをスキャンする:
badblocks -v /dev/sdxy

ディスク全体をスキャンすると計算が少し面倒になります。各ファイルシステムはパーティションの先頭からブロック番号を数えるため、例えば 2 番目のパーティション上に破損ブロックがあり、そのパーティションがブロック 1000 から始まっていた場合、求めるブロック番号を得るには badblocks が表示するブロック番号から 1000 を引かなければなりません。つまりディスク全体のスキャンでブロック 1005 が破損していると表示された場合、2 番目のパーティションのブロック 5 が求める破損ブロックの番号になります。

あるいは、ディスク全体をスキャンして破損ブロックが見つかった場合、それがどのパーティションにあるかを計算して、そのパーティションに対して再度スキャンすることでもブロック番号が得られます。

もう一つ覚えておくべきなのは、badblocks はデフォルトでは 1024 バイトを 1 ブロックとすることです。そのため、-b オプションでブロックサイズを指定してファイルシステムのブロックサイズに一致させるか、後の手順において手計算でブロック番号を変換する必要があります。

パーティションの開始・終了位置を調べるには fdisk を使います（古いバージョンではデフォルトでシリンダー単位になるかもしれません。その場合は -u オプションでセクタ単位に変更できます）。fdisk で表示されるブロックサイズをメモしておいて、後でブロック数を変換できるようしておいてください。

fdisk -l /dev/sdx

255 heads, 63 sectors/track, 19457 cylinders, total 312581808 sectors
'''Units = sectors of 1 * 512 = 512 bytes'''
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000

ここまでで、破損ブロックのブロック番号（そのパーティションの開始位置からの相対位置）が分かりました。

==ファイルシステムをデバッグする (JFS)==
jfs_debugfs を使うと、JFS ファイルシステム内の全ての低レベル構造にアクセスできます。EXT など他のファイルシステムでも同じようなツールがあります。これを行う前に全てのファイルシステムをアンマウントしておくとよいでしょう。次を実行します:

jfs_debugfs /dev/sdxy

このコマンドを実行するとコマンドコンソールに入ります。最初にすべきことは aggregate block size を確認することです。これは（おそらく）ファイルシステムのブロックサイズと同じです。JFSのデフォルトは 4096 バイトのようです。

badblocks を実行したときのブロックサイズがこのファイルシステムのブロックサイズと一致していなかった場合は、ブロック番号を変換する必要があります（パーティションの開始位置からの相対ブロック番号を使うことに注意してください）。

つまり、ブロックサイズが 1024 バイトの場合のブロック番号 100 は、ブロックサイズが 4096 バイトの場合のブロック番号 25 になります。変換公式は:

(original block number) / ((filesystem block size) / (badblocks block size))

さて、本来の目的は inode 番号を取得することです。このコマンドを実行してください:

d ''ブロック番号'' 0 i

この構文の意味は、d コマンドはディスプレイ、ブロック番号、オフセット（ここでは 0 にしている）、表示フォーマット i は inode となっています。

''注意'': ブロックが使用中でないと表示される場合は、そのブロックが割り当てられておらず、空きスペースになっていることを意味します。これは、何も重要なデータが失われていないということなので良いことです。

di_number にセットされている 10 進数が私達の求めるものです。ここで x とタイプしてディスプレイモードから抜けます。全ての破損ブロックに対してこのディスプレイコマンドを繰り返し、それらの inode 番号を記録しておきます。inode に関するパーミッションやファイルタイプなど他の情報を得るには、次のようにタイプします:

i ''inode番号''

inode 番号が分かったら q とタイプして終了します。

==破損ファイルを見つける (JFS/Universal)==

これでようやく破損ファイルを見つけられます。GNU find ユーティリティを使います。ファイルシステムをマウントして次を実行します:

find / -inum ''inode番号''

"/" はその inode が属するファイルシステムのマウントポイントで置き換えてください。
/ を検索して 2 個以上のファイルシステムがマウントされていたら（普通はそうなっているでしょう）、異なるファイルシステム上で同じ inode 番号のファイルが複数見つかるでしょう。そしてその場合は明らかに時間が長くかかります。inode はファイルシステムの中でだけユニークなことに注意してください。

==ファイルシステムをデバッグする (EXT(2/3/4))==
tune2fs を使うと、各種 EXT ファイルシステム内の全ての低レベル構造にアクセスできます。これを行う前に全てのファイルシステムをアンマウントしておくとよいでしょう。

最初にやることは、ファイルシステムのブロックサイズを取得することです。これを実行します:

tune2fs -l /dev/sdxy | grep Block
Block count: 29119820
'''Block size: 4096'''

この場合は 4096 がブロックサイズです（これがデフォルトのようです）。

badblocks を実行したときのブロックサイズがこのファイルシステムのブロックサイズと一致していなかった場合は、ブロック番号を変換する必要があります（パーティションの開始位置からの相対ブロック番号を使うことに注意してください）。

つまり、ブロックサイズが 1024 バイトの場合のブロック番号 100 は、ブロックサイズが 4096 バイトの場合のブロック番号 25 になります。変換公式は:

(original block number) / ((filesystem block size) / (badblocks block size))

さて、本来の目的は inode 番号を取得することです。このコマンドを実行してください:

debugfs

そして debugfs のコンソールにおいて、破損セクタを含んでいる EXT のパーティションを引数に open コマンドを実行します:

debugfs: open /dev/sdxy

最後に testb コマンドを実行してそのブロックに関する情報を取得します（この例ではブロック 1000 番）:

debugfs: testb ''ブロック番号''

''注意'': ブロックが使用中でないと表示される場合は、そのブロックが割り当てられておらず、空きスペースになっていることを意味します。これは、何も重要なデータが失われていないということなので良いことです。

ブロックが使用中なら、このコマンドで inode 番号を取得できます:

icheck ''ブロック番号''

これは 2 個の数字を表示します。ブロック番号と inode 番号です。

==破損ファイルを見つける (EXT(2/3/4))==
inode 番号（icheck コマンドで表示される 2 番目の番号）を引数に ncheck コマンドを実行します:

ncheck ''inode番号''

この破損ブロックを使っているファイルのフルパスが表示されます。これで実際に何が破損したのかがわかります。

もし inode 番号が非常に小さくて ncheck がパス表示に失敗する場合は、おそらくジャーナル自体が壊れています。ジャーナルを削除するには、このコマンドをパーティションに対して実行します:

tune2fs -O ^has_journal /dev/sdxy

もう一度 debugfs コンソールでtestb コマンドを使ってそのブロックを調べると、もし本当にジャーナルに使われていたのであれば、今度は使われていると表示されないはずです。
次のコマンドで新しいジャーナルを構築します:

tune2fs -j /dev/sdxy

==強制的に破損ブロックを代替処理させる==
まず、smartctl コマンドでハードディスク上にいくつの破損ブロックが認識されているかを調べられます:

smartctl -t long /dev/sdx [テストが完了するまで待ってから]
smartctl -l selftest /dev/sdx

ID# ATTRIBUTE_NAME FLAG VALUE WORST THRESH TYPE UPDATED WHEN_FAILED RAW_VALUE
'''5 Reallocated_Sector_Ct 0x0033 100 100 005 Pre-fail Always - 0'''
'''196 Reallocated_Event_Count 0x0032 100 100 000 Old_age Always - 0'''
197 Current_Pending_Sector 0x0022 100 100 000 Old_age Always - 0
'''198 Offline_Uncorrectable 0x0008 100 100 000 Old_age Offline - 0'''

透過的に破損ブロックをスペアの予備セクタへ代替させるには、単に root で dd コマンドを使って破損ブロックにゼロを書き込むだけです。注意すべきなのは、このコマンドを実行するとき、ファイルシステムと同じブロックサイズを使うことと、ブロックの位置をディスク全体でなくファイルシステムがあるパーティションからの相対位置で指定することです:

dd if=/dev/zero of=/dev/sdxy bs=4096 count=1 seek=2269012
sync

本当に破損セクタが代替処理されたかどうかを確認するには、smartctl コマンドを使って Reallocated_Sector_Ct か Reallocated_Event_Count の値が増えているかを確認します。

smartctl -A /dev/sdx
ID# ATTRIBUTE_NAME FLAG VALUE WORST THRESH TYPE UPDATED WHEN_FAILED RAW_VALUE
'''5 Reallocated_Sector_Ct 0x0033 100 100 005 Pre-fail Always - 1'''
'''196 Reallocated_Event_Count 0x0032 100 100 000 Old_age Always - 1'''
197 Current_Pending_Sector 0x0022 100 100 000 Old_age Always - 0
'''198 Offline_Uncorrectable 0x0008 100 100 000 Old_age Offline - 1'''

Offline_Uncorrectable を 0 に戻すには、SMART のロングテストとセルフテストを実行する必要があります:

smartctl -t long /dev/sdx [テストが完了するまで待ってから]
smartctl -l selftest /dev/sdx

==参考==

[http://smartmontools.sourceforge.net/badblockhowto.html EXT2/3 badblocks howto]

指定ブロックがどのファイルに属するか調べる

2016-01-14T11:27:25Z

Aosho235: 翻訳を継続

[[Category:ファイルシステム]]
[[en:Find File that Owns a Given Block]]
この記事では、ディスク上の指定のブロックがどのファイルに属するか調べる方法を説明します。主な目的は、ストレージに破損ブロックが生じたときに、どのファイルが破損したかを調べることです（そして重要なデータが失われたかどうかを確認できます）。

この記事の中のほとんどのコマンドを実行するには、root か、ディスクに直接読み込みアクセスができるユーザーになる必要があります（disk グループのメンバーであれば十分です）。いつもの通り、現在のバックアップを取っておくとよいでしょう。もうすぐディスクが壊れそうな場合は特にそうです。壊れそうかどうかを調べるには [[S.M.A.R.T.]] が役に立ちます。

今のところ、この記事は JFS と EXT ファイルシステムだけに向けて書かれています。

==破損ブロックを見つける==
[[en2:badblocks|badblocks]] コマンドを使います。このコマンドにはいくつかのスキャンモードがあります。リードオンリーモード（デフォルト）は正確さが一番低くなります。破壊的書き込みモード（-w オプション）は最も正確ですが、より時間がかかり、（当然ながら）ディスク上の全データを破壊します。ですのでこれはブロックが属するファイルを見つけるのには使えません。そして最後に非破壊的読み書きモードがあります。これはおそらく破壊的モードと同じくらい正確で、唯一のデメリットはおそらく一番遅いことです。しかし、ディスクが壊れつつあるとわかっているときは、リードオンリーモードが一番安全でしょう。

次のいずれかのコマンドを実行し、-v オプション（冗長表示）つきでリードオンリースキャンを実行します（x はディスクを表す文字で、y はパーティション番号です）。

ディスク全体をスキャンする:
badblocks -v /dev/sdx

1個のパーティションをスキャンする:
badblocks -v /dev/sdxy

ディスク全体をスキャンすると計算が少し面倒になります。各ファイルシステムはパーティションの先頭からブロック番号を数え始めるため、例えば 2 番目のパーティション上に破損ブロックがあり、そのパーティションがブロック 1000 から始まっていた場合、求めるブロック番号を得るには badblocks が表示するブロック番号から 1000 を引かなければなりません。つまりディスク全体のスキャンでブロック 1005 が破損していると表示された場合、2 番目のパーティションのブロック 5 が求める破損ブロックになります。

あるいは、ディスク全体をスキャンして破損ブロックが見つかった場合、それがどのパーティションにあるかを計算して、そのパーティションに対して再度スキャンすることでもブロック番号が得られます。

もう一つ覚えておくべきなのは、badblocks はデフォルトでは 1024 バイトを 1 ブロックとすることです。そのため、-b オプションでブロックサイズを変更してファイルシステムのブロックサイズに一致させるか、後の手順において手計算でブロック番号を変換する必要があります。

パーティションの開始・終了位置を調べるには fdisk を使います（古いバージョンではデフォルトでシリンダー単位になるかもしれません。その場合は -u オプションでセクタ単位に変更できます）。fdisk で表示されるブロックサイズをメモしておいて、後でブロック数を変換できるようしておいてください。

fdisk -l /dev/sdx

255 heads, 63 sectors/track, 19457 cylinders, total 312581808 sectors
'''Units = sectors of 1 * 512 = 512 bytes'''
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000

ここまでで、破損ブロックのブロック番号（そのパーティションの開始位置からの相対位置）が分かりました。

==ファイルシステムをデバッグする (JFS)==
jfs_debugfs will give you access to all the low level structures within any JFS filesystem. Other filesystems such as the EXT filesystems have similar tools. It is probably a good idea to umount any filesystem before you run this on them. To use it just run:

jfs_debugfs /dev/sdxy

This puts you into a command console. The first thing you should note is your aggregate block size. This is (presumably) the block size the filesystem is using. JFS seems to default to 4096 bytes.

badblocks を実行したときのブロックサイズがこのファイルシステムのブロックサイズと一致していなかった場合は、ブロック番号を変換する必要があります（パーティションの開始位置からの相対ブロック番号を使うことに注意してください）。

つまり、ブロックサイズが 1024 バイトの場合のブロック番号 100 は、ブロックサイズが 4096 バイトの場合のブロック番号 25 になります。変換公式は:

(original block number) / ((filesystem block size) / (badblocks block size))

さて、本来の目的は inode 番号を取得することです。このコマンドを実行してください:

d ''blocknumber'' 0 i

この構文の意味は、d コマンドはディスプレイ、ブロック番号、オフセット（ここでは 0 にしている）、表示フォーマット i は inode となっています。

''注意'': ブロックが使用中でないと表示される場合は、そのブロックが割り当てられておらず、空きスペースになっていることを意味します。これは、何も重要なデータが失われていないということなので良いことです。

The decimal number that di_number is set to is the one we want. From here you type x to exit out of the display mode. Repeat the display command for each bad block that you have and note all of their inode numbers. For more info on the inode such as permissions and filetype type:

i ''inodenumber''

When you have all the inode numbers type q to quit.

==破損ファイルを見つける (JFS/Universal)==

これでようやく破損ファイルを見つけられます。GNU find ユーティリティを使います。ファイルシステムをマウントして次を実行します:

find / -inum ''inodenumber''

"/" はその inode が属するファイルシステムのマウントポイントで置き換えてください。
/ を検索して 2 個以上のファイルシステムがマウントされていたら（普通はそうなっているでしょう）、異なるファイルシステム上で同じ inode 番号のファイルが複数見つかるでしょう。そしてその場合は明らかに時間が長くかかります。inode はファイルシステムの中でだけユニークなことに注意してください。

==ファイルシステムをデバッグする (EXT(2/3/4))==
tune2fs を使うと、各種 EXT ファイルシステム内の全ての低レベル構造にアクセスできます。これを行う前に全てのファイルシステムをアンマウントしておくとよいでしょう。

最初にやることは、ファイルシステムのブロックサイズを取得することです。これを実行します:

tune2fs -l /dev/sdxy | grep Block
Block count: 29119820
'''Block size: 4096'''

この場合は 4096 がブロックサイズです（これがデフォルトのようです）。

badblocks を実行したときのブロックサイズがこのファイルシステムのブロックサイズと一致していなかった場合は、ブロック番号を変換する必要があります（パーティションの開始位置からの相対ブロック番号を使うことに注意してください）。

つまり、ブロックサイズが 1024 バイトの場合のブロック番号 100 は、ブロックサイズが 4096 バイトの場合のブロック番号 25 になります。変換公式は:

(original block number) / ((filesystem block size) / (badblocks block size))

さて、本来の目的は inode 番号を取得することです。このコマンドを実行してください:

debugfs

そして debugfs のコンソールにおいて、破損セクタを含んでいる EXT のパーティションを引数に open コマンドを実行します:

debugfs: open /dev/sdxy

最後に testb コマンドを実行してそのブロックに関する情報を取得します（この例ではブロック 1000 番）:

debugfs: testb ''ブロック番号''

''注意'': ブロックが使用中でないと表示される場合は、そのブロックが割り当てられておらず、空きスペースになっていることを意味します。これは、何も重要なデータが失われていないということなので良いことです。

ブロックが使用中なら、このコマンドで inode 番号を取得できます:

icheck ''ブロック番号''

これは 2 個の数字を表示します。ブロック番号と inode 番号です。

==破損ファイルを見つける (EXT(2/3/4))==
inode 番号（icheck コマンドで表示される 2 番目の番号）を引数に ncheck コマンドを実行します:

ncheck ''inodenumber''

この破損ブロックを使っているファイルのフルパスが表示されます。これで実際に何が破損したのかがわかります。

もし inode 番号が非常に小さくて ncheck がパス表示に失敗する場合は、おそらくジャーナル自体が壊れています。ジャーナルを削除するには、このコマンドをパーティションに対して実行します:

tune2fs -O ^has_journal /dev/sdxy

もう一度 debugfs コンソールでtestb コマンドを使ってそのブロックを調べると、もし本当にジャーナルに使われていたのであれば、今度は使われていると表示されないはずです。
次のコマンドで新しいジャーナルを構築します:

tune2fs -j /dev/sdxy

==強制的に破損ブロックを代替処理させる==
まず、smartctl コマンドでハードディスク上にいくつの破損ブロックが認識されているかを調べられます:

smartctl -t long /dev/sdx [テストが完了するまで待ってから]
smartctl -l selftest /dev/sdx

ID# ATTRIBUTE_NAME FLAG VALUE WORST THRESH TYPE UPDATED WHEN_FAILED RAW_VALUE
'''5 Reallocated_Sector_Ct 0x0033 100 100 005 Pre-fail Always - 0'''
'''196 Reallocated_Event_Count 0x0032 100 100 000 Old_age Always - 0'''
197 Current_Pending_Sector 0x0022 100 100 000 Old_age Always - 0
'''198 Offline_Uncorrectable 0x0008 100 100 000 Old_age Offline - 0'''

透過的に破損ブロックをスペアの予備セクタへ代替させるには、単に root で dd コマンドを使って破損ブロックにゼロを書き込むだけです。注意すべきなのは、このコマンドを実行するとき、ファイルシステムと同じブロックサイズを使うことと、ブロックの位置をディスク全体でなくファイルシステムがあるパーティションからの相対位置で指定することです:

dd if=/dev/zero of=/dev/sdxy bs=4096 count=1 seek=2269012
sync

本当に破損セクタが代替処理されたかどうかを確認するには、smartctl コマンドを使って Reallocated_Sector_Ct か Reallocated_Event_Count の値が増えているかを確認します。

smartctl -A /dev/sdx
ID# ATTRIBUTE_NAME FLAG VALUE WORST THRESH TYPE UPDATED WHEN_FAILED RAW_VALUE
'''5 Reallocated_Sector_Ct 0x0033 100 100 005 Pre-fail Always - 1'''
'''196 Reallocated_Event_Count 0x0032 100 100 000 Old_age Always - 1'''
197 Current_Pending_Sector 0x0022 100 100 000 Old_age Always - 0
'''198 Offline_Uncorrectable 0x0008 100 100 000 Old_age Offline - 1'''

Offline_Uncorrectable を 0 に戻すには、SMART のロングテストとセルフテストを実行する必要があります:

smartctl -t long /dev/sdx [テストが完了するまで待ってから]
smartctl -l selftest /dev/sdx

==参考==

[http://smartmontools.sourceforge.net/badblockhowto.html EXT2/3 badblocks howto]

指定ブロックがどのファイルに属するか調べる

2016-01-13T14:46:23Z

Aosho235: 一部翻訳

[[en:Find File that Owns a Given Block]]
[[Category:ファイルシステム]]

この記事では、ディスク上の指定のブロックがどのファイルに属するか調べる方法を説明します。主な目的は、ストレージに破損ブロックが生じたときに、どのファイルが破損したかを調べることです（そして重要なデータが失われたかどうかを確認できます）。

この記事の中のほとんどのコマンドを実行するには、root か、ディスクに直接読み込みアクセスができるユーザーになる必要があります（disk グループのメンバーであれば十分です）。いつもの通り、現在のバックアップを取っておくとよいでしょう。もうすぐディスクが壊れそうな場合は特にそうです。壊れそうかどうかを調べるには [[S.M.A.R.T.]] が役に立ちます。

今のところ、この記事は JFS と EXT ファイルシステムだけに向けて書かれています。

==破損ブロックを見つける==
[[badblocks]] コマンドを使います。このコマンドにはいくつかのスキャンモードがあります。リードオンリーモード（デフォルト）は正確さが一番低くなります。破壊的書き込みモード（-w オプション）は最も正確ですが、より時間がかかり、（当然ながら）ディスク上の全データを破壊します。ですのでこれはブロックが属するファイルを見つけるのには使えません。そして最後に非破壊的読み書きモードがあります。これはおそらく破壊的モードと同じくらい正確で、唯一のデメリットはおそらく一番遅いことです。しかし、ディスクが壊れつつあるとわかっているときは、リードオンリーモードが一番安全でしょう。

次のいずれかのコマンドを実行し、-v オプション（冗長表示）つきでリードオンリースキャンを実行します（x はディスクを表す文字で、y はパーティション番号です）。

ディスク全体をスキャンする:
badblocks -v /dev/sdx

1個のパーティションをスキャンする:
badblocks -v /dev/sdxy

The downside to scanning the drive as a whole is that each filesystem is going to start its block count relative to the partition it's on. This means that if you have a bad block that happens to be on, let's say, the second partition, and that partition starts on block 1000, then you will have to subtract 1000 from your block number in order to get the number you want. So if a scan from the beginning of the disk results in block number 1005 being bad, then block 5 of the second partition is what you'll actually be using.

Otherwise, if you've found bad blocks after doing a full scan, you can simply figure out which partitions they're on, and rescan those in order to get the block number, rather than do any block math.

もう一つ覚えておきべきなのは、badblocks はデフォルトでは 1024 バイトを 1 ブロックとすることです。そのため、-b オプションでブロックサイズを変更してファイルシステムのブロックサイズに一致させるか、後の手順において手計算でブロック番号する必要があります。

パーティションの開始・終了位置を調べるには fdisk を使います（古いバージョンではデフォルトでシリンダー単位になるかもしれません。その場合は -u オプションでセクタ単位に変更できます）。fdisk で表示されるブロックサイズをメモしておいて、後でブロック数を変換できるようしておいてください。

fdisk -l /dev/sdx

255 heads, 63 sectors/track, 19457 cylinders, total 312581808 sectors
'''Units = sectors of 1 * 512 = 512 bytes'''
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000

これによって、破損ブロックのブロック番号（そのパーティションの開始位置からの相対位置）が分かりました。

==ファイルシステムをデバッグする (JFS)==
jfs_debugfs will give you access to all the low level structures within any JFS filesystem. Other filesystems such as the EXT filesystems have similar tools. It is probably a good idea to umount any filesystem before you run this on them. To use it just run:

jfs_debugfs /dev/sdxy

This puts you into a command console. The first thing you should note is your aggregate block size. This is (presumably) the block size the filesystem is using. JFS seems to default to 4096 bytes.

badblocks を実行したときのブロックサイズがこのファイルシステムのブロックサイズと一致していなかった場合は、ブロック番号を変換する必要があります（パーティションの開始位置からの相対ブロック番号を使うことに注意してください）。

つまり、ブロックサイズが 1024 バイトの場合のブロック番号 100 は、ブロックサイズが 4096 バイトの場合のブロック番号 25 になります。変換公式は:

(original block number) / ((filesystem block size) / (badblocks block size))

さて、本来の目的は inode 番号を取得することです。このコマンドを実行してください:

d ''blocknumber'' 0 i

この構文の意味は、d コマンドはディスプレイ、ブロック番号、オフセット（ここでは 0 にしている）、表示フォーマット i は inode となっています。

''注意'': ブロックが使用中でないと表示される場合は、そのブロックが割り当てられておらず、空きスペースになっていることを意味します。これは、何も重要なデータが失われていないということなので良いことです。

The decimal number that di_number is set to is the one we want. From here you type x to exit out of the display mode. Repeat the display command for each bad block that you have and note all of their inode numbers. For more info on the inode such as permissions and filetype type:

i ''inodenumber''

When you have all the inode numbers type q to quit.

==破損ファイルを見つける (JFS/Universal)==

これでようやく破損ファイルを見つけられます。GNU find ユーティリティを使います。ファイルシステムをマウントして次を実行します:

find / -inum ''inodenumber''

"/" はその inode が属するファイルシステムのマウントポイントで置き換えてください。
/ を検索して 2 個以上のファイルシステムがマウントされていたら（普通はそうなっているでしょう）、異なるファイルシステム上で同じ inode 番号のファイルが複数見つかるでしょう。そしてその場合は明らかに時間が長くかかります。inode はファイルシステムの中でだけユニークなことに注意してください。

==ファイルシステムをデバッグする (EXT(2/3/4))==
tune2fs を使うと、各種 EXT ファイルシステム内の全ての低レベル構造にアクセスできます。これを行う前に全てのファイルシステムをアンマウントしておくとよいでしょう。

最初にやることは、ファイルシステムのブロックサイズを取得することです。これを実行します:

tune2fs -l /dev/sdxy | grep Block
Block count: 29119820
'''Block size: 4096'''

この場合は 4096 がブロックサイズです（これがデフォルトのようです）。

badblocks を実行したときのブロックサイズがこのファイルシステムのブロックサイズと一致していなかった場合は、ブロック番号を変換する必要があります（パーティションの開始位置からの相対ブロック番号を使うことに注意してください）。

つまり、ブロックサイズが 1024 バイトの場合のブロック番号 100 は、ブロックサイズが 4096 バイトの場合のブロック番号 25 になります。変換公式は:

(original block number) / ((filesystem block size) / (badblocks block size))

さて、本来の目的は inode 番号を取得することです。このコマンドを実行してください:

debugfs

そして debugfs のコンソールにおいて、破損セクタを含んでいる EXT のパーティションを引数に open コマンドを実行します:

debugfs: open /dev/sdxy

最後に testb コマンドを実行してそのブロックに関する情報を取得します（この例ではブロック 1000 番）:

debugfs: testb ''ブロック番号''

''注意'': ブロックが使用中でないと表示される場合は、そのブロックが割り当てられておらず、空きスペースになっていることを意味します。これは、何も重要なデータが失われていないということなので良いことです。

ブロックが使用中なら、このコマンドで inode 番号を取得できます:

icheck ''ブロック番号''

これは 2 個の数字を表示します。ブロック番号と inode 番号です。

==破損ファイルを見つける (EXT(2/3/4))==
inode 番号（icheck コマンドで表示される 2 番目の番号）を引数に ncheck コマンドを実行します:

ncheck ''inodenumber''

この破損ブロックを使っているファイルのフルパスが表示されます。これで実際に何が破損したのかがわかります。

もし inode 番号が非常に小さくて ncheck がパス表示に失敗する場合は、おそらくジャーナル自体が壊れています。ジャーナルを削除するには、このコマンドをパーティションに対して実行します:

tune2fs -O ^has_journal /dev/sdxy

もう一度 debugfs コンソールでtestb コマンドを使ってそのブロックを調べると、もし本当にジャーナルに使われていたのであれば、今度は使われていると表示されないはずです。
次のコマンドで新しいジャーナルを構築します:

tune2fs -j /dev/sdxy

==強制的に破損ブロックを再配置させる==
First you'll want to see how many badblocks the harddrive is aware of through the smartctl command:

smartctl -t long /dev/sdx [wait until test completes, then]
smartctl -l selftest /dev/sdx

ID# ATTRIBUTE_NAME FLAG VALUE WORST THRESH TYPE UPDATED WHEN_FAILED RAW_VALUE
'''5 Reallocated_Sector_Ct 0x0033 100 100 005 Pre-fail Always - 0'''
'''196 Reallocated_Event_Count 0x0032 100 100 000 Old_age Always - 0'''
197 Current_Pending_Sector 0x0022 100 100 000 Old_age Always - 0
'''198 Offline_Uncorrectable 0x0008 100 100 000 Old_age Offline - 0'''

To make the harddrive transparently map out the badblock with a spare good sector you will have to simply write zeros to the bad block using the dd command as root. Remember that with this command you have to work with the same block size as your filesystem and the block as to be relative to the partition the filesystem is on and NOT the harddrive as a whole:

dd if=/dev/zero of=/dev/sdxy bs=4096 count=1 seek=2269012
sync

You can see if the harddrive did indeed map out an additional bad sector by checking with the smartctl command and seeing if the reallocated sector or event count went up:

smartctl -A /dev/sdx
ID# ATTRIBUTE_NAME FLAG VALUE WORST THRESH TYPE UPDATED WHEN_FAILED RAW_VALUE
'''5 Reallocated_Sector_Ct 0x0033 100 100 005 Pre-fail Always - 1'''
'''196 Reallocated_Event_Count 0x0032 100 100 000 Old_age Always - 1'''
197 Current_Pending_Sector 0x0022 100 100 000 Old_age Always - 0
'''198 Offline_Uncorrectable 0x0008 100 100 000 Old_age Offline - 1'''

To get Offline_Uncorrectable to go back to 0 you need to run a SMART long test and a selftest:

smartctl -t long /dev/sdx [wait until test completes, then]
smartctl -l selftest /dev/sdx

==参考==

[http://smartmontools.sourceforge.net/badblockhowto.html EXT2/3 badblocks howto]

指定ブロックがどのファイルに属するか調べる

2016-01-13T14:32:55Z

Aosho235: 英語版よりコピペ。一部翻訳

[[en:Find File that Owns a Given Block]]
[[Category:ファイルシステム]]

この記事では、ディスク上の指定のブロックがどのファイルに属するか調べる方法を説明します。主な目的は、ストレージに破損ブロックが生じたときに、どのファイルが破損したかを調べることです（そして重要なデータが失われたかどうかを確認できます）。

この記事の中のほとんどのコマンドを実行するには、root か、ディスクに直接読み込みアクセスができるユーザーになる必要があります（disk グループのメンバーであれば十分です）。いつもの通り、現在のバックアップを取っておくとよいでしょう。もうすぐディスクが壊れそうな場合は特にそうです。壊れそうかどうかを調べるには [[S.M.A.R.T.]] が役に立ちます。

今のところ、この記事は JFS と EXT ファイルシステムだけに向けて書かれています。

==破損ブロックを見つける==
[[badblocks]] コマンドを使います。このコマンドにはいくつかのスキャンモードがあります。リードオンリーモード（デフォルト）は正確さが一番低くなります。破壊的書き込みモード（-w オプション）は最も正確ですが、より時間がかかり、（当然ながら）ディスク上の全データを破壊します。ですのでこれはブロックが属するファイルを見つけるのには使えません。そして最後に非破壊的読み書きモードがあります。これはおそらく破壊的モードと同じくらい正確で、唯一のデメリットはおそらく一番遅いことです。しかし、ディスクが壊れつつあるとわかっているときは、リードオンリーモードが一番安全でしょう。

To do a verbose (-v option), read-only scan, run one of these commands (with x being the drive letter and y being partition number you want to scan):

ディスク全体をスキャンする:
badblocks -v /dev/sdx

1個のパーティションをスキャンする:
badblocks -v /dev/sdxy

The downside to scanning the drive as a whole is that each filesystem is going to start its block count relative to the partition it's on. This means that if you have a bad block that happens to be on, let's say, the second partition, and that partition starts on block 1000, then you will have to subtract 1000 from your block number in order to get the number you want. So if a scan from the beginning of the disk results in block number 1005 being bad, then block 5 of the second partition is what you'll actually be using.

Otherwise, if you've found bad blocks after doing a full scan, you can simply figure out which partitions they're on, and rescan those in order to get the block number, rather than do any block math.

もう一つ覚えておきべきなのは、badblocks はデフォルトでは 1024 バイトを 1 ブロックとすることです。そのため、-b オプションでブロックサイズを変更してファイルシステムのブロックサイズに一致させるか、後の手順において手計算でブロック番号する必要があります。

パーティションの開始・終了位置を調べるには fdisk を使います（古いバージョンではデフォルトでシリンダー単位になるかもしれません。その場合は -u オプションでセクタ単位に変更できます）。fdisk で表示されるブロックサイズをメモしておいて、後でブロック数を変換できるようしておいてください。

fdisk -l /dev/sdx

255 heads, 63 sectors/track, 19457 cylinders, total 312581808 sectors
'''Units = sectors of 1 * 512 = 512 bytes'''
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000

これによって、破損ブロックのブロック番号（そのパーティションの開始位置からの相対位置）が分かりました。

==ファイルシステムをデバッグする (JFS)==
jfs_debugfs will give you access to all the low level structures within any JFS filesystem. Other filesystems such as the EXT filesystems have similar tools. It is probably a good idea to umount any filesystem before you run this on them. To use it just run:

jfs_debugfs /dev/sdxy

This puts you into a command console. The first thing you should note is your aggregate block size. This is (presumably) the block size the filesystem is using. JFS seems to default to 4096 bytes.

If you did not run badblocks using the block size that your filesystem is using then you will need to convert your block number(s) to match it (remember to use the block number(s) relative to the partition they're on).

i.e. block number 100 with a block size of 1024 bytes becomes block number 25 at 4096 bytes. The formula is:

(original block number) / ((filesystem block size) / (badblocks block size))

Now the entire point of running this program (for the purpose of this article) is to get the inode number. To do this run the command:

d ''blocknumber'' 0 i

The syntax is the d command for display, the block number, the offset (just set it to 0), and the display format i for inode.

''Note'': If you get an error then that means the block is not allocated and is being used as free space. In that case this is a good thing as it means nothing important was damaged.

The decimal number that di_number is set to is the one we want. From here you type x to exit out of the display mode. Repeat the display command for each bad block that you have and note all of their inode numbers. For more info on the inode such as permissions and filetype type:

i ''inodenumber''

When you have all the inode numbers type q to quit.

==破損ファイルを見つける (JFS/Universal)==

これでようやく破損ファイルを見つけられます。GNU find ユーティリティを使います。ファイルシステムをマウントして次を実行します:

find / -inum ''inodenumber''

"/" はその inode が属するファイルシステムのマウントポイントで置き換えてください。
/ を検索して 2 個以上のファイルシステムがマウントされていたら（普通はそうなっているでしょう）、異なるファイルシステム上で同じ inode 番号のファイルが複数見つかるでしょう。そしてその場合は明らかに時間が長くかかります。inode はファイルシステムの中でだけユニークなことに注意してください。

==ファイルシステムをデバッグする (EXT(2/3/4))==
tune2fs will give you access to all the low level structures within any EXT filesystem. It is probably a good idea to umount any filesystem before you run this on them.

最初にやることは、ファイルシステムのブロックサイズを取得することです。これを実行します:

tune2fs -l /dev/sdxy | grep Block
Block count: 29119820
'''Block size: 4096'''

この場合は 4096 がブロックサイズです（これがデフォルトのようです）。

badblocks を実行したときのブロックサイズがこのファイルシステムのブロックサイズと一致していなかった場合は、ブロック番号を変換する必要があります（パーティションの開始位置からの相対ブロック番号を使うことに注意してください）。

つまり、ブロックサイズが 1024 バイトの場合のブロック番号 100 は、ブロックサイズが 4096 バイトの場合のブロック番号 25 になります。変換公式は:

(original block number) / ((filesystem block size) / (badblocks block size))

さて、本来の目的は inode 番号を取得することです。このコマンドを実行してください:

debugfs

そして debugfs のコンソールにおいて、破損セクタを含んでいる EXT のパーティションを引数に open コマンドを実行します:

debugfs: open /dev/sdxy

最後に testb コマンドを実行してそのブロックに関する情報を取得します（この例ではブロック 1000 番）:

debugfs: testb ''ブロック番号''

''Note'': ブロックが使用中でないと表示される場合は、そのブロックが割り当てられておらず、空きスペースになっていることを意味します。これは、何も重要なデータが失われていないということなので良いことです。

ブロックが使用中なら、このコマンドで inode 番号を取得できます:

icheck ''ブロック番号''

これは 2 個の数字を表示します。ブロック番号と inode 番号です。

==破損ファイルを見つける (EXT(2/3/4))==
inode 番号（icheck コマンドで表示される 2 番目の番号）を引数に ncheck コマンドを実行します:

ncheck ''inodenumber''

この破損ブロックを使っているファイルのフルパスが表示されます。これで実際に何が破損したのかがわかります。

もし inode 番号が非常に小さくて ncheck がパス表示に失敗する場合は、おそらくジャーナル自体が壊れています。ジャーナルを削除するには、このコマンドをパーティションに対して実行します:

tune2fs -O ^has_journal /dev/sdxy

Run the testb command again from the debugfs console on the bad block and it should be no longer marked as used if it was indeed used by the journal. To build a new journal run:

tune2fs -j /dev/sdxy

==強制的に破損ブロックを再配置させる==
First you'll want to see how many badblocks the harddrive is aware of through the smartctl command:

smartctl -t long /dev/sdx [wait until test completes, then]
smartctl -l selftest /dev/sdx

ID# ATTRIBUTE_NAME FLAG VALUE WORST THRESH TYPE UPDATED WHEN_FAILED RAW_VALUE
'''5 Reallocated_Sector_Ct 0x0033 100 100 005 Pre-fail Always - 0'''
'''196 Reallocated_Event_Count 0x0032 100 100 000 Old_age Always - 0'''
197 Current_Pending_Sector 0x0022 100 100 000 Old_age Always - 0
'''198 Offline_Uncorrectable 0x0008 100 100 000 Old_age Offline - 0'''

To make the harddrive transparently map out the badblock with a spare good sector you will have to simply write zeros to the bad block using the dd command as root. Remember that with this command you have to work with the same block size as your filesystem and the block as to be relative to the partition the filesystem is on and NOT the harddrive as a whole:

dd if=/dev/zero of=/dev/sdxy bs=4096 count=1 seek=2269012
sync

You can see if the harddrive did indeed map out an additional bad sector by checking with the smartctl command and seeing if the reallocated sector or event count went up:

smartctl -A /dev/sdx
ID# ATTRIBUTE_NAME FLAG VALUE WORST THRESH TYPE UPDATED WHEN_FAILED RAW_VALUE
'''5 Reallocated_Sector_Ct 0x0033 100 100 005 Pre-fail Always - 1'''
'''196 Reallocated_Event_Count 0x0032 100 100 000 Old_age Always - 1'''
197 Current_Pending_Sector 0x0022 100 100 000 Old_age Always - 0
'''198 Offline_Uncorrectable 0x0008 100 100 000 Old_age Offline - 1'''

To get Offline_Uncorrectable to go back to 0 you need to run a SMART long test and a selftest:

smartctl -t long /dev/sdx [wait until test completes, then]
smartctl -l selftest /dev/sdx

==参考==

[http://smartmontools.sourceforge.net/badblockhowto.html EXT2/3 badblocks howto]

トーク:ドメイン名前解決

2016-01-03T11:56:44Z

Aosho235: ページの作成:「/etc/resolv.conf.tailに記述という部分ですが、実際にやったら効いていないようでした。英語版では/etc/resolv.confと書かれているの...」

/etc/resolv.conf.tailに記述という部分ですが、実際にやったら効いていないようでした。
英語版では/etc/resolv.confと書かれているので、間違いではないでしょうか？
--[[利用者:Aosho235|Aosho235]] ([[利用者・トーク:Aosho235|トーク]]) 2016年1月3日 (日) 20:56 (JST)

SSH 鍵

2016-01-02T12:02:18Z

Aosho235: エドワーズ曲線→楕円曲線

[[Category:Secure Shell]]
[[en:SSH keys]]
[[es:SSH keys]]
[[it:SSH keys]]
[[ru:SSH keys]]
[[sr:SSH keys]]
[[tr:SSH_Anahtarları]]
[[zh-CN:SSH keys]]
SSH 鍵は[[Wikipedia:ja:公開鍵暗号|公開鍵暗号]]と[[Wikipedia:Challenge-response authentication|チャレンジ/レスポンス認証]]を使って SSH サーバーに自身を確認させる手段として用います。伝統的なパスワード認証と比べてこの方法を使用する利点として、ネットワークを介してパスワードを送信しなくてもサーバーから認証を受けられるということが挙げられます。パスワードを転送しているわけではないので、たとえ接続を盗聴されてもパスワードを盗まれたりクラックされる恐れがありません。さらに、SSH 鍵を使って認証をすることによって、ブルートフォース攻撃を受けるリスクを事実上なくすことができます。攻撃者が正しい証明書を得られる確率は劇的に減るからです。

セキュリティの向上につながるという他に、SSH 鍵認証は伝統的なパスワード認証よりも便利だという点もあります。SSH エージェントというプログラムを使うことで、システムごとのパスワードを記録して入力する必要はなくなり、SSH 鍵でサーバーに接続することが可能になります。

SSH 鍵に全く欠点がないというわけではなく、環境によっては相応しくないという場合もありますが、大抵の場合は SSH 鍵を使用することには強力なメリットが望めます。SSH 鍵の動作方法を理解することは、いつ、どのように鍵を使えば要求を満たせるのか考える手がかりになるでしょう。この記事では [[Secure Shell]] プロトコルについての基本的な知識を持っていて、[[公式リポジトリ]]の {{Pkg|openssh}} パッケージを既にインストールしていることを前提としています。

==予備知識==
SSH 鍵は常にペアで存在します。公開鍵と秘密鍵です。秘密鍵はあなたしか知らない鍵で、安全に保管する必要があります。逆に、公開鍵は接続したい SSH サーバーと自由に共有できます。

ファイル形式の公開鍵が SSH サーバーに存在し、あなたが接続をリクエストしたことを確認したら、SSH サーバーは公開鍵を使ってチャレンジをあなたに作成・送信します。このチャレンジは暗号文のようなもので、適切なレスポンスを返すことによって、アクセス権がサーバーから与えられます。暗号文を解読できるのは秘密鍵を持っている人だけということが、暗号文を特に安全なものにしています。公開鍵を使ってメッセージを暗号化することはできる一方で、公開鍵を使ってメッセージを復号化することはできません。秘密鍵を持っている、あなただけが、チャレンジを解読して適切なレスポンスを作成することができるわけです。

このチャレンジ/レスポンス認証は水面下で行われ、ユーザーが関知するところではありません。秘密鍵を持ってさえいれば (通常は {{ic|~/.ssh/}} ディレクトリに鍵が保存されます)、SSH クライアントはサーバーに適切なレスポンスを返すことが可能です。

秘密鍵は機密情報として考えてよく、暗号化されてディスクに保存されることもよくあります。この場合、秘密鍵が必要になったとき、最初にパスフレーズを入力して秘密鍵を復号化する必要があります。表面的には、SSH サーバーにログインパスワードを入力するのと変わりないように見えますが、実際にはローカルシステム上の秘密鍵を復号化するためのパスフレーズです。このパスフレーズはネットワークを介して送信されることはありませんし、送信するなんて言語道断です。

==SSH 鍵のペアを生成==
SSH 鍵のペアは {{ic|ssh-keygen}} コマンドを実行することで生成できます:

{{hc
|$ ssh-keygen -t rsa -b 4096 -C "$(whoami)@$(hostname)-$(date -I)"
|<nowiki>Generating public/private rsa key pair.
Enter file in which to save the key (/home/username/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/username/.ssh/id_rsa.
Your public key has been saved in /home/username/.ssh/id_rsa.pub.
The key fingerprint is:
dd:15:ee:24:20:14:11:01:b8:72:a2:0f:99:4c:79:7f username@localhost-2014-11-22
The key's randomart image is:
+--[RSA 4096]---+
| ..oB=. . |
| . . . . . |
| . . . + |
| oo.o . . = |
|o+.+. S . . . |
|=. . E |
| o . |
| . |
| |
+-----------------+</nowiki>}}

上記の例では、{{ic|ssh-keygen}} は4096ビット長 ({{ic|-b 4096}}) の公開/秘密 RSA ({{ic|-t rsa}}) 鍵のペアを作成しています。拡張コメントにデータが含まれています ({{ic|-C "$(whoami)@$(hostname)-$(date -I)"}})。OpenSSH 5.1 から [http://www.cs.berkeley.edu/~dawnsong/papers/randomart.pdf ランダムな画像イメージ] が表示されるようになっており、鍵の指紋を視覚的に表しています。

===暗号化のタイプを選択===
楕円曲線デジタル署名アルゴリズム (ECDSA) は小さな鍵長で高速な操作を実現します、セキュリティについては昔の方法と変わりありません。ECDSA は OpenSSH 5.7 で導入され、認証用の推奨アルゴリズムとされています。[http://www.openssh.com/txt/release-5.7 OpenSSH 5.7 のリリースノート] を参照。'''ECDSA 鍵は旧バージョンの OpenSSH を使っているシステムと互換性がない場合があります。'''また、特許の問題を考慮して、メーカーによっては必要な実装が無効化されていることがあります。
{{Warning|There is [http://safecurves.cr.yp.to/rigid.html reason to be suspicious] of the NIST curves used to generate ECDSA keys. Depending on the threat model, it might be advisable to use Ed25519 or RSA.}}
{{Note|2013年12月28日現在、Windows の SSH クライアントである PuTTY は ECDSA をサポートしておらず、ECDSA 鍵を使用しているサーバーに接続することができません。}}
{{Note|1=2014年6月10日現在、ECDSA 鍵は GNOME Keyring で使用できません。[https://bugzilla.gnome.org/show_bug.cgi?id=641082 GNOME の既知のバグ] のためです。}}

OpenSSH 6.5 から Ed25519 鍵がサポートされています: "Ed25519 は楕円曲線による署名方式で、ECDSA や DSA よりも安全なセキュリティ、高いパフォーマンスを実現します" [http://www.openssh.com/txt/release-6.5]。Ed25519 鍵は {{ic|ssh-keygen -t ed25519}} で生成できます。鍵長を設定する必要はありません。全ての Ed25519 鍵は256ビットです。

RSA (2048-16384ビット) または DSA (2048ビット) の鍵対を作成する場合、{{ic|ssh-keygen}} コマンドで {{ic|-t rsa}} または {{ic|-t dsa}} スイッチを使用して、忘れずに鍵長を増やして下さい。{{ic|-b}} スイッチを書かずに {{ic|ssh-keygen}} を実行することで作成されるデフォルトの鍵長で問題ありません。

{{Note|鍵が使用されるのは認証を行うときだけです。強固な鍵にすることで、SSH によってデータを送信する際の CPU の負担が増えることはありません。}}

===鍵の場所とパスフレーズを選択===
{{ic|ssh-keygen}} コマンドの実行時に、秘密鍵の名前と保存場所について尋ねられます。デフォルトでは、鍵は {{ic|~/.ssh/}} ディレクトリに保存され、名前は使用する暗号化のタイプに合わせて付けられます。この記事に出てくるサンプルコードをそのまま使用できるようにするため、デフォルトの名前と場所を使うことを推奨します。

パスフレーズを求められたときは、推測されにくいパスフレーズを入力してください。一般的に、長くてランダムなパスワードの方が強固でクラックされにくいパスワードであり、破れれることは少なくなります。

パスフレーズを設定しないで秘密鍵を作成することも可能です。パスフレーズが不要なことは便利である一方、リスクも伴うということを理解してください。パスフレーズを設定しなかった場合、秘密鍵はディスク上に平文で保存されることになります。秘密鍵ファイルにアクセスすることさえできれば、誰でも (鍵を使って認証を行っている) SSH サーバーの認証を掻い潜ることができてしまいます。さらに、パスフレーズを設定しないということは、root ユーザーを無条件で信頼することになります。root ユーザーはファイルのパーミッションを回避していつでも秘密鍵ファイルにアクセスすることができます。

====鍵を変更せずに秘密鍵のパスフレーズを変更する====
最初に作成した SSH 鍵のパスフレーズがあまりよろしくなくて変更しなくてはならない場合、{{ic|ssh-keygen}} コマンドを使うことで、実際の鍵を変更することなくパスフレーズだけ変更することができます。

RSA 秘密鍵のパスフレーズを変更するには、次を実行:
$ ssh-keygen -f ~/.ssh/id_rsa -p

====複数の鍵の管理====
{{ic|~/.ssh/config}} ファイルを作成してホスト毎に認証に必要な鍵を指定することでホストごとに鍵を管理することができます。これは必須ではありません、ホスト全てに同じ鍵を使うこともできるからです。クライアント全てに同一の鍵を使いたくない場合は、以下のようにファイルを作成してください:
Host SERVERNAME1
IdentitiesOnly yes
IdentityFile ~/.ssh/id_rsa_SERVER1
# CheckHostIP yes
# Port 22
Host SERVERNAME2
IdentitiesOnly yes
IdentityFile ~/.ssh/id_rsa_SERVER2
# CheckHostIP no
# Port 2177
ControlMaster auto
ControlPath /tmp/%r@%h:%p
他のオプションについては次のコマンドで調べられます:
$ man ssh_config 5

==リモートサーバーに公開鍵をコピー==
鍵対を生成したら、公開鍵をリモートサーバーにコピーして、SSH 鍵認証が使えるようにする必要があります。公開鍵のファイル名は秘密鍵のファイル名に {{ic|.pub}} 拡張子を付けたものになります。秘密鍵は共有せず、ローカルマシンに残しておくようにしてください。

===シンプルな方法===

{{Note|1=この方法はリモートサーバーが {{ic|sh}} 以外のシェル ({{ic|tcsh}} など) をデフォルトで使っている場合、失敗します。[https://bugzilla.redhat.com/show_bug.cgi?id=1045191 このバグレポート] を参照。}}

鍵のファイルが {{ic|~/.ssh/id_rsa.pub}} の場合、次のコマンドを実行します。
$ ssh-copy-id remote-server.org

リモートマシンでユーザー名が異なる場合、サーバーの名前の前に {{ic|@}} とユーザー名を書きます。
$ ssh-copy-id username@remote-server.org

公開鍵のファイル名がデフォルトの {{ic|~/.ssh/id_rsa.pub}} ではない場合、{{ic|/usr/bin/ssh-copy-id: ERROR: No identities found}} というエラーが表示されます。その場合、公開鍵の場所を明示してください。
$ ssh-copy-id -i ~/.ssh/id_ecdsa.pub username@remote-server.org

ssh サーバーがデフォルトの22番ポート以外を使っている場合、ポート番号を付して下さい。
$ ssh-copy-id -i ~/.ssh/id_ecdsa.pub -p 221 username@remote-server.org

===伝統的な方法===
デフォルトで、OpenSSH では、公開鍵は {{ic|~/.ssh/authorized_keys}} と連結する必要があります。まず公開鍵をリモートサーバーにコピーしてください。

$ scp ~/.ssh/id_ecdsa.pub username@remote-server.org:

上記の例では {{ic|scp}} によって公開鍵 ({{ic|id_ecdsa.pub}}) をリモートサーバーのホームディレクトリにコピーしています。サーバーアドレスの最後にはかならず {{ic|:}} を付けるのを忘れないで下さい。また、必要に応じて上記の例にある公開鍵の名前は置き換えるようにしてください。

リモートサーバー側では、(ディレクトリが存在しない場合) {{ic|~/.ssh}} ディレクトリを作成して {{ic|authorized_keys}} ファイルに公開鍵を追記する必要があります。

$ ssh username@remote-server.org
username@remote-server.org's password:
$ mkdir ~/.ssh
$ chmod 700 ~/.ssh
$ cat ~/id_ecdsa.pub >> ~/.ssh/authorized_keys
$ rm ~/id_ecdsa.pub
$ chmod 600 ~/.ssh/authorized_keys

最後の2つのコマンドではサーバーから公開鍵ファイルを削除して、{{ic|authorized_keys}} ファイルにパーミッションを設定して、所有者である貴方以外のユーザーが読み書きできないようにしています。

==セキュリティ==

===authorized_keys ファイルの保全===

さらなる保護のため、ユーザーが新しい公開鍵を追加して接続することを禁止させることができます。

{{ic|authorized_keys}} ファイルをユーザーからの読み取り専用にして他のパーミッションを全て拒否してください:
$ chmod 400 ~/.ssh/authorized_keys

ユーザーがパーミッションを戻せないように、{{ic|authorized_keys}} ファイルに [[ファイルのパーミッションと属性#chattr と lsattr|immutable ビットを設定]]してください。これだけだとユーザーが {{ic|~/.ssh}} ディレクトリの名前を変更して新しい {{ic|~/.ssh}} ディレクトリと {{ic|authorized_keys}} ファイルを作成してしまう可能性があります。{{ic|~/.ssh}} ディレクトリにも immutable ビットを設定するようにしてください。

{{Note|新しい鍵を追加する必要が出たら、一度 {{ic|authorized_keys}} の immutable ビットを削除して書き込み可能にする必要があります。鍵を追加したらまたビットを設定してください。}}

===パスワードログインの無効化===
公開鍵をリモートの SSH サーバーにコピーすることで、ネットワークを介してパスワードを入力する必要はなくなりましたが、これだけではパスワードの総当り攻撃に対しては防御になっていません。秘密鍵が使用されなかった場合、SSH サーバーはデフォルトでパスワード認証を行うようになっています。パスワードを推測することによって攻撃者がアクセスを取得しようとする恐れがあります。パスワードログインを無効化するには、リモートサーバーの {{ic|/etc/ssh/sshd_config}} ファイル内の以下の行を編集してください。

{{hc|/etc/ssh/sshd_config|
PasswordAuthentication no
ChallengeResponseAuthentication no}}

=== 2段階認証と公開鍵 ===

OpenSSH 6.2 から、{{ic|AuthenticationMethods}} オプションを使って自分でチェインを追加して認証することができるようになりました。これによって公開鍵だけでなく2段階認証が使うことができます。

Google Authenticator のセットアップについては [[Google Authenticator]] を見て下さい。

OpenSSH で PAM を使うには、以下のファイルを編集します:

{{hc|/etc/ssh/sshd_config|
ChallengeResponseAuthentication yes
AuthenticationMethods publickey keyboard-interactive:pam
}}

これで公開鍵かユーザー認証のどちらかでログインできます。

公開鍵とユーザー認証の両方を使って認証したい場合、AuthenticationMethods でスペースの代わりにカンマを使って下さい:

{{hc|/etc/ssh/sshd_config|
ChallengeResponseAuthentication yes
AuthenticationMethods publickey,keyboard-interactive:pam
}}

==SSH エージェント==
秘密鍵をパスフレーズで暗号化した場合、公開鍵認証を使って SSH サーバーに接続するたびに設定したパスフレーズを入力する必要があります。認証を進める前に秘密鍵を復号化するために {{ic|ssh}} や {{ic|scp}} が呼ばれるたびにパスフレーズが求められるのです。

SSH エージェントは復号化された秘密鍵をキャッシュして、あなたに代わって SSH クライアントプログラムに鍵を提出します。この場合、パスフレーズを入力するのは一度だけでよく、その時に秘密鍵がエージェントのキャッシュに追加されます。これは頻繁に SSH 接続を行う場合にとても便利です。

大抵、エージェントはログイン時に自動的に実行されるように設定され、ログインセッションの間はずっと実行し続けます。この効果を得るのに様々なエージェント、フロントエンド、設定が存在します。このセクションでは様々なソリューションを並べているので、必要に応じて選びとるようにしてください。

===ssh-agent===
ssh-agent は OpenSSH に含まれているデフォルトのエージェントです。直接使用することもできますし、後のセクションで触れている、フロントエンドのためのバックエンドとして使うこともできます。{{ic|ssh-agent}} が実行されると、ssh-agent は自分をバックグラウンドにフォークして、使用する環境変数を出力します。

{{hc|$ ssh-agent|2=
SSH_AUTH_SOCK=/tmp/ssh-vEGjCM2147/agent.2147; export SSH_AUTH_SOCK;
SSH_AGENT_PID=2148; export SSH_AGENT_PID;
echo Agent pid 2148;
}}

これらの変数を利用するには、{{ic|eval}} コマンドを通してコマンドを実行してください。

{{hc|$ eval $(ssh-agent)|
Agent pid 2157
}}

{{Tip|上記のコマンドを {{ic|~/.bash_profile}} スクリプトに追加すればログインシェルが起動した時に自動で実行されます。}}

{{ic|ssh-agent}} を実行したら、秘密鍵をキャッシュに追加する必要があります:

{{hc|$ ssh-add ~/.ssh/id_ecdsa|
Enter passphrase for /home/user/.ssh/id_ecdsa:
Identity added: /home/user/.ssh/id_ecdsa (/home/user/.ssh/id_ecdsa)
}}

秘密鍵が暗号化されている場合、{{ic|ssh-add}} はパスフレーズを入力するように要求します。秘密鍵がエージェントに追加されたら、パスフレーズを入力することなく SSH 接続を行うことができるようになります。

鍵が必要になるまでパスフレーズの入力をしないようにするには、以下を {{ic|~/.bashrc}} に追加します:

<nowiki>if ! pgrep -u $USER ssh-agent > /dev/null; then
ssh-agent > ~/.ssh-agent-thing
fi
if [[ "$SSH_AGENT_PID" == "" ]]; then
eval $(<~/.ssh-agent-thing)
fi
ssh-add -l >/dev/null || alias ssh='ssh-add -l >/dev/null || ssh-add && unalias ssh; ssh'</nowiki>

{{ic|ssh-agent}} プロセスが存在しない場合にプロセスが実行され、出力が保存されます。プロセスが既に存在する場合、キャッシュされた {{ic|ssh-agent}} の出力を取得して必要な環境変数を設定します。また、必要なときは、{{ic|ssh}} にエイリアスを作成してエージェントに鍵を追加し、それからエイリアスを削除します。この方法の欠点は {{ic|git}} など、{{ic|ssh}} 以外の秘密鍵を使用するコマンドでは鍵は追加されないということです。

後で述べるように、この問題を回避できる {{ic|ssh-agent}} のフロントエンドや代替エージェントも多数存在します。

====systemd ユーザーで ssh-agent を起動====

[[systemd/ユーザー]]機能を使ってエージェントを起動することができます。{{ic|~/.config/systemd/user}} フォルダに以下のユニットファイルを配置してください:

{{hc|~/.config/systemd/user/ssh-agent.service|<nowiki>
[Unit]
Description=SSH key agent

[Service]
Type=forking
Environment=SSH_AUTH_SOCK=%t/ssh-agent.socket
ExecStart=/usr/bin/ssh-agent -a $SSH_AUTH_SOCK

[Install]
WantedBy=</nowiki>''default''.target
}}

{{ic|1=export SSH_AUTH_SOCK="$XDG_RUNTIME_DIR/ssh-agent.socket"}} をシェルのスタートアップファイルに追加してください。例えば [[Bash]] の場合 {{ic|.bash_profile}} です。その後、サービスを有効化・起動してください。

====ssh-agent をラッパープログラムとして使う====
ssh-agent を (X セッションごとに) 起動する別の方法は [http://upc.lbl.gov/docs/user/sshagent.shtml UC Berkeley Labs による ssh-agent チュートリアル] に載っています。{{ic|startx}} コマンドで X を起動する場合に、以下のように {{ic|ssh-agent}} を {{ic|startx}} の前に付けることができます:

$ ssh-agent startx

And so you don't even need to think about it you can put an alias in your {{ic|.bash_aliases}} file or equivalent:

alias startx='ssh-agent startx'

Doing it this way avoids the problem of having extraneous {{ic|ssh-agent}} instances floating around between login sessions. Exactly one instance will live and die with the entire X session.

{{note|You can also add {{ic|eval $(ssh-agent)}} to {{ic|~/.xinitrc}}.}}

See [[#ssh-add で x11-ssh-askpass を呼び出す|the below notes on using x11-ssh-askpass with ssh-add]] for an idea on how to immediately add your key to the agent.

===GnuPG エージェント===

[[公式リポジトリ]] の {{Pkg|gnupg}} パッケージに入っている [[GnuPG]] エージェントには OpenSSH エージェントのエミュレーションがあります。GnuPG スイートを既に使っている場合は、GnuPG エージェントを使って SSH 鍵をキャッシュすることが可能です。さらに、場合によっては GnuPG エージェントがパスフレーズ管理の一部として提供している PIN エントリダイアログを使うのも良いでしょう。

{{Note|KDE を使っていて {{Pkg|kde-agent}} をインストールしている場合、{{ic|enable-ssh-support}} を {{ic|~/.gnupg/gpg-agent.conf}} に設定するだけで設定は完了です。KDE を使っていない場合は、さらに先まで読んで下さい。}}

SSH 鍵を GnuPG エージェントで使うには、{{ic|~/.gnupg/gpg-agent.conf}} ファイルで {{ic|enable-ssh-support}} を有効にする必要があります。

{{hc|~/.gnupg/gpg-agent.conf|
# Enable SSH support
enable-ssh-support
}}

次に、{{ic|gpg-connect-agent}} を使っている場合は ''gpg-agent'' を起動して、{{ic|SSH_AUTH_SOCK}} を設定することで SSH が ''ssh-agent'' ではなく ''gpg-agent'' を使うようにします。そして GPG TTY を設定して X セッションにユーザーが切り替わった場合は TTY を更新します。例:
{{hc|~/.bashrc|<nowiki>
#!/bin/sh

# Start the gpg-agent if not already running
if ! pgrep -x -u "${USER}" gpg-agent >/dev/null 2>&1; then
gpg-connect-agent /bye >/dev/null 2>&1
fi

# Set SSH to use gpg-agent
unset SSH_AGENT_PID
if [ "${gnupg_SSH_AUTH_SOCK_by:-0}" -ne $$ ]; then
export SSH_AUTH_SOCK="${HOME}/.gnupg/S.gpg-agent.ssh"
fi

# Set GPG TTY
GPG_TTY=$(tty)
export GPG_TTY

# Refresh gpg-agent tty in case user switches into an X session
gpg-connect-agent updatestartuptty /bye >/dev/null
</nowiki>}}

Once ''gpg-agent'' is running you can use ''ssh-add'' to approve keys, just like you did with plain ''ssh-agent''. The list of approved keys is stored in the {{ic|~/.gnupg/sshcontrol}} file. Once your key is approved, you will get a PIN entry dialog every time your passphrase is needed. You can control passphrase caching in the {{ic|~/.gnupg/gpg-agent.conf}} file. The following example would have ''gpg-agent'' cache your keys for 3 hours:
{{hc|~/.gnupg/gpg-agent.conf|
# Cache settings
default-cache-ttl 10800
default-cache-ttl-ssh 10800
}}
Other useful settings for this file include the PIN entry program (GTK, QT, or ncurses version), keyboard grabbing, and so on...

{{hc|~/.gnupg/gpg-agent.conf|<nowiki>
# Keyboard control
#no-grab

# PIN entry program
#pinentry-program /usr/bin/pinentry-curses
#pinentry-program /usr/bin/pinentry-qt4
#pinentry-program /usr/bin/pinentry-kwallet
#pinentry-program /usr/bin/pinentry-gtk-2
</nowiki>}}

===Keychain===
[http://www.funtoo.org/Keychain Keychain] は出来る限りユーザーの手を煩わせることなく SSH 鍵の管理を楽にするために作られたプログラムです。''ssh-agent'' と ''ssh-add'' の両方を動かすシェルスクリプトとして実装されています。Keychain の特徴として、複数のログインセッションで単一の ''ssh-agent'' プロセスを維持することができます。したがって、パスフレーズを入力するのはマシンを起動したときだけで済みます。

[[公式リポジトリ]]から {{Pkg|keychain}} パッケージを[[インストール]]してください。

以下の行を {{ic|~/.bash_profile}} に追記:
{{hc|~/.bash_profile|
eval $(keychain --eval --agents ssh -Q --quiet id_ecdsa)
}}

In the above example, the {{ic|--eval}} switch outputs lines to be evaluated by the opening {{ic|eval}} command. This sets the necessary environments variables for SSH client to be able to find your agent. The {{ic|--agents}} switch is not strictly necessary because Keychain will build the list automatically based on the existence of ''ssh-agent'' or ''gpg-agent'' on the system. Adding the {{ic|--quiet}} switch will limit output to warnings, errors, and user prompts. If you want greater security, replace {{ic|-Q}} with {{ic|--clear}} but will be less convenient.

If necessary, replace {{ic|~/.ssh/id_ecdsa}} with the path to your private key. For those using a non-Bash compatible shell, see {{ic|keychain --help}} or {{ic|man keychain}} for details on other shells.

To test Keychain, log out from your session and log back in. If this is your first time running Keychain, it will prompt you for the passphrase of the specified private key. Because Keychain reuses the same ''ssh-agent'' process on successive logins, you should not have to enter your passphrase the next time you log in. You will only be prompted for your passphrase once each time the machine is rebooted.

===envoy===

[https://github.com/vodik/envoy envoy] は Keychain の代替プログラムです。Envoy は[[公式リポジトリ]]の {{Pkg|envoy}} でインストールできます。また、Git バージョンは [[AUR]] の {{AUR|envoy-git}} でインストールできます。

インストールしたら、{{ic|envoy@ssh-agent.socket}} を[[有効化]]して envoy ソケットをセットアップしてください。

And add to your shell's rc file:

envoy -t ssh-agent -a ''ssh_key''
source <(envoy -p)

If the key is {{ic|~/.ssh/id_rsa}}, {{ic|~/.ssh/id_dsa}}, {{ic|~/.ssh/id_ecdsa}}, or {{ic|~/.ssh/identity}}, the {{ic|-a ''ssh_key''}} parameter is not needed.

====envoy で kwallet にキーパスフレーズを保存====

SSH 鍵に長いパスワードを設定している場合、思い出すのが一苦労かもしれません。そんなときは kwallet にパスワードを保存しましょう。{{Pkg|envoy}} だけでなく、[[公式リポジトリ]]から {{Pkg|ksshaskpass}} と {{Pkg|ksshaskpass}} をインストールしてください。そして、systemd で envoy ソケットを有効化してください (上を参照)。

{{Note|As of April 30, 2015, if after installation {{Pkg|ksshaskpass}} keeps asking for access to your wallet even after having submitted the password, you might have [[https://bbs.archlinux.org/viewtopic.php?id=192862 this]] problem. The proposed solution is to install {{Aur|ksshaskpass4}}, though this might break your login.}}

まず、以下のスクリプトを {{ic|~/.kde4/Autostart/ssh-agent.sh}} に追加:
#!/bin/sh
envoy -t ssh-agent -a ''ssh_key''
それから、次のコマンドを実行してスクリプトに実行可能属性を付与: {{ic|chmod +x ~/.kde4/Autostart/ssh-agent.sh}}

そして以下を {{ic|~/.kde4/env/ssh-agent.sh}} に追加:
#!/bin/sh
eval $(envoy -p)

KDE にログインしたときに、{{ic|ssh-agent.sh}}　スクリプトが実行されるようになります。このスクリプトは ''ksshaskpass'' を呼び出して、envoy が ''ssh-agent'' を呼び出したときに kwallet パスワードの入力を求めます。

===x11-ssh-askpass===
The {{pkg|x11-ssh-askpass}} package provides a graphical dialog for entering your passhrase when running an X session. ''x11-ssh-askpass'' depends only on the {{Pkg|libx11}} and {{Pkg|libxt}} libraries, and the appearance of ''x11-ssh-askpass'' is customizable. While it can be invoked by the ''ssh-add'' program, which will then load your decrypted keys into [[#ssh-agent|ssh-agent]], the following instructions will, instead, configure ''x11-ssh-askpass'' to be invoked by the aforementioned [[#Keychain|Keychain]] script.

{{Pkg|keychain}} と {{Pkg|x11-ssh-askpass}} をインストールしてください。どちらも[[公式リポジトリ]]に入っています。

Edit your {{ic|~/.xinitrc}} file to include the following lines, replacing the name and location of your private key if necessary. Be sure to place these commands '''before''' the line which invokes your window manager.

{{hc|~/.xinitrc|
keychain ~/.ssh/id_ecdsa
[ -f ~/.keychain/$HOSTNAME-sh ] && . ~/.keychain/$HOSTNAME-sh 2>/dev/null
[ -f ~/.keychain/$HOSTNAME-sh-gpg ] && . ~/.keychain/$HOSTNAME-sh-gpg 2>/dev/null
...
exec openbox-session}}

In the above example, the first line invokes ''keychain'' and passes the name and location of your private key. If this is not the first time ''keychain'' was invoked, the following two lines load the contents of {{ic|$HOSTNAME-sh}} and {{ic|$HOSTNAME-sh-gpg}}, if they exist. These files store the environment variables of the previous instance of ''keychain''.

====ssh-add で x11-ssh-askpass を呼び出す====
The ''ssh-add'' manual page specifies that, in addition to needing the {{ic|DISPLAY}} variable defined, you also need {{ic|SSH_ASKPASS}} set to the name of your askpass program (in this case ''x11-ssh-askpass''). It bears keeping in mind that the default Arch Linux installation places the ''x11-ssh-askpass'' binary in {{ic|/usr/lib/ssh/}}, which will not be in most people's {{ic|PATH}}. This is a little annoying, not only when declaring the {{ic|SSH_ASKPASS}} variable, but also when theming. You have to specify the full path everywhere. Both inconveniences can be solved simultaneously by symlinking:

$ ln -sv /usr/lib/ssh/x11-ssh-askpass ~/bin/ssh-askpass

This is assuming that {{ic|~/bin}} is in your {{ic|PATH}}. So now in your {{ic|.xinitrc}}, before calling your window manager, one just needs to export the {{ic|SSH_ASKPASS}} environment variable:

$ export SSH_ASKPASS=ssh-askpass

and your [[X resources]] will contain something like:

ssh-askpass*background: #000000

Doing it this way works well with [[#ssh-agent をラッパープログラムとして使う|the above method on using ''ssh-agent'' as a wrapper program]]. You start X with {{ic|ssh-agent startx}} and then add ''ssh-add'' to your window manager's list of start-up programs.

====テーマ====
''x11-ssh-askpass'' ダイアログの外観は [[X resources]] を設定することでカスタマイズできます。''x11-ssh-askpass'' の [http://www.jmknoble.net/software/x11-ssh-askpass/ ホームページ] にはいくつか [http://www.jmknoble.net/software/x11-ssh-askpass/screenshots.html サンプルテーマ] が挙げられています。詳しくは ''x11-ssh-askpass'' のマニュアルページを見て下さい。

====他のパスフレーズダイアログ====
''x11-ssh-askpass'' の代わりに他のパスフレーズダイアログプログラムを使うこともできます:

* {{Pkg|ksshaskpass}} は公式リポジトリからインストールできます。{{Pkg|kdelibs}} に依存しており [[KDE]] デスクトップ環境にうってつけです。

* {{Pkg|openssh-askpass}} は {{Pkg|qt4}} ライブラリに依存しており公式リポジトリからインストールできます。

===pam_ssh===
[http://pam-ssh.sourceforge.net/ pam_ssh] プロジェクトは SSH 秘密鍵の [[Wikipedia:Pluggable authentication module|Pluggable Authentication Module]] (PAM) を提供しています。このモジュールを使うことで SSH 接続のシングルサインオンができます。ログイン時に、伝統的なシステムパスワードの代わりに、もしくはそれに加えて、SSH 秘密鍵のパスフレーズを入力することができます。認証が完了したら、pam_ssh モジュールは ssh-agent を生成して復号化された秘密鍵をセッションの間だけ保存します。

tty ログインプロンプトでシングルサインオンを有効にしたいときは、[[Arch User Repository]] から非公式の {{AUR|pam_ssh}} パッケージをインストールしてください。

{{Note|pam_ssh 2.0 では認証プロセスに使用する秘密鍵を {{ic|~/.ssh/login-keys.d/}} 下に配置する必要があります。}}

秘密鍵ファイルのシンボリックリンクを作成して {{ic|~/.ssh/login-keys.d/}} に配置します。以下の例の {{ic|id_rsa}} をあなたの秘密鍵ファイルの名前に置き換えて下さい:

$ mkdir ~/.ssh/login-keys.d/
$ cd ~/.ssh/login-keys.d/
$ ln -s ../id_rsa

{{ic|/etc/pam.d/login}} ファイルを編集して以下の例で太字でハイライトされているテキストを記述してください。これらの行の順番は重要で、ログインに影響します。

{{Warning|Misconfiguring PAM can leave the system in a state where all users become locked out. Before making any changes, you should have an understanding of how PAM configuration works as well as a backup means of accessing the PAM configuration files, such as an Arch Live CD, in case you become locked out and need to revert any changes. An IBM developerWorks [http://www.ibm.com/developerworks/linux/library/l-pam/index.html article] is available which explains PAM configuration in further detail.}}

{{hc|/etc/pam.d/login|2=
#%PAM-1.0

auth required pam_securetty.so
auth requisite pam_nologin.so
auth include system-local-login
'''auth optional pam_ssh.so try_first_pass'''
account include system-local-login
session include system-local-login
'''session optional pam_ssh.so'''
}}

In the above example, login authentication initially proceeds as it normally would, with the user being prompted to enter his user password. The additional {{ic|auth}} authentication rule added to the end of the authentication stack then instructs the pam_ssh module to try to decrypt any private keys found in the {{ic|~/.ssh/login-keys.d}} directory. The {{ic|try_first_pass}} option is passed to the pam_ssh module, instructing it to first try to decrypt any SSH private keys using the previously entered user password. If the user's private key passphrase and user password are the same, this should succeed and the user will not be prompted to enter the same password twice. In the case where the user's private key passphrase user password differ, the pam_ssh module will prompt the user to enter the SSH passphrase after the user password has been entered. The {{ic|optional}} control value ensures that users without an SSH private key are still able to log in. In this way, the use of pam_ssh will be transparent to users without an SSH private key.

If you use another means of logging in, such as an X11 display manager like [[SLiM]] or [[XDM]] and you would like it to provide similar functionality, you must edit its associated PAM configuration file in a similar fashion. Packages providing support for PAM typically place a default configuration file in the {{ic|/etc/pam.d/}} directory.

Further details on how to use pam_ssh and a list of its options can be found in the pam_ssh man page.

====pam_ssh の既知の問題====
Work on the pam_ssh project is infrequent and the documentation provided is sparse. You should be aware of some of its limitations which are not mentioned in the package itself.

* Versions of pam_ssh prior to version 2.0 do not support SSH keys employing the newer option of ECDSA (elliptic curve) cryptography. If you are using earlier versions of pam_ssh you must use either RSA or DSA keys.

* The {{ic|ssh-agent}} process spawned by pam_ssh does not persist between user logins. If you like to keep a [[GNU Screen]] session active between logins you may notice when reattaching to your screen session that it can no longer communicate with ssh-agent. This is because the GNU Screen environment and those of its children will still reference the instance of ssh-agent which existed when GNU Screen was invoked but was subsequently killed in a previous logout. The [[#Keychain|Keychain]] front-end avoids this problem by keeping the ssh-agent process alive between logins.

===GNOME Keyring===
[[GNOME]] デスクトップを使用する場合、[[GNOME Keyring]] ツールを SSH エージェントとして使うことができます。詳しくは [[GNOME Keyring]] の記事を見て下さい。

===Kwallet を使って SSH 鍵を保存===
kwallet を使って SSH 鍵を保存する方法は、[[KDE Wallet#KDE ウォレットを使って ssh 鍵を保存]]を見て下さい。

===KeePass2 と KeeAgent プラグイン===

[http://lechnology.com/software/keeagent/ KeeAgent] は [[KeePass]] のプラグインで、SSH 鍵を KeePass データベースに保存することができ、他のプログラムから SSH 認証に使用されます。

* PuTTY と OpenSSH の秘密鍵フォーマットをサポート。
* Linux/Mac のネイティブの SSH エージェントと Windows の PuTTY で動作。

[[KeePass#プラグインのインストール]]を見て、{{AUR|keepass-plugin-keeagent}} パッケージを[[インストール]]してください。

==トラブルシューティング==
If it appears that the SSH server is ignoring your keys, ensure that you have the proper permissions set on all relevant files. 
For the local machine:

$ chmod 700 ~/
$ chmod 700 ~/.ssh
$ chmod 600 ~/.ssh/id_ecdsa

For the remote machine:

$ chmod 700 ~/
$ chmod 700 ~/.ssh
$ chmod 600 ~/.ssh/authorized_keys

If that does not solve the problem you may try temporarily setting {{ic|StrictModes}} to {{ic|no}} in {{ic|sshd_config}}. If authentication with StrictModes off is successful, it is likely an issue with file permissions persists.
{{Tip|Do not forget to set {{ic|StrictModes}} to {{ic|yes}} for added security.}}
Make sure the remote machine supports the type of keys you are using. Try using RSA or DSA keys instead [[#Generating an SSH key pair]]
Some servers do not support ECDSA keys.

Failing this, run the sshd in debug mode and monitor the output while connecting:

# /usr/bin/sshd -d

=== kdm を使う ===
KDM doesn't launch the ssh-agent process directly, {{Pkg|kde-agent}} used to start ssh-agent on login, but since version 20140102-1 it got [https://projects.archlinux.org/svntogit/packages.git/commit/trunk?h=packages/kde-agent&id=1070467b0f74b2339ceca2b9471d1c4e2b9c9c8f removed].

