https://wiki.archlinux.jp/api.php?action=feedcontributions&feedformat=atom&user=Hkiku482
ArchWiki - 利用者の投稿記録 [ja]
2026-05-25T10:28:25Z
利用者の投稿記録
MediaWiki 1.44.3
https://wiki.archlinux.jp/index.php?title=Nftables&diff=41332
Nftables
2026-02-13T18:48:27Z
<p>Hkiku482: /* マスカレード */ 同期</p>
<hr />
<div>{{DISPLAYTITLE:nftables}}<br />
[[Category:ファイアウォール]]<br />
[[en:nftables]]<br />
{{Related articles start}}<br />
{{Related|iptables}}<br />
{{Related|Firewalld}}<br />
{{Related articles end}}<br />
[https://netfilter.org/projects/nftables/ nftables] は既存の ip-, ip6-, arp-, ebtables フレームワークを置き換える netfilter のプロジェクトです。新しいパケットフィルタリングフレームワーク、新しいユーザースペースユーティリティ (nft)、そして ip- と ip6tables の互換レイヤーを提供します。現行のフック、接続追跡システム、ユーザースペースのキューイングコンポーネント、そして netfilter のログサブシステムを使っています。<br />
<br />
nftables は3つのメインコンポーネントから構成されています: カーネルの実装、libnl netlink communication そして nftables ユーザースペースフロントエンド。カーネルは netlink の設定インターフェイスだけでなく、小さなクラス言語インタプリタを使用するランタイムのルールセットの評価も提供します。libnl にはカーネルと通信するためのローレベルな関数が含まれています。nftables フロントエンドはユーザーが対話するものです。<br />
<br />
[https://wiki.nftables.org/wiki-nftables/index.php/Main_Page nftables の公式 wiki] には詳しい情報が載っています。<br />
<br />
== インストール ==<br />
<br />
nftables のユーザーランドユーティリティは {{Pkg|nftables}} パッケージで利用できます。開発版の {{AUR|nftables-git}} パッケージも存在します。<br />
<br />
{{Tip|ほとんどの [[iptables#Front-ends|iptables フロントエンド]] はnftables の直接的または間接的なサポートを備えていませんが、導入することは可能です。[https://www.spinics.net/lists/netfilter/msg58215.html] nftables と iptables の両方をサポートするグラフィカルなフロントエンドとしては、[[firewalld]] があります。[https://firewalld.org/2018/07/nftables-backend]}}<br />
<br />
== 使用方法 ==<br />
<br />
nftables ではコマンドラインで作成される一時的なルールと、ファイルに保存して読み込まれる永続的なルールを区別していません。デフォルトファイルの {{ic|/etc/nftables.conf}} には "inet filter" という名前のシンプルな ipv4/ipv6 ファイアウォールテーブルが既に記述されています。<br />
<br />
{{ic|nftables.service}} を[[起動]]・[[有効化]]してください。<br />
<br />
以下のコマンドでルールセットを確認できます:<br />
<br />
# nft list ruleset<br />
<br />
=== シンプルなファイアウォール ===<br />
<br />
{{Pkg|nftables}} には、{{ic|/etc/nftables.conf}} ファイルに保存されたシンプルで安全なファイアウォール設定が付属しています。<br />
<br />
{{ic|nftables.service}} は、[[起動]]または[[有効化]]時に、このファイルからルールを読み込みます。<br />
<br />
== 設定 ==<br />
<br />
nftables のユーザースペースユーティリティ {{ic|nft}} は現在カーネルのためにルールセットを処理する前にほとんどのルールセットの評価を行います。ルールはチェインに保存され、チェインはテーブルに保存されます。下のセクションではルールを作成・編集する方法を説明します。<br />
<br />
下のセクションで行った変更は全て一時的なものになります。変更を永続化するにはルールセットを {{ic|/etc/nftables.conf}} に保存してください (ルールセットは {{ic|nftables.service}} によって読み込まれます):<br />
<br />
# nft list ruleset > /etc/nftables.conf<br />
<br />
{{Note|{{ic|nft list}} は変数の定義を出力しません。{{ic|/etc/nftables.conf}} に何か記述していた場合、定義は失われます。ルールによって使われていた変数は変数の値に置き換えられます。}}<br />
<br />
ファイルから入力するには {{ic|-f}} フラグを使用します:<br />
<br />
# nft -f ''filename''<br />
<br />
ロード済みのルールは自動的に消去されることはないので注意してください。<br />
<br />
利用可能なコマンドの一覧は {{man|8|nft}} を参照してください。<br />
<br />
===テーブル===<br />
<br />
テーブルは[[#チェイン|チェイン]]を保持します。iptables のテーブルと違って、nftables には初めから組み込まれているテーブルはありません。テーブルの数や名前はユーザーが自由に決めることができますが、各テーブルにはアドレスファミリーをひとつしか保持することができません。5つのファミリーのうち指定したファミリーのパケットにだけ適用されます:<br />
<br />
{| class="wikitable"<br />
! nftables ファミリー || iptables ユーティリティ<br />
|-<br />
| ip || iptables<br />
|-<br />
| ip6 || ip6tables<br />
|-<br />
| inet || iptables と ip6tables<br />
|-<br />
| arp || arptables<br />
|-<br />
| bridge || ebtables<br />
|}<br />
<br />
{{ic|ip}} (IPv4) がデフォルトのファミリーです。特に指定がなければ {{ic|ip}} が使われます。<br />
<br />
IPv4 と IPv6 の両方に適用されるルールを作成するには {{ic|inet}} を使います。{{ic|inet}} を使うには Linux 3.15 以上が必要で、{{ic|ip}} と {{ic|ip6}} ファミリーを統一してルールを簡単に定義できます。<br />
<br />
{{Note|{{ic|inet}} は {{ic|nat}} タイプのチェインでは使えず、{{ic|filter}} タイプのチェインを使う必要があります ([https://www.spinics.net/lists/netfilter/msg56411.html ソース])。}}<br />
<br />
アドレスフファミリーの完全な定義は {{man|8|nft}} の {{ic|ADDRESS FAMILIES}} セクションを参照してください。<br />
<br />
以下で例示しているコマンドの {{ic|''family''}} は全て任意であり、指定しなかった場合は {{ic|ip}} が使われます。<br />
<br />
==== テーブルの作成 ====<br />
<br />
以下のコマンドで新しいテーブルが追加されます:<br />
<br />
# nft add table ''family'' ''table''<br />
<br />
==== テーブルの表示 ====<br />
<br />
全てのテーブルを表示するには:<br />
<br />
# nft list tables<br />
<br />
==== テーブル内のチェインとルールの表示 ====<br />
<br />
指定したテーブルの全てのチェインとルールを表示するには:<br />
<br />
# nft list table ''family'' ''table''<br />
<br />
例えば {{ic|inet}} ファミリーの {{ic|filter}} テーブルのルールを全て表示するには:<br />
<br />
# nft list table inet filter<br />
<br />
==== テーブルの削除 ====<br />
<br />
テーブルを削除するには:<br />
<br />
# nft delete table ''family'' ''table''<br />
<br />
テーブルはチェインが全く存在しない場合にのみ削除できます。<br />
<br />
==== テーブルのクリア ====<br />
<br />
テーブルから全てのルールを消去するには:<br />
<br />
# nft flush table ''family'' ''table''<br />
<br />
===チェイン===<br />
<br />
チェインの用途は[[#ルール|ルール]]を保持することです。iptables のチェインと違って、nftables には初めから組み込まれているチェインはありません。そのためチェインが netfilter フレームワークにあるタイプやフックをどれも使わない場合、iptables とは異なりチェインを通り抜けるパケットは nftables の影響を受けません。<br />
<br />
チェインには2つのタイプがあります。''base'' チェインはネットワークスタックからのパケットのエントリポイントとなります。フックの値を指定することができます。''regular'' チェインはジャンプターゲットとして使用することができます。<br />
<br />
以下のコマンドで使っている {{ic|''family''}} は全て任意であり、指定しなかった場合は {{ic|ip}} が使われます。<br />
<br />
==== チェインの作成 ====<br />
<br />
===== Regular チェイン =====<br />
<br />
以下のコマンドは {{ic|''table''}} という名前のテーブルに {{ic|''chain''}} という名前のレギュラーチェインを追加します:<br />
<br />
# nft add chain ''family'' ''table'' ''chain''<br />
<br />
例えば、{{ic|inet}} アドレスファミリーの {{ic|filter}} テーブルに {{ic|tcpchain}} という名前のレギュラーチェインを追加するには:<br />
<br />
# nft add chain inet filter tcpchain<br />
<br />
===== Base チェイン =====<br />
<br />
ベースチェインを追加するにはフックとプライオリティの値を指定します:<br />
<br />
# nft add chain ''family'' ''table'' ''chain'' { type ''type'' hook ''hook'' priority ''priority'' \; }<br />
<br />
{{ic|''type''}} は {{ic|filter}}, {{ic|route}}, {{ic|nat}} のどれかから選ぶことができます。<br />
<br />
IPv4/IPv6/Inet アドレスファミリーでは {{ic|''hook''}} は {{ic|prerouting}}, {{ic|input}}, {{ic|forward}}, {{ic|output}}, {{ic|postrouting}} のどれかになります。他のファミリーのフックについては {{man|8|nft}} を参照してください。<br />
<br />
{{ic|''priority''}} には整数値を指定します。低い値のチェインが先に処理され、負の値を指定することもできます [https://wiki.nftables.org/wiki-nftables/index.php/Configuring_chains#Base_chain_types]。<br />
<br />
例えば、input パケットをフィルタリングするベースチェインを追加するには:<br />
<br />
# nft add chain inet filter input { type filter hook input priority 0\; }<br />
<br />
{{ic|add}} を {{ic|create}} に置き換えると、チェインが既に存在するときにエラーが返ってくるようになります。<br />
<br />
==== ルールの表示 ====<br />
<br />
以下のコマンドでチェインの全てのルールを表示できます:<br />
<br />
# nft list chain ''family'' ''table'' ''chain''<br />
<br />
例えば、{{ic|filter}} という名前の {{ic|inet}} テーブルに存在する {{ic|output}} という名前のチェインのルールを表示するには:<br />
<br />
# nft list chain inet filter output<br />
<br />
==== チェインの編集 ====<br />
<br />
チェインを編集したいときは、チェインの名前を指定して変更したいルールを定義します:<br />
<br />
# <nowiki>nft chain <family> <table> <chain> { [ type <type> hook <hook> device <device> priority <priority> \; policy <policy> \; ] }</nowiki><br />
<br />
例えば、デフォルトテーブルの input チェインポリシーを "accept" から "drop" に変更したい場合:<br />
<br />
# nft chain inet filter input { policy drop \; }<br />
<br />
==== チェインの削除 ====<br />
<br />
チェインを削除するには:<br />
<br />
# nft delete chain ''family'' ''table'' ''chain''<br />
<br />
削除するチェインにはルールやジャンプターゲットが含まれていてはいけません。<br />
<br />
==== チェインのルールを消去 ====<br />
<br />
チェインからルールを消去するには:<br />
<br />
# nft flush chain ''family'' ''table'' ''chain''<br />
<br />
=== ルール ===<br />
<br />
ルールは表現または宣言から構成され、チェインの中に格納されます。<br />
<br />
==== ルールの追加 ====<br />
<br />
{{Tip|''iptables-translate'' ユーティリティを使うことで [[iptables]] のルールを nftables フォーマットに変換できます。}}<br />
<br />
チェインにルールを追加するには:<br />
<br />
# nft add rule ''family'' ''table'' ''chain'' ''position'' ''statement''<br />
<br />
ルールは {{ic|''position''}} に追加されます。位置は指定しなくてもかまいません。指定しなかった場合、ルールはチェインの末尾に追加されます。<br />
<br />
特定の位置の前にルールを追加するには:<br />
<br />
# nft insert rule ''family'' ''table'' ''chain'' ''position'' ''statement''<br />
<br />
{{ic|''position''}} を指定しなかった場合、ルールはチェインの一番前に追加されます。<br />
<br />
===== 表現 =====<br />
<br />
{{ic|''statement''}} にはマッチする表現と判断宣言が入ります。判断宣言には {{ic|accept}}, {{ic|drop}}, {{ic|queue}}, {{ic|continue}}, {{ic|return}}, {{ic|jump ''chain''}}, {{ic|goto ''chain''}} などが存在します。判断宣言以外の宣言も指定できます。詳しくは {{man|8|nft}} を参照してください。<br />
<br />
nftables では様々な表現を使うことができ、ほとんどは、iptables と対応するようになっています。一番大きな違いは汎用的なマッチと暗黙的なマッチが存在しないことです。汎用的なマッチとは、{{ic|--protocol}} や {{ic|--source}} のように、いつでも使うことができるマッチで、暗黙的なマッチとは、{{ic|--sport}} のように、特定のプロトコルでしか使えないマッチのことです。<br />
<br />
以下は利用できるマッチの一部です:<br />
<br />
* meta (メタプロパティ。例: インターフェイス)<br />
* icmp (ICMP プロトコル)<br />
* icmpv6 (ICMPv6 プロトコル)<br />
* ip (IP プロトコル)<br />
* ip6 (IPv6 プロトコル)<br />
* tcp (TCP プロトコル)<br />
* udp (UDP プロトコル)<br />
* sctp (SCTP プロトコル)<br />
* ct (接続のトラッキング)<br />
<br />
以下はマッチ引数の一部です (完全なリストは {{man|8|nft}} を見て下さい):<br />
<nowiki><br />
meta:<br />
oif <output interface INDEX><br />
iif <input interface INDEX><br />
oifname <output interface NAME><br />
iifname <input interface NAME><br />
<br />
(oif and iif accept string arguments and are converted to interface indexes)<br />
(oifname and iifname are more dynamic, but slower because of string matching)<br />
<br />
icmp:<br />
type <icmp type><br />
<br />
icmpv6:<br />
type <icmpv6 type><br />
<br />
ip:<br />
protocol <protocol><br />
daddr <destination address><br />
saddr <source address><br />
<br />
ip6:<br />
daddr <destination address><br />
saddr <source address><br />
<br />
tcp:<br />
dport <destination port><br />
sport <source port><br />
<br />
udp:<br />
dport <destination port><br />
sport <source port><br />
<br />
sctp:<br />
dport <destination port><br />
sport <source port><br />
<br />
ct:<br />
state <new | established | related | invalid></nowiki><br />
<br />
====削除====<br />
個々のルールはハンドルを使わないと削除することができません。{{ic|nft --handle list}} コマンドを使うことでルールのハンドルを確認できます。{{ic|--handle}} スイッチを付けると、{{ic|nft}} はハンドルを出力するようになります。<br />
<br />
以下ではルールのハンドルを確認してルールを削除しています。未解決の IP アドレスのような、数字の出力を表示するときは {{ic|--number}} 引数を使うと良いでしょう。<br />
{{hc|# nft --handle --numeric list chain filter input|2=<br />
<nowiki><br />
table ip fltrTable {<br />
chain input {<br />
type filter hook input priority 0;<br />
ip saddr 127.0.0.1 accept # handle 10<br />
}<br />
}<br />
</nowiki><br />
}}<br />
# nft delete rule fltrTable input handle 10<br />
<br />
{{ic|nft flush table}} コマンドを使うことでテーブルの全てのチェインをフラッシュできます。個別のチェインをフラッシュするときは {{ic|nft flush chain}} または {{ic|nft delete rule}} コマンドを使います。<br />
# nft flush table foo<br />
# nft flush chain foo bar<br />
# nft delete rule ip6 foo bar<br />
最初のコマンドでは ip {{ic|foo}} テーブルのチェイン全てをフラッシュします。2番目のコマンドは ip {{ic|foo}} テーブルの {{ic|bar}} チェインをフラッシュします。3番目のコマンドは ip6 {{ic|foo}} テーブルの {{ic|bar}} チェインの全てのルールを削除します。<br />
<br />
===アトミックリロード===<br />
現在のルールセットをフラッシュする:<br />
# echo "flush ruleset" > /tmp/nftables<br />
現在のルールセットをダンプする:<br />
# nft list ruleset >> /tmp/nftables<br />
{{ic|/tmp/nftables}} を編集して次のコマンドで変更を適用:<br />
# nft -f /tmp/nftables<br />
<br />
== サンプル ==<br />
<br />
=== ワークステーション ===<br />
<br />
{{hc|/etc/nftables.conf|2=<nowiki><br />
flush ruleset<br />
<br />
table inet filter {<br />
chain input {<br />
type filter hook input priority 0;<br />
<br />
# accept any localhost traffic<br />
iif lo accept<br />
<br />
# accept traffic originated from us<br />
ct state established,related accept<br />
<br />
# activate the following line to accept common local services<br />
#tcp dport { 22, 80, 443 } ct state new accept<br />
<br />
# accept neighbour discovery otherwise IPv6 connectivity breaks.<br />
ip6 nexthdr icmpv6 icmpv6 type { nd-neighbor-solicit, nd-router-advert, nd-neighbor-advert } accept<br />
<br />
# count and drop any other traffic<br />
counter drop<br />
}<br />
}<br />
</nowiki>}}<br />
<br />
=== シンプルな IPv4/IPv6 ファイアウォール ===<br />
<br />
{{hc|firewall.rules|2=<nowiki><br />
# A simple firewall<br />
<br />
flush ruleset<br />
<br />
table inet filter {<br />
chain input {<br />
type filter hook input priority 0; policy drop;<br />
<br />
# established/related connections<br />
ct state established,related accept<br />
<br />
# invalid connections<br />
ct state invalid drop<br />
<br />
# loopback interface<br />
iif lo accept<br />
<br />
# ICMP<br />
# routers may also want: mld-listener-query, nd-router-solicit<br />
ip6 nexthdr icmpv6 icmpv6 type { destination-unreachable, packet-too-big, time-exceeded, parameter-problem, nd-router-advert, nd-neighbor-solicit, nd-neighbor-advert } accept<br />
ip protocol icmp icmp type { destination-unreachable, router-advertisement, time-exceeded, parameter-problem } accept<br />
<br />
# SSH (port 22)<br />
tcp dport ssh accept<br />
<br />
# HTTP (ports 80 & 443)<br />
tcp dport { http, https } accept<br />
}<br />
<br />
chain forward {<br />
type filter hook forward priority 0; policy drop;<br />
}<br />
<br />
chain output {<br />
type filter hook output priority 0; policy accept;<br />
}<br />
<br />
}<br />
</nowiki>}}<br />
<br />
===レート制限 IPv4/IPv6 ファイアウォール===<br />
<br />
{{hc|firewall.2.rules|2=<nowiki><br />
table inet filter {<br />
chain input {<br />
type filter hook input priority 0; policy drop;<br />
<br />
# no ping floods:<br />
ip6 nexthdr icmpv6 icmpv6 type echo-request limit rate 10/second accept<br />
ip protocol icmp icmp type echo-request limit rate 10/second accept<br />
<br />
ct state established,related accept<br />
ct state invalid drop<br />
<br />
iif lo accept<br />
<br />
# avoid brute force on ssh:<br />
tcp dport ssh limit rate 15/minute accept<br />
<br />
}<br />
<br />
chain forward {<br />
type filter hook forward priority 0; policy drop;<br />
}<br />
<br />
chain output {<br />
type filter hook output priority 0; policy accept;<br />
}<br />
<br />
}<br />
</nowiki>}}<br />
<br />
===ジャンプ===<br />
<br />
設定ファイルでジャンプを使うときは、先にターゲットチェインを定義する必要があります。そうしないと {{ic|Error: Could not process rule: No such file or directory}} というエラーが発生します。<br />
{{hc|jump.rules|2=<br />
<nowiki><br />
table inet filter {<br />
chain web {<br />
tcp dport http accept<br />
tcp dport 8080 accept<br />
}<br />
chain input {<br />
type filter hook input priority 0;<br />
ip saddr 10.0.2.0/24 jump web<br />
drop<br />
}<br />
}<br />
</nowiki><br />
}}<br />
<br />
=== インターフェイスによってルールを変える ===<br />
<br />
複数のネットワークインターフェイスが存在する場合、それぞれのインターフェイスごとに別々のフィルターチェインを設定したい場合があるかもしれません。例えば、ホームルーターを構築するとき、LAN 上でアクセスできるウェブサーバーを実行しつつ ({{ic|nsp3s0}} インターフェイス)、インターネットからはアクセスできないようにしたい場合 ({{ic|enp2s0}} インターフェイス) などは以下のように設定します:<br />
<br />
<nowiki>table inet filter {<br />
chain input { # this chain serves as a dispatcher<br />
type filter hook input priority 0;<br />
<br />
iif lo accept # always accept loopback<br />
iifname enp2s0 jump input_enp2s0<br />
iifname enp3s0 jump input_enp3s0<br />
<br />
reject with icmp type port-unreachable # refuse traffic from all other interfaces<br />
}<br />
chain input_enp2s0 { # rules applicable to public interface interface<br />
ct state {established,related} accept<br />
ct state invalid drop<br />
udp dport bootpc accept<br />
tcp dport bootpc accept<br />
reject with icmp type port-unreachable # all other traffic<br />
}<br />
chain input_enp3s0 {<br />
ct state {established,related} accept<br />
ct state invalid drop<br />
udp dport bootpc accept<br />
tcp dport bootpc accept<br />
tcp port http accept<br />
tcp port https accept<br />
reject with icmp type port-unreachable # all other traffic<br />
}<br />
chain ouput { # we let everything out<br />
type filter hook output priority 0;<br />
accept<br />
}<br />
}</nowiki><br />
<br />
もしくは {{ic|iifname}} ステートメントを特定のインターフェイスで使用して、他のインターフェイスについてはデフォルトルールを設定するという方法もあります。<br />
<br />
=== マスカレード ===<br />
<br />
nftables には特殊なキーワード {{ic|masquerade}} が存在し、送信元アドレスが自動的に出力インターフェイスのアドレスに設定されます ([http://wiki.nftables.org/wiki-nftables/index.php/Performing_Network_Address_Translation_%28NAT%29#Masquerading ソース])。ルーターのインターフェイスが多数の ISP に接続されているときなど、インターフェイスの IP アドレスが一定でない場合に有用です。通常は、インターフェイスの IP アドレスが変わるたびにネットワークアドレス変換 (NAT) のルールを更新する必要があります。<br />
<br />
{{ic|masquerade}} を使用するには:<br />
<br />
* カーネルコンフィグで以下のマスカレード設定が有効になっている必要があります。<br />
<br />
CONFIG_NFT_MASQ=m<br />
<br />
* {{ic|masquerade}} キーワードは {{ic|nat}} タイプのチェインでのみ使うことができます。<br />
* マスカレードは一種のソース NAT であり、出力パスでのみ機能します。<br />
<br />
2つのインターフェイスが存在し {{ic|nsp3s0}} が LAN に接続され、{{ic|enp2s0}} がインターネットに接続されているマシンでの設定例:<br />
<br />
<nowiki>table inet my_nat {<br />
chain my_masquerade {<br />
type nat hook postrouting priority srcnat;<br />
oifname "enp2s0" masquerade<br />
}<br />
}</nowiki><br />
<br />
テーブルタイプが{{ic|inet}}であるため、IPv4パケットとIPv6パケットの両方がマスカレードされます。IPv4パケットのみをマスカレードしたい場合(IPv6のアドレス空間が拡張されているためNATが不要)、{{ic|oifname "enp2s0"}}の前に{{ic|meta nfproto ipv4}}を追記するか、テーブルタイプを{{ic|ip}}に変更してください。<br />
<br />
== ヒントとテクニック ==<br />
<br />
=== シンプルなステートフルファイアウォール ===<br />
<br />
[[シンプルなステートフルファイアウォール]]の記事も参照してください。<br />
<br />
==== シングルマシン ====<br />
<br />
現在のルールセットを消去:<br />
<br />
# nft flush ruleset<br />
<br />
テーブルを追加:<br />
<br />
# nft add table inet filter<br />
<br />
input, forward, output ベースチェインを追加。input と forward のポリシーは破棄にして、output のポリシーは許可にする:<br />
<br />
# nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }<br />
# nft add chain inet filter forward { type filter hook forward priority 0 \; policy drop \; }<br />
# nft add chain inet filter output { type filter hook output priority 0 \; policy accept \; }<br />
<br />
レギュラーチェインを追加して tcp と udp に関連付ける:<br />
<br />
# nft add chain inet filter TCP<br />
# nft add chain inet filter UDP<br />
<br />
関連・確立済みトラフィックは許可する:<br />
<br />
# nft add rule inet filter input ct state related,established accept<br />
<br />
ループバックインターフェイスのトラフィックは全て許可する:<br />
<br />
# nft add rule inet filter input iif lo accept<br />
<br />
不正なトラフィックは全て破棄する:<br />
<br />
# nft add rule inet filter input ct state invalid drop<br />
<br />
新しいエコー要求 (ping) は許可する:<br />
<br />
# nft add rule inet filter input ip protocol icmp icmp type echo-request ct state new accept<br />
<br />
新しい udp トラフィックは UDP チェインにジャンプする:<br />
<br />
# nft add rule inet filter input ip protocol udp ct state new jump UDP<br />
<br />
新しい tcp トラフィックは TCP チェインにジャンプする:<br />
<br />
# nft add rule inet filter input ip protocol tcp tcp flags \& \(fin\|syn\|rst\|ack\) == syn ct state new jump TCP<br />
<br />
他のルールによって処理されなかったトラフィックは全て拒否する:<br />
<br />
# nft add rule inet filter input ip protocol udp reject<br />
# nft add rule inet filter input ip protocol tcp reject with tcp reset<br />
# nft add rule inet filter input counter reject with icmp type prot-unreachable<br />
<br />
ここから TCP と UDP チェインで処理する接続で開きたいポートを決めます。例えばウェブサーバーの接続を開くには:<br />
<br />
# nft add rule inet filter TCP tcp dport 80 accept<br />
<br />
ポート 443 からのウェブサーバーの HTTPS 接続を許可するには:<br />
<br />
# nft add rule inet filter TCP tcp dport 443 accept<br />
<br />
ポート 22 の SSH 接続を許可するには:<br />
<br />
# nft add rule inet filter TCP tcp dport 22 accept<br />
<br />
DNS リクエストを許可するには:<br />
<br />
# nft add rule inet filter TCP tcp dport 53 accept<br />
# nft add rule inet filter UDP tcp dport 53 accept<br />
<br />
設定に満足したら変更を保存して永続化させてください。<br />
<br />
=== ブルートフォース攻撃の対策 ===<br />
<br />
[[Sshguard]] はブルートフォース攻撃を検出して一時的に IP アドレスに基づきブロックするようにファイアウォールを編集します。Sshguard で nftables を使うように設定する方法は [[Sshguard#nftables]] を見てください。<br />
<br />
== トラブルシューティング ==<br />
<br />
=== Docker と共に使う ===<br />
<br />
{{Note|<br />
* 次のセットアップでは、{{ic|--net host --privileged}} を使用してもコンテナ内で {{ic|AF_BLUETOOTH}} などのプロトコルを利用できなくなります。<br />
* ルートレス Dockerコンテナはすでに別のネットワーク名前空間で実行されています。何もする必要がないかもしれません。<br />
}}<br />
<br />
nftables を使用すると、[[Docker]] のネットワーク (おそらく他のコンテナランタイムも同様) に干渉する可能性があります。<br />
iptables ルールにパッチを適用して定義されたサービス開始順序を確保するか、docker の使用が非常に制限される dockerのiptablesの管理を完全に無効にするなど、さまざまな回避策がインターネット上で見つかります。<br />
(ポートフォワーディングや docker-compose を考えてください)<br />
<br />
信頼できる方法は、docker を別のネットワーク名前空間で実行させ、そこで任意の処理を実行できるようにすることです。 <br />
Docker が nftables と iptables ルールを混在させないように、{{Pkg|iptables-nft}} を'''使用しない'''方が良いでしょう。<br />
<br />
以下の docker サービス [[ドロップインファイル]] を使用してください:<br />
<br />
{{hc|/etc/systemd/system/docker.service.d/netns.conf|2=<br />
[Service]<br />
PrivateNetwork=yes<br />
<br />
# cleanup<br />
ExecStartPre=-nsenter -t 1 -n -- ip link delete docker0<br />
<br />
# add veth<br />
ExecStartPre=nsenter -t 1 -n -- ip link add docker0 type veth peer name docker0_ns<br />
ExecStartPre=sh -c 'nsenter -t 1 -n -- ip link set docker0_ns netns "$$BASHPID" && true'<br />
ExecStartPre=ip link set docker0_ns name eth0<br />
<br />
# bring host online<br />
ExecStartPre=nsenter -t 1 -n -- ip addr add 10.0.0.1/24 dev docker0<br />
ExecStartPre=nsenter -t 1 -n -- ip link set docker0 up<br />
<br />
# bring ns online<br />
ExecStartPre=ip addr add 10.0.0.100/24 dev eth0<br />
ExecStartPre=ip link set eth0 up<br />
ExecStartPre=ip route add default via 10.0.0.1 dev eth0<br />
}}<br />
<br />
セットアップにおいてIPアドレス {{ic|10.0.0.*}} が適切でない場合は、調整してください。<br />
<br />
以下のポストルーティングルールで、{{ic|docker0}} のIPフォワーディングを有効にし、NATを設定します:<br />
<br />
iifname docker0 oifname eth0 masquerade<br />
<br />
次に、[[インターネット共有#パケット転送の有効化|kernel IP forwarding]] が有効になっていることを確認します。<br />
<br />
<br />
これで、nftables を使用して {{ic|docker0}} インターフェイスのファイアウォールとポートフォワーディングを干渉することなくセットアップできるようになります。<br />
<br />
==参照==<br />
* [https://wiki.nftables.org/ netfilter nftables wiki]<br />
* [https://lwn.net/Articles/324251/ nftables の最初のリリース]<br />
* [https://home.regit.org/netfilter-en/nftables-quick-howto/ nftables クイックハウツー]<br />
* [https://lwn.net/Articles/564095/ nftables の帰還]<br />
* [https://developers.redhat.com/blog/2016/10/28/what-comes-after-iptables-its-successor-of-course-nftables/ What comes after ‘iptables’? It’s successor, of course: `nftables`]</div>
Hkiku482
https://wiki.archlinux.jp/index.php?title=%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E4%B8%80%E8%A6%A7/%E3%83%A6%E3%83%BC%E3%83%86%E3%82%A3%E3%83%AA%E3%83%86%E3%82%A3&diff=40494
アプリケーション一覧/ユーティリティ
2025-07-01T08:22:07Z
<p>Hkiku482: /* コンソール */ fastfetchを追加</p>
<hr />
<div><noinclude><br />
[[Category:アプリケーション]]<br />
[[Category:ソフトウェア一覧]]<br />
[[en:List of applications/Utilities]]<br />
[[es:List of applications/Utilities]]<br />
[[it:List of applications/Utilities]]<br />
[[ru:List of applications/Utilities]]<br />
[[uk:List of applications/Utilities]]<br />
[[zh-hans:List of applications/Utilities]]<br />
[[zh-hant:List of applications/Utilities]]<br />
{{List of Applications navigation}}<br />
</noinclude><br />
== ユーティリティ ==<br />
<br />
=== Terminal ===<br />
<br />
==== コマンドシェル ====<br />
次の記事を参照: [[コマンドラインシェル]]<br />
<br />
次も参照: [[Wikipedia:Comparison of command shells]]<br />
<br />
==== ターミナルエミュレータ ====<br />
ターミナルエミュレータとはターミナルを含むGUIウィンドウを表示する機能を有します。<br />
それらエミュレータのほとんどは Xterm をエミュレートしていて、その Xterm は VT102 をエミュレートしていて、VT102 はタイプライターをエミュレートしています。For further background information, see [[Wikipedia:Terminal emulator]].<br />
<br />
For a comprehensive list, see [[Wikipedia:List of terminal emulators]].<br />
<br />
* {{App|[[Alacritty]]|クロスプラットフォームの GPU アクセラレーションターミナルエミュレータ。|https://github.com/jwilm/alacritty|{{Pkg|alacritty}}}}<br />
* {{App|aterm|透過をサポートした xterm 代替。2008年から urxvt に取って代わられています。|http://www.afterstep.org/aterm.php|{{AUR|aterm}}}}<br />
* {{App|[[cool-retro-term]]|昔のブラウン管ディスプレイを模した見た目が良いターミナルエミュレータ。|https://github.com/Swordfish90/cool-retro-term|{{Pkg|cool-retro-term}}}}<br />
* {{App|CoreTerminal|Terminal emulator based on qtermwidget. Part of C-Suite.|https://cubocore.org/|{{AUR|coreterminal}}}}<br />
* {{App|CuteCom|A graphical serial terminal.|https://gitlab.com/cutecom/cutecom|{{AUR|cutecom}}}}<br />
* {{App|Deepin Terminal|Terminal emulation application for Deepin desktop.|https://www.deepin.org/en/original/deepin-terminal/|{{Pkg|deepin-terminal}}}}<br />
* {{App|Eterm|[[Enlightenment]] デスクトップ向けに作られた xterm を代替するターミナルエミュレータ。|https://github.com/mej/Eterm|{{AUR|eterm}}}}<br />
* {{App|foot|Lightweight terminal emulator for Wayland with [[w:sixel|sixel]] support|https://codeberg.org/dnkl/foot|{{AUR|foot}}, {{AUR|foot-git}}}}<br />
* {{App|Hyper|A terminal with JS/CSS support. Based on the [https://electronjs.org/ Electron] platform.|https://github.com/zeit/hyper|{{AUR|hyper}}}}<br />
* {{App|[[Wikipedia:Konsole|Konsole]]|[[KDE]] デスクトップのターミナルエミュレータ。|https://konsole.kde.org/|{{Pkg|konsole}}}}<br />
* {{App|[[kitty]]|モダンで柔軟な設定が可能な OpenGL ベースのターミナルエミュレータ|https://github.com/kovidgoyal/kitty|{{Pkg|kitty}}}}<br />
* {{App|Liri Terminal|Material Design terminal for Liri.|https://github.com/lirios/terminal|{{Pkg|liri-terminal}}}}<br />
* {{App|mlterm|世界中の様々な文字セットやエンコーディングが使える多言語対応のターミナルエミュレータ。|https://sourceforge.net/projects/mlterm/|{{AUR|mlterm}}}}<br />
* {{App|moserial|GTK-based serial terminal for the GNOME desktop.|https://wiki.gnome.org/Apps/Moserial|{{Pkg|moserial}}}}<br />
* {{App|[[PuTTY]]|Highly configurable ssh/telnet/serial console program.|https://www.chiark.greenend.org.uk/~sgtatham/putty/|{{Pkg|putty}}}}<br />
* {{App|QTerminal|軽量な Qt ベースのターミナルエミュレータ。|https://github.com/qterminal/qterminal|{{Pkg|qterminal}}}}<br />
* {{App|[[Wikipedia:Rxvt|rxvt]]|xterm の人気代替。|http://rxvt.sourceforge.net/|{{AUR|rxvt}}}}<br />
* {{App|shellinabox|ウェブベースの SSH ターミナル。|https://github.com/shellinabox/shellinabox|{{AUR|shellinabox-git}}}}<br />
* {{App|[[st]]|X 向けのシンプルなターミナル実装。|https://st.suckless.org|{{AUR|st}}}}<br />
* {{App|Station|Terminal emulation features different view modes such as split vertically and horizontally, a tabbed interface, and copy and paste commands.|https://mauikit.org/|{{Pkg|maui-station}}}}<br />
* {{App|Terminology|革新的な機能を備えた Enlightenment プロジェクトチームによるターミナルエミュレータ:ファイルのサムネイルとメディアは、メディアプレーヤーのように再生されます。|https://www.enlightenment.org/about-terminology|{{Pkg|terminology}}}}<br />
* {{App|[[urxvt]]|(Perl によって) 高い拡張性を持ちユニコードが使える rxvt クローンターミナルエミュレータ。タブ、URL 起動、Quake スタイルのドロップダウンモード、擬似透過をサポート。|http://software.schmorp.de/pkg/rxvt-unicode.html|{{Pkg|rxvt-unicode}}}}<br />
* {{App|wayst|Simple terminal emulator for Wayland and X11 with OpenGL rendering and minimal dependencies.|https://github.com/91861/wayst|{{AUR|wayst-git}}}}<br />
* {{App|[[xterm]]|X Window System 用のシンプルなターミナルエミュレータ。ウィンドウシステムを直接使えないプログラム用に DEC VT102 や Tektronix 4014 互換のターミナルを提供します。|https://invisible-island.net/xterm/|{{Pkg|xterm}}}}<br />
* {{App|[[Yakuake]]|Konsole ベースのドロップダウンターミナル (Quake スタイル) エミュレータ。|https://apps.kde.org/yakuake/|{{Pkg|yakuake}}}}<br />
* {{App|zutty|A high-end terminal for low-end systems.|https://tomscii.sig7.se/zutty/|{{Pkg|zutty}}}}<br />
<br />
===== VTE ベース =====<br />
<br />
[https://wiki.gnome.org/Apps/Terminal/VTE VTE] (Virtual Terminal Emulator) は初期の GNOME で GNOME Terminal で使うために開発されたウィジェットです。VTE ができてから、似た機能を持つ数多くのターミナルが生まれました。<br />
<br />
* {{App|Deepin Terminal (GTK version)|Old terminal emulation application for Deepin desktop.|https://github.com/linuxdeepin/deepin-terminal-gtk|{{Pkg|deepin-terminal-gtk}}}}<br />
* {{App|EasySSH|SSH Connection Manager.|https://github.com/muriloventuroso/easyssh|{{AUR|easyssh}}}}<br />
* {{App|Germinal|ボーダーレスな最大化されたターミナルを表示する、最小主義のターミナルエミュレータ。デフォルトで tmux セッションにアタッチするので、タブやパネルが使えます。|https://www.imagination-land.org/tags/germinal.html|{{AUR|germinal}}}}<br />
* {{App|[[Wikipedia:GNOME Terminal|GNOME Terminal]]|[[GNOME]] デスクトップのターミナルエミュレータ。ユニコードをサポート。|https://wiki.gnome.org/Apps/Terminal|{{Pkg|gnome-terminal}}}}<br />
* {{App|[[Guake]]|GNOME デスクトップ向けドロップダウンターミナル。|http://guake-project.org/|{{Pkg|guake}}}}<br />
* {{App|kermit|A VTE-based terminal emulator that aims to be simple, fast and effective.|https://github.com/orhun/kermit|{{AUR|kermit}}}}<br />
* {{App|King’s Cross|Simple user-friendly terminal emulator for the GNOME desktop.|https://gitlab.gnome.org/ZanderBrown/kgx|{{AUR|kgx}}}}<br />
* {{App|LXTerminal|[[LXDE]] 向けのデスクトップ非依存のターミナルエミュレータ。|https://wiki.lxde.org/en/LXTerminal|{{Pkg|lxterminal}}}}<br />
* {{App|MATE terminal|[[MATE]] デスクトップの [[Wikipedia:GNOME terminal|GNOME ターミナル]] のフォーク。|https://www.mate-desktop.org/|{{Pkg|mate-terminal}}}}<br />
* {{App|Pantheon Terminal|超軽量・美麗・シンプルなターミナルエミュレータ。デフォルト設定で使うように作られているので設定がほとんどありません。|https://github.com/elementary/terminal|{{Pkg|pantheon-terminal}}}}<br />
* {{App|ROXTerm|場所をとらないタブ式ターミナルエミュレータ。|http://roxterm.sourceforge.net/|{{AUR|roxterm}}}}<br />
* {{App|sakura|GTK と VTE ベースのターミナルエミュレータ。|https://www.pleyades.net/david/projects/sakura|{{Pkg|sakura}}}}<br />
* {{App|[[Terminator]]|マルチプルでリサイズ可能な端末パネルをサポートしたターミナルエミュレータ。|https://gnome-terminator.org/|{{Pkg|terminator}}}}<br />
* {{App|[[Termite]]|キーボード中心の VTE ベースのターミナル。タイル型またはタブをサポートしているウィンドウマネージャで使われるように作られています。 Unmaintained - the developers recommend switching to Alacritty.|https://github.com/thestinger/termite|{{AUR|termite}}}}<br />
* {{App|Tilda|設定可能なドロップダウンターミナルエミュレータ。|https://github.com/lanoxx/tilda/|{{Pkg|tilda}}}}<br />
* {{App|Tilix|タイル型ターミナルエミュレータ for GNOME.|https://gnunn1.github.io/tilix-web/|{{Pkg|tilix}}}}<br />
* {{App|[[Wikipedia:Terminal (Xfce)|Xfce Terminal]]|[[Xfce]] デスクトップに含まれているターミナルエミュレータ。カラープロンプト、タブをサポート。|https://docs.xfce.org/apps/terminal/start|{{Pkg|xfce4-terminal}}}}<br />
<br />
===== KMS ベース =====<br />
<br />
以下のターミナルエミュレータは [[カーネルモード設定]]を使っており X がなくても起動できます。<br />
* {{App|[[KMSCON]]|Linux オペレーティングシステム用のターミナルエミュレータを統合した KMS/DRM ベースのシステムコンソール(getty)です。|https://github.com/dvdhrm/kmscon|{{AUR|kmscon}}}}<br />
<br />
===== フレームバッファベース =====<br />
<br />
GNU/Linux では、Linux カーネルの仮想デバイス ('''fbdev''') や X の仮想フレームバッファシステム ('''xvfb''') のことを[[Wikipedia:Framebuffer|フレームバッファ]]と呼ぶことがあります。このセクションでは主としてカーネルの仮想デバイス '''fbdev''' をベースにするターミナルエミュレータをリストアップしています。<br />
<br />
* {{App|yaft|X をなくても動かせるシンプルなターミナルエミュレータ。UCS2 文字、壁紙、256color をサポート。|https://github.com/uobikiemukot/yaft|{{aur|yaft}}}}<br />
* {{App|[[Fbterm]]|a fast FrameBuffer based TERMinal emulator for linux|https://salsa.debian.org/debian/fbterm|{{AUR|fbterm}}}}<br />
<br />
==== ターミナルページャ ====<br />
<br />
[[Wikipedia:Terminal pager]] を参照してください。<br />
<br />
* {{App|[[Wikipedia:More_(command)|more]]|シンプルで機能の少ないページャです。util-linuxの一部です。|https://git.kernel.org/pub/scm/utils/util-linux/util-linux.git/about/|{{Pkg|util-linux}}}}<br />
* {{App|[[Core_utilities#Essentials|less]]|more に似たプログラムだが、前方・後方両方のスクロールをサポートし、ファイルの部分読み込みもできる。|https://www.gnu.org/software/less/|{{Pkg|less}}}}<br />
* {{App|[[Wikipedia:Most_(Unix)|most]]|マルチウィンドウ、左右スクロール、内蔵カラーをサポートしたページャ|http://www.jedsoft.org/most/|{{Pkg|most}}}}<br />
* {{App|mcview|マウスとカラーに対応したページャ。midnight commander にバンドルされている。|https://midnight-commander.org/|{{Pkg|mc}}}}<br />
* また、[[Vim]] は[[Vim#Vim をページャとして使う|ページャとして使う]]ことができます。<br />
<br />
==== ターミナルマルチプレクサ ====<br />
<br />
[[Wikipedia:Terminal multiplexer]] も参照してください。<br />
<br />
* {{App|abduco|プロセスを制御端末とは別に実行させる、セッションのアタッチとデタッチをサポートするツール。|https://www.brain-dump.org/projects/abduco/|{{Pkg|abduco}}}}<br />
* {{App|[[Wikipedia:Byobu (software)|byobu]]|An GPLv3 licensed addon for tmux or screen. It requires a terminal multiplexer installed.|https://byobu.org/|{{Pkg|byobu}}}}<br />
* {{App|[[dtach]]|Program that emulates the detach feature of [[GNU Screen]].|http://dtach.sourceforge.net/|{{AUR|dtach}}}}<br />
* {{App|dvtm|[[dwm]]-style window manager in the console.|https://www.brain-dump.org/projects/dvtm/|{{Pkg|dvtm}}}}<br />
* {{App|[[GNU Screen]]|物理端末を多重化するフルスクリーンウィンドウマネージャ。|https://www.gnu.org/software/screen/|{{Pkg|screen}}}}<br />
* {{App|mtm|Simple terminal multiplexer with just four commands: change focus, split, close, and screen redraw.|https://github.com/deadpixi/mtm|{{AUR|mtm-git}}}}<br />
* {{App|[[tmux]]|BSDライセンスのターミナル・マルチプレクサ。|https://tmux.github.io/|{{Pkg|tmux}}}}<br />
* {{App|zellij|Rust で書かれた強化されたターミナル・マルチプレクサ|https://zellij.dev/|{{Pkg|zellij}}}}<br />
* {{App|wezterm|[[Rust]] で実装された GPU アクセラレーションによるクロスプラットフォームなターミナルエミュレータおよびマルチプレクサ。|https://wezfurlong.org/wezterm/|{{Pkg|wezterm}}}}<br />
{{Tip|端末エミュレーターの [[Kitty]] も同様の機能を備えています。}}<br />
<br />
=== ファイル ===<br />
<br />
==== ファイルマネージャ ====<br />
<br />
See also [[Wikipedia:Comparison of file managers]].<br />
<br />
===== コンソール =====<br />
<br />
* {{App|Clex|フルスクリーンのユーザーインターフェイスを持つファイルマネージャ。|http://www.clex.sk/|{{Aur|clex}}}}<br />
* {{App|CliFM|The command line file manager: full-featured, fast, extensible, and lightweight as hell.|https://github.com/leo-arch/clifm|{{AUR|clifm}}}}<br />
* {{App|ded|directory editor, file manager similar to Emacs dired|https://invisible-island.net/ded/ded.html|{{AUR|ded}}}}<br />
* {{App|[[Wikipedia:Dired|Dired]]|[[Emacs]] と統合されたディレクトリエディタ。|https://www.gnu.org/software/emacs/manual/html_node/emacs/Dired.html|{{pkg|emacs}}}}<br />
* {{App|joshuto|ranger-like terminal file manager written in Rust.|https://github.com/kamiyaa/joshuto|{{AUR|joshuto-git}}}}<br />
* {{App|Last File Manager|curses インターフェイスを備えた Python 3 で書かれた強力なファイルマネージャ。|https://inigo.katxi.org/devel/lfm/|{{AUR|lfm}}}}<br />
* {{App|lf|Terminal file manager written in Go using server/client architecture.|https://github.com/gokcehan/lf|{{aur|lf}}}}<br />
* {{App|[[Midnight Commander]]|コンソールベース、デュアルパネルのファイルマネージャー。|https://midnight-commander.org|{{Pkg|mc}}}}<br />
* {{App|nffm|"Nothing Fancy File Manager"、C で書かれたマウスを使わない ncurses ファイルマネージャ。|https://github.com/mariostg/nffm|{{AUR|nffm-git}}}}<br />
* {{App|[[nnn]]|Tiny, lightning fast, feature-packed file manager.|https://github.com/jarun/nnn|{{Pkg|nnn}}}}<br />
* {{App|fff|A simple file manager written in Bash.|https://github.com/dylanaraps/fff|{{Pkg|fff}}}}<br />
* {{App|Pilot|[[Alpine]] メールクライアントについてくるファイルマネージャー。|https://alpine.x10host.com/|{{AUR|alpine-git}}}}<br />
* {{App|[[Ranger]]|vi バインディング、カスタマイズ性、多機能をもったコンソールベースのファイルマネージャー。|https://ranger.github.io/|{{Pkg|ranger}}}}<br />
* {{App|[[Vifm]]|ncurses ベースの 2 パネルファイルマネージャー、vi ライクなキーバインド。|https://vifm.info|{{Pkg|vifm}}}}<br />
* {{App|xplr|A hackable, minimal, fast TUI file explorer.|https://xplr.dev|{{Pkg|xplr}}}}<br />
<br />
===== グラフィカル =====<br />
<br />
* {{App|Caja|MATE デスクトップのファイルマネージャ。|https://github.com/mate-desktop/caja|{{Pkg|caja}}}}<br />
* {{App|CoreFM|Simple lightweight easy to use file manager with many features like image previews, mime-icon support, split view, auto-mounting of removable media, drag-n-drop support etc. Part of C-Suite.|https://cubocore.org/|{{AUR|corefm}}}}<br />
* {{App|Deepin File Manager|[[Deepin]] 用に開発されたファイルマネージャ。|https://www.deepin.org/en/original/dde-file-manager/|{{Pkg|deepin-file-manager}}}}<br />
* {{App|[[Dolphin]]|KDE デスクトップのファイルマネージャー。|https://apps.kde.org/dolphin/|{{Pkg|dolphin}}}}<br />
* {{App|Gentoo|GTK の軽量ファイルマネージャ。|https://sourceforge.net/projects/gentoo/|{{AUR|gentoo}}}}<br />
* {{App|[[GNOME Files]]|拡張性のある、カスタムスクリプトをサポートしているヘビー級のファイルマネージャー。GNOME のデフォルト。|https://wiki.gnome.org/Apps/Files|{{Pkg|nautilus}}}}<br />
* {{App|Index|File manager that lets you browse your system files and applications and preview your music, text, image and video files and share them with external applications.|https://apps.kde.org/index-fm/|{{Pkg|index-fm}}}}<br />
* {{App|[[Wikipedia:Konqueror|Konqueror]]|KDE デスクトップ用ファイルマネージャー。|https://apps.kde.org/konqueror/|{{Pkg|konqueror}}}}<br />
* {{App|Liri Files|The file manager for Liri.|https://github.com/lirios/files|{{Pkg|liri-files}}}}<br />
* {{App|[[Nemo]]|Nemo は Cinnamon デスクトップのファイルマネージャです。A fork of Nautilus.|https://cinnamon.linuxmint.com/{{Dead link|2021|05|17|status=SSL error}}|{{Pkg|nemo}}}}<br />
* {{App|Pantheon Files|File browser designed for elementary OS.|https://github.com/elementary/files|{{Pkg|pantheon-files}}}}<br />
* {{App|PathFinder|[[Wikipedia:Fox_toolkit|FOX ツールキット]] によるファイルブラウザ。|http://fox-toolkit.org/|{{Pkg|fox}}}}<br />
* {{App|[[PCManFM]]|desktop icon や壁紙の管理などの機能をもっている very fast and 軽量ファイルマネージャー。|https://wiki.lxde.org/en/PCManFM|{{Pkg|pcmanfm}}}}<br />
* {{App|[[PCManFM]]-Qt|Qt port of PCManFM file manager.|https://github.com/lxqt/pcmanfm-qt|{{Pkg|pcmanfm-qt}}}}<br />
* {{App|Peony|File manager for the UKUI desktop.|https://github.com/ukui/peony|{{Pkg|peony}}}}<br />
* {{App|qtFM|小さく軽量な、純粋に Qt ベースの Linux デスクトップ用ファイルマネージャー。|https://qtfm.eu/|{{AUR|qtfm}}}}<br />
* {{App|ROX Filer|小さく高速なファイルマネージャー。壁紙やパネルの管理なども可能。|http://rox.sourceforge.net/|{{Pkg|rox}}}}<br />
* {{App|[[Thunar]]|高速に起動し素早くディレクトリを読み込むようにデーモンとして実行できるファイルマネージャー。|https://docs.xfce.org/xfce/thunar/start|{{Pkg|thunar}}}}<br />
<br />
====== Twin-panel ======<br />
<br />
Note that some of these twin-panel file managers can also be set to have only one pane.<br />
<br />
* {{App|Double Commander|2つのパネルが並ぶファイルマネージャ。Total Commander にインスパイアされており新しいアイデアが実装されています。|https://doublecmd.sourceforge.io/|GTK: {{Pkg|doublecmd-gtk2}}, Qt5: {{Pkg|doublecmd-qt5}}}}<br />
* {{App|[[Wikipedia:GNOME Commander|GNOME Commander]]|GNOME デスクトップのデュアルパネルファイルマネージャ。|https://gcmd.github.io/|{{AUR|gnome-commander}}}}<br />
* {{App|[[Wikipedia:Krusader|Krusader]]|KDE デスクトップ用の先進的なツインパネル (Midnight Commander スタイル) ファイルマネージャー。|https://krusader.org/|{{Pkg|krusader}}}}<br />
* {{App|muCommander|軽量でクロスプラットフォームのファイルマネージャ。デュアルパネルのインターフェイスを持ち、Java で書かれています。|https://www.mucommander.com/|{{AUR|mucommander}}}}<br />
* {{App|[[SpaceFM]]|GTK マルチパネルタブ式ファイルマネージャー。|https://ignorantguru.github.io/spacefm/|{{AUR|spacefm}}}}<br />
* {{App|Sunflower|小さく細かく設定可能でプラグインをサポートしたツインパネルの Linux ファイルマネージャー。|https://sunflower-fm.org/|{{AUR|sunflower}}}}<br />
* {{App|trolCommander|Lightweight, dual-pane file manager written in Java. Fork of muCommander.|https://github.com/trol73/mucommander|{{AUR|trolcommander}}}}<br />
* {{App|Tux Commander|人気の Total Commander や Midnight Commander ファイルマネージャーに似た2つのパネルをもったウィンドウ型ファイルマネージャー。|http://tuxcmd.sourceforge.net/description.php|{{Pkg|tuxcmd}}}}<br />
* {{App|Worker|高速、軽量、機能豊富な X Window System 向けファイルマネージャー。|http://www.boomerangsworld.de/cms/worker/|{{AUR|worker}}}}<br />
* {{App|[[Wikipedia:Xfe|Xfe]]|Microsoft Explorer ライクの X 用ファイルマネージャー (X File Explorer)。|http://roland65.free.fr/xfe/|{{AUR|xfe}}}}<br />
<br />
==== ゴミ箱管理 ====<br />
<br />
* {{App|trash-cli|[https://specifications.freedesktop.org/trash-spec/trashspec-latest.html FreeDesktop.org の Trash 規格] を実装するコマンドラインインターフェイス。|https://github.com/andreafrancia/trash-cli|{{Pkg|trash-cli}}}}<br />
<br />
==== ファイル同期とバックアップ ====<br />
<br />
[[バックアッププログラム]]、[[Wikipedia:Comparison of file synchronization software]] と [[Wikipedia:Comparison of backup software]] も見てください。<br />
<br />
* {{App|borg|Deduplicating backup program with compression and authenticated encryption that supports backing up over ssh|https://www.borgbackup.org|{{Pkg|borg}}}}<br />
* {{App|Déjà Dup|Simple GTK backup program. It hides the complexity of doing backups the 'right way' (encrypted, off-site, and regular) and uses [[duplicity]] as the backend.|https://launchpad.net/deja-dup|{{Pkg|deja-dup}}}}<br />
* {{App|[[Wikipedia:DirSync Pro|DirSync Pro]]|Small, but powerful utility for file and folder synchronization.|https://dirsyncpro.org/|{{AUR|dirsyncpro}}}}<br />
* {{App|[[Wikipedia:Duplicati|Duplicati]]|Backup client that securely stores encrypted, incremental, compressed backups on cloud storage services and remote file servers.|https://www.duplicati.com/|{{AUR|duplicati-latest}}}}<br />
* {{App|[[duplicity]]|Simple command-line utility which allows encrypted compressed incremental backup to nearly any storage.|https://www.nongnu.org/duplicity/|{{Pkg|duplicity}}}}<br />
* {{App|[[Duply]]|Command-line front-end for [[duplicity]] which simplifies running it. It manages backup job settings in profiles and allows to batch execute commands.|https://www.duply.net/|{{AUR|duply}}}}<br />
* {{App|[[Wikipedia:FreeFileSync|FreeFileSync]]|Folder comparison and synchronization software that creates and manages backup copies of all your important files.|https://www.freefilesync.org/|{{AUR|freefilesync}}}}<br />
* {{App|[[Wikipedia:git-annex|git-annex]]|Manage files with git, without checking the file contents into git.|https://git-annex.branchable.com/|{{Pkg|git-annex}}}}<br />
* {{App|[[Wikipedia:grsync|grsync]]|GTK+ GUI for rsync to synchronize folders, files and make backups|https://www.opbyte.it/grsync/|{{Pkg|grsync}}}}<br />
* {{App|hsync|Command line program to sync only those files that have been renamed/moved but otherwise unchanged. It works by issuing simple move operations at the destination without actually transferring the files, and is meant to be used in conjunction with other synchronization programs that lack this capability.|https://ambrevar.bitbucket.io/hsync/|{{AUR|hsync}}}}<br />
* {{App|rclone|Command line program to sync files and directories to and from Amazon S3, Dropbox, Google Drive, Microsoft OneDrive, Yandex Disk and many other cloud storage services as well as between local paths.|https://rclone.org/|{{Pkg|rclone}}}}<br />
* {{App|restic|Fast, secure, efficient backup program that supports backing up to many cloud services.|https://restic.net/|{{Pkg|restic}}}}<br />
* {{App|[[rsync]]|File transfer program that uses the "rsync algorithm" which provides a very fast method for bringing remote files into sync. It does this by sending just the differences in the files across the link, without requiring that both sets of files are present at one of the ends of the link beforehand. Has [[Rsync#Front-ends|multiple frontends available]].|https://rsync.samba.org/|{{Pkg|rsync}}}}<br />
* {{App|[[Wikipedia:SparkleShare|SparkleShare]]|File sharing and collaboration application written in C#. It can sync with any Git server over SSH.|https://www.sparkleshare.org/|{{Pkg|sparkleshare}}}}<br />
* {{App|[[Syncthing]]|Continuous file synchronization program. It synchronizes files between two or more computers in a simple way without advanced configuration.|https://syncthing.net/|{{Pkg|syncthing}}}}<br />
* {{App|Syncany|Cloud storage and filesharing application with a focus on security and abstraction of storage.|https://www.syncany.org/|{{AUR|syncany}}}}<br />
* {{App|[[Wikipedia:Synkron|Synkron]]|Application that helps you keep your files and folders always updated. You can easily sync your documents, music or pictures to have their latest versions everywhere.|http://synkron.sourceforge.net/|{{AUR|synkron}}}}<br />
* {{App|[[Wikipedia:Tarsnap|Tarsnap]]|Secure, efficient proprietary online backup service.|https://www.tarsnap.com/|{{Pkg|tarsnap}}}}<br />
* {{App|Timeshift|A system restore tool for Linux.|https://github.com/teejee2008/timeshift|{{AUR|timeshift}}}}<br />
* {{App|[[Unison]]|File synchronization tool that allows two replicas of a collection of files and directories to be stored on different hosts (or different disks on the same host), modified separately, and then brought up to date by propagating the changes in each replica to the other.|https://www.cis.upenn.edu/~bcpierce/unison/|{{Pkg|unison}}}}<br />
<br />
==== Archiving and compression tools ====<br />
<br />
For archiving and compression command-line tools, see [[アーカイブと圧縮]].<br />
<br />
===== Archive managers =====<br />
<br />
* {{App|360zip|A proprietary archiving tool.|https://yasuo.360.cn/|{{AUR|360zip}}}}<br />
* {{App|[[Wikipedia:Ark (software)|Ark]]|KDE デスクトップのアーカイブツール。|https://apps.kde.org/ark/|{{Pkg|ark}}}}<br />
* {{App|Arqiver|Simple Qt archive manager based on libarchive.|https://github.com/tsujan/Arqiver|{{AUR|arqiver-git}}}}<br />
* {{App|CoreArchiver|Simple file compressing/extracting utility based on Qt and libarchive-qt. Part of C-Suite.|https://cubocore.org/|{{AUR|corearchiver}}}}<br />
* {{App|Deepin Archive Manager|Fast and lightweight application for creating and extracting archives.|https://github.com/linuxdeepin/deepin-compressor|{{Pkg|deepin-compressor}}}}<br />
* {{App|Engrampa|[[MATE]] のアーカイブマネージャ。|https://github.com/mate-desktop/engrampa|{{Pkg|engrampa}}}}<br />
* {{App|[[Wikipedia:GNOME Archive Manager|GNOME Archive Manager]]|GNOME のデフォルト圧縮ファイルマネージャ (previously File Roller).|https://wiki.gnome.org/Apps/FileRoller|{{Pkg|file-roller}}}}<br />
* {{App|LXQt File Archiver|Simple and lightweight desktop-agnostic Qt file archiver.|https://github.com/lxqt/lxqt-archiver|{{Pkg|lxqt-archiver}}}}<br />
* {{App|p7zip-gui|The GUI belonging to the p7zip software.|http://p7zip.sourceforge.net/|{{AUR|p7zip-gui}}}}<br />
* {{App|[[Wikipedia:PeaZip|PeaZip]]|オープンソースのファイル・アーカイブマネージャ。|https://www.peazip.org/peazip-linux.html|GTK: {{AUR|peazip-gtk2-bin}}, Qt: {{AUR|peazip-qt-bin}}}}<br />
* {{App|[[Wikipedia:Xarchiver|Xarchiver]]|GTK で作られた軽量なデスクトップ非依存のアーカイブマネージャ。|https://github.com/ib/xarchiver|GTK 3: {{Pkg|xarchiver}}, GTK 2: {{Pkg|xarchiver-gtk2}}}}<br />
<br />
==== Comparison, diff, merge ====<br />
<br />
See also [[Wikipedia:Comparison of file comparison tools]].<br />
<br />
For managing ''pacnew''/''pacsave'' files, specialised tools exist. See [[Pacnew と Pacsave ファイル#.pac* ファイルの管理]].<br />
<br />
===== Console =====<br />
<br />
See {{man|1|diff}} from {{Pkg|diffutils}} and [[Core utilities#diff alternatives|its alternatives]].<br />
<br />
* {{App|colordiff|'diff' の Perl スクリプトラッパー。同じ出力にシンタックスハイライトを追加。|https://www.colordiff.org/|{{Pkg|colordiff}}}}<br />
* {{App|diffr|A Rust utility to pretty-print diff with highlighting at word-level for ease of review.|https://github.com/mookid/diffr|{{aur|diffr}}}}<br />
* {{App|ydiff|A Python wrapper to get highlighted diff output from stdin or VCS-tracked file/dirs, in either unfied or side-by-side view.|https://github.com/ymattw/ydiff|{{AUR|ydiff}}}}<br />
* {{App|delta|A diff viewer written in Rust with syntax highlighting.|https://github.com/dandavison/delta|{{Pkg|git-delta}}}}<br />
* {{App|diff-so-fancy|A diff output decorator. It does not calculate the diff, it only decorates it.|https://github.com/so-fancy/diff-so-fancy|{{Pkg|diff-so-fancy}}}}<br />
<br />
===== Graphical =====<br />
<br />
* {{App|DiffPDF|Compare the text or the visual appearance of each page in two PDF files.|https://gitlab.com/eang/diffpdf|{{Pkg|diffpdf}}}}<br />
* {{App|Diffuse|Python で書かれた小さくてシンプルなテキストマージツール。|http://diffuse.sourceforge.net/|{{Pkg|diffuse}}}}<br />
* {{App|KDiff3|KDE デスクトップのファイルとディレクトリの比較・マージツール。|https://apps.kde.org/kdiff3/|{{Pkg|kdiff3}}}}<br />
* {{App|[[Wikipedia:Kompare|Kompare]]|ソースファイルの差を回覧・マージするための GUI フロントエンドプログラム。様々な diff フォーマットをサポートし、表示する情報レベルをカスタマイズするための多くのオプションがある。|https://apps.kde.org/kompare/|{{Pkg|kompare}}}}<br />
* {{App|[[Wikipedia:Meld (software)|Meld]]|ビジュアル比較・マージツール。ファイル・ディレクトリ・プロジェクトのバージョンの比較が可能。|https://meldmerge.org/|{{Pkg|meld}}}}<br />
* {{App|xxdiff|ファイルやディレクトリの差異を表示するグラフィカルブラウザ。|https://furius.ca/xxdiff/|{{AUR|xxdiff}}}}<br />
<br />
[[Vim]] と [[Emacs]] にはそれぞれ [[Vim#ファイルのマージ (vimdiff)|vimdiff]] と {{ic|ediff}} というマージ機能があります。<br />
<br />
==== バッチ処理リネームプログラム ====<br />
<br />
===== Console =====<br />
<br />
See {{man|1|rename}} from {{Pkg|util-linux}}.<br />
<br />
* {{App|edir|Rename, delete, and copy files and directories using your editor (enhanced vidir).|https://github.com/bulletmark/edir|{{AUR|edir}}}}<br />
* {{App|f2|Cross-platform command-line tool for batch renaming files and directories quickly and safely, can also rename files based on audio tags.|https://github.com/ayoisaiah/f2|{{AUR|f2}}}}<br />
* {{App|rename.pl|perl regex ベースのバッチリネーマー。|https://search.cpan.org/~pederst/rename/|{{Pkg|perl-rename}}}}<br />
* {{App|vidir|Rename and delete files and directories using your editor.|https://linux.die.net/man/1/vidir|{{AUR|vidir}}}}<br />
<br />
===== Graphical =====<br />
* {{App|Caja-Rename|Batch renaming extension for Caja.|https://tari.in/www/software/caja-rename|{{AUR|caja-rename}}}}<br />
* {{App|CoreRenamer|Simple lightweight batch file renamer application. Part of C-Suite.|https://cubocore.org/|{{AUR|corerenamer}}}}<br />
* {{App|[[Wikipedia:GPRename|GPRename]]|ファイルとディレクトリの名前を変える GTK バッチ処理プログラム。|http://gprename.sourceforge.net|{{Pkg|gprename}}}}<br />
* {{App|[[Wikipedia:KRename|KRename]]|KDE デスクトップ向けのとてもパワフルなバッチ処理リネームプログラム。|https://apps.kde.org/krename/|{{Pkg|krename}}}}<br />
* {{App|metamorphose2|wxPython ベースのバッチリネーマーで、正規表現や、メタデータによるマルチメディアファイルの名前変更などをサポートしています。|http://file-folder-ren.sourceforge.net|{{AUR|metamorphose2}}}}<br />
* {{App|[[Thunar]] Bulk Rename|Change the name of multiple files at once using some criterion that applies to at least one of the files. Run with {{ic|thunar -B}}.|https://docs.xfce.org/xfce/thunar/bulk-renamer/start|{{Pkg|thunar}}}}<br />
<br />
==== ファイル検索 ====<br />
<br />
This section lists utilities for file searching based on filename, file path or metadata. For full-text searching, see the next section.<br />
<br />
See also [[Wikipedia:List of search engines#Desktop search engines]].<br />
<br />
===== Console =====<br />
<br />
See {{man|1|find}} from {{Pkg|findutils}} and [[Core utilities#find alternatives|its alternatives]].<br />
<br />
===== Graphical =====<br />
<br />
* {{App|Catfish|多目的のファイル検索ツール by Xfce, can be powered by find, locate and Zeitgeist.|https://launchpad.net/catfish-search|{{Pkg|catfish}}}}<br />
* {{App|CoreHunt|Easy to use fast file searching tool with categorized search and search history. Part of C-Suite.|https://cubocore.org/|{{AUR|corehunt}}}}<br />