In order to start ssh-agent on KDE startup for a user, create scripts to start ssh-agent on startup and one to kill it on logoff:
{{bc|<nowiki>
echo -e '#!/bin/sh\n[ -n "$SSH_AGENT_PID" ] || eval "$(ssh-agent -s)"' > ~/.kde4/env/ssh-agent-startup.sh
echo -e '#!/bin/sh\n[ -z "$SSH_AGENT_PID" ] || eval "$(ssh-agent -k)"' > ~/.kde4/shutdown/ssh-agent-shutdown.sh
chmod 755 ~/.kde4/env/ssh-agent-startup.sh ~/.kde4/shutdown/ssh-agent-shutdown.sh
</nowiki>}}

[[KDE#Plasma_5|Plasma 5]] を使用している場合、{{ic|~/.kde4}} ではなく {{ic|~/.config/plasma-workspace/}} ディレクトリにスクリプトを作成してください:
{{bc|<nowiki>
echo -e '#!/bin/sh\n[ -n "$SSH_AGENT_PID" ] || eval "$(ssh-agent -s)"' > ~/.config/plasma-workspace/env/ssh-agent-startup.sh
echo -e '#!/bin/sh\n[ -z "$SSH_AGENT_PID" ] || eval "$(ssh-agent -k)"' > ~/.config/plasma-workspace/shutdown/ssh-agent-shutdown.sh
chmod 755 ~/.config/plasma-workspace/env/ssh-agent-startup.sh ~/.config/plasma-workspace/shutdown/ssh-agent-shutdown.sh
</nowiki>}}

==参照==
* [http://www.ibm.com/developerworks/linux/library/l-keyc.html OpenSSH key management, Part 1]
* [http://www.ibm.com/developerworks/linux/library/l-keyc2/ OpenSSH key management, Part 2]
* [http://www.ibm.com/developerworks/library/l-keyc3/ OpenSSH key management, Part 3]
* [http://kimmo.suominen.com/docs/ssh/ Getting started with SSH]
* [http://www.openssh.com/txt/release-5.7 OpenSSH 5.7 Release Notes]
* [https://stribika.github.io/2015/01/04/secure-secure-shell.html Secure Secure Shell]

カーネルパラメータ

2015-12-31T23:03:05Z

Aosho235: /* 設定 */

[[Category:カーネル]]
[[en:Kernel parameters]]
[[es:Kernel parameters]]
[[zh-CN:Kernel parameters]]
カーネルの挙動を操作するために、カーネルにオプションを通すタイミングは3回あります:

# カーネルをビルドするとき。
# カーネルを起動するとき（普通、ブートローダから読み込まれた時）。
# 起動中（{{ic|/proc}} と {{ic|/sys}} にあるファイルを使う）。

このページでは2番目の場合について詳しく記述し、Arch Linux でよく使われるカーネルパラメータの一覧を示します。

== 設定 ==

{{Note|
* {{ic|$ cat /proc/cmdline}} を実行することで起動時のパラメータとあなたによって変更がされたかを確認できます。
* Arch Linux の [https://www.archlinuxjp.org/download/ インストールメディア] は [[Wikipedia:BIOS|BIOS]] 環境なら [[Syslinux]] を、[[UEFI]] 環境なら [[systemd-boot]] を使います。
}}

カーネルパラメータを設定するには、ブートメニューが出た時にそのメニューを編集して一時的にセットするのと、ブートローダの設定ファイルを修正する方法があります。

ここでは [[Syslinux]], [[systemd-boot]], [[GRUB]], [[GRUB Legacy]], [[LILO]] のそれぞれの場合に {{ic|quiet}} と {{ic|splash}} パラメータを加える方法を説明します。

=== Syslinux ===

* メニューが表示されたら {{ic|Tab}} を押してパラメータを文字列の最後に加える:

: {{bc|1=linux /boot/vmlinuz-linux root=/dev/sda3 initrd=/boot/initramfs-linux.img ''quiet splash''}}

: {{ic|Enter}} を押して加えたパラメータを使って起動します。

* 再起動後も変更を持続させるには、{{ic|/boot/syslinux/syslinux.cfg}} を開き、パラメータを {{ic|APPEND}} 行に加えます:

: {{bc|1=APPEND root=/dev/sda3 ''quiet splash''}}

Syslinux の設定について、詳しくは [[Syslinux]] を見て下さい。

=== systemd-boot ===

* メニューが表示されたら {{ic|e}} を押して一番末尾にパラメータを追加してください:

: {{bc|1=initrd=\initramfs-linux.img root=/dev/sda2 ''quiet splash''}}

: {{ic|Enter}} を押すと編集したパラメータで起動が開始されます。

{{Note|メニューのタイムアウト値を設定していない場合、起動時 systemd-boot のメニューが表示されるまで {{ic|Space}} を押し続ける必要があります。}}

* 再起動後も変更を永続的に適用するには、{{ic|/boot/loader/entries/arch.conf}} ([[ビギナーズガイド#UEFI マザーボードの場合|ビギナーズガイド]]の指示通りに [[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]] と設定ファイルを設定した場合) を編集して {{ic|options}} 行に以下を追加してください:

: {{bc|1=options root=/dev/sda2 ''quiet splash''}}

systemd-boot に関する詳細は [[systemd-boot]] の記事を見て下さい。

=== GRUB ===

* メニューが表示されたら {{ic|e}} を押しパラメータを {{ic|linux}} 行の後ろに加えます:

: {{bc|1=linux /boot/vmlinuz-linux root=UUID=978e3e81-8048-4ae1-8a06-aa727458e8ff ''quiet splash''}}

: {{ic|b}} を押して加えたパラメータを使って起動します。

* 再起動後も変更を持続させるには、{{ic|/boot/grub/grub.cfg}}　を開いて上と同じ行を編集することも''できますが''、初心者におすすめの方法は:

:{{ic|/etc/default/grub}} を開きカーネルオプションを {{ic|GRUB_CMDLINE_LINUX_DEFAULT}} 行に追加:

:: {{bc|1=GRUB_CMDLINE_LINUX_DEFAULT="''quiet splash''"}}

:そして {{ic|grub.cfg}} ファイルを自動生成します:

:: {{bc|# grub-mkconfig -o /boot/grub/grub.cfg}}

GRUB の設定について、詳しくは [[GRUB]] を見て下さい。

=== GRUB Legacy ===

* メニューが表示されたら {{ic|e}} を押しパラメータを {{ic|linux}} 行の後ろに加えます:

: {{bc|1=kernel /boot/vmlinuz-linux root=/dev/sda3 ''quiet splash''}}

: {{ic|b}} を押して加えたパラメータを使って起動します。

* 再起動後も変更を持続させるには、{{ic|/boot/grub/menu.lst}} を開いて上と同じように {{ic|kernel}} 行にパラメータを追加します。

GRUB Legacy の設定について詳しくは [[GRUB Legacy]] を見て下さい。

=== LILO ===

* パラメータを {{ic|/etc/lilo.conf}} に追加します:

: {{bc|<nowiki>
image=/boot/vmlinuz-linux
...
</nowiki>''quiet splash''}}

LILO の設定については [[LILO]] により多くの情報があります。

=== rEFInd ===

* 再起動後も変更を適用するには、{{ic|/boot/EFI/arch/refind_linux.conf}} を編集して、パラメータを全ての（もしくは必要な）行に追加してください、例えば:
: {{bc|1="Boot to X" "root=PARTUUID=978e3e81-8048-4ae1-8a06-aa727458e8ff ro rootfstype=ext4 quiet splash}}

* rEFInd で OS の自動検知を無効にしていて、代わりに {{ic|/boot/EFI/refind/refind.conf}} で OS を定義して OS をロードしている場合、以下のように編集することができます:
: {{bc|<nowiki>menuentry "Arch" {
loader /EFI/arch/vmlinuz-arch.efi
options "quiet splash ro root=PARTUUID=978e3e81-8048-4ae1-8a06-aa727458e8ff"</nowiki>}}

rEFInd でカーネルパラメータを設定する方法についての詳しい情報は以下を見て下さい
# [http://www.rodsbooks.com/refind/linux.html Configuring the rEFInd Bootmanager]
# [http://www.rodsbooks.com/refind/linux.html Methods of Booting Linux]

=== EFISTUB/efibootmgr ===

[[EFISTUB#ブートマネージャを使わずに直接起動する]] を見て下さい。

== パラメータ一覧 ==

パラメータは {{ic|parameter}} か {{ic|1=parameter=value}} という形式です。全てのパラメータは大文字・小文字を区別します。

{{Note|リストの全てのオプションが使えるとは限りません。ほとんどのパラメータはサブシステムと連携していて、カーネルをサブシステムと一緒に動作するよう設定した時にだけ働きます。また、特定のハードウェアに依存しているパラメータもあります。}}

{| class="wikitable"
!パラメータ!!説明
|-
|{{ic|1=root=}}|| Root ファイルシステム。
|-
|{{ic|1=ro}}|| 起動時に root デバイスを読み込み専用でマウント (デフォルト1)。
|-
|{{ic|1=rw}}|| 起動時に root デバイスを読み書き可能でマウント。
|-
|{{ic|1=initrd=}}|| initial ramdisk の場所を指定。
|-
|{{ic|1=init=}}|| init プロセスで {{ic|/sbin/init}} (Arch では [[systemd]] にリンクされています) の代わりに指定したバイナリを実行する。
|-
|{{ic|1=init=/bin/sh}}|| シェルで起動。
|-
|{{ic|1=systemd.unit=}}||
|-
|{{ic|1=systemd.unit=multi-user}}|| 指定したランレベルで起動。
|-
|{{ic|1=systemd.unit=rescue}}|| シングルユーザーモード (root) で起動
|-
|{{ic|nomodeset}}|| [[Kernel Mode Setting]] を無効にする
|-
| zswap.enabled || [[Zswap]] を有効化。
|-
| video=<videosetting> || フレームバッファのデフォルトビデオを上書き。
|}

1 [[ブートローダー]]によって {{ic|rw}} と {{ic|ro}} のどちらも設定されていないときは [[mkinitcpio]] はデフォルトの値として {{ic|ro}} を使用します。ブートローダは使用する値を設定することがあります。例えば GRUB はデフォルトで {{ic|rw}} を使用します ({{Bug|36275}} を参照)。

全てのオプションの一覧は、[https://www.kernel.org/doc/Documentation/kernel-parameters.txt カーネルのドキュメント]を見て下さい。

== 関連項目 ==

* [[sysctl]]
* [[省電力設定#カーネルパラメータ]]
* [http://files.kroah.com/lkn/lkn_pdf/ch09.pdf List of kernel parameters with further explanation and grouped by similar options]
* [https://www.kernel.org/doc/Documentation/kernel-parameters.txt Linux "Kernel Parameters" ドキュメント]

Cloud-init

2015-12-31T09:55:05Z

Aosho235: 英語版より翻訳

[[Category:Virtualization]]
[[Category:Networking]]
[[en:Cloud-init]]
Cloud-init はクラウドのインスタンスを最初に初期化するためのユーティリティからなるパッケージです。
[[OpenStack]] や [[AWS]] などのクラウドで起動するための Arch Linux イメージに入れる必要があります。

== インストール ==

[[公式リポジトリ]] から {{Pkg|cloud-init}} をインストールします。

== 設定 ==

クラウド用の Arch のイメージを準備するためには、いくつかのステップが必要になります:

* デフォルトユーザーを作成する。このユーザーでインスタンスにログインすることになります。ここでは {{ic|arch}} というユーザーを作成します。
* sudo をインストールし、デフォルトユーザーを sudo グループに追加します。これでスーパーユーザーとしてコマンドを実行できるようになります。
* デフォルトユーザーがパスワードなしで sudo できるようにします。
* インスタンスのメタ情報を引き出せるように cloud-init を設定します。以下のことが含まれますが、これだけに限られるわけではありません:
** {{ic|hostname}} をセットする
** {{ic|resolv.conf}} をセットする
** デフォルトユーザーの {{ic|~/.ssh/authorized_keys}} をセットする

cloud-init のメイン設定ファイルは {{ic|/etc/cloud/cloud.cfg}} です。{{ic|/etc/cloud/cloud.cfg.d}} に {{ic|*.cfg}} ファイルを置くと、これらも読み込まれます。

=== デフォルトユーザーの設定 ===

{{ic|/etc/cloud/cloud.cfg}} を編集して以下のようにします:

users:
- default

これによって {{ic|system_info}} > {{ic|default_user}} のユーザーがデフォルトユーザーになります。

system_info:
distro: arch
default_user:
name: arch
lock_passwd: True
gecos: Arch
groups: [adm, audio, cdrom, dialout, dip, floppy, netdev, plugdev, sudo, video]
sudo: ["ALL=(ALL) NOPASSWD:ALL"]
shell: /bin/bash

{{ic|system_info}} の中でディストロを "arch" と指定しています。これによって設定に {{ic|arch.py}} が使われるようになります。さらに以下の設定をしています:

* デフォルトユーザーの名前を {{ic|arch}} にする
* デフォルトユーザーのパスワードをロックする。これによって起動時に設定した SSH 鍵なしにログインできなくなる。
* デフォルトユーザーをグループ {{ic|adm}}, {{ic|audio}}, {{ic|cdrom}}, {{ic|dialout}}, {{ic|dip}}, {{ic|floppy}}, {{ic|netdev}}, {{ic|plugdev}}, {{ic|sudo}}, {{ic|video}} に追加する
* デフォルトユーザーをパスワードなしで sudo できるようにする
* デフォルトユーザーのシェルを {{ic|/bin/bash}} にする

=== root でのログインを禁止する ===

{{ic|/etc/cloud/cloud.cfg}} で次のように指定します:
disable_root: true

また、root ユーザーのパスワードを削除することもできます:
# passwd -d root

前のセクションでの設定が正しく動作することを確認できていない限り、これは実行しないでください。そうしないとインスタンスから完全に閉めだされてしまいます。

=== データソースの設定 ===

データソースは、起動時にどのようにインスタンスのメタ情報を引き出すかを定義します。
これはどのクラウド（OpenStack, AWS, OpenNebula など）を使うかによります。
内部では、これは共通のインターフェイスで定義されたいくつかのメソッドを実装しているモジュールに対応します。
{{ic|/etc/cloud/cloud.cfg}} を編集して以下のようにしてください:
datasource_list: [ NoCloud, ConfigDrive, OpenNebula, Azure, AltCloud, OVF, MAAS, GCE, OpenStack, CloudSigma, Ec2, CloudStack, None ]

これによって、インスタンスのメタ情報をダウンロードするときにどのモジュールを使うかを指定します。
状況に応じて、以下のように各データソースごとのパラメータを渡すこともできます:

{{bc|<nowiki>
datasource:
OpenStack:
metadata_urls: [ 'http://169.254.169.254:80' ]
dsmode: net
</nowiki>}}

上記の設定は、OpenStack データソースの場合に {{ic|<nowiki>http://169.254.169.254:80</nowiki>}} からメタデータをダウンロードするようにし、ネットワーク初期化の後に実行させるようにします。これはどちらもデフォルトの挙動であり、省略できます。

== cloud.cfg の他のセクション ==

{{ic|cloud.cfg}} には他にもいくつかのセクションがあり、 {{ic|cloud_init_modules}}, {{ic|cloud_config_modules}}, {{ic|cloud_final_modules}} などを含んでいます。これらはインスタンス初期化の各ステージにおいて実行されるモジュールを定義しています。

これらのモジュールは {{ic|/usr/lib/python2.7/site-packages/cloudinit/config/}} から動的にロードされ、起動時に実行されます。
独自のモジュールを定義して、毎回の起動時に例えば次のようなことをさせることもできます:

* ディスクをリサイズする
* パッケージをアップデートする

== Systemd との統合 ==

cloud-init は4個の systemd サービスと1個の systemd ターゲットを提供します。
これらが以下の順番で起動するように依存関係が構築されます:
* {{ic|cloud-init-local.service}}。ファイルシステムが立ち上がっていることを要求するだけ。{{ic|cloud-init init --local}} を実行する。
* {{ic|cloud-init.service}}。ネットワークが起動することを要求する。{{ic|cloud-init init}} を実行する。
* {{ic|cloud-config.target}}。Corresponds to the cloud-config upstart event "to inform third parties that cloud-config is available"
* {{ic|cloud-config.service}}. {{ic|cloud-init modules <nowiki>--mode=config</nowiki>}} を実行する。
* {{ic|cloud-final.service}}. {{ic|cloud-init modules <nowiki>--mode=final</nowiki>}} を実行する。

[[Arch_Linux_AMIs_for_Amazon_Web_Services|Uplink Labs EC2 images]] は上記の全てを有効にしています。もっともこれは依存関係のせいでやりすぎになっているようですが。

ビギナーズガイド

2015-12-28T21:27:59Z

Aosho235: /* ハードウェアクロック */

[[Category:Arch の入手とインストール]]
[[Category:Arch について]]
[[ar:Beginners' guide]]
[[bg:Beginners' guide]]
[[cs:Beginners' guide]]
[[da:Beginners' guide]]
[[de:Anleitung für Einsteiger]]
[[el:Beginners' guide]]
[[en:Beginners' guide]]
[[es:Beginners' guide]]
[[fa:راهنمای_تازه‌کاران]]
[[fr:Installation]]
[[he:Beginners' guide]]
[[hr:Beginners' guide]]
[[hu:Beginners' guide]]
[[id:Beginners' guide]]
[[it:Beginners' guide]]
[[ko:Beginners' guide]]
[[lt:Beginners' guide]]
[[nl:Beginners' guide]]
[[pl:Beginners' guide]]
[[pt:Beginners' guide]]
[[ro:Ghidul începătorilor]]
[[ru:Beginners' guide]]
[[sk:Beginners' guide]]
[[sr:Beginners' guide]]
[[sv:Nybörjarguiden]]
[[tr:Yeni başlayanlar rehberi]]
[[uk:Beginners' guide]]
[[zh-cn:Beginners' guide]]
[[zh-tw:Beginners' guide]]
{{Related articles start}}
{{Related|:カテゴリ:アクセシビリティ}}
{{Related|インストールガイド}}
{{Related|ディスクレスシステム}}
{{Related|SSH からインストール}}
{{Related|一般的な推奨事項}}
{{Related|一般的なトラブルシューティング}}
{{Related|ブートデバッグ}}
{{Related|pacman#トラブルシューティング}}
{{Related|pacman-key#トラブルシューティング}}
{{Related articles end}}

この文章では [https://projects.archlinux.org/arch-install-scripts.git/ Arch Install Scripts] を使って [[Arch Linux]] をインストールする方法を解説します。インストールする前に、[[FAQ]] を一読することをおすすめします。

コミュニティによって管理されている [[メインページ|ArchWiki]] は有用な資料であり、問題が発生したらまず wiki を読んでみましょう。wiki で答えが見つからないときは、[https://archlinuxjp-slack.herokuapp.com/ Slack] や [https://bbs.archlinuxjp.org/ フォーラム] を使って下さい。また、[[The Arch Way|Arch Way]] に従って、知らないコマンドの {{ic|man}} ページを見るようにしましょう。{{ic|man ''コマンド''}} で見ることができます。

== 動作環境 ==

Arch Linux は i686 互換の、最低 256MB の RAM を積んだマシンで動作します。また、基本的なインストールに必要な {{Grp|base}} グループに含まれる全てのパッケージをインストールするには約 800MB のディスク容量が必要です。使える容量が少ない場合、この数値をかなり切り詰めることが可能ですが、どうやるかは調べる必要があります。

== 最新のインストールメディアを準備する ==

Arch の公式インストールメディアは[https://www.archlinuxjp.org/download/ ダウンロードページ]から入手できます。ひとつの ISO で32ビットと64ビット両方のアーキテクチャをサポートしています。出来るだけ一番新しい ISO を使って下さい。

インストールイメージには署名がされており、使用する前に署名を検証するのが推奨されています (特に HTTP ミラーからダウンロードした場合)。[[GnuPG]] をインストールした環境で、ダウンロードした ''PGP 署名''を ISO のディレクトリに配置して、次を実行してください:
$ gpg --verify archlinux-<version>-dual.iso.sig
公開鍵が見つからない場合、{{ic|gpg --recv-keys ''key-id''}} で[[GnuPG#鍵のインポート|インポート]]できます [http://sparewotw.wordpress.com/2012/10/31/how-to-verify-signature-using-sig-file/]。もしくは、既存の Arch Linux 環境から次を実行:
$ pacman-key -v archlinux-<version>-dual.iso.sig
{{ic|md5}} と {{ic|sha1}} チェックサムはそれぞれ ''md5sum'' と ''sha256sum'' でチェックできます。

=== USB と光学ドライブ ===

[[光学ディスクドライブ#焼き込み]] (CD/DVD) や [[USB インストールメディア]] (USB) を見て下さい。

=== ネットワーク経由でのインストール ===

[[PXE]] の記事を参照してください。

=== 既存の Linux 環境からインストール ===

[[既存の Linux からインストール]]を見て下さい。[[VNC]] や [[SSH]] を使って Arch をリモートでインストールするときに特に便利です。[[SSH からインストール]]も参照。

=== 仮想マシンへのインストール ===

現在使用しているオペレーティングシステムを残したまま、[[Wikipedia:ja:仮想機械|仮想マシン]]上でインストール手順を実行することで、ストレージのパーティションを行う必要なく Arch Linux に慣れることができます。また、ブラウザでこのビギナーズガイドを開いたままインストールが可能です。独立した Arch Linux システムを使用できるということは、テストを行いたいという一部のユーザーにとって有益なことでしょう。

仮想化ソフトウェアの例としては、[[VirtualBox]], [[VMware]], [[QEMU]], [[Xen]], [[Parallels]] があります。

仮想マシンを準備するための正確な手順は、ソフトウェアによって異なりますが、一般的に次の手順に従います:

# オペレーティングシステムのホストにて、仮想ディスクイメージを作成します。
# 仮想マシンの設定を最適化します。
# 仮想 CD ドライブでダウンロードした ISO イメージを起動します。
# [[#インストールメディアの起動|インストールメディアの起動]]に進みます。

== インストールメディアの起動 ==

最初に、あなたのコンピュータの BIOS セットアップで起動順序を変更する必要があるかもしれません。それには、POST ([[Wikipedia:ja:Power On Self Test|Power On Self-Test]]) の間にキー (多くの場合 {{ic|Delete}}、{{ic|F1}}、{{ic|F2}}、{{ic|F11}} や {{ic|F12}}) を押します。これで BIOS の設定画面が表示されるので、ここでシステムが起動するデバイスを探す順番を設定できます。"Save & Exit" (もしくはそれに準ずるもの) を選択すればコンピュータは通常通り起動するはずです。

Arch のメニューが表示されたら、インストールを行うライブ環境を開始するために "Boot Arch Linux" をメニューから選択し、{{ic|Enter}} キーを押します (UEFI ブートディスクから起動した場合は、次のオプションを選択: "Arch Linux archiso x86_64 UEFI")。ブートエントリを編集することで様々なブートパラメータ ({{ic|copytoram}} など) を使うことができます。Syslinux では {{ic|tab}} を押し、systemd-boot では {{ic|e}} を押します。詳しくは [https://projects.archlinux.org/archiso.git/tree/docs/README.bootparams README.bootparams] を参照。

起動するとシェルプロンプトが表示され、root として自動的にログインが行われます。シェルは [[Zsh]] です。高度な [http://zsh.sourceforge.net/Guide/zshguide06.html タブ補完] など、[http://grml.org/zsh/ grml の設定] の機能が使用できます。テキストファイルを編集する時は、コンソールエディタの [[nano]] を使うことが推奨されています。使い方をよく知らない場合は、[[nano#nano の使用方法]] を見て下さい。Windows とのデュアルブートをする（もしくはそうすることを計画している）場合、[[Windows と Arch のデュアルブート]]を見て下さい。

=== UEFI モードでブートしているかどうかのテスト ===

{{Warning|将来を考えると EFI モードでインストールを行ったほうが望ましいのですが、初期の UEFI の実装には BIOS よりも大量のバグが存在しています。UEFI モードを使用する前にあなたの使用しているマザーボードのモデルについて検索をすることが推奨されます。}}

[[Unified Extensible Firmware Interface|UEFI]] マザーボードを使用していて、UEFI ブートモードが有効になっている (そしてそれが BIOS/Legacy モードよりも優先されている) 場合、CD/USB のインストールメディアは自動で [[systemd-boot]] を使って Arch Linux カーネルを起動します。そして以下のメニューが表示されます (黒地に白字)、最初のアイテムがハイライトされます:
{{bc|
Arch Linux archiso x86_64 UEFI USB
UEFI Shell x86_64 v1
UEFI Shell x86_64 v2
EFI Default Loader}}

UEFI モードで起動しているのか確認したい場合は、次を実行:

# efivar -l

''efivar'' が UEFI 変数を正しく表示したら、UEFI モードで起動されています。表示されない場合は [[Unified Extensible Firmware Interface#UEFI 変数のサポートを正しく動作させるための必要条件]] に記載されている全ての要件が満たされているか確認してください。

=== 起動時の問題のトラブルシューティング ===

* Intel のビデオチップセットを使用していて、ブート中にブランクスクリーン (画面が黒くなる) になった場合、おそらく Kernel Mode Setting ([[Kernel Mode Setting|KMS]]) に問題があります。回避策は、パソコンを再起動し、起動しようとしている項目 (i686 または x86_64) の上で、{{ic|Tab}} キーを押します。末尾に {{ic|nomodeset}} を追加し、{{ic|Enter}} キーを押します。または {{ic|1=video=SVIDEO-1:d}} (KMS は無効にされません) を設定します。もしくは、{{ic|i915.modeset<nowiki>=</nowiki>0}} を試して下さい。詳細は [[Intel Graphics|Intel]] ページを参照してください。

* ブランクスクリーンに''ならず''、カーネルのロード中に固まる場合は、{{ic|Tab}} キーをメニューの項目上で押し、末尾に {{ic|1=acpi=off}} を追加し、{{ic|Enter}} キーを押します。

== 言語の選択 ==

{{Tip|以下の設定は必須ではありません。設定ファイルをあなたの使う言語で書いたり、Wi-Fi パスワードで区別的発音符を使ったり、もしくはあなたの言語でシステムメッセージ(例えばエラー)を見たいときだけに役に立ちます。ここでの変更はインストールプロセスに''だけ''適用されます。}}

標準で、キーボードのレイアウトは {{ic|us}} に設定されています。もし、[[Wikipedia:File:KB United States-NoAltGr.svg|US]] キーボード以外のレイアウトを使用している場合は、

# loadkeys ''レイアウト名''

で変更できます。''レイアウト名''の部分は {{ic|jp106}}、{{ic|fr}}、{{ic|uk}}、{{ic|be-latin1}} などに置き換えます。[[コンソールでのキーボード設定#キーボードレイアウトの設定|ここ]]から一般的なレイアウトのリストを見ることができます。利用可能なキーマップを表示するには {{ic|localectl list-keymaps}} コマンドを使って下さい。

{{Warning|以下はフォントと言語の設定ですが、この段階では、日本語を表示することはできません。}}

フォントも変える必要があるかもしれません。ほとんどの言語は[[Wikipedia:ja:アルファベット|アルファベット]]の26字よりも多くの文字を使っているからです。さもなければ文字が□（豆腐）になったり全く異なって表示されることがあります。フォントの名前は大文字・小文字を区別するので、''正確に''入力してください:

# setfont lat9w-16

標準では、言語は英語 (US) に設定されています。インストール中の言語を変更したい場合 ''(例: 日本語)''、{{ic|/etc/locale.gen}} 内のあなたの設定したい[[ロケール]]の行と、英語 (US) の行から行頭の {{ic|#}} を削除します。{{ic|UTF-8}} を選択してください。

シンプルな Nano エディタで編集するには、{{ic|nano /etc/locale.gen}} と入力してください。{{ic|Ctrl+X}} で終了し、変更を保存するか聞かれたら {{ic|Y}} と、 {{ic|Enter}} を押せば同じファイル名で上書き保存します。

{{hc|# nano /etc/locale.gen|
en_US.UTF-8 UTF-8
ja_JP.UTF-8 UTF-8}}

# locale-gen
# export LANG=ja_JP.UTF-8

== インターネット接続の確立 ==

{{Warning|[http://cgit.freedesktop.org/systemd/systemd/tree/NEWS?id=dee4c244254bb49d1ffa8bd7171ae9cce596d2d0 v197] 以降、udev はネットワークインターフェースの名前を wlanX や ethX といった風に名づけません。あなたが他のディストリビューションを使っているなどの理由で、新しい命名規則を知らないのならば、あなたの無線インターフェースの名前が wlan0 だとか、有線インターフェースの名前が eth0 ではない可能性があることを予め覚えておいて下さい。{{ic|ip link}} コマンドでインターフェースの名前を調べることができます。}}

{{ic|dhcpcd}} ネットワークデーモンはブート時に自動で起動して、可能であれば有線での接続を試みます。接続できているかウェブサイトに ping をして確かめて下さい。例えば Google のサーバーに ping します:

{{hc|# ping -c 3 www.google.com|2=
PING www.l.google.com (74.125.132.105) 56(84) bytes of data.
64 bytes from wb-in-f105.1e100.net (74.125.132.105): icmp_req=1 ttl=50 time=17.0 ms
64 bytes from wb-in-f105.1e100.net (74.125.132.105): icmp_req=2 ttl=50 time=18.2 ms
64 bytes from wb-in-f105.1e100.net (74.125.132.105): icmp_req=3 ttl=50 time=16.6 ms

--- www.l.google.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 16.660/17.320/18.254/0.678 ms}}

{{ic|ping: unknown host}} のエラーが出た場合は下に記述されている方法を試して手動で接続をセットアップする必要があります。ネットワークへの接続が問題ないようでしたら、[[#ドライブの準備|ドライブの準備]]へ進んでください。

=== 有線 ===

固定 IP アドレスを使用して有線の接続をセットアップする場合は次の手順に従ってください。

あなたのイーサネットインターフェースの名前を確かめて下さい:

{{hc|# ip link|
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: enp2s0f0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT qlen 1000
link/ether 00:11:25:31:69:20 brd ff:ff:ff:ff:ff:ff
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DORMANT qlen 1000
link/ether 01:02:03:04:05:06 brd ff:ff:ff:ff:ff:ff}}

上記の例の場合、イーサネットインターフェースは {{ic|enp2s0f0}} です。よくわからない場合、あなたのイーサネットインターフェースはおそらく "e" から始まっているインターフェイスです。"w" で始まっているものや "lo" ではないということです。

[[ネットワーク設定#固定 IP アドレス]]を見て必要な設定を確認してください。{{ic|/etc/dhcpcd.conf}} に以下のような設定を使って、dhcpcd の static プロファイルを設定します:

interface enp2s0f0
static ip_address=192.168.0.10/24
static routers=192.168.0.1
static domain_name_servers=192.168.0.1 8.8.8.8

{{ic|dhcpcd.service}} を再起動してください:

# systemctl restart dhcpcd.service

これでネットワークに接続されるはずです。されない場合は、[[ネットワーク設定]]のページを見て下さい。

=== 無線 ===

{{Warning|(CD・USB スティックの) ライブ環境では、(ワイヤレスカードを使うのに必要な) ワイヤレスチップセットのファームウェアのパッケージは {{ic|/usr/lib/firmware}} の下にあらかじめインストールされていますが、再起動後にも無線を使うには、ユーザーがちゃんとパッケージをインストールする必要があります。パッケージのインストールはこのガイドの後ろで触れています。再起動する前にワイヤレスモジュール・ファームウェアを必ずインストールしてください。もし、あなたのチップセットがファームウェアのインストールを必要としているか不明な場合は[[ワイヤレス設定]]を見て下さい。}}

[[netctl]] の {{ic|wifi-menu}} を使いネットワークに接続します:

# wifi-menu

コンピュータに接続されている Wi-Fi デバイスが一つしかない (ノートパソコンなど) 場合は wifi ネットワークのメニューが表示されます。

コンピュータに複数の Wi-Fi デバイスが存在するときは、そのどれか一つを選択して ''wifi-menu'' にインターフェイスの名前を指定する必要があります。まず、インターフェイスの名前を確かめて下さい:

{{hc|# iw dev|2=
phy#0
Interface wlp3s0
ifindex 3
wdev 0x1
addr 00:11:22:33:44:55
type managed
}}

上の例では、{{ic|wlp3s0}} が有効なワイヤレスインターフェースです。どれかわからないときは、おそらく "w" から始まるのがあなたのワイヤレスインターフェースです。"lo" や "e" から始まるインターフェースは違います。

インターフェイスの名前がわかったら、インターフェイスの名前を指定して ''wifi-menu'' を起動します:

# wifi-menu wlp3s0

ユーザー名やパスワードの設定を必要とするネットワークを使う場合は [[WPA2 Enterprise#netctl]] にあるサンプル設定を見て下さい。

これでネットワークは有効になるはずです。接続されないときは、下の [[#wifi-menu を使わない方法|wifi-menu を使わない方法]]や、詳しい説明が載っている[[ワイヤレス設定]]を見て下さい。

==== wifi-menu を使わない方法 ====

インターフェースを立ち上げます:

# ip link set wlp3s0 up

インターフェイスが立ち上がっているか確認するには、次のコマンドの出力を見て下さい:

{{hc|# ip link show wlp3s0|
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state DOWN mode DORMANT group default qlen 1000
link/ether 00:11:22:33:44:55 brd ff:ff:ff:ff:ff:ff
}}

{{ic|<BROADCAST,MULTICAST,UP,LOWER_UP>}} の中にある {{ic|UP}} がインターフェイスが立ち上がっている印です。後ろの {{ic|state DOWN}} は違います。

ほとんどのワイヤレスチップセットには、対応するドライバに加えて、ファームウェアが必要です。カーネルが自動で検知してロードを試みます。{{ic|SIOCSIFFLAGS: No such file or directory}} のようなエラーが出た場合、ファームウェアを手動でロードする必要があることを意味しています。必要なファームウェアがわからないときは、{{ic|dmesg}} を使いカーネルログからワイヤレスチップセットのファームウェア要求をさがします。例えば、カーネルの起動時に Intel チップセットが出力するファームウェア要求の例:

{{hc|# dmesg <nowiki>|</nowiki> grep firmware|
firmware: requesting iwlwifi-5000-1.ucode}}

なにも表示されないなら、あなたのワイヤレスチップセットにはファームウェアが要らないと判断できます。

{{ic|iw dev wlp3s0 scan <nowiki>|</nowiki> grep SSID}} を使って利用可能なネットワークをスキャンして、それからネットワークに接続してください:

# wpa_supplicant -B -i wlp3s0 -c <(wpa_passphrase "''ssid''" "''psk''")

''ssid'' はネットワークの名前に (例: "Linksys etc...")、''psk'' はパスワードに置き換える必要があります (ネットワークの名前とパスワードを囲っているダブルクォートは消さないで下さい, 例: ネットワークのパスワードが dog の場合、"dog" と入力)。

最後に、インターフェースに IP アドレスを与える必要があります。手動で設定するか dhcp を使ってこれを行なって下さい:
# dhcpcd wlp3s0

上のコマンドでうまくいかない場合、以下のコマンドを実行してください:

# echo 'ctrl_interface=DIR=/run/wpa_supplicant' > /etc/wpa_supplicant.conf
# wpa_passphrase <ssid> <passphrase> >> /etc/wpa_supplicant.conf
# ip link set <interface> up # May not be needed, but does no harm in any case
# wpa_supplicant -B -D nl80211 -c /etc/wpa_supplicant.conf -i <interface name>
# dhcpcd -A <interface name>

=== アナログモデム, ISDN, PPPoE DSL ===

xDSL・ダイアルアップ・ISDN接続については、[[モデムに直接接続]]を見て下さい。

=== プロキシサーバを使う ===

プロキシサーバを使うには、{{ic|http_proxy}}, {{ic|ftp_proxy}} 環境変数を設定しなくてはなりません。詳しい情報は[[プロキシ設定]]を見て下さい。

== 時計を合わせる ==

[[systemd-timesyncd]] を使ってシステムクロックを正確な時刻に合わせて下さい。起動するには:
# timedatectl set-ntp true

サービスの状態を確認したいときは {{ic|timedatectl status}} を使って下さい。

詳しくは、[[時刻]]を参照。

== ドライブの準備 ==

{{Warning|
* パーティショニングを行うと既存のデータが消去されます。実施する前に、必要なデータはバックアップしてください。
* UEFI/GPT 環境でインストールした Windows とデュアルブートしたい場合、Windows を起動するのに必要な Windows の ''.efi'' ファイルが含まれている UEFI パーティションを再フォーマットしてはいけません。さらに、Arch のブートモードとパーティションの組み合わせを Windows と同一に設定する必要があります。[[Windows と Arch のデュアルブート#重要情報]]を参照。
}}

このステップでは、新しいシステムをインストールするためにストレージデバイスの準備を行います。詳しい情報は[[パーティショニング]]を見て下さい。

[[LVM]], [[ディスク暗号化]], [[RAID]] などのスタックブロックデバイスを作成したい場合は、この段階で行います。USB フラッシュキーにインストールする場合は、[[USB キーに Arch Linux をインストール]]を見て下さい。

=== デバイスの確認 ===

まず新しいシステムをインストールするデバイスを確認します。次のコマンドを実行すると全てのデバイスが表示されます:

# lsblk

このコマンドはシステムに接続されたデバイスとパーティションを表示しますが、Arch インストールメディアを起動するのに使われているデバイスも含まれています。したがって、どのデバイスでもインストールが行えるというわけではありません。不必要なデバイスを表示しないようにするには、以下のようにコマンドを実行します:

# lsblk | grep -v "rom\|loop\|airoot"

デバイス (ハードディスク) は {{ic|sd''x''}} と示されます。{{ic|''x''}} は {{ic|a}} から始まる小文字のアルファベットで、一番目のデバイスは {{ic|sda}}、二番目のデバイスは {{ic|sdb}} と割り当てられます。既存のパーティションは {{ic|sd''xY''}} と示され、{{ic|''Y''}} は {{ic|1}} から始まる数字です。一番目のパーティションは {{ic|1}}、二番目のパーティションは {{ic|2}} と続きます。下の例では、一つのデバイスが存在し ({{ic|sda}})、一つのパーティションが使われています ({{ic|sda1}}):

NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 80G 0 disk
└─sda1 8:1 0 80G 0 part

パーティションテーブル、パーティション、ファイルシステムでは {{ic|sd''xY''}} という名前を例として使います。あくまでこの名前は例なので、実際にコマンドを実行したりするときは、デバイスの名前とパーティションの番号を変える必要があります。コマンドをコピーしてそのまま貼り付けても動作しません。

パーティションをそのまま変更しない場合は、[[#ファイルシステムの作成|ファイルシステムの作成]]まで進んでください。パーティショニングを行う場合は、次のセクションを読んで下さい。

=== パーティションテーブルのタイプの選択 ===

既に何らかの OS がインストールされているところに Arch をインストールする場合、既存のパーティションテーブルを使用します。デバイスがパーティショニングされてなかったり、現在のパーティションテーブルを変更する必要があるときは、まず使用されているパーティションテーブルを確認しなくてはなりません。

パーティションテーブルには2種類あります:

* [[Master Boot Record|MBR]]
* [[GUID Partition Table|GPT]]

既存のパーティションテーブルは、次のコマンドを実行することで確認できます:

# parted /dev/sd''x'' print

=== パーティショニングツール ===

{{Warning|使用しているパーティショニングテーブルと互換性がないパーティショニングツールを使ってしまうと、テーブルが破壊されて、既存のパーティションやデータが消えてしまいます。}}

デバイスをパーティショニングするには、使用されるパーティションテーブルにあわせて適切なツールを選ぶ必要があります。Arch のインストールメディアには複数のパーティショニングツールが入っています:

* [[parted]]: GPT と MBR
* [[パーティショニング#Fdisk の使い方|fdisk]], '''cfdisk''', '''sfdisk''': GPT と MBR
* [[パーティショニング#Gdisk の使い方|gdisk]], '''cgdisk''', '''sgdisk''': GPT

Arch のインストールメディアを起動する前に、他のライブ環境に付属しているパーティションツールを使って、デバイスを予めパーティショニングしておくことも可能です。初心者にとっては [[GParted]] などのグラフィカルなパーティショニングツールが使いやすいでしょう。GParted には [http://gparted.sourceforge.net/livecd.php ライブ CD] が存在し、MBR と GPT の両方のパーティションテーブルで動作します。

==== インタラクティブモードの parted を使用する ====

以下で示す例では BIOS/MBR と UEFI/GPT の両方で用いることができる ''parted'' を使っています。''parted'' は''インタラクティブモード''で起動して、指定したデバイスに全てのパーティショニングコマンドを自動的に適用することで、不必要な繰り返しを避けます。

デバイスの操作を開始するには、次を実行:

# parted /dev/sd''x''

コマンドラインプロンプトがハッシュ ({{ic|#}}) から {{ic|(parted)}} に変わります。

利用できるコマンドのリストを表示するには、次を入力:

(parted) help

パーティションの操作が完了した場合は、次のコマンドで parted を終了します:

(parted) quit

終了後、コマンドラインプロンプトは {{ic|#}} に戻ります。

=== 新しいパーティションテーブルの作成 ===

パーティションテーブルのタイプを変更したい場合や、デバイスがまだパーティションされていない場合、パーティションテーブルの（再）作成が必要です。デバイスのパーティションテーブルの再作成はパーティションスキームを最初からやり直したい場合にも有用です。

{{Warning|
* UEFI/GPT で Windows がインストールされている環境でデュアルブートをしたい場合は、パーティションテーブルを消去しないでください。パーティションテーブルを消去すると、Windows を起動するのに必要な ''.efi'' ファイルが入っている UEFI パーティションを含め、デバイス上の既存のデータが全て削除されます。
* MBR は BIOS 環境で使用するように作られており、GPT は UEFI と一緒に使われることが想定されています。ハードウェアと互換性がない機能や制限があるため、この組み合わせを使わないというのは初心者にはおすすめできません (例: MBR は 2 TiB 以上のデバイスを扱えません) [https://www.happyassassin.net/2014/01/25/uefi-boot-how-does-that-actually-work-then/]。何らかの理由でこの組み合わせを使いたくないという場合は、[http://mjg59.dreamwidth.org/8035.html] や [http://rodsbooks.com/gdisk/bios.html] に詳しい情報や対処方法が載っています。}}

パーティションテーブルを（再）作成するデバイスを次のコマンドで開いてください:

# parted /dev/sd''x''

そして BIOS 環境の場合、MBR/msdos パーティションテーブルを新しく作成するために、次のコマンドを実行します:

(parted) mklabel msdos

UEFI 環境で GPT パーティションテーブルを新しく作成するには、次のコマンドを使います:

(parted) mklabel gpt

=== パーティションスキーム ===

ディスクをいくつのパーティションに分けるか決めて、それぞれのパーティションにシステム上のディレクトリを割り振ることができます。パーティションからディレクトリへのマッピング (しばしば 'マウントポイント' と呼ばれます) が[[パーティショニング#パーティション形態|パーティションスキーム]]になります。パーティションスキームは以下の要件を満たさなければなりません:

* 少なくとも {{ic|/}} (''root'') ディレクトリのパーティションは必ず作成する必要があります。
* マザーボードのファームウェアインターフェイスや、選択した[[#パーティションテーブルのタイプの選択|パーティションテーブルのタイプ]]によって、また、時には選択した[[ブートローダー]]にあわせて、以下のパーティションを追加で作成する必要が出てきます:
** '''BIOS/MBR''': 追加のパーティションは必要ありません。
** '''BIOS/GPT''':
*** [[Syslinux]] を使用する場合: 追加のパーティションは必要ありません。
*** [[GRUB]] を使用する場合: タイプが {{ic|EF02}} で容量が 1MiB または 2MiB の [[GRUB#GUID Partition Table (GPT) 特有の手順|BIOS Boot Partition]]。
** '''UEFI/GPT''': [[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]]。
** '''UEFI/MBR''': [[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]]。

以下の例では、新しい、連続するパーティションスキームを1つのデバイスに適用します。任意の {{ic|/boot}} や {{ic|/home}} ディレクトリのパーティションも作成しています。それぞれのディレクトリの目的については [[Arch ファイルシステム階層]]を見て下さい。{{ic|/boot}} や {{ic|/home}} などのディレクトリのパーティションを別に作成しない場合、{{ic|/}} パーティションに含まれることになります。また、[[スワップ|スワップ領域]]用のパーティションについても説明します。

''parted'' のインタラクティブセッションをまだ開いてない場合は、パーティションするデバイスを指定して起動してください:

# parted /dev/sd''x''

次のコマンドを使用してパーティションを作成します:

(parted) mkpart ''part-type'' ''fs-type'' ''start'' ''end''

* {{ic|''part-type''}} は {{ic|primary}}, {{ic|extended}}, {{ic|logical}} のうちどれか一つから選びます。MBR パーティションテーブルでのみ意味があります。
* {{ic|''fs-type''}} は [http://www.gnu.org/software/parted/manual/parted.html#mkpart マニュアル] に記載されているサポートがあるファイルシステムの中から選びます。パーティションは[[#ファイルシステムの作成|ファイルシステム作成]]でフォーマットします。
* {{ic|''start''}} はデバイスの先頭からのパーティションの開始位置です。[http://www.gnu.org/software/parted/manual/parted.html#unit 単位] をつけた数値で指定し、例えば {{ic|1M}} なら 1MiB が開始位置になります。
* {{ic|''end''}} はデバイスの先頭からのパーティションの終末位置です ({{ic|''start''}} から計算するわけではありません)。{{ic|''start''}} と同じ構文を使うことができ、例えば {{ic|100%}} と指定するとデバイスの終端を意味します (残り領域全てを使う)。

{{Warning|パーティションは重ならないように注意してください。デバイスに未使用のスペースを残さないようにするには、それぞれのパーティションが前のパーティションの終末から開始するようにしてください。}}

{{Note|''parted'' は以下のような警告を表示することがあります:

Warning: The resulting partition is not properly aligned for best performance.
Ignore/Cancel?

この表示がでたときは、[[パーティショニング#パーティションアライメント]]を見て [[GNU Parted#アライメント]] にしたがって修正してください。}}

{{ic|/boot}} ディレクトリを含むパーティションが起動できるようにフラグを立てるには次のコマンドを使います:

(parted) set ''partition'' boot on

* {{ic|''partition''}} はフラグを立てるパーティションの番号に置き換えて下さい ({{ic|print}} コマンドの出力を参照しましょう)。

==== UEFI/GPT の例 ====

どんなふうにパーティショニングするにせよ、特別な [[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]] が必要になります。

{{Warning|UEFI/GPT で Windows がインストールされている環境でデュアルブートをしたい場合は、既存の UEFI パーティションを消去しないでください。このパーティションを消去すると、Windows を起動するのに必要な ''.efi'' ファイルが削除されてしまいます。}}

新しく EFI System Partition を作成する場合は、以下のコマンドを使って下さい (推奨される容量は 512MiB です):

(parted) mkpart ESP fat32 1MiB 513MiB
(parted) set 1 boot on

あとのパーティションスキームはあなたが自由に決めて下さい。残りのスペースを全て使用する単一のパーティションを作るには:

(parted) mkpart primary ext4 513MiB 100%

{{ic|/}} (20GiB) と {{ic|/home}} (残り容量全てを使用) パーティションを作るには:

(parted) mkpart primary ext4 513MiB 20.5GiB
(parted) mkpart primary ext4 20.5GiB 100%

{{ic|/}} (20GiB), スワップ (4GiB), {{ic|/home}} (残り容量全てを使用) パーティションを作成するには:

(parted) mkpart primary ext4 513MiB 20.5GiB
(parted) mkpart primary linux-swap 20.5GiB 24.5GiB
(parted) mkpart primary ext4 24.5GiB 100%

==== BIOS/MBR の例 ====

ディスク容量を全て使用する単一のプライマリパーティションを作成するには、以下のコマンドを使用します:

(parted) mkpart primary ext4 1MiB 100%
(parted) set 1 boot on

以下の例では、20GiB の {{ic|/}} パーティションを作成してから、残り容量を全て使用する {{ic|/home}} パーティションを作成します:

(parted) mkpart primary ext4 1MiB 20GiB
(parted) set 1 boot on
(parted) mkpart primary ext4 20GiB 100%

以下の例では {{ic|/boot}} (100MiB), {{ic|/}} (20GiB), スワップ (4GiB), {{ic|/home}} (残り容量全てを使用) パーティションを作成します:

(parted) mkpart primary ext4 1MiB 100MiB
(parted) set 1 boot on
(parted) mkpart primary ext4 100MiB 20GiB
(parted) mkpart primary linux-swap 20GiB 24GiB
(parted) mkpart primary ext4 24GiB 100%

=== ファイルシステムの作成 ===

パーティショニングはまだ終わっていません。パーティションには[[ファイルシステム]]が必要です（ただしスワップパーティションには要りません）。インストール先のデバイスに存在するパーティションを確認するには次のコマンドを使用:

# lsblk /dev/sd''x''

下に書かれている注意点を除いて、基本的には {{ic|ext4}} ファイルシステムを使うことを推奨します:

# mkfs.ext4 /dev/sd''xY''

{{Warning|UEFI/GPT で Windows がインストールされている環境でデュアルブートをしたい場合は、UEFI パーティションをフォーマットしないでください。フォーマットしてしまうと、Windows を起動するのに必要な ''.efi'' ファイルが入っている UEFI パーティションのデータが全て削除されます。}}

UEFI/GPT 環境で新しく UEFI システムパーティションを作成した場合は、UEFI パーティションを {{ic|fat32}} または {{ic|vfat32}} ファイルシステムでフォーマットしてください。これを行っておかないと起動できなくなります:
# mkfs.vfat -F32 /dev/sd''xY''
{{Note|BIOS/GPT 環境で [[GRUB]] を使用する場合、[[GRUB#GUID Partition Table (GPT) 特有の手順|BIOS Boot Partition]] は {{ic|/boot}} マウントポイントと関係ないので注意してください。このパーティションは GRUB によって直接使用されます。BIOS Boot Partition にファイルシステムを作成したり、マウントしたりしてはいけません。}}

=== スワップの有効化 ===

スワップパーティションを作成した場合は、以下のコマンドで有効化する必要があります:

# mkswap /dev/sd''xY''
# swapon /dev/sd''xY''

=== パーティションのマウント ===

{{Note|ここではスワップパーティションをマウントしないでください。}}

まず最初に {{ic|/}} (root) パーティションをマウントしてください。{{ic|/boot}} や {{ic|/home}} などのディレクトリは root ファイルシステムに作成する必要があるためです。ライブ環境の {{ic|/mnt}} ディレクトリを使用して root パーティションをマウントします。他のパーティションはそこをベースにします。root パーティションの名前が {{ic|sd''xR''}} なら、次のコマンドを実行:

# mount /dev/sd''xR'' /mnt

{{ic|/}} パーティションをマウントしたら、他のパーティションをマウントすることができます。順番は気にしなくて結構です。手順としてはまずマウントポイントを作成し、それからパーティションをそのマウントポイントにマウントします。{{ic|/boot}} パーティションを作成していたのならば:

# mkdir -p /mnt/boot
# mount /dev/sd''xB'' /mnt/boot

UEFI/GPT 環境の場合、EFI システムパーティションも {{ic|/boot}} にマウントすることを推奨します。他のマウントポイントを使いたいときは、[[EFISTUB]] の記事を見て下さい。

{{ic|/home}} パーティションを使用する場合:

# mkdir -p /mnt/home
# mount /dev/sd''xH'' /mnt/home

全てのパーティションをマウントしたら、デバイスの準備は完了で Arch をインストールできます。

== ミラーの選択 ==

インストールの前に、{{ic|mirrorlist}} ファイルを編集し、あなたに相応しいミラーを一番上に置きましょう。このファイルのコピーが {{ic|pacstrap}} によってインストールされ、新しいシステム上でも選択したミラーが使われます。

{{hc|# nano /etc/pacman.d/mirrorlist|
##
## Arch Linux repository mirrorlist
## Sorted by mirror score from mirror status page
## Generated on YYYY-MM-DD
##

<nowiki>Server = http://ftp.jaist.ac.jp/pub/Linux/ArchLinux/$repo/os/$arch</nowiki>
...}}

* {{ic|Alt+6}} で {{ic|Server}} 行をコピー。
* {{ic|PageUp}} キーで上にスクロール。
* {{ic|Ctrl+U}} でリストの一番上にペースト。
* {{ic|Ctrl+X}} で終了、保存するか聞かれたら、{{ic|Y}} を押し {{ic|Enter}} で上書き保存。

他のミラーを消去 ({{ic|Ctrl+K}} を使う) してミラーを''ひとつだけに''絞ることもできますが、そのミラーがオフラインになったときのことを考え、ミラーを複数使用するほうが良いでしょう。

{{Tip|
* [https://www.archlinux.org/mirrorlist/ Mirrorlist Generator] を使って、あなたの国の最新リストを入手できます。[[Wikipedia:Keepalive|keepalive]] が存在するため、HTTP ミラーのほうが FTP よりも速度が速いです。また FTP では、pacman はパッケージをダウンロードするごとにシグナルを送信しなくてはならないため、短い停止がはさまります。ミラーリストを作る他の方法を見るには、[[ミラー#ミラーをソートする|ミラーのソート]]と [[Reflector]] を参照してください。
* [https://archlinux.org/mirrors/status/ Arch Linux MirrorStatus] ではミラーの状況、たとえばネットワークエラー、データ収集エラー、最終同期時間などの様々な情報を見ることができます。}}

{{Note|
* 将来、ミラーリストを変更したときは必ず、{{ic|pacman -Syyu}} で pacman の全てのパッケージリストを更新することを覚えておいて下さい。これは良い経験則と考えられており、問題の回避につながります。詳しくは[[ミラー]]を参照。
* 古いインストールメディアを使っている場合、ミラーリストが古くなっているかもしれません。そのために Arch Linux のアップデート時に問題を引き起こす可能性があります。({{Bug|22510}} を参照)。上で述べたようにして最新のミラー情報を入手するべきです。}}

== ベースシステムのインストール ==

''pacstrap'' スクリプトを使ってベースシステムをインストールします。インストールするパッケージを選択せず、{{Grp|base}} の全てのパッケージをインストールするときは、{{ic|-i}} スイッチを省いて下さい。[[AUR]] や [[ABS]] でパッケージをビルドするときのために、{{Grp|base-devel}} グループも必要になります。

# pacstrap -i /mnt base base-devel

ライブ環境に含まれているツールの中には base グループに含まれていないものもあります ([https://projects.archlinux.org/archiso.git/tree/configs/releng/packages.both packages.both] を参照)。パッケージは後で ''pacman'' を使って[[インストール]]することもできますが、''pacstrap'' コマンドにパッケージの名前を追加することでこの場でインストールすることもできます。

{{Note|
* ミラーを正しく設定しているのに、''pacstrap'' が {{ic|error: failed retrieving file 'core.db' from mirror... : Connection time-out}} で止まる場合は、他の[[Resolv.conf|ネームサーバ]]を設定してみてください。
* ベースパッケージのインストール中に PGP 鍵のインポートをリクエストされたら、鍵のダウンロードを承認して先に進んで下さい。これは古い Arch ISO を使っていると発生します。PGP 鍵を追加できないときは、次のようにして {{Pkg|archlinux-keyring}} パッケージを更新してみてください: {{ic|pacman -S archlinux-keyring}}。詳しくは [[Pacman#トラブルシューティング]] や [[Pacman-key#トラブルシューティング]] を見て下さい。
}}

== fstab の生成 ==

以下のコマンドで [[fstab]] ファイルを生成します。いくつか有利な点がある UUID が使われます ([[fstab#ファイルシステムの識別]] を参照)。UUID ではなくラベルを使いたいときは、{{ic|-U}} オプションを {{ic|-L}} に置き換えましょう。

# genfstab -U /mnt > /mnt/etc/fstab
# cat /mnt/etc/fstab

{{Warning|生成したあとは必ず {{ic|fstab}} の中身をチェックしましょう。''genfstab'' や後のインストール作業中にエラーが起こっても、もう一度 ''genfstab'' を実行するのはやめてください。その場合は手動で {{ic|fstab}} ファイルを編集して下さい。}}

最後のフィールドには起動時にチェックするパーティションの順番を設定します: ({{ic|btrfs}} 以外では) root パーティションに {{ic|1}} を使って下さい、最初にチェックされます。起動時にチェックしたい他のパーティションには {{ic|2}} を使って下さい、{{ic|0}} はチェックされません ([[fstab#フィールドの定義]] を参照)。[[btrfs]] のパーティションには全て {{ic|0}} を使う必要があります。スワップパーティションも {{ic|0}} に設定してください。

== Chroot とベースシステムの設定 ==

次に、[[Change Root|chroot]] を使って新しくインストールされたシステムに入ります:

# arch-chroot /mnt /bin/bash

この段階では、Arch Linux ベースシステムの重要な設定ファイルを作ります。ファイルが存在していないときや、デフォルト設定を使いたくないときは、その都度ファイルを作成したり編集してください。

正確に、手順をよく踏まえてから設定してください。システムを正しく設定するのにとても重要なステップです。

{{Warning|ISO で使用しているツールは自動的にインストールされるわけではありません。例えば、インストールの一環としてネットワークに接続するために ''wifi-menu'' を使っている場合、インストールを完了した後も ''wifi-menu'' を使うためには、{{Pkg|dialog}} をインストールしておく必要があります。以下のセクションではそういったケースについて説明をしているので、後で困った事態にならないようにちゃんと指示に従って下さい。}}

=== ロケール ===

ロケールを設定することによって、{{Pkg|glibc}} やその他のロケールを使うプログラムやライブラリで、テキストのレンダリング、正しい通貨単位の表示、時間と月日のフォーマット、アルファベットの特有表現、地域特有の単位の表示などができるようになります。

2つのファイルを編集する必要があります: 使用可能なロケールを記述する {{ic|locale.gen}} と実際に使用するロケールを定義する {{ic|locale.conf}}。

{{ic|locale.gen}} ファイルはデフォルトでは全てコメントアウト ({{ic|#}} で無効化) されています。{{ic|en_US.UTF-8 UTF-8}} の行と、必要なロケールをアンコメント (行の前の {{ic|#}} を削除) してください。選択肢がいくつかある場合 {{ic|UTF-8}} を推奨します。

{{hc|# nano /etc/locale.gen|
...
#en_SG ISO-8859-1
en_US.UTF-8 UTF-8
#en_US ISO-8859-1
...
#ja_JP.EUC-JP EUC-JP
ja_JP.UTF-8 UTF-8
#ka_GE.UTF-8 UTF-8
...
}}

ロケールは有効にする前に、''生成''する必要があります:

# locale-gen

{{ic|locale.conf}} ファイルはデフォルトで存在しません。ファイルを作成して、他の全ての変数のデフォルト値として扱われる {{ic|LANG}} のみ設定してください。{{ic|LANG}} 変数に指定するロケールは {{ic|/etc/locale.gen}} でアンコメントされている必要があります:

# echo LANG=''en_US.UTF-8'' > /etc/locale.conf

ロケールを export してください:

# export LANG=''en_US.UTF-8''

{{Tip|
* この段階でロケールを日本語に設定してしまうと、日本語を表示するためのフォントなどの環境が整っていないため、コンソールの出力が文字化けして判読できなくなってしまいます。GUI 環境を設定してから、以下を実行することで言語を日本語に設定できます:
# echo LANG<nowiki>=</nowiki>''ja_JP.UTF-8'' > /etc/locale.conf
# export LANG<nowiki>=</nowiki>''ja_JP.UTF-8''
* システム全体のロケールを {{ic|en_US.UTF-8}} に設定してシステムログを英語で保存するとトラブルシューティングが楽になります。この設定は[[ロケール#ユーザーごとにロケールを設定]]で書かれているようにしてユーザー個別で上書きできます。
* 他の {{ic|LC_*}} 変数を使いたいときは、まず {{ic|locale}} を実行してオプションを確認してから、{{ic|locale.conf}} に追加してください。{{ic|LC_ALL}} 変数を使うことは推奨されません。詳しくは[[ロケール]]を参照してください。
}}

=== コンソールフォントとキーマップ ===

[[#言語の選択|言語の選択]]でデフォルトのキーマップとフォントを変更していた場合、再起動後もキーマップ設定が適用されるように、{{ic|/etc/vconsole.conf}} を編集 (ファイルがなかったら作成) してください:

{{hc|# nano /etc/vconsole.conf|2=
KEYMAP=''jp106''
FONT=''lat9w-16''
}}

詳しくは[[フォント#コンソールフォント|コンソールフォント]]や {{ic|man vconsole.conf}} を参照。

{{Warning|{{ic|KEYMAP}} を最初に ''loadkeys'' で設定した値と異なる値に設定してから、[[#root パスワードの設定|root パスワードを設定]]してしまうと、新しいシステムにログインするときにキーマップが変わっていてログインできなくなる可能性があります。}}

以上の設定は仮想端末においてのみ適用されます。[[Xorg]] ではまた異なる設定をする必要があります。詳しくは[[フォント#コンソールフォント]]を見て下さい。

=== タイムゾーン ===

利用可能なタイムゾーンとサブゾーンは {{ic|/usr/share/zoneinfo/''ゾーン''/''サブゾーン''}} ディレクトリで見つかります。{{ic|ls}} コマンドでゾーンの一覧を表示できます:
$ ls -l /usr/share/zoneinfo

{{Tip|[http://tldp.org/LDP/abs/html/tabexpansion.html タブ補完] を使うことでも利用できるゾーンとサブゾーンを表示できます。}}

{{ic|/etc/localtime}} から適切なゾーンファイル {{ic|/usr/share/zoneinfo/''ゾーン''/''サブゾーン''}} へのシンボリックリンクを作って下さい:

# ln -s /usr/share/zoneinfo/''ゾーン''/''サブゾーン'' /etc/localtime

例:

# ln -s /usr/share/zoneinfo/Asia/Tokyo /etc/localtime

{{ic|ln: failed to create symbolic link '/etc/localtime': File exists}} と表示される場合は、{{ic|ls -l /etc/localtime}} で既存のファイルを確認してから、''ln'' コマンドに {{ic|-f}} オプションを追加して上書きしてください。

=== ハードウェアクロック ===

マシンに他の OS もインストールされている場合は、ハードウェアクロックモードを全ての OS で同じになるように設定します。さもないと、ハードウェアクロックが上書きされ時刻がずれてしまう可能性があります。''hwclock'' コマンドは {{ic|/etc/adjtime}} ファイルを生成します。[[Wikipedia:ja:協定世界時|UTC]] に設定するには、次を実行:

# hwclock --systohc --utc

{{Note|ハードウェアクロックに [[Wikipedia:ja:協定世界時|UTC]] を使ったからといって、ソフトウェアが時刻を UTC で表示するわけではありません。}}

{{Warning|Windows はデフォルトで ''localtime'' を使っています。Arch で ''localtime'' を使用すると既知の問題や容易に修復できないバグを引き起こす可能性があります。しかしながら、''localtime'' のサポートを終了する計画はありません。''localtime'' を使用する場合は、root で {{ic|hwclock --systohc --localtime}} を実行してください。Windows 7 以降を使用する場合、Arch を ''localtime'' に設定するのではなく、Windows に UTC を使わせて、Windows の時刻同期を無効にすることが推奨されています。詳しくは[[時刻#Windows で UTC を使う]]を見て下さい。}}

=== カーネルモジュール ===

必要なカーネルモジュールは基本的に [[udev]] によって自動ロードされるため、手動でモジュールをロードする必要があるのは稀です。詳しくは[[カーネルモジュール]]を見て下さい。

=== ホスト名 ===

お好きな名前を[[Wikipedia:ja:ホスト名|ホスト名]]に設定してください (例: ''arch''):

# echo ''ホスト名'' > /etc/hostname

同じホスト名を {{ic|/etc/hosts}} に追加します:

#<ip-address> <hostname.domain.org> <hostname>
127.0.0.1 localhost.localdomain localhost ''ホスト名''
::1 localhost.localdomain localhost ''ホスト名''

=== ネットワークの設定 ===

ネットワークの設定をもう一度行います。今回は新しくインストールされる環境のネットワーク設定です。[[#インターネット接続の確立|上で説明した]]のと方法はほとんど同じですが、今回の設定では、設定が消えないように、ブート時に自動的に起動するように設定します。

まず最初に、{{ic|ip link}} で接続を設定するネットワークインターフェイスの名前を確認してください。

{{Note|
* ネットワーク設定の詳しい情報は、[[ネットワーク設定]]や[[ワイヤレス設定]]を参照してください。
* インターフェースについて古い命名規則 ({{ic|eth''X''}} や {{ic|wlan''X''}}) を使って欲しい時は {{ic|/etc/udev/rules.d/80-net-setup-link.rules}} に空のファイルを作成してください。これによって {{ic|/usr/lib/udev/rules.d}} 下の同じ名前のファイルがマスクされます (空のファイルを使う代わりに、{{ic|/dev/null}} へのシンボリックリンクを使うことでも命名規則を戻せます: {{ic|# ln -s /dev/null /etc/udev/rules.d/80-net-setup-link.rules}})。
}}

==== 有線 ====

===== 動的 IP =====

; dhcpcd を使う

固定された有線ネットワーク接続が1つだけあるという環境の場合、ネットワーク管理サービスを使う必要はなく、単純に {{ic|dhcpcd}} サービスを有効にするだけで足ります:

# systemctl enable dhcpcd@''インターフェイス名''.service

; netctl を使う

{{ic|/etc/netctl/examples}} からサンプルプロファイルを {{ic|/etc/netctl/}} にコピーしてください:

# cd /etc/netctl
# cp examples/ethernet-dhcp my_network

プロファイルを編集して下さい ({{ic|Interface}} を {{ic|eth0}} から {{ic|ip link}} を実行したときに確認したインターフェイス名に修正する):

# nano my_network

{{ic|my_network}} プロファイルを有効にしてください:

# netctl enable my_network

{{Note|{{ic|Running in chroot, ignoring request.}} というメッセージが表示されることがありますが、いまのところは無視してかまいません。}}

; netctl-ifplugd を使う

{{Warning|{{ic|netctl enable ''プロファイル名''}} のようにしてプロファイルを有効にする方法と netctl-ifplugd を使う方法を一緒に用いることはできません。}}

{{Pkg|netctl}} の {{ic|netctl-ifplugd}} を使って動的に接続を管理することもできます。

まず {{Pkg|ifplugd}} をインストールしてください、{{ic|netctl-ifplugd}} を使うために必要なパッケージです:

# pacman -S ifplugd

そしてサービスを有効にしてください:

# systemctl enable netctl-ifplugd@''インターフェイス名''.service

{{Note|[[netctl]] には {{ic|netctl-auto}} もあり、{{ic|netctl-ifplugd}} と一緒に無線プロファイルを管理するのに使うことができます。}}

===== 固定 IP =====

; netctl を使う

{{ic|/etc/network.d/examples}} から {{ic|/etc/netctl}} にサンプルプロファイルをコピーします:

# cd /etc/netctl
# cp examples/ethernet-static my_network

必要に応じてプロファイルを編集 ({{ic|Interface}}, {{ic|Address}}, {{ic|Gateway}}, {{ic|DNS}} を修正):

# nano my_network

{{ic|Address}} の中の {{ic|/24}} は {{ic|255.255.255.0}} ネットマスクの [[wikipedia:Classless Inter-Domain Routing#CIDR notation|CIDR notation]] です。

そして作成したプロファイルを有効にしてください:

# netctl enable my_network

; systemd-networkd を使う

[[systemd-networkd]] を参照してください。

==== 無線 ====

{{Note|あなたの使っているワイヤレスアダプタにファームウェアが必要な場合 (上の[[#インターネット接続の確立|インターネット接続の確立]]セクションと[[ワイヤレス設定#ドライバとファームウェア|ここ]]に記述あり)、ファームウェアを含んだパッケージをインストールしてください。ほとんどの場合、{{Pkg|linux-firmware}} パッケージに必要なファームウェアが含まれていますが、機器によっては個別のパッケージにファームウェアが存在します。例えば: {{ic|# pacman -S zd1211-firmware}}。詳しくは[[ワイヤレス設定]]を見て下さい。}}

ネットワークに接続するために {{pkg|iw}} と {{pkg|wpa_supplicant}} をインストールしてください:

# pacman -S iw wpa_supplicant

===== 無線ネットワークの追加 =====
; wifi-menu を使う

{{ic|wifi-menu}} に必要な {{pkg|dialog}} をインストールしてください:
# pacman -S dialog

このインストールと再起動が終わった後 {{ic|wifi-menu ''インターフェイス名''}} ({{ic|''インターフェイス名''}} はあなたの無線インターフェースに置き換えてください) でネットワークに接続することができます。

# wifi-menu ''インターフェイス名''

{{Warning|{{ic|wifi-menu}} を使う時は、絶対に chroot を終了して再起動した''後''にしてください。このコマンドを使って作成されたものが chroot の外で動作させているものと衝突してしまう恐れがあるからです。また、上で書かれているようにテンプレートを使って手動でネットワークプロファイルを設定することもできます、その場合は {{ic|wifi-menu}} を使うことについての心配はいりません。}}

; 手動の netctl プロファイルを使う

ネットワークプロファイルを {{ic|/etc/netctl/examples}} から {{ic|/etc/netctl}} にコピーしてください:

# cd /etc/netctl
# cp examples/wireless-wpa my_network

接続するネットワークにあわせてプロファイルを編集してください ({{ic|Interface}}, {{ic|ESSID}}, {{ic|Key}} を修正):

# nano my_network

作成したプロファイルがブート毎に実行されるよう有効にしてください:

# netctl enable my_network

===== 既知のネットワークに自動で接続する =====

{{Warning|{{ic|netctl enable ''プロファイル名''}} のようにしてプロファイルを有効にする方法とこの方法を一緒に使うことはできません。}}

{{ic|netctl-auto}} に必要な {{Pkg|wpa_actiond}} をインストールしてください:

# pacman -S wpa_actiond

{{ic|netctl-auto}} サービスを有効にすれば、既知のネットワークに接続しローミングや切断を管理します:

# systemctl enable netctl-auto@''インターフェイス名''.service

{{Note|[[netctl]] には {{ic|netctl-ifplugd}} もあり、{{ic|netctl-auto}} と一緒に有線プロファイルを管理するのに使われます。}}

==== xDSL (PPPoE), アナログモデム, ISDN ====

xDSL、ダイアルアップ・ISDN 接続は、[[モデムに直接接続]]を見て下さい。

=== Initial ramdisk 環境の作成 ===

{{Tip|ほとんどのユーザーはこの手順をスキップし、{{ic|mkinitcpio.conf}} のデフォルト設定を使って問題ありません。initramfs イメージ ({{ic|/boot}} フォルダ内) は {{ic|pacstrap}} によって {{Pkg|linux}} パッケージ (Linux カーネル) をインストールしたときに、{{ic|mkinitcpio.conf}} に基づいて既に生成されています。}}

root が USB ドライブにあったり、RAID や LVM を使っていたり、{{ic|/usr}} が分割されたパーティション上にある場合は、ここで正しい [[Mkinitcpio#HOOKS|hooks]] を設定しなくてはなりません。

必要に応じて {{ic|/etc/mkinitcpio.conf}} を編集し、initramfs イメージを再形成します:

# mkinitcpio -p linux

=== root パスワードの設定 ===

root パスワードを設定します:

# passwd

=== ブートローダのインストールと設定 ===

Intel の CPU を使っている場合、{{Pkg|intel-ucode}} パッケージをインストールして[[マイクロコード#Intel のマイクロコードのアップデートを有効にする|マイクロコードのアップデートを有効化]]してください。

==== BIOS マザーボードの場合 ====

BIOS システムでは、複数のブートローダが使えます。ブートローダの完全なリストは[[ブートローダー]]にあります。あなたの都合に合わせてどれか一つを選んで下さい。よく使われるブートローダーは:

* [[Syslinux]] は現在 Syslinux がインストールされたパーティションのファイルのみをロードするように制限されています。設定ファイルはわかりやすいものになっています。設定サンプルは [[Syslinux#サンプル|Syslinux]] の記事にあります。

* [[GRUB]] はより多くの機能を備えた複雑なブートローダです。設定ファイルはスクリプト言語 (sh) に似ていて、初心者が手動で設定するには難しいかもしれません。自動で設定を生成するのが推奨されます。

ここからは、GRUB と MBR の組み合わせでのインストールを説明します。まず {{Pkg|grub}} パッケージをインストールします。GRUB が他のオペレーティングシステムも検索できるように、{{Pkg|os-prober}} もインストールしておきます:

# pacman -S grub os-prober

{{ic|grub-install}} を実行してブートローダをインストールしてください:

# grub-install --recheck ''/dev/sda''

{{Note|
* {{ic|/dev/sda}} はあなたが Arch をインストールしたドライブに書き換えてください。パーティション番号を加えてはいけません ({{ic|sda''X''}} を使ってはいけません)。
* サンプルの {{ic|/boot/grub/grub.cfg}} は grub パッケージの一部としてインストールされ、後の {{ic|grub-*}} コマンドでは上書きされません。変更を加えるときは {{ic|grub.cfg.new}} などのファイルではなく {{ic|grub.cfg}} を編集してください。
}}

次に {{ic|grub.cfg}} を作ります。手動で作る方が細かい設定ができますが、初心者は自動で生成するのが推奨されています:

# grub-mkconfig -o /boot/grub/grub.cfg

GRUB の使用・設定の詳しい情報は、[[GRUB]] を参照。

==== UEFI マザーボードの場合 ====

{{Note|UEFI ファームウェアによってはインストールしたブートローダーの {{ic|.efi}} ブータブルスタブを特定の名前で特定の場所に配置する必要があります: {{ic|$esp/EFI/boot/bootx64.efi}} ({{ic|$esp}} は EFI System Partition のマウントポイントに置き換えて下さい)。これをしていないと場合によっては、インストールした環境を起動できなくなることがあります。詳しくはそれぞれのブートローダーのセクションを見て下さい。}}

UEFI システムでも、複数のブートローダが使えます。利用できるブートローダの完全なリストは[[ブートローダー]]にあります。あなたの都合にあわせて選んで下さい。ここでは、2つのブートローダを例として提示します:

* [[systemd-boot]] は最小主義の UEFI ブートマネージャで、[[EFISTUB]] カーネルや他の UEFI アプリケーションのためのメニューを提供します。初心者、特に Windows 8 などの別のオペレーティングシステムとデュアルブートをしたいユーザーに推奨です。
* [[GRUB]] は完全なブートローダーで、systemd-boot で問題が起きた時に役に立ちます。

ここからは systemd-boot のインストールを説明します。まず、インストール後に EFI System Partition を操作するための {{Pkg|dosfstools}} パッケージをインストールしてください:

# pacman -S dosfstools

{{Note|
* UEFI でブートするには、ドライブは GPT でパーティションされている必要があり、[[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]] (512 MiB 以上, FAT32, gdisk タイプ {{ic|EF00}}) が存在しなければなりません。このガイドを初めから実行しているのなら、すでに全て行われているはずです。
* systemd-boot が自動的にアップデートされるように EFI System Partition は {{ic|/boot}} にマウントすることを強く推奨します。
}}

自動インストールスクリプトを実行してブートローダを EFI System Partition にインストールしてください ({{ic|$esp}} は EFI System Partiton の場所に置き換えて下さい、通常は {{ic|/boot}} です):

# bootctl --path=''$esp'' install

Bootctl はファームウェアによって自動で検出され、{{ic|bootx64.efi}} ブータブルスタブが {{ic|$esp/EFI/boot}} にあることを必要とします。そして {{ic|.efi}} スタブを使ってインストールされている別のオペレーティングシステムを自動で検出します。ただし、bootctl の設定ファイルは手動で作成する必要があります。

まず、{{ic|''$esp''/loader/entries/arch.conf}} を作成して以下を記述します、{{ic|/dev/sdaX}} は ''root'' パーティションに置き換えて下さい (例: {{ic|/dev/sda2}}):
{{hc|# nano ''$esp''/loader/entries/arch.conf|2=
title Arch Linux
linux /vmlinuz-linux
initrd /initramfs-linux.img
options root='''/dev/sdaX''' rw
}}
次に、{{ic|''$esp''/loader/loader.conf}} を作成して以下を記述します、timeout の値は自由に変更できます (秒数):
{{hc|# nano ''$esp''/loader/loader.conf|2=
default arch
timeout 5
}}

詳しい情報は [[systemd-boot]] を見て下さい。

== パーティションのアンマウントと再起動 ==

chroot 環境を脱出します:

# exit

{{Note|パーティションは ''systemd'' によってシャットダウン時に自動的にアンマウントされますが、安全対策として {{ic|umount -R /mnt}} を使って手動でアンマウントすることもできます。パーティションがビジー状態の場合、[[Wikipedia:fuser_(Unix)|fuser]] で原因を特定できます。}}

コンピュータを再起動:

# reboot

{{Tip|インストールメディアを取り出してください、そうしないともう一度セットアップが起動してしまいます。マシンにログインするときはユーザー "root" と前に passwd コマンドで設定したパスワードを使います。デフォルトのパスワードは "root" です。}}

== インストールのその先 ==

あなたの新しい Arch Linux ベースシステムは今、あなたの目的や希望のために必要な全てを入れる準備ができた GNU/Linux になっています。ここからは[[一般的な推奨事項]]のページを見ることを推奨します。特に最初の2つのセクションは必読です。また、他のセクションには、グラフィカルユーザーインターフェイス (GUI) やサウンド、タッチパッドの設定などのチュートリアルが書かれたページヘのリンクが載っています。

あなたの興味を引くであろうアプリケーションの一覧は、[[アプリケーション一覧]]を参照。

ビギナーズガイド

2015-12-28T21:16:05Z

Aosho235: Aosho235 (トーク) による版 4575 を取り消し

[[Category:Arch の入手とインストール]]
[[Category:Arch について]]
[[ar:Beginners' guide]]
[[bg:Beginners' guide]]
[[cs:Beginners' guide]]
[[da:Beginners' guide]]
[[de:Anleitung für Einsteiger]]
[[el:Beginners' guide]]
[[en:Beginners' guide]]
[[es:Beginners' guide]]
[[fa:راهنمای_تازه‌کاران]]
[[fr:Installation]]
[[he:Beginners' guide]]
[[hr:Beginners' guide]]
[[hu:Beginners' guide]]
[[id:Beginners' guide]]
[[it:Beginners' guide]]
[[ko:Beginners' guide]]
[[lt:Beginners' guide]]
[[nl:Beginners' guide]]
[[pl:Beginners' guide]]
[[pt:Beginners' guide]]
[[ro:Ghidul începătorilor]]
[[ru:Beginners' guide]]
[[sk:Beginners' guide]]
[[sr:Beginners' guide]]
[[sv:Nybörjarguiden]]
[[tr:Yeni başlayanlar rehberi]]
[[uk:Beginners' guide]]
[[zh-cn:Beginners' guide]]
[[zh-tw:Beginners' guide]]
{{Related articles start}}
{{Related|:カテゴリ:アクセシビリティ}}
{{Related|インストールガイド}}
{{Related|ディスクレスシステム}}
{{Related|SSH からインストール}}
{{Related|一般的な推奨事項}}
{{Related|一般的なトラブルシューティング}}
{{Related|ブートデバッグ}}
{{Related|pacman#トラブルシューティング}}
{{Related|pacman-key#トラブルシューティング}}
{{Related articles end}}

この文章では [https://projects.archlinux.org/arch-install-scripts.git/ Arch Install Scripts] を使って [[Arch Linux]] をインストールする方法を解説します。インストールする前に、[[FAQ]] を一読することをおすすめします。

コミュニティによって管理されている [[メインページ|ArchWiki]] は有用な資料であり、問題が発生したらまず wiki を読んでみましょう。wiki で答えが見つからないときは、[https://archlinuxjp-slack.herokuapp.com/ Slack] や [https://bbs.archlinuxjp.org/ フォーラム] を使って下さい。また、[[The Arch Way|Arch Way]] に従って、知らないコマンドの {{ic|man}} ページを見るようにしましょう。{{ic|man ''コマンド''}} で見ることができます。

== 動作環境 ==

Arch Linux は i686 互換の、最低 256MB の RAM を積んだマシンで動作します。また、基本的なインストールに必要な {{Grp|base}} グループに含まれる全てのパッケージをインストールするには約 800MB のディスク容量が必要です。使える容量が少ない場合、この数値をかなり切り詰めることが可能ですが、どうやるかは調べる必要があります。

== 最新のインストールメディアを準備する ==

Arch の公式インストールメディアは[https://www.archlinuxjp.org/download/ ダウンロードページ]から入手できます。ひとつの ISO で32ビットと64ビット両方のアーキテクチャをサポートしています。出来るだけ一番新しい ISO を使って下さい。

インストールイメージには署名がされており、使用する前に署名を検証するのが推奨されています (特に HTTP ミラーからダウンロードした場合)。[[GnuPG]] をインストールした環境で、ダウンロードした ''PGP 署名''を ISO のディレクトリに配置して、次を実行してください:
$ gpg --verify archlinux-<version>-dual.iso.sig
公開鍵が見つからない場合、{{ic|gpg --recv-keys ''key-id''}} で[[GnuPG#鍵のインポート|インポート]]できます [http://sparewotw.wordpress.com/2012/10/31/how-to-verify-signature-using-sig-file/]。もしくは、既存の Arch Linux 環境から次を実行:
$ pacman-key -v archlinux-<version>-dual.iso.sig
{{ic|md5}} と {{ic|sha1}} チェックサムはそれぞれ ''md5sum'' と ''sha256sum'' でチェックできます。

=== USB と光学ドライブ ===

[[光学ディスクドライブ#焼き込み]] (CD/DVD) や [[USB インストールメディア]] (USB) を見て下さい。

=== ネットワーク経由でのインストール ===

[[PXE]] の記事を参照してください。

=== 既存の Linux 環境からインストール ===

[[既存の Linux からインストール]]を見て下さい。[[VNC]] や [[SSH]] を使って Arch をリモートでインストールするときに特に便利です。[[SSH からインストール]]も参照。

=== 仮想マシンへのインストール ===

現在使用しているオペレーティングシステムを残したまま、[[Wikipedia:ja:仮想機械|仮想マシン]]上でインストール手順を実行することで、ストレージのパーティションを行う必要なく Arch Linux に慣れることができます。また、ブラウザでこのビギナーズガイドを開いたままインストールが可能です。独立した Arch Linux システムを使用できるということは、テストを行いたいという一部のユーザーにとって有益なことでしょう。

仮想化ソフトウェアの例としては、[[VirtualBox]], [[VMware]], [[QEMU]], [[Xen]], [[Parallels]] があります。

仮想マシンを準備するための正確な手順は、ソフトウェアによって異なりますが、一般的に次の手順に従います:

# オペレーティングシステムのホストにて、仮想ディスクイメージを作成します。
# 仮想マシンの設定を最適化します。
# 仮想 CD ドライブでダウンロードした ISO イメージを起動します。
# [[#インストールメディアの起動|インストールメディアの起動]]に進みます。

== インストールメディアの起動 ==

最初に、あなたのコンピュータの BIOS セットアップで起動順序を変更する必要があるかもしれません。それには、POST ([[Wikipedia:ja:Power On Self Test|Power On Self-Test]]) の間にキー (多くの場合 {{ic|Delete}}、{{ic|F1}}、{{ic|F2}}、{{ic|F11}} や {{ic|F12}}) を押します。これで BIOS の設定画面が表示されるので、ここでシステムが起動するデバイスを探す順番を設定できます。"Save & Exit" (もしくはそれに準ずるもの) を選択すればコンピュータは通常通り起動するはずです。

Arch のメニューが表示されたら、インストールを行うライブ環境を開始するために "Boot Arch Linux" をメニューから選択し、{{ic|Enter}} キーを押します (UEFI ブートディスクから起動した場合は、次のオプションを選択: "Arch Linux archiso x86_64 UEFI")。ブートエントリを編集することで様々なブートパラメータ ({{ic|copytoram}} など) を使うことができます。Syslinux では {{ic|tab}} を押し、systemd-boot では {{ic|e}} を押します。詳しくは [https://projects.archlinux.org/archiso.git/tree/docs/README.bootparams README.bootparams] を参照。

起動するとシェルプロンプトが表示され、root として自動的にログインが行われます。シェルは [[Zsh]] です。高度な [http://zsh.sourceforge.net/Guide/zshguide06.html タブ補完] など、[http://grml.org/zsh/ grml の設定] の機能が使用できます。テキストファイルを編集する時は、コンソールエディタの [[nano]] を使うことが推奨されています。使い方をよく知らない場合は、[[nano#nano の使用方法]] を見て下さい。Windows とのデュアルブートをする（もしくはそうすることを計画している）場合、[[Windows と Arch のデュアルブート]]を見て下さい。

=== UEFI モードでブートしているかどうかのテスト ===

{{Warning|将来を考えると EFI モードでインストールを行ったほうが望ましいのですが、初期の UEFI の実装には BIOS よりも大量のバグが存在しています。UEFI モードを使用する前にあなたの使用しているマザーボードのモデルについて検索をすることが推奨されます。}}

[[Unified Extensible Firmware Interface|UEFI]] マザーボードを使用していて、UEFI ブートモードが有効になっている (そしてそれが BIOS/Legacy モードよりも優先されている) 場合、CD/USB のインストールメディアは自動で [[systemd-boot]] を使って Arch Linux カーネルを起動します。そして以下のメニューが表示されます (黒地に白字)、最初のアイテムがハイライトされます:
{{bc|
Arch Linux archiso x86_64 UEFI USB
UEFI Shell x86_64 v1
UEFI Shell x86_64 v2
EFI Default Loader}}

UEFI モードで起動しているのか確認したい場合は、次を実行:

# efivar -l

''efivar'' が UEFI 変数を正しく表示したら、UEFI モードで起動されています。表示されない場合は [[Unified Extensible Firmware Interface#UEFI 変数のサポートを正しく動作させるための必要条件]] に記載されている全ての要件が満たされているか確認してください。

=== 起動時の問題のトラブルシューティング ===

* Intel のビデオチップセットを使用していて、ブート中にブランクスクリーン (画面が黒くなる) になった場合、おそらく Kernel Mode Setting ([[Kernel Mode Setting|KMS]]) に問題があります。回避策は、パソコンを再起動し、起動しようとしている項目 (i686 または x86_64) の上で、{{ic|Tab}} キーを押します。末尾に {{ic|nomodeset}} を追加し、{{ic|Enter}} キーを押します。または {{ic|1=video=SVIDEO-1:d}} (KMS は無効にされません) を設定します。もしくは、{{ic|i915.modeset<nowiki>=</nowiki>0}} を試して下さい。詳細は [[Intel Graphics|Intel]] ページを参照してください。

* ブランクスクリーンに''ならず''、カーネルのロード中に固まる場合は、{{ic|Tab}} キーをメニューの項目上で押し、末尾に {{ic|1=acpi=off}} を追加し、{{ic|Enter}} キーを押します。

== 言語の選択 ==

{{Tip|以下の設定は必須ではありません。設定ファイルをあなたの使う言語で書いたり、Wi-Fi パスワードで区別的発音符を使ったり、もしくはあなたの言語でシステムメッセージ(例えばエラー)を見たいときだけに役に立ちます。ここでの変更はインストールプロセスに''だけ''適用されます。}}

標準で、キーボードのレイアウトは {{ic|us}} に設定されています。もし、[[Wikipedia:File:KB United States-NoAltGr.svg|US]] キーボード以外のレイアウトを使用している場合は、

# loadkeys ''レイアウト名''

で変更できます。''レイアウト名''の部分は {{ic|jp106}}、{{ic|fr}}、{{ic|uk}}、{{ic|be-latin1}} などに置き換えます。[[コンソールでのキーボード設定#キーボードレイアウトの設定|ここ]]から一般的なレイアウトのリストを見ることができます。利用可能なキーマップを表示するには {{ic|localectl list-keymaps}} コマンドを使って下さい。

{{Warning|以下はフォントと言語の設定ですが、この段階では、日本語を表示することはできません。}}

フォントも変える必要があるかもしれません。ほとんどの言語は[[Wikipedia:ja:アルファベット|アルファベット]]の26字よりも多くの文字を使っているからです。さもなければ文字が□（豆腐）になったり全く異なって表示されることがあります。フォントの名前は大文字・小文字を区別するので、''正確に''入力してください:

# setfont lat9w-16

標準では、言語は英語 (US) に設定されています。インストール中の言語を変更したい場合 ''(例: 日本語)''、{{ic|/etc/locale.gen}} 内のあなたの設定したい[[ロケール]]の行と、英語 (US) の行から行頭の {{ic|#}} を削除します。{{ic|UTF-8}} を選択してください。

シンプルな Nano エディタで編集するには、{{ic|nano /etc/locale.gen}} と入力してください。{{ic|Ctrl+X}} で終了し、変更を保存するか聞かれたら {{ic|Y}} と、 {{ic|Enter}} を押せば同じファイル名で上書き保存します。

{{hc|# nano /etc/locale.gen|
en_US.UTF-8 UTF-8
ja_JP.UTF-8 UTF-8}}

# locale-gen
# export LANG=ja_JP.UTF-8

== インターネット接続の確立 ==

{{Warning|[http://cgit.freedesktop.org/systemd/systemd/tree/NEWS?id=dee4c244254bb49d1ffa8bd7171ae9cce596d2d0 v197] 以降、udev はネットワークインターフェースの名前を wlanX や ethX といった風に名づけません。あなたが他のディストリビューションを使っているなどの理由で、新しい命名規則を知らないのならば、あなたの無線インターフェースの名前が wlan0 だとか、有線インターフェースの名前が eth0 ではない可能性があることを予め覚えておいて下さい。{{ic|ip link}} コマンドでインターフェースの名前を調べることができます。}}

{{ic|dhcpcd}} ネットワークデーモンはブート時に自動で起動して、可能であれば有線での接続を試みます。接続できているかウェブサイトに ping をして確かめて下さい。例えば Google のサーバーに ping します:

{{hc|# ping -c 3 www.google.com|2=
PING www.l.google.com (74.125.132.105) 56(84) bytes of data.
64 bytes from wb-in-f105.1e100.net (74.125.132.105): icmp_req=1 ttl=50 time=17.0 ms
64 bytes from wb-in-f105.1e100.net (74.125.132.105): icmp_req=2 ttl=50 time=18.2 ms
64 bytes from wb-in-f105.1e100.net (74.125.132.105): icmp_req=3 ttl=50 time=16.6 ms

--- www.l.google.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 16.660/17.320/18.254/0.678 ms}}

{{ic|ping: unknown host}} のエラーが出た場合は下に記述されている方法を試して手動で接続をセットアップする必要があります。ネットワークへの接続が問題ないようでしたら、[[#ドライブの準備|ドライブの準備]]へ進んでください。

=== 有線 ===

固定 IP アドレスを使用して有線の接続をセットアップする場合は次の手順に従ってください。

あなたのイーサネットインターフェースの名前を確かめて下さい:

{{hc|# ip link|
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: enp2s0f0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT qlen 1000
link/ether 00:11:25:31:69:20 brd ff:ff:ff:ff:ff:ff
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DORMANT qlen 1000
link/ether 01:02:03:04:05:06 brd ff:ff:ff:ff:ff:ff}}

上記の例の場合、イーサネットインターフェースは {{ic|enp2s0f0}} です。よくわからない場合、あなたのイーサネットインターフェースはおそらく "e" から始まっているインターフェイスです。"w" で始まっているものや "lo" ではないということです。

[[ネットワーク設定#固定 IP アドレス]]を見て必要な設定を確認してください。{{ic|/etc/dhcpcd.conf}} に以下のような設定を使って、dhcpcd の static プロファイルを設定します:

interface enp2s0f0
static ip_address=192.168.0.10/24
static routers=192.168.0.1
static domain_name_servers=192.168.0.1 8.8.8.8

{{ic|dhcpcd.service}} を再起動してください:

# systemctl restart dhcpcd.service

これでネットワークに接続されるはずです。されない場合は、[[ネットワーク設定]]のページを見て下さい。

=== 無線 ===

{{Warning|(CD・USB スティックの) ライブ環境では、(ワイヤレスカードを使うのに必要な) ワイヤレスチップセットのファームウェアのパッケージは {{ic|/usr/lib/firmware}} の下にあらかじめインストールされていますが、再起動後にも無線を使うには、ユーザーがちゃんとパッケージをインストールする必要があります。パッケージのインストールはこのガイドの後ろで触れています。再起動する前にワイヤレスモジュール・ファームウェアを必ずインストールしてください。もし、あなたのチップセットがファームウェアのインストールを必要としているか不明な場合は[[ワイヤレス設定]]を見て下さい。}}

[[netctl]] の {{ic|wifi-menu}} を使いネットワークに接続します:

# wifi-menu

コンピュータに接続されている Wi-Fi デバイスが一つしかない (ノートパソコンなど) 場合は wifi ネットワークのメニューが表示されます。

コンピュータに複数の Wi-Fi デバイスが存在するときは、そのどれか一つを選択して ''wifi-menu'' にインターフェイスの名前を指定する必要があります。まず、インターフェイスの名前を確かめて下さい:

{{hc|# iw dev|2=
phy#0
Interface wlp3s0
ifindex 3
wdev 0x1
addr 00:11:22:33:44:55
type managed
}}

上の例では、{{ic|wlp3s0}} が有効なワイヤレスインターフェースです。どれかわからないときは、おそらく "w" から始まるのがあなたのワイヤレスインターフェースです。"lo" や "e" から始まるインターフェースは違います。

インターフェイスの名前がわかったら、インターフェイスの名前を指定して ''wifi-menu'' を起動します:

# wifi-menu wlp3s0

ユーザー名やパスワードの設定を必要とするネットワークを使う場合は [[WPA2 Enterprise#netctl]] にあるサンプル設定を見て下さい。

これでネットワークは有効になるはずです。接続されないときは、下の [[#wifi-menu を使わない方法|wifi-menu を使わない方法]]や、詳しい説明が載っている[[ワイヤレス設定]]を見て下さい。

==== wifi-menu を使わない方法 ====

インターフェースを立ち上げます:

# ip link set wlp3s0 up

インターフェイスが立ち上がっているか確認するには、次のコマンドの出力を見て下さい:

{{hc|# ip link show wlp3s0|
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state DOWN mode DORMANT group default qlen 1000
link/ether 00:11:22:33:44:55 brd ff:ff:ff:ff:ff:ff
}}

{{ic|<BROADCAST,MULTICAST,UP,LOWER_UP>}} の中にある {{ic|UP}} がインターフェイスが立ち上がっている印です。後ろの {{ic|state DOWN}} は違います。

ほとんどのワイヤレスチップセットには、対応するドライバに加えて、ファームウェアが必要です。カーネルが自動で検知してロードを試みます。{{ic|SIOCSIFFLAGS: No such file or directory}} のようなエラーが出た場合、ファームウェアを手動でロードする必要があることを意味しています。必要なファームウェアがわからないときは、{{ic|dmesg}} を使いカーネルログからワイヤレスチップセットのファームウェア要求をさがします。例えば、カーネルの起動時に Intel チップセットが出力するファームウェア要求の例:

{{hc|# dmesg <nowiki>|</nowiki> grep firmware|
firmware: requesting iwlwifi-5000-1.ucode}}

なにも表示されないなら、あなたのワイヤレスチップセットにはファームウェアが要らないと判断できます。

{{ic|iw dev wlp3s0 scan <nowiki>|</nowiki> grep SSID}} を使って利用可能なネットワークをスキャンして、それからネットワークに接続してください:

# wpa_supplicant -B -i wlp3s0 -c <(wpa_passphrase "''ssid''" "''psk''")

''ssid'' はネットワークの名前に (例: "Linksys etc...")、''psk'' はパスワードに置き換える必要があります (ネットワークの名前とパスワードを囲っているダブルクォートは消さないで下さい, 例: ネットワークのパスワードが dog の場合、"dog" と入力)。

最後に、インターフェースに IP アドレスを与える必要があります。手動で設定するか dhcp を使ってこれを行なって下さい:
# dhcpcd wlp3s0

上のコマンドでうまくいかない場合、以下のコマンドを実行してください:

# echo 'ctrl_interface=DIR=/run/wpa_supplicant' > /etc/wpa_supplicant.conf
# wpa_passphrase <ssid> <passphrase> >> /etc/wpa_supplicant.conf
# ip link set <interface> up # May not be needed, but does no harm in any case
# wpa_supplicant -B -D nl80211 -c /etc/wpa_supplicant.conf -i <interface name>
# dhcpcd -A <interface name>

=== アナログモデム, ISDN, PPPoE DSL ===

xDSL・ダイアルアップ・ISDN接続については、[[モデムに直接接続]]を見て下さい。

=== プロキシサーバを使う ===

プロキシサーバを使うには、{{ic|http_proxy}}, {{ic|ftp_proxy}} 環境変数を設定しなくてはなりません。詳しい情報は[[プロキシ設定]]を見て下さい。

== 時計を合わせる ==

[[systemd-timesyncd]] を使ってシステムクロックを正確な時刻に合わせて下さい。起動するには:
# timedatectl set-ntp true

サービスの状態を確認したいときは {{ic|timedatectl status}} を使って下さい。

詳しくは、[[時刻]]を参照。

== ドライブの準備 ==

{{Warning|
* パーティショニングを行うと既存のデータが消去されます。実施する前に、必要なデータはバックアップしてください。
* UEFI/GPT 環境でインストールした Windows とデュアルブートしたい場合、Windows を起動するのに必要な Windows の ''.efi'' ファイルが含まれている UEFI パーティションを再フォーマットしてはいけません。さらに、Arch のブートモードとパーティションの組み合わせを Windows と同一に設定する必要があります。[[Windows と Arch のデュアルブート#重要情報]]を参照。
}}

このステップでは、新しいシステムをインストールするためにストレージデバイスの準備を行います。詳しい情報は[[パーティショニング]]を見て下さい。

[[LVM]], [[ディスク暗号化]], [[RAID]] などのスタックブロックデバイスを作成したい場合は、この段階で行います。USB フラッシュキーにインストールする場合は、[[USB キーに Arch Linux をインストール]]を見て下さい。

=== デバイスの確認 ===

まず新しいシステムをインストールするデバイスを確認します。次のコマンドを実行すると全てのデバイスが表示されます:

# lsblk

このコマンドはシステムに接続されたデバイスとパーティションを表示しますが、Arch インストールメディアを起動するのに使われているデバイスも含まれています。したがって、どのデバイスでもインストールが行えるというわけではありません。不必要なデバイスを表示しないようにするには、以下のようにコマンドを実行します:

# lsblk | grep -v "rom\|loop\|airoot"

デバイス (ハードディスク) は {{ic|sd''x''}} と示されます。{{ic|''x''}} は {{ic|a}} から始まる小文字のアルファベットで、一番目のデバイスは {{ic|sda}}、二番目のデバイスは {{ic|sdb}} と割り当てられます。既存のパーティションは {{ic|sd''xY''}} と示され、{{ic|''Y''}} は {{ic|1}} から始まる数字です。一番目のパーティションは {{ic|1}}、二番目のパーティションは {{ic|2}} と続きます。下の例では、一つのデバイスが存在し ({{ic|sda}})、一つのパーティションが使われています ({{ic|sda1}}):

NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 80G 0 disk
└─sda1 8:1 0 80G 0 part

パーティションテーブル、パーティション、ファイルシステムでは {{ic|sd''xY''}} という名前を例として使います。あくまでこの名前は例なので、実際にコマンドを実行したりするときは、デバイスの名前とパーティションの番号を変える必要があります。コマンドをコピーしてそのまま貼り付けても動作しません。

パーティションをそのまま変更しない場合は、[[#ファイルシステムの作成|ファイルシステムの作成]]まで進んでください。パーティショニングを行う場合は、次のセクションを読んで下さい。

=== パーティションテーブルのタイプの選択 ===

既に何らかの OS がインストールされているところに Arch をインストールする場合、既存のパーティションテーブルを使用します。デバイスがパーティショニングされてなかったり、現在のパーティションテーブルを変更する必要があるときは、まず使用されているパーティションテーブルを確認しなくてはなりません。

パーティションテーブルには2種類あります:

* [[Master Boot Record|MBR]]
* [[GUID Partition Table|GPT]]

既存のパーティションテーブルは、次のコマンドを実行することで確認できます:

# parted /dev/sd''x'' print

=== パーティショニングツール ===

{{Warning|使用しているパーティショニングテーブルと互換性がないパーティショニングツールを使ってしまうと、テーブルが破壊されて、既存のパーティションやデータが消えてしまいます。}}

デバイスをパーティショニングするには、使用されるパーティションテーブルにあわせて適切なツールを選ぶ必要があります。Arch のインストールメディアには複数のパーティショニングツールが入っています:

* [[parted]]: GPT と MBR
* [[パーティショニング#Fdisk の使い方|fdisk]], '''cfdisk''', '''sfdisk''': GPT と MBR
* [[パーティショニング#Gdisk の使い方|gdisk]], '''cgdisk''', '''sgdisk''': GPT

Arch のインストールメディアを起動する前に、他のライブ環境に付属しているパーティションツールを使って、デバイスを予めパーティショニングしておくことも可能です。初心者にとっては [[GParted]] などのグラフィカルなパーティショニングツールが使いやすいでしょう。GParted には [http://gparted.sourceforge.net/livecd.php ライブ CD] が存在し、MBR と GPT の両方のパーティションテーブルで動作します。

==== インタラクティブモードの parted を使用する ====

以下で示す例では BIOS/MBR と UEFI/GPT の両方で用いることができる ''parted'' を使っています。''parted'' は''インタラクティブモード''で起動して、指定したデバイスに全てのパーティショニングコマンドを自動的に適用することで、不必要な繰り返しを避けます。

デバイスの操作を開始するには、次を実行:

# parted /dev/sd''x''

コマンドラインプロンプトがハッシュ ({{ic|#}}) から {{ic|(parted)}} に変わります。

利用できるコマンドのリストを表示するには、次を入力:

(parted) help

パーティションの操作が完了した場合は、次のコマンドで parted を終了します:

(parted) quit

終了後、コマンドラインプロンプトは {{ic|#}} に戻ります。

=== 新しいパーティションテーブルの作成 ===

パーティションテーブルのタイプを変更したい場合や、デバイスがまだパーティションされていない場合、パーティションテーブルの（再）作成が必要です。デバイスのパーティションテーブルの再作成はパーティションスキームを最初からやり直したい場合にも有用です。

{{Warning|
* UEFI/GPT で Windows がインストールされている環境でデュアルブートをしたい場合は、パーティションテーブルを消去しないでください。パーティションテーブルを消去すると、Windows を起動するのに必要な ''.efi'' ファイルが入っている UEFI パーティションを含め、デバイス上の既存のデータが全て削除されます。
* MBR は BIOS 環境で使用するように作られており、GPT は UEFI と一緒に使われることが想定されています。ハードウェアと互換性がない機能や制限があるため、この組み合わせを使わないというのは初心者にはおすすめできません (例: MBR は 2 TiB 以上のデバイスを扱えません) [https://www.happyassassin.net/2014/01/25/uefi-boot-how-does-that-actually-work-then/]。何らかの理由でこの組み合わせを使いたくないという場合は、[http://mjg59.dreamwidth.org/8035.html] や [http://rodsbooks.com/gdisk/bios.html] に詳しい情報や対処方法が載っています。}}

パーティションテーブルを（再）作成するデバイスを次のコマンドで開いてください:

# parted /dev/sd''x''

そして BIOS 環境の場合、MBR/msdos パーティションテーブルを新しく作成するために、次のコマンドを実行します:

(parted) mklabel msdos

UEFI 環境で GPT パーティションテーブルを新しく作成するには、次のコマンドを使います:

(parted) mklabel gpt

=== パーティションスキーム ===

ディスクをいくつのパーティションに分けるか決めて、それぞれのパーティションにシステム上のディレクトリを割り振ることができます。パーティションからディレクトリへのマッピング (しばしば 'マウントポイント' と呼ばれます) が[[パーティショニング#パーティション形態|パーティションスキーム]]になります。パーティションスキームは以下の要件を満たさなければなりません:

* 少なくとも {{ic|/}} (''root'') ディレクトリのパーティションは必ず作成する必要があります。
* マザーボードのファームウェアインターフェイスや、選択した[[#パーティションテーブルのタイプの選択|パーティションテーブルのタイプ]]によって、また、時には選択した[[ブートローダー]]にあわせて、以下のパーティションを追加で作成する必要が出てきます:
** '''BIOS/MBR''': 追加のパーティションは必要ありません。
** '''BIOS/GPT''':
*** [[Syslinux]] を使用する場合: 追加のパーティションは必要ありません。
*** [[GRUB]] を使用する場合: タイプが {{ic|EF02}} で容量が 1MiB または 2MiB の [[GRUB#GUID Partition Table (GPT) 特有の手順|BIOS Boot Partition]]。
** '''UEFI/GPT''': [[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]]。
** '''UEFI/MBR''': [[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]]。

以下の例では、新しい、連続するパーティションスキームを1つのデバイスに適用します。任意の {{ic|/boot}} や {{ic|/home}} ディレクトリのパーティションも作成しています。それぞれのディレクトリの目的については [[Arch ファイルシステム階層]]を見て下さい。{{ic|/boot}} や {{ic|/home}} などのディレクトリのパーティションを別に作成しない場合、{{ic|/}} パーティションに含まれることになります。また、[[スワップ|スワップ領域]]用のパーティションについても説明します。

''parted'' のインタラクティブセッションをまだ開いてない場合は、パーティションするデバイスを指定して起動してください:

# parted /dev/sd''x''

次のコマンドを使用してパーティションを作成します:

(parted) mkpart ''part-type'' ''fs-type'' ''start'' ''end''

* {{ic|''part-type''}} は {{ic|primary}}, {{ic|extended}}, {{ic|logical}} のうちどれか一つから選びます。MBR パーティションテーブルでのみ意味があります。
* {{ic|''fs-type''}} は [http://www.gnu.org/software/parted/manual/parted.html#mkpart マニュアル] に記載されているサポートがあるファイルシステムの中から選びます。パーティションは[[#ファイルシステムの作成|ファイルシステム作成]]でフォーマットします。
* {{ic|''start''}} はデバイスの先頭からのパーティションの開始位置です。[http://www.gnu.org/software/parted/manual/parted.html#unit 単位] をつけた数値で指定し、例えば {{ic|1M}} なら 1MiB が開始位置になります。
* {{ic|''end''}} はデバイスの先頭からのパーティションの終末位置です ({{ic|''start''}} から計算するわけではありません)。{{ic|''start''}} と同じ構文を使うことができ、例えば {{ic|100%}} と指定するとデバイスの終端を意味します (残り領域全てを使う)。

{{Warning|パーティションは重ならないように注意してください。デバイスに未使用のスペースを残さないようにするには、それぞれのパーティションが前のパーティションの終末から開始するようにしてください。}}

{{Note|''parted'' は以下のような警告を表示することがあります:

Warning: The resulting partition is not properly aligned for best performance.
Ignore/Cancel?