* {{App|GNOME Search Tool|ファイルを検索する Gnome ユーティリティ, depends on [[GNOME Files]].|https://gitlab.gnome.org/GNOME/gnome-search-tool|{{Pkg|gnome-search-tool}}}}<br />
* {{App|KFind|Search tool for KDE to find files by name, type or content. Has internal search and supports locate.|https://apps.kde.org/kfind/|{{Pkg|kfind}}}}<br />
* {{App|MATE Search Tool|MATE utility to search for files.|https://github.com/mate-desktop/mate-utils|{{Pkg|mate-utils}}}}<br />
* {{App|regexxer|Interactive search and replace tool featuring Perl-style regular expressions.|http://regexxer.sourceforge.net/|{{Pkg|regexxer}}}}<br />
* {{App|Searchmonkey|正規表現が使えるパワフルな GUI 検索ユーティリティ。|https://sourceforge.net/projects/searchmonkey/|{{AUR|searchmonkey}}{{Broken package link|package not found}}}}<br />
<br />
====== File indexers ======<br />
<br />
These programs index your files to allow for quick searching.<br />
<br />
* {{App|Basenji|Volume indexing tool designed for easy and fast indexing of CD/DVD and other type of volume collections.|https://github.com/pulb/basenji|{{AUR|basenji}}}}<br />
* {{App|fsearch|A fast file search utility for Unix-like systems based on GTK 3.|https://github.com/cboxdoerfer/fsearch|{{AUR|fsearch-git}}}}<br />
<br />
==== Full-text searching ====<br />
<br />
See {{man|1|grep}} from {{Pkg|grep}} and [[Core utilities#grep alternatives|its alternatives]], which provide non-indexed [[Wikipedia:Full-text search|full-text search]].<br />
<br />
===== Full-text indexers =====<br />
<br />
* {{App|[[Baloo]]|KDE のファイルインデックス作成・検索ソリューション, has a CLI and is used by [[KRunner]].|https://community.kde.org/Baloo|{{Pkg|baloo}}}}<br />
* {{App|[[Wikipedia:DocFetcher|DocFetcher]]|Graphical Java デスクトップ検索アプリケーション。|http://docfetcher.sourceforge.net|{{AUR|docfetcher}}}}<br />
* {{App|[[Wikipedia:Recoll|Recoll]]|Xapian がバックエンドのフルテキスト検索ツール, has CLI and GUI.|https://lesbonscomptes.com/recoll/|{{Pkg|recoll}}}}<br />
* {{App|[[Wikipedia:Tracker (search software)|Tracker]]|オールインワンのインデックス作成・検索ツールとメタデータのデータベース, used by [[GNOME]] Documents, Music, Photos and Videos.|https://gnome.pages.gitlab.gnome.org/tracker/|{{Pkg|tracker}}, {{Pkg|tracker3}}}}<br />
* {{App|[[Zeitgeist]]|Event aggregation framework for the user's activities and notifications (files opened, websites visited, conversations had, etc.), has several third-party front-ends.|https://launchpad.net/zeitgeist-project|{{Pkg|zeitgeist}}}}<br />
<br />
=== Development ===<br />
<br />
==== Code forges ====<br />
<br />
* {{App|[[GitLab]]|Project management and code hosting application.|https://gitlab.com/gitlab-org/gitlab-foss|{{Pkg|gitlab}}}}<br />
* {{App|[[Gitea]]|Painless self-hosted Git service. Community managed fork of Gogs.|https://gitea.io|{{Pkg|gitea}}}}<br />
<br />
===== Code forge clients =====<br />
<br />
* {{App|git-open|Open a repo website (GitHub, GitLab, Bitbucket) in your browser|https://github.com/paulirish/git-open|{{AUR|git-open}}}}<br />
* {{App|github-cli|GitHub's official command line tool|https://github.com/cli/cli|{{Pkg|github-cli}}}}<br />
* {{App|hub|Command line interface for GitHub|https://hub.github.com|{{Pkg|hub}}}}<br />
* {{App|lab|A hub-like tool for GitLab|https://zaquestion.github.io/lab/|{{AUR|lab-bin}}}}<br />
* {{App|snippet|A terminal based interface to create a new GitLab snippet|https://gitlab.com/zj/snippet|{{AUR|snippet}}}}<br />
<br />
==== バージョン管理システム ====<br />
<br />
[[Wikipedia:Comparison of revision control software]] も参照してください。<br />
<br />
* {{App|[[Bazaar]]|Distributed version control system that helps you track project history over time and to collaborate easily with others.|https://bazaar.canonical.com/|{{AUR|bzr}}}}<br />
* {{App|[[CVS]]|Concurrent Versions System, a client-server revision control system.|http://cvs.nongnu.org/|{{Pkg|cvs}}}}<br />
* {{App|[[Wikipedia:Darcs|Darcs]]|Distributed revision control system that was designed to replace traditional, centralized source control systems such as CVS and Subversion.|http://darcs.net/|{{Pkg|darcs}}}}<br />
* {{App|[[Wikipedia:Fossil (software)|Fossil]]|Distributed VCS with bug tracking, wiki, forum, and technotes.|https://www.fossil-scm.org/|{{Pkg|fossil}}}}<br />
* {{App|[[Git]]|Distributed revision control and source code management system with an emphasis on speed.|https://git-scm.com/|{{Pkg|git}}}}<br />
* {{App|[[Mercurial]]|Distributed version control system written in Python and similar in many ways to Git.|https://www.mercurial-scm.org/|{{Pkg|mercurial}}}}<br />
* {{App|[[Subversion]]|Full-featured centralized version control system originally designed to be a better CVS.|https://subversion.apache.org/|{{Pkg|subversion}}}}<br />
<br />
==== ビルド自動化 ====<br />
<br />
See also [[Wikipedia:List of build automation software]].<br />
<br />
* {{App|[[Wikipedia:Apache Ant|Apache Ant]]|Java ライブラリとコマンドラインツール。相互に依存するターゲットや拡張ポイントにあわせてビルドファイルに書かれている手順を実行します。|https://ant.apache.org/|{{Pkg|ant}}}}<br />
* {{App|[[Wikipedia:Apache Maven|Apache Maven]]|Build automation tool used primarily for Java.|https://maven.apache.org/|{{Pkg|maven}}}}<br />
* {{App|[[Wikipedia:CMake|CMake]]|ソフトウェアをビルド、テスト、パッケージ化するためのツール群。|https://cmake.org/|{{Pkg|cmake}}}}<br />
* {{App|[[Wikipedia:Make (software)|GNU make]]|プログラムのグループを管理するための、GNU make ユーティリティ。|https://www.gnu.org/software/make/|{{Pkg|make}} ({{Grp|base-devel}} の一部)}}<br />
* {{App|[[Wikipedia:Meson (software)|Meson]]|Extremely fast and user friendly build system.|https://mesonbuild.com/|{{Pkg|meson}}}}<br />
* {{App|[[Wikipedia:Gradle|Gradle]]|JVM の強力なビルドシステム。|https://gradle.org/|{{Pkg|gradle}}}}<br />
* {{App|Phing|あらゆる作業を自動化する PHP プログラム。|https://www.phing.info/|{{AUR|phing}}}}<br />
<br />
==== 統合開発環境 ====<br />
<br />
See also [[Wikipedia:Comparison of integrated development environments]].<br />
<br />
For PHP specific list, see [[PHP#Development tools]].<br />
<br />
* {{App|[[Android Studio]]|The official Android development environment based on IntelliJ IDEA.|https://developer.android.com/studio/index.html|{{AUR|android-studio}}}}<br />
* {{App|[[Wikipedia:Anjuta|Anjuta]]|プロジェクト管理、アプリケーションウィザード、インタラクティブデバッガ、ソースエディタ、バージョンコントロールなど多数のツールを備えた多目的 IDE。|http://anjuta.org/|{{Pkg|anjuta}}}}<br />
* {{App|[[Wikipedia:Aptana#Aptana_Studio|Aptana Studio]]|ウェブ開発を対象にしている Eclipse ベースの IDE。HTML, CSS, Javascript, Ruby on Rails, PHP, Adobe AIR などをサポート。|http://www.aptana.com/|{{AUR|aptana-studio}}}}<br />
* {{App|[[Wikipedia:Bluefish (software)|Bluefish]]|Powerful editor targeted towards programmers and webdevelopers, with many options to write websites, scripts and programming code. It supports many programming and markup languages.|http://bluefish.openoffice.nl/|{{Pkg|bluefish}}}}<br />
* {{App|[[Wikipedia:Code::Blocks|Code::Blocks]]|C, C++ and Fortran IDE built to meet the most demanding needs of its users. It is designed to be very extensible and fully configurable.|https://codeblocks.org/|{{Pkg|codeblocks}}}}<br />
* {{App|[[Wikipedia:JetBrains#CLion|CLion]]|A cross-platform IDE for C and C++.|https://www.jetbrains.com/clion/|{{AUR|clion}}}}<br />
* {{App|[[Wikipedia:CodeLite|CodeLite]]|C++ で書かれた C/C++/PHP/Node.js のオープンソースなクロスプラットフォーム IDE。|https://codelite.org/|{{AUR|codelite}}}}<br />
* {{App|[[Wikipedia:Cloud9 IDE|Cloud9]]|ブラウザやクラウドで動く最新の IDE、どこでも・いつでもアプリケーションを実行・デバッグ・開発できます。|https://c9.io/|{{AUR|c9.core}}{{Broken package link|package not found}}}}<br />
* {{App|[[Eclipse]]|IDE for Java, C/C++, PHP, Perl and Python with subversion support and task management.|https://www.eclipse.org/|Java EE: {{AUR|eclipse-jee}}, Java: {{AUR|eclipse-java}}, C/C++: {{AUR|eclipse-cpp}}, PHP: {{AUR|eclipse-php}}, JavaScript and Web: {{AUR|eclipse-javascript}}{{Broken package link|package not found}}, Rust: {{AUR|eclipse-rust}}{{Broken package link|package not found}}}}<br />
* {{App|[[Wikipedia:Eric (software)|Eric]]|PyQt5 によるフル機能の Python / Ruby IDE。|https://eric-ide.python-projects.org/|{{AUR|eric}}}}<br />
* {{App|[[Gambas]]|Basic インタプリタをベースにオブジェクト指向の拡張を加えたフリーの開発環境。|http://gambas.sourceforge.net/en/main.html|{{Pkg|gambas3-ide}}}}<br />
* {{App|[[Wikipedia:Geany|Geany]]|Small and lightweight IDE with many supported many programming and markup languages including C, Java, PHP, HTML, Python, Perl, Pascal.|https://geany.org/|{{Pkg|geany}}}}<br />
* {{App|[[Wikipedia:GNOME Builder|GNOME Builder]]|Tool to write and contribute to great GNOME-based applications.|https://wiki.gnome.org/Apps/Builder|{{Pkg|gnome-builder}}}}<br />
* {{App|[[Wikipedia:KDevelop|KDevelop]]|機能豊富なプラグインを使うことができる C/C++ などのプログラミング言語の IDE。|https://www.kdevelop.org/|{{Pkg|kdevelop}}}}<br />
* {{App|[[Wikipedia:Komodo_Edit|Komodo Edit]]|フリーの、多言語エディタ。|https://www.activestate.com/products/komodo-edit/|{{AUR|komodo-edit}}}}<br />
* {{App|[[Wikipedia:Lazarus (IDE)|Lazarus]]|Delphi (Object Pascal) compatible IDE for Rapid Application Development. It has variety of components ready for use and a graphical form designer to easily create complex graphical user interfaces.|https://www.lazarus-ide.org/|{{Pkg|lazarus}}}}<br />
* {{App|LiteIDE|シンプルな Go の IDE。|https://github.com/visualfc/liteide|{{Pkg|liteide}}}}<br />
* {{App|[[Wikipedia:MPLAB|MPLAB]]|Microchip PIC と dsPIC 開発のための IDE。|https://www.microchip.com/mplabx|{{AUR|microchip-mplabx-bin}}}}<br />
* {{App|[[Netbeans]]|Java, JavaScript, PHP, Python, Ruby, Groovy, C, C++, Scala, Clojure などの言語で開発するための統合開発環境 (IDE)。|https://netbeans.org/|{{Pkg|netbeans}}}}<br />
* {{App|[[Wikipedia:PhpStorm|PhpStorm]]|JetBrains PhpStorm は PHP 向けの商用のクロスプラットフォーム IDE です。JetBrains の IntelliJ IDEA プラットフォームの上で動作し、providing an editor for PHP, HTML and JavaScript with PHP や JavaScript コードをオンザフライでコード解析したり、エラー補正や自動リファクタリングが行えるエディタを提供します。|https://www.jetbrains.com/phpstorm/|{{Aur|phpstorm}} {{Aur|phpstorm-eap}}}}<br />
* {{App|[[Wikipedia:Qt Creator|Qt Creator]]|Qt での開発に焦点をおいた軽量なクロスプラットフォームの C++ 統合開発環境。|https://www.qt.io/ide/|{{Pkg|qtcreator}}}}<br />
* {{App|[[Wikipedia:Eclipse_Theia|Theia]]|Eclipse Theia is a free and open-source IDE for desktop and web applications. It is implemented in TypeScript, is based on Visual Studio Code, and emphasizes extensibility. It can be run as a web or a desktop application.|https://theia-ide.org/|{{AUR|theia-electron}}}}<br />
* {{App|[[Visual Studio Code]]|Visual Studio Code is a cross-platform, free and open-source text editor developed by Microsoft, written in JavaScript and TypeScript. It supports a variety of languages thanks to its extensions.|https://code.visualstudio.com/|{{Pkg|code}} {{AUR|visual-studio-code-bin}}}}<br />
* {{App|VSCodium|Free/Libre Open Source Software Binaries of VSCode.|https://vscodium.com/|{{AUR|vscodium-bin}}}}<br />
<br />
===== Java IDEs =====<br />
<br />
* {{App|[[Wikipedia:BlueJ|BlueJ]]|教育や初心者が主に使うことを目的とした完全な機能を備えた Java IDE。|https://bluej.org/|{{AUR|bluej}}}}<br />
* {{App|[[Wikipedia:IntelliJ IDEA|IntelliJ IDEA]]|高度なリファクタリング機能を持つ Java, Groovy などのプログラミング言語向けの IDE。|https://www.jetbrains.com/idea/|{{Pkg|intellij-idea-community-edition}}}}<br />
<br />
===== Python IDEs =====<br />
<br />
* {{App|[[Wikipedia:Ninja-IDE|Ninja-IDE]]|IDE for Python development.|http://ninja-ide.org/|{{AUR|ninja-ide}}}}<br />
* {{App|[[Wikipedia:PyCharm|PyCharm]]|Python でのプログラミングに使われる IDE。コード解析、デバッグ、ユニットテスト、バージョンコントロール、Django によるウェブ開発をサポート。|https://www.jetbrains.com/pycharm/|community edition: {{Pkg|pycharm-community-edition}}, professional edition: {{AUR|pycharm-professional}}, edu edition: {{AUR|pycharm-edu}}}}<br />
* {{App|[[Wikipedia:Spyder (software)|Spyder]]|MATLAB のような機能を提供する科学用 Python 開発環境。|https://github.com/spyder-ide/spyder|{{Pkg|spyder}}}}<br />
* {{App|[[Wikipedia:Thonny|Thonny]]|初心者向けの Python IDE。|https://thonny.org/|{{AUR|thonny}}}}<br />
* {{App|[[Wikipedia:Wing IDE|WingIDE]]|Proprietary Python development environment. It is fully featured and meant for professional use.|https://wingware.com/|{{Aur|wingide}}}}<br />
<br />
===== Rust IDEs =====<br />
<br />
See also: [https://www.rust-lang.org/tools]<br />
<br />
* {{App|[[Wikipedia:IntelliJ IDEA|IntelliJ IDEA]]|IDE for Java, Groovy and other programming languages with advanced refactoring features.|https://www.jetbrains.com/idea/|{{Pkg|intellij-idea-community-edition}}}} Install the [https://plugins.jetbrains.com/plugin/8182-rust rust plugin].<br />
* {{App|[[Visual Studio Code]]|Visual Studio Code is a cross-platform, free and open-source text editor developed by Microsoft, written in JavaScript and TypeScript. It supports a variety of languages thanks to its extensions.|https://code.visualstudio.com/|{{Pkg|code}} {{AUR|visual-studio-code-bin}}}} Install the [https://marketplace.visualstudio.com/items?itemName=rust-lang.rust rust extension].<br />
* {{App|VSCodium|Free/Libre Open Source Software Binaries of VSCode.|https://vscodium.com/|{{AUR|vscodium-bin}}}}<br />
<br />
===== Educational IDEs =====<br />
<br />
* {{App|[[Wikipedia:Etoys (programming language)|Etoys]]|Educational tool and media-rich authoring environment for teaching children.|http://squeakland.org/|{{AUR|etoys}}{{Broken package link|package not found}}}}<br />
* {{App|[[Wikipedia:KTurtle|KTurtle]]|Educational programming environment that aims to make learning how to program as easily as possible. Part of {{Grp|kde-education}}.|https://apps.kde.org/kturtle/|{{Pkg|kturtle}}}}<br />
* {{App|[[Wikipedia:Processing (programming language)|Processing]]|Playground for teaching non-programmers the fundamentals of computer programming in a visual context.|https://processing.org/|{{AUR|processing}}}}<br />
* {{App|[[Wikipedia:Scratch (programming language)|Scratch]]|インタラクティブなプロジェクトやシンプルなスプライトベースのゲームを作成できる、教育とエンターテイメント用の programming system and content development tool。[[Wikipedia:ja:イベント駆動型プログラミング|イベント駆動型プログラミング]]のエントリのように初心者 (子供など) を主に対象としています。|https://scratch.mit.edu/|{{Pkg|scratch}}}}<br />
<br />
==== Debuggers ====<br />
<br />
* {{App|Accerciser|Interactive Python accessibility explorer. It uses the AT-SPI library to inspect, examine, and interact with widgets, allowing you to check if an application is providing correct information to assistive technologies and automated testing frameworks.|https://wiki.gnome.org/Apps/Accerciser|{{Pkg|accerciser}}}}<br />
* {{App|Bustle|Draws sequence diagrams of D-Bus activity. It shows signal emissions, method calls and their corresponding returns, with time stamps for each individual event and the duration of each method call.|https://www.freedesktop.org/wiki/Software/Bustle/|{{AUR|bustle-git}}}}<br />
* {{App|[[Wikipedia:Data Display Debugger|Data Display Debugger]]|Graphical front-end for command-line debuggers such as GDB.|https://www.gnu.org/software/ddd/|{{AUR|ddd}}}}<br />
* {{App|Desed|TUI-based debugger for sed. Features variable and regex preview, setting breakpoints and stepping back and forth.|https://github.com/SoptikHa2/desed|{{AUR|desed}}}}<br />
* {{App|D-Feet|Easy to use D-Bus debugger to inspect D-Bus interfaces of running programs and invoke methods on those interfaces.|https://wiki.gnome.org/Apps/DFeet|{{Pkg|d-feet}}}}<br />
* {{App|GammaRay|Qt-application inspection and manipulation tool.|https://www.kdab.com/development-resources/qt-tools/gammaray/|{{Pkg|gammaray}}}}<br />
* {{App|KCachegrind|Profile data visualization tool, used to determine the most time consuming execution parts of program.|https://apps.kde.org/kcachegrind/|KDE: {{Pkg|kcachegrind}}, Qt: {{Pkg|qcachegrind}}}}<br />
* {{App|[[Wikipedia:KDbg|KDbg]]|Graphical user interface to GDB, the GNU debugger. It provides an intuitive interface for setting breakpoints, inspecting variables, and stepping through code.|http://kdbg.org/|{{Pkg|kdbg}}}}<br />
* {{App|Massif-Visualizer|Visualizer for Valgrind Massif data files.|https://apps.kde.org/massif-visualizer/|{{Pkg|massif-visualizer}}}}<br />
* {{App|[[Wikipedia:Nemiver|Nemiver]]|Easy to use standalone C/C++ debugger (GDB front-end) that integrates well in the GNOME environment.|https://wiki.gnome.org/Apps/Nemiver|{{Pkg|nemiver}}}}<br />
* {{App|Qt QDbusViewer|Tool to introspect D-Bus objects and messages.|https://doc.qt.io/qt-5/qdbusviewer.html|{{Pkg|qt5-tools}}}}<br />
* {{App|scanmem|Debugging utility designed to isolate the address of an arbitrary variable in an executing process.|https://github.com/scanmem/scanmem|CLI: {{Pkg|scanmem}}, GUI: {{Pkg|gameconqueror}}}}<br />
* {{App|Sysprof|Profiling tool that helps in finding the functions in which a program uses most of its time.|https://wiki.gnome.org/Apps/Sysprof|{{Pkg|sysprof}}}}<br />
<br />
==== Lexing and parsing ====<br />
<br />
[[Wikipedia:Lex (software)|Lex]] and [[Wikipedia:Yacc|Yacc]] are part of POSIX.<br />
<br />
* {{App|[[Wikipedia:Flex (lexical analyser generator)|flex]]|A tool for generating text-scanning programs, alternative to Lex.|https://github.com/westes/flex|{{Pkg|flex}}}}<br />
* {{App|[[Wikipedia:Berkeley Yacc|Berkeley Yacc]]|Berkeley reimplementation of the Unix parser generator Yacc.|https://invisible-island.net/byacc/|{{Pkg|byacc}}}}<br />
* {{App|[[Wikipedia:GNU bison|GNU Bison]]|The GNU general-purpose parser generator, alternative to ''byacc''.|https://www.gnu.org/software/bison/|{{Pkg|bison}}}}<br />
<br />
And then there are also:<br />
<br />
* {{App|[[Wikipedia:ANTLR|ANTLR]]|Parser generator, written in Java, for parsing structured text or binary files.|https://www.antlr.org/|{{Pkg|antlr4}}}}<br />
* {{App|LPeg|Pattern-matching library, based on PEGs, for Lua.|http://www.inf.puc-rio.br/~roberto/lpeg/|{{Pkg|lua-lpeg}}, {{Pkg|lua52-lpeg}}, {{Pkg|lua51-lpeg}}}}<br />
* {{App|peg/leg|Recursive-descent parser generators for C.|https://www.piumarta.com/software/peg/|{{Pkg|peg}}}}<br />
* {{App|Ragel|Compiles finite state machines from regular languages into executable C, C++, Objective-C, or D code.|https://www.colm.net/open-source/ragel/|{{Pkg|ragel}}}}<br />
<br />
==== GUI builders ====<br />
<br />
* {{App|[[Wikipedia:FLUID|FLUID]]|FLTK GUI designer.|https://www.fltk.org/|{{Pkg|fltk}}}}<br />
* {{App|[[Wikipedia:Glade Interface Designer|Glade]]|Create or open user interface designs for GTK applications.|https://glade.gnome.org/|{{Pkg|glade}}}}<br />
* {{App|KUIViewer|Quick viewer for Qt Designer UI File.|https://apps.kde.org/kuiviewer/|{{Pkg|kde-dev-utils}}}}<br />
* {{App|Qt Designer|Tool for designing and building graphical user interfaces (GUIs) with Qt Widgets.|https://doc.qt.io/qt-5/qtdesigner-manual.html|{{Pkg|qt5-tools}}}}<br />
<br />
==== Hex editors ====<br />
<br />
See also [[Wikipedia:Comparison of hex editors]].<br />
<br />
* {{App|Bless|High quality, full featured hex editor.|https://web.archive.org/web/20170503150524/http://home.gna.org/bless/|{{Pkg|bless}}}}<br />
* {{App|GHex|Hex editor for GNOME, which allows the user to load data from any file, view and edit it in either hex or ascii.|https://wiki.gnome.org/Apps/Ghex|{{Pkg|ghex}}}}<br />
* {{App|hyx|Minimalistic but powerful console hex editor.|https://yx7.cc/code/|{{AUR|hyx}}}}<br />
* {{App|Reverse Engineer's Hex Editor|Hex editor with features for analyzing and annotating binary file formats|https://github.com/solemnwarning/rehex|{{AUR|rehex}}}}<br />
* {{App|Okteta|KDE hex editor for viewing and editing the raw data of files.|https://apps.kde.org/okteta/|{{Pkg|okteta}}}}<br />
<br />
==== JSON tools ====<br />
<br />
* {{App|gron|gron transforms JSON into discrete assignments to make it easier to grep.|https://github.com/tomnomnom/gron|{{AUR|gron-bin}}}}<br />
* {{App|jid|JSON incremental digger|https://github.com/simeji/jid|{{AUR|jid}}}}<br />
* {{App|jo|A command to create JSON.|https://github.com/jpmens/jo|{{AUR|jo-git}}}}<br />
* {{App|jq|Command-line JSON processor|https://stedolan.github.io/jq/|{{Pkg|jq}}}}<br />
* {{App|jshon|A JSON parser for the shell.|http://kmkeen.com/jshon/|{{Pkg|jshon}}}}<br />
* the [[Elvish]] shell has built-in support for JSON<br />
<br />
==== Literate programming ====<br />
<br />
See also [[Wikipedia:Literate programming]].<br />
<br />
* {{App|Noweb|A Simple, Extensible Tool for Literate Programming build against ICON libs and texlive|https://www.cs.tufts.edu/~nr/noweb/|{{AUR|noweb}}}}<br />
* {{App|nuweb|A Simple Literate Programming Tool|http://nuweb.sourceforge.net/|{{AUR|nuweb}}}}<br />
<br />
==== UML modelers ====<br />
<br />
See also [[Wikipedia:List of Unified Modeling Language tools]].<br />
<br />
* {{App|[[Wikipedia:ArgoUML|ArgoUML]]|UML modeling tool with support for all standard UML 1.4 diagrams.|http://argouml.tigris.org/|{{AUR|argouml}}}}<br />
* {{App|[[Eclipse]] Modeling Tools|Tools and runtimes for building model-based applications.|https://www.eclipse.org/|{{AUR|eclipse-modeling-tools}}}}<br />
* {{App|Gaphor|Simple modeling tool for UML.|https://github.com/gaphor/gaphor|{{AUR|python-gaphor}}}}<br />
* {{App|[[Wikipedia:Modelio|Modelio]]|Modeling environment supporting the main standards: UML, BPMN, MDA, SysML.|https://www.modelio.org/|{{AUR|modelio-bin}}}}<br />
* {{App|[[Wikipedia:Papyrus (software)|Papyrus]]|Model-based engineering tool based on Eclipse.|https://www.eclipse.org/papyrus/|{{AUR|papyrus}}}}<br />
* {{App|[[Wikipedia:PlantUML|PlantUML]]|Tool to create UML diagrams from a plain text language.|https://plantuml.com|{{Pkg|plantuml}}}}<br />
* {{App|PlantUML QEditor|PlantUML editor written in Qt.|https://github.com/borco/plantumlqeditor|{{AUR|plantumlqeditor-git}}}}<br />
* {{App|[[Wikipedia:Umbrello UML Modeller|Umbrello]]|Unified Modelling Language (UML) diagram program based on KDE Technology.|https://umbrello.kde.org/|{{Pkg|umbrello}}}}<br />
* {{App|[[Wikipedia:UML Designer|UML Designer]]|Graphical tool based on Eclipse to edit and visualize UML models.|https://www.umldesigner.org/|{{AUR|umldesigner}}}}<br />
* {{App|[[Wikipedia:UMLet|UMLet]]|UML tool with a simple user interface: draw UML diagrams fast, build sequence and activity diagrams from plain text, export diagrams to eps, pdf, jpg, svg, and clipboard, share diagrams using Eclipse, and create new, custom UML elements.|https://umlet.com/|{{AUR|umlet}}}}<br />
* {{App|UML/INTERLIS-editor|Facilitate the application of the model driven approach to a greater number of users.|http://www.umleditor.org/|{{AUR|umleditor}}}}<br />
* {{App|Violet|Very easy to learn and use UML editor that draws nice-looking diagrams.|https://sourceforge.net/projects/violet/|{{AUR|violetumleditor}}}}<br />
<br />
==== API documentation browsers ====<br />
<br />
* {{App|[[Wikipedia:GNOME Devhelp|Devhelp]]|Developer tool for browsing and searching API documentation.|https://wiki.gnome.org/Apps/Devhelp|{{Pkg|devhelp}}}}<br />
* {{App|Doc Browser|API documentation browser with support for DevDocs and Hoogle.|https://github.com/qwfy/doc-browser|{{AUR|doc-browser-git}}}}<br />
* {{App|Qt Assistant|Tool for viewing on-line documentation in Qt help file format.|https://doc.qt.io/qt-5/qtassistant-index.html|{{Pkg|qt5-tools}}}}<br />
* {{App|quickDocs|Fast developer docs reader for reading Valadoc and DevDocs.|https://github.com/mdh34/quickDocs|{{AUR|quickdocs}}}}<br />
* {{App|Zeal|Offline API documentation browser for software developers.|https://zealdocs.org/|{{AUR|zeal}}}}<br />
<br />
==== 課題追跡システム ====<br />
<br />
* {{App|[[Bugzilla]]|Mozilla によるバグトラッカー。|https://www.bugzilla.org|{{Pkg|bugzilla}}}}<br />
* {{App|[[Flyspray]]|PHP で書かれた軽量なウェブベースのバグ追跡システム|https://www.flyspray.org/|{{Pkg|flyspray}}}}<br />
* {{App|[[MantisBT]]|ウェブベースの課題追跡システム|https://www.mantisbt.org/|{{AUR|mantisbt}}}}<br />
* {{App|[[Redmine]]|柔軟なプロジェクト管理のためのウェブアプリケーション。Ruby on Rails を使用して書かれており、クロスプラットフォームおよびクロスデータベース対応。|https://www.redmine.org|{{Pkg|redmine}}}}<br />
* {{App|[[Request Tracker]] (RT)|オープンソースの代表的な課題追跡システム。|https://bestpractical.com/rt/|{{AUR|rt}}{{Broken package link|package not found}}}}<br />
* {{App|[[Trac]]|Apache と Subversion を使用する統合 SCM & プロジェクト管理システム。|https://trac.edgewall.org/|{{AUR|trac}}}}<br />
<br />
[[:en:Git server#Advanced web applications]] を参照。<br />
<br />
==== コードレビュー ====<br />
<br />
* {{App|Gerrit|Git バージョン管理システム上に構築されたウェブベースのコードレビュー ツール|https://www.gerritcodereview.com/|{{AUR|gerrit}}}}<br />
* [[GitLab]] もコードレビューをサポートしています。<br />
<br />
[[Wikipedia:List of tools for code review]] も参照してください。<br />
<br />
==== ゲーム開発 ====<br />
<br />
[[Wikipedia:List of game engines]] も参照してください。<br />
<br />
* {{App|GDevelop|プログラミングスキルが不要で、誰でも使用できるゲーム作成ツール。|https://gdevelop-app.com/|{{AUR|gdevelop}}}}<br />
* {{App|[[:en:Godot]]|高度で機能満載のマルチプラットフォーム対応の 2D および 3D ゲームエンジン。Godot の独自のアプローチを使用して、簡単にゲームを作成できます。|https://godotengine.org/|{{Pkg|godot}}}}<br />
* {{App|LibreSprite|アニメーションスプライトエディタおよびピクセルアートツールで、ビデオゲーム用の 2D アニメーションを作成できます。|https://github.com/LibreSprite/LibreSprite|{{AUR|libresprite}}}}<br />
* {{App|Pixelorama|Orama Interactive によって Godot Engine と GDScript を使用して作成された、アニメーション対応の 2D スプライトエディタ。|https://www.orama-interactive.com/pixelorama{{Dead link|2021|05|17|status=404}}|{{AUR|pixelorama-bin}}}}<br />
* {{App|Tiled|強力なタイルマップ編集機能を備えた汎用の 2D レベルエディタ。使いやすさを重視して設計されており、多くのタイプのゲームに適しています。|https://www.mapeditor.org/|{{Pkg|tiled}}}}<br />
* {{App|[[Unity3D|Unity]]|Unity は、マルチプラットフォームの 3D および 2D ゲームを作成するための柔軟で強力な開発プラットフォームです。プロプライエタリですが、特定の使用例には無料バージョンが利用可能です(詳細は[https://store.unity.com/compare-plans こちら]をご覧ください)。|https://unity3d.com/unity|{{AUR|unity-editor}}}}<br />
<br />
==== Repository managers ====<br />
<br />
{{Style|Redirects to company blogs should not be here.}}<br />
<br />
* {{App|Nexus 2|Nexus 2 Repository Manager (OSS)|https://www.sonatype.com/nexus-repository-oss|{{AUR|nexus}}}}<br />
* {{App|Nexus 3|Nexus 3 Repository OSS|https://www.sonatype.com/nexus-repository-oss|{{AUR|nexus-oss}}}}<br />
* {{App|Artifactory|Artifactory is an advanced Binary Repository Manager for use by build tools, dependency management tools and build servers|https://bintray.com/jfrog/product/JFrog-Artifactory-Oss/view|{{AUR|artifactory-oss}}}}<br />
<br />
=== Text input ===<br />
<br />
==== Character selectors ====<br />
<br />
* {{App|GNOME Characters|Character map application for GNOME.|https://gitlab.gnome.org/GNOME/gnome-characters|{{Pkg|gnome-characters}}}}<br />
* {{App|[[Wikipedia:GNOME Character Map|gucharmap]]|GTK 3 character selector for GNOME.|https://wiki.gnome.org/Apps/Gucharmap|{{pkg|gucharmap}}}}<br />
* {{App|KCharSelect|Tool to select special characters from all installed fonts and copy them into the clipboard. Part of {{Grp|kde-utilities}}.|https://apps.kde.org/kcharselect/|{{Pkg|kcharselect}}}}<br />
<br />
==== スクリーンキーボード ====<br />
<br />
* {{App|CellWriter|Grid-entry handwriting recognition input panel.|https://github.com/risujin/cellwriter|{{AUR|cellwriter}}}}<br />
* {{App|CoreKeyboard|Simple X11 based Qt virtual keyboard with word suggestions. Part of C-Suite.|https://cubocore.org/|{{AUR|corekeyboard}}}}<br />
* {{App|eekboard|Easy to use virtual keyboard toolkit.|https://github.com/ueno/eekboard|{{AUR|eekboard}}}}<br />
* {{App|Florence|Extensible scalable on-screen virtual keyboard for GNOME that stays out of your way when not needed.|https://sourceforge.net/projects/florence/|{{AUR|florence}}}}<br />
* {{App|Onboard|Onscreen keyboard useful for tablet PC users and for mobility impaired users.|https://launchpad.net/onboard|{{Pkg|onboard}}}}<br />
* {{App|qtvkbd|Virtual keyboard written in Qt, a fork of kvkbd.|https://github.com/Alexander-r/qtvkbd|{{AUR|qtvkbd}}}}<br />
* {{App|QVKbd|Virtual keyboard written in Qt.|https://github.com/KivApple/qvkbd|{{Pkg|qvkbd}}}}<br />
* {{App|Squeekboard|GTK 3 virtual keyboard for [[Wayland]], written in Rust/C.|https://source.puri.sm/Librem5/squeekboard|{{AUR|squeekboard}}}}<br />
* {{App|theShell On Screen Keyboard|Touchscreen keyboard for theShell.|https://github.com/vicr123/ts-kbd|{{AUR|ts-kbd}}}}<br />
* {{App|xvkbd|Virtual keyboard for X window system.|http://t-sato.in.coocan.jp/xvkbd/|{{AUR|xvkbd}}}}<br />
<br />
==== キーボードレイアウトの切り替え ====<br />
<br />
* {{App|fbxkb|NETWM 互換のキーボードインジケータ・スイッチャー。システム領域にある現在のキーボードのフラグを表示し、他のキーボードに切り替えることが可能です。|http://fbxkb.sourceforge.net/|{{AUR|fbxkb}}}}<br />
* {{App|xxkb|軽量なキーボードレイアウトインジケータ・スイッチャー。|https://sourceforge.net/projects/xxkb/|{{Pkg|xxkb}}}}<br />
* {{App|gxkb|X11 keyboard layout indicator and switcher.|https://github.com/zen-tools/gxkb|{{Pkg|gxkb}}}}<br />
* {{App|qxkb|Qt で書かれているキーボード切り替えアプリケーション。|https://github.com/disels/qxkb|{{AUR|qxkb}}}}<br />
* {{App|[[Wikipedia:X Neural Switcher|X Neural Switcher]]|テキストアナライザ。入力の言語を検出して必要に応じてキーボードレイアウトを修正します。|https://xneur.ru/|{{AUR|gxneur}} (GUI)}}<br />
<br />
==== Keybinding managers ====<br />
<br />
See [[キーボードショートカット#Xorg]].<br />
<br />
==== インプットメソッド ====<br />
<br />
See the main article: [[インプットメソッド]].<br />
<br />
=== Disks ===<br />
<br />
==== パーティション分割ツール ====<br />
<br />
See [[パーティショニング#パーティショニングツール]].<br />
<br />
==== Formatting tools ====<br />
<br />
See [[ファイルシステム#ファイルシステムのタイプ]].<br />
<br />
==== Cloning tools ====<br />
<br />
See [[ディスクのクローン#ディスククローンソフトウェア]].<br />
<br />
==== マウントツール ====<br />
<br />
See also [[udisks#Mount helpers]].<br />
<br />
* {{App|9mount|9p ファイルシステムをマウント。|http://sqweek.net/code/9mount/|{{AUR|9mount}}}}<br />
* {{App|cryptmount|暗号化されたファイルシステムを通常ユーザーでマウント。|https://sourceforge.net/projects/cryptmount/|{{AUR|cryptmount}}}}<br />
* {{App|KDiskFree|Displays information about hard disks and other storage devices. It also allows to mount and unmount drives and view them in a file manager.|https://apps.kde.org/kdf/|{{Pkg|kdf}}}}<br />
* {{App|ldm|''udev'' を使ってドライブを自動的にマウントする軽量なデーモン。|https://github.com/LemonBoy/ldm|{{AUR|ldm}}}}<br />
* {{App|pmount|通常ユーザーで''ソース''を自動的に作成する {{ic|/media/''source_name''}} にマウント。|[[Debian:pmount]]|{{AUR|pmount}}}}<br />
* {{App|pmount-safe-removal|安全に取り除けるように通常ユーザーでリムーバブルデバイスをマウント。|https://mywaytoarch.tumblr.com/post/13111098534/pmount-safe-removal-of-usb-device|{{AUR|pmount-safe-removal}}}}<br />
* {{App|udevil|通常ユーザーでリムーバブルデバイスをマウント。デバイス情報を表示して、デバイスの変更を監視。''udev'' と glib にだけ依存。|https://ignorantguru.github.io/udevil|{{AUR|udevil}}}}<br />
* {{App|ws|Windows ネットワーク共有をマウント ([[Wikipedia:Server Message Block|CIFS]] と [[Wikipedia:Virtual file system|VFS]])。|https://sourceforge.net/projects/winshares/|{{AUR|ws}}}}<br />
* {{App|zulucrypt|暗号化ボリュームを作成・管理・マウントする cryptsetup の GUI フロントエンド。[[EncFS]] もサポート。|https://mhogomchungu.github.io/zuluCrypt/|{{AUR|zulucrypt}}}}<br />
<br />
==== ディスク使用量表示プログラム ====<br />
<br />
===== Console =====<br />
<br />
* {{App|duc|ディスク使用量を調査するためのライブラリとツールスイート。|https://duc.zevv.nl/|{{AUR|duc}}}}<br />
* {{App|gdu|Disk usage analyzer with console interface written in Go.|https://github.com/Dundee/gdu|{{AUR|gdu}}}}<br />
* {{App|gt5|差分が表示できる "du-browser"。|http://gt5.sourceforge.net|{{AUR|gt5}}}}<br />
* {{App|ncdu|シンプルな ncurses ディスク使用量アナライザ。|https://dev.yorhel.nl/ncdu|{{Pkg|ncdu}}}}<br />
<br />
===== Graphical =====<br />
* {{App|[[Wikipedia:Filelight|Filelight]]|コンピュータのディスク使用量を、リング状のマップに視覚化するディスク使用量アナライザ。|https://apps.kde.org/filelight/|{{Pkg|filelight}}}}<br />
* {{App|[[Wikipedia:Disk Usage Analyzer|GNOME Disk Usage Analyzer]]|[[GNOME]] デスクトップ用のディスク使用量アナライザ to check folder sizes and available disk space.|https://wiki.gnome.org/Apps/DiskUsageAnalyzer|{{Pkg|baobab}}}}<br />
* {{App|Graphical Disk Map|ファイルやディレクトリサイズにあわせて長方形を表示するディスク使用量アナライザ。|http://gdmap.sourceforge.net/|{{Pkg|gdmap}}}}<br />
* {{App|fsview (part of Konqueror)|KDE based disk usage analyzer that draws a map of rectangles sized according to file or dir sizes.|https://docs.kde.org/trunk5/en/konqueror/konqueror/view-extensions.html|{{Pkg|konqueror}}}}<br />
* {{App|MATE Disk Usage Analyzer|Disk usage analyzing tool for MATE Desktop.|https://github.com/mate-desktop/mate-utils|{{Pkg|mate-utils}}}}<br />
* {{App|qdirstat|Qt-based directory statistics (KDirStat/K4DirStat without any KDE - from the original KDirStat author).|https://github.com/shundhammer/qdirstat|{{AUR|qdirstat}}}}<br />
<br />
==== Disk health status ====<br />
<br />
See [[S.M.A.R.T.#GUI applications]].<br />
<br />
==== File recovery tools ====<br />
<br />
See [[ファイルリカバリ#List of utilities]].<br />
<br />
==== Disk cleaning ====<br />
<br />
===== Console =====<br />
<br />
* {{App|duff|A command-line utility for quickly finding duplicates in a given set of files.|https://github.com/elmindreda/duff|{{AUR|duff}}}}<br />
* {{App|fclones|Very fast duplicate file Finder written in rust.|https://github.com/pkolaczk/fclones|{{AUR|fclones}}}}, {{AUR|fclones-git}}}}<br />
* {{App|[[Wikipedia:fdupes|fdupes]]|Program for identifying or deleting duplicate files residing within specified directories.|https://github.com/adrianlopezroche/fdupes|{{Pkg|fdupes}}}}<br />
* {{App|jdupes|Identify and take actions upon duplicate files.|https://github.com/jbruchon/jdupes|{{AUR|jdupes}}}}<br />
* {{App|rdfind|Command line tool that finds duplicate files. It compares files based on their content.|https://github.com/pauldreik/rdfind|{{AUR|rdfind}}}}<br />
* {{App|rmlint|重複するファイルを素早く見つけ出すツール (任意で削除も可能)。|https://github.com/sahib/rmlint|{{Pkg|rmlint}}}}<br />
<br />
===== Graphical =====<br />
<br />
* {{App|[[Wikipedia:BleachBit|BleachBit]]|ディスク容量を開けてプライバシーを守ります。キャッシュやクッキー、インターネット履歴、一時ファイル、ログなどを消去。|https://www.bleachbit.org/|{{Pkg|bleachbit}}}}<br />
* {{App|dupeGuru|GUI tool to find duplicate files in a system.|https://dupeguru.voltaicideas.net/|{{AUR|dupeguru}}}}<br />
* {{App|FSlint|A utility to find and clean various forms of lint on a filesystem.|https://www.pixelbeat.org/fslint/|{{AUR|fslint}}}}<br />
* {{App|GConf Cleaner|gconf データベースに居座っている不必要な gconf キーを消去。|https://code.google.com/archive/p/gconf-cleaner/|{{AUR|gconf-cleaner}}}}<br />
* {{App|Shredder|Graphical user interface for rmlint.|https://github.com/sahib/rmlint|{{Pkg|rmlint-shredder}}}}<br />
* {{App|Sweeper|System cleaning utility for KDE.|https://apps.kde.org/sweeper/|{{Pkg|sweeper}}}}<br />
<br />
==== Disk image writing ====<br />
<br />
See also [[Wikipedia:List of tools to create Live USB systems]].<br />
<br />
{{Warning|Some disk image writing tools are known to be [[Wikipedia:adware|adware]], for example [[:en:USB flash installation medium#Using etcher|etcher]].}}<br />
<br />
* {{App|Deepin Boot Maker|Tool to make boot disk for Deepin OS.|https://www.deepin.org/en/original/deepin-boot-maker/|{{Pkg|deepin-boot-maker}}}}<br />
* {{App|[[Wikipedia:Fedora Media Writer|Fedora Media Writer]]|Tool that helps users put Fedora images on their portable drives such as flash disks.|https://github.com/FedoraQt/MediaWriter|{{AUR|mediawriter}}}}<br />
* {{App|GNOME MultiWriter|Write an ISO file to multiple USB devices at once.|https://wiki.gnome.org/Apps/MultiWriter|{{Pkg|gnome-multi-writer}}}}<br />
* {{App|Image Burner|Simple imageburner designed for elementary OS.|https://github.com/artemanufrij/imageburner|{{AUR|imageburner}}}}<br />
* {{App|ISOImageWriter|Tool to write a .iso file to a USB disk.|https://community.kde.org/ISOImageWriter|{{AUR|isoimagewriter}}}}<br />
* {{App|LiveUSB Install|Install various Linux distributions and operating systems on removable flash drive or external disk drive.|http://live.learnfree.eu/|{{AUR|live-usb-install}}}}<br />
* {{App|MultiBootUSB|Install multiple live distributions on a USB disk non-destructively and has an option to uninstall them.|https://github.com/mbusb/multibootusb/|{{AUR|multibootusb}}}}<br />
* {{App|MultiSystem|GUI tool to create a USB system that can boot multiple distributions.|http://liveusb.info/|{{AUR|multisystem}}}}<br />
* {{App|Popsicle|Utility for flashing multiple USB devices in parallel, written in Rust.|https://github.com/pop-os/popsicle|{{AUR|popsicle-git}}}}<br />
* {{App|[[Wikipedia:SUSE Studio ImageWriter|SUSE Studio ImageWriter]]|Utility for writing raw disk images & hybrid isos to USB keys.|https://github.com/openSUSE/imagewriter|{{AUR|imagewriter}}}}<br />
* {{App|[[Wikipedia:UNetbootin|UNetbootin]]|Installs Linux/BSD distributions to a partition or USB drive.|https://unetbootin.github.io/|{{AUR|unetbootin}}}}<br />
* {{App|Usbimager|Minimal GUI application to write compressed disk images to USB drives.|https://gitlab.com/bztsrc/usbimager|{{AUR|usbimager}}}}<br />
* {{App|WoeUSB|Simple tool to create USB stick windows installer from an ISO image or a real DVD. (Fork of WinUSB).|https://github.com/WoeUSB/WoeUSB-frontend-wxgtk| {{AUR|woeusb}}}}<br />
* {{App|windows2usb|Windows 7/8/8.1/10 ISO to Flash Drive burning utility for Linux with MBR/GPT, BIOS/UEFI, FAT32/NTFS support|https://github.com/ValdikSS/windows2usb|{{AUR|windows2usb-git}}}}<br />
<br />
=== System ===<br />
<br />
==== タスクマネージャ ====<br />
<br />
* {{App|CoreStats|Simple lightweight system resource viewer to monitor the CPU, RAM, Network and Disk IO statistics. Part of C-Suite.|https://cubocore.org/|{{AUR|corestats}}}}<br />
* {{App|Deepin System Monitor|Monitor system process status for Deepin desktop.|https://www.deepin.org/en/original/deepin-system-monitor/|{{Pkg|deepin-system-monitor}}}}<br />
* {{App|GNOME System Monitor|[[GNOME]] のシステムモニタ to view and manage system resources.|https://wiki.gnome.org/Apps/SystemMonitor|{{Pkg|gnome-system-monitor}}}}<br />
* {{App|GNOME Usage|View information about use of system resources, like memory and disk space.|https://wiki.gnome.org/Apps/Usage|{{Pkg|gnome-usage}}}}<br />
* {{App|[[Wikipedia:Htop|htop]]|シンプルな、ncurses 対話式プロセスビューア。|http://htop.sourceforge.net/|{{Pkg|htop}}}}<br />
* {{App|bpytop|Htop but more lightweight with more features.|https://github.com/aristocratos/bpytop|{{Pkg|bpytop}}}}<br />
* {{App|btop|Rewrite of bpytop in C++|https://github.com/aristocratos/btop|{{Pkg|btop}}}}<br />
* {{App|[[Wikipedia:KDE System Guard|KSysGuard]]|[[KDE]] のタスクマネージャ・パフォーマンスモニタ。|https://apps.kde.org/ksysguard/|{{Pkg|ksysguard}}}}<br />
* {{App|Linux Process Explorer|Linux 向けのグラフィカルプロセスエクスプローラー。|https://sourceforge.net/projects/procexp/|{{AUR|procexp}}}}<br />
* {{App|LXTask|[[LXDE]] の軽量なタスクマネージャー。|https://wiki.lxde.org/en/LXTask|{{Pkg|lxtask}}}}<br />
* {{App|qps|Lightweight task manager for [[LXQt]].|https://github.com/lxqt/qps|{{AUR|qps}}}}<br />
* {{App|MATE System Monitor|[[MATE]] のシステムモニター。|https://github.com/mate-desktop/mate-system-monitor|{{Pkg|mate-system-monitor}}}}<br />
* {{App|Stacer|System optimizer and application monitor that helps users to manage entire system with different aspects, its an all in one system utility.|https://oguzhaninan.github.io/Stacer-Web/|{{AUR|stacer}}}}<br />
* {{App|Task Manager|[[Xfce]] の GTK2/GTK3 プロセス管理アプリケーション with basic system resource monitor|https://goodies.xfce.org/projects/applications/xfce4-taskmanager|{{Pkg|xfce4-taskmanager}}}}<br />
<br />
==== システム監視 ====<br />
<br />
[[:カテゴリ:状態監視と通知]]も参照してください。<br />
<br />
* {{App|[[Conky]]|軽量でスクリプト式のシステムモニタ。|https://github.com/brndnmtthws/conky|{{Pkg|conky}}}}<br />
* {{App|Collectd|[https://oss.oetiker.ch/rrdtool/ rrdtool] ベースのシンプルで拡張性のあるシステム監視デーモン。消費リソースが少なくて、スタンドアロンに、またはサーバー・クライアントアプリケーションとして設定できます。|https://collectd.org/|{{Pkg|collectd}}}}<br />
* {{App|collectl|軽量なパフォーマンス監視ツール。対話式にレポートを作成したりディスクにログを出力できます。CPU やディスク、[[InfiniBand]]、Lustre、メモリ、ネットワーク、[[NFS]]、プロセス, quadrics, slabs などの統計情報を読みやすいフォーマットでまとめます。|http://collectl.sourceforge.net/|{{AUR|collectl}}}}<br />
* {{App|dstat|多目的リソース統計ツール。|http://dag.wiee.rs/home-made/dstat/|{{Pkg|dstat}}}}<br />
* {{App|Fsniper|Daemon to run scripts based on changes in files monitored by inotify.|https://github.com/l3ib/fsniper|{{AUR|fsniper}}}}<br />
* {{App|[[Wikipedia:GKrellM|GKrellM]]|シンプルで柔軟性のある [[GTK]] 向けシステムモニタパッケージ。多くのプラグインが含まれている。|https://billw2.github.io/gkrellm/gkrellm.html|{{Pkg|gkrellm}}}}<br />
* {{App|glances|Python 製の CLI curses ベース監視ツール。|https://nicolargo.github.io/glances/|{{Pkg|glances}}}}<br />
* {{App|kmon|Linux kernel manager and activity monitor.|https://github.com/orhun/kmon|{{Pkg|kmon}}}}<br />
* {{App|Nagstamon|Status monitor that connects to multiple Nagios, Icinga, Opsview, Centreon, Op5 Monitor/Ninja, Checkmk and Thruk monitoring servers.|https://github.com/orhun/kmon|{{AUR|nagstamon}}}}<br />
* {{App|netdata|ウェブベースのリアルタイムパフォーマンスモニター。|https://github.com/firehol/netdata/wiki|{{Pkg|netdata}}}}<br />
* {{App|[[Telegraf]]|Agent written in Go for collecting, processing, aggregating, and writing metrics.|https://docs.influxdata.com/telegraf/latest/|{{AUR|telegraf}}}}<br />
* {{App|[[Paramano]]|軽量なバッテリモニター、CPU 周波数スケーラ。[http://trayfreq.sourceforge.net/ trayfreq] のフォーク。|https://github.com/phillid/paramano|{{AUR|paramano}}}}<br />
* {{app|Sysstat|リソース管理ツールのコレクション: iostat, isag, mpstat, pidstat, sadf, sar。|http://sebastien.godard.pagesperso-orange.fr/|{{Pkg|sysstat}}}}<br />
* {{App|xosview|SGI IRIX の gr_osview に似ているシステムモニター。|https://www.pogo.org.uk/~mark/xosview/|{{AUR|xosview}}}}<br />
* {{App|zps|A small utility for listing and reaping zombie processes on GNU/Linux.|https://github.com/orhun/zps|{{Pkg|zps}}}}<br />
<br />
==== Hardware sensor monitoring ====<br />
<br />
See [[lm_sensors#Graphical front-ends]].<br />
<br />
==== システム情報ビューア ====<br />
<br />
===== コンソール =====<br />
<br />
* {{App|alsi|Arch Linux のシステム情報ツール。スクリプトのソースコードを修正しなくても他のシステム用に設定することが可能です。|https://trizenx.blogspot.com/2012/08/alsi.html|{{AUR|alsi}}}}<br />
* {{App|[[archey3]]|Arch Linux のロゴとシステム情報を表示する Python スクリプト。|https://lclarkmichalek.github.io/archey3|{{Pkg|archey3}}}}<br />
* {{App|dmidecode|SMBIOS/DMI の仕様による BIOS に書かれているシステムのハードウェア情報を表示します。|https://www.nongnu.org/dmidecode/|{{Pkg|dmidecode}}}}<br />
* {{App|hwdetect|{{ic|/sys}} によってエクスポートされたモジュールを表示するシンプルなスクリプト。|https://github.com/archlinux/svntogit-packages/blob/packages/hwdetect/trunk/hwdetect|{{Pkg|hwdetect}}}}<br />
* {{App|hwinfo|openSUSE 由来のパワフルなハードウェア検出ツール。|https://github.com/openSUSE/hwinfo|{{Pkg|hwinfo}}}}<br />
* {{App|hw-probe|Tool to probe for hardware, check operability and find drivers with the help of [https://linux-hardware.org/ Linux Hardware Database].|https://github.com/linuxhw/hw-probe|{{AUR|hw-probe}}}}<br />
* {{App|inxi|システム情報を取得するためのスクリプト。|https://github.com/smxi/inxi|{{AUR|inxi}}}}<br />
* {{App|neofetch|w3m で画像を表示することができる高速・カスタマイズ可能なシステム情報スクリプト。|https://github.com/dylanaraps/neofetch|{{AUR|neofetch}}}}<br />
* {{App|fastfetch|メンテナンスが行き届いており、機能が豊富でパフォーマンス重視の、neofetchのようなシステム情報ツール。|https://github.com/fastfetch-cli/fastfetch|{{Pkg|fastfetch}}}}<br />
* {{App|nmon|Console based application for monitoring various system components.|http://nmon.sourceforge.net/|{{Pkg|nmon}}}}<br />
* {{App|pfetch|A pretty system information tool written in POSIX sh.|https://github.com/dylanaraps/pfetch|{{AUR|pfetch}}}}<br />
* {{App|screenfetch|archey と似ていますがスクリーンショットを取得することができます。bash で書かれています。|https://github.com/KittyKatt/screenFetch|{{Pkg|screenfetch}}}}<br />
<br />
===== グラフィカル =====<br />
<br />
* {{App|GPU-Viewer|GUI to glxinfo, vulkaninfo, clinfo and es2_info; written in Python with GTK.|https://github.com/arunsivaramanneo/GPU-Viewer|{{AUR|gpu-viewer}}}}<br />
* {{App|hardinfo|ハードウェアとオペレーティングシステムに関する情報を表示する小さなアプリケーション。Windows のデバイスマネージャに似ています。|https://www.berlios.de/software/hardinfo/|{{Pkg|hardinfo}}}}<br />
* {{App|i-Nex|システムで利用できるハードウェアコンポーネントの情報を収集して Windows の人気ツール CPU-Z に似ているユーザーインターフェースで情報を表示するアプリケーション。|http://i-nex.linux.pl/|{{AUR|i-nex-git}}}}<br />
* {{App|lshw|マシンのハードウェア設定に関する情報を詳しく表示する小さなツール。CLI と GTK のインターフェイス。|https://ezix.org/project/wiki/HardwareLiSter|{{Pkg|lshw}}}}<br />
* {{App|[[Wikipedia:KInfoCenter|KInfoCenter]]|Centralized and convenient overview of system information for KDE.|https://userbase.kde.org/KInfoCenter|{{Pkg|kinfocenter}}}}<br />
* {{App|USBView|Display the topology of devices on the USB bus.|http://www.kroah.com/linux/usb/|{{Pkg|usbview}}}}<br />
<br />
==== System log viewers ====<br />
<br />
* {{App|GNOME Logs|Viewer for the systemd journal. Part of {{Grp|gnome}}.|https://wiki.gnome.org/Apps/Logs|{{Pkg|gnome-logs}}}}<br />
* {{App|GNOME System Log|System log viewer for GNOME.|https://gitlab.gnome.org/GNOME/gnome-system-log|{{Pkg|gnome-system-log}}}}<br />
* {{App|KSystemLog|System log viewer tool for KDE.|https://apps.kde.org/ksystemlog/|{{Pkg|ksystemlog}}}}<br />
* {{App|MATE System Log|System log viewer for MATE.|https://github.com/mate-desktop/mate-utils|{{Pkg|mate-utils}}}}<br />
* {{App|Pacman Log Viewer|Tool used to inspect pacman log file, in particular it lists installed, removed and upgraded packages letting you to filter by package's name and/or date.|https://www.opendesktop.org/content/show.php?content&#61;150484|{{Pkg|pacmanlogviewer}}}}<br />
* {{App|QJournalctl|Qt-based graphical user interface for systemd's ''journalctl'' command.|https://github.com/pentix/qjournalctl|{{Pkg|qjournalctl}}}}<br />
<br />
==== Font viewers ====<br />
<br />
See also [[Wikipedia:Font management software]].<br />
* {{App|Deepin Font Manager|A font management tool for Deepin desktop.|https://www.deepin.org/en/original/deepin-font-manager/|{{Pkg|deepin-font-manager}}}}<br />
* {{App|Font Manager|Simple font management for GTK desktop environments.|https://fontmanager.github.io/|{{AUR|font-manager}}}}<br />
* {{App|Fonty Python|Manage, view and find your fonts.|https://savannah.nongnu.org/projects/fontypython|{{AUR|fontypython}}}}<br />
* {{App|GNOME Fonts|Font viewer for GNOME.|https://gitlab.gnome.org/GNOME/gnome-font-viewer|{{Pkg|gnome-font-viewer}}}}<br />
* {{App|KFontview|KDE application to view and install different types of fonts.|https://kde.org/|{{Pkg|plasma-desktop}}}}<br />
* {{App|MATE Font Viewer|Font viewer for MATE.|https://github.com/mate-desktop/mate-control-center|{{Pkg|mate-utils}}}}<br />
<br />
==== Help viewers ====<br />
<br />
See [[man ページ#インストール]].<br />
<br />
==== Command schedulers ====<br />
<br />
See also [[Cron]].<br />
<br />
* {{App|FcronQ|Fcron GUI, an advanced periodic command scheduler.|http://fcronq.xavion.name/|{{AUR|fcronq}}}}<br />
* {{App|GNOME Schedule|Graphical interface to crontab and at for GNOME.|http://gnome-schedule.sourceforge.net/|{{AUR|gnome-schedule}}}}<br />
* {{App|KCron|Tool for KDE to run applications in the background at regular intervals. It is a graphical interface to the Cron command.|https://apps.kde.org/kcron/|{{Pkg|kcron}}}}<br />
* {{App|KTimer|Little tool for KDE to execute programs after some time. It allows you to enter several tasks and to set a timer for each of them. The timers for each task can be started, stopped, changed, or looped.|https://apps.kde.org/ktimer/|{{Pkg|ktimer}}}}<br />
<br />
==== Shutdown timers ====<br />
<br />
* {{App|GShutdown|Advanced shutdown utility which allows you to schedule the shutdown or the restart of your computer, or logout your actual session.|https://gshutdown.tuxfamily.org/|{{AUR|gshutdown}}}}<br />
* {{App|Hsiu-Ming's Timer|Graphical shutdown timer, which enables you to shutdown, turn off monitor, reboot or play sound after a period of time.|https://cges30901.github.io/hmtimer-website/|{{AUR|hmtimer}}}}<br />
* {{App|KShutdown|Graphical shutdown utility, which allows you to turn off or suspend a computer at a specified time. It features various time and delay options, command-line support, and notifications.|https://kshutdown.sourceforge.io/|{{Pkg|kshutdown}}}}<br />
<br />
==== 時刻同期 ====<br />
<br />
See [[時刻同期]].<br />
<br />
==== Screen management ====<br />
<br />
See [[Xrandr#Graphical front-ends]].<br />
<br />
==== Backlight management ====<br />
<br />
See [[バックライト#バックライトユーティリティ]].<br />
<br />
==== Color management ====<br />
<br />
See [[:en:ICC profiles#Utilities]] and [[バックライト#色補正]].<br />
<br />
==== Printer management ====<br />
<br />
See [[CUPS#GUI applications]].<br />
<br />
==== Bluetooth management ====<br />
<br />
See [[Bluetooth#Front-ends]].<br />
<br />
==== 電源管理 ====<br />
<br />
See [[電源管理#ユーザースペースツール]].<br />
<br />
==== System management ====<br />
<br />
See [[Systemd#GUI configuration tools]].<br />
<br />
==== Boot management ====<br />
<br />
See [[GRUB/Tips and tricks#GUI configuration tools]].<br />
<br />
==== パッケージ管理 ====<br />
<br />
See [[pacman ヒント#ユーティリティ]].<br />
<br />
==== Virtualization ====<br />
<br />
See [[Libvirt#Client]] and [[VirtualBox]].<br />
<br />
==== Compatibility layers ====<br />
<br />
See [[Wine]] (Windows) and [https://www.darlinghq.org/ Darling] (MacOS).<br />
<noinclude><br />
{{TranslationStatus|List of applications/Utilities|2021-12-25|707362}}<br />
</noinclude></div>
Hkiku482
https://wiki.archlinux.jp/index.php?title=%E3%82%A2%E3%83%97%E3%83%AA%E3%82%B1%E3%83%BC%E3%82%B7%E3%83%A7%E3%83%B3%E4%B8%80%E8%A6%A7/%E3%83%A6%E3%83%BC%E3%83%86%E3%82%A3%E3%83%AA%E3%83%86%E3%82%A3&diff=40493
アプリケーション一覧/ユーティリティ
2025-07-01T08:16:54Z
<p>Hkiku482: /* コンソール */ neofetchをAURへ移動</p>
<hr />
<div><noinclude><br />
[[Category:アプリケーション]]<br />
[[Category:ソフトウェア一覧]]<br />
[[en:List of applications/Utilities]]<br />
[[es:List of applications/Utilities]]<br />
[[it:List of applications/Utilities]]<br />
[[ru:List of applications/Utilities]]<br />
[[uk:List of applications/Utilities]]<br />
[[zh-hans:List of applications/Utilities]]<br />
[[zh-hant:List of applications/Utilities]]<br />
{{List of Applications navigation}}<br />
</noinclude><br />
== ユーティリティ ==<br />
<br />
=== Terminal ===<br />
<br />
==== コマンドシェル ====<br />
次の記事を参照: [[コマンドラインシェル]]<br />
<br />
次も参照: [[Wikipedia:Comparison of command shells]]<br />
<br />
==== ターミナルエミュレータ ====<br />
ターミナルエミュレータとはターミナルを含むGUIウィンドウを表示する機能を有します。<br />
それらエミュレータのほとんどは Xterm をエミュレートしていて、その Xterm は VT102 をエミュレートしていて、VT102 はタイプライターをエミュレートしています。For further background information, see [[Wikipedia:Terminal emulator]].<br />
<br />
For a comprehensive list, see [[Wikipedia:List of terminal emulators]].<br />
<br />
* {{App|[[Alacritty]]|クロスプラットフォームの GPU アクセラレーションターミナルエミュレータ。|https://github.com/jwilm/alacritty|{{Pkg|alacritty}}}}<br />
* {{App|aterm|透過をサポートした xterm 代替。2008年から urxvt に取って代わられています。|http://www.afterstep.org/aterm.php|{{AUR|aterm}}}}<br />
* {{App|[[cool-retro-term]]|昔のブラウン管ディスプレイを模した見た目が良いターミナルエミュレータ。|https://github.com/Swordfish90/cool-retro-term|{{Pkg|cool-retro-term}}}}<br />
* {{App|CoreTerminal|Terminal emulator based on qtermwidget. Part of C-Suite.|https://cubocore.org/|{{AUR|coreterminal}}}}<br />
* {{App|CuteCom|A graphical serial terminal.|https://gitlab.com/cutecom/cutecom|{{AUR|cutecom}}}}<br />
* {{App|Deepin Terminal|Terminal emulation application for Deepin desktop.|https://www.deepin.org/en/original/deepin-terminal/|{{Pkg|deepin-terminal}}}}<br />
* {{App|Eterm|[[Enlightenment]] デスクトップ向けに作られた xterm を代替するターミナルエミュレータ。|https://github.com/mej/Eterm|{{AUR|eterm}}}}<br />
* {{App|foot|Lightweight terminal emulator for Wayland with [[w:sixel|sixel]] support|https://codeberg.org/dnkl/foot|{{AUR|foot}}, {{AUR|foot-git}}}}<br />
* {{App|Hyper|A terminal with JS/CSS support. Based on the [https://electronjs.org/ Electron] platform.|https://github.com/zeit/hyper|{{AUR|hyper}}}}<br />
* {{App|[[Wikipedia:Konsole|Konsole]]|[[KDE]] デスクトップのターミナルエミュレータ。|https://konsole.kde.org/|{{Pkg|konsole}}}}<br />
* {{App|[[kitty]]|モダンで柔軟な設定が可能な OpenGL ベースのターミナルエミュレータ|https://github.com/kovidgoyal/kitty|{{Pkg|kitty}}}}<br />
* {{App|Liri Terminal|Material Design terminal for Liri.|https://github.com/lirios/terminal|{{Pkg|liri-terminal}}}}<br />
* {{App|mlterm|世界中の様々な文字セットやエンコーディングが使える多言語対応のターミナルエミュレータ。|https://sourceforge.net/projects/mlterm/|{{AUR|mlterm}}}}<br />
* {{App|moserial|GTK-based serial terminal for the GNOME desktop.|https://wiki.gnome.org/Apps/Moserial|{{Pkg|moserial}}}}<br />
* {{App|[[PuTTY]]|Highly configurable ssh/telnet/serial console program.|https://www.chiark.greenend.org.uk/~sgtatham/putty/|{{Pkg|putty}}}}<br />
* {{App|QTerminal|軽量な Qt ベースのターミナルエミュレータ。|https://github.com/qterminal/qterminal|{{Pkg|qterminal}}}}<br />
* {{App|[[Wikipedia:Rxvt|rxvt]]|xterm の人気代替。|http://rxvt.sourceforge.net/|{{AUR|rxvt}}}}<br />
* {{App|shellinabox|ウェブベースの SSH ターミナル。|https://github.com/shellinabox/shellinabox|{{AUR|shellinabox-git}}}}<br />
* {{App|[[st]]|X 向けのシンプルなターミナル実装。|https://st.suckless.org|{{AUR|st}}}}<br />
* {{App|Station|Terminal emulation features different view modes such as split vertically and horizontally, a tabbed interface, and copy and paste commands.|https://mauikit.org/|{{Pkg|maui-station}}}}<br />
* {{App|Terminology|革新的な機能を備えた Enlightenment プロジェクトチームによるターミナルエミュレータ:ファイルのサムネイルとメディアは、メディアプレーヤーのように再生されます。|https://www.enlightenment.org/about-terminology|{{Pkg|terminology}}}}<br />
* {{App|[[urxvt]]|(Perl によって) 高い拡張性を持ちユニコードが使える rxvt クローンターミナルエミュレータ。タブ、URL 起動、Quake スタイルのドロップダウンモード、擬似透過をサポート。|http://software.schmorp.de/pkg/rxvt-unicode.html|{{Pkg|rxvt-unicode}}}}<br />
* {{App|wayst|Simple terminal emulator for Wayland and X11 with OpenGL rendering and minimal dependencies.|https://github.com/91861/wayst|{{AUR|wayst-git}}}}<br />
* {{App|[[xterm]]|X Window System 用のシンプルなターミナルエミュレータ。ウィンドウシステムを直接使えないプログラム用に DEC VT102 や Tektronix 4014 互換のターミナルを提供します。|https://invisible-island.net/xterm/|{{Pkg|xterm}}}}<br />
* {{App|[[Yakuake]]|Konsole ベースのドロップダウンターミナル (Quake スタイル) エミュレータ。|https://apps.kde.org/yakuake/|{{Pkg|yakuake}}}}<br />
* {{App|zutty|A high-end terminal for low-end systems.|https://tomscii.sig7.se/zutty/|{{Pkg|zutty}}}}<br />
<br />
===== VTE ベース =====<br />
<br />
[https://wiki.gnome.org/Apps/Terminal/VTE VTE] (Virtual Terminal Emulator) は初期の GNOME で GNOME Terminal で使うために開発されたウィジェットです。VTE ができてから、似た機能を持つ数多くのターミナルが生まれました。<br />
<br />
* {{App|Deepin Terminal (GTK version)|Old terminal emulation application for Deepin desktop.|https://github.com/linuxdeepin/deepin-terminal-gtk|{{Pkg|deepin-terminal-gtk}}}}<br />
* {{App|EasySSH|SSH Connection Manager.|https://github.com/muriloventuroso/easyssh|{{AUR|easyssh}}}}<br />
* {{App|Germinal|ボーダーレスな最大化されたターミナルを表示する、最小主義のターミナルエミュレータ。デフォルトで tmux セッションにアタッチするので、タブやパネルが使えます。|https://www.imagination-land.org/tags/germinal.html|{{AUR|germinal}}}}<br />
* {{App|[[Wikipedia:GNOME Terminal|GNOME Terminal]]|[[GNOME]] デスクトップのターミナルエミュレータ。ユニコードをサポート。|https://wiki.gnome.org/Apps/Terminal|{{Pkg|gnome-terminal}}}}<br />
* {{App|[[Guake]]|GNOME デスクトップ向けドロップダウンターミナル。|http://guake-project.org/|{{Pkg|guake}}}}<br />
* {{App|kermit|A VTE-based terminal emulator that aims to be simple, fast and effective.|https://github.com/orhun/kermit|{{AUR|kermit}}}}<br />
* {{App|King’s Cross|Simple user-friendly terminal emulator for the GNOME desktop.|https://gitlab.gnome.org/ZanderBrown/kgx|{{AUR|kgx}}}}<br />
* {{App|LXTerminal|[[LXDE]] 向けのデスクトップ非依存のターミナルエミュレータ。|https://wiki.lxde.org/en/LXTerminal|{{Pkg|lxterminal}}}}<br />
* {{App|MATE terminal|[[MATE]] デスクトップの [[Wikipedia:GNOME terminal|GNOME ターミナル]] のフォーク。|https://www.mate-desktop.org/|{{Pkg|mate-terminal}}}}<br />
* {{App|Pantheon Terminal|超軽量・美麗・シンプルなターミナルエミュレータ。デフォルト設定で使うように作られているので設定がほとんどありません。|https://github.com/elementary/terminal|{{Pkg|pantheon-terminal}}}}<br />
* {{App|ROXTerm|場所をとらないタブ式ターミナルエミュレータ。|http://roxterm.sourceforge.net/|{{AUR|roxterm}}}}<br />
* {{App|sakura|GTK と VTE ベースのターミナルエミュレータ。|https://www.pleyades.net/david/projects/sakura|{{Pkg|sakura}}}}<br />
* {{App|[[Terminator]]|マルチプルでリサイズ可能な端末パネルをサポートしたターミナルエミュレータ。|https://gnome-terminator.org/|{{Pkg|terminator}}}}<br />
* {{App|[[Termite]]|キーボード中心の VTE ベースのターミナル。タイル型またはタブをサポートしているウィンドウマネージャで使われるように作られています。 Unmaintained - the developers recommend switching to Alacritty.|https://github.com/thestinger/termite|{{AUR|termite}}}}<br />
* {{App|Tilda|設定可能なドロップダウンターミナルエミュレータ。|https://github.com/lanoxx/tilda/|{{Pkg|tilda}}}}<br />
* {{App|Tilix|タイル型ターミナルエミュレータ for GNOME.|https://gnunn1.github.io/tilix-web/|{{Pkg|tilix}}}}<br />
* {{App|[[Wikipedia:Terminal (Xfce)|Xfce Terminal]]|[[Xfce]] デスクトップに含まれているターミナルエミュレータ。カラープロンプト、タブをサポート。|https://docs.xfce.org/apps/terminal/start|{{Pkg|xfce4-terminal}}}}<br />
<br />
===== KMS ベース =====<br />
<br />
以下のターミナルエミュレータは [[カーネルモード設定]]を使っており X がなくても起動できます。<br />
* {{App|[[KMSCON]]|Linux オペレーティングシステム用のターミナルエミュレータを統合した KMS/DRM ベースのシステムコンソール(getty)です。|https://github.com/dvdhrm/kmscon|{{AUR|kmscon}}}}<br />
<br />
===== フレームバッファベース =====<br />
<br />
GNU/Linux では、Linux カーネルの仮想デバイス ('''fbdev''') や X の仮想フレームバッファシステム ('''xvfb''') のことを[[Wikipedia:Framebuffer|フレームバッファ]]と呼ぶことがあります。このセクションでは主としてカーネルの仮想デバイス '''fbdev''' をベースにするターミナルエミュレータをリストアップしています。<br />
<br />
* {{App|yaft|X をなくても動かせるシンプルなターミナルエミュレータ。UCS2 文字、壁紙、256color をサポート。|https://github.com/uobikiemukot/yaft|{{aur|yaft}}}}<br />
* {{App|[[Fbterm]]|a fast FrameBuffer based TERMinal emulator for linux|https://salsa.debian.org/debian/fbterm|{{AUR|fbterm}}}}<br />
<br />
==== ターミナルページャ ====<br />
<br />
[[Wikipedia:Terminal pager]] を参照してください。<br />
<br />
* {{App|[[Wikipedia:More_(command)|more]]|シンプルで機能の少ないページャです。util-linuxの一部です。|https://git.kernel.org/pub/scm/utils/util-linux/util-linux.git/about/|{{Pkg|util-linux}}}}<br />
* {{App|[[Core_utilities#Essentials|less]]|more に似たプログラムだが、前方・後方両方のスクロールをサポートし、ファイルの部分読み込みもできる。|https://www.gnu.org/software/less/|{{Pkg|less}}}}<br />
* {{App|[[Wikipedia:Most_(Unix)|most]]|マルチウィンドウ、左右スクロール、内蔵カラーをサポートしたページャ|http://www.jedsoft.org/most/|{{Pkg|most}}}}<br />
* {{App|mcview|マウスとカラーに対応したページャ。midnight commander にバンドルされている。|https://midnight-commander.org/|{{Pkg|mc}}}}<br />
* また、[[Vim]] は[[Vim#Vim をページャとして使う|ページャとして使う]]ことができます。<br />
<br />
==== ターミナルマルチプレクサ ====<br />
<br />
[[Wikipedia:Terminal multiplexer]] も参照してください。<br />
<br />
* {{App|abduco|プロセスを制御端末とは別に実行させる、セッションのアタッチとデタッチをサポートするツール。|https://www.brain-dump.org/projects/abduco/|{{Pkg|abduco}}}}<br />
* {{App|[[Wikipedia:Byobu (software)|byobu]]|An GPLv3 licensed addon for tmux or screen. It requires a terminal multiplexer installed.|https://byobu.org/|{{Pkg|byobu}}}}<br />
* {{App|[[dtach]]|Program that emulates the detach feature of [[GNU Screen]].|http://dtach.sourceforge.net/|{{AUR|dtach}}}}<br />
* {{App|dvtm|[[dwm]]-style window manager in the console.|https://www.brain-dump.org/projects/dvtm/|{{Pkg|dvtm}}}}<br />
* {{App|[[GNU Screen]]|物理端末を多重化するフルスクリーンウィンドウマネージャ。|https://www.gnu.org/software/screen/|{{Pkg|screen}}}}<br />
* {{App|mtm|Simple terminal multiplexer with just four commands: change focus, split, close, and screen redraw.|https://github.com/deadpixi/mtm|{{AUR|mtm-git}}}}<br />
* {{App|[[tmux]]|BSDライセンスのターミナル・マルチプレクサ。|https://tmux.github.io/|{{Pkg|tmux}}}}<br />
* {{App|zellij|Rust で書かれた強化されたターミナル・マルチプレクサ|https://zellij.dev/|{{Pkg|zellij}}}}<br />
* {{App|wezterm|[[Rust]] で実装された GPU アクセラレーションによるクロスプラットフォームなターミナルエミュレータおよびマルチプレクサ。|https://wezfurlong.org/wezterm/|{{Pkg|wezterm}}}}<br />
{{Tip|端末エミュレーターの [[Kitty]] も同様の機能を備えています。}}<br />
<br />
=== ファイル ===<br />
<br />
==== ファイルマネージャ ====<br />
<br />
See also [[Wikipedia:Comparison of file managers]].<br />
<br />
===== コンソール =====<br />
<br />
* {{App|Clex|フルスクリーンのユーザーインターフェイスを持つファイルマネージャ。|http://www.clex.sk/|{{Aur|clex}}}}<br />
* {{App|CliFM|The command line file manager: full-featured, fast, extensible, and lightweight as hell.|https://github.com/leo-arch/clifm|{{AUR|clifm}}}}<br />
* {{App|ded|directory editor, file manager similar to Emacs dired|https://invisible-island.net/ded/ded.html|{{AUR|ded}}}}<br />
* {{App|[[Wikipedia:Dired|Dired]]|[[Emacs]] と統合されたディレクトリエディタ。|https://www.gnu.org/software/emacs/manual/html_node/emacs/Dired.html|{{pkg|emacs}}}}<br />
* {{App|joshuto|ranger-like terminal file manager written in Rust.|https://github.com/kamiyaa/joshuto|{{AUR|joshuto-git}}}}<br />
* {{App|Last File Manager|curses インターフェイスを備えた Python 3 で書かれた強力なファイルマネージャ。|https://inigo.katxi.org/devel/lfm/|{{AUR|lfm}}}}<br />
* {{App|lf|Terminal file manager written in Go using server/client architecture.|https://github.com/gokcehan/lf|{{aur|lf}}}}<br />
* {{App|[[Midnight Commander]]|コンソールベース、デュアルパネルのファイルマネージャー。|https://midnight-commander.org|{{Pkg|mc}}}}<br />
* {{App|nffm|"Nothing Fancy File Manager"、C で書かれたマウスを使わない ncurses ファイルマネージャ。|https://github.com/mariostg/nffm|{{AUR|nffm-git}}}}<br />
* {{App|[[nnn]]|Tiny, lightning fast, feature-packed file manager.|https://github.com/jarun/nnn|{{Pkg|nnn}}}}<br />
* {{App|fff|A simple file manager written in Bash.|https://github.com/dylanaraps/fff|{{Pkg|fff}}}}<br />
* {{App|Pilot|[[Alpine]] メールクライアントについてくるファイルマネージャー。|https://alpine.x10host.com/|{{AUR|alpine-git}}}}<br />
* {{App|[[Ranger]]|vi バインディング、カスタマイズ性、多機能をもったコンソールベースのファイルマネージャー。|https://ranger.github.io/|{{Pkg|ranger}}}}<br />
* {{App|[[Vifm]]|ncurses ベースの 2 パネルファイルマネージャー、vi ライクなキーバインド。|https://vifm.info|{{Pkg|vifm}}}}<br />
* {{App|xplr|A hackable, minimal, fast TUI file explorer.|https://xplr.dev|{{Pkg|xplr}}}}<br />
<br />
===== グラフィカル =====<br />
<br />
* {{App|Caja|MATE デスクトップのファイルマネージャ。|https://github.com/mate-desktop/caja|{{Pkg|caja}}}}<br />
* {{App|CoreFM|Simple lightweight easy to use file manager with many features like image previews, mime-icon support, split view, auto-mounting of removable media, drag-n-drop support etc. Part of C-Suite.|https://cubocore.org/|{{AUR|corefm}}}}<br />
* {{App|Deepin File Manager|[[Deepin]] 用に開発されたファイルマネージャ。|https://www.deepin.org/en/original/dde-file-manager/|{{Pkg|deepin-file-manager}}}}<br />
* {{App|[[Dolphin]]|KDE デスクトップのファイルマネージャー。|https://apps.kde.org/dolphin/|{{Pkg|dolphin}}}}<br />
* {{App|Gentoo|GTK の軽量ファイルマネージャ。|https://sourceforge.net/projects/gentoo/|{{AUR|gentoo}}}}<br />
* {{App|[[GNOME Files]]|拡張性のある、カスタムスクリプトをサポートしているヘビー級のファイルマネージャー。GNOME のデフォルト。|https://wiki.gnome.org/Apps/Files|{{Pkg|nautilus}}}}<br />
* {{App|Index|File manager that lets you browse your system files and applications and preview your music, text, image and video files and share them with external applications.|https://apps.kde.org/index-fm/|{{Pkg|index-fm}}}}<br />
* {{App|[[Wikipedia:Konqueror|Konqueror]]|KDE デスクトップ用ファイルマネージャー。|https://apps.kde.org/konqueror/|{{Pkg|konqueror}}}}<br />
* {{App|Liri Files|The file manager for Liri.|https://github.com/lirios/files|{{Pkg|liri-files}}}}<br />
* {{App|[[Nemo]]|Nemo は Cinnamon デスクトップのファイルマネージャです。A fork of Nautilus.|https://cinnamon.linuxmint.com/{{Dead link|2021|05|17|status=SSL error}}|{{Pkg|nemo}}}}<br />
* {{App|Pantheon Files|File browser designed for elementary OS.|https://github.com/elementary/files|{{Pkg|pantheon-files}}}}<br />
* {{App|PathFinder|[[Wikipedia:Fox_toolkit|FOX ツールキット]] によるファイルブラウザ。|http://fox-toolkit.org/|{{Pkg|fox}}}}<br />
* {{App|[[PCManFM]]|desktop icon や壁紙の管理などの機能をもっている very fast and 軽量ファイルマネージャー。|https://wiki.lxde.org/en/PCManFM|{{Pkg|pcmanfm}}}}<br />
* {{App|[[PCManFM]]-Qt|Qt port of PCManFM file manager.|https://github.com/lxqt/pcmanfm-qt|{{Pkg|pcmanfm-qt}}}}<br />
* {{App|Peony|File manager for the UKUI desktop.|https://github.com/ukui/peony|{{Pkg|peony}}}}<br />
* {{App|qtFM|小さく軽量な、純粋に Qt ベースの Linux デスクトップ用ファイルマネージャー。|https://qtfm.eu/|{{AUR|qtfm}}}}<br />
* {{App|ROX Filer|小さく高速なファイルマネージャー。壁紙やパネルの管理なども可能。|http://rox.sourceforge.net/|{{Pkg|rox}}}}<br />
* {{App|[[Thunar]]|高速に起動し素早くディレクトリを読み込むようにデーモンとして実行できるファイルマネージャー。|https://docs.xfce.org/xfce/thunar/start|{{Pkg|thunar}}}}<br />
<br />
====== Twin-panel ======<br />
<br />
Note that some of these twin-panel file managers can also be set to have only one pane.<br />
<br />
* {{App|Double Commander|2つのパネルが並ぶファイルマネージャ。Total Commander にインスパイアされており新しいアイデアが実装されています。|https://doublecmd.sourceforge.io/|GTK: {{Pkg|doublecmd-gtk2}}, Qt5: {{Pkg|doublecmd-qt5}}}}<br />
* {{App|[[Wikipedia:GNOME Commander|GNOME Commander]]|GNOME デスクトップのデュアルパネルファイルマネージャ。|https://gcmd.github.io/|{{AUR|gnome-commander}}}}<br />
* {{App|[[Wikipedia:Krusader|Krusader]]|KDE デスクトップ用の先進的なツインパネル (Midnight Commander スタイル) ファイルマネージャー。|https://krusader.org/|{{Pkg|krusader}}}}<br />
* {{App|muCommander|軽量でクロスプラットフォームのファイルマネージャ。デュアルパネルのインターフェイスを持ち、Java で書かれています。|https://www.mucommander.com/|{{AUR|mucommander}}}}<br />
* {{App|[[SpaceFM]]|GTK マルチパネルタブ式ファイルマネージャー。|https://ignorantguru.github.io/spacefm/|{{AUR|spacefm}}}}<br />
* {{App|Sunflower|小さく細かく設定可能でプラグインをサポートしたツインパネルの Linux ファイルマネージャー。|https://sunflower-fm.org/|{{AUR|sunflower}}}}<br />
* {{App|trolCommander|Lightweight, dual-pane file manager written in Java. Fork of muCommander.|https://github.com/trol73/mucommander|{{AUR|trolcommander}}}}<br />
* {{App|Tux Commander|人気の Total Commander や Midnight Commander ファイルマネージャーに似た2つのパネルをもったウィンドウ型ファイルマネージャー。|http://tuxcmd.sourceforge.net/description.php|{{Pkg|tuxcmd}}}}<br />
* {{App|Worker|高速、軽量、機能豊富な X Window System 向けファイルマネージャー。|http://www.boomerangsworld.de/cms/worker/|{{AUR|worker}}}}<br />
* {{App|[[Wikipedia:Xfe|Xfe]]|Microsoft Explorer ライクの X 用ファイルマネージャー (X File Explorer)。|http://roland65.free.fr/xfe/|{{AUR|xfe}}}}<br />
<br />
==== ゴミ箱管理 ====<br />
<br />
* {{App|trash-cli|[https://specifications.freedesktop.org/trash-spec/trashspec-latest.html FreeDesktop.org の Trash 規格] を実装するコマンドラインインターフェイス。|https://github.com/andreafrancia/trash-cli|{{Pkg|trash-cli}}}}<br />
<br />
==== ファイル同期とバックアップ ====<br />
<br />
[[バックアッププログラム]]、[[Wikipedia:Comparison of file synchronization software]] と [[Wikipedia:Comparison of backup software]] も見てください。<br />
<br />
* {{App|borg|Deduplicating backup program with compression and authenticated encryption that supports backing up over ssh|https://www.borgbackup.org|{{Pkg|borg}}}}<br />
* {{App|Déjà Dup|Simple GTK backup program. It hides the complexity of doing backups the 'right way' (encrypted, off-site, and regular) and uses [[duplicity]] as the backend.|https://launchpad.net/deja-dup|{{Pkg|deja-dup}}}}<br />
* {{App|[[Wikipedia:DirSync Pro|DirSync Pro]]|Small, but powerful utility for file and folder synchronization.|https://dirsyncpro.org/|{{AUR|dirsyncpro}}}}<br />
* {{App|[[Wikipedia:Duplicati|Duplicati]]|Backup client that securely stores encrypted, incremental, compressed backups on cloud storage services and remote file servers.|https://www.duplicati.com/|{{AUR|duplicati-latest}}}}<br />
* {{App|[[duplicity]]|Simple command-line utility which allows encrypted compressed incremental backup to nearly any storage.|https://www.nongnu.org/duplicity/|{{Pkg|duplicity}}}}<br />
* {{App|[[Duply]]|Command-line front-end for [[duplicity]] which simplifies running it. It manages backup job settings in profiles and allows to batch execute commands.|https://www.duply.net/|{{AUR|duply}}}}<br />
* {{App|[[Wikipedia:FreeFileSync|FreeFileSync]]|Folder comparison and synchronization software that creates and manages backup copies of all your important files.|https://www.freefilesync.org/|{{AUR|freefilesync}}}}<br />
* {{App|[[Wikipedia:git-annex|git-annex]]|Manage files with git, without checking the file contents into git.|https://git-annex.branchable.com/|{{Pkg|git-annex}}}}<br />
* {{App|[[Wikipedia:grsync|grsync]]|GTK+ GUI for rsync to synchronize folders, files and make backups|https://www.opbyte.it/grsync/|{{Pkg|grsync}}}}<br />
* {{App|hsync|Command line program to sync only those files that have been renamed/moved but otherwise unchanged. It works by issuing simple move operations at the destination without actually transferring the files, and is meant to be used in conjunction with other synchronization programs that lack this capability.|https://ambrevar.bitbucket.io/hsync/|{{AUR|hsync}}}}<br />
* {{App|rclone|Command line program to sync files and directories to and from Amazon S3, Dropbox, Google Drive, Microsoft OneDrive, Yandex Disk and many other cloud storage services as well as between local paths.|https://rclone.org/|{{Pkg|rclone}}}}<br />
* {{App|restic|Fast, secure, efficient backup program that supports backing up to many cloud services.|https://restic.net/|{{Pkg|restic}}}}<br />
* {{App|[[rsync]]|File transfer program that uses the "rsync algorithm" which provides a very fast method for bringing remote files into sync. It does this by sending just the differences in the files across the link, without requiring that both sets of files are present at one of the ends of the link beforehand. Has [[Rsync#Front-ends|multiple frontends available]].|https://rsync.samba.org/|{{Pkg|rsync}}}}<br />
* {{App|[[Wikipedia:SparkleShare|SparkleShare]]|File sharing and collaboration application written in C#. It can sync with any Git server over SSH.|https://www.sparkleshare.org/|{{Pkg|sparkleshare}}}}<br />
* {{App|[[Syncthing]]|Continuous file synchronization program. It synchronizes files between two or more computers in a simple way without advanced configuration.|https://syncthing.net/|{{Pkg|syncthing}}}}<br />
* {{App|Syncany|Cloud storage and filesharing application with a focus on security and abstraction of storage.|https://www.syncany.org/|{{AUR|syncany}}}}<br />
* {{App|[[Wikipedia:Synkron|Synkron]]|Application that helps you keep your files and folders always updated. You can easily sync your documents, music or pictures to have their latest versions everywhere.|http://synkron.sourceforge.net/|{{AUR|synkron}}}}<br />
* {{App|[[Wikipedia:Tarsnap|Tarsnap]]|Secure, efficient proprietary online backup service.|https://www.tarsnap.com/|{{Pkg|tarsnap}}}}<br />
* {{App|Timeshift|A system restore tool for Linux.|https://github.com/teejee2008/timeshift|{{AUR|timeshift}}}}<br />
* {{App|[[Unison]]|File synchronization tool that allows two replicas of a collection of files and directories to be stored on different hosts (or different disks on the same host), modified separately, and then brought up to date by propagating the changes in each replica to the other.|https://www.cis.upenn.edu/~bcpierce/unison/|{{Pkg|unison}}}}<br />
<br />
==== Archiving and compression tools ====<br />
<br />
For archiving and compression command-line tools, see [[アーカイブと圧縮]].<br />
<br />
===== Archive managers =====<br />
<br />
* {{App|360zip|A proprietary archiving tool.|https://yasuo.360.cn/|{{AUR|360zip}}}}<br />
* {{App|[[Wikipedia:Ark (software)|Ark]]|KDE デスクトップのアーカイブツール。|https://apps.kde.org/ark/|{{Pkg|ark}}}}<br />
* {{App|Arqiver|Simple Qt archive manager based on libarchive.|https://github.com/tsujan/Arqiver|{{AUR|arqiver-git}}}}<br />
* {{App|CoreArchiver|Simple file compressing/extracting utility based on Qt and libarchive-qt. Part of C-Suite.|https://cubocore.org/|{{AUR|corearchiver}}}}<br />
* {{App|Deepin Archive Manager|Fast and lightweight application for creating and extracting archives.|https://github.com/linuxdeepin/deepin-compressor|{{Pkg|deepin-compressor}}}}<br />
* {{App|Engrampa|[[MATE]] のアーカイブマネージャ。|https://github.com/mate-desktop/engrampa|{{Pkg|engrampa}}}}<br />
* {{App|[[Wikipedia:GNOME Archive Manager|GNOME Archive Manager]]|GNOME のデフォルト圧縮ファイルマネージャ (previously File Roller).|https://wiki.gnome.org/Apps/FileRoller|{{Pkg|file-roller}}}}<br />
* {{App|LXQt File Archiver|Simple and lightweight desktop-agnostic Qt file archiver.|https://github.com/lxqt/lxqt-archiver|{{Pkg|lxqt-archiver}}}}<br />
* {{App|p7zip-gui|The GUI belonging to the p7zip software.|http://p7zip.sourceforge.net/|{{AUR|p7zip-gui}}}}<br />
* {{App|[[Wikipedia:PeaZip|PeaZip]]|オープンソースのファイル・アーカイブマネージャ。|https://www.peazip.org/peazip-linux.html|GTK: {{AUR|peazip-gtk2-bin}}, Qt: {{AUR|peazip-qt-bin}}}}<br />
* {{App|[[Wikipedia:Xarchiver|Xarchiver]]|GTK で作られた軽量なデスクトップ非依存のアーカイブマネージャ。|https://github.com/ib/xarchiver|GTK 3: {{Pkg|xarchiver}}, GTK 2: {{Pkg|xarchiver-gtk2}}}}<br />
<br />
==== Comparison, diff, merge ====<br />
<br />
See also [[Wikipedia:Comparison of file comparison tools]].<br />
<br />
For managing ''pacnew''/''pacsave'' files, specialised tools exist. See [[Pacnew と Pacsave ファイル#.pac* ファイルの管理]].<br />
<br />
===== Console =====<br />
<br />
See {{man|1|diff}} from {{Pkg|diffutils}} and [[Core utilities#diff alternatives|its alternatives]].<br />
<br />
* {{App|colordiff|'diff' の Perl スクリプトラッパー。同じ出力にシンタックスハイライトを追加。|https://www.colordiff.org/|{{Pkg|colordiff}}}}<br />
* {{App|diffr|A Rust utility to pretty-print diff with highlighting at word-level for ease of review.|https://github.com/mookid/diffr|{{aur|diffr}}}}<br />
* {{App|ydiff|A Python wrapper to get highlighted diff output from stdin or VCS-tracked file/dirs, in either unfied or side-by-side view.|https://github.com/ymattw/ydiff|{{AUR|ydiff}}}}<br />
* {{App|delta|A diff viewer written in Rust with syntax highlighting.|https://github.com/dandavison/delta|{{Pkg|git-delta}}}}<br />
* {{App|diff-so-fancy|A diff output decorator. It does not calculate the diff, it only decorates it.|https://github.com/so-fancy/diff-so-fancy|{{Pkg|diff-so-fancy}}}}<br />
<br />
===== Graphical =====<br />
<br />
* {{App|DiffPDF|Compare the text or the visual appearance of each page in two PDF files.|https://gitlab.com/eang/diffpdf|{{Pkg|diffpdf}}}}<br />
* {{App|Diffuse|Python で書かれた小さくてシンプルなテキストマージツール。|http://diffuse.sourceforge.net/|{{Pkg|diffuse}}}}<br />
* {{App|KDiff3|KDE デスクトップのファイルとディレクトリの比較・マージツール。|https://apps.kde.org/kdiff3/|{{Pkg|kdiff3}}}}<br />
* {{App|[[Wikipedia:Kompare|Kompare]]|ソースファイルの差を回覧・マージするための GUI フロントエンドプログラム。様々な diff フォーマットをサポートし、表示する情報レベルをカスタマイズするための多くのオプションがある。|https://apps.kde.org/kompare/|{{Pkg|kompare}}}}<br />
* {{App|[[Wikipedia:Meld (software)|Meld]]|ビジュアル比較・マージツール。ファイル・ディレクトリ・プロジェクトのバージョンの比較が可能。|https://meldmerge.org/|{{Pkg|meld}}}}<br />
* {{App|xxdiff|ファイルやディレクトリの差異を表示するグラフィカルブラウザ。|https://furius.ca/xxdiff/|{{AUR|xxdiff}}}}<br />
<br />
[[Vim]] と [[Emacs]] にはそれぞれ [[Vim#ファイルのマージ (vimdiff)|vimdiff]] と {{ic|ediff}} というマージ機能があります。<br />
<br />
==== バッチ処理リネームプログラム ====<br />
<br />
===== Console =====<br />
<br />
See {{man|1|rename}} from {{Pkg|util-linux}}.<br />
<br />
* {{App|edir|Rename, delete, and copy files and directories using your editor (enhanced vidir).|https://github.com/bulletmark/edir|{{AUR|edir}}}}<br />
* {{App|f2|Cross-platform command-line tool for batch renaming files and directories quickly and safely, can also rename files based on audio tags.|https://github.com/ayoisaiah/f2|{{AUR|f2}}}}<br />
* {{App|rename.pl|perl regex ベースのバッチリネーマー。|https://search.cpan.org/~pederst/rename/|{{Pkg|perl-rename}}}}<br />
* {{App|vidir|Rename and delete files and directories using your editor.|https://linux.die.net/man/1/vidir|{{AUR|vidir}}}}<br />
<br />
===== Graphical =====<br />
* {{App|Caja-Rename|Batch renaming extension for Caja.|https://tari.in/www/software/caja-rename|{{AUR|caja-rename}}}}<br />
* {{App|CoreRenamer|Simple lightweight batch file renamer application. Part of C-Suite.|https://cubocore.org/|{{AUR|corerenamer}}}}<br />
* {{App|[[Wikipedia:GPRename|GPRename]]|ファイルとディレクトリの名前を変える GTK バッチ処理プログラム。|http://gprename.sourceforge.net|{{Pkg|gprename}}}}<br />
* {{App|[[Wikipedia:KRename|KRename]]|KDE デスクトップ向けのとてもパワフルなバッチ処理リネームプログラム。|https://apps.kde.org/krename/|{{Pkg|krename}}}}<br />
* {{App|metamorphose2|wxPython ベースのバッチリネーマーで、正規表現や、メタデータによるマルチメディアファイルの名前変更などをサポートしています。|http://file-folder-ren.sourceforge.net|{{AUR|metamorphose2}}}}<br />
* {{App|[[Thunar]] Bulk Rename|Change the name of multiple files at once using some criterion that applies to at least one of the files. Run with {{ic|thunar -B}}.|https://docs.xfce.org/xfce/thunar/bulk-renamer/start|{{Pkg|thunar}}}}<br />
<br />
==== ファイル検索 ====<br />
<br />
This section lists utilities for file searching based on filename, file path or metadata. For full-text searching, see the next section.<br />
<br />
See also [[Wikipedia:List of search engines#Desktop search engines]].<br />
<br />
===== Console =====<br />
<br />
See {{man|1|find}} from {{Pkg|findutils}} and [[Core utilities#find alternatives|its alternatives]].<br />
<br />
===== Graphical =====<br />
<br />
* {{App|Catfish|多目的のファイル検索ツール by Xfce, can be powered by find, locate and Zeitgeist.|https://launchpad.net/catfish-search|{{Pkg|catfish}}}}<br />
* {{App|CoreHunt|Easy to use fast file searching tool with categorized search and search history. Part of C-Suite.|https://cubocore.org/|{{AUR|corehunt}}}}<br />
* {{App|GNOME Search Tool|ファイルを検索する Gnome ユーティリティ, depends on [[GNOME Files]].|https://gitlab.gnome.org/GNOME/gnome-search-tool|{{Pkg|gnome-search-tool}}}}<br />
* {{App|KFind|Search tool for KDE to find files by name, type or content. Has internal search and supports locate.|https://apps.kde.org/kfind/|{{Pkg|kfind}}}}<br />
* {{App|MATE Search Tool|MATE utility to search for files.|https://github.com/mate-desktop/mate-utils|{{Pkg|mate-utils}}}}<br />
* {{App|regexxer|Interactive search and replace tool featuring Perl-style regular expressions.|http://regexxer.sourceforge.net/|{{Pkg|regexxer}}}}<br />
* {{App|Searchmonkey|正規表現が使えるパワフルな GUI 検索ユーティリティ。|https://sourceforge.net/projects/searchmonkey/|{{AUR|searchmonkey}}{{Broken package link|package not found}}}}<br />
<br />
====== File indexers ======<br />
<br />
These programs index your files to allow for quick searching.<br />
<br />
* {{App|Basenji|Volume indexing tool designed for easy and fast indexing of CD/DVD and other type of volume collections.|https://github.com/pulb/basenji|{{AUR|basenji}}}}<br />
* {{App|fsearch|A fast file search utility for Unix-like systems based on GTK 3.|https://github.com/cboxdoerfer/fsearch|{{AUR|fsearch-git}}}}<br />
<br />
==== Full-text searching ====<br />
<br />
See {{man|1|grep}} from {{Pkg|grep}} and [[Core utilities#grep alternatives|its alternatives]], which provide non-indexed [[Wikipedia:Full-text search|full-text search]].<br />
<br />
===== Full-text indexers =====<br />
<br />
* {{App|[[Baloo]]|KDE のファイルインデックス作成・検索ソリューション, has a CLI and is used by [[KRunner]].|https://community.kde.org/Baloo|{{Pkg|baloo}}}}<br />
* {{App|[[Wikipedia:DocFetcher|DocFetcher]]|Graphical Java デスクトップ検索アプリケーション。|http://docfetcher.sourceforge.net|{{AUR|docfetcher}}}}<br />
* {{App|[[Wikipedia:Recoll|Recoll]]|Xapian がバックエンドのフルテキスト検索ツール, has CLI and GUI.|https://lesbonscomptes.com/recoll/|{{Pkg|recoll}}}}<br />
* {{App|[[Wikipedia:Tracker (search software)|Tracker]]|オールインワンのインデックス作成・検索ツールとメタデータのデータベース, used by [[GNOME]] Documents, Music, Photos and Videos.|https://gnome.pages.gitlab.gnome.org/tracker/|{{Pkg|tracker}}, {{Pkg|tracker3}}}}<br />
* {{App|[[Zeitgeist]]|Event aggregation framework for the user's activities and notifications (files opened, websites visited, conversations had, etc.), has several third-party front-ends.|https://launchpad.net/zeitgeist-project|{{Pkg|zeitgeist}}}}<br />
<br />
=== Development ===<br />
<br />
==== Code forges ====<br />
<br />
* {{App|[[GitLab]]|Project management and code hosting application.|https://gitlab.com/gitlab-org/gitlab-foss|{{Pkg|gitlab}}}}<br />
* {{App|[[Gitea]]|Painless self-hosted Git service. Community managed fork of Gogs.|https://gitea.io|{{Pkg|gitea}}}}<br />
<br />
===== Code forge clients =====<br />
<br />
* {{App|git-open|Open a repo website (GitHub, GitLab, Bitbucket) in your browser|https://github.com/paulirish/git-open|{{AUR|git-open}}}}<br />
* {{App|github-cli|GitHub's official command line tool|https://github.com/cli/cli|{{Pkg|github-cli}}}}<br />
* {{App|hub|Command line interface for GitHub|https://hub.github.com|{{Pkg|hub}}}}<br />
* {{App|lab|A hub-like tool for GitLab|https://zaquestion.github.io/lab/|{{AUR|lab-bin}}}}<br />
* {{App|snippet|A terminal based interface to create a new GitLab snippet|https://gitlab.com/zj/snippet|{{AUR|snippet}}}}<br />
<br />
==== バージョン管理システム ====<br />
<br />
[[Wikipedia:Comparison of revision control software]] も参照してください。<br />
<br />
* {{App|[[Bazaar]]|Distributed version control system that helps you track project history over time and to collaborate easily with others.|https://bazaar.canonical.com/|{{AUR|bzr}}}}<br />
* {{App|[[CVS]]|Concurrent Versions System, a client-server revision control system.|http://cvs.nongnu.org/|{{Pkg|cvs}}}}<br />
* {{App|[[Wikipedia:Darcs|Darcs]]|Distributed revision control system that was designed to replace traditional, centralized source control systems such as CVS and Subversion.|http://darcs.net/|{{Pkg|darcs}}}}<br />
* {{App|[[Wikipedia:Fossil (software)|Fossil]]|Distributed VCS with bug tracking, wiki, forum, and technotes.|https://www.fossil-scm.org/|{{Pkg|fossil}}}}<br />
* {{App|[[Git]]|Distributed revision control and source code management system with an emphasis on speed.|https://git-scm.com/|{{Pkg|git}}}}<br />
* {{App|[[Mercurial]]|Distributed version control system written in Python and similar in many ways to Git.|https://www.mercurial-scm.org/|{{Pkg|mercurial}}}}<br />
* {{App|[[Subversion]]|Full-featured centralized version control system originally designed to be a better CVS.|https://subversion.apache.org/|{{Pkg|subversion}}}}<br />
<br />
==== ビルド自動化 ====<br />
<br />
See also [[Wikipedia:List of build automation software]].<br />
<br />
* {{App|[[Wikipedia:Apache Ant|Apache Ant]]|Java ライブラリとコマンドラインツール。相互に依存するターゲットや拡張ポイントにあわせてビルドファイルに書かれている手順を実行します。|https://ant.apache.org/|{{Pkg|ant}}}}<br />
* {{App|[[Wikipedia:Apache Maven|Apache Maven]]|Build automation tool used primarily for Java.|https://maven.apache.org/|{{Pkg|maven}}}}<br />
* {{App|[[Wikipedia:CMake|CMake]]|ソフトウェアをビルド、テスト、パッケージ化するためのツール群。|https://cmake.org/|{{Pkg|cmake}}}}<br />
* {{App|[[Wikipedia:Make (software)|GNU make]]|プログラムのグループを管理するための、GNU make ユーティリティ。|https://www.gnu.org/software/make/|{{Pkg|make}} ({{Grp|base-devel}} の一部)}}<br />
* {{App|[[Wikipedia:Meson (software)|Meson]]|Extremely fast and user friendly build system.|https://mesonbuild.com/|{{Pkg|meson}}}}<br />
* {{App|[[Wikipedia:Gradle|Gradle]]|JVM の強力なビルドシステム。|https://gradle.org/|{{Pkg|gradle}}}}<br />
* {{App|Phing|あらゆる作業を自動化する PHP プログラム。|https://www.phing.info/|{{AUR|phing}}}}<br />
<br />
==== 統合開発環境 ====<br />
<br />
See also [[Wikipedia:Comparison of integrated development environments]].<br />
<br />
For PHP specific list, see [[PHP#Development tools]].<br />
<br />
* {{App|[[Android Studio]]|The official Android development environment based on IntelliJ IDEA.|https://developer.android.com/studio/index.html|{{AUR|android-studio}}}}<br />
* {{App|[[Wikipedia:Anjuta|Anjuta]]|プロジェクト管理、アプリケーションウィザード、インタラクティブデバッガ、ソースエディタ、バージョンコントロールなど多数のツールを備えた多目的 IDE。|http://anjuta.org/|{{Pkg|anjuta}}}}<br />
* {{App|[[Wikipedia:Aptana#Aptana_Studio|Aptana Studio]]|ウェブ開発を対象にしている Eclipse ベースの IDE。HTML, CSS, Javascript, Ruby on Rails, PHP, Adobe AIR などをサポート。|http://www.aptana.com/|{{AUR|aptana-studio}}}}<br />
* {{App|[[Wikipedia:Bluefish (software)|Bluefish]]|Powerful editor targeted towards programmers and webdevelopers, with many options to write websites, scripts and programming code. It supports many programming and markup languages.|http://bluefish.openoffice.nl/|{{Pkg|bluefish}}}}<br />
* {{App|[[Wikipedia:Code::Blocks|Code::Blocks]]|C, C++ and Fortran IDE built to meet the most demanding needs of its users. It is designed to be very extensible and fully configurable.|https://codeblocks.org/|{{Pkg|codeblocks}}}}<br />
* {{App|[[Wikipedia:JetBrains#CLion|CLion]]|A cross-platform IDE for C and C++.|https://www.jetbrains.com/clion/|{{AUR|clion}}}}<br />
* {{App|[[Wikipedia:CodeLite|CodeLite]]|C++ で書かれた C/C++/PHP/Node.js のオープンソースなクロスプラットフォーム IDE。|https://codelite.org/|{{AUR|codelite}}}}<br />
* {{App|[[Wikipedia:Cloud9 IDE|Cloud9]]|ブラウザやクラウドで動く最新の IDE、どこでも・いつでもアプリケーションを実行・デバッグ・開発できます。|https://c9.io/|{{AUR|c9.core}}{{Broken package link|package not found}}}}<br />
* {{App|[[Eclipse]]|IDE for Java, C/C++, PHP, Perl and Python with subversion support and task management.|https://www.eclipse.org/|Java EE: {{AUR|eclipse-jee}}, Java: {{AUR|eclipse-java}}, C/C++: {{AUR|eclipse-cpp}}, PHP: {{AUR|eclipse-php}}, JavaScript and Web: {{AUR|eclipse-javascript}}{{Broken package link|package not found}}, Rust: {{AUR|eclipse-rust}}{{Broken package link|package not found}}}}<br />
* {{App|[[Wikipedia:Eric (software)|Eric]]|PyQt5 によるフル機能の Python / Ruby IDE。|https://eric-ide.python-projects.org/|{{AUR|eric}}}}<br />
* {{App|[[Gambas]]|Basic インタプリタをベースにオブジェクト指向の拡張を加えたフリーの開発環境。|http://gambas.sourceforge.net/en/main.html|{{Pkg|gambas3-ide}}}}<br />
* {{App|[[Wikipedia:Geany|Geany]]|Small and lightweight IDE with many supported many programming and markup languages including C, Java, PHP, HTML, Python, Perl, Pascal.|https://geany.org/|{{Pkg|geany}}}}<br />
* {{App|[[Wikipedia:GNOME Builder|GNOME Builder]]|Tool to write and contribute to great GNOME-based applications.|https://wiki.gnome.org/Apps/Builder|{{Pkg|gnome-builder}}}}<br />
* {{App|[[Wikipedia:KDevelop|KDevelop]]|機能豊富なプラグインを使うことができる C/C++ などのプログラミング言語の IDE。|https://www.kdevelop.org/|{{Pkg|kdevelop}}}}<br />
* {{App|[[Wikipedia:Komodo_Edit|Komodo Edit]]|フリーの、多言語エディタ。|https://www.activestate.com/products/komodo-edit/|{{AUR|komodo-edit}}}}<br />
* {{App|[[Wikipedia:Lazarus (IDE)|Lazarus]]|Delphi (Object Pascal) compatible IDE for Rapid Application Development. It has variety of components ready for use and a graphical form designer to easily create complex graphical user interfaces.|https://www.lazarus-ide.org/|{{Pkg|lazarus}}}}<br />
* {{App|LiteIDE|シンプルな Go の IDE。|https://github.com/visualfc/liteide|{{Pkg|liteide}}}}<br />
* {{App|[[Wikipedia:MPLAB|MPLAB]]|Microchip PIC と dsPIC 開発のための IDE。|https://www.microchip.com/mplabx|{{AUR|microchip-mplabx-bin}}}}<br />
* {{App|[[Netbeans]]|Java, JavaScript, PHP, Python, Ruby, Groovy, C, C++, Scala, Clojure などの言語で開発するための統合開発環境 (IDE)。|https://netbeans.org/|{{Pkg|netbeans}}}}<br />
* {{App|[[Wikipedia:PhpStorm|PhpStorm]]|JetBrains PhpStorm は PHP 向けの商用のクロスプラットフォーム IDE です。JetBrains の IntelliJ IDEA プラットフォームの上で動作し、providing an editor for PHP, HTML and JavaScript with PHP や JavaScript コードをオンザフライでコード解析したり、エラー補正や自動リファクタリングが行えるエディタを提供します。|https://www.jetbrains.com/phpstorm/|{{Aur|phpstorm}} {{Aur|phpstorm-eap}}}}<br />
* {{App|[[Wikipedia:Qt Creator|Qt Creator]]|Qt での開発に焦点をおいた軽量なクロスプラットフォームの C++ 統合開発環境。|https://www.qt.io/ide/|{{Pkg|qtcreator}}}}<br />
* {{App|[[Wikipedia:Eclipse_Theia|Theia]]|Eclipse Theia is a free and open-source IDE for desktop and web applications. It is implemented in TypeScript, is based on Visual Studio Code, and emphasizes extensibility. It can be run as a web or a desktop application.|https://theia-ide.org/|{{AUR|theia-electron}}}}<br />
* {{App|[[Visual Studio Code]]|Visual Studio Code is a cross-platform, free and open-source text editor developed by Microsoft, written in JavaScript and TypeScript. It supports a variety of languages thanks to its extensions.|https://code.visualstudio.com/|{{Pkg|code}} {{AUR|visual-studio-code-bin}}}}<br />
* {{App|VSCodium|Free/Libre Open Source Software Binaries of VSCode.|https://vscodium.com/|{{AUR|vscodium-bin}}}}<br />
<br />
===== Java IDEs =====<br />
<br />
* {{App|[[Wikipedia:BlueJ|BlueJ]]|教育や初心者が主に使うことを目的とした完全な機能を備えた Java IDE。|https://bluej.org/|{{AUR|bluej}}}}<br />
* {{App|[[Wikipedia:IntelliJ IDEA|IntelliJ IDEA]]|高度なリファクタリング機能を持つ Java, Groovy などのプログラミング言語向けの IDE。|https://www.jetbrains.com/idea/|{{Pkg|intellij-idea-community-edition}}}}<br />
<br />
===== Python IDEs =====<br />
<br />
* {{App|[[Wikipedia:Ninja-IDE|Ninja-IDE]]|IDE for Python development.|http://ninja-ide.org/|{{AUR|ninja-ide}}}}<br />
* {{App|[[Wikipedia:PyCharm|PyCharm]]|Python でのプログラミングに使われる IDE。コード解析、デバッグ、ユニットテスト、バージョンコントロール、Django によるウェブ開発をサポート。|https://www.jetbrains.com/pycharm/|community edition: {{Pkg|pycharm-community-edition}}, professional edition: {{AUR|pycharm-professional}}, edu edition: {{AUR|pycharm-edu}}}}<br />
* {{App|[[Wikipedia:Spyder (software)|Spyder]]|MATLAB のような機能を提供する科学用 Python 開発環境。|https://github.com/spyder-ide/spyder|{{Pkg|spyder}}}}<br />
* {{App|[[Wikipedia:Thonny|Thonny]]|初心者向けの Python IDE。|https://thonny.org/|{{AUR|thonny}}}}<br />
* {{App|[[Wikipedia:Wing IDE|WingIDE]]|Proprietary Python development environment. It is fully featured and meant for professional use.|https://wingware.com/|{{Aur|wingide}}}}<br />
<br />
===== Rust IDEs =====<br />
<br />
See also: [https://www.rust-lang.org/tools]<br />
<br />
* {{App|[[Wikipedia:IntelliJ IDEA|IntelliJ IDEA]]|IDE for Java, Groovy and other programming languages with advanced refactoring features.|https://www.jetbrains.com/idea/|{{Pkg|intellij-idea-community-edition}}}} Install the [https://plugins.jetbrains.com/plugin/8182-rust rust plugin].<br />
* {{App|[[Visual Studio Code]]|Visual Studio Code is a cross-platform, free and open-source text editor developed by Microsoft, written in JavaScript and TypeScript. It supports a variety of languages thanks to its extensions.|https://code.visualstudio.com/|{{Pkg|code}} {{AUR|visual-studio-code-bin}}}} Install the [https://marketplace.visualstudio.com/items?itemName=rust-lang.rust rust extension].<br />
* {{App|VSCodium|Free/Libre Open Source Software Binaries of VSCode.|https://vscodium.com/|{{AUR|vscodium-bin}}}}<br />
<br />
===== Educational IDEs =====<br />
<br />
* {{App|[[Wikipedia:Etoys (programming language)|Etoys]]|Educational tool and media-rich authoring environment for teaching children.|http://squeakland.org/|{{AUR|etoys}}{{Broken package link|package not found}}}}<br />
* {{App|[[Wikipedia:KTurtle|KTurtle]]|Educational programming environment that aims to make learning how to program as easily as possible. Part of {{Grp|kde-education}}.|https://apps.kde.org/kturtle/|{{Pkg|kturtle}}}}<br />
* {{App|[[Wikipedia:Processing (programming language)|Processing]]|Playground for teaching non-programmers the fundamentals of computer programming in a visual context.|https://processing.org/|{{AUR|processing}}}}<br />
* {{App|[[Wikipedia:Scratch (programming language)|Scratch]]|インタラクティブなプロジェクトやシンプルなスプライトベースのゲームを作成できる、教育とエンターテイメント用の programming system and content development tool。[[Wikipedia:ja:イベント駆動型プログラミング|イベント駆動型プログラミング]]のエントリのように初心者 (子供など) を主に対象としています。|https://scratch.mit.edu/|{{Pkg|scratch}}}}<br />
<br />
==== Debuggers ====<br />
<br />
* {{App|Accerciser|Interactive Python accessibility explorer. It uses the AT-SPI library to inspect, examine, and interact with widgets, allowing you to check if an application is providing correct information to assistive technologies and automated testing frameworks.|https://wiki.gnome.org/Apps/Accerciser|{{Pkg|accerciser}}}}<br />
* {{App|Bustle|Draws sequence diagrams of D-Bus activity. It shows signal emissions, method calls and their corresponding returns, with time stamps for each individual event and the duration of each method call.|https://www.freedesktop.org/wiki/Software/Bustle/|{{AUR|bustle-git}}}}<br />
* {{App|[[Wikipedia:Data Display Debugger|Data Display Debugger]]|Graphical front-end for command-line debuggers such as GDB.|https://www.gnu.org/software/ddd/|{{AUR|ddd}}}}<br />
* {{App|Desed|TUI-based debugger for sed. Features variable and regex preview, setting breakpoints and stepping back and forth.|https://github.com/SoptikHa2/desed|{{AUR|desed}}}}<br />
* {{App|D-Feet|Easy to use D-Bus debugger to inspect D-Bus interfaces of running programs and invoke methods on those interfaces.|https://wiki.gnome.org/Apps/DFeet|{{Pkg|d-feet}}}}<br />
* {{App|GammaRay|Qt-application inspection and manipulation tool.|https://www.kdab.com/development-resources/qt-tools/gammaray/|{{Pkg|gammaray}}}}<br />
* {{App|KCachegrind|Profile data visualization tool, used to determine the most time consuming execution parts of program.|https://apps.kde.org/kcachegrind/|KDE: {{Pkg|kcachegrind}}, Qt: {{Pkg|qcachegrind}}}}<br />
* {{App|[[Wikipedia:KDbg|KDbg]]|Graphical user interface to GDB, the GNU debugger. It provides an intuitive interface for setting breakpoints, inspecting variables, and stepping through code.|http://kdbg.org/|{{Pkg|kdbg}}}}<br />
* {{App|Massif-Visualizer|Visualizer for Valgrind Massif data files.|https://apps.kde.org/massif-visualizer/|{{Pkg|massif-visualizer}}}}<br />
* {{App|[[Wikipedia:Nemiver|Nemiver]]|Easy to use standalone C/C++ debugger (GDB front-end) that integrates well in the GNOME environment.|https://wiki.gnome.org/Apps/Nemiver|{{Pkg|nemiver}}}}<br />
* {{App|Qt QDbusViewer|Tool to introspect D-Bus objects and messages.|https://doc.qt.io/qt-5/qdbusviewer.html|{{Pkg|qt5-tools}}}}<br />
* {{App|scanmem|Debugging utility designed to isolate the address of an arbitrary variable in an executing process.|https://github.com/scanmem/scanmem|CLI: {{Pkg|scanmem}}, GUI: {{Pkg|gameconqueror}}}}<br />
* {{App|Sysprof|Profiling tool that helps in finding the functions in which a program uses most of its time.|https://wiki.gnome.org/Apps/Sysprof|{{Pkg|sysprof}}}}<br />
<br />
==== Lexing and parsing ====<br />
<br />
[[Wikipedia:Lex (software)|Lex]] and [[Wikipedia:Yacc|Yacc]] are part of POSIX.<br />
<br />
* {{App|[[Wikipedia:Flex (lexical analyser generator)|flex]]|A tool for generating text-scanning programs, alternative to Lex.|https://github.com/westes/flex|{{Pkg|flex}}}}<br />
* {{App|[[Wikipedia:Berkeley Yacc|Berkeley Yacc]]|Berkeley reimplementation of the Unix parser generator Yacc.|https://invisible-island.net/byacc/|{{Pkg|byacc}}}}<br />
* {{App|[[Wikipedia:GNU bison|GNU Bison]]|The GNU general-purpose parser generator, alternative to ''byacc''.|https://www.gnu.org/software/bison/|{{Pkg|bison}}}}<br />
<br />
And then there are also:<br />
<br />
* {{App|[[Wikipedia:ANTLR|ANTLR]]|Parser generator, written in Java, for parsing structured text or binary files.|https://www.antlr.org/|{{Pkg|antlr4}}}}<br />
* {{App|LPeg|Pattern-matching library, based on PEGs, for Lua.|http://www.inf.puc-rio.br/~roberto/lpeg/|{{Pkg|lua-lpeg}}, {{Pkg|lua52-lpeg}}, {{Pkg|lua51-lpeg}}}}<br />
* {{App|peg/leg|Recursive-descent parser generators for C.|https://www.piumarta.com/software/peg/|{{Pkg|peg}}}}<br />
* {{App|Ragel|Compiles finite state machines from regular languages into executable C, C++, Objective-C, or D code.|https://www.colm.net/open-source/ragel/|{{Pkg|ragel}}}}<br />
<br />
==== GUI builders ====<br />
<br />
* {{App|[[Wikipedia:FLUID|FLUID]]|FLTK GUI designer.|https://www.fltk.org/|{{Pkg|fltk}}}}<br />
* {{App|[[Wikipedia:Glade Interface Designer|Glade]]|Create or open user interface designs for GTK applications.|https://glade.gnome.org/|{{Pkg|glade}}}}<br />
* {{App|KUIViewer|Quick viewer for Qt Designer UI File.|https://apps.kde.org/kuiviewer/|{{Pkg|kde-dev-utils}}}}<br />
* {{App|Qt Designer|Tool for designing and building graphical user interfaces (GUIs) with Qt Widgets.|https://doc.qt.io/qt-5/qtdesigner-manual.html|{{Pkg|qt5-tools}}}}<br />
<br />
==== Hex editors ====<br />
<br />
See also [[Wikipedia:Comparison of hex editors]].<br />
<br />
* {{App|Bless|High quality, full featured hex editor.|https://web.archive.org/web/20170503150524/http://home.gna.org/bless/|{{Pkg|bless}}}}<br />
* {{App|GHex|Hex editor for GNOME, which allows the user to load data from any file, view and edit it in either hex or ascii.|https://wiki.gnome.org/Apps/Ghex|{{Pkg|ghex}}}}<br />
* {{App|hyx|Minimalistic but powerful console hex editor.|https://yx7.cc/code/|{{AUR|hyx}}}}<br />
* {{App|Reverse Engineer's Hex Editor|Hex editor with features for analyzing and annotating binary file formats|https://github.com/solemnwarning/rehex|{{AUR|rehex}}}}<br />
* {{App|Okteta|KDE hex editor for viewing and editing the raw data of files.|https://apps.kde.org/okteta/|{{Pkg|okteta}}}}<br />
<br />
==== JSON tools ====<br />
<br />
* {{App|gron|gron transforms JSON into discrete assignments to make it easier to grep.|https://github.com/tomnomnom/gron|{{AUR|gron-bin}}}}<br />
* {{App|jid|JSON incremental digger|https://github.com/simeji/jid|{{AUR|jid}}}}<br />
* {{App|jo|A command to create JSON.|https://github.com/jpmens/jo|{{AUR|jo-git}}}}<br />
* {{App|jq|Command-line JSON processor|https://stedolan.github.io/jq/|{{Pkg|jq}}}}<br />
* {{App|jshon|A JSON parser for the shell.|http://kmkeen.com/jshon/|{{Pkg|jshon}}}}<br />
* the [[Elvish]] shell has built-in support for JSON<br />
<br />
==== Literate programming ====<br />
<br />
See also [[Wikipedia:Literate programming]].<br />
<br />
* {{App|Noweb|A Simple, Extensible Tool for Literate Programming build against ICON libs and texlive|https://www.cs.tufts.edu/~nr/noweb/|{{AUR|noweb}}}}<br />
* {{App|nuweb|A Simple Literate Programming Tool|http://nuweb.sourceforge.net/|{{AUR|nuweb}}}}<br />
<br />
==== UML modelers ====<br />
<br />
See also [[Wikipedia:List of Unified Modeling Language tools]].<br />
<br />
* {{App|[[Wikipedia:ArgoUML|ArgoUML]]|UML modeling tool with support for all standard UML 1.4 diagrams.|http://argouml.tigris.org/|{{AUR|argouml}}}}<br />
* {{App|[[Eclipse]] Modeling Tools|Tools and runtimes for building model-based applications.|https://www.eclipse.org/|{{AUR|eclipse-modeling-tools}}}}<br />
* {{App|Gaphor|Simple modeling tool for UML.|https://github.com/gaphor/gaphor|{{AUR|python-gaphor}}}}<br />
* {{App|[[Wikipedia:Modelio|Modelio]]|Modeling environment supporting the main standards: UML, BPMN, MDA, SysML.|https://www.modelio.org/|{{AUR|modelio-bin}}}}<br />
* {{App|[[Wikipedia:Papyrus (software)|Papyrus]]|Model-based engineering tool based on Eclipse.|https://www.eclipse.org/papyrus/|{{AUR|papyrus}}}}<br />
* {{App|[[Wikipedia:PlantUML|PlantUML]]|Tool to create UML diagrams from a plain text language.|https://plantuml.com|{{Pkg|plantuml}}}}<br />
* {{App|PlantUML QEditor|PlantUML editor written in Qt.|https://github.com/borco/plantumlqeditor|{{AUR|plantumlqeditor-git}}}}<br />
* {{App|[[Wikipedia:Umbrello UML Modeller|Umbrello]]|Unified Modelling Language (UML) diagram program based on KDE Technology.|https://umbrello.kde.org/|{{Pkg|umbrello}}}}<br />
* {{App|[[Wikipedia:UML Designer|UML Designer]]|Graphical tool based on Eclipse to edit and visualize UML models.|https://www.umldesigner.org/|{{AUR|umldesigner}}}}<br />
* {{App|[[Wikipedia:UMLet|UMLet]]|UML tool with a simple user interface: draw UML diagrams fast, build sequence and activity diagrams from plain text, export diagrams to eps, pdf, jpg, svg, and clipboard, share diagrams using Eclipse, and create new, custom UML elements.|https://umlet.com/|{{AUR|umlet}}}}<br />
* {{App|UML/INTERLIS-editor|Facilitate the application of the model driven approach to a greater number of users.|http://www.umleditor.org/|{{AUR|umleditor}}}}<br />