この表示がでたときは、[[パーティショニング#パーティションアライメント]]を見て [[GNU Parted#アライメント]] にしたがって修正してください。}}

{{ic|/boot}} ディレクトリを含むパーティションが起動できるようにフラグを立てるには次のコマンドを使います:

(parted) set ''partition'' boot on

* {{ic|''partition''}} はフラグを立てるパーティションの番号に置き換えて下さい ({{ic|print}} コマンドの出力を参照しましょう)。

==== UEFI/GPT の例 ====

どんなふうにパーティショニングするにせよ、特別な [[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]] が必要になります。

{{Warning|UEFI/GPT で Windows がインストールされている環境でデュアルブートをしたい場合は、既存の UEFI パーティションを消去しないでください。このパーティションを消去すると、Windows を起動するのに必要な ''.efi'' ファイルが削除されてしまいます。}}

新しく EFI System Partition を作成する場合は、以下のコマンドを使って下さい (推奨される容量は 512MiB です):

(parted) mkpart ESP fat32 1MiB 513MiB
(parted) set 1 boot on

あとのパーティションスキームはあなたが自由に決めて下さい。残りのスペースを全て使用する単一のパーティションを作るには:

(parted) mkpart primary ext4 513MiB 100%

{{ic|/}} (20GiB) と {{ic|/home}} (残り容量全てを使用) パーティションを作るには:

(parted) mkpart primary ext4 513MiB 20.5GiB
(parted) mkpart primary ext4 20.5GiB 100%

{{ic|/}} (20GiB), スワップ (4GiB), {{ic|/home}} (残り容量全てを使用) パーティションを作成するには:

(parted) mkpart primary ext4 513MiB 20.5GiB
(parted) mkpart primary linux-swap 20.5GiB 24.5GiB
(parted) mkpart primary ext4 24.5GiB 100%

==== BIOS/MBR の例 ====

ディスク容量を全て使用する単一のプライマリパーティションを作成するには、以下のコマンドを使用します:

(parted) mkpart primary ext4 1MiB 100%
(parted) set 1 boot on

以下の例では、20GiB の {{ic|/}} パーティションを作成してから、残り容量を全て使用する {{ic|/home}} パーティションを作成します:

(parted) mkpart primary ext4 1MiB 20GiB
(parted) set 1 boot on
(parted) mkpart primary ext4 20GiB 100%

以下の例では {{ic|/boot}} (100MiB), {{ic|/}} (20GiB), スワップ (4GiB), {{ic|/home}} (残り容量全てを使用) パーティションを作成します:

(parted) mkpart primary ext4 1MiB 100MiB
(parted) set 1 boot on
(parted) mkpart primary ext4 100MiB 20GiB
(parted) mkpart primary linux-swap 20GiB 24GiB
(parted) mkpart primary ext4 24GiB 100%

=== ファイルシステムの作成 ===

パーティショニングはまだ終わっていません。パーティションには[[ファイルシステム]]が必要です（ただしスワップパーティションには要りません）。インストール先のデバイスに存在するパーティションを確認するには次のコマンドを使用:

# lsblk /dev/sd''x''

下に書かれている注意点を除いて、基本的には {{ic|ext4}} ファイルシステムを使うことを推奨します:

# mkfs.ext4 /dev/sd''xY''

{{Warning|UEFI/GPT で Windows がインストールされている環境でデュアルブートをしたい場合は、UEFI パーティションをフォーマットしないでください。フォーマットしてしまうと、Windows を起動するのに必要な ''.efi'' ファイルが入っている UEFI パーティションのデータが全て削除されます。}}

UEFI/GPT 環境で新しく UEFI システムパーティションを作成した場合は、UEFI パーティションを {{ic|fat32}} または {{ic|vfat32}} ファイルシステムでフォーマットしてください。これを行っておかないと起動できなくなります:
# mkfs.vfat -F32 /dev/sd''xY''
{{Note|BIOS/GPT 環境で [[GRUB]] を使用する場合、[[GRUB#GUID Partition Table (GPT) 特有の手順|BIOS Boot Partition]] は {{ic|/boot}} マウントポイントと関係ないので注意してください。このパーティションは GRUB によって直接使用されます。BIOS Boot Partition にファイルシステムを作成したり、マウントしたりしてはいけません。}}

=== スワップの有効化 ===

スワップパーティションを作成した場合は、以下のコマンドで有効化する必要があります:

# mkswap /dev/sd''xY''
# swapon /dev/sd''xY''

=== パーティションのマウント ===

{{Note|ここではスワップパーティションをマウントしないでください。}}

まず最初に {{ic|/}} (root) パーティションをマウントしてください。{{ic|/boot}} や {{ic|/home}} などのディレクトリは root ファイルシステムに作成する必要があるためです。ライブ環境の {{ic|/mnt}} ディレクトリを使用して root パーティションをマウントします。他のパーティションはそこをベースにします。root パーティションの名前が {{ic|sd''xR''}} なら、次のコマンドを実行:

# mount /dev/sd''xR'' /mnt

{{ic|/}} パーティションをマウントしたら、他のパーティションをマウントすることができます。順番は気にしなくて結構です。手順としてはまずマウントポイントを作成し、それからパーティションをそのマウントポイントにマウントします。{{ic|/boot}} パーティションを作成していたのならば:

# mkdir -p /mnt/boot
# mount /dev/sd''xB'' /mnt/boot

UEFI/GPT 環境の場合、EFI システムパーティションも {{ic|/boot}} にマウントすることを推奨します。他のマウントポイントを使いたいときは、[[EFISTUB]] の記事を見て下さい。

{{ic|/home}} パーティションを使用する場合:

# mkdir -p /mnt/home
# mount /dev/sd''xH'' /mnt/home

全てのパーティションをマウントしたら、デバイスの準備は完了で Arch をインストールできます。

== ミラーの選択 ==

インストールの前に、{{ic|mirrorlist}} ファイルを編集し、あなたに相応しいミラーを一番上に置きましょう。このファイルのコピーが {{ic|pacstrap}} によってインストールされ、新しいシステム上でも選択したミラーが使われます。

{{hc|# nano /etc/pacman.d/mirrorlist|
##
## Arch Linux repository mirrorlist
## Sorted by mirror score from mirror status page
## Generated on YYYY-MM-DD
##

<nowiki>Server = http://ftp.jaist.ac.jp/pub/Linux/ArchLinux/$repo/os/$arch</nowiki>
...}}

* {{ic|Alt+6}} で {{ic|Server}} 行をコピー。
* {{ic|PageUp}} キーで上にスクロール。
* {{ic|Ctrl+U}} でリストの一番上にペースト。
* {{ic|Ctrl+X}} で終了、保存するか聞かれたら、{{ic|Y}} を押し {{ic|Enter}} で上書き保存。

他のミラーを消去 ({{ic|Ctrl+K}} を使う) してミラーを''ひとつだけに''絞ることもできますが、そのミラーがオフラインになったときのことを考え、ミラーを複数使用するほうが良いでしょう。

{{Tip|
* [https://www.archlinux.org/mirrorlist/ Mirrorlist Generator] を使って、あなたの国の最新リストを入手できます。[[Wikipedia:Keepalive|keepalive]] が存在するため、HTTP ミラーのほうが FTP よりも速度が速いです。また FTP では、pacman はパッケージをダウンロードするごとにシグナルを送信しなくてはならないため、短い停止がはさまります。ミラーリストを作る他の方法を見るには、[[ミラー#ミラーをソートする|ミラーのソート]]と [[Reflector]] を参照してください。
* [https://archlinux.org/mirrors/status/ Arch Linux MirrorStatus] ではミラーの状況、たとえばネットワークエラー、データ収集エラー、最終同期時間などの様々な情報を見ることができます。}}

{{Note|
* 将来、ミラーリストを変更したときは必ず、{{ic|pacman -Syyu}} で pacman の全てのパッケージリストを更新することを覚えておいて下さい。これは良い経験則と考えられており、問題の回避につながります。詳しくは[[ミラー]]を参照。
* 古いインストールメディアを使っている場合、ミラーリストが古くなっているかもしれません。そのために Arch Linux のアップデート時に問題を引き起こす可能性があります。({{Bug|22510}} を参照)。上で述べたようにして最新のミラー情報を入手するべきです。}}

== ベースシステムのインストール ==

''pacstrap'' スクリプトを使ってベースシステムをインストールします。インストールするパッケージを選択せず、{{Grp|base}} の全てのパッケージをインストールするときは、{{ic|-i}} スイッチを省いて下さい。[[AUR]] や [[ABS]] でパッケージをビルドするときのために、{{Grp|base-devel}} グループも必要になります。

# pacstrap -i /mnt base base-devel

ライブ環境に含まれているツールの中には base グループに含まれていないものもあります ([https://projects.archlinux.org/archiso.git/tree/configs/releng/packages.both packages.both] を参照)。パッケージは後で ''pacman'' を使って[[インストール]]することもできますが、''pacstrap'' コマンドにパッケージの名前を追加することでこの場でインストールすることもできます。

{{Note|
* ミラーを正しく設定しているのに、''pacstrap'' が {{ic|error: failed retrieving file 'core.db' from mirror... : Connection time-out}} で止まる場合は、他の[[Resolv.conf|ネームサーバ]]を設定してみてください。
* ベースパッケージのインストール中に PGP 鍵のインポートをリクエストされたら、鍵のダウンロードを承認して先に進んで下さい。これは古い Arch ISO を使っていると発生します。PGP 鍵を追加できないときは、次のようにして {{Pkg|archlinux-keyring}} パッケージを更新してみてください: {{ic|pacman -S archlinux-keyring}}。詳しくは [[Pacman#トラブルシューティング]] や [[Pacman-key#トラブルシューティング]] を見て下さい。
}}

== fstab の生成 ==

以下のコマンドで [[fstab]] ファイルを生成します。いくつか有利な点がある UUID が使われます ([[fstab#ファイルシステムの識別]] を参照)。UUID ではなくラベルを使いたいときは、{{ic|-U}} オプションを {{ic|-L}} に置き換えましょう。

# genfstab -U /mnt > /mnt/etc/fstab
# cat /mnt/etc/fstab

{{Warning|生成したあとは必ず {{ic|fstab}} の中身をチェックしましょう。''genfstab'' や後のインストール作業中にエラーが起こっても、もう一度 ''genfstab'' を実行するのはやめてください。その場合は手動で {{ic|fstab}} ファイルを編集して下さい。}}

最後のフィールドには起動時にチェックするパーティションの順番を設定します: ({{ic|btrfs}} 以外では) root パーティションに {{ic|1}} を使って下さい、最初にチェックされます。起動時にチェックしたい他のパーティションには {{ic|2}} を使って下さい、{{ic|0}} はチェックされません ([[fstab#フィールドの定義]] を参照)。[[btrfs]] のパーティションには全て {{ic|0}} を使う必要があります。スワップパーティションも {{ic|0}} に設定してください。

== Chroot とベースシステムの設定 ==

次に、[[Change Root|chroot]] を使って新しくインストールされたシステムに入ります:

# arch-chroot /mnt /bin/bash

この段階では、Arch Linux ベースシステムの重要な設定ファイルを作ります。ファイルが存在していないときや、デフォルト設定を使いたくないときは、その都度ファイルを作成したり編集してください。

正確に、手順をよく踏まえてから設定してください。システムを正しく設定するのにとても重要なステップです。

{{Warning|ISO で使用しているツールは自動的にインストールされるわけではありません。例えば、インストールの一環としてネットワークに接続するために ''wifi-menu'' を使っている場合、インストールを完了した後も ''wifi-menu'' を使うためには、{{Pkg|dialog}} をインストールしておく必要があります。以下のセクションではそういったケースについて説明をしているので、後で困った事態にならないようにちゃんと指示に従って下さい。}}

=== ロケール ===

ロケールを設定することによって、{{Pkg|glibc}} やその他のロケールを使うプログラムやライブラリで、テキストのレンダリング、正しい通貨単位の表示、時間と月日のフォーマット、アルファベットの特有表現、地域特有の単位の表示などができるようになります。

2つのファイルを編集する必要があります: 使用可能なロケールを記述する {{ic|locale.gen}} と実際に使用するロケールを定義する {{ic|locale.conf}}。

{{ic|locale.gen}} ファイルはデフォルトでは全てコメントアウト ({{ic|#}} で無効化) されています。{{ic|en_US.UTF-8 UTF-8}} の行と、必要なロケールをアンコメント (行の前の {{ic|#}} を削除) してください。選択肢がいくつかある場合 {{ic|UTF-8}} を推奨します。

{{hc|# nano /etc/locale.gen|
...
#en_SG ISO-8859-1
en_US.UTF-8 UTF-8
#en_US ISO-8859-1
...
#ja_JP.EUC-JP EUC-JP
ja_JP.UTF-8 UTF-8
#ka_GE.UTF-8 UTF-8
...
}}

ロケールは有効にする前に、''生成''する必要があります:

# locale-gen

{{ic|locale.conf}} ファイルはデフォルトで存在しません。ファイルを作成して、他の全ての変数のデフォルト値として扱われる {{ic|LANG}} のみ設定してください。{{ic|LANG}} 変数に指定するロケールは {{ic|/etc/locale.gen}} でアンコメントされている必要があります:

# echo LANG=''en_US.UTF-8'' > /etc/locale.conf

ロケールを export してください:

# export LANG=''en_US.UTF-8''

{{Tip|
* この段階でロケールを日本語に設定してしまうと、日本語を表示するためのフォントなどの環境が整っていないため、コンソールの出力が文字化けして判読できなくなってしまいます。GUI 環境を設定してから、以下を実行することで言語を日本語に設定できます:
# echo LANG<nowiki>=</nowiki>''ja_JP.UTF-8'' > /etc/locale.conf
# export LANG<nowiki>=</nowiki>''ja_JP.UTF-8''
* システム全体のロケールを {{ic|en_US.UTF-8}} に設定してシステムログを英語で保存するとトラブルシューティングが楽になります。この設定は[[ロケール#ユーザーごとにロケールを設定]]で書かれているようにしてユーザー個別で上書きできます。
* 他の {{ic|LC_*}} 変数を使いたいときは、まず {{ic|locale}} を実行してオプションを確認してから、{{ic|locale.conf}} に追加してください。{{ic|LC_ALL}} 変数を使うことは推奨されません。詳しくは[[ロケール]]を参照してください。
}}

=== コンソールフォントとキーマップ ===

[[#言語の選択|言語の選択]]でデフォルトのキーマップとフォントを変更していた場合、再起動後もキーマップ設定が適用されるように、{{ic|/etc/vconsole.conf}} を編集 (ファイルがなかったら作成) してください:

{{hc|# nano /etc/vconsole.conf|2=
KEYMAP=''jp106''
FONT=''lat9w-16''
}}

詳しくは[[フォント#コンソールフォント|コンソールフォント]]や {{ic|man vconsole.conf}} を参照。

{{Warning|{{ic|KEYMAP}} を最初に ''loadkeys'' で設定した値と異なる値に設定してから、[[#root パスワードの設定|root パスワードを設定]]してしまうと、新しいシステムにログインするときにキーマップが変わっていてログインできなくなる可能性があります。}}

以上の設定は仮想端末においてのみ適用されます。[[Xorg]] ではまた異なる設定をする必要があります。詳しくは[[フォント#コンソールフォント]]を見て下さい。

=== タイムゾーン ===

利用可能なタイムゾーンとサブゾーンは {{ic|/usr/share/zoneinfo/''ゾーン''/''サブゾーン''}} ディレクトリで見つかります。{{ic|ls}} コマンドでゾーンの一覧を表示できます:
$ ls -l /usr/share/zoneinfo

{{Tip|[http://tldp.org/LDP/abs/html/tabexpansion.html タブ補完] を使うことでも利用できるゾーンとサブゾーンを表示できます。}}

{{ic|/etc/localtime}} から適切なゾーンファイル {{ic|/usr/share/zoneinfo/''ゾーン''/''サブゾーン''}} へのシンボリックリンクを作って下さい:

# ln -s /usr/share/zoneinfo/''ゾーン''/''サブゾーン'' /etc/localtime

例:

# ln -s /usr/share/zoneinfo/Asia/Tokyo /etc/localtime

{{ic|ln: failed to create symbolic link '/etc/localtime': File exists}} と表示される場合は、{{ic|ls -l /etc/localtime}} で既存のファイルを確認してから、''ln'' コマンドに {{ic|-f}} オプションを追加して上書きしてください。

=== ハードウェアクロック ===

ハードウェアクロックモードを全ての OS で同じになるように設定します。さもないと、ハードウェアクロックが上書きされ時刻がずれてしまう可能性があります。''hwclock'' コマンドは {{ic|/etc/adjtime}} ファイルを生成します。[[Wikipedia:ja:協定世界時|UTC]] に設定するには、次を実行:

# hwclock --systohc --utc

{{Note|ハードウェアクロックに [[Wikipedia:ja:協定世界時|UTC]] を使ったからといって、ソフトウェアが時刻を UTC で表示するわけではありません。}}

{{Warning|Windows はデフォルトで ''localtime'' を使っています。Arch で ''localtime'' を使用すると既知の問題や容易に修復できないバグを引き起こす可能性があります。しかしながら、''localtime'' のサポートを終了する計画はありません。''localtime'' を使用する場合は、root で {{ic|hwclock --systohc --localtime}} を実行してください。Windows 7 以降を使用する場合、Arch を ''localtime'' に設定するのではなく、Windows に UTC を使わせて、Windows の時刻同期を無効にすることが推奨されています。詳しくは[[時刻#Windows で UTC を使う]]を見て下さい。}}

=== カーネルモジュール ===

必要なカーネルモジュールは基本的に [[udev]] によって自動ロードされるため、手動でモジュールをロードする必要があるのは稀です。詳しくは[[カーネルモジュール]]を見て下さい。

=== ホスト名 ===

お好きな名前を[[Wikipedia:ja:ホスト名|ホスト名]]に設定してください (例: ''arch''):

# echo ''ホスト名'' > /etc/hostname

同じホスト名を {{ic|/etc/hosts}} に追加します:

#<ip-address> <hostname.domain.org> <hostname>
127.0.0.1 localhost.localdomain localhost ''ホスト名''
::1 localhost.localdomain localhost ''ホスト名''

=== ネットワークの設定 ===

ネットワークの設定をもう一度行います。今回は新しくインストールされる環境のネットワーク設定です。[[#インターネット接続の確立|上で説明した]]のと方法はほとんど同じですが、今回の設定では、設定が消えないように、ブート時に自動的に起動するように設定します。

まず最初に、{{ic|ip link}} で接続を設定するネットワークインターフェイスの名前を確認してください。

{{Note|
* ネットワーク設定の詳しい情報は、[[ネットワーク設定]]や[[ワイヤレス設定]]を参照してください。
* インターフェースについて古い命名規則 ({{ic|eth''X''}} や {{ic|wlan''X''}}) を使って欲しい時は {{ic|/etc/udev/rules.d/80-net-setup-link.rules}} に空のファイルを作成してください。これによって {{ic|/usr/lib/udev/rules.d}} 下の同じ名前のファイルがマスクされます (空のファイルを使う代わりに、{{ic|/dev/null}} へのシンボリックリンクを使うことでも命名規則を戻せます: {{ic|# ln -s /dev/null /etc/udev/rules.d/80-net-setup-link.rules}})。
}}

==== 有線 ====

===== 動的 IP =====

; dhcpcd を使う

固定された有線ネットワーク接続が1つだけあるという環境の場合、ネットワーク管理サービスを使う必要はなく、単純に {{ic|dhcpcd}} サービスを有効にするだけで足ります:

# systemctl enable dhcpcd@''インターフェイス名''.service

; netctl を使う

{{ic|/etc/netctl/examples}} からサンプルプロファイルを {{ic|/etc/netctl/}} にコピーしてください:

# cd /etc/netctl
# cp examples/ethernet-dhcp my_network

プロファイルを編集して下さい ({{ic|Interface}} を {{ic|eth0}} から {{ic|ip link}} を実行したときに確認したインターフェイス名に修正する):

# nano my_network

{{ic|my_network}} プロファイルを有効にしてください:

# netctl enable my_network

{{Note|{{ic|Running in chroot, ignoring request.}} というメッセージが表示されることがありますが、いまのところは無視してかまいません。}}

; netctl-ifplugd を使う

{{Warning|{{ic|netctl enable ''プロファイル名''}} のようにしてプロファイルを有効にする方法と netctl-ifplugd を使う方法を一緒に用いることはできません。}}

{{Pkg|netctl}} の {{ic|netctl-ifplugd}} を使って動的に接続を管理することもできます。

まず {{Pkg|ifplugd}} をインストールしてください、{{ic|netctl-ifplugd}} を使うために必要なパッケージです:

# pacman -S ifplugd

そしてサービスを有効にしてください:

# systemctl enable netctl-ifplugd@''インターフェイス名''.service

{{Note|[[netctl]] には {{ic|netctl-auto}} もあり、{{ic|netctl-ifplugd}} と一緒に無線プロファイルを管理するのに使うことができます。}}

===== 固定 IP =====

; netctl を使う

{{ic|/etc/network.d/examples}} から {{ic|/etc/netctl}} にサンプルプロファイルをコピーします:

# cd /etc/netctl
# cp examples/ethernet-static my_network

必要に応じてプロファイルを編集 ({{ic|Interface}}, {{ic|Address}}, {{ic|Gateway}}, {{ic|DNS}} を修正):

# nano my_network

{{ic|Address}} の中の {{ic|/24}} は {{ic|255.255.255.0}} ネットマスクの [[wikipedia:Classless Inter-Domain Routing#CIDR notation|CIDR notation]] です。

そして作成したプロファイルを有効にしてください:

# netctl enable my_network

; systemd-networkd を使う

[[systemd-networkd]] を参照してください。

==== 無線 ====

{{Note|あなたの使っているワイヤレスアダプタにファームウェアが必要な場合 (上の[[#インターネット接続の確立|インターネット接続の確立]]セクションと[[ワイヤレス設定#ドライバとファームウェア|ここ]]に記述あり)、ファームウェアを含んだパッケージをインストールしてください。ほとんどの場合、{{Pkg|linux-firmware}} パッケージに必要なファームウェアが含まれていますが、機器によっては個別のパッケージにファームウェアが存在します。例えば: {{ic|# pacman -S zd1211-firmware}}。詳しくは[[ワイヤレス設定]]を見て下さい。}}

ネットワークに接続するために {{pkg|iw}} と {{pkg|wpa_supplicant}} をインストールしてください:

# pacman -S iw wpa_supplicant

===== 無線ネットワークの追加 =====
; wifi-menu を使う

{{ic|wifi-menu}} に必要な {{pkg|dialog}} をインストールしてください:
# pacman -S dialog

このインストールと再起動が終わった後 {{ic|wifi-menu ''インターフェイス名''}} ({{ic|''インターフェイス名''}} はあなたの無線インターフェースに置き換えてください) でネットワークに接続することができます。

# wifi-menu ''インターフェイス名''

{{Warning|{{ic|wifi-menu}} を使う時は、絶対に chroot を終了して再起動した''後''にしてください。このコマンドを使って作成されたものが chroot の外で動作させているものと衝突してしまう恐れがあるからです。また、上で書かれているようにテンプレートを使って手動でネットワークプロファイルを設定することもできます、その場合は {{ic|wifi-menu}} を使うことについての心配はいりません。}}

; 手動の netctl プロファイルを使う

ネットワークプロファイルを {{ic|/etc/netctl/examples}} から {{ic|/etc/netctl}} にコピーしてください:

# cd /etc/netctl
# cp examples/wireless-wpa my_network

接続するネットワークにあわせてプロファイルを編集してください ({{ic|Interface}}, {{ic|ESSID}}, {{ic|Key}} を修正):

# nano my_network

作成したプロファイルがブート毎に実行されるよう有効にしてください:

# netctl enable my_network

===== 既知のネットワークに自動で接続する =====

{{Warning|{{ic|netctl enable ''プロファイル名''}} のようにしてプロファイルを有効にする方法とこの方法を一緒に使うことはできません。}}

{{ic|netctl-auto}} に必要な {{Pkg|wpa_actiond}} をインストールしてください:

# pacman -S wpa_actiond

{{ic|netctl-auto}} サービスを有効にすれば、既知のネットワークに接続しローミングや切断を管理します:

# systemctl enable netctl-auto@''インターフェイス名''.service

{{Note|[[netctl]] には {{ic|netctl-ifplugd}} もあり、{{ic|netctl-auto}} と一緒に有線プロファイルを管理するのに使われます。}}

==== xDSL (PPPoE), アナログモデム, ISDN ====

xDSL、ダイアルアップ・ISDN 接続は、[[モデムに直接接続]]を見て下さい。

=== Initial ramdisk 環境の作成 ===

{{Tip|ほとんどのユーザーはこの手順をスキップし、{{ic|mkinitcpio.conf}} のデフォルト設定を使って問題ありません。initramfs イメージ ({{ic|/boot}} フォルダ内) は {{ic|pacstrap}} によって {{Pkg|linux}} パッケージ (Linux カーネル) をインストールしたときに、{{ic|mkinitcpio.conf}} に基づいて既に生成されています。}}

root が USB ドライブにあったり、RAID や LVM を使っていたり、{{ic|/usr}} が分割されたパーティション上にある場合は、ここで正しい [[Mkinitcpio#HOOKS|hooks]] を設定しなくてはなりません。

必要に応じて {{ic|/etc/mkinitcpio.conf}} を編集し、initramfs イメージを再形成します:

# mkinitcpio -p linux

=== root パスワードの設定 ===

root パスワードを設定します:

# passwd

=== ブートローダのインストールと設定 ===

Intel の CPU を使っている場合、{{Pkg|intel-ucode}} パッケージをインストールして[[マイクロコード#Intel のマイクロコードのアップデートを有効にする|マイクロコードのアップデートを有効化]]してください。

==== BIOS マザーボードの場合 ====

BIOS システムでは、複数のブートローダが使えます。ブートローダの完全なリストは[[ブートローダー]]にあります。あなたの都合に合わせてどれか一つを選んで下さい。よく使われるブートローダーは:

* [[Syslinux]] は現在 Syslinux がインストールされたパーティションのファイルのみをロードするように制限されています。設定ファイルはわかりやすいものになっています。設定サンプルは [[Syslinux#サンプル|Syslinux]] の記事にあります。

* [[GRUB]] はより多くの機能を備えた複雑なブートローダです。設定ファイルはスクリプト言語 (sh) に似ていて、初心者が手動で設定するには難しいかもしれません。自動で設定を生成するのが推奨されます。

ここからは、GRUB と MBR の組み合わせでのインストールを説明します。まず {{Pkg|grub}} パッケージをインストールします。GRUB が他のオペレーティングシステムも検索できるように、{{Pkg|os-prober}} もインストールしておきます:

# pacman -S grub os-prober

{{ic|grub-install}} を実行してブートローダをインストールしてください:

# grub-install --recheck ''/dev/sda''

{{Note|
* {{ic|/dev/sda}} はあなたが Arch をインストールしたドライブに書き換えてください。パーティション番号を加えてはいけません ({{ic|sda''X''}} を使ってはいけません)。
* サンプルの {{ic|/boot/grub/grub.cfg}} は grub パッケージの一部としてインストールされ、後の {{ic|grub-*}} コマンドでは上書きされません。変更を加えるときは {{ic|grub.cfg.new}} などのファイルではなく {{ic|grub.cfg}} を編集してください。
}}

次に {{ic|grub.cfg}} を作ります。手動で作る方が細かい設定ができますが、初心者は自動で生成するのが推奨されています:

# grub-mkconfig -o /boot/grub/grub.cfg

GRUB の使用・設定の詳しい情報は、[[GRUB]] を参照。

==== UEFI マザーボードの場合 ====

{{Note|UEFI ファームウェアによってはインストールしたブートローダーの {{ic|.efi}} ブータブルスタブを特定の名前で特定の場所に配置する必要があります: {{ic|$esp/EFI/boot/bootx64.efi}} ({{ic|$esp}} は EFI System Partition のマウントポイントに置き換えて下さい)。これをしていないと場合によっては、インストールした環境を起動できなくなることがあります。詳しくはそれぞれのブートローダーのセクションを見て下さい。}}

UEFI システムでも、複数のブートローダが使えます。利用できるブートローダの完全なリストは[[ブートローダー]]にあります。あなたの都合にあわせて選んで下さい。ここでは、2つのブートローダを例として提示します:

* [[systemd-boot]] は最小主義の UEFI ブートマネージャで、[[EFISTUB]] カーネルや他の UEFI アプリケーションのためのメニューを提供します。初心者、特に Windows 8 などの別のオペレーティングシステムとデュアルブートをしたいユーザーに推奨です。
* [[GRUB]] は完全なブートローダーで、systemd-boot で問題が起きた時に役に立ちます。

ここからは systemd-boot のインストールを説明します。まず、インストール後に EFI System Partition を操作するための {{Pkg|dosfstools}} パッケージをインストールしてください:

# pacman -S dosfstools

{{Note|
* UEFI でブートするには、ドライブは GPT でパーティションされている必要があり、[[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]] (512 MiB 以上, FAT32, gdisk タイプ {{ic|EF00}}) が存在しなければなりません。このガイドを初めから実行しているのなら、すでに全て行われているはずです。
* systemd-boot が自動的にアップデートされるように EFI System Partition は {{ic|/boot}} にマウントすることを強く推奨します。
}}

自動インストールスクリプトを実行してブートローダを EFI System Partition にインストールしてください ({{ic|$esp}} は EFI System Partiton の場所に置き換えて下さい、通常は {{ic|/boot}} です):

# bootctl --path=''$esp'' install

Bootctl はファームウェアによって自動で検出され、{{ic|bootx64.efi}} ブータブルスタブが {{ic|$esp/EFI/boot}} にあることを必要とします。そして {{ic|.efi}} スタブを使ってインストールされている別のオペレーティングシステムを自動で検出します。ただし、bootctl の設定ファイルは手動で作成する必要があります。

まず、{{ic|''$esp''/loader/entries/arch.conf}} を作成して以下を記述します、{{ic|/dev/sdaX}} は ''root'' パーティションに置き換えて下さい (例: {{ic|/dev/sda2}}):
{{hc|# nano ''$esp''/loader/entries/arch.conf|2=
title Arch Linux
linux /vmlinuz-linux
initrd /initramfs-linux.img
options root='''/dev/sdaX''' rw
}}
次に、{{ic|''$esp''/loader/loader.conf}} を作成して以下を記述します、timeout の値は自由に変更できます (秒数):
{{hc|# nano ''$esp''/loader/loader.conf|2=
default arch
timeout 5
}}

詳しい情報は [[systemd-boot]] を見て下さい。

== パーティションのアンマウントと再起動 ==

chroot 環境を脱出します:

# exit

{{Note|パーティションは ''systemd'' によってシャットダウン時に自動的にアンマウントされますが、安全対策として {{ic|umount -R /mnt}} を使って手動でアンマウントすることもできます。パーティションがビジー状態の場合、[[Wikipedia:fuser_(Unix)|fuser]] で原因を特定できます。}}

コンピュータを再起動:

# reboot

{{Tip|インストールメディアを取り出してください、そうしないともう一度セットアップが起動してしまいます。マシンにログインするときはユーザー "root" と前に passwd コマンドで設定したパスワードを使います。デフォルトのパスワードは "root" です。}}

== インストールのその先 ==

あなたの新しい Arch Linux ベースシステムは今、あなたの目的や希望のために必要な全てを入れる準備ができた GNU/Linux になっています。ここからは[[一般的な推奨事項]]のページを見ることを推奨します。特に最初の2つのセクションは必読です。また、他のセクションには、グラフィカルユーザーインターフェイス (GUI) やサウンド、タッチパッドの設定などのチュートリアルが書かれたページヘのリンクが載っています。

あなたの興味を引くであろうアプリケーションの一覧は、[[アプリケーション一覧]]を参照。

ビギナーズガイド

2015-12-28T21:13:41Z

Aosho235: /* パーティションスキーム */

[[Category:Arch の入手とインストール]]
[[Category:Arch について]]
[[ar:Beginners' guide]]
[[bg:Beginners' guide]]
[[cs:Beginners' guide]]
[[da:Beginners' guide]]
[[de:Anleitung für Einsteiger]]
[[el:Beginners' guide]]
[[en:Beginners' guide]]
[[es:Beginners' guide]]
[[fa:راهنمای_تازه‌کاران]]
[[fr:Installation]]
[[he:Beginners' guide]]
[[hr:Beginners' guide]]
[[hu:Beginners' guide]]
[[id:Beginners' guide]]
[[it:Beginners' guide]]
[[ko:Beginners' guide]]
[[lt:Beginners' guide]]
[[nl:Beginners' guide]]
[[pl:Beginners' guide]]
[[pt:Beginners' guide]]
[[ro:Ghidul începătorilor]]
[[ru:Beginners' guide]]
[[sk:Beginners' guide]]
[[sr:Beginners' guide]]
[[sv:Nybörjarguiden]]
[[tr:Yeni başlayanlar rehberi]]
[[uk:Beginners' guide]]
[[zh-cn:Beginners' guide]]
[[zh-tw:Beginners' guide]]
{{Related articles start}}
{{Related|:カテゴリ:アクセシビリティ}}
{{Related|インストールガイド}}
{{Related|ディスクレスシステム}}
{{Related|SSH からインストール}}
{{Related|一般的な推奨事項}}
{{Related|一般的なトラブルシューティング}}
{{Related|ブートデバッグ}}
{{Related|pacman#トラブルシューティング}}
{{Related|pacman-key#トラブルシューティング}}
{{Related articles end}}

この文章では [https://projects.archlinux.org/arch-install-scripts.git/ Arch Install Scripts] を使って [[Arch Linux]] をインストールする方法を解説します。インストールする前に、[[FAQ]] を一読することをおすすめします。

コミュニティによって管理されている [[メインページ|ArchWiki]] は有用な資料であり、問題が発生したらまず wiki を読んでみましょう。wiki で答えが見つからないときは、[https://archlinuxjp-slack.herokuapp.com/ Slack] や [https://bbs.archlinuxjp.org/ フォーラム] を使って下さい。また、[[The Arch Way|Arch Way]] に従って、知らないコマンドの {{ic|man}} ページを見るようにしましょう。{{ic|man ''コマンド''}} で見ることができます。

== 動作環境 ==

Arch Linux は i686 互換の、最低 256MB の RAM を積んだマシンで動作します。また、基本的なインストールに必要な {{Grp|base}} グループに含まれる全てのパッケージをインストールするには約 800MB のディスク容量が必要です。使える容量が少ない場合、この数値をかなり切り詰めることが可能ですが、どうやるかは調べる必要があります。

== 最新のインストールメディアを準備する ==

Arch の公式インストールメディアは[https://www.archlinuxjp.org/download/ ダウンロードページ]から入手できます。ひとつの ISO で32ビットと64ビット両方のアーキテクチャをサポートしています。出来るだけ一番新しい ISO を使って下さい。

インストールイメージには署名がされており、使用する前に署名を検証するのが推奨されています (特に HTTP ミラーからダウンロードした場合)。[[GnuPG]] をインストールした環境で、ダウンロードした ''PGP 署名''を ISO のディレクトリに配置して、次を実行してください:
$ gpg --verify archlinux-<version>-dual.iso.sig
公開鍵が見つからない場合、{{ic|gpg --recv-keys ''key-id''}} で[[GnuPG#鍵のインポート|インポート]]できます [http://sparewotw.wordpress.com/2012/10/31/how-to-verify-signature-using-sig-file/]。もしくは、既存の Arch Linux 環境から次を実行:
$ pacman-key -v archlinux-<version>-dual.iso.sig
{{ic|md5}} と {{ic|sha1}} チェックサムはそれぞれ ''md5sum'' と ''sha256sum'' でチェックできます。

=== USB と光学ドライブ ===

[[光学ディスクドライブ#焼き込み]] (CD/DVD) や [[USB インストールメディア]] (USB) を見て下さい。

=== ネットワーク経由でのインストール ===

[[PXE]] の記事を参照してください。

=== 既存の Linux 環境からインストール ===

[[既存の Linux からインストール]]を見て下さい。[[VNC]] や [[SSH]] を使って Arch をリモートでインストールするときに特に便利です。[[SSH からインストール]]も参照。

=== 仮想マシンへのインストール ===

現在使用しているオペレーティングシステムを残したまま、[[Wikipedia:ja:仮想機械|仮想マシン]]上でインストール手順を実行することで、ストレージのパーティションを行う必要なく Arch Linux に慣れることができます。また、ブラウザでこのビギナーズガイドを開いたままインストールが可能です。独立した Arch Linux システムを使用できるということは、テストを行いたいという一部のユーザーにとって有益なことでしょう。

仮想化ソフトウェアの例としては、[[VirtualBox]], [[VMware]], [[QEMU]], [[Xen]], [[Parallels]] があります。

仮想マシンを準備するための正確な手順は、ソフトウェアによって異なりますが、一般的に次の手順に従います:

# オペレーティングシステムのホストにて、仮想ディスクイメージを作成します。
# 仮想マシンの設定を最適化します。
# 仮想 CD ドライブでダウンロードした ISO イメージを起動します。
# [[#インストールメディアの起動|インストールメディアの起動]]に進みます。

== インストールメディアの起動 ==

最初に、あなたのコンピュータの BIOS セットアップで起動順序を変更する必要があるかもしれません。それには、POST ([[Wikipedia:ja:Power On Self Test|Power On Self-Test]]) の間にキー (多くの場合 {{ic|Delete}}、{{ic|F1}}、{{ic|F2}}、{{ic|F11}} や {{ic|F12}}) を押します。これで BIOS の設定画面が表示されるので、ここでシステムが起動するデバイスを探す順番を設定できます。"Save & Exit" (もしくはそれに準ずるもの) を選択すればコンピュータは通常通り起動するはずです。

Arch のメニューが表示されたら、インストールを行うライブ環境を開始するために "Boot Arch Linux" をメニューから選択し、{{ic|Enter}} キーを押します (UEFI ブートディスクから起動した場合は、次のオプションを選択: "Arch Linux archiso x86_64 UEFI")。ブートエントリを編集することで様々なブートパラメータ ({{ic|copytoram}} など) を使うことができます。Syslinux では {{ic|tab}} を押し、systemd-boot では {{ic|e}} を押します。詳しくは [https://projects.archlinux.org/archiso.git/tree/docs/README.bootparams README.bootparams] を参照。

起動するとシェルプロンプトが表示され、root として自動的にログインが行われます。シェルは [[Zsh]] です。高度な [http://zsh.sourceforge.net/Guide/zshguide06.html タブ補完] など、[http://grml.org/zsh/ grml の設定] の機能が使用できます。テキストファイルを編集する時は、コンソールエディタの [[nano]] を使うことが推奨されています。使い方をよく知らない場合は、[[nano#nano の使用方法]] を見て下さい。Windows とのデュアルブートをする（もしくはそうすることを計画している）場合、[[Windows と Arch のデュアルブート]]を見て下さい。

=== UEFI モードでブートしているかどうかのテスト ===

{{Warning|将来を考えると EFI モードでインストールを行ったほうが望ましいのですが、初期の UEFI の実装には BIOS よりも大量のバグが存在しています。UEFI モードを使用する前にあなたの使用しているマザーボードのモデルについて検索をすることが推奨されます。}}

[[Unified Extensible Firmware Interface|UEFI]] マザーボードを使用していて、UEFI ブートモードが有効になっている (そしてそれが BIOS/Legacy モードよりも優先されている) 場合、CD/USB のインストールメディアは自動で [[systemd-boot]] を使って Arch Linux カーネルを起動します。そして以下のメニューが表示されます (黒地に白字)、最初のアイテムがハイライトされます:
{{bc|
Arch Linux archiso x86_64 UEFI USB
UEFI Shell x86_64 v1
UEFI Shell x86_64 v2
EFI Default Loader}}

UEFI モードで起動しているのか確認したい場合は、次を実行:

# efivar -l

''efivar'' が UEFI 変数を正しく表示したら、UEFI モードで起動されています。表示されない場合は [[Unified Extensible Firmware Interface#UEFI 変数のサポートを正しく動作させるための必要条件]] に記載されている全ての要件が満たされているか確認してください。

=== 起動時の問題のトラブルシューティング ===

* Intel のビデオチップセットを使用していて、ブート中にブランクスクリーン (画面が黒くなる) になった場合、おそらく Kernel Mode Setting ([[Kernel Mode Setting|KMS]]) に問題があります。回避策は、パソコンを再起動し、起動しようとしている項目 (i686 または x86_64) の上で、{{ic|Tab}} キーを押します。末尾に {{ic|nomodeset}} を追加し、{{ic|Enter}} キーを押します。または {{ic|1=video=SVIDEO-1:d}} (KMS は無効にされません) を設定します。もしくは、{{ic|i915.modeset<nowiki>=</nowiki>0}} を試して下さい。詳細は [[Intel Graphics|Intel]] ページを参照してください。

* ブランクスクリーンに''ならず''、カーネルのロード中に固まる場合は、{{ic|Tab}} キーをメニューの項目上で押し、末尾に {{ic|1=acpi=off}} を追加し、{{ic|Enter}} キーを押します。

== 言語の選択 ==

{{Tip|以下の設定は必須ではありません。設定ファイルをあなたの使う言語で書いたり、Wi-Fi パスワードで区別的発音符を使ったり、もしくはあなたの言語でシステムメッセージ(例えばエラー)を見たいときだけに役に立ちます。ここでの変更はインストールプロセスに''だけ''適用されます。}}

標準で、キーボードのレイアウトは {{ic|us}} に設定されています。もし、[[Wikipedia:File:KB United States-NoAltGr.svg|US]] キーボード以外のレイアウトを使用している場合は、

# loadkeys ''レイアウト名''

で変更できます。''レイアウト名''の部分は {{ic|jp106}}、{{ic|fr}}、{{ic|uk}}、{{ic|be-latin1}} などに置き換えます。[[コンソールでのキーボード設定#キーボードレイアウトの設定|ここ]]から一般的なレイアウトのリストを見ることができます。利用可能なキーマップを表示するには {{ic|localectl list-keymaps}} コマンドを使って下さい。

{{Warning|以下はフォントと言語の設定ですが、この段階では、日本語を表示することはできません。}}

フォントも変える必要があるかもしれません。ほとんどの言語は[[Wikipedia:ja:アルファベット|アルファベット]]の26字よりも多くの文字を使っているからです。さもなければ文字が□（豆腐）になったり全く異なって表示されることがあります。フォントの名前は大文字・小文字を区別するので、''正確に''入力してください:

# setfont lat9w-16

標準では、言語は英語 (US) に設定されています。インストール中の言語を変更したい場合 ''(例: 日本語)''、{{ic|/etc/locale.gen}} 内のあなたの設定したい[[ロケール]]の行と、英語 (US) の行から行頭の {{ic|#}} を削除します。{{ic|UTF-8}} を選択してください。

シンプルな Nano エディタで編集するには、{{ic|nano /etc/locale.gen}} と入力してください。{{ic|Ctrl+X}} で終了し、変更を保存するか聞かれたら {{ic|Y}} と、 {{ic|Enter}} を押せば同じファイル名で上書き保存します。

{{hc|# nano /etc/locale.gen|
en_US.UTF-8 UTF-8
ja_JP.UTF-8 UTF-8}}

# locale-gen
# export LANG=ja_JP.UTF-8

== インターネット接続の確立 ==

{{Warning|[http://cgit.freedesktop.org/systemd/systemd/tree/NEWS?id=dee4c244254bb49d1ffa8bd7171ae9cce596d2d0 v197] 以降、udev はネットワークインターフェースの名前を wlanX や ethX といった風に名づけません。あなたが他のディストリビューションを使っているなどの理由で、新しい命名規則を知らないのならば、あなたの無線インターフェースの名前が wlan0 だとか、有線インターフェースの名前が eth0 ではない可能性があることを予め覚えておいて下さい。{{ic|ip link}} コマンドでインターフェースの名前を調べることができます。}}

{{ic|dhcpcd}} ネットワークデーモンはブート時に自動で起動して、可能であれば有線での接続を試みます。接続できているかウェブサイトに ping をして確かめて下さい。例えば Google のサーバーに ping します:

{{hc|# ping -c 3 www.google.com|2=
PING www.l.google.com (74.125.132.105) 56(84) bytes of data.
64 bytes from wb-in-f105.1e100.net (74.125.132.105): icmp_req=1 ttl=50 time=17.0 ms
64 bytes from wb-in-f105.1e100.net (74.125.132.105): icmp_req=2 ttl=50 time=18.2 ms
64 bytes from wb-in-f105.1e100.net (74.125.132.105): icmp_req=3 ttl=50 time=16.6 ms

--- www.l.google.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 16.660/17.320/18.254/0.678 ms}}

{{ic|ping: unknown host}} のエラーが出た場合は下に記述されている方法を試して手動で接続をセットアップする必要があります。ネットワークへの接続が問題ないようでしたら、[[#ドライブの準備|ドライブの準備]]へ進んでください。

=== 有線 ===

固定 IP アドレスを使用して有線の接続をセットアップする場合は次の手順に従ってください。

あなたのイーサネットインターフェースの名前を確かめて下さい:

{{hc|# ip link|
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: enp2s0f0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT qlen 1000
link/ether 00:11:25:31:69:20 brd ff:ff:ff:ff:ff:ff
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DORMANT qlen 1000
link/ether 01:02:03:04:05:06 brd ff:ff:ff:ff:ff:ff}}

上記の例の場合、イーサネットインターフェースは {{ic|enp2s0f0}} です。よくわからない場合、あなたのイーサネットインターフェースはおそらく "e" から始まっているインターフェイスです。"w" で始まっているものや "lo" ではないということです。

[[ネットワーク設定#固定 IP アドレス]]を見て必要な設定を確認してください。{{ic|/etc/dhcpcd.conf}} に以下のような設定を使って、dhcpcd の static プロファイルを設定します:

interface enp2s0f0
static ip_address=192.168.0.10/24
static routers=192.168.0.1
static domain_name_servers=192.168.0.1 8.8.8.8

{{ic|dhcpcd.service}} を再起動してください:

# systemctl restart dhcpcd.service

これでネットワークに接続されるはずです。されない場合は、[[ネットワーク設定]]のページを見て下さい。

=== 無線 ===

{{Warning|(CD・USB スティックの) ライブ環境では、(ワイヤレスカードを使うのに必要な) ワイヤレスチップセットのファームウェアのパッケージは {{ic|/usr/lib/firmware}} の下にあらかじめインストールされていますが、再起動後にも無線を使うには、ユーザーがちゃんとパッケージをインストールする必要があります。パッケージのインストールはこのガイドの後ろで触れています。再起動する前にワイヤレスモジュール・ファームウェアを必ずインストールしてください。もし、あなたのチップセットがファームウェアのインストールを必要としているか不明な場合は[[ワイヤレス設定]]を見て下さい。}}

[[netctl]] の {{ic|wifi-menu}} を使いネットワークに接続します:

# wifi-menu

コンピュータに接続されている Wi-Fi デバイスが一つしかない (ノートパソコンなど) 場合は wifi ネットワークのメニューが表示されます。

コンピュータに複数の Wi-Fi デバイスが存在するときは、そのどれか一つを選択して ''wifi-menu'' にインターフェイスの名前を指定する必要があります。まず、インターフェイスの名前を確かめて下さい:

{{hc|# iw dev|2=
phy#0
Interface wlp3s0
ifindex 3
wdev 0x1
addr 00:11:22:33:44:55
type managed
}}

上の例では、{{ic|wlp3s0}} が有効なワイヤレスインターフェースです。どれかわからないときは、おそらく "w" から始まるのがあなたのワイヤレスインターフェースです。"lo" や "e" から始まるインターフェースは違います。

インターフェイスの名前がわかったら、インターフェイスの名前を指定して ''wifi-menu'' を起動します:

# wifi-menu wlp3s0

ユーザー名やパスワードの設定を必要とするネットワークを使う場合は [[WPA2 Enterprise#netctl]] にあるサンプル設定を見て下さい。

これでネットワークは有効になるはずです。接続されないときは、下の [[#wifi-menu を使わない方法|wifi-menu を使わない方法]]や、詳しい説明が載っている[[ワイヤレス設定]]を見て下さい。

==== wifi-menu を使わない方法 ====

インターフェースを立ち上げます:

# ip link set wlp3s0 up

インターフェイスが立ち上がっているか確認するには、次のコマンドの出力を見て下さい:

{{hc|# ip link show wlp3s0|
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state DOWN mode DORMANT group default qlen 1000
link/ether 00:11:22:33:44:55 brd ff:ff:ff:ff:ff:ff
}}

{{ic|<BROADCAST,MULTICAST,UP,LOWER_UP>}} の中にある {{ic|UP}} がインターフェイスが立ち上がっている印です。後ろの {{ic|state DOWN}} は違います。

ほとんどのワイヤレスチップセットには、対応するドライバに加えて、ファームウェアが必要です。カーネルが自動で検知してロードを試みます。{{ic|SIOCSIFFLAGS: No such file or directory}} のようなエラーが出た場合、ファームウェアを手動でロードする必要があることを意味しています。必要なファームウェアがわからないときは、{{ic|dmesg}} を使いカーネルログからワイヤレスチップセットのファームウェア要求をさがします。例えば、カーネルの起動時に Intel チップセットが出力するファームウェア要求の例:

{{hc|# dmesg <nowiki>|</nowiki> grep firmware|
firmware: requesting iwlwifi-5000-1.ucode}}

なにも表示されないなら、あなたのワイヤレスチップセットにはファームウェアが要らないと判断できます。

{{ic|iw dev wlp3s0 scan <nowiki>|</nowiki> grep SSID}} を使って利用可能なネットワークをスキャンして、それからネットワークに接続してください:

# wpa_supplicant -B -i wlp3s0 -c <(wpa_passphrase "''ssid''" "''psk''")

''ssid'' はネットワークの名前に (例: "Linksys etc...")、''psk'' はパスワードに置き換える必要があります (ネットワークの名前とパスワードを囲っているダブルクォートは消さないで下さい, 例: ネットワークのパスワードが dog の場合、"dog" と入力)。

最後に、インターフェースに IP アドレスを与える必要があります。手動で設定するか dhcp を使ってこれを行なって下さい:
# dhcpcd wlp3s0

上のコマンドでうまくいかない場合、以下のコマンドを実行してください:

# echo 'ctrl_interface=DIR=/run/wpa_supplicant' > /etc/wpa_supplicant.conf
# wpa_passphrase <ssid> <passphrase> >> /etc/wpa_supplicant.conf
# ip link set <interface> up # May not be needed, but does no harm in any case
# wpa_supplicant -B -D nl80211 -c /etc/wpa_supplicant.conf -i <interface name>
# dhcpcd -A <interface name>

=== アナログモデム, ISDN, PPPoE DSL ===

xDSL・ダイアルアップ・ISDN接続については、[[モデムに直接接続]]を見て下さい。

=== プロキシサーバを使う ===

プロキシサーバを使うには、{{ic|http_proxy}}, {{ic|ftp_proxy}} 環境変数を設定しなくてはなりません。詳しい情報は[[プロキシ設定]]を見て下さい。

== 時計を合わせる ==

[[systemd-timesyncd]] を使ってシステムクロックを正確な時刻に合わせて下さい。起動するには:
# timedatectl set-ntp true

サービスの状態を確認したいときは {{ic|timedatectl status}} を使って下さい。

詳しくは、[[時刻]]を参照。

== ドライブの準備 ==

{{Warning|
* パーティショニングを行うと既存のデータが消去されます。実施する前に、必要なデータはバックアップしてください。
* UEFI/GPT 環境でインストールした Windows とデュアルブートしたい場合、Windows を起動するのに必要な Windows の ''.efi'' ファイルが含まれている UEFI パーティションを再フォーマットしてはいけません。さらに、Arch のブートモードとパーティションの組み合わせを Windows と同一に設定する必要があります。[[Windows と Arch のデュアルブート#重要情報]]を参照。
}}

このステップでは、新しいシステムをインストールするためにストレージデバイスの準備を行います。詳しい情報は[[パーティショニング]]を見て下さい。

[[LVM]], [[ディスク暗号化]], [[RAID]] などのスタックブロックデバイスを作成したい場合は、この段階で行います。USB フラッシュキーにインストールする場合は、[[USB キーに Arch Linux をインストール]]を見て下さい。

=== デバイスの確認 ===

まず新しいシステムをインストールするデバイスを確認します。次のコマンドを実行すると全てのデバイスが表示されます:

# lsblk

このコマンドはシステムに接続されたデバイスとパーティションを表示しますが、Arch インストールメディアを起動するのに使われているデバイスも含まれています。したがって、どのデバイスでもインストールが行えるというわけではありません。不必要なデバイスを表示しないようにするには、以下のようにコマンドを実行します:

# lsblk | grep -v "rom\|loop\|airoot"

デバイス (ハードディスク) は {{ic|sd''x''}} と示されます。{{ic|''x''}} は {{ic|a}} から始まる小文字のアルファベットで、一番目のデバイスは {{ic|sda}}、二番目のデバイスは {{ic|sdb}} と割り当てられます。既存のパーティションは {{ic|sd''xY''}} と示され、{{ic|''Y''}} は {{ic|1}} から始まる数字です。一番目のパーティションは {{ic|1}}、二番目のパーティションは {{ic|2}} と続きます。下の例では、一つのデバイスが存在し ({{ic|sda}})、一つのパーティションが使われています ({{ic|sda1}}):

NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 80G 0 disk
└─sda1 8:1 0 80G 0 part

パーティションテーブル、パーティション、ファイルシステムでは {{ic|sd''xY''}} という名前を例として使います。あくまでこの名前は例なので、実際にコマンドを実行したりするときは、デバイスの名前とパーティションの番号を変える必要があります。コマンドをコピーしてそのまま貼り付けても動作しません。

パーティションをそのまま変更しない場合は、[[#ファイルシステムの作成|ファイルシステムの作成]]まで進んでください。パーティショニングを行う場合は、次のセクションを読んで下さい。

=== パーティションテーブルのタイプの選択 ===

既に何らかの OS がインストールされているところに Arch をインストールする場合、既存のパーティションテーブルを使用します。デバイスがパーティショニングされてなかったり、現在のパーティションテーブルを変更する必要があるときは、まず使用されているパーティションテーブルを確認しなくてはなりません。

パーティションテーブルには2種類あります:

* [[Master Boot Record|MBR]]
* [[GUID Partition Table|GPT]]

既存のパーティションテーブルは、次のコマンドを実行することで確認できます:

# parted /dev/sd''x'' print

=== パーティショニングツール ===

{{Warning|使用しているパーティショニングテーブルと互換性がないパーティショニングツールを使ってしまうと、テーブルが破壊されて、既存のパーティションやデータが消えてしまいます。}}

デバイスをパーティショニングするには、使用されるパーティションテーブルにあわせて適切なツールを選ぶ必要があります。Arch のインストールメディアには複数のパーティショニングツールが入っています:

* [[parted]]: GPT と MBR
* [[パーティショニング#Fdisk の使い方|fdisk]], '''cfdisk''', '''sfdisk''': GPT と MBR
* [[パーティショニング#Gdisk の使い方|gdisk]], '''cgdisk''', '''sgdisk''': GPT

Arch のインストールメディアを起動する前に、他のライブ環境に付属しているパーティションツールを使って、デバイスを予めパーティショニングしておくことも可能です。初心者にとっては [[GParted]] などのグラフィカルなパーティショニングツールが使いやすいでしょう。GParted には [http://gparted.sourceforge.net/livecd.php ライブ CD] が存在し、MBR と GPT の両方のパーティションテーブルで動作します。

==== インタラクティブモードの parted を使用する ====

以下で示す例では BIOS/MBR と UEFI/GPT の両方で用いることができる ''parted'' を使っています。''parted'' は''インタラクティブモード''で起動して、指定したデバイスに全てのパーティショニングコマンドを自動的に適用することで、不必要な繰り返しを避けます。

デバイスの操作を開始するには、次を実行:

# parted /dev/sd''x''

コマンドラインプロンプトがハッシュ ({{ic|#}}) から {{ic|(parted)}} に変わります。

利用できるコマンドのリストを表示するには、次を入力:

(parted) help

パーティションの操作が完了した場合は、次のコマンドで parted を終了します:

(parted) quit

終了後、コマンドラインプロンプトは {{ic|#}} に戻ります。

=== 新しいパーティションテーブルの作成 ===

パーティションテーブルのタイプを変更したい場合や、デバイスがまだパーティションされていない場合、パーティションテーブルの（再）作成が必要です。デバイスのパーティションテーブルの再作成はパーティションスキームを最初からやり直したい場合にも有用です。

{{Warning|
* UEFI/GPT で Windows がインストールされている環境でデュアルブートをしたい場合は、パーティションテーブルを消去しないでください。パーティションテーブルを消去すると、Windows を起動するのに必要な ''.efi'' ファイルが入っている UEFI パーティションを含め、デバイス上の既存のデータが全て削除されます。
* MBR は BIOS 環境で使用するように作られており、GPT は UEFI と一緒に使われることが想定されています。ハードウェアと互換性がない機能や制限があるため、この組み合わせを使わないというのは初心者にはおすすめできません (例: MBR は 2 TiB 以上のデバイスを扱えません) [https://www.happyassassin.net/2014/01/25/uefi-boot-how-does-that-actually-work-then/]。何らかの理由でこの組み合わせを使いたくないという場合は、[http://mjg59.dreamwidth.org/8035.html] や [http://rodsbooks.com/gdisk/bios.html] に詳しい情報や対処方法が載っています。}}

パーティションテーブルを（再）作成するデバイスを次のコマンドで開いてください:

# parted /dev/sd''x''

そして BIOS 環境の場合、MBR/msdos パーティションテーブルを新しく作成するために、次のコマンドを実行します:

(parted) mklabel msdos

UEFI 環境で GPT パーティションテーブルを新しく作成するには、次のコマンドを使います:

(parted) mklabel gpt

=== パーティションの分け方 ===

ディスクをいくつのパーティションに分けるか決めて、それぞれのパーティションにシステム上のディレクトリを割り振ることができます。パーティションからディレクトリへのマッピング (しばしば 'マウントポイント' と呼ばれます) が[[パーティショニング#パーティション形態|パーティションの分け方]]になります。パーティションスキームは以下の要件を満たさなければなりません:

* 少なくとも {{ic|/}} (''root'') ディレクトリのパーティションは必ず作成する必要があります。
* マザーボードのファームウェアインターフェイスや、選択した[[#パーティションテーブルのタイプの選択|パーティションテーブルのタイプ]]によって、また、時には選択した[[ブートローダー]]にあわせて、以下のパーティションを追加で作成する必要が出てきます:
** '''BIOS/MBR''': 追加のパーティションは必要ありません。
** '''BIOS/GPT''':
*** [[Syslinux]] を使用する場合: 追加のパーティションは必要ありません。
*** [[GRUB]] を使用する場合: タイプが {{ic|EF02}} で容量が 1MiB または 2MiB の [[GRUB#GUID Partition Table (GPT) 特有の手順|BIOS Boot Partition]]。
** '''UEFI/GPT''': [[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]]。
** '''UEFI/MBR''': [[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]]。

以下の例では、新しい、連続するパーティションスキームを1つのデバイスに適用します。任意の {{ic|/boot}} や {{ic|/home}} ディレクトリのパーティションも作成しています。それぞれのディレクトリの目的については [[Arch ファイルシステム階層]]を見て下さい。{{ic|/boot}} や {{ic|/home}} などのディレクトリのパーティションを別に作成しない場合、{{ic|/}} パーティションに含まれることになります。また、[[スワップ|スワップ領域]]用のパーティションについても説明します。

''parted'' のインタラクティブセッションをまだ開いてない場合は、パーティションするデバイスを指定して起動してください:

# parted /dev/sd''x''

次のコマンドを使用してパーティションを作成します:

(parted) mkpart ''part-type'' ''fs-type'' ''start'' ''end''

* {{ic|''part-type''}} は {{ic|primary}}, {{ic|extended}}, {{ic|logical}} のうちどれか一つから選びます。MBR パーティションテーブルでのみ意味があります。
* {{ic|''fs-type''}} は [http://www.gnu.org/software/parted/manual/parted.html#mkpart マニュアル] に記載されているサポートがあるファイルシステムの中から選びます。パーティションは[[#ファイルシステムの作成|ファイルシステム作成]]でフォーマットします。
* {{ic|''start''}} はデバイスの先頭からのパーティションの開始位置です。[http://www.gnu.org/software/parted/manual/parted.html#unit 単位] をつけた数値で指定し、例えば {{ic|1M}} なら 1MiB が開始位置になります。
* {{ic|''end''}} はデバイスの先頭からのパーティションの終末位置です ({{ic|''start''}} から計算するわけではありません)。{{ic|''start''}} と同じ構文を使うことができ、例えば {{ic|100%}} と指定するとデバイスの終端を意味します (残り領域全てを使う)。

{{Warning|パーティションは重ならないように注意してください。デバイスに未使用のスペースを残さないようにするには、それぞれのパーティションが前のパーティションの終末から開始するようにしてください。}}

{{Note|''parted'' は以下のような警告を表示することがあります:

Warning: The resulting partition is not properly aligned for best performance.
Ignore/Cancel?

この表示がでたときは、[[パーティショニング#パーティションアライメント]]を見て [[GNU Parted#アライメント]] にしたがって修正してください。}}

{{ic|/boot}} ディレクトリを含むパーティションが起動できるようにフラグを立てるには次のコマンドを使います:

(parted) set ''partition'' boot on

* {{ic|''partition''}} はフラグを立てるパーティションの番号に置き換えて下さい ({{ic|print}} コマンドの出力を参照しましょう)。

==== UEFI/GPT の例 ====

どんなふうにパーティショニングするにせよ、特別な [[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]] が必要になります。

{{Warning|UEFI/GPT で Windows がインストールされている環境でデュアルブートをしたい場合は、既存の UEFI パーティションを消去しないでください。このパーティションを消去すると、Windows を起動するのに必要な ''.efi'' ファイルが削除されてしまいます。}}

新しく EFI System Partition を作成する場合は、以下のコマンドを使って下さい (推奨される容量は 512MiB です):

(parted) mkpart ESP fat32 1MiB 513MiB
(parted) set 1 boot on

あとのパーティションスキームはあなたが自由に決めて下さい。残りのスペースを全て使用する単一のパーティションを作るには:

(parted) mkpart primary ext4 513MiB 100%

{{ic|/}} (20GiB) と {{ic|/home}} (残り容量全てを使用) パーティションを作るには:

(parted) mkpart primary ext4 513MiB 20.5GiB
(parted) mkpart primary ext4 20.5GiB 100%

{{ic|/}} (20GiB), スワップ (4GiB), {{ic|/home}} (残り容量全てを使用) パーティションを作成するには:

(parted) mkpart primary ext4 513MiB 20.5GiB
(parted) mkpart primary linux-swap 20.5GiB 24.5GiB
(parted) mkpart primary ext4 24.5GiB 100%

==== BIOS/MBR の例 ====

ディスク容量を全て使用する単一のプライマリパーティションを作成するには、以下のコマンドを使用します:

(parted) mkpart primary ext4 1MiB 100%
(parted) set 1 boot on

以下の例では、20GiB の {{ic|/}} パーティションを作成してから、残り容量を全て使用する {{ic|/home}} パーティションを作成します:

(parted) mkpart primary ext4 1MiB 20GiB
(parted) set 1 boot on
(parted) mkpart primary ext4 20GiB 100%

以下の例では {{ic|/boot}} (100MiB), {{ic|/}} (20GiB), スワップ (4GiB), {{ic|/home}} (残り容量全てを使用) パーティションを作成します:

(parted) mkpart primary ext4 1MiB 100MiB
(parted) set 1 boot on
(parted) mkpart primary ext4 100MiB 20GiB
(parted) mkpart primary linux-swap 20GiB 24GiB
(parted) mkpart primary ext4 24GiB 100%

=== ファイルシステムの作成 ===

パーティショニングはまだ終わっていません。パーティションには[[ファイルシステム]]が必要です（ただしスワップパーティションには要りません）。インストール先のデバイスに存在するパーティションを確認するには次のコマンドを使用:

# lsblk /dev/sd''x''

下に書かれている注意点を除いて、基本的には {{ic|ext4}} ファイルシステムを使うことを推奨します:

# mkfs.ext4 /dev/sd''xY''

{{Warning|UEFI/GPT で Windows がインストールされている環境でデュアルブートをしたい場合は、UEFI パーティションをフォーマットしないでください。フォーマットしてしまうと、Windows を起動するのに必要な ''.efi'' ファイルが入っている UEFI パーティションのデータが全て削除されます。}}

UEFI/GPT 環境で新しく UEFI システムパーティションを作成した場合は、UEFI パーティションを {{ic|fat32}} または {{ic|vfat32}} ファイルシステムでフォーマットしてください。これを行っておかないと起動できなくなります:
# mkfs.vfat -F32 /dev/sd''xY''
{{Note|BIOS/GPT 環境で [[GRUB]] を使用する場合、[[GRUB#GUID Partition Table (GPT) 特有の手順|BIOS Boot Partition]] は {{ic|/boot}} マウントポイントと関係ないので注意してください。このパーティションは GRUB によって直接使用されます。BIOS Boot Partition にファイルシステムを作成したり、マウントしたりしてはいけません。}}

=== スワップの有効化 ===

スワップパーティションを作成した場合は、以下のコマンドで有効化する必要があります:

# mkswap /dev/sd''xY''
# swapon /dev/sd''xY''

=== パーティションのマウント ===

{{Note|ここではスワップパーティションをマウントしないでください。}}

まず最初に {{ic|/}} (root) パーティションをマウントしてください。{{ic|/boot}} や {{ic|/home}} などのディレクトリは root ファイルシステムに作成する必要があるためです。ライブ環境の {{ic|/mnt}} ディレクトリを使用して root パーティションをマウントします。他のパーティションはそこをベースにします。root パーティションの名前が {{ic|sd''xR''}} なら、次のコマンドを実行:

# mount /dev/sd''xR'' /mnt

{{ic|/}} パーティションをマウントしたら、他のパーティションをマウントすることができます。順番は気にしなくて結構です。手順としてはまずマウントポイントを作成し、それからパーティションをそのマウントポイントにマウントします。{{ic|/boot}} パーティションを作成していたのならば:

# mkdir -p /mnt/boot
# mount /dev/sd''xB'' /mnt/boot

UEFI/GPT 環境の場合、EFI システムパーティションも {{ic|/boot}} にマウントすることを推奨します。他のマウントポイントを使いたいときは、[[EFISTUB]] の記事を見て下さい。

{{ic|/home}} パーティションを使用する場合:

# mkdir -p /mnt/home
# mount /dev/sd''xH'' /mnt/home

全てのパーティションをマウントしたら、デバイスの準備は完了で Arch をインストールできます。

== ミラーの選択 ==

インストールの前に、{{ic|mirrorlist}} ファイルを編集し、あなたに相応しいミラーを一番上に置きましょう。このファイルのコピーが {{ic|pacstrap}} によってインストールされ、新しいシステム上でも選択したミラーが使われます。

{{hc|# nano /etc/pacman.d/mirrorlist|
##
## Arch Linux repository mirrorlist
## Sorted by mirror score from mirror status page
## Generated on YYYY-MM-DD
##

<nowiki>Server = http://ftp.jaist.ac.jp/pub/Linux/ArchLinux/$repo/os/$arch</nowiki>
...}}

* {{ic|Alt+6}} で {{ic|Server}} 行をコピー。
* {{ic|PageUp}} キーで上にスクロール。
* {{ic|Ctrl+U}} でリストの一番上にペースト。
* {{ic|Ctrl+X}} で終了、保存するか聞かれたら、{{ic|Y}} を押し {{ic|Enter}} で上書き保存。

他のミラーを消去 ({{ic|Ctrl+K}} を使う) してミラーを''ひとつだけに''絞ることもできますが、そのミラーがオフラインになったときのことを考え、ミラーを複数使用するほうが良いでしょう。

{{Tip|
* [https://www.archlinux.org/mirrorlist/ Mirrorlist Generator] を使って、あなたの国の最新リストを入手できます。[[Wikipedia:Keepalive|keepalive]] が存在するため、HTTP ミラーのほうが FTP よりも速度が速いです。また FTP では、pacman はパッケージをダウンロードするごとにシグナルを送信しなくてはならないため、短い停止がはさまります。ミラーリストを作る他の方法を見るには、[[ミラー#ミラーをソートする|ミラーのソート]]と [[Reflector]] を参照してください。
* [https://archlinux.org/mirrors/status/ Arch Linux MirrorStatus] ではミラーの状況、たとえばネットワークエラー、データ収集エラー、最終同期時間などの様々な情報を見ることができます。}}

{{Note|
* 将来、ミラーリストを変更したときは必ず、{{ic|pacman -Syyu}} で pacman の全てのパッケージリストを更新することを覚えておいて下さい。これは良い経験則と考えられており、問題の回避につながります。詳しくは[[ミラー]]を参照。
* 古いインストールメディアを使っている場合、ミラーリストが古くなっているかもしれません。そのために Arch Linux のアップデート時に問題を引き起こす可能性があります。({{Bug|22510}} を参照)。上で述べたようにして最新のミラー情報を入手するべきです。}}

== ベースシステムのインストール ==

''pacstrap'' スクリプトを使ってベースシステムをインストールします。インストールするパッケージを選択せず、{{Grp|base}} の全てのパッケージをインストールするときは、{{ic|-i}} スイッチを省いて下さい。[[AUR]] や [[ABS]] でパッケージをビルドするときのために、{{Grp|base-devel}} グループも必要になります。

# pacstrap -i /mnt base base-devel

ライブ環境に含まれているツールの中には base グループに含まれていないものもあります ([https://projects.archlinux.org/archiso.git/tree/configs/releng/packages.both packages.both] を参照)。パッケージは後で ''pacman'' を使って[[インストール]]することもできますが、''pacstrap'' コマンドにパッケージの名前を追加することでこの場でインストールすることもできます。

{{Note|
* ミラーを正しく設定しているのに、''pacstrap'' が {{ic|error: failed retrieving file 'core.db' from mirror... : Connection time-out}} で止まる場合は、他の[[Resolv.conf|ネームサーバ]]を設定してみてください。
* ベースパッケージのインストール中に PGP 鍵のインポートをリクエストされたら、鍵のダウンロードを承認して先に進んで下さい。これは古い Arch ISO を使っていると発生します。PGP 鍵を追加できないときは、次のようにして {{Pkg|archlinux-keyring}} パッケージを更新してみてください: {{ic|pacman -S archlinux-keyring}}。詳しくは [[Pacman#トラブルシューティング]] や [[Pacman-key#トラブルシューティング]] を見て下さい。
}}

== fstab の生成 ==

以下のコマンドで [[fstab]] ファイルを生成します。いくつか有利な点がある UUID が使われます ([[fstab#ファイルシステムの識別]] を参照)。UUID ではなくラベルを使いたいときは、{{ic|-U}} オプションを {{ic|-L}} に置き換えましょう。

# genfstab -U /mnt > /mnt/etc/fstab
# cat /mnt/etc/fstab

{{Warning|生成したあとは必ず {{ic|fstab}} の中身をチェックしましょう。''genfstab'' や後のインストール作業中にエラーが起こっても、もう一度 ''genfstab'' を実行するのはやめてください。その場合は手動で {{ic|fstab}} ファイルを編集して下さい。}}

最後のフィールドには起動時にチェックするパーティションの順番を設定します: ({{ic|btrfs}} 以外では) root パーティションに {{ic|1}} を使って下さい、最初にチェックされます。起動時にチェックしたい他のパーティションには {{ic|2}} を使って下さい、{{ic|0}} はチェックされません ([[fstab#フィールドの定義]] を参照)。[[btrfs]] のパーティションには全て {{ic|0}} を使う必要があります。スワップパーティションも {{ic|0}} に設定してください。

== Chroot とベースシステムの設定 ==

次に、[[Change Root|chroot]] を使って新しくインストールされたシステムに入ります:

# arch-chroot /mnt /bin/bash

この段階では、Arch Linux ベースシステムの重要な設定ファイルを作ります。ファイルが存在していないときや、デフォルト設定を使いたくないときは、その都度ファイルを作成したり編集してください。

正確に、手順をよく踏まえてから設定してください。システムを正しく設定するのにとても重要なステップです。

{{Warning|ISO で使用しているツールは自動的にインストールされるわけではありません。例えば、インストールの一環としてネットワークに接続するために ''wifi-menu'' を使っている場合、インストールを完了した後も ''wifi-menu'' を使うためには、{{Pkg|dialog}} をインストールしておく必要があります。以下のセクションではそういったケースについて説明をしているので、後で困った事態にならないようにちゃんと指示に従って下さい。}}

=== ロケール ===

ロケールを設定することによって、{{Pkg|glibc}} やその他のロケールを使うプログラムやライブラリで、テキストのレンダリング、正しい通貨単位の表示、時間と月日のフォーマット、アルファベットの特有表現、地域特有の単位の表示などができるようになります。

2つのファイルを編集する必要があります: 使用可能なロケールを記述する {{ic|locale.gen}} と実際に使用するロケールを定義する {{ic|locale.conf}}。

{{ic|locale.gen}} ファイルはデフォルトでは全てコメントアウト ({{ic|#}} で無効化) されています。{{ic|en_US.UTF-8 UTF-8}} の行と、必要なロケールをアンコメント (行の前の {{ic|#}} を削除) してください。選択肢がいくつかある場合 {{ic|UTF-8}} を推奨します。

{{hc|# nano /etc/locale.gen|
...
#en_SG ISO-8859-1
en_US.UTF-8 UTF-8
#en_US ISO-8859-1
...
#ja_JP.EUC-JP EUC-JP
ja_JP.UTF-8 UTF-8
#ka_GE.UTF-8 UTF-8
...
}}

ロケールは有効にする前に、''生成''する必要があります:

# locale-gen

{{ic|locale.conf}} ファイルはデフォルトで存在しません。ファイルを作成して、他の全ての変数のデフォルト値として扱われる {{ic|LANG}} のみ設定してください。{{ic|LANG}} 変数に指定するロケールは {{ic|/etc/locale.gen}} でアンコメントされている必要があります:

# echo LANG=''en_US.UTF-8'' > /etc/locale.conf

ロケールを export してください:

# export LANG=''en_US.UTF-8''

{{Tip|
* この段階でロケールを日本語に設定してしまうと、日本語を表示するためのフォントなどの環境が整っていないため、コンソールの出力が文字化けして判読できなくなってしまいます。GUI 環境を設定してから、以下を実行することで言語を日本語に設定できます:
# echo LANG<nowiki>=</nowiki>''ja_JP.UTF-8'' > /etc/locale.conf
# export LANG<nowiki>=</nowiki>''ja_JP.UTF-8''
* システム全体のロケールを {{ic|en_US.UTF-8}} に設定してシステムログを英語で保存するとトラブルシューティングが楽になります。この設定は[[ロケール#ユーザーごとにロケールを設定]]で書かれているようにしてユーザー個別で上書きできます。
* 他の {{ic|LC_*}} 変数を使いたいときは、まず {{ic|locale}} を実行してオプションを確認してから、{{ic|locale.conf}} に追加してください。{{ic|LC_ALL}} 変数を使うことは推奨されません。詳しくは[[ロケール]]を参照してください。
}}

=== コンソールフォントとキーマップ ===

[[#言語の選択|言語の選択]]でデフォルトのキーマップとフォントを変更していた場合、再起動後もキーマップ設定が適用されるように、{{ic|/etc/vconsole.conf}} を編集 (ファイルがなかったら作成) してください:

{{hc|# nano /etc/vconsole.conf|2=
KEYMAP=''jp106''
FONT=''lat9w-16''
}}

詳しくは[[フォント#コンソールフォント|コンソールフォント]]や {{ic|man vconsole.conf}} を参照。

{{Warning|{{ic|KEYMAP}} を最初に ''loadkeys'' で設定した値と異なる値に設定してから、[[#root パスワードの設定|root パスワードを設定]]してしまうと、新しいシステムにログインするときにキーマップが変わっていてログインできなくなる可能性があります。}}

以上の設定は仮想端末においてのみ適用されます。[[Xorg]] ではまた異なる設定をする必要があります。詳しくは[[フォント#コンソールフォント]]を見て下さい。

=== タイムゾーン ===

利用可能なタイムゾーンとサブゾーンは {{ic|/usr/share/zoneinfo/''ゾーン''/''サブゾーン''}} ディレクトリで見つかります。{{ic|ls}} コマンドでゾーンの一覧を表示できます:
$ ls -l /usr/share/zoneinfo

{{Tip|[http://tldp.org/LDP/abs/html/tabexpansion.html タブ補完] を使うことでも利用できるゾーンとサブゾーンを表示できます。}}

{{ic|/etc/localtime}} から適切なゾーンファイル {{ic|/usr/share/zoneinfo/''ゾーン''/''サブゾーン''}} へのシンボリックリンクを作って下さい:

# ln -s /usr/share/zoneinfo/''ゾーン''/''サブゾーン'' /etc/localtime

例:

# ln -s /usr/share/zoneinfo/Asia/Tokyo /etc/localtime

{{ic|ln: failed to create symbolic link '/etc/localtime': File exists}} と表示される場合は、{{ic|ls -l /etc/localtime}} で既存のファイルを確認してから、''ln'' コマンドに {{ic|-f}} オプションを追加して上書きしてください。

=== ハードウェアクロック ===

ハードウェアクロックモードを全ての OS で同じになるように設定します。さもないと、ハードウェアクロックが上書きされ時刻がずれてしまう可能性があります。''hwclock'' コマンドは {{ic|/etc/adjtime}} ファイルを生成します。[[Wikipedia:ja:協定世界時|UTC]] に設定するには、次を実行:

# hwclock --systohc --utc

{{Note|ハードウェアクロックに [[Wikipedia:ja:協定世界時|UTC]] を使ったからといって、ソフトウェアが時刻を UTC で表示するわけではありません。}}

{{Warning|Windows はデフォルトで ''localtime'' を使っています。Arch で ''localtime'' を使用すると既知の問題や容易に修復できないバグを引き起こす可能性があります。しかしながら、''localtime'' のサポートを終了する計画はありません。''localtime'' を使用する場合は、root で {{ic|hwclock --systohc --localtime}} を実行してください。Windows 7 以降を使用する場合、Arch を ''localtime'' に設定するのではなく、Windows に UTC を使わせて、Windows の時刻同期を無効にすることが推奨されています。詳しくは[[時刻#Windows で UTC を使う]]を見て下さい。}}

=== カーネルモジュール ===

必要なカーネルモジュールは基本的に [[udev]] によって自動ロードされるため、手動でモジュールをロードする必要があるのは稀です。詳しくは[[カーネルモジュール]]を見て下さい。

=== ホスト名 ===

お好きな名前を[[Wikipedia:ja:ホスト名|ホスト名]]に設定してください (例: ''arch''):

# echo ''ホスト名'' > /etc/hostname

同じホスト名を {{ic|/etc/hosts}} に追加します:

#<ip-address> <hostname.domain.org> <hostname>
127.0.0.1 localhost.localdomain localhost ''ホスト名''
::1 localhost.localdomain localhost ''ホスト名''

=== ネットワークの設定 ===

ネットワークの設定をもう一度行います。今回は新しくインストールされる環境のネットワーク設定です。[[#インターネット接続の確立|上で説明した]]のと方法はほとんど同じですが、今回の設定では、設定が消えないように、ブート時に自動的に起動するように設定します。

まず最初に、{{ic|ip link}} で接続を設定するネットワークインターフェイスの名前を確認してください。

{{Note|
* ネットワーク設定の詳しい情報は、[[ネットワーク設定]]や[[ワイヤレス設定]]を参照してください。
* インターフェースについて古い命名規則 ({{ic|eth''X''}} や {{ic|wlan''X''}}) を使って欲しい時は {{ic|/etc/udev/rules.d/80-net-setup-link.rules}} に空のファイルを作成してください。これによって {{ic|/usr/lib/udev/rules.d}} 下の同じ名前のファイルがマスクされます (空のファイルを使う代わりに、{{ic|/dev/null}} へのシンボリックリンクを使うことでも命名規則を戻せます: {{ic|# ln -s /dev/null /etc/udev/rules.d/80-net-setup-link.rules}})。
}}

==== 有線 ====

===== 動的 IP =====

; dhcpcd を使う

固定された有線ネットワーク接続が1つだけあるという環境の場合、ネットワーク管理サービスを使う必要はなく、単純に {{ic|dhcpcd}} サービスを有効にするだけで足ります:

# systemctl enable dhcpcd@''インターフェイス名''.service

; netctl を使う

{{ic|/etc/netctl/examples}} からサンプルプロファイルを {{ic|/etc/netctl/}} にコピーしてください:

# cd /etc/netctl
# cp examples/ethernet-dhcp my_network

プロファイルを編集して下さい ({{ic|Interface}} を {{ic|eth0}} から {{ic|ip link}} を実行したときに確認したインターフェイス名に修正する):

# nano my_network

{{ic|my_network}} プロファイルを有効にしてください:

# netctl enable my_network

{{Note|{{ic|Running in chroot, ignoring request.}} というメッセージが表示されることがありますが、いまのところは無視してかまいません。}}

; netctl-ifplugd を使う

{{Warning|{{ic|netctl enable ''プロファイル名''}} のようにしてプロファイルを有効にする方法と netctl-ifplugd を使う方法を一緒に用いることはできません。}}

{{Pkg|netctl}} の {{ic|netctl-ifplugd}} を使って動的に接続を管理することもできます。

まず {{Pkg|ifplugd}} をインストールしてください、{{ic|netctl-ifplugd}} を使うために必要なパッケージです:

# pacman -S ifplugd

そしてサービスを有効にしてください:

# systemctl enable netctl-ifplugd@''インターフェイス名''.service

{{Note|[[netctl]] には {{ic|netctl-auto}} もあり、{{ic|netctl-ifplugd}} と一緒に無線プロファイルを管理するのに使うことができます。}}

===== 固定 IP =====

; netctl を使う

{{ic|/etc/network.d/examples}} から {{ic|/etc/netctl}} にサンプルプロファイルをコピーします:

# cd /etc/netctl
# cp examples/ethernet-static my_network

必要に応じてプロファイルを編集 ({{ic|Interface}}, {{ic|Address}}, {{ic|Gateway}}, {{ic|DNS}} を修正):

# nano my_network

{{ic|Address}} の中の {{ic|/24}} は {{ic|255.255.255.0}} ネットマスクの [[wikipedia:Classless Inter-Domain Routing#CIDR notation|CIDR notation]] です。

そして作成したプロファイルを有効にしてください:

# netctl enable my_network

; systemd-networkd を使う

[[systemd-networkd]] を参照してください。

==== 無線 ====

{{Note|あなたの使っているワイヤレスアダプタにファームウェアが必要な場合 (上の[[#インターネット接続の確立|インターネット接続の確立]]セクションと[[ワイヤレス設定#ドライバとファームウェア|ここ]]に記述あり)、ファームウェアを含んだパッケージをインストールしてください。ほとんどの場合、{{Pkg|linux-firmware}} パッケージに必要なファームウェアが含まれていますが、機器によっては個別のパッケージにファームウェアが存在します。例えば: {{ic|# pacman -S zd1211-firmware}}。詳しくは[[ワイヤレス設定]]を見て下さい。}}

ネットワークに接続するために {{pkg|iw}} と {{pkg|wpa_supplicant}} をインストールしてください:

# pacman -S iw wpa_supplicant

===== 無線ネットワークの追加 =====
; wifi-menu を使う

{{ic|wifi-menu}} に必要な {{pkg|dialog}} をインストールしてください:
# pacman -S dialog

このインストールと再起動が終わった後 {{ic|wifi-menu ''インターフェイス名''}} ({{ic|''インターフェイス名''}} はあなたの無線インターフェースに置き換えてください) でネットワークに接続することができます。

# wifi-menu ''インターフェイス名''

{{Warning|{{ic|wifi-menu}} を使う時は、絶対に chroot を終了して再起動した''後''にしてください。このコマンドを使って作成されたものが chroot の外で動作させているものと衝突してしまう恐れがあるからです。また、上で書かれているようにテンプレートを使って手動でネットワークプロファイルを設定することもできます、その場合は {{ic|wifi-menu}} を使うことについての心配はいりません。}}

; 手動の netctl プロファイルを使う

ネットワークプロファイルを {{ic|/etc/netctl/examples}} から {{ic|/etc/netctl}} にコピーしてください:

# cd /etc/netctl
# cp examples/wireless-wpa my_network

接続するネットワークにあわせてプロファイルを編集してください ({{ic|Interface}}, {{ic|ESSID}}, {{ic|Key}} を修正):

# nano my_network

作成したプロファイルがブート毎に実行されるよう有効にしてください:

# netctl enable my_network

===== 既知のネットワークに自動で接続する =====

{{Warning|{{ic|netctl enable ''プロファイル名''}} のようにしてプロファイルを有効にする方法とこの方法を一緒に使うことはできません。}}

{{ic|netctl-auto}} に必要な {{Pkg|wpa_actiond}} をインストールしてください:

# pacman -S wpa_actiond

{{ic|netctl-auto}} サービスを有効にすれば、既知のネットワークに接続しローミングや切断を管理します:

# systemctl enable netctl-auto@''インターフェイス名''.service

{{Note|[[netctl]] には {{ic|netctl-ifplugd}} もあり、{{ic|netctl-auto}} と一緒に有線プロファイルを管理するのに使われます。}}

==== xDSL (PPPoE), アナログモデム, ISDN ====

xDSL、ダイアルアップ・ISDN 接続は、[[モデムに直接接続]]を見て下さい。

=== Initial ramdisk 環境の作成 ===

{{Tip|ほとんどのユーザーはこの手順をスキップし、{{ic|mkinitcpio.conf}} のデフォルト設定を使って問題ありません。initramfs イメージ ({{ic|/boot}} フォルダ内) は {{ic|pacstrap}} によって {{Pkg|linux}} パッケージ (Linux カーネル) をインストールしたときに、{{ic|mkinitcpio.conf}} に基づいて既に生成されています。}}

root が USB ドライブにあったり、RAID や LVM を使っていたり、{{ic|/usr}} が分割されたパーティション上にある場合は、ここで正しい [[Mkinitcpio#HOOKS|hooks]] を設定しなくてはなりません。

必要に応じて {{ic|/etc/mkinitcpio.conf}} を編集し、initramfs イメージを再形成します:

# mkinitcpio -p linux

=== root パスワードの設定 ===

root パスワードを設定します:

# passwd

=== ブートローダのインストールと設定 ===

Intel の CPU を使っている場合、{{Pkg|intel-ucode}} パッケージをインストールして[[マイクロコード#Intel のマイクロコードのアップデートを有効にする|マイクロコードのアップデートを有効化]]してください。

==== BIOS マザーボードの場合 ====

BIOS システムでは、複数のブートローダが使えます。ブートローダの完全なリストは[[ブートローダー]]にあります。あなたの都合に合わせてどれか一つを選んで下さい。よく使われるブートローダーは:

* [[Syslinux]] は現在 Syslinux がインストールされたパーティションのファイルのみをロードするように制限されています。設定ファイルはわかりやすいものになっています。設定サンプルは [[Syslinux#サンプル|Syslinux]] の記事にあります。

* [[GRUB]] はより多くの機能を備えた複雑なブートローダです。設定ファイルはスクリプト言語 (sh) に似ていて、初心者が手動で設定するには難しいかもしれません。自動で設定を生成するのが推奨されます。

ここからは、GRUB と MBR の組み合わせでのインストールを説明します。まず {{Pkg|grub}} パッケージをインストールします。GRUB が他のオペレーティングシステムも検索できるように、{{Pkg|os-prober}} もインストールしておきます:

# pacman -S grub os-prober

{{ic|grub-install}} を実行してブートローダをインストールしてください:

# grub-install --recheck ''/dev/sda''

{{Note|
* {{ic|/dev/sda}} はあなたが Arch をインストールしたドライブに書き換えてください。パーティション番号を加えてはいけません ({{ic|sda''X''}} を使ってはいけません)。
* サンプルの {{ic|/boot/grub/grub.cfg}} は grub パッケージの一部としてインストールされ、後の {{ic|grub-*}} コマンドでは上書きされません。変更を加えるときは {{ic|grub.cfg.new}} などのファイルではなく {{ic|grub.cfg}} を編集してください。
}}

次に {{ic|grub.cfg}} を作ります。手動で作る方が細かい設定ができますが、初心者は自動で生成するのが推奨されています:

# grub-mkconfig -o /boot/grub/grub.cfg

GRUB の使用・設定の詳しい情報は、[[GRUB]] を参照。

==== UEFI マザーボードの場合 ====

{{Note|UEFI ファームウェアによってはインストールしたブートローダーの {{ic|.efi}} ブータブルスタブを特定の名前で特定の場所に配置する必要があります: {{ic|$esp/EFI/boot/bootx64.efi}} ({{ic|$esp}} は EFI System Partition のマウントポイントに置き換えて下さい)。これをしていないと場合によっては、インストールした環境を起動できなくなることがあります。詳しくはそれぞれのブートローダーのセクションを見て下さい。}}

UEFI システムでも、複数のブートローダが使えます。利用できるブートローダの完全なリストは[[ブートローダー]]にあります。あなたの都合にあわせて選んで下さい。ここでは、2つのブートローダを例として提示します:

* [[systemd-boot]] は最小主義の UEFI ブートマネージャで、[[EFISTUB]] カーネルや他の UEFI アプリケーションのためのメニューを提供します。初心者、特に Windows 8 などの別のオペレーティングシステムとデュアルブートをしたいユーザーに推奨です。
* [[GRUB]] は完全なブートローダーで、systemd-boot で問題が起きた時に役に立ちます。

ここからは systemd-boot のインストールを説明します。まず、インストール後に EFI System Partition を操作するための {{Pkg|dosfstools}} パッケージをインストールしてください:

# pacman -S dosfstools

{{Note|
* UEFI でブートするには、ドライブは GPT でパーティションされている必要があり、[[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]] (512 MiB 以上, FAT32, gdisk タイプ {{ic|EF00}}) が存在しなければなりません。このガイドを初めから実行しているのなら、すでに全て行われているはずです。
* systemd-boot が自動的にアップデートされるように EFI System Partition は {{ic|/boot}} にマウントすることを強く推奨します。
}}

自動インストールスクリプトを実行してブートローダを EFI System Partition にインストールしてください ({{ic|$esp}} は EFI System Partiton の場所に置き換えて下さい、通常は {{ic|/boot}} です):

# bootctl --path=''$esp'' install

Bootctl はファームウェアによって自動で検出され、{{ic|bootx64.efi}} ブータブルスタブが {{ic|$esp/EFI/boot}} にあることを必要とします。そして {{ic|.efi}} スタブを使ってインストールされている別のオペレーティングシステムを自動で検出します。ただし、bootctl の設定ファイルは手動で作成する必要があります。

まず、{{ic|''$esp''/loader/entries/arch.conf}} を作成して以下を記述します、{{ic|/dev/sdaX}} は ''root'' パーティションに置き換えて下さい (例: {{ic|/dev/sda2}}):
{{hc|# nano ''$esp''/loader/entries/arch.conf|2=
title Arch Linux
linux /vmlinuz-linux
initrd /initramfs-linux.img
options root='''/dev/sdaX''' rw
}}
次に、{{ic|''$esp''/loader/loader.conf}} を作成して以下を記述します、timeout の値は自由に変更できます (秒数):
{{hc|# nano ''$esp''/loader/loader.conf|2=
default arch
timeout 5
}}

詳しい情報は [[systemd-boot]] を見て下さい。

== パーティションのアンマウントと再起動 ==

chroot 環境を脱出します:

# exit

{{Note|パーティションは ''systemd'' によってシャットダウン時に自動的にアンマウントされますが、安全対策として {{ic|umount -R /mnt}} を使って手動でアンマウントすることもできます。パーティションがビジー状態の場合、[[Wikipedia:fuser_(Unix)|fuser]] で原因を特定できます。}}

コンピュータを再起動:

# reboot

{{Tip|インストールメディアを取り出してください、そうしないともう一度セットアップが起動してしまいます。マシンにログインするときはユーザー "root" と前に passwd コマンドで設定したパスワードを使います。デフォルトのパスワードは "root" です。}}

== インストールのその先 ==

あなたの新しい Arch Linux ベースシステムは今、あなたの目的や希望のために必要な全てを入れる準備ができた GNU/Linux になっています。ここからは[[一般的な推奨事項]]のページを見ることを推奨します。特に最初の2つのセクションは必読です。また、他のセクションには、グラフィカルユーザーインターフェイス (GUI) やサウンド、タッチパッドの設定などのチュートリアルが書かれたページヘのリンクが載っています。

あなたの興味を引くであろうアプリケーションの一覧は、[[アプリケーション一覧]]を参照。

ビギナーズガイド

2015-12-28T21:06:47Z

Aosho235: /* パーティションテーブルのタイプの選択 */ MBR/GPTはそれぞれBIOS/UEFI専用というわけではないので。英語版では既に削除されている。

[[Category:Arch の入手とインストール]]
[[Category:Arch について]]
[[ar:Beginners' guide]]
[[bg:Beginners' guide]]
[[cs:Beginners' guide]]
[[da:Beginners' guide]]
[[de:Anleitung für Einsteiger]]
[[el:Beginners' guide]]
[[en:Beginners' guide]]
[[es:Beginners' guide]]
[[fa:راهنمای_تازه‌کاران]]
[[fr:Installation]]
[[he:Beginners' guide]]
[[hr:Beginners' guide]]
[[hu:Beginners' guide]]
[[id:Beginners' guide]]
[[it:Beginners' guide]]
[[ko:Beginners' guide]]
[[lt:Beginners' guide]]
[[nl:Beginners' guide]]
[[pl:Beginners' guide]]
[[pt:Beginners' guide]]
[[ro:Ghidul începătorilor]]
[[ru:Beginners' guide]]
[[sk:Beginners' guide]]
[[sr:Beginners' guide]]
[[sv:Nybörjarguiden]]
[[tr:Yeni başlayanlar rehberi]]
[[uk:Beginners' guide]]
[[zh-cn:Beginners' guide]]
[[zh-tw:Beginners' guide]]
{{Related articles start}}
{{Related|:カテゴリ:アクセシビリティ}}
{{Related|インストールガイド}}
{{Related|ディスクレスシステム}}
{{Related|SSH からインストール}}
{{Related|一般的な推奨事項}}
{{Related|一般的なトラブルシューティング}}
{{Related|ブートデバッグ}}
{{Related|pacman#トラブルシューティング}}
{{Related|pacman-key#トラブルシューティング}}
{{Related articles end}}

この文章では [https://projects.archlinux.org/arch-install-scripts.git/ Arch Install Scripts] を使って [[Arch Linux]] をインストールする方法を解説します。インストールする前に、[[FAQ]] を一読することをおすすめします。

コミュニティによって管理されている [[メインページ|ArchWiki]] は有用な資料であり、問題が発生したらまず wiki を読んでみましょう。wiki で答えが見つからないときは、[https://archlinuxjp-slack.herokuapp.com/ Slack] や [https://bbs.archlinuxjp.org/ フォーラム] を使って下さい。また、[[The Arch Way|Arch Way]] に従って、知らないコマンドの {{ic|man}} ページを見るようにしましょう。{{ic|man ''コマンド''}} で見ることができます。

== 動作環境 ==

Arch Linux は i686 互換の、最低 256MB の RAM を積んだマシンで動作します。また、基本的なインストールに必要な {{Grp|base}} グループに含まれる全てのパッケージをインストールするには約 800MB のディスク容量が必要です。使える容量が少ない場合、この数値をかなり切り詰めることが可能ですが、どうやるかは調べる必要があります。

== 最新のインストールメディアを準備する ==

Arch の公式インストールメディアは[https://www.archlinuxjp.org/download/ ダウンロードページ]から入手できます。ひとつの ISO で32ビットと64ビット両方のアーキテクチャをサポートしています。出来るだけ一番新しい ISO を使って下さい。

インストールイメージには署名がされており、使用する前に署名を検証するのが推奨されています (特に HTTP ミラーからダウンロードした場合)。[[GnuPG]] をインストールした環境で、ダウンロードした ''PGP 署名''を ISO のディレクトリに配置して、次を実行してください:
$ gpg --verify archlinux-<version>-dual.iso.sig
公開鍵が見つからない場合、{{ic|gpg --recv-keys ''key-id''}} で[[GnuPG#鍵のインポート|インポート]]できます [http://sparewotw.wordpress.com/2012/10/31/how-to-verify-signature-using-sig-file/]。もしくは、既存の Arch Linux 環境から次を実行:
$ pacman-key -v archlinux-<version>-dual.iso.sig
{{ic|md5}} と {{ic|sha1}} チェックサムはそれぞれ ''md5sum'' と ''sha256sum'' でチェックできます。

=== USB と光学ドライブ ===

[[光学ディスクドライブ#焼き込み]] (CD/DVD) や [[USB インストールメディア]] (USB) を見て下さい。

=== ネットワーク経由でのインストール ===

[[PXE]] の記事を参照してください。

=== 既存の Linux 環境からインストール ===

[[既存の Linux からインストール]]を見て下さい。[[VNC]] や [[SSH]] を使って Arch をリモートでインストールするときに特に便利です。[[SSH からインストール]]も参照。

=== 仮想マシンへのインストール ===

現在使用しているオペレーティングシステムを残したまま、[[Wikipedia:ja:仮想機械|仮想マシン]]上でインストール手順を実行することで、ストレージのパーティションを行う必要なく Arch Linux に慣れることができます。また、ブラウザでこのビギナーズガイドを開いたままインストールが可能です。独立した Arch Linux システムを使用できるということは、テストを行いたいという一部のユーザーにとって有益なことでしょう。

仮想化ソフトウェアの例としては、[[VirtualBox]], [[VMware]], [[QEMU]], [[Xen]], [[Parallels]] があります。

仮想マシンを準備するための正確な手順は、ソフトウェアによって異なりますが、一般的に次の手順に従います:

# オペレーティングシステムのホストにて、仮想ディスクイメージを作成します。
# 仮想マシンの設定を最適化します。
# 仮想 CD ドライブでダウンロードした ISO イメージを起動します。
# [[#インストールメディアの起動|インストールメディアの起動]]に進みます。

== インストールメディアの起動 ==

最初に、あなたのコンピュータの BIOS セットアップで起動順序を変更する必要があるかもしれません。それには、POST ([[Wikipedia:ja:Power On Self Test|Power On Self-Test]]) の間にキー (多くの場合 {{ic|Delete}}、{{ic|F1}}、{{ic|F2}}、{{ic|F11}} や {{ic|F12}}) を押します。これで BIOS の設定画面が表示されるので、ここでシステムが起動するデバイスを探す順番を設定できます。"Save & Exit" (もしくはそれに準ずるもの) を選択すればコンピュータは通常通り起動するはずです。

Arch のメニューが表示されたら、インストールを行うライブ環境を開始するために "Boot Arch Linux" をメニューから選択し、{{ic|Enter}} キーを押します (UEFI ブートディスクから起動した場合は、次のオプションを選択: "Arch Linux archiso x86_64 UEFI")。ブートエントリを編集することで様々なブートパラメータ ({{ic|copytoram}} など) を使うことができます。Syslinux では {{ic|tab}} を押し、systemd-boot では {{ic|e}} を押します。詳しくは [https://projects.archlinux.org/archiso.git/tree/docs/README.bootparams README.bootparams] を参照。

起動するとシェルプロンプトが表示され、root として自動的にログインが行われます。シェルは [[Zsh]] です。高度な [http://zsh.sourceforge.net/Guide/zshguide06.html タブ補完] など、[http://grml.org/zsh/ grml の設定] の機能が使用できます。テキストファイルを編集する時は、コンソールエディタの [[nano]] を使うことが推奨されています。使い方をよく知らない場合は、[[nano#nano の使用方法]] を見て下さい。Windows とのデュアルブートをする（もしくはそうすることを計画している）場合、[[Windows と Arch のデュアルブート]]を見て下さい。

=== UEFI モードでブートしているかどうかのテスト ===

{{Warning|将来を考えると EFI モードでインストールを行ったほうが望ましいのですが、初期の UEFI の実装には BIOS よりも大量のバグが存在しています。UEFI モードを使用する前にあなたの使用しているマザーボードのモデルについて検索をすることが推奨されます。}}

[[Unified Extensible Firmware Interface|UEFI]] マザーボードを使用していて、UEFI ブートモードが有効になっている (そしてそれが BIOS/Legacy モードよりも優先されている) 場合、CD/USB のインストールメディアは自動で [[systemd-boot]] を使って Arch Linux カーネルを起動します。そして以下のメニューが表示されます (黒地に白字)、最初のアイテムがハイライトされます:
{{bc|
Arch Linux archiso x86_64 UEFI USB
UEFI Shell x86_64 v1
UEFI Shell x86_64 v2
EFI Default Loader}}

UEFI モードで起動しているのか確認したい場合は、次を実行:

# efivar -l

''efivar'' が UEFI 変数を正しく表示したら、UEFI モードで起動されています。表示されない場合は [[Unified Extensible Firmware Interface#UEFI 変数のサポートを正しく動作させるための必要条件]] に記載されている全ての要件が満たされているか確認してください。

=== 起動時の問題のトラブルシューティング ===

* Intel のビデオチップセットを使用していて、ブート中にブランクスクリーン (画面が黒くなる) になった場合、おそらく Kernel Mode Setting ([[Kernel Mode Setting|KMS]]) に問題があります。回避策は、パソコンを再起動し、起動しようとしている項目 (i686 または x86_64) の上で、{{ic|Tab}} キーを押します。末尾に {{ic|nomodeset}} を追加し、{{ic|Enter}} キーを押します。または {{ic|1=video=SVIDEO-1:d}} (KMS は無効にされません) を設定します。もしくは、{{ic|i915.modeset<nowiki>=</nowiki>0}} を試して下さい。詳細は [[Intel Graphics|Intel]] ページを参照してください。

* ブランクスクリーンに''ならず''、カーネルのロード中に固まる場合は、{{ic|Tab}} キーをメニューの項目上で押し、末尾に {{ic|1=acpi=off}} を追加し、{{ic|Enter}} キーを押します。

== 言語の選択 ==

{{Tip|以下の設定は必須ではありません。設定ファイルをあなたの使う言語で書いたり、Wi-Fi パスワードで区別的発音符を使ったり、もしくはあなたの言語でシステムメッセージ(例えばエラー)を見たいときだけに役に立ちます。ここでの変更はインストールプロセスに''だけ''適用されます。}}

標準で、キーボードのレイアウトは {{ic|us}} に設定されています。もし、[[Wikipedia:File:KB United States-NoAltGr.svg|US]] キーボード以外のレイアウトを使用している場合は、

# loadkeys ''レイアウト名''

で変更できます。''レイアウト名''の部分は {{ic|jp106}}、{{ic|fr}}、{{ic|uk}}、{{ic|be-latin1}} などに置き換えます。[[コンソールでのキーボード設定#キーボードレイアウトの設定|ここ]]から一般的なレイアウトのリストを見ることができます。利用可能なキーマップを表示するには {{ic|localectl list-keymaps}} コマンドを使って下さい。

{{Warning|以下はフォントと言語の設定ですが、この段階では、日本語を表示することはできません。}}

フォントも変える必要があるかもしれません。ほとんどの言語は[[Wikipedia:ja:アルファベット|アルファベット]]の26字よりも多くの文字を使っているからです。さもなければ文字が□（豆腐）になったり全く異なって表示されることがあります。フォントの名前は大文字・小文字を区別するので、''正確に''入力してください:

# setfont lat9w-16

標準では、言語は英語 (US) に設定されています。インストール中の言語を変更したい場合 ''(例: 日本語)''、{{ic|/etc/locale.gen}} 内のあなたの設定したい[[ロケール]]の行と、英語 (US) の行から行頭の {{ic|#}} を削除します。{{ic|UTF-8}} を選択してください。

シンプルな Nano エディタで編集するには、{{ic|nano /etc/locale.gen}} と入力してください。{{ic|Ctrl+X}} で終了し、変更を保存するか聞かれたら {{ic|Y}} と、 {{ic|Enter}} を押せば同じファイル名で上書き保存します。

{{hc|# nano /etc/locale.gen|
en_US.UTF-8 UTF-8
ja_JP.UTF-8 UTF-8}}

# locale-gen
# export LANG=ja_JP.UTF-8

== インターネット接続の確立 ==

{{Warning|[http://cgit.freedesktop.org/systemd/systemd/tree/NEWS?id=dee4c244254bb49d1ffa8bd7171ae9cce596d2d0 v197] 以降、udev はネットワークインターフェースの名前を wlanX や ethX といった風に名づけません。あなたが他のディストリビューションを使っているなどの理由で、新しい命名規則を知らないのならば、あなたの無線インターフェースの名前が wlan0 だとか、有線インターフェースの名前が eth0 ではない可能性があることを予め覚えておいて下さい。{{ic|ip link}} コマンドでインターフェースの名前を調べることができます。}}

{{ic|dhcpcd}} ネットワークデーモンはブート時に自動で起動して、可能であれば有線での接続を試みます。接続できているかウェブサイトに ping をして確かめて下さい。例えば Google のサーバーに ping します:

{{hc|# ping -c 3 www.google.com|2=
PING www.l.google.com (74.125.132.105) 56(84) bytes of data.
64 bytes from wb-in-f105.1e100.net (74.125.132.105): icmp_req=1 ttl=50 time=17.0 ms
64 bytes from wb-in-f105.1e100.net (74.125.132.105): icmp_req=2 ttl=50 time=18.2 ms
64 bytes from wb-in-f105.1e100.net (74.125.132.105): icmp_req=3 ttl=50 time=16.6 ms

--- www.l.google.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 16.660/17.320/18.254/0.678 ms}}

{{ic|ping: unknown host}} のエラーが出た場合は下に記述されている方法を試して手動で接続をセットアップする必要があります。ネットワークへの接続が問題ないようでしたら、[[#ドライブの準備|ドライブの準備]]へ進んでください。

=== 有線 ===

固定 IP アドレスを使用して有線の接続をセットアップする場合は次の手順に従ってください。

あなたのイーサネットインターフェースの名前を確かめて下さい:

{{hc|# ip link|
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: enp2s0f0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT qlen 1000
link/ether 00:11:25:31:69:20 brd ff:ff:ff:ff:ff:ff
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DORMANT qlen 1000
link/ether 01:02:03:04:05:06 brd ff:ff:ff:ff:ff:ff}}

上記の例の場合、イーサネットインターフェースは {{ic|enp2s0f0}} です。よくわからない場合、あなたのイーサネットインターフェースはおそらく "e" から始まっているインターフェイスです。"w" で始まっているものや "lo" ではないということです。

[[ネットワーク設定#固定 IP アドレス]]を見て必要な設定を確認してください。{{ic|/etc/dhcpcd.conf}} に以下のような設定を使って、dhcpcd の static プロファイルを設定します:

interface enp2s0f0
static ip_address=192.168.0.10/24
static routers=192.168.0.1
static domain_name_servers=192.168.0.1 8.8.8.8

{{ic|dhcpcd.service}} を再起動してください:

# systemctl restart dhcpcd.service

これでネットワークに接続されるはずです。されない場合は、[[ネットワーク設定]]のページを見て下さい。

=== 無線 ===

{{Warning|(CD・USB スティックの) ライブ環境では、(ワイヤレスカードを使うのに必要な) ワイヤレスチップセットのファームウェアのパッケージは {{ic|/usr/lib/firmware}} の下にあらかじめインストールされていますが、再起動後にも無線を使うには、ユーザーがちゃんとパッケージをインストールする必要があります。パッケージのインストールはこのガイドの後ろで触れています。再起動する前にワイヤレスモジュール・ファームウェアを必ずインストールしてください。もし、あなたのチップセットがファームウェアのインストールを必要としているか不明な場合は[[ワイヤレス設定]]を見て下さい。}}

[[netctl]] の {{ic|wifi-menu}} を使いネットワークに接続します:

# wifi-menu

コンピュータに接続されている Wi-Fi デバイスが一つしかない (ノートパソコンなど) 場合は wifi ネットワークのメニューが表示されます。

コンピュータに複数の Wi-Fi デバイスが存在するときは、そのどれか一つを選択して ''wifi-menu'' にインターフェイスの名前を指定する必要があります。まず、インターフェイスの名前を確かめて下さい:

{{hc|# iw dev|2=
phy#0
Interface wlp3s0
ifindex 3
wdev 0x1
addr 00:11:22:33:44:55
type managed
}}

上の例では、{{ic|wlp3s0}} が有効なワイヤレスインターフェースです。どれかわからないときは、おそらく "w" から始まるのがあなたのワイヤレスインターフェースです。"lo" や "e" から始まるインターフェースは違います。

インターフェイスの名前がわかったら、インターフェイスの名前を指定して ''wifi-menu'' を起動します:

# wifi-menu wlp3s0

ユーザー名やパスワードの設定を必要とするネットワークを使う場合は [[WPA2 Enterprise#netctl]] にあるサンプル設定を見て下さい。

これでネットワークは有効になるはずです。接続されないときは、下の [[#wifi-menu を使わない方法|wifi-menu を使わない方法]]や、詳しい説明が載っている[[ワイヤレス設定]]を見て下さい。

==== wifi-menu を使わない方法 ====

インターフェースを立ち上げます:

# ip link set wlp3s0 up

インターフェイスが立ち上がっているか確認するには、次のコマンドの出力を見て下さい:

{{hc|# ip link show wlp3s0|
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state DOWN mode DORMANT group default qlen 1000
link/ether 00:11:22:33:44:55 brd ff:ff:ff:ff:ff:ff
}}

{{ic|<BROADCAST,MULTICAST,UP,LOWER_UP>}} の中にある {{ic|UP}} がインターフェイスが立ち上がっている印です。後ろの {{ic|state DOWN}} は違います。

ほとんどのワイヤレスチップセットには、対応するドライバに加えて、ファームウェアが必要です。カーネルが自動で検知してロードを試みます。{{ic|SIOCSIFFLAGS: No such file or directory}} のようなエラーが出た場合、ファームウェアを手動でロードする必要があることを意味しています。必要なファームウェアがわからないときは、{{ic|dmesg}} を使いカーネルログからワイヤレスチップセットのファームウェア要求をさがします。例えば、カーネルの起動時に Intel チップセットが出力するファームウェア要求の例:

{{hc|# dmesg <nowiki>|</nowiki> grep firmware|
firmware: requesting iwlwifi-5000-1.ucode}}

なにも表示されないなら、あなたのワイヤレスチップセットにはファームウェアが要らないと判断できます。

{{ic|iw dev wlp3s0 scan <nowiki>|</nowiki> grep SSID}} を使って利用可能なネットワークをスキャンして、それからネットワークに接続してください:

# wpa_supplicant -B -i wlp3s0 -c <(wpa_passphrase "''ssid''" "''psk''")

''ssid'' はネットワークの名前に (例: "Linksys etc...")、''psk'' はパスワードに置き換える必要があります (ネットワークの名前とパスワードを囲っているダブルクォートは消さないで下さい, 例: ネットワークのパスワードが dog の場合、"dog" と入力)。

最後に、インターフェースに IP アドレスを与える必要があります。手動で設定するか dhcp を使ってこれを行なって下さい:
# dhcpcd wlp3s0

上のコマンドでうまくいかない場合、以下のコマンドを実行してください:

# echo 'ctrl_interface=DIR=/run/wpa_supplicant' > /etc/wpa_supplicant.conf
# wpa_passphrase <ssid> <passphrase> >> /etc/wpa_supplicant.conf
# ip link set <interface> up # May not be needed, but does no harm in any case
# wpa_supplicant -B -D nl80211 -c /etc/wpa_supplicant.conf -i <interface name>
# dhcpcd -A <interface name>

=== アナログモデム, ISDN, PPPoE DSL ===

xDSL・ダイアルアップ・ISDN接続については、[[モデムに直接接続]]を見て下さい。

=== プロキシサーバを使う ===

プロキシサーバを使うには、{{ic|http_proxy}}, {{ic|ftp_proxy}} 環境変数を設定しなくてはなりません。詳しい情報は[[プロキシ設定]]を見て下さい。

== 時計を合わせる ==

[[systemd-timesyncd]] を使ってシステムクロックを正確な時刻に合わせて下さい。起動するには:
# timedatectl set-ntp true

サービスの状態を確認したいときは {{ic|timedatectl status}} を使って下さい。

詳しくは、[[時刻]]を参照。

== ドライブの準備 ==

{{Warning|
* パーティショニングを行うと既存のデータが消去されます。実施する前に、必要なデータはバックアップしてください。
* UEFI/GPT 環境でインストールした Windows とデュアルブートしたい場合、Windows を起動するのに必要な Windows の ''.efi'' ファイルが含まれている UEFI パーティションを再フォーマットしてはいけません。さらに、Arch のブートモードとパーティションの組み合わせを Windows と同一に設定する必要があります。[[Windows と Arch のデュアルブート#重要情報]]を参照。
}}

このステップでは、新しいシステムをインストールするためにストレージデバイスの準備を行います。詳しい情報は[[パーティショニング]]を見て下さい。

[[LVM]], [[ディスク暗号化]], [[RAID]] などのスタックブロックデバイスを作成したい場合は、この段階で行います。USB フラッシュキーにインストールする場合は、[[USB キーに Arch Linux をインストール]]を見て下さい。

=== デバイスの確認 ===

まず新しいシステムをインストールするデバイスを確認します。次のコマンドを実行すると全てのデバイスが表示されます:

# lsblk

このコマンドはシステムに接続されたデバイスとパーティションを表示しますが、Arch インストールメディアを起動するのに使われているデバイスも含まれています。したがって、どのデバイスでもインストールが行えるというわけではありません。不必要なデバイスを表示しないようにするには、以下のようにコマンドを実行します:

# lsblk | grep -v "rom\|loop\|airoot"

デバイス (ハードディスク) は {{ic|sd''x''}} と示されます。{{ic|''x''}} は {{ic|a}} から始まる小文字のアルファベットで、一番目のデバイスは {{ic|sda}}、二番目のデバイスは {{ic|sdb}} と割り当てられます。既存のパーティションは {{ic|sd''xY''}} と示され、{{ic|''Y''}} は {{ic|1}} から始まる数字です。一番目のパーティションは {{ic|1}}、二番目のパーティションは {{ic|2}} と続きます。下の例では、一つのデバイスが存在し ({{ic|sda}})、一つのパーティションが使われています ({{ic|sda1}}):

NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 80G 0 disk
└─sda1 8:1 0 80G 0 part

パーティションテーブル、パーティション、ファイルシステムでは {{ic|sd''xY''}} という名前を例として使います。あくまでこの名前は例なので、実際にコマンドを実行したりするときは、デバイスの名前とパーティションの番号を変える必要があります。コマンドをコピーしてそのまま貼り付けても動作しません。

パーティションをそのまま変更しない場合は、[[#ファイルシステムの作成|ファイルシステムの作成]]まで進んでください。パーティショニングを行う場合は、次のセクションを読んで下さい。

=== パーティションテーブルのタイプの選択 ===

既に何らかの OS がインストールされているところに Arch をインストールする場合、既存のパーティションテーブルを使用します。デバイスがパーティショニングされてなかったり、現在のパーティションテーブルを変更する必要があるときは、まず使用されているパーティションテーブルを確認しなくてはなりません。

パーティションテーブルには2種類あります:

* [[Master Boot Record|MBR]]
* [[GUID Partition Table|GPT]]

既存のパーティションテーブルは、次のコマンドを実行することで確認できます:

# parted /dev/sd''x'' print

=== パーティショニングツール ===

{{Warning|使用しているパーティショニングテーブルと互換性がないパーティショニングツールを使ってしまうと、テーブルが破壊されて、既存のパーティションやデータが消えてしまいます。}}

デバイスをパーティショニングするには、使用されるパーティションテーブルにあわせて適切なツールを選ぶ必要があります。Arch のインストールメディアには複数のパーティショニングツールが入っています:

* [[parted]]: GPT と MBR
* [[パーティショニング#Fdisk の使い方|fdisk]], '''cfdisk''', '''sfdisk''': GPT と MBR
* [[パーティショニング#Gdisk の使い方|gdisk]], '''cgdisk''', '''sgdisk''': GPT

Arch のインストールメディアを起動する前に、他のライブ環境に付属しているパーティションツールを使って、デバイスを予めパーティショニングしておくことも可能です。初心者にとっては [[GParted]] などのグラフィカルなパーティショニングツールが使いやすいでしょう。GParted には [http://gparted.sourceforge.net/livecd.php ライブ CD] が存在し、MBR と GPT の両方のパーティションテーブルで動作します。

==== インタラクティブモードの parted を使用する ====

以下で示す例では BIOS/MBR と UEFI/GPT の両方で用いることができる ''parted'' を使っています。''parted'' は''インタラクティブモード''で起動して、指定したデバイスに全てのパーティショニングコマンドを自動的に適用することで、不必要な繰り返しを避けます。

デバイスの操作を開始するには、次を実行:

# parted /dev/sd''x''

コマンドラインプロンプトがハッシュ ({{ic|#}}) から {{ic|(parted)}} に変わります。

利用できるコマンドのリストを表示するには、次を入力:

(parted) help

パーティションの操作が完了した場合は、次のコマンドで parted を終了します:

(parted) quit

終了後、コマンドラインプロンプトは {{ic|#}} に戻ります。

=== 新しいパーティションテーブルの作成 ===

パーティションテーブルのタイプを変更したい場合や、デバイスがまだパーティションされていない場合、パーティションテーブルの（再）作成が必要です。デバイスのパーティションテーブルの再作成はパーティションスキームを最初からやり直したい場合にも有用です。

{{Warning|
* UEFI/GPT で Windows がインストールされている環境でデュアルブートをしたい場合は、パーティションテーブルを消去しないでください。パーティションテーブルを消去すると、Windows を起動するのに必要な ''.efi'' ファイルが入っている UEFI パーティションを含め、デバイス上の既存のデータが全て削除されます。
* MBR は BIOS 環境で使用するように作られており、GPT は UEFI と一緒に使われることが想定されています。ハードウェアと互換性がない機能や制限があるため、この組み合わせを使わないというのは初心者にはおすすめできません (例: MBR は 2 TiB 以上のデバイスを扱えません) [https://www.happyassassin.net/2014/01/25/uefi-boot-how-does-that-actually-work-then/]。何らかの理由でこの組み合わせを使いたくないという場合は、[http://mjg59.dreamwidth.org/8035.html] や [http://rodsbooks.com/gdisk/bios.html] に詳しい情報や対処方法が載っています。}}

パーティションテーブルを（再）作成するデバイスを次のコマンドで開いてください:

# parted /dev/sd''x''

そして BIOS 環境の場合、MBR/msdos パーティションテーブルを新しく作成するために、次のコマンドを実行します:

(parted) mklabel msdos

UEFI 環境で GPT パーティションテーブルを新しく作成するには、次のコマンドを使います:

(parted) mklabel gpt

=== パーティションスキーム ===

ディスクをいくつのパーティションに分けるか決めて、それぞれのパーティションにシステム上のディレクトリを割り振ることができます。パーティションからディレクトリへのマッピング (しばしば 'マウントポイント' と呼ばれます) が[[パーティショニング#パーティション形態|パーティションスキーム]]になります。パーティションスキームは以下の要件を満たさなければなりません:

* 少なくとも {{ic|/}} (''root'') ディレクトリのパーティションは必ず作成する必要があります。
* マザーボードのファームウェアインターフェイスや、選択した[[#パーティションテーブルのタイプの選択|パーティションテーブルのタイプ]]によって、また、時には選択した[[ブートローダー]]にあわせて、以下のパーティションを追加で作成する必要が出てきます:
** '''BIOS/MBR''': 追加のパーティションは必要ありません。
** '''BIOS/GPT''':
*** [[Syslinux]] を使用する場合: 追加のパーティションは必要ありません。
*** [[GRUB]] を使用する場合: タイプが {{ic|EF02}} で容量が 1MiB または 2MiB の [[GRUB#GUID Partition Table (GPT) 特有の手順|BIOS Boot Partition]]。
** '''UEFI/GPT''': [[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]]。
** '''UEFI/MBR''': [[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]]。

以下の例では、新しい、連続するパーティションスキームを1つのデバイスに適用します。任意の {{ic|/boot}} や {{ic|/home}} ディレクトリのパーティションも作成しています。それぞれのディレクトリの目的については [[Arch ファイルシステム階層]]を見て下さい。{{ic|/boot}} や {{ic|/home}} などのディレクトリのパーティションを別に作成しない場合、{{ic|/}} パーティションに含まれることになります。また、[[スワップ|スワップ領域]]用のパーティションについても説明します。

''parted'' のインタラクティブセッションをまだ開いてない場合は、パーティションするデバイスを指定して起動してください:

# parted /dev/sd''x''

次のコマンドを使用してパーティションを作成します:

(parted) mkpart ''part-type'' ''fs-type'' ''start'' ''end''

* {{ic|''part-type''}} は {{ic|primary}}, {{ic|extended}}, {{ic|logical}} のうちどれか一つから選びます。MBR パーティションテーブルでのみ意味があります。
* {{ic|''fs-type''}} は [http://www.gnu.org/software/parted/manual/parted.html#mkpart マニュアル] に記載されているサポートがあるファイルシステムの中から選びます。パーティションは[[#ファイルシステムの作成|ファイルシステム作成]]でフォーマットします。
* {{ic|''start''}} はデバイスの先頭からのパーティションの開始位置です。[http://www.gnu.org/software/parted/manual/parted.html#unit 単位] をつけた数値で指定し、例えば {{ic|1M}} なら 1MiB が開始位置になります。
* {{ic|''end''}} はデバイスの先頭からのパーティションの終末位置です ({{ic|''start''}} から計算するわけではありません)。{{ic|''start''}} と同じ構文を使うことができ、例えば {{ic|100%}} と指定するとデバイスの終端を意味します (残り領域全てを使う)。

{{Warning|パーティションは重ならないように注意してください。デバイスに未使用のスペースを残さないようにするには、それぞれのパーティションが前のパーティションの終末から開始するようにしてください。}}

{{Note|''parted'' は以下のような警告を表示することがあります:

Warning: The resulting partition is not properly aligned for best performance.
Ignore/Cancel?

この表示がでたときは、[[パーティショニング#パーティションアライメント]]を見て [[GNU Parted#アライメント]] にしたがって修正してください。}}

{{ic|/boot}} ディレクトリを含むパーティションが起動できるようにフラグを立てるには次のコマンドを使います:

(parted) set ''partition'' boot on

* {{ic|''partition''}} はフラグを立てるパーティションの番号に置き換えて下さい ({{ic|print}} コマンドの出力を参照しましょう)。

==== UEFI/GPT の例 ====

どんなふうにパーティショニングするにせよ、特別な [[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]] が必要になります。

{{Warning|UEFI/GPT で Windows がインストールされている環境でデュアルブートをしたい場合は、既存の UEFI パーティションを消去しないでください。このパーティションを消去すると、Windows を起動するのに必要な ''.efi'' ファイルが削除されてしまいます。}}

新しく EFI System Partition を作成する場合は、以下のコマンドを使って下さい (推奨される容量は 512MiB です):

(parted) mkpart ESP fat32 1MiB 513MiB
(parted) set 1 boot on

あとのパーティションスキームはあなたが自由に決めて下さい。残りのスペースを全て使用する単一のパーティションを作るには:

(parted) mkpart primary ext4 513MiB 100%

{{ic|/}} (20GiB) と {{ic|/home}} (残り容量全てを使用) パーティションを作るには:

(parted) mkpart primary ext4 513MiB 20.5GiB
(parted) mkpart primary ext4 20.5GiB 100%

{{ic|/}} (20GiB), スワップ (4GiB), {{ic|/home}} (残り容量全てを使用) パーティションを作成するには:

(parted) mkpart primary ext4 513MiB 20.5GiB
(parted) mkpart primary linux-swap 20.5GiB 24.5GiB
(parted) mkpart primary ext4 24.5GiB 100%

==== BIOS/MBR の例 ====

ディスク容量を全て使用する単一のプライマリパーティションを作成するには、以下のコマンドを使用します:

(parted) mkpart primary ext4 1MiB 100%
(parted) set 1 boot on

以下の例では、20GiB の {{ic|/}} パーティションを作成してから、残り容量を全て使用する {{ic|/home}} パーティションを作成します:

(parted) mkpart primary ext4 1MiB 20GiB
(parted) set 1 boot on
(parted) mkpart primary ext4 20GiB 100%

以下の例では {{ic|/boot}} (100MiB), {{ic|/}} (20GiB), スワップ (4GiB), {{ic|/home}} (残り容量全てを使用) パーティションを作成します:

(parted) mkpart primary ext4 1MiB 100MiB
(parted) set 1 boot on
(parted) mkpart primary ext4 100MiB 20GiB
(parted) mkpart primary linux-swap 20GiB 24GiB
(parted) mkpart primary ext4 24GiB 100%

=== ファイルシステムの作成 ===

パーティショニングはまだ終わっていません。パーティションには[[ファイルシステム]]が必要です（ただしスワップパーティションには要りません）。インストール先のデバイスに存在するパーティションを確認するには次のコマンドを使用:

# lsblk /dev/sd''x''

下に書かれている注意点を除いて、基本的には {{ic|ext4}} ファイルシステムを使うことを推奨します:

# mkfs.ext4 /dev/sd''xY''

{{Warning|UEFI/GPT で Windows がインストールされている環境でデュアルブートをしたい場合は、UEFI パーティションをフォーマットしないでください。フォーマットしてしまうと、Windows を起動するのに必要な ''.efi'' ファイルが入っている UEFI パーティションのデータが全て削除されます。}}

UEFI/GPT 環境で新しく UEFI システムパーティションを作成した場合は、UEFI パーティションを {{ic|fat32}} または {{ic|vfat32}} ファイルシステムでフォーマットしてください。これを行っておかないと起動できなくなります:
# mkfs.vfat -F32 /dev/sd''xY''
{{Note|BIOS/GPT 環境で [[GRUB]] を使用する場合、[[GRUB#GUID Partition Table (GPT) 特有の手順|BIOS Boot Partition]] は {{ic|/boot}} マウントポイントと関係ないので注意してください。このパーティションは GRUB によって直接使用されます。BIOS Boot Partition にファイルシステムを作成したり、マウントしたりしてはいけません。}}

=== スワップの有効化 ===

スワップパーティションを作成した場合は、以下のコマンドで有効化する必要があります:

# mkswap /dev/sd''xY''
# swapon /dev/sd''xY''

=== パーティションのマウント ===

{{Note|ここではスワップパーティションをマウントしないでください。}}

まず最初に {{ic|/}} (root) パーティションをマウントしてください。{{ic|/boot}} や {{ic|/home}} などのディレクトリは root ファイルシステムに作成する必要があるためです。ライブ環境の {{ic|/mnt}} ディレクトリを使用して root パーティションをマウントします。他のパーティションはそこをベースにします。root パーティションの名前が {{ic|sd''xR''}} なら、次のコマンドを実行:

# mount /dev/sd''xR'' /mnt

{{ic|/}} パーティションをマウントしたら、他のパーティションをマウントすることができます。順番は気にしなくて結構です。手順としてはまずマウントポイントを作成し、それからパーティションをそのマウントポイントにマウントします。{{ic|/boot}} パーティションを作成していたのならば:

# mkdir -p /mnt/boot
# mount /dev/sd''xB'' /mnt/boot

UEFI/GPT 環境の場合、EFI システムパーティションも {{ic|/boot}} にマウントすることを推奨します。他のマウントポイントを使いたいときは、[[EFISTUB]] の記事を見て下さい。

{{ic|/home}} パーティションを使用する場合:

# mkdir -p /mnt/home
# mount /dev/sd''xH'' /mnt/home

全てのパーティションをマウントしたら、デバイスの準備は完了で Arch をインストールできます。

== ミラーの選択 ==

インストールの前に、{{ic|mirrorlist}} ファイルを編集し、あなたに相応しいミラーを一番上に置きましょう。このファイルのコピーが {{ic|pacstrap}} によってインストールされ、新しいシステム上でも選択したミラーが使われます。

{{hc|# nano /etc/pacman.d/mirrorlist|
##
## Arch Linux repository mirrorlist
## Sorted by mirror score from mirror status page
## Generated on YYYY-MM-DD
##

<nowiki>Server = http://ftp.jaist.ac.jp/pub/Linux/ArchLinux/$repo/os/$arch</nowiki>
...}}

* {{ic|Alt+6}} で {{ic|Server}} 行をコピー。
* {{ic|PageUp}} キーで上にスクロール。
* {{ic|Ctrl+U}} でリストの一番上にペースト。
* {{ic|Ctrl+X}} で終了、保存するか聞かれたら、{{ic|Y}} を押し {{ic|Enter}} で上書き保存。

他のミラーを消去 ({{ic|Ctrl+K}} を使う) してミラーを''ひとつだけに''絞ることもできますが、そのミラーがオフラインになったときのことを考え、ミラーを複数使用するほうが良いでしょう。

{{Tip|
* [https://www.archlinux.org/mirrorlist/ Mirrorlist Generator] を使って、あなたの国の最新リストを入手できます。[[Wikipedia:Keepalive|keepalive]] が存在するため、HTTP ミラーのほうが FTP よりも速度が速いです。また FTP では、pacman はパッケージをダウンロードするごとにシグナルを送信しなくてはならないため、短い停止がはさまります。ミラーリストを作る他の方法を見るには、[[ミラー#ミラーをソートする|ミラーのソート]]と [[Reflector]] を参照してください。
* [https://archlinux.org/mirrors/status/ Arch Linux MirrorStatus] ではミラーの状況、たとえばネットワークエラー、データ収集エラー、最終同期時間などの様々な情報を見ることができます。}}

{{Note|
* 将来、ミラーリストを変更したときは必ず、{{ic|pacman -Syyu}} で pacman の全てのパッケージリストを更新することを覚えておいて下さい。これは良い経験則と考えられており、問題の回避につながります。詳しくは[[ミラー]]を参照。
* 古いインストールメディアを使っている場合、ミラーリストが古くなっているかもしれません。そのために Arch Linux のアップデート時に問題を引き起こす可能性があります。({{Bug|22510}} を参照)。上で述べたようにして最新のミラー情報を入手するべきです。}}

== ベースシステムのインストール ==

''pacstrap'' スクリプトを使ってベースシステムをインストールします。インストールするパッケージを選択せず、{{Grp|base}} の全てのパッケージをインストールするときは、{{ic|-i}} スイッチを省いて下さい。[[AUR]] や [[ABS]] でパッケージをビルドするときのために、{{Grp|base-devel}} グループも必要になります。

# pacstrap -i /mnt base base-devel

ライブ環境に含まれているツールの中には base グループに含まれていないものもあります ([https://projects.archlinux.org/archiso.git/tree/configs/releng/packages.both packages.both] を参照)。パッケージは後で ''pacman'' を使って[[インストール]]することもできますが、''pacstrap'' コマンドにパッケージの名前を追加することでこの場でインストールすることもできます。

{{Note|
* ミラーを正しく設定しているのに、''pacstrap'' が {{ic|error: failed retrieving file 'core.db' from mirror... : Connection time-out}} で止まる場合は、他の[[Resolv.conf|ネームサーバ]]を設定してみてください。
* ベースパッケージのインストール中に PGP 鍵のインポートをリクエストされたら、鍵のダウンロードを承認して先に進んで下さい。これは古い Arch ISO を使っていると発生します。PGP 鍵を追加できないときは、次のようにして {{Pkg|archlinux-keyring}} パッケージを更新してみてください: {{ic|pacman -S archlinux-keyring}}。詳しくは [[Pacman#トラブルシューティング]] や [[Pacman-key#トラブルシューティング]] を見て下さい。
}}

== fstab の生成 ==

以下のコマンドで [[fstab]] ファイルを生成します。いくつか有利な点がある UUID が使われます ([[fstab#ファイルシステムの識別]] を参照)。UUID ではなくラベルを使いたいときは、{{ic|-U}} オプションを {{ic|-L}} に置き換えましょう。

# genfstab -U /mnt > /mnt/etc/fstab
# cat /mnt/etc/fstab

{{Warning|生成したあとは必ず {{ic|fstab}} の中身をチェックしましょう。''genfstab'' や後のインストール作業中にエラーが起こっても、もう一度 ''genfstab'' を実行するのはやめてください。その場合は手動で {{ic|fstab}} ファイルを編集して下さい。}}

最後のフィールドには起動時にチェックするパーティションの順番を設定します: ({{ic|btrfs}} 以外では) root パーティションに {{ic|1}} を使って下さい、最初にチェックされます。起動時にチェックしたい他のパーティションには {{ic|2}} を使って下さい、{{ic|0}} はチェックされません ([[fstab#フィールドの定義]] を参照)。[[btrfs]] のパーティションには全て {{ic|0}} を使う必要があります。スワップパーティションも {{ic|0}} に設定してください。

== Chroot とベースシステムの設定 ==

次に、[[Change Root|chroot]] を使って新しくインストールされたシステムに入ります:

# arch-chroot /mnt /bin/bash

この段階では、Arch Linux ベースシステムの重要な設定ファイルを作ります。ファイルが存在していないときや、デフォルト設定を使いたくないときは、その都度ファイルを作成したり編集してください。

正確に、手順をよく踏まえてから設定してください。システムを正しく設定するのにとても重要なステップです。

{{Warning|ISO で使用しているツールは自動的にインストールされるわけではありません。例えば、インストールの一環としてネットワークに接続するために ''wifi-menu'' を使っている場合、インストールを完了した後も ''wifi-menu'' を使うためには、{{Pkg|dialog}} をインストールしておく必要があります。以下のセクションではそういったケースについて説明をしているので、後で困った事態にならないようにちゃんと指示に従って下さい。}}

=== ロケール ===

ロケールを設定することによって、{{Pkg|glibc}} やその他のロケールを使うプログラムやライブラリで、テキストのレンダリング、正しい通貨単位の表示、時間と月日のフォーマット、アルファベットの特有表現、地域特有の単位の表示などができるようになります。

2つのファイルを編集する必要があります: 使用可能なロケールを記述する {{ic|locale.gen}} と実際に使用するロケールを定義する {{ic|locale.conf}}。

{{ic|locale.gen}} ファイルはデフォルトでは全てコメントアウト ({{ic|#}} で無効化) されています。{{ic|en_US.UTF-8 UTF-8}} の行と、必要なロケールをアンコメント (行の前の {{ic|#}} を削除) してください。選択肢がいくつかある場合 {{ic|UTF-8}} を推奨します。

{{hc|# nano /etc/locale.gen|
...
#en_SG ISO-8859-1
en_US.UTF-8 UTF-8
#en_US ISO-8859-1
...
#ja_JP.EUC-JP EUC-JP
ja_JP.UTF-8 UTF-8
#ka_GE.UTF-8 UTF-8
...
}}

ロケールは有効にする前に、''生成''する必要があります:

# locale-gen

{{ic|locale.conf}} ファイルはデフォルトで存在しません。ファイルを作成して、他の全ての変数のデフォルト値として扱われる {{ic|LANG}} のみ設定してください。{{ic|LANG}} 変数に指定するロケールは {{ic|/etc/locale.gen}} でアンコメントされている必要があります:

# echo LANG=''en_US.UTF-8'' > /etc/locale.conf

ロケールを export してください:

# export LANG=''en_US.UTF-8''

{{Tip|
* この段階でロケールを日本語に設定してしまうと、日本語を表示するためのフォントなどの環境が整っていないため、コンソールの出力が文字化けして判読できなくなってしまいます。GUI 環境を設定してから、以下を実行することで言語を日本語に設定できます:
# echo LANG<nowiki>=</nowiki>''ja_JP.UTF-8'' > /etc/locale.conf
# export LANG<nowiki>=</nowiki>''ja_JP.UTF-8''
* システム全体のロケールを {{ic|en_US.UTF-8}} に設定してシステムログを英語で保存するとトラブルシューティングが楽になります。この設定は[[ロケール#ユーザーごとにロケールを設定]]で書かれているようにしてユーザー個別で上書きできます。
* 他の {{ic|LC_*}} 変数を使いたいときは、まず {{ic|locale}} を実行してオプションを確認してから、{{ic|locale.conf}} に追加してください。{{ic|LC_ALL}} 変数を使うことは推奨されません。詳しくは[[ロケール]]を参照してください。
}}

=== コンソールフォントとキーマップ ===

[[#言語の選択|言語の選択]]でデフォルトのキーマップとフォントを変更していた場合、再起動後もキーマップ設定が適用されるように、{{ic|/etc/vconsole.conf}} を編集 (ファイルがなかったら作成) してください:

{{hc|# nano /etc/vconsole.conf|2=
KEYMAP=''jp106''
FONT=''lat9w-16''
}}

詳しくは[[フォント#コンソールフォント|コンソールフォント]]や {{ic|man vconsole.conf}} を参照。

{{Warning|{{ic|KEYMAP}} を最初に ''loadkeys'' で設定した値と異なる値に設定してから、[[#root パスワードの設定|root パスワードを設定]]してしまうと、新しいシステムにログインするときにキーマップが変わっていてログインできなくなる可能性があります。}}

以上の設定は仮想端末においてのみ適用されます。[[Xorg]] ではまた異なる設定をする必要があります。詳しくは[[フォント#コンソールフォント]]を見て下さい。

=== タイムゾーン ===

利用可能なタイムゾーンとサブゾーンは {{ic|/usr/share/zoneinfo/''ゾーン''/''サブゾーン''}} ディレクトリで見つかります。{{ic|ls}} コマンドでゾーンの一覧を表示できます:
$ ls -l /usr/share/zoneinfo

{{Tip|[http://tldp.org/LDP/abs/html/tabexpansion.html タブ補完] を使うことでも利用できるゾーンとサブゾーンを表示できます。}}

{{ic|/etc/localtime}} から適切なゾーンファイル {{ic|/usr/share/zoneinfo/''ゾーン''/''サブゾーン''}} へのシンボリックリンクを作って下さい:

# ln -s /usr/share/zoneinfo/''ゾーン''/''サブゾーン'' /etc/localtime

例:

# ln -s /usr/share/zoneinfo/Asia/Tokyo /etc/localtime

{{ic|ln: failed to create symbolic link '/etc/localtime': File exists}} と表示される場合は、{{ic|ls -l /etc/localtime}} で既存のファイルを確認してから、''ln'' コマンドに {{ic|-f}} オプションを追加して上書きしてください。

=== ハードウェアクロック ===

ハードウェアクロックモードを全ての OS で同じになるように設定します。さもないと、ハードウェアクロックが上書きされ時刻がずれてしまう可能性があります。''hwclock'' コマンドは {{ic|/etc/adjtime}} ファイルを生成します。[[Wikipedia:ja:協定世界時|UTC]] に設定するには、次を実行:

# hwclock --systohc --utc

{{Note|ハードウェアクロックに [[Wikipedia:ja:協定世界時|UTC]] を使ったからといって、ソフトウェアが時刻を UTC で表示するわけではありません。}}

{{Warning|Windows はデフォルトで ''localtime'' を使っています。Arch で ''localtime'' を使用すると既知の問題や容易に修復できないバグを引き起こす可能性があります。しかしながら、''localtime'' のサポートを終了する計画はありません。''localtime'' を使用する場合は、root で {{ic|hwclock --systohc --localtime}} を実行してください。Windows 7 以降を使用する場合、Arch を ''localtime'' に設定するのではなく、Windows に UTC を使わせて、Windows の時刻同期を無効にすることが推奨されています。詳しくは[[時刻#Windows で UTC を使う]]を見て下さい。}}

=== カーネルモジュール ===

必要なカーネルモジュールは基本的に [[udev]] によって自動ロードされるため、手動でモジュールをロードする必要があるのは稀です。詳しくは[[カーネルモジュール]]を見て下さい。

=== ホスト名 ===

お好きな名前を[[Wikipedia:ja:ホスト名|ホスト名]]に設定してください (例: ''arch''):

# echo ''ホスト名'' > /etc/hostname

同じホスト名を {{ic|/etc/hosts}} に追加します:

#<ip-address> <hostname.domain.org> <hostname>
127.0.0.1 localhost.localdomain localhost ''ホスト名''
::1 localhost.localdomain localhost ''ホスト名''

=== ネットワークの設定 ===

ネットワークの設定をもう一度行います。今回は新しくインストールされる環境のネットワーク設定です。[[#インターネット接続の確立|上で説明した]]のと方法はほとんど同じですが、今回の設定では、設定が消えないように、ブート時に自動的に起動するように設定します。

まず最初に、{{ic|ip link}} で接続を設定するネットワークインターフェイスの名前を確認してください。

{{Note|
* ネットワーク設定の詳しい情報は、[[ネットワーク設定]]や[[ワイヤレス設定]]を参照してください。
* インターフェースについて古い命名規則 ({{ic|eth''X''}} や {{ic|wlan''X''}}) を使って欲しい時は {{ic|/etc/udev/rules.d/80-net-setup-link.rules}} に空のファイルを作成してください。これによって {{ic|/usr/lib/udev/rules.d}} 下の同じ名前のファイルがマスクされます (空のファイルを使う代わりに、{{ic|/dev/null}} へのシンボリックリンクを使うことでも命名規則を戻せます: {{ic|# ln -s /dev/null /etc/udev/rules.d/80-net-setup-link.rules}})。
}}

==== 有線 ====

===== 動的 IP =====

; dhcpcd を使う

固定された有線ネットワーク接続が1つだけあるという環境の場合、ネットワーク管理サービスを使う必要はなく、単純に {{ic|dhcpcd}} サービスを有効にするだけで足ります:

# systemctl enable dhcpcd@''インターフェイス名''.service

; netctl を使う

{{ic|/etc/netctl/examples}} からサンプルプロファイルを {{ic|/etc/netctl/}} にコピーしてください:

# cd /etc/netctl
# cp examples/ethernet-dhcp my_network

プロファイルを編集して下さい ({{ic|Interface}} を {{ic|eth0}} から {{ic|ip link}} を実行したときに確認したインターフェイス名に修正する):

# nano my_network

{{ic|my_network}} プロファイルを有効にしてください:

# netctl enable my_network

{{Note|{{ic|Running in chroot, ignoring request.}} というメッセージが表示されることがありますが、いまのところは無視してかまいません。}}

; netctl-ifplugd を使う

{{Warning|{{ic|netctl enable ''プロファイル名''}} のようにしてプロファイルを有効にする方法と netctl-ifplugd を使う方法を一緒に用いることはできません。}}

{{Pkg|netctl}} の {{ic|netctl-ifplugd}} を使って動的に接続を管理することもできます。

まず {{Pkg|ifplugd}} をインストールしてください、{{ic|netctl-ifplugd}} を使うために必要なパッケージです:

# pacman -S ifplugd

そしてサービスを有効にしてください:

# systemctl enable netctl-ifplugd@''インターフェイス名''.service

{{Note|[[netctl]] には {{ic|netctl-auto}} もあり、{{ic|netctl-ifplugd}} と一緒に無線プロファイルを管理するのに使うことができます。}}

===== 固定 IP =====

; netctl を使う

{{ic|/etc/network.d/examples}} から {{ic|/etc/netctl}} にサンプルプロファイルをコピーします:

# cd /etc/netctl
# cp examples/ethernet-static my_network

必要に応じてプロファイルを編集 ({{ic|Interface}}, {{ic|Address}}, {{ic|Gateway}}, {{ic|DNS}} を修正):

# nano my_network

{{ic|Address}} の中の {{ic|/24}} は {{ic|255.255.255.0}} ネットマスクの [[wikipedia:Classless Inter-Domain Routing#CIDR notation|CIDR notation]] です。

そして作成したプロファイルを有効にしてください:

# netctl enable my_network

; systemd-networkd を使う

[[systemd-networkd]] を参照してください。

==== 無線 ====

{{Note|あなたの使っているワイヤレスアダプタにファームウェアが必要な場合 (上の[[#インターネット接続の確立|インターネット接続の確立]]セクションと[[ワイヤレス設定#ドライバとファームウェア|ここ]]に記述あり)、ファームウェアを含んだパッケージをインストールしてください。ほとんどの場合、{{Pkg|linux-firmware}} パッケージに必要なファームウェアが含まれていますが、機器によっては個別のパッケージにファームウェアが存在します。例えば: {{ic|# pacman -S zd1211-firmware}}。詳しくは[[ワイヤレス設定]]を見て下さい。}}

ネットワークに接続するために {{pkg|iw}} と {{pkg|wpa_supplicant}} をインストールしてください:

# pacman -S iw wpa_supplicant

===== 無線ネットワークの追加 =====
; wifi-menu を使う

{{ic|wifi-menu}} に必要な {{pkg|dialog}} をインストールしてください:
# pacman -S dialog

このインストールと再起動が終わった後 {{ic|wifi-menu ''インターフェイス名''}} ({{ic|''インターフェイス名''}} はあなたの無線インターフェースに置き換えてください) でネットワークに接続することができます。

# wifi-menu ''インターフェイス名''

{{Warning|{{ic|wifi-menu}} を使う時は、絶対に chroot を終了して再起動した''後''にしてください。このコマンドを使って作成されたものが chroot の外で動作させているものと衝突してしまう恐れがあるからです。また、上で書かれているようにテンプレートを使って手動でネットワークプロファイルを設定することもできます、その場合は {{ic|wifi-menu}} を使うことについての心配はいりません。}}

; 手動の netctl プロファイルを使う

ネットワークプロファイルを {{ic|/etc/netctl/examples}} から {{ic|/etc/netctl}} にコピーしてください:

# cd /etc/netctl
# cp examples/wireless-wpa my_network

接続するネットワークにあわせてプロファイルを編集してください ({{ic|Interface}}, {{ic|ESSID}}, {{ic|Key}} を修正):

# nano my_network

作成したプロファイルがブート毎に実行されるよう有効にしてください:

# netctl enable my_network

===== 既知のネットワークに自動で接続する =====

{{Warning|{{ic|netctl enable ''プロファイル名''}} のようにしてプロファイルを有効にする方法とこの方法を一緒に使うことはできません。}}

{{ic|netctl-auto}} に必要な {{Pkg|wpa_actiond}} をインストールしてください:

# pacman -S wpa_actiond

{{ic|netctl-auto}} サービスを有効にすれば、既知のネットワークに接続しローミングや切断を管理します:

# systemctl enable netctl-auto@''インターフェイス名''.service

{{Note|[[netctl]] には {{ic|netctl-ifplugd}} もあり、{{ic|netctl-auto}} と一緒に有線プロファイルを管理するのに使われます。}}

==== xDSL (PPPoE), アナログモデム, ISDN ====

xDSL、ダイアルアップ・ISDN 接続は、[[モデムに直接接続]]を見て下さい。

=== Initial ramdisk 環境の作成 ===

{{Tip|ほとんどのユーザーはこの手順をスキップし、{{ic|mkinitcpio.conf}} のデフォルト設定を使って問題ありません。initramfs イメージ ({{ic|/boot}} フォルダ内) は {{ic|pacstrap}} によって {{Pkg|linux}} パッケージ (Linux カーネル) をインストールしたときに、{{ic|mkinitcpio.conf}} に基づいて既に生成されています。}}

root が USB ドライブにあったり、RAID や LVM を使っていたり、{{ic|/usr}} が分割されたパーティション上にある場合は、ここで正しい [[Mkinitcpio#HOOKS|hooks]] を設定しなくてはなりません。

必要に応じて {{ic|/etc/mkinitcpio.conf}} を編集し、initramfs イメージを再形成します:

# mkinitcpio -p linux

=== root パスワードの設定 ===

root パスワードを設定します:

# passwd

=== ブートローダのインストールと設定 ===

Intel の CPU を使っている場合、{{Pkg|intel-ucode}} パッケージをインストールして[[マイクロコード#Intel のマイクロコードのアップデートを有効にする|マイクロコードのアップデートを有効化]]してください。

==== BIOS マザーボードの場合 ====

BIOS システムでは、複数のブートローダが使えます。ブートローダの完全なリストは[[ブートローダー]]にあります。あなたの都合に合わせてどれか一つを選んで下さい。よく使われるブートローダーは:

* [[Syslinux]] は現在 Syslinux がインストールされたパーティションのファイルのみをロードするように制限されています。設定ファイルはわかりやすいものになっています。設定サンプルは [[Syslinux#サンプル|Syslinux]] の記事にあります。

* [[GRUB]] はより多くの機能を備えた複雑なブートローダです。設定ファイルはスクリプト言語 (sh) に似ていて、初心者が手動で設定するには難しいかもしれません。自動で設定を生成するのが推奨されます。

ここからは、GRUB と MBR の組み合わせでのインストールを説明します。まず {{Pkg|grub}} パッケージをインストールします。GRUB が他のオペレーティングシステムも検索できるように、{{Pkg|os-prober}} もインストールしておきます:

# pacman -S grub os-prober

{{ic|grub-install}} を実行してブートローダをインストールしてください:

# grub-install --recheck ''/dev/sda''

{{Note|
* {{ic|/dev/sda}} はあなたが Arch をインストールしたドライブに書き換えてください。パーティション番号を加えてはいけません ({{ic|sda''X''}} を使ってはいけません)。
* サンプルの {{ic|/boot/grub/grub.cfg}} は grub パッケージの一部としてインストールされ、後の {{ic|grub-*}} コマンドでは上書きされません。変更を加えるときは {{ic|grub.cfg.new}} などのファイルではなく {{ic|grub.cfg}} を編集してください。
}}

次に {{ic|grub.cfg}} を作ります。手動で作る方が細かい設定ができますが、初心者は自動で生成するのが推奨されています:

# grub-mkconfig -o /boot/grub/grub.cfg

GRUB の使用・設定の詳しい情報は、[[GRUB]] を参照。

==== UEFI マザーボードの場合 ====

{{Note|UEFI ファームウェアによってはインストールしたブートローダーの {{ic|.efi}} ブータブルスタブを特定の名前で特定の場所に配置する必要があります: {{ic|$esp/EFI/boot/bootx64.efi}} ({{ic|$esp}} は EFI System Partition のマウントポイントに置き換えて下さい)。これをしていないと場合によっては、インストールした環境を起動できなくなることがあります。詳しくはそれぞれのブートローダーのセクションを見て下さい。}}

UEFI システムでも、複数のブートローダが使えます。利用できるブートローダの完全なリストは[[ブートローダー]]にあります。あなたの都合にあわせて選んで下さい。ここでは、2つのブートローダを例として提示します:

* [[systemd-boot]] は最小主義の UEFI ブートマネージャで、[[EFISTUB]] カーネルや他の UEFI アプリケーションのためのメニューを提供します。初心者、特に Windows 8 などの別のオペレーティングシステムとデュアルブートをしたいユーザーに推奨です。
* [[GRUB]] は完全なブートローダーで、systemd-boot で問題が起きた時に役に立ちます。

ここからは systemd-boot のインストールを説明します。まず、インストール後に EFI System Partition を操作するための {{Pkg|dosfstools}} パッケージをインストールしてください:

# pacman -S dosfstools

{{Note|
* UEFI でブートするには、ドライブは GPT でパーティションされている必要があり、[[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]] (512 MiB 以上, FAT32, gdisk タイプ {{ic|EF00}}) が存在しなければなりません。このガイドを初めから実行しているのなら、すでに全て行われているはずです。
* systemd-boot が自動的にアップデートされるように EFI System Partition は {{ic|/boot}} にマウントすることを強く推奨します。
}}

自動インストールスクリプトを実行してブートローダを EFI System Partition にインストールしてください ({{ic|$esp}} は EFI System Partiton の場所に置き換えて下さい、通常は {{ic|/boot}} です):

# bootctl --path=''$esp'' install

Bootctl はファームウェアによって自動で検出され、{{ic|bootx64.efi}} ブータブルスタブが {{ic|$esp/EFI/boot}} にあることを必要とします。そして {{ic|.efi}} スタブを使ってインストールされている別のオペレーティングシステムを自動で検出します。ただし、bootctl の設定ファイルは手動で作成する必要があります。

まず、{{ic|''$esp''/loader/entries/arch.conf}} を作成して以下を記述します、{{ic|/dev/sdaX}} は ''root'' パーティションに置き換えて下さい (例: {{ic|/dev/sda2}}):
{{hc|# nano ''$esp''/loader/entries/arch.conf|2=
title Arch Linux
linux /vmlinuz-linux
initrd /initramfs-linux.img
options root='''/dev/sdaX''' rw
}}
次に、{{ic|''$esp''/loader/loader.conf}} を作成して以下を記述します、timeout の値は自由に変更できます (秒数):
{{hc|# nano ''$esp''/loader/loader.conf|2=
default arch
timeout 5
}}

詳しい情報は [[systemd-boot]] を見て下さい。

== パーティションのアンマウントと再起動 ==

chroot 環境を脱出します:

# exit

{{Note|パーティションは ''systemd'' によってシャットダウン時に自動的にアンマウントされますが、安全対策として {{ic|umount -R /mnt}} を使って手動でアンマウントすることもできます。パーティションがビジー状態の場合、[[Wikipedia:fuser_(Unix)|fuser]] で原因を特定できます。}}

コンピュータを再起動:

# reboot

{{Tip|インストールメディアを取り出してください、そうしないともう一度セットアップが起動してしまいます。マシンにログインするときはユーザー "root" と前に passwd コマンドで設定したパスワードを使います。デフォルトのパスワードは "root" です。}}

== インストールのその先 ==

あなたの新しい Arch Linux ベースシステムは今、あなたの目的や希望のために必要な全てを入れる準備ができた GNU/Linux になっています。ここからは[[一般的な推奨事項]]のページを見ることを推奨します。特に最初の2つのセクションは必読です。また、他のセクションには、グラフィカルユーザーインターフェイス (GUI) やサウンド、タッチパッドの設定などのチュートリアルが書かれたページヘのリンクが載っています。

あなたの興味を引くであろうアプリケーションの一覧は、[[アプリケーション一覧]]を参照。

ビギナーズガイド

2015-12-28T21:05:26Z

Aosho235: /* パーティショニングツール */

[[Category:Arch の入手とインストール]]
[[Category:Arch について]]
[[ar:Beginners' guide]]
[[bg:Beginners' guide]]
[[cs:Beginners' guide]]
[[da:Beginners' guide]]
[[de:Anleitung für Einsteiger]]
[[el:Beginners' guide]]
[[en:Beginners' guide]]
[[es:Beginners' guide]]
[[fa:راهنمای_تازه‌کاران]]
[[fr:Installation]]
[[he:Beginners' guide]]
[[hr:Beginners' guide]]
[[hu:Beginners' guide]]
[[id:Beginners' guide]]
[[it:Beginners' guide]]
[[ko:Beginners' guide]]
[[lt:Beginners' guide]]
[[nl:Beginners' guide]]
[[pl:Beginners' guide]]
[[pt:Beginners' guide]]
[[ro:Ghidul începătorilor]]
[[ru:Beginners' guide]]
[[sk:Beginners' guide]]
[[sr:Beginners' guide]]
[[sv:Nybörjarguiden]]
[[tr:Yeni başlayanlar rehberi]]
[[uk:Beginners' guide]]
[[zh-cn:Beginners' guide]]
[[zh-tw:Beginners' guide]]
{{Related articles start}}
{{Related|:カテゴリ:アクセシビリティ}}
{{Related|インストールガイド}}
{{Related|ディスクレスシステム}}
{{Related|SSH からインストール}}
{{Related|一般的な推奨事項}}
{{Related|一般的なトラブルシューティング}}
{{Related|ブートデバッグ}}
{{Related|pacman#トラブルシューティング}}
{{Related|pacman-key#トラブルシューティング}}
{{Related articles end}}

この文章では [https://projects.archlinux.org/arch-install-scripts.git/ Arch Install Scripts] を使って [[Arch Linux]] をインストールする方法を解説します。インストールする前に、[[FAQ]] を一読することをおすすめします。

コミュニティによって管理されている [[メインページ|ArchWiki]] は有用な資料であり、問題が発生したらまず wiki を読んでみましょう。wiki で答えが見つからないときは、[https://archlinuxjp-slack.herokuapp.com/ Slack] や [https://bbs.archlinuxjp.org/ フォーラム] を使って下さい。また、[[The Arch Way|Arch Way]] に従って、知らないコマンドの {{ic|man}} ページを見るようにしましょう。{{ic|man ''コマンド''}} で見ることができます。

== 動作環境 ==

Arch Linux は i686 互換の、最低 256MB の RAM を積んだマシンで動作します。また、基本的なインストールに必要な {{Grp|base}} グループに含まれる全てのパッケージをインストールするには約 800MB のディスク容量が必要です。使える容量が少ない場合、この数値をかなり切り詰めることが可能ですが、どうやるかは調べる必要があります。

== 最新のインストールメディアを準備する ==

Arch の公式インストールメディアは[https://www.archlinuxjp.org/download/ ダウンロードページ]から入手できます。ひとつの ISO で32ビットと64ビット両方のアーキテクチャをサポートしています。出来るだけ一番新しい ISO を使って下さい。

インストールイメージには署名がされており、使用する前に署名を検証するのが推奨されています (特に HTTP ミラーからダウンロードした場合)。[[GnuPG]] をインストールした環境で、ダウンロードした ''PGP 署名''を ISO のディレクトリに配置して、次を実行してください:
$ gpg --verify archlinux-<version>-dual.iso.sig
公開鍵が見つからない場合、{{ic|gpg --recv-keys ''key-id''}} で[[GnuPG#鍵のインポート|インポート]]できます [http://sparewotw.wordpress.com/2012/10/31/how-to-verify-signature-using-sig-file/]。もしくは、既存の Arch Linux 環境から次を実行:
$ pacman-key -v archlinux-<version>-dual.iso.sig
{{ic|md5}} と {{ic|sha1}} チェックサムはそれぞれ ''md5sum'' と ''sha256sum'' でチェックできます。

=== USB と光学ドライブ ===

[[光学ディスクドライブ#焼き込み]] (CD/DVD) や [[USB インストールメディア]] (USB) を見て下さい。

=== ネットワーク経由でのインストール ===

[[PXE]] の記事を参照してください。

=== 既存の Linux 環境からインストール ===

[[既存の Linux からインストール]]を見て下さい。[[VNC]] や [[SSH]] を使って Arch をリモートでインストールするときに特に便利です。[[SSH からインストール]]も参照。

=== 仮想マシンへのインストール ===

現在使用しているオペレーティングシステムを残したまま、[[Wikipedia:ja:仮想機械|仮想マシン]]上でインストール手順を実行することで、ストレージのパーティションを行う必要なく Arch Linux に慣れることができます。また、ブラウザでこのビギナーズガイドを開いたままインストールが可能です。独立した Arch Linux システムを使用できるということは、テストを行いたいという一部のユーザーにとって有益なことでしょう。

仮想化ソフトウェアの例としては、[[VirtualBox]], [[VMware]], [[QEMU]], [[Xen]], [[Parallels]] があります。

仮想マシンを準備するための正確な手順は、ソフトウェアによって異なりますが、一般的に次の手順に従います:

# オペレーティングシステムのホストにて、仮想ディスクイメージを作成します。
# 仮想マシンの設定を最適化します。
# 仮想 CD ドライブでダウンロードした ISO イメージを起動します。
# [[#インストールメディアの起動|インストールメディアの起動]]に進みます。

== インストールメディアの起動 ==

最初に、あなたのコンピュータの BIOS セットアップで起動順序を変更する必要があるかもしれません。それには、POST ([[Wikipedia:ja:Power On Self Test|Power On Self-Test]]) の間にキー (多くの場合 {{ic|Delete}}、{{ic|F1}}、{{ic|F2}}、{{ic|F11}} や {{ic|F12}}) を押します。これで BIOS の設定画面が表示されるので、ここでシステムが起動するデバイスを探す順番を設定できます。"Save & Exit" (もしくはそれに準ずるもの) を選択すればコンピュータは通常通り起動するはずです。

Arch のメニューが表示されたら、インストールを行うライブ環境を開始するために "Boot Arch Linux" をメニューから選択し、{{ic|Enter}} キーを押します (UEFI ブートディスクから起動した場合は、次のオプションを選択: "Arch Linux archiso x86_64 UEFI")。ブートエントリを編集することで様々なブートパラメータ ({{ic|copytoram}} など) を使うことができます。Syslinux では {{ic|tab}} を押し、systemd-boot では {{ic|e}} を押します。詳しくは [https://projects.archlinux.org/archiso.git/tree/docs/README.bootparams README.bootparams] を参照。

起動するとシェルプロンプトが表示され、root として自動的にログインが行われます。シェルは [[Zsh]] です。高度な [http://zsh.sourceforge.net/Guide/zshguide06.html タブ補完] など、[http://grml.org/zsh/ grml の設定] の機能が使用できます。テキストファイルを編集する時は、コンソールエディタの [[nano]] を使うことが推奨されています。使い方をよく知らない場合は、[[nano#nano の使用方法]] を見て下さい。Windows とのデュアルブートをする（もしくはそうすることを計画している）場合、[[Windows と Arch のデュアルブート]]を見て下さい。

=== UEFI モードでブートしているかどうかのテスト ===

{{Warning|将来を考えると EFI モードでインストールを行ったほうが望ましいのですが、初期の UEFI の実装には BIOS よりも大量のバグが存在しています。UEFI モードを使用する前にあなたの使用しているマザーボードのモデルについて検索をすることが推奨されます。}}

[[Unified Extensible Firmware Interface|UEFI]] マザーボードを使用していて、UEFI ブートモードが有効になっている (そしてそれが BIOS/Legacy モードよりも優先されている) 場合、CD/USB のインストールメディアは自動で [[systemd-boot]] を使って Arch Linux カーネルを起動します。そして以下のメニューが表示されます (黒地に白字)、最初のアイテムがハイライトされます:
{{bc|
Arch Linux archiso x86_64 UEFI USB
UEFI Shell x86_64 v1
UEFI Shell x86_64 v2
EFI Default Loader}}

UEFI モードで起動しているのか確認したい場合は、次を実行:

# efivar -l

''efivar'' が UEFI 変数を正しく表示したら、UEFI モードで起動されています。表示されない場合は [[Unified Extensible Firmware Interface#UEFI 変数のサポートを正しく動作させるための必要条件]] に記載されている全ての要件が満たされているか確認してください。

=== 起動時の問題のトラブルシューティング ===

* Intel のビデオチップセットを使用していて、ブート中にブランクスクリーン (画面が黒くなる) になった場合、おそらく Kernel Mode Setting ([[Kernel Mode Setting|KMS]]) に問題があります。回避策は、パソコンを再起動し、起動しようとしている項目 (i686 または x86_64) の上で、{{ic|Tab}} キーを押します。末尾に {{ic|nomodeset}} を追加し、{{ic|Enter}} キーを押します。または {{ic|1=video=SVIDEO-1:d}} (KMS は無効にされません) を設定します。もしくは、{{ic|i915.modeset<nowiki>=</nowiki>0}} を試して下さい。詳細は [[Intel Graphics|Intel]] ページを参照してください。

* ブランクスクリーンに''ならず''、カーネルのロード中に固まる場合は、{{ic|Tab}} キーをメニューの項目上で押し、末尾に {{ic|1=acpi=off}} を追加し、{{ic|Enter}} キーを押します。

== 言語の選択 ==

{{Tip|以下の設定は必須ではありません。設定ファイルをあなたの使う言語で書いたり、Wi-Fi パスワードで区別的発音符を使ったり、もしくはあなたの言語でシステムメッセージ(例えばエラー)を見たいときだけに役に立ちます。ここでの変更はインストールプロセスに''だけ''適用されます。}}

標準で、キーボードのレイアウトは {{ic|us}} に設定されています。もし、[[Wikipedia:File:KB United States-NoAltGr.svg|US]] キーボード以外のレイアウトを使用している場合は、

# loadkeys ''レイアウト名''

で変更できます。''レイアウト名''の部分は {{ic|jp106}}、{{ic|fr}}、{{ic|uk}}、{{ic|be-latin1}} などに置き換えます。[[コンソールでのキーボード設定#キーボードレイアウトの設定|ここ]]から一般的なレイアウトのリストを見ることができます。利用可能なキーマップを表示するには {{ic|localectl list-keymaps}} コマンドを使って下さい。

{{Warning|以下はフォントと言語の設定ですが、この段階では、日本語を表示することはできません。}}

フォントも変える必要があるかもしれません。ほとんどの言語は[[Wikipedia:ja:アルファベット|アルファベット]]の26字よりも多くの文字を使っているからです。さもなければ文字が□（豆腐）になったり全く異なって表示されることがあります。フォントの名前は大文字・小文字を区別するので、''正確に''入力してください:

# setfont lat9w-16

標準では、言語は英語 (US) に設定されています。インストール中の言語を変更したい場合 ''(例: 日本語)''、{{ic|/etc/locale.gen}} 内のあなたの設定したい[[ロケール]]の行と、英語 (US) の行から行頭の {{ic|#}} を削除します。{{ic|UTF-8}} を選択してください。

シンプルな Nano エディタで編集するには、{{ic|nano /etc/locale.gen}} と入力してください。{{ic|Ctrl+X}} で終了し、変更を保存するか聞かれたら {{ic|Y}} と、 {{ic|Enter}} を押せば同じファイル名で上書き保存します。

{{hc|# nano /etc/locale.gen|
en_US.UTF-8 UTF-8
ja_JP.UTF-8 UTF-8}}

# locale-gen
# export LANG=ja_JP.UTF-8

== インターネット接続の確立 ==

{{Warning|[http://cgit.freedesktop.org/systemd/systemd/tree/NEWS?id=dee4c244254bb49d1ffa8bd7171ae9cce596d2d0 v197] 以降、udev はネットワークインターフェースの名前を wlanX や ethX といった風に名づけません。あなたが他のディストリビューションを使っているなどの理由で、新しい命名規則を知らないのならば、あなたの無線インターフェースの名前が wlan0 だとか、有線インターフェースの名前が eth0 ではない可能性があることを予め覚えておいて下さい。{{ic|ip link}} コマンドでインターフェースの名前を調べることができます。}}

{{ic|dhcpcd}} ネットワークデーモンはブート時に自動で起動して、可能であれば有線での接続を試みます。接続できているかウェブサイトに ping をして確かめて下さい。例えば Google のサーバーに ping します:

{{hc|# ping -c 3 www.google.com|2=
PING www.l.google.com (74.125.132.105) 56(84) bytes of data.
64 bytes from wb-in-f105.1e100.net (74.125.132.105): icmp_req=1 ttl=50 time=17.0 ms
64 bytes from wb-in-f105.1e100.net (74.125.132.105): icmp_req=2 ttl=50 time=18.2 ms
64 bytes from wb-in-f105.1e100.net (74.125.132.105): icmp_req=3 ttl=50 time=16.6 ms

--- www.l.google.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 16.660/17.320/18.254/0.678 ms}}

{{ic|ping: unknown host}} のエラーが出た場合は下に記述されている方法を試して手動で接続をセットアップする必要があります。ネットワークへの接続が問題ないようでしたら、[[#ドライブの準備|ドライブの準備]]へ進んでください。

=== 有線 ===

固定 IP アドレスを使用して有線の接続をセットアップする場合は次の手順に従ってください。

あなたのイーサネットインターフェースの名前を確かめて下さい:

{{hc|# ip link|
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: enp2s0f0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT qlen 1000
link/ether 00:11:25:31:69:20 brd ff:ff:ff:ff:ff:ff
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DORMANT qlen 1000
link/ether 01:02:03:04:05:06 brd ff:ff:ff:ff:ff:ff}}

上記の例の場合、イーサネットインターフェースは {{ic|enp2s0f0}} です。よくわからない場合、あなたのイーサネットインターフェースはおそらく "e" から始まっているインターフェイスです。"w" で始まっているものや "lo" ではないということです。

[[ネットワーク設定#固定 IP アドレス]]を見て必要な設定を確認してください。{{ic|/etc/dhcpcd.conf}} に以下のような設定を使って、dhcpcd の static プロファイルを設定します:

interface enp2s0f0
static ip_address=192.168.0.10/24
static routers=192.168.0.1
static domain_name_servers=192.168.0.1 8.8.8.8

{{ic|dhcpcd.service}} を再起動してください:

# systemctl restart dhcpcd.service

これでネットワークに接続されるはずです。されない場合は、[[ネットワーク設定]]のページを見て下さい。

=== 無線 ===

{{Warning|(CD・USB スティックの) ライブ環境では、(ワイヤレスカードを使うのに必要な) ワイヤレスチップセットのファームウェアのパッケージは {{ic|/usr/lib/firmware}} の下にあらかじめインストールされていますが、再起動後にも無線を使うには、ユーザーがちゃんとパッケージをインストールする必要があります。パッケージのインストールはこのガイドの後ろで触れています。再起動する前にワイヤレスモジュール・ファームウェアを必ずインストールしてください。もし、あなたのチップセットがファームウェアのインストールを必要としているか不明な場合は[[ワイヤレス設定]]を見て下さい。}}

[[netctl]] の {{ic|wifi-menu}} を使いネットワークに接続します:

# wifi-menu

コンピュータに接続されている Wi-Fi デバイスが一つしかない (ノートパソコンなど) 場合は wifi ネットワークのメニューが表示されます。

コンピュータに複数の Wi-Fi デバイスが存在するときは、そのどれか一つを選択して ''wifi-menu'' にインターフェイスの名前を指定する必要があります。まず、インターフェイスの名前を確かめて下さい:

{{hc|# iw dev|2=
phy#0
Interface wlp3s0
ifindex 3
wdev 0x1
addr 00:11:22:33:44:55
type managed
}}

上の例では、{{ic|wlp3s0}} が有効なワイヤレスインターフェースです。どれかわからないときは、おそらく "w" から始まるのがあなたのワイヤレスインターフェースです。"lo" や "e" から始まるインターフェースは違います。

インターフェイスの名前がわかったら、インターフェイスの名前を指定して ''wifi-menu'' を起動します:

# wifi-menu wlp3s0

ユーザー名やパスワードの設定を必要とするネットワークを使う場合は [[WPA2 Enterprise#netctl]] にあるサンプル設定を見て下さい。

これでネットワークは有効になるはずです。接続されないときは、下の [[#wifi-menu を使わない方法|wifi-menu を使わない方法]]や、詳しい説明が載っている[[ワイヤレス設定]]を見て下さい。

==== wifi-menu を使わない方法 ====

インターフェースを立ち上げます:

# ip link set wlp3s0 up

インターフェイスが立ち上がっているか確認するには、次のコマンドの出力を見て下さい:

{{hc|# ip link show wlp3s0|
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state DOWN mode DORMANT group default qlen 1000
link/ether 00:11:22:33:44:55 brd ff:ff:ff:ff:ff:ff
}}

{{ic|<BROADCAST,MULTICAST,UP,LOWER_UP>}} の中にある {{ic|UP}} がインターフェイスが立ち上がっている印です。後ろの {{ic|state DOWN}} は違います。

ほとんどのワイヤレスチップセットには、対応するドライバに加えて、ファームウェアが必要です。カーネルが自動で検知してロードを試みます。{{ic|SIOCSIFFLAGS: No such file or directory}} のようなエラーが出た場合、ファームウェアを手動でロードする必要があることを意味しています。必要なファームウェアがわからないときは、{{ic|dmesg}} を使いカーネルログからワイヤレスチップセットのファームウェア要求をさがします。例えば、カーネルの起動時に Intel チップセットが出力するファームウェア要求の例:

{{hc|# dmesg <nowiki>|</nowiki> grep firmware|
firmware: requesting iwlwifi-5000-1.ucode}}

なにも表示されないなら、あなたのワイヤレスチップセットにはファームウェアが要らないと判断できます。

{{ic|iw dev wlp3s0 scan <nowiki>|</nowiki> grep SSID}} を使って利用可能なネットワークをスキャンして、それからネットワークに接続してください:

# wpa_supplicant -B -i wlp3s0 -c <(wpa_passphrase "''ssid''" "''psk''")

''ssid'' はネットワークの名前に (例: "Linksys etc...")、''psk'' はパスワードに置き換える必要があります (ネットワークの名前とパスワードを囲っているダブルクォートは消さないで下さい, 例: ネットワークのパスワードが dog の場合、"dog" と入力)。

最後に、インターフェースに IP アドレスを与える必要があります。手動で設定するか dhcp を使ってこれを行なって下さい:
# dhcpcd wlp3s0

上のコマンドでうまくいかない場合、以下のコマンドを実行してください:

# echo 'ctrl_interface=DIR=/run/wpa_supplicant' > /etc/wpa_supplicant.conf
# wpa_passphrase <ssid> <passphrase> >> /etc/wpa_supplicant.conf
# ip link set <interface> up # May not be needed, but does no harm in any case
# wpa_supplicant -B -D nl80211 -c /etc/wpa_supplicant.conf -i <interface name>
# dhcpcd -A <interface name>

=== アナログモデム, ISDN, PPPoE DSL ===

xDSL・ダイアルアップ・ISDN接続については、[[モデムに直接接続]]を見て下さい。

=== プロキシサーバを使う ===

プロキシサーバを使うには、{{ic|http_proxy}}, {{ic|ftp_proxy}} 環境変数を設定しなくてはなりません。詳しい情報は[[プロキシ設定]]を見て下さい。

== 時計を合わせる ==

[[systemd-timesyncd]] を使ってシステムクロックを正確な時刻に合わせて下さい。起動するには:
# timedatectl set-ntp true

サービスの状態を確認したいときは {{ic|timedatectl status}} を使って下さい。

詳しくは、[[時刻]]を参照。

== ドライブの準備 ==

{{Warning|
* パーティショニングを行うと既存のデータが消去されます。実施する前に、必要なデータはバックアップしてください。
* UEFI/GPT 環境でインストールした Windows とデュアルブートしたい場合、Windows を起動するのに必要な Windows の ''.efi'' ファイルが含まれている UEFI パーティションを再フォーマットしてはいけません。さらに、Arch のブートモードとパーティションの組み合わせを Windows と同一に設定する必要があります。[[Windows と Arch のデュアルブート#重要情報]]を参照。
}}

このステップでは、新しいシステムをインストールするためにストレージデバイスの準備を行います。詳しい情報は[[パーティショニング]]を見て下さい。

[[LVM]], [[ディスク暗号化]], [[RAID]] などのスタックブロックデバイスを作成したい場合は、この段階で行います。USB フラッシュキーにインストールする場合は、[[USB キーに Arch Linux をインストール]]を見て下さい。

=== デバイスの確認 ===

まず新しいシステムをインストールするデバイスを確認します。次のコマンドを実行すると全てのデバイスが表示されます:

# lsblk

このコマンドはシステムに接続されたデバイスとパーティションを表示しますが、Arch インストールメディアを起動するのに使われているデバイスも含まれています。したがって、どのデバイスでもインストールが行えるというわけではありません。不必要なデバイスを表示しないようにするには、以下のようにコマンドを実行します:

# lsblk | grep -v "rom\|loop\|airoot"

デバイス (ハードディスク) は {{ic|sd''x''}} と示されます。{{ic|''x''}} は {{ic|a}} から始まる小文字のアルファベットで、一番目のデバイスは {{ic|sda}}、二番目のデバイスは {{ic|sdb}} と割り当てられます。既存のパーティションは {{ic|sd''xY''}} と示され、{{ic|''Y''}} は {{ic|1}} から始まる数字です。一番目のパーティションは {{ic|1}}、二番目のパーティションは {{ic|2}} と続きます。下の例では、一つのデバイスが存在し ({{ic|sda}})、一つのパーティションが使われています ({{ic|sda1}}):

NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 80G 0 disk
└─sda1 8:1 0 80G 0 part

パーティションテーブル、パーティション、ファイルシステムでは {{ic|sd''xY''}} という名前を例として使います。あくまでこの名前は例なので、実際にコマンドを実行したりするときは、デバイスの名前とパーティションの番号を変える必要があります。コマンドをコピーしてそのまま貼り付けても動作しません。

パーティションをそのまま変更しない場合は、[[#ファイルシステムの作成|ファイルシステムの作成]]まで進んでください。パーティショニングを行う場合は、次のセクションを読んで下さい。

=== パーティションテーブルのタイプの選択 ===

既に何らかの OS がインストールされているところに Arch をインストールする場合、既存のパーティションテーブルを使用します。デバイスがパーティショニングされてなかったり、現在のパーティションテーブルを変更する必要があるときは、まず使用されているパーティションテーブルを確認しなくてはなりません。

パーティションテーブルには2種類あります:

* [[Master Boot Record|MBR]]: BIOS 環境で使用されます (別名 "msdos")
* [[GUID Partition Table|GPT]]: UEFI 環境で使用されます

既存のパーティションテーブルは、次のコマンドを実行することで確認できます:

# parted /dev/sd''x'' print

=== パーティショニングツール ===

{{Warning|使用しているパーティショニングテーブルと互換性がないパーティショニングツールを使ってしまうと、テーブルが破壊されて、既存のパーティションやデータが消えてしまいます。}}

デバイスをパーティショニングするには、使用されるパーティションテーブルにあわせて適切なツールを選ぶ必要があります。Arch のインストールメディアには複数のパーティショニングツールが入っています:

* [[parted]]: GPT と MBR
* [[パーティショニング#Fdisk の使い方|fdisk]], '''cfdisk''', '''sfdisk''': GPT と MBR
* [[パーティショニング#Gdisk の使い方|gdisk]], '''cgdisk''', '''sgdisk''': GPT

Arch のインストールメディアを起動する前に、他のライブ環境に付属しているパーティションツールを使って、デバイスを予めパーティショニングしておくことも可能です。初心者にとっては [[GParted]] などのグラフィカルなパーティショニングツールが使いやすいでしょう。GParted には [http://gparted.sourceforge.net/livecd.php ライブ CD] が存在し、MBR と GPT の両方のパーティションテーブルで動作します。

==== インタラクティブモードの parted を使用する ====

以下で示す例では BIOS/MBR と UEFI/GPT の両方で用いることができる ''parted'' を使っています。''parted'' は''インタラクティブモード''で起動して、指定したデバイスに全てのパーティショニングコマンドを自動的に適用することで、不必要な繰り返しを避けます。

デバイスの操作を開始するには、次を実行:

# parted /dev/sd''x''

コマンドラインプロンプトがハッシュ ({{ic|#}}) から {{ic|(parted)}} に変わります。

利用できるコマンドのリストを表示するには、次を入力:

(parted) help

パーティションの操作が完了した場合は、次のコマンドで parted を終了します:

(parted) quit

終了後、コマンドラインプロンプトは {{ic|#}} に戻ります。

=== 新しいパーティションテーブルの作成 ===

パーティションテーブルのタイプを変更したい場合や、デバイスがまだパーティションされていない場合、パーティションテーブルの（再）作成が必要です。デバイスのパーティションテーブルの再作成はパーティションスキームを最初からやり直したい場合にも有用です。

{{Warning|
* UEFI/GPT で Windows がインストールされている環境でデュアルブートをしたい場合は、パーティションテーブルを消去しないでください。パーティションテーブルを消去すると、Windows を起動するのに必要な ''.efi'' ファイルが入っている UEFI パーティションを含め、デバイス上の既存のデータが全て削除されます。
* MBR は BIOS 環境で使用するように作られており、GPT は UEFI と一緒に使われることが想定されています。ハードウェアと互換性がない機能や制限があるため、この組み合わせを使わないというのは初心者にはおすすめできません (例: MBR は 2 TiB 以上のデバイスを扱えません) [https://www.happyassassin.net/2014/01/25/uefi-boot-how-does-that-actually-work-then/]。何らかの理由でこの組み合わせを使いたくないという場合は、[http://mjg59.dreamwidth.org/8035.html] や [http://rodsbooks.com/gdisk/bios.html] に詳しい情報や対処方法が載っています。}}

パーティションテーブルを（再）作成するデバイスを次のコマンドで開いてください:

# parted /dev/sd''x''

そして BIOS 環境の場合、MBR/msdos パーティションテーブルを新しく作成するために、次のコマンドを実行します:

(parted) mklabel msdos

UEFI 環境で GPT パーティションテーブルを新しく作成するには、次のコマンドを使います:

(parted) mklabel gpt

=== パーティションスキーム ===

ディスクをいくつのパーティションに分けるか決めて、それぞれのパーティションにシステム上のディレクトリを割り振ることができます。パーティションからディレクトリへのマッピング (しばしば 'マウントポイント' と呼ばれます) が[[パーティショニング#パーティション形態|パーティションスキーム]]になります。パーティションスキームは以下の要件を満たさなければなりません:

* 少なくとも {{ic|/}} (''root'') ディレクトリのパーティションは必ず作成する必要があります。
* マザーボードのファームウェアインターフェイスや、選択した[[#パーティションテーブルのタイプの選択|パーティションテーブルのタイプ]]によって、また、時には選択した[[ブートローダー]]にあわせて、以下のパーティションを追加で作成する必要が出てきます:
** '''BIOS/MBR''': 追加のパーティションは必要ありません。
** '''BIOS/GPT''':
*** [[Syslinux]] を使用する場合: 追加のパーティションは必要ありません。
*** [[GRUB]] を使用する場合: タイプが {{ic|EF02}} で容量が 1MiB または 2MiB の [[GRUB#GUID Partition Table (GPT) 特有の手順|BIOS Boot Partition]]。
** '''UEFI/GPT''': [[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]]。
** '''UEFI/MBR''': [[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]]。

以下の例では、新しい、連続するパーティションスキームを1つのデバイスに適用します。任意の {{ic|/boot}} や {{ic|/home}} ディレクトリのパーティションも作成しています。それぞれのディレクトリの目的については [[Arch ファイルシステム階層]]を見て下さい。{{ic|/boot}} や {{ic|/home}} などのディレクトリのパーティションを別に作成しない場合、{{ic|/}} パーティションに含まれることになります。また、[[スワップ|スワップ領域]]用のパーティションについても説明します。

''parted'' のインタラクティブセッションをまだ開いてない場合は、パーティションするデバイスを指定して起動してください:

# parted /dev/sd''x''

次のコマンドを使用してパーティションを作成します:

(parted) mkpart ''part-type'' ''fs-type'' ''start'' ''end''

* {{ic|''part-type''}} は {{ic|primary}}, {{ic|extended}}, {{ic|logical}} のうちどれか一つから選びます。MBR パーティションテーブルでのみ意味があります。
* {{ic|''fs-type''}} は [http://www.gnu.org/software/parted/manual/parted.html#mkpart マニュアル] に記載されているサポートがあるファイルシステムの中から選びます。パーティションは[[#ファイルシステムの作成|ファイルシステム作成]]でフォーマットします。
* {{ic|''start''}} はデバイスの先頭からのパーティションの開始位置です。[http://www.gnu.org/software/parted/manual/parted.html#unit 単位] をつけた数値で指定し、例えば {{ic|1M}} なら 1MiB が開始位置になります。
* {{ic|''end''}} はデバイスの先頭からのパーティションの終末位置です ({{ic|''start''}} から計算するわけではありません)。{{ic|''start''}} と同じ構文を使うことができ、例えば {{ic|100%}} と指定するとデバイスの終端を意味します (残り領域全てを使う)。

{{Warning|パーティションは重ならないように注意してください。デバイスに未使用のスペースを残さないようにするには、それぞれのパーティションが前のパーティションの終末から開始するようにしてください。}}

{{Note|''parted'' は以下のような警告を表示することがあります:

Warning: The resulting partition is not properly aligned for best performance.
Ignore/Cancel?