* {{App|Violet|Very easy to learn and use UML editor that draws nice-looking diagrams.|https://sourceforge.net/projects/violet/|{{AUR|violetumleditor}}}}<br />
<br />
==== API documentation browsers ====<br />
<br />
* {{App|[[Wikipedia:GNOME Devhelp|Devhelp]]|Developer tool for browsing and searching API documentation.|https://wiki.gnome.org/Apps/Devhelp|{{Pkg|devhelp}}}}<br />
* {{App|Doc Browser|API documentation browser with support for DevDocs and Hoogle.|https://github.com/qwfy/doc-browser|{{AUR|doc-browser-git}}}}<br />
* {{App|Qt Assistant|Tool for viewing on-line documentation in Qt help file format.|https://doc.qt.io/qt-5/qtassistant-index.html|{{Pkg|qt5-tools}}}}<br />
* {{App|quickDocs|Fast developer docs reader for reading Valadoc and DevDocs.|https://github.com/mdh34/quickDocs|{{AUR|quickdocs}}}}<br />
* {{App|Zeal|Offline API documentation browser for software developers.|https://zealdocs.org/|{{AUR|zeal}}}}<br />
<br />
==== 課題追跡システム ====<br />
<br />
* {{App|[[Bugzilla]]|Mozilla によるバグトラッカー。|https://www.bugzilla.org|{{Pkg|bugzilla}}}}<br />
* {{App|[[Flyspray]]|PHP で書かれた軽量なウェブベースのバグ追跡システム|https://www.flyspray.org/|{{Pkg|flyspray}}}}<br />
* {{App|[[MantisBT]]|ウェブベースの課題追跡システム|https://www.mantisbt.org/|{{AUR|mantisbt}}}}<br />
* {{App|[[Redmine]]|柔軟なプロジェクト管理のためのウェブアプリケーション。Ruby on Rails を使用して書かれており、クロスプラットフォームおよびクロスデータベース対応。|https://www.redmine.org|{{Pkg|redmine}}}}<br />
* {{App|[[Request Tracker]] (RT)|オープンソースの代表的な課題追跡システム。|https://bestpractical.com/rt/|{{AUR|rt}}{{Broken package link|package not found}}}}<br />
* {{App|[[Trac]]|Apache と Subversion を使用する統合 SCM & プロジェクト管理システム。|https://trac.edgewall.org/|{{AUR|trac}}}}<br />
<br />
[[:en:Git server#Advanced web applications]] を参照。<br />
<br />
==== コードレビュー ====<br />
<br />
* {{App|Gerrit|Git バージョン管理システム上に構築されたウェブベースのコードレビュー ツール|https://www.gerritcodereview.com/|{{AUR|gerrit}}}}<br />
* [[GitLab]] もコードレビューをサポートしています。<br />
<br />
[[Wikipedia:List of tools for code review]] も参照してください。<br />
<br />
==== ゲーム開発 ====<br />
<br />
[[Wikipedia:List of game engines]] も参照してください。<br />
<br />
* {{App|GDevelop|プログラミングスキルが不要で、誰でも使用できるゲーム作成ツール。|https://gdevelop-app.com/|{{AUR|gdevelop}}}}<br />
* {{App|[[:en:Godot]]|高度で機能満載のマルチプラットフォーム対応の 2D および 3D ゲームエンジン。Godot の独自のアプローチを使用して、簡単にゲームを作成できます。|https://godotengine.org/|{{Pkg|godot}}}}<br />
* {{App|LibreSprite|アニメーションスプライトエディタおよびピクセルアートツールで、ビデオゲーム用の 2D アニメーションを作成できます。|https://github.com/LibreSprite/LibreSprite|{{AUR|libresprite}}}}<br />
* {{App|Pixelorama|Orama Interactive によって Godot Engine と GDScript を使用して作成された、アニメーション対応の 2D スプライトエディタ。|https://www.orama-interactive.com/pixelorama{{Dead link|2021|05|17|status=404}}|{{AUR|pixelorama-bin}}}}<br />
* {{App|Tiled|強力なタイルマップ編集機能を備えた汎用の 2D レベルエディタ。使いやすさを重視して設計されており、多くのタイプのゲームに適しています。|https://www.mapeditor.org/|{{Pkg|tiled}}}}<br />
* {{App|[[Unity3D|Unity]]|Unity は、マルチプラットフォームの 3D および 2D ゲームを作成するための柔軟で強力な開発プラットフォームです。プロプライエタリですが、特定の使用例には無料バージョンが利用可能です(詳細は[https://store.unity.com/compare-plans こちら]をご覧ください)。|https://unity3d.com/unity|{{AUR|unity-editor}}}}<br />
<br />
==== Repository managers ====<br />
<br />
{{Style|Redirects to company blogs should not be here.}}<br />
<br />
* {{App|Nexus 2|Nexus 2 Repository Manager (OSS)|https://www.sonatype.com/nexus-repository-oss|{{AUR|nexus}}}}<br />
* {{App|Nexus 3|Nexus 3 Repository OSS|https://www.sonatype.com/nexus-repository-oss|{{AUR|nexus-oss}}}}<br />
* {{App|Artifactory|Artifactory is an advanced Binary Repository Manager for use by build tools, dependency management tools and build servers|https://bintray.com/jfrog/product/JFrog-Artifactory-Oss/view|{{AUR|artifactory-oss}}}}<br />
<br />
=== Text input ===<br />
<br />
==== Character selectors ====<br />
<br />
* {{App|GNOME Characters|Character map application for GNOME.|https://gitlab.gnome.org/GNOME/gnome-characters|{{Pkg|gnome-characters}}}}<br />
* {{App|[[Wikipedia:GNOME Character Map|gucharmap]]|GTK 3 character selector for GNOME.|https://wiki.gnome.org/Apps/Gucharmap|{{pkg|gucharmap}}}}<br />
* {{App|KCharSelect|Tool to select special characters from all installed fonts and copy them into the clipboard. Part of {{Grp|kde-utilities}}.|https://apps.kde.org/kcharselect/|{{Pkg|kcharselect}}}}<br />
<br />
==== スクリーンキーボード ====<br />
<br />
* {{App|CellWriter|Grid-entry handwriting recognition input panel.|https://github.com/risujin/cellwriter|{{AUR|cellwriter}}}}<br />
* {{App|CoreKeyboard|Simple X11 based Qt virtual keyboard with word suggestions. Part of C-Suite.|https://cubocore.org/|{{AUR|corekeyboard}}}}<br />
* {{App|eekboard|Easy to use virtual keyboard toolkit.|https://github.com/ueno/eekboard|{{AUR|eekboard}}}}<br />
* {{App|Florence|Extensible scalable on-screen virtual keyboard for GNOME that stays out of your way when not needed.|https://sourceforge.net/projects/florence/|{{AUR|florence}}}}<br />
* {{App|Onboard|Onscreen keyboard useful for tablet PC users and for mobility impaired users.|https://launchpad.net/onboard|{{Pkg|onboard}}}}<br />
* {{App|qtvkbd|Virtual keyboard written in Qt, a fork of kvkbd.|https://github.com/Alexander-r/qtvkbd|{{AUR|qtvkbd}}}}<br />
* {{App|QVKbd|Virtual keyboard written in Qt.|https://github.com/KivApple/qvkbd|{{Pkg|qvkbd}}}}<br />
* {{App|Squeekboard|GTK 3 virtual keyboard for [[Wayland]], written in Rust/C.|https://source.puri.sm/Librem5/squeekboard|{{AUR|squeekboard}}}}<br />
* {{App|theShell On Screen Keyboard|Touchscreen keyboard for theShell.|https://github.com/vicr123/ts-kbd|{{AUR|ts-kbd}}}}<br />
* {{App|xvkbd|Virtual keyboard for X window system.|http://t-sato.in.coocan.jp/xvkbd/|{{AUR|xvkbd}}}}<br />
<br />
==== キーボードレイアウトの切り替え ====<br />
<br />
* {{App|fbxkb|NETWM 互換のキーボードインジケータ・スイッチャー。システム領域にある現在のキーボードのフラグを表示し、他のキーボードに切り替えることが可能です。|http://fbxkb.sourceforge.net/|{{AUR|fbxkb}}}}<br />
* {{App|xxkb|軽量なキーボードレイアウトインジケータ・スイッチャー。|https://sourceforge.net/projects/xxkb/|{{Pkg|xxkb}}}}<br />
* {{App|gxkb|X11 keyboard layout indicator and switcher.|https://github.com/zen-tools/gxkb|{{Pkg|gxkb}}}}<br />
* {{App|qxkb|Qt で書かれているキーボード切り替えアプリケーション。|https://github.com/disels/qxkb|{{AUR|qxkb}}}}<br />
* {{App|[[Wikipedia:X Neural Switcher|X Neural Switcher]]|テキストアナライザ。入力の言語を検出して必要に応じてキーボードレイアウトを修正します。|https://xneur.ru/|{{AUR|gxneur}} (GUI)}}<br />
<br />
==== Keybinding managers ====<br />
<br />
See [[キーボードショートカット#Xorg]].<br />
<br />
==== インプットメソッド ====<br />
<br />
See the main article: [[インプットメソッド]].<br />
<br />
=== Disks ===<br />
<br />
==== パーティション分割ツール ====<br />
<br />
See [[パーティショニング#パーティショニングツール]].<br />
<br />
==== Formatting tools ====<br />
<br />
See [[ファイルシステム#ファイルシステムのタイプ]].<br />
<br />
==== Cloning tools ====<br />
<br />
See [[ディスクのクローン#ディスククローンソフトウェア]].<br />
<br />
==== マウントツール ====<br />
<br />
See also [[udisks#Mount helpers]].<br />
<br />
* {{App|9mount|9p ファイルシステムをマウント。|http://sqweek.net/code/9mount/|{{AUR|9mount}}}}<br />
* {{App|cryptmount|暗号化されたファイルシステムを通常ユーザーでマウント。|https://sourceforge.net/projects/cryptmount/|{{AUR|cryptmount}}}}<br />
* {{App|KDiskFree|Displays information about hard disks and other storage devices. It also allows to mount and unmount drives and view them in a file manager.|https://apps.kde.org/kdf/|{{Pkg|kdf}}}}<br />
* {{App|ldm|''udev'' を使ってドライブを自動的にマウントする軽量なデーモン。|https://github.com/LemonBoy/ldm|{{AUR|ldm}}}}<br />
* {{App|pmount|通常ユーザーで''ソース''を自動的に作成する {{ic|/media/''source_name''}} にマウント。|[[Debian:pmount]]|{{AUR|pmount}}}}<br />
* {{App|pmount-safe-removal|安全に取り除けるように通常ユーザーでリムーバブルデバイスをマウント。|https://mywaytoarch.tumblr.com/post/13111098534/pmount-safe-removal-of-usb-device|{{AUR|pmount-safe-removal}}}}<br />
* {{App|udevil|通常ユーザーでリムーバブルデバイスをマウント。デバイス情報を表示して、デバイスの変更を監視。''udev'' と glib にだけ依存。|https://ignorantguru.github.io/udevil|{{AUR|udevil}}}}<br />
* {{App|ws|Windows ネットワーク共有をマウント ([[Wikipedia:Server Message Block|CIFS]] と [[Wikipedia:Virtual file system|VFS]])。|https://sourceforge.net/projects/winshares/|{{AUR|ws}}}}<br />
* {{App|zulucrypt|暗号化ボリュームを作成・管理・マウントする cryptsetup の GUI フロントエンド。[[EncFS]] もサポート。|https://mhogomchungu.github.io/zuluCrypt/|{{AUR|zulucrypt}}}}<br />
<br />
==== ディスク使用量表示プログラム ====<br />
<br />
===== Console =====<br />
<br />
* {{App|duc|ディスク使用量を調査するためのライブラリとツールスイート。|https://duc.zevv.nl/|{{AUR|duc}}}}<br />
* {{App|gdu|Disk usage analyzer with console interface written in Go.|https://github.com/Dundee/gdu|{{AUR|gdu}}}}<br />
* {{App|gt5|差分が表示できる "du-browser"。|http://gt5.sourceforge.net|{{AUR|gt5}}}}<br />
* {{App|ncdu|シンプルな ncurses ディスク使用量アナライザ。|https://dev.yorhel.nl/ncdu|{{Pkg|ncdu}}}}<br />
<br />
===== Graphical =====<br />
* {{App|[[Wikipedia:Filelight|Filelight]]|コンピュータのディスク使用量を、リング状のマップに視覚化するディスク使用量アナライザ。|https://apps.kde.org/filelight/|{{Pkg|filelight}}}}<br />
* {{App|[[Wikipedia:Disk Usage Analyzer|GNOME Disk Usage Analyzer]]|[[GNOME]] デスクトップ用のディスク使用量アナライザ to check folder sizes and available disk space.|https://wiki.gnome.org/Apps/DiskUsageAnalyzer|{{Pkg|baobab}}}}<br />
* {{App|Graphical Disk Map|ファイルやディレクトリサイズにあわせて長方形を表示するディスク使用量アナライザ。|http://gdmap.sourceforge.net/|{{Pkg|gdmap}}}}<br />
* {{App|fsview (part of Konqueror)|KDE based disk usage analyzer that draws a map of rectangles sized according to file or dir sizes.|https://docs.kde.org/trunk5/en/konqueror/konqueror/view-extensions.html|{{Pkg|konqueror}}}}<br />
* {{App|MATE Disk Usage Analyzer|Disk usage analyzing tool for MATE Desktop.|https://github.com/mate-desktop/mate-utils|{{Pkg|mate-utils}}}}<br />
* {{App|qdirstat|Qt-based directory statistics (KDirStat/K4DirStat without any KDE - from the original KDirStat author).|https://github.com/shundhammer/qdirstat|{{AUR|qdirstat}}}}<br />
<br />
==== Disk health status ====<br />
<br />
See [[S.M.A.R.T.#GUI applications]].<br />
<br />
==== File recovery tools ====<br />
<br />
See [[ファイルリカバリ#List of utilities]].<br />
<br />
==== Disk cleaning ====<br />
<br />
===== Console =====<br />
<br />
* {{App|duff|A command-line utility for quickly finding duplicates in a given set of files.|https://github.com/elmindreda/duff|{{AUR|duff}}}}<br />
* {{App|fclones|Very fast duplicate file Finder written in rust.|https://github.com/pkolaczk/fclones|{{AUR|fclones}}}}, {{AUR|fclones-git}}}}<br />
* {{App|[[Wikipedia:fdupes|fdupes]]|Program for identifying or deleting duplicate files residing within specified directories.|https://github.com/adrianlopezroche/fdupes|{{Pkg|fdupes}}}}<br />
* {{App|jdupes|Identify and take actions upon duplicate files.|https://github.com/jbruchon/jdupes|{{AUR|jdupes}}}}<br />
* {{App|rdfind|Command line tool that finds duplicate files. It compares files based on their content.|https://github.com/pauldreik/rdfind|{{AUR|rdfind}}}}<br />
* {{App|rmlint|重複するファイルを素早く見つけ出すツール (任意で削除も可能)。|https://github.com/sahib/rmlint|{{Pkg|rmlint}}}}<br />
<br />
===== Graphical =====<br />
<br />
* {{App|[[Wikipedia:BleachBit|BleachBit]]|ディスク容量を開けてプライバシーを守ります。キャッシュやクッキー、インターネット履歴、一時ファイル、ログなどを消去。|https://www.bleachbit.org/|{{Pkg|bleachbit}}}}<br />
* {{App|dupeGuru|GUI tool to find duplicate files in a system.|https://dupeguru.voltaicideas.net/|{{AUR|dupeguru}}}}<br />
* {{App|FSlint|A utility to find and clean various forms of lint on a filesystem.|https://www.pixelbeat.org/fslint/|{{AUR|fslint}}}}<br />
* {{App|GConf Cleaner|gconf データベースに居座っている不必要な gconf キーを消去。|https://code.google.com/archive/p/gconf-cleaner/|{{AUR|gconf-cleaner}}}}<br />
* {{App|Shredder|Graphical user interface for rmlint.|https://github.com/sahib/rmlint|{{Pkg|rmlint-shredder}}}}<br />
* {{App|Sweeper|System cleaning utility for KDE.|https://apps.kde.org/sweeper/|{{Pkg|sweeper}}}}<br />
<br />
==== Disk image writing ====<br />
<br />
See also [[Wikipedia:List of tools to create Live USB systems]].<br />
<br />
{{Warning|Some disk image writing tools are known to be [[Wikipedia:adware|adware]], for example [[:en:USB flash installation medium#Using etcher|etcher]].}}<br />
<br />
* {{App|Deepin Boot Maker|Tool to make boot disk for Deepin OS.|https://www.deepin.org/en/original/deepin-boot-maker/|{{Pkg|deepin-boot-maker}}}}<br />
* {{App|[[Wikipedia:Fedora Media Writer|Fedora Media Writer]]|Tool that helps users put Fedora images on their portable drives such as flash disks.|https://github.com/FedoraQt/MediaWriter|{{AUR|mediawriter}}}}<br />
* {{App|GNOME MultiWriter|Write an ISO file to multiple USB devices at once.|https://wiki.gnome.org/Apps/MultiWriter|{{Pkg|gnome-multi-writer}}}}<br />
* {{App|Image Burner|Simple imageburner designed for elementary OS.|https://github.com/artemanufrij/imageburner|{{AUR|imageburner}}}}<br />
* {{App|ISOImageWriter|Tool to write a .iso file to a USB disk.|https://community.kde.org/ISOImageWriter|{{AUR|isoimagewriter}}}}<br />
* {{App|LiveUSB Install|Install various Linux distributions and operating systems on removable flash drive or external disk drive.|http://live.learnfree.eu/|{{AUR|live-usb-install}}}}<br />
* {{App|MultiBootUSB|Install multiple live distributions on a USB disk non-destructively and has an option to uninstall them.|https://github.com/mbusb/multibootusb/|{{AUR|multibootusb}}}}<br />
* {{App|MultiSystem|GUI tool to create a USB system that can boot multiple distributions.|http://liveusb.info/|{{AUR|multisystem}}}}<br />
* {{App|Popsicle|Utility for flashing multiple USB devices in parallel, written in Rust.|https://github.com/pop-os/popsicle|{{AUR|popsicle-git}}}}<br />
* {{App|[[Wikipedia:SUSE Studio ImageWriter|SUSE Studio ImageWriter]]|Utility for writing raw disk images & hybrid isos to USB keys.|https://github.com/openSUSE/imagewriter|{{AUR|imagewriter}}}}<br />
* {{App|[[Wikipedia:UNetbootin|UNetbootin]]|Installs Linux/BSD distributions to a partition or USB drive.|https://unetbootin.github.io/|{{AUR|unetbootin}}}}<br />
* {{App|Usbimager|Minimal GUI application to write compressed disk images to USB drives.|https://gitlab.com/bztsrc/usbimager|{{AUR|usbimager}}}}<br />
* {{App|WoeUSB|Simple tool to create USB stick windows installer from an ISO image or a real DVD. (Fork of WinUSB).|https://github.com/WoeUSB/WoeUSB-frontend-wxgtk| {{AUR|woeusb}}}}<br />
* {{App|windows2usb|Windows 7/8/8.1/10 ISO to Flash Drive burning utility for Linux with MBR/GPT, BIOS/UEFI, FAT32/NTFS support|https://github.com/ValdikSS/windows2usb|{{AUR|windows2usb-git}}}}<br />
<br />
=== System ===<br />
<br />
==== タスクマネージャ ====<br />
<br />
* {{App|CoreStats|Simple lightweight system resource viewer to monitor the CPU, RAM, Network and Disk IO statistics. Part of C-Suite.|https://cubocore.org/|{{AUR|corestats}}}}<br />
* {{App|Deepin System Monitor|Monitor system process status for Deepin desktop.|https://www.deepin.org/en/original/deepin-system-monitor/|{{Pkg|deepin-system-monitor}}}}<br />
* {{App|GNOME System Monitor|[[GNOME]] のシステムモニタ to view and manage system resources.|https://wiki.gnome.org/Apps/SystemMonitor|{{Pkg|gnome-system-monitor}}}}<br />
* {{App|GNOME Usage|View information about use of system resources, like memory and disk space.|https://wiki.gnome.org/Apps/Usage|{{Pkg|gnome-usage}}}}<br />
* {{App|[[Wikipedia:Htop|htop]]|シンプルな、ncurses 対話式プロセスビューア。|http://htop.sourceforge.net/|{{Pkg|htop}}}}<br />
* {{App|bpytop|Htop but more lightweight with more features.|https://github.com/aristocratos/bpytop|{{Pkg|bpytop}}}}<br />
* {{App|btop|Rewrite of bpytop in C++|https://github.com/aristocratos/btop|{{Pkg|btop}}}}<br />
* {{App|[[Wikipedia:KDE System Guard|KSysGuard]]|[[KDE]] のタスクマネージャ・パフォーマンスモニタ。|https://apps.kde.org/ksysguard/|{{Pkg|ksysguard}}}}<br />
* {{App|Linux Process Explorer|Linux 向けのグラフィカルプロセスエクスプローラー。|https://sourceforge.net/projects/procexp/|{{AUR|procexp}}}}<br />
* {{App|LXTask|[[LXDE]] の軽量なタスクマネージャー。|https://wiki.lxde.org/en/LXTask|{{Pkg|lxtask}}}}<br />
* {{App|qps|Lightweight task manager for [[LXQt]].|https://github.com/lxqt/qps|{{AUR|qps}}}}<br />
* {{App|MATE System Monitor|[[MATE]] のシステムモニター。|https://github.com/mate-desktop/mate-system-monitor|{{Pkg|mate-system-monitor}}}}<br />
* {{App|Stacer|System optimizer and application monitor that helps users to manage entire system with different aspects, its an all in one system utility.|https://oguzhaninan.github.io/Stacer-Web/|{{AUR|stacer}}}}<br />
* {{App|Task Manager|[[Xfce]] の GTK2/GTK3 プロセス管理アプリケーション with basic system resource monitor|https://goodies.xfce.org/projects/applications/xfce4-taskmanager|{{Pkg|xfce4-taskmanager}}}}<br />
<br />
==== システム監視 ====<br />
<br />
[[:カテゴリ:状態監視と通知]]も参照してください。<br />
<br />
* {{App|[[Conky]]|軽量でスクリプト式のシステムモニタ。|https://github.com/brndnmtthws/conky|{{Pkg|conky}}}}<br />
* {{App|Collectd|[https://oss.oetiker.ch/rrdtool/ rrdtool] ベースのシンプルで拡張性のあるシステム監視デーモン。消費リソースが少なくて、スタンドアロンに、またはサーバー・クライアントアプリケーションとして設定できます。|https://collectd.org/|{{Pkg|collectd}}}}<br />
* {{App|collectl|軽量なパフォーマンス監視ツール。対話式にレポートを作成したりディスクにログを出力できます。CPU やディスク、[[InfiniBand]]、Lustre、メモリ、ネットワーク、[[NFS]]、プロセス, quadrics, slabs などの統計情報を読みやすいフォーマットでまとめます。|http://collectl.sourceforge.net/|{{AUR|collectl}}}}<br />
* {{App|dstat|多目的リソース統計ツール。|http://dag.wiee.rs/home-made/dstat/|{{Pkg|dstat}}}}<br />
* {{App|Fsniper|Daemon to run scripts based on changes in files monitored by inotify.|https://github.com/l3ib/fsniper|{{AUR|fsniper}}}}<br />
* {{App|[[Wikipedia:GKrellM|GKrellM]]|シンプルで柔軟性のある [[GTK]] 向けシステムモニタパッケージ。多くのプラグインが含まれている。|https://billw2.github.io/gkrellm/gkrellm.html|{{Pkg|gkrellm}}}}<br />
* {{App|glances|Python 製の CLI curses ベース監視ツール。|https://nicolargo.github.io/glances/|{{Pkg|glances}}}}<br />
* {{App|kmon|Linux kernel manager and activity monitor.|https://github.com/orhun/kmon|{{Pkg|kmon}}}}<br />
* {{App|Nagstamon|Status monitor that connects to multiple Nagios, Icinga, Opsview, Centreon, Op5 Monitor/Ninja, Checkmk and Thruk monitoring servers.|https://github.com/orhun/kmon|{{AUR|nagstamon}}}}<br />
* {{App|netdata|ウェブベースのリアルタイムパフォーマンスモニター。|https://github.com/firehol/netdata/wiki|{{Pkg|netdata}}}}<br />
* {{App|[[Telegraf]]|Agent written in Go for collecting, processing, aggregating, and writing metrics.|https://docs.influxdata.com/telegraf/latest/|{{AUR|telegraf}}}}<br />
* {{App|[[Paramano]]|軽量なバッテリモニター、CPU 周波数スケーラ。[http://trayfreq.sourceforge.net/ trayfreq] のフォーク。|https://github.com/phillid/paramano|{{AUR|paramano}}}}<br />
* {{app|Sysstat|リソース管理ツールのコレクション: iostat, isag, mpstat, pidstat, sadf, sar。|http://sebastien.godard.pagesperso-orange.fr/|{{Pkg|sysstat}}}}<br />
* {{App|xosview|SGI IRIX の gr_osview に似ているシステムモニター。|https://www.pogo.org.uk/~mark/xosview/|{{AUR|xosview}}}}<br />
* {{App|zps|A small utility for listing and reaping zombie processes on GNU/Linux.|https://github.com/orhun/zps|{{Pkg|zps}}}}<br />
<br />
==== Hardware sensor monitoring ====<br />
<br />
See [[lm_sensors#Graphical front-ends]].<br />
<br />
==== システム情報ビューア ====<br />
<br />
===== コンソール =====<br />
<br />
* {{App|alsi|Arch Linux のシステム情報ツール。スクリプトのソースコードを修正しなくても他のシステム用に設定することが可能です。|https://trizenx.blogspot.com/2012/08/alsi.html|{{AUR|alsi}}}}<br />
* {{App|[[archey3]]|Arch Linux のロゴとシステム情報を表示する Python スクリプト。|https://lclarkmichalek.github.io/archey3|{{Pkg|archey3}}}}<br />
* {{App|dmidecode|SMBIOS/DMI の仕様による BIOS に書かれているシステムのハードウェア情報を表示します。|https://www.nongnu.org/dmidecode/|{{Pkg|dmidecode}}}}<br />
* {{App|hwdetect|{{ic|/sys}} によってエクスポートされたモジュールを表示するシンプルなスクリプト。|https://github.com/archlinux/svntogit-packages/blob/packages/hwdetect/trunk/hwdetect|{{Pkg|hwdetect}}}}<br />
* {{App|hwinfo|openSUSE 由来のパワフルなハードウェア検出ツール。|https://github.com/openSUSE/hwinfo|{{Pkg|hwinfo}}}}<br />
* {{App|hw-probe|Tool to probe for hardware, check operability and find drivers with the help of [https://linux-hardware.org/ Linux Hardware Database].|https://github.com/linuxhw/hw-probe|{{AUR|hw-probe}}}}<br />
* {{App|inxi|システム情報を取得するためのスクリプト。|https://github.com/smxi/inxi|{{AUR|inxi}}}}<br />
* {{App|neofetch|w3m で画像を表示することができる高速・カスタマイズ可能なシステム情報スクリプト。|https://github.com/dylanaraps/neofetch|{{AUR|neofetch}}}}<br />
* {{App|nmon|Console based application for monitoring various system components.|http://nmon.sourceforge.net/|{{Pkg|nmon}}}}<br />
* {{App|pfetch|A pretty system information tool written in POSIX sh.|https://github.com/dylanaraps/pfetch|{{AUR|pfetch}}}}<br />
* {{App|screenfetch|archey と似ていますがスクリーンショットを取得することができます。bash で書かれています。|https://github.com/KittyKatt/screenFetch|{{Pkg|screenfetch}}}}<br />
<br />
===== グラフィカル =====<br />
<br />
* {{App|GPU-Viewer|GUI to glxinfo, vulkaninfo, clinfo and es2_info; written in Python with GTK.|https://github.com/arunsivaramanneo/GPU-Viewer|{{AUR|gpu-viewer}}}}<br />
* {{App|hardinfo|ハードウェアとオペレーティングシステムに関する情報を表示する小さなアプリケーション。Windows のデバイスマネージャに似ています。|https://www.berlios.de/software/hardinfo/|{{Pkg|hardinfo}}}}<br />
* {{App|i-Nex|システムで利用できるハードウェアコンポーネントの情報を収集して Windows の人気ツール CPU-Z に似ているユーザーインターフェースで情報を表示するアプリケーション。|http://i-nex.linux.pl/|{{AUR|i-nex-git}}}}<br />
* {{App|lshw|マシンのハードウェア設定に関する情報を詳しく表示する小さなツール。CLI と GTK のインターフェイス。|https://ezix.org/project/wiki/HardwareLiSter|{{Pkg|lshw}}}}<br />
* {{App|[[Wikipedia:KInfoCenter|KInfoCenter]]|Centralized and convenient overview of system information for KDE.|https://userbase.kde.org/KInfoCenter|{{Pkg|kinfocenter}}}}<br />
* {{App|USBView|Display the topology of devices on the USB bus.|http://www.kroah.com/linux/usb/|{{Pkg|usbview}}}}<br />
<br />
==== System log viewers ====<br />
<br />
* {{App|GNOME Logs|Viewer for the systemd journal. Part of {{Grp|gnome}}.|https://wiki.gnome.org/Apps/Logs|{{Pkg|gnome-logs}}}}<br />
* {{App|GNOME System Log|System log viewer for GNOME.|https://gitlab.gnome.org/GNOME/gnome-system-log|{{Pkg|gnome-system-log}}}}<br />
* {{App|KSystemLog|System log viewer tool for KDE.|https://apps.kde.org/ksystemlog/|{{Pkg|ksystemlog}}}}<br />
* {{App|MATE System Log|System log viewer for MATE.|https://github.com/mate-desktop/mate-utils|{{Pkg|mate-utils}}}}<br />
* {{App|Pacman Log Viewer|Tool used to inspect pacman log file, in particular it lists installed, removed and upgraded packages letting you to filter by package's name and/or date.|https://www.opendesktop.org/content/show.php?content&#61;150484|{{Pkg|pacmanlogviewer}}}}<br />
* {{App|QJournalctl|Qt-based graphical user interface for systemd's ''journalctl'' command.|https://github.com/pentix/qjournalctl|{{Pkg|qjournalctl}}}}<br />
<br />
==== Font viewers ====<br />
<br />
See also [[Wikipedia:Font management software]].<br />
* {{App|Deepin Font Manager|A font management tool for Deepin desktop.|https://www.deepin.org/en/original/deepin-font-manager/|{{Pkg|deepin-font-manager}}}}<br />
* {{App|Font Manager|Simple font management for GTK desktop environments.|https://fontmanager.github.io/|{{AUR|font-manager}}}}<br />
* {{App|Fonty Python|Manage, view and find your fonts.|https://savannah.nongnu.org/projects/fontypython|{{AUR|fontypython}}}}<br />
* {{App|GNOME Fonts|Font viewer for GNOME.|https://gitlab.gnome.org/GNOME/gnome-font-viewer|{{Pkg|gnome-font-viewer}}}}<br />
* {{App|KFontview|KDE application to view and install different types of fonts.|https://kde.org/|{{Pkg|plasma-desktop}}}}<br />
* {{App|MATE Font Viewer|Font viewer for MATE.|https://github.com/mate-desktop/mate-control-center|{{Pkg|mate-utils}}}}<br />
<br />
==== Help viewers ====<br />
<br />
See [[man ページ#インストール]].<br />
<br />
==== Command schedulers ====<br />
<br />
See also [[Cron]].<br />
<br />
* {{App|FcronQ|Fcron GUI, an advanced periodic command scheduler.|http://fcronq.xavion.name/|{{AUR|fcronq}}}}<br />
* {{App|GNOME Schedule|Graphical interface to crontab and at for GNOME.|http://gnome-schedule.sourceforge.net/|{{AUR|gnome-schedule}}}}<br />
* {{App|KCron|Tool for KDE to run applications in the background at regular intervals. It is a graphical interface to the Cron command.|https://apps.kde.org/kcron/|{{Pkg|kcron}}}}<br />
* {{App|KTimer|Little tool for KDE to execute programs after some time. It allows you to enter several tasks and to set a timer for each of them. The timers for each task can be started, stopped, changed, or looped.|https://apps.kde.org/ktimer/|{{Pkg|ktimer}}}}<br />
<br />
==== Shutdown timers ====<br />
<br />
* {{App|GShutdown|Advanced shutdown utility which allows you to schedule the shutdown or the restart of your computer, or logout your actual session.|https://gshutdown.tuxfamily.org/|{{AUR|gshutdown}}}}<br />
* {{App|Hsiu-Ming's Timer|Graphical shutdown timer, which enables you to shutdown, turn off monitor, reboot or play sound after a period of time.|https://cges30901.github.io/hmtimer-website/|{{AUR|hmtimer}}}}<br />
* {{App|KShutdown|Graphical shutdown utility, which allows you to turn off or suspend a computer at a specified time. It features various time and delay options, command-line support, and notifications.|https://kshutdown.sourceforge.io/|{{Pkg|kshutdown}}}}<br />
<br />
==== 時刻同期 ====<br />
<br />
See [[時刻同期]].<br />
<br />
==== Screen management ====<br />
<br />
See [[Xrandr#Graphical front-ends]].<br />
<br />
==== Backlight management ====<br />
<br />
See [[バックライト#バックライトユーティリティ]].<br />
<br />
==== Color management ====<br />
<br />
See [[:en:ICC profiles#Utilities]] and [[バックライト#色補正]].<br />
<br />
==== Printer management ====<br />
<br />
See [[CUPS#GUI applications]].<br />
<br />
==== Bluetooth management ====<br />
<br />
See [[Bluetooth#Front-ends]].<br />
<br />
==== 電源管理 ====<br />
<br />
See [[電源管理#ユーザースペースツール]].<br />
<br />
==== System management ====<br />
<br />
See [[Systemd#GUI configuration tools]].<br />
<br />
==== Boot management ====<br />
<br />
See [[GRUB/Tips and tricks#GUI configuration tools]].<br />
<br />
==== パッケージ管理 ====<br />
<br />
See [[pacman ヒント#ユーティリティ]].<br />
<br />
==== Virtualization ====<br />
<br />
See [[Libvirt#Client]] and [[VirtualBox]].<br />
<br />
==== Compatibility layers ====<br />
<br />
See [[Wine]] (Windows) and [https://www.darlinghq.org/ Darling] (MacOS).<br />
<noinclude><br />
{{TranslationStatus|List of applications/Utilities|2021-12-25|707362}}<br />
</noinclude></div>
Hkiku482
https://wiki.archlinux.jp/index.php?title=%E3%83%9A%E3%83%B3%E3%82%BF%E3%83%96%E3%83%AC%E3%83%83%E3%83%88&diff=40331
ペンタブレット
2025-05-29T17:14:31Z
<p>Hkiku482: /* ユーティリティ */ パッケージ名リンク切れ修正</p>
<hr />
<div>[[Category:入力デバイス]]<br />
[[en:Graphics tablet]]<br />
{{Related articles start}}<br />
{{Related|タブレット PC}}<br />
{{Related articles end}}<br />
<br />
[[Wikipedia:Graphics tablet]] より:<br />
:グラフィックタブレット(デジタイザー、デジタルグラフィックタブレット、ペンタブレット、描画タブレット、外部描画パッド、デジタルアートボードとも呼ばれる)は、コンピュータの入力デバイスで、特殊なペンのようなスタイラスを使って、鉛筆と紙で画像を描くのと同様の方法で、手描きの画像、アニメーション、グラフィックを作成することができます。<br />
<br />
ほとんどのグラフィックタブレットは、Arch Linux でそのまま動作します。ボタンのリマップやタブレットのアスペクト比の調整など、特定の追加機能には追加の設定が必要です。この記事では、[[Xorg]] でタブレットを設定する方法を説明します。[[Wayland]] での設定については、[[#Wayland と libinput]] を参照してください。<br />
<br />
== インストール ==<br />
<br />
Arch Linux [[カーネル]] には、[https://linuxwacom.github.io linux-wacom] および [https://digimend.github.io DIGImend] プロジェクトによるドライバーが含まれています。linux-wacom は Wacom デバイスをサポートし、DIGImend は他のメーカーのデバイスをサポートします。どちらのプロジェクトも、サポートされているデバイスのリストを公開しています: [https://github.com/linuxwacom/input-wacom/wiki/Device-IDs linux-wacom]、[https://digimend.github.io/tablets/DIGImend] USB または [[Bluetooth]] 経由でタブレットを接続した後、root として {{ic|dmesg}} を実行すると表示され、{{ic|/proc/bus/input/devices}} にリストされます。USB デバイスの場合、{{Pkg|usbutils}} の {{ic|lsusb}} コマンドでもタブレットが表示されます。タブレットが表示されない場合、または特定の機能が動作しない場合は、[[#デバイスがカーネルに認識されない]] を参照してください。<br />
<br />
{{Pkg|xf86-input-wacom}} を [[インストール]] します。Xorg ドライバです。Wacom デバイスを接続すると、同梱の {{ic|/usr/share/X11/xorg.conf.d/70-wacom.conf}} ファイルが自動的に {{Man|4|wacom}} ドライバを読み込むので、追加の設定は必要ありません。デバイスが他のメーカーのものである場合、手動で [[Xorg#Configuration|configure]] を行う必要があります。Xorg を ''wacom'' ドライバで使うようにし、''xsetwacom'' を使って設定できるようにします。ここで {{ic|VID:PID}} は {{ic|lsusb}} から見たあなたの USB ID です:<br />
<br />
{{hc|/etc/X11/xorg.conf.d/10-tablet.conf|<br />
Section "InputClass"<br />
Identifier "Tablet"<br />
Driver "wacom"<br />
MatchDevicePath "/dev/input/event*"<br />
MatchUSBID "''VID:PID''"<br />
EndSection<br />
}}<br />
<br />
{{Tip|Wacom 以外のいくつかのデバイスをカバーするサンプル設定ファイルは、DIGImend プロジェクトによって提供されています [https://github.com/DIGImend/digimend-kernel-drivers/blob/master/xorg.conf こちら]}}<br />
<br />
X を再起動した後、{{ic|xsetwacom list devices}} コマンドを実行すると、いくつかのデバイスが一覧表示されるはずです。そうでない場合は、[[#手動設定]] を参照してください。<br />
<br />
=== ユーティリティ ===<br />
<br />
* {{Pkg|wacomtablet}} は KDE [[KDE#KCM|構成モジュール]] で、ボタンの再マッピングとタブレットのモニターへのマッピングを可能にします。また、タブレット固有のプロファイルとホットプラグもサポートしています。 ''wacom'' Xorg ドライバーが必要なため、Wayland では動作しません。<br />
* [https://gist.github.com/tom-galvin/6c19fe907945d735c045 mapwacom] は、[[#画面領域幅の縮小]] 方式でアスペクト比を保ったままタブレットをモニターにマッピングすることを自動化するスクリプトです。<br />
* [https://gist.github.com/Konfekt/d57567b84b264e37e62bd5c001e76457 wacom2monitor.sh] は、[[#タブレットをモニタにマッピング]] メソッドを使用してすべての Wacom デバイスをマッピングし、利用可能な出力間のサイクルを可能にするスクリプトです。[[Xbindkeys]] や [[sxhkd]] を使って起動するように設計されています。<br />
<br />
* {{AUR|ptxconf-git}} はタブレットをモニタにマッピングするための [[GTK]]2 GUIです。タブレットの座標変換行列を ''xinput'' で変更することで動作するので、使用する Xorg ドライバに関係なく動作します (''wacom'' または ''libinput'' のどちらか))<br />
<br />
=== 代替ドライバー ===<br />
<br />
* Bamboo Spark や Bamboo Slate などのワコムのスマートパッドから図面をダウンロードすることができるアプリケーションです。<br />
* {{AUR|huiontablet}} は [https://www.huion.com/ Huion] の公式でプロプライエタリな Linux ドライバです。<br />
* {{AUR|xp-pen-tablet}} は、[https://www.xp-pen.com/ XP-Pen] の公式プロプライエタリな Linux ドライバです。<br />
* {{AUR|opentabletdriver}} は、いくつかの異なるタブレットモデル用のクロスプラットフォームユーザースペースドライバです。より詳しい情報は [https://opentabletdriver.net/ プロジェクトのウェブサイト] で見ることができます。<br />
<br />
=== Weylus ===<br />
<br />
[https://github.com/H-M-H/Weylus Weylus] は、スマートフォンやタブレットをコンピュータ上でグラフィックタブレットとして使用できるようにするプロジェクトです。{{Aur|weylus}} または {{Aur|weylus-bin}} として提供されています。<br />
<br />
== 設定 ==<br />
<br />
=== 全体的な概念 ===<br />
<br />
設定方法は2つあり、一時的な設定には ''xf86-input-wacom'' に含まれている `xsetwacom` ツールを使い、永続的な設定には {{ic|xorg.conf}} もしくは {{ic|/etc/X11/xorg.conf.d}} 内のファイルを使います。<br />
利用できるオプションは同じため、まずは `xsetwacom` を使ってテストし、それから最終的な設定を ''Xorg'' の設定ファイルに追加するのを推奨します。<br />
<br />
==== 一時的な設定 ====<br />
<br />
初めにデフォルトの設定と利用できるオプションを全て確認すると良いでしょう。以下のコマンドを使います。<br />
<br />
$ xsetwacom --list devices # get/set コマンドで利用できるデバイスを一覧します<br />
Wacom Bamboo 16FG 4x5 Finger touch id: 12 type: TOUCH<br />
Wacom Bamboo 16FG 4x5 Finger pad id: 13 type: PAD <br />
Wacom Bamboo 16FG 4x5 Pen stylus id: 17 type: STYLUS <br />
Wacom Bamboo 16FG 4x5 Pen eraser id: 18 type: ERASER<br />
$ xsetwacom --get "Wacom Bamboo 16FG 4x5" all # デバイスの名前を使います<br />
$ xsetwacom --get 17 all # もしくはデバイス id を使います<br />
$ xsetwacom --list parameters # オプションの説明を表示します<br />
$ man wacom # さらに詳しい説明を表示します<br />
<br />
{{Note|オプションを設定するシェルスクリプトを書くときにデバイス id を使ってはいけません。ホットプラグで id が変わることがあるからです。}}<br />
<br />
オプションは {{ic|--set}} フラグを使って変更できます。例えば:<br />
<br />
$ xsetwacom --set "Wacom Bamboo 16FG 4x5 Finger touch" ScrollDistance 50 # スクロールの速度を変更します<br />
$ xsetwacom --set "Wacom Bamboo 16FG 4x5 Finger touch" Gesture off # マルチタッチジェスチャーを無効にします<br />
$ xsetwacom --set "Wacom Bamboo 16FG 4x5 Finger touch" Touch off # タッチを無効にします<br />
<br />
詳しい設定については下の [[#特定の設定のヒント]] を見て下さい。<br />
{{Note|<br />
* タブレットを一旦切断してからもう一度接続することでいつでも一時的な設定をリセットできます。<br />
* xsetwacom によって動的にしか設定できないオプションも存在します。そのような場合、デバイスが接続されたときにスクリプトを実行することで xsetwacom を呼び出してデバイスを設定できます。詳しくは [https://unix.stackexchange.com/a/290940/89955] を参照。}}<br />
<br />
==== 永続的な設定 ====<br />
<br />
''Xorg'' 1.8 以上で永続的な設定をするときは {{ic|/etc/X11/xorg.conf.d}} に新しいファイルを作成するのが推奨されています (例: {{ic|52-wacom-options.conf}})。<br />
<br />
{{hc|/etc/X11/xorg.conf.d/52-wacom-options.conf|<br />
Section "InputClass"<br />
Identifier "Wacom Bamboo stylus options"<br />
MatchDriver "wacom"<br />
MatchProduct "Pen"<br />
<br />
# Apply custom Options to this device below.<br />
Option "Rotate" "none"<br />
Option "RawSample" "20"<br />
Option "PressCurve" "0,10,90,100"<br />
EndSection<br />
<br />
Section "InputClass"<br />
Identifier "Wacom Bamboo eraser options"<br />
MatchDriver "wacom"<br />
MatchProduct "eraser"<br />
<br />
# Apply custom Options to this device below.<br />
Option "Rotate" "none"<br />
Option "RawSample" "20"<br />
Option "PressCurve" "5,0,100,95"<br />
EndSection<br />
<br />
Section "InputClass"<br />
Identifier "Wacom Bamboo touch options"<br />
MatchDriver "wacom"<br />
MatchProduct "Finger"<br />
<br />
# Apply custom Options to this device below.<br />
Option "Rotate" "none"<br />
Option "ScrollDistance" "18"<br />
Option "TapTime" "220"<br />
EndSection<br />
<br />
Section "InputClass"<br />
Identifier "Wacom Bamboo pad options"<br />
MatchDriver "wacom"<br />
MatchProduct "pad"<br />
<br />
# Apply custom Options to this device below.<br />
Option "Rotate" "none"<br />
<br />
# Setting up buttons<br />
Option "Button1" "1"<br />
Option "Button2" "2"<br />
Option "Button3" "3"<br />
Option "Button4" "0"<br />
EndSection<br />
}}<br />
<br />
identifier は自由に設定することができます。オプションの名前は {{ic|xsetwacom --list parameters}} で表示されるものや {{ic|man wacom}} で説明されているものと (ボタンを除いて) 同じです。[[#ボタンの再マッピング]] で説明しているとおり、ボタンの id は {{ic|xsetwacom}} のものと異なるようです。<br />
<br />
==== 向きを変更する ====<br />
<br />
タブレットを異なる向きで使いたいときはドライバーに向きの設定をする必要があります。そうしないと動きがおかしなことになってしまいます。<br />
全てのデバイスに '''Rotate''' オプションを設定することで向きを変更できます。利用できる方向は '''none''','''cw''','''ccw''', '''half''' です。<br />
例えば:<br />
$ for i in 12 13 17 18; do xsetwacom --set $i Rotate half; done # remember the ids might change when hotplugging<br />
<br />
もしくは {{ic|./wacomrot.sh half}} のように以下のスクリプトを使って下さい:<br />
<br />
{{hc|1=wacomrot.sh|2=<br />
#!/bin/bash<br />
device="Wacom Bamboo 16FG 4x5"<br />
stylus="$device Pen stylus"<br />
eraser="$device Pen eraser"<br />
touch="$device Finger touch"<br />
pad="$device Finger pad"<br />
<br />
xsetwacom --set "$stylus" Rotate $1<br />
xsetwacom --set "$eraser" Rotate $1<br />
xsetwacom --set "$touch" Rotate $1<br />
xsetwacom --set "$pad" Rotate $1<br />
}}<br />
<br />
==== ボタンの再マッピング ====<br />
<br />
ボタンとホットキーのマッピングを変更することが可能です。<br />
<br />
{{Tip|[http://planetedessonges.org:8010/wakey/ xsetwacom 用のシンプルなウェブベースの GUI] が存在します。現在サポートされているのは ''bamboo small'' ですが、他のモデルもサポートされる可能性があります。}}<br />
<br />
===== ボタン ID を見つけ出す =====<br />
場合によって適切なボタン ID を見つけるために試行錯誤が必要です。例えばボタン ID が {{ic|xsetwacom}} や {{ic|xorg.conf}} の設定と異なることがあります。そういう場合 {{ic|xev}} や {{ic|xbindkeys -mk}} などのツールがとても役に立ちます。一時的にキーストロークをタブレットのボタンに割り当てるには:<br />
<br />
$ xsetwacom --set "Wacom Bamboo 16FG 4x5 Finger pad" Button 1 'key a'<br />
$ xsetwacom --set "Wacom Bamboo 16FG 4x5 Finger pad" Button 2 'key b'<br />
$ xsetwacom --set "Wacom Bamboo 16FG 4x5 Finger pad" Button 3 'key c'<br />
$ # and so on<br />
<br />
ターミナルウィンドウから {{ic|xev}} を立ち上げ、ウィンドウ上にマウスカーソルを移動してボタンを押すと id が書き出されます:<br />
<br />
$ xev | grep KeyPress -A 5<br />
<br />
===== 構文 =====<br />
<br />
{{ic|xsetwacom}} の構文は柔軟性がありますが、あまりドキュメントがまとまっていません。xsetwacom 0.17.0 の一般的なマッピングの構文は以下の通りです (ソースコードより)。<br />
<br />
KEYWORD [ARGS...] [KEYWORD [ARGS...] ...]<br />
<br />
KEYWORD + ARGS:<br />
key [+,-]KEY [[+,-]KEY ...] where +:key down, -:key up, no prefix:down and up<br />
button BUTTON [BUTTON ...] (1=left,2=middle,3=right mouse button, 4/5 scroll mouse wheel)<br />
modetoggle toggle absolute/relative tablet mode <br />
displaytoggle toggle cursor movement among all displays which include individual screens<br />
plus the whole desktop for the selected tool if it is not a pad.<br />
When the tool is a pad, the function applies to all tools that are asssociated<br />
with the tablet<br />
<br />
BUTTON: button ID as integer number<br />
<br />
KEY: MODIFIER, SPECIALKEY or ASCIIKEY<br />
MODIFIER: (each can be prefix with an '''l''' or an '''r''' for the left/right modifier (no prefix = left)<br />
ctrl=ctl=control, meta, alt, shift, super, hyper<br />
SPECIALKEY: f1-f35, esc=Esc, up,down,left,right, backspace=Backspace, tab, PgUp,PgDn<br />
ASCIIKEY: (usual characters the key produces, e.g. a,b,c,1,2,3 etc.)<br />
<br />
===== サンプル =====<br />
<br />
$ xsetwacom --set "Wacom Bamboo 16FG 4x5 Finger pad" Button 1 3 # 右マウスボタン<br />
$ xsetwacom --set "Wacom Bamboo 16FG 4x5 Finger pad" Button 1 "key +ctrl z -ctrl"<br />
$ xsetwacom --get "Wacom Bamboo 16FG 4x5 Finger pad" Button 1<br />
key +Control_L +z -z -Control_L<br />
$ xsetwacom --set "Wacom Bamboo 16FG 4x5 Finger pad" Button 1 "key +shift button 1 key -shift"<br />
<br />
マクロを使うこともできます:<br />
<br />
$ xsetwacom --set "Wacom Bamboo 16FG 4x5 Finger pad" Button 1 "key +shift h -shift e l l o"<br />
<br />
{{Note|''xf86-input-wacom'' ドライバーのバージョン 0.17.0 にはバグが存在し、''Wacom Bamboo Pen & Touch'' などで、キーストロークが正しく上書きされないことがあります:<br />
$ xsetwacom --set "Wacom Bamboo 16FG 4x5 Finger pad" Button 1 "key a b c" # press button 1 -> abc<br />
$ xsetwacom --set "Wacom Bamboo 16FG 4x5 Finger pad" Button 1 "key d" # press button 1 -> dbc WRONG!<br />
<br />
マッピングを "" に設定してリセットすることで解決できます:<br />
$ xsetwacom --set "Wacom Bamboo 16FG 4x5 Finger pad" Button 1 "" # to reset the mapping<br />
$ xsetwacom --set "Wacom Bamboo 16FG 4x5 Finger pad" Button 1 "key d" # press button 1 -> d<br />
<br />
}}<br />
<br />
{{Note|udev ルールから {{ic|xsetwacom}} コマンドでスクリプトを実行しても動作しません。この時点では wacom のインプットデバイスの準備ができていないからです。スクリプトの冒頭に {{ic|sleep 1}} を追加することで問題を回避できます。}}<br />
<br />
===== カスタムコマンドの実行 =====<br />
<br />
ボタンにカスタムコマンドをマップするのは少々厄介ですが実際はとてもシンプルです。{{Pkg|xbindkeys}} が必要になるので次のコマンドでインストールしてください:<br />
# pacman -S xbindkeys<br />
<br />
ボタンのコードを定義するには、以下を永続的な設定ファイルに追加してください (例: {{ic|/etc/X11/xorg.conf.d/52-wacom-options.conf}} の '''pad''' デバイスの InputClass セクション)。タブレットのボタンを使用していないボタンの id にマップします:<br />
<br />
# Setting up buttons (preferably choose the correct button order, so the topmost key is mapped to 10 and so on)<br />
Option "Button1" "10"<br />
Option "Button2" "11"<br />
Option "Button3" "12"<br />
Option "Button4" "13"<br />
<br />
そして ''Xorg'' サーバーを再起動して {{ic|xev}} や {{ic|xbindkeys -mk}} でボタンを確認してください。<br />
<br />
それから xbindkeys の設定を行います。デフォルトの設定ファイルが存在しない場合は作成すると良いでしょう:<br />
$ xbindkeys --defaults > ~/.xbindkeysrc<br />
<br />
それからカスタムキーマップを {{ic|~/.xbindkeysrc}} に追加してください。例:<br />
<br />
"firefox"<br />
m:0x10 + b:10 (mouse)<br />
"xterm"<br />
m:0x10 + b:11 (mouse)<br />
"xdotool key ctrl-z"<br />
m:0x10 + b:12 (mouse)<br />
"send-notify Test "No need for escaping the quotes""<br />
m:0x10 + b:13 (mouse)<br />
<br />
==== LED ====<br />
<br />
[https://www.kernel.org/doc/Documentation/ABI/testing/sysfs-driver-wacom sysfs-driver-wacom] ドキュメントを見て下さい。root 権限なしで変更できるようにするには以下のような [[udev]] ルールを作成します:<br />
{{hc|/etc/udev/rules.d/99-wacom.rules|<nowiki><br />
# Give the users group permissions to set Wacom device LEDs.<br />
ACTION=="add", SUBSYSTEM=="hid", DRIVERS=="wacom", RUN+="/usr/bin/sh -c 'chown :users /sys/%p/wacom_led/*'"<br />
</nowiki>}}<br />
<br />
Intuos の OLED は AUR の {{AUR|i4oled}} を使って設定できます。<br />
<br />
==== TwinView セットアップ ====<br />
<br />
2つのモニターでタブレットを使用するとアスペクト比が不自然に感じられることがあります。これを修正するには {{ic|xorg.conf}} ファイルの全ての Wacom-InputDevice エントリに以下を追加してください:<br />
<br />
Option "TwinView" "horizontal"<br />
<br />
詳しくは [https://ubuntuforums.org/showthread.php?t=640898 こちら] を参照。<br />
<br />
===== TwinView の一時的なセットアップ =====<br />
アスペクト比を維持しつつ、一時的に Wacom デバイスをシングルディスプレイにマッピングしたい場合、[https://gist.github.com/Quackmatic/6c19fe907945d735c045 このスクリプト] を使うことができます。ディスプレイ上に入力が引き伸ばされないように、必要に応じてデバイスにレターボックスを設定します。{{ic|.xinitrc}} ファイルなどから自動的に実行させることも可能です。<br />
<br />
==== Xrandr の設定 ====<br />
xrandr は2つのモニターを1つの大きな画面として設定するので、仮想スクリーン全体にタブレットをマップするとアスペクト比が変形してしまいます。解決方法は次のスレッドを見て下さい: [https://bbs.archlinux.org/viewtopic.php?pid=797617 archlinux forum]。<br />
<br />
タブレットをディスプレイのどちらかにマッピングしたい場合、まずディスプレイの名前を確認してください:<br />
$ xrandr<br />
Screen 0: minimum 320 x 200, current 3840 x 1080, maximum 16384 x 16384<br />
'''HDMI-0''' disconnected (normal left inverted right x axis y axis)<br />
'''DVI-0''' connected 1920x1080+0+0 (normal left inverted right x axis y axis) 477mm x 268mm<br />
1920x1080 60.0*+<br />
1680x1050 60.0 <br />
...<br />
'''VGA-0''' connected 1920x1080+1920+0 (normal left inverted right x axis y axis) 477mm x 268mm<br />
1920x1080 60.0*+<br />
1680x1050 60.0 <br />
...<br />
そしてタブレットの ID を確認してください:<br />
$ xsetwacom --list devices<br />
WALTOP International Corp. Slim Tablet stylus id: '''12''' type: STYLUS<br />
<br />
例えばタブレット (ID: '''12''') を右側のディスプレイ ('''"VGA-0"''') にマッピングするには:<br />
$ xsetwacom --set '''12''' MapToOutput '''"VGA-0"'''<br />
上記のコマンドはすぐに適用されます。root は不要です。<br />
<br />
xsetwacom が "Unable to find an output ..." と返してくる場合、ディスプレイの識別子のかわりに '''WIDTHxHEIGHT+X+Y''' という形式で X11 のジオメトリを指定します。例:<br />
$ xsetwacom --set '''12''' MapToOutput '''"1920x1080+1920+0"'''<br />
上記のコマンドでタブレットが右のディスプレイにマップされるはずです。<br />
<br />
もしくは [https://bitbucket.org/denilsonsa/small_scripts/src/3380435f92646190f860b87f566a39d0e215034c/xsetwacom_my_preferences.sh?at=default bash スクリプト] を使用してタブレットを素早くマッピングしたりアスペクト比を修正することもできます。<br />
<br />
=== 筆圧曲線 ===<br />
<br />
[http://linuxwacom.sourceforge.net/misc/bezier.html Wacom Pressure Demo] を使って望ましい曲線の P1=red (例: 50,0), P2=purple (例: 100,80), Threshold=green (例: 27) を見つけてください。X 軸はあなたがペンにかける入力圧で、Y 軸はアプリケーションが感知する出力圧です ([http://250kb.de/u/150207/p/FoS1SiXuZQRP.png サンプル曲線])。<br />
<br />
以下のコマンドを使うことで、即座に値をデバイスでテストすることができます (例: "Wacom Intuos4 6x9 stylus"):<br />
<br />
$ xsetwacom --set "Wacom Intuos4 6x9 stylus" PressureCurve "50" "0" "100" "80"<br />
$ xsetwacom --set "Wacom Intuos4 6x9 stylus" Threshold "27"<br />
<br />
満足のいく値が見つかったら以下のように {{ic|/etc/X11/xorg.conf}} で適用するか、スタートアップスクリプトで上のシェルコマンドを実行するようにします:<br />
{{hc|/etc/X11/xorg.conf|<br />
Option "PressCurve" "50,0,100,80" # Custom preference<br />
Option "Threshold" "27" # sensitivity to do a "click"<br />
}}<br />
<br />
=== 縦横比を保持 ===<br />
<br />
ワイドスクリーンディスプレイ (''16:9'') で Wacom のタブレットを使用する場合、入力が物理的な縦横比よりも横に長くなってしまうことが問題になります (例えばペンで円を描いてもコンピュータに表示されるのは楕円になります)。ペンタブの縦軸比がモニターと異なるためです。強制的に入力範囲をモニターのアスペクト比にあわせて入力面の下端を取り除くことで問題を解決できます。Windows ドライバーの設定にある "Force Proportions" オプションと同じです。タブレットからの入力をできるだけ正確になぞるために推奨される設定です。<br />
<br />
タブレットのデフォルト値を確認するには以下のコマンドを実行 ( "device name or ID" はスタイラスの名前に置き換えてください):<br />
$ xsetwacom --get "device name or ID" Area<br />
<br />
値を ''11.25'' で割ることでタブレットの解像度を弾き出すことができます (例: ''21600/11.25=1920'' と ''13500/11.25=1200'')。それからディスプレイの解像度である ''1920x1080'' (''16:9'') に変換して、''1080*11.25=12150'' を xsetwacom で新しく設定します:<br />
$ xsetwacom --set "device name or ID" Area 0 0 21600 12150<br />
<br />
xorg の設定ファイルでは以下のようにして同じ設定ができます:<br />
Option "BottomX" "21600"<br />
Option "BottomY" "12150"<br />
<br />
{{Note|自動的に設定を行う KeepShape オプションも存在しますが、必ずしも機能するとは限りません。}}<br />
<br />
=== kcm-wacomtablet を使う ===<br />
<br />
KDE の設定モジュール {{Pkg|kcm-wacomtablet}} (もしくは Plasma 5 を使っている場合、{{AUR|kcm-wacomtablet-frameworks-git}}{{Broken package link|パッケージが存在しません}}) を使うことでグラフィカルなユーザーインターフェイスでタブレットの簡単な設定を行うことができます。プロファイルを変更したりホットプラグの適切なサポートができます。タブレットのタイプが自動で検出され、タブレットが接続されたときに自動で設定プロファイルがロードされます。<br />
<br />
== 特定のアプリケーションの設定 ==<br />
<br />
=== Blender ===<br />
<br />
Blender でパッドのボタンやペンのボタンを有効にするには、xsetwacom のラッパーを作成して、Blender が起動している間だけ一時的にボタンをリマップします。<br />
<br />
'''Sculpt''' モードに適合させた例 (Bamboo Fun の場合): [http://pastebin.archlinux.fr/1887946 blender_sculpt.sh]<br />
<br />
*左のタブレットボタンを '''Shift''' と '''Control''' ''(pan/tilt/zoom/smooth/invert)'' にマップ<br />
*右のタブレットボタンを '''F''' ''(brush size/strenght)'' と '''Control-z''' ''(undo)'' にマップ<br />
*上のペンのボタンを '''m''' ''(mask control)'' にマップ<br />
<br />
=== GIMP ===<br />
<br />
[[GIMP]] で適切な使用法や、筆圧感知を有効にするには ''設定 &rarr; 入力デバイス &rarr; 追加された入力デバイスの設定...'' を見て下さい。''eraser'', ''stylus'', ''cursor'' の各デバイスの''モード''を''スクリーン''に設定して保存してください。<br />
<br />
*GIMP は ''pad'' ''device'' をサポートしていないので、存在する場合、無効にするようにしてください。もしくは、機能を使いたい場合 [http://hem.bredband.net/devel/wacom/ Wacom ExpressKeys] などのプログラムを使ってキーボードのコマンドにマッピングしてください。<br />
<br />
*''stylus'' で選択されたツールは ''eraser'' のツールとは独立していることに注意してください。これはかなり便利に使うことができます。''eraser'' を自由なツールに設定できるからです。<br />
<br />
詳しくは [http://www.gimptalk.com/forum/topic.php?t=17992&start=1 GIMP Talk - Community - Install Guide: Getting Wacom Drawing Tablets To Work In Gimp] の ''Setting up GIMP'' セクションを参照してください。<br />
<br />
上記の設定で不満の場合、{{ic|xinput create-master}} と {{ic|xinput reattach}} コマンドを使ってタブレットの stylus (と eraser) を2番目のマウスポインタとして設定してみてください。スタイラスペンでタブレットに触っても GIMP で絵を描けない場合に役立ちます。<br />
<br />
=== Inkscape ===<br />
<br />
GIMP と同じように、''ファイル &rarr; 入力デバイス...'' を見て下さい。''eraser'', ''stylus'', ''cursor'' の各デバイスの''モード''を''スクリーン''に設定して保存してください。<br />
<br />
=== Krita ===<br />
<br />
Krita でタブレットを使って絵を描けない場合 (クリックや筆圧が反映されない)、ブラシ選択ダイアログの小さなスクラッチパッドは使えるときは、Krita をフルスクリーンまたはキャンバスオンリーモードにしてみてください。<br />
<br />
Krita ではタブレットを使うために Qt を正しく設定する必要があります。タブレットが Krita で動作しない場合、まず Qt でタブレットがちゃんと動作するか確認してください。タブレットの筆圧の効果は painttop 設定で調整することができます。例えば透明度や筆圧、カーブなどを設定できます。<br />
<br />
=== VirtualBox ===<br />
<br />
まず、Arch でタブレットが問題なく動作しているか確認してください。それから、[http://www.wacom.com/downloads/drivers.php Wacom のウェブサイト] からゲスト OS の最新ドライバーをダウンロード・インストールしてください。仮想マシンをシャットダウンして、''Settings > USB'' を開いて下さい。''Add Filter From Device'' を選択してあなたの使っているタブレットを選びます (例: WACOM CTE-440-U V4.0-3 [0403])。''Edit Filter'' を選択して、最後のアイテム ''Remote'' を ''Any'' に変更してください。<br />
<br />
=== ウェブブラウザのプラグイン ===<br />
<br />
公式の Wacom ウェブプラグインと同じような機能を提供するプラグインが AUR に {{AUR|wacomwebplugin}}{{Broken package link|{{aur-mirror|wacomwebplugin}}}} としてあります。Chromium と Firefox で動くことが確認されています。<br />
<br />
このプラグインを使うことで [http://sta.sh/muro/ deviantART の Muro] といったオンラインツールを利用することが可能です。プラグインの開発はまだ初期段階なので、上手く動くか保証はできません。<br />
<br />
== Wayland と libinput ==<br />
<br />
[[Wayland]] を使用している場合、グラフィックタブレットは [[libinput]] によって処理されます。このシナリオでは、''xsetwacom'' による設定はできません。[[デスクトップ環境]] または Wayland [[Wayland#Compositors|compositor]] で利用可能な設定を通じてのみ、タブレットを設定できます。<br />
<br />
* [[GNOME]] は、ボタンの設定とタブレットのモニターへのマッピングを完全にサポートしています。 [https://help.gnome.org/users/gnome-help/stable/wacom.html.en]<br />
* [[KDE Plasma]] は、ボタンの構成とタブレットのモニターへのマッピングを完全にサポートしています。 [https://invent.kde.org/plasma/plasma-desktop/-/merge_requests/677] [https://invent.kde.org/plasma/plasma-desktop/-/merge_requests/1116]<br />
* [[Sway]] は、タブレットのモニターまたは領域へのマッピングのみをサポートします。[[#Sway]] および {{Man|5|sway-input|MAPPING CONFIGURATION}} を参照してください。<br />
<br />
{{Tip|<br />
* libinput または Wayland を使用している場合、特定の [[入力リマップユーティリティ]] を使用してタブレットボタンをリマップできます。<br />
* Wayland 環境にタブレットオプションがない場合は、OpenTabletDriver を使用することもできます。[[#代替ドライバー]] を参照してください。}}<br />
<br />
=== Sway ===<br />
<br />
==== 出力へのマップ ====<br />
<br />
これは、[[#タブレットをモニターにマッピングする]] と同じ効果があり、タブレットのアスペクト比が出力と正確に一致しないことを意味します。<br />
<br />
次の行を sway 構成ファイルに追加します。<br />
<br />
{{hc|~/.config/sway/config|<br />
input ''Identifier'' map_to_output ''Display-Name''<br />
}}<br />
<br />
ここで、''Identifier'' は、{{ic|swaymsg -t get_inputs}} によって読み取られるタブレットの識別子です。<br />
<br />
{{hc|$ swaymsg -t get_inputs|<br />
Input device: Wacom One by Wacom S Pen<br />
Type: Tablet tool<br />
Identifier: '''1386:890:Wacom_One_by_Wacom_S_Pen'''<br />
Product ID: 890<br />
Vendor ID: 1386<br />
Libinput Send Events: enabled<br />
...<br />
}}<br />
<br />
{{Tip|接続するタブレットにこのマッピングを適用する場合は、デバイス識別子の代わりに {{ic|type:tablet_pad}} と {{ic|type:tablet_tool}} を使用します。}}<br />
<br />
''Display-Name'' は、{{ic|swaymsg -t get_outputs}} によって読み取られる出力の識別子です。<br />
<br />
{{hc|$ swaymsg -t get_outputs|<br />
Output '''HDMI-A-1''' 'Samsung Electric Company ...'<br />
Current mode: 1920x1080 @ 60.000 Hz<br />
Position: 0,0<br />
Scale factor: 1.000000<br />
Scale filter: nearest<br />
...<br />
}}<br />
<br />
==== 出力領域へのマップ ====<br />
<br />
[[#画面領域の幅を狭くする]] と同じ効果があります。まず、タブレットのアクティブ領域を把握する必要があります。:<br />
<br />
{{bc|<br />
# libinput debug-tablet<br />
}}<br />
<br />
タブレットのスタイラスを右下隅に移動して最大の ''ABS_X'' および ''ABS_Y'' 値を取得してから、sway 構成に次の行を追加します。<br />
<br />
{{hc|~/.config/sway/config|<br />
input ''Identifier'' map_to_region ''X'' ''Y'' ''width'' ''output_height''<br />
}}<br />
<br />
''width'' は ''output_height * (ABS_X / ABS_Y)'' で計算され、X と Y は領域の開始座標です。<br />
<br />
たとえば、1920x1080 のモニターが 2 台並んでいて、タブレットを右端のモニターの領域にマップする場合は、次の行を使用します。<br />
<br />
{{hc|~/.config/sway/config|<br />
input ''Identifier'' map_to_region 1920 0 ''width'' 1080<br />
}}<br />
<br />
==トラブルシューティング==<br />
<br />
=== Device not recognized by the kernel ===<br />
<br />
Some tablets may be too recent to be supported by your current kernel. On Wacom devices, this is represented by a "Unknown device_type" message in your ''dmesg'' output. In this scenario, it is possible that the out-of-tree version of the drivers have support for your tablet before it is upstreamed to the kernel.<br />
<br />
[[Install]] {{AUR|input-wacom-dkms-git}} if you have a Wacom tablet, or {{AUR|digimend-kernel-drivers-dkms-git}} if you have a tablet from another manufacturer.<br />
<br />
=== Tablet recognized but xsetwacom and similar tools do not display it ===<br />
<br />
Your logs indicate that the correct driver is selected, and the tablet works. However, when running {{ic|xsetwacom list devices}} or use similar tools that depend on the correct driver, you get an empty list.<br />
<br />