この表示がでたときは、[[パーティショニング#パーティションアライメント]]を見て [[GNU Parted#アライメント]] にしたがって修正してください。}}

{{ic|/boot}} ディレクトリを含むパーティションが起動できるようにフラグを立てるには次のコマンドを使います:

(parted) set ''partition'' boot on

* {{ic|''partition''}} はフラグを立てるパーティションの番号に置き換えて下さい ({{ic|print}} コマンドの出力を参照しましょう)。

==== UEFI/GPT の例 ====

どんなふうにパーティショニングするにせよ、特別な [[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]] が必要になります。

{{Warning|UEFI/GPT で Windows がインストールされている環境でデュアルブートをしたい場合は、既存の UEFI パーティションを消去しないでください。このパーティションを消去すると、Windows を起動するのに必要な ''.efi'' ファイルが削除されてしまいます。}}

新しく EFI System Partition を作成する場合は、以下のコマンドを使って下さい (推奨される容量は 512MiB です):

(parted) mkpart ESP fat32 1MiB 513MiB
(parted) set 1 boot on

あとのパーティションスキームはあなたが自由に決めて下さい。残りのスペースを全て使用する単一のパーティションを作るには:

(parted) mkpart primary ext4 513MiB 100%

{{ic|/}} (20GiB) と {{ic|/home}} (残り容量全てを使用) パーティションを作るには:

(parted) mkpart primary ext4 513MiB 20.5GiB
(parted) mkpart primary ext4 20.5GiB 100%

{{ic|/}} (20GiB), スワップ (4GiB), {{ic|/home}} (残り容量全てを使用) パーティションを作成するには:

(parted) mkpart primary ext4 513MiB 20.5GiB
(parted) mkpart primary linux-swap 20.5GiB 24.5GiB
(parted) mkpart primary ext4 24.5GiB 100%

==== BIOS/MBR の例 ====

ディスク容量を全て使用する単一のプライマリパーティションを作成するには、以下のコマンドを使用します:

(parted) mkpart primary ext4 1MiB 100%
(parted) set 1 boot on

以下の例では、20GiB の {{ic|/}} パーティションを作成してから、残り容量を全て使用する {{ic|/home}} パーティションを作成します:

(parted) mkpart primary ext4 1MiB 20GiB
(parted) set 1 boot on
(parted) mkpart primary ext4 20GiB 100%

以下の例では {{ic|/boot}} (100MiB), {{ic|/}} (20GiB), スワップ (4GiB), {{ic|/home}} (残り容量全てを使用) パーティションを作成します:

(parted) mkpart primary ext4 1MiB 100MiB
(parted) set 1 boot on
(parted) mkpart primary ext4 100MiB 20GiB
(parted) mkpart primary linux-swap 20GiB 24GiB
(parted) mkpart primary ext4 24GiB 100%

=== ファイルシステムの作成 ===

パーティショニングはまだ終わっていません。パーティションには[[ファイルシステム]]が必要です（ただしスワップパーティションには要りません）。インストール先のデバイスに存在するパーティションを確認するには次のコマンドを使用:

# lsblk /dev/sd''x''

下に書かれている注意点を除いて、基本的には {{ic|ext4}} ファイルシステムを使うことを推奨します:

# mkfs.ext4 /dev/sd''xY''

{{Warning|UEFI/GPT で Windows がインストールされている環境でデュアルブートをしたい場合は、UEFI パーティションをフォーマットしないでください。フォーマットしてしまうと、Windows を起動するのに必要な ''.efi'' ファイルが入っている UEFI パーティションのデータが全て削除されます。}}

UEFI/GPT 環境で新しく UEFI システムパーティションを作成した場合は、UEFI パーティションを {{ic|fat32}} または {{ic|vfat32}} ファイルシステムでフォーマットしてください。これを行っておかないと起動できなくなります:
# mkfs.vfat -F32 /dev/sd''xY''
{{Note|BIOS/GPT 環境で [[GRUB]] を使用する場合、[[GRUB#GUID Partition Table (GPT) 特有の手順|BIOS Boot Partition]] は {{ic|/boot}} マウントポイントと関係ないので注意してください。このパーティションは GRUB によって直接使用されます。BIOS Boot Partition にファイルシステムを作成したり、マウントしたりしてはいけません。}}

=== スワップの有効化 ===

スワップパーティションを作成した場合は、以下のコマンドで有効化する必要があります:

# mkswap /dev/sd''xY''
# swapon /dev/sd''xY''

=== パーティションのマウント ===

{{Note|ここではスワップパーティションをマウントしないでください。}}

まず最初に {{ic|/}} (root) パーティションをマウントしてください。{{ic|/boot}} や {{ic|/home}} などのディレクトリは root ファイルシステムに作成する必要があるためです。ライブ環境の {{ic|/mnt}} ディレクトリを使用して root パーティションをマウントします。他のパーティションはそこをベースにします。root パーティションの名前が {{ic|sd''xR''}} なら、次のコマンドを実行:

# mount /dev/sd''xR'' /mnt

{{ic|/}} パーティションをマウントしたら、他のパーティションをマウントすることができます。順番は気にしなくて結構です。手順としてはまずマウントポイントを作成し、それからパーティションをそのマウントポイントにマウントします。{{ic|/boot}} パーティションを作成していたのならば:

# mkdir -p /mnt/boot
# mount /dev/sd''xB'' /mnt/boot

UEFI/GPT 環境の場合、EFI システムパーティションも {{ic|/boot}} にマウントすることを推奨します。他のマウントポイントを使いたいときは、[[EFISTUB]] の記事を見て下さい。

{{ic|/home}} パーティションを使用する場合:

# mkdir -p /mnt/home
# mount /dev/sd''xH'' /mnt/home

全てのパーティションをマウントしたら、デバイスの準備は完了で Arch をインストールできます。

== ミラーの選択 ==

インストールの前に、{{ic|mirrorlist}} ファイルを編集し、あなたに相応しいミラーを一番上に置きましょう。このファイルのコピーが {{ic|pacstrap}} によってインストールされ、新しいシステム上でも選択したミラーが使われます。

{{hc|# nano /etc/pacman.d/mirrorlist|
##
## Arch Linux repository mirrorlist
## Sorted by mirror score from mirror status page
## Generated on YYYY-MM-DD
##

<nowiki>Server = http://ftp.jaist.ac.jp/pub/Linux/ArchLinux/$repo/os/$arch</nowiki>
...}}

* {{ic|Alt+6}} で {{ic|Server}} 行をコピー。
* {{ic|PageUp}} キーで上にスクロール。
* {{ic|Ctrl+U}} でリストの一番上にペースト。
* {{ic|Ctrl+X}} で終了、保存するか聞かれたら、{{ic|Y}} を押し {{ic|Enter}} で上書き保存。

他のミラーを消去 ({{ic|Ctrl+K}} を使う) してミラーを''ひとつだけに''絞ることもできますが、そのミラーがオフラインになったときのことを考え、ミラーを複数使用するほうが良いでしょう。

{{Tip|
* [https://www.archlinux.org/mirrorlist/ Mirrorlist Generator] を使って、あなたの国の最新リストを入手できます。[[Wikipedia:Keepalive|keepalive]] が存在するため、HTTP ミラーのほうが FTP よりも速度が速いです。また FTP では、pacman はパッケージをダウンロードするごとにシグナルを送信しなくてはならないため、短い停止がはさまります。ミラーリストを作る他の方法を見るには、[[ミラー#ミラーをソートする|ミラーのソート]]と [[Reflector]] を参照してください。
* [https://archlinux.org/mirrors/status/ Arch Linux MirrorStatus] ではミラーの状況、たとえばネットワークエラー、データ収集エラー、最終同期時間などの様々な情報を見ることができます。}}

{{Note|
* 将来、ミラーリストを変更したときは必ず、{{ic|pacman -Syyu}} で pacman の全てのパッケージリストを更新することを覚えておいて下さい。これは良い経験則と考えられており、問題の回避につながります。詳しくは[[ミラー]]を参照。
* 古いインストールメディアを使っている場合、ミラーリストが古くなっているかもしれません。そのために Arch Linux のアップデート時に問題を引き起こす可能性があります。({{Bug|22510}} を参照)。上で述べたようにして最新のミラー情報を入手するべきです。}}

== ベースシステムのインストール ==

''pacstrap'' スクリプトを使ってベースシステムをインストールします。インストールするパッケージを選択せず、{{Grp|base}} の全てのパッケージをインストールするときは、{{ic|-i}} スイッチを省いて下さい。[[AUR]] や [[ABS]] でパッケージをビルドするときのために、{{Grp|base-devel}} グループも必要になります。

# pacstrap -i /mnt base base-devel

ライブ環境に含まれているツールの中には base グループに含まれていないものもあります ([https://projects.archlinux.org/archiso.git/tree/configs/releng/packages.both packages.both] を参照)。パッケージは後で ''pacman'' を使って[[インストール]]することもできますが、''pacstrap'' コマンドにパッケージの名前を追加することでこの場でインストールすることもできます。

{{Note|
* ミラーを正しく設定しているのに、''pacstrap'' が {{ic|error: failed retrieving file 'core.db' from mirror... : Connection time-out}} で止まる場合は、他の[[Resolv.conf|ネームサーバ]]を設定してみてください。
* ベースパッケージのインストール中に PGP 鍵のインポートをリクエストされたら、鍵のダウンロードを承認して先に進んで下さい。これは古い Arch ISO を使っていると発生します。PGP 鍵を追加できないときは、次のようにして {{Pkg|archlinux-keyring}} パッケージを更新してみてください: {{ic|pacman -S archlinux-keyring}}。詳しくは [[Pacman#トラブルシューティング]] や [[Pacman-key#トラブルシューティング]] を見て下さい。
}}

== fstab の生成 ==

以下のコマンドで [[fstab]] ファイルを生成します。いくつか有利な点がある UUID が使われます ([[fstab#ファイルシステムの識別]] を参照)。UUID ではなくラベルを使いたいときは、{{ic|-U}} オプションを {{ic|-L}} に置き換えましょう。

# genfstab -U /mnt > /mnt/etc/fstab
# cat /mnt/etc/fstab

{{Warning|生成したあとは必ず {{ic|fstab}} の中身をチェックしましょう。''genfstab'' や後のインストール作業中にエラーが起こっても、もう一度 ''genfstab'' を実行するのはやめてください。その場合は手動で {{ic|fstab}} ファイルを編集して下さい。}}

最後のフィールドには起動時にチェックするパーティションの順番を設定します: ({{ic|btrfs}} 以外では) root パーティションに {{ic|1}} を使って下さい、最初にチェックされます。起動時にチェックしたい他のパーティションには {{ic|2}} を使って下さい、{{ic|0}} はチェックされません ([[fstab#フィールドの定義]] を参照)。[[btrfs]] のパーティションには全て {{ic|0}} を使う必要があります。スワップパーティションも {{ic|0}} に設定してください。

== Chroot とベースシステムの設定 ==

次に、[[Change Root|chroot]] を使って新しくインストールされたシステムに入ります:

# arch-chroot /mnt /bin/bash

この段階では、Arch Linux ベースシステムの重要な設定ファイルを作ります。ファイルが存在していないときや、デフォルト設定を使いたくないときは、その都度ファイルを作成したり編集してください。

正確に、手順をよく踏まえてから設定してください。システムを正しく設定するのにとても重要なステップです。

{{Warning|ISO で使用しているツールは自動的にインストールされるわけではありません。例えば、インストールの一環としてネットワークに接続するために ''wifi-menu'' を使っている場合、インストールを完了した後も ''wifi-menu'' を使うためには、{{Pkg|dialog}} をインストールしておく必要があります。以下のセクションではそういったケースについて説明をしているので、後で困った事態にならないようにちゃんと指示に従って下さい。}}

=== ロケール ===

ロケールを設定することによって、{{Pkg|glibc}} やその他のロケールを使うプログラムやライブラリで、テキストのレンダリング、正しい通貨単位の表示、時間と月日のフォーマット、アルファベットの特有表現、地域特有の単位の表示などができるようになります。

2つのファイルを編集する必要があります: 使用可能なロケールを記述する {{ic|locale.gen}} と実際に使用するロケールを定義する {{ic|locale.conf}}。

{{ic|locale.gen}} ファイルはデフォルトでは全てコメントアウト ({{ic|#}} で無効化) されています。{{ic|en_US.UTF-8 UTF-8}} の行と、必要なロケールをアンコメント (行の前の {{ic|#}} を削除) してください。選択肢がいくつかある場合 {{ic|UTF-8}} を推奨します。

{{hc|# nano /etc/locale.gen|
...
#en_SG ISO-8859-1
en_US.UTF-8 UTF-8
#en_US ISO-8859-1
...
#ja_JP.EUC-JP EUC-JP
ja_JP.UTF-8 UTF-8
#ka_GE.UTF-8 UTF-8
...
}}

ロケールは有効にする前に、''生成''する必要があります:

# locale-gen

{{ic|locale.conf}} ファイルはデフォルトで存在しません。ファイルを作成して、他の全ての変数のデフォルト値として扱われる {{ic|LANG}} のみ設定してください。{{ic|LANG}} 変数に指定するロケールは {{ic|/etc/locale.gen}} でアンコメントされている必要があります:

# echo LANG=''en_US.UTF-8'' > /etc/locale.conf

ロケールを export してください:

# export LANG=''en_US.UTF-8''

{{Tip|
* この段階でロケールを日本語に設定してしまうと、日本語を表示するためのフォントなどの環境が整っていないため、コンソールの出力が文字化けして判読できなくなってしまいます。GUI 環境を設定してから、以下を実行することで言語を日本語に設定できます:
# echo LANG<nowiki>=</nowiki>''ja_JP.UTF-8'' > /etc/locale.conf
# export LANG<nowiki>=</nowiki>''ja_JP.UTF-8''
* システム全体のロケールを {{ic|en_US.UTF-8}} に設定してシステムログを英語で保存するとトラブルシューティングが楽になります。この設定は[[ロケール#ユーザーごとにロケールを設定]]で書かれているようにしてユーザー個別で上書きできます。
* 他の {{ic|LC_*}} 変数を使いたいときは、まず {{ic|locale}} を実行してオプションを確認してから、{{ic|locale.conf}} に追加してください。{{ic|LC_ALL}} 変数を使うことは推奨されません。詳しくは[[ロケール]]を参照してください。
}}

=== コンソールフォントとキーマップ ===

[[#言語の選択|言語の選択]]でデフォルトのキーマップとフォントを変更していた場合、再起動後もキーマップ設定が適用されるように、{{ic|/etc/vconsole.conf}} を編集 (ファイルがなかったら作成) してください:

{{hc|# nano /etc/vconsole.conf|2=
KEYMAP=''jp106''
FONT=''lat9w-16''
}}

詳しくは[[フォント#コンソールフォント|コンソールフォント]]や {{ic|man vconsole.conf}} を参照。

{{Warning|{{ic|KEYMAP}} を最初に ''loadkeys'' で設定した値と異なる値に設定してから、[[#root パスワードの設定|root パスワードを設定]]してしまうと、新しいシステムにログインするときにキーマップが変わっていてログインできなくなる可能性があります。}}

以上の設定は仮想端末においてのみ適用されます。[[Xorg]] ではまた異なる設定をする必要があります。詳しくは[[フォント#コンソールフォント]]を見て下さい。

=== タイムゾーン ===

利用可能なタイムゾーンとサブゾーンは {{ic|/usr/share/zoneinfo/''ゾーン''/''サブゾーン''}} ディレクトリで見つかります。{{ic|ls}} コマンドでゾーンの一覧を表示できます:
$ ls -l /usr/share/zoneinfo

{{Tip|[http://tldp.org/LDP/abs/html/tabexpansion.html タブ補完] を使うことでも利用できるゾーンとサブゾーンを表示できます。}}

{{ic|/etc/localtime}} から適切なゾーンファイル {{ic|/usr/share/zoneinfo/''ゾーン''/''サブゾーン''}} へのシンボリックリンクを作って下さい:

# ln -s /usr/share/zoneinfo/''ゾーン''/''サブゾーン'' /etc/localtime

例:

# ln -s /usr/share/zoneinfo/Asia/Tokyo /etc/localtime

{{ic|ln: failed to create symbolic link '/etc/localtime': File exists}} と表示される場合は、{{ic|ls -l /etc/localtime}} で既存のファイルを確認してから、''ln'' コマンドに {{ic|-f}} オプションを追加して上書きしてください。

=== ハードウェアクロック ===

ハードウェアクロックモードを全ての OS で同じになるように設定します。さもないと、ハードウェアクロックが上書きされ時刻がずれてしまう可能性があります。''hwclock'' コマンドは {{ic|/etc/adjtime}} ファイルを生成します。[[Wikipedia:ja:協定世界時|UTC]] に設定するには、次を実行:

# hwclock --systohc --utc

{{Note|ハードウェアクロックに [[Wikipedia:ja:協定世界時|UTC]] を使ったからといって、ソフトウェアが時刻を UTC で表示するわけではありません。}}

{{Warning|Windows はデフォルトで ''localtime'' を使っています。Arch で ''localtime'' を使用すると既知の問題や容易に修復できないバグを引き起こす可能性があります。しかしながら、''localtime'' のサポートを終了する計画はありません。''localtime'' を使用する場合は、root で {{ic|hwclock --systohc --localtime}} を実行してください。Windows 7 以降を使用する場合、Arch を ''localtime'' に設定するのではなく、Windows に UTC を使わせて、Windows の時刻同期を無効にすることが推奨されています。詳しくは[[時刻#Windows で UTC を使う]]を見て下さい。}}

=== カーネルモジュール ===

必要なカーネルモジュールは基本的に [[udev]] によって自動ロードされるため、手動でモジュールをロードする必要があるのは稀です。詳しくは[[カーネルモジュール]]を見て下さい。

=== ホスト名 ===

お好きな名前を[[Wikipedia:ja:ホスト名|ホスト名]]に設定してください (例: ''arch''):

# echo ''ホスト名'' > /etc/hostname

同じホスト名を {{ic|/etc/hosts}} に追加します:

#<ip-address> <hostname.domain.org> <hostname>
127.0.0.1 localhost.localdomain localhost ''ホスト名''
::1 localhost.localdomain localhost ''ホスト名''

=== ネットワークの設定 ===

ネットワークの設定をもう一度行います。今回は新しくインストールされる環境のネットワーク設定です。[[#インターネット接続の確立|上で説明した]]のと方法はほとんど同じですが、今回の設定では、設定が消えないように、ブート時に自動的に起動するように設定します。

まず最初に、{{ic|ip link}} で接続を設定するネットワークインターフェイスの名前を確認してください。

{{Note|
* ネットワーク設定の詳しい情報は、[[ネットワーク設定]]や[[ワイヤレス設定]]を参照してください。
* インターフェースについて古い命名規則 ({{ic|eth''X''}} や {{ic|wlan''X''}}) を使って欲しい時は {{ic|/etc/udev/rules.d/80-net-setup-link.rules}} に空のファイルを作成してください。これによって {{ic|/usr/lib/udev/rules.d}} 下の同じ名前のファイルがマスクされます (空のファイルを使う代わりに、{{ic|/dev/null}} へのシンボリックリンクを使うことでも命名規則を戻せます: {{ic|# ln -s /dev/null /etc/udev/rules.d/80-net-setup-link.rules}})。
}}

==== 有線 ====

===== 動的 IP =====

; dhcpcd を使う

固定された有線ネットワーク接続が1つだけあるという環境の場合、ネットワーク管理サービスを使う必要はなく、単純に {{ic|dhcpcd}} サービスを有効にするだけで足ります:

# systemctl enable dhcpcd@''インターフェイス名''.service

; netctl を使う

{{ic|/etc/netctl/examples}} からサンプルプロファイルを {{ic|/etc/netctl/}} にコピーしてください:

# cd /etc/netctl
# cp examples/ethernet-dhcp my_network

プロファイルを編集して下さい ({{ic|Interface}} を {{ic|eth0}} から {{ic|ip link}} を実行したときに確認したインターフェイス名に修正する):

# nano my_network

{{ic|my_network}} プロファイルを有効にしてください:

# netctl enable my_network

{{Note|{{ic|Running in chroot, ignoring request.}} というメッセージが表示されることがありますが、いまのところは無視してかまいません。}}

; netctl-ifplugd を使う

{{Warning|{{ic|netctl enable ''プロファイル名''}} のようにしてプロファイルを有効にする方法と netctl-ifplugd を使う方法を一緒に用いることはできません。}}

{{Pkg|netctl}} の {{ic|netctl-ifplugd}} を使って動的に接続を管理することもできます。

まず {{Pkg|ifplugd}} をインストールしてください、{{ic|netctl-ifplugd}} を使うために必要なパッケージです:

# pacman -S ifplugd

そしてサービスを有効にしてください:

# systemctl enable netctl-ifplugd@''インターフェイス名''.service

{{Note|[[netctl]] には {{ic|netctl-auto}} もあり、{{ic|netctl-ifplugd}} と一緒に無線プロファイルを管理するのに使うことができます。}}

===== 固定 IP =====

; netctl を使う

{{ic|/etc/network.d/examples}} から {{ic|/etc/netctl}} にサンプルプロファイルをコピーします:

# cd /etc/netctl
# cp examples/ethernet-static my_network

必要に応じてプロファイルを編集 ({{ic|Interface}}, {{ic|Address}}, {{ic|Gateway}}, {{ic|DNS}} を修正):

# nano my_network

{{ic|Address}} の中の {{ic|/24}} は {{ic|255.255.255.0}} ネットマスクの [[wikipedia:Classless Inter-Domain Routing#CIDR notation|CIDR notation]] です。

そして作成したプロファイルを有効にしてください:

# netctl enable my_network

; systemd-networkd を使う

[[systemd-networkd]] を参照してください。

==== 無線 ====

{{Note|あなたの使っているワイヤレスアダプタにファームウェアが必要な場合 (上の[[#インターネット接続の確立|インターネット接続の確立]]セクションと[[ワイヤレス設定#ドライバとファームウェア|ここ]]に記述あり)、ファームウェアを含んだパッケージをインストールしてください。ほとんどの場合、{{Pkg|linux-firmware}} パッケージに必要なファームウェアが含まれていますが、機器によっては個別のパッケージにファームウェアが存在します。例えば: {{ic|# pacman -S zd1211-firmware}}。詳しくは[[ワイヤレス設定]]を見て下さい。}}

ネットワークに接続するために {{pkg|iw}} と {{pkg|wpa_supplicant}} をインストールしてください:

# pacman -S iw wpa_supplicant

===== 無線ネットワークの追加 =====
; wifi-menu を使う

{{ic|wifi-menu}} に必要な {{pkg|dialog}} をインストールしてください:
# pacman -S dialog

このインストールと再起動が終わった後 {{ic|wifi-menu ''インターフェイス名''}} ({{ic|''インターフェイス名''}} はあなたの無線インターフェースに置き換えてください) でネットワークに接続することができます。

# wifi-menu ''インターフェイス名''

{{Warning|{{ic|wifi-menu}} を使う時は、絶対に chroot を終了して再起動した''後''にしてください。このコマンドを使って作成されたものが chroot の外で動作させているものと衝突してしまう恐れがあるからです。また、上で書かれているようにテンプレートを使って手動でネットワークプロファイルを設定することもできます、その場合は {{ic|wifi-menu}} を使うことについての心配はいりません。}}

; 手動の netctl プロファイルを使う

ネットワークプロファイルを {{ic|/etc/netctl/examples}} から {{ic|/etc/netctl}} にコピーしてください:

# cd /etc/netctl
# cp examples/wireless-wpa my_network

接続するネットワークにあわせてプロファイルを編集してください ({{ic|Interface}}, {{ic|ESSID}}, {{ic|Key}} を修正):

# nano my_network

作成したプロファイルがブート毎に実行されるよう有効にしてください:

# netctl enable my_network

===== 既知のネットワークに自動で接続する =====

{{Warning|{{ic|netctl enable ''プロファイル名''}} のようにしてプロファイルを有効にする方法とこの方法を一緒に使うことはできません。}}

{{ic|netctl-auto}} に必要な {{Pkg|wpa_actiond}} をインストールしてください:

# pacman -S wpa_actiond

{{ic|netctl-auto}} サービスを有効にすれば、既知のネットワークに接続しローミングや切断を管理します:

# systemctl enable netctl-auto@''インターフェイス名''.service

{{Note|[[netctl]] には {{ic|netctl-ifplugd}} もあり、{{ic|netctl-auto}} と一緒に有線プロファイルを管理するのに使われます。}}

==== xDSL (PPPoE), アナログモデム, ISDN ====

xDSL、ダイアルアップ・ISDN 接続は、[[モデムに直接接続]]を見て下さい。

=== Initial ramdisk 環境の作成 ===

{{Tip|ほとんどのユーザーはこの手順をスキップし、{{ic|mkinitcpio.conf}} のデフォルト設定を使って問題ありません。initramfs イメージ ({{ic|/boot}} フォルダ内) は {{ic|pacstrap}} によって {{Pkg|linux}} パッケージ (Linux カーネル) をインストールしたときに、{{ic|mkinitcpio.conf}} に基づいて既に生成されています。}}

root が USB ドライブにあったり、RAID や LVM を使っていたり、{{ic|/usr}} が分割されたパーティション上にある場合は、ここで正しい [[Mkinitcpio#HOOKS|hooks]] を設定しなくてはなりません。

必要に応じて {{ic|/etc/mkinitcpio.conf}} を編集し、initramfs イメージを再形成します:

# mkinitcpio -p linux

=== root パスワードの設定 ===

root パスワードを設定します:

# passwd

=== ブートローダのインストールと設定 ===

Intel の CPU を使っている場合、{{Pkg|intel-ucode}} パッケージをインストールして[[マイクロコード#Intel のマイクロコードのアップデートを有効にする|マイクロコードのアップデートを有効化]]してください。

==== BIOS マザーボードの場合 ====

BIOS システムでは、複数のブートローダが使えます。ブートローダの完全なリストは[[ブートローダー]]にあります。あなたの都合に合わせてどれか一つを選んで下さい。よく使われるブートローダーは:

* [[Syslinux]] は現在 Syslinux がインストールされたパーティションのファイルのみをロードするように制限されています。設定ファイルはわかりやすいものになっています。設定サンプルは [[Syslinux#サンプル|Syslinux]] の記事にあります。

* [[GRUB]] はより多くの機能を備えた複雑なブートローダです。設定ファイルはスクリプト言語 (sh) に似ていて、初心者が手動で設定するには難しいかもしれません。自動で設定を生成するのが推奨されます。

ここからは、GRUB と MBR の組み合わせでのインストールを説明します。まず {{Pkg|grub}} パッケージをインストールします。GRUB が他のオペレーティングシステムも検索できるように、{{Pkg|os-prober}} もインストールしておきます:

# pacman -S grub os-prober

{{ic|grub-install}} を実行してブートローダをインストールしてください:

# grub-install --recheck ''/dev/sda''

{{Note|
* {{ic|/dev/sda}} はあなたが Arch をインストールしたドライブに書き換えてください。パーティション番号を加えてはいけません ({{ic|sda''X''}} を使ってはいけません)。
* サンプルの {{ic|/boot/grub/grub.cfg}} は grub パッケージの一部としてインストールされ、後の {{ic|grub-*}} コマンドでは上書きされません。変更を加えるときは {{ic|grub.cfg.new}} などのファイルではなく {{ic|grub.cfg}} を編集してください。
}}

次に {{ic|grub.cfg}} を作ります。手動で作る方が細かい設定ができますが、初心者は自動で生成するのが推奨されています:

# grub-mkconfig -o /boot/grub/grub.cfg

GRUB の使用・設定の詳しい情報は、[[GRUB]] を参照。

==== UEFI マザーボードの場合 ====

{{Note|UEFI ファームウェアによってはインストールしたブートローダーの {{ic|.efi}} ブータブルスタブを特定の名前で特定の場所に配置する必要があります: {{ic|$esp/EFI/boot/bootx64.efi}} ({{ic|$esp}} は EFI System Partition のマウントポイントに置き換えて下さい)。これをしていないと場合によっては、インストールした環境を起動できなくなることがあります。詳しくはそれぞれのブートローダーのセクションを見て下さい。}}

UEFI システムでも、複数のブートローダが使えます。利用できるブートローダの完全なリストは[[ブートローダー]]にあります。あなたの都合にあわせて選んで下さい。ここでは、2つのブートローダを例として提示します:

* [[systemd-boot]] は最小主義の UEFI ブートマネージャで、[[EFISTUB]] カーネルや他の UEFI アプリケーションのためのメニューを提供します。初心者、特に Windows 8 などの別のオペレーティングシステムとデュアルブートをしたいユーザーに推奨です。
* [[GRUB]] は完全なブートローダーで、systemd-boot で問題が起きた時に役に立ちます。

ここからは systemd-boot のインストールを説明します。まず、インストール後に EFI System Partition を操作するための {{Pkg|dosfstools}} パッケージをインストールしてください:

# pacman -S dosfstools

{{Note|
* UEFI でブートするには、ドライブは GPT でパーティションされている必要があり、[[Unified Extensible Firmware Interface#EFI System Partition|EFI System Partition]] (512 MiB 以上, FAT32, gdisk タイプ {{ic|EF00}}) が存在しなければなりません。このガイドを初めから実行しているのなら、すでに全て行われているはずです。
* systemd-boot が自動的にアップデートされるように EFI System Partition は {{ic|/boot}} にマウントすることを強く推奨します。
}}

自動インストールスクリプトを実行してブートローダを EFI System Partition にインストールしてください ({{ic|$esp}} は EFI System Partiton の場所に置き換えて下さい、通常は {{ic|/boot}} です):

# bootctl --path=''$esp'' install

Bootctl はファームウェアによって自動で検出され、{{ic|bootx64.efi}} ブータブルスタブが {{ic|$esp/EFI/boot}} にあることを必要とします。そして {{ic|.efi}} スタブを使ってインストールされている別のオペレーティングシステムを自動で検出します。ただし、bootctl の設定ファイルは手動で作成する必要があります。

まず、{{ic|''$esp''/loader/entries/arch.conf}} を作成して以下を記述します、{{ic|/dev/sdaX}} は ''root'' パーティションに置き換えて下さい (例: {{ic|/dev/sda2}}):
{{hc|# nano ''$esp''/loader/entries/arch.conf|2=
title Arch Linux
linux /vmlinuz-linux
initrd /initramfs-linux.img
options root='''/dev/sdaX''' rw
}}
次に、{{ic|''$esp''/loader/loader.conf}} を作成して以下を記述します、timeout の値は自由に変更できます (秒数):
{{hc|# nano ''$esp''/loader/loader.conf|2=
default arch
timeout 5
}}

詳しい情報は [[systemd-boot]] を見て下さい。

== パーティションのアンマウントと再起動 ==

chroot 環境を脱出します:

# exit

{{Note|パーティションは ''systemd'' によってシャットダウン時に自動的にアンマウントされますが、安全対策として {{ic|umount -R /mnt}} を使って手動でアンマウントすることもできます。パーティションがビジー状態の場合、[[Wikipedia:fuser_(Unix)|fuser]] で原因を特定できます。}}

コンピュータを再起動:

# reboot

{{Tip|インストールメディアを取り出してください、そうしないともう一度セットアップが起動してしまいます。マシンにログインするときはユーザー "root" と前に passwd コマンドで設定したパスワードを使います。デフォルトのパスワードは "root" です。}}

== インストールのその先 ==

あなたの新しい Arch Linux ベースシステムは今、あなたの目的や希望のために必要な全てを入れる準備ができた GNU/Linux になっています。ここからは[[一般的な推奨事項]]のページを見ることを推奨します。特に最初の2つのセクションは必読です。また、他のセクションには、グラフィカルユーザーインターフェイス (GUI) やサウンド、タッチパッドの設定などのチュートリアルが書かれたページヘのリンクが載っています。

あなたの興味を引くであろうアプリケーションの一覧は、[[アプリケーション一覧]]を参照。

Pacman/ヒントとテクニック

2015-12-28T02:36:47Z

Aosho235:

[[Category:パッケージ管理]]
[[en:Pacman tips]]
[[es:Pacman tips]]
[[fr:Astuces Pacman]]
[[it:Pacman Tips]]
[[ru:Pacman tips]]
[[tr:Pacman ipuçları]]
[[zh-CN:Pacman Tips]]
{{Related articles start}}
{{Related|pacman}}
{{Related|pacman のパフォーマンスの向上}}
{{Related|ミラー}}
{{Related|パッケージの作成}}
{{Related articles end}}
[[pacman]] を新しく使い始めた人向けのヒント集。

== 外観と利便性の向上 ==

=== カラー出力 ===

バージョン 4.1 から Pacman にはカラーオプションが付きました。{{ic|pacman.conf}} の中の "Color" という行をアンコメントしてください。

=== アップデート前にバージョンを比較する ===

アップデートする前に今インストールされているバージョンと新しいバージョンを表示するには、{{ic|/etc/pacman.conf}} の中の "VerbosePkgLists" という行をアンコメントしてください。{{ic|pacman -Syu}} の出力がこのようになります:

Package (6) Old Version New Version Net Change Download Size

extra/libmariadbclient 10.1.9-4 10.1.10-1 0.03 MiB 4.35 MiB
extra/libpng 1.6.19-1 1.6.20-1 0.00 MiB 0.23 MiB
extra/mariadb 10.1.9-4 10.1.10-1 0.26 MiB 13.80 MiB

=== ショートカット ===

以下では、よく使われる pacman コマンドの入力の手間を省くスクリプトエイリアスを説明しています。

==== シェルの設定 ====

以下の例を追加して下さい、[[Bash]] と [[Zsh]] のどちらでも動作します:
{{bc|<nowiki>
# pacman エイリアスの例
alias pacupg="sudo pacman -Syu" # リポジトリと同期し、古くなっているパッケージをアップデートする
alias pacdl="pacman -Sw" # 指定パッケージを .tar.xz としてダウンロードする
alias pacin="sudo pacman -S" # リポジトリからパッケージをインストールする
alias pacins="sudo pacman -U" # ファイルからパッケージをインストールする
alias pacre="sudo pacman -R" # 指定パッケージを削除する。その設定と依存関係は維持される。
alias pacrem="sudo pacman -Rns" # 指定パッケージとその設定、不要な依存関係を削除する
alias pacrep="pacman -Si" # リポジトリ内の指定パッケージに関する情報を表示する
alias pacreps="pacman -Ss" # リポジトリからパッケージを検索する
alias pacloc="pacman -Qi" # ローカルデータベース内の指定パッケージに関する情報を表示する
alias paclocs="pacman -Qs" # ローカルデータベースからパッケージを検索する
alias paclo="pacman -Qdt" # 全ての孤児パッケージを表示する
alias pacc="sudo pacman -Scc" # キャッシュ中の全パッケージを削除する
alias paclf="pacman -Ql" # 指定パッケージによりインストールされたファイルのリストを表示する
alias pacown="pacman -Qo" # 指定ファイルを所有するパッケージを表示する
alias pacexpl="pacman -D --asexp" # 1個以上のインストール済みパッケージを「明示的にインストールされた」とマークする
alias pacimpl="pacman -D --asdep" # 1個以上のインストール済みパッケージを「依存関係によりインストールされた」とマークする

# さらなる pacman エイリアスの例
alias pacupd="sudo pacman -Sy && sudo abs" # ローカルのパッケージと ABS のデータベースをリポジトリと同期する
alias pacinsd="sudo pacman -S --asdeps" # 指定パッケージを依存関係としてインストールする
alias pacmir="sudo pacman -Syy" # /etc/pacman.d/mirrorlist を更新した後でパッケージのリストを強制的にリフレッシュする
</nowiki>}}

以下のコマンドも便利ですが、危険でもあります。使用する時は、何が起こるのか完全に理解するようにしてください:

{{bc|<nowiki>
# 以下の pacman のメッセージに対処する:
#
# error: couldnt lock database: file exists
# if you are sure a package manager is not already running, you can remove /var/lib/pacman/db.lck

alias pacunlock="sudo rm /var/lib/pacman/db.lck" # ロックファイル /var/lib/pacman/db.lck を削除する
alias paclock="sudo touch /var/lib/pacman/db.lck" # ロックファイル /var/lib/pacman/db.lck を作成する
</nowiki>}}

==== 使用方法 ====

エイリアスの名前を入力するだけでそれぞれのコマンドが実行できます。例えば、リポジトリを同期して古くなっているパッケージをアップグレードするには:
$ pacupg
リポジトリからパッケージをインストール:
$ pacin <package1> <package2> <package3>
カスタムビルドパッケージをインストール:
$ pacins /path/to/<package>
インストールしたパッケージを完全に削除:
$ pacrem <package>
リポジトリからパッケージを検索:
$ pacreps <keywords>
リポジトリにあるパッケージの情報 (サイズ、依存関係など) を表示:
$ pacrep <keywords>

==== ノート ====

上記のエイリアスは例にすぎません。構文サンプルに従って、便利なようにエイリアスの名前を変えることが可能です。例えば:

alias pacrem='sudo pacman -Rns'
alias pacout='sudo pacman -Rns'

上の場合、コマンド {{ic|pacrem}} と {{ic|pacout}} はどちらも同じコマンドを実行します。

=== オペレーションと Bash 構文 ===

pacman の標準の機能に加えて、初歩的な [[Bash]] コマンド・構文を使うことでユーザビリティを拡張する方法が存在します。

* 名前に同じようなパターンがあるパッケージを多数インストールする必要があり、グループ全体やマッチするパッケージ全てはインストールしないとき。例えば {{Grp|kde}}:

# pacman -S kde-{applets,theme,tools}

* もちろん、これに制限はなく、拡張することができます:

# pacman -S kde-{ui-{kde,kdemod},kdeartwork}

* 場合によっては、{{Ic|-s}} が不必要な多くの結果を招いてしまうことがあります。こういうときにはパッケージの名前だけにマッチするように（説明やその他のフィールドには引っかからないように）制限をかけることが可能です:

# pacman -Ss '^vim-'

* pacman にはバージョンカラムを隠す {{ic|-q}} オペランドがあり、"compiz" を名前の一部に含むパッケージを再インストールしたりすることが可能です:

# pacman -S $(pacman -Qq | grep compiz)

* もしくはリポジトリのパッケージ全てをインストールしてください (例: kde-unstable):

# pacman -S $(pacman -Slq kde-unstable)

== メンテナンス ==

[[The Arch Way]] に従ってシステムを清潔に保つための管理業務。

[[システムメンテナンス]]も参照。

=== 最後にインストールしたパッケージを表示 ===

{{Pkg|expac}} をインストールして {{ic|<nowiki>expac --timefmt='%Y-%m-%d %T' '%l\t%n' | sort | tail -20</nowiki>}} または {{ic|<nowiki>expac --timefmt=%s '%l\t%n' | sort -n | tail -20</nowiki>}} を実行してください。

=== インストールしたパッケージを容量と一緒にリストアップ ===

容量でソートしたインストール済みパッケージの一覧を見ることができます、これはハードドライブの空き容量を増やしたいときに役立ちます。
* {{Pkg|expac}} をインストールして {{ic|<nowiki>expac -s "%-30n %m" | sort -hk 2 | awk '{printf "%s %.0f MiB\n", $1, $2/1024/1024}' | column -t</nowiki>}} を実行する。
* pacgraph に -c オプションを付けて実行することで全てのインストールしたパッケージと容量のリストを作成できます。{{Pkg|pacgraph}} は [community] からインストールできます。
* base や base-devel に含まれていない明示的にインストールしたパッケージを容量や説明と共に一覧する: {{ic|<nowiki>expac -HM "%011m\t%-20n\t%10d" $( comm -23 <(pacman -Qqen|sort) <(pacman -Qqg base base-devel|sort) ) | sort -n</nowiki>}}

=== インストールしたパッケージをバージョンと一緒にリストアップ ===

バグを報告したりインストールしたパッケージについて議論するときに、インストールしたパッケージのリストをパッケージのバージョンと一緒に取得する良いでしょう。
* 明示的にインストールしたパッケージを全て一覧する: {{ic| pacman -Qe }}。
* 外部からインストールしたパッケージを一覧する (通常は手動でダウンロード・インストールしたパッケージ): {{ic| pacman -Qm }}。
* 全てのネイティブなパッケージを一覧する (同期データベースからインストールしたパッケージ): {{ic| pacman -Qn }}.
* 正規表現でパッケージを一覧する: {{ic| <nowiki>pacman -Qs <regex> | awk 'BEGIN { RS="\n" ; FS="/" } { print $2 }' | awk '{ if(NF > 0) print $1, $2 }'</nowiki>}}
* {{Pkg|expac}} をインストールして {{ic| expac -s "%-30n %v"}} を実行する

=== アップデートを確認する ===

Pacman には {{ic|checkupdates}} というスクリプトが付属しています。実行するのに root 権限は必要ありません。

=== ファイルがどのパッケージにも所有されていないことを確認 ===

pacman データベースの外のファイルを定期的にチェックすることを推奨します。これらのファイルは通例の方法を使って (例: {{ic|./configure && make && make install}}) でインストールしたサードパーティのアプリケーションであることが度々です。こうしたファイル（もしくはシンボリックリンク）をファイルシステムから検索するにはシンプルなスクリプトを使います:

{{hc|pacman-disowned|<nowiki>
#!/bin/sh

tmp=${TMPDIR-/tmp}/pacman-disowned-$UID-$$
db=$tmp/db
fs=$tmp/fs

mkdir "$tmp"
trap 'rm -rf "$tmp"' EXIT

pacman -Qlq | sort -u > "$db"

find /etc /opt /usr ! -name lost+found $ -type d -printf '%p/\n' -o -print $ | sort > "$fs"

comm -23 "$fs" "$db"</nowiki>}}

リストを生成するには:

$ pacman-disowned > non-db.txt

各エントリを確認しないで {{ic|non-db.txt}} に載っているファイルを全て削除するのは'''よくありません'''。様々な設定ファイルやログなどがあるかもしれないので、{{Ic|grep}} を使って相互参照を広く確実に検索した後でこのリストを使うようにしてください。

以下は役に立つワンライナーのスクリプトです。

どのパッケージにも属していないディレクトリを表示:

alias pacman-disowned-dirs="comm -23 <(sudo find / $ -path '/dev' -o -path '/sys' -o -path '/run' -o -path '/tmp' -o -path '/mnt' -o -path '/srv' -o -path '/proc' -o -path '/boot' -o -path '/home' -o -path '/root' -o -path '/media' -o -path '/var/lib/pacman' -o -path '/var/cache/pacman' $ -prune -o -type d -print | sed 's/$[^/]$$/\1\//' | sort -u) <(pacman -Qlq | sort -u)"

どのパッケージにも属していないファイルを表示:

alias pacman-disowned-files="comm -23 <(sudo find / $ -path '/dev' -o -path '/sys' -o -path '/run' -o -path '/tmp' -o -path '/mnt' -o -path '/srv' -o -path '/proc' -o -path '/boot' -o -path '/home' -o -path '/root' -o -path '/media' -o -path '/var/lib/pacman' -o -path '/var/cache/pacman' $ -prune -o -type f -print | sort -u) <(pacman -Qlq | sort -u)"

=== 孤立したパッケージの削除 ===

''再帰的に''孤立したパッケージ（とその設定ファイル）を削除するには:

# pacman -Rns $(pacman -Qtdq)

孤立したパッケージが見つからなかった場合、pacman は {{ic|error: no targets specified}} を出力します。{{ic|pacman -Rns}} に何も引数が指定されていないとこうなります。

以下の関数を {{ic|~/.bashrc}} に挿入することで孤立したパッケージを簡単に削除できます:

{{hc|~/.bashrc|<nowiki>
orphans() {
if [[ ! -n $(pacman -Qdt) ]]; then
echo "No orphans to remove."
else
sudo pacman -Rns $(pacman -Qdtq)
fi
}</nowiki>}}

{{Note|上記のスクリプトやコマンドは本当は孤立していないパッケージを表示する可能性があるため、実は孤立パッケージでないパッケージを削除する危険性があります。本当に孤立しているパッケージだけを削除するようにしたい場合、{{AUR|pkg_scripts}} パッケージの [http://xyne.archlinux.ca/projects/pkg_scripts/#help-message-pkg-list_true_orphans pkg-list_true_orphans] を使って下さい。}}

=== 使用していないパッケージの削除 ===

システムは軽いほうがメンテナンスしやすいので、ときどき明示的にインストールパッケージを眺めて、使用していないパッケージを削除するべきだと''手動で''選択すると良いでしょう。

公式リポジトリに含まれているパッケージで明示的にインストールしたパッケージを表示するには:

$ pacman -Qen

公式リポジトリに含まれていないパッケージで明示的にインストールしたパッケージを表示するには:

$ pacman -Qem

=== base グループ以外の全てのパッケージを削除する ===

base グループを除く全てのパッケージを削除する必要がある場合は、このワンライナーを試して下さい:

# pacman -R $(comm -23 <(pacman -Qq|sort) <((for i in $(pacman -Qqg base); do pactree -ul $i; done)|sort -u|cut -d ' ' -f 1))

ソース: [https://bbs.archlinux.org/viewtopic.php?id=130176 Look at discussion here]

ノート:

# {{ic|comm}} requires sorted input otherwise you get e.g. {{ic|comm: file 1 is not in sorted order}}.
# {{ic|pactree}} prints the package name followed by what it provides. For example:

{{hc|$ pactree -lu logrotate|
logrotate
popt
glibc
linux-api-headers
tzdata
dcron cron
bash
readline
ncurses
gzip}}

The {{ic|dcron cron}} line seems to cause problems, that is why {{ic|cut -d ' ' -f 1}} is needed - to keep just the package name.

=== 公式にインストールされたパッケージのみを一覧する ===

$ pacman -Qqn

同期データベースに存在するパッケージを一覧します。非公式のリポジトリを設定している場合は、そのリポジトリからインストールしたパッケージも表示されます。

=== 複数のパッケージの依存パッケージ一覧を取得 ===

Dependencies are alphabetically sorted and doubles are removed.
Note that you can use {{ic|pacman -Qi}} to improve response time a little. But
you will not be able to query as many packages. Unfound packages are simply skipped
(hence the {{ic|2>/dev/null}}).
You can get dependencies of AUR packages as well if you use {{ic|yaourt -Si}},
but it will slow down the queries.

$ pacman -Si $@ 2>/dev/null | awk -F ": " -v filter="^Depends" \ '$0 ~ filter {gsub(/[>=<][^ ]*/,"",$2) ; gsub(/ +/,"\n",$2) ; print $2}' | sort -u

もしくは、{{ic|expac}} を使うことも可能です: {{ic|expac -l '\n' %E -S $@ | sort -u}}。

=== 複数のパッケージの容量を取得 ===

以下のシェル関数を使うことができます:

{{hc|~/.bashrc|<nowiki>
pacman-size()
{
CMD="pacman -Si"
SEP=": "
TOTAL_SIZE=0

RESULT=$(eval "${CMD} $@ 2>/dev/null" | awk -F "$SEP" -v filter="Size" -v pkg="^Name" \
'$0 ~ pkg {pkgname=$2} $0 ~ filter {gsub(/\..*/,"") ; printf("%6s KiB %s\n", $2, pkgname)}' | sort -u -k3)

echo "$RESULT"

## Print total size.
echo "$RESULT" | awk '{TOTAL=$1+TOTAL} END {printf("Total : %d KiB\n",TOTAL)}'
}</nowiki>}}

依存関係リストと同じように {{ic|pacman -Qi}} を代わりに使うこともできますが、AUR の PKGBUILD にサイズ情報は含まれていないので [[yaourt]] では出来ません。

ワンライナー:

$ pacman -Si "$@" 2>/dev/null | awk -F ": " -v filter="Size" -v pkg="Name" '$0 ~ pkg {pkgname=$2} $0 ~ filter {gsub(/\..*/,"") ; printf("%6s KiB %s\n", $2, pkgname)}' | sort -u -k3 | tee >(awk '{TOTAL=$1+TOTAL} END {printf("Total : %d KiB\n",TOTAL)}')

You should replace "$@" with packages, or put this line in a shell function.

=== 変更された設定ファイルを一覧する ===
If you want to backup your system configuration files you could copy all files in {{ic|/etc/}}, but usually you're only interested in the files that you have changed. In this case you want to list those changed configuration files, we can do this with the following command:
# pacman -Qii | awk '/^MODIFIED/ {print $2}'
The following script does the same. You need to run it as root or with sudo.
{{hc|changed-files.sh|<nowiki>
#!/bin/bash
for package in /var/lib/pacman/local/*; do
sed '/^%BACKUP%$/,/^%/!d' $package/files | tail -n+2 | grep -v '^$' | while read file hash; do
[ "$(md5sum /$file | (read hash file; echo $hash))" != "$hash" ] && echo $(basename $package) /$file
done
done
</nowiki>}}

=== 依存されていないパッケージを全て表示する ===

インストールしたパッケージの中で、どのパッケージにも依存されていないパッケージのリストを生成したい場合、以下のスクリプトを使うことができます。ハードドライブの容量を増やそうとしていて、覚えがない大量のパッケージがインストールされている場合、このスクリプトはとても役に立ちます。出力を見ることで必要なくなったパッケージを見つけることができます。

{{Note|このスクリプトは明示的にインストールしたパッケージも含めて、どのパッケージにも依存されていない全てのパッケージを表示します。依存パッケージとしてインストールされていながら、どのパッケージにも必要とされていないパッケージを表示するには、[[#孤立したパッケージの削除]] を見て下さい。}}

{{hc|clean|<nowiki>
#!/bin/bash

# This script is designed to help you clean your computer from unneeded
# packages. The script will find all packages that no other installed package
# depends on. It will output this list of packages excluding any you have
# placed in the ignore list. You may browse through the script's output and
# remove any packages you do not need.

# Enter groups and packages here which you know you wish to keep. They will
# not be included in the list of unrequired packages later.
ignoregrp="base base-devel"
ignorepkg=""

comm -23 <(pacman -Qqt | sort) <(echo $ignorepkg | tr ' ' '\n' | cat <(pacman -Sqg $ignoregrp) - | sort -u)
</nowiki>}}

パッケージの説明も見るには:

{{bc|<nowiki>
expac -HM "%-20n\t%10d" $( comm -23 <(pacman -Qqt|sort) <(pacman -Qqg base base-devel|sort) )
</nowiki>}}

=== Systemd を使ってローカルデータベースをバックアップ ===

[[systemd]] は pacman のローカルデータベースのスナップショットを（データベースが変更される度に）作成することができます。

{{Note|AUR にもっと細かく設定できるバージョンがあります: {{AUR|pakbak-git}}。}}

以下のスクリプトを使って下さい ({{ic|$pakbak}} の値はバックアップ先に置き換えて下さい)。{{ic|pakbak.service}} を[[有効化]]することで起動時に自動的に実行させることができます:

{{hc|/usr/lib/systemd/scripts/pakbak_script|2=
#!/bin/bash

declare -r pakbak=''"/pakbak.tar.xz"''; ## set backup location
tar -cJf "$pakbak" "/var/lib/pacman/local"; ## compress & store pacman local database in $pakbak
}}

{{hc|/usr/lib/systemd/system/pakbak.service|2=
[Unit]
Description=Back up pacman database

[Service]
Type=oneshot
ExecStart=/bin/bash /usr/lib/systemd/scripts/pakbak_script
RemainAfterExit=no
}}

{{hc|/usr/lib/systemd/system/pakbak.path|2=
[Unit]
Description=Back up pacman database

[Path]
PathChanged=/var/lib/pacman/local
Unit=pakbak.service

[Install]
WantedBy=multi-user.target
}}

== インストールとリカバリー ==

パッケージを取得・復活させる他の方法。

=== パッケージを CD/DVD や USB スティックからインストールする ===

パッケージや、パッケージグループをダウンロードするには:

# cd ~/Packages
# pacman -Syw base base-devel grub-bios xorg gimp --cachedir .
# repo-add ./custom.db.tar.gz ./*

ダウンロードしたら "Packages" フォルダを CD/DVD に焼くか USB スティック、外部 HDD などにコピーしてください。

インストールするには:

'''1.''' メディアをマウントする:

# mkdir /mnt/repo
# mount /dev/sr0 /mnt/repo # CD/DVD の場合
# mount /dev/sdxY /mnt/repo # USB スティックの場合。

'''2.''' {{ic|pacman.conf}} を編集して他のリポジトリ (例: extra, core, etc.) の''前に''リポジトリを追加してください。この手順は重要です。これで標準のリポジトリに優先して CD/DVD/USB のファイルがインストールされるようになります:

{{hc|# nano /etc/pacman.conf|2=
[custom]
SigLevel = PackageRequired
Server = file:///mnt/repo/Packages}}

'''3.''' 最後に、pacman データベースを同期して新しいリポジトリを使えるようにしてください:

# pacman -Sy

=== カスタムローカルリポジトリ ===

pacman 3 では個人的なリポジトリのデータベースの作成をより簡単にするため {{ic|repo-add}} という名前の新しいスクリプトが導入されました。詳しい使い方は {{ic|repo-add --help}} を実行して見て下さい。

リポジトリに含むパッケージを全て一つのディレクトリに保存して、次のコマンドを実行してください (''repo'' はカスタムリポジトリの名前に置き換えてください):

$ repo-add /path/to/repo.db.tar.gz /path/to/*.pkg.tar.xz

{{ic|repo-add}} を使う際、データベースとパッケージは同じディレクトリにある必要はないので注意してください。ただしそのデータベースで pacman を使うときには、揃っていないといけません。

新しいパッケージを追加する（そして古いパッケージが存在していたら削除する）には、次を実行してください:

$ repo-add /path/to/repo.db.tar.gz /path/to/packagetoadd-1.0-1-i686.pkg.tar.xz

{{Note|If there is a package that needs to be removed from the repository, read up on {{Ic|repo-remove}}.}}

ローカルリポジトリを作成できたら、リポジトリを {{ic|pacman.conf}} に追加してください。{{ic|db.tar.gz}} ファイルの名前がリポジトリの名前です。{{ic|file://}} url を使って直接参照するか、{{ic|ftp://localhost/path/to/directory}} を使って FTP でアクセスしてください。

カスタムリポジトリを[[非公式ユーザーリポジトリ]]に追加すれば、コミュニティはそれを使うことができるようになります。

=== pacman のキャッシュをネットワークで共有する ===

==== 読み取り専用キャッシュ ====

If you're looking for a quick and dirty solution, you can simply run a standalone webserver which other computers can use as a first mirror: {{ic|darkhttpd /var/cache/pacman/pkg}}. Just add this server at the top of your mirror list. Be aware that you might get a lot of 404 errors, due to cache misses, depending on what you do, but pacman will try the next (real) mirrors when that happens.

==== 読み書き可能キャッシュ ====

{{Tip|See [[pacserve]] for an alternative (and probably simpler) solution than what follows.}}

複数のコンピュータ間でパッケージを共有するには、ネットワークベースのマウントプロトコルを使って {{ic|/var/cache/pacman/}} を共有します。このセクションでは shfs または sshfs を使ってパッケージキャッシュと関連するライブラリディレクトリを同一ローカルネットワーク上の複数のコンピュータで共有する方法を示します。ネットワークで共有されるキャッシュは、ファイルシステムの選択やその他の要因で、遅くなることがあります。

まず、ネットワークをサポートするファイルシステムをインストールしてください。例えば [[sshfs]], [[shfs]], ftpfs, [[Samba|smbfs]], [[NFS|nfs]] など。

{{Tip|sshfs や shfs を使う場合、[[SSH 鍵]]を読んで下さい。}}

Then, to share the actual packages, mount {{ic|/var/cache/pacman/pkg}} from the server to {{ic|/var/cache/pacman/pkg}} on every client machine.

==== BitTorrent Sync を使って pacman のパッケージキャッシュを同期する ====

[[BitTorrent Sync]] はネットワークを介してフォルダを同期する新方法です (LAN でもインターネットでも動作します)。ピアツーピアなのでサーバーを設定する必要はありません: 詳しくはリンクを参照してください。
BitTorrent Sync を使って pacman のキャッシュを共有する方法:
* まず同期したいマシンに AUR から {{AUR|btsync}} パッケージをインストール。
* [[BitTorrent Sync]] の wiki ページや AUR パッケージのインストール手順に従う。
** set up BitTorrent Sync to work for the root account. This process requires read/write to the pacman package cache.
** make sure to set a good password on btsync's web UI
** btsync の systemd デーモンを起動。
** in the btsync Web GUI add a new synchronized folder on the first machine and generate a new Secret. Point the folder to {{ic|/var/cache/pacman/pkg}}
** Add the folder on all the other machines using the same Secret to share the cached packages between all systems. Or, to set the first system as a master and the others as slaves, use the Read Only Secret. Be sure to point it to {{ic|/var/cache/pacman/pkg}}

Now the machines should connect and start synchronizing their cache. Pacman works as expected even during synchronization. The process of syncing is entirely automatic.

==== 要らなくなったキャッシュが消えないようにする ====

By default, {{Ic|pacman -Sc}} removes package tarballs from the cache that correspond to packages that are not installed on the machine the command was issued on. Because pacman cannot predict what packages are installed on all machines that share the cache, it will end up deleting files that should not be.

To clean up the cache so that only ''outdated'' tarballs are deleted, add this entry in the {{ic|[options]}} section of {{ic|/etc/pacman.conf}}:

CleanMethod = KeepCurrent

=== インストールしたパッケージのリストのバックアップと復旧 ===

pacman によってインストールしたパッケージのバックアップを定期的に行うのはグッドプラクティスです。何らかの理由でリカバリーできないシステムクラッシュが発生した時、pacman を使って全く同じパッケージを簡単に新しい環境に再インストールすることができるようになります。

* まず、ローカルにない現在のパッケージの一覧をバックアップしてください: {{ic|$ pacman -Qqen > pkglist.txt}}

* {{ic|pkglist.txt}} を USB キーやその他メディア gist.github.com, Evernote, Dropbox などに保存してください。

* {{ic|pkglist.txt}} ファイルを新しいインストールにコピーして、ファイルが含まれているディレクトリにまで移動してください。

* 次のコマンドを実行することでバックアップリストからインストールを行います: {{ic|# pacman -S $(< pkglist.txt)}}

上記のようにリストが生成されない場合、おそらく foreign パッケージ (設定したリポジトリに存在しないパッケージ、もしくは AUR のパッケージ) が存在します。

そのような場合でも、リストから利用可能なパッケージを全てインストールすることができます:

# pacman -S --needed $(comm -12 <(pacman -Slq|sort) <(sort badpkdlist) )

説明:

* {{ic|pacman -Slq}} lists all available softwares, but the list is sorted by repository first, hence the {{ic|sort}} command.
* {{ic|comm}} コマンドを動作させるにはファイルをソートする必要があります。
* {{ic|-12}} パラメータは両方のエントリで共通する行を表示します。
* {{ic|--needed}} スイッチを使うことで既にインストールされているパッケージはスキップされます。

[[yaourt]] を使うことで AUR からリポジトリにないパッケージを全てインストールするのを試行することもできます (何がおこるかわかってない場合は推奨しません):

$ yaourt -S --needed $(comm -13 <(pacman -Slq|sort) <(sort badpkdlist) )

最後に、リストに記されていない全てのパッケージをシステム上から削除することができます:

{{Warning|このコマンドは注意して使って下さい、pacman の出力をよくチェックしましょう。}}

# pacman -Rsu $(comm -23 <(pacman -Qq|sort) <(sort pkglist))

=== base や base-devel に存在しないダウンロード済みパッケージを一覧 ===

次のコマンドは {{Grp|base}} や {{Grp|base-devel}} に存在しない、ユーザーが手動でインストールしたパッケージを全て表示します:

$ comm -23 <(pacman -Qeq | sort) <(pacman -Qgq base base-devel | sort)

インストールしたパッケージの中で特定のリポジトリに存在しないパッケージを表示するには (例えば {{ic|''repo_name''}}):

$ comm -23 <(pacman -Qtq | sort) <(pacman -Slq ''repo_name'' | sort)

インストールしたパッケージの中で {{ic|''repo_name''}} リポジトリに存在するパッケージを表示するには:

$ comm -12 <(pacman -Qtq | sort) <(pacman -Slq ''repo_name'' | sort)

=== 全てのパッケージの再インストール ===

全てのネイティブのパッケージを再インストールするには、次を使って下さい:

# pacman -Qenq | pacman -S -

外部の (AUR) パッケージは別に再インストールする必要があります。外部のパッケージは {{ic|pacman -Qemq}} で一覧できます。

デフォルトで Pacman はインストールの理由（明示的にインストールしたか、依存でインストールしたか）を維持します。

=== pacman のローカルデータベースを復元する ===

ローカルデータベースの復元が必要だと pacman が示す場合:

* {{ic|pacman -Q}} で何も出力がされず、{{Ic|pacman -Syu}} でシステムが最新だと表示されるとき。
* {{ic|pacman -S package}} を使ってパッケージをインストールしようとすると、既にインストールされている依存パッケージのリストが出力される。
* ({{Pkg|pacman}} に含まれている) {{ic|testdb}} でデータベースが壊れていると表示される。

以上の場合、十中八九、インストールしたソフトウェアの pacman データベースである {{ic|/var/lib/pacman/local}} が破損していたり削除されています。これは深刻な問題ですが、以下の手順に従うことで復元することができます。

まず、pacman のログファイルが存在するか確認します:

$ ls /var/log/pacman.log

ログファイルが存在しない場合は、この方法で続行することは不可能です。[https://bbs.archlinux.org/viewtopic.php?pid=670876 Xyne のパッケージ検出スクリプト] を使ってデータベースを再作成してみてください。それができない場合、解決方法としてはシステム全体を再インストールするしかありません。

==== ログフィルタースクリプト ====
{{hc|pacrecover|<nowiki>
#!/bin/bash -e

. /etc/makepkg.conf

PKGCACHE=$((grep -m 1 '^CacheDir' /etc/pacman.conf || echo 'CacheDir = /var/cache/pacman/pkg') | sed 's/CacheDir = //')

pkgdirs=("$@" "$PKGDEST" "$PKGCACHE")

while read -r -a parampart; do
pkgname="${parampart[0]}-${parampart[1]}-*.pkg.tar.xz"
for pkgdir in ${pkgdirs[@]}; do
pkgpath="$pkgdir"/$pkgname
[ -f $pkgpath ] && { echo $pkgpath; break; };
done || echo ${parampart[0]} 1>&2
done
</nowiki>}}

スクリプトを実行可能にしてください:

$ chmod +x pacrecover

==== パッケージの復旧リストを生成する ====

{{Warning|If for some reason your [[pacman]] cache or [[makepkg]] package destination contain packages for other architectures, remove them before continuation.}}

スクリプトを実行してください (任意でパッケージが含まれている追加のディレクトリをパラメータで渡して下さい):

$ paclog-pkglist /var/log/pacman.log | ./pacrecover >files.list 2>pkglist.orig

このコマンドで2つのファイルが作成されます: マシンに存在するパッケージファイルが載った {{Ic|files.list}} と、ダウンロードするべきパッケージが載った {{Ic|pkglist.orig}} です。後者ではマシンに存在する、古いバージョンのパッケージのファイルと、新しいバージョンのファイルでミスマッチが発生することがあります。ミスマッチは手動で修正する必要があります。

Here is a way to automatically restrict second list to packages available in a repository:

$ { cat pkglist.orig; pacman -Slq; } | sort | uniq -d > pkglist

重要な ''base'' パッケージが欠けていないか確認して、リストに加えます:

$ comm -23 <(pacman -Sgq base) pkglist.orig >> pkglist

Proceed once the contents of both lists are satisfactory, since they will be used to restore pacman's installed package database; {{ic|/var/lib/pacman/local/}}.

==== リカバリを実行する ====

リカバリのための bash エイリアスを定義してください:

# recovery-pacman() {
pacman "$@" \
--log /dev/null \
--noscriptlet \
--dbonly \
--force \
--nodeps \
--needed \
#
}

{{ic|--log /dev/null}} allows to avoid needless pollution of pacman log, {{Ic|--needed}} will save some time by skipping packages, already present in database, {{Ic|--nodeps}} will allow installation of cached packages, even if packages being installed depend on newer versions. Rest of options will allow '''pacman''' to operate without reading/writing filesystem.

同期データベースを作成:

# pacman -Sy

{{ic|files.list}} からローカルで利用可能なパッケージファイルをインストールしてデータベースの生成を開始:

# recovery-pacman -U $(< files.list)

{{ic|pkglist}} から残りをインストール:

# recovery-pacman -S $(< pkglist)

Update the local database so that packages that are not required by any other package are marked as explicitly installed and the other as dependences. You will need be extra careful in the future when removing packages, but with the original database lost is the best we can do.

# pacman -D --asdeps $(pacman -Qq)
# pacman -D --asexplicit $(pacman -Qtq)

Optionally check all installed packages for corruption:

# pacman -Qk

任意で[[#ファイルがどのパッケージにも所有されていないことを確認|ファイルがどのパッケージにも所有されていないことを確認]]してください。

全てのパッケージをアップデート:

# pacman -Su

=== 既存のインストールから USB キーを回復させる ===

If you have Arch installed on a USB key and manage to mess it up (e.g. removing it while it is still being written to), then it is possible to re-install all the packages and hopefully get it back up and working again (assuming USB key is mounted in /newarch)

# pacman -S $(pacman -Qq --dbpath /newarch/var/lib/pacman) --root /newarch --dbpath /newarch/var/lib/pacman

=== .pkg ファイルの中身を展開する ===

{{ic|.xz}} で終わっている {{ic|.pkg}} ファイルは tar で固められた圧縮ファイルであり、次のコマンドで解凍できます:

$ tar xvf package.tar.xz

ファイルを {{ic|.pkg}} から展開したい場合、この方法を使うことができます。

=== .pkg ファイルに含まれているファイルを回覧する ===

例えば、{{Pkg|systemd}} パッケージに入っている {{ic|/etc/systemd/logind.conf}} の中身を見たいのならば:

$ tar -xOf /var/cache/pacman/pkg/systemd-204-3-x86_64.pkg.tar.xz etc/systemd/logind.conf

もしくは {{pkg|vim}} を使ってアーカイブをブラウズすることもできます:
$ vim /var/cache/pacman/pkg/systemd-204-3-x86_64.pkg.tar.xz

=== 古いパッケージのライブラリを使っているアプリケーションを探す ===

Even if you installed a package the existing long-running programs (like daemons and servers) still keep using code from old package libraries. And it is a bad idea to let these programs running if the old library contains a security bug.

Here is a way how to find all the programs that use old packages code:

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | sort -u
It will print running program name and old library that was removed or replaced with newer content.

OpenSSH

2015-12-27T03:32:00Z

Aosho235:

[[Category:Secure Shell]]
[[ar:Secure Shell]]
[[de:SSH]]
[[en:Secure Shell]]
[[es:Secure Shell]]
[[fr:ssh]]
[[it:Secure Shell]]
[[ko:Secure Shell]]
[[pl:Secure Shell]]
[[pt:Secure Shell]]
[[ru:Secure Shell]]
[[sr:Secure Shell]]
[[zh-CN:Secure Shell]]
{{Related articles start}}
{{Related|SSH 鍵}}
{{Related|Pam abl}}
{{Related|fail2ban}}
{{Related|sshguard}}
{{Related|Sshfs}}
{{Related|syslog-ng}}
{{Related|SFTP chroot}}
{{Related articles end}}
Secure Shell (SSH) は暗号技術を利用して、安全にリモートコンピュータと通信するためのネットワークプロトコルです。暗号によってデータの機密性と完全性が保証されます。SSH は公開鍵暗号を使ってリモートコンピュータを認証し、リモートコンピュータは必要に応じてユーザーを認証します。

基本的に SSH はリモートマシンにログインしてコマンドを実行するために使われますが、トンネリングや TCP ポートや X11 接続の任意のフォワーディングをサポートしており、SFTP や SCP プロトコルを使うことでファイル転送をすることも可能です。

デフォルトでは、SSH サーバーは標準の TCP 22番ポートを使います。通常は SSH クライアントプロトコルを使って ''sshd'' デーモンの接続を確立してリモート接続を承認します。Mac OS X, GNU/Linux, Solaris, OpenVMS など近代的なオペレーティングシステムのほとんどでサーバーとクライアントの両方が備わってします。複雑なもの・完全なものまで様々なレベルのバージョンがプロプライエタリ・フリーウェア・オープンソースを問わずに存在します。

(ソース: [[Wikipedia:ja:Secure Shell]])

== OpenSSH ==
OpenSSH (OpenBSD Secure Shell) は ssh プロトコルを使ってコンピューターネットワークを介して暗号化通信セッションを提供するコンピュータープログラムのセットです。SSH Communications Security によるプロプライエタリの Secure Shell ソフトウェアスイートに代わるオープンのプログラムとして作成されました。OpenSSH は Theo de Raadt に率いられている OpenBSD プロジェクトの一環として開発されています。

同じような名前の OpenSSL と OpenSSH が混同されることがときどきありますが、プロジェクトの目的・開発チームは異なります。

=== OpenSSH のインストール ===
[[公式リポジトリ]]から {{Pkg|openssh}} を[[pacman|インストール]]してください。

=== SSH の設定 ===
====クライアント====
SSH クライアントの設定ファイルは {{ic|/etc/ssh/ssh_config}} もしくは {{ic|~/.ssh/config}} です。

{{ic|Protocol 2}} を明示的に設定する必要はありません。デフォルトの設定ファイルではコメントアウトされています。つまり明示的に有効にされない限り {{ic|Protocol 1}} は使われません。 (ソース: http://www.openssh.org/txt/release-5.4)

====デーモン====
SSH デーモンの設定ファイルは {{ic|/etc/ssh/ssh'''d'''_config}} です。

特定のユーザーにだけアクセスを許可するには次の行を追加してください:
AllowUsers user1 user2

特定のグループにだけアクセスを許可するには:
AllowGroups group1 group2

SSH による root ログインを無効にするには、PermitRootLogin 行を次のように変更してください:
PermitRootLogin no

{{Note|1=バージョン 7.0p1 からは {{ic|PermitRootLogin prohibit-password}} がデフォルトになっています。{{ic|man sshd_config}} を参照。}}

ウェルカムメッセージを追加するには {{ic|/etc/issue}} ファイルを編集して Banner 行を次のように変更してください:
Banner /etc/issue

ホスト鍵は sshd の systemd サービスによって自動的に生成されます。sshd に特定の鍵を使用させたい場合、手動で設定します:
HostKey /etc/ssh/ssh_host_rsa_key

サーバーに WAN からアクセスできる場合、デフォルトのポートである 22 から別のランダムなポートに変更することが推奨されています:
Port 39901

{{Note|OpenSSH では設定ファイルに ''Port x'' 行を複数記述することで複数のポートを使うことができます。}}

パスワードによるログインを使わないようにすればセキュリティは大幅に向上します。詳しくは [[SSH 鍵#パスワードログインの無効化]] を見て下さい。

=== sshd デーモンの管理 ===
次のコマンドで sshd デーモンを起動することができます:
# systemctl start sshd.service

次のコマンドで sshd デーモンを起動時に有効にすることができます:
# systemctl enable sshd.service

詳しくは [[systemd#ユニットを使う]] を見て下さい。

{{Warning|Systemd は非同期にプロセスを実行します。SSH デーモンを特定の IP アドレス {{ic|ListenAddress 192.168.1.100}} に結びつけている場合、デフォルトの sshd.service ユニットファイルはネットワークインターフェイスが有効にされることに依存していないため、ブート中にロードが失敗する可能性があります。IP アドレスをバインドする時は、カスタムした sshd.service ユニットファイルに {{ic|1=After=network.target}} を追加してください。[[systemd#ユニットファイルの編集]] を参照。}}

また SSH デーモンソケットを有効にすることで初めて接続があったときにデーモンが起動するようにすることもできます:
# systemctl start sshd.socket
# systemctl enable sshd.socket
デフォルトの22番以外のポートを使う場合、ユニットファイルを[[systemd#ユニットファイルの編集|編集]]する必要があります:
{{hc|# systemctl edit sshd.socket|<nowiki>
[Socket]
ListenStream=
ListenStream=12345
</nowiki>}}

{{Warning|{{ic|sshd.socket}} を使用すると {{ic|ListenAddress}} の設定が打ち消されて、どのアドレスからでも接続できるようになってしまいます。{{ic|ListenAddress}} の設定を適用するには、{{ic|ListenStream}} でポートと IP を指定する必要があります (例: {{ic|1=ListenStream=192.168.1.100:22}})。また、{{ic|[Socket]}} の下に {{ic|1=FreeBind=true}} を追加するようにしてください。そうしないと IP アドレスの設定が {{ic|ListenAddress}} の設定と同じように無効になってしまいます: ネットワークが立ち上がっていない場合にソケットの起動が失敗します。}}

{{Tip|ソケットアクティベーションを使う場合、{{ic|sshd.socket}} でもデーモンの標準の {{ic|sshd.service}} でもログの接続試行を監視することはできません。ただし {{ic|# journalctl /usr/bin/sshd}} を実行することで監視できます。}}

=== サーバーに接続する ===
サーバーに接続するには、次を実行してください:
$ ssh -p port user@server-address

=== SSH の保護 ===
管理業務のために SSH によるリモートログインを許可することは良いことですが、サーバーのセキュリティに脅威を及ぼすことにもなりえます。総当り攻撃の標的になりやすいので、SSH のアクセスは制限して、第三者がサーバーにアクセスできないようにする必要があります。
* わかりにくいアカウント名やパスワードを使う
* 信頼できる国からの SSH 接続だけを許可する
* [[fail2ban]] や [[sshguard]] をつかってブルートフォース攻撃を監視し、総当りを起こっている IP を閉め出す

==== ブルートフォースアタックからの保護 ====
ブルートフォースは単純な攻撃方法です: ランダムなユーザー名とパスワードの組み合わせをとにかく沢山作ってウェブページや SSH などのサーバーログインプロンプトにログインを絶えず試行します。ブルートフォース攻撃からは [[fail2ban]] や [[sshguard]] などの自動スクリプトを使うことで攻撃者をブロックすることで身を守ることができます。

もしくは、公開鍵認証を使うことでブルートフォース攻撃を出来なくすることもできます。{{ic|sshd_config}} に次の設定を追加:

PasswordAuthentication no

上の設定を適用する前に、SSH アクセスが必要な全てのアカウントで {{ic|authorized_keys}} ファイルに公開鍵認証の設定をするようにしてください。詳しくは [[SSH 鍵#リモートサーバーに公開鍵をコピー]] を参照。

==== 2段階認証 ====

SSH 鍵のペアによる認証を使用していてパスワードによろうログインを無効化している場合に、2段階認証を使いたいときは [[Google Authenticator]] や [[SSH 鍵#2段階認証と公開鍵]] を見て下さい。

==== root ログインを制限する ====
一般的に、SSH で無制限に root ログインを許可することは推奨されません。セキュリティの向上のために、SSH での root ログインを制限する方法は2つ存在します。

===== root ログインを拒否する =====

Sudo を使うことで、root アカウントの認証を行うことなく、必要に応じて root 権限を選択的に付与することができます。このため SSH による root ログインを拒否して、攻撃者にパスワードに加えて (root でない) ユーザー名も推測させる必要を生じさせることで、ブルートフォース攻撃を困難にすることが可能です。

{{ic|/etc/ssh/sshd_config}} の "Authentication" セクションを編集することで SSH からの root ログインを拒否するように設定できます。{{ic|#PermitRootLogin yes}} を {{ic|no}} に変更して行をアンコメントしてください:

{{hc|/etc/ssh/sshd_config|
PermitRootLogin no
...
}}

そして、SSH デーモンを[[再起動]]してください。

これで、SSH を使って root でログインすることはできなくなります。ただし、通常ユーザーでログインしてから [[su]] や [[sudo]] を使ってシステム管理を行うことは依然として可能です。

===== root ログインを限定する =====
自動的な作業の中にも、リモートによるフルシステムバックアップなど、root 権限を必要とするものがあります。セキュアな方法で root を許可したい場合、SSH による root ログインを無効化する代わりに、特定のコマンドだけ root ログインを許可することができます。{{ic|~root/.ssh/authorized_keys}} を編集して、以下のように特定のキーの前にコマンドを記述します:

command="/usr/lib/rsync/rrsync -ro /" ssh-rsa …

This will allow any login with this specific key only to execute the command specified between the quotes.