A reason might be the execution order of your xorg configuration. {{ic|/usr/share/X11/xorg.conf.d}} gets executed first, then {{ic|/etc/X11/xorg.conf.d}}. The package {{pkg|xf86-input-wacom}} contains the file {{ic|/usr/share/X11/xorg.conf.d/70-wacom.conf}}. If there is a catchall for tablets, executed after this file, the previously selected {{ic|wacom}} driver will be overwritten with a generic one that does not work with xsetwacom et. al.<br />
<br />
To make sure, check the rules contained in the files executed after {{ic|/usr/share/X11/xorg.conf.d/70-wacom.conf}} for anything that looks like graphics tablets.<br />
<br />
=== Manual setup ===<br />
<br />
A manual configuration is done in {{ic|/etc/X11/xorg.conf}} or in a separate file in the {{ic|/etc/X11/xorg.conf.d/}} directory. The Wacom tablet device is accessed using an input event interface in {{ic|/dev/input/}} which is provided by the kernel driver. The interface number {{ic|event??}} is likely to change when unplugging and replugging into the same or especially a different ''USB'' port. Therefore it is wise to not refer to the device using its concrete {{ic|event??}} interface ('''static''' configuration) but by letting ''udev'' dynamically create a symbolic link to the correct {{ic|event}} file ('''dynamic''' configuration).<br />
<br />
==== USB-devices ====<br />
<br />
After (re-)plugging in your ''USB''-tablet (or at least after rebooting) some symbolic links should appear in {{ic|/dev/input}} referring to your tablet device.<br />
<br />
{{hc|$ ls /dev/input/wacom*|<br />
/dev/input/wacom /dev/input/wacom-stylus /dev/input/wacom-touch<br />
}}<br />
<br />
If not, your device is likely to be not yet included in the ''udev'' configuration from ''wacom-udev'' which resides in {{ic|/usr/lib/udev/rules.d/wacom.rules}}. Copy the file to {{ic|/etc/udev/rules.d/wacom.rules}} and modify it there.<br />
<br />
Add your device to the file by duplicating some line of another device and adapting ''idVendor'',''idProduct'' and the symlink name to your device.<br />
The two id's can be determined using<br />
<br />
{{hc|$ lsusb {{!}} grep -i wacom|<br />
Bus 002 Device 007: ID 056a:0062 Wacom Co., Ltd<br />
}}<br />
<br />
In this example idVendor is 056a and idProduct 0062. In case you have device with touch (e.g. Bamboo Pen&Touch) you might need to add a second line for the touch input interface. For details check the linuxwacom wiki [https://github.com/linuxwacom/input-wacom/wiki/Fixed-device-files-with-udev Fixed device files with udev].<br />
<br />
Save the file and reload udev's configuration profile using the command ''udevadm control --reload-rules'' Check again the content of ''/dev/input'' to make sure that the ''wacom'' symlinks appeared. Note that you may need to plug-in the tablet again for the device to appear.<br />
<br />
The files of further interest for the ''Xorg'' configuration are {{ic|/dev/input/wacom}} and for a touch-device also {{ic|/dev/input/wacom_touch}}.<br />
<br />
==== Static setup ====<br />
<br />
Usually it is recommended to rely on [[Xorg]]'s auto-detection or to use a '''dynamic''' setup. However for an ''internal'' tablet device one might consider a '''static''' Xorg setup in case autodetection does not work. A static [[Xorg]] setup is usually not able to recognize your Wacom tablet when it is connected to a different ''USB'' port or even after unplugging and replugging it into the same port, and as such it should be considered as deprecated.<br />
<br />
If you insist in using a static setup just refer to your tablet in the ''Xorg'' configuration in the next section using the correct {{ic|/dev/input/event??}} files as one can find out by looking into {{ic|/proc/bus/input/devices}}.<br />
<br />
==== Xorg configuration ====<br />
<br />
In either case, dynamic or static setup you got now one or two files in {{ic|/dev/input/}} which refer to the correct input event devices of your tablet. All that is left to do is add the relevant information to {{ic|/etc/X11/xorg.conf}}, or a dedicated file under {{ic|/etc/X11/xorg.conf.d/}}. The exact configuration depends on your tablet's features of course. {{ic|xsetwacom list devices}} might give helpful information on what ''InputDevice'' sections are needed for your tablet.<br />
<br />
An example configuration for a ''Volito2'' might look like this<br />
<br />
Section "InputDevice"<br />
Driver "wacom"<br />
Identifier "stylus"<br />
Option "Device" "/dev/input/wacom" # or the corresponding event?? for a static setup<br />
Option "Type" "stylus"<br />
Option "USB" "on" # USB ONLY<br />
Option "Mode" "Relative" # other option: "Absolute"<br />
Option "Vendor" "WACOM"<br />
Option "tilt" "on" # add this if your tablet supports tilt<br />
Option "Threshold" "5" # the official linuxwacom howto advises this line<br />
EndSection<br />
Section "InputDevice"<br />
Driver "wacom"<br />
Identifier "eraser"<br />
Option "Device" "/dev/input/wacom" # or the corresponding event?? for a static setup<br />
Option "Type" "eraser"<br />
Option "USB" "on" # USB ONLY<br />
Option "Mode" "Relative" # other option: "Absolute"<br />
Option "Vendor" "WACOM"<br />
Option "tilt" "on" # add this if your tablet supports tilt<br />
Option "Threshold" "5" # the official linuxwacom howto advises this line<br />
EndSection<br />
Section "InputDevice"<br />
Driver "wacom"<br />
Identifier "cursor"<br />
Option "Device" "/dev/input/wacom" # or the corresponding event?? for a static setup<br />
Option "Type" "cursor"<br />
Option "USB" "on" # USB ONLY<br />
Option "Mode" "Relative" # other option: "Absolute"<br />
Option "Vendor" "WACOM"<br />
EndSection<br />
<br />
Make sure that you also change the path ({{Ic|"Device"}}) to your mouse, as it will be {{Ic|/dev/input/mouse_udev}} now.<br />
<br />
Section "InputDevice"<br />
Identifier "Mouse1"<br />
Driver "mouse"<br />
Option "CorePointer"<br />
Option "Device" "/dev/input/mouse_udev"<br />
Option "SendCoreEvents" "true"<br />
Option "Protocol" "IMPS/2"<br />
Option "ZAxisMapping" "4 5"<br />
Option "Buttons" "5"<br />
EndSection<br />
<br />
Add this to the ''ServerLayout'' section<br />
<br />
InputDevice "cursor" "SendCoreEvents" <br />
InputDevice "stylus" "SendCoreEvents"<br />
InputDevice "eraser" "SendCoreEvents"<br />
<br />
And finally make sure to update the identifier of your mouse in the ''ServerLayout'' section &ndash; as mine went from<br />
<br />
InputDevice "Mouse0" "CorePointer"<br />
<br />
to<br />
<br />
InputDevice "Mouse1" "CorePointer"<br />
<br />
=== Mouse moving erratically due to proximity sensor ===<br />
<br />
You can disable the mouse jumping due to a proximity sensor detecting a non-existing stylus. You can find your device with {{ic|xinput --list}}, and after spotting the stylus, disable it with:<br />
<br />
$ xinput disable ''device''<br />
<br />
This only works if you are not currently using a stylus.<br />
<br />
=== Touch arbitration not working on graphic tablets ===<br />
<br />
If you are using [[libinput]], graphic tablets that have a stylus and a touchscreen might not support [https://who-t.blogspot.com/2019/03/libinput-and-location-based-touch.html touch arbitration] out of the box because the devices are not grouped into the same libinput device group. You can fix this by writing [[udev]] rules. For example, if the touchscreen is recognized with {{ic|0001:000a}} and the Wacom tablet with {{Ic|0002:000b}}, you can create {{ic|/etc/udev/rules.d/80-touch-arbitration.rules}} as a rule that groups these devices into the group {{Ic|f865e87b}}:<br />
<br />
{{hc|/etc/udev/rules.d/80-touch-arbitration.rules|2=<br />
SUBSYSTEMS=="usb", ATTRS{idVendor}=="0001", ATTRS{idProduct}=="000a", ENV{LIBINPUT_DEVICE_GROUP}="f865e87b"<br />
SUBSYSTEMS=="usb", ATTRS{idVendor}=="0002", ATTRS{idProduct}=="000b", ENV{LIBINPUT_DEVICE_GROUP}="f865e87b"<br />
}}<br />
<br />
=== Reporting issues with non-Wacom tablets ===<br />
<br />
If you have a non-Wacom tablet that has missing features, you can [https://digimend.github.io/support/howto/trbl/diagnostics/ report a tablet test to DIGImend drivers authors] in order to include its functionalities into the driver. The DIGImend diagnostic tools are available on the AUR as {{AUR|uclogic-tools}}. You will also need the {{ic|lsusb}} and {{ic|usbhid-dump}} programs available in {{Pkg|usbutils}}.<br />
<br />
== 参照 ==<br />
*[https://sourceforge.net/apps/mediawiki/linuxwacom/index.php?title=Main_Page Linux Wacom Project Wiki]<br />
*[http://www.gimptalk.com/forum/topic.php?t=17992&start=1 GIMP Talk - Community - Install Guide: Getting Wacom Drawing Tablets To Work In Gimp]<br />
*[https://help.ubuntu.com/community/Wacom Ubuntu Help: Wacom]<br />
*[https://ubuntuforums.org/showthread.php?t=1038949 Ubuntu Forums - Install a LinuxWacom Kernel Driver for Tablet PC's]</div>
Hkiku482
https://wiki.archlinux.jp/index.php?title=WireGuard&diff=40013
WireGuard
2025-03-18T15:34:05Z
<p>Hkiku482: /* インストール */ 同期</p>
<hr />
<div>[[Category:仮想プライベートネットワーク]]<br />
[[en:WireGuard]]<br />
[[zh-hans:WireGuard]]<br />
{{Related articles start}}<br />
{{Related|Linux Containers で OpenVPN クライアント}}<br />
{{Related articles end}}<br />
[https://www.wireguard.com/ WireGuard] のホームページより:<br />
:Wireguard は最先端の暗号技術を使用する非常にシンプルで高速な VPN です。IPSec よりも高速・単純・軽量・有用であることを目指しており、面倒なことを避けています。OpenVPN と比べると高いパフォーマンスを発揮します。WireGuard は組み込みインターフェイスからスーパーコンピュータまで様々な環境に対応する汎用の VPN として設計されています。最初は Linux カーネル用にリリースされましたが、現在はクロスプラットフォーム(Windows、macOS、BSD、iOS、Android)であり、広く展開できます。<br />
<br />
この記事で使用されている主な概念の大まかな紹介は、[https://www.wireguard.com/ WireGuard] のプロジェクトホームページにあります。 WireGuard は、2019年後半から Linux カーネルに組み込まれています。<br />
<br />
== インストール ==<br />
<br />
ユーザースペースユーティリティの {{pkg|wireguard-tools}} パッケージを[[インストール]]してください。<br />
<br />
または、ピアキーが使用可能な場合、さまざまなネットワークマネージャーが WireGuard のサポートを提供します。詳細については、[[#設定の永続化]] を参照してください。<br />
<br />
=== グラフィカルクライアント ===<br />
<br />
* {{App|wireguird|Linux向けのWireGuard用GTK GUIクライアント。|https://github.com/UnnoTed/wireguird|{{AUR|wireguird}}}}<br />
<br />
=== コマンドラインツール ===<br />
<br />
* {{App|wg_tool|サーバーとユーザーの wireguard 設定を管理するツール。|https://github.com/gene-git/wg_tool|{{AUR|wg_tool}}}}<br />
* {{App|wg-client|コマンドラインとGUIの両方を備えたLinuxクライアント。|https://github.com/gene-git/wg-client|{{AUR|wg-client}}}}<br />
* {{App|wg2nd|{{man|8|wg-quick}}形式のWireGuard設定を[[systemd-networkd]]互換の設定に変換するツール。|https://git.flu0r1ne.net/wg2nd/about|{{AUR|wg2nd}}}}<br />
<br />
== 使用方法 ==<br />
<br />
ここでは以下の構成でピア間のトンネルを設定する方法を説明します:<br />
<br />
{| class="wikitable"<br />
! <br />
! Peer A<br />
! Peer B<br />
|----------------------------------------------------------<br />
| 外部 IP アドレス<br />
| 10.10.10.1/24<br />
| 10.10.10.2/24<br />
|----------------------------------------------------------<br />
| 内部 IP アドレス<br />
| 10.0.0.1/24<br />
| 10.0.0.2/24<br />
|----------------------------------------------------------<br />
| wireguard 使用ポート<br />
| UDP/48574<br />
| UDP/39814<br />
|}<br />
<br />
外部アドレスはあらかじめ用意してください。例えば、ピア A からピア B に {{ic|ping 10.10.10.2}} で ping が通るようにする必要があります。内部アドレスは {{ic|ip}} コマンドで作成する新しいアドレスで、WireGuard ネットワーク内で内部的に共有します。IP アドレスの {{ic|/24}} は [[wikipedia:Classless_Inter-Domain_Routing#CIDR_notation|CIDR]] です。<br />
<br />
==== 鍵の生成 ====<br />
<br />
{{Note|秘密鍵ファイルを保存するときは {{ic|600}} などのように厳しいパーミッションを使うことを推奨します。}}<br />
<br />
秘密鍵を作成するには:<br />
<br />
$ wg genkey > privatekey<br />
<br />
公開鍵を作成するには:<br />
<br />
$ wg pubkey < privatekey > publickey<br />
<br />
もしくは、秘密鍵と公開鍵を同時に作成するには:<br />
<br />
$ wg genkey | tee privatekey | wg pubkey > publickey<br />
<br />
量子コンピュータが実用化された場合を考慮して、既存の公開鍵暗号に対称鍵暗号のレイヤーを追加するために事前共有鍵を生成することもできます:<br />
<br />
# wg genpsk > preshared<br />
<br />
=== 手動設定 ===<br />
==== Peer A の設定 ====<br />
<br />
このピアでは UDP ポート 48574 を開いて内部・外部 IP アドレスと公開鍵を紐づけてピア B からの接続を許可します:<br />
<br />
# ip link add dev wg0 type wireguard<br />
# ip addr add 10.0.0.1/24 dev wg0<br />
# wg set wg0 listen-port 48574 private-key ./privatekey<br />
# wg set wg0 peer [Peer B public key] persistent-keepalive 25 allowed-ips 10.0.0.2/32 endpoint 10.10.10.2:39814<br />
# ip link set wg0 up<br />
<br />
{{ic|[Peer B public key]}} は {{ic|1=EsnHH9m6RthHSs+sd9uM6eCHe/mMVFaRh93GYadDDnM=}} という形式で指定してください。{{ic|allowed-ips}} はトラフィックの送信を許可するアドレスのリストを指定してください。{{ic|allowed-ips 0.0.0.0/0}} であらゆるアドレスにトラフィックを送信できるようになります。<br />
<br />
==== Peer B の設定 ====<br />
<br />
ピア A とほとんど同じですが、wireguard デーモンで使用するのは UDP ポート 39814 でピア A からの接続だけを許可します:<br />
<br />
# ip link add dev wg0 type wireguard<br />
# ip addr add 10.0.0.2/24 dev wg0<br />
# wg set wg0 listen-port 39814 private-key ./privatekey<br />
# wg set wg0 peer [Peer A public key] persistent-keepalive 25 allowed-ips 10.0.0.1/32 endpoint 10.10.10.1:48574<br />
# ip link set wg0 up<br />
<br />
=== 基本チェック ===<br />
パラメータを付けずに wg コマンドを呼び出すことで現在の設定を確認できます。<br />
<br />
例えば、ピア A で実行すると以下のように表示されます:<br />
<br />
peer-a$ wg<br />
interface: wg0<br />
public key: UguPyBThx/+xMXeTbRYkKlP0Wh/QZT3vTLPOVaaXTD8=<br />
private key: (hidden)<br />
listening port: 48574<br />
<br />
peer: 9jalV3EEBnVXahro0pRMQ+cHlmjE33Slo9tddzCVtCw=<br />
endpoint: 10.10.10.2:39814<br />
allowed ips: 10.0.0.2/32<br />
<br />
トンネルの末端にアクセスすることができるはずです:<br />
peer-a$ ping 10.0.0.2<br />
<br />
=== 設定の永続化 ===<br />
<br />
{{ic|showconf}} を使うことで設定を保存できます:<br />
# wg showconf wg0 > /etc/wireguard/wg0.conf<br />
# wg setconf wg0 /etc/wireguard/wg0.conf<br />
<br />
==== ピア設定例 ====<br />
<br />
{{hc|1=/etc/wireguard/wg0.conf|2=<br />
[Interface]<br />
Address = 10.0.0.1/32<br />
PrivateKey = [CLIENT PRIVATE KEY]<br />
MTU = 1420<br />
<br />
[Peer]<br />
PublicKey = [SERVER PUBLICKEY]<br />
AllowedIPs = 10.0.0.0/24, 10.123.45.0/24, 1234:4567:89ab::/48<br />
Endpoint = [SERVER ENDPOINT]:51820<br />
PersistentKeepalive = 25<br />
}}<br />
<br />
==== systemd-networkd の設定例 ====<br />
<br />
{{hc|1=/etc/systemd/network/30-wg0.netdev|2=<br />
[NetDev]<br />
Name = wg0<br />
Kind = wireguard<br />
Description = Wireguard<br />
<br />
[WireGuard]<br />
PrivateKey = [CLIENT PRIVATE KEY]<br />
<br />
[WireGuardPeer]<br />
PublicKey = [SERVER PUBLIC KEY]<br />
PresharedKey = [PRE SHARED KEY]<br />
AllowedIPs = 10.0.0.0/24<br />
Endpoint = [SERVER ENDPOINT]:51820<br />
PersistentKeepalive = 25<br />
}}<br />
<br />
{{hc|1=/etc/systemd/network/30-wg0.network|2=<br />
[Match]<br />
Name = wg0<br />
<br />
[Network]<br />
Address = 10.0.0.3/32<br />
DNS = 10.0.0.1<br />
<br />
[Route]<br />
Gateway = 10.0.0.1<br />
Destination = 10.0.0.0/24<br />
}}<br />
<br />
== 特定のユースケース: VPN サーバー ==<br />
<br />
このセクションでは [[OpenVPN]] などと同じように暗号化されたトンネルを使ってサーバー・ネットワークリソースにアクセスできるようにするため、WireGuard の「サーバー」と汎用的な「クライアント」を設定します。サーバーは Linux で稼働させますがクライアントのプラットフォームは複数選択できます (WireGuard プロジェクトは Linux ネイティブや macOS のソフトウェアに加えて iOS や Android プラットフォームのアプリも提供しています)。詳しくは公式プロジェクトの [https://www.wireguard.com/install/ インストールリンク] を見てください。<br />
<br />
=== サーバー ===<br />
サーバー側のマシンではまず IPv4 フォワーディングを有効にしてください:<br />
<br />
# sysctl net.ipv4.ip_forward=1<br />
<br />
変更を永続化するには {{ic|/etc/sysctl.d/99-sysctl.conf}} に {{ic|1=net.ipv4.ip_forward = 1}} を追加します。<br />
<br />
インターネットに接続する場合は[[ファイアウォール]]を設定することが推奨されます:<br />
* WireGuard が動作するポートの UDP トラフィックを許可してください (例えば 51820/udp のトラフィックを許可)。<br />
* WireGurad の設定 {{ic|/etc/wireguard/wg0.conf}} に転送ポリシーを記述しない場合はファイアウォールで転送ポリシーを設定してください。以下の例はそのまま動作します。<br />
<br />
最後に、WAN からアクセスできるようにするため WireGuard のポートをルーターからサーバーの LAN の IP に転送するようにする必要があります。<br />
<br />
=== 鍵の生成 ===<br />
サーバーとクライアントの鍵を[[#鍵の生成]]で説明しているように生成してください。<br />
<br />
=== サーバーの設定 ===<br />
サーバーの設定ファイルを作成:<br />
<br />
{{Note|''PresharedKey'' 行は任意です。使用する場合、事前共有鍵をサーバーとクライアントの設定ファイルで設定する必要があります。詳しくは wg の [[man ページ]]を参照してください。}}<br />
<br />
{{hc|1=/etc/wireguard/wg0.conf|2=<br />
[Interface]<br />
Address = 10.200.200.1/24<br />
SaveConfig = true<br />
ListenPort = 51820<br />
PrivateKey = [SERVER PRIVATE KEY]<br />
MTU = 1420<br />
<br />
# note - substitute ''eth0'' in the following lines to match the Internet-facing interface<br />
PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE<br />
PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE<br />
<br />
[Peer]<br />
# client foo<br />
PublicKey = [FOO's PUBLIC KEY]<br />
PresharedKey = [PRE-SHARED KEY]<br />
AllowedIPs = 10.200.200.2/32<br />
<br />
[Peer]<br />
# client bar<br />
PublicKey = [BAR's PUBLIC KEY]<br />
PresharedKey = [PRE-SHARED KEY]<br />
AllowedIPs = 10.200.200.3/32<br />
}}<br />
<br />
{{Note|必要に応じて同じような形式でピアを追加してください。}}<br />
<br />
インターフェイスは手動あるいは [[systemctl]] で制御できます。<br />
<br />
{{ic|wg-quick up wg0}} でインターフェイスが立ち上がり {{ic|wg-quick down wg0}} で終了します。<br />
<br />
systemctl で制御したい場合、{{ic|wg-quick@.service}} を[[起動]]・[[有効化]]してください。"@" 記号の後ろにサーバーの設定の名前を入力してください。例:<br />
# systemctl start wg-quick@wg0<br />
<br />
=== クライアントの設定 ===<br />
<br />
クライアントの設定ファイルを作成:<br />
<br />
{{hc|1=foo.conf|2=<br />
[Interface]<br />
Address = 10.200.200.2/24<br />
PrivateKey = [FOO's PRIVATE KEY]<br />
DNS = 10.200.200.1<br />
MTU = 1420<br />
<br />
[Peer]<br />
PublicKey = [SERVER PUBLICKEY]<br />
PresharedKey = [PRE-SHARED KEY]<br />
AllowedIPs = 0.0.0.0/0<br />
Endpoint = my.ddns.address.com:51820<br />
}}<br />
<br />
{{hc|1=bar.conf|2=<br />
[Interface]<br />
Address = 10.200.200.3/24<br />
PrivateKey = [BAR's PRIVATE KEY]<br />
DNS = 10.200.200.1<br />
MTU = 1420<br />
<br />
[Peer]<br />
PublicKey = [SERVER PUBLICKEY]<br />
PresharedKey = [PRE-SHARED KEY]<br />
AllowedIPs = 0.0.0.0/0<br />
Endpoint = my.ddns.address.com:51820<br />
}}<br />
<br />
{{Warning|1=設定ファイルを作るときは、公開・秘密鍵と ''Address ='' の値を適当に置き換えてください。}}<br />
<br />
クライアントがスマートフォンなどの場合、{{Pkg|qrencode}} を使って設定を共有することができます:<br />
$ qrencode -t ansiutf8 < foo.conf<br />
<br />
{{Note|[[NetworkManager]] を使用している場合、{{ic|NetworkManager-wait-online.service}} を、[[systemd-networkd]] を使用している場合、{{ic|systemd-networkd-wait-online.service}} を有効化することでネットワーク接続が有効になってからサービスが実行されるようになります。}}<br />
<br />
== トンネルのテスト ==<br />
<br />
トンネルが確立されたら、[[netcat]]を使ってトラフィックを送り、スループットや CPU 使用率などをテストすることができます。<br />
トンネルの片側で {{ic|nc}} を listen モードで実行し、もう片側で {{ic|/dev/zero}} から送信モードの {{ic|nc}} にデータをパイプします。<br />
<br />
以下の例では、ポート 2222 がトラフィックに使用されています(ファイアウォールを使用している場合は、ポート2222のトラフィックを必ず許可してください)。<br />
<br />
トンネルの片側で、トラフィックを確認する。<br />
<br />
$ nc -vvlnp 2222<br />
<br />
トンネルの向こう側では、トラフィックを送ってください。<br />
<br />
$ dd if=/dev/zero bs=1024K count=1024 | nc -v 10.0.0.203 2222<br />
<br />
状態の監視は {{ic|wg}} で直接行うことができます。<br />
<br />
{{hc|# wg|2=<br />
interface: wg0<br />
public key: UguPyBThx/+xMXeTbRYkKlP0Wh/QZT3vTLPOVaaXTD8=<br />
private key: (hidden)<br />
listening port: 51820<br />
<br />
peer: 9jalV3EEBnVXahro0pRMQ+cHlmjE33Slo9tddzCVtCw=<br />
preshared key: (hidden)<br />
endpoint: 192.168.1.216:53207<br />
allowed ips: 10.0.0.0/0<br />
latest handshake: 1 minutes, 17 seconds ago<br />
transfer: 56.43 GiB received, 1.06 TiB sent<br />
}}<br />
<br />
== ヒントとテクニック ==<br />
<br />
=== 秘密鍵を暗号化して保存 ===<br />
<br />
設定ファイルの [Interface] セクションの PrivateKey 行を以下のように置き換えることで [[pass]] を使って秘密鍵を暗号化できます:<br />
<br />
PostUp = wg set %i private-key <(su user -c "export PASSWORD_STORE_DIR=/path/to/your/store/; pass WireGuard/private-keys/%i")<br />
<br />
user はユーザー名に置き換えてください。詳しくは {{man|8|wg-quick}} を参照。<br />
<br />
=== IP が変わるエンドポイント ===<br />
<br />
サーバーのドメインの解決後、WireGuard は DNS で再度変更をチェックすることはありません [https://lists.zx2c4.com/pipermail/wireguard/2017-November/002028.html]。<br />
<br />
WireGuard サーバーの IP アドレスが DHCP, Dyndns, IPv6 などによって頻繁に変更された場合、WireGuard クライアントは接続を失います。その際 {{ic|wg set "$INTERFACE" peer "$PUBLIC_KEY" endpoint "$ENDPOINT"}} などのようにエンドポイントを更新しなくてはなりません。<br />
<br />
また、エンドポイントがアドレスを変更したとき (例えば新しいプロバイダ・データセンターに移行した場合)、DNS を更新するだけでは不十分となるため、DNS ベースのセットアップでは reresolve-dns を定期的に実行する必要が出てきます。<br />
<br />
{{Pkg|wireguard-tools}} には WG の設定ファイルを読み込んでエンドポイントのアドレスを自動的にリセットするスクリプト {{ic|/usr/share/wireguard/examples/reresolve-dns/reresolve-dns.sh}} が含まれています。<br />
<br />
{{ic|/usr/share/wireguard/examples/reresolve-dns/reresolve-dns.sh /etc/wireguard/wg.conf}} を定期的に実行することで IP が変わったエンドポイントから復旧できます。<br />
<br />
systemd タイマーを使って30秒ごとに WireGuard のエンドポイントを更新する例 [https://git.zx2c4.com/WireGuard/tree/contrib/examples/reresolve-dns/README]:<br />
<br />
{{hc|/etc/systemd/system/wireguard_reresolve-dns.timer|2=<br />
[Unit]<br />
Description=Periodically reresolve DNS of all WireGuard endpoints<br />
<br />
[Timer]<br />
OnCalendar=*:*:0/30<br />
<br />
[Install]<br />
WantedBy=timers.target<br />
}}<br />
<br />
{{hc|/etc/systemd/system/wireguard_reresolve-dns.service|2=<br />
[Unit]<br />
Description=Reresolve DNS of all WireGuard endpoints<br />
Wants=network-online.target<br />
After=network-online.target<br />
<br />
[Service]<br />
Type=oneshot<br />
ExecStart=/bin/sh -c 'for i in /etc/wireguard/*.conf; do /usr/share/wireguard/examples/reresolve-dns/reresolve-dns.sh "\$i"; done'<br />
}}<br />
<br />
上記ファイルを作成したら {{ic|wireguard_reresolve-dns.timer}} を[[起動]]・[[有効化]]してください。<br />
<br />
=== QR コードを生成 ===<br />
<br />
クライアントが電話などのモバイル デバイスの場合、{{Pkg|qrencode}} を使用してクライアントの設定 QR コードを生成し、端末に表示できます。<br />
<br />
$ qrencode -t ansiutf8 -r ''client.conf''<br />
<br />
=== デバッグログを有効にする ===<br />
<br />
ダイナミックデバッグをサポートするカーネル上で Linux カーネルモジュールを使用する場合、実行することでデバッグ情報をカーネルリングバッファ([[dmesg]] や [[journalctl]] で表示可能)に書き込むことができます。<br />
<br />
# modprobe wireguard<br />
# echo module wireguard +p > /sys/kernel/debug/dynamic_debug/control<br />
<br />
=== ピア(サーバー)設定の再読み込み ===<br />
<br />
WireGuard ピア(主にサーバ)が設定から他のピアを追加または削除し、アクティブなセッションを停止せずに再読み込みしたい場合、次のコマンドを実行することができます:<br />
<br />
# wg syncconf ${WGNET} <(wg-quick strip ${WGNET})<br />
<br />
ここで、{{ic|$WGNET}} は WireGuard インターフェース名または設定ベース名です。例えば、{{ic|wg0}}(サーバー用) または {{ic|client}} です。(クライアント用には ''.conf'' という拡張子をつけません)。<br />
<br />
== トラブルシューティング ==<br />
<br />
=== ルートが定期的にリセットされる ===<br />
<br />
[[NetworkManager]] が WireGuard のインターフェイスを管理しないようにしてください:<br />
<br />
{{hc|1=/etc/NetworkManager/conf.d/unmanaged.conf|2=<br />
[keyfile]<br />
unmanaged-devices=interface-name:wg0<br />
}}<br />
<br />
=== DNS 解析の不具合について === <br />
<br />
すべてのトラフィックを WireGuard インターフェイスでトンネリングする場合、しばらくすると、または新規接続時に接続が失われたように見えることがあります。これは、[[ネットワークマネージャ]]または [[DHCP]] クライアントが {{ic|/etc/resolv.conf}} を上書きすることによって発生した可能性があります。<br />
<br />
デフォルトでは ''wg-quick'' は新しい [[DNS]] エントリを登録するために ''resolvconf'' を使用します (設定ファイルの {{ic|DNS}} キーワードから).これは、''resolvconf'' を使用しない[[ネットワークマネージャ]]や [[DHCP]] クライアントで、{{ic|/etc/resolv.conf}} を上書きし、wg-quick が追加した DNS サーバを削除するため問題が発生するでしょう。<br />
<br />
解決策としては、[[resolvconf]] をサポートするネットワークソフトを使用することです。<br />
<br />
{{Note|[[systemd-resolved]] のユーザは、{{Pkg|systemd-resolvconf}} が[[インストール]]されていることを確認する必要があります。}}<br />
<br />
[[NetworkManager]] のユーザは、デフォルトでは resolvconf を使用しないことを知っておく必要があります。[[systemd-resolved]] を使うことが推奨されています。 これが望ましくない場合は {{Pkg|openresolv}} を[[インストール]]して、[[NetworkManager#Use openresolv]].<br />
を使用するように NetworkManagerを設定してください。<br />
<br />
=== 低 MTU ===<br />
<br />
MTU が低すぎる (1280 未満) ため、wg-quick は WireGuard インターフェイスの作成に失敗した可能性があります。これは、クライアントのインターフェイス セクションの WireGuard 設定で MTU 値を設定することで解決できます。<br />
<br />
{{hc|foo.config|2=<br />
[Interface]<br />
Address = 10.200.200.2/24<br />
MTU = 1420<br />
PrivateKey = ''PEER_FOO_PRIVATE_KEY''<br />
DNS = 10.200.200.1<br />
}}<br />
<br />
=== 鍵の長さや形式が正しくない ===<br />
<br />
以下のエラーを回避するためには、鍵ファイルのパスではなく、鍵の値を設定ファイルに記述してください。<br />
<br />
{{hc|# wg-quick up wg0|<br />
[#] ip link add wg0 type wireguard<br />
[#] wg setconf wg0 /dev/fd/63<br />
Key is not the correct length or format: `''/path/example.key'''<br />
Configuration parsing error<br />
[#] ip link delete dev wg0<br />
}}<br />
<br />
=== NAT /ファイアウォールの背後にある持続的な接続を確立することができない ===<br />
<br />
デフォルトでは、WireGuard ピアは通信する必要がない間は沈黙を保つため、NAT や[[ファイアウォール]]の背後にあるピアは、他のピアに自らアクセスするまで他のピアからアクセスできない場合があります(または接続がタイムアウトする場合もあります)。NAT やファイアウォールの背後にあるピアの{{ic|1=PersistentKeepalive = 25}} 設定に追加することで、接続が開いたままになることを保証できます。<br />
<br />
{{hc|# Set the persistent-keepalive via command line (temporarily)|<br />
[#] wg set wg0 peer $PUBKEY persistent-keepalive 25<br />
}}<br />
<br />
=== ループ ルーティング ===<br />
<br />
エンドポイント IP を許可 IP リストに追加すると、カーネルは、元のルートを使用するのではなく、当該デバイスバインディングにハンドシェイクを送信しようとします。その結果、ハンドシェイクの試行が失敗します。<br />
<br />
回避策として、エンドポイントへの正しいルートを、以下の方法で手動で追加する必要があります。<br />
<br />
ip route add <endpoint ip> via <gateway> dev <network interface><br />
<br />
e.g. for peer B from above in a standard LAN setup:<br />
<br />
ip route add 203.0.113.102 via 192.168.0.1 dev eth0<br />
<br />
このルートを永続化するには、{{ic|1=PostUp = ip route ...}} というコマンドを {{ic|wg0.conf}} の {{ic|[Interface]}} セクションに追加することができます。しかし、特定のセットアップ(例えば、NetworkManagerと組み合わせて {{ic|wg-quick@.service}} を使用)において、これはレジュームに失敗するかもしれません。さらに、これは静的なネットワーク設定に対してのみ機能し、ゲートウェイやデバイスが変更されると失敗します(例えば、ラップトップでイーサネットや無線 LAN を使用している場合など)。<br />
<br />
NetworkManagerを使用する場合、より柔軟な解決策として、ディスパッチャスクリプトを使用して WireGuardを起動することができます。root として以下を作成します。<br />
<br />
{{hc|/etc/NetworkManager/dispatcher.d/50-wg0.sh|2=<br />
#!/bin/sh<br />
case $2 in<br />
up)<br />
wg-quick up wg0<br />
ip route add <endpoint ip> via $IP4_GATEWAY dev $DEVICE_IP_IFACE<br />
;;<br />
pre-down)<br />
wg-quick down wg0<br />
;;<br />
esac<br />
}}<br />
まだ起動していない場合は、{{ic|NetworkManager-dispatcher.service}} を起動し、有効にしてください。<br />
また、NetworkManager が {{ic|wg0}} のルートを管理していないことを確認してください。([[#ルートが定期的にリセットされる|上記参照]])。<br />
<br />
=== NetworkManager で切断される ===<br />
<br />
デスクトップの場合、全てのトラフィックを WireGuard のインターフェイス経由にすると切断が発生することがあります。アクセスポイントに新しく接続してしばらくした後に切断が発生します。<br />
<br />
デフォルトでは ''wg-quick'' は [[openresolv]] などの resolvconf プロバイダを使用して新しい [[DNS]] エントリを登録します (設定ファイルの {{ic|DNS}} キーワード)。しかしながら [[NetworkManager]] はデフォルトでは resolvconf を使用しません。新しい [[DHCP]] リースが取得されるたびに [[NetworkManager]] は DHCP によって提供されたアドレスで全体の DNS アドレスを上書きします。<br />
<br />
==== resolvconf を使う ====<br />
<br />
システムで resolvconf を使っていて接続が切れる場合、NetworkManager が resolvconf を使うように設定してください:<br />
<br />
{{hc|/etc/NetworkManager/conf.d/rc-manager.conf|2=<br />
[main]<br />
rc-manager=resolvconf<br />
}}<br />
<br />
==== dnsmasq を使う ====<br />
<br />
[[Dnsmasq#openresolv]] を見てください。<br />
<br />
==== systemd-resolved を使う ====<br />
<br />
2018年9月時点では、{{Pkg|systemd-resolvconf}} による resolvconf 互換モードは ''wg-quick'' で機能しません。ただし {{ic|PostUp}} フックを使うことで ''wg-quick'' から [[systemd-resolved]] を使用することはできます。まず NetworkManager で ''systemd-resolved'' を使うように設定: [[NetworkManager#systemd-resolved]]。それからトンネルの設定を変更:<br />
<br />
{{hc|1=/etc/wireguard/wg0.conf|2=<br />
[Interface]<br />
Address = 10.0.0.2/24 # The client IP from wg0server.conf with the same subnet mask<br />
PrivateKey = [CLIENT PRIVATE KEY]<br />
PostUp = resolvectl domain %i "~."; resolvectl dns %i 10.0.0.1; resolvectl dnssec %i yes<br />
MTU = 1420<br />
<br />
[Peer]<br />
PublicKey = [SERVER PUBLICKEY]<br />
AllowedIPs = 0.0.0.0/0, ::0/0<br />
Endpoint = [SERVER ENDPOINT]:51820<br />
PersistentKeepalive = 25<br />
}}<br />
<br />
新しく利用可能になった DNS サーバーに優先度を与えるためにドメイン名は {{ic|"~."}} に設定する必要があります。<br />
<br />
{{ic|wg0}} が落ちたときに ''systemd-resolved'' は自動的に全てのパラメータを戻すため {{ic|PostDown}} キーは必要ありません。<br />
<br />
== 参照 ==<br />
<br />
* [[Wikipedia:WireGuard]]<br />
* [https://www.wireguard.com/presentations/ Presentations by Jason Donenfeld].<br />
* [https://lists.zx2c4.com/mailman/listinfo/wireguard Mailing list]<br />
* [https://docs.sweeting.me/s/wireguard Unofficial WireGuard Documentation]<br />
* [[Debian:Wireguard]]</div>
Hkiku482
https://wiki.archlinux.jp/index.php?title=Dm-crypt/%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E5%85%A8%E4%BD%93%E3%81%AE%E6%9A%97%E5%8F%B7%E5%8C%96&diff=39725
Dm-crypt/システム全体の暗号化
2025-02-14T15:24:10Z
<p>Hkiku482: /* LUKS を使用するパーティションに TPM2とセキュアブートを使用する */ ウィキリンクの修正</p>
<hr />
<div>{{Lowercase title}}<br />
[[Category:保存データ暗号化]]<br />
[[Category:ファイルシステム]]<br />
[[Category:Arch の入手とインストール]]<br />
[[de:Systemverschlüsselung mit dm-crypt]]<br />
[[en:Dm-crypt/Encrypting an entire system]]<br />
[[es:Dm-crypt/Encrypting an entire system]]<br />
以下は ''dm-crypt'' を使って完全なシステム暗号化を行う一般的なシナリオの例です。通常の[[インストールガイド|インストール手順]]に加える必要がある変更を全て説明しています。必要なツールは全て [https://www.archlinux.jp/download/ インストールイメージ] に入っています。<br />
<br />
== 概要 ==<br />
<br />
root ファイルシステムの暗号化については機能やパフォーマンスの点で ''dm-crypt'' が優れています。システムの root ファイルシステムが dm-crypt デバイス上にあれば、システム上のほとんど全てのファイルが暗号化されます。root 以外のファイルシステムを選択的に暗号化するのと異なり、root ファイルシステムの暗号化は様々な情報を隠匿できます。インストールされているプログラム、ユーザーアカウントのユーザー名、[[mlocate]] や {{ic|/var/log/}} など媒介してデータ漏洩の恐れがあるファイルなど。さらに、root ファイルシステムを暗号化することでシステムの改竄が非常に難しくなります。[[ブートローダー]]やカーネルを除く全てが暗号化されるためです。<br />
<br />
以上の利点をのぞく、それぞれのシナリオのメリットやデメリットなどの違いをまとめて、全てのシナリオを以下の表で説明します:<br />
<br />
{| class="wikitable"<br />
! シナリオ <br />
! メリット <br />
! デメリット <br />
|----------------------------------------------------------<br />
| [[#LUKS を使用するシンプルなパーティションレイアウト]]<br />
LUKS で root を完全に暗号化するベーシックなセットアップ<br />
|<br />
* パーティショニングと設定がシンプル<br />
|<br />
* 柔軟性がない、暗号化するディスク領域をあらかじめ指定する必要がある<br />
|----------------------------------------------------------<br />
| [[#LUKS を使用するパーティションに TPM2とセキュアブートを使用する]]<br />
LUKS で root を完全に暗号化するベーシックなセットアップ<br />
|<br />
LUKS を使用するシンプルなパーティションレイアウトと加えて<br />
* [[Wikipedia:Evil maid attack|Evil maid attacks]]から保護することができます。<br />
* セキュアブートが無効になっていたり変更された場合に、TPM2によってロック解除を防止することができます。<br />
|<br />
* LUKS を使用するシンプルなパーティションレイアウト と同じ<br />
|----------------------------------------------------------<br />
| [[#LVM on LUKS]]<br />
LUKS 暗号化パーティションの中で LVM を使うことでパーティショニングの柔軟性を確保<br />
|<br />
* LVM を使ったことがあるのであれば簡単にパーティショニングできます<br />
* 一つのキーで全てのボリュームのロックを解除できます (ディスクからの復帰を設定するのが簡単)<br />
* ロックされていればボリュームのレイアウトが外から分かりません<br />
* [[Dm-crypt/スワップの暗号化#suspend-to-disk_を使用する|ハイバネート]]を利用したいときの一番簡単な方法<br />
|<br />
* LVM によってマッピングレイヤーとフックが追加されます<br />
* ボリュームごとに別のキーを設定する場合は不便です<br />
|----------------------------------------------------------<br />
| [[#LUKS on LVM]]<br />
LVM をセットアップした後に dm-crypt を使用<br />
|<br />
* LVM を使うことで複数のディスクにまたがる暗号化ボリュームを作成できます<br />
* 非暗号化・暗号化ボリュームグループを簡単に混ぜられます<br />
|<br />
* 複雑です。ボリュームを変更するときは暗号化マッパーも変更する必要があります<br />
* ボリュームごとに個別のキーが必要になります<br />
* ロックされていても LVM レイアウトは外から分かってしまいます<br />
|----------------------------------------------------------<br />
| [[#ソフトウェア RAID と LUKS]]<br />
RAID を設定した後に dm-crypt を使います。<br />
|<br />
* LUKS on LVM と同じ。<br />
|<br />
* LUKS on LVM と同じ。<br />
|----------------------------------------------------------<br />
| [[#Plain dm-crypt]]<br />
dm-crypt の plain モードを使用、LUKS ヘッダーや LUKS の複数のキーのオプションは使わない<br>このシナリオでは {{ic|/boot}} とキーストレージに USB デバイスを使いますが、これは他のデバイスでも利用可能です<br />
|<br />
* LUKS ヘッダに損害が発生した場合の耐障害性があります<br />
* [[Wikipedia:Deniable encryption|否認可能暗号]]が使える<br />
* SSD の[[Dm-crypt/特記事項#ソリッドステートドライブ (SSD) の Discard/TRIM のサポート|問題]]を解決できます<br />
|<br />
* 全ての暗号化パラメータに注意する必要があります<br />
* 暗号鍵はひとつだけで変更する方法はありません<br />
|----------------------------------------------------------<br />
| [[#boot パーティションの暗号化 (GRUB)]]<br />
GRUB ブートローダーを使って boot パーティションを暗号化する方法を説明します。<br>このシナリオでは ESP パーティションを使いますが、他のシナリオでも ESP を使うことができます。<br />
|<br />
* ベースにするシナリオと同じメリット (このページの例では LVM on LUKS)<br />
* ブートローダーや ESP パーティションまで暗号化されます<br />
|<br />
* ベースにするシナリオと同じデメリット (このページの例では LVM on LUKS)<br />
* 設定が複雑です<br />
* 他のブートローダーのサポートがありません<br />
|----------------------------------------------------------<br />
| [[#Btrfs サブボリュームとスワップ]]<br />
UEFI 環境で [[Btrfs]] のシステムパーティションと {{ic|/boot}} ディレクトリを暗号化して、スワップパーティションを追加する方法。<br />
|<br />
* [[#boot パーティションの暗号化 (GRUB)]] と同じメリット<br />
* Btrfs の機能を活用できます<br />
|<br />
* [[#boot パーティションの暗号化 (GRUB)]] と同じデメリット<br />
|}<br />
<br />
上記全てのシナリオが外部からの脅威に対して十分な保護を約束しますが、共通の欠点も存在します。暗号化キーを持っているユーザーなら誰でもデバイスの全てを復号化して、他のユーザーのデータにもアクセスすることが可能という点です。これが問題だという場合は、ブロックデバイスの暗号化とスタックファイルシステムの暗号化と組み合わせて使用することで、両者の利点を取り入れることができます。[[保存データ暗号化]]を見て下さい。<br />
<br />
他にも、スワップパーティションの暗号化を設定するべきかどうか考慮する必要があります。[[Dm-crypt/スワップの暗号化]]を見て下さい。<br />
<br />
シナリオで使用されているパーティショニングの外観について [[Dm-crypt/ドライブの準備#パーティショニング]] も参照してください。<br />
<br />
{{Warning|どのシナリオでも、暗号化ボリュームで [[fsck]] などのファイルシステム修復ソフトウェアを直接使ってはいけません。ファイルを復号化する鍵を破壊してしまいます。復号化した後に使うようにしてください。}}<br />
<br />
== LUKS を使用するシンプルなパーティションレイアウト ==<br />
<br />
この例ではシンプルなパーティションレイアウトによる ''dmcrypt''+ LUKS のフルシステム暗号化を説明します:<br />
<br />
+--------------------+--------------------------+--------------------------+<br />
|Boot partition |LUKS encrypted system |Optional free space |<br />
| |partition |for additional partitions |<br />
|/dev/sdaY |/dev/sdaX |or swap to be setup later |<br />
+--------------------+--------------------------+--------------------------+<br />
<br />
最初のステップは Arch Linux のインストールイメージを起動した後すぐに実行します。<br />
<br />
=== ディスクの準備 ===<br />
パーティションを作成する前に、[[Dm-crypt/ドライブの準備]] で説明されているように、ディスクを完全に消去する必要性・方法を学んでください。<br />
<br />
それから必要なパーティションを作成します。最低でも {{ic|/}} が必要です (例: {{ic|/dev/sdaX}}) と {{ic|/boot}} ({{ic|/dev/sdaY}})。[[パーティショニング]]を参照。<br />
<br />
=== boot 以外のパーティションの準備 ===<br />
<br />
以下のコマンドは暗号化された root パーティションを作成・マウントします。[[Dm-crypt/root 以外のファイルシステムの暗号化#パーティション]] に詳しく説明されている手順に該当します (ページタイトルと相違して、[[#mkinitcpio の設定|mkinitcpio]] と[[#ブートローダーの設定|ブートローダー]]が正しく設定されていれば、root パーティションにも適用できます)。デフォルトになってない特定の暗号化オプションを使いたいときは (例: 暗号アルゴリズムや鍵長など)、最初のコマンドを実行する前に[[Dm-crypt/デバイスの暗号化#LUKS_モードの暗号化オプション|暗号化オプション]]を読んでください:<br />
<br />
# cryptsetup -y -v luksFormat /dev/sdaX<br />
# cryptsetup open /dev/sdaX cryptroot<br />
# mkfs.ext4 /dev/mapper/cryptroot<br />
# mount /dev/mapper/cryptroot /mnt<br />
<br />
マッピングが問題ないかチェック:<br />
# umount /mnt<br />
# cryptsetup close cryptroot<br />
# cryptsetup open /dev/sdaX cryptroot<br />
# mount /dev/mapper/cryptroot /mnt<br />
<br />
パーティションを分割した場合 (例: {{ic|/home}})、以上のコマンドを全てのパーティションに繰り返し実行してください。ただし {{ic|/boot}} は別です。起動時に追加のパーティションを扱う方法は [[Dm-crypt/root 以外のファイルシステムの暗号化#ロック解除とマウントの自動化]] を見て下さい。<br />
<br />
それぞれのブロックデバイスには個々のパスフレーズが必要になります。起動時に、別々のパスフレーズを入力しないといけないので、不便とも言えます。{{ic|crypttab}} を使うことでシステムパーティションにキーファイルを保存して使用することで別のパーティションを解錠することができます。方法は [[Dm-crypt/デバイスの暗号化#LUKS を使ってキーファイルでパーティションをフォーマット]] を見て下さい。<br />
<br />
=== boot パーティションの準備 ===<br />
セットアップする必要があるのは暗号化されない {{ic|/boot}} パーティションで、暗号化する root に必要となります。例えば、標準的な [[EFI|MBR/BIOS]] の {{ic|/boot}} パーティションの場合、以下を実行します:<br />
# mkfs.ext4 /dev/sdaY<br />
# mkdir /mnt/boot<br />
# mount /dev/sdaY /mnt/boot<br />
<br />
=== デバイスのマウント ===<br />
[[インストールガイド#パーティションのマウント]]では実際のパーティションではなく、マップされたデバイスをマウントしてください。もちろん、{{ic|/boot}} は暗号化されていないので、直接マウントします。<br />
<br />
=== mkinitcpio の設定 ===<br />
{{ic|keyboard}}, {{ic|keymap}}, {{ic|encrypt}} フックを [[mkinitcpio|mkinitcpio.conf]] 内の {{ic|filesystems}} の前に追加します:<br />
{{hc|/etc/mkinitcpio.conf|2=HOOKS=(... '''keyboard''' '''keymap''' block '''encrypt''' ... filesystems ...)}}<br />
<br />
他に必要なフックについては [[dm-crypt/システム設定#mkinitcpio]] を見て下さい。<br />
<br />
設定後はイメージを再生成してください:<br />
<br />
# mkinitcpio -p linux<br />
<br />
=== ブートローダーの設定 ===<br />
暗号化された root パーティションを起動するには、ブートローダーに以下のカーネルパラメータを設定する必要があります ({{ic|''<device-UUID>''}} は {{ic|/dev/sdaX}} の UUID に置き換えてください。詳しくは[[永続的なブロックデバイスの命名]]を参照):<br />
<br />
cryptdevice=UUID=''<device-UUID>'':cryptroot root=/dev/mapper/cryptroot<br />
<br />
他に必要なパラメータについては [[Dm-crypt/システム設定#ブートローダー]] を見て下さい。<br />
<br />
== LUKS を使用するパーティションに TPM2とセキュアブートを使用する ==<br />
<br />
この例は[[#LUKS を使用するシンプルなパーティションレイアウト]]と似ていますが、[[セキュアブート]]と[[Trusted Platform Module]] (TPM)を統合してブート時のセキュリティを強化します。<br />
<br />
この構成では[[EFI システムパーティション]]が暗号化されずに残り、[[ユニファイドカーネルイメージ]]と[[systemd-boot]]が格納されます。これらは両方ともセキュアブートで使用するため暗号化されています。セキュアブートが無効になっていたり、キーデータベースが改ざんされている場合は、ロック解除に使用するキーをリリースしません。これは、WindowsのBitLockerやmacOSのFileVaultに似ています。TPMロック解除に問題(署名されていないブートローダやカーネルの更新、ファームウェアの更新等)が発生した場合、データにアクセスするための回復キーも作成されます。オプションで、起動時にTPM PINが必要になるように設定して完全に自動でロック解除されるのを防ぐこともできます。<br />
<br />
実行する前に[[Trusted Platform Module#LUKS による保存データの暗号化]]の説明と警告をよく読んでください。<br />
<br />
この例では[[Systemd#GPT パーティションの自動マウント]]に従ってパーティションが作成されるため、fstabファイルやcrypttabファイルは必要ありません。<br />
<br />
{{Text art|<nowiki><br />
+-----------------------+---------------------------------+<br />
| EFI system partition | LUKS encrypted root partition |<br />
| | |<br />
| | |<br />
| /boot | / |<br />
| | |<br />
| | /dev/mapper/root |<br />
| |---------------------------------|<br />
| /dev/sda1 | /dev/sda2 |<br />
+-----------------------+---------------------------------+<br />
</nowiki>}}<br />
<br />
はじめに、[[インストールガイド#パーティション]]までセットアップを進めてください。<br />
<br />
=== ディスクの準備 ===<br />
<br />
パーティションを作成する前に[[dm-crypt/ドライブの準備]]で説明されているように、ディスクを安全に消去する重要性について理解しておく必要があります。<br />
<br />
[[パーティショニング#GUID Partition Table]] (GPT)で[[EFI システムパーティション]](この例では{{ic|/dev/sda1}})を適切なサイズで作成したあとに、その他の必要なパーティションを作成していきます。<br />
<br />
[[EFI システムパーティション]]は{{ic|/boot}}へマウントします。<br />
<br />
ドライブの残りのスペースに暗号化されたあとで{{ic|/dev/sda2}}にマウントされるルートパーティションを作成します。パーティションタイプのGUIDは{{ic|4F68BCE3-E8CD-4DB1-96E7-FBCAF984B709}} ([[gdisk]]の場合は{{ic|8304}}、[[fdisk]]の場合は"Linux root (x86-64)")に設定します。<br />
<br />
=== ルートパーティションの準備 ===<br />
<br />
次のコマンドでは暗号化されたルートパーティションの作成とマウントを行います。この手順は[[Dm-crypt/デバイスの暗号化#LUKS モードでデバイスを暗号化|LUKS モードでデバイスを暗号化]]の説明と対応しています。<br />
<br />
特定のデフォルトではない暗号化オプション(キーの長さやアルゴリズム)を使用する場合または、TPMベースの復号を使用しない場合は、最初のコマンドを実行する前に[[Dm-crypt/デバイスの暗号化#LUKS モードの暗号化オプション|LUKS モードの暗号化オプション]]を参照してください。<br />
<br />
LUKSボリュームを作成(空のパスワードを使用してあとから変更することができます)し、{{ic|root}} という名前でオープンします。<br />
<br />
# cryptsetup luksFormat /dev/sda2<br />
# cryptsetup open /dev/sda2 root<br />
<br />
次に、ファイルシステムを作成します:<br />
<br />
# mkfs.ext4 /dev/mapper/root<br />
<br />
{{ic|/mnt}}へマウントします:<br />
<br />
# mount /dev/mapper/root /mnt<br />
<br />
=== EFI システムパーティションの準備 ===<br />
<br />
新しく作成したEFIシステムパーティションを[[EFI システムパーティション#パーティションのフォーマット]]に従ってフォーマットし、{{ic|/mnt/boot}}へマウントします。<br />
<br />
# mount --mkdir /dev/sda1 /mnt/boot<br />
<br />
[[インストールガイド#initramfs]]までセットアップを続行します。[[インストールガイド#fstab の生成]]はスキップすることができます。<br />
<br />
=== mkinitcpioを設定する ===<br />
<br />
[[mkinitcpio.conf]]の設定の{{ic|1=HOOKS=}}行を次のように設定します。順番が重要です:<br />
<br />
HOOKS=(base '''systemd''' autodetect microcode modconf kms '''keyboard''' '''sd-vconsole''' block '''sd-encrypt''' filesystems fsck)<br />
<br />
次に[[ユニファイドカーネルイメージ#mkinitcpio]]を参照して、[[ユニファイドカーネルイメージ]]を設定します。<br />
<br />
この時点では'''まだ'''initramfsを再生成'''しない'''でください。{{ic|/boot/EFI/Linux}}ディレクトリは、先にブートローダインストーラによって作成される必要があります。<br />
<br />
=== ブートローダのインストール ===<br />
<br />
ブートローダを使用せずにシステムを直接起動するように設定することができます。[[ユニファイドカーネルイメージ#UEFI から直接起動]]を参照してください。<br />
<br />
ブートローダが必要な場合は[[systemd-boot]]のインストールを続行します。<br />
<br />
# bootctl install<br />
<br />
mkinitcpioによって生成された[[ユニファイドカーネルイメージ]]は自動的に認識されるため{{ic|/boot/loader/entries}}にエントリは必要ありません。<br />
<br />
詳細な設定については[[systemd-boot#UEFI ブートマネージャの更新]]と[[systemd-boot#ローダー設定]]を参照してください。<br />
<br />
=== インストール完了 ===<br />
<br />
[[initramfs#イメージ作成とアクティベーション|initramfsを再生成]]し、イメージの作成が成功したことを確認します。<br />
<br />
[[インストールガイド#Root パスワード|パスワードの設定]]を忘れずに行ったあと再起動してください。<br />
<br />
=== セキュアブート ===<br />
<br />
[[セキュアブート]] を有効にするためにブートローダとEFIバイナリに署名ができるようになりました。手軽な手段については[[Unified Extensible Firmware Interface/セキュアブート#sbctl でより簡単に行う|sbctl でより簡単に行う]]を参照してください。<br />
<br />
=== Enrolling the TPM ===<br />
<br />
ブートローダへ署名し、セキュアブートを有効化したあとにTPMを登録してLUKSボリュームのロックを解除できるようにします。次のコマンドは{{ic|luksFormat}}で作成されたからのパスフレーズを削除し、TPM [[Trusted Platform Module#PCR レジスタへのアクセス|PCR 7]] (デフォルトでは{{ic| Secure Boot State}}とファームウェア証明書)にバインドされたキーを作成し、問題が発生した場合に使用する回復キーを作成します。ブートチェーンが改ざんされない限り、TPMは自動的にキーをリリースします。[[systemd-cryptenroll#Trusted Platform Module]]および{{man|1|systemd-cryptenroll}}を参照してください。<br />
<br />
# systemd-cryptenroll /dev/sda2 --recovery-key<br />
# systemd-cryptenroll /dev/sda2 --wipe-slot=empty --tpm2-device=auto<br />
<br />
{{Tip| {{ic|1=--tpm2-with-pin=yes}} を指定してブート時に追加のPINの入力を強制することができます。}}<br />
{{Warning|<br />
* PCR 7へバインドするときは[[セキュアブート]]がSetup ModeからUser Modeになっていることを確認してください。そうでないと、許可されていないブートデバイスが暗号化されたボリュームのロックを解除する可能性があります。<br />
* ファームウェア証明書が変更されるとPCR 7の状態が変わる可能性があり、ユーザがロックアウトされるリスクがあります。これは、[[fwupd]][https://raw.githubusercontent.com/systemd/systemd/ed272a9ff59a26beedaab508dd3c9d631de67165/TODO] によって暗黙的に実行されるか、セキュアブートキーをローテーションすることによって明示的に実行されます。<br />
}}<br />
<br />
== LVM on LUKS ==<br />
<br />
LVM の上に暗号化パーティションをセットアップするのではなく、暗号化パーティションの上に [[LVM]] をセットアップするほうが簡単です。技術的にはひとつの大きな暗号化ブロックデバイスの中に LVM をセットアップすることになります。LVM はブロックデバイスを解錠して、ボリュームをスキャンしてマウントされるまでは透過的ではなくなります。<br />
<br />
ディスクレイアウトの例:<br />
+-----------------------------------------------------------------------+ +----------------+<br />
| Logical volume1 | Logical volume2 | Logical volume3 | | |<br />
|/dev/mapper/MyVol-swap |/dev/mapper/MyVol-root |/dev/mapper/MyVol-home | | Boot partition |<br />
|_ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _| | (may be on |<br />
| | | other device) |<br />
| LUKS encrypted partition | | |<br />
| /dev/sdaX | | /dev/sdbY |<br />
+-----------------------------------------------------------------------+ +----------------+<br />
<br />
{{Warning|この方法では論理ボリュームを複数のディスクに跨がらせることはできません。後で変更することも不可能です。[[#複数のパーティションの encrypt フックを修正]]を見てください。}}<br />
<br />
{{Tip|Two variants of this setup: <br />
* [[Dm-crypt/特記事項#リモート LUKS ヘッダーを使ってシステムを暗号化]]ではこのセットアップと USB デバイスのリモート LUKS ヘッダーを使って二段階認証を実現します。<br />
* Instructions at [http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/ Pavel Kogan's blog] show how to encrypt the {{ic|/boot}} partition while keeping it on the main LUKS partition when using GRUB.}} <br />
<br />
=== ディスクの準備 ===<br />
<br />
パーティションを作成する前に、[[Dm-crypt/ドライブの準備]] で説明されているように、ディスクを完全に消去する必要性・方法を学んでください。<br />
<br />
[[GPT]] で [[GRUB]] ブートローダーを使う時は、[[GRUB#BIOS システム]] で説明されているように BIOS Boot Partition を作成してください。<br />
<br />
{{ic|/boot}} にマウントするパーティションをタイプ {{ic|8300}} で容量 100 MB 以上にして作成します。<br />
<br />
タイプ {{ic|8E00}} のパーティションを作成してください。後で暗号化コンテナを入れます。<br />
<br />
"system" パーティションに LUKS 暗号化コンテナを作成してください。選んだパスワードを二回入力します。<br />
<br />
# cryptsetup luksFormat /dev/''sdaX''<br />
<br />
cryptsetup のオプションについては [[Dm-crypt/デバイスの暗号化#LUKS モードの暗号化オプション|LUKS 暗号化のオプション]]を見て下さい。<br />
<br />
コンテナを開いてください:<br />
<br />
# cryptsetup open /dev/''sdaX'' cryptolvm<br />
<br />
復号化されたコンテナが {{ic|/dev/mapper/cryptolvm}} から利用できるようになります。<br />
<br />
=== 論理ボリュームの準備 ===<br />
開いた LUKS コンテナの上に物理ボリュームを作成:<br />
<br />
# pvcreate /dev/mapper/cryptolvm<br />
<br />
{{ic|MyVol}} という名前のボリュームグループを作成して、先に作成した物理ボリュームを追加:<br />
<br />
# vgcreate MyVol /dev/mapper/cryptolvm<br />
<br />
ボリュームグループに論理ボリュームを作成:<br />
<br />
# lvcreate -L 8G MyVol -n swap<br />
# lvcreate -L 15G MyVol -n root<br />
# lvcreate -l 100%FREE MyVol -n home<br />
<br />
論理ボリュームのファイルシステムをフォーマット:<br />
<br />
# mkfs.ext4 /dev/mapper/MyVol-root<br />
# mkfs.ext4 /dev/mapper/MyVol-home<br />
# mkswap /dev/mapper/MyVol-swap<br />
<br />
ファイルシステムをマウント:<br />
<br />
# mount /dev/mapper/MyVol-root /mnt<br />
# mkdir /mnt/home<br />
# mount /dev/mapper/MyVol-home /mnt/home<br />
# swapon /dev/mapper/MyVol-swap<br />
<br />
=== boot パーティションの準備 ===<br />
ブートローダーは {{ic|/boot}} ディレクトリから、カーネルや [[initramfs]]、あるいはブートローダーの設定ファイルをロードします。このディレクトリは暗号化されていない別のファイルシステム上に配置する必要があります。<br />
<br />
{{ic|/boot}} にするパーティションに Ext2 ファイルシステムを作成します。ブートローダーが読み込めるファイルシステムなら何でもかまいません。<br />
<br />
# mkfs.ext2 /dev/''sdbY''<br />
<br />
{{ic|/mnt/boot}} ディレクトリを作成:<br />
<br />
# mkdir /mnt/boot<br />
<br />
パーティションを {{ic|/mnt/boot}} にマウント:<br />
<br />
# mount /dev/''sdbY'' /mnt/boot<br />
<br />
インストールの手順を mkinitcpio の設定まで進めてください。<br />
<br />
=== mkinitcpio の設定 ===<br />
{{ic|keyboard}}, {{ic|encrypt}}, {{ic|lvm2}} フックを [[mkinitcpio|mkinitcpio.conf]] 内の {{ic|filesystems}} の前に追加します:<br />
{{hc|/etc/mkinitcpio.conf|2=HOOKS=(... '''keyboard''' '''keymap''' block '''encrypt''' '''lvm2''' ... filesystems ...)}}<br />
<br />
{{Note|{{ic|lvm2}} の最新実装ではフックの順番は特に意味を持ちません。}}<br />
<br />
他に必要なフックについては [[dm-crypt/システム設定#mkinitcpio]] を見て下さい。<br />
<br />
設定後はイメージを再生成してください:<br />
<br />
# mkinitcpio -p linux<br />
<br />
=== ブートローダーの設定 ===<br />
起動時に暗号化された root パーティションの暗号化が解除されるように、以下のカーネルパラメータをブートローダーで設定します ({{ic|''<device-UUID>''}} は {{ic|/dev/sdaX}} の UUID に置き換えてください。詳しくは[[永続的なブロックデバイスの命名]]を参照):<br />
<br />
cryptdevice=UUID=''device-UUID'':cryptolvm root=/dev/mapper/MyVol-root<br />
<br />
詳しくは [[Dm-crypt/システム設定#ブートローダー]] を見て下さい。<br />
<br />
== LUKS on LVM ==<br />
<br />
[[LVM]] 上で暗号化を利用するには、まず LVM ボリュームをセットアップして、それから暗号化パーティションのベースとして使うことになります。この方法では、暗号化パーティションと非暗号化パーティションのミックスが可能です。<br />
<br />
{{Tip|[[#LVM on LUKS]] とは違って、複数のディスクにまたがる論理ボリュームを通常通り使うことができます。}}<br />
<br />
以下の短い例では LUKS on LVM 構成を作成して、/home パーティションでキーファイルを使用して {{ic|/tmp}} と {{ic|/swap}} の一時的な暗号化ボリュームを混ぜ合わせます。機密データを含む一時データが再起動しても残ってしまう可能性がないため、セキュリティ的に優れています。論理ボリュームを複数のディスクにまたがるようにしたい場合、手順は [[Dm-crypt/特記事項#LVM を複数のディスクに拡張]]で説明しています。<br />
<br />
=== ディスクの準備 ===<br />
<br />
パーティションスキーム:<br />
+----------------+-----------------------------------------------------------------------+<br />
| | LUKS encrypted volume | LUKS encrypted volume | LUKS encrypted volume |<br />
| | /dev/mapper/swap | /dev/mapper/root | /dev/mapper/home |<br />
| |_ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _|<br />
| | Logical volume1 | Logical volume2 | Logical volume3 |<br />
| |/dev/mapper/MyVol-swap |/dev/mapper/MyVol-root |/dev/mapper/MyVol-home |<br />
| |_ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _|<br />
| Boot partition | |<br />
| /dev/sda1 | /dev/sda2 |<br />
+----------------+-----------------------------------------------------------------------+<br />
<br />
[[Dm-crypt/ドライブの準備#dm-crypt で空のディスクまたはパーティションを消去]]を見て {{ic|/dev/sda2}} をランダム化してください。<br />
<br />
=== 論理ボリュームの準備 ===<br />
<br />
# pvcreate /dev/sda2<br />
# vgcreate MyVol /dev/sda2<br />
# lvcreate -L 10G -n lvroot MyVol<br />
# lvcreate -L 500M -n swap MyVol<br />
# lvcreate -L 500M -n tmp MyVol<br />
# lvcreate -l 100%FREE -n home MyVol<br />
<br />
# cryptsetup luksFormat -c aes-xts-plain64 -s 512 /dev/mapper/MyVol-lvroot<br />
# cryptsetup open /dev/mapper/MyVol-lvroot root<br />
# mkfs.ext4 /dev/mapper/root<br />
# mount /dev/mapper/root /mnt<br />
<br />
この例では {{ic|/home}} は[[#論理ボリューム /home の暗号化|後で]]暗号化します。Arch-ISO から暗号化したルートにアクセスする必要がある場合、上記の {{ic|open}} アクションで [[LVM#論理ボリュームが表示されない|LVM を表示]]した後にアクセスできます。<br />
<br />
=== boot パーティションの準備 ===<br />
# dd if=/dev/zero of=/dev/sda1 bs=1M status=progress<br />
# mkfs.ext4 /dev/sda1<br />
# mkdir /mnt/boot<br />
# mount /dev/sda1 /mnt/boot<br />
<br />
暗号化した LVM のパーティションを設定したら、インストールを行ってください: [[インストールガイド#パーティションのマウント|Arch Install Scripts]]。<br />
<br />
=== mkinitcpio の設定 ===<br />
<br />
{{ic|encrypt}} と {{ic|lvm2}} フックを [[mkinitcpio|mkinitcpio.conf]] 内の {{ic|filesystems}} の前に追加します:<br />
{{hc|/etc/mkinitcpio.conf|2=HOOKS=(... '''keyboard''' '''keymap''' block '''lvm2''' '''encrypt''' ... filesystems ...)}}<br />
<br />
他に必要なフックについては [[dm-crypt/システム設定#mkinitcpio]] を見て下さい。<br />
<br />
設定ファイルを変更した後は次のコマンドを root 権限で実行してください:<br />
<br />
# mkinitcpio -p linux<br />
<br />
=== ブートローダーの設定 ===<br />
<br />
上の例の場合、ブートローダーの設定で root デバイスのカーネルオプションを以下のように変更します:<br />
cryptdevice=/dev/mapper/MyVol-lvroot:root root=/dev/mapper/root<br />
詳しくは [[Dm-crypt/システム設定#ブートローダー]] を見て下さい。<br />
<br />
=== fstab と crypttab の設定 ===<br />
{{hc|/etc/fstab|<br />
/dev/mapper/root / ext4 defaults 0 1<br />
/dev/sda1 /boot ext4 defaults 0 2<br />
/dev/mapper/tmp /tmp tmpfs defaults 0 0<br />
/dev/mapper/swap none swap sw 0 0}}<br />
以下の [[Dm-crypt/システム設定#crypttab|crypttab]] オプションは再起動するたびに一時ファイルシステムを暗号化します:<br />
{{hc|/etc/crypttab|<br />
swap /dev/mapper/MyVol-swap /dev/urandom swap,cipher<nowiki>=aes-xts-plain64,size=</nowiki>256<br />
tmp /dev/mapper/MyVol-tmp /dev/urandom tmp,cipher<nowiki>=aes-xts-plain64,size=</nowiki>256<br />
}}<br />
<br />
=== 論理ボリューム /home の暗号化 ===<br />
Since this scenario uses LVM as the primary and dm-crypt as secondary mapper, each encrypted logical volume requires its own encryption. Yet, unlike the temporary filesystems configured with volatile encryption above, the logical volume for {{ic|/home}} should be persistent, of course. The following assumes you have rebooted into the installed system, otherwise you have to adjust paths.<br />
To safe on entering a second passphrase at boot for it, a [[Dm-crypt/デバイスの暗号化#キーファイル|keyfile]] is created: <br />
# mkdir -m 700 /etc/luks-keys<br />
# dd if=/dev/random of=/etc/luks-keys/home bs=1 count=256 status=progress<br />
<br />
論理ボリュームは以下のように暗号化します:<br />
# cryptsetup luksFormat -v -s 512 /dev/mapper/MyVol-home /etc/luks-keys/home<br />
# cryptsetup -d /etc/luks-keys/home open /dev/mapper/MyVol-home home<br />
# mkfs.ext4 /dev/mapper/home<br />
# mount /dev/mapper/home /home<br />
暗号化されたマウントは [[Dm-crypt/システム設定#crypttab|crypttab]] で設定します:<br />
{{hc|/etc/crypttab|<br />
home /dev/mapper/MyVol-home /etc/luks-keys/home}}<br />
{{hc|/etc/fstab|<br />
/dev/mapper/home /home ext4 defaults 0 2}}<br />
これでセットアップは完了です。<br />
<br />
If you want to expand the logical volume for {{ic|/home}} (or any other volume) at a later point, it is important to note that the LUKS encrypted part has to be resized as well. For a procedure see [[Dm-crypt/特記事項#LVM を複数のディスクに拡張]].<br />
<br />
== ソフトウェア RAID と LUKS ==<br />
<br />
以下の例では同じ容量の SSD を2台とストレージ用の HDD を搭載したワークステーション向けノートパソコンの設定を元にしています。最終的には LUKS ベースの ({{ic|/boot}} を含む) 完全ディスク暗号化を実現し、SSD は [[RAID|RAID0]] アレイにして、起動時に [[GRUB]] にパスフレーズを指定した後にキーファイルで暗号化を解除します。SSD の [[TRIM]] のサポートは有効にしますが、[[Dm-crypt/特記事項#ソリッドステートドライブ (SSD) の Discard/TRIM のサポート]]も読むと良いでしょう。<br />
<br />
非常にシンプルなパーティションスキームを使用し、RAID ストレージは全て {{ic|/}} にマウントして ({{ic|/boot}} パーティションは分割しません)、HDD は {{ic|/mnt/data}} にマウントします。システムは BIOS モードで起動し [[パーティショニング|GPT]] でパーティショニングします。<br />
<br />
定期的に[[バックアップ]]を取ることが非常に重要です。SSD のどちらかが故障すると、RAID アレイに保存されていたデータは復元できなくなります。耐障害性が大事なのであれば [[RAID#通常の RAID レベル|RAID レベル]]を慎重に選択してください。<br />
<br />
The encryption is not deniable in this setup.<br />
<br />
For the sake of the instructions below, the following block devices are used:<br />
/dev/sda = first SSD<br />
/dev/sdb = second SSD<br />
/dev/sdc = HDD<br />
Be sure to substitue them with the appropriate device designations for your setup, as they may be different.<br />
<br />
=== ディスクの準備 ===<br />
<br />
パーティションを作成する前に、[[Dm-crypt/ドライブの準備]]に書かれているようにディスクの完全消去について考慮してください。<br />
<br />
[[GRUB]] ブートローダーを [[GPT]] で使用する場合、[[GRUB#BIOS システム]]に書かれているように BIOS Boot Partition を作成する必要があります。例として {{ic|/dev/sda1}} に "BIOS boot" の 1M パーティションを作成して、残りの空き容量は全て "Linux RAID" として {{ic|/dev/sda2}} にパーティションします。<br />
<br />
{{ic|/dev/sda}} にパーティションを作成したら以下のコマンドを使って {{ic|/dev/sdb}} に複製:<br />
# sfdisk -d /dev/sda > sda.dump<br />
# sfdisk /dev/sdb < sda.dump<br />
<br />
The HDD is prepared with a single Linux partition covering the whole drive at {{ic|/dev/sdc1}}.<br />
<br />
=== RAID アレイの構築 ===<br />
<br />
Create the RAID array for the SSDs. This example utilizes RAID0, you may wish to substitute a different level based on your preferences or requirements. <br />
# mdadm --create --verbose --level=0 --metadata=1.2 --raid-devices=2 /dev/md0 /dev/sda2 /dev/sdb2<br />
<br />
=== ブロックデバイスの準備 ===<br />
<br />
[[Dm-crypt/ドライブの準備]]に書かれているように {{ic|/dev/zero}} を使ってデバイスを消去してからランダムなキーでデバイスを暗号化してください。もしくは {{ic|dd}} で {{ic|/dev/random}} や {{ic|/dev/urandom}} を使うこともできます:<br />
# cryptsetup open --type plain /dev/md0 container --key-file /dev/random<br />
# dd if=/dev/zero of=/dev/mapper/container bs=1M status=progress<br />
# cryptsetup close container<br />
<br />
And repeat above for the HDD ({{ic|/dev/sdc1}} in this example).<br />
<br />
Set up encryption for {{ic|/dev/md0}}:<br />
# cryptsetup -y -v luksFormat -c aes-xts-plain64 -s 512 /dev/md0<br />
# cryptsetup open /dev/md0 cryptroot<br />
# mkfs.ext4 /dev/mapper/cryptroot<br />
# mount /dev/mapper/cryptroot /mnt<br />
<br />
And repeat for the HDD:<br />
# cryptsetup -y -v luksFormat -c aes-xts-plain64 -s 512 /dev/sdc1<br />
# cryptsetup open /dev/sdc1 cryptdata<br />
# mkfs.ext4 /dev/mapper/cryptdata<br />
# mkdir -p /mnt/mnt/data<br />
# mount /dev/mapper/cryptdata /mnt/mnt/data<br />
<br />
=== ブートローダーの設定 ===<br />
<br />
Configure [[GRUB]] for the encrypted system by editing {{ic|/etc/default/grub}} with the following. Note that the {{ic|:allow-discards}} option enables TRIM support on the SSDs, if you do not wish to use it you should omit this.<br />
GRUB_CMDLINE_LINUX="cryptdevice=/dev/md0:cryptroot:allow-discards root=/dev/mapper/cryptroot"<br />
GRUB_ENABLE_CRYPTODISK=y<br />
<br />
詳しくは [[Dm-crypt/システム設定#ブートローダー]]や [[GRUB#暗号化された /boot]]を見てください。<br />
<br />
Complete the GRUB install to both SSDs (in reality, installing only to {{ic|/dev/sda}} will work).<br />
# grub-install --target=i386-pc /dev/sda<br />
# grub-install --target=i386-pc /dev/sdb<br />
# grub-mkconfig -o /boot/grub/grub.cfg<br />
<br />
=== キーファイルの作成 ===<br />
<br />
システムの起動時にパスフレーズを二回入力する手間を省く設定です。[[dm-crypt/デバイスの暗号化#キーファイル|キーファイル]]を作成して initramfs イメージに追加することで encrypt フックでルートデバイスを解除できるようにします。詳しくは [[dm-crypt/デバイスの暗号化#キーファイルを initramfs に埋め込む]] を参照。<br />
<br />
* [[dm-crypt/デバイスの暗号化#キーファイル|キーファイル]]を作成して {{ic|/dev/md0}} にキーを追加。<br />
* HDD ({{ic|/dev/sdc1}}) のキーファイルを作成することで起動時に解錠が可能です。上記で作成したパスフレーズは残すことで後で必要になったときに復旧が簡単です。{{ic|/etc/crypttab}} を編集して起動時に HDD を復号化してください。詳しくは [[dm-crypt/デバイスの暗号化#起動時にロックを解除]]を参照。<br />
<br />
=== システムの設定 ===<br />
<br />
[[fstab|/etc/fstab]] を編集して cryptroot と cryptdata ブロックデバイスをマウントしてください。TRIM のサポートを有効にしなかった場合、{{ic|discard}} マウントオプションは削除してください:<br />
<br />
/dev/mapper/cryptroot / ext4 rw,noatime,discard 0 1 <br />
/dev/mapper/cryptdata /mnt/data ext4 defaults 0 2 <br />
<br />
RAID の設定を保存:<br />
<br />
# mdadm --detail --scan > /etc/mdadm.conf <br />
<br />
[[mkinitcpio.conf]] を編集してキーファイルを適切なフックを追加してください:<br />
<br />
FILES=(/crypto_keyfile.bin)<br />
HOOKS=( ... '''keyboard''' '''keymap''' block '''mdadm_udev''' '''encrypt''' filesystems ... )<br />
<br />
詳しくは [[dm-crypt/システム設定#mkinitcpio]] を参照。<br />
<br />
== Plain dm-crypt ==<br />
<br />
Contrary to LUKS, dm-crypt ''plain'' mode does not require a header on the encrypted device: this scenario exploits this feature to set up a system on an unpartitioned, encrypted disk that will be indistinguishable from a disk filled with random data, which could allow [[Wikipedia:Deniable encryption|deniable encryption]]. See also [[wikipedia:Disk encryption#Full disk encryption]].<br />
<br />
Note that if full-disk encryption is not required, the methods using LUKS described in the sections above are better options for both system encryption and encrypted partitions. LUKS features like key management with multiple passphrases/key-files or re-encrypting a device in-place are unavailable with ''plain'' mode.<br />
<br />
''Plain'' dm-crypt encryption can be more resilient to damage than LUKS encrypted disks, because it does not rely on an encryption master-key which can be a single-point of failure if damaged. However, using ''plain'' mode also requires more manual configuration of encryption options to achieve the same cryptographic strength. See also [[ディスク暗号化#暗号メタデータ]]. Using ''plain'' mode could also be considered if concerned with the problems explained in [[Dm-crypt/特記事項#ソリッドステートドライブ (SSD) の Discard/TRIM のサポート]].<br />
<br />
{{Tip|If headerless encryption is your goal but you are unsure about the lack of key-derivation with ''plain'' mode, then two alternatives are:<br />
* dm-crypt LUKS mode by using the ''cryptsetup'' {{ic|--header}} option. It cannot be used with the standard ''encrypt'' hook, but the hook [[Dm-crypt/特記事項#リモート LUKS ヘッダーを使ってシステムを暗号化|may be modified]].<br />
* [[tcplay]] which offers headerless encryption but with the PBKDF2 function.}}<br />
<br />
このシナリオでは2つの USB スティックを使います:<br />
* one for the boot device, which also allows storing the options required to open/unlock the plain encrypted device in the boot loader configuration, since typing them on each boot would be error prone;<br />
* another for the encryption key file, assuming it stored as raw bits so that to the eyes of an unaware attacker who might get the usbkey the encryption key will appear as random data instead of being visible as a normal file. See also [[Wikipedia:Security through obscurity]], follow [[Dm-crypt/デバイスの暗号化#キーファイル]] to prepare the keyfile.<br />
<br />
|--------------------+------------------+--------------------+ +---------------+ +---------------+<br />
|Volume 1: |Volume 2: |Volume 3: | |Boot device | |Encryption key |<br />
| | | | | | |file storage |<br />
|root |swap |home | |/boot | |(unpartitioned |<br />
| | | | | | |in example) |<br />
|/dev/store/root |/dev/store/swap |/dev/store/home | |/dev/sdY1 | |/dev/sdZ |<br />
|--------------------+------------------+--------------------| |---------------| |---------------|<br />
|disk drive /dev/sdaX encrypted using plain mode and LVM | |USB stick 1 | |USB stick 2 |<br />
+------------------------------------------------------------+ +---------------+ +---------------+<br />
<br />
{{Tip|<br />
* It is also possible to use a single usb key by copying the keyfile to the initram directly. An example keyfile {{ic|/etc/keyfile}} gets copied to the initram image by setting {{ic|1=FILES=(/etc/keyfile)}} in {{ic|/etc/mkinitcpio.conf}}. The way to instruct the {{ic|encrypt}} hook to read the keyfile in the initram image is using {{ic|rootfs:}} prefix before the filename, e.g. {{ic|cryptkey&#61;rootfs:/etc/keyfile}}.<br />
* [[ディスク暗号化#強固なパスフレーズの選択|エントロピー]]が十分なパスフレーズを使用するという選択肢も存在します。<br />
}}<br />
<br />
=== ディスクの準備 ===<br />
<br />
It is vital that the mapped device is filled with data. In particular this applies to the scenario usecase we apply here. <br />
<br />
[[Dm-crypt/ドライブの準備]] や [[Dm-crypt/ドライブの準備#dm-crypt 固有の方法]] を見て下さい。<br />
<br />
=== boot 以外のパーティションの準備 ===<br />
<br />
詳しくは [[Dm-crypt/デバイスの暗号化#plain モードの暗号化オプション]] を参照。<br />
<br />
Using the device {{ic|/dev/sd''X''}}, with the twofish-xts cipher with a 512 bit key size and using a keyfile we have the following options for this scenario:<br />
{{bc|<nowiki># cryptsetup --hash=sha512 --cipher=twofish-xts-plain64 --offset=0 --key-file=</nowiki>/dev/sd''Z'' <nowiki>--key-size=512 open --type=plain /dev/sdX enc</nowiki>}}<br />
Unlike encrypting with LUKS, the above command must be executed ''in full'' whenever the mapping needs to be re-established, so it is important to remember the cipher, hash and key file details. <br />
<br />
We can now check a mapping entry has been made for {{ic|/dev/mapper/enc}}:<br />
# fdisk -l<br />
<br />
Next, we setup [[LVM]] logical volumes on the mapped device, see [[LVM#Arch Linux を LVM にインストールする]] for further details: <br />
# pvcreate /dev/mapper/enc<br />
# vgcreate store /dev/mapper/enc<br />
# lvcreate -L 20G store -n root<br />
# lvcreate -L 10G store -n swap<br />
# lvcreate -l +100%FREE store -n home<br />
論理ボリュームをフォーマットしてマウントします。詳しくは[[ファイルシステム#デバイスのフォーマット]]を見て下さい <br />
# mkfs.ext4 /dev/store/root<br />
# mkfs.ext4 /dev/store/home<br />
# mount /dev/store/root /mnt<br />
# mkdir /mnt/home<br />
# mount /dev/store/home /mnt/home<br />
# mkswap /dev/store/swap<br />
# swapon /dev/store/swap<br />
<br />
=== boot パーティションの準備 ===<br />
必要であれば、USB スティックの vfat パーティションに {{ic|/boot}} パーティションをインストールできます。ただし、手動のパーティションが必要な場合、小さな 200MB のパーティションで十分です。お好きな [[パーティショニング#パーティショニングツール|パーティションツール]]を使ってパーティションを作成してください。<br />
<br />
vfat でフォーマットされていない場合、{{ic|/boot}} パーティションのフラッシュメモリを保護するため非ジャーナリングファイルシステムを選択します:<br />
# mkfs.ext2 /dev/sd''Y''1<br />
# mkdir /mnt/boot<br />
# mount /dev/sd''Y''1 /mnt/boot<br />
<br />
=== mkinitcpio の設定 ===<br />
<br />
{{ic|keyboard}}, {{ic|encrypt}}, {{ic|lvm2}} フックを [[mkinitcpio|mkinitcpio.conf]] 内の {{ic|filesystems}} の前に追加します:<br />
{{hc|etc/mkinitcpio.conf|2=HOOKS=(... '''keyboard''' '''keymap''' block '''encrypt''' '''lvm2''' ... filesystems ...)}}<br />
<br />
他に必要なフックについては [[dm-crypt/システム設定#mkinitcpio]] を見て下さい。<br />
<br />
設定後はイメージを再生成してください:<br />
<br />
# mkinitcpio -p linux<br />
<br />
=== ブートローダーの設定 ===<br />
<br />
暗号化した root パーティションを起動するには、以下のカーネルパラメータをブートローダーで設定する必要があります:<br />
<br />
cryptdevice=/dev/sd''X'':enc cryptkey=/dev/sd''Z'':0:512 crypto=sha512:twofish-xts-plain64:512:0:<br />
<br />
{{Note|encrypt の代わりに sd-encrypt を使用する場合、cryptdevice の代わりに {{ic|''luks.uuid''}} を使ってください。詳しくは ''systemd-cryptsetup-generator(8)'' を参照。}}<br />
<br />
他に必要なパラメータについては [[Dm-crypt/システム設定#ブートローダー]] を見て下さい。<br />
<br />
{{Tip|GRUB を使用する場合、次のコマンドを使うことで {{ic|/boot}} パーティションと同じ USB にインストールすることができます:<br />
# grub-install --recheck /dev/sd''Y''<br />
}}<br />
<br />
===インストール後===<br />
<br />
起動後に USB スティックは取り除けます。{{ic|/boot}} パーティションは通常は必要ないため、{{ic|noauto}} オプションを {{ic|/etc/fstab}} に追加できます:<br />
<br />
{{hc|/etc/fstab|<br />
# /dev/sd''Yn''<br />
/dev/sd''Yn'' /boot ext2 '''noauto''',rw,noatime 0 2}}<br />
<br />
ただしカーネルやブートローダーのアップグレードが必要なときは、{{ic|/boot}} パーティションがマウントされていなければなりません。{{ic|fstab}} に既にエントリが存在すれば、次のコマンドでマウントできます:<br />
<br />
# mount /boot<br />
<br />
== boot パーティションの暗号化 (GRUB) ==<br />
<br />
このセットアップでは [[#LVM on LUKS]] セクションと同じパーティションレイアウト・設定でシステムのルートパーティションを設定しますが、違いが2つあります:<br />
<br />
# セットアップは [[UEFI]] 環境で行います。<br />
# [[GRUB]] ブートローダーの特殊機能を使用してブートパーティション {{ic|/boot}} も暗号化します。[[GRUB#暗号化された /boot]]を見てください。<br />
<br />
ディスクレイアウトは以下のようになります:<br />
<br />
+---------------+----------------+----------------+----------------+----------------+<br />
|ESP partition: |Boot partition: |Volume 1: |Volume 2: |Volume 3: |<br />
| | | | | |<br />
|/boot/efi |/boot |root |swap |home |<br />
| | | | | |<br />
| | |/dev/store/root |/dev/store/swap |/dev/store/home |<br />
|/dev/sdaX |/dev/sdaY +----------------+----------------+----------------+<br />
|'''un'''encrypted |LUKS encrypted |/dev/sdaZ encrypted using LVM on LUKS |<br />
+---------------+----------------+--------------------------------------------------+<br />
<br />
{{Tip|All scenarios are intended as examples. It is, of course, possible to apply both of the two above distinct installation steps with the other scenarios as well. See also the variants linked in [[#LVM on LUKS]].}}<br />
{{Note|{{AUR|cryptboot}} パッケージの {{ic|cryptboot}} スクリプトを使うことで暗号化された boot の管理 (マウント・アンマウント・パッケージのアップグレード) を簡単にできます。また、[[セキュアブート#自分で署名した鍵を使う|UEFI Secure Boot]] を使用して [https://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html 悪意あるメイド] 攻撃から身を守ることができます。詳しくは [https://github.com/xmikos/cryptboot cryptboot のプロジェクトページ] を参照。}}<br />
<br />
=== ディスクの準備 ===<br />
<br />
パーティションを作成する前に、[[Dm-crypt/ドライブの準備]]に書かれているように、ディスクを完全に消去するようにしてください。<br />
<br />
[[Unified_Extensible_Firmware_Interface#EFI_System_Partition|EFI System Partition (ESP)]] を適当な容量で作成してください。後で {{ic|/boot/efi}} にマウントします。<br />
<br />
{{ic|/boot}} にマウントするパーティションをタイプ {{ic|8300}} の容量 100 MB 以上で作成します。<br />
<br />
{{Tip|BIOS/[[GPT]] で [[GRUB]] ブートローダーを使用する場合は、[[GRUB#BIOS システム]]に書かれているように ESP の代わりに BIOS Boot Partition を作成してください。}}<br />
<br />
タイプ {{ic|8E00}} のパーティションを作成してください。後で暗号化コンテナを入れます。<br />
<br />
"system" パーティションに LUKS 暗号化コンテナを作成してください。<br />
<br />
# cryptsetup luksFormat /dev/''sdaZ''<br />
<br />
上記のコマンドの cryptsetup で使えるオプションについては [[Dm-crypt/デバイスの暗号化#LUKS モードの暗号化オプション|LUKS 暗号化オプション]]を参照してください。<br />
<br />
パーティションレイアウトは以下のようになります:<br />
{{hc|# gdisk /dev/sda |<br />
Number Start (sector) End (sector) Size Code Name<br />
1 2048 1050623 512.0 MiB EF00 EFI System<br />
2 1050624 1460223 200.0 MiB 8300 Linux filesystem<br />
3 1460224 41943006 19.3 GiB 8E00 Linux LVM<br />
}}<br />
<br />
コンテナを開く:<br />
<br />
# cryptsetup open --type luks /dev/''sdaZ'' lvm<br />
<br />
復号化されたコンテナは {{ic|/dev/mapper/lvm}} から利用できます。<br />
<br />
=== 論理ボリュームの準備 ===<br />
<br />
The LVM logical volumes of this example follow the exact layout as the previous scenario. Therefore, please follow [[#論理ボリュームの準備|Preparing the logical volumes]] above or adjust as required.<br />
<br />
=== boot パーティションの準備 ===<br />
<br />
ブートローダーは {{ic|/boot}} ディレクトリからカーネルや [[initramfs]]、あるいはブートローダーの設定ファイルをロードします。<br />
<br />
まず、ファイルを配置・インストールするための LUKS コンテナを作成:<br />
<br />
# cryptsetup luksFormat /dev/sda''Y''<br />
<br />
次に、コンテナをオープン:<br />
# cryptsetup open /dev/sda''Y'' cryptboot <br />
<br />
{{ic|/boot}} にするパーティションにファイルシステムを作成。ブートローダーから読み込めるならどんなファイルシステムでもかまいません:<br />
<br />
# mkfs.ext2 /dev/mapper/''cryptboot''<br />
<br />
{{ic|/mnt/boot}} ディレクトリを作成:<br />
<br />
# mkdir /mnt/boot<br />
<br />
パーティションを {{ic|/mnt/boot}} にマウント:<br />
<br />
# mount /dev/mapper/''cryptboot'' /mnt/boot<br />
<br />
{{ic|grub-install}} から利用できるように [[Unified_Extensible_Firmware_Interface#EFI_System_Partition|ESP]] のマウントポイントを {{ic|/boot/efi}} に作成してマウント:<br />
<br />
# mkdir /mnt/boot/efi<br />
# mount /dev/''sdaX'' /mnt/boot/efi<br />
<br />
この時点で、{{ic|/mnt}} の中に以下のパーティションと論理ボリュームが作成されているはずです:<br />
{{hc|$ lsblk|<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
sda 8:0 0 200G 0 disk <br />
├─sda1 8:1 0 512M 0 part /boot/efi<br />
├─sda2 8:2 0 200M 0 part <br />
│ └─boot 254:0 0 198M 0 crypt /boot<br />
└─sda3 8:3 0 100G 0 part <br />
└─lvm 254:1 0 100G 0 crypt <br />
├─MyStorage-swapvol 254:2 0 8G 0 lvm [SWAP]<br />
├─MyStorage-rootvol 254:3 0 15G 0 lvm /<br />
└─MyStorage-homevol 254:4 0 77G 0 lvm /home<br />
}}<br />
<br />
インストールの手順を mkinitcpio の設定まで進めてください。<br />
<br />
=== mkinitcpio の設定 ===<br />
<br />
[[mkinitcpio|mkinitcpio.conf]] に {{ic|keyboard}}, {{ic|encrypt}}, {{ic|lvm2}} フックを追加:<br />
{{hc|/etc/mkinitcpio.conf|2=HOOKS=(... '''keyboard''' '''keymap''' block '''encrypt''' '''lvm2''' ... filesystems ...)}}<br />
<br />
詳細や必要な他のフックについては [[dm-crypt/システム設定#mkinitcpio]] を参照。<br />
<br />
<br />
設定後はイメージを再生成してください:<br />
<br />
# mkinitcpio -p linux<br />
<br />
=== ブートローダーの設定 ===<br />
<br />
起動時に LUKS で暗号化された {{ic|/boot}} パーティションを認識して暗号化された root パーティションの暗号化が解除されるように GRUB を設定:<br />
<br />
{{hc|/etc/default/grub|2=<br />
GRUB_CMDLINE_LINUX="... cryptdevice=UUID=''<device-UUID>'':lvm ..."<br />
GRUB_ENABLE_CRYPTODISK=y<br />
}}<br />
<br />
詳しくは [[Dm-crypt/システム設定#ブートローダー]]や [[GRUB#暗号化された /boot]]を参照。{{ic|''<device-UUID>''}} は {{ic|/dev/sdaZ}} (ルートファイルシステムが存在する LVM が含まれているパーティション) の UUID に置き換えてください。詳しくは[[永続的なブロックデバイスの命名]]を参照。<br />
<br />
GRUB の[[GRUB#メイン設定ファイルの生成|設定ファイル]]を作成して、マウントされている ESP に [[GRUB#インストール|GRUB をインストール]]:<br />
<br />
# grub-mkconfig -o /boot/grub/grub.cfg<br />
# grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=grub --recheck<br />
<br />
設定に問題がなければ、次の起動時に GRUB は {{ic|/boot}} パーティションのロックを解除するためのパスフレーズを要求するはずです。<br />
<br />
=== fstab と crypttab の設定 ===<br />
<br />
This section deals with extra configuration to let the system '''mount''' the encrypted {{ic|/boot}}. <br />
<br />
While GRUB asks for a passphrase to unlock the encrypted {{ic|/boot}} after above instructions, the partition unlock is not passed on to the initramfs. Hence, {{ic|/boot}} will not be available after the system has re-/booted, because the {{ic|encrypt}} hook only unlocks the system's root. <br />
<br />
インストール時に ''genfstab'' スクリプトを使用した場合、{{ic|/boot}} と {{ic|/boot/efi}} マウントポイントのエントリが含まれた {{ic|/etc/fstab}} が作成されています。しかしながらシステムはブートパーティションに生成されたデバイスマッパーを見つけることができません。デバイスマッパーを使えるようにするために、以下を [[Dm-crypt/システム設定#crypttab|crypttab]] に追加してください。例: <br />
<br />
{{hc|/etc/crypttab|<br />
cryptboot /dev/sdaY none luks}}<br />
<br />
上記を設定するとパスフレーズが二回要求されるようになります (GRUB と systemd ユニットでそれぞれ一回ずつ入力しなくてはなりません)。{{ic|/boot}} のロックを解除するエントリを重複させたくない場合、[[Dm-crypt/デバイスの暗号化#キーファイル]]の指示に従ってください: <br />
<br />
# [[Dm-crypt/デバイスの暗号化#ファイルシステムにキーファイルを保存|ランダムなテキストのキーファイル]]を作成<br />
# キーファイルを ({{ic|/dev/sdaY}}) [[Dm-crypt/デバイスの暗号化#キーファイルを使用するように LUKS を設定|ブートパーティションの LUKS ヘッダ]]に追加<br />
# {{ic|/etc/fstab}} のエントリを確認して[[Dm-crypt/デバイスの暗号化#起動時にロックを解除|起動時に自動的にロックが解除]]されるように {{ic|/etc/crypttab}} 行を追加<br />
<br />
何らかの理由でキーファイルを使って boot パーティションのロックを解除できなかった場合、systemd はフォールバックして解除するためのパスフレーズを要求します。パスフレーズが正しければ、起動に進みます。<br />
<br />
{{Tip|Optional post-installation steps: <br />
* It may be worth considering to add the GRUB bootloader to the ignore list of {{ic|/etc/pacman.conf}} in order to take particular control of when the bootloader (which includes its own encryption modules) is updated. <br />
* If you want to encrypt the {{ic|/boot}} partition to protect against offline tampering threats, the [[Dm-crypt/特記事項#mkinitcpio-chkcryptoboot|mkinitcpio-chkcryptoboot]] hook has been contributed to help.}}<br />
<br />
== Btrfs サブボリュームとスワップ ==<br />
<br />
以下の例では [[Btrfs]] のサブボリュームを使って LUKS によるフルシステム暗号化を作成します。<br />
<br />
UEFI を使っている場合、[[EFI システムパーティション]] (ESP) が必要です。{{ic|/boot}} は {{ic|/}} の中に保存して暗号化することができますが、ESP を暗号化することは不可能です。ここでは例として、ESP は {{ic|/dev/sda''Y''}} で {{ic|/boot/efi}} にマウントするとします。{{ic|/boot}} はシステムパーティション ({{ic|/dev/sda''X''}}) に保存します。<br />
<br />
{{ic|/boot}} を暗号化された {{ic|/}} の中に配置するため、ブートローダーは [[GRUB]] を使用する必要があります。GRUB だけが {{ic|/boot}} を復号化するのに必要なモジュールをロードできるからです (例: {{ic|crypto.mod}}, {{ic|cryptodisk.mod}}, {{ic|luks.mod}}) [http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/]。<br />
<br />
さらに任意で暗号化した[[スワップ]]パーティションも作成します。<br />
<br />
{{Warning|スワップパーティションのかわりとして[[スワップファイル]]を使うことはできません。データを消失する可能性があります。[[Btrfs#スワップファイル]]を見てください。}}<br />
<br />
+--------------------------+--------------------------+--------------------------+<br />
|ESP |System partition |Swap partition |<br />
|'''un'''encrypted |LUKS-encrypted |plain-encrypted |<br />
| | | |<br />
|/boot/efi |/ | |<br />
|/dev/sda''Y'' |/dev/sda''X'' |/dev/sda''Z'' |<br />
|--------------------------+--------------------------+--------------------------+<br />
<br />
=== ディスクの準備 ===<br />
<br />
{{Note|LUKS を使用する場合に[[Btrfs#パーティショニング|パーティションしない Btrfs ディスク]]を使用することは不可能です。作成するパーティションがひとつだけの場合でも伝統的なパーティショニングが必須です。}}<br />
<br />
パーティションを作成する前に、[[dm-crypt/ドライブの準備]]に書かれているようにディスクを完全消去するようにしてください。[[UEFI]] を使っている場合、適当なサイズの [[EFI システムパーティション]]を作成してください。後で {{ic|/boot/efi}} にマウントします。スワップパーティションを暗号化する場合、パーティションを作成してもスワップとして設定してはいけません。plain ''dm-crypt'' でパーティションを使用するためです。<br />
<br />
必要なパーティションを作成してください。最低でも {{ic|/}} のパーティションが必要です (例: {{ic|/dev/sda''X''}})。[[パーティショニング]]の記事を見てください。<br />
<br />
=== システムパーティションの準備 ===<br />
<br />
==== LUKS コンテナの作成 ====<br />
<br />
[[dm-crypt/デバイスの暗号化#LUKS モードでデバイスを暗号化]]に従って {{ic|/dev/sda''X''}} を LUKS で設定してください。設定する前に [[Dm-crypt/デバイスの暗号化#LUKS モードの暗号化オプション]]を見てください。<br />
<br />
==== LUKS コンテナの解錠 ====<br />
<br />
[[dm-crypt/デバイスの暗号化#デバイスマッパーで LUKS パーティションのロックを解除・マップ]]に従って LUKS コンテナを解錠してマッピングしてください。<br />
<br />
==== マッピングされたデバイスのフォーマット ====<br />
<br />
[[Btrfs#新しいファイルシステムを作成する]]に書かれているようにデバイスをフォーマットしてください。{{ic|''/dev/partition''}} はマップしたデバイスの名前 ({{ic|cryptroot}}) に置き換えてください。{{ic|/dev/sda''X''}} を使ってはいけません。<br />
<br />
==== マッピングされたデバイスのマウント ====<br />
<br />
最後に、フォーマットされたマップ済みデバイス ({{ic|/dev/mapper/cryptroot}}) を {{ic|/mnt}} に[[マウント]]してください。<br />
<br />
{{Tip|{{ic|1=compress=lzo}} マウントオプションを使うと良いでしょう。詳しくは [[Btrfs#圧縮]]を見てください。}}<br />
<br />
=== btrfs サブボリュームの作成 ===<br />
<br />
==== レイアウト ====<br />
<br />
[[Btrfs#サブボリューム|サブボリューム]]をパーティションのように使いますが、他の (ネストした) サブボリュームも作成します。以下は作成するサブボリュームの例を示しています:<br />
<br />
subvolid=5 (/dev/sda''X'')<br />
|<br />
├── @ (mounted as /)<br />
| |<br />
| ├── /bin (directory)<br />
| |<br />
| ├── /home (mounted @home subvolume)<br />
| |<br />
| ├── /usr (directory)<br />
| |<br />
| ├── /.snapshots (mounted @snapshots subvolume)<br />
| |<br />
| ├── /var/cache/pacman/pkg (nested subvolume)<br />
| |<br />
| ├── ... (other directories and nested subvolumes)<br />
|<br />
├── @snapshots (mounted as /.snapshots)<br />
|<br />
├── @home (mounted as /home)<br />
|<br />
└── @... (additional subvolumes you wish to use as mount points)<br />
<br />
このセクションでは [[Snapper]] を使うときに便利な [[Snapper#推奨ファイルシステムレイアウト]]に従います。[https://btrfs.wiki.kernel.org/index.php/SysadminGuide#Layout Btrfs Wiki SysadminGuide#Layout] も読んでください。<br />
<br />
==== トップレベルサブボリュームの作成 ====<br />
<br />
マウントポイントとして使用するサブボリュームの名前には {{ic|@}} を前に付けます。{{ic|/}} にマウントするサブボリュームは {{ic|@}} とします。<br />
<br />
[[Btrfs#サブボリュームを作成する]]に従って {{ic|/mnt/@}}, {{ic|/mnt/@snapshots}}, {{ic|/mnt/@home}} にサブボリュームを作成します。<br />
<br />
他にマウントポイントとして使用したいサブボリュームも作成してください。<br />
<br />
==== トップレベルサブボリュームのマウント ====<br />
<br />
{{ic|/mnt}} のシステムパーティションをアンマウントしてください。<br />
<br />
{{ic|/}} として使用する、新しく作成した {{ic|@}} サブボリュームを {{ic|1=subvol=}} マウントオプションを使って {{ic|/mnt}} にマウントします。マップしたデバイスの名前が {{ic|cryptroot}} なら、コマンドは以下のようになります:<br />
<br />
# mount -o compress=lzo,subvol=@ /dev/mapper/cryptroot /mnt<br />
<br />
詳しくは [[Btrfs#サブボリュームをマウントする]]を見てください。<br />
<br />
他のサブボリュームを適切なマウントポイントにマウントしてください: {{ic|@home}} は {{ic|/mnt/home}} に、{{ic|@snapshots}} は {{ic|/mnt/.snapshots}} にマウントします。<br />
<br />
==== ネストされたサブボリュームの作成 ====<br />
<br />
{{ic|/}} のスナップショットが作成されるときに、スナップショットを作りたくないサブボリュームを作成してください。例えば、{{ic|/var/cache/pacman/pkg}} のスナップショットなどは不要でしょう。サブボリュームは {{ic|@}} サブボリュームの下にネストしますが、{{ic|@}} と同じレベルに作成することもできます。<br />
<br />
{{ic|@}} サブボリュームは {{ic|/mnt}} にマウントするため、{{ic|/mnt/var/cache/pacman/pkg}} に[[Btrfs#サブボリュームを作成する|サブボリュームを作成]]する必要があります。先に親のディレクトリを作成してください。<br />
<br />
他にも {{ic|/var/abs}}, {{ic|/var/tmp}}, {{ic|/srv}} などのディレクトリのサブボリュームを作成してください。<br />
<br />
==== ESP のマウント ====<br />
<br />
EFI システムパーティションを準備済みなら、マウントポイントを作成してマウントしてください。<br />
<br />
{{Note|Btrfs のスナップショットは {{ic|/boot/efi}} を除外します (btrfs ファイルシステムではないため)。}}<br />
<br />
[[インストールガイド#ベースシステムのインストール|pacstrap]] でインストールを行うときに、{{Pkg|btrfs-progs}} もインストールする必要があります。<br />
<br />
=== mkinitcpio の設定 ===<br />
<br />
==== キーファイルの作成 ====<br />
<br />
GRUB で LUKS パーティションを解錠するために、initramfs にキーファイルを埋め込みます。[[Dm-crypt/デバイスの暗号化#キーファイルを initramfs に埋め込む]]に従って ''luksAddKey'' を実行する段階でキーを {{ic|/dev/sda''X''}} に追加してください。<br />
<br />
==== mkinitcpio.conf の編集 ====<br />
<br />
上記のようにキーファイルを作成して埋め込んだら、[[mkinitcpio|mkinitcpio.conf]] に {{ic|encrypt}} フックを追加してください。詳しくは [[Dm-crypt/システム設定#mkinitcpio]] を参照。設定後は initramfs を再生成する必要があります。<br />
<br />
{{Tip|{{ic|1=BINARIES=(/usr/bin/btrfs)}} を {{ic|mkinitcpio.conf}} に追加すると良いでしょう。詳しくは [[Btrfs#ファイルシステム破損のリカバリ]] を見てください。}}<br />
<br />
=== ブートローダーの設定 ===<br />
<br />
[[GRUB]] を {{ic|/dev/sda}} にインストールします。そして [[GRUB#暗号化された /boot]]に書かれているように {{ic|/etc/default/grub}} を編集します (ルートパーティションと boot パーティションの両方の手順に従ってください)。最後に、GRUB の設定ファイルを生成します。<br />
<br />
=== スワップの設定 ===<br />
<br />
スワップを暗号化するためにパーティションを作成していた場合、ここで設定してください。[[Dm-crypt/スワップの暗号化]]の手順に従ってください。<br />
<br />
設定を完了したら、[[インストールガイド#再起動|インストールガイド]]にしたがって通常通りにシステムの設定を続行してください。</div>
Hkiku482
https://wiki.archlinux.jp/index.php?title=%E3%83%A6%E3%83%8B%E3%83%95%E3%82%A1%E3%82%A4%E3%83%89%E3%82%AB%E3%83%BC%E3%83%8D%E3%83%AB%E3%82%A4%E3%83%A1%E3%83%BC%E3%82%B8&diff=39724
ユニファイドカーネルイメージ
2025-02-14T15:04:16Z
<p>Hkiku482: /* kernel-install */ s/mkinitpcio/mkinitcpio/</p>
<hr />
<div>[[Category:ブートローダー]]<br />
[[en:Unified kernel image]]<br />
[[pt:Unified kernel image]]<br />
[https://uapi-group.org/specifications/specs/unified_kernel_image ユニファイドカーネルイメージ] (UKI) は、単一の実行可能ファイルであり、[[UEFI]] ファームウェアから直接起動するか、ほとんどまたは全く設定を必要とせずにブートローダーによって自動的に取得されます。これは {{man|7|systemd-stub}} のような UEFI ブートスタブプログラム、Linux [[Arch ブートプロセス#カーネル|カーネルイメージ]]、[[Arch ブートプロセス#initramfs|initrd]]、および [https://uapi-group.org/specifications/specs/unified_kernel_image/#uki-components その他のリソース] を単一の UEFI PE ファイルに組み合わせたものです。<br />
<br />
このファイルは、したがってこれらのすべての要素を[[Unified Extensible Firmware Interface/セキュアブート# EFI バイナリに署名する|署名]]して [[Secure Boot]] で使用することが容易になります。<br />
<br />
{{Note|記事全体で {{ic|''esp''}} は [[EFI システムパーティション]] のマウントポイントを表します。}}<br />
<br />
== ユニファイドカーネルイメージの準備 ==<br />
<br />
=== mkinitcpio ===<br />
<br />
==== カーネルコマンドライン ====<br />
<br />
[[mkinitcpio]] は、{{ic|/etc/cmdline.d}} ディレクトリ内のコマンドライン ファイルからの[[カーネルパラメータ]]の読み取りをサポートします。Mkinitcpio は、このディレクトリ内の {{ic|.conf}} 拡張子を持つすべてのファイルの内容を連結し、それらを使用してカーネルコマンドラインを生成します。コマンドラインファイル内の ''#'' 文字で始まる行はコメントとして扱われ、mkinitcpio によって無視されます。マイクロコードと initramfs を指す ''エントリを削除'' するように注意してください。<br />
<br />
例:<br />
<br />
{{hc|/etc/cmdline.d/root.conf|2=<br />
root=UUID=0a3407de-014b-458b-b5c1-848e92a327a3 rw<br />
}}<br />
<br />
{{Tip|<br />
* ルート ファイルシステムがデフォルト以外の Btrfs サブボリューム上にある場合は、必ず必要なマウントフラグを {{ic|rootflags}} に設定してください。[[Btrfs#ルートとしてサブボリュームをマウントする]] を参照してください。<br />
* たとえば、システムのサブボリューム ID が {{ic|256}} の場合 (サブボリューム ID は、{{ic|btrfs subvolume list ''btrfs_mountpoint''}} を使用して確認できます。または、{{ic|/etc/fstab}}) でフラグを見ることができます、カーネルコマンドラインに {{ic|1=rootflags=subvolid=256}} を追加する必要があります。<br />
* {{ic|rootflags}} は起動時にのみ使用されるため、{{ic|/etc/fstab}} 内のすべてのフラグをコピーする必要はありません。Systemd は fstab を読み取り、再マウントし、ブート後にそこにリストされているフラグを自動的に適用します。<br />
}}<br />
<br />
{{hc|/etc/cmdline.d/security.conf|2=<br />
# enable apparmor<br />
lsm=landlock,lockdown,yama,integrity,apparmor,bpf audit=1 audit_backlog_limit=256<br />
}}<br />
<br />
あるいは、{{ic|/etc/kernel/cmdline}} を使用してカーネルコマンドラインを構成することもできます。<br />
<br />
例:<br />
<br />
{{hc|/etc/kernel/cmdline|2=<br />
root=UUID=0a3407de-014b-458b-b5c1-848e92a327a3 rw quiet bgrt_disable<br />
}}<br />
<br />
{{Tip|<br />
* root パーティションが [[systemd# GPT パーティションの自動マウント|systemd によって自動マウントされる]] 場合、{{ic|1=root=}} パラメータは省略できます。<br />
* {{ic|bgrt_disable}} パラメータは、ACPI テーブルのロード後に OEM ロゴを表示しないように Linux に指示します。<br />
}}<br />
<br />
==== .preset ファイル ====<br />
<br />
次に、{{ic|/etc/mkinitcpio.d/linux.preset}}、または使用しているプリセットを、[[EFI システムパーティション]] の適切なマウントポイントを指定して、以下のように変更します:<br />
<br />
* {{ic|1=PRESETS=}} の各項目について、{{ic|1=''PRESET''_uki=}} パラメータのコメントを解除する (つまり {{ic|#}} を削除する)、<br />
* 冗長な {{ic|initramfs-*.img}} ファイルを保存しないように、{{ic|1=''PRESET''_image=}} をコメントアウトする、<br />
* オプションとして、スプラッシュイメージを追加したい各 {{ic|1=''PRESET''_options=}} 行に {{ic|--splash}} パラメータを追加またはコメント解除します。<br />
<br />
以下は {{Pkg|linux}} カーネルと Arch スプラッシュスクリーンの {{ic|linux.preset}} の例です。<br />
<br />
{{hc|/etc/mkinitcpio.d/linux.preset|2= <br />
# mkinitcpio preset file for the 'linux' package<br />
<br />
#ALL_config="/etc/mkinitcpio.conf"<br />
ALL_kver="/boot/vmlinuz-linux"<br />
<br />
PRESETS=('default' 'fallback')<br />
<br />
#default_config="/etc/mkinitcpio.conf"<br />
#default_image="/boot/initramfs-linux.img"<br />
default_uki="''esp''/EFI/Linux/arch-linux.efi"<br />
default_options="--splash=/usr/share/systemd/bootctl/splash-arch.bmp"<br />
<br />
#fallback_config="/etc/mkinitcpio.conf"<br />
#fallback_image="/boot/initramfs-linux-fallback.img"<br />
fallback_uki="''esp''/EFI/Linux/arch-linux-fallback.efi"<br />
fallback_options="-S autodetect"<br />
}}<br />
<br />
{{Tip|<br />
* 統一されたカーネルイメージからブートしたいだけであれば、[[EFI システムパーティション#典型的なマウントポイント|ESP のマウント]]を {{ic|/efi}} にして、[[ESP]] パーティションに存在する必要があるものだけをマウントすることができます。<br />
* {{ic|--cmdline /etc/kernel/''fallback_cmdline''}} を {{ic|fallback_options}} に追加することで、フォールバックイメージに上記とは異なる [[Unified カーネルイメージ#カーネルコマンドライン|cmdline]] を使用することができます (例えば {{ic|quiet}} を無くす。)<br />
* カーネルコマンドラインの埋め込みを省略するには、{{ic|--no-cmdline}} を {{ic|1=''PRESET''_options=}} に追加してください。カーネルパラメーターはブートローダー経由で渡す必要があります。<br />
}}<br />
<br />
{{Note|<br />
* {{ic|''PRESET''_uki}} オプションは以前は {{ic|''PRESET''_efi_image}} として知られていました。[https://gitlab.archlinux.org/archlinux/mkinitcpio/mkinitcpio/-/issues/134 2022 年 11 月変更], 古いオプションは非推奨ですが、今のところ動作しています。<br />
* [[Unified Extensible Firmware Interface# UEFI ファームウェアのビット数|IA32 UEFI]] では、{{ic|--uefistub /usr/lib/systemd/boot/efi/linuxia32.efi.stub}} を {{ic|1=''PRESET''_options=}} に追加してください。<br />
}}<br />
<br />
==== pacman フック ====<br />
<br />
マイクロコードのアップグレード後に再構築をトリガーするには、[[pacman フック]] が必要です。<br />
<br />
{{hc|/etc/pacman.d/hooks/ucode.hook|2=<br />
[Trigger]<br />
Operation=Install<br />
Operation=Upgrade<br />
Operation=Remove<br />
Type=Package<br />
# Change to appropriate microcode package<br />
Target=amd-ucode<br />
# Change the linux part above and in the Exec line if a different kernel is used<br />
Target=linux<br />
<br />
[Action]<br />
Description=Update Microcode module in initcpio<br />
Depends=mkinitcpio<br />
When=PostTransaction<br />
NeedsTargets<br />
Exec=/bin/sh -c 'while read -r trg; do case $trg in linux) exit 0; esac; done; /usr/bin/mkinitcpio -P'<br />
}}<br />
<br />
{{Tip|mkinitcpio の繰り返し実行を避けるために、このフックを [[NVIDIA#pacman フック|NVIDIA ドライバー]] のフックなど、カーネルパッケージを監視する他のフックとマージすることを検討してください。}}<br />
<br />
==== セキュアブート用の UKI への署名 ====<br />
<br />
mkinitcpio ポストフック ({{man|8|mkinitcpio|ABOUT POST HOOKS}}) を使用すると、生成された統合カーネルイメージに [[セキュアブート]] 用に署名できます。次のファイルを [[作成]] し、[[ヘルプ:読み方#実行可能属性の付与|実行可能]] にします。<br />
<br />
{{hc|/etc/initcpio/post/uki-sbsign|2=<br />
#!/usr/bin/env bash<br />
<br />
uki="$3"<br />
<nowiki>[[ -n "$uki" ]] || exit 0</nowiki><br />
<br />
keypairs=(''/path/to/''db.key ''/path/to/''db.crt)<br />
<br />
for (( i=0; i<${#keypairs[@]}; i+=2 )); do<br />
key="${keypairs[$i]}" cert="${keypairs[(( i + 1 ))]}"<br />
if ! sbverify --cert "$cert" "$uki" &>/dev/null; then<br />
sbsign --key "$key" --cert "$cert" --output "$uki" "$uki"<br />
fi<br />
done<br />
}}<br />
<br />
{{ic|''/path/to/''db.key}} と {{ic|''/path/to/''db.crt}} をイメージの署名に使いたい鍵ペアのパスに置き換えてください。<br />
<br />
==== UKI の構築 ====<br />
<br />
最後に、UKI のディレクトリが存在することを確認し、[[mkinitcpio#イメージ作成とアクティベーション|initramfs を再生成]] します。たとえば、''linux'' プリセットの場合は次のようになります。<br />
<br />
# mkdir -p ''esp''/EFI/Linux<br />
# mkinitcpio -p linux<br />
<br />
必要に応じて、残っている {{ic|initramfs-*.img}} を {{ic|/boot}} または {{ic|/efi}} から削除します。<br />
<br />
=== kernel-install ===<br />
<br />
[[systemd]] の [[Kernel-install]] スクリプトを使用して、カスタムカーネルとカーネルパッケージ (Pacman を使用してインストール) の両方について、UKI 形式のカーネルを ''esp'' に自動的にインストールできます。 Pacman フックを ''mkinitcpio'' から ''kernel-install'' に切り替える必要があります。<br />
<br />
UKI イメージは、''mkinitcpio'' によって直接生成することも、カーネルイメージと生成されたスタンドアロン initramfs イメージを 1 つのファイルに統合する ''kernel-install'' によって生成することもできます (''kernel-install''の ''ukify'' ツールによって) 2024 年 1 月 15 日以降、''install'' には、{{pkg|systemd-ukify}} が必要です。以下を参照してください) ''mkinitcpio'' は、適切なイメージ ({{ic|1=layout=uki}} および {{ic|1=uki_generator=mkinitcpio}} の UKI イメージ) を生成するために ''kernel-install'' によって呼び出されます。それ以外の場合は、''ukify'' のスタンドアロンの initramfs イメージ) を生成します。<br />
<br />
* kernel-install {{ic|layout}} を {{ic|uki}} に設定します。例えば: {{bc|1=# echo "layout=uki" >> /etc/kernel/install.conf}}<br />
<br />
* デフォルトでは、レイアウトが uki に設定されている場合、''kernel-install'' は独自の ''ukify'' ツールを使用して (ここで {{pkg|systemd-ukify}} をインストールする必要があります。下記を参照) initramfs とカーネルイメージ mkinitcpio を使用して、uki イメージを直接生成できます。mkinitcpio を使用して uki イメージを生成したい場合は、{{ic|uki_generator}} を {{ic|mkinitcpio}} に設定します。例: {{bc|1=# echo "uki_generator=mkinitcpio" >> /etc/kernel/install.conf}}<br />
<br />
:{{Note|2024 年 1 月 15 日以降、{{ic|uki_generator}} でない限り、{{pkg|mkinitcpio}} は [https://gitlab.archlinux.org/archlinux/mkinitcpio/mkinitcpio/-/commit/0df979c34970b19a3e56d9a16d79e32830228448 UKI をビルドしなくなりました]}} {{ic|mkinitcpio}} に直接設定されます。以前は、{{pkg|systemd-ukify}} が明示的にインストールされていない場合、暗黙的に設定されていました。}}<br />
<br />
* カーネルを直接インストールする Pacman フック:{{bc|<nowiki># ln -s /dev/null /etc/pacman.d/hooks/60-mkinitcpio-remove.hook<br />
# ln -s /dev/null /etc/pacman.d/hooks/90-mkinitcpio-install.hook<br />
</nowiki>}}<br />
* ''kernel-install'' の Pacman フックを作成します。{{AUR|pacman-hook-kernel-install}} を使うことができます。<br />
* 使用しているカーネルパッケージを削除して再インストールします。<br />
<br />
=== dracut ===<br />
<br />
[[dracut#カーネルコマンドラインオプション|コマンドラインパラメータ]] を、例えば {{ic|/etc/dracut.conf.d/cmdline.conf}} に配置します。<br />
<br />
イメージを生成する。<br />
<br />
# dracut -f -q --uefi --uefi-splash-image /usr/share/systemd/bootctl/splash-arch.bmp<br />
<br />
こちらも参照 [[dracut#カーネルのアップグレード時に新しい initramfs を生成]]<br />
<br />
=== sbctl ===<br />
<br />
{{Pkg|sbctl}} パッケージを [[インストール]] して下さい。カーネルコマンド ラインを {{ic|/etc/kernel/cmdline}} に保存します。{{ic|--save}} パラメータを指定した {{ic|sbctl bundle}} コマンドを使用してバンドルを作成し、適切なタイミングで Pacman フックによって再生成します。<br />
<br />
# sbctl bundle --save ''esp''/archlinux.efi<br />
<br />
他のカーネルと initramfs イメージ用にさらに EFI バイナリを作成するには、パラメーター {{ic|--kernel-img}} と {{ic|--initramfs}} を指定して上記のコマンドを繰り返します。{{man|8|sbctl|EFI BINARY COMMANDS}} を参照してください。EFI バイナリは、{{ic|sbctl generate-bundles}} を使用していつでも再生成できます。<br />
<br />
=== ukify ===<br />
<br />
{{Pkg|systemd-ukify}} パッケージを [[インストール]] します。''ukify'' は単独で initramfs を生成できないため、必要な場合は、[[dracut]]、[[mkinitcpio]]、または [[booster]] を使用して生成する必要があります。<br />
<br />
最小限の動作例は次のようになります。<br />
<br />
# /usr/lib/systemd/ukify build --linux=''/boot/vmlinuz-linux'' --initrd=''/boot/intel-ucode.img'' \<br />
--initrd=''/boot/initramfs-linux.img'' \<br />
--cmdline="''quiet rw''"<br />
<br />
{{Note|[[マイクロコード#早期ロード|外部マイクロコード initramfs イメージ]] を使用する場合 ({{ic|/boot/amd-ucode.img}} または {{ic|/boot/intel-ucode.img}}) を使用する必要があります。常にメインの initramfs イメージの前に ''最初に'' 配置します (例: {{ic|/boot/initramfs-linux.img}})}}<br />
<br />
次に、結果のファイルを EFI システムパーティションにコピーします。<br />
<br />
# cp ''filename''.efi ''esp''/EFI/Linux/<br />
<br />
{{Tip|<br />
* 出来上がった EFI 実行ファイルを EFI システムパーティションにコピーするのをスキップするには、{{ic|1=--output=''esp''/EFI/Linux/''filename''.efi}} コマンドラインオプションを ''ukify'' に使用します。<br />
* {{ic|--cmdline}} オプションを指定する場合、{{ic|1=--cmdline=@''/path/to/cmdline''}} のように {{ic|/etc/kernel/cmdline}} ファイル名の前に {{ic|@}} シンボルを追加することで、カーネルパラメータを読み込むファイル名を指定できます。<br />
}}<br />
<br />
intel ucode および /efi マウント ESP を使用した通常のカーネルイメージの systemd サービスを使用した自動 UKI 構築の例:<br />
<br />
{{hc|/etc/ukify.conf|2=<br />
[UKI]<br />
Linux=/boot/vmlinuz-linux<br />
Initrd=/boot/intel-ucode.img /boot/initramfs-linux.img<br />
Cmdline=@/etc/kernel/cmdline<br />
OSRelease=@/etc/os-release<br />
Splash=/usr/share/systemd/bootctl/splash-arch.bmp<br />
}}<br />
<br />
{{Note|initramfs ジェネレーターが mkinitcpio などの CPU マイクロコードをデフォルトですでにバンドルしている場合は、{{ic|1=Initrd=/boot/initramfs-linux.img}} で initramfs イメージのみを指定します。}}<br />
<br />
{{hc|/etc/systemd/system/run_ukify.service|2=<br />
[Unit]<br />
Description=Run systemd ukify<br />
[Service]<br />
Type=oneshot<br />
ExecStart=/usr/lib/systemd/ukify build --config=/etc/ukify.conf --output ''esp''/EFI/Linux/archlinux-linux.efi<br />
}}<br />
<br />
{{hc|/etc/systemd/system/run_ukify.path|2=<br />
[Unit]<br />
Description=Run systemd ukify<br />
[Path]<br />
PathChanged=/boot/initramfs-linux.img<br />
PathChanged=/boot/intel-ucode.img<br />
Unit=run_ukify.service<br />
[Install]<br />
WantedBy=multi-user.target<br />
}}<br />
<br />
次に、{{ic|run_ukify.path}} を [[有効化]] します。<br />
<br />
=== 手動で ===<br />
<br />
使用するカーネルコマンドラインをファイルに記述し、{{man|1|objcopy}} を使用してバンドルファイルを作成します。<br />
<br />
[[マイクロコード]] の場合は、まず次のようにマイクロコードファイルと initrd を連結します。<br />
<br />
$ cat ''esp''/''cpu_manufacturer''-ucode.img ''esp''/initramfs-linux.img > /tmp/combined_initrd.img<br />
<br />
統合カーネルイメージを構築するときは、{{ic|/tmp/combined_initrd.img}} を initrd として渡します。このファイルは後で削除できます。<br />
<br />
{{Note|[[Unified Extensible Firmware Interface#UEFI ファームウェアのビット数|IA32 UEFI]] では、以下のコマンドの {{ic|/usr/lib/systemd/boot/efi/linuxx64.efi.stub}} を {{ic|/usr/lib/systemd/boot/efi/linuxia32.efi.stub}} に置き換えてください。}}<br />
<br />
{{bc|1=<br />
$ align="$(objdump -p /usr/lib/systemd/boot/efi/linuxx64.efi.stub {{!}} awk '{ if ($1 == "SectionAlignment"){print $2} }')"<br />
$ align=$((16#$align))<br />
$ osrel_offs="$(objdump -h "/usr/lib/systemd/boot/efi/linuxx64.efi.stub" {{!}} awk 'NF==7 {size=strtonum("0x"$3); offset=strtonum("0x"$4)} END {print size + offset}')"<br />
$ osrel_offs=$((osrel_offs + "$align" - osrel_offs % "$align"))<br />
$ cmdline_offs=$((osrel_offs + $(stat -Lc%s "/usr/lib/os-release")))<br />
$ cmdline_offs=$((cmdline_offs + "$align" - cmdline_offs % "$align"))<br />
$ splash_offs=$((cmdline_offs + $(stat -Lc%s "/etc/kernel/cmdline")))<br />
$ splash_offs=$((splash_offs + "$align" - splash_offs % "$align"))<br />
$ initrd_offs=$((splash_offs + $(stat -Lc%s "/usr/share/systemd/bootctl/splash-arch.bmp")))<br />
$ initrd_offs=$((initrd_offs + "$align" - initrd_offs % "$align"))<br />
$ linux_offs=$((initrd_offs + $(stat -Lc%s "''initrd-file''")))<br />
$ linux_offs=$((linux_offs + "$align" - linux_offs % "$align"))<br />
<br />
$ objcopy \<br />
--add-section .osrel="/usr/lib/os-release" --change-section-vma .osrel=$(printf 0x%x $osrel_offs) \<br />
--add-section .cmdline="/etc/kernel/cmdline" \<br />
--change-section-vma .cmdline=$(printf 0x%x $cmdline_offs) \<br />
--add-section .splash="/usr/share/systemd/bootctl/splash-arch.bmp" \<br />
--change-section-vma .splash=$(printf 0x%x $splash_offs) \<br />
--add-section .initrd="''initrd-file''" \<br />
--change-section-vma .initrd=$(printf 0x%x $initrd_offs) \<br />
--add-section .linux="''vmlinuz-file''" \<br />
--change-section-vma .linux=$(printf 0x%x $linux_offs) \<br />
"/usr/lib/systemd/boot/efi/linuxx64.efi.stub" "''linux''.efi"<br />
}}<br />
<br />
注意すべき点がいくつかあります:<br />
<br />
* [https://github.com/systemd/systemd/commit/0fa2cac4f0cdefaf1addd7f1fe0fd8113db9360b#commitcomment-76747223] で推奨されているように、オフセットは動的に計算されるので、セクションが重なることはありません。<br />
* セクションは、PE スタブの {{ic|SectionAlignment}} フィールドが示す値 (通常は 0x1000) にアラインメントされます。<br />
* カーネルイメージは、[https://github.com/systemd/systemd/commit/0fa2cac4f0cdefaf1addd7f1fe0fd8113db9360b#commitcomment-84868898] で述べられているように、インプレース解凍で後続のセクションが上書きされるのを防ぐために、最後のセクションにある必要があります。<br />
<br />
イメージを作成したら、それを EFI システムパーティションにコピーします。<br />
<br />
# cp ''linux''.efi ''esp''/EFI/Linux/<br />
<br />
== 起動方法 ==<br />
<br />
{{Note|[[セキュアブート]] がアクティブな場合、{{ic|.cmdline}} が埋め込まれた統合カーネルイメージは、(ブートエントリを使用するか対話的に) 渡されたすべてのコマンドラインオプションを無視します。セキュアブートがアクティブでない場合、コマンドライン経由で渡されたオプションは、埋め込まれた {{ic|.cmdline}} をオーバーライドします。}}<br />
<br />
=== systemd-boot ===<br />
<br />
[[systemd-boot#Unified kernel images|systemd-boot]] は {{ic|''esp''/EFI/Linux/}} 内でユニファイドカーネルイメージを検索しますので、それ以上の設定は必要ありません。{{man|7|sd-boot|FILES}} を見て下さい。<br />
<br />
=== rEFInd ===<br />
<br />
[[rEFInd]] は、EFI システム パーティション上のユニファイドカーネルイメージを自動検出し、それらをロードできます。{{ic|refind.conf}} で手動で指定することもできます。デフォルトでは次の場所にあります。<br />
<br />
{{hc|''esp''/EFI/refind/refind.conf|2=<br />
menuentry Linux {<br />
loader ''esp''/EFI/Linux/archlinux-linux.efi<br />
}<br />
}}<br />
<br />
イメージが ESP のルートにある場合、rEFInd は次のようにその名前のみを必要とします: {{ic|loader archlinux-linux.efi}} この方法で起動すると、{{ic|''esp''/EFI/refind_linux.conf}} からのカーネルパラメータは渡されません。<br />
<br />
=== GRUB ===<br />
<br />
rEFInd と同様に、[[GRUB]] は [[GRUB#ユニファイドカーネルイメージをチェインロード]] で説明されているように EFI UKI をチェーンロードできます。<br />
<br />
=== UEFI から直接起動 ===<br />
<br />
[[efibootmgr]] を使って ''.efi'' ファイルに UEFI ブートエントリを作成することができます。<br />
<br />
# efibootmgr --create --disk /dev/sd''X'' --part ''partition_number'' --label "Arch Linux" --loader '\EFI\Linux\arch-linux.efi' --unicode<br />
<br />
オプションの説明は {{man|8|efibootmgr}} をご覧ください。<br />
<br />
== 参照 ==<br />
<br />
* [https://uapi-group.org/specifications/specs/unified_kernel_image/ Unified kernel image specification]<br />
* [https://linderud.dev/blog/mkinitcpio-v31-and-uefi-stubs/ mkinitcpio v31 and UEFI stubs]</div>
Hkiku482
https://wiki.archlinux.jp/index.php?title=%E3%83%A6%E3%83%8B%E3%83%95%E3%82%A1%E3%82%A4%E3%83%89%E3%82%AB%E3%83%BC%E3%83%8D%E3%83%AB%E3%82%A4%E3%83%A1%E3%83%BC%E3%82%B8&diff=39723
ユニファイドカーネルイメージ
2025-02-14T15:03:34Z
<p>Hkiku482: /* mkinitpcio */ s/mkinitpcio/mkinitcpio/</p>
<hr />
<div>[[Category:ブートローダー]]<br />
[[en:Unified kernel image]]<br />
[[pt:Unified kernel image]]<br />
[https://uapi-group.org/specifications/specs/unified_kernel_image ユニファイドカーネルイメージ] (UKI) は、単一の実行可能ファイルであり、[[UEFI]] ファームウェアから直接起動するか、ほとんどまたは全く設定を必要とせずにブートローダーによって自動的に取得されます。これは {{man|7|systemd-stub}} のような UEFI ブートスタブプログラム、Linux [[Arch ブートプロセス#カーネル|カーネルイメージ]]、[[Arch ブートプロセス#initramfs|initrd]]、および [https://uapi-group.org/specifications/specs/unified_kernel_image/#uki-components その他のリソース] を単一の UEFI PE ファイルに組み合わせたものです。<br />
<br />
このファイルは、したがってこれらのすべての要素を[[Unified Extensible Firmware Interface/セキュアブート# EFI バイナリに署名する|署名]]して [[Secure Boot]] で使用することが容易になります。<br />
<br />
{{Note|記事全体で {{ic|''esp''}} は [[EFI システムパーティション]] のマウントポイントを表します。}}<br />
<br />
== ユニファイドカーネルイメージの準備 ==<br />
<br />
=== mkinitcpio ===<br />
<br />
==== カーネルコマンドライン ====<br />
<br />
[[mkinitcpio]] は、{{ic|/etc/cmdline.d}} ディレクトリ内のコマンドライン ファイルからの[[カーネルパラメータ]]の読み取りをサポートします。Mkinitcpio は、このディレクトリ内の {{ic|.conf}} 拡張子を持つすべてのファイルの内容を連結し、それらを使用してカーネルコマンドラインを生成します。コマンドラインファイル内の ''#'' 文字で始まる行はコメントとして扱われ、mkinitcpio によって無視されます。マイクロコードと initramfs を指す ''エントリを削除'' するように注意してください。<br />
<br />
例:<br />
<br />
{{hc|/etc/cmdline.d/root.conf|2=<br />
root=UUID=0a3407de-014b-458b-b5c1-848e92a327a3 rw<br />
}}<br />
<br />
{{Tip|<br />
* ルート ファイルシステムがデフォルト以外の Btrfs サブボリューム上にある場合は、必ず必要なマウントフラグを {{ic|rootflags}} に設定してください。[[Btrfs#ルートとしてサブボリュームをマウントする]] を参照してください。<br />
* たとえば、システムのサブボリューム ID が {{ic|256}} の場合 (サブボリューム ID は、{{ic|btrfs subvolume list ''btrfs_mountpoint''}} を使用して確認できます。または、{{ic|/etc/fstab}}) でフラグを見ることができます、カーネルコマンドラインに {{ic|1=rootflags=subvolid=256}} を追加する必要があります。<br />
* {{ic|rootflags}} は起動時にのみ使用されるため、{{ic|/etc/fstab}} 内のすべてのフラグをコピーする必要はありません。Systemd は fstab を読み取り、再マウントし、ブート後にそこにリストされているフラグを自動的に適用します。<br />
}}<br />
<br />
{{hc|/etc/cmdline.d/security.conf|2=<br />
# enable apparmor<br />
lsm=landlock,lockdown,yama,integrity,apparmor,bpf audit=1 audit_backlog_limit=256<br />
}}<br />
<br />
あるいは、{{ic|/etc/kernel/cmdline}} を使用してカーネルコマンドラインを構成することもできます。<br />
<br />
例:<br />
<br />
{{hc|/etc/kernel/cmdline|2=<br />
root=UUID=0a3407de-014b-458b-b5c1-848e92a327a3 rw quiet bgrt_disable<br />
}}<br />
<br />
{{Tip|<br />
* root パーティションが [[systemd# GPT パーティションの自動マウント|systemd によって自動マウントされる]] 場合、{{ic|1=root=}} パラメータは省略できます。<br />
* {{ic|bgrt_disable}} パラメータは、ACPI テーブルのロード後に OEM ロゴを表示しないように Linux に指示します。<br />
}}<br />
<br />
==== .preset ファイル ====<br />
<br />
次に、{{ic|/etc/mkinitcpio.d/linux.preset}}、または使用しているプリセットを、[[EFI システムパーティション]] の適切なマウントポイントを指定して、以下のように変更します:<br />
<br />
* {{ic|1=PRESETS=}} の各項目について、{{ic|1=''PRESET''_uki=}} パラメータのコメントを解除する (つまり {{ic|#}} を削除する)、<br />
* 冗長な {{ic|initramfs-*.img}} ファイルを保存しないように、{{ic|1=''PRESET''_image=}} をコメントアウトする、<br />
* オプションとして、スプラッシュイメージを追加したい各 {{ic|1=''PRESET''_options=}} 行に {{ic|--splash}} パラメータを追加またはコメント解除します。<br />
<br />
以下は {{Pkg|linux}} カーネルと Arch スプラッシュスクリーンの {{ic|linux.preset}} の例です。<br />
<br />
{{hc|/etc/mkinitcpio.d/linux.preset|2= <br />
# mkinitcpio preset file for the 'linux' package<br />
<br />
#ALL_config="/etc/mkinitcpio.conf"<br />
ALL_kver="/boot/vmlinuz-linux"<br />
<br />
PRESETS=('default' 'fallback')<br />
<br />
#default_config="/etc/mkinitcpio.conf"<br />
#default_image="/boot/initramfs-linux.img"<br />
default_uki="''esp''/EFI/Linux/arch-linux.efi"<br />
default_options="--splash=/usr/share/systemd/bootctl/splash-arch.bmp"<br />
<br />
#fallback_config="/etc/mkinitcpio.conf"<br />
#fallback_image="/boot/initramfs-linux-fallback.img"<br />
fallback_uki="''esp''/EFI/Linux/arch-linux-fallback.efi"<br />
fallback_options="-S autodetect"<br />
}}<br />
<br />
{{Tip|<br />
* 統一されたカーネルイメージからブートしたいだけであれば、[[EFI システムパーティション#典型的なマウントポイント|ESP のマウント]]を {{ic|/efi}} にして、[[ESP]] パーティションに存在する必要があるものだけをマウントすることができます。<br />
* {{ic|--cmdline /etc/kernel/''fallback_cmdline''}} を {{ic|fallback_options}} に追加することで、フォールバックイメージに上記とは異なる [[Unified カーネルイメージ#カーネルコマンドライン|cmdline]] を使用することができます (例えば {{ic|quiet}} を無くす。)<br />
* カーネルコマンドラインの埋め込みを省略するには、{{ic|--no-cmdline}} を {{ic|1=''PRESET''_options=}} に追加してください。カーネルパラメーターはブートローダー経由で渡す必要があります。<br />
}}<br />
<br />
{{Note|<br />
* {{ic|''PRESET''_uki}} オプションは以前は {{ic|''PRESET''_efi_image}} として知られていました。[https://gitlab.archlinux.org/archlinux/mkinitcpio/mkinitcpio/-/issues/134 2022 年 11 月変更], 古いオプションは非推奨ですが、今のところ動作しています。<br />
* [[Unified Extensible Firmware Interface# UEFI ファームウェアのビット数|IA32 UEFI]] では、{{ic|--uefistub /usr/lib/systemd/boot/efi/linuxia32.efi.stub}} を {{ic|1=''PRESET''_options=}} に追加してください。<br />
}}<br />
<br />
==== pacman フック ====<br />
<br />
マイクロコードのアップグレード後に再構築をトリガーするには、[[pacman フック]] が必要です。<br />
<br />
{{hc|/etc/pacman.d/hooks/ucode.hook|2=<br />
[Trigger]<br />
Operation=Install<br />
Operation=Upgrade<br />
Operation=Remove<br />
Type=Package<br />
# Change to appropriate microcode package<br />
Target=amd-ucode<br />
# Change the linux part above and in the Exec line if a different kernel is used<br />
Target=linux<br />
<br />
[Action]<br />
Description=Update Microcode module in initcpio<br />
Depends=mkinitcpio<br />
When=PostTransaction<br />
NeedsTargets<br />
Exec=/bin/sh -c 'while read -r trg; do case $trg in linux) exit 0; esac; done; /usr/bin/mkinitcpio -P'<br />
}}<br />
<br />
{{Tip|mkinitcpio の繰り返し実行を避けるために、このフックを [[NVIDIA#pacman フック|NVIDIA ドライバー]] のフックなど、カーネルパッケージを監視する他のフックとマージすることを検討してください。}}<br />
<br />
==== セキュアブート用の UKI への署名 ====<br />
<br />
mkinitcpio ポストフック ({{man|8|mkinitcpio|ABOUT POST HOOKS}}) を使用すると、生成された統合カーネルイメージに [[セキュアブート]] 用に署名できます。次のファイルを [[作成]] し、[[ヘルプ:読み方#実行可能属性の付与|実行可能]] にします。<br />
<br />
{{hc|/etc/initcpio/post/uki-sbsign|2=<br />
#!/usr/bin/env bash<br />
<br />
uki="$3"<br />
<nowiki>[[ -n "$uki" ]] || exit 0</nowiki><br />
<br />
keypairs=(''/path/to/''db.key ''/path/to/''db.crt)<br />
<br />
for (( i=0; i<${#keypairs[@]}; i+=2 )); do<br />
key="${keypairs[$i]}" cert="${keypairs[(( i + 1 ))]}"<br />
if ! sbverify --cert "$cert" "$uki" &>/dev/null; then<br />
sbsign --key "$key" --cert "$cert" --output "$uki" "$uki"<br />
fi<br />
done<br />
}}<br />
<br />
{{ic|''/path/to/''db.key}} と {{ic|''/path/to/''db.crt}} をイメージの署名に使いたい鍵ペアのパスに置き換えてください。<br />
<br />
==== UKI の構築 ====<br />
<br />
最後に、UKI のディレクトリが存在することを確認し、[[mkinitcpio#イメージ作成とアクティベーション|initramfs を再生成]] します。たとえば、''linux'' プリセットの場合は次のようになります。<br />
<br />
# mkdir -p ''esp''/EFI/Linux<br />
# mkinitcpio -p linux<br />
<br />
必要に応じて、残っている {{ic|initramfs-*.img}} を {{ic|/boot}} または {{ic|/efi}} から削除します。<br />
<br />
=== kernel-install ===<br />
<br />
[[systemd]] の [[Kernel-install]] スクリプトを使用して、カスタムカーネルとカーネルパッケージ (Pacman を使用してインストール) の両方について、UKI 形式のカーネルを ''esp'' に自動的にインストールできます。 Pacman フックを ''mkinitcpio'' から ''kernel-install'' に切り替える必要があります。<br />
<br />
UKI イメージは、''mkinitcpio'' によって直接生成することも、カーネルイメージと生成されたスタンドアロン initramfs イメージを 1 つのファイルに統合する ''kernel-install'' によって生成することもできます (''kernel-install''の ''ukify'' ツールによって) 2024 年 1 月 15 日以降、''install'' には、{{pkg|systemd-ukify}} が必要です。以下を参照してください) ''mkinitcpio'' は、適切なイメージ ({{ic|1=layout=uki}} および {{ic|1=uki_generator=mkinitcpio}} の UKI イメージ) を生成するために ''kernel-install'' によって呼び出されます。それ以外の場合は、''ukify'' のスタンドアロンの initramfs イメージ) を生成します。<br />
<br />