The increased attack surface created by exposing the root user name at login can be compensated by adding the following to {{ic|sshd_config}}:

PermitRootLogin forced-commands-only

This setting will not only restrict the commands which root may execute via SSH, but it will also disable the use of passwords, forcing use of public key authentication for the root account.

A slightly less restrictive alternative will allow any command for root, but makes brute force attacks infeasible by enforcing public key authentication. For this option, set:

PermitRootLogin without-password

== 他の SSH クライアントとサーバー ==
OpenSSH の他にも、多数の SSH [[Wikipedia:Comparison of SSH clients|クライアント]] と[[Wikipedia:Comparison of SSH servers|サーバー]]が存在します。

=== Dropbear ===
[[Wikipedia:Dropbear (software)|Dropbear]] は SSH-2 クライアント・サーバーです。{{Pkg|dropbear}} は[[公式リポジトリ]]から利用可能です。

コマンドラインの ssh クライアントは dbclient という名前が付けられています。

=== Mosh: Mobile Shell ===
Mosh の [http://mosh.mit.edu/ ウェブサイト] より:

ローミングが可能で、断続的な接続もサポートしているリモート端末アプリケーションです。ユーザーのキーストロークのローカルエコーと行編集を提供します。Mosh は SSH の代替です。SSH よりも強固でレスポンスが早く、特に Wi-Fi や携帯端末からの接続、長距離通信など通信速度が遅い場合に役に立ちます。

[[公式リポジトリ]]から {{Pkg|mosh}} を[[pacman|インストール]]するか [[Arch User Repository|AUR]] にある最新版 {{AUR|mosh-git}} を使って下さい。

Mosh にはドキュメントに記載されていないコマンドラインオプション {{ic|1=--predict=experimental}} が存在し、よりアグレッシブにローカルのキーストロークのエコーを生成します。キーボード入力が遅延なく確認できるのに興味があるのであればこの prediction モードを使ってみて下さい。

== Tips and tricks ==

=== 暗号化 SOCKS トンネル ===
This is highly useful for laptop users connected to various unsafe wireless connections. The only thing you need is an SSH server running at a somewhat secure location, like your home or at work. It might be useful to use a dynamic DNS service like [http://www.dyndns.org/ DynDNS] so you do not have to remember your IP-address.

==== 手順 1: 接続の開始 ====
You only have to execute this single command to start the connection:
$ ssh -TND 4711 ''user''@''host''
where {{Ic|''user''}} is your username at the SSH server running at the {{Ic|''host''}}. It will ask for your password, and then you are connected! The {{Ic|N}} flag disables the interactive prompt, and the {{Ic|D}} flag specifies the local port on which to listen on (you can choose any port number if you want). The {{Ic|T}} flag disables pseudo-tty allocation.

It is nice to add the verbose ({{Ic|-v}}) flag, because then you can verify that it is actually connected from that output.

==== 手順 2: ブラウザ (やその他のプログラム) の設定 ====
The above step is completely useless if you do not configure your web browser (or other programs) to use this newly created socks tunnel. Since the current version of SSH supports both SOCKS4 and SOCKS5, you can use either of them.

* For Firefox: ''Edit → Preferences → Advanced → Network → Connection → Setting'':
: Check the ''Manual proxy configuration'' radio button, and enter {{ic|localhost}} in the ''SOCKS host'' text field, and then enter your port number in the next text field ({{ic|4711}} in the example above).

Firefox does not automatically make DNS requests through the socks tunnel. This potential privacy concern can be mitigated by the following steps:

# Type about:config into the Firefox location bar.
# Search for network.proxy.socks_remote_dns
# Set the value to true.
# Restart the browser.

* For Chromium: You can set the SOCKS settings as environment variables or as command line options. I recommend to add one of the following functions to your {{ic|.bashrc}}:
function secure_chromium {
port=4711
export SOCKS_SERVER=localhost:$port
export SOCKS_VERSION=5
chromium &
exit
}
OR
function secure_chromium {
port=4711
chromium --proxy-server="socks://localhost:$port" &
exit
}

Now open a terminal and just do:
$ secure_chromium

Enjoy your secure tunnel!

=== X11 フォワーディング ===

X11 フォワーディングはリモートシステムで X11 プログラムを動作させて、グラフィカルインターフェイスをローカルのクライアントマシンで表示させるメカニズムです。X11 フォワーディングではリモートホストに X11 システムを完全にインストールさせる必要はなく、''xauth'' をインストールするだけで十分です。''xauth'' は、、X11 セッションの認証を行うために必要なサーバーとクライアントによって使用される {{ic|Xauthority}} の設定を管理するユーティリティです ([http://xmodulo.com/2012/11/how-to-enable-x11-forwarding-using-ssh.html ソース])。

{{Warning|X11 forwarding has important security implications which should be at least acknowledged by reading relevant sections of {{ic|ssh}}, {{ic|sshd_config}} and {{ic|ssh_config}} manual pages. See also [https://security.stackexchange.com/questions/14815/security-concerns-with-x11-forwarding a short writeup]}}

==== セットアップ ====

リモート側:

*[[公式リポジトリ]]から {{Pkg|xorg-xauth}} と {{Pkg|xorg-xhost}} を[[インストール]]
*{{ic|/etc/ssh/ssh'''d'''_config}} 内:
**{{ic|AllowTcpForwarding}} と {{ic|X11UseLocalhost}} オプションを ''yes'' に設定し、{{ic|X11DisplayOffset}} を ''10'' に設定 (何も変更を加えてなければこの値がデフォルトになっています、{{ic|man sshd_config}} を参照)
**{{ic|X11Forwarding}} を ''yes'' に設定
* [[#sshd デーモンの管理|''sshd'' デーモン]]を[[Systemd#ユニットを使う|再起動]]
* リモートシステムでも X サーバーを動作させる必要があります。

クライアント側では、接続するたびにコマンドラインで {{ic|-X}} スイッチを指定して {{ic|ForwardX11}} オプションを有効にするか、[[#クライアント|openSSH クライアントの設定ファイル]]で {{ic|ForwardX11}} を ''yes'' に設定してください。

{{Tip|You can enable the {{ic|ForwardX11Trusted}} option ({{ic|-Y}} switch on the command line) if GUI is drawing badly or you receive errors; this will prevent X11 forwardings from being subjected to the [http://www.x.org/wiki/Development/Documentation/Security/ X11 SECURITY extension] controls. Be sure you have read [[#X11 フォワーディング|the warning]] at the beginning of this section if you do so.}}

==== 使用方法 ====

通常通り[[#サーバーに接続する|リモートマシンにログイン]]します、クライアント側の設定ファイルで ''ForwardX11'' を有効にしていない場合は {{ic|-X}} スイッチを指定します:
$ ssh -X ''user@host''
グラフィカルなアプリケーションを実行しようとするとエラーが表示される場合、代わりに ''ForwardX11Trusted'' を試してみて下さい:
$ ssh -Y ''user@host''
リモートサーバーで X プログラムが起動できるようになったら、出力がローカルセッションに転送されます:
$ xclock

"Cannot open display" エラーが表示される場合、root 以外のユーザーで以下のコマンドを実行してみてください:
$ xhost +

The above command will allow anybody to forward X11 applications. To restrict forwarding to a particular host type:
$ xhost +hostname

where hostname is the name of the particular host you want to forward to. See {{ic|man xhost}} for more details.

Be careful with some applications as they check for a running instance on the local machine. [[Firefox]] is an example: either close the running Firefox instance or use the following start parameter to start a remote instance on the local machine:
$ firefox -no-remote

If you get "X11 forwarding request failed on channel 0" when you connect (and the server {{ic|/var/log/errors.log}} shows "Failed to allocate internet-domain X11 display socket"), make sure package {{Pkg|xorg-xauth}} is installed. If its installation is not working, try to either:

* enable the {{ic|AddressFamily any}} option in {{ic|ssh'''d'''_config}} on the ''server'', or
* set the {{ic|AddressFamily}} option in {{ic|ssh'''d'''_config}} on the ''server'' to inet.
Setting it to inet may fix problems with Ubuntu clients on IPv4.

For running X applications as other user on the SSH server you need to {{Ic|xauth add}} the authentication line taken from {{Ic|xauth list}} of the SSH logged in user.

=== 他のポートのフォワーディング ===
In addition to SSH's built-in support for X11, it can also be used to securely tunnel any TCP connection, by use of local forwarding or remote forwarding.

Local forwarding opens a port on the local machine, connections to which will be forwarded to the remote host and from there on to a given destination. Very often, the forwarding destination will be the same as the remote host, thus providing a secure shell and, e.g. a secure VNC connection, to the same machine. Local forwarding is accomplished by means of the {{Ic|-L}} switch and it's accompanying forwarding specification in the form of {{Ic|<tunnel port>:<destination address>:<destination port>}}.

Thus:

$ ssh -L 1000:mail.google.com:25 192.168.0.100

will use SSH to login to and open a shell on 192.168.0.100, and will also create a tunnel from the local machine's TCP port 1000 to mail.google.com on port 25. Once established, connections to localhost:1000 will connect to the Gmail SMTP port. To Google, it will appear that any such connection (though not necessarily the data conveyed over the connection) originated from 192.168.0.100, and such data will be secure as between the local machine and 192.168.0.100, but not between 192.168.0.100, unless other measures are taken.

Similarly:

$ ssh -L 2000:192.168.0.100:6001 192.168.0.100

will allow connections to localhost:2000 which will be transparently sent to the remote host on port 6001. The preceding example is useful for VNC connections using the vncserver utility--part of the tightvnc package--which, though very useful, is explicit about its lack of security.

Remote forwarding allows the remote host to connect to an arbitrary host via the SSH tunnel and the local machine, providing a functional reversal of local forwarding, and is useful for situations where, e.g., the remote host has limited connectivity due to firewalling. It is enabled with the {{Ic|-R}} switch and a forwarding specification in the form of {{Ic|<tunnel port>:<destination address>:<destination port>}}.

Thus:

$ ssh -R 3000:irc.freenode.net:6667 192.168.0.200

will bring up a shell on 192.168.0.200, and connections from 192.168.0.200 to itself on port 3000 (remotely speaking, localhost:3000) will be sent over the tunnel to the local machine and then on to irc.freenode.net on port 6667, thus, in this example, allowing the use of IRC programs on the remote host to be used, even if port 6667 would normally be blocked to it.

Both local and remote forwarding can be used to provide a secure "gateway," allowing other computers to take advantage of an SSH tunnel, without actually running SSH or the SSH daemon by providing a bind-address for the start of the tunnel as part of the forwarding specification, e.g. {{Ic|<tunnel address>:<tunnel port>:<destination address>:<destination port>}}. The {{Ic|<tunnel address>}} can be any address on the machine at the start of the tunnel, {{Ic|localhost}}, {{Ic|*}} (or blank), which, respectively, allow connections via the given address, via the loopback interface, or via any interface. By default, forwarding is limited to connections from the machine at the "beginning" of the tunnel, i.e. the {{Ic|<tunnel address>}} is set to {{Ic|localhost}}. Local forwarding requires no additional configuration, however remote forwarding is limited by the remote server's SSH daemon configuration. See the {{Ic|GatewayPorts}} option in {{Ic|sshd_config(5)}} for more information.

=== マルチプレクス ===

SSH デーモンは通常はポート 22 番をリッスンします。しかし、公共のインターネット・ホットスポットでは HTTP/HTTPS のポート（80 と 443）以外のトラフィックをブロックしていることが一般的です。そのため SSH 接続がブロックされてしまいます。すぐできる解決策として、許可されているポートで sshd を起動するという方法があります：

{{hc|/etc/ssh/sshd_config|
Port 22
Port 443
}}

しかしポート 443 番は HTTPS を提供する Web サーバにすでに使われていることが多いです。その場合は {{Pkg|sslh}} のようなマルチプレクサを使います。これは指定ポートをリッスンし、そこに来るパケットを複数のサービスに賢く振り分けることができます。

=== SSH の高速化 ===

同一のホストのセッションは全て単一の接続を使うようにすることで、後のログインを劇的に高速化することができます。{{ic|/etc/ssh/ssh_config}} や {{ic|$HOME/.ssh/config}} の適当なホストの下に以下の行を追加してください:
Host examplehost.com
ControlMaster auto
ControlPersist yes
ControlPath ~/.ssh/socket-%r@%h:%p

上記のオプションの詳しい説明は {{ic|ssh_config(5)}} マニュアルページを見て下さい。

速度を向上させる別のオプションとして圧縮を有効化する {{ic|-C}} フラグがあります。{{ic|/etc/ssh/ssh_config}} の適切なホストの下に次の行を追加することで永続的に設定することができます:
Compression yes
{{Warning|{{ic|man ssh}} states that "''Compression is desirable on modem lines and other slow connections, but will only slow down things on fast networks''". This tip might be counterproductive depending on your network configuration.}}

Login time can be shortened by using the {{ic|-4}} flag, which bypasses IPv6 lookup. This can be made permanent by adding this line under the proper host in {{ic|/etc/ssh/ssh_config}}:
AddressFamily inet

Changing the ciphers used by SSH to less cpu-demanding ones can improve speed. In this respect, the best choices are arcfour and blowfish-cbc.

{{Warning|Please do not do this unless you know what you are doing; arcfour has a number of known weaknesses.}}

To use alternative ciphers, run SSH with the {{ic|-c}} flag:
$ ssh -c arcfour,blowfish-cbc user@server-address

To use them permanently, add this line under the proper host in {{ic|/etc/ssh/ssh_config}}:
Ciphers arcfour,blowfish-cbc

=== SSHFS でリモートファイルシステムをマウントする ===
sshfs を使って (SSH でアクセスした) リモートのファイルシステムをローカルフォルダにマウントする方法は [[Sshfs]] の記事を参照してください。マウントしたファイルは様々なツールであらゆる操作することができます (コピー、名前の変更、vim で編集など)。基本的に shfs よりも sshfs を使用することを推奨します。sshfs は shfs の新しいバージョンであり、元の shfs は2004年から更新されていません。

=== Keep alive ===
一定時間操作がないと ssh セッションは自動的にログアウトします。接続を維持するには以下をクライアントの {{ic|~/.ssh/config}} か {{ic|/etc/ssh/ssh_config}} に追加してください:

ServerAliveInterval 120

これで120秒ごとに "keep alive" シグナルがサーバーに送信されます。

反対に、外部からの接続を維持するには、次をサーバーの {{ic|/etc/ssh/sshd_config}} に設定します (数字は0より大きく):

ClientAliveInterval 120

=== ssh の設定に接続データを保存する ===
Whenever you want to connect to a ssh server, you usually have to type at least its address and the username. To save that typing work for servers you regularly connect to, you can use the personal {{ic|~/.ssh/config}} or the global {{ic|/etc/ssh/ssh_config}} files as shown in the following example:

{{hc|~/.ssh/config|
Host myserver
HostName 123.123.123.123
Port 12345
User bob
IdentityFile ~/.ssh/some_key_file
Host other_server
HostName test.something.org
User alice
CheckHostIP no
Cipher blowfish
}}

Now you can simply connect to the server by using the name you specified:

$ ssh myserver

To see a complete list of the possible options, check out ssh_config's manpage on your system or the [http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config ssh_config documentation] on the official website.

=== systemd で SSH トンネルを自動的に再起動 ===

[[systemd]] を使ってブート時/ログイン時に SSH 接続を自動的に開始して、接続が失敗した時に再起動させることができます。SSH トンネルの管理に役立つツールとなります。

以下のサービスでは、[[#ssh の設定に接続データを保存する|ssh の設定]]に保存された接続設定を使って、ログイン時に SSH トンネルを開始します。接続が何らかの理由で閉じられた場合、10秒待機してから再起動します:

{{hc|~/.config/systemd/user/tunnel.service|<nowiki>
[Unit]
Description=SSH tunnel to myserver

[Service]
Type=simple
Restart=always
RestartSec=10
ExecStart=/usr/bin/ssh -F %h/.ssh/config -N myserver
</nowiki>}}

上記のユーザーサービスを[[有効化]]して[[起動]]してください。トンネルがタイムアウトするのを防ぐ方法は [[#Keep alive]] を見て下さい。起動時にトンネルを開始したい場合、ユニットをシステムサービスとして書きなおして下さい。

=== Autossh - SSH セッションとトンネルの自動再起動 ===
ネットワークの状態が悪かったりしてクライアントが切断してしまい、セッションやトンネルの接続を維持できない場合、[http://www.harding.motd.ca/autossh/ Autossh] を使って自動的にセッションとトンネルを再起動できます。Autossh は[[公式リポジトリ]]からインストールできます。

使用例:
$ autossh -M 0 -o "ServerAliveInterval 45" -o "ServerAliveCountMax 2" username@example.com
[[sshfs]] を組み合わせる:
$ sshfs -o reconnect,compression=yes,transform_symlinks,ServerAliveInterval=45,ServerAliveCountMax=2,ssh_command='autossh -M 0' username@example.com: /mnt/example
[[プロキシ設定]]で設定した SOCKS プロクシを使って接続:
$ autossh -M 0 -o "ServerAliveInterval 45" -o "ServerAliveCountMax 2" -NCD 8080 username@example.com
With the {{ic|-f}} option autossh can be made to run as a background process. Running it this way however means the passprase cannot be entered interactively.

The session will end once you type {{ic|exit}} in the session, or the autossh process receives a SIGTERM, SIGINT of SIGKILL signal.

==== systemd を使ってブート時に自動的に Autossh を起動する ====
If you want to automatically start autossh, it is now easy to get systemd to manage this for you. For example, you could create a systemd unit file like this:

[Unit]
Description=AutoSSH service for port 2222
After=network.target

[Service]
Environment="AUTOSSH_GATETIME=0"
ExecStart=/usr/bin/autossh -M 0 -NL 2222:localhost:2222 -o TCPKeepAlive=yes foo@bar.com

[Install]
WantedBy=multi-user.target

Here {{ic|1=AUTOSSH_GATETIME=0}} is an environment variable specifying how long ssh must be up before autossh considers it a successful connection, setting it to 0 autossh also ignores the first run failure of ssh. This may be useful when running autossh at boot. Other environment variables are available on the manpage. Of course, you can make this unit more complex if necessary (see the systemd documentation for details), and obviously you can use your own options for autossh, but note that the {{ic|-f}} implying {{ic|1=AUTOSSH_GATETIME=0}} does not work with systemd.

Then place this in, for example, /etc/systemd/system/autossh.service. Afterwards, you can then enable your autossh tunnels with, e.g.:

$ systemctl start autossh
(or whatever you called the service file)

If this works OK for you, you can make this permanent by running

$ systemctl enable autossh

That way autossh will start automatically at boot.

It is also easy to maintain several autossh processes, to keep several tunnels alive. Just create multiple .service files with different names.

== ソケットアクティベーションで SSH ポート番号を変更する (sshd.socket) ==

次の内容で {{ic|/etc/systemd/system/sshd.socket.d/port.conf}} ファイルを作成:

[Socket]
# Disable default port
ListenStream=
# Set new port
ListenStream=12345

リロードすれば systemd は自動的に新しいポートを開きます:

systemctl daemon-reload

== トラブルシューティング ==
=== チェックリスト ===

以下は最初に行うべきトラブルシューティングのチェックリストです。何かする前に以下の問題をチェックすることを推奨します。

==== SSH の設定を確認 ====

1. クライアントとサーバーの {{ic|~/.ssh}} フォルダにユーザーがアクセスできるようにする:

$ chmod 700 /home/USER/.ssh
$ chmod 600 /home/USER/.ssh/*

2. ライアントとサーバーの {{ic|~/.ssh}} フォルダにある全てのファイルの所有者がユーザーになっていることを確認:

$ chown -R USER: /home/USER/.ssh

3. クライアントの公開鍵を確認。サーバーの {{ic|authorized_keys}} やユーザーの {{ic|~/.ssh/}} ファイルにある {{ic|id_rsa.pub}} ファイルなど。

4. {{ic|/etc/ssh/sshd_config}} の {{ic|AllowUsers or AllowGroups}} オプションで SSH のアクセスが制限されていないか確認。

5. ユーザーにパスワードが設定されていることを確認。新しいユーザーを追加したあとパスワードが設定されていなかったり一度もログインされてなかったりすることがあります。

==== SSH を再起動 + ユーザーの再ログイン ====

6. {{ic|sshd}} (サーバー) を[[再起動]]。

7. クライアントとホスト、両方でユーザー (シェル) の再ログイン。

==== 期限切れのキーを削除 (任意) ====

8. Delete old/invalid key rows in server's {{ic|~/.ssh/authorized_keys}} file.

9. Delete old/invalid private and public keys within the clients {{ic|~/.ssh}} folder.

==== 推奨事項 ====

10. Keep as few keys as possible in user's {{ic|~/.ssh/authorized_keys}} file on the server.

11. Secure server's {{ic|/home/USER/.ssh/authorized_keys}} file against manipulation:

$ chmod 400 /home/USER/.ssh/authorized_keys

=== 電源オフ/再起動した後も SSH 接続が残ってしまう ===
systemd が sshd の前に network を停止してしまうと電源を切った後も SSH 接続が繋がったままになります。この問題を修正するには、{{ic|After}} ステートメントを修正してください:
{{hc|/usr/lib/systemd/system/systemd-user-sessions.service|2=
#After=remote-fs.target
After=network.target}}

=== 接続が拒否されるまたはタイムアウトする ===

==== ルーターがポートフォワーディングをしていないか？ ====

SKIP THIS STEP IF YOU ARE NOT BEHIND A NAT MODEM/ROUTER (eg, a VPS or otherwise publicly addressed host). Most home and small businesses will have a NAT modem/router.

The first thing is to make sure that your router knows to forward any incoming ssh connection to your machine. Your external IP is given to you by your ISP, and it is associated with any requests coming out of your router. So your router needs to know that any incoming ssh connection to your external IP needs to be forwarded to your machine running sshd.

Find your internal network address.

ip a

Find your interface device and look for the inet field. Then access your router's configuration web interface, using your router's IP (find this on the web). Tell your router to forward it to your inet IP. Go to [http://portforward.com/] for more instructions on how to do so for your particular router.

==== SSH が動作しているか？ ====
$ ss -tnlp

上記のコマンドで SSH ポートが開いていると表示されない場合、SSH は動作していません。{{ic|/var/log/messages}} にエラーがないか確認してください。

==== 接続をブロックするようなファイアウォールのルールが存在しないか？ ====

[[iptables]] によってポート {{ic|22}} の接続がブロックされている可能性があります。次のコマンドで確認してください:
{{bc|# iptables -nvL}}
{{ic|INPUT}} チェインのパケットを拒否するようなルールがないか見て下さい。そして、必要であれば、次のようなコマンドでポートのブロックを解除します:
{{bc|
# iptables -I INPUT 1 -p tcp --dport 22 -j ACCEPT
}}
ファイアウォールの設定に関する詳細は[[ファイアウォール]]を見て下さい。

==== Is the traffic even getting to your computer? ====
Start a traffic dump on the computer you're having problems with:

# tcpdump -lnn -i any port ssh and tcp-syn

This should show some basic information, then wait for any matching traffic to happen before displaying it. Try your connection now. If you do not see any output when you attempt to connect, then something outside of your computer is blocking the traffic (e. g., hardware firewall, NAT router etc.).

==== ISP またはサードパーティによってデフォルトのポートがブロックされてないか？ ====
{{Note|このステップは次のことを確認した後で実行してください。ファイアーウォールを何も起動していないこと。DMZ へのルータを正しく設定している、またはコンピュータへポートを転送していること。それでもまだ動かない場合。ここで診断のステップと解決法が見つかるでしょう。}}

ときどき ISP（インターネット・サービス・プロバイダ）が SSH のデフォルトポート（22番）をブロックしている場合があります。この場合はあなたが何をしても（ポートを開ける、スタックを強化する、フラッドアタックを防御する、など）無意味になります。これを確認するためには、全てのインターフェイス（0.0.0.0）をリッスンする sshd を立ち上げ、リモートから接続してみます。

このようなエラーメッセージが出る場合：
ssh: connect to host www.inet.hr port 22: Connection refused

これはそのポートが ISP にブロックされていないが、サーバのそのポートで SSH が起動していないことを意味します
（[[wikipedia:Security_through_obscurity|security through obscurity]] を参照）。

しかし、次のようなエラーメッセージが出る場合：
ssh: connect to host 111.222.333.444 port 22: Operation timed out

これは何かがポート 22 での TCP トラフィックを拒否（reject）していることを意味します。そのポートはあなたのサーバ上のファイアーウォールか第三者（ISP など）のどちらかによってステルスされています。自分のサーバでファイアーウォールが起動していないことが確かなら、またルータやスイッチの中でグレムリンが育っていないことが確かなら、ISP がトラフィックをブロックしています。

ダブルチェックのために、サーバ上で Wireshark を起動を起動してポート 22 でのトラフィックをリッスンしてみましょう。Wireshark はレイヤ 2 のパケット・スニファリング・ユーティリティであり、TCP/UDP はレイヤ 3 以上なので（[[wikipedia:Internet protocol suite|IP Network stack]]を参照）、もしリモートから接続するときに何も受け取っていなければ、十中八九、第三者がブロックしています。

===== 問題診断 =====
{{Pkg|tcpdump}} または {{Pkg|wireshark-cli}} パッケージの Wireshark を[[インストール]]してください。

tcpdump の場合:
# tcpdump -ni ''interface'' "port 22"

Wireshark の場合:
$ tshark -f "tcp port 22" -i ''interface''

{{ic|''interface''}} は WAN 接続に使っているネットワークインターフェイスに置き換えてください (確認したいときは {{ic|ip a}} を実行)。リモートで接続を試行してもパケットが全く受け取れない場合、ISP によってポート 22 のトラフィックがブロックされている可能性があります。

===== 解決方法 =====
解決方法は、単に ISP がブロックしていない他のポートを使うことです。{{ic|/etc/ssh/sshd_config}} を編集して他のポートを使うようにしましょう。例えば次を追加します：

Port 22
Port 1234

そしてこのファイル中の他の Port 設定をコメントアウトします。「Port 22」をコメントにして「Port 1234」を追加するだけでは、sshd がポート 1234 しかリッスンしなくなるので、この問題は解決しません。この 2 行どちらも使用し、sshd が両方のポートをリッスンするようにします。

あとは {{ic|systemctl restart sshd.service}} で sshd を起動するだけです。そして ssh クライアントでも同じポートに変更します。There are numerous solutions to that problem, but let us cover two of them here.

==== Read from socket failed: connection reset by peer ====
最近の openssh のバージョンでは、楕円曲線暗号関連のバグのせいで、上記のエラーメッセージで接続が失敗することがあります。その場合 {{ic|~/.ssh/config}} に次の行を追加してください:

HostKeyAlgorithms ssh-rsa-cert-v01@openssh.com,ssh-dss-cert-v01@openssh.com,ssh-rsa-cert-v00@openssh.com,ssh-dss-cert-v00@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-rsa,ssh-dss

openssh 5.9 では、上記の修正方法は働きません。代わりに、{{ic|~/.ssh/config}} に以下の行を記述してください:

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc
MACs hmac-md5,hmac-sha1,hmac-ripemd160

openssh バグフォーラムの [http://www.gossamer-threads.com/lists/openssh/dev/51339 議論] も参照。

=== "[your shell]: No such file or directory" / ssh_exchange_identification problem ===
One possible cause for this is the need of certain SSH clients to find an absolute path (one returned by {{Ic|whereis -b [your shell]}}, for instance) in {{Ic|$SHELL}}, even if the shell's binary is located in one of the {{Ic|$PATH}} entries.

==="Terminal unknown" や "Error opening terminal" エラーメッセージ===
ssh でログイン時に "Terminal unknown" のようなエラーが表示されることがあります。nano などの ncurses アプリケーションを実行すると "Error opening terminal" というメッセージが表示されます。この問題を解決する方法は2つあります。{{ic|$TERM}} 変数を使って簡単に修正する方法と terminfo ファイルを使って根本的に解決する方法です。

====$TERM 変数を設定する解決策====
リモートサーバーに接続した後に以下のコマンドを使って {{ic|$TERM}} 変数を "xterm" に設定してください:

$ TERM=xterm

この方法はあくまで次善策であり、たまにしか接続しない ssh サーバーで使うようにしてください。良くない副作用があるからです。また、接続するたびにコマンドを実行する必要があります。もしくは {{ic|~.bashrc}} で設定してください。

====terminfo ファイルを使う解決策====
A profound solution is transferring the terminfo file of the terminal on your client computer to the ssh server. In this example we cover how to setup the terminfo file for the "rxvt-unicode-256color" terminal.
Create the directory containing the terminfo files on the ssh server, while you are logged in to the server issue this command:

$ mkdir -p ~/.terminfo/r/

Now copy the terminfo file of your terminal to the new directory. Replace {{ic|rxvt-unicode-256color}} with your client's terminal in the following command and {{ic|ssh-server}} with the relevant user and server adress.

$ scp /usr/share/terminfo/r/''rxvt-unicode-256color'' ssh-server:~/.terminfo/r/

After logging in and out from the ssh server the problem should be fixed.

=== Connection closed by x.x.x.x [preauth] ===
sshd のログでこのエラーが確認できる場合、HostKey が正しく設定されているか確認してください:
HostKey /etc/ssh/ssh_host_rsa_key

=== OpenSSH 7.0 によって id_dsa が拒否される ===

OpenSSH 7.0 では ssh-dss が無効になっており、http://www.openssh.com/legacy.html には id_dsa 鍵が使われている場合にサーバーにアクセスする方法が書かれていません:

PubkeyAcceptedKeyTypes +ssh-dss

While this can be added a per host basis or with -o, to make sure "ProxyCommand ssh" still works, add it to ssh_config.

=== no matching key exchange method found by OpenSSH 7.0 ===

OpenSSH 7.0 also deprecated the key algorithm diffie-hellman-group1-sha1, as we could see in http://www.openssh.com/legacy.html.

If the client and server are unable to agree on a mutual set of parameters then the connection will fail. OpenSSH (7.0 and greater) will produce an error message like this:

Unable to negotiate with 127.0.0.1: no matching key exchange method found.
Their offer: diffie-hellman-group1-sha1

In this case, the client and server were unable to agree on the key exchange algorithm. The server offered only a single method diffie-hellman-group1-sha1. OpenSSH supports this method, but does not enable it by default because is weak and within theoretical range of the so-called Logjam attack.

The best resolution for these failures is to upgrade the software at the other end. OpenSSH only disables algorithms that we actively recommend against using because they are known to be weak. In some cases, this might not be immediately possible so you may need to temporarily re-enable the weak algorithms to retain access.

For the case of the above error message, OpenSSH can be configured to enable the diffie-hellman-group1-sha1 key exchange algorithm (or any other that is disabled by default) using the KexAlgorithm option - either on the command-line:

ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 user@127.0.0.1

or in the ~/.ssh/config file:

Host somehost.example.org
KexAlgorithms +diffie-hellman-group1-sha1

== 参照 ==
*[http://www.la-samhna.de/library/brutessh.html Defending against brute force ssh attacks]
*IBM developerWorks の [http://www.ibm.com/developerworks/jp/linux/library/l-keyc/ OpenSSH キー（鍵）の管理: 第 1 回] と [http://www.ibm.com/developerworks/jp/linux/library/l-keyc2/ 第 2 回]
* [https://stribika.github.io/2015/01/04/secure-secure-shell.html Secure Secure Shell]

OpenSSH

2015-12-27T03:27:26Z

Aosho235: /* マルチプレクス */

[[Category:Secure Shell]]
[[ar:Secure Shell]]
[[de:SSH]]
[[en:Secure Shell]]
[[es:Secure Shell]]
[[fr:ssh]]
[[it:Secure Shell]]
[[ko:Secure Shell]]
[[pl:Secure Shell]]
[[pt:Secure Shell]]
[[ru:Secure Shell]]
[[sr:Secure Shell]]
[[zh-CN:Secure Shell]]
{{Related articles start}}
{{Related|SSH 鍵}}
{{Related|Pam abl}}
{{Related|fail2ban}}
{{Related|sshguard}}
{{Related|Sshfs}}
{{Related|syslog-ng}}
{{Related|SFTP chroot}}
{{Related articles end}}
Secure Shell (SSH) は暗号技術を利用して、安全にリモートコンピュータと通信するためのネットワークプロトコルです。暗号によってデータの機密性と完全性が保証されます。SSH は公開鍵暗号を使ってリモートコンピュータを認証し、リモートコンピュータは必要に応じてユーザーを認証します。

基本的に SSH はリモートマシンにログインしてコマンドを実行するために使われますが、トンネリングや TCP ポートや X11 接続の任意のフォワーディングをサポートしており、SFTP や SCP プロトコルを使うことでファイル転送をすることも可能です。

デフォルトでは、SSH サーバーは標準の TCP 22番ポートを使います。通常は SSH クライアントプロトコルを使って ''sshd'' デーモンの接続を確立してリモート接続を承認します。Mac OS X, GNU/Linux, Solaris, OpenVMS など近代的なオペレーティングシステムのほとんどでサーバーとクライアントの両方が備わってします。複雑なもの・完全なものまで様々なレベルのバージョンがプロプライエタリ・フリーウェア・オープンソースを問わずに存在します。

(ソース: [[Wikipedia:ja:Secure Shell]])

== OpenSSH ==
OpenSSH (OpenBSD Secure Shell) は ssh プロトコルを使ってコンピューターネットワークを介して暗号化通信セッションを提供するコンピュータープログラムのセットです。SSH Communications Security によるプロプライエタリの Secure Shell ソフトウェアスイートに代わるオープンのプログラムとして作成されました。OpenSSH は Theo de Raadt に率いられている OpenBSD プロジェクトの一環として開発されています。

同じような名前の OpenSSL と OpenSSH が混同されることがときどきありますが、プロジェクトの目的・開発チームは異なります。

=== OpenSSH のインストール ===
[[公式リポジトリ]]から {{Pkg|openssh}} を[[pacman|インストール]]してください。

=== SSH の設定 ===
====クライアント====
SSH クライアントの設定ファイルは {{ic|/etc/ssh/ssh_config}} もしくは {{ic|~/.ssh/config}} です。

{{ic|Protocol 2}} を明示的に設定する必要はありません。デフォルトの設定ファイルではコメントアウトされています。つまり明示的に有効にされない限り {{ic|Protocol 1}} は使われません。 (ソース: http://www.openssh.org/txt/release-5.4)

====デーモン====
SSH デーモンの設定ファイルは {{ic|/etc/ssh/ssh'''d'''_config}} です。

特定のユーザーにだけアクセスを許可するには次の行を追加してください:
AllowUsers user1 user2

特定のグループにだけアクセスを許可するには:
AllowGroups group1 group2

SSH による root ログインを無効にするには、PermitRootLogin 行を次のように変更してください:
PermitRootLogin no

{{Note|1=バージョン 7.0p1 からは {{ic|PermitRootLogin prohibit-password}} がデフォルトになっています。{{ic|man sshd_config}} を参照。}}

ウェルカムメッセージを追加するには {{ic|/etc/issue}} ファイルを編集して Banner 行を次のように変更してください:
Banner /etc/issue

ホスト鍵は sshd の systemd サービスによって自動的に生成されます。sshd に特定の鍵を使用させたい場合、手動で設定します:
HostKey /etc/ssh/ssh_host_rsa_key

サーバーに WAN からアクセスできる場合、デフォルトのポートである 22 から別のランダムなポートに変更することが推奨されています:
Port 39901

{{Note|OpenSSH では設定ファイルに ''Port x'' 行を複数記述することで複数のポートを使うことができます。}}

パスワードによるログインを使わないようにすればセキュリティは大幅に向上します。詳しくは [[SSH 鍵#パスワードログインの無効化]] を見て下さい。

=== sshd デーモンの管理 ===
次のコマンドで sshd デーモンを起動することができます:
# systemctl start sshd.service

次のコマンドで sshd デーモンを起動時に有効にすることができます:
# systemctl enable sshd.service

詳しくは [[systemd#ユニットを使う]] を見て下さい。

{{Warning|Systemd は非同期にプロセスを実行します。SSH デーモンを特定の IP アドレス {{ic|ListenAddress 192.168.1.100}} に結びつけている場合、デフォルトの sshd.service ユニットファイルはネットワークインターフェイスが有効にされることに依存していないため、ブート中にロードが失敗する可能性があります。IP アドレスをバインドする時は、カスタムした sshd.service ユニットファイルに {{ic|1=After=network.target}} を追加してください。[[systemd#ユニットファイルの編集]] を参照。}}

また SSH デーモンソケットを有効にすることで初めて接続があったときにデーモンが起動するようにすることもできます:
# systemctl start sshd.socket
# systemctl enable sshd.socket
デフォルトの22番以外のポートを使う場合、ユニットファイルを[[systemd#ユニットファイルの編集|編集]]する必要があります:
{{hc|# systemctl edit sshd.socket|<nowiki>
[Socket]
ListenStream=
ListenStream=12345
</nowiki>}}

{{Warning|{{ic|sshd.socket}} を使用すると {{ic|ListenAddress}} の設定が打ち消されて、どのアドレスからでも接続できるようになってしまいます。{{ic|ListenAddress}} の設定を適用するには、{{ic|ListenStream}} でポートと IP を指定する必要があります (例: {{ic|1=ListenStream=192.168.1.100:22}})。また、{{ic|[Socket]}} の下に {{ic|1=FreeBind=true}} を追加するようにしてください。そうしないと IP アドレスの設定が {{ic|ListenAddress}} の設定と同じように無効になってしまいます: ネットワークが立ち上がっていない場合にソケットの起動が失敗します。}}

{{Tip|ソケットアクティベーションを使う場合、{{ic|sshd.socket}} でもデーモンの標準の {{ic|sshd.service}} でもログの接続試行を監視することはできません。ただし {{ic|# journalctl /usr/bin/sshd}} を実行することで監視できます。}}

=== サーバーに接続する ===
サーバーに接続するには、次を実行してください:
$ ssh -p port user@server-address

=== SSH の保護 ===
管理業務のために SSH によるリモートログインを許可することは良いことですが、サーバーのセキュリティに脅威を及ぼすことにもなりえます。総当り攻撃の標的になりやすいので、SSH のアクセスは制限して、第三者がサーバーにアクセスできないようにする必要があります。
* わかりにくいアカウント名やパスワードを使う
* 信頼できる国からの SSH 接続だけを許可する
* [[fail2ban]] や [[sshguard]] をつかってブルートフォース攻撃を監視し、総当りを起こっている IP を閉め出す

==== ブルートフォースアタックからの保護 ====
ブルートフォースは単純な攻撃方法です: ランダムなユーザー名とパスワードの組み合わせをとにかく沢山作ってウェブページや SSH などのサーバーログインプロンプトにログインを絶えず試行します。ブルートフォース攻撃からは [[fail2ban]] や [[sshguard]] などの自動スクリプトを使うことで攻撃者をブロックすることで身を守ることができます。

もしくは、公開鍵認証を使うことでブルートフォース攻撃を出来なくすることもできます。{{ic|sshd_config}} に次の設定を追加:

PasswordAuthentication no

上の設定を適用する前に、SSH アクセスが必要な全てのアカウントで {{ic|authorized_keys}} ファイルに公開鍵認証の設定をするようにしてください。詳しくは [[SSH 鍵#リモートサーバーに公開鍵をコピー]] を参照。

==== 2段階認証 ====

SSH 鍵のペアによる認証を使用していてパスワードによろうログインを無効化している場合に、2段階認証を使いたいときは [[Google Authenticator]] や [[SSH 鍵#2段階認証と公開鍵]] を見て下さい。

==== root ログインを制限する ====
一般的に、SSH で無制限に root ログインを許可することは推奨されません。セキュリティの向上のために、SSH での root ログインを制限する方法は2つ存在します。

===== root ログインを拒否する =====

Sudo を使うことで、root アカウントの認証を行うことなく、必要に応じて root 権限を選択的に付与することができます。このため SSH による root ログインを拒否して、攻撃者にパスワードに加えて (root でない) ユーザー名も推測させる必要を生じさせることで、ブルートフォース攻撃を困難にすることが可能です。

{{ic|/etc/ssh/sshd_config}} の "Authentication" セクションを編集することで SSH からの root ログインを拒否するように設定できます。{{ic|#PermitRootLogin yes}} を {{ic|no}} に変更して行をアンコメントしてください:

{{hc|/etc/ssh/sshd_config|
PermitRootLogin no
...
}}

そして、SSH デーモンを[[再起動]]してください。

これで、SSH を使って root でログインすることはできなくなります。ただし、通常ユーザーでログインしてから [[su]] や [[sudo]] を使ってシステム管理を行うことは依然として可能です。

===== root ログインを限定する =====
自動的な作業の中にも、リモートによるフルシステムバックアップなど、root 権限を必要とするものがあります。セキュアな方法で root を許可したい場合、SSH による root ログインを無効化する代わりに、特定のコマンドだけ root ログインを許可することができます。{{ic|~root/.ssh/authorized_keys}} を編集して、以下のように特定のキーの前にコマンドを記述します:

command="/usr/lib/rsync/rrsync -ro /" ssh-rsa …

This will allow any login with this specific key only to execute the command specified between the quotes.

The increased attack surface created by exposing the root user name at login can be compensated by adding the following to {{ic|sshd_config}}:

PermitRootLogin forced-commands-only

This setting will not only restrict the commands which root may execute via SSH, but it will also disable the use of passwords, forcing use of public key authentication for the root account.

A slightly less restrictive alternative will allow any command for root, but makes brute force attacks infeasible by enforcing public key authentication. For this option, set:

PermitRootLogin without-password

== 他の SSH クライアントとサーバー ==
OpenSSH の他にも、多数の SSH [[Wikipedia:Comparison of SSH clients|クライアント]] と[[Wikipedia:Comparison of SSH servers|サーバー]]が存在します。

=== Dropbear ===
[[Wikipedia:Dropbear (software)|Dropbear]] は SSH-2 クライアント・サーバーです。{{Pkg|dropbear}} は[[公式リポジトリ]]から利用可能です。

コマンドラインの ssh クライアントは dbclient という名前が付けられています。

=== Mosh: Mobile Shell ===
Mosh の [http://mosh.mit.edu/ ウェブサイト] より:

ローミングが可能で、断続的な接続もサポートしているリモート端末アプリケーションです。ユーザーのキーストロークのローカルエコーと行編集を提供します。Mosh は SSH の代替です。SSH よりも強固でレスポンスが早く、特に Wi-Fi や携帯端末からの接続、長距離通信など通信速度が遅い場合に役に立ちます。

[[公式リポジトリ]]から {{Pkg|mosh}} を[[pacman|インストール]]するか [[Arch User Repository|AUR]] にある最新版 {{AUR|mosh-git}} を使って下さい。

Mosh にはドキュメントに記載されていないコマンドラインオプション {{ic|1=--predict=experimental}} が存在し、よりアグレッシブにローカルのキーストロークのエコーを生成します。キーボード入力が遅延なく確認できるのに興味があるのであればこの prediction モードを使ってみて下さい。

== Tips and tricks ==

=== 暗号化 SOCKS トンネル ===
This is highly useful for laptop users connected to various unsafe wireless connections. The only thing you need is an SSH server running at a somewhat secure location, like your home or at work. It might be useful to use a dynamic DNS service like [http://www.dyndns.org/ DynDNS] so you do not have to remember your IP-address.

==== 手順 1: 接続の開始 ====
You only have to execute this single command to start the connection:
$ ssh -TND 4711 ''user''@''host''
where {{Ic|''user''}} is your username at the SSH server running at the {{Ic|''host''}}. It will ask for your password, and then you are connected! The {{Ic|N}} flag disables the interactive prompt, and the {{Ic|D}} flag specifies the local port on which to listen on (you can choose any port number if you want). The {{Ic|T}} flag disables pseudo-tty allocation.

It is nice to add the verbose ({{Ic|-v}}) flag, because then you can verify that it is actually connected from that output.

==== 手順 2: ブラウザ (やその他のプログラム) の設定 ====
The above step is completely useless if you do not configure your web browser (or other programs) to use this newly created socks tunnel. Since the current version of SSH supports both SOCKS4 and SOCKS5, you can use either of them.

* For Firefox: ''Edit → Preferences → Advanced → Network → Connection → Setting'':
: Check the ''Manual proxy configuration'' radio button, and enter {{ic|localhost}} in the ''SOCKS host'' text field, and then enter your port number in the next text field ({{ic|4711}} in the example above).

Firefox does not automatically make DNS requests through the socks tunnel. This potential privacy concern can be mitigated by the following steps:

# Type about:config into the Firefox location bar.
# Search for network.proxy.socks_remote_dns
# Set the value to true.
# Restart the browser.

* For Chromium: You can set the SOCKS settings as environment variables or as command line options. I recommend to add one of the following functions to your {{ic|.bashrc}}:
function secure_chromium {
port=4711
export SOCKS_SERVER=localhost:$port
export SOCKS_VERSION=5
chromium &
exit
}
OR
function secure_chromium {
port=4711
chromium --proxy-server="socks://localhost:$port" &
exit
}

Now open a terminal and just do:
$ secure_chromium

Enjoy your secure tunnel!

=== X11 フォワーディング ===

X11 フォワーディングはリモートシステムで X11 プログラムを動作させて、グラフィカルインターフェイスをローカルのクライアントマシンで表示させるメカニズムです。X11 フォワーディングではリモートホストに X11 システムを完全にインストールさせる必要はなく、''xauth'' をインストールするだけで十分です。''xauth'' は、、X11 セッションの認証を行うために必要なサーバーとクライアントによって使用される {{ic|Xauthority}} の設定を管理するユーティリティです ([http://xmodulo.com/2012/11/how-to-enable-x11-forwarding-using-ssh.html ソース])。

{{Warning|X11 forwarding has important security implications which should be at least acknowledged by reading relevant sections of {{ic|ssh}}, {{ic|sshd_config}} and {{ic|ssh_config}} manual pages. See also [https://security.stackexchange.com/questions/14815/security-concerns-with-x11-forwarding a short writeup]}}

==== セットアップ ====

リモート側:

*[[公式リポジトリ]]から {{Pkg|xorg-xauth}} と {{Pkg|xorg-xhost}} を[[インストール]]
*{{ic|/etc/ssh/ssh'''d'''_config}} 内:
**{{ic|AllowTcpForwarding}} と {{ic|X11UseLocalhost}} オプションを ''yes'' に設定し、{{ic|X11DisplayOffset}} を ''10'' に設定 (何も変更を加えてなければこの値がデフォルトになっています、{{ic|man sshd_config}} を参照)
**{{ic|X11Forwarding}} を ''yes'' に設定
* [[#sshd デーモンの管理|''sshd'' デーモン]]を[[Systemd#ユニットを使う|再起動]]
* リモートシステムでも X サーバーを動作させる必要があります。

クライアント側では、接続するたびにコマンドラインで {{ic|-X}} スイッチを指定して {{ic|ForwardX11}} オプションを有効にするか、[[#クライアント|openSSH クライアントの設定ファイル]]で {{ic|ForwardX11}} を ''yes'' に設定してください。

{{Tip|You can enable the {{ic|ForwardX11Trusted}} option ({{ic|-Y}} switch on the command line) if GUI is drawing badly or you receive errors; this will prevent X11 forwardings from being subjected to the [http://www.x.org/wiki/Development/Documentation/Security/ X11 SECURITY extension] controls. Be sure you have read [[#X11 フォワーディング|the warning]] at the beginning of this section if you do so.}}

==== 使用方法 ====

通常通り[[#サーバーに接続する|リモートマシンにログイン]]します、クライアント側の設定ファイルで ''ForwardX11'' を有効にしていない場合は {{ic|-X}} スイッチを指定します:
$ ssh -X ''user@host''
グラフィカルなアプリケーションを実行しようとするとエラーが表示される場合、代わりに ''ForwardX11Trusted'' を試してみて下さい:
$ ssh -Y ''user@host''
リモートサーバーで X プログラムが起動できるようになったら、出力がローカルセッションに転送されます:
$ xclock

"Cannot open display" エラーが表示される場合、root 以外のユーザーで以下のコマンドを実行してみてください:
$ xhost +

The above command will allow anybody to forward X11 applications. To restrict forwarding to a particular host type:
$ xhost +hostname

where hostname is the name of the particular host you want to forward to. See {{ic|man xhost}} for more details.

Be careful with some applications as they check for a running instance on the local machine. [[Firefox]] is an example: either close the running Firefox instance or use the following start parameter to start a remote instance on the local machine:
$ firefox -no-remote

If you get "X11 forwarding request failed on channel 0" when you connect (and the server {{ic|/var/log/errors.log}} shows "Failed to allocate internet-domain X11 display socket"), make sure package {{Pkg|xorg-xauth}} is installed. If its installation is not working, try to either:

* enable the {{ic|AddressFamily any}} option in {{ic|ssh'''d'''_config}} on the ''server'', or
* set the {{ic|AddressFamily}} option in {{ic|ssh'''d'''_config}} on the ''server'' to inet.
Setting it to inet may fix problems with Ubuntu clients on IPv4.

For running X applications as other user on the SSH server you need to {{Ic|xauth add}} the authentication line taken from {{Ic|xauth list}} of the SSH logged in user.

=== 他のポートのフォワーディング ===
In addition to SSH's built-in support for X11, it can also be used to securely tunnel any TCP connection, by use of local forwarding or remote forwarding.

Local forwarding opens a port on the local machine, connections to which will be forwarded to the remote host and from there on to a given destination. Very often, the forwarding destination will be the same as the remote host, thus providing a secure shell and, e.g. a secure VNC connection, to the same machine. Local forwarding is accomplished by means of the {{Ic|-L}} switch and it's accompanying forwarding specification in the form of {{Ic|<tunnel port>:<destination address>:<destination port>}}.

Thus:

$ ssh -L 1000:mail.google.com:25 192.168.0.100

will use SSH to login to and open a shell on 192.168.0.100, and will also create a tunnel from the local machine's TCP port 1000 to mail.google.com on port 25. Once established, connections to localhost:1000 will connect to the Gmail SMTP port. To Google, it will appear that any such connection (though not necessarily the data conveyed over the connection) originated from 192.168.0.100, and such data will be secure as between the local machine and 192.168.0.100, but not between 192.168.0.100, unless other measures are taken.

Similarly:

$ ssh -L 2000:192.168.0.100:6001 192.168.0.100

will allow connections to localhost:2000 which will be transparently sent to the remote host on port 6001. The preceding example is useful for VNC connections using the vncserver utility--part of the tightvnc package--which, though very useful, is explicit about its lack of security.

Remote forwarding allows the remote host to connect to an arbitrary host via the SSH tunnel and the local machine, providing a functional reversal of local forwarding, and is useful for situations where, e.g., the remote host has limited connectivity due to firewalling. It is enabled with the {{Ic|-R}} switch and a forwarding specification in the form of {{Ic|<tunnel port>:<destination address>:<destination port>}}.

Thus:

$ ssh -R 3000:irc.freenode.net:6667 192.168.0.200

will bring up a shell on 192.168.0.200, and connections from 192.168.0.200 to itself on port 3000 (remotely speaking, localhost:3000) will be sent over the tunnel to the local machine and then on to irc.freenode.net on port 6667, thus, in this example, allowing the use of IRC programs on the remote host to be used, even if port 6667 would normally be blocked to it.

Both local and remote forwarding can be used to provide a secure "gateway," allowing other computers to take advantage of an SSH tunnel, without actually running SSH or the SSH daemon by providing a bind-address for the start of the tunnel as part of the forwarding specification, e.g. {{Ic|<tunnel address>:<tunnel port>:<destination address>:<destination port>}}. The {{Ic|<tunnel address>}} can be any address on the machine at the start of the tunnel, {{Ic|localhost}}, {{Ic|*}} (or blank), which, respectively, allow connections via the given address, via the loopback interface, or via any interface. By default, forwarding is limited to connections from the machine at the "beginning" of the tunnel, i.e. the {{Ic|<tunnel address>}} is set to {{Ic|localhost}}. Local forwarding requires no additional configuration, however remote forwarding is limited by the remote server's SSH daemon configuration. See the {{Ic|GatewayPorts}} option in {{Ic|sshd_config(5)}} for more information.

--[[利用者:Aosho235|Aosho235]] ([[利用者・トーク:Aosho235|トーク]]) 2015年12月27日 (日) 12:27 (JST)=== マルチプレクス ===

SSH デーモンは通常はポート 22 番をリッスンします。しかし、公共のインターネット・ホットスポットでは HTTP/HTTPS のポート（80 と 443）以外のトラフィックをブロックしていることが一般的です。そのため SSH 接続がブロックされてしまいます。すぐできる解決策として、許可されているポートで sshd を起動するという方法があります：

{{hc|/etc/ssh/sshd_config|
Port 22
Port 443
}}

しかしポート 443 番は HTTPS を提供する Web サーバにすでに使われていることが多いです。その場合は {{Pkg|sslh}} のようなマルチプレクサを使います。これは指定ポートをリッスンし、そこに来るパケットを複数のサービスに賢く振り分けることができます。

=== SSH の高速化 ===

同一のホストのセッションは全て単一の接続を使うようにすることで、後のログインを劇的に高速化することができます。{{ic|/etc/ssh/ssh_config}} や {{ic|$HOME/.ssh/config}} の適当なホストの下に以下の行を追加してください:
Host examplehost.com
ControlMaster auto
ControlPersist yes
ControlPath ~/.ssh/socket-%r@%h:%p

上記のオプションの詳しい説明は {{ic|ssh_config(5)}} マニュアルページを見て下さい。

速度を向上させる別のオプションとして圧縮を有効化する {{ic|-C}} フラグがあります。{{ic|/etc/ssh/ssh_config}} の適切なホストの下に次の行を追加することで永続的に設定することができます:
Compression yes
{{Warning|{{ic|man ssh}} states that "''Compression is desirable on modem lines and other slow connections, but will only slow down things on fast networks''". This tip might be counterproductive depending on your network configuration.}}

Login time can be shortened by using the {{ic|-4}} flag, which bypasses IPv6 lookup. This can be made permanent by adding this line under the proper host in {{ic|/etc/ssh/ssh_config}}:
AddressFamily inet

Changing the ciphers used by SSH to less cpu-demanding ones can improve speed. In this respect, the best choices are arcfour and blowfish-cbc.

{{Warning|Please do not do this unless you know what you are doing; arcfour has a number of known weaknesses.}}

To use alternative ciphers, run SSH with the {{ic|-c}} flag:
$ ssh -c arcfour,blowfish-cbc user@server-address

To use them permanently, add this line under the proper host in {{ic|/etc/ssh/ssh_config}}:
Ciphers arcfour,blowfish-cbc

=== SSHFS でリモートファイルシステムをマウントする ===
sshfs を使って (SSH でアクセスした) リモートのファイルシステムをローカルフォルダにマウントする方法は [[Sshfs]] の記事を参照してください。マウントしたファイルは様々なツールであらゆる操作することができます (コピー、名前の変更、vim で編集など)。基本的に shfs よりも sshfs を使用することを推奨します。sshfs は shfs の新しいバージョンであり、元の shfs は2004年から更新されていません。

=== Keep alive ===
一定時間操作がないと ssh セッションは自動的にログアウトします。接続を維持するには以下をクライアントの {{ic|~/.ssh/config}} か {{ic|/etc/ssh/ssh_config}} に追加してください:

ServerAliveInterval 120

これで120秒ごとに "keep alive" シグナルがサーバーに送信されます。

反対に、外部からの接続を維持するには、次をサーバーの {{ic|/etc/ssh/sshd_config}} に設定します (数字は0より大きく):

ClientAliveInterval 120

=== ssh の設定に接続データを保存する ===
Whenever you want to connect to a ssh server, you usually have to type at least its address and the username. To save that typing work for servers you regularly connect to, you can use the personal {{ic|~/.ssh/config}} or the global {{ic|/etc/ssh/ssh_config}} files as shown in the following example:

{{hc|~/.ssh/config|
Host myserver
HostName 123.123.123.123
Port 12345
User bob
IdentityFile ~/.ssh/some_key_file
Host other_server
HostName test.something.org
User alice
CheckHostIP no
Cipher blowfish
}}

Now you can simply connect to the server by using the name you specified:

$ ssh myserver

To see a complete list of the possible options, check out ssh_config's manpage on your system or the [http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config ssh_config documentation] on the official website.

=== systemd で SSH トンネルを自動的に再起動 ===

[[systemd]] を使ってブート時/ログイン時に SSH 接続を自動的に開始して、接続が失敗した時に再起動させることができます。SSH トンネルの管理に役立つツールとなります。

以下のサービスでは、[[#ssh の設定に接続データを保存する|ssh の設定]]に保存された接続設定を使って、ログイン時に SSH トンネルを開始します。接続が何らかの理由で閉じられた場合、10秒待機してから再起動します:

{{hc|~/.config/systemd/user/tunnel.service|<nowiki>
[Unit]
Description=SSH tunnel to myserver

[Service]
Type=simple
Restart=always
RestartSec=10
ExecStart=/usr/bin/ssh -F %h/.ssh/config -N myserver
</nowiki>}}

上記のユーザーサービスを[[有効化]]して[[起動]]してください。トンネルがタイムアウトするのを防ぐ方法は [[#Keep alive]] を見て下さい。起動時にトンネルを開始したい場合、ユニットをシステムサービスとして書きなおして下さい。

=== Autossh - SSH セッションとトンネルの自動再起動 ===
ネットワークの状態が悪かったりしてクライアントが切断してしまい、セッションやトンネルの接続を維持できない場合、[http://www.harding.motd.ca/autossh/ Autossh] を使って自動的にセッションとトンネルを再起動できます。Autossh は[[公式リポジトリ]]からインストールできます。

使用例:
$ autossh -M 0 -o "ServerAliveInterval 45" -o "ServerAliveCountMax 2" username@example.com
[[sshfs]] を組み合わせる:
$ sshfs -o reconnect,compression=yes,transform_symlinks,ServerAliveInterval=45,ServerAliveCountMax=2,ssh_command='autossh -M 0' username@example.com: /mnt/example
[[プロキシ設定]]で設定した SOCKS プロクシを使って接続:
$ autossh -M 0 -o "ServerAliveInterval 45" -o "ServerAliveCountMax 2" -NCD 8080 username@example.com
With the {{ic|-f}} option autossh can be made to run as a background process. Running it this way however means the passprase cannot be entered interactively.

The session will end once you type {{ic|exit}} in the session, or the autossh process receives a SIGTERM, SIGINT of SIGKILL signal.

==== systemd を使ってブート時に自動的に Autossh を起動する ====
If you want to automatically start autossh, it is now easy to get systemd to manage this for you. For example, you could create a systemd unit file like this:

[Unit]
Description=AutoSSH service for port 2222
After=network.target

[Service]
Environment="AUTOSSH_GATETIME=0"
ExecStart=/usr/bin/autossh -M 0 -NL 2222:localhost:2222 -o TCPKeepAlive=yes foo@bar.com

[Install]
WantedBy=multi-user.target

Here {{ic|1=AUTOSSH_GATETIME=0}} is an environment variable specifying how long ssh must be up before autossh considers it a successful connection, setting it to 0 autossh also ignores the first run failure of ssh. This may be useful when running autossh at boot. Other environment variables are available on the manpage. Of course, you can make this unit more complex if necessary (see the systemd documentation for details), and obviously you can use your own options for autossh, but note that the {{ic|-f}} implying {{ic|1=AUTOSSH_GATETIME=0}} does not work with systemd.

Then place this in, for example, /etc/systemd/system/autossh.service. Afterwards, you can then enable your autossh tunnels with, e.g.:

$ systemctl start autossh
(or whatever you called the service file)

If this works OK for you, you can make this permanent by running

$ systemctl enable autossh

That way autossh will start automatically at boot.

It is also easy to maintain several autossh processes, to keep several tunnels alive. Just create multiple .service files with different names.

== ソケットアクティベーションで SSH ポート番号を変更する (sshd.socket) ==

次の内容で {{ic|/etc/systemd/system/sshd.socket.d/port.conf}} ファイルを作成:

[Socket]
# Disable default port
ListenStream=
# Set new port
ListenStream=12345

リロードすれば systemd は自動的に新しいポートを開きます:

systemctl daemon-reload

== トラブルシューティング ==
=== チェックリスト ===

以下は最初に行うべきトラブルシューティングのチェックリストです。何かする前に以下の問題をチェックすることを推奨します。

==== SSH の設定を確認 ====

1. クライアントとサーバーの {{ic|~/.ssh}} フォルダにユーザーがアクセスできるようにする:

$ chmod 700 /home/USER/.ssh
$ chmod 600 /home/USER/.ssh/*

2. ライアントとサーバーの {{ic|~/.ssh}} フォルダにある全てのファイルの所有者がユーザーになっていることを確認:

$ chown -R USER: /home/USER/.ssh

3. クライアントの公開鍵を確認。サーバーの {{ic|authorized_keys}} やユーザーの {{ic|~/.ssh/}} ファイルにある {{ic|id_rsa.pub}} ファイルなど。

4. {{ic|/etc/ssh/sshd_config}} の {{ic|AllowUsers or AllowGroups}} オプションで SSH のアクセスが制限されていないか確認。

5. ユーザーにパスワードが設定されていることを確認。新しいユーザーを追加したあとパスワードが設定されていなかったり一度もログインされてなかったりすることがあります。

==== SSH を再起動 + ユーザーの再ログイン ====

6. {{ic|sshd}} (サーバー) を[[再起動]]。

7. クライアントとホスト、両方でユーザー (シェル) の再ログイン。

==== 期限切れのキーを削除 (任意) ====

8. Delete old/invalid key rows in server's {{ic|~/.ssh/authorized_keys}} file.

9. Delete old/invalid private and public keys within the clients {{ic|~/.ssh}} folder.

==== 推奨事項 ====

10. Keep as few keys as possible in user's {{ic|~/.ssh/authorized_keys}} file on the server.

11. Secure server's {{ic|/home/USER/.ssh/authorized_keys}} file against manipulation:

$ chmod 400 /home/USER/.ssh/authorized_keys

=== 電源オフ/再起動した後も SSH 接続が残ってしまう ===
systemd が sshd の前に network を停止してしまうと電源を切った後も SSH 接続が繋がったままになります。この問題を修正するには、{{ic|After}} ステートメントを修正してください:
{{hc|/usr/lib/systemd/system/systemd-user-sessions.service|2=
#After=remote-fs.target
After=network.target}}

=== 接続が拒否されるまたはタイムアウトする ===

==== ルーターがポートフォワーディングをしていないか？ ====

SKIP THIS STEP IF YOU ARE NOT BEHIND A NAT MODEM/ROUTER (eg, a VPS or otherwise publicly addressed host). Most home and small businesses will have a NAT modem/router.

The first thing is to make sure that your router knows to forward any incoming ssh connection to your machine. Your external IP is given to you by your ISP, and it is associated with any requests coming out of your router. So your router needs to know that any incoming ssh connection to your external IP needs to be forwarded to your machine running sshd.

Find your internal network address.

ip a

Find your interface device and look for the inet field. Then access your router's configuration web interface, using your router's IP (find this on the web). Tell your router to forward it to your inet IP. Go to [http://portforward.com/] for more instructions on how to do so for your particular router.

==== SSH が動作しているか？ ====
$ ss -tnlp

上記のコマンドで SSH ポートが開いていると表示されない場合、SSH は動作していません。{{ic|/var/log/messages}} にエラーがないか確認してください。

==== 接続をブロックするようなファイアウォールのルールが存在しないか？ ====

[[iptables]] によってポート {{ic|22}} の接続がブロックされている可能性があります。次のコマンドで確認してください:
{{bc|# iptables -nvL}}
{{ic|INPUT}} チェインのパケットを拒否するようなルールがないか見て下さい。そして、必要であれば、次のようなコマンドでポートのブロックを解除します:
{{bc|
# iptables -I INPUT 1 -p tcp --dport 22 -j ACCEPT
}}
ファイアウォールの設定に関する詳細は[[ファイアウォール]]を見て下さい。

==== Is the traffic even getting to your computer? ====
Start a traffic dump on the computer you're having problems with:

# tcpdump -lnn -i any port ssh and tcp-syn

This should show some basic information, then wait for any matching traffic to happen before displaying it. Try your connection now. If you do not see any output when you attempt to connect, then something outside of your computer is blocking the traffic (e. g., hardware firewall, NAT router etc.).

==== ISP またはサードパーティによってデフォルトのポートがブロックされてないか？ ====
{{Note|このステップは次のことを確認した後で実行してください。ファイアーウォールを何も起動していないこと。DMZ へのルータを正しく設定している、またはコンピュータへポートを転送していること。それでもまだ動かない場合。ここで診断のステップと解決法が見つかるでしょう。}}

ときどき ISP（インターネット・サービス・プロバイダ）が SSH のデフォルトポート（22番）をブロックしている場合があります。この場合はあなたが何をしても（ポートを開ける、スタックを強化する、フラッドアタックを防御する、など）無意味になります。これを確認するためには、全てのインターフェイス（0.0.0.0）をリッスンする sshd を立ち上げ、リモートから接続してみます。

このようなエラーメッセージが出る場合：
ssh: connect to host www.inet.hr port 22: Connection refused

これはそのポートが ISP にブロックされていないが、サーバのそのポートで SSH が起動していないことを意味します
（[[wikipedia:Security_through_obscurity|security through obscurity]] を参照）。

しかし、次のようなエラーメッセージが出る場合：
ssh: connect to host 111.222.333.444 port 22: Operation timed out

これは何かがポート 22 での TCP トラフィックを拒否（reject）していることを意味します。そのポートはあなたのサーバ上のファイアーウォールか第三者（ISP など）のどちらかによってステルスされています。自分のサーバでファイアーウォールが起動していないことが確かなら、またルータやスイッチの中でグレムリンが育っていないことが確かなら、ISP がトラフィックをブロックしています。

ダブルチェックのために、サーバ上で Wireshark を起動を起動してポート 22 でのトラフィックをリッスンしてみましょう。Wireshark はレイヤ 2 のパケット・スニファリング・ユーティリティであり、TCP/UDP はレイヤ 3 以上なので（[[wikipedia:Internet protocol suite|IP Network stack]]を参照）、もしリモートから接続するときに何も受け取っていなければ、十中八九、第三者がブロックしています。

===== 問題診断 =====
{{Pkg|tcpdump}} または {{Pkg|wireshark-cli}} パッケージの Wireshark を[[インストール]]してください。

tcpdump の場合:
# tcpdump -ni ''interface'' "port 22"

Wireshark の場合:
$ tshark -f "tcp port 22" -i ''interface''

{{ic|''interface''}} は WAN 接続に使っているネットワークインターフェイスに置き換えてください (確認したいときは {{ic|ip a}} を実行)。リモートで接続を試行してもパケットが全く受け取れない場合、ISP によってポート 22 のトラフィックがブロックされている可能性があります。

===== 解決方法 =====
解決方法は、単に ISP がブロックしていない他のポートを使うことです。{{ic|/etc/ssh/sshd_config}} を編集して他のポートを使うようにしましょう。例えば次を追加します：

Port 22
Port 1234

そしてこのファイル中の他の Port 設定をコメントアウトします。「Port 22」をコメントにして「Port 1234」を追加するだけでは、sshd がポート 1234 しかリッスンしなくなるので、この問題は解決しません。この 2 行どちらも使用し、sshd が両方のポートをリッスンするようにします。

あとは {{ic|systemctl restart sshd.service}} で sshd を起動するだけです。そして ssh クライアントでも同じポートに変更します。There are numerous solutions to that problem, but let us cover two of them here.

==== Read from socket failed: connection reset by peer ====
最近の openssh のバージョンでは、楕円曲線暗号関連のバグのせいで、上記のエラーメッセージで接続が失敗することがあります。その場合 {{ic|~/.ssh/config}} に次の行を追加してください:

HostKeyAlgorithms ssh-rsa-cert-v01@openssh.com,ssh-dss-cert-v01@openssh.com,ssh-rsa-cert-v00@openssh.com,ssh-dss-cert-v00@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-rsa,ssh-dss

openssh 5.9 では、上記の修正方法は働きません。代わりに、{{ic|~/.ssh/config}} に以下の行を記述してください:

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc
MACs hmac-md5,hmac-sha1,hmac-ripemd160

openssh バグフォーラムの [http://www.gossamer-threads.com/lists/openssh/dev/51339 議論] も参照。

=== "[your shell]: No such file or directory" / ssh_exchange_identification problem ===
One possible cause for this is the need of certain SSH clients to find an absolute path (one returned by {{Ic|whereis -b [your shell]}}, for instance) in {{Ic|$SHELL}}, even if the shell's binary is located in one of the {{Ic|$PATH}} entries.

==="Terminal unknown" や "Error opening terminal" エラーメッセージ===
ssh でログイン時に "Terminal unknown" のようなエラーが表示されることがあります。nano などの ncurses アプリケーションを実行すると "Error opening terminal" というメッセージが表示されます。この問題を解決する方法は2つあります。{{ic|$TERM}} 変数を使って簡単に修正する方法と terminfo ファイルを使って根本的に解決する方法です。

====$TERM 変数を設定する解決策====
リモートサーバーに接続した後に以下のコマンドを使って {{ic|$TERM}} 変数を "xterm" に設定してください:

$ TERM=xterm

この方法はあくまで次善策であり、たまにしか接続しない ssh サーバーで使うようにしてください。良くない副作用があるからです。また、接続するたびにコマンドを実行する必要があります。もしくは {{ic|~.bashrc}} で設定してください。

====terminfo ファイルを使う解決策====
A profound solution is transferring the terminfo file of the terminal on your client computer to the ssh server. In this example we cover how to setup the terminfo file for the "rxvt-unicode-256color" terminal.
Create the directory containing the terminfo files on the ssh server, while you are logged in to the server issue this command:

$ mkdir -p ~/.terminfo/r/

Now copy the terminfo file of your terminal to the new directory. Replace {{ic|rxvt-unicode-256color}} with your client's terminal in the following command and {{ic|ssh-server}} with the relevant user and server adress.

$ scp /usr/share/terminfo/r/''rxvt-unicode-256color'' ssh-server:~/.terminfo/r/

After logging in and out from the ssh server the problem should be fixed.

=== Connection closed by x.x.x.x [preauth] ===
sshd のログでこのエラーが確認できる場合、HostKey が正しく設定されているか確認してください:
HostKey /etc/ssh/ssh_host_rsa_key

=== OpenSSH 7.0 によって id_dsa が拒否される ===

OpenSSH 7.0 では ssh-dss が無効になっており、http://www.openssh.com/legacy.html には id_dsa 鍵が使われている場合にサーバーにアクセスする方法が書かれていません:

PubkeyAcceptedKeyTypes +ssh-dss

While this can be added a per host basis or with -o, to make sure "ProxyCommand ssh" still works, add it to ssh_config.

=== no matching key exchange method found by OpenSSH 7.0 ===

OpenSSH 7.0 also deprecated the key algorithm diffie-hellman-group1-sha1, as we could see in http://www.openssh.com/legacy.html.

If the client and server are unable to agree on a mutual set of parameters then the connection will fail. OpenSSH (7.0 and greater) will produce an error message like this:

Unable to negotiate with 127.0.0.1: no matching key exchange method found.
Their offer: diffie-hellman-group1-sha1

In this case, the client and server were unable to agree on the key exchange algorithm. The server offered only a single method diffie-hellman-group1-sha1. OpenSSH supports this method, but does not enable it by default because is weak and within theoretical range of the so-called Logjam attack.

The best resolution for these failures is to upgrade the software at the other end. OpenSSH only disables algorithms that we actively recommend against using because they are known to be weak. In some cases, this might not be immediately possible so you may need to temporarily re-enable the weak algorithms to retain access.

For the case of the above error message, OpenSSH can be configured to enable the diffie-hellman-group1-sha1 key exchange algorithm (or any other that is disabled by default) using the KexAlgorithm option - either on the command-line:

ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 user@127.0.0.1

or in the ~/.ssh/config file:

Host somehost.example.org
KexAlgorithms +diffie-hellman-group1-sha1

== 参照 ==
*[http://www.la-samhna.de/library/brutessh.html Defending against brute force ssh attacks]
*IBM developerWorks の [http://www.ibm.com/developerworks/jp/linux/library/l-keyc/ OpenSSH キー（鍵）の管理: 第 1 回] と [http://www.ibm.com/developerworks/jp/linux/library/l-keyc2/ 第 2 回]
* [https://stribika.github.io/2015/01/04/secure-secure-shell.html Secure Secure Shell]

OpenSSH

2015-12-27T03:16:03Z

Aosho235: 意味がわからない文を原文に戻した

[[Category:Secure Shell]]
[[ar:Secure Shell]]
[[de:SSH]]
[[en:Secure Shell]]
[[es:Secure Shell]]
[[fr:ssh]]
[[it:Secure Shell]]
[[ko:Secure Shell]]
[[pl:Secure Shell]]
[[pt:Secure Shell]]
[[ru:Secure Shell]]
[[sr:Secure Shell]]
[[zh-CN:Secure Shell]]
{{Related articles start}}
{{Related|SSH 鍵}}
{{Related|Pam abl}}
{{Related|fail2ban}}
{{Related|sshguard}}
{{Related|Sshfs}}
{{Related|syslog-ng}}
{{Related|SFTP chroot}}
{{Related articles end}}
Secure Shell (SSH) は暗号技術を利用して、安全にリモートコンピュータと通信するためのネットワークプロトコルです。暗号によってデータの機密性と完全性が保証されます。SSH は公開鍵暗号を使ってリモートコンピュータを認証し、リモートコンピュータは必要に応じてユーザーを認証します。

基本的に SSH はリモートマシンにログインしてコマンドを実行するために使われますが、トンネリングや TCP ポートや X11 接続の任意のフォワーディングをサポートしており、SFTP や SCP プロトコルを使うことでファイル転送をすることも可能です。

デフォルトでは、SSH サーバーは標準の TCP 22番ポートを使います。通常は SSH クライアントプロトコルを使って ''sshd'' デーモンの接続を確立してリモート接続を承認します。Mac OS X, GNU/Linux, Solaris, OpenVMS など近代的なオペレーティングシステムのほとんどでサーバーとクライアントの両方が備わってします。複雑なもの・完全なものまで様々なレベルのバージョンがプロプライエタリ・フリーウェア・オープンソースを問わずに存在します。

(ソース: [[Wikipedia:ja:Secure Shell]])

== OpenSSH ==
OpenSSH (OpenBSD Secure Shell) は ssh プロトコルを使ってコンピューターネットワークを介して暗号化通信セッションを提供するコンピュータープログラムのセットです。SSH Communications Security によるプロプライエタリの Secure Shell ソフトウェアスイートに代わるオープンのプログラムとして作成されました。OpenSSH は Theo de Raadt に率いられている OpenBSD プロジェクトの一環として開発されています。

同じような名前の OpenSSL と OpenSSH が混同されることがときどきありますが、プロジェクトの目的・開発チームは異なります。

=== OpenSSH のインストール ===
[[公式リポジトリ]]から {{Pkg|openssh}} を[[pacman|インストール]]してください。

=== SSH の設定 ===
====クライアント====
SSH クライアントの設定ファイルは {{ic|/etc/ssh/ssh_config}} もしくは {{ic|~/.ssh/config}} です。

{{ic|Protocol 2}} を明示的に設定する必要はありません。デフォルトの設定ファイルではコメントアウトされています。つまり明示的に有効にされない限り {{ic|Protocol 1}} は使われません。 (ソース: http://www.openssh.org/txt/release-5.4)

====デーモン====
SSH デーモンの設定ファイルは {{ic|/etc/ssh/ssh'''d'''_config}} です。

特定のユーザーにだけアクセスを許可するには次の行を追加してください:
AllowUsers user1 user2

特定のグループにだけアクセスを許可するには:
AllowGroups group1 group2

SSH による root ログインを無効にするには、PermitRootLogin 行を次のように変更してください:
PermitRootLogin no

{{Note|1=バージョン 7.0p1 からは {{ic|PermitRootLogin prohibit-password}} がデフォルトになっています。{{ic|man sshd_config}} を参照。}}

ウェルカムメッセージを追加するには {{ic|/etc/issue}} ファイルを編集して Banner 行を次のように変更してください:
Banner /etc/issue

ホスト鍵は sshd の systemd サービスによって自動的に生成されます。sshd に特定の鍵を使用させたい場合、手動で設定します:
HostKey /etc/ssh/ssh_host_rsa_key

サーバーに WAN からアクセスできる場合、デフォルトのポートである 22 から別のランダムなポートに変更することが推奨されています:
Port 39901

{{Note|OpenSSH では設定ファイルに ''Port x'' 行を複数記述することで複数のポートを使うことができます。}}

パスワードによるログインを使わないようにすればセキュリティは大幅に向上します。詳しくは [[SSH 鍵#パスワードログインの無効化]] を見て下さい。

=== sshd デーモンの管理 ===
次のコマンドで sshd デーモンを起動することができます:
# systemctl start sshd.service

次のコマンドで sshd デーモンを起動時に有効にすることができます:
# systemctl enable sshd.service

詳しくは [[systemd#ユニットを使う]] を見て下さい。

{{Warning|Systemd は非同期にプロセスを実行します。SSH デーモンを特定の IP アドレス {{ic|ListenAddress 192.168.1.100}} に結びつけている場合、デフォルトの sshd.service ユニットファイルはネットワークインターフェイスが有効にされることに依存していないため、ブート中にロードが失敗する可能性があります。IP アドレスをバインドする時は、カスタムした sshd.service ユニットファイルに {{ic|1=After=network.target}} を追加してください。[[systemd#ユニットファイルの編集]] を参照。}}

また SSH デーモンソケットを有効にすることで初めて接続があったときにデーモンが起動するようにすることもできます:
# systemctl start sshd.socket
# systemctl enable sshd.socket
デフォルトの22番以外のポートを使う場合、ユニットファイルを[[systemd#ユニットファイルの編集|編集]]する必要があります:
{{hc|# systemctl edit sshd.socket|<nowiki>
[Socket]
ListenStream=
ListenStream=12345
</nowiki>}}

{{Warning|{{ic|sshd.socket}} を使用すると {{ic|ListenAddress}} の設定が打ち消されて、どのアドレスからでも接続できるようになってしまいます。{{ic|ListenAddress}} の設定を適用するには、{{ic|ListenStream}} でポートと IP を指定する必要があります (例: {{ic|1=ListenStream=192.168.1.100:22}})。また、{{ic|[Socket]}} の下に {{ic|1=FreeBind=true}} を追加するようにしてください。そうしないと IP アドレスの設定が {{ic|ListenAddress}} の設定と同じように無効になってしまいます: ネットワークが立ち上がっていない場合にソケットの起動が失敗します。}}

{{Tip|ソケットアクティベーションを使う場合、{{ic|sshd.socket}} でもデーモンの標準の {{ic|sshd.service}} でもログの接続試行を監視することはできません。ただし {{ic|# journalctl /usr/bin/sshd}} を実行することで監視できます。}}

=== サーバーに接続する ===
サーバーに接続するには、次を実行してください:
$ ssh -p port user@server-address

=== SSH の保護 ===
管理業務のために SSH によるリモートログインを許可することは良いことですが、サーバーのセキュリティに脅威を及ぼすことにもなりえます。総当り攻撃の標的になりやすいので、SSH のアクセスは制限して、第三者がサーバーにアクセスできないようにする必要があります。
* わかりにくいアカウント名やパスワードを使う
* 信頼できる国からの SSH 接続だけを許可する
* [[fail2ban]] や [[sshguard]] をつかってブルートフォース攻撃を監視し、総当りを起こっている IP を閉め出す

==== ブルートフォースアタックからの保護 ====
ブルートフォースは単純な攻撃方法です: ランダムなユーザー名とパスワードの組み合わせをとにかく沢山作ってウェブページや SSH などのサーバーログインプロンプトにログインを絶えず試行します。ブルートフォース攻撃からは [[fail2ban]] や [[sshguard]] などの自動スクリプトを使うことで攻撃者をブロックすることで身を守ることができます。

もしくは、公開鍵認証を使うことでブルートフォース攻撃を出来なくすることもできます。{{ic|sshd_config}} に次の設定を追加:

PasswordAuthentication no

上の設定を適用する前に、SSH アクセスが必要な全てのアカウントで {{ic|authorized_keys}} ファイルに公開鍵認証の設定をするようにしてください。詳しくは [[SSH 鍵#リモートサーバーに公開鍵をコピー]] を参照。

==== 2段階認証 ====

SSH 鍵のペアによる認証を使用していてパスワードによろうログインを無効化している場合に、2段階認証を使いたいときは [[Google Authenticator]] や [[SSH 鍵#2段階認証と公開鍵]] を見て下さい。

==== root ログインを制限する ====
一般的に、SSH で無制限に root ログインを許可することは推奨されません。セキュリティの向上のために、SSH での root ログインを制限する方法は2つ存在します。

===== root ログインを拒否する =====

Sudo を使うことで、root アカウントの認証を行うことなく、必要に応じて root 権限を選択的に付与することができます。このため SSH による root ログインを拒否して、攻撃者にパスワードに加えて (root でない) ユーザー名も推測させる必要を生じさせることで、ブルートフォース攻撃を困難にすることが可能です。

{{ic|/etc/ssh/sshd_config}} の "Authentication" セクションを編集することで SSH からの root ログインを拒否するように設定できます。{{ic|#PermitRootLogin yes}} を {{ic|no}} に変更して行をアンコメントしてください:

{{hc|/etc/ssh/sshd_config|
PermitRootLogin no
...
}}

そして、SSH デーモンを[[再起動]]してください。

これで、SSH を使って root でログインすることはできなくなります。ただし、通常ユーザーでログインしてから [[su]] や [[sudo]] を使ってシステム管理を行うことは依然として可能です。

===== root ログインを限定する =====
自動的な作業の中にも、リモートによるフルシステムバックアップなど、root 権限を必要とするものがあります。セキュアな方法で root を許可したい場合、SSH による root ログインを無効化する代わりに、特定のコマンドだけ root ログインを許可することができます。{{ic|~root/.ssh/authorized_keys}} を編集して、以下のように特定のキーの前にコマンドを記述します:

command="/usr/lib/rsync/rrsync -ro /" ssh-rsa …

This will allow any login with this specific key only to execute the command specified between the quotes.

The increased attack surface created by exposing the root user name at login can be compensated by adding the following to {{ic|sshd_config}}:

PermitRootLogin forced-commands-only

This setting will not only restrict the commands which root may execute via SSH, but it will also disable the use of passwords, forcing use of public key authentication for the root account.

A slightly less restrictive alternative will allow any command for root, but makes brute force attacks infeasible by enforcing public key authentication. For this option, set:

PermitRootLogin without-password

== 他の SSH クライアントとサーバー ==
OpenSSH の他にも、多数の SSH [[Wikipedia:Comparison of SSH clients|クライアント]] と[[Wikipedia:Comparison of SSH servers|サーバー]]が存在します。

=== Dropbear ===
[[Wikipedia:Dropbear (software)|Dropbear]] は SSH-2 クライアント・サーバーです。{{Pkg|dropbear}} は[[公式リポジトリ]]から利用可能です。

コマンドラインの ssh クライアントは dbclient という名前が付けられています。

=== Mosh: Mobile Shell ===
Mosh の [http://mosh.mit.edu/ ウェブサイト] より:

ローミングが可能で、断続的な接続もサポートしているリモート端末アプリケーションです。ユーザーのキーストロークのローカルエコーと行編集を提供します。Mosh は SSH の代替です。SSH よりも強固でレスポンスが早く、特に Wi-Fi や携帯端末からの接続、長距離通信など通信速度が遅い場合に役に立ちます。

[[公式リポジトリ]]から {{Pkg|mosh}} を[[pacman|インストール]]するか [[Arch User Repository|AUR]] にある最新版 {{AUR|mosh-git}} を使って下さい。

Mosh にはドキュメントに記載されていないコマンドラインオプション {{ic|1=--predict=experimental}} が存在し、よりアグレッシブにローカルのキーストロークのエコーを生成します。キーボード入力が遅延なく確認できるのに興味があるのであればこの prediction モードを使ってみて下さい。

== Tips and tricks ==

=== 暗号化 SOCKS トンネル ===
This is highly useful for laptop users connected to various unsafe wireless connections. The only thing you need is an SSH server running at a somewhat secure location, like your home or at work. It might be useful to use a dynamic DNS service like [http://www.dyndns.org/ DynDNS] so you do not have to remember your IP-address.

==== 手順 1: 接続の開始 ====
You only have to execute this single command to start the connection:
$ ssh -TND 4711 ''user''@''host''
where {{Ic|''user''}} is your username at the SSH server running at the {{Ic|''host''}}. It will ask for your password, and then you are connected! The {{Ic|N}} flag disables the interactive prompt, and the {{Ic|D}} flag specifies the local port on which to listen on (you can choose any port number if you want). The {{Ic|T}} flag disables pseudo-tty allocation.

It is nice to add the verbose ({{Ic|-v}}) flag, because then you can verify that it is actually connected from that output.

==== 手順 2: ブラウザ (やその他のプログラム) の設定 ====
The above step is completely useless if you do not configure your web browser (or other programs) to use this newly created socks tunnel. Since the current version of SSH supports both SOCKS4 and SOCKS5, you can use either of them.

* For Firefox: ''Edit → Preferences → Advanced → Network → Connection → Setting'':
: Check the ''Manual proxy configuration'' radio button, and enter {{ic|localhost}} in the ''SOCKS host'' text field, and then enter your port number in the next text field ({{ic|4711}} in the example above).

Firefox does not automatically make DNS requests through the socks tunnel. This potential privacy concern can be mitigated by the following steps:

# Type about:config into the Firefox location bar.
# Search for network.proxy.socks_remote_dns
# Set the value to true.
# Restart the browser.

* For Chromium: You can set the SOCKS settings as environment variables or as command line options. I recommend to add one of the following functions to your {{ic|.bashrc}}:
function secure_chromium {
port=4711
export SOCKS_SERVER=localhost:$port
export SOCKS_VERSION=5
chromium &
exit
}
OR
function secure_chromium {
port=4711
chromium --proxy-server="socks://localhost:$port" &
exit
}

Now open a terminal and just do:
$ secure_chromium

Enjoy your secure tunnel!