* kernel-install {{ic|layout}} を {{ic|uki}} に設定します。例えば: {{bc|1=# echo "layout=uki" >> /etc/kernel/install.conf}}<br />
<br />
* デフォルトでは、レイアウトが uki に設定されている場合、''kernel-install'' は独自の ''ukify'' ツールを使用して (ここで {{pkg|systemd-ukify}} をインストールする必要があります。下記を参照) initramfs とカーネルイメージ mkinitpcio を使用して、uki イメージを直接生成できます。mkinitcpio を使用して uki イメージを生成したい場合は、{{ic|uki_generator}} を {{ic|mkinitpcio}} に設定します。例: {{bc|1=# echo "uki_generator=mkinitcpio" >> /etc/kernel/install.conf}}<br />
<br />
:{{Note|2024 年 1 月 15 日以降、{{ic|uki_generator}} でない限り、{{pkg|mkinitcpio}} は [https://gitlab.archlinux.org/archlinux/mkinitcpio/mkinitcpio/-/commit/0df979c34970b19a3e56d9a16d79e32830228448 UKI をビルドしなくなりました]}} {{ic|mkinitcpio}} に直接設定されます。以前は、{{pkg|systemd-ukify}} が明示的にインストールされていない場合、暗黙的に設定されていました。}}<br />
<br />
* カーネルを直接インストールする Pacman フック:{{bc|<nowiki># ln -s /dev/null /etc/pacman.d/hooks/60-mkinitcpio-remove.hook<br />
# ln -s /dev/null /etc/pacman.d/hooks/90-mkinitcpio-install.hook<br />
</nowiki>}}<br />
* ''kernel-install'' の Pacman フックを作成します。{{AUR|pacman-hook-kernel-install}} を使うことができます。<br />
* 使用しているカーネルパッケージを削除して再インストールします。<br />
<br />
=== dracut ===<br />
<br />
[[dracut#カーネルコマンドラインオプション|コマンドラインパラメータ]] を、例えば {{ic|/etc/dracut.conf.d/cmdline.conf}} に配置します。<br />
<br />
イメージを生成する。<br />
<br />
# dracut -f -q --uefi --uefi-splash-image /usr/share/systemd/bootctl/splash-arch.bmp<br />
<br />
こちらも参照 [[dracut#カーネルのアップグレード時に新しい initramfs を生成]]<br />
<br />
=== sbctl ===<br />
<br />
{{Pkg|sbctl}} パッケージを [[インストール]] して下さい。カーネルコマンド ラインを {{ic|/etc/kernel/cmdline}} に保存します。{{ic|--save}} パラメータを指定した {{ic|sbctl bundle}} コマンドを使用してバンドルを作成し、適切なタイミングで Pacman フックによって再生成します。<br />
<br />
# sbctl bundle --save ''esp''/archlinux.efi<br />
<br />
他のカーネルと initramfs イメージ用にさらに EFI バイナリを作成するには、パラメーター {{ic|--kernel-img}} と {{ic|--initramfs}} を指定して上記のコマンドを繰り返します。{{man|8|sbctl|EFI BINARY COMMANDS}} を参照してください。EFI バイナリは、{{ic|sbctl generate-bundles}} を使用していつでも再生成できます。<br />
<br />
=== ukify ===<br />
<br />
{{Pkg|systemd-ukify}} パッケージを [[インストール]] します。''ukify'' は単独で initramfs を生成できないため、必要な場合は、[[dracut]]、[[mkinitcpio]]、または [[booster]] を使用して生成する必要があります。<br />
<br />
最小限の動作例は次のようになります。<br />
<br />
# /usr/lib/systemd/ukify build --linux=''/boot/vmlinuz-linux'' --initrd=''/boot/intel-ucode.img'' \<br />
--initrd=''/boot/initramfs-linux.img'' \<br />
--cmdline="''quiet rw''"<br />
<br />
{{Note|[[マイクロコード#早期ロード|外部マイクロコード initramfs イメージ]] を使用する場合 ({{ic|/boot/amd-ucode.img}} または {{ic|/boot/intel-ucode.img}}) を使用する必要があります。常にメインの initramfs イメージの前に ''最初に'' 配置します (例: {{ic|/boot/initramfs-linux.img}})}}<br />
<br />
次に、結果のファイルを EFI システムパーティションにコピーします。<br />
<br />
# cp ''filename''.efi ''esp''/EFI/Linux/<br />
<br />
{{Tip|<br />
* 出来上がった EFI 実行ファイルを EFI システムパーティションにコピーするのをスキップするには、{{ic|1=--output=''esp''/EFI/Linux/''filename''.efi}} コマンドラインオプションを ''ukify'' に使用します。<br />
* {{ic|--cmdline}} オプションを指定する場合、{{ic|1=--cmdline=@''/path/to/cmdline''}} のように {{ic|/etc/kernel/cmdline}} ファイル名の前に {{ic|@}} シンボルを追加することで、カーネルパラメータを読み込むファイル名を指定できます。<br />
}}<br />
<br />
intel ucode および /efi マウント ESP を使用した通常のカーネルイメージの systemd サービスを使用した自動 UKI 構築の例:<br />
<br />
{{hc|/etc/ukify.conf|2=<br />
[UKI]<br />
Linux=/boot/vmlinuz-linux<br />
Initrd=/boot/intel-ucode.img /boot/initramfs-linux.img<br />
Cmdline=@/etc/kernel/cmdline<br />
OSRelease=@/etc/os-release<br />
Splash=/usr/share/systemd/bootctl/splash-arch.bmp<br />
}}<br />
<br />
{{Note|initramfs ジェネレーターが mkinitcpio などの CPU マイクロコードをデフォルトですでにバンドルしている場合は、{{ic|1=Initrd=/boot/initramfs-linux.img}} で initramfs イメージのみを指定します。}}<br />
<br />
{{hc|/etc/systemd/system/run_ukify.service|2=<br />
[Unit]<br />
Description=Run systemd ukify<br />
[Service]<br />
Type=oneshot<br />
ExecStart=/usr/lib/systemd/ukify build --config=/etc/ukify.conf --output ''esp''/EFI/Linux/archlinux-linux.efi<br />
}}<br />
<br />
{{hc|/etc/systemd/system/run_ukify.path|2=<br />
[Unit]<br />
Description=Run systemd ukify<br />
[Path]<br />
PathChanged=/boot/initramfs-linux.img<br />
PathChanged=/boot/intel-ucode.img<br />
Unit=run_ukify.service<br />
[Install]<br />
WantedBy=multi-user.target<br />
}}<br />
<br />
次に、{{ic|run_ukify.path}} を [[有効化]] します。<br />
<br />
=== 手動で ===<br />
<br />
使用するカーネルコマンドラインをファイルに記述し、{{man|1|objcopy}} を使用してバンドルファイルを作成します。<br />
<br />
[[マイクロコード]] の場合は、まず次のようにマイクロコードファイルと initrd を連結します。<br />
<br />
$ cat ''esp''/''cpu_manufacturer''-ucode.img ''esp''/initramfs-linux.img > /tmp/combined_initrd.img<br />
<br />
統合カーネルイメージを構築するときは、{{ic|/tmp/combined_initrd.img}} を initrd として渡します。このファイルは後で削除できます。<br />
<br />
{{Note|[[Unified Extensible Firmware Interface#UEFI ファームウェアのビット数|IA32 UEFI]] では、以下のコマンドの {{ic|/usr/lib/systemd/boot/efi/linuxx64.efi.stub}} を {{ic|/usr/lib/systemd/boot/efi/linuxia32.efi.stub}} に置き換えてください。}}<br />
<br />
{{bc|1=<br />
$ align="$(objdump -p /usr/lib/systemd/boot/efi/linuxx64.efi.stub {{!}} awk '{ if ($1 == "SectionAlignment"){print $2} }')"<br />
$ align=$((16#$align))<br />
$ osrel_offs="$(objdump -h "/usr/lib/systemd/boot/efi/linuxx64.efi.stub" {{!}} awk 'NF==7 {size=strtonum("0x"$3); offset=strtonum("0x"$4)} END {print size + offset}')"<br />
$ osrel_offs=$((osrel_offs + "$align" - osrel_offs % "$align"))<br />
$ cmdline_offs=$((osrel_offs + $(stat -Lc%s "/usr/lib/os-release")))<br />
$ cmdline_offs=$((cmdline_offs + "$align" - cmdline_offs % "$align"))<br />
$ splash_offs=$((cmdline_offs + $(stat -Lc%s "/etc/kernel/cmdline")))<br />
$ splash_offs=$((splash_offs + "$align" - splash_offs % "$align"))<br />
$ initrd_offs=$((splash_offs + $(stat -Lc%s "/usr/share/systemd/bootctl/splash-arch.bmp")))<br />
$ initrd_offs=$((initrd_offs + "$align" - initrd_offs % "$align"))<br />
$ linux_offs=$((initrd_offs + $(stat -Lc%s "''initrd-file''")))<br />
$ linux_offs=$((linux_offs + "$align" - linux_offs % "$align"))<br />
<br />
$ objcopy \<br />
--add-section .osrel="/usr/lib/os-release" --change-section-vma .osrel=$(printf 0x%x $osrel_offs) \<br />
--add-section .cmdline="/etc/kernel/cmdline" \<br />
--change-section-vma .cmdline=$(printf 0x%x $cmdline_offs) \<br />
--add-section .splash="/usr/share/systemd/bootctl/splash-arch.bmp" \<br />
--change-section-vma .splash=$(printf 0x%x $splash_offs) \<br />
--add-section .initrd="''initrd-file''" \<br />
--change-section-vma .initrd=$(printf 0x%x $initrd_offs) \<br />
--add-section .linux="''vmlinuz-file''" \<br />
--change-section-vma .linux=$(printf 0x%x $linux_offs) \<br />
"/usr/lib/systemd/boot/efi/linuxx64.efi.stub" "''linux''.efi"<br />
}}<br />
<br />
注意すべき点がいくつかあります:<br />
<br />
* [https://github.com/systemd/systemd/commit/0fa2cac4f0cdefaf1addd7f1fe0fd8113db9360b#commitcomment-76747223] で推奨されているように、オフセットは動的に計算されるので、セクションが重なることはありません。<br />
* セクションは、PE スタブの {{ic|SectionAlignment}} フィールドが示す値 (通常は 0x1000) にアラインメントされます。<br />
* カーネルイメージは、[https://github.com/systemd/systemd/commit/0fa2cac4f0cdefaf1addd7f1fe0fd8113db9360b#commitcomment-84868898] で述べられているように、インプレース解凍で後続のセクションが上書きされるのを防ぐために、最後のセクションにある必要があります。<br />
<br />
イメージを作成したら、それを EFI システムパーティションにコピーします。<br />
<br />
# cp ''linux''.efi ''esp''/EFI/Linux/<br />
<br />
== 起動方法 ==<br />
<br />
{{Note|[[セキュアブート]] がアクティブな場合、{{ic|.cmdline}} が埋め込まれた統合カーネルイメージは、(ブートエントリを使用するか対話的に) 渡されたすべてのコマンドラインオプションを無視します。セキュアブートがアクティブでない場合、コマンドライン経由で渡されたオプションは、埋め込まれた {{ic|.cmdline}} をオーバーライドします。}}<br />
<br />
=== systemd-boot ===<br />
<br />
[[systemd-boot#Unified kernel images|systemd-boot]] は {{ic|''esp''/EFI/Linux/}} 内でユニファイドカーネルイメージを検索しますので、それ以上の設定は必要ありません。{{man|7|sd-boot|FILES}} を見て下さい。<br />
<br />
=== rEFInd ===<br />
<br />
[[rEFInd]] は、EFI システム パーティション上のユニファイドカーネルイメージを自動検出し、それらをロードできます。{{ic|refind.conf}} で手動で指定することもできます。デフォルトでは次の場所にあります。<br />
<br />
{{hc|''esp''/EFI/refind/refind.conf|2=<br />
menuentry Linux {<br />
loader ''esp''/EFI/Linux/archlinux-linux.efi<br />
}<br />
}}<br />
<br />
イメージが ESP のルートにある場合、rEFInd は次のようにその名前のみを必要とします: {{ic|loader archlinux-linux.efi}} この方法で起動すると、{{ic|''esp''/EFI/refind_linux.conf}} からのカーネルパラメータは渡されません。<br />
<br />
=== GRUB ===<br />
<br />
rEFInd と同様に、[[GRUB]] は [[GRUB#ユニファイドカーネルイメージをチェインロード]] で説明されているように EFI UKI をチェーンロードできます。<br />
<br />
=== UEFI から直接起動 ===<br />
<br />
[[efibootmgr]] を使って ''.efi'' ファイルに UEFI ブートエントリを作成することができます。<br />
<br />
# efibootmgr --create --disk /dev/sd''X'' --part ''partition_number'' --label "Arch Linux" --loader '\EFI\Linux\arch-linux.efi' --unicode<br />
<br />
オプションの説明は {{man|8|efibootmgr}} をご覧ください。<br />
<br />
== 参照 ==<br />
<br />
* [https://uapi-group.org/specifications/specs/unified_kernel_image/ Unified kernel image specification]<br />
* [https://linderud.dev/blog/mkinitcpio-v31-and-uefi-stubs/ mkinitcpio v31 and UEFI stubs]</div>
Hkiku482
https://wiki.archlinux.jp/index.php?title=LightDM&diff=39556
LightDM
2025-01-25T18:50:09Z
<p>Hkiku482: /* トラブルシューティング */</p>
<hr />
<div>[[Category:ディスプレイマネージャ]]<br />
[[Category:カノニカル]]<br />
[[de:Login-Manager#LightDM]]<br />
[[en:LightDM]]<br />
[[ru:LightDM]]<br />
[[zh-hans:LightDM]]<br />
{{Related articles start}}<br />
{{Related|ディスプレイマネージャ}}<br />
{{Related|GDM}}<br />
{{Related|LXDM}}<br />
{{Related articles end}}<br />
<br />
[https://github.com/canonical/lightdm LightDM] はクロスデスクトップの[[ディスプレイマネージャ]]です。主な特徴は以下の通り:<br />
<br />
* クロスデスクトップ - 様々なデスクトップ技術をサポート。<br />
* 様々なディスプレイサーバーに対応 (X、Mir、Wayland ...)。<br />
* 軽量 - メモリの使用量が少なくて高速に動作。<br />
* ゲストセッションをサポート。<br />
* リモートログインをサポート (着信 - [[XDMCP]]、[[VNC]]、発信 - XDMCP、[[PAM]])。<br />
* 充実したテストスイート。<br />
* 軽量なコードベース。<br />
<br />
LightDM の設計に関する詳細は [https://www.freedesktop.org/wiki/Software/LightDM/Design ここ] から見れます。<br />
<br />
== インストール ==<br />
<br />
{{Pkg|lightdm}} パッケージを[[インストール]]してください。開発版は {{AUR|lightdm-git}} でインストールできます。<br />
<br />
=== Greeter ===<br />
<br />
Greeter も[[インストール]]する必要があるでしょう。Greeter はユーザーにログイン情報の入力を求める GUI であり、セッションの選択なども行います。Greeter 無しで LightDM を使うことも可能ですが、自動ログインが設定されている場合に限ります。Greeter を使用する場合は、{{pkg|xorg-server}} をインストールし、さらに以下の greeter パッケージのどれかをインストールする必要があります。<br />
<br />
GTK ベースの greeter:<br />
<br />
* {{App|LightDM GTK Greeter|LightDM のための GTK greeter。これは'''デフォルトの''' greeter です。他の greeter が設定されていない場合、LightDM はこの greeter を使おうとします。|https://github.com/Xubuntu/lightdm-gtk-greeter|{{Pkg|lightdm-gtk-greeter}}}}<br />
* {{App|lightdm-pantheon-greeter|Elementary OS プロジェクトの greeter。|https://github.com/elementary/greeter|{{Pkg|lightdm-pantheon-greeter}}}}<br />
* {{App|slick-greeter|{{Pkg|lightdm-gtk-greeter}} よりも見た目に重点を置いた GTK ベースの greeter。元は Unity greeter からフォークされたもので、Linux Mint ではデフォルトです。|https://github.com/linuxmint/slick-greeter|{{Pkg|lightdm-slick-greeter}}}}<br />
* {{App|Web Greeter for LightDM|テーマに Webkit2 を使用する greeter。'''このプロジェクトの開発は2019年5月22日以降停止しています。'''|https://github.com/antergos/web-greeter|{{Pkg|lightdm-webkit2-greeter}}}}<br />
* {{App|Mini-Greeter|最小の、カスタマイズ可能な、シングルユーザーの GTK3 greeter。|https://github.com/prikhi/lightdm-mini-greeter|{{AUR|lightdm-mini-greeter}}}}<br />
* {{App|Nody Greeter|ウェブの技術で素晴らしいテーマを作成できる LightDM greeter。Electron.js と NodeGTK、そして Node.js で作成されています。|https://github.com/JezerM/nody-greeter|{{AUR|nody-greeter}}}}<br />
<br />
Qt ベースの greeter:<br />
<br />
* {{App|Web Greeter|テーマに PyQtWebEngine を使用している、モダンで美しい greeter。{{Pkg|lightdm-webkit2-greeter}} の後継です。|https://github.com/JezerM/web-greeter|{{AUR|web-greeter}}}}<br />
* {{App|LightDM KDE Greeter|KDE による LightDM greeter。|https://invent.kde.org/plasma/lightdm-kde-greeter|{{AUR|lightdm-kde-greeter}}}}<br />
<br />
他の greeter:<br />
<br />
* {{App|lightdm-deepin-greeter|[[Deepin]] プロジェクトの greeter。|https://github.com/linuxdeepin/dde-session-shell|{{Pkg|deepin-session-shell}}}}<br />
* {{App|LightDM Elephant Greeter|小さくシンプルな greeter。デフォルトでは {{Pkg|cage}} Wayland コンポジタ内で動作します。|https://github.com/max-moser/lightdm-elephant-greeter|{{AUR|lightdm-elephant-greeter-git}}}}<br />
<br />
{{Pkg|lightdm-webkit2-greeter}} 用のテーマ:<br />
<br />
* {{App|Litarvan's LightDM WebKit2 theme|モダンで機能が豊富なテーマ。|https://github.com/Litarvan/lightdm-webkit-theme-litarvan|{{Pkg|lightdm-webkit-theme-litarvan}}}}<br />
* {{App|Aether|洗練された、扱いやすい Arch Linux テーマのログインスクリーン。|https://github.com/NoiSek/Aether|{{AUR|lightdm-webkit-theme-aether}}}}<br />
<br />
{{AUR|web-greeter}} と {{AUR|nody-greeter}} 用のテーマ:<br />
<br />
* {{App|Shikai|美しく、カスタマイズ可能なテーマ。|https://github.com/TheWisker/Shikai|{{AUR|shikai-theme}}}}<br />
<br />
LightDM の設定ファイルの {{ic|[Seat:*]}} セクションを変更することでデフォルトの greeter を設定することができます。例えば:<br />
<br />
{{hc|/etc/lightdm/lightdm.conf|2=<br />
[Seat:*]<br />
...<br />
greeter-session=lightdm-''yourgreeter''-greeter<br />
...<br />
}}<br />
<br />
{{Note|{{Pkg|lightdm-pantheon-greeter}} の設定ファイルは {{ic|io.elementary.greeter.conf}} です。{{ic|lightdm-pantheon-greeter.conf}} ではありません。}}<br />
<br />
どの greeter が利用できるか確認できる方法としては、{{ic|/usr/share/xgreeters}} ディレクトリ内のファイルをリストアップするというものがあります。それぞれの ''.desktop'' ファイルは1つの利用可能な greeter を表します。以下の例では、{{ic|lightdm-gtk-greeter}} greeter と {{ic|lightdm-webkit2-greeter}} greeter が利用可能です:<br />
<br />
{{hc|$ ls -1 /usr/share/xgreeters/|<br />
lightdm-gtk-greeter.desktop<br />
lightdm-webkit2-greeter.desktop<br />
}}<br />
<br />
== LightDM を有効にする ==<br />
<br />
LightDM をブート時に起動するには {{ic|lightdm.service}} を[[有効化]]してください。[[ディスプレイマネージャ#ディスプレイマネージャをロードする]] も参照。<br />
<br />
== コマンドラインツール ==<br />
<br />
LightDM はコマンドラインツール {{ic|dm-tool}} を提供しています。これを使うことで現在のシートのロック、セッションの切り替えなどができます。'最小主義の'ウィンドウマネージャを使っている場合やテストに便利です。利用できるコマンドを表示するには、次を実行してください:<br />
<br />
$ dm-tool --help<br />
<br />
=== ユーザーの切り替え ===<br />
<br />
{{Warning|1=''dm-tool'' は、({{ic|dm-tool lock}} や {{ic|dm-tool switch-to-greeter}} を実行することで) 簡単にバイパスすることができ、[[#light-locker を使って画面をロック|light-locker]] か他の [[アプリケーション一覧/セキュリティ#スクリーンロック|loginctl 互換のスクリーンロッカー]]が無いとセッションをロックしません。[[XScreenSaver#ロック画面からユーザーを切り替える]] を参照。}}<br />
<br />
LightDM の ''dm-tool'' コマンドを使って別々の tty に複数のユーザーをログインさせることができます。以下のコマンドは現在のセッションをロックするシグナルを送信して LightDM の greeter への切り替えを行って、新しいユーザーがログインできるようにします:<br />
<br />
$ dm-tool switch-to-greeter<br />
<br />
== テスト ==<br />
<br />
まず、{{Pkg|xorg-server-xephyr}} を[[インストール]]してください。<br />
<br />
そして、LightDM を X アプリケーションとして実行してください:<br />
<br />
$ lightdm --test-mode --debug<br />
<br />
== 任意の設定と調整 ==<br />
<br />
LightDM は、設定ファイル {{ic|/etc/lightdm/lightdm.conf}} を編集することで設定することができます。<br />
<br />
また、一部の greeter には独自の設定ファイルが存在しています。例えば:<br />
<br />
{{Pkg|lightdm-gtk-greeter}}: {{ic|/etc/lightdm/lightdm-gtk-greeter.conf}} (あるいは、{{Pkg|lightdm-gtk-greeter-settings}} GUI を使用することもできます)。<br />
<br />
{{Pkg|lightdm-webkit2-greeter}}: {{ic|/etc/lightdm/lightdm-webkit2-greeter.conf}}<br />
<br />
=== X セッションラッパー ===<br />
<br />
[[xinit]] から移行したユーザは、セッションがシェルから起動しないことに気づくでしょう。これは、シェルはセッションを起動する (そして、セッションはシェルの環境変数を継承する) のに対し、LightDM はセッションを起動するがシェルを source しないことが原因です。LightDM はラッパースクリプトを実行することでセッションを起動し、最後にグラフィカル環境を起動します。デフォルトでは、{{ic|/etc/lightdm/Xsession}} が実行されます。<br />
<br />
==== 環境変数 ====<br />
<br />
スクリプトは {{ic|/etc/profile}}、{{ic|~/.profile}}、{{ic|/etc/xprofile}}、そして {{ic|~/.xprofile}} をこの順番で読み込みます。これらのファイルを source しないシェルを使用している場合は、ファイルを読み込む {{ic|~/.xprofile}} を作成してもよいです。以下の例では、[[zsh]] がログインシェルです:<br />
<br />
{{hc|~/.xprofile|2=<br />
#!/bin/sh<br />
<nowiki>[ -f ~/.config/zsh/.zshenv ] && . ~/.config/zsh/.zshenv</nowiki><br />
}}<br />
<br />
セッションにおいて重要であるシェル変数 (GTK や QT のテーマ、GNUPG の場所、設定のオーバーライドなど) を定義している場合は、こうすることでログインシェルから起動せずにグラフィカル環境が環境変数にアクセスすることができるようになります。<br />
<br />
==== キーマップ ====<br />
<br />
スクリプトは {{ic|/etc/X11/Xkbmap}} と {{ic|~/.Xkbmap}} で定義されている引数を使って [[Xkbmap]] を実行します。これらのファイルが存在しない場合、スクリプトは {{ic|/etc/X11/Xmodmap}} と {{ic|~/.Xmodmap}} で定義されている引数を使って [[xmodmap]] を実行します。xkbmap を使用する場合、上記のファイルは cat を使ってパースされます。例:<br />
<br />
{{hc|~/.Xmodmap|2=<br />
-model pc105 -layout us,us,tr -variant ,dvorak,f -option grp:caps_toggle<br />
}}<br />
<br />
それら以外の場合、セッションは X11 のシステムのデフォルトのキーマップを継承します。このキーマップは、xorg の設定ファイルを手動で編集するか、{{ic|localectl set-x11-keymap}} を使用することで定義することができます。[[Xorg/キーボード設定#キーボードレイアウトの設定]] を参照。<br />
<br />
==== lightdm-gtk-greeter で複数のキーボード配列 ====<br />
<br />
事前定義済みのキーボード配列の中から配列を切り替えられるようにするには、ドロップダウンメニューを有効化し、配列を設定してください。{{Pkg|lightdm-gtk-greeter-settings}} GUI を使用するか、設定ファイルを直接編集してください:<br />
<br />
{{hc|/etc/lightdm/lightdm-gtk-greeter.conf|2=<br />
[greeter]<br />
indicators = ~host;~spacer;~clock;~spacer;~layout;~language;~session;~a11y;~power<br />
}}<br />
<br />
複数の配列を設定するには [[Xorg/キーボード設定#localectl を使う|localectl]] を使用してください。例えば、de とその "バリアント" である neo を設定し、後者をプライマリとするには:<br />
<br />
# localectl --no-convert set-x11-keymap de,de pc105 neo,<br />
<br />
末尾のコンマは2つめの de の空白のバリアントを意味していることに注意してください。<br />
<br />
=== 背景画像・色を変更する ===<br />
<br />
背景には16進数のカラーコードか画像を設定することができます。一部の greeter は、ログイン画面による背景選択、ランダムな背景などのよりロバストな背景オプションを提供しています。<br />
<br />
==== GTK greeter ====<br />
<br />
{{Pkg|lightdm-gtk-greeter-settings}} GUI を使って設定することができます。<br />
<br />
Greeter 画面の壁紙をカスタマイズしたい場合は、{{ic|/etc/lightdm/lightdm-gtk-greeter.conf}} を編集して {{ic|[greeter]}} セクション内で {{ic|background}} 変数を定義する必要があります。例:<br />
<br />
{{hc|/etc/lightdm/lightdm-gtk-greeter.conf|2=<br />
[greeter]<br />
background=/usr/share/pixmaps/black_and_white_photography-wallpaper-1920x1080.jpg<br />
}}<br />
<br />
{{Note|LightDM ユーザーが画像ファイルにアクセスできるようにするために、{{ic|/usr/share/pixmaps}} に PNG や JPG ファイルを配置することが推奨されています。}}<br />
<br />
GTK3 テーマは {{ic|[greeter]}} セクション内の {{ic|theme-name}} 変数で指定することができます。アイコンとカーソルのテーマも同じように設定できます。例:<br />
<br />
{{hc|/etc/lightdm/lightdm-gtk-greeter.conf|2=<br />
[greeter]<br />
theme-name = Tela<br />
icon-theme-name = Tela<br />
cursor-theme-name = Tela<br />
cursor-theme-size = 32<br />
font-name = Cantarell 20<br />
}}<br />
<br />
==== Webkit2 greeter ====<br />
<br />
{{Pkg|lightdm-webkit2-greeter}} では、背景画像をログイン画面で直接選択することができます。また、[https://github.com/artur9010/lightdm-webkit-material Material テーマ]を使用する場合は、起動するたびにランダムな画像を表示するオプションも提供されています。デフォルトでは、画像は {{ic|/usr/share/backgrounds}} から読み込まれます。{{ic|lightdm-webkit2-greeter.conf}} を編集することで背景画像を直接変更することができます。例えば:<br />
<br />
{{hc|/etc/lightdm/lightdm-webkit2-greeter.conf|2=<br />
[branding]<br />
background_images = /usr/share/backgrounds<br />
}}<br />
<br />
{{Note|背景画像のディレクトリは LightDM ユーザによってアクセス可能でなければなりません。よって、画像は {{ic|/home}} 内に配置するべきではありません。}}<br />
<br />
==== Slick Greeter ====<br />
<br />
{{AUR|lightdm-settings}} GUI を使用してください。<br />
<br />
=== アバターを変更する ===<br />
<br />
まず、{{Pkg|accountsservice}} パッケージが[[インストール]]されていることを確認し、その後、以下のようにセットアップしてください。{{ic|''username''}} の部分はユーザーのログイン名に置き換えてください。<br />
<br />
* 96x96 の PNG 画像ファイルを使って {{ic|/var/lib/AccountsService/icons/''username''.png}} ファイルを作成してください。その他の画像フォーマットも利用可能です (例えば JPEG)。<br />
* あるいは、デフォルトの設定がすでにユーザーのホームディレクトリのパスを使用している場合は、画像ファイルを {{ic|/home/''username''/.face}} として配置し、次の手順を飛ばしてください。<br />
* アカウントの設定ファイル {{ic|/var/lib/AccountsService/users/''username''}} を編集あるいは作成し、以下の設定を追加してください:<br />
<br />
[User]<br />
Icon=/var/lib/AccountsService/icons/''username''.png<br />
<br />
ここでのファイル名は、1番目の手順で作成したアイコンファイルでなければなりません。なので、必要に応じてファイル名の拡張子を変更してください。<br />
<br />
{{Note|作成したファイルのパーミッションは全て 644 に設定してください。[[chmod]] を使って、パーミッションを設定してください。}}<br />
<br />
=== Arch の 64x64 アイコンを使う ===<br />
<br />
{{AUR|archlinux-artwork}} パッケージには素晴らしいサンプルが含まれており、{{ic|/usr/share/archlinux/icons}} にインストールされます。以下のように {{ic|/usr/share/icons/hicolor/64x64/devices}} にコピーすることが可能です:<br />
<br />
# find /usr/share/archlinux/icons -name "*64*" -exec cp {} /usr/share/icons/hicolor/64x64/devices \;<br />
<br />
コピーした後は、{{AUR|archlinux-artwork}} パッケージは削除してかまいません。<br />
<br />
=== 自動ログインを有効にする ===<br />
<br />
LightDM の設定ファイルを編集して、以下の設定をアンコメントし、正しく設定してください:<br />
<br />
{{hc|/etc/lightdm/lightdm.conf|2=<br />
[Seat:*]<br />
autologin-user=''username''<br />
}}<br />
<br />
パスワードを入力しないで自動的にログインできるようにするには、ユーザを {{ic|autologin}} グループに追加する必要があります:<br />
<br />
# groupadd -r autologin<br />
# gpasswd -a ''username'' autologin<br />
<br />
LightDM は {{ic|~/.dmrc}} に指定されたセッションを使ってログインします。このファイルの設定をオーバーライドするには、{{ic|lightdm.conf}} で {{ic|autologin-session}} を指定してください:<br />
<br />
{{hc|/etc/lightdm/lightdm.conf|2=<br />
[Seat:*]<br />
autologin-user=''username''<br />
autologin-session=''session''<br />
}}<br />
<br />
有効なセッション名のリストは、X セッションは {{ic|/usr/share/xsessions/*.desktop}} を、Wayland セッションは {{ic|/usr/share/wayland-sessions/*.desktop}} を一覧表示すればわかります。<br />
<br />
{{Note|GNOME ユーザー (と gnome-keyring ユーザー) は、自動でロックが解除されるように、キーリングに空のパスワードを設定する必要があります。}}<br />
<br />
=== インタラクティブなパスワードレスログインを有効化する ===<br />
<br />
LightDM は [[PAM]] を経由します。なので、PAM の lightdm 設定ファイルを設定する必要があります:<br />
<br />
{{hc|/etc/pam.d/lightdm|2=<br />
#%PAM-1.0<br />
'''auth sufficient pam_succeed_if.so user ingroup nopasswdlogin'''<br />
auth include system-login<br />
...<br />
}}<br />
<br />
次に、パスワードを入力せずにインタラクティブにログインできるようにするために、あなたのユーザを {{ic|nopasswdlogin}} グループと {{ic|autologin}} グループに追加する必要があります:<br />
<br />
# groupadd -r nopasswdlogin<br />
# groupadd -r autologin<br />
# gpasswd -a ''username'' nopasswdlogin<br />
# gpasswd -a ''username'' autologin<br />
<br />
{{Note|GNOME ユーザや gnome-keyring ユーザは、前のセクションにある自動ログインの有効化に関する指示に従う必要がある場合があります。}}<br />
<br />
自動ログインし、さらにパスワード無しで再ログインできるユーザアカウントを作成するには、両方のグループに含まれるユーザを作成してください。例えば:<br />
<br />
# useradd -mG autologin,nopasswdlogin ''username''<br />
<br />
=== ゲストセッションを有効化する ===<br />
<br />
{{Note|この機能を有効化すると、ゲストユーザはパスワード無しでシステムにアクセスできるようになります。}} <br />
<br />
(システムの設定を変えずに) LightDM でゲストセッションを有効化するには、少なくとも以下の2つが必要です:<br />
<br />
# '''guest-account-script''': {{ic|guest-account}} をデフォルトとし、以下の2つのコマンドを受け入れるスクリプト:<br />
#* '''add''' (一時的なゲストシステムアカウントを作成し、作成されたアカウントのユーザ名を返します)<br />
#* '''remove''' ''アカウント名'' (対応するアカウントを削除します)<br />
# 作成されたゲストアカウントを追加する [[#自動ログインを有効にする|'''autologin''']] グループ (参照: {{ic|/etc/pam.d/lightdm-autologin}})。<br />
<br />
LightDM でゲストセッションを有効化する AUR パッケージが2つあります:<br />
<br />
* {{aur|lightdm-guest}}: 上流の (ほぼ変更されていない) guest-session スクリプトと {{pkg|lightdm}} 自体を提供します。<br />
* {{aur|lightdm-guest-account}}: スクリプトの最小バージョンのみを提供します。<br />
<br />
=== システムユーザーとサービスユーザーを隠す ===<br />
<br />
システムユーザーをログイン画面で表示されないようにするには、任意の依存パッケージ {{Pkg|accountsservice}} をインストールするか、ユーザーの名前を {{ic|/etc/lightdm/users.conf}} の {{ic|hidden-users}} に追加してください。前者の方法ではユーザーを追加・削除したときにリストを更新する必要はありません。<br />
<br />
=== SLiM からの移行 ===<br />
<br />
[[xinitrc]] の中身を [[xprofile]] に移動し、[[ウィンドウマネージャ]]や[[デスクトップ環境]]を起動するコマンドを削除してください。<br />
<br />
=== ~/.xinitrc を使ってログイン ===<br />
<br />
[[ディスプレイマネージャ#セッションとして ~/.xinitrc を実行]] を見てください。<br />
<br />
=== NumLock をデフォルトでオンにする ===<br />
<br />
{{Pkg|numlockx}} パッケージをインストールし、{{ic|/etc/lightdm/lightdm.conf}} を編集してください:<br />
<br />
{{hc|/etc/lightdm/lightdm.conf|2=<br />
[Seat:*]<br />
greeter-setup-script=/usr/bin/numlockx on<br />
}}<br />
<br />
=== デフォルトセッション ===<br />
<br />
他の DM と同じように、Lightdm は最後に選択された xsession を {{ic|~/.dmrc}} に保存します。詳しくは [[ディスプレイマネージャ#セッション設定]] を見てください。<br />
<br />
=== ログインウィンドウの位置を変更 ===<br />
<br />
==== GTK greeter ====<br />
<br />
{{ic|/etc/lightdm/lightdm-gtk-greeter.conf}} を編集して {{ic|position}} 変数に値を入力する必要があります。{{ic|x}} 値と {{ic|y}} 値を入れることができ、絶対座標 (ピクセル) と相対座標 (パーセント) で指定できます。また、ウィンドウのアンカーの位置 ({{ic|start}}、{{ic|center}}、{{ic|end}}) を指定することもできます。値はカンマで区切ります。<br />
<br />
例:<br />
<br />
position=200,start 50%,center<br />
<br />
=== VNC サーバー ===<br />
<br />
Lightdm を使って VNC 経由で接続することも可能です。サーバ側に {{pkg|tigervnc}} をインストールしてください。任意で、クライアント側の PC にも VNC クライアントとしてインストールしてください。<br />
<br />
サーバ側で root として認証パスワードをセットアップしてください:<br />
<br />
# vncpasswd /etc/vncpasswd<br />
<br />
そして、以下のように LightDM の設定ファイルを編集してください。{{ic|listen-address}} の設定で localhost からの接続のみをリッスンするように VNC を設定していることに注意してください。これは、[[TigerVNC#クライアント側|SSH とポートフォワーディング]]経由での接続のみを許可するためです。SSH クライアントでは、トンネルの接続先として {{ic|localhost:5900}} のみを使うようにしてください。デュアルスタックのネットワーク接続では {{ic|127.0.0.1:5900}} や {{ic|::1:5900}} は信頼性がありません。セキュアでない接続も許可するようにしたい場合、この設定を無効化してください。<br />
<br />
{{hc|/etc/lightdm/lightdm.conf|2=<br />
[VNCServer]<br />
enabled=true<br />
command=Xvnc -rfbauth /etc/vncpasswd<br />
port=5900<br />
listen-address=localhost<br />
width=1024<br />
height=768<br />
depth=24<br />
}}<br />
<br />
設定したら、[[TigerVNC#クライアント側]] に書かれているように SSH トンネルを開いてローカルホストに接続してください。<br />
<br />
{{Note|VNC 接続を開いたときに画面に何も表示されない場合、別の LightDM greeter を試してみてください。}}<br />
<br />
=== light-locker を使って画面をロック ===<br />
<br />
{{Pkg|light-locker}} は LightDM を使用してユーザーを認証するシンプルなスクリーンロッカーです。インストールして起動したら以下のコマンドでセッションをロックできます:<br />
<br />
$ light-locker-command -l<br />
<br />
上記コマンドを使うにはセッションの最初に {{ic|light-locker}} を起動する必要があります。デフォルトでは、これは [[XDG 自動起動]]を使用して有効化されます。その他のオプションは [[自動起動]] を見てください。<br />
<br />
=== マルチモニターのセットアップ ===<br />
<br />
マルチモニター環境では LightDM がモニターの解像度を適切に設定しないことがあります。以下の Xorg 設定はデュアルモニターの環境で機能します: 大きなプライマリスクリーンを左側に配置し、サブの小さい方のスクリーンをプライマリの右側に配置します。順番は逆にすることも変更することもできます。<br />
<br />
{{hc|/etc/X11/xorg.conf.d/52-resolution-fix.conf|2=<br />
Section "Monitor"<br />
Identifier "DP1"<br />
Option "PreferredMode" "3840x2160"<br />
Option "Primary" "1"<br />
EndSection<br />
Section "Monitor"<br />
Identifier "eDP1"<br />
Option "PreferredMode" "1920x1080"<br />
Option "RightOf" "DP1"<br />
EndSection<br />
}}<br />
<br />
これは、{{ic|/etc/lightdm/lightdm.conf}} の {{ic|display-setup-script}} の設定を不要にします。<br />
<br />
== トラブルシューティング ==<br />
<br />
=== 自動ログインが機能しない ===<br />
<br />
{{ic|/etc/lightdm/lightdm.conf}} 内の {{ic|1=autologin-user=}} に適切な値が設されていることを確認してください。末尾に空白があるとエラーが発生します。<br />
<br />
自動ログインが失敗した時に画面に何も表示されない、あるいはログイン画面に即座に戻される場合、{{ic|1=logind-check-graphical=true}} を設定する必要があるかもしれません。<br />
<br />
自動ログインの用途には {{AUR|lightdm-autologin-greeter-git}} をインストールすることもできます。<br />
<br />
=== 現在の設定を見る ===<br />
<br />
現在の設定を見るには、以下を実行してください:<br />
<br />
$ lightdm --show-config<br />
<br />
現在の設定、及びそれらの設定が読み込まれた元の設定ファイルが表示されます。<br />
<br />
=== LightDM が起動せず、画面が点滅する ===<br />
<br />
起動時に画面が点滅し続け、LightDM が表示されない場合、LightDM の設定ファイルで greeter を正しく定義しているか確認してください。GTK greeter を適切に定義している場合は、{{ic|xsessions-directory}} (デフォルト: {{ic|/usr/share/xsessions}}) が存在していて少なくとも一つは .desktop ファイルが含まれていることを確認してください。<br />
<br />
最後に使用したセッションが利用できなくなった時も同じ問題が lightdm の起動時に発生することがあります (例えば gnome を使った後 gnome-session パッケージを削除した場合): 一番簡単な回避策は削除したパッケージを一時的に戻すことです。もうひとつの解決策は:<br />
<br />
# dbus-send --system --type=method_call --print-reply --dest=org.freedesktop.Accounts /org/freedesktop/Accounts/User1000 org.freedesktop.Accounts.User.SetXSession string:xfce<br />
<br />
この例は、セッション "xfce" をユーザー ID 1000 のユーザーのデフォルトとして設定します。<br />
<br />
=== 間違ったロケールが表示される ===<br />
<br />
LightDM でロケールが正しく表示されない場合はあなたが使用しているロケールを {{ic|/etc/environment}} に追加してください:<br />
<br />
LANG=ja_JP.utf8<br />
<br />
LightDM や greeter でシステムロケール以外の言語を使いたい場合、[[ドロップインファイル]]で {{ic|1=Environment=}} オプションを使用することで可能です。<br />
<br />
=== GTK greeter でアイコンが表示されない ===<br />
<br />
{{Pkg|lightdm-gtk-greeter}} を greeter として使っていてプレースホルダ画像がアイコンとして表示される場合、正しいアイコンテーマとテーマを設定してください。次のファイルを確認してください:<br />
<br />
{{hc|/etc/lightdm/lightdm-gtk-greeter.conf|2=<br />
[greeter]<br />
theme-name=mate # /usr/share/themes/ 以下のディレクトリの名前<br />
icon-theme-name=mate # /usr/share/icons/ 以下の完全なアイコンセットディレクトリの名前<br />
}}<br />
<br />
=== ログインしようとすると LightDM がフリーズする ===<br />
<br />
適当なユーザー名・パスワードを入力してログインしようとすると、LightDM がフリーズしデスクトップを起動できないことがあります。この問題を修正するには、{{Pkg|gdk-pixbuf2}} パッケージを再インストールしてください。[https://bbs.archlinux.org/viewtopic.php?id=179031 フォーラムへの投稿]を参照。<br />
<br />
=== LightDM が間違ったモニタに表示される ===<br />
<br />
マルチモニタを使っていると、LightDM が間違ったモニタに表示されることがあります (例: プライマリモニタが右側にある場合)。LightDM のログイン画面が特定のモニタで表示されるように指定するには、{{ic|/etc/lightdm/lightdm.conf}} を編集して ''display-setup-script'' パラメータを次のように変更してください: <br />
<br />
{{hc|/etc/lightdm/lightdm.conf|2=<br />
display-setup-script=xrandr --output ''HDMI-1'' --primary<br />
}}<br />
<br />
''HDMI1'' は実際のモニタの ID に置き換えてください、'''xrandr''' コマンドの出力で確認できます。<br />
<br />
もしくは、GTK greeter を使用している場合、{{ic|/etc/lightdm/lightdm-gtk-greeter.conf}} を編集して以下のように ''active-monitor'' パラメータを追加することもできます:<br />
<br />
{{hc|/etc/lightdm/lightdm-gtk-greeter.conf|2=<br />
[greeter]<br />
active-monitor=0<br />
}}<br />
<br />
0 は適当なディスプレイの番号に置き換えてください。<br />
<br />
=== LightDM が表示されない、または TTY 出力のみがモニタに表示される ===<br />
<br />
システムの起動が速すぎて、グラフィックドライバーが読み込まれるよりも先に LightDM サービスが起動してしまうことがあります。このような場合、{{ic|lightdm.conf}} ファイルに以下の設定を追加してください:<br />
<br />
{{hc|/etc/lightdm/lightdm.conf|2=<br />
[LightDM]<br />
logind-check-graphical=true<br />
}}<br />
<br />
上記の設定で LightDM はグラフィックデバイスの準備が完了するのを待ってから、greeter を生成する、またはセッションを自動起動します。<br />
<br />
しかし、'''新しいバージョンの LightDM では、これがデフォルトの設定になっています。'''その結果、一部のハードウェアでは、グラフィックドライバが適切に検出されず、LightDM が greeter を起動しない場合があります (ブートしてシステムが安定した後でも)。この場合、この設定を false に設定して、グラフィックドライバのチェックをせずに greeter を起動するように強制的してください。<br />
<br />
=== Intel Graphics で LightDM の FPS が低い ===<br />
<br />
[[Intel graphics#AccelMethod]] を参照。<br />
<br />
=== Pulseaudio が自動的に起動しない ===<br />
<br />
[[PulseAudio#実行]] を参照。<br />
<br />
=== ホームディレクトリが暗号化されていると LightDM の表示に時間がかかる ===<br />
<br />
一部の LightDM テーマは、ホームディレクトリ内のアバター画像ファイルにアクセスしようとします。ホームディレクトリが暗号化されている場合、LightDM はホームディレクトリにアクセスできず、フリーズします。以下のどちらかの方法により、これを防止できます:<br />
<br />
* [[#アバターを変更する]] で説明されているようにアバターを設定する<br />
* {{Pkg|lightdm-gtk-greeter}} の場合のみ: {{Ic|/etc/lightdm/lightdm-gtk-greeter.conf}} で {{Ic|<nowiki>hide-user-image = true</nowiki>}} を設定する<br />
<br />
=== "[ OK ] Reached target Graphical Interface." で起動がストップする ===<br />
<br />
{{ic|/etc/nsswitch.conf}} を変更している場合、ユーザとグループの探索に失敗することがあります。これは、{{ic|/etc/nslcd.conf}} で {{ic|nss_initgroups_ignoreusers ALLLOCAL}} を設定せずに {{ic|nsswitch.conf}} のグループに {{ic|ldap}} が含まれている場合に起こります。<br />
<br />
=== Greeter に重複した GNOME エントリがあると Wayland セッションが動作しない ===<br />
<br />
一部の greeter (例: {{Pkg|lightdm-webkit2-greeter}}) は、2つのセッションが同一の名前を持つことをサポートしていません [https://github.com/canonical/lightdm/issues/16]。重複したエントリがあるか確認するには:<br />
<br />
$ ls -1 /usr/share/wayland-sessions /usr/share/xsessions<br />
<br />
{{ic|/usr/share/xsessions}} 内の重複したエントリの名称を変更してください。例えば:<br />
<br />
# mv /usr/share/xsessions/gnome.desktop /usr/share/xsessions/gnome.desktop.disabled<br />
<br />
=== 初回ログイン時に必ずセクメンテーション違反が発生する ===<br />
<br />
[[ネットワーク設定#ホスト名の設定]] にあるように、ホスト名を設定してください。{{Bug|47694}} も参照してください。<br />
<br />
=== ログインの無限ループ ===<br />
<br />
正しいユーザ名とパスワードを入力しても画面が真っ暗になり、何度やってもログイン画面に戻るというループに陥った場合、{{ic|rm ~/.Xauthority}} を実行する (つまり、無限ループが発生しているユーザの問題のある {{ic|.Xauthority}} を削除する) と解決することがあります。<br />
<br />
もう一つの理由は、あなたが "lightdm.conf" を一から作り直そうとして、以下の行を入れ忘れたのかもしれません:<br />
<br />
session-wrapper=/etc/lightdm/Xsession<br />
<br />
この行がないと、LightDM は、Arch Linux には存在しない "lightdm-session" をセッションラッパーとして使おうとしてしまいます。<br />
<br />
lightdm.conf ファイルで session-wrapper を設定したが、lightdm のログではデフォルトの session-wrapper が使われていると出力される場合、スタートアップ中に lightdm.conf がアクセスできる状態にあることを確認してください。そのような例としては、lightdm.conf をホームディレクトリ内のファイルへのシンボリックリンクにしたが、LightDM サービスが開始する前はホームディレクトリがマウントされていないような環境があります。そのようなケースでは、LightDM はデフォルトの session-wrapper にフォールバックします。<br />
<br />
=== Wayland セッションで入力デバイスが動かない ===<br />
<br />
Wayland セッションを開始すると、入力デバイスが動かなくなり、物理的に抜き差ししても治らないことがあります。[https://github.com/canonical/lightdm/issues/63 LightDM issue 63] を参照してください。<br />
<br />
回避策は、{{ic|/etc/lightdm/Xsession}} に {{ic|sleep 1}} を追加して Wayland コンポジタの開始を遅延させることです。[https://gitlab.archlinux.org/archlinux/packaging/packages/lightdm/-/merge_requests/4 archlinux/packaging/packages/lightdm!4] は、Arch パッケージに先の回避策を適用した例です。<br />
<br />
=== lightdm-webkit2-greeter がログインプロセスでエラーを出力する ===<br />
<br />
"an error was detected in the current theme that could interfere with the system login process" のようなメッセージが Greeterの起動時に出力される場合は次のコマンドで詳細なログを確認することができます。<br />
<br />
lightdm-webkit2-greeter<br />
<br />
== 参照 ==<br />
<br />
* [https://wiki.ubuntu.com/LightDM Ubuntu Wiki の記事]<br />
* [[Gentoo:LightDM/ja]]<br />
* [https://github.com/CanonicalLtd/lightdm GitHub の LightDM]<br />
<br />
{{TranslationStatus|LightDM|2024-11-29|820925}}</div>
Hkiku482
https://wiki.archlinux.jp/index.php?title=LightDM&diff=39555
LightDM
2025-01-25T18:48:55Z
<p>Hkiku482: /* lightdm-webkit2-greeter がログインプロセスでエラーを出力する */ 節を追加</p>
<hr />
<div>[[Category:ディスプレイマネージャ]]<br />
[[Category:カノニカル]]<br />
[[de:Login-Manager#LightDM]]<br />
[[en:LightDM]]<br />
[[ru:LightDM]]<br />
[[zh-hans:LightDM]]<br />
{{Related articles start}}<br />
{{Related|ディスプレイマネージャ}}<br />
{{Related|GDM}}<br />
{{Related|LXDM}}<br />
{{Related articles end}}<br />
<br />
[https://github.com/canonical/lightdm LightDM] はクロスデスクトップの[[ディスプレイマネージャ]]です。主な特徴は以下の通り:<br />
<br />
* クロスデスクトップ - 様々なデスクトップ技術をサポート。<br />
* 様々なディスプレイサーバーに対応 (X、Mir、Wayland ...)。<br />
* 軽量 - メモリの使用量が少なくて高速に動作。<br />
* ゲストセッションをサポート。<br />
* リモートログインをサポート (着信 - [[XDMCP]]、[[VNC]]、発信 - XDMCP、[[PAM]])。<br />
* 充実したテストスイート。<br />
* 軽量なコードベース。<br />
<br />
LightDM の設計に関する詳細は [https://www.freedesktop.org/wiki/Software/LightDM/Design ここ] から見れます。<br />
<br />
== インストール ==<br />
<br />
{{Pkg|lightdm}} パッケージを[[インストール]]してください。開発版は {{AUR|lightdm-git}} でインストールできます。<br />
<br />
=== Greeter ===<br />
<br />
Greeter も[[インストール]]する必要があるでしょう。Greeter はユーザーにログイン情報の入力を求める GUI であり、セッションの選択なども行います。Greeter 無しで LightDM を使うことも可能ですが、自動ログインが設定されている場合に限ります。Greeter を使用する場合は、{{pkg|xorg-server}} をインストールし、さらに以下の greeter パッケージのどれかをインストールする必要があります。<br />
<br />
GTK ベースの greeter:<br />
<br />
* {{App|LightDM GTK Greeter|LightDM のための GTK greeter。これは'''デフォルトの''' greeter です。他の greeter が設定されていない場合、LightDM はこの greeter を使おうとします。|https://github.com/Xubuntu/lightdm-gtk-greeter|{{Pkg|lightdm-gtk-greeter}}}}<br />
* {{App|lightdm-pantheon-greeter|Elementary OS プロジェクトの greeter。|https://github.com/elementary/greeter|{{Pkg|lightdm-pantheon-greeter}}}}<br />
* {{App|slick-greeter|{{Pkg|lightdm-gtk-greeter}} よりも見た目に重点を置いた GTK ベースの greeter。元は Unity greeter からフォークされたもので、Linux Mint ではデフォルトです。|https://github.com/linuxmint/slick-greeter|{{Pkg|lightdm-slick-greeter}}}}<br />
* {{App|Web Greeter for LightDM|テーマに Webkit2 を使用する greeter。'''このプロジェクトの開発は2019年5月22日以降停止しています。'''|https://github.com/antergos/web-greeter|{{Pkg|lightdm-webkit2-greeter}}}}<br />
* {{App|Mini-Greeter|最小の、カスタマイズ可能な、シングルユーザーの GTK3 greeter。|https://github.com/prikhi/lightdm-mini-greeter|{{AUR|lightdm-mini-greeter}}}}<br />
* {{App|Nody Greeter|ウェブの技術で素晴らしいテーマを作成できる LightDM greeter。Electron.js と NodeGTK、そして Node.js で作成されています。|https://github.com/JezerM/nody-greeter|{{AUR|nody-greeter}}}}<br />
<br />
Qt ベースの greeter:<br />
<br />
* {{App|Web Greeter|テーマに PyQtWebEngine を使用している、モダンで美しい greeter。{{Pkg|lightdm-webkit2-greeter}} の後継です。|https://github.com/JezerM/web-greeter|{{AUR|web-greeter}}}}<br />
* {{App|LightDM KDE Greeter|KDE による LightDM greeter。|https://invent.kde.org/plasma/lightdm-kde-greeter|{{AUR|lightdm-kde-greeter}}}}<br />
<br />
他の greeter:<br />
<br />
* {{App|lightdm-deepin-greeter|[[Deepin]] プロジェクトの greeter。|https://github.com/linuxdeepin/dde-session-shell|{{Pkg|deepin-session-shell}}}}<br />
* {{App|LightDM Elephant Greeter|小さくシンプルな greeter。デフォルトでは {{Pkg|cage}} Wayland コンポジタ内で動作します。|https://github.com/max-moser/lightdm-elephant-greeter|{{AUR|lightdm-elephant-greeter-git}}}}<br />
<br />
{{Pkg|lightdm-webkit2-greeter}} 用のテーマ:<br />
<br />
* {{App|Litarvan's LightDM WebKit2 theme|モダンで機能が豊富なテーマ。|https://github.com/Litarvan/lightdm-webkit-theme-litarvan|{{Pkg|lightdm-webkit-theme-litarvan}}}}<br />
* {{App|Aether|洗練された、扱いやすい Arch Linux テーマのログインスクリーン。|https://github.com/NoiSek/Aether|{{AUR|lightdm-webkit-theme-aether}}}}<br />
<br />
{{AUR|web-greeter}} と {{AUR|nody-greeter}} 用のテーマ:<br />
<br />
* {{App|Shikai|美しく、カスタマイズ可能なテーマ。|https://github.com/TheWisker/Shikai|{{AUR|shikai-theme}}}}<br />
<br />
LightDM の設定ファイルの {{ic|[Seat:*]}} セクションを変更することでデフォルトの greeter を設定することができます。例えば:<br />
<br />
{{hc|/etc/lightdm/lightdm.conf|2=<br />
[Seat:*]<br />
...<br />
greeter-session=lightdm-''yourgreeter''-greeter<br />
...<br />
}}<br />
<br />
{{Note|{{Pkg|lightdm-pantheon-greeter}} の設定ファイルは {{ic|io.elementary.greeter.conf}} です。{{ic|lightdm-pantheon-greeter.conf}} ではありません。}}<br />
<br />
どの greeter が利用できるか確認できる方法としては、{{ic|/usr/share/xgreeters}} ディレクトリ内のファイルをリストアップするというものがあります。それぞれの ''.desktop'' ファイルは1つの利用可能な greeter を表します。以下の例では、{{ic|lightdm-gtk-greeter}} greeter と {{ic|lightdm-webkit2-greeter}} greeter が利用可能です:<br />
<br />
{{hc|$ ls -1 /usr/share/xgreeters/|<br />
lightdm-gtk-greeter.desktop<br />
lightdm-webkit2-greeter.desktop<br />
}}<br />
<br />
== LightDM を有効にする ==<br />
<br />
LightDM をブート時に起動するには {{ic|lightdm.service}} を[[有効化]]してください。[[ディスプレイマネージャ#ディスプレイマネージャをロードする]] も参照。<br />
<br />
== コマンドラインツール ==<br />
<br />
LightDM はコマンドラインツール {{ic|dm-tool}} を提供しています。これを使うことで現在のシートのロック、セッションの切り替えなどができます。'最小主義の'ウィンドウマネージャを使っている場合やテストに便利です。利用できるコマンドを表示するには、次を実行してください:<br />
<br />
$ dm-tool --help<br />
<br />
=== ユーザーの切り替え ===<br />
<br />
{{Warning|1=''dm-tool'' は、({{ic|dm-tool lock}} や {{ic|dm-tool switch-to-greeter}} を実行することで) 簡単にバイパスすることができ、[[#light-locker を使って画面をロック|light-locker]] か他の [[アプリケーション一覧/セキュリティ#スクリーンロック|loginctl 互換のスクリーンロッカー]]が無いとセッションをロックしません。[[XScreenSaver#ロック画面からユーザーを切り替える]] を参照。}}<br />
<br />
LightDM の ''dm-tool'' コマンドを使って別々の tty に複数のユーザーをログインさせることができます。以下のコマンドは現在のセッションをロックするシグナルを送信して LightDM の greeter への切り替えを行って、新しいユーザーがログインできるようにします:<br />
<br />
$ dm-tool switch-to-greeter<br />
<br />
== テスト ==<br />
<br />
まず、{{Pkg|xorg-server-xephyr}} を[[インストール]]してください。<br />
<br />
そして、LightDM を X アプリケーションとして実行してください:<br />
<br />
$ lightdm --test-mode --debug<br />
<br />
== 任意の設定と調整 ==<br />
<br />
LightDM は、設定ファイル {{ic|/etc/lightdm/lightdm.conf}} を編集することで設定することができます。<br />
<br />
また、一部の greeter には独自の設定ファイルが存在しています。例えば:<br />
<br />
{{Pkg|lightdm-gtk-greeter}}: {{ic|/etc/lightdm/lightdm-gtk-greeter.conf}} (あるいは、{{Pkg|lightdm-gtk-greeter-settings}} GUI を使用することもできます)。<br />
<br />
{{Pkg|lightdm-webkit2-greeter}}: {{ic|/etc/lightdm/lightdm-webkit2-greeter.conf}}<br />
<br />
=== X セッションラッパー ===<br />
<br />
[[xinit]] から移行したユーザは、セッションがシェルから起動しないことに気づくでしょう。これは、シェルはセッションを起動する (そして、セッションはシェルの環境変数を継承する) のに対し、LightDM はセッションを起動するがシェルを source しないことが原因です。LightDM はラッパースクリプトを実行することでセッションを起動し、最後にグラフィカル環境を起動します。デフォルトでは、{{ic|/etc/lightdm/Xsession}} が実行されます。<br />
<br />
==== 環境変数 ====<br />
<br />
スクリプトは {{ic|/etc/profile}}、{{ic|~/.profile}}、{{ic|/etc/xprofile}}、そして {{ic|~/.xprofile}} をこの順番で読み込みます。これらのファイルを source しないシェルを使用している場合は、ファイルを読み込む {{ic|~/.xprofile}} を作成してもよいです。以下の例では、[[zsh]] がログインシェルです:<br />
<br />
{{hc|~/.xprofile|2=<br />
#!/bin/sh<br />
<nowiki>[ -f ~/.config/zsh/.zshenv ] && . ~/.config/zsh/.zshenv</nowiki><br />
}}<br />
<br />
セッションにおいて重要であるシェル変数 (GTK や QT のテーマ、GNUPG の場所、設定のオーバーライドなど) を定義している場合は、こうすることでログインシェルから起動せずにグラフィカル環境が環境変数にアクセスすることができるようになります。<br />
<br />
==== キーマップ ====<br />
<br />
スクリプトは {{ic|/etc/X11/Xkbmap}} と {{ic|~/.Xkbmap}} で定義されている引数を使って [[Xkbmap]] を実行します。これらのファイルが存在しない場合、スクリプトは {{ic|/etc/X11/Xmodmap}} と {{ic|~/.Xmodmap}} で定義されている引数を使って [[xmodmap]] を実行します。xkbmap を使用する場合、上記のファイルは cat を使ってパースされます。例:<br />
<br />
{{hc|~/.Xmodmap|2=<br />
-model pc105 -layout us,us,tr -variant ,dvorak,f -option grp:caps_toggle<br />
}}<br />
<br />
それら以外の場合、セッションは X11 のシステムのデフォルトのキーマップを継承します。このキーマップは、xorg の設定ファイルを手動で編集するか、{{ic|localectl set-x11-keymap}} を使用することで定義することができます。[[Xorg/キーボード設定#キーボードレイアウトの設定]] を参照。<br />
<br />
==== lightdm-gtk-greeter で複数のキーボード配列 ====<br />
<br />
事前定義済みのキーボード配列の中から配列を切り替えられるようにするには、ドロップダウンメニューを有効化し、配列を設定してください。{{Pkg|lightdm-gtk-greeter-settings}} GUI を使用するか、設定ファイルを直接編集してください:<br />
<br />
{{hc|/etc/lightdm/lightdm-gtk-greeter.conf|2=<br />
[greeter]<br />
indicators = ~host;~spacer;~clock;~spacer;~layout;~language;~session;~a11y;~power<br />
}}<br />
<br />
複数の配列を設定するには [[Xorg/キーボード設定#localectl を使う|localectl]] を使用してください。例えば、de とその "バリアント" である neo を設定し、後者をプライマリとするには:<br />
<br />
# localectl --no-convert set-x11-keymap de,de pc105 neo,<br />
<br />
末尾のコンマは2つめの de の空白のバリアントを意味していることに注意してください。<br />
<br />
=== 背景画像・色を変更する ===<br />
<br />
背景には16進数のカラーコードか画像を設定することができます。一部の greeter は、ログイン画面による背景選択、ランダムな背景などのよりロバストな背景オプションを提供しています。<br />
<br />
==== GTK greeter ====<br />
<br />
{{Pkg|lightdm-gtk-greeter-settings}} GUI を使って設定することができます。<br />
<br />
Greeter 画面の壁紙をカスタマイズしたい場合は、{{ic|/etc/lightdm/lightdm-gtk-greeter.conf}} を編集して {{ic|[greeter]}} セクション内で {{ic|background}} 変数を定義する必要があります。例:<br />
<br />
{{hc|/etc/lightdm/lightdm-gtk-greeter.conf|2=<br />
[greeter]<br />
background=/usr/share/pixmaps/black_and_white_photography-wallpaper-1920x1080.jpg<br />
}}<br />
<br />
{{Note|LightDM ユーザーが画像ファイルにアクセスできるようにするために、{{ic|/usr/share/pixmaps}} に PNG や JPG ファイルを配置することが推奨されています。}}<br />
<br />
GTK3 テーマは {{ic|[greeter]}} セクション内の {{ic|theme-name}} 変数で指定することができます。アイコンとカーソルのテーマも同じように設定できます。例:<br />
<br />
{{hc|/etc/lightdm/lightdm-gtk-greeter.conf|2=<br />
[greeter]<br />
theme-name = Tela<br />
icon-theme-name = Tela<br />
cursor-theme-name = Tela<br />
cursor-theme-size = 32<br />
font-name = Cantarell 20<br />
}}<br />
<br />
==== Webkit2 greeter ====<br />
<br />
{{Pkg|lightdm-webkit2-greeter}} では、背景画像をログイン画面で直接選択することができます。また、[https://github.com/artur9010/lightdm-webkit-material Material テーマ]を使用する場合は、起動するたびにランダムな画像を表示するオプションも提供されています。デフォルトでは、画像は {{ic|/usr/share/backgrounds}} から読み込まれます。{{ic|lightdm-webkit2-greeter.conf}} を編集することで背景画像を直接変更することができます。例えば:<br />
<br />
{{hc|/etc/lightdm/lightdm-webkit2-greeter.conf|2=<br />
[branding]<br />
background_images = /usr/share/backgrounds<br />
}}<br />
<br />
{{Note|背景画像のディレクトリは LightDM ユーザによってアクセス可能でなければなりません。よって、画像は {{ic|/home}} 内に配置するべきではありません。}}<br />
<br />
==== Slick Greeter ====<br />
<br />
{{AUR|lightdm-settings}} GUI を使用してください。<br />
<br />
=== アバターを変更する ===<br />
<br />
まず、{{Pkg|accountsservice}} パッケージが[[インストール]]されていることを確認し、その後、以下のようにセットアップしてください。{{ic|''username''}} の部分はユーザーのログイン名に置き換えてください。<br />
<br />
* 96x96 の PNG 画像ファイルを使って {{ic|/var/lib/AccountsService/icons/''username''.png}} ファイルを作成してください。その他の画像フォーマットも利用可能です (例えば JPEG)。<br />
* あるいは、デフォルトの設定がすでにユーザーのホームディレクトリのパスを使用している場合は、画像ファイルを {{ic|/home/''username''/.face}} として配置し、次の手順を飛ばしてください。<br />
* アカウントの設定ファイル {{ic|/var/lib/AccountsService/users/''username''}} を編集あるいは作成し、以下の設定を追加してください:<br />
<br />
[User]<br />
Icon=/var/lib/AccountsService/icons/''username''.png<br />
<br />
ここでのファイル名は、1番目の手順で作成したアイコンファイルでなければなりません。なので、必要に応じてファイル名の拡張子を変更してください。<br />
<br />
{{Note|作成したファイルのパーミッションは全て 644 に設定してください。[[chmod]] を使って、パーミッションを設定してください。}}<br />
<br />
=== Arch の 64x64 アイコンを使う ===<br />
<br />
{{AUR|archlinux-artwork}} パッケージには素晴らしいサンプルが含まれており、{{ic|/usr/share/archlinux/icons}} にインストールされます。以下のように {{ic|/usr/share/icons/hicolor/64x64/devices}} にコピーすることが可能です:<br />
<br />
# find /usr/share/archlinux/icons -name "*64*" -exec cp {} /usr/share/icons/hicolor/64x64/devices \;<br />
<br />
コピーした後は、{{AUR|archlinux-artwork}} パッケージは削除してかまいません。<br />
<br />
=== 自動ログインを有効にする ===<br />
<br />
LightDM の設定ファイルを編集して、以下の設定をアンコメントし、正しく設定してください:<br />
<br />
{{hc|/etc/lightdm/lightdm.conf|2=<br />
[Seat:*]<br />
autologin-user=''username''<br />
}}<br />
<br />
パスワードを入力しないで自動的にログインできるようにするには、ユーザを {{ic|autologin}} グループに追加する必要があります:<br />
<br />
# groupadd -r autologin<br />
# gpasswd -a ''username'' autologin<br />
<br />
LightDM は {{ic|~/.dmrc}} に指定されたセッションを使ってログインします。このファイルの設定をオーバーライドするには、{{ic|lightdm.conf}} で {{ic|autologin-session}} を指定してください:<br />
<br />
{{hc|/etc/lightdm/lightdm.conf|2=<br />
[Seat:*]<br />
autologin-user=''username''<br />
autologin-session=''session''<br />
}}<br />
<br />
有効なセッション名のリストは、X セッションは {{ic|/usr/share/xsessions/*.desktop}} を、Wayland セッションは {{ic|/usr/share/wayland-sessions/*.desktop}} を一覧表示すればわかります。<br />
<br />
{{Note|GNOME ユーザー (と gnome-keyring ユーザー) は、自動でロックが解除されるように、キーリングに空のパスワードを設定する必要があります。}}<br />
<br />
=== インタラクティブなパスワードレスログインを有効化する ===<br />
<br />
LightDM は [[PAM]] を経由します。なので、PAM の lightdm 設定ファイルを設定する必要があります:<br />
<br />
{{hc|/etc/pam.d/lightdm|2=<br />
#%PAM-1.0<br />
'''auth sufficient pam_succeed_if.so user ingroup nopasswdlogin'''<br />
auth include system-login<br />
...<br />
}}<br />
<br />
次に、パスワードを入力せずにインタラクティブにログインできるようにするために、あなたのユーザを {{ic|nopasswdlogin}} グループと {{ic|autologin}} グループに追加する必要があります:<br />
<br />
# groupadd -r nopasswdlogin<br />
# groupadd -r autologin<br />
# gpasswd -a ''username'' nopasswdlogin<br />
# gpasswd -a ''username'' autologin<br />
<br />
{{Note|GNOME ユーザや gnome-keyring ユーザは、前のセクションにある自動ログインの有効化に関する指示に従う必要がある場合があります。}}<br />
<br />
自動ログインし、さらにパスワード無しで再ログインできるユーザアカウントを作成するには、両方のグループに含まれるユーザを作成してください。例えば:<br />
<br />
# useradd -mG autologin,nopasswdlogin ''username''<br />
<br />
=== ゲストセッションを有効化する ===<br />
<br />
{{Note|この機能を有効化すると、ゲストユーザはパスワード無しでシステムにアクセスできるようになります。}} <br />
<br />
(システムの設定を変えずに) LightDM でゲストセッションを有効化するには、少なくとも以下の2つが必要です:<br />
<br />
# '''guest-account-script''': {{ic|guest-account}} をデフォルトとし、以下の2つのコマンドを受け入れるスクリプト:<br />
#* '''add''' (一時的なゲストシステムアカウントを作成し、作成されたアカウントのユーザ名を返します)<br />
#* '''remove''' ''アカウント名'' (対応するアカウントを削除します)<br />
# 作成されたゲストアカウントを追加する [[#自動ログインを有効にする|'''autologin''']] グループ (参照: {{ic|/etc/pam.d/lightdm-autologin}})。<br />
<br />
LightDM でゲストセッションを有効化する AUR パッケージが2つあります:<br />
<br />
* {{aur|lightdm-guest}}: 上流の (ほぼ変更されていない) guest-session スクリプトと {{pkg|lightdm}} 自体を提供します。<br />
* {{aur|lightdm-guest-account}}: スクリプトの最小バージョンのみを提供します。<br />
<br />
=== システムユーザーとサービスユーザーを隠す ===<br />
<br />
システムユーザーをログイン画面で表示されないようにするには、任意の依存パッケージ {{Pkg|accountsservice}} をインストールするか、ユーザーの名前を {{ic|/etc/lightdm/users.conf}} の {{ic|hidden-users}} に追加してください。前者の方法ではユーザーを追加・削除したときにリストを更新する必要はありません。<br />
<br />
=== SLiM からの移行 ===<br />
<br />
[[xinitrc]] の中身を [[xprofile]] に移動し、[[ウィンドウマネージャ]]や[[デスクトップ環境]]を起動するコマンドを削除してください。<br />
<br />
=== ~/.xinitrc を使ってログイン ===<br />
<br />
[[ディスプレイマネージャ#セッションとして ~/.xinitrc を実行]] を見てください。<br />
<br />
=== NumLock をデフォルトでオンにする ===<br />
<br />
{{Pkg|numlockx}} パッケージをインストールし、{{ic|/etc/lightdm/lightdm.conf}} を編集してください:<br />
<br />
{{hc|/etc/lightdm/lightdm.conf|2=<br />
[Seat:*]<br />
greeter-setup-script=/usr/bin/numlockx on<br />
}}<br />
<br />
=== デフォルトセッション ===<br />
<br />
他の DM と同じように、Lightdm は最後に選択された xsession を {{ic|~/.dmrc}} に保存します。詳しくは [[ディスプレイマネージャ#セッション設定]] を見てください。<br />
<br />
=== ログインウィンドウの位置を変更 ===<br />
<br />
==== GTK greeter ====<br />
<br />
{{ic|/etc/lightdm/lightdm-gtk-greeter.conf}} を編集して {{ic|position}} 変数に値を入力する必要があります。{{ic|x}} 値と {{ic|y}} 値を入れることができ、絶対座標 (ピクセル) と相対座標 (パーセント) で指定できます。また、ウィンドウのアンカーの位置 ({{ic|start}}、{{ic|center}}、{{ic|end}}) を指定することもできます。値はカンマで区切ります。<br />
<br />
例:<br />
<br />
position=200,start 50%,center<br />
<br />
=== VNC サーバー ===<br />
<br />
Lightdm を使って VNC 経由で接続することも可能です。サーバ側に {{pkg|tigervnc}} をインストールしてください。任意で、クライアント側の PC にも VNC クライアントとしてインストールしてください。<br />
<br />
サーバ側で root として認証パスワードをセットアップしてください:<br />
<br />
# vncpasswd /etc/vncpasswd<br />
<br />
そして、以下のように LightDM の設定ファイルを編集してください。{{ic|listen-address}} の設定で localhost からの接続のみをリッスンするように VNC を設定していることに注意してください。これは、[[TigerVNC#クライアント側|SSH とポートフォワーディング]]経由での接続のみを許可するためです。SSH クライアントでは、トンネルの接続先として {{ic|localhost:5900}} のみを使うようにしてください。デュアルスタックのネットワーク接続では {{ic|127.0.0.1:5900}} や {{ic|::1:5900}} は信頼性がありません。セキュアでない接続も許可するようにしたい場合、この設定を無効化してください。<br />
<br />
{{hc|/etc/lightdm/lightdm.conf|2=<br />
[VNCServer]<br />
enabled=true<br />
command=Xvnc -rfbauth /etc/vncpasswd<br />
port=5900<br />
listen-address=localhost<br />
width=1024<br />
height=768<br />
depth=24<br />
}}<br />
<br />
設定したら、[[TigerVNC#クライアント側]] に書かれているように SSH トンネルを開いてローカルホストに接続してください。<br />
<br />
{{Note|VNC 接続を開いたときに画面に何も表示されない場合、別の LightDM greeter を試してみてください。}}<br />
<br />
=== light-locker を使って画面をロック ===<br />
<br />
{{Pkg|light-locker}} は LightDM を使用してユーザーを認証するシンプルなスクリーンロッカーです。インストールして起動したら以下のコマンドでセッションをロックできます:<br />
<br />
$ light-locker-command -l<br />
<br />
上記コマンドを使うにはセッションの最初に {{ic|light-locker}} を起動する必要があります。デフォルトでは、これは [[XDG 自動起動]]を使用して有効化されます。その他のオプションは [[自動起動]] を見てください。<br />
<br />
=== マルチモニターのセットアップ ===<br />
<br />
マルチモニター環境では LightDM がモニターの解像度を適切に設定しないことがあります。以下の Xorg 設定はデュアルモニターの環境で機能します: 大きなプライマリスクリーンを左側に配置し、サブの小さい方のスクリーンをプライマリの右側に配置します。順番は逆にすることも変更することもできます。<br />
<br />
{{hc|/etc/X11/xorg.conf.d/52-resolution-fix.conf|2=<br />
Section "Monitor"<br />
Identifier "DP1"<br />
Option "PreferredMode" "3840x2160"<br />
Option "Primary" "1"<br />
EndSection<br />
Section "Monitor"<br />
Identifier "eDP1"<br />
Option "PreferredMode" "1920x1080"<br />
Option "RightOf" "DP1"<br />
EndSection<br />
}}<br />
<br />
これは、{{ic|/etc/lightdm/lightdm.conf}} の {{ic|display-setup-script}} の設定を不要にします。<br />
<br />
== トラブルシューティング ==<br />
<br />
=== 自動ログインが機能しない ===<br />
<br />
{{ic|/etc/lightdm/lightdm.conf}} 内の {{ic|1=autologin-user=}} に適切な値が設されていることを確認してください。末尾に空白があるとエラーが発生します。<br />
<br />
自動ログインが失敗した時に画面に何も表示されない、あるいはログイン画面に即座に戻される場合、{{ic|1=logind-check-graphical=true}} を設定する必要があるかもしれません。<br />
<br />
自動ログインの用途には {{AUR|lightdm-autologin-greeter-git}} をインストールすることもできます。<br />
<br />
=== 現在の設定を見る ===<br />
<br />
現在の設定を見るには、以下を実行してください:<br />
<br />
$ lightdm --show-config<br />
<br />
現在の設定、及びそれらの設定が読み込まれた元の設定ファイルが表示されます。<br />
<br />
=== LightDM が起動せず、画面が点滅する ===<br />
<br />
起動時に画面が点滅し続け、LightDM が表示されない場合、LightDM の設定ファイルで greeter を正しく定義しているか確認してください。GTK greeter を適切に定義している場合は、{{ic|xsessions-directory}} (デフォルト: {{ic|/usr/share/xsessions}}) が存在していて少なくとも一つは .desktop ファイルが含まれていることを確認してください。<br />