=== X11 フォワーディング ===

X11 フォワーディングはリモートシステムで X11 プログラムを動作させて、グラフィカルインターフェイスをローカルのクライアントマシンで表示させるメカニズムです。X11 フォワーディングではリモートホストに X11 システムを完全にインストールさせる必要はなく、''xauth'' をインストールするだけで十分です。''xauth'' は、、X11 セッションの認証を行うために必要なサーバーとクライアントによって使用される {{ic|Xauthority}} の設定を管理するユーティリティです ([http://xmodulo.com/2012/11/how-to-enable-x11-forwarding-using-ssh.html ソース])。

{{Warning|X11 forwarding has important security implications which should be at least acknowledged by reading relevant sections of {{ic|ssh}}, {{ic|sshd_config}} and {{ic|ssh_config}} manual pages. See also [https://security.stackexchange.com/questions/14815/security-concerns-with-x11-forwarding a short writeup]}}

==== セットアップ ====

リモート側:

*[[公式リポジトリ]]から {{Pkg|xorg-xauth}} と {{Pkg|xorg-xhost}} を[[インストール]]
*{{ic|/etc/ssh/ssh'''d'''_config}} 内:
**{{ic|AllowTcpForwarding}} と {{ic|X11UseLocalhost}} オプションを ''yes'' に設定し、{{ic|X11DisplayOffset}} を ''10'' に設定 (何も変更を加えてなければこの値がデフォルトになっています、{{ic|man sshd_config}} を参照)
**{{ic|X11Forwarding}} を ''yes'' に設定
* [[#sshd デーモンの管理|''sshd'' デーモン]]を[[Systemd#ユニットを使う|再起動]]
* リモートシステムでも X サーバーを動作させる必要があります。

クライアント側では、接続するたびにコマンドラインで {{ic|-X}} スイッチを指定して {{ic|ForwardX11}} オプションを有効にするか、[[#クライアント|openSSH クライアントの設定ファイル]]で {{ic|ForwardX11}} を ''yes'' に設定してください。

{{Tip|You can enable the {{ic|ForwardX11Trusted}} option ({{ic|-Y}} switch on the command line) if GUI is drawing badly or you receive errors; this will prevent X11 forwardings from being subjected to the [http://www.x.org/wiki/Development/Documentation/Security/ X11 SECURITY extension] controls. Be sure you have read [[#X11 フォワーディング|the warning]] at the beginning of this section if you do so.}}

==== 使用方法 ====

通常通り[[#サーバーに接続する|リモートマシンにログイン]]します、クライアント側の設定ファイルで ''ForwardX11'' を有効にしていない場合は {{ic|-X}} スイッチを指定します:
$ ssh -X ''user@host''
グラフィカルなアプリケーションを実行しようとするとエラーが表示される場合、代わりに ''ForwardX11Trusted'' を試してみて下さい:
$ ssh -Y ''user@host''
リモートサーバーで X プログラムが起動できるようになったら、出力がローカルセッションに転送されます:
$ xclock

"Cannot open display" エラーが表示される場合、root 以外のユーザーで以下のコマンドを実行してみてください:
$ xhost +

The above command will allow anybody to forward X11 applications. To restrict forwarding to a particular host type:
$ xhost +hostname

where hostname is the name of the particular host you want to forward to. See {{ic|man xhost}} for more details.

Be careful with some applications as they check for a running instance on the local machine. [[Firefox]] is an example: either close the running Firefox instance or use the following start parameter to start a remote instance on the local machine:
$ firefox -no-remote

If you get "X11 forwarding request failed on channel 0" when you connect (and the server {{ic|/var/log/errors.log}} shows "Failed to allocate internet-domain X11 display socket"), make sure package {{Pkg|xorg-xauth}} is installed. If its installation is not working, try to either:

* enable the {{ic|AddressFamily any}} option in {{ic|ssh'''d'''_config}} on the ''server'', or
* set the {{ic|AddressFamily}} option in {{ic|ssh'''d'''_config}} on the ''server'' to inet.
Setting it to inet may fix problems with Ubuntu clients on IPv4.

For running X applications as other user on the SSH server you need to {{Ic|xauth add}} the authentication line taken from {{Ic|xauth list}} of the SSH logged in user.

=== 他のポートのフォワーディング ===
In addition to SSH's built-in support for X11, it can also be used to securely tunnel any TCP connection, by use of local forwarding or remote forwarding.

Local forwarding opens a port on the local machine, connections to which will be forwarded to the remote host and from there on to a given destination. Very often, the forwarding destination will be the same as the remote host, thus providing a secure shell and, e.g. a secure VNC connection, to the same machine. Local forwarding is accomplished by means of the {{Ic|-L}} switch and it's accompanying forwarding specification in the form of {{Ic|<tunnel port>:<destination address>:<destination port>}}.

Thus:

$ ssh -L 1000:mail.google.com:25 192.168.0.100

will use SSH to login to and open a shell on 192.168.0.100, and will also create a tunnel from the local machine's TCP port 1000 to mail.google.com on port 25. Once established, connections to localhost:1000 will connect to the Gmail SMTP port. To Google, it will appear that any such connection (though not necessarily the data conveyed over the connection) originated from 192.168.0.100, and such data will be secure as between the local machine and 192.168.0.100, but not between 192.168.0.100, unless other measures are taken.

Similarly:

$ ssh -L 2000:192.168.0.100:6001 192.168.0.100

will allow connections to localhost:2000 which will be transparently sent to the remote host on port 6001. The preceding example is useful for VNC connections using the vncserver utility--part of the tightvnc package--which, though very useful, is explicit about its lack of security.

Remote forwarding allows the remote host to connect to an arbitrary host via the SSH tunnel and the local machine, providing a functional reversal of local forwarding, and is useful for situations where, e.g., the remote host has limited connectivity due to firewalling. It is enabled with the {{Ic|-R}} switch and a forwarding specification in the form of {{Ic|<tunnel port>:<destination address>:<destination port>}}.

Thus:

$ ssh -R 3000:irc.freenode.net:6667 192.168.0.200

will bring up a shell on 192.168.0.200, and connections from 192.168.0.200 to itself on port 3000 (remotely speaking, localhost:3000) will be sent over the tunnel to the local machine and then on to irc.freenode.net on port 6667, thus, in this example, allowing the use of IRC programs on the remote host to be used, even if port 6667 would normally be blocked to it.

Both local and remote forwarding can be used to provide a secure "gateway," allowing other computers to take advantage of an SSH tunnel, without actually running SSH or the SSH daemon by providing a bind-address for the start of the tunnel as part of the forwarding specification, e.g. {{Ic|<tunnel address>:<tunnel port>:<destination address>:<destination port>}}. The {{Ic|<tunnel address>}} can be any address on the machine at the start of the tunnel, {{Ic|localhost}}, {{Ic|*}} (or blank), which, respectively, allow connections via the given address, via the loopback interface, or via any interface. By default, forwarding is limited to connections from the machine at the "beginning" of the tunnel, i.e. the {{Ic|<tunnel address>}} is set to {{Ic|localhost}}. Local forwarding requires no additional configuration, however remote forwarding is limited by the remote server's SSH daemon configuration. See the {{Ic|GatewayPorts}} option in {{Ic|sshd_config(5)}} for more information.

=== マルチプレクス ===

The SSH daemon usually listens on port 22. However, it is common practice for many public internet hotspots to block all traffic that is not on the regular HTTP/S ports (80 and 443, respectively), thus effectively blocking SSH connections. The immediate solution for this is to have {{ic|sshd}} listen additionally on one of the whitelisted ports:

{{hc|/etc/ssh/sshd_config|
Port 22
Port 443
}}

However, it is likely that port 443 is already in use by a web server serving HTTPS content, in which case it is possible to use a multiplexer, such as {{Pkg|sslh}}, which listens on the multiplexed port and can intelligently forward packets to many services.

=== SSH の高速化 ===

同一のホストのセッションは全て単一の接続を使うようにすることで、後のログインを劇的に高速化することができます。{{ic|/etc/ssh/ssh_config}} や {{ic|$HOME/.ssh/config}} の適当なホストの下に以下の行を追加してください:
Host examplehost.com
ControlMaster auto
ControlPersist yes
ControlPath ~/.ssh/socket-%r@%h:%p

上記のオプションの詳しい説明は {{ic|ssh_config(5)}} マニュアルページを見て下さい。

速度を向上させる別のオプションとして圧縮を有効化する {{ic|-C}} フラグがあります。{{ic|/etc/ssh/ssh_config}} の適切なホストの下に次の行を追加することで永続的に設定することができます:
Compression yes
{{Warning|{{ic|man ssh}} states that "''Compression is desirable on modem lines and other slow connections, but will only slow down things on fast networks''". This tip might be counterproductive depending on your network configuration.}}

Login time can be shortened by using the {{ic|-4}} flag, which bypasses IPv6 lookup. This can be made permanent by adding this line under the proper host in {{ic|/etc/ssh/ssh_config}}:
AddressFamily inet

Changing the ciphers used by SSH to less cpu-demanding ones can improve speed. In this respect, the best choices are arcfour and blowfish-cbc.

{{Warning|Please do not do this unless you know what you are doing; arcfour has a number of known weaknesses.}}

To use alternative ciphers, run SSH with the {{ic|-c}} flag:
$ ssh -c arcfour,blowfish-cbc user@server-address

To use them permanently, add this line under the proper host in {{ic|/etc/ssh/ssh_config}}:
Ciphers arcfour,blowfish-cbc

=== SSHFS でリモートファイルシステムをマウントする ===
sshfs を使って (SSH でアクセスした) リモートのファイルシステムをローカルフォルダにマウントする方法は [[Sshfs]] の記事を参照してください。マウントしたファイルは様々なツールであらゆる操作することができます (コピー、名前の変更、vim で編集など)。基本的に shfs よりも sshfs を使用することを推奨します。sshfs は shfs の新しいバージョンであり、元の shfs は2004年から更新されていません。

=== Keep alive ===
一定時間操作がないと ssh セッションは自動的にログアウトします。接続を維持するには以下をクライアントの {{ic|~/.ssh/config}} か {{ic|/etc/ssh/ssh_config}} に追加してください:

ServerAliveInterval 120

これで120秒ごとに "keep alive" シグナルがサーバーに送信されます。

反対に、外部からの接続を維持するには、次をサーバーの {{ic|/etc/ssh/sshd_config}} に設定します (数字は0より大きく):

ClientAliveInterval 120

=== ssh の設定に接続データを保存する ===
Whenever you want to connect to a ssh server, you usually have to type at least its address and the username. To save that typing work for servers you regularly connect to, you can use the personal {{ic|~/.ssh/config}} or the global {{ic|/etc/ssh/ssh_config}} files as shown in the following example:

{{hc|~/.ssh/config|
Host myserver
HostName 123.123.123.123
Port 12345
User bob
IdentityFile ~/.ssh/some_key_file
Host other_server
HostName test.something.org
User alice
CheckHostIP no
Cipher blowfish
}}

Now you can simply connect to the server by using the name you specified:

$ ssh myserver

To see a complete list of the possible options, check out ssh_config's manpage on your system or the [http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config ssh_config documentation] on the official website.

=== systemd で SSH トンネルを自動的に再起動 ===

[[systemd]] を使ってブート時/ログイン時に SSH 接続を自動的に開始して、接続が失敗した時に再起動させることができます。SSH トンネルの管理に役立つツールとなります。

以下のサービスでは、[[#ssh の設定に接続データを保存する|ssh の設定]]に保存された接続設定を使って、ログイン時に SSH トンネルを開始します。接続が何らかの理由で閉じられた場合、10秒待機してから再起動します:

{{hc|~/.config/systemd/user/tunnel.service|<nowiki>
[Unit]
Description=SSH tunnel to myserver

[Service]
Type=simple
Restart=always
RestartSec=10
ExecStart=/usr/bin/ssh -F %h/.ssh/config -N myserver
</nowiki>}}

上記のユーザーサービスを[[有効化]]して[[起動]]してください。トンネルがタイムアウトするのを防ぐ方法は [[#Keep alive]] を見て下さい。起動時にトンネルを開始したい場合、ユニットをシステムサービスとして書きなおして下さい。

=== Autossh - SSH セッションとトンネルの自動再起動 ===
ネットワークの状態が悪かったりしてクライアントが切断してしまい、セッションやトンネルの接続を維持できない場合、[http://www.harding.motd.ca/autossh/ Autossh] を使って自動的にセッションとトンネルを再起動できます。Autossh は[[公式リポジトリ]]からインストールできます。

使用例:
$ autossh -M 0 -o "ServerAliveInterval 45" -o "ServerAliveCountMax 2" username@example.com
[[sshfs]] を組み合わせる:
$ sshfs -o reconnect,compression=yes,transform_symlinks,ServerAliveInterval=45,ServerAliveCountMax=2,ssh_command='autossh -M 0' username@example.com: /mnt/example
[[プロキシ設定]]で設定した SOCKS プロクシを使って接続:
$ autossh -M 0 -o "ServerAliveInterval 45" -o "ServerAliveCountMax 2" -NCD 8080 username@example.com
With the {{ic|-f}} option autossh can be made to run as a background process. Running it this way however means the passprase cannot be entered interactively.

The session will end once you type {{ic|exit}} in the session, or the autossh process receives a SIGTERM, SIGINT of SIGKILL signal.

==== systemd を使ってブート時に自動的に Autossh を起動する ====
If you want to automatically start autossh, it is now easy to get systemd to manage this for you. For example, you could create a systemd unit file like this:

[Unit]
Description=AutoSSH service for port 2222
After=network.target

[Service]
Environment="AUTOSSH_GATETIME=0"
ExecStart=/usr/bin/autossh -M 0 -NL 2222:localhost:2222 -o TCPKeepAlive=yes foo@bar.com

[Install]
WantedBy=multi-user.target

Here {{ic|1=AUTOSSH_GATETIME=0}} is an environment variable specifying how long ssh must be up before autossh considers it a successful connection, setting it to 0 autossh also ignores the first run failure of ssh. This may be useful when running autossh at boot. Other environment variables are available on the manpage. Of course, you can make this unit more complex if necessary (see the systemd documentation for details), and obviously you can use your own options for autossh, but note that the {{ic|-f}} implying {{ic|1=AUTOSSH_GATETIME=0}} does not work with systemd.

Then place this in, for example, /etc/systemd/system/autossh.service. Afterwards, you can then enable your autossh tunnels with, e.g.:

$ systemctl start autossh
(or whatever you called the service file)

If this works OK for you, you can make this permanent by running

$ systemctl enable autossh

That way autossh will start automatically at boot.

It is also easy to maintain several autossh processes, to keep several tunnels alive. Just create multiple .service files with different names.

== ソケットアクティベーションで SSH ポート番号を変更する (sshd.socket) ==

次の内容で {{ic|/etc/systemd/system/sshd.socket.d/port.conf}} ファイルを作成:

[Socket]
# Disable default port
ListenStream=
# Set new port
ListenStream=12345

リロードすれば systemd は自動的に新しいポートを開きます:

systemctl daemon-reload

== トラブルシューティング ==
=== チェックリスト ===

以下は最初に行うべきトラブルシューティングのチェックリストです。何かする前に以下の問題をチェックすることを推奨します。

==== SSH の設定を確認 ====

1. クライアントとサーバーの {{ic|~/.ssh}} フォルダにユーザーがアクセスできるようにする:

$ chmod 700 /home/USER/.ssh
$ chmod 600 /home/USER/.ssh/*

2. ライアントとサーバーの {{ic|~/.ssh}} フォルダにある全てのファイルの所有者がユーザーになっていることを確認:

$ chown -R USER: /home/USER/.ssh

3. クライアントの公開鍵を確認。サーバーの {{ic|authorized_keys}} やユーザーの {{ic|~/.ssh/}} ファイルにある {{ic|id_rsa.pub}} ファイルなど。

4. {{ic|/etc/ssh/sshd_config}} の {{ic|AllowUsers or AllowGroups}} オプションで SSH のアクセスが制限されていないか確認。

5. ユーザーにパスワードが設定されていることを確認。新しいユーザーを追加したあとパスワードが設定されていなかったり一度もログインされてなかったりすることがあります。

==== SSH を再起動 + ユーザーの再ログイン ====

6. {{ic|sshd}} (サーバー) を[[再起動]]。

7. クライアントとホスト、両方でユーザー (シェル) の再ログイン。

==== 期限切れのキーを削除 (任意) ====

8. Delete old/invalid key rows in server's {{ic|~/.ssh/authorized_keys}} file.

9. Delete old/invalid private and public keys within the clients {{ic|~/.ssh}} folder.

==== 推奨事項 ====

10. Keep as few keys as possible in user's {{ic|~/.ssh/authorized_keys}} file on the server.

11. Secure server's {{ic|/home/USER/.ssh/authorized_keys}} file against manipulation:

$ chmod 400 /home/USER/.ssh/authorized_keys

=== 電源オフ/再起動した後も SSH 接続が残ってしまう ===
systemd が sshd の前に network を停止してしまうと電源を切った後も SSH 接続が繋がったままになります。この問題を修正するには、{{ic|After}} ステートメントを修正してください:
{{hc|/usr/lib/systemd/system/systemd-user-sessions.service|2=
#After=remote-fs.target
After=network.target}}

=== 接続が拒否されるまたはタイムアウトする ===

==== ルーターがポートフォワーディングをしていないか？ ====

SKIP THIS STEP IF YOU ARE NOT BEHIND A NAT MODEM/ROUTER (eg, a VPS or otherwise publicly addressed host). Most home and small businesses will have a NAT modem/router.

The first thing is to make sure that your router knows to forward any incoming ssh connection to your machine. Your external IP is given to you by your ISP, and it is associated with any requests coming out of your router. So your router needs to know that any incoming ssh connection to your external IP needs to be forwarded to your machine running sshd.

Find your internal network address.

ip a

Find your interface device and look for the inet field. Then access your router's configuration web interface, using your router's IP (find this on the web). Tell your router to forward it to your inet IP. Go to [http://portforward.com/] for more instructions on how to do so for your particular router.

==== SSH が動作しているか？ ====
$ ss -tnlp

上記のコマンドで SSH ポートが開いていると表示されない場合、SSH は動作していません。{{ic|/var/log/messages}} にエラーがないか確認してください。

==== 接続をブロックするようなファイアウォールのルールが存在しないか？ ====

[[iptables]] によってポート {{ic|22}} の接続がブロックされている可能性があります。次のコマンドで確認してください:
{{bc|# iptables -nvL}}
{{ic|INPUT}} チェインのパケットを拒否するようなルールがないか見て下さい。そして、必要であれば、次のようなコマンドでポートのブロックを解除します:
{{bc|
# iptables -I INPUT 1 -p tcp --dport 22 -j ACCEPT
}}
ファイアウォールの設定に関する詳細は[[ファイアウォール]]を見て下さい。

==== Is the traffic even getting to your computer? ====
Start a traffic dump on the computer you're having problems with:

# tcpdump -lnn -i any port ssh and tcp-syn

This should show some basic information, then wait for any matching traffic to happen before displaying it. Try your connection now. If you do not see any output when you attempt to connect, then something outside of your computer is blocking the traffic (e. g., hardware firewall, NAT router etc.).

==== ISP またはサードパーティによってデフォルトのポートがブロックされてないか？ ====
{{Note|このステップは次のことを確認した後で実行してください。ファイアーウォールを何も起動していないこと。DMZ へのルータを正しく設定している、またはコンピュータへポートを転送していること。それでもまだ動かない場合。ここで診断のステップと解決法が見つかるでしょう。}}

ときどき ISP（インターネット・サービス・プロバイダ）が SSH のデフォルトポート（22番）をブロックしている場合があります。この場合はあなたが何をしても（ポートを開ける、スタックを強化する、フラッドアタックを防御する、など）無意味になります。これを確認するためには、全てのインターフェイス（0.0.0.0）をリッスンする sshd を立ち上げ、リモートから接続してみます。

このようなエラーメッセージが出る場合：
ssh: connect to host www.inet.hr port 22: Connection refused

これはそのポートが ISP にブロックされていないが、サーバのそのポートで SSH が起動していないことを意味します
（[[wikipedia:Security_through_obscurity|security through obscurity]] を参照）。

しかし、次のようなエラーメッセージが出る場合：
ssh: connect to host 111.222.333.444 port 22: Operation timed out

これは何かがポート 22 での TCP トラフィックを拒否（reject）していることを意味します。そのポートはあなたのサーバ上のファイアーウォールか第三者（ISP など）のどちらかによってステルスされています。自分のサーバでファイアーウォールが起動していないことが確かなら、またルータやスイッチの中でグレムリンが育っていないことが確かなら、ISP がトラフィックをブロックしています。

ダブルチェックのために、サーバ上で Wireshark を起動を起動してポート 22 でのトラフィックをリッスンしてみましょう。Wireshark はレイヤ 2 のパケット・スニファリング・ユーティリティであり、TCP/UDP はレイヤ 3 以上なので（[[wikipedia:Internet protocol suite|IP Network stack]]を参照）、もしリモートから接続するときに何も受け取っていなければ、十中八九、第三者がブロックしています。

===== 問題診断 =====
{{Pkg|tcpdump}} または {{Pkg|wireshark-cli}} パッケージの Wireshark を[[インストール]]してください。

tcpdump の場合:
# tcpdump -ni ''interface'' "port 22"

Wireshark の場合:
$ tshark -f "tcp port 22" -i ''interface''

{{ic|''interface''}} は WAN 接続に使っているネットワークインターフェイスに置き換えてください (確認したいときは {{ic|ip a}} を実行)。リモートで接続を試行してもパケットが全く受け取れない場合、ISP によってポート 22 のトラフィックがブロックされている可能性があります。

===== 解決方法 =====
解決方法は、単に ISP がブロックしていない他のポートを使うことです。{{ic|/etc/ssh/sshd_config}} を編集して他のポートを使うようにしましょう。例えば次を追加します：

Port 22
Port 1234

そしてこのファイル中の他の Port 設定をコメントアウトします。「Port 22」をコメントにして「Port 1234」を追加するだけでは、sshd がポート 1234 しかリッスンしなくなるので、この問題は解決しません。この 2 行どちらも使用し、sshd が両方のポートをリッスンするようにします。

あとは {{ic|systemctl restart sshd.service}} で sshd を起動するだけです。そして ssh クライアントでも同じポートに変更します。There are numerous solutions to that problem, but let us cover two of them here.

==== Read from socket failed: connection reset by peer ====
最近の openssh のバージョンでは、楕円曲線暗号関連のバグのせいで、上記のエラーメッセージで接続が失敗することがあります。その場合 {{ic|~/.ssh/config}} に次の行を追加してください:

HostKeyAlgorithms ssh-rsa-cert-v01@openssh.com,ssh-dss-cert-v01@openssh.com,ssh-rsa-cert-v00@openssh.com,ssh-dss-cert-v00@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-rsa,ssh-dss

openssh 5.9 では、上記の修正方法は働きません。代わりに、{{ic|~/.ssh/config}} に以下の行を記述してください:

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc
MACs hmac-md5,hmac-sha1,hmac-ripemd160

openssh バグフォーラムの [http://www.gossamer-threads.com/lists/openssh/dev/51339 議論] も参照。

=== "[your shell]: No such file or directory" / ssh_exchange_identification problem ===
One possible cause for this is the need of certain SSH clients to find an absolute path (one returned by {{Ic|whereis -b [your shell]}}, for instance) in {{Ic|$SHELL}}, even if the shell's binary is located in one of the {{Ic|$PATH}} entries.

==="Terminal unknown" や "Error opening terminal" エラーメッセージ===
ssh でログイン時に "Terminal unknown" のようなエラーが表示されることがあります。nano などの ncurses アプリケーションを実行すると "Error opening terminal" というメッセージが表示されます。この問題を解決する方法は2つあります。{{ic|$TERM}} 変数を使って簡単に修正する方法と terminfo ファイルを使って根本的に解決する方法です。

====$TERM 変数を設定する解決策====
リモートサーバーに接続した後に以下のコマンドを使って {{ic|$TERM}} 変数を "xterm" に設定してください:

$ TERM=xterm

この方法はあくまで次善策であり、たまにしか接続しない ssh サーバーで使うようにしてください。良くない副作用があるからです。また、接続するたびにコマンドを実行する必要があります。もしくは {{ic|~.bashrc}} で設定してください。

====terminfo ファイルを使う解決策====
A profound solution is transferring the terminfo file of the terminal on your client computer to the ssh server. In this example we cover how to setup the terminfo file for the "rxvt-unicode-256color" terminal.
Create the directory containing the terminfo files on the ssh server, while you are logged in to the server issue this command:

$ mkdir -p ~/.terminfo/r/

Now copy the terminfo file of your terminal to the new directory. Replace {{ic|rxvt-unicode-256color}} with your client's terminal in the following command and {{ic|ssh-server}} with the relevant user and server adress.

$ scp /usr/share/terminfo/r/''rxvt-unicode-256color'' ssh-server:~/.terminfo/r/

After logging in and out from the ssh server the problem should be fixed.

=== Connection closed by x.x.x.x [preauth] ===
sshd のログでこのエラーが確認できる場合、HostKey が正しく設定されているか確認してください:
HostKey /etc/ssh/ssh_host_rsa_key

=== OpenSSH 7.0 によって id_dsa が拒否される ===

OpenSSH 7.0 では ssh-dss が無効になっており、http://www.openssh.com/legacy.html には id_dsa 鍵が使われている場合にサーバーにアクセスする方法が書かれていません:

PubkeyAcceptedKeyTypes +ssh-dss

While this can be added a per host basis or with -o, to make sure "ProxyCommand ssh" still works, add it to ssh_config.

=== no matching key exchange method found by OpenSSH 7.0 ===

OpenSSH 7.0 also deprecated the key algorithm diffie-hellman-group1-sha1, as we could see in http://www.openssh.com/legacy.html.

If the client and server are unable to agree on a mutual set of parameters then the connection will fail. OpenSSH (7.0 and greater) will produce an error message like this:

Unable to negotiate with 127.0.0.1: no matching key exchange method found.
Their offer: diffie-hellman-group1-sha1

In this case, the client and server were unable to agree on the key exchange algorithm. The server offered only a single method diffie-hellman-group1-sha1. OpenSSH supports this method, but does not enable it by default because is weak and within theoretical range of the so-called Logjam attack.

The best resolution for these failures is to upgrade the software at the other end. OpenSSH only disables algorithms that we actively recommend against using because they are known to be weak. In some cases, this might not be immediately possible so you may need to temporarily re-enable the weak algorithms to retain access.

For the case of the above error message, OpenSSH can be configured to enable the diffie-hellman-group1-sha1 key exchange algorithm (or any other that is disabled by default) using the KexAlgorithm option - either on the command-line:

ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 user@127.0.0.1

or in the ~/.ssh/config file:

Host somehost.example.org
KexAlgorithms +diffie-hellman-group1-sha1

== 参照 ==
*[http://www.la-samhna.de/library/brutessh.html Defending against brute force ssh attacks]
*IBM developerWorks の [http://www.ibm.com/developerworks/jp/linux/library/l-keyc/ OpenSSH キー（鍵）の管理: 第 1 回] と [http://www.ibm.com/developerworks/jp/linux/library/l-keyc2/ 第 2 回]
* [https://stribika.github.io/2015/01/04/secure-secure-shell.html Secure Secure Shell]

OpenSSH

2015-12-27T03:13:03Z

Aosho235: /* ISP またはサードパーティによってデフォルトのポートがブロックされてないか？ */

[[Category:Secure Shell]]
[[ar:Secure Shell]]
[[de:SSH]]
[[en:Secure Shell]]
[[es:Secure Shell]]
[[fr:ssh]]
[[it:Secure Shell]]
[[ko:Secure Shell]]
[[pl:Secure Shell]]
[[pt:Secure Shell]]
[[ru:Secure Shell]]
[[sr:Secure Shell]]
[[zh-CN:Secure Shell]]
{{Related articles start}}
{{Related|SSH 鍵}}
{{Related|Pam abl}}
{{Related|fail2ban}}
{{Related|sshguard}}
{{Related|Sshfs}}
{{Related|syslog-ng}}
{{Related|SFTP chroot}}
{{Related articles end}}
Secure Shell (SSH) は暗号技術を利用して、安全にリモートコンピュータと通信するためのネットワークプロトコルです。暗号によってデータの機密性と完全性が保証されます。SSH は公開鍵暗号を使ってリモートコンピュータを認証し、リモートコンピュータは必要に応じてユーザーを認証します。

基本的に SSH はリモートマシンにログインしてコマンドを実行するために使われますが、トンネリングや TCP ポートや X11 接続の任意のフォワーディングをサポートしており、SFTP や SCP プロトコルを使うことでファイル転送をすることも可能です。

デフォルトでは、SSH サーバーは標準の TCP 22番ポートを使います。通常は SSH クライアントプロトコルを使って ''sshd'' デーモンの接続を確立してリモート接続を承認します。Mac OS X, GNU/Linux, Solaris, OpenVMS など近代的なオペレーティングシステムのほとんどでサーバーとクライアントの両方が備わってします。複雑なもの・完全なものまで様々なレベルのバージョンがプロプライエタリ・フリーウェア・オープンソースを問わずに存在します。

(ソース: [[Wikipedia:ja:Secure Shell]])

== OpenSSH ==
OpenSSH (OpenBSD Secure Shell) は ssh プロトコルを使ってコンピューターネットワークを介して暗号化通信セッションを提供するコンピュータープログラムのセットです。SSH Communications Security によるプロプライエタリの Secure Shell ソフトウェアスイートに代わるオープンのプログラムとして作成されました。OpenSSH は Theo de Raadt に率いられている OpenBSD プロジェクトの一環として開発されています。

同じような名前の OpenSSL と OpenSSH が混同されることがときどきありますが、プロジェクトの目的・開発チームは異なります。

=== OpenSSH のインストール ===
[[公式リポジトリ]]から {{Pkg|openssh}} を[[pacman|インストール]]してください。

=== SSH の設定 ===
====クライアント====
SSH クライアントの設定ファイルは {{ic|/etc/ssh/ssh_config}} もしくは {{ic|~/.ssh/config}} です。

{{ic|Protocol 2}} を明示的に設定する必要はありません。デフォルトの設定ファイルではコメントアウトされています。つまり明示的に有効にされない限り {{ic|Protocol 1}} は使われません。 (ソース: http://www.openssh.org/txt/release-5.4)

====デーモン====
SSH デーモンの設定ファイルは {{ic|/etc/ssh/ssh'''d'''_config}} です。

特定のユーザーにだけアクセスを許可するには次の行を追加してください:
AllowUsers user1 user2

特定のグループにだけアクセスを許可するには:
AllowGroups group1 group2

SSH による root ログインを無効にするには、PermitRootLogin 行を次のように変更してください:
PermitRootLogin no

{{Note|1=バージョン 7.0p1 からは {{ic|PermitRootLogin prohibit-password}} がデフォルトになっています。{{ic|man sshd_config}} を参照。}}

ウェルカムメッセージを追加するには {{ic|/etc/issue}} ファイルを編集して Banner 行を次のように変更してください:
Banner /etc/issue

ホスト鍵は sshd の systemd サービスによって自動的に生成されます。sshd に特定の鍵を使用させたい場合、手動で設定します:
HostKey /etc/ssh/ssh_host_rsa_key

サーバーに WAN からアクセスできる場合、デフォルトのポートである 22 から別のランダムなポートに変更することが推奨されています:
Port 39901

{{Note|OpenSSH では設定ファイルに ''Port x'' 行を複数記述することで複数のポートを使うことができます。}}

パスワードによるログインを使わないようにすればセキュリティは大幅に向上します。詳しくは [[SSH 鍵#パスワードログインの無効化]] を見て下さい。

=== sshd デーモンの管理 ===
次のコマンドで sshd デーモンを起動することができます:
# systemctl start sshd.service

次のコマンドで sshd デーモンを起動時に有効にすることができます:
# systemctl enable sshd.service

詳しくは [[systemd#ユニットを使う]] を見て下さい。

{{Warning|Systemd は非同期にプロセスを実行します。SSH デーモンを特定の IP アドレス {{ic|ListenAddress 192.168.1.100}} に結びつけている場合、デフォルトの sshd.service ユニットファイルはネットワークインターフェイスが有効にされることに依存していないため、ブート中にロードが失敗する可能性があります。IP アドレスをバインドする時は、カスタムした sshd.service ユニットファイルに {{ic|1=After=network.target}} を追加してください。[[systemd#ユニットファイルの編集]] を参照。}}

また SSH デーモンソケットを有効にすることで初めて接続があったときにデーモンが起動するようにすることもできます:
# systemctl start sshd.socket
# systemctl enable sshd.socket
デフォルトの22番以外のポートを使う場合、ユニットファイルを[[systemd#ユニットファイルの編集|編集]]する必要があります:
{{hc|# systemctl edit sshd.socket|<nowiki>
[Socket]
ListenStream=
ListenStream=12345
</nowiki>}}

{{Warning|{{ic|sshd.socket}} を使用すると {{ic|ListenAddress}} の設定が打ち消されて、どのアドレスからでも接続できるようになってしまいます。{{ic|ListenAddress}} の設定を適用するには、{{ic|ListenStream}} でポートと IP を指定する必要があります (例: {{ic|1=ListenStream=192.168.1.100:22}})。また、{{ic|[Socket]}} の下に {{ic|1=FreeBind=true}} を追加するようにしてください。そうしないと IP アドレスの設定が {{ic|ListenAddress}} の設定と同じように無効になってしまいます: ネットワークが立ち上がっていない場合にソケットの起動が失敗します。}}

{{Tip|ソケットアクティベーションを使う場合、{{ic|sshd.socket}} でもデーモンの標準の {{ic|sshd.service}} でもログの接続試行を監視することはできません。ただし {{ic|# journalctl /usr/bin/sshd}} を実行することで監視できます。}}

=== サーバーに接続する ===
サーバーに接続するには、次を実行してください:
$ ssh -p port user@server-address

=== SSH の保護 ===
管理業務のために SSH によるリモートログインを許可することは良いことですが、サーバーのセキュリティに脅威を及ぼすことにもなりえます。総当り攻撃の標的になりやすいので、SSH のアクセスは制限して、第三者がサーバーにアクセスできないようにする必要があります。
* わかりにくいアカウント名やパスワードを使う
* 信頼できる国からの SSH 接続だけを許可する
* [[fail2ban]] や [[sshguard]] をつかってブルートフォース攻撃を監視し、総当りを起こっている IP を閉め出す

==== ブルートフォースアタックからの保護 ====
ブルートフォースは単純な攻撃方法です: ランダムなユーザー名とパスワードの組み合わせをとにかく沢山作ってウェブページや SSH などのサーバーログインプロンプトにログインを絶えず試行します。ブルートフォース攻撃からは [[fail2ban]] や [[sshguard]] などの自動スクリプトを使うことで攻撃者をブロックすることで身を守ることができます。

もしくは、公開鍵認証を使うことでブルートフォース攻撃を出来なくすることもできます。{{ic|sshd_config}} に次の設定を追加:

PasswordAuthentication no

上の設定を適用する前に、SSH アクセスが必要な全てのアカウントで {{ic|authorized_keys}} ファイルに公開鍵認証の設定をするようにしてください。詳しくは [[SSH 鍵#リモートサーバーに公開鍵をコピー]] を参照。

==== 2段階認証 ====

SSH 鍵のペアによる認証を使用していてパスワードによろうログインを無効化している場合に、2段階認証を使いたいときは [[Google Authenticator]] や [[SSH 鍵#2段階認証と公開鍵]] を見て下さい。

==== root ログインを制限する ====
一般的に、SSH で無制限に root ログインを許可することは推奨されません。セキュリティの向上のために、SSH での root ログインを制限する方法は2つ存在します。

===== root ログインを拒否する =====

Sudo を使うことで、root アカウントの認証を行うことなく、必要に応じて root 権限を選択的に付与することができます。このため SSH による root ログインを拒否して、攻撃者にパスワードに加えて (root でない) ユーザー名も推測させる必要を生じさせることで、ブルートフォース攻撃を困難にすることが可能です。

{{ic|/etc/ssh/sshd_config}} の "Authentication" セクションを編集することで SSH からの root ログインを拒否するように設定できます。{{ic|#PermitRootLogin yes}} を {{ic|no}} に変更して行をアンコメントしてください:

{{hc|/etc/ssh/sshd_config|
PermitRootLogin no
...
}}

そして、SSH デーモンを[[再起動]]してください。

これで、SSH を使って root でログインすることはできなくなります。ただし、通常ユーザーでログインしてから [[su]] や [[sudo]] を使ってシステム管理を行うことは依然として可能です。

===== root ログインを限定する =====
自動的な作業の中にも、リモートによるフルシステムバックアップなど、root 権限を必要とするものがあります。セキュアな方法で root を許可したい場合、SSH による root ログインを無効化する代わりに、特定のコマンドだけ root ログインを許可することができます。{{ic|~root/.ssh/authorized_keys}} を編集して、以下のように特定のキーの前にコマンドを記述します:

command="/usr/lib/rsync/rrsync -ro /" ssh-rsa …

This will allow any login with this specific key only to execute the command specified between the quotes.

The increased attack surface created by exposing the root user name at login can be compensated by adding the following to {{ic|sshd_config}}:

PermitRootLogin forced-commands-only

This setting will not only restrict the commands which root may execute via SSH, but it will also disable the use of passwords, forcing use of public key authentication for the root account.

A slightly less restrictive alternative will allow any command for root, but makes brute force attacks infeasible by enforcing public key authentication. For this option, set:

PermitRootLogin without-password

== 他の SSH クライアントとサーバー ==
OpenSSH の他にも、多数の SSH [[Wikipedia:Comparison of SSH clients|クライアント]] と[[Wikipedia:Comparison of SSH servers|サーバー]]が存在します。

=== Dropbear ===
[[Wikipedia:Dropbear (software)|Dropbear]] は SSH-2 クライアント・サーバーです。{{Pkg|dropbear}} は[[公式リポジトリ]]から利用可能です。

コマンドラインの ssh クライアントは dbclient という名前が付けられています。

=== Mosh: Mobile Shell ===
Mosh の [http://mosh.mit.edu/ ウェブサイト] より:

ローミングが可能で、断続的な接続もサポートしているリモート端末アプリケーションです。ユーザーのキーストロークのローカルエコーと行編集を提供します。Mosh は SSH の代替です。SSH よりも強固でレスポンスが早く、特に Wi-Fi や携帯端末からの接続、長距離通信など通信速度が遅い場合に役に立ちます。

[[公式リポジトリ]]から {{Pkg|mosh}} を[[pacman|インストール]]するか [[Arch User Repository|AUR]] にある最新版 {{AUR|mosh-git}} を使って下さい。

Mosh にはドキュメントに記載されていないコマンドラインオプション {{ic|1=--predict=experimental}} が存在し、よりアグレッシブにローカルのキーストロークのエコーを生成します。キーボード入力が遅延なく確認できるのに興味があるのであればこの prediction モードを使ってみて下さい。

== Tips and tricks ==

=== 暗号化 SOCKS トンネル ===
This is highly useful for laptop users connected to various unsafe wireless connections. The only thing you need is an SSH server running at a somewhat secure location, like your home or at work. It might be useful to use a dynamic DNS service like [http://www.dyndns.org/ DynDNS] so you do not have to remember your IP-address.

==== 手順 1: 接続の開始 ====
You only have to execute this single command to start the connection:
$ ssh -TND 4711 ''user''@''host''
where {{Ic|''user''}} is your username at the SSH server running at the {{Ic|''host''}}. It will ask for your password, and then you are connected! The {{Ic|N}} flag disables the interactive prompt, and the {{Ic|D}} flag specifies the local port on which to listen on (you can choose any port number if you want). The {{Ic|T}} flag disables pseudo-tty allocation.

It is nice to add the verbose ({{Ic|-v}}) flag, because then you can verify that it is actually connected from that output.

==== 手順 2: ブラウザ (やその他のプログラム) の設定 ====
The above step is completely useless if you do not configure your web browser (or other programs) to use this newly created socks tunnel. Since the current version of SSH supports both SOCKS4 and SOCKS5, you can use either of them.

* For Firefox: ''Edit → Preferences → Advanced → Network → Connection → Setting'':
: Check the ''Manual proxy configuration'' radio button, and enter {{ic|localhost}} in the ''SOCKS host'' text field, and then enter your port number in the next text field ({{ic|4711}} in the example above).

Firefox does not automatically make DNS requests through the socks tunnel. This potential privacy concern can be mitigated by the following steps:

# Type about:config into the Firefox location bar.
# Search for network.proxy.socks_remote_dns
# Set the value to true.
# Restart the browser.

* For Chromium: You can set the SOCKS settings as environment variables or as command line options. I recommend to add one of the following functions to your {{ic|.bashrc}}:
function secure_chromium {
port=4711
export SOCKS_SERVER=localhost:$port
export SOCKS_VERSION=5
chromium &
exit
}
OR
function secure_chromium {
port=4711
chromium --proxy-server="socks://localhost:$port" &
exit
}

Now open a terminal and just do:
$ secure_chromium

Enjoy your secure tunnel!

=== X11 フォワーディング ===

X11 フォワーディングはリモートシステムで X11 プログラムを動作させて、グラフィカルインターフェイスをローカルのクライアントマシンで表示させるメカニズムです。X11 フォワーディングではリモートホストに X11 システムを完全にインストールさせる必要はなく、''xauth'' をインストールするだけで十分です。''xauth'' は、、X11 セッションの認証を行うために必要なサーバーとクライアントによって使用される {{ic|Xauthority}} の設定を管理するユーティリティです ([http://xmodulo.com/2012/11/how-to-enable-x11-forwarding-using-ssh.html ソース])。

{{Warning|X11 forwarding has important security implications which should be at least acknowledged by reading relevant sections of {{ic|ssh}}, {{ic|sshd_config}} and {{ic|ssh_config}} manual pages. See also [https://security.stackexchange.com/questions/14815/security-concerns-with-x11-forwarding a short writeup]}}

==== セットアップ ====

リモート側:

*[[公式リポジトリ]]から {{Pkg|xorg-xauth}} と {{Pkg|xorg-xhost}} を[[インストール]]
*{{ic|/etc/ssh/ssh'''d'''_config}} 内:
**{{ic|AllowTcpForwarding}} と {{ic|X11UseLocalhost}} オプションを ''yes'' に設定し、{{ic|X11DisplayOffset}} を ''10'' に設定 (何も変更を加えてなければこの値がデフォルトになっています、{{ic|man sshd_config}} を参照)
**{{ic|X11Forwarding}} を ''yes'' に設定
* [[#sshd デーモンの管理|''sshd'' デーモン]]を[[Systemd#ユニットを使う|再起動]]
* リモートシステムでも X サーバーを動作させる必要があります。

クライアント側では、接続するたびにコマンドラインで {{ic|-X}} スイッチを指定して {{ic|ForwardX11}} オプションを有効にするか、[[#クライアント|openSSH クライアントの設定ファイル]]で {{ic|ForwardX11}} を ''yes'' に設定してください。

{{Tip|You can enable the {{ic|ForwardX11Trusted}} option ({{ic|-Y}} switch on the command line) if GUI is drawing badly or you receive errors; this will prevent X11 forwardings from being subjected to the [http://www.x.org/wiki/Development/Documentation/Security/ X11 SECURITY extension] controls. Be sure you have read [[#X11 フォワーディング|the warning]] at the beginning of this section if you do so.}}

==== 使用方法 ====

通常通り[[#サーバーに接続する|リモートマシンにログイン]]します、クライアント側の設定ファイルで ''ForwardX11'' を有効にしていない場合は {{ic|-X}} スイッチを指定します:
$ ssh -X ''user@host''
グラフィカルなアプリケーションを実行しようとするとエラーが表示される場合、代わりに ''ForwardX11Trusted'' を試してみて下さい:
$ ssh -Y ''user@host''
リモートサーバーで X プログラムが起動できるようになったら、出力がローカルセッションに転送されます:
$ xclock

"Cannot open display" エラーが表示される場合、root 以外のユーザーで以下のコマンドを実行してみてください:
$ xhost +

The above command will allow anybody to forward X11 applications. To restrict forwarding to a particular host type:
$ xhost +hostname

where hostname is the name of the particular host you want to forward to. See {{ic|man xhost}} for more details.

Be careful with some applications as they check for a running instance on the local machine. [[Firefox]] is an example: either close the running Firefox instance or use the following start parameter to start a remote instance on the local machine:
$ firefox -no-remote

If you get "X11 forwarding request failed on channel 0" when you connect (and the server {{ic|/var/log/errors.log}} shows "Failed to allocate internet-domain X11 display socket"), make sure package {{Pkg|xorg-xauth}} is installed. If its installation is not working, try to either:

* enable the {{ic|AddressFamily any}} option in {{ic|ssh'''d'''_config}} on the ''server'', or
* set the {{ic|AddressFamily}} option in {{ic|ssh'''d'''_config}} on the ''server'' to inet.
Setting it to inet may fix problems with Ubuntu clients on IPv4.

For running X applications as other user on the SSH server you need to {{Ic|xauth add}} the authentication line taken from {{Ic|xauth list}} of the SSH logged in user.

=== 他のポートのフォワーディング ===
In addition to SSH's built-in support for X11, it can also be used to securely tunnel any TCP connection, by use of local forwarding or remote forwarding.

Local forwarding opens a port on the local machine, connections to which will be forwarded to the remote host and from there on to a given destination. Very often, the forwarding destination will be the same as the remote host, thus providing a secure shell and, e.g. a secure VNC connection, to the same machine. Local forwarding is accomplished by means of the {{Ic|-L}} switch and it's accompanying forwarding specification in the form of {{Ic|<tunnel port>:<destination address>:<destination port>}}.

Thus:

$ ssh -L 1000:mail.google.com:25 192.168.0.100

will use SSH to login to and open a shell on 192.168.0.100, and will also create a tunnel from the local machine's TCP port 1000 to mail.google.com on port 25. Once established, connections to localhost:1000 will connect to the Gmail SMTP port. To Google, it will appear that any such connection (though not necessarily the data conveyed over the connection) originated from 192.168.0.100, and such data will be secure as between the local machine and 192.168.0.100, but not between 192.168.0.100, unless other measures are taken.

Similarly:

$ ssh -L 2000:192.168.0.100:6001 192.168.0.100

will allow connections to localhost:2000 which will be transparently sent to the remote host on port 6001. The preceding example is useful for VNC connections using the vncserver utility--part of the tightvnc package--which, though very useful, is explicit about its lack of security.

Remote forwarding allows the remote host to connect to an arbitrary host via the SSH tunnel and the local machine, providing a functional reversal of local forwarding, and is useful for situations where, e.g., the remote host has limited connectivity due to firewalling. It is enabled with the {{Ic|-R}} switch and a forwarding specification in the form of {{Ic|<tunnel port>:<destination address>:<destination port>}}.

Thus:

$ ssh -R 3000:irc.freenode.net:6667 192.168.0.200

will bring up a shell on 192.168.0.200, and connections from 192.168.0.200 to itself on port 3000 (remotely speaking, localhost:3000) will be sent over the tunnel to the local machine and then on to irc.freenode.net on port 6667, thus, in this example, allowing the use of IRC programs on the remote host to be used, even if port 6667 would normally be blocked to it.

Both local and remote forwarding can be used to provide a secure "gateway," allowing other computers to take advantage of an SSH tunnel, without actually running SSH or the SSH daemon by providing a bind-address for the start of the tunnel as part of the forwarding specification, e.g. {{Ic|<tunnel address>:<tunnel port>:<destination address>:<destination port>}}. The {{Ic|<tunnel address>}} can be any address on the machine at the start of the tunnel, {{Ic|localhost}}, {{Ic|*}} (or blank), which, respectively, allow connections via the given address, via the loopback interface, or via any interface. By default, forwarding is limited to connections from the machine at the "beginning" of the tunnel, i.e. the {{Ic|<tunnel address>}} is set to {{Ic|localhost}}. Local forwarding requires no additional configuration, however remote forwarding is limited by the remote server's SSH daemon configuration. See the {{Ic|GatewayPorts}} option in {{Ic|sshd_config(5)}} for more information.

=== マルチプレクス ===

The SSH daemon usually listens on port 22. However, it is common practice for many public internet hotspots to block all traffic that is not on the regular HTTP/S ports (80 and 443, respectively), thus effectively blocking SSH connections. The immediate solution for this is to have {{ic|sshd}} listen additionally on one of the whitelisted ports:

{{hc|/etc/ssh/sshd_config|
Port 22
Port 443
}}

However, it is likely that port 443 is already in use by a web server serving HTTPS content, in which case it is possible to use a multiplexer, such as {{Pkg|sslh}}, which listens on the multiplexed port and can intelligently forward packets to many services.

=== SSH の高速化 ===

同一のホストのセッションは全て単一の接続を使うようにすることで、後のログインを劇的に高速化することができます。{{ic|/etc/ssh/ssh_config}} や {{ic|$HOME/.ssh/config}} の適当なホストの下に以下の行を追加してください:
Host examplehost.com
ControlMaster auto
ControlPersist yes
ControlPath ~/.ssh/socket-%r@%h:%p

上記のオプションの詳しい説明は {{ic|ssh_config(5)}} マニュアルページを見て下さい。

速度を向上させる別のオプションとして圧縮を有効化する {{ic|-C}} フラグがあります。{{ic|/etc/ssh/ssh_config}} の適切なホストの下に次の行を追加することで永続的に設定することができます:
Compression yes
{{Warning|{{ic|man ssh}} states that "''Compression is desirable on modem lines and other slow connections, but will only slow down things on fast networks''". This tip might be counterproductive depending on your network configuration.}}

Login time can be shortened by using the {{ic|-4}} flag, which bypasses IPv6 lookup. This can be made permanent by adding this line under the proper host in {{ic|/etc/ssh/ssh_config}}:
AddressFamily inet

Changing the ciphers used by SSH to less cpu-demanding ones can improve speed. In this respect, the best choices are arcfour and blowfish-cbc.

{{Warning|Please do not do this unless you know what you are doing; arcfour has a number of known weaknesses.}}

To use alternative ciphers, run SSH with the {{ic|-c}} flag:
$ ssh -c arcfour,blowfish-cbc user@server-address

To use them permanently, add this line under the proper host in {{ic|/etc/ssh/ssh_config}}:
Ciphers arcfour,blowfish-cbc

=== SSHFS でリモートファイルシステムをマウントする ===
sshfs を使って (SSH でアクセスした) リモートのファイルシステムをローカルフォルダにマウントする方法は [[Sshfs]] の記事を参照してください。マウントしたファイルは様々なツールであらゆる操作することができます (コピー、名前の変更、vim で編集など)。基本的に shfs よりも sshfs を使用することを推奨します。sshfs は shfs の新しいバージョンであり、元の shfs は2004年から更新されていません。

=== Keep alive ===
一定時間操作がないと ssh セッションは自動的にログアウトします。接続を維持するには以下をクライアントの {{ic|~/.ssh/config}} か {{ic|/etc/ssh/ssh_config}} に追加してください:

ServerAliveInterval 120

これで120秒ごとに "keep alive" シグナルがサーバーに送信されます。

反対に、外部からの接続を維持するには、次をサーバーの {{ic|/etc/ssh/sshd_config}} に設定します (数字は0より大きく):

ClientAliveInterval 120

=== ssh の設定に接続データを保存する ===
Whenever you want to connect to a ssh server, you usually have to type at least its address and the username. To save that typing work for servers you regularly connect to, you can use the personal {{ic|~/.ssh/config}} or the global {{ic|/etc/ssh/ssh_config}} files as shown in the following example:

{{hc|~/.ssh/config|
Host myserver
HostName 123.123.123.123
Port 12345
User bob
IdentityFile ~/.ssh/some_key_file
Host other_server
HostName test.something.org
User alice
CheckHostIP no
Cipher blowfish
}}

Now you can simply connect to the server by using the name you specified:

$ ssh myserver

To see a complete list of the possible options, check out ssh_config's manpage on your system or the [http://www.openbsd.org/cgi-bin/man.cgi?query=ssh_config ssh_config documentation] on the official website.

=== systemd で SSH トンネルを自動的に再起動 ===

[[systemd]] を使ってブート時/ログイン時に SSH 接続を自動的に開始して、接続が失敗した時に再起動させることができます。SSH トンネルの管理に役立つツールとなります。

以下のサービスでは、[[#ssh の設定に接続データを保存する|ssh の設定]]に保存された接続設定を使って、ログイン時に SSH トンネルを開始します。接続が何らかの理由で閉じられた場合、10秒待機してから再起動します:

{{hc|~/.config/systemd/user/tunnel.service|<nowiki>
[Unit]
Description=SSH tunnel to myserver

[Service]
Type=simple
Restart=always
RestartSec=10
ExecStart=/usr/bin/ssh -F %h/.ssh/config -N myserver
</nowiki>}}

上記のユーザーサービスを[[有効化]]して[[起動]]してください。トンネルがタイムアウトするのを防ぐ方法は [[#Keep alive]] を見て下さい。起動時にトンネルを開始したい場合、ユニットをシステムサービスとして書きなおして下さい。

=== Autossh - SSH セッションとトンネルの自動再起動 ===
ネットワークの状態が悪かったりしてクライアントが切断してしまい、セッションやトンネルの接続を維持できない場合、[http://www.harding.motd.ca/autossh/ Autossh] を使って自動的にセッションとトンネルを再起動できます。Autossh は[[公式リポジトリ]]からインストールできます。

使用例:
$ autossh -M 0 -o "ServerAliveInterval 45" -o "ServerAliveCountMax 2" username@example.com
[[sshfs]] を組み合わせる:
$ sshfs -o reconnect,compression=yes,transform_symlinks,ServerAliveInterval=45,ServerAliveCountMax=2,ssh_command='autossh -M 0' username@example.com: /mnt/example
[[プロキシ設定]]で設定した SOCKS プロクシを使って接続:
$ autossh -M 0 -o "ServerAliveInterval 45" -o "ServerAliveCountMax 2" -NCD 8080 username@example.com
With the {{ic|-f}} option autossh can be made to run as a background process. Running it this way however means the passprase cannot be entered interactively.

The session will end once you type {{ic|exit}} in the session, or the autossh process receives a SIGTERM, SIGINT of SIGKILL signal.

==== systemd を使ってブート時に自動的に Autossh を起動する ====
If you want to automatically start autossh, it is now easy to get systemd to manage this for you. For example, you could create a systemd unit file like this:

[Unit]
Description=AutoSSH service for port 2222
After=network.target

[Service]
Environment="AUTOSSH_GATETIME=0"
ExecStart=/usr/bin/autossh -M 0 -NL 2222:localhost:2222 -o TCPKeepAlive=yes foo@bar.com

[Install]
WantedBy=multi-user.target

Here {{ic|1=AUTOSSH_GATETIME=0}} is an environment variable specifying how long ssh must be up before autossh considers it a successful connection, setting it to 0 autossh also ignores the first run failure of ssh. This may be useful when running autossh at boot. Other environment variables are available on the manpage. Of course, you can make this unit more complex if necessary (see the systemd documentation for details), and obviously you can use your own options for autossh, but note that the {{ic|-f}} implying {{ic|1=AUTOSSH_GATETIME=0}} does not work with systemd.

Then place this in, for example, /etc/systemd/system/autossh.service. Afterwards, you can then enable your autossh tunnels with, e.g.:

$ systemctl start autossh
(or whatever you called the service file)

If this works OK for you, you can make this permanent by running

$ systemctl enable autossh

That way autossh will start automatically at boot.

It is also easy to maintain several autossh processes, to keep several tunnels alive. Just create multiple .service files with different names.

== ソケットアクティベーションで SSH ポート番号を変更する (sshd.socket) ==

次の内容で {{ic|/etc/systemd/system/sshd.socket.d/port.conf}} ファイルを作成:

[Socket]
# Disable default port
ListenStream=
# Set new port
ListenStream=12345

リロードすれば systemd は自動的に新しいポートを開きます:

systemctl daemon-reload

== トラブルシューティング ==
=== チェックリスト ===

以下は最初に行うべきトラブルシューティングのチェックリストです。何かする前に以下の問題をチェックすることを推奨します。

==== SSH の設定を確認 ====

1. クライアントとサーバーの {{ic|~/.ssh}} フォルダにユーザーがアクセスできるようにする:

$ chmod 700 /home/USER/.ssh
$ chmod 600 /home/USER/.ssh/*

2. ライアントとサーバーの {{ic|~/.ssh}} フォルダにある全てのファイルの所有者がユーザーになっていることを確認:

$ chown -R USER: /home/USER/.ssh

3. クライアントの公開鍵を確認。サーバーの {{ic|authorized_keys}} やユーザーの {{ic|~/.ssh/}} ファイルにある {{ic|id_rsa.pub}} ファイルなど。

4. {{ic|/etc/ssh/sshd_config}} の {{ic|AllowUsers or AllowGroups}} オプションで SSH のアクセスが制限されていないか確認。

5. ユーザーにパスワードが設定されていることを確認。新しいユーザーを追加したあとパスワードが設定されていなかったり一度もログインされてなかったりすることがあります。

==== SSH を再起動 + ユーザーの再ログイン ====

6. {{ic|sshd}} (サーバー) を[[再起動]]。

7. クライアントとホスト、両方でユーザー (シェル) の再ログイン。

==== 期限切れのキーを削除 (任意) ====

8. Delete old/invalid key rows in server's {{ic|~/.ssh/authorized_keys}} file.

9. Delete old/invalid private and public keys within the clients {{ic|~/.ssh}} folder.

==== 推奨事項 ====

10. Keep as few keys as possible in user's {{ic|~/.ssh/authorized_keys}} file on the server.

11. Secure server's {{ic|/home/USER/.ssh/authorized_keys}} file against manipulation:

$ chmod 400 /home/USER/.ssh/authorized_keys

=== 電源オフ/再起動した後も SSH 接続が残ってしまう ===
systemd が sshd の前に network を停止してしまうと電源を切った後も SSH 接続が繋がったままになります。この問題を修正するには、{{ic|After}} ステートメントを修正してください:
{{hc|/usr/lib/systemd/system/systemd-user-sessions.service|2=
#After=remote-fs.target
After=network.target}}

=== 接続が拒否されるまたはタイムアウトする ===

==== ルーターがポートフォワーディングをしていないか？ ====

SKIP THIS STEP IF YOU ARE NOT BEHIND A NAT MODEM/ROUTER (eg, a VPS or otherwise publicly addressed host). Most home and small businesses will have a NAT modem/router.

The first thing is to make sure that your router knows to forward any incoming ssh connection to your machine. Your external IP is given to you by your ISP, and it is associated with any requests coming out of your router. So your router needs to know that any incoming ssh connection to your external IP needs to be forwarded to your machine running sshd.

Find your internal network address.

ip a

Find your interface device and look for the inet field. Then access your router's configuration web interface, using your router's IP (find this on the web). Tell your router to forward it to your inet IP. Go to [http://portforward.com/] for more instructions on how to do so for your particular router.

==== SSH が動作しているか？ ====
$ ss -tnlp

上記のコマンドで SSH ポートが開いていると表示されない場合、SSH は動作していません。{{ic|/var/log/messages}} にエラーがないか確認してください。

==== 接続をブロックするようなファイアウォールのルールが存在しないか？ ====

[[iptables]] によってポート {{ic|22}} の接続がブロックされている可能性があります。次のコマンドで確認してください:
{{bc|# iptables -nvL}}
{{ic|INPUT}} チェインのパケットを拒否するようなルールがないか見て下さい。そして、必要であれば、次のようなコマンドでポートのブロックを解除します:
{{bc|
# iptables -I INPUT 1 -p tcp --dport 22 -j ACCEPT
}}
ファイアウォールの設定に関する詳細は[[ファイアウォール]]を見て下さい。

==== Is the traffic even getting to your computer? ====
Start a traffic dump on the computer you're having problems with:

# tcpdump -lnn -i any port ssh and tcp-syn

This should show some basic information, then wait for any matching traffic to happen before displaying it. Try your connection now. If you do not see any output when you attempt to connect, then something outside of your computer is blocking the traffic (e. g., hardware firewall, NAT router etc.).

==== ISP またはサードパーティによってデフォルトのポートがブロックされてないか？ ====
{{Note|このステップは次のことを確認した後で実行してください。ファイアーウォールを何も起動していないこと。DMZ へのルータを正しく設定している、またはコンピュータへポートを転送していること。それでもまだ動かない場合。ここで診断のステップと解決法が見つかるでしょう。}}

ときどき ISP（インターネット・サービス・プロバイダ）が SSH のデフォルトポート（22番）をブロックしている場合があります。この場合はあなたが何をしても（ポートを開ける、スタックを強化する、フラッドアタックを防御する、など）無意味になります。これを確認するためには、全てのインターフェイス（0.0.0.0）をリッスンする sshd を立ち上げ、リモートから接続してみます。

このようなエラーメッセージが出る場合：
ssh: connect to host www.inet.hr port 22: Connection refused

これはそのポートが ISP にブロックされていないが、サーバのそのポートで SSH が起動していないことを意味します
（[[wikipedia:Security_through_obscurity|security through obscurity]] を参照）。

しかし、次のようなエラーメッセージが出る場合：
ssh: connect to host 111.222.333.444 port 22: Operation timed out

これは何かがポート 22 での TCP トラフィックを拒否（reject）していることを意味します。そのポートはあなたのサーバ上のファイアーウォールか第三者（ISP など）のどちらかによってステルスされています。自分のサーバでファイアーウォールが起動していないことが確かなら、またルータやスイッチの中でグレムリンが育っていないことが確かなら、ISP がトラフィックをブロックしています。

ダブルチェックのために、サーバ上で Wireshark を起動を起動してポート 22 でのトラフィックをリッスンしてみましょう。Wireshark はレイヤ 2 のパケット・スニファリング・ユーティリティであり、TCP/UDP はレイヤ 3 以上なので（[[wikipedia:Internet protocol suite|IP Network stack]]を参照）、もしリモートから接続するときに何も受け取っていなければ、十中八九、第三者がブロックしています。

===== 問題診断 =====
{{Pkg|tcpdump}} または {{Pkg|wireshark-cli}} パッケージの Wireshark を[[インストール]]してください。

tcpdump の場合:
# tcpdump -ni ''interface'' "port 22"

Wireshark の場合:
$ tshark -f "tcp port 22" -i ''interface''

{{ic|''interface''}} は WAN 接続に使っているネットワークインターフェイスに置き換えてください (確認したいときは {{ic|ip a}} を実行)。リモートで接続を試行してもパケットが全く受け取れない場合、ISP によってポート 22 のトラフィックがブロックされている可能性があります。

===== 解決方法 =====
解決方法は、単に ISP がブロックしていない他のポートを使うことです。{{ic|/etc/ssh/sshd_config}} を編集して他のポートを使うようにしましょう。例えば次を追加します：

Port 22
Port 1234

そしてこのファイル中の他の Port 設定をコメントアウトします。「Port 22」をコメントにして「Port 1234」を追加するだけでは、sshd がポート 1234 しかリッスンしなくなるので、この問題は解決しません。この 2 行どちらも使用し、sshd が両方のポートをリッスンするようにします。

あとは {{ic|systemctl restart sshd.service}} で sshd を起動するだけです。そして ssh クライアントでも同じポートに変更します。これには多くの手段がありますが、その中の 2 つだけを見てみましょう。

==== Read from socket failed: connection reset by peer ====
最近の openssh のバージョンでは、楕円曲線暗号関連のバグのせいで、上記のエラーメッセージで接続が失敗することがあります。その場合 {{ic|~/.ssh/config}} に次の行を追加してください:

HostKeyAlgorithms ssh-rsa-cert-v01@openssh.com,ssh-dss-cert-v01@openssh.com,ssh-rsa-cert-v00@openssh.com,ssh-dss-cert-v00@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-rsa,ssh-dss

openssh 5.9 では、上記の修正方法は働きません。代わりに、{{ic|~/.ssh/config}} に以下の行を記述してください:

Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc
MACs hmac-md5,hmac-sha1,hmac-ripemd160

openssh バグフォーラムの [http://www.gossamer-threads.com/lists/openssh/dev/51339 議論] も参照。

=== "[your shell]: No such file or directory" / ssh_exchange_identification problem ===
One possible cause for this is the need of certain SSH clients to find an absolute path (one returned by {{Ic|whereis -b [your shell]}}, for instance) in {{Ic|$SHELL}}, even if the shell's binary is located in one of the {{Ic|$PATH}} entries.

==="Terminal unknown" や "Error opening terminal" エラーメッセージ===
ssh でログイン時に "Terminal unknown" のようなエラーが表示されることがあります。nano などの ncurses アプリケーションを実行すると "Error opening terminal" というメッセージが表示されます。この問題を解決する方法は2つあります。{{ic|$TERM}} 変数を使って簡単に修正する方法と terminfo ファイルを使って根本的に解決する方法です。

====$TERM 変数を設定する解決策====
リモートサーバーに接続した後に以下のコマンドを使って {{ic|$TERM}} 変数を "xterm" に設定してください:

$ TERM=xterm

この方法はあくまで次善策であり、たまにしか接続しない ssh サーバーで使うようにしてください。良くない副作用があるからです。また、接続するたびにコマンドを実行する必要があります。もしくは {{ic|~.bashrc}} で設定してください。

====terminfo ファイルを使う解決策====
A profound solution is transferring the terminfo file of the terminal on your client computer to the ssh server. In this example we cover how to setup the terminfo file for the "rxvt-unicode-256color" terminal.
Create the directory containing the terminfo files on the ssh server, while you are logged in to the server issue this command:

$ mkdir -p ~/.terminfo/r/

Now copy the terminfo file of your terminal to the new directory. Replace {{ic|rxvt-unicode-256color}} with your client's terminal in the following command and {{ic|ssh-server}} with the relevant user and server adress.

$ scp /usr/share/terminfo/r/''rxvt-unicode-256color'' ssh-server:~/.terminfo/r/

After logging in and out from the ssh server the problem should be fixed.

=== Connection closed by x.x.x.x [preauth] ===
sshd のログでこのエラーが確認できる場合、HostKey が正しく設定されているか確認してください:
HostKey /etc/ssh/ssh_host_rsa_key

=== OpenSSH 7.0 によって id_dsa が拒否される ===

OpenSSH 7.0 では ssh-dss が無効になっており、http://www.openssh.com/legacy.html には id_dsa 鍵が使われている場合にサーバーにアクセスする方法が書かれていません:

PubkeyAcceptedKeyTypes +ssh-dss

While this can be added a per host basis or with -o, to make sure "ProxyCommand ssh" still works, add it to ssh_config.

=== no matching key exchange method found by OpenSSH 7.0 ===

OpenSSH 7.0 also deprecated the key algorithm diffie-hellman-group1-sha1, as we could see in http://www.openssh.com/legacy.html.

If the client and server are unable to agree on a mutual set of parameters then the connection will fail. OpenSSH (7.0 and greater) will produce an error message like this:

Unable to negotiate with 127.0.0.1: no matching key exchange method found.
Their offer: diffie-hellman-group1-sha1

In this case, the client and server were unable to agree on the key exchange algorithm. The server offered only a single method diffie-hellman-group1-sha1. OpenSSH supports this method, but does not enable it by default because is weak and within theoretical range of the so-called Logjam attack.

The best resolution for these failures is to upgrade the software at the other end. OpenSSH only disables algorithms that we actively recommend against using because they are known to be weak. In some cases, this might not be immediately possible so you may need to temporarily re-enable the weak algorithms to retain access.

For the case of the above error message, OpenSSH can be configured to enable the diffie-hellman-group1-sha1 key exchange algorithm (or any other that is disabled by default) using the KexAlgorithm option - either on the command-line:

ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 user@127.0.0.1

or in the ~/.ssh/config file:

Host somehost.example.org
KexAlgorithms +diffie-hellman-group1-sha1

== 参照 ==
*[http://www.la-samhna.de/library/brutessh.html Defending against brute force ssh attacks]
*IBM developerWorks の [http://www.ibm.com/developerworks/jp/linux/library/l-keyc/ OpenSSH キー（鍵）の管理: 第 1 回] と [http://www.ibm.com/developerworks/jp/linux/library/l-keyc2/ 第 2 回]
* [https://stribika.github.io/2015/01/04/secure-secure-shell.html Secure Secure Shell]

Pacman/ヒントとテクニック

2015-12-26T23:08:05Z

Aosho235: /* シェルの設定 */

[[Category:パッケージ管理]]
[[en:Pacman tips]]
[[es:Pacman tips]]
[[fr:Astuces Pacman]]
[[it:Pacman Tips]]
[[ru:Pacman tips]]
[[tr:Pacman ipuçları]]
[[zh-CN:Pacman Tips]]
{{Related articles start}}
{{Related|pacman}}
{{Related|pacman のパフォーマンスの向上}}
{{Related|ミラー}}
{{Related|パッケージの作成}}
{{Related articles end}}
[[pacman]] を新しく使い始めた人向けのヒント集。

== 外観と利便性の向上 ==

=== カラー出力 ===

バージョン 4.1 から Pacman にはカラーオプションが付きました。{{ic|pacman.conf}} の中の "Color" という行をアンコメントしてください。

=== ショートカット ===

以下では、よく使われる pacman コマンドの入力の手間を省くスクリプトエイリアスを説明しています。

==== シェルの設定 ====

以下の例を追加して下さい、[[Bash]] と [[Zsh]] のどちらでも動作します:
{{bc|<nowiki>
# pacman エイリアスの例
alias pacupg="sudo pacman -Syu" # リポジトリと同期し、古くなっているパッケージをアップデートする
alias pacdl="pacman -Sw" # 指定パッケージを .tar.xz としてダウンロードする
alias pacin="sudo pacman -S" # リポジトリからパッケージをインストールする
alias pacins="sudo pacman -U" # ファイルからパッケージをインストールする
alias pacre="sudo pacman -R" # 指定パッケージを削除する。その設定と依存関係は維持される。
alias pacrem="sudo pacman -Rns" # 指定パッケージとその設定、不要な依存関係を削除する
alias pacrep="pacman -Si" # リポジトリ内の指定パッケージに関する情報を表示する
alias pacreps="pacman -Ss" # リポジトリからパッケージを検索する
alias pacloc="pacman -Qi" # ローカルデータベース内の指定パッケージに関する情報を表示する
alias paclocs="pacman -Qs" # ローカルデータベースからパッケージを検索する
alias paclo="pacman -Qdt" # 全ての孤児パッケージを表示する
alias pacc="sudo pacman -Scc" # キャッシュ中の全パッケージを削除する
alias paclf="pacman -Ql" # 指定パッケージによりインストールされたファイルのリストを表示する
alias pacown="pacman -Qo" # 指定ファイルを所有するパッケージを表示する
alias pacexpl="pacman -D --asexp" # 1個以上のインストール済みパッケージを「明示的にインストールされた」とマークする
alias pacimpl="pacman -D --asdep" # 1個以上のインストール済みパッケージを「依存関係によりインストールされた」とマークする

# さらなる pacman エイリアスの例
alias pacupd="sudo pacman -Sy && sudo abs" # ローカルのパッケージと ABS のデータベースをリポジトリと同期する
alias pacinsd="sudo pacman -S --asdeps" # 指定パッケージを依存関係としてインストールする
alias pacmir="sudo pacman -Syy" # /etc/pacman.d/mirrorlist を更新した後でパッケージのリストを強制的にリフレッシュする
</nowiki>}}

以下のコマンドも便利ですが、危険でもあります。使用する時は、何が起こるのか完全に理解するようにしてください:

{{bc|<nowiki>
# 以下の pacman のメッセージに対処する:
#
# error: couldnt lock database: file exists
# if you are sure a package manager is not already running, you can remove /var/lib/pacman/db.lck

alias pacunlock="sudo rm /var/lib/pacman/db.lck" # ロックファイル /var/lib/pacman/db.lck を削除する
alias paclock="sudo touch /var/lib/pacman/db.lck" # ロックファイル /var/lib/pacman/db.lck を作成する
</nowiki>}}

==== 使用方法 ====

エイリアスの名前を入力するだけでそれぞれのコマンドが実行できます。例えば、リポジトリを同期して古くなっているパッケージをアップグレードするには:
$ pacupg
リポジトリからパッケージをインストール:
$ pacin <package1> <package2> <package3>
カスタムビルドパッケージをインストール:
$ pacins /path/to/<package>
インストールしたパッケージを完全に削除:
$ pacrem <package>
リポジトリからパッケージを検索:
$ pacreps <keywords>
リポジトリにあるパッケージの情報 (サイズ、依存関係など) を表示:
$ pacrep <keywords>

==== ノート ====

上記のエイリアスは例にすぎません。構文サンプルに従って、便利なようにエイリアスの名前を変えることが可能です。例えば:

alias pacrem='sudo pacman -Rns'
alias pacout='sudo pacman -Rns'

上の場合、コマンド {{ic|pacrem}} と {{ic|pacout}} はどちらも同じコマンドを実行します。

=== オペレーションと Bash 構文 ===

pacman の標準の機能に加えて、初歩的な [[Bash]] コマンド・構文を使うことでユーザビリティを拡張する方法が存在します。

* 名前に同じようなパターンがあるパッケージを多数インストールする必要があり、グループ全体やマッチするパッケージ全てはインストールしないとき。例えば {{Grp|kde}}:

# pacman -S kde-{applets,theme,tools}

* もちろん、これに制限はなく、拡張することができます:

# pacman -S kde-{ui-{kde,kdemod},kdeartwork}

* 場合によっては、{{Ic|-s}} が不必要な多くの結果を招いてしまうことがあります。こういうときにはパッケージの名前だけにマッチするように（説明やその他のフィールドには引っかからないように）制限をかけることが可能です:

# pacman -Ss '^vim-'

* pacman にはバージョンカラムを隠す {{ic|-q}} オペランドがあり、"compiz" を名前の一部に含むパッケージを再インストールしたりすることが可能です:

# pacman -S $(pacman -Qq | grep compiz)

* もしくはリポジトリのパッケージ全てをインストールしてください (例: kde-unstable):

# pacman -S $(pacman -Slq kde-unstable)

== メンテナンス ==

[[The Arch Way]] に従ってシステムを清潔に保つための管理業務。

[[システムメンテナンス]]も参照。

=== 最後にインストールしたパッケージを表示 ===

{{Pkg|expac}} をインストールして {{ic|<nowiki>expac --timefmt='%Y-%m-%d %T' '%l\t%n' | sort | tail -20</nowiki>}} または {{ic|<nowiki>expac --timefmt=%s '%l\t%n' | sort -n | tail -20</nowiki>}} を実行してください。

=== インストールしたパッケージを容量と一緒にリストアップ ===

容量でソートしたインストール済みパッケージの一覧を見ることができます、これはハードドライブの空き容量を増やしたいときに役立ちます。
* {{Pkg|expac}} をインストールして {{ic|<nowiki>expac -s "%-30n %m" | sort -hk 2 | awk '{printf "%s %.0f MiB\n", $1, $2/1024/1024}' | column -t</nowiki>}} を実行する。
* pacgraph に -c オプションを付けて実行することで全てのインストールしたパッケージと容量のリストを作成できます。{{Pkg|pacgraph}} は [community] からインストールできます。
* base や base-devel に含まれていない明示的にインストールしたパッケージを容量や説明と共に一覧する: {{ic|<nowiki>expac -HM "%011m\t%-20n\t%10d" $( comm -23 <(pacman -Qqen|sort) <(pacman -Qqg base base-devel|sort) ) | sort -n</nowiki>}}

=== インストールしたパッケージをバージョンと一緒にリストアップ ===

バグを報告したりインストールしたパッケージについて議論するときに、インストールしたパッケージのリストをパッケージのバージョンと一緒に取得する良いでしょう。
* 明示的にインストールしたパッケージを全て一覧する: {{ic| pacman -Qe }}。
* 外部からインストールしたパッケージを一覧する (通常は手動でダウンロード・インストールしたパッケージ): {{ic| pacman -Qm }}。
* 全てのネイティブなパッケージを一覧する (同期データベースからインストールしたパッケージ): {{ic| pacman -Qn }}.
* 正規表現でパッケージを一覧する: {{ic| <nowiki>pacman -Qs <regex> | awk 'BEGIN { RS="\n" ; FS="/" } { print $2 }' | awk '{ if(NF > 0) print $1, $2 }'</nowiki>}}
* {{Pkg|expac}} をインストールして {{ic| expac -s "%-30n %v"}} を実行する

=== アップデートを確認する ===

Pacman には {{ic|checkupdates}} というスクリプトが付属しています。実行するのに root 権限は必要ありません。

=== ファイルがどのパッケージにも所有されていないことを確認 ===

pacman データベースの外のファイルを定期的にチェックすることを推奨します。これらのファイルは通例の方法を使って (例: {{ic|./configure && make && make install}}) でインストールしたサードパーティのアプリケーションであることが度々です。こうしたファイル（もしくはシンボリックリンク）をファイルシステムから検索するにはシンプルなスクリプトを使います:

{{hc|pacman-disowned|<nowiki>
#!/bin/sh

tmp=${TMPDIR-/tmp}/pacman-disowned-$UID-$$
db=$tmp/db
fs=$tmp/fs

mkdir "$tmp"
trap 'rm -rf "$tmp"' EXIT

pacman -Qlq | sort -u > "$db"

find /etc /opt /usr ! -name lost+found $ -type d -printf '%p/\n' -o -print $ | sort > "$fs"

comm -23 "$fs" "$db"</nowiki>}}

リストを生成するには:

$ pacman-disowned > non-db.txt

各エントリを確認しないで {{ic|non-db.txt}} に載っているファイルを全て削除するのは'''よくありません'''。様々な設定ファイルやログなどがあるかもしれないので、{{Ic|grep}} を使って相互参照を広く確実に検索した後でこのリストを使うようにしてください。

以下は役に立つワンライナーのスクリプトです。

どのパッケージにも属していないディレクトリを表示:

alias pacman-disowned-dirs="comm -23 <(sudo find / $ -path '/dev' -o -path '/sys' -o -path '/run' -o -path '/tmp' -o -path '/mnt' -o -path '/srv' -o -path '/proc' -o -path '/boot' -o -path '/home' -o -path '/root' -o -path '/media' -o -path '/var/lib/pacman' -o -path '/var/cache/pacman' $ -prune -o -type d -print | sed 's/$[^/]$$/\1\//' | sort -u) <(pacman -Qlq | sort -u)"

どのパッケージにも属していないファイルを表示:

alias pacman-disowned-files="comm -23 <(sudo find / $ -path '/dev' -o -path '/sys' -o -path '/run' -o -path '/tmp' -o -path '/mnt' -o -path '/srv' -o -path '/proc' -o -path '/boot' -o -path '/home' -o -path '/root' -o -path '/media' -o -path '/var/lib/pacman' -o -path '/var/cache/pacman' $ -prune -o -type f -print | sort -u) <(pacman -Qlq | sort -u)"

=== 孤立したパッケージの削除 ===

''再帰的に''孤立したパッケージ（とその設定ファイル）を削除するには:

# pacman -Rns $(pacman -Qtdq)

孤立したパッケージが見つからなかった場合、pacman は {{ic|error: no targets specified}} を出力します。{{ic|pacman -Rns}} に何も引数が指定されていないとこうなります。

以下の関数を {{ic|~/.bashrc}} に挿入することで孤立したパッケージを簡単に削除できます:

{{hc|~/.bashrc|<nowiki>
orphans() {
if [[ ! -n $(pacman -Qdt) ]]; then
echo "No orphans to remove."
else
sudo pacman -Rns $(pacman -Qdtq)
fi
}</nowiki>}}

{{Note|上記のスクリプトやコマンドは本当は孤立していないパッケージを表示する可能性があるため、実は孤立パッケージでないパッケージを削除する危険性があります。本当に孤立しているパッケージだけを削除するようにしたい場合、{{AUR|pkg_scripts}} パッケージの [http://xyne.archlinux.ca/projects/pkg_scripts/#help-message-pkg-list_true_orphans pkg-list_true_orphans] を使って下さい。}}

=== 使用していないパッケージの削除 ===

システムは軽いほうがメンテナンスしやすいので、ときどき明示的にインストールパッケージを眺めて、使用していないパッケージを削除するべきだと''手動で''選択すると良いでしょう。

公式リポジトリに含まれているパッケージで明示的にインストールしたパッケージを表示するには:

$ pacman -Qen

公式リポジトリに含まれていないパッケージで明示的にインストールしたパッケージを表示するには:

$ pacman -Qem

=== base グループ以外の全てのパッケージを削除する ===

base グループを除く全てのパッケージを削除する必要がある場合は、このワンライナーを試して下さい:

# pacman -R $(comm -23 <(pacman -Qq|sort) <((for i in $(pacman -Qqg base); do pactree -ul $i; done)|sort -u|cut -d ' ' -f 1))

ソース: [https://bbs.archlinux.org/viewtopic.php?id=130176 Look at discussion here]

ノート:

# {{ic|comm}} requires sorted input otherwise you get e.g. {{ic|comm: file 1 is not in sorted order}}.
# {{ic|pactree}} prints the package name followed by what it provides. For example:

{{hc|$ pactree -lu logrotate|
logrotate
popt
glibc
linux-api-headers
tzdata
dcron cron
bash
readline
ncurses
gzip}}

The {{ic|dcron cron}} line seems to cause problems, that is why {{ic|cut -d ' ' -f 1}} is needed - to keep just the package name.

=== 公式にインストールされたパッケージのみを一覧する ===

$ pacman -Qqn

同期データベースに存在するパッケージを一覧します。非公式のリポジトリを設定している場合は、そのリポジトリからインストールしたパッケージも表示されます。

=== 複数のパッケージの依存パッケージ一覧を取得 ===

Dependencies are alphabetically sorted and doubles are removed.
Note that you can use {{ic|pacman -Qi}} to improve response time a little. But
you will not be able to query as many packages. Unfound packages are simply skipped
(hence the {{ic|2>/dev/null}}).
You can get dependencies of AUR packages as well if you use {{ic|yaourt -Si}},
but it will slow down the queries.

$ pacman -Si $@ 2>/dev/null | awk -F ": " -v filter="^Depends" \ '$0 ~ filter {gsub(/[>=<][^ ]*/,"",$2) ; gsub(/ +/,"\n",$2) ; print $2}' | sort -u

もしくは、{{ic|expac}} を使うことも可能です: {{ic|expac -l '\n' %E -S $@ | sort -u}}。

=== 複数のパッケージの容量を取得 ===

以下のシェル関数を使うことができます:

{{hc|~/.bashrc|<nowiki>
pacman-size()
{
CMD="pacman -Si"
SEP=": "
TOTAL_SIZE=0

RESULT=$(eval "${CMD} $@ 2>/dev/null" | awk -F "$SEP" -v filter="Size" -v pkg="^Name" \
'$0 ~ pkg {pkgname=$2} $0 ~ filter {gsub(/\..*/,"") ; printf("%6s KiB %s\n", $2, pkgname)}' | sort -u -k3)

echo "$RESULT"

## Print total size.
echo "$RESULT" | awk '{TOTAL=$1+TOTAL} END {printf("Total : %d KiB\n",TOTAL)}'
}</nowiki>}}

依存関係リストと同じように {{ic|pacman -Qi}} を代わりに使うこともできますが、AUR の PKGBUILD にサイズ情報は含まれていないので [[yaourt]] では出来ません。

ワンライナー:

$ pacman -Si "$@" 2>/dev/null | awk -F ": " -v filter="Size" -v pkg="Name" '$0 ~ pkg {pkgname=$2} $0 ~ filter {gsub(/\..*/,"") ; printf("%6s KiB %s\n", $2, pkgname)}' | sort -u -k3 | tee >(awk '{TOTAL=$1+TOTAL} END {printf("Total : %d KiB\n",TOTAL)}')

You should replace "$@" with packages, or put this line in a shell function.

=== 変更された設定ファイルを一覧する ===
If you want to backup your system configuration files you could copy all files in {{ic|/etc/}}, but usually you're only interested in the files that you have changed. In this case you want to list those changed configuration files, we can do this with the following command:
# pacman -Qii | awk '/^MODIFIED/ {print $2}'
The following script does the same. You need to run it as root or with sudo.
{{hc|changed-files.sh|<nowiki>
#!/bin/bash
for package in /var/lib/pacman/local/*; do
sed '/^%BACKUP%$/,/^%/!d' $package/files | tail -n+2 | grep -v '^$' | while read file hash; do
[ "$(md5sum /$file | (read hash file; echo $hash))" != "$hash" ] && echo $(basename $package) /$file
done
done
</nowiki>}}

=== 依存されていないパッケージを全て表示する ===

インストールしたパッケージの中で、どのパッケージにも依存されていないパッケージのリストを生成したい場合、以下のスクリプトを使うことができます。ハードドライブの容量を増やそうとしていて、覚えがない大量のパッケージがインストールされている場合、このスクリプトはとても役に立ちます。出力を見ることで必要なくなったパッケージを見つけることができます。

{{Note|このスクリプトは明示的にインストールしたパッケージも含めて、どのパッケージにも依存されていない全てのパッケージを表示します。依存パッケージとしてインストールされていながら、どのパッケージにも必要とされていないパッケージを表示するには、[[#孤立したパッケージの削除]] を見て下さい。}}

{{hc|clean|<nowiki>
#!/bin/bash

# This script is designed to help you clean your computer from unneeded
# packages. The script will find all packages that no other installed package
# depends on. It will output this list of packages excluding any you have
# placed in the ignore list. You may browse through the script's output and
# remove any packages you do not need.

# Enter groups and packages here which you know you wish to keep. They will
# not be included in the list of unrequired packages later.
ignoregrp="base base-devel"
ignorepkg=""

comm -23 <(pacman -Qqt | sort) <(echo $ignorepkg | tr ' ' '\n' | cat <(pacman -Sqg $ignoregrp) - | sort -u)
</nowiki>}}

パッケージの説明も見るには:

{{bc|<nowiki>
expac -HM "%-20n\t%10d" $( comm -23 <(pacman -Qqt|sort) <(pacman -Qqg base base-devel|sort) )
</nowiki>}}

=== Systemd を使ってローカルデータベースをバックアップ ===

[[systemd]] は pacman のローカルデータベースのスナップショットを（データベースが変更される度に）作成することができます。

{{Note|AUR にもっと細かく設定できるバージョンがあります: {{AUR|pakbak-git}}。}}

以下のスクリプトを使って下さい ({{ic|$pakbak}} の値はバックアップ先に置き換えて下さい)。{{ic|pakbak.service}} を[[有効化]]することで起動時に自動的に実行させることができます:

{{hc|/usr/lib/systemd/scripts/pakbak_script|2=
#!/bin/bash

declare -r pakbak=''"/pakbak.tar.xz"''; ## set backup location
tar -cJf "$pakbak" "/var/lib/pacman/local"; ## compress & store pacman local database in $pakbak
}}

{{hc|/usr/lib/systemd/system/pakbak.service|2=
[Unit]
Description=Back up pacman database

[Service]
Type=oneshot
ExecStart=/bin/bash /usr/lib/systemd/scripts/pakbak_script
RemainAfterExit=no
}}

{{hc|/usr/lib/systemd/system/pakbak.path|2=
[Unit]
Description=Back up pacman database

[Path]
PathChanged=/var/lib/pacman/local
Unit=pakbak.service

[Install]
WantedBy=multi-user.target
}}

== インストールとリカバリー ==

パッケージを取得・復活させる他の方法。

=== パッケージを CD/DVD や USB スティックからインストールする ===

パッケージや、パッケージグループをダウンロードするには:

# cd ~/Packages
# pacman -Syw base base-devel grub-bios xorg gimp --cachedir .
# repo-add ./custom.db.tar.gz ./*

ダウンロードしたら "Packages" フォルダを CD/DVD に焼くか USB スティック、外部 HDD などにコピーしてください。

インストールするには:

'''1.''' メディアをマウントする:

# mkdir /mnt/repo
# mount /dev/sr0 /mnt/repo # CD/DVD の場合
# mount /dev/sdxY /mnt/repo # USB スティックの場合。

'''2.''' {{ic|pacman.conf}} を編集して他のリポジトリ (例: extra, core, etc.) の''前に''リポジトリを追加してください。この手順は重要です。これで標準のリポジトリに優先して CD/DVD/USB のファイルがインストールされるようになります:

{{hc|# nano /etc/pacman.conf|2=
[custom]
SigLevel = PackageRequired
Server = file:///mnt/repo/Packages}}

'''3.''' 最後に、pacman データベースを同期して新しいリポジトリを使えるようにしてください:

# pacman -Sy

=== カスタムローカルリポジトリ ===

pacman 3 では個人的なリポジトリのデータベースの作成をより簡単にするため {{ic|repo-add}} という名前の新しいスクリプトが導入されました。詳しい使い方は {{ic|repo-add --help}} を実行して見て下さい。

リポジトリに含むパッケージを全て一つのディレクトリに保存して、次のコマンドを実行してください (''repo'' はカスタムリポジトリの名前に置き換えてください):

$ repo-add /path/to/repo.db.tar.gz /path/to/*.pkg.tar.xz

{{ic|repo-add}} を使う際、データベースとパッケージは同じディレクトリにある必要はないので注意してください。ただしそのデータベースで pacman を使うときには、揃っていないといけません。

新しいパッケージを追加する（そして古いパッケージが存在していたら削除する）には、次を実行してください:

$ repo-add /path/to/repo.db.tar.gz /path/to/packagetoadd-1.0-1-i686.pkg.tar.xz

{{Note|If there is a package that needs to be removed from the repository, read up on {{Ic|repo-remove}}.}}

ローカルリポジトリを作成できたら、リポジトリを {{ic|pacman.conf}} に追加してください。{{ic|db.tar.gz}} ファイルの名前がリポジトリの名前です。{{ic|file://}} url を使って直接参照するか、{{ic|ftp://localhost/path/to/directory}} を使って FTP でアクセスしてください。

カスタムリポジトリを[[非公式ユーザーリポジトリ]]に追加すれば、コミュニティはそれを使うことができるようになります。

=== pacman のキャッシュをネットワークで共有する ===

==== 読み取り専用キャッシュ ====

If you're looking for a quick and dirty solution, you can simply run a standalone webserver which other computers can use as a first mirror: {{ic|darkhttpd /var/cache/pacman/pkg}}. Just add this server at the top of your mirror list. Be aware that you might get a lot of 404 errors, due to cache misses, depending on what you do, but pacman will try the next (real) mirrors when that happens.