<br />
最後に使用したセッションが利用できなくなった時も同じ問題が lightdm の起動時に発生することがあります (例えば gnome を使った後 gnome-session パッケージを削除した場合): 一番簡単な回避策は削除したパッケージを一時的に戻すことです。もうひとつの解決策は:<br />
<br />
# dbus-send --system --type=method_call --print-reply --dest=org.freedesktop.Accounts /org/freedesktop/Accounts/User1000 org.freedesktop.Accounts.User.SetXSession string:xfce<br />
<br />
この例は、セッション "xfce" をユーザー ID 1000 のユーザーのデフォルトとして設定します。<br />
<br />
=== 間違ったロケールが表示される ===<br />
<br />
LightDM でロケールが正しく表示されない場合はあなたが使用しているロケールを {{ic|/etc/environment}} に追加してください:<br />
<br />
LANG=ja_JP.utf8<br />
<br />
LightDM や greeter でシステムロケール以外の言語を使いたい場合、[[ドロップインファイル]]で {{ic|1=Environment=}} オプションを使用することで可能です。<br />
<br />
=== GTK greeter でアイコンが表示されない ===<br />
<br />
{{Pkg|lightdm-gtk-greeter}} を greeter として使っていてプレースホルダ画像がアイコンとして表示される場合、正しいアイコンテーマとテーマを設定してください。次のファイルを確認してください:<br />
<br />
{{hc|/etc/lightdm/lightdm-gtk-greeter.conf|2=<br />
[greeter]<br />
theme-name=mate # /usr/share/themes/ 以下のディレクトリの名前<br />
icon-theme-name=mate # /usr/share/icons/ 以下の完全なアイコンセットディレクトリの名前<br />
}}<br />
<br />
=== ログインしようとすると LightDM がフリーズする ===<br />
<br />
適当なユーザー名・パスワードを入力してログインしようとすると、LightDM がフリーズしデスクトップを起動できないことがあります。この問題を修正するには、{{Pkg|gdk-pixbuf2}} パッケージを再インストールしてください。[https://bbs.archlinux.org/viewtopic.php?id=179031 フォーラムへの投稿]を参照。<br />
<br />
=== LightDM が間違ったモニタに表示される ===<br />
<br />
マルチモニタを使っていると、LightDM が間違ったモニタに表示されることがあります (例: プライマリモニタが右側にある場合)。LightDM のログイン画面が特定のモニタで表示されるように指定するには、{{ic|/etc/lightdm/lightdm.conf}} を編集して ''display-setup-script'' パラメータを次のように変更してください: <br />
<br />
{{hc|/etc/lightdm/lightdm.conf|2=<br />
display-setup-script=xrandr --output ''HDMI-1'' --primary<br />
}}<br />
<br />
''HDMI1'' は実際のモニタの ID に置き換えてください、'''xrandr''' コマンドの出力で確認できます。<br />
<br />
もしくは、GTK greeter を使用している場合、{{ic|/etc/lightdm/lightdm-gtk-greeter.conf}} を編集して以下のように ''active-monitor'' パラメータを追加することもできます:<br />
<br />
{{hc|/etc/lightdm/lightdm-gtk-greeter.conf|2=<br />
[greeter]<br />
active-monitor=0<br />
}}<br />
<br />
0 は適当なディスプレイの番号に置き換えてください。<br />
<br />
=== LightDM が表示されない、または TTY 出力のみがモニタに表示される ===<br />
<br />
システムの起動が速すぎて、グラフィックドライバーが読み込まれるよりも先に LightDM サービスが起動してしまうことがあります。このような場合、{{ic|lightdm.conf}} ファイルに以下の設定を追加してください:<br />
<br />
{{hc|/etc/lightdm/lightdm.conf|2=<br />
[LightDM]<br />
logind-check-graphical=true<br />
}}<br />
<br />
上記の設定で LightDM はグラフィックデバイスの準備が完了するのを待ってから、greeter を生成する、またはセッションを自動起動します。<br />
<br />
しかし、'''新しいバージョンの LightDM では、これがデフォルトの設定になっています。'''その結果、一部のハードウェアでは、グラフィックドライバが適切に検出されず、LightDM が greeter を起動しない場合があります (ブートしてシステムが安定した後でも)。この場合、この設定を false に設定して、グラフィックドライバのチェックをせずに greeter を起動するように強制的してください。<br />
<br />
=== Intel Graphics で LightDM の FPS が低い ===<br />
<br />
[[Intel graphics#AccelMethod]] を参照。<br />
<br />
=== Pulseaudio が自動的に起動しない ===<br />
<br />
[[PulseAudio#実行]] を参照。<br />
<br />
=== ホームディレクトリが暗号化されていると LightDM の表示に時間がかかる ===<br />
<br />
一部の LightDM テーマは、ホームディレクトリ内のアバター画像ファイルにアクセスしようとします。ホームディレクトリが暗号化されている場合、LightDM はホームディレクトリにアクセスできず、フリーズします。以下のどちらかの方法により、これを防止できます:<br />
<br />
* [[#アバターを変更する]] で説明されているようにアバターを設定する<br />
* {{Pkg|lightdm-gtk-greeter}} の場合のみ: {{Ic|/etc/lightdm/lightdm-gtk-greeter.conf}} で {{Ic|<nowiki>hide-user-image = true</nowiki>}} を設定する<br />
<br />
=== "[ OK ] Reached target Graphical Interface." で起動がストップする ===<br />
<br />
{{ic|/etc/nsswitch.conf}} を変更している場合、ユーザとグループの探索に失敗することがあります。これは、{{ic|/etc/nslcd.conf}} で {{ic|nss_initgroups_ignoreusers ALLLOCAL}} を設定せずに {{ic|nsswitch.conf}} のグループに {{ic|ldap}} が含まれている場合に起こります。<br />
<br />
=== Greeter に重複した GNOME エントリがあると Wayland セッションが動作しない ===<br />
<br />
一部の greeter (例: {{Pkg|lightdm-webkit2-greeter}}) は、2つのセッションが同一の名前を持つことをサポートしていません [https://github.com/canonical/lightdm/issues/16]。重複したエントリがあるか確認するには:<br />
<br />
$ ls -1 /usr/share/wayland-sessions /usr/share/xsessions<br />
<br />
{{ic|/usr/share/xsessions}} 内の重複したエントリの名称を変更してください。例えば:<br />
<br />
# mv /usr/share/xsessions/gnome.desktop /usr/share/xsessions/gnome.desktop.disabled<br />
<br />
=== 初回ログイン時に必ずセクメンテーション違反が発生する ===<br />
<br />
[[ネットワーク設定#ホスト名の設定]] にあるように、ホスト名を設定してください。{{Bug|47694}} も参照してください。<br />
<br />
=== ログインの無限ループ ===<br />
<br />
正しいユーザ名とパスワードを入力しても画面が真っ暗になり、何度やってもログイン画面に戻るというループに陥った場合、{{ic|rm ~/.Xauthority}} を実行する (つまり、無限ループが発生しているユーザの問題のある {{ic|.Xauthority}} を削除する) と解決することがあります。<br />
<br />
もう一つの理由は、あなたが "lightdm.conf" を一から作り直そうとして、以下の行を入れ忘れたのかもしれません:<br />
<br />
session-wrapper=/etc/lightdm/Xsession<br />
<br />
この行がないと、LightDM は、Arch Linux には存在しない "lightdm-session" をセッションラッパーとして使おうとしてしまいます。<br />
<br />
lightdm.conf ファイルで session-wrapper を設定したが、lightdm のログではデフォルトの session-wrapper が使われていると出力される場合、スタートアップ中に lightdm.conf がアクセスできる状態にあることを確認してください。そのような例としては、lightdm.conf をホームディレクトリ内のファイルへのシンボリックリンクにしたが、LightDM サービスが開始する前はホームディレクトリがマウントされていないような環境があります。そのようなケースでは、LightDM はデフォルトの session-wrapper にフォールバックします。<br />
<br />
=== Wayland セッションで入力デバイスが動かない ===<br />
<br />
Wayland セッションを開始すると、入力デバイスが動かなくなり、物理的に抜き差ししても治らないことがあります。[https://github.com/canonical/lightdm/issues/63 LightDM issue 63] を参照してください。<br />
<br />
=== lightdm-webkit2-greeter がログインプロセスでエラーを出力する ===<br />
<br />
"an error was detected in the current theme that could interfere with the system login process" のようなメッセージが Greeterの起動時に出力される場合は次のコマンドで詳細なログを確認することができます。<br />
<br />
lightdm-webkit2-greeter<br />
<br />
回避策は、{{ic|/etc/lightdm/Xsession}} に {{ic|sleep 1}} を追加して Wayland コンポジタの開始を遅延させることです。[https://gitlab.archlinux.org/archlinux/packaging/packages/lightdm/-/merge_requests/4 archlinux/packaging/packages/lightdm!4] は、Arch パッケージに先の回避策を適用した例です。<br />
<br />
== 参照 ==<br />
<br />
* [https://wiki.ubuntu.com/LightDM Ubuntu Wiki の記事]<br />
* [[Gentoo:LightDM/ja]]<br />
* [https://github.com/CanonicalLtd/lightdm GitHub の LightDM]<br />
<br />
{{TranslationStatus|LightDM|2024-11-29|820925}}</div>
Hkiku482
https://wiki.archlinux.jp/index.php?title=Dm-crypt/%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E5%85%A8%E4%BD%93%E3%81%AE%E6%9A%97%E5%8F%B7%E5%8C%96&diff=39518
Dm-crypt/システム全体の暗号化
2025-01-18T11:10:50Z
<p>Hkiku482: /* EFI システムパーティションの準備 */ 誤字修正</p>
<hr />
<div>{{Lowercase title}}<br />
[[Category:保存データ暗号化]]<br />
[[Category:ファイルシステム]]<br />
[[Category:Arch の入手とインストール]]<br />
[[de:Systemverschlüsselung mit dm-crypt]]<br />
[[en:Dm-crypt/Encrypting an entire system]]<br />
[[es:Dm-crypt/Encrypting an entire system]]<br />
以下は ''dm-crypt'' を使って完全なシステム暗号化を行う一般的なシナリオの例です。通常の[[インストールガイド|インストール手順]]に加える必要がある変更を全て説明しています。必要なツールは全て [https://www.archlinux.jp/download/ インストールイメージ] に入っています。<br />
<br />
== 概要 ==<br />
<br />
root ファイルシステムの暗号化については機能やパフォーマンスの点で ''dm-crypt'' が優れています。システムの root ファイルシステムが dm-crypt デバイス上にあれば、システム上のほとんど全てのファイルが暗号化されます。root 以外のファイルシステムを選択的に暗号化するのと異なり、root ファイルシステムの暗号化は様々な情報を隠匿できます。インストールされているプログラム、ユーザーアカウントのユーザー名、[[mlocate]] や {{ic|/var/log/}} など媒介してデータ漏洩の恐れがあるファイルなど。さらに、root ファイルシステムを暗号化することでシステムの改竄が非常に難しくなります。[[ブートローダー]]やカーネルを除く全てが暗号化されるためです。<br />
<br />
以上の利点をのぞく、それぞれのシナリオのメリットやデメリットなどの違いをまとめて、全てのシナリオを以下の表で説明します:<br />
<br />
{| class="wikitable"<br />
! シナリオ <br />
! メリット <br />
! デメリット <br />
|----------------------------------------------------------<br />
| [[#LUKS を使用するシンプルなパーティションレイアウト]]<br />
LUKS で root を完全に暗号化するベーシックなセットアップ<br />
|<br />
* パーティショニングと設定がシンプル<br />
|<br />
* 柔軟性がない、暗号化するディスク領域をあらかじめ指定する必要がある<br />
|----------------------------------------------------------<br />
| [[#LUKS を使用するパーティションに TPM2とセキュアブートを使用する]]<br />
LUKS で root を完全に暗号化するベーシックなセットアップ<br />
|<br />
LUKS を使用するシンプルなパーティションレイアウトと加えて<br />
* [[Wikipedia:Evil maid attack|Evil maid attacks]]から保護することができます。<br />
* セキュアブートが無効になっていたり変更された場合に、TPM2によってロック解除を防止することができます。<br />
|<br />
* LUKS を使用するシンプルなパーティションレイアウト と同じ<br />
|----------------------------------------------------------<br />
| [[#LVM on LUKS]]<br />
LUKS 暗号化パーティションの中で LVM を使うことでパーティショニングの柔軟性を確保<br />
|<br />
* LVM を使ったことがあるのであれば簡単にパーティショニングできます<br />
* 一つのキーで全てのボリュームのロックを解除できます (ディスクからの復帰を設定するのが簡単)<br />
* ロックされていればボリュームのレイアウトが外から分かりません<br />
* [[Dm-crypt/スワップの暗号化#suspend-to-disk_を使用する|ハイバネート]]を利用したいときの一番簡単な方法<br />
|<br />
* LVM によってマッピングレイヤーとフックが追加されます<br />
* ボリュームごとに別のキーを設定する場合は不便です<br />
|----------------------------------------------------------<br />
| [[#LUKS on LVM]]<br />
LVM をセットアップした後に dm-crypt を使用<br />
|<br />
* LVM を使うことで複数のディスクにまたがる暗号化ボリュームを作成できます<br />
* 非暗号化・暗号化ボリュームグループを簡単に混ぜられます<br />
|<br />
* 複雑です。ボリュームを変更するときは暗号化マッパーも変更する必要があります<br />
* ボリュームごとに個別のキーが必要になります<br />
* ロックされていても LVM レイアウトは外から分かってしまいます<br />
|----------------------------------------------------------<br />
| [[#ソフトウェア RAID と LUKS]]<br />
RAID を設定した後に dm-crypt を使います。<br />
|<br />
* LUKS on LVM と同じ。<br />
|<br />
* LUKS on LVM と同じ。<br />
|----------------------------------------------------------<br />
| [[#Plain dm-crypt]]<br />
dm-crypt の plain モードを使用、LUKS ヘッダーや LUKS の複数のキーのオプションは使わない<br>このシナリオでは {{ic|/boot}} とキーストレージに USB デバイスを使いますが、これは他のデバイスでも利用可能です<br />
|<br />
* LUKS ヘッダに損害が発生した場合の耐障害性があります<br />
* [[Wikipedia:Deniable encryption|否認可能暗号]]が使える<br />
* SSD の[[Dm-crypt/特記事項#ソリッドステートドライブ (SSD) の Discard/TRIM のサポート|問題]]を解決できます<br />
|<br />
* 全ての暗号化パラメータに注意する必要があります<br />
* 暗号鍵はひとつだけで変更する方法はありません<br />
|----------------------------------------------------------<br />
| [[#boot パーティションの暗号化 (GRUB)]]<br />
GRUB ブートローダーを使って boot パーティションを暗号化する方法を説明します。<br>このシナリオでは ESP パーティションを使いますが、他のシナリオでも ESP を使うことができます。<br />
|<br />
* ベースにするシナリオと同じメリット (このページの例では LVM on LUKS)<br />
* ブートローダーや ESP パーティションまで暗号化されます<br />
|<br />
* ベースにするシナリオと同じデメリット (このページの例では LVM on LUKS)<br />
* 設定が複雑です<br />
* 他のブートローダーのサポートがありません<br />
|----------------------------------------------------------<br />
| [[#Btrfs サブボリュームとスワップ]]<br />
UEFI 環境で [[Btrfs]] のシステムパーティションと {{ic|/boot}} ディレクトリを暗号化して、スワップパーティションを追加する方法。<br />
|<br />
* [[#boot パーティションの暗号化 (GRUB)]] と同じメリット<br />
* Btrfs の機能を活用できます<br />
|<br />
* [[#boot パーティションの暗号化 (GRUB)]] と同じデメリット<br />
|}<br />
<br />
上記全てのシナリオが外部からの脅威に対して十分な保護を約束しますが、共通の欠点も存在します。暗号化キーを持っているユーザーなら誰でもデバイスの全てを復号化して、他のユーザーのデータにもアクセスすることが可能という点です。これが問題だという場合は、ブロックデバイスの暗号化とスタックファイルシステムの暗号化と組み合わせて使用することで、両者の利点を取り入れることができます。[[保存データ暗号化]]を見て下さい。<br />
<br />
他にも、スワップパーティションの暗号化を設定するべきかどうか考慮する必要があります。[[Dm-crypt/スワップの暗号化]]を見て下さい。<br />
<br />
シナリオで使用されているパーティショニングの外観について [[Dm-crypt/ドライブの準備#パーティショニング]] も参照してください。<br />
<br />
{{Warning|どのシナリオでも、暗号化ボリュームで [[fsck]] などのファイルシステム修復ソフトウェアを直接使ってはいけません。ファイルを復号化する鍵を破壊してしまいます。復号化した後に使うようにしてください。}}<br />
<br />
== LUKS を使用するシンプルなパーティションレイアウト ==<br />
<br />
この例ではシンプルなパーティションレイアウトによる ''dmcrypt''+ LUKS のフルシステム暗号化を説明します:<br />
<br />
+--------------------+--------------------------+--------------------------+<br />
|Boot partition |LUKS encrypted system |Optional free space |<br />
| |partition |for additional partitions |<br />
|/dev/sdaY |/dev/sdaX |or swap to be setup later |<br />
+--------------------+--------------------------+--------------------------+<br />
<br />
最初のステップは Arch Linux のインストールイメージを起動した後すぐに実行します。<br />
<br />
=== ディスクの準備 ===<br />
パーティションを作成する前に、[[Dm-crypt/ドライブの準備]] で説明されているように、ディスクを完全に消去する必要性・方法を学んでください。<br />
<br />
それから必要なパーティションを作成します。最低でも {{ic|/}} が必要です (例: {{ic|/dev/sdaX}}) と {{ic|/boot}} ({{ic|/dev/sdaY}})。[[パーティショニング]]を参照。<br />
<br />
=== boot 以外のパーティションの準備 ===<br />
<br />
以下のコマンドは暗号化された root パーティションを作成・マウントします。[[Dm-crypt/root 以外のファイルシステムの暗号化#パーティション]] に詳しく説明されている手順に該当します (ページタイトルと相違して、[[#mkinitcpio の設定|mkinitcpio]] と[[#ブートローダーの設定|ブートローダー]]が正しく設定されていれば、root パーティションにも適用できます)。デフォルトになってない特定の暗号化オプションを使いたいときは (例: 暗号アルゴリズムや鍵長など)、最初のコマンドを実行する前に[[Dm-crypt/デバイスの暗号化#LUKS_モードの暗号化オプション|暗号化オプション]]を読んでください:<br />
<br />
# cryptsetup -y -v luksFormat /dev/sdaX<br />
# cryptsetup open /dev/sdaX cryptroot<br />
# mkfs.ext4 /dev/mapper/cryptroot<br />
# mount /dev/mapper/cryptroot /mnt<br />
<br />
マッピングが問題ないかチェック:<br />
# umount /mnt<br />
# cryptsetup close cryptroot<br />
# cryptsetup open /dev/sdaX cryptroot<br />
# mount /dev/mapper/cryptroot /mnt<br />
<br />
パーティションを分割した場合 (例: {{ic|/home}})、以上のコマンドを全てのパーティションに繰り返し実行してください。ただし {{ic|/boot}} は別です。起動時に追加のパーティションを扱う方法は [[Dm-crypt/root 以外のファイルシステムの暗号化#ロック解除とマウントの自動化]] を見て下さい。<br />
<br />
それぞれのブロックデバイスには個々のパスフレーズが必要になります。起動時に、別々のパスフレーズを入力しないといけないので、不便とも言えます。{{ic|crypttab}} を使うことでシステムパーティションにキーファイルを保存して使用することで別のパーティションを解錠することができます。方法は [[Dm-crypt/デバイスの暗号化#LUKS を使ってキーファイルでパーティションをフォーマット]] を見て下さい。<br />
<br />
=== boot パーティションの準備 ===<br />
セットアップする必要があるのは暗号化されない {{ic|/boot}} パーティションで、暗号化する root に必要となります。例えば、標準的な [[EFI|MBR/BIOS]] の {{ic|/boot}} パーティションの場合、以下を実行します:<br />
# mkfs.ext4 /dev/sdaY<br />
# mkdir /mnt/boot<br />
# mount /dev/sdaY /mnt/boot<br />
<br />
=== デバイスのマウント ===<br />
[[インストールガイド#パーティションのマウント]]では実際のパーティションではなく、マップされたデバイスをマウントしてください。もちろん、{{ic|/boot}} は暗号化されていないので、直接マウントします。<br />
<br />
=== mkinitcpio の設定 ===<br />
{{ic|keyboard}}, {{ic|keymap}}, {{ic|encrypt}} フックを [[mkinitcpio|mkinitcpio.conf]] 内の {{ic|filesystems}} の前に追加します:<br />
{{hc|/etc/mkinitcpio.conf|2=HOOKS=(... '''keyboard''' '''keymap''' block '''encrypt''' ... filesystems ...)}}<br />
<br />
他に必要なフックについては [[dm-crypt/システム設定#mkinitcpio]] を見て下さい。<br />
<br />
設定後はイメージを再生成してください:<br />
<br />
# mkinitcpio -p linux<br />
<br />
=== ブートローダーの設定 ===<br />
暗号化された root パーティションを起動するには、ブートローダーに以下のカーネルパラメータを設定する必要があります ({{ic|''<device-UUID>''}} は {{ic|/dev/sdaX}} の UUID に置き換えてください。詳しくは[[永続的なブロックデバイスの命名]]を参照):<br />
<br />
cryptdevice=UUID=''<device-UUID>'':cryptroot root=/dev/mapper/cryptroot<br />
<br />
他に必要なパラメータについては [[Dm-crypt/システム設定#ブートローダー]] を見て下さい。<br />
<br />
== LUKS を使用するパーティションに TPM2とセキュアブートを使用する ==<br />
<br />
この例は[[#LUKS を使用するシンプルなパーティションレイアウト]]と似ていますが、[[セキュアブート]]と[[Trusted Platform Module]] (TPM)を統合してブート時のセキュリティを強化します。<br />
<br />
この構成では[[EFI_システムパーティション]]が暗号化されずに残り、[[ユニファイドカーネルイメージ]]と[[systemd-boot]]が格納されます。これらは両方ともセキュアブートで使用するため暗号化されています。セキュアブートが無効になっていたり、キーデータベースが改ざんされている場合は、ロック解除に使用するキーをリリースしません。これは、WindowsのBitLockerやmacOSのFileVaultに似ています。TPMロック解除に問題(署名されていないブートローダやカーネルの更新、ファームウェアの更新等)が発生した場合、データにアクセスするための回復キーも作成されます。オプションで、起動時にTPM PINが必要になるように設定して完全に自動でロック解除されるのを防ぐこともできます。<br />
<br />
実行する前に[[Trusted Platform Module#LUKS による保存データの暗号化]]の説明と警告をよく読んでください。<br />
<br />
この例では[[systemd#GPTパーティションの自動マウント]]に従ってパーティションが作成されるため、fstabファイルやcrypttabファイルは必要ありません。<br />
<br />
{{Text art|<nowiki><br />
+-----------------------+---------------------------------+<br />
| EFI system partition | LUKS encrypted root partition |<br />
| | |<br />
| | |<br />
| /boot | / |<br />
| | |<br />
| | /dev/mapper/root |<br />
| |---------------------------------|<br />
| /dev/sda1 | /dev/sda2 |<br />
+-----------------------+---------------------------------+<br />
</nowiki>}}<br />
<br />
はじめに、[[インストールガイド#パーティション]]までセットアップを進めてください。<br />
<br />
=== ディスクの準備 ===<br />
<br />
パーティションを作成する前に[[dm-crypt/ドライブの準備]]で説明されているように、ディスクを安全に消去する重要性について理解しておく必要があります。<br />
<br />
[[パーティショニング#GUID_Partition_Table]] (GPT)で[[EFI システムパーティション]](この例では{{ic|/dev/sda1}})を適切なサイズで作成したあとに、その他の必要なパーティションを作成していきます。<br />
<br />
[[EFI システムパーティション]]は{{ic|/boot}}へマウントします。<br />
<br />
ドライブの残りのスペースに暗号化されたあとで{{ic|/dev/sda2}}にマウントされるルートパーティションを作成します。パーティションタイプのGUIDは{{ic|4F68BCE3-E8CD-4DB1-96E7-FBCAF984B709}} ([[gdisk]]の場合は{{ic|8304}}、[[fdisk]]の場合は"Linux root (x86-64)")に設定します。<br />
<br />
=== ルートパーティションの準備 ===<br />
<br />
次のコマンドでは暗号化されたルートパーティションの作成とマウントを行います。この手順は[[dm-crypt#LUKS モードの暗号化オプション]]の説明と対応しています。<br />
<br />
特定のデフォルトではない暗号化オプション(キーの長さやアルゴリズム)を使用する場合または、TPMベースの復号を使用しない場合は、最初のコマンドを実行する前に[[dm-crypt#LUKS モードの暗号化オプション]]を参照してください。<br />
<br />
LUKSボリュームを作成(空のパスワードを使用してあとから変更することができます)し、{{ic|root}} という名前でオープンします。<br />
<br />
# cryptsetup luksFormat /dev/sda2<br />
# cryptsetup open /dev/sda2 root<br />
<br />
次に、ファイルシステムを作成します:<br />
<br />
# mkfs.ext4 /dev/mapper/root<br />
<br />
{{ic|/mnt}}へマウントします:<br />
<br />
# mount /dev/mapper/root /mnt<br />
<br />
=== EFI システムパーティションの準備 ===<br />
<br />
新しく作成したEFIシステムパーティションを[[EFI システムパーティション#パーティションのフォーマット]]に従ってフォーマットし、{{ic|/mnt/boot}}へマウントします。<br />
<br />
# mount --mkdir /dev/sda1 /mnt/boot<br />
<br />
[[インストールガイド#initramfs]]までセットアップを続行します。[[インストールガイド#Fstab]]はスキップすることができます。<br />
<br />
=== mkinitcpioを設定する ===<br />
<br />
[[mkinitcpio.conf]]の設定の{{ic|1=HOOKS=}}行を次のように設定します。順番が重要です:<br />
<br />
HOOKS=(base '''systemd''' autodetect microcode modconf kms '''keyboard''' '''sd-vconsole''' block '''sd-encrypt''' filesystems fsck)<br />
<br />
次に[[ユニファイドカーネルイメージ#mkinitcpio]]を参照して、[[ユニファイドカーネルイメージ]]mkinitcpioを設定します。<br />
<br />
この時点では'''まだ'''initramfsを再生成'''しない'''でください。{{ic|/boot/EFI/Linux}}ディレクトリは、先にブートローダインストーラによって作成される必要があります。<br />
<br />
=== ブートローダのインストール ===<br />
<br />
ブートローダを使用せずにシステムを直接起動するように設定することができます。[[ユニファイドカーネルイメージ#UEFI から直接起動]]を参照してください。<br />
<br />
ブートローダが必要な場合は[[systemd-boot]]のインストールを続行します。<br />
<br />
# bootctl install<br />
<br />
mkinitcpioによって生成された[[ユニファイドカーネルイメージ]]は自動的に認識されるため{{ic|/boot/loader/entries}}にエントリは必要ありません。<br />
<br />
詳細な設定については[[systemd-boot#EFI ブートマネージャの更新]]と[[systemd-boot#ローダー設定]]を参照してください。<br />
<br />
=== インストール完了 ===<br />
<br />
[[initramfs#イメージ作成とアクティベーション|initramfsを再生成]]し、イメージの作成が成功したことを確認します。<br />
<br />
[[インストールガイド#Root パスワード|パスワードの設定]]を忘れずに行ったあと再起動してください。<br />
<br />
=== セキュアブート ===<br />
<br />
[[セキュアブート]] を有効にするためにブートローダとEFIバイナリに署名ができるようになりました。手軽な手段については[[Unified_Extensible_Firmware_Interface/セキュアブート#sbctl でより簡単に行う]]を参照してください。<br />
<br />
=== Enrolling the TPM ===<br />
<br />
ブートローダへ署名し、セキュアブートを有効化したあとにTPMを登録してLUKSボリュームのロックを解除できるようにします。次のコマンドは{{ic|luksFormat}}で作成されたからのパスフレーズを削除し、TPM [[Trusted Platform Module#PCR レジスタへのアクセス|PCR 7]] (デフォルトでは{{ic| Secure Boot State}}とファームウェア証明書)にバインドされたキーを作成し、問題が発生した場合に使用する回復キーを作成します。ブートチェーンが改ざんされない限り、TPMは自動的にキーをリリースします。[[systemd-cryptenroll#Trusted Platform Module]]および{{man|1|systemd-cryptenroll}}を参照してください。<br />
<br />
# systemd-cryptenroll /dev/sda2 --recovery-key<br />
# systemd-cryptenroll /dev/sda2 --wipe-slot=empty --tpm2-device=auto<br />
<br />
{{Tip| {{ic|1=--tpm2-with-pin=yes}} を指定してブート時に追加のPINの入力を強制することができます。}}<br />
{{Warning|<br />
* PCR 7へバインドするときは[[セキュアブート]]がSetup ModeからUser Modeになっていることを確認してください。そうでないと、許可されていないブートデバイスが暗号化されたボリュームのロックを解除する可能性があります。<br />
* ファームウェア証明書が変更されるとPCR 7の状態が変わる可能性があり、ユーザがロックアウトされるリスクがあります。これは、[[fwupd]][https://raw.githubusercontent.com/systemd/systemd/ed272a9ff59a26beedaab508dd3c9d631de67165/TODO] によって暗黙的に実行されるか、セキュアブートキーをローテーションすることによって明示的に実行されます。<br />
}}<br />
<br />
== LVM on LUKS ==<br />
<br />
LVM の上に暗号化パーティションをセットアップするのではなく、暗号化パーティションの上に [[LVM]] をセットアップするほうが簡単です。技術的にはひとつの大きな暗号化ブロックデバイスの中に LVM をセットアップすることになります。LVM はブロックデバイスを解錠して、ボリュームをスキャンしてマウントされるまでは透過的ではなくなります。<br />
<br />
ディスクレイアウトの例:<br />
+-----------------------------------------------------------------------+ +----------------+<br />
| Logical volume1 | Logical volume2 | Logical volume3 | | |<br />
|/dev/mapper/MyVol-swap |/dev/mapper/MyVol-root |/dev/mapper/MyVol-home | | Boot partition |<br />
|_ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _| | (may be on |<br />
| | | other device) |<br />
| LUKS encrypted partition | | |<br />
| /dev/sdaX | | /dev/sdbY |<br />
+-----------------------------------------------------------------------+ +----------------+<br />
<br />
{{Warning|この方法では論理ボリュームを複数のディスクに跨がらせることはできません。後で変更することも不可能です。[[#複数のパーティションの encrypt フックを修正]]を見てください。}}<br />
<br />
{{Tip|Two variants of this setup: <br />
* [[Dm-crypt/特記事項#リモート LUKS ヘッダーを使ってシステムを暗号化]]ではこのセットアップと USB デバイスのリモート LUKS ヘッダーを使って二段階認証を実現します。<br />
* Instructions at [http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/ Pavel Kogan's blog] show how to encrypt the {{ic|/boot}} partition while keeping it on the main LUKS partition when using GRUB.}} <br />
<br />
=== ディスクの準備 ===<br />
<br />
パーティションを作成する前に、[[Dm-crypt/ドライブの準備]] で説明されているように、ディスクを完全に消去する必要性・方法を学んでください。<br />
<br />
[[GPT]] で [[GRUB]] ブートローダーを使う時は、[[GRUB#BIOS システム]] で説明されているように BIOS Boot Partition を作成してください。<br />
<br />
{{ic|/boot}} にマウントするパーティションをタイプ {{ic|8300}} で容量 100 MB 以上にして作成します。<br />
<br />
タイプ {{ic|8E00}} のパーティションを作成してください。後で暗号化コンテナを入れます。<br />
<br />
"system" パーティションに LUKS 暗号化コンテナを作成してください。選んだパスワードを二回入力します。<br />
<br />
# cryptsetup luksFormat /dev/''sdaX''<br />
<br />
cryptsetup のオプションについては [[Dm-crypt/デバイスの暗号化#LUKS モードの暗号化オプション|LUKS 暗号化のオプション]]を見て下さい。<br />
<br />
コンテナを開いてください:<br />
<br />
# cryptsetup open /dev/''sdaX'' cryptolvm<br />
<br />
復号化されたコンテナが {{ic|/dev/mapper/cryptolvm}} から利用できるようになります。<br />
<br />
=== 論理ボリュームの準備 ===<br />
開いた LUKS コンテナの上に物理ボリュームを作成:<br />
<br />
# pvcreate /dev/mapper/cryptolvm<br />
<br />
{{ic|MyVol}} という名前のボリュームグループを作成して、先に作成した物理ボリュームを追加:<br />
<br />
# vgcreate MyVol /dev/mapper/cryptolvm<br />
<br />
ボリュームグループに論理ボリュームを作成:<br />
<br />
# lvcreate -L 8G MyVol -n swap<br />
# lvcreate -L 15G MyVol -n root<br />
# lvcreate -l 100%FREE MyVol -n home<br />
<br />
論理ボリュームのファイルシステムをフォーマット:<br />
<br />
# mkfs.ext4 /dev/mapper/MyVol-root<br />
# mkfs.ext4 /dev/mapper/MyVol-home<br />
# mkswap /dev/mapper/MyVol-swap<br />
<br />
ファイルシステムをマウント:<br />
<br />
# mount /dev/mapper/MyVol-root /mnt<br />
# mkdir /mnt/home<br />
# mount /dev/mapper/MyVol-home /mnt/home<br />
# swapon /dev/mapper/MyVol-swap<br />
<br />
=== boot パーティションの準備 ===<br />
ブートローダーは {{ic|/boot}} ディレクトリから、カーネルや [[initramfs]]、あるいはブートローダーの設定ファイルをロードします。このディレクトリは暗号化されていない別のファイルシステム上に配置する必要があります。<br />
<br />
{{ic|/boot}} にするパーティションに Ext2 ファイルシステムを作成します。ブートローダーが読み込めるファイルシステムなら何でもかまいません。<br />
<br />
# mkfs.ext2 /dev/''sdbY''<br />
<br />
{{ic|/mnt/boot}} ディレクトリを作成:<br />
<br />
# mkdir /mnt/boot<br />
<br />
パーティションを {{ic|/mnt/boot}} にマウント:<br />
<br />
# mount /dev/''sdbY'' /mnt/boot<br />
<br />
インストールの手順を mkinitcpio の設定まで進めてください。<br />
<br />
=== mkinitcpio の設定 ===<br />
{{ic|keyboard}}, {{ic|encrypt}}, {{ic|lvm2}} フックを [[mkinitcpio|mkinitcpio.conf]] 内の {{ic|filesystems}} の前に追加します:<br />
{{hc|/etc/mkinitcpio.conf|2=HOOKS=(... '''keyboard''' '''keymap''' block '''encrypt''' '''lvm2''' ... filesystems ...)}}<br />
<br />
{{Note|{{ic|lvm2}} の最新実装ではフックの順番は特に意味を持ちません。}}<br />
<br />
他に必要なフックについては [[dm-crypt/システム設定#mkinitcpio]] を見て下さい。<br />
<br />
設定後はイメージを再生成してください:<br />
<br />
# mkinitcpio -p linux<br />
<br />
=== ブートローダーの設定 ===<br />
起動時に暗号化された root パーティションの暗号化が解除されるように、以下のカーネルパラメータをブートローダーで設定します ({{ic|''<device-UUID>''}} は {{ic|/dev/sdaX}} の UUID に置き換えてください。詳しくは[[永続的なブロックデバイスの命名]]を参照):<br />
<br />
cryptdevice=UUID=''device-UUID'':cryptolvm root=/dev/mapper/MyVol-root<br />
<br />
詳しくは [[Dm-crypt/システム設定#ブートローダー]] を見て下さい。<br />
<br />
== LUKS on LVM ==<br />
<br />
[[LVM]] 上で暗号化を利用するには、まず LVM ボリュームをセットアップして、それから暗号化パーティションのベースとして使うことになります。この方法では、暗号化パーティションと非暗号化パーティションのミックスが可能です。<br />
<br />
{{Tip|[[#LVM on LUKS]] とは違って、複数のディスクにまたがる論理ボリュームを通常通り使うことができます。}}<br />
<br />
以下の短い例では LUKS on LVM 構成を作成して、/home パーティションでキーファイルを使用して {{ic|/tmp}} と {{ic|/swap}} の一時的な暗号化ボリュームを混ぜ合わせます。機密データを含む一時データが再起動しても残ってしまう可能性がないため、セキュリティ的に優れています。論理ボリュームを複数のディスクにまたがるようにしたい場合、手順は [[Dm-crypt/特記事項#LVM を複数のディスクに拡張]]で説明しています。<br />
<br />
=== ディスクの準備 ===<br />
<br />
パーティションスキーム:<br />
+----------------+-----------------------------------------------------------------------+<br />
| | LUKS encrypted volume | LUKS encrypted volume | LUKS encrypted volume |<br />
| | /dev/mapper/swap | /dev/mapper/root | /dev/mapper/home |<br />
| |_ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _|<br />
| | Logical volume1 | Logical volume2 | Logical volume3 |<br />
| |/dev/mapper/MyVol-swap |/dev/mapper/MyVol-root |/dev/mapper/MyVol-home |<br />
| |_ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _|<br />
| Boot partition | |<br />
| /dev/sda1 | /dev/sda2 |<br />
+----------------+-----------------------------------------------------------------------+<br />
<br />
[[Dm-crypt/ドライブの準備#dm-crypt で空のディスクまたはパーティションを消去]]を見て {{ic|/dev/sda2}} をランダム化してください。<br />
<br />
=== 論理ボリュームの準備 ===<br />
<br />
# pvcreate /dev/sda2<br />
# vgcreate MyVol /dev/sda2<br />
# lvcreate -L 10G -n lvroot MyVol<br />
# lvcreate -L 500M -n swap MyVol<br />
# lvcreate -L 500M -n tmp MyVol<br />
# lvcreate -l 100%FREE -n home MyVol<br />
<br />
# cryptsetup luksFormat -c aes-xts-plain64 -s 512 /dev/mapper/MyVol-lvroot<br />
# cryptsetup open /dev/mapper/MyVol-lvroot root<br />
# mkfs.ext4 /dev/mapper/root<br />
# mount /dev/mapper/root /mnt<br />
<br />
この例では {{ic|/home}} は[[#論理ボリューム /home の暗号化|後で]]暗号化します。Arch-ISO から暗号化したルートにアクセスする必要がある場合、上記の {{ic|open}} アクションで [[LVM#論理ボリュームが表示されない|LVM を表示]]した後にアクセスできます。<br />
<br />
=== boot パーティションの準備 ===<br />
# dd if=/dev/zero of=/dev/sda1 bs=1M status=progress<br />
# mkfs.ext4 /dev/sda1<br />
# mkdir /mnt/boot<br />
# mount /dev/sda1 /mnt/boot<br />
<br />
暗号化した LVM のパーティションを設定したら、インストールを行ってください: [[インストールガイド#パーティションのマウント|Arch Install Scripts]]。<br />
<br />
=== mkinitcpio の設定 ===<br />
<br />
{{ic|encrypt}} と {{ic|lvm2}} フックを [[mkinitcpio|mkinitcpio.conf]] 内の {{ic|filesystems}} の前に追加します:<br />
{{hc|/etc/mkinitcpio.conf|2=HOOKS=(... '''keyboard''' '''keymap''' block '''lvm2''' '''encrypt''' ... filesystems ...)}}<br />
<br />
他に必要なフックについては [[dm-crypt/システム設定#mkinitcpio]] を見て下さい。<br />
<br />
設定ファイルを変更した後は次のコマンドを root 権限で実行してください:<br />
<br />
# mkinitcpio -p linux<br />
<br />
=== ブートローダーの設定 ===<br />
<br />
上の例の場合、ブートローダーの設定で root デバイスのカーネルオプションを以下のように変更します:<br />
cryptdevice=/dev/mapper/MyVol-lvroot:root root=/dev/mapper/root<br />
詳しくは [[Dm-crypt/システム設定#ブートローダー]] を見て下さい。<br />
<br />
=== fstab と crypttab の設定 ===<br />
{{hc|/etc/fstab|<br />
/dev/mapper/root / ext4 defaults 0 1<br />
/dev/sda1 /boot ext4 defaults 0 2<br />
/dev/mapper/tmp /tmp tmpfs defaults 0 0<br />
/dev/mapper/swap none swap sw 0 0}}<br />
以下の [[Dm-crypt/システム設定#crypttab|crypttab]] オプションは再起動するたびに一時ファイルシステムを暗号化します:<br />
{{hc|/etc/crypttab|<br />
swap /dev/mapper/MyVol-swap /dev/urandom swap,cipher<nowiki>=aes-xts-plain64,size=</nowiki>256<br />
tmp /dev/mapper/MyVol-tmp /dev/urandom tmp,cipher<nowiki>=aes-xts-plain64,size=</nowiki>256<br />
}}<br />
<br />
=== 論理ボリューム /home の暗号化 ===<br />
Since this scenario uses LVM as the primary and dm-crypt as secondary mapper, each encrypted logical volume requires its own encryption. Yet, unlike the temporary filesystems configured with volatile encryption above, the logical volume for {{ic|/home}} should be persistent, of course. The following assumes you have rebooted into the installed system, otherwise you have to adjust paths.<br />
To safe on entering a second passphrase at boot for it, a [[Dm-crypt/デバイスの暗号化#キーファイル|keyfile]] is created: <br />
# mkdir -m 700 /etc/luks-keys<br />
# dd if=/dev/random of=/etc/luks-keys/home bs=1 count=256 status=progress<br />
<br />
論理ボリュームは以下のように暗号化します:<br />
# cryptsetup luksFormat -v -s 512 /dev/mapper/MyVol-home /etc/luks-keys/home<br />
# cryptsetup -d /etc/luks-keys/home open /dev/mapper/MyVol-home home<br />
# mkfs.ext4 /dev/mapper/home<br />
# mount /dev/mapper/home /home<br />
暗号化されたマウントは [[Dm-crypt/システム設定#crypttab|crypttab]] で設定します:<br />
{{hc|/etc/crypttab|<br />
home /dev/mapper/MyVol-home /etc/luks-keys/home}}<br />
{{hc|/etc/fstab|<br />
/dev/mapper/home /home ext4 defaults 0 2}}<br />
これでセットアップは完了です。<br />
<br />
If you want to expand the logical volume for {{ic|/home}} (or any other volume) at a later point, it is important to note that the LUKS encrypted part has to be resized as well. For a procedure see [[Dm-crypt/特記事項#LVM を複数のディスクに拡張]].<br />
<br />
== ソフトウェア RAID と LUKS ==<br />
<br />
以下の例では同じ容量の SSD を2台とストレージ用の HDD を搭載したワークステーション向けノートパソコンの設定を元にしています。最終的には LUKS ベースの ({{ic|/boot}} を含む) 完全ディスク暗号化を実現し、SSD は [[RAID|RAID0]] アレイにして、起動時に [[GRUB]] にパスフレーズを指定した後にキーファイルで暗号化を解除します。SSD の [[TRIM]] のサポートは有効にしますが、[[Dm-crypt/特記事項#ソリッドステートドライブ (SSD) の Discard/TRIM のサポート]]も読むと良いでしょう。<br />
<br />
非常にシンプルなパーティションスキームを使用し、RAID ストレージは全て {{ic|/}} にマウントして ({{ic|/boot}} パーティションは分割しません)、HDD は {{ic|/mnt/data}} にマウントします。システムは BIOS モードで起動し [[パーティショニング|GPT]] でパーティショニングします。<br />
<br />
定期的に[[バックアップ]]を取ることが非常に重要です。SSD のどちらかが故障すると、RAID アレイに保存されていたデータは復元できなくなります。耐障害性が大事なのであれば [[RAID#通常の RAID レベル|RAID レベル]]を慎重に選択してください。<br />
<br />
The encryption is not deniable in this setup.<br />
<br />
For the sake of the instructions below, the following block devices are used:<br />
/dev/sda = first SSD<br />
/dev/sdb = second SSD<br />
/dev/sdc = HDD<br />
Be sure to substitue them with the appropriate device designations for your setup, as they may be different.<br />
<br />
=== ディスクの準備 ===<br />
<br />
パーティションを作成する前に、[[Dm-crypt/ドライブの準備]]に書かれているようにディスクの完全消去について考慮してください。<br />
<br />
[[GRUB]] ブートローダーを [[GPT]] で使用する場合、[[GRUB#BIOS システム]]に書かれているように BIOS Boot Partition を作成する必要があります。例として {{ic|/dev/sda1}} に "BIOS boot" の 1M パーティションを作成して、残りの空き容量は全て "Linux RAID" として {{ic|/dev/sda2}} にパーティションします。<br />
<br />
{{ic|/dev/sda}} にパーティションを作成したら以下のコマンドを使って {{ic|/dev/sdb}} に複製:<br />
# sfdisk -d /dev/sda > sda.dump<br />
# sfdisk /dev/sdb < sda.dump<br />
<br />
The HDD is prepared with a single Linux partition covering the whole drive at {{ic|/dev/sdc1}}.<br />
<br />
=== RAID アレイの構築 ===<br />
<br />
Create the RAID array for the SSDs. This example utilizes RAID0, you may wish to substitute a different level based on your preferences or requirements. <br />
# mdadm --create --verbose --level=0 --metadata=1.2 --raid-devices=2 /dev/md0 /dev/sda2 /dev/sdb2<br />
<br />
=== ブロックデバイスの準備 ===<br />
<br />
[[Dm-crypt/ドライブの準備]]に書かれているように {{ic|/dev/zero}} を使ってデバイスを消去してからランダムなキーでデバイスを暗号化してください。もしくは {{ic|dd}} で {{ic|/dev/random}} や {{ic|/dev/urandom}} を使うこともできます:<br />
# cryptsetup open --type plain /dev/md0 container --key-file /dev/random<br />
# dd if=/dev/zero of=/dev/mapper/container bs=1M status=progress<br />
# cryptsetup close container<br />
<br />
And repeat above for the HDD ({{ic|/dev/sdc1}} in this example).<br />
<br />
Set up encryption for {{ic|/dev/md0}}:<br />
# cryptsetup -y -v luksFormat -c aes-xts-plain64 -s 512 /dev/md0<br />
# cryptsetup open /dev/md0 cryptroot<br />
# mkfs.ext4 /dev/mapper/cryptroot<br />
# mount /dev/mapper/cryptroot /mnt<br />
<br />
And repeat for the HDD:<br />
# cryptsetup -y -v luksFormat -c aes-xts-plain64 -s 512 /dev/sdc1<br />
# cryptsetup open /dev/sdc1 cryptdata<br />
# mkfs.ext4 /dev/mapper/cryptdata<br />
# mkdir -p /mnt/mnt/data<br />
# mount /dev/mapper/cryptdata /mnt/mnt/data<br />
<br />
=== ブートローダーの設定 ===<br />
<br />
Configure [[GRUB]] for the encrypted system by editing {{ic|/etc/default/grub}} with the following. Note that the {{ic|:allow-discards}} option enables TRIM support on the SSDs, if you do not wish to use it you should omit this.<br />
GRUB_CMDLINE_LINUX="cryptdevice=/dev/md0:cryptroot:allow-discards root=/dev/mapper/cryptroot"<br />
GRUB_ENABLE_CRYPTODISK=y<br />
<br />
詳しくは [[Dm-crypt/システム設定#ブートローダー]]や [[GRUB#暗号化された /boot]]を見てください。<br />
<br />
Complete the GRUB install to both SSDs (in reality, installing only to {{ic|/dev/sda}} will work).<br />
# grub-install --target=i386-pc /dev/sda<br />
# grub-install --target=i386-pc /dev/sdb<br />
# grub-mkconfig -o /boot/grub/grub.cfg<br />
<br />
=== キーファイルの作成 ===<br />
<br />
システムの起動時にパスフレーズを二回入力する手間を省く設定です。[[dm-crypt/デバイスの暗号化#キーファイル|キーファイル]]を作成して initramfs イメージに追加することで encrypt フックでルートデバイスを解除できるようにします。詳しくは [[dm-crypt/デバイスの暗号化#キーファイルを initramfs に埋め込む]] を参照。<br />
<br />
* [[dm-crypt/デバイスの暗号化#キーファイル|キーファイル]]を作成して {{ic|/dev/md0}} にキーを追加。<br />
* HDD ({{ic|/dev/sdc1}}) のキーファイルを作成することで起動時に解錠が可能です。上記で作成したパスフレーズは残すことで後で必要になったときに復旧が簡単です。{{ic|/etc/crypttab}} を編集して起動時に HDD を復号化してください。詳しくは [[dm-crypt/デバイスの暗号化#起動時にロックを解除]]を参照。<br />
<br />
=== システムの設定 ===<br />
<br />
[[fstab|/etc/fstab]] を編集して cryptroot と cryptdata ブロックデバイスをマウントしてください。TRIM のサポートを有効にしなかった場合、{{ic|discard}} マウントオプションは削除してください:<br />
<br />
/dev/mapper/cryptroot / ext4 rw,noatime,discard 0 1 <br />
/dev/mapper/cryptdata /mnt/data ext4 defaults 0 2 <br />
<br />
RAID の設定を保存:<br />
<br />
# mdadm --detail --scan > /etc/mdadm.conf <br />
<br />
[[mkinitcpio.conf]] を編集してキーファイルを適切なフックを追加してください:<br />
<br />
FILES=(/crypto_keyfile.bin)<br />
HOOKS=( ... '''keyboard''' '''keymap''' block '''mdadm_udev''' '''encrypt''' filesystems ... )<br />
<br />
詳しくは [[dm-crypt/システム設定#mkinitcpio]] を参照。<br />
<br />
== Plain dm-crypt ==<br />
<br />
Contrary to LUKS, dm-crypt ''plain'' mode does not require a header on the encrypted device: this scenario exploits this feature to set up a system on an unpartitioned, encrypted disk that will be indistinguishable from a disk filled with random data, which could allow [[Wikipedia:Deniable encryption|deniable encryption]]. See also [[wikipedia:Disk encryption#Full disk encryption]].<br />
<br />
Note that if full-disk encryption is not required, the methods using LUKS described in the sections above are better options for both system encryption and encrypted partitions. LUKS features like key management with multiple passphrases/key-files or re-encrypting a device in-place are unavailable with ''plain'' mode.<br />
<br />
''Plain'' dm-crypt encryption can be more resilient to damage than LUKS encrypted disks, because it does not rely on an encryption master-key which can be a single-point of failure if damaged. However, using ''plain'' mode also requires more manual configuration of encryption options to achieve the same cryptographic strength. See also [[ディスク暗号化#暗号メタデータ]]. Using ''plain'' mode could also be considered if concerned with the problems explained in [[Dm-crypt/特記事項#ソリッドステートドライブ (SSD) の Discard/TRIM のサポート]].<br />
<br />
{{Tip|If headerless encryption is your goal but you are unsure about the lack of key-derivation with ''plain'' mode, then two alternatives are:<br />
* dm-crypt LUKS mode by using the ''cryptsetup'' {{ic|--header}} option. It cannot be used with the standard ''encrypt'' hook, but the hook [[Dm-crypt/特記事項#リモート LUKS ヘッダーを使ってシステムを暗号化|may be modified]].<br />
* [[tcplay]] which offers headerless encryption but with the PBKDF2 function.}}<br />
<br />
このシナリオでは2つの USB スティックを使います:<br />
* one for the boot device, which also allows storing the options required to open/unlock the plain encrypted device in the boot loader configuration, since typing them on each boot would be error prone;<br />
* another for the encryption key file, assuming it stored as raw bits so that to the eyes of an unaware attacker who might get the usbkey the encryption key will appear as random data instead of being visible as a normal file. See also [[Wikipedia:Security through obscurity]], follow [[Dm-crypt/デバイスの暗号化#キーファイル]] to prepare the keyfile.<br />
<br />
|--------------------+------------------+--------------------+ +---------------+ +---------------+<br />
|Volume 1: |Volume 2: |Volume 3: | |Boot device | |Encryption key |<br />
| | | | | | |file storage |<br />
|root |swap |home | |/boot | |(unpartitioned |<br />
| | | | | | |in example) |<br />
|/dev/store/root |/dev/store/swap |/dev/store/home | |/dev/sdY1 | |/dev/sdZ |<br />
|--------------------+------------------+--------------------| |---------------| |---------------|<br />
|disk drive /dev/sdaX encrypted using plain mode and LVM | |USB stick 1 | |USB stick 2 |<br />
+------------------------------------------------------------+ +---------------+ +---------------+<br />
<br />
{{Tip|<br />
* It is also possible to use a single usb key by copying the keyfile to the initram directly. An example keyfile {{ic|/etc/keyfile}} gets copied to the initram image by setting {{ic|1=FILES=(/etc/keyfile)}} in {{ic|/etc/mkinitcpio.conf}}. The way to instruct the {{ic|encrypt}} hook to read the keyfile in the initram image is using {{ic|rootfs:}} prefix before the filename, e.g. {{ic|cryptkey&#61;rootfs:/etc/keyfile}}.<br />
* [[ディスク暗号化#強固なパスフレーズの選択|エントロピー]]が十分なパスフレーズを使用するという選択肢も存在します。<br />
}}<br />
<br />
=== ディスクの準備 ===<br />
<br />
It is vital that the mapped device is filled with data. In particular this applies to the scenario usecase we apply here. <br />
<br />
[[Dm-crypt/ドライブの準備]] や [[Dm-crypt/ドライブの準備#dm-crypt 固有の方法]] を見て下さい。<br />
<br />
=== boot 以外のパーティションの準備 ===<br />
<br />
詳しくは [[Dm-crypt/デバイスの暗号化#plain モードの暗号化オプション]] を参照。<br />
<br />
Using the device {{ic|/dev/sd''X''}}, with the twofish-xts cipher with a 512 bit key size and using a keyfile we have the following options for this scenario:<br />
{{bc|<nowiki># cryptsetup --hash=sha512 --cipher=twofish-xts-plain64 --offset=0 --key-file=</nowiki>/dev/sd''Z'' <nowiki>--key-size=512 open --type=plain /dev/sdX enc</nowiki>}}<br />
Unlike encrypting with LUKS, the above command must be executed ''in full'' whenever the mapping needs to be re-established, so it is important to remember the cipher, hash and key file details. <br />
<br />
We can now check a mapping entry has been made for {{ic|/dev/mapper/enc}}:<br />
# fdisk -l<br />
<br />
Next, we setup [[LVM]] logical volumes on the mapped device, see [[LVM#Arch Linux を LVM にインストールする]] for further details: <br />
# pvcreate /dev/mapper/enc<br />
# vgcreate store /dev/mapper/enc<br />
# lvcreate -L 20G store -n root<br />
# lvcreate -L 10G store -n swap<br />
# lvcreate -l +100%FREE store -n home<br />
論理ボリュームをフォーマットしてマウントします。詳しくは[[ファイルシステム#デバイスのフォーマット]]を見て下さい <br />
# mkfs.ext4 /dev/store/root<br />
# mkfs.ext4 /dev/store/home<br />
# mount /dev/store/root /mnt<br />
# mkdir /mnt/home<br />
# mount /dev/store/home /mnt/home<br />
# mkswap /dev/store/swap<br />
# swapon /dev/store/swap<br />
<br />
=== boot パーティションの準備 ===<br />
必要であれば、USB スティックの vfat パーティションに {{ic|/boot}} パーティションをインストールできます。ただし、手動のパーティションが必要な場合、小さな 200MB のパーティションで十分です。お好きな [[パーティショニング#パーティショニングツール|パーティションツール]]を使ってパーティションを作成してください。<br />
<br />
vfat でフォーマットされていない場合、{{ic|/boot}} パーティションのフラッシュメモリを保護するため非ジャーナリングファイルシステムを選択します:<br />
# mkfs.ext2 /dev/sd''Y''1<br />
# mkdir /mnt/boot<br />
# mount /dev/sd''Y''1 /mnt/boot<br />
<br />
=== mkinitcpio の設定 ===<br />
<br />
{{ic|keyboard}}, {{ic|encrypt}}, {{ic|lvm2}} フックを [[mkinitcpio|mkinitcpio.conf]] 内の {{ic|filesystems}} の前に追加します:<br />
{{hc|etc/mkinitcpio.conf|2=HOOKS=(... '''keyboard''' '''keymap''' block '''encrypt''' '''lvm2''' ... filesystems ...)}}<br />
<br />
他に必要なフックについては [[dm-crypt/システム設定#mkinitcpio]] を見て下さい。<br />
<br />
設定後はイメージを再生成してください:<br />
<br />
# mkinitcpio -p linux<br />
<br />
=== ブートローダーの設定 ===<br />
<br />
暗号化した root パーティションを起動するには、以下のカーネルパラメータをブートローダーで設定する必要があります:<br />
<br />
cryptdevice=/dev/sd''X'':enc cryptkey=/dev/sd''Z'':0:512 crypto=sha512:twofish-xts-plain64:512:0:<br />
<br />
{{Note|encrypt の代わりに sd-encrypt を使用する場合、cryptdevice の代わりに {{ic|''luks.uuid''}} を使ってください。詳しくは ''systemd-cryptsetup-generator(8)'' を参照。}}<br />
<br />
他に必要なパラメータについては [[Dm-crypt/システム設定#ブートローダー]] を見て下さい。<br />
<br />
{{Tip|GRUB を使用する場合、次のコマンドを使うことで {{ic|/boot}} パーティションと同じ USB にインストールすることができます:<br />
# grub-install --recheck /dev/sd''Y''<br />
}}<br />
<br />
===インストール後===<br />
<br />
起動後に USB スティックは取り除けます。{{ic|/boot}} パーティションは通常は必要ないため、{{ic|noauto}} オプションを {{ic|/etc/fstab}} に追加できます:<br />
<br />
{{hc|/etc/fstab|<br />
# /dev/sd''Yn''<br />
/dev/sd''Yn'' /boot ext2 '''noauto''',rw,noatime 0 2}}<br />
<br />
ただしカーネルやブートローダーのアップグレードが必要なときは、{{ic|/boot}} パーティションがマウントされていなければなりません。{{ic|fstab}} に既にエントリが存在すれば、次のコマンドでマウントできます:<br />
<br />
# mount /boot<br />
<br />
== boot パーティションの暗号化 (GRUB) ==<br />
<br />
このセットアップでは [[#LVM on LUKS]] セクションと同じパーティションレイアウト・設定でシステムのルートパーティションを設定しますが、違いが2つあります:<br />
<br />
# セットアップは [[UEFI]] 環境で行います。<br />
# [[GRUB]] ブートローダーの特殊機能を使用してブートパーティション {{ic|/boot}} も暗号化します。[[GRUB#暗号化された /boot]]を見てください。<br />
<br />
ディスクレイアウトは以下のようになります:<br />
<br />
+---------------+----------------+----------------+----------------+----------------+<br />
|ESP partition: |Boot partition: |Volume 1: |Volume 2: |Volume 3: |<br />
| | | | | |<br />
|/boot/efi |/boot |root |swap |home |<br />
| | | | | |<br />
| | |/dev/store/root |/dev/store/swap |/dev/store/home |<br />
|/dev/sdaX |/dev/sdaY +----------------+----------------+----------------+<br />
|'''un'''encrypted |LUKS encrypted |/dev/sdaZ encrypted using LVM on LUKS |<br />
+---------------+----------------+--------------------------------------------------+<br />
<br />
{{Tip|All scenarios are intended as examples. It is, of course, possible to apply both of the two above distinct installation steps with the other scenarios as well. See also the variants linked in [[#LVM on LUKS]].}}<br />
{{Note|{{AUR|cryptboot}} パッケージの {{ic|cryptboot}} スクリプトを使うことで暗号化された boot の管理 (マウント・アンマウント・パッケージのアップグレード) を簡単にできます。また、[[セキュアブート#自分で署名した鍵を使う|UEFI Secure Boot]] を使用して [https://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html 悪意あるメイド] 攻撃から身を守ることができます。詳しくは [https://github.com/xmikos/cryptboot cryptboot のプロジェクトページ] を参照。}}<br />
<br />
=== ディスクの準備 ===<br />
<br />
パーティションを作成する前に、[[Dm-crypt/ドライブの準備]]に書かれているように、ディスクを完全に消去するようにしてください。<br />
<br />
[[Unified_Extensible_Firmware_Interface#EFI_System_Partition|EFI System Partition (ESP)]] を適当な容量で作成してください。後で {{ic|/boot/efi}} にマウントします。<br />
<br />
{{ic|/boot}} にマウントするパーティションをタイプ {{ic|8300}} の容量 100 MB 以上で作成します。<br />
<br />
{{Tip|BIOS/[[GPT]] で [[GRUB]] ブートローダーを使用する場合は、[[GRUB#BIOS システム]]に書かれているように ESP の代わりに BIOS Boot Partition を作成してください。}}<br />
<br />
タイプ {{ic|8E00}} のパーティションを作成してください。後で暗号化コンテナを入れます。<br />
<br />
"system" パーティションに LUKS 暗号化コンテナを作成してください。<br />
<br />
# cryptsetup luksFormat /dev/''sdaZ''<br />
<br />
上記のコマンドの cryptsetup で使えるオプションについては [[Dm-crypt/デバイスの暗号化#LUKS モードの暗号化オプション|LUKS 暗号化オプション]]を参照してください。<br />
<br />
パーティションレイアウトは以下のようになります:<br />
{{hc|# gdisk /dev/sda |<br />
Number Start (sector) End (sector) Size Code Name<br />
1 2048 1050623 512.0 MiB EF00 EFI System<br />
2 1050624 1460223 200.0 MiB 8300 Linux filesystem<br />
3 1460224 41943006 19.3 GiB 8E00 Linux LVM<br />
}}<br />
<br />
コンテナを開く:<br />
<br />
# cryptsetup open --type luks /dev/''sdaZ'' lvm<br />
<br />
復号化されたコンテナは {{ic|/dev/mapper/lvm}} から利用できます。<br />
<br />
=== 論理ボリュームの準備 ===<br />
<br />
The LVM logical volumes of this example follow the exact layout as the previous scenario. Therefore, please follow [[#論理ボリュームの準備|Preparing the logical volumes]] above or adjust as required.<br />
<br />
=== boot パーティションの準備 ===<br />
<br />
ブートローダーは {{ic|/boot}} ディレクトリからカーネルや [[initramfs]]、あるいはブートローダーの設定ファイルをロードします。<br />
<br />
まず、ファイルを配置・インストールするための LUKS コンテナを作成:<br />
<br />
# cryptsetup luksFormat /dev/sda''Y''<br />
<br />
次に、コンテナをオープン:<br />
# cryptsetup open /dev/sda''Y'' cryptboot <br />
<br />
{{ic|/boot}} にするパーティションにファイルシステムを作成。ブートローダーから読み込めるならどんなファイルシステムでもかまいません:<br />
<br />
# mkfs.ext2 /dev/mapper/''cryptboot''<br />
<br />
{{ic|/mnt/boot}} ディレクトリを作成:<br />
<br />
# mkdir /mnt/boot<br />
<br />
パーティションを {{ic|/mnt/boot}} にマウント:<br />
<br />
# mount /dev/mapper/''cryptboot'' /mnt/boot<br />
<br />
{{ic|grub-install}} から利用できるように [[Unified_Extensible_Firmware_Interface#EFI_System_Partition|ESP]] のマウントポイントを {{ic|/boot/efi}} に作成してマウント:<br />
<br />
# mkdir /mnt/boot/efi<br />
# mount /dev/''sdaX'' /mnt/boot/efi<br />
<br />
この時点で、{{ic|/mnt}} の中に以下のパーティションと論理ボリュームが作成されているはずです:<br />
{{hc|$ lsblk|<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
sda 8:0 0 200G 0 disk <br />
├─sda1 8:1 0 512M 0 part /boot/efi<br />
├─sda2 8:2 0 200M 0 part <br />
│ └─boot 254:0 0 198M 0 crypt /boot<br />
└─sda3 8:3 0 100G 0 part <br />
└─lvm 254:1 0 100G 0 crypt <br />
├─MyStorage-swapvol 254:2 0 8G 0 lvm [SWAP]<br />
├─MyStorage-rootvol 254:3 0 15G 0 lvm /<br />
└─MyStorage-homevol 254:4 0 77G 0 lvm /home<br />
}}<br />
<br />
インストールの手順を mkinitcpio の設定まで進めてください。<br />
<br />
=== mkinitcpio の設定 ===<br />
<br />
[[mkinitcpio|mkinitcpio.conf]] に {{ic|keyboard}}, {{ic|encrypt}}, {{ic|lvm2}} フックを追加:<br />
{{hc|/etc/mkinitcpio.conf|2=HOOKS=(... '''keyboard''' '''keymap''' block '''encrypt''' '''lvm2''' ... filesystems ...)}}<br />
<br />
詳細や必要な他のフックについては [[dm-crypt/システム設定#mkinitcpio]] を参照。<br />
<br />
<br />
設定後はイメージを再生成してください:<br />
<br />
# mkinitcpio -p linux<br />
<br />
=== ブートローダーの設定 ===<br />
<br />
起動時に LUKS で暗号化された {{ic|/boot}} パーティションを認識して暗号化された root パーティションの暗号化が解除されるように GRUB を設定:<br />
<br />
{{hc|/etc/default/grub|2=<br />
GRUB_CMDLINE_LINUX="... cryptdevice=UUID=''<device-UUID>'':lvm ..."<br />
GRUB_ENABLE_CRYPTODISK=y<br />
}}<br />
<br />
詳しくは [[Dm-crypt/システム設定#ブートローダー]]や [[GRUB#暗号化された /boot]]を参照。{{ic|''<device-UUID>''}} は {{ic|/dev/sdaZ}} (ルートファイルシステムが存在する LVM が含まれているパーティション) の UUID に置き換えてください。詳しくは[[永続的なブロックデバイスの命名]]を参照。<br />
<br />
GRUB の[[GRUB#メイン設定ファイルの生成|設定ファイル]]を作成して、マウントされている ESP に [[GRUB#インストール|GRUB をインストール]]:<br />
<br />
# grub-mkconfig -o /boot/grub/grub.cfg<br />
# grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=grub --recheck<br />
<br />
設定に問題がなければ、次の起動時に GRUB は {{ic|/boot}} パーティションのロックを解除するためのパスフレーズを要求するはずです。<br />
<br />
=== fstab と crypttab の設定 ===<br />
<br />
This section deals with extra configuration to let the system '''mount''' the encrypted {{ic|/boot}}. <br />
<br />
While GRUB asks for a passphrase to unlock the encrypted {{ic|/boot}} after above instructions, the partition unlock is not passed on to the initramfs. Hence, {{ic|/boot}} will not be available after the system has re-/booted, because the {{ic|encrypt}} hook only unlocks the system's root. <br />
<br />
インストール時に ''genfstab'' スクリプトを使用した場合、{{ic|/boot}} と {{ic|/boot/efi}} マウントポイントのエントリが含まれた {{ic|/etc/fstab}} が作成されています。しかしながらシステムはブートパーティションに生成されたデバイスマッパーを見つけることができません。デバイスマッパーを使えるようにするために、以下を [[Dm-crypt/システム設定#crypttab|crypttab]] に追加してください。例: <br />
<br />
{{hc|/etc/crypttab|<br />
cryptboot /dev/sdaY none luks}}<br />
<br />
上記を設定するとパスフレーズが二回要求されるようになります (GRUB と systemd ユニットでそれぞれ一回ずつ入力しなくてはなりません)。{{ic|/boot}} のロックを解除するエントリを重複させたくない場合、[[Dm-crypt/デバイスの暗号化#キーファイル]]の指示に従ってください: <br />
<br />
# [[Dm-crypt/デバイスの暗号化#ファイルシステムにキーファイルを保存|ランダムなテキストのキーファイル]]を作成<br />
# キーファイルを ({{ic|/dev/sdaY}}) [[Dm-crypt/デバイスの暗号化#キーファイルを使用するように LUKS を設定|ブートパーティションの LUKS ヘッダ]]に追加<br />
# {{ic|/etc/fstab}} のエントリを確認して[[Dm-crypt/デバイスの暗号化#起動時にロックを解除|起動時に自動的にロックが解除]]されるように {{ic|/etc/crypttab}} 行を追加<br />
<br />
何らかの理由でキーファイルを使って boot パーティションのロックを解除できなかった場合、systemd はフォールバックして解除するためのパスフレーズを要求します。パスフレーズが正しければ、起動に進みます。<br />
<br />
{{Tip|Optional post-installation steps: <br />
* It may be worth considering to add the GRUB bootloader to the ignore list of {{ic|/etc/pacman.conf}} in order to take particular control of when the bootloader (which includes its own encryption modules) is updated. <br />
* If you want to encrypt the {{ic|/boot}} partition to protect against offline tampering threats, the [[Dm-crypt/特記事項#mkinitcpio-chkcryptoboot|mkinitcpio-chkcryptoboot]] hook has been contributed to help.}}<br />
<br />
== Btrfs サブボリュームとスワップ ==<br />
<br />
以下の例では [[Btrfs]] のサブボリュームを使って LUKS によるフルシステム暗号化を作成します。<br />
<br />
UEFI を使っている場合、[[EFI システムパーティション]] (ESP) が必要です。{{ic|/boot}} は {{ic|/}} の中に保存して暗号化することができますが、ESP を暗号化することは不可能です。ここでは例として、ESP は {{ic|/dev/sda''Y''}} で {{ic|/boot/efi}} にマウントするとします。{{ic|/boot}} はシステムパーティション ({{ic|/dev/sda''X''}}) に保存します。<br />
<br />
{{ic|/boot}} を暗号化された {{ic|/}} の中に配置するため、ブートローダーは [[GRUB]] を使用する必要があります。GRUB だけが {{ic|/boot}} を復号化するのに必要なモジュールをロードできるからです (例: {{ic|crypto.mod}}, {{ic|cryptodisk.mod}}, {{ic|luks.mod}}) [http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/]。<br />
<br />
さらに任意で暗号化した[[スワップ]]パーティションも作成します。<br />
<br />
{{Warning|スワップパーティションのかわりとして[[スワップファイル]]を使うことはできません。データを消失する可能性があります。[[Btrfs#スワップファイル]]を見てください。}}<br />
<br />
+--------------------------+--------------------------+--------------------------+<br />
|ESP |System partition |Swap partition |<br />
|'''un'''encrypted |LUKS-encrypted |plain-encrypted |<br />
| | | |<br />
|/boot/efi |/ | |<br />
|/dev/sda''Y'' |/dev/sda''X'' |/dev/sda''Z'' |<br />
|--------------------------+--------------------------+--------------------------+<br />
<br />
=== ディスクの準備 ===<br />
<br />
{{Note|LUKS を使用する場合に[[Btrfs#パーティショニング|パーティションしない Btrfs ディスク]]を使用することは不可能です。作成するパーティションがひとつだけの場合でも伝統的なパーティショニングが必須です。}}<br />
<br />
パーティションを作成する前に、[[dm-crypt/ドライブの準備]]に書かれているようにディスクを完全消去するようにしてください。[[UEFI]] を使っている場合、適当なサイズの [[EFI システムパーティション]]を作成してください。後で {{ic|/boot/efi}} にマウントします。スワップパーティションを暗号化する場合、パーティションを作成してもスワップとして設定してはいけません。plain ''dm-crypt'' でパーティションを使用するためです。<br />
<br />
必要なパーティションを作成してください。最低でも {{ic|/}} のパーティションが必要です (例: {{ic|/dev/sda''X''}})。[[パーティショニング]]の記事を見てください。<br />
<br />
=== システムパーティションの準備 ===<br />
<br />
==== LUKS コンテナの作成 ====<br />
<br />
[[dm-crypt/デバイスの暗号化#LUKS モードでデバイスを暗号化]]に従って {{ic|/dev/sda''X''}} を LUKS で設定してください。設定する前に [[Dm-crypt/デバイスの暗号化#LUKS モードの暗号化オプション]]を見てください。<br />
<br />
==== LUKS コンテナの解錠 ====<br />
<br />
[[dm-crypt/デバイスの暗号化#デバイスマッパーで LUKS パーティションのロックを解除・マップ]]に従って LUKS コンテナを解錠してマッピングしてください。<br />
<br />
==== マッピングされたデバイスのフォーマット ====<br />
<br />
[[Btrfs#新しいファイルシステムを作成する]]に書かれているようにデバイスをフォーマットしてください。{{ic|''/dev/partition''}} はマップしたデバイスの名前 ({{ic|cryptroot}}) に置き換えてください。{{ic|/dev/sda''X''}} を使ってはいけません。<br />
<br />
==== マッピングされたデバイスのマウント ====<br />
<br />
最後に、フォーマットされたマップ済みデバイス ({{ic|/dev/mapper/cryptroot}}) を {{ic|/mnt}} に[[マウント]]してください