==== 読み書き可能キャッシュ ====

{{Tip|See [[pacserve]] for an alternative (and probably simpler) solution than what follows.}}

複数のコンピュータ間でパッケージを共有するには、ネットワークベースのマウントプロトコルを使って {{ic|/var/cache/pacman/}} を共有します。このセクションでは shfs または sshfs を使ってパッケージキャッシュと関連するライブラリディレクトリを同一ローカルネットワーク上の複数のコンピュータで共有する方法を示します。ネットワークで共有されるキャッシュは、ファイルシステムの選択やその他の要因で、遅くなることがあります。

まず、ネットワークをサポートするファイルシステムをインストールしてください。例えば [[sshfs]], [[shfs]], ftpfs, [[Samba|smbfs]], [[NFS|nfs]] など。

{{Tip|sshfs や shfs を使う場合、[[SSH 鍵]]を読んで下さい。}}

Then, to share the actual packages, mount {{ic|/var/cache/pacman/pkg}} from the server to {{ic|/var/cache/pacman/pkg}} on every client machine.

==== BitTorrent Sync を使って pacman のパッケージキャッシュを同期する ====

[[BitTorrent Sync]] はネットワークを介してフォルダを同期する新方法です (LAN でもインターネットでも動作します)。ピアツーピアなのでサーバーを設定する必要はありません: 詳しくはリンクを参照してください。
BitTorrent Sync を使って pacman のキャッシュを共有する方法:
* まず同期したいマシンに AUR から {{AUR|btsync}} パッケージをインストール。
* [[BitTorrent Sync]] の wiki ページや AUR パッケージのインストール手順に従う。
** set up BitTorrent Sync to work for the root account. This process requires read/write to the pacman package cache.
** make sure to set a good password on btsync's web UI
** btsync の systemd デーモンを起動。
** in the btsync Web GUI add a new synchronized folder on the first machine and generate a new Secret. Point the folder to {{ic|/var/cache/pacman/pkg}}
** Add the folder on all the other machines using the same Secret to share the cached packages between all systems. Or, to set the first system as a master and the others as slaves, use the Read Only Secret. Be sure to point it to {{ic|/var/cache/pacman/pkg}}

Now the machines should connect and start synchronizing their cache. Pacman works as expected even during synchronization. The process of syncing is entirely automatic.

==== 要らなくなったキャッシュが消えないようにする ====

By default, {{Ic|pacman -Sc}} removes package tarballs from the cache that correspond to packages that are not installed on the machine the command was issued on. Because pacman cannot predict what packages are installed on all machines that share the cache, it will end up deleting files that should not be.

To clean up the cache so that only ''outdated'' tarballs are deleted, add this entry in the {{ic|[options]}} section of {{ic|/etc/pacman.conf}}:

CleanMethod = KeepCurrent

=== インストールしたパッケージのリストのバックアップと復旧 ===

pacman によってインストールしたパッケージのバックアップを定期的に行うのはグッドプラクティスです。何らかの理由でリカバリーできないシステムクラッシュが発生した時、pacman を使って全く同じパッケージを簡単に新しい環境に再インストールすることができるようになります。

* まず、ローカルにない現在のパッケージの一覧をバックアップしてください: {{ic|$ pacman -Qqen > pkglist.txt}}

* {{ic|pkglist.txt}} を USB キーやその他メディア gist.github.com, Evernote, Dropbox などに保存してください。

* {{ic|pkglist.txt}} ファイルを新しいインストールにコピーして、ファイルが含まれているディレクトリにまで移動してください。

* 次のコマンドを実行することでバックアップリストからインストールを行います: {{ic|# pacman -S $(< pkglist.txt)}}

上記のようにリストが生成されない場合、おそらく foreign パッケージ (設定したリポジトリに存在しないパッケージ、もしくは AUR のパッケージ) が存在します。

そのような場合でも、リストから利用可能なパッケージを全てインストールすることができます:

# pacman -S --needed $(comm -12 <(pacman -Slq|sort) <(sort badpkdlist) )

説明:

* {{ic|pacman -Slq}} lists all available softwares, but the list is sorted by repository first, hence the {{ic|sort}} command.
* {{ic|comm}} コマンドを動作させるにはファイルをソートする必要があります。
* {{ic|-12}} パラメータは両方のエントリで共通する行を表示します。
* {{ic|--needed}} スイッチを使うことで既にインストールされているパッケージはスキップされます。

[[yaourt]] を使うことで AUR からリポジトリにないパッケージを全てインストールするのを試行することもできます (何がおこるかわかってない場合は推奨しません):

$ yaourt -S --needed $(comm -13 <(pacman -Slq|sort) <(sort badpkdlist) )

最後に、リストに記されていない全てのパッケージをシステム上から削除することができます:

{{Warning|このコマンドは注意して使って下さい、pacman の出力をよくチェックしましょう。}}

# pacman -Rsu $(comm -23 <(pacman -Qq|sort) <(sort pkglist))

=== base や base-devel に存在しないダウンロード済みパッケージを一覧 ===

次のコマンドは {{Grp|base}} や {{Grp|base-devel}} に存在しない、ユーザーが手動でインストールしたパッケージを全て表示します:

$ comm -23 <(pacman -Qeq | sort) <(pacman -Qgq base base-devel | sort)

インストールしたパッケージの中で特定のリポジトリに存在しないパッケージを表示するには (例えば {{ic|''repo_name''}}):

$ comm -23 <(pacman -Qtq | sort) <(pacman -Slq ''repo_name'' | sort)

インストールしたパッケージの中で {{ic|''repo_name''}} リポジトリに存在するパッケージを表示するには:

$ comm -12 <(pacman -Qtq | sort) <(pacman -Slq ''repo_name'' | sort)

=== 全てのパッケージの再インストール ===

全てのネイティブのパッケージを再インストールするには、次を使って下さい:

# pacman -Qenq | pacman -S -

外部の (AUR) パッケージは別に再インストールする必要があります。外部のパッケージは {{ic|pacman -Qemq}} で一覧できます。

デフォルトで Pacman はインストールの理由（明示的にインストールしたか、依存でインストールしたか）を維持します。

=== pacman のローカルデータベースを復元する ===

ローカルデータベースの復元が必要だと pacman が示す場合:

* {{ic|pacman -Q}} で何も出力がされず、{{Ic|pacman -Syu}} でシステムが最新だと表示されるとき。
* {{ic|pacman -S package}} を使ってパッケージをインストールしようとすると、既にインストールされている依存パッケージのリストが出力される。
* ({{Pkg|pacman}} に含まれている) {{ic|testdb}} でデータベースが壊れていると表示される。

以上の場合、十中八九、インストールしたソフトウェアの pacman データベースである {{ic|/var/lib/pacman/local}} が破損していたり削除されています。これは深刻な問題ですが、以下の手順に従うことで復元することができます。

まず、pacman のログファイルが存在するか確認します:

$ ls /var/log/pacman.log

ログファイルが存在しない場合は、この方法で続行することは不可能です。[https://bbs.archlinux.org/viewtopic.php?pid=670876 Xyne のパッケージ検出スクリプト] を使ってデータベースを再作成してみてください。それができない場合、解決方法としてはシステム全体を再インストールするしかありません。

==== ログフィルタースクリプト ====
{{hc|pacrecover|<nowiki>
#!/bin/bash -e

. /etc/makepkg.conf

PKGCACHE=$((grep -m 1 '^CacheDir' /etc/pacman.conf || echo 'CacheDir = /var/cache/pacman/pkg') | sed 's/CacheDir = //')

pkgdirs=("$@" "$PKGDEST" "$PKGCACHE")

while read -r -a parampart; do
pkgname="${parampart[0]}-${parampart[1]}-*.pkg.tar.xz"
for pkgdir in ${pkgdirs[@]}; do
pkgpath="$pkgdir"/$pkgname
[ -f $pkgpath ] && { echo $pkgpath; break; };
done || echo ${parampart[0]} 1>&2
done
</nowiki>}}

スクリプトを実行可能にしてください:

$ chmod +x pacrecover

==== パッケージの復旧リストを生成する ====

{{Warning|If for some reason your [[pacman]] cache or [[makepkg]] package destination contain packages for other architectures, remove them before continuation.}}

スクリプトを実行してください (任意でパッケージが含まれている追加のディレクトリをパラメータで渡して下さい):

$ paclog-pkglist /var/log/pacman.log | ./pacrecover >files.list 2>pkglist.orig

このコマンドで2つのファイルが作成されます: マシンに存在するパッケージファイルが載った {{Ic|files.list}} と、ダウンロードするべきパッケージが載った {{Ic|pkglist.orig}} です。後者ではマシンに存在する、古いバージョンのパッケージのファイルと、新しいバージョンのファイルでミスマッチが発生することがあります。ミスマッチは手動で修正する必要があります。

Here is a way to automatically restrict second list to packages available in a repository:

$ { cat pkglist.orig; pacman -Slq; } | sort | uniq -d > pkglist

重要な ''base'' パッケージが欠けていないか確認して、リストに加えます:

$ comm -23 <(pacman -Sgq base) pkglist.orig >> pkglist

Proceed once the contents of both lists are satisfactory, since they will be used to restore pacman's installed package database; {{ic|/var/lib/pacman/local/}}.

==== リカバリを実行する ====

リカバリのための bash エイリアスを定義してください:

# recovery-pacman() {
pacman "$@" \
--log /dev/null \
--noscriptlet \
--dbonly \
--force \
--nodeps \
--needed \
#
}

{{ic|--log /dev/null}} allows to avoid needless pollution of pacman log, {{Ic|--needed}} will save some time by skipping packages, already present in database, {{Ic|--nodeps}} will allow installation of cached packages, even if packages being installed depend on newer versions. Rest of options will allow '''pacman''' to operate without reading/writing filesystem.

同期データベースを作成:

# pacman -Sy

{{ic|files.list}} からローカルで利用可能なパッケージファイルをインストールしてデータベースの生成を開始:

# recovery-pacman -U $(< files.list)

{{ic|pkglist}} から残りをインストール:

# recovery-pacman -S $(< pkglist)

Update the local database so that packages that are not required by any other package are marked as explicitly installed and the other as dependences. You will need be extra careful in the future when removing packages, but with the original database lost is the best we can do.

# pacman -D --asdeps $(pacman -Qq)
# pacman -D --asexplicit $(pacman -Qtq)

Optionally check all installed packages for corruption:

# pacman -Qk

任意で[[#ファイルがどのパッケージにも所有されていないことを確認|ファイルがどのパッケージにも所有されていないことを確認]]してください。

全てのパッケージをアップデート:

# pacman -Su

=== 既存のインストールから USB キーを回復させる ===

If you have Arch installed on a USB key and manage to mess it up (e.g. removing it while it is still being written to), then it is possible to re-install all the packages and hopefully get it back up and working again (assuming USB key is mounted in /newarch)

# pacman -S $(pacman -Qq --dbpath /newarch/var/lib/pacman) --root /newarch --dbpath /newarch/var/lib/pacman

=== .pkg ファイルの中身を展開する ===

{{ic|.xz}} で終わっている {{ic|.pkg}} ファイルは tar で固められた圧縮ファイルであり、次のコマンドで解凍できます:

$ tar xvf package.tar.xz

ファイルを {{ic|.pkg}} から展開したい場合、この方法を使うことができます。

=== .pkg ファイルに含まれているファイルを回覧する ===

例えば、{{Pkg|systemd}} パッケージに入っている {{ic|/etc/systemd/logind.conf}} の中身を見たいのならば:

$ tar -xOf /var/cache/pacman/pkg/systemd-204-3-x86_64.pkg.tar.xz etc/systemd/logind.conf

もしくは {{pkg|vim}} を使ってアーカイブをブラウズすることもできます:
$ vim /var/cache/pacman/pkg/systemd-204-3-x86_64.pkg.tar.xz

=== 古いパッケージのライブラリを使っているアプリケーションを探す ===

Even if you installed a package the existing long-running programs (like daemons and servers) still keep using code from old package libraries. And it is a bad idea to let these programs running if the old library contains a security bug.

Here is a way how to find all the programs that use old packages code:

# lsof +c 0 | grep -w DEL | awk '1 { print $1 ": " $NF }' | sort -u
It will print running program name and old library that was removed or replaced with newer content.

Fsck

2015-12-24T16:03:37Z

Aosho235: トラブルシューティングの部分を翻訳

{{Lowercase title}}
[[Category:ファイルシステム]]
[[en:Fsck]]
[[fr:Fsck]]
[[ru:Fsck]]
{{Related articles start}}
{{Related|Ext4}}
{{Related|Btrfs}}
{{Related|fstab}}
{{Related articles end}}
[[Wikipedia:ja:Fsck|fsck]] は ''"file system check"'' の略であり、Linux のファイルシステムをチェックしたり修復するのに使われます。通常、全てのファイルシステムをチェックするのに必要な時間をけずるため、fsck プログラムは異なる物理ディスクドライブのファイルシステムを同時に処理します (参照: {{ic|man fsck}})。

[[Arch ブートプロセス|Arch Linux のブートプロセス]]では起動するたびに簡便に fsck を実行してドライブ上の全てのパーティションを自動的にチェックします。そのため、特に必要がないかぎりは基本的にコマンドラインを使用する必要はありません。

== ブート時のチェック ==

=== 仕組み ===

2つの方法があります:

# mkinitcpio には fsck フックによって、マウントする前に root ファイルシステムを fsck するオプションがあります。これを使う場合、root を {{ic|rw}} カーネルパラメータで読み書き可能でマウントする必要があります [https://projects.archlinux.org/mkinitcpio.git/commit/?id=449b3e543c]。
# systemd は ({{ic|/etc/fstab}} またはユーザーによるユニットファイルで指定された) fsck パス番号が 0 より大きいファイルシステムの fsck を実行します。root ファイルシステムの場合、最初にカーネルパラメータ {{ic|ro}} で読み取り専用でマウントして、それから [[fstab]] から読み書き可能で再度マウントする必要があります ({{ic|defaults}} マウントオプションには {{ic|rw}} が含まれています)。

デフォルトで1番目の方法が推奨されています。[[インストールガイド]]に従った場合はこちらを使うことになります。2番目の方法を使いたい場合は、{{ic|mkinitcpio.conf}} から fsck フックを削除してカーネルコマンドラインで {{ic|ro}} を使ってください。どちらの方法を使っていたとしても、カーネルパラメータ {{ic|1=fsck.mode=skip}} を使うことで fsck を完全に無効化することが可能です。

=== 強制的にチェック ===

[[カーネルパラメータ]]で起動時に {{ic|1=fsck.mode=force}} を設定することで強制的に fsck をすることもできます。マシンに存在する全てのファイルシステムをチェックします。

{{Note|他の GNU/Linux ディストリビューションを使っていた場合、{{ic|forcefsck}} という名前のファイルをファイルシステムのルートに書き出す方法や、{{ic|shutdown}} コマンドと {{ic|-F}} フラグを使用する方法は、昔の [[SysVinit]] や [[Wikipedia:ja:Upstart|Upstart]] の初期バージョンでしか動作せず、[[systemd]] では使えないので注意してください。Arch Linux で使うことができるのは上述の方法だけです。}}

== Tips and tricks ==

=== 破損ブロックを修復 ===

破損箇所を自動的に修復するには、次を実行:

{{Warning|このコマンドは修復するべきかどうか尋ねません。コマンドを実行した時点で答えは '''Yes''' と受け取ります。}}

# fsck -a

=== 破損ブロックをインタラクティブに修復 ===
{{Tip|これはブートパーティション上のファイルが変更されており、ジャーナルを更新するのに失敗した場合に使えます。この場合はブートパーティションをアンマウントしてから次のコマンドを実行してください:}}
破損箇所を修復するには、次を実行:
{{bc|<nowiki>
# fsck -r <drive></nowiki>
}}

=== チェックの頻度を変更 ===

デフォルトでは、fsck は30回起動するたびにファイルシステムをチェックします (パーティションごとに別々にカウントされます)。チェックの頻度を変更するには、次を実行:

# tune2fs -c 20 /dev/sda1

上の例では、{{ic|20}} が次のチェックを行うまでの起動回数です。

{{ic|1}} を設定すると起動時に毎回スキャンを行い、{{ic|0}} を設定すると一切スキャンしなくなります。

{{Tip|指定パーティションの fsck 実行頻度と現在のマウント回数を見るには次のコマンドを使います:
# dumpe2fs -h /dev/sda1 <nowiki>|</nowiki> grep -i 'mount count'
}}

=== fstab のオプション ===

[[fstab]] はシステムの設定ファイルであり、マウントするパーティション (ファイルシステム) とファイルシステムツリーを Linux カーネルに指示するのに使われます。

基本的な {{ic|/etc/fstab}} エントリは以下のようになります:

/dev/sda1 / ext4 defaults 0 '''1'''
/dev/sda2 /other ext4 defaults 0 '''2'''
/dev/sda3 /win ntfs-3g defaults 0 '''0'''

6番目のカラム (太字) が fsck のオプションです。

* 0 = チェックしない。
* 1 = 最初にチェックするファイルシステム (パーティション)。{{ic|/}} (root パーティション) は 1 に設定してください。
* 2 = 他のチェックするファイルシステム。

== トラブルシューティング ==

=== 分割した /usr パーティションで fsck が動作しない ===

# {{ic|/etc/mkinitcpio.conf}} に必要な[[Mkinitcpio#/usr パーティションを分割する|フック]]を記述していることを確認してください。また、このファイルを編集した後にはかならず initramfs イメージを再生成する必要があります。
# [[fstab]] を確認してください。最後のフィールドはルートパーティションだけを "1" にする必要があります。それ以外はすべて "2" か "0" にします。他の誤字もないように注意深く確認してください。

=== ext2fs : no external journal ===

電源切断により、ext3/4 ファイルシステムが通常の方法で修復できないほど破損する場合があります。普通は fsck が外部ジャーナルを見つけられないというプロンプトを出します。その場合は次の一連のコマンドを実行してください:

ディレクトリを指定してそのパーティションをアンマウントします
# umount <directory>
新しいジャーナルをパーティションに書き込みます
# tune2fs -j /dev/<partition>
fsck を起動してパーティションを修復します
# fsck -p /dev/<partition>

ディスクのクローン

2015-12-23T16:35:55Z

Aosho235: 一部翻訳

[[Category:データ圧縮とアーカイブ]]
[[Category:システムリカバリ]]
[[en:Disk cloning]]
[[it:Disk cloning]]
[[ru:Disk cloning]]
[[tr:Disk klonlama]]
[[zh-cn:Disk cloning]]
ディスクのクローンとはパーティションやハードドライブ全体のイメージを作成することを言います。[[バックアッププログラム|バックアップ]]や[[ファイルリカバリ|リカバリ]]用に他のコンピューターにドライブをコピーするのに役立ちます。

== dd を使う ==

dd コマンドはシンプルでありながら、多目的に使える強力なツールです。ファイルシステムのタイプやオペレーティングシステムとは関係なく、ブロックごとに、コピーを行うことができます。ライブ CD などの、ライブ環境から dd を使用すると便利です。

{{Warning|この種のコマンドの常として、使うときは慎重にならなければなりません。さもないとデータを破壊するおそれがあります。入力ファイル({{ic|1=if=}})と出力ファイル({{ic|1=of=}})の順序に注意し、逆にしないように！必ずコピー先ドライブまたはパーティションのサイズがコピー元のサイズ以上になっているようにしてください ({{ic|1=if=}})。}}

=== パーティションのクローン ===

物理ディスク {{ic|/dev/sda}} のパーティション 1 を、物理ディスク {{ic|/dev/sdb}} のパーティション 1 に複製。
# dd if=/dev/sda1 of=/dev/sdb1 bs=512 conv=noerror,sync

{{Warning|出力ファイル{{ic|1=of=}} (この例では{{ic|sdb1}})が存在しない場合は、ルートファイルシステムにこの名前のファイルが作成されてしまいます。}}

=== ハードディスク全体のクローン ===

物理ディスク {{ic|/dev/sd''X''}} を物理ディスク {{ic|/dev/sdY}} に複製:
# dd if=/dev/sd''X'' of=/dev/sd''Y'' bs=512 conv=noerror,sync

このコマンドは MBR (とブートローダー)、全てのパーティション、UUID、データを含めディスクの全てを複製します。
* {{ic|noerror}} は読み取りエラーを全て無視して操作を続行します。dd のデフォルトの挙動ではエラーがあると dd は動作を停止します。
* {{ic|sync}} は読み取りエラーが存在した場合、入力ブロックをゼロで埋めるため、データのオフセットも同期します。
* {{ic|1=bs=512}} はブロックサイズを 512 バイト（ハードドライブの「古典的な」ブロックサイズ）にセットします。自分のハードドライブが 4KiB のブロックサイズを持っているときだけ 512 を 4096 にすることができます。また、以下の警告も読んでください。これはブロックサイズを変えるだけでなく、読み取りエラーがどのように伝播するかにも関係しています。

{{Warning|ブロックサイズを指定すると、読み取りエラーの制御方法が影響を受けます。以下を読んでください。}}

dd では入力ブロックサイズ（IBS）と出力ブロックサイズ（OBS）の指定ができます。{{ic|bs}} をセットすると IBS と OBS の両方をセットしたことになります。例えばブロックサイズを 1MiB にすると、通常は 1024*1024 バイト単位で読み書きします。しかし読み取りエラーが起きるとおかしくなります。{{ic|noerror,sync}} オプションを使うと dd は読み取りエラーをゼロで埋めるようになると思いがちですが、そうではありません。ドキュメントによると dd は''読み取りが完了した後で''OBSをIBSと同じサイズになるようゼロ埋めします。つまりそのブロックの''最後''にゼロが追加されます。したがって、1MiB のブロックの最初でたった 512 バイトの読み取りエラーがあるだけで、1MiB 全体が駄目になってしまうことを意味します。例えば 12ERROR89 というデータの読み取りで ERROR の部分にエラーがあると、結果は 120000089 ではなく 128900000 になります。

自分のディスクにエラーがないと自信を持てるなら、ブロックサイズを大きくしてもよいでしょう。そうするとコピー速度が数倍向上します。例えば、単純な Celeron 2.7 GHz のシステムで bs を 512 から 64 KiB に変えたところ、コピー速度は 35 MB/s から 120 MB/s になりました。しかしくれぐれも、コピー元ディスクで読み取りエラーがあった場合はコピー先ディスクで''破損ブロック''になってしまうことに注意してください。つまり 512 バイトの読み取りエラーが1回あるだけで出力先ブロックの 64 KiB 全体が駄目になってしまいます。

{{Tip|''dd'' の進捗状況を表示したい場合、{{ic|1=status=progress}} オプションを使って下さい。詳しくは [[Core Utilities#dd]] を参照。}}

{{Note|
* ext2/3/4 ファイルシステムで一意な UUID を復活させるには、各パーティションで {{ic|tune2fs /dev/sdXY -U random}} を実行してください。
* dd で変更したパーティションテーブルはカーネルには認識されません。再起動することなしにカーネルに変更を通知するには、partprobe （GNU Parted に含まれる）のようなユーティリティを使ってください。
}}

=== MBR のバックアップ ===

MBR はディスクの頭512バイトに保存されています。MBR は3つの構成部位から成ります:

# 最初の446バイトにはブートローダーが含まれます。
# 次の64バイトにはパーティションテーブルが含まれます (16バイトごとに4エントリ、1つのエントリに1つのプライマリパーティション)。
# 最後の2バイトには識別子が含まれます。

MBR を {{ic|mbr.img}} ファイルに保存するには:
# dd if=/dev/sdX of=/path/to/mbr_file.img bs=512 count=1

リストアするには (注意: 以下の操作で既存のパーティションテーブルが破壊されディスク上の全てのデータにアクセスできなくなる可能性があります):
# dd if=/path/to/mbr_file.img of=/dev/sdX

ブートローダーだけをリストアして、プライマリパーティションテーブルのエントリはそのままにしたい場合、MBR の最初の446バイトだけをリストアしてください:
# dd if=/path/to/mbr_file.img of=/dev/sdX bs=446 count=1

パーティションテーブルだけをリストアするには、次のコマンドを使用します:
# dd if=/path/to/mbr_file.img of=/dev/sdX bs=1 skip=446 count=64

完全な dd ディスクイメージから MBR を取得することもできます:
# dd if=/path/to/disk.img of=/path/to/mbr_file.img bs=512 count=1

=== ディスクイメージの作成 ===

1. liveCD や liveUSB から起動。

2. コピー元ドライブの全てのパーティションがマウント解除されていることを確認する。

3. 外部 HD をマウント。

4. ドライブをバックアップ:
# dd if=/dev/sd''X'' conv=sync,noerror bs=64K | gzip -c > ''/path/to/backup.img.gz''

必要であれば (外部 HD が FAT32 でフォーマットされている場合など) ディスクイメージを分割します (''split'' の [[man ページ]]を参照):

# dd if=/dev/sd''X'' conv=sync,noerror bs=64K | gzip -c | split -a3 -b2G - ''/path/to/backup.img.gz''

ローカルに十分なディスク空き容量がない場合は、イメージをsshで転送すればよいです：

# dd if=/dev/sd''X'' conv=sync,noerror bs=64K | gzip -c | ssh user@local dd of=backup.img.gz

5. イメージ内に保存されたパーティションテーブルを解釈できるようにするために、ドライブのレイアウトに関する付加情報を保存します。
その情報の中で最も重要なのはシリンダーサイズです。

# fdisk -l /dev/sd''X'' > ''/path/to/list_fdisk.info''

{{Note|You may wish to use a block size ({{ic|1=bs=}}) that is equal to the amount of cache on the HD you are backing up. For example, {{ic|1=bs=8192K}} works for an 8 MiB cache. The 64 Kib mentioned in this article is better than the default {{ic|1=bs=512}} bytes, but it will run faster with a larger {{ic|1=bs=}}.}}

=== システムのリストア ===

システムをリストアするには:
# gunzip -c ''/path/to/backup.img.gz'' | dd of=/dev/sd''X''

もしくはイメージが複数のボリュームに分かれている場合:
# cat ''/path/to/backup.img.gz*'' | gunzip -c | dd of=/dev/sd''X''

== ディスククローンソフトウェア ==

=== Arch でディスククローン ===

* [[Partclone]] にはパーティション上の使用されているブロックを保存・復旧するためのユーティリティが入っており ext2, ext3, ext4, hfs+, reiserfs, reiser4, btrfs, vmfs3, vmfs5, xfs, jfs, ufs, ntfs, fat(12/16/32), exfat がサポートされています。オプションで、ncurses インターフェイスを使うこともできます。Partclone は community リポジトリからインストールできます。
* [http://www.partimage.org/ Partimage] は ''ncurses'' プログラムで、community リポジトリに入っています。Partimage は現在 ''ext4'' や ''btrfs'' ファイルシステムをサポートしていません。NTFS のサポートは実験段階です。

=== Arch の外からディスククローン ===

If you wish to backup or propagate your Arch install root, you are probably better off booting into something else and clone the partition from there. Some suggestions:

* [http://partedmagic.com/doku.php?id=start PartedMagic] has a very nice live cd/usb with PartImage and other recovery tools.
* [http://www.mondorescue.org/ Mindi] is a linux distribution specifically for disk clone backup. It comes with its own cloning program, Mondo Rescue.
* [[wikipedia:Acronis_True_Image|Acronis True Image]] is a commercial disk cloner for Windows. It allows you to create a live (from within Windows), so you do not need a working Windows install on the actual machine to use it. After registration of the Acronis software on their website, you will be able to download a Linux-based Live CD and/or plugins for BartPE for creation of the Windows-based live CD. It can also create a WinPE Live CD based on Windows. The created ISO Live CD image by Acronis doesn't have the [http://www.syslinux.org/wiki/index.php/Isohybrid hybrid boot] ability and cannot be written to USB storage as a raw file.
* [http://www.fsarchiver.org/Main_Page FSArchiver] allows you to save the contents of a file system to a compressed archive file. Can be found on the [http://www.sysresccd.org/Main_Page System Rescue CD].
* [http://clonezilla.org/ Clonezilla] is an enhanced partition imager which can also restore entire disks as well as partitions. Clonezilla is included on the Arch Linux installation media.
* [http://redobackup.org/ Redo Backup and Recovery] is a Live CD featuring a graphical front-end to ''partclone''.

== 参照 ==

* [[Wikipedia:List of disk cloning software]]
* [https://bbs.archlinux.org/viewtopic.php?id=4329 Arch Linux フォーラムスレッド]

Nginx

2015-12-20T00:50:04Z

Aosho235: fix typo

{{Lowercase title}}
[[Category:ウェブサーバー]]
[[de:Nginx]]
[[en:Nginx]]
[[ru:Nginx]]
[[zh-CN:Nginx]]
[[Wikipedia:ja:nginx|nginx]] ("エンジンエックス"と発音します)は2005年から Igor Sysoev（ロシア）によって開発されている、フリーでオープンソースかつハイパフォーマンスな HTTP サーバーかつリバースプロクシで、IMAP/POP3 プロクシサーバーとしても機能します。Netcraft の [http://news.netcraft.com/archives/2014/01/03/january-2014-web-server-survey.html January 2014 Web Server Survey] によると、世界中の全てのドメインのうち 14.4% は Nginx によってホストされています。一方、[[Apache]] は41.64%をホストしています。Nginx は主に、その安定性・多機能・単純な設定・低リソース消費によって知られています。

== インストール ==

[[公式リポジトリ]]から {{Pkg|nginx}} パッケージを[[Pacman|インストール]]できます。

''Ruby on Rails'' のためにインストールするには、[[Ruby on Rails#Rails パーフェクトセットアップ]]を参照してください。

セキュリティを向上させるために chroot によるインストールをするには、[[#chroot でインストール]] を参照してください。

== サービスの開始 ==

Nginx サービスを走らせるには:
# systemctl start nginx

スタートアップ時に Nginx サービスを起動するには:
# systemctl enable nginx

http://127.0.0.1 にデフォルトで表示されるページは:
/usr/share/nginx/html/index.html

== 設定 ==

nginx における最初の手順は [http://nginx.org/en/docs/beginners_guide.html 公式のビギナーズガイド] で説明されています。{{ic|/etc/nginx/}} にあるファイルを編集することで Nginx の設定ができます。メインの設定ファイルは {{ic|/etc/nginx/nginx.conf}} です。

より詳しい解説はこちら: 公式の [http://nginx.org/en/docs/ ドキュメント] にある [http://wiki.nginx.org/Configuration Nginx Configuration Examples]。

=== 一般設定 ===

{{ic|worker_processes}} の適当な値を探って下さい。この設定は最終的に nginx が受け入れる接続の数と利用できるプロセスの数を定義します。通常、システムのハードウェアのスレッド数にすると良いでしょう。また、バージョン 1.3.8 と 1.2.5 から {{ic|worker_processes}} には {{ic|auto}} と設定することができ、最適な値を自動的に検出します ([http://nginx.org/en/docs/ngx_core_module.html#worker_processes ソース])。

nginx が受け入れる最大接続数は {{ic|1=max_clients = worker_processes * worker_connections}} で計算できます。

==== サーバーブロック ====

{{ic|server}} ブロックを使うことで複数のドメインを利用することができます。"バーチャルホスト"とも呼ばれますが、これは [[Apache]] の用語です。{{ic|server}} ブロックの利用方法は [http://wiki.nginx.org/ServerBlockExample Apache] とは異なっています。

以下の例では2つのドメインの接続をサーバーが待機します: {{ic|domainname1.dom}} と {{ic|domainname2.dom}}:
{{hc|/etc/nginx/nginx.conf|<nowiki>
...
server {
listen 80;
server_name domainname1.dom;
root /usr/share/nginx/domainname1.dom/html;
location / {
index index.php index.html index.htm;
}
}

server {
listen 80;
server_name domainname2.dom;
root /usr/share/nginx/domainname2.dom/html;
...
}
...
}</nowiki>}}

{{ic|nginx.service}} を[[再起動]]して変更を適用します。

クライアントからの接続時にこれらのドメイン名を解決するには、[[BIND]] や [[dnsmasq]] などのDNSサーバーを設定する必要があります。

ローカルマシンでバーチャルホストをテストするには、{{ic|/etc/hosts}} ファイルにバーチャルネームを追加してください:
127.0.0.1 domainname1.dom
127.0.0.1 domainname2.dom

==== SSL ====
SSL を使用するには、{{pkg|openssl}} をインストールする必要があります。

自己署名証明書を作成してください (キーのサイズや効力の日数は変更できます):
# cd /etc/nginx/
# openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out cert.key
# chmod 600 cert.key
# openssl req -new -key cert.key -out cert.csr
# openssl x509 -req -days 365 -in cert.csr -signkey cert.key -out cert.crt

HTTPS サーバーの server ブロックを以下のように修正してください:

{{hc|/etc/nginx/nginx.conf|<nowiki>
server {
listen 443 ssl;
server_name localhost;

ssl_certificate cert.crt;
ssl_certificate_key cert.key;

ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;

ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;

root /usr/share/nginx/html;
location / {
index index.html index.htm index.php;
}
}</nowiki>}}

{{ic|nginx.service}} を再起動して変更を適用します。

=== FastCGI ===

FastCGI、または FCGI はウェブサーバーでインタラクティブなプログラムを動作させるためのプロトコルです。FastCGI は Common Gateway Interface (CGI) の変種で、ウェブサーバーと CGI プログラムのオーバーヘッドを減らすよう設計されていて、サーバーはより多くのウェブページのリクエストを一度に捌くことができます。

Nginx には FastCGI が組み込まれており多くの外部ツールが動きます、例えば Perl、[[PHP]]、[[Python]] など。これらを使うためにはまず FastCGI サーバーを動かす必要があります。

==== PHP を動かす ====

PHP のために FastCGI サーバーを動かす方法は複数あります。ここでは推奨方法として php-fpm を使う方法を記載しています。

===== 手順1: PHP の設定 =====

{{Pkg|php}} をインストールしてください。{{ic|/etc/php/php.ini}} の中にある {{Ic|open_basedir}} に PHP ファイルが含まれているベースディレクトリを（{{ic|/srv/http/}} や {{ic|/usr/share/webapps/}} のような感じで）指定しなくてはなりません:
open_basedir = /usr/share/webapps/:/srv/http/:/home/:/tmp/:/usr/share/pear/

そうしたら必要なモジュールを設定しましょう。例えば sqlite3 を使うなら {{Pkg|php-sqlite}} をインストールして、{{ic|/etc/php/php.ini}} の次の行をアンコメントして有効にします:
extension=sqlite3.so

{{Note|chroot 環境で nginx を動かしている場合 (chroot は {{ic|/srv/nginx-jail}} で、ウェブページは {{ic|/srv/nginx-jail/www}}) です。{{ic|/etc/php/php-fpm.conf}} ファイルを編集して {{ic|chroot /srv/nginx-jail}} と {{ic|1=listen = /srv/nginx-jail/run/php-fpm/php-fpm.sock}} ディレクティブを pool セクション (デフォルトは {{ic|[www]}}) の中に記述する必要があります。ソケットファイルのディレクトリが存在しない場合は作成してください。}}

====== MariaDB ======
[[MariaDB]] で説明されているようにして MySQL/MariaDB を設定してください。

{{ic|/etc/php/php.ini}} の以下の行の [http://www.php.net/manual/en/mysqlinfo.api.choosing.php 少なくともどれか一つ] をアンコメント:
extension=pdo_mysql.so
extension=mysqli.so
{{Warning|PHP 5.5 から、{{ic|mysql.so}} は [http://www.php.net/manual/de/migration55.deprecated.php 廃止] されログファイルにエラーが表示されます。}}

ウェブスクリプトのために最小権限の MySQL ユーザーを追加することができます。また、{{ic|/etc/mysql/my.cnf}} を編集して {{ic|skip-networking}} 行をアンコメントすると MySQL サーバーはローカルホストからしかアクセスできなくなります。変更を適用するには MySQL を再起動する必要があります。

{{Tip|データベースを利用するために [[phpMyAdmin]], [[Adminer]], {{Pkg|mysql-workbench}} などのツールをインストールしても良いでしょう。}}

===== 手順2: php-fpm =====

* http://php-fpm.org

{{Pkg|php-fpm}} をインストールします:
# pacman -S php-fpm

設定ファイルは {{ic|/etc/php/php-fpm.conf}} です。

サービスを動かします:
# systemctl start php-fpm

{{Ic|php-fpm}} をスタートアップ時に有効にします:
# systemctl enable php-fpm.service

===== 手順3: Nginx の設定 =====

それぞれの {{ic|server}} ブロックの中の {{ic|location}} ブロックに PHP アプリケーションを次のように記述します:

location ~ \.php$ {
fastcgi_pass unix:/run/php-fpm/php-fpm.sock;
fastcgi_index index.php;
include fastcgi.conf;
}

{{Ic|/etc/nginx/php.conf}} を作って設定をそこに書く場合、このファイルを {{Ic|server}} ブロックに入れて下さい。
server = {
...
include php.conf;
...
}

.html や .htm ファイルを PHP として処理したい場合は、以下のようにしてください:
location ~ \.(php|html|htm)$ {
fastcgi_pass unix:/run/php-fpm/php-fpm.sock;
fastcgi_index index.php;
include fastcgi_params;
}

拡張子が .php でないファイルを php-fpm で動かすことを {{Ic|/etc/php/php-fpm.conf}} で有効にする必要があります:
security.limit_extensions = .php .html .htm

設定を変えた後は php-fpm デーモンを再起動してください。
# systemctl restart php-fpm

{{Note|{{Ic|fastcgi_pass}} 引数に'''注意を払って下さい'''、FastCGI サーバーの設定ファイルで定義された TCP や Unix ソケットでなくてはなりません。'''デフォルトの''' {{Ic|php-fpm}} (Unix) ソケットは
fastcgi_pass unix:/run/php-fpm/php-fpm.sock;
'''デフォルトの代わりに'''、通常の TCP ソケットを使うこともできます
fastcgi_pass 127.0.0.1:9000;
ただし Unix ドメインソケットの方が高速です。}}

Nginx のための FastCGI 設定がある {{Ic|fastcgi.conf}} か {{Ic|fastcgi_params}} が含まれていますが、後者は使われなくなりました。これらのファイルは Nginx をインストールしたときに作られます。

最後に、Nginx が動作している場合は再起動してください:
# systemctl restart nginx

FastCGI をテストしたい場合は、{{ic|/usr/share/nginx/html/index.php}} を次の内容で作成して
<?php
phpinfo();
?>
ブラウザで http://127.0.0.1/index.php を開いて下さい。

以下は実際の設定例です。例の中では {{ic|root}} パスは {{ic|server}} の下に直接指定されており (デフォルト設定のように) {{ic|location}} の中には置いていません。

server {
listen 80;
server_name localhost;
root /usr/share/nginx/html;
location / {
index index.html index.htm index.php;
}

location ~ \.php$ {
#fastcgi_pass 127.0.0.1:9000; (depending on your php-fpm socket configuration)
fastcgi_pass unix:/run/php-fpm/php-fpm.sock;
fastcgi_index index.php;
include fastcgi.conf;
}
}

==== CGI を動かす ====

この実装は CGI アプリケーションに必要です。

===== 手順1: fcgiwrap =====

{{Pkg|fcgiwrap}} をインストールしてください。
設定ファイルは {{ic|/usr/lib/systemd/system/fcgiwrap.socket}} です。
[[systemd]] の ''fcgiwrap.socket'' を有効化・起動します。

この systemd ユニットファイルは現在 [https://bugs.archlinux.org/task/31696 ArchLinux のタスクページ]で議論されています。思い通りに動くか確認するためにユニットファイルを自分で検査すると良いでしょう。

====== マルチワーカースレッド ======

複数のワーカースレッドを生成したい場合は、{{AUR|multiwatch}} を使用するのが推奨されています。これはクラッシュした子スレッドの再起動の面倒をみてくれます。multiwatch は systemd が作成したソケットを管理できないため、unix ソケットを作成するには {{ic|spawn-fcgi}} を使う必要がありますが、ユニットファイルから直接実行した場合は fcgiwrap には問題が生じません。

{{ic|/usr/lib/systemd/system/fcgiwrap.service}} から {{ic|/etc/systemd/system/fcgiwrap.service}} にユニットファイルをコピーして (存在する場合は {{ic|fcgiwrap.socket}} ユニットも)、{{ic|ExecStart}} 行を必要に応じて修正してください。以下は {{AUR|multiwatch}} を使用するユニットファイルです。{{ic|fcgiwrap.socket}} が実行中だったり有効になっていないことを確認してください、このユニットと衝突してしまうからです:

{{hc|/etc/systemd/system/fcgiwrap.service|2=
[Unit]
Description=Simple CGI Server
After=nss-user-lookup.target

[Service]
ExecStartPre=/bin/rm -f /run/fcgiwrap.socket
ExecStart=/usr/bin/spawn-fcgi -u http -g http -s /run/fcgiwrap.sock -n -- /usr/bin/multiwatch -f 10 -- /usr/sbin/fcgiwrap
ExecStartPost=/usr/bin/chmod 660 /run/fcgiwrap.sock
PrivateTmp=true
Restart=on-failure

[Install]
WantedBy=multi-user.target
}}

{{ic|-f 10}} は生成する子スレッドの数に変更してください。

{{Warning|The ExecStartPost line is required because of strange behaviour I'm seeing when I use the {{ic|-M 660}} option for {{ic|spawn-fcgi}}. The wrong mode is set. This may be a bug?}}

===== 手順2: Nginx の設定 =====

CGI ウェブアプリケーションを置くそれぞれの {{Ic|server}} ブロックには以下のような {{Ic|location}} ブロックを記述します:

location ~ \.cgi$ {
root /path/to/server/cgi-bin;
fastcgi_pass unix:/run/fcgiwrap.sock;
include fastcgi.conf;
}

{{Ic|fcgiwrap}} の'''デフォルト''' (Unix) ソケットは ''/run/fcgiwrap.sock'' です。

== chroot でインストール ==

[[chroot]] に Nginx をインストールすることでセキュリティレイヤーを追加することができます。セキュリティを最大限に高めるために、Nginx サーバーを動かすのに必要なファイルだけを入れて、全てのファイルは出来る限り最小限の権限にします。例えば、なるべく root が所有するようにして、{{ic|/usr/bin}} などのディレクトリは読み書きできないようにするなど。

Arch はデフォルトでサーバーを実行するための {{ic|http}} ユーザーとグループが設定されています。chroot は {{ic|/srv/http}} で動作させます。

この牢獄を作るための perl スクリプトが [https://gist.github.com/4365696 jail.pl gist] にあります。このスクリプトを使用するか、またはこの記事の指示に従って作成するか選ぶことができます。スクリプトは root で実行してください。変更を適用する前に行をアンコメントする必要があります。

=== 必要なデバイスを作成 ===

Nginx には {{ic|/dev/null}}, {{ic|/dev/random}}, {{ic|/dev/urandom}} が必要です。これらを chroot にインストールするために {{ic|/dev/}} フォルダを作成してデバイスを mknod で追加します。chroot が危険になったときでも、攻撃者が {{ic|/dev/sda1}} などの重要なデバイスにアクセスするには chroot から脱出しなくてはならないようにするために、{{ic|/dev/}} を全てマウントはしません。

{{Tip|mknod の引数については {{ic|man mknod}} や {{ic|<nowiki>ls -l /dev/{null,random,urandom}</nowiki>}} を見て下さい。}}

# export JAIL=/srv/http
# mkdir $JAIL/dev
# mknod -m 0666 $JAIL/dev/null c 1 3
# mknod -m 0666 $JAIL/dev/random c 1 8
# mknod -m 0444 $JAIL/dev/urandom c 1 9

=== 必要なフォルダを作成 ===

Nginx を適切に実行するためにはたくさんのファイルが必要になります。それらをコピーする前に、ファイルを保存するためのフォルダを作成してください。ここでは Nginx のドキュメントルートが {{ic|/srv/http/www}} であると仮定します。

# mkdir -p $JAIL/etc/nginx/logs
# mkdir -p $JAIL/usr/{lib,bin}
# mkdir -p $JAIL/usr/share/nginx
# mkdir -p $JAIL/var/{log,lib}/nginx
# mkdir -p $JAIL/www/cgi-bin
# mkdir -p $JAIL/{run,tmp}
# cd $JAIL; ln -s usr/lib lib

{{Note|64ビットのカーネルを使っている場合 {{ic|usr/lib}} に {{ic|lib64}} と {{ic|usr/lib64}} のシンボリックリンクを作成する必要があります: {{ic|cd $JAIL; ln -s usr/lib lib64}} と {{ic|cd $JAIL/usr; ln -s lib lib64}}。}}

そして {{ic|$JAIL/tmp}} と {{ic|$JAIL/run}} を tmpfs でマウントします。攻撃者が RAM を全て喰いつくせないようにサイズを制限すると良いでしょう。

# mount -t tmpfs none $JAIL/run -o 'noexec,size=1M'
# mount -t tmpfs none $JAIL/tmp -o 'noexec,size=100M'

再起動してもマウントが維持されるように、以下のエントリを {{ic|/etc/fstab}} に追加します:

{{hc|/etc/fstab|<nowiki>
tmpfs /srv/http/run tmpfs rw,noexec,relatime,size=1024k 0 0
tmpfs /srv/http/tmp tmpfs rw,noexec,relatime,size=102400k 0 0
</nowiki>}}

=== chroot に移住 ===

まず平易なファイルをコピーします。

# cp -r /usr/share/nginx/* $JAIL/usr/share/nginx
# cp -r /usr/share/nginx/html/* $JAIL/www
# cp /usr/bin/nginx $JAIL/usr/bin/
# cp -r /var/lib/nginx $JAIL/var/lib/nginx

そして必要なライブラリをコピーします。ldd を使ってライブラリを確認して適当な場所にコピーして下さい。ハードリンクよりはコピーが推奨されます。攻撃者が書き込み権限を得たときに本当のシステムファイルが破壊されたり改変される可能性があるためです。

{{hc|$ ldd /usr/bin/nginx|<nowiki>
linux-vdso.so.1 (0x00007fffc41fe000)
libpthread.so.0 => /usr/lib/libpthread.so.0 (0x00007f57ec3e8000)
libcrypt.so.1 => /usr/lib/libcrypt.so.1 (0x00007f57ec1b1000)
libstdc++.so.6 => /usr/lib/libstdc++.so.6 (0x00007f57ebead000)
libm.so.6 => /usr/lib/libm.so.6 (0x00007f57ebbaf000)
libpcre.so.1 => /usr/lib/libpcre.so.1 (0x00007f57eb94c000)
libssl.so.1.0.0 => /usr/lib/libssl.so.1.0.0 (0x00007f57eb6e0000)
libcrypto.so.1.0.0 => /usr/lib/libcrypto.so.1.0.0 (0x00007f57eb2d6000)
libdl.so.2 => /usr/lib/libdl.so.2 (0x00007f57eb0d2000)
libz.so.1 => /usr/lib/libz.so.1 (0x00007f57eaebc000)
libGeoIP.so.1 => /usr/lib/libGeoIP.so.1 (0x00007f57eac8d000)
libgcc_s.so.1 => /usr/lib/libgcc_s.so.1 (0x00007f57eaa77000)
libc.so.6 => /usr/lib/libc.so.6 (0x00007f57ea6ca000)
/lib64/ld-linux-x86-64.so.2 (0x00007f57ec604000)</nowiki>}}

# cp /lib64/ld-linux-x86-64.so.2 $JAIL/lib

{{ic|/usr/lib}} の中にあるファイルについては次のワンライナーが使えます:
{{bc|<nowiki># cp $(ldd /usr/bin/nginx | grep /usr/lib | sed -sre 's/(.+)(\/usr\/lib\/\S+).+/\2/g') $JAIL/usr/lib</nowiki>}}

{{Note|{{ic|linux-vdso.so}} をコピーしないでください – 実際のライブラリではなく {{ic|/usr/lib}} には存在しません。64ビット環境の場合 {{ic|ld-linux-x86-64.so}} も {{ic|/lib64}} にあるように表示されます。}}

必要なライブラリとシステムファイル以外のファイルをコピーします。

{{bc|# cp /usr/lib/libnss_* $JAIL/usr/lib
# cp -rfvL /etc/{services,localtime,nsswitch.conf,nscd.conf,protocols,hosts,ld.so.cache,ld.so.conf,resolv.conf,host.conf,nginx} $JAIL/etc}}

Create restricted user/group files for the chroot. This way only the
users needed for the chroot to function exist as far as the chroot
knows, and none of the system users/groups are leaked to attackers
should they gain access to the chroot.

{{hc|$JAIL/etc/group|
http:x:33:
nobody:x:99:
}}

{{hc|$JAIL/etc/passwd|
http:x:33:33:http:/:/bin/false
nobody:x:99:99:nobody:/:/bin/false
}}

{{hc|$JAIL/etc/shadow|
http:x:14871::::::
nobody:x:14871::::::
}}

{{hc|$JAIL/etc/gshadow|
http:::
nobody:::
}}

# touch $JAIL/etc/shells
# touch $JAIL/run/nginx.pid

Finally make set very restrictive permissions. As much as possible
should be owned by root and set unwritable.

# chown -R root:root $JAIL/

# chown -R http:http $JAIL/www
# chown -R http:http $JAIL/etc/nginx
# chown -R http:http $JAIL/var/{log,lib}/nginx
# chown http:http $JAIL/run/nginx.pid

# find $JAIL/ -gid 0 -uid 0 -type d -print | xargs sudo chmod -rw
# find $JAIL/ -gid 0 -uid 0 -type d -print | xargs sudo chmod +x
# find $JAIL/etc -gid 0 -uid 0 -type f -print | xargs sudo chmod -x
# find $JAIL/usr/bin -type f -print | xargs sudo chmod ug+rx
# find $JAIL/ -group http -user http -print | xargs sudo chmod o-rwx
# chmod +rw $JAIL/tmp
# chmod +rw $JAIL/run

If your server will bind port 80 (or any port 0-1024), give the
chrooted executable permission to bind these ports without root.

# setcap 'cap_net_bind_service=+ep' $JAIL/usr/bin/nginx

=== nginx.service を変更して chroot を起動 ===

Before modifying the nginx.service unit file, it may be a good idea to copy it to
{{ic|/etc/systemd/system/}} since the unit files there take priority over those in {{ic|/usr/lib/systemd/system/}}.
This means upgrading nginx would not modify your custom .service file.
# cp /usr/lib/systemd/system/nginx.service /etc/systemd/system/nginx.service

The systemd unit must be changed to start up Nginx in the chroot, as
the http user, and store the pid file in the chroot
{{Note|I'm not sure if the pid file needs to be stored in the chroot jail.}}

{{hc|/etc/systemd/system/nginx.service|<nowiki>
[Unit]
Description=A high performance web server and a reverse proxy server
After=syslog.target network.target

[Service]
Type=forking
PIDFile=/srv/http/run/nginx.pid
ExecStartPre=/usr/bin/chroot --userspec=http:http /srv/http /usr/bin/nginx -t -q -g 'pid /run/nginx.pid; daemon on; master_process on;'
ExecStart=/usr/bin/chroot --userspec=http:http /srv/http /usr/bin/nginx -g 'pid /run/nginx.pid; daemon on; master_process on;'
ExecReload=/usr/bin/chroot --userspec=http:http /srv/http /usr/bin/nginx -g 'pid /run/nginx.pid; daemon on; master_process on;' -s reload
ExecStop=/usr/bin/chroot --userspec=http:http /srv/http /usr/bin/nginx -g 'pid /run/nginx.pid;' -s quit

[Install]
WantedBy=multi-user.target</nowiki>}}

{{Note|Upgrading nginx with pacman will not upgrade the chrooted nginx installation. You have to take care of the updates manually by repeating some of the steps above. Do not forget to also update the libraries it links against. }}

You can now safely get rid of the non-chrooted nginx installation.
# pacman -Rsc nginx

If you do not remove the non-chrooted nginx installation, you may want to make sure that the running nginx process is in fact the chrooted one. You can do so by checking where {{ic|/proc/{PID}/root}} symmlinks to. If should link to {{ic|/srv/http}} instead of {{ic|/}}.
# ps -C nginx | awk '{print $1}' | sed 1d | while read -r PID; do ls -l /proc/$PID/root; done

== トラブルシューティング ==

=== 設定の確認 ===
# nginx -t

結果:

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

=== ローカル IP へのアクセスが localhost にリダイレクトされる ===

Arch Linux [https://bbs.archlinux.org/viewtopic.php?pid=780561#p780561 フォーラム]からの解決法があります。

{{ic|/etc/nginx/nginx.conf}} を開き、"server_name localhost" の前の # を取り除き、以下を付け加えます:
server_name_in_redirect off;

デフォルトでは、nginx は設定にある server_name へのリクエストをすべてリダイレクトします。

=== Error: 403 (Permission error) ===

This is most likely a permission error. Are you sure whatever user configured in the Nginx configuration is able to read the correct files?

If the files are located within a home directory, (e.g. {{ic|/home/arch/public/webapp}}) and you are sure the user running Nginx has the right permissions (you can temporarily chmod all the files to 777 in order to determine this), {{ic|/home/arch}} might be '''chmod 750''', simply {{Ic|chmod}} it to ''751'', and it should work.

'''If you have changed your document root'''

If you are sure that permissions are as they should be, make sure that your document root directory is not empty. Try creating index.html in there.

=== Error: 404 (Pathinfo error) ===

いくつかのフレームワーク（thinkphp、cakephp など）や CMS では pathinfo が必要です。

1. {{ic|/etc/php/php.ini}} ファイルを開き、次のように付け加えます
cgi.fix_pathinfo=1
2. {{ic|/etc/nginx/nginx.conf}} を開き、次の部分をコメントアウトします

location ~ \.php$ {
...
}

を

#location ~ \.php$ {
#...
#}

そして以下を加えます
location ~ ^(.+\.php)(.*)$ {
root /srv/http/nginx;
fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock;
#fastcgi_pass 127.0.0.1:9000; #Un-comment this and comment "fastcgi_pass unix:/var/run/php-fpm/php-fpm.sock;" if you are not using php-fpm.
fastcgi_index index.php;
set $document_root2 $document_root;
if ($document_root2 ~ "^(.*\\\\).*?[\\\\|\/]\.\.\/(.*)$") { set $document_root2 $1$2; }
if ($document_root2 ~ "^(.*\\\\).*?[\\\\|\/]\.\.\/(.*)$") { set $document_root2 $1$2; }
if ($document_root2 ~ "^(.*\\\\).*?[\\\\|\/]\.\.\/(.*)$") { set $document_root2 $1$2; }
if ($document_root2 ~ "^(.*\\\\).*?[\\\\|\/]\.\.\/(.*)$") { set $document_root2 $1$2; }
if ($document_root2 ~ "^(.*\\\\).*?[\\\\|\/]\.\.\/(.*)$") { set $document_root2 $1$2; }
fastcgi_split_path_info ^(.+\.php)(.*)$;
fastcgi_param SCRIPT_FILENAME $document_root2$fastcgi_script_name;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_param PATH_TRANSLATED $document_root2$fastcgi_path_info;
include fastcgi_params;
fastcgi_param DOCUMENT_ROOT $document_root2;
}

try_files を使う方法もあります:
server {
..
root /usr/share/nginx/html;
index index.php;
location / {
try_files $uri $uri/ /index.php?$args;
}
}

=== Error: The page you are looking for is temporarily unavailable. Please try again later. ===

FastCGI サーバーが動作していないか、ソケットが間違ったパーミッションに設定されています。

=== Error: No input file specified ===

おそらくスクリプトのフルパスを含んだ SCRIPT_FILENAME がありません。
nginx の設定 (fastcgi_param SCRIPT_FILENAME) が完全でも、このエラーは php が requestd スクリプトをロードできないことを意味しています。これは単純にパーミッションの問題であることが普通で、root で php-cgi を実行するか
# spawn-fcgi -a 127.0.0.1 -p 9000 -f /usr/bin/php-cgi
php-cgi を起動するグループとユーザーを作成する必要があります。例えば:
# groupadd www
# useradd -g www www
# chmod +w /srv/www/nginx/html
# chown -R www:www /srv/www/nginx/html
# spawn-fcgi -a 127.0.0.1 -p 9000 -u www -g www -f /usr/bin/php-cgi

他の可能性としては、{{ic|nginx.conf}} 内の "location ~ \.php$" セクションの "root" 引数が間違っていることがありえます。"root" が同じサーバーの "location /" と同じディレクトリを示しているか確認してください。もしくは root をグローバルに設定するには、location セクションで定義しないでください。

Also keep in mind that your php script path was defined as {{ic|/srv/http}} by default using the variable "open_basedir" in {{ic|/etc/php/php.ini}}; you can change them if you need.

Also notice that not only php script should have read permission, but also the entire directory structure should have execute permission so that PHP user can traverse the path.

=== Error: FastCGI で空のページが表示される ===

access.log にエラーが表示されず、コード200が返されるのに以下のような空のページが表示される場合:

<html>
<head></head>
<body></body>
</html>

[http://beutelevision.com/blog2/2013/08/26/nginx-with-php-fpm-generating-blank-page/ Thomas Beutel のブログ] に書かれた解決方法:

{{ic|/etc/nginx/nginx.conf}} を編集して php の {{ic|location}} セクションに {{ic|fastcgi_param}} という行を追加:

location ~ \.php$ {
...
include fastcgi_params;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
...
}

php_fpm では PHP ファイルのパスを認識するために以上のように設定する必要があります。

== 参照 ==
* [http://nginx.org/ Nginx 公式サイト]
* [http://calomel.org/nginx.html Nginx HowTo]
* [http://wiki.gotux.net/config:nginx Easy Config Files]
* [http://www.tecmint.com/install-nginx-php-mysql-with-mariadb-engine-and-phpmyadmin-in-arch-linux/ Installing LEMP (Nginx, PHP, MySQL with MariaDB engine and PhpMyAdmin) in Arch Linux]

Partclone

2015-12-20T00:45:09Z

Aosho235: fix typo

[[Category:ファイルシステム]]
[[en:Partclone]]
[http://partclone.org Partclone] は有名な [http://www.partimage.org/Main_Page Partimage] と同じように、使用しているブロックだけを考慮してパーティションのバックアップ・リストアをすることができます。

==インストール==

[[公式リポジトリ]]から {{Pkg|partclone}} をインストールしてください。

==ext4 でフォーマットされたパーティションで Partclone を使う==

===圧縮を使用しない===

圧縮を''使わないで''バックアップするには:
$ partclone.ext4 -c -s /dev/sda1 -o ~/image_sda1.pcl

リストアするには:
$ partclone.ext4 -r -s ~/image_sda1.pcl -o /dev/sda1

===圧縮を使用する===

圧縮を''使って''バックアップするには:
$ partclone.ext4 -c -s /dev/sda1 | gzip -c > ~/image_sda1.pcl.gz

{{Note|最大限圧縮したいときは "gzip -c9" を使ってください。}}

リストアするには:
zcat ~/image_sda1.pcl.gz | partclone.ext4 -r -o /dev/sda1

Getty

2015-12-19T23:46:14Z

Aosho235: newlineは改行コード（LF）のことだと思われるので

{{Lowercase title}}
[[Category:ブートプロセス]]
[[en:Getty]]
[[zh-CN:Getty]]
{{Related articles start}}
{{Related|ディスプレイマネージャ}}
{{Related|ブートメッセージのクリアの無効化}}
{{Related|仮想端末に自動ログイン}}
{{Related articles end}}
'''getty''' はターミナルのラインと接続されたターミナルを管理するプログラムの総称です。getty の目的は権限のないアクセスからシステムを保護することにあります。通常、getty のプロセスは [[init]] によって起動され、ターミナルのラインを管理します。Arch Linux の標準的な環境では、getty プロセスによって管理されるターミナルは仮想端末として実装されています。デフォルトで6つの仮想端末が用意され、普通は {{ic|Ctrl+Alt+F1}} から {{ic|Ctrl+Alt+F6}} を押すことでアクセスすることができます。

== agetty ==

{{ic|agetty}} プログラムは Arch Linux におけるデフォルトの getty であり、Arch Linux のベース環境に含まれている {{Pkg|util-linux}} パッケージに入っています。ログインを待機している間は改行コード（LF）が CR–LF に変換されないように TTY の設定を変更します。この設定によってコンソールに出力されたメッセージに"階段効果"が発生することがあります (例えば [[Init]] によって起動されたプログラムの出力)。

== fgetty ==

mingetty から派生した {{AUR|fgetty}} は [[Arch User Repository]] の非公式パッケージでインストールできます。fgetty は"階段効果"を起こしません。[[Wikipedia:Pluggable authentication module|Pluggable Authentication Module]] (SHA-2 を含む) に対応するにはパッチの適用された {{AUR|fgetty-pam}} が必要になります。

== その他 ==

* '''mingetty''' AUR {{AUR|mingetty}}
* '''[[qingy]]''' AUR パッケージ: {{AUR|qingy}}
* '''fbgetty''' 公式パッケージ: {{Pkg|fbgetty}}
* '''ngetty''' AUR: {{AUR|ngetty}}
* '''rungetty''' AUR: {{AUR|rungetty}}
* '''mgetty''' AUR: {{AUR|mgetty}}

Bash

2015-12-19T23:26:06Z

Aosho235:

[[Category:コマンドシェル]]
[[de:Bash]]
[[en:Bash]]
[[es:Bash]]
[[it:Bash]]
[[ru:Bash]]
[[zh-CN:Bash]]
{{Related articles start}}
{{Related|Bash/関数}}
{{Related|環境変数}}
{{Related|Readline}}
{{Related|Bash カラープロンプト}}
{{Related|Fortune}}
{{Related|Pkgfile#"Command not found" フック}}
{{Related articles end}}
'''Bash''' (Bourne-again Shell) は [[GNU プロジェクト]]による[[シェル|コマンドラインシェル]]・プログラミング言語です。Bash という名前は先祖の名前のオマージュから来ています: 長い間非推奨であった Bourne shell です。Bash は GNU/Linux を含む様々な UNIX ライクなオペレーティングシステムで動作します。

== 実行 ==

Bash の挙動は呼び出し方によって変わります。以下では様々なモードの説明を行います。

tty における {{ic|login}} や [[SSH]] デーモンによって Bash が実行された場合、それは'''ログインシェル'''です。このモードは {{ic|-l}} もしくは {{ic|--login}} コマンドラインオプションを使うことでも呼び出すことができます。

{{ic|-c}} オプションをつけずに実行された場合や何もオプションを付けずに実行された場合の Bash は'''インタラクティブシェル'''です。標準入力やエラーはターミナルに接続されます。

=== レガシーモード ===

Arch では {{ic|/bin/sh}} (Bourne shell の実行ファイルとして使用されていました) は {{ic|/bin/bash}} にシンボリックリンクされています。Bash が {{ic|sh}} という名前で起動された場合、POSIX 互換の伝統的な {{ic|sh}} の始動時の挙動を模倣します。

レガシーモードで実行されたログインシェルは {{ic|/etc/profile}}、そして {{ic|~/.profile}} を読み込みます。

=== 設定ファイル ===

{| class="wikitable"
! ファイル
! ファイルのコマンドが読み込まれて実行 (''source'') される時
|-
| {{ic|/etc/profile}}
| ''ログイン''シェルでもある''インタラクティブ''シェル (例えば、{{ic|/usr/bin/login}})。{{ic|/etc/profile.d/*.sh}} や {{ic|/etc/bash.bashrc}} に記述されたアプリケーションの設定を読み込みます。
|-
| {{ic|/etc/bash.bashrc}}
| インタラクティブシェル (例えば、[[ターミナルエミュレータ]])。{{ic|1=-DSYS_BASHRC="/etc/bash.bashrc"}} コンパイルフラグに依存します。{{ic|/usr/share/bash-completion/bash_completion}} を読み込みます。
|-
| {{ic|~/.bash_profile}}
| ログインシェルでもあるインタラクティブシェル。{{ic|/etc/profile}} の後にユーザー別で読み込まれます。ファイルが存在しない場合は {{ic|~/.bash_login}} と {{ic|~/.profile}} がこの順番でチェックされます。スケルトンファイル {{ic|/etc/skel/.bash_profile}} は {{ic|~/.bashrc}} も読み込みます。
|-
| {{ic|~/.bashrc}}
| インタラクティブシェル。{{ic|/etc/bash.bashrc}} の後にユーザー別で読み込まれます。
|-
| {{ic|~/.bash_logout}}
| ログインシェルが終了した後。
|}

手短に言えば、全てのインタラクティブシェルは {{ic|/etc/bash.bashrc}} と {{ic|~/.bashrc}} を読み込み、インタラクティブな''ログイン''シェルはそれに加えて {{ic|/etc/profile}} と {{ic|~/.bash_profile}} も読み込みます。

{{Note|インタラクティブだが、ログインシェルでない場合は {{ic|~/.bash_profile}} は''読み込まれません''が、親プロセス (ログインシェルでもあり得る) の環境は承継されます。詳しくは [http://mywiki.wooledge.org/ProcessManagement#On_processes.2C_environments_and_inheritance] を参照。}}

順序の完全な説明は {{ic|man 1 bash}} や [http://www.gnu.org/software/bash/manual/bash.html#Bash-Startup-Files] の ''INVOCATION'' セクションを見て下さい。

=== シェルと環境変数 ===

Bash と Bash によって実行されたプログラムの挙動は様々な環境変数によって左右されます。[[環境変数]]を使うことでコマンドの検索ディレクトリや使用するブラウザなどの有用な値を保存することができます。新しいシェルやスクリプトが起動されると親の変数が継承され、シェル変数の内部セットを使ってスタートします [http://www.kingcomputerservices.com/unix_101/understanding_unix_shells_and_environment_variables.htm]。

Bash のシェル変数は環境変数にするためにエクスポートすることが可能です:

VARIABLE=content
export VARIABLE

もしくはショートカットを使って:

export VARIABLE=content

環境変数は {{ic|~/.profile}} や {{ic|/etc/profile}} に記述するのがしきたりで、全ての bourne 互換シェルはこれらのファイルを使用します。

詳しくは[[環境変数]]を参照してください。

== コマンドライン ==

Bash のコマンドラインは [[Readline]] という名前の別のライブラリによって処理されています。Readline にはコマンドラインを使用するための多数のショートカットがあります。単語ごとに前後に移動、単語の削除など。また、入力したコマンドの[[Readline#履歴|履歴]]を管理するのも Readline の仕事です。最後に、また重要なことですが、Readline は[[Readline#マクロ|マクロ]]を作成するのを可能にします。

=== タブ補完 ===

[[Wikipedia:Command-line_completion|タブ補完]]は {{ic|Tab}} を二回押すことによって途中まで入力したコマンドを自動で補完するオプションです (デフォルトで有効)。

==== シングルタブ機能 ====

複数の補完候補があるときに {{ic|Tab}} を一回押して表示するようにするには:

{{hc|~/.inputrc|
set show-all-if-ambiguous on
}}

また、補完ができないときに候補を表示するには:

{{hc|~/.inputrc|
set show-all-if-unmodified on
}}

==== プログラムとオプションを追加 ====

Bash がネイティブでタブ補完をサポートしているのは: コマンド, ファイル名, 変数です。この機能は {{Pkg|bash-completion}} パッケージで拡張することができます。このパッケージは人気のコマンドやそのオプションのタブ補完のサブセットを追加して機能を拡張します。{{Pkg|bash-completion}} を使った場合、通常の補完は挙動が少し変わるので注意してください ({{ic|$ ls file.*<tab><tab>}} など)。ただし、{{ic|$ compopt -o bashdefault <prog>}} で再度有効にすることができます (詳しくは [https://bbs.archlinux.org/viewtopic.php?id=128471] や [https://www.gnu.org/software/bash/manual/html_node/Programmable-Completion-Builtins.html] を参照)。また、古いシステムでは {{Pkg|bash-completion}} はあまり役に立たないかもしれません。

==== プログラムとオプションを手動で追加 ====

{{ic|complete -cf your_command}} という形式の行を使って基本的な補完ができます ({{Pkg|bash-completion}} の設定と衝突します):

{{hc|~/.bashrc|
complete -cf sudo
complete -cf man
}}

=== 履歴補完 ===

履歴補完は矢印キー (下と上) で使います (参照: [[Readline#履歴]] と [https://www.gnu.org/software/bash/manual/html_node/Readline-Init-File-Syntax.html Readline Init File Syntax]):

{{hc|~/.bashrc|
bind '"\e[A": history-search-backward'
bind '"\e[B": history-search-forward'
}}

or:

{{hc|~/.inputrc|
"\e[A": history-search-backward
"\e[B": history-search-forward
}}

=== Ctrl による高速な単語移動 ===

Bash では {{ic|Ctrl+Left}} と {{ic|Ctrl+Right}} を使って単語ごとに素早く移動できるようにすることができます。

{{hc|~/.inputrc|
"\e[1;5C": forward-word
"\e[1;5D": backward-word
"\e[5C": forward-word
"\e[5D": backward-word
"\e\e[C": forward-word
"\e\e[D": backward-word
}}

=== Zsh の run-help 機能 ===

Zsh では {{ic|Alt+h}} を押すことで入力したコマンドのマニュアルを呼び出すことができます。同じことは Bash でも以下の行を {{ic|inputrc}} ファイルに追加することで可能です:
{{hc|/etc/inputrc|
"\eh": "\C-a\eb\ed\C-y\e#man \C-y\C-m\C-p\C-p\C-a\C-d\C-e"
}}

== エイリアス ==

[[Wikipedia:Alias_(command)|alias]] は特定の単語を別の文字列で置き換えるコマンドです。システムコマンドを短縮したり、日頃使っているコマンドにデフォルトの引数を追加するのに使用します。

個人的なエイリアスはなるべく {{ic|~/.bashrc}} に保存し、システム全体の (全てのユーザーに影響を与える) エイリアスは {{ic|/etc/bash.bashrc}} に記述します。エイリアスの例は [https://gist.github.com/anonymous/a9055e30f97bd19645c2] や [[Pacman ヒント#ショートカット]] を見て下さい。

関数については、[[Bash/関数]]を参照。

== Tips and tricks ==

=== プロンプトのカスタマイズ ===

Bash のプロンプトは {{ic|$PS1}} 変数で変わります。Bash プロンプトをカラー化したい場合、以下を使って下さい:
{{hc|~/.bashrc|2=
#PS1='[\u@\h \W]\$ ' # To leave the default one
#DO NOT USE RAW ESCAPES, USE TPUT
reset=$(tput sgr0)
red=$(tput setaf 1)
blue=$(tput setaf 4)
green=$(tput setaf 2)

PS1='\[$red\]\u\[$reset\] \[$blue\]\w\[$reset\] \[$red\]\$ \[$reset\]\[$green\] '
}}
上の {{ic|$PS1}} は赤色の記号と緑色のコンソールテキストの root の Bash プロンプトで有用です。詳しくは、次を参照: [[Bash カラープロンプト]]。

==== タイトルのカスタマイズ ====

{{ic|$PROMPT_COMMAND}} 変数を使うことでプロンプトの前にコマンドを実行することができます。例えば、タイトルを現在のカレントディレクトリに変更:

{{hc|~/.bashrc|<nowiki>
export PROMPT_COMMAND='echo -ne "\033]0;$PWD\007"'
</nowiki>}}

以下の設定はタイトルを最後に実行したコマンドに変更します、history ファイルが常に最新か確認してください:
{{hc|~/.bashrc|<nowiki>
export HISTCONTROL=ignoreboth
export HISTIGNORE='history*'
export PROMPT_COMMAND='history -a;echo -en "\e]2;";history 1|sed "s/^[ \t]*[0-9]\{1,\} //g";echo -en "\e\\";'
</nowiki>}}

=== ターミナルで Ctrl+z を無効化 ===

コマンドを以下のようにすることで {{ic|Ctrl+z}} 機能 (アプリケーションの停止/終了) を無効化できます:

#!/bin/bash
trap "" 20
''adom''

これで {{AUR|adom}} で {{ic|Shift+z}} の代わりに間違って {{ic|Ctrl+z}} を押してしまっても {{ic|Ctrl+z}} は無視されるため何も起こりません。

=== ログアウト後に画面をクリア ===

仮想ターミナルでログアウト後に画面を消去するには:
{{hc|~/.bash_logout|
clear
reset
}}

=== ASCII カレンダー ===

[http://www.openbsd.org/cgi-bin/man.cgi?query=calendar&sektion=1 calendar] ファイルを {{ic|~/.calendar}} ディレクトリにインストールするには {{Pkg|rpmextract}} パッケージが必要になります。インストールしたらホームディレクトリから、以下を実行してください:

$ mkdir -p ~/.calendar
$ curl -o calendar.rpm ftp://ftp.univie.ac.at/systems/linux/fedora/epel/5/x86_64/calendar-1.25-4.el5.x86_64.rpm
$ rpm2cpio calendar.rpm | bsdtar -C ~/.calendar --strip-components=4 -xf - ./usr/share/c*

次のコマンドでカレンダーアイテムを出力します:

$ sed -n "/$(date +%m\\/%d\\\|%b\*\ %d)/p" $(find ~/.calendar /usr/share/calendar -maxdepth 1 -type f -name 'c*' 2>/dev/null);

=== パスを入力したら自動で "cd" ===

シェルにパスだけを入力したとき Bash に {{ic|cd }} を自動で前につけるようにすることができます。例えば:
{{hc|$ /etc|
bash: /etc: Is a directory
}}

しかし以下の設定をすると:
{{hc|~/.bashrc|
shopt -s autocd
}}

次の通り:
[user@host ~] $ /etc
cd /etc
[user@host etc]

== トラブルシューティング ==

=== ウィンドウをリサイズした時の行の折り返し ===

[[ターミナルエミュレータ]]のウィンドウサイズを変更した時、Bash はリサイズシグナルを受け取れないことがあります。そうすると入力したテキストが正しく折り返されずにプロンプトをはみ出してしまいます。{{ic|checkwinsize}} シェルオプションはコマンドごとにウィンドウサイズの確認を行い、必要ならば、{{ic|LINES}} と {{ic|COLUMNS}} の値を更新します。

{{hc|~/.bashrc|
shopt -s checkwinsize
}}

=== ignoreeof が設定されているのにシェルが終了する ===

{{ic|ignoreeof}} オプションを設定したのに何度も {{ic|ctrl-d}} を押すとシェルが終了するのは、このオプションではこのキーバインド (正確には EOF 文字列) を押しても10回まではシェルが終了しないようになっているためです。

回数を上げるには、IGNOREEOF 変数を設定してください。例:
export IGNOREEOF=100

== 参照 ==

* [https://www.gnu.org/software/bash/manual/bashref.html Bash Reference]
* [https://www.gnu.org/software/bash/manual/bash.html Bash manual page]
* [https://www.gnu.org/software/bash/manual/html_node/Readline-Init-File-Syntax.html Readline Init File Syntax]
* [http://www.aosabook.org/en/bash.html The Bourne-Again Shell] - The third chapter of ''The Architecture of Open Source Applications''
* [http://shellcheck.net Shellcheck] - Check bash scripts for common errors

=== チュートリアル ===

* [http://mywiki.wooledge.org/BashGuide BashGuide on Greg's Wiki]
* [http://mywiki.wooledge.org/BashFAQ BashFAQ on Greg's Wiki]
* [http://wiki.bash-hackers.org/doku.php Bash Hackers Wiki]
* [http://tldp.org/LDP/abs/html/ Advanced Bash Scripting Guide]
* [http://www.grymoire.com/Unix/Quote.html Quote Tutorial]
* [http://linuxtutorial.todolistme.net Introduction to Bash]

=== コミュニティ ===

* [irc://irc.freenode.net#bash An active and friendly IRC channel for Bash]
* [http://bashscripts.org Bashscripts.org]

=== サンプル ===

* [http://tldp.org/HOWTO/Xterm-Title-4.html How to change the title of an xterm]

ディスクのクローン

2015-12-19T23:14:54Z

Aosho235: 一部翻訳

[[Category:データ圧縮とアーカイブ]]
[[Category:システムリカバリ]]
[[en:Disk cloning]]
[[it:Disk cloning]]
[[ru:Disk cloning]]
[[tr:Disk klonlama]]
[[zh-cn:Disk cloning]]
ディスクのクローンとはパーティションやハードドライブ全体のイメージを作成することを言います。[[バックアッププログラム|バックアップ]]や[[ファイルリカバリ|リカバリ]]用に他のコンピューターにドライブをコピーするのに役立ちます。

== dd を使う ==

dd コマンドはシンプルでありながら、多目的に使える強力なツールです。ファイルシステムのタイプやオペレーティングシステムとは関係なく、ブロックごとに、コピーを行うことができます。ライブ CD などの、ライブ環境から dd を使用すると便利です。

{{Warning|この種のコマンドの常として、使うときは慎重にならなければなりません。さもないとデータを破壊するおそれがあります。入力ファイル({{ic|1=if=}})と出力ファイル({{ic|1=of=}})の順序に注意し、逆にしないように！必ずコピー先ドライブまたはパーティションのサイズがコピー元のサイズ以上になっているようにしてください ({{ic|1=if=}})。}}

=== パーティションのクローン ===

物理ディスク {{ic|/dev/sda}} のパーティション 1 を、物理ディスク {{ic|/dev/sdb}} のパーティション 1 に複製。
# dd if=/dev/sda1 of=/dev/sdb1 bs=512 conv=noerror,sync

{{Warning|出力ファイル{{ic|1=of=}} (この例では{{ic|sdb1}})が存在しない場合は、ルートファイルシステムにこの名前のファイルが作成されてしまいます。}}

=== ハードディスク全体のクローン ===

物理ディスク {{ic|/dev/sd''X''}} を物理ディスク {{ic|/dev/sdY}} に複製:
# dd if=/dev/sd''X'' of=/dev/sd''Y'' bs=512 conv=noerror,sync

このコマンドは MBR (とブートローダー)、全てのパーティション、UUID、データを含めディスクの全てを複製します。
* {{ic|noerror}} は読み取りエラーを全て無視して操作を続行します。dd のデフォルトの挙動ではエラーがあると dd は動作を停止します。
* {{ic|sync}} は読み取りエラーが存在した場合、入力ブロックをゼロで埋めるため、データのオフセットも同期します。
* {{ic|1=bs=512}} sets the block size to 512 bytes, the "classic" block size for hard drives. If and only if your hard drives have a 4 Kib block size, you may use "4096" instead of "512". Also, please read the warning below, because there is more to this than just "block sizes" -it also influences how read errors propagate.

{{Warning|The block size you specify influences how read errors are handled. Read below.}}

The ''dd'' utility technically has an "input block size" (IBS) and an "output block size" (OBS). When you set {{ic|bs}}, you effectively set both IBS and OBS. Normally, if your block size is, say, 1 Mib, ''dd'' will read 1024*1024 bytes and write as many bytes. But if a read error occurs, things will go wrong. Many people seem to think that ''dd'' will "fill up read errors with zeroes" if you use the {{ic|noerror,sync}} options, but this is not what happens. ''dd'' will, according to documentation, fill up the OBS to IBS size ''after completing its read'', which means adding zeroes at the ''end'' of the block. This means, for a disk, that effectively the whole 1 Mib would become messed up because of a single 512 byte read error in the beginning of the read: 12ERROR89 would become 128900000 instead of 120000089.

If you are positive that your disk does not contain any errors, you could proceed using a larger block size, which will increase the speed of your copying several fold. For example, changing bs from 512 to 64 Ki changed copying speed from 35 MB/s to 120 MB/s on a simple Celeron 2.7 GHz system. But keep in mind that read errors on the source disk will end up as ''block errors'' on the destination disk, i.e. a single 512-byte read error will mess up the whole 64 Kib output block.

{{Tip|''dd'' の進捗状況を表示したい場合、{{ic|1=status=progress}} オプションを使って下さい。詳しくは [[Core Utilities#dd]] を参照。}}

{{Note|
* To regain unique UUIDs of an ''ext2/3/4'' filesystem, use {{ic|tune2fs /dev/sd''XY'' -U random}} on every partition.
* Partition table changes from ''dd'' are not registered by the kernel. To notify of changes without rebooting, use a utility like ''partprobe'' (part of [[GNU Parted]]).
}}

=== MBR のバックアップ ===

MBR はディスクの頭512バイトに保存されています。MBR は3つの構成部位から成ります:

# 最初の446バイトにはブートローダーが含まれます。
# 次の64バイトにはパーティションテーブルが含まれます (16バイトごとに4エントリ、1つのエントリに1つのプライマリパーティション)。
# 最後の2バイトには識別子が含まれます。

MBR を {{ic|mbr.img}} ファイルに保存するには:
# dd if=/dev/sdX of=/path/to/mbr_file.img bs=512 count=1

リストアするには (注意: 以下の操作で既存のパーティションテーブルが破壊されディスク上の全てのデータにアクセスできなくなる可能性があります):
# dd if=/path/to/mbr_file.img of=/dev/sdX

ブートローダーだけをリストアして、プライマリパーティションテーブルのエントリはそのままにしたい場合、MBR の最初の446バイトだけをリストアしてください:
# dd if=/path/to/mbr_file.img of=/dev/sdX bs=446 count=1

パーティションテーブルだけをリストアするには、次のコマンドを使用します:
# dd if=/path/to/mbr_file.img of=/dev/sdX bs=1 skip=446 count=64

完全な dd ディスクイメージから MBR を取得することもできます:
# dd if=/path/to/disk.img of=/path/to/mbr_file.img bs=512 count=1

=== ディスクイメージの作成 ===

1. liveCD や liveUSB から起動。

2. コピー元ドライブの全てのパーティションがマウント解除されていることを確認する。

3. 外部 HD をマウント。

4. ドライブをバックアップ:
# dd if=/dev/sd''X'' conv=sync,noerror bs=64K | gzip -c > ''/path/to/backup.img.gz''

必要であれば (外部 HD が FAT32 でフォーマットされている場合など) ディスクイメージを分割します (''split'' の [[man ページ]]を参照):

# dd if=/dev/sd''X'' conv=sync,noerror bs=64K | gzip -c | split -a3 -b2G - ''/path/to/backup.img.gz''

ローカルに十分なディスク空き容量がない場合は、イメージをsshで転送すればよいです：

# dd if=/dev/sd''X'' conv=sync,noerror bs=64K | gzip -c | ssh user@local dd of=backup.img.gz

5. イメージ内に保存されたパーティションテーブルを解釈できるようにするために、ドライブのレイアウトに関する付加情報を保存します。
その情報の中で最も重要なのはシリンダーサイズです。

# fdisk -l /dev/sd''X'' > ''/path/to/list_fdisk.info''

{{Note|You may wish to use a block size ({{ic|1=bs=}}) that is equal to the amount of cache on the HD you are backing up. For example, {{ic|1=bs=8192K}} works for an 8 MiB cache. The 64 Kib mentioned in this article is better than the default {{ic|1=bs=512}} bytes, but it will run faster with a larger {{ic|1=bs=}}.}}

=== システムのリストア ===

システムをリストアするには:
# gunzip -c ''/path/to/backup.img.gz'' | dd of=/dev/sd''X''

もしくはイメージが複数のボリュームに分かれている場合:
# cat ''/path/to/backup.img.gz*'' | gunzip -c | dd of=/dev/sd''X''

== ディスククローンソフトウェア ==

=== Arch でディスククローン ===

* [[Partclone]] にはパーティション上の使用されているブロックを保存・復旧するためのユーティリティが入っており ext2, ext3, ext4, hfs+, reiserfs, reiser4, btrfs, vmfs3, vmfs5, xfs, jfs, ufs, ntfs, fat(12/16/32), exfat がサポートされています。オプションで、ncurses インターフェイスを使うこともできます。Partclone は community リポジトリからインストールできます。
* [http://www.partimage.org/ Partimage] は ''ncurses'' プログラムで、community リポジトリに入っています。Partimage は現在 ''ext4'' や ''btrfs'' ファイルシステムをサポートしていません。NTFS のサポートは実験段階です。

=== Arch の外からディスククローン ===

If you wish to backup or propagate your Arch install root, you are probably better off booting into something else and clone the partition from there. Some suggestions:

* [http://partedmagic.com/doku.php?id=start PartedMagic] has a very nice live cd/usb with PartImage and other recovery tools.
* [http://www.mondorescue.org/ Mindi] is a linux distribution specifically for disk clone backup. It comes with its own cloning program, Mondo Rescue.
* [[wikipedia:Acronis_True_Image|Acronis True Image]] is a commercial disk cloner for Windows. It allows you to create a live (from within Windows), so you do not need a working Windows install on the actual machine to use it. After registration of the Acronis software on their website, you will be able to download a Linux-based Live CD and/or plugins for BartPE for creation of the Windows-based live CD. It can also create a WinPE Live CD based on Windows. The created ISO Live CD image by Acronis doesn't have the [http://www.syslinux.org/wiki/index.php/Isohybrid hybrid boot] ability and cannot be written to USB storage as a raw file.
* [http://www.fsarchiver.org/Main_Page FSArchiver] allows you to save the contents of a file system to a compressed archive file. Can be found on the [http://www.sysresccd.org/Main_Page System Rescue CD].
* [http://clonezilla.org/ Clonezilla] is an enhanced partition imager which can also restore entire disks as well as partitions. Clonezilla is included on the Arch Linux installation media.
* [http://redobackup.org/ Redo Backup and Recovery] is a Live CD featuring a graphical front-end to ''partclone''.

== 参照 ==

* [[Wikipedia:List of disk cloning software]]
* [https://bbs.archlinux.org/viewtopic.php?id=4329 Arch Linux フォーラムスレッド]

忘れてしまった root パスワードをリセットする

2015-12-19T23:00:21Z

Aosho235: 2つの方法を区別しやすくした

[[Category:システムリカバリ]]
[[Category:セキュリティ]]
[[ar:Password Recovery]]
[[en:Password Recovery]]
[[it:Password Recovery]]
[[ru:Password Recovery]]
[[zh-cn:Password Recovery]]
このページでは忘れてしまった root パスワードをリカバリする方法を記述します。複数の方法があります。

== LiveCD を使う ==

LiveCD を使ってリカバリする方法は2つあります: change root と {{Ic|passwd}} コマンドを使う方法、またはパスワードエントリを消去する方法です。アーキテクチャが一致していれば、どの Linux の LiveCD でも使うことができます。

=== Change Rootとpasswdを使う方法 ===

# LiveCD を起動して [[Change Root|change root]] して下さい。
# {{Ic|passwd}} コマンドでルートパスワードを再設定します。
# [[Change Root|change root]] を終了してください。
# 再起動して、先に設定したパスワードを使います。

=== パスワードエントリを消去する方法 ===

1. LiveCD を起動しルートパーティション('''/''')をマウントしてください:

mkdir /mnt/arch
mount /dev/sda2 /mnt/arch

2. 好きなエディタでパスワードを編集します。vim の場合:

vim /mnt/arch/etc/shadow

3. root 行の2番目の項目を削除してください ([[vim]] では項目の最初の文字まで移動し '''d/:/''' とタイプしてから '''Enter''' を押す):

root:'''$1$9gDquXRP$gbOHLXuqslL.rw81q4pHc1''':14589::::::

4. ファイルを保存します。 (''':x''' in vim).

5. 再起動します。root ログインにパスワードは要求されなくなっているはずです。

== Bash を起動するために GRUB を使う ==

1. 起動時、GRUB メニューから適切なブートエントリを選び '''e''' を押します。

2. kernel 行を選びもう一度 '''e''' を押して編集に入ります。

3. 行の終末に {{Ic|1=init=/bin/bash}} を追加して下さい。

4. '''b''' を押して起動します(この変更は一時的なものであり、menu.lst には書き込まれません)。起動後、bash プロンプトが表示されます。

5. ルートファイルシステムが readonly でマウントされているはずなので、read/write でマウントし直します:

# mount -n -o remount,rw /

6. {{Ic|passwd}} コマンドを使って新しい root パスワードを作って下さい。

7. 再起動します。次からはパスワードを忘れないようにしましょう。

{{Note|init システムによってキーボードが正しくロードされず、bash プロンプトで何も入力できなくなることがあります。このような場合には、違う方法を使って下さい。}}

== 参照 ==

* [http://www.howtoforge.com/how-to-reset-a-forgotten-root-password-with-knoppix-p2 このガイド]に例が載っています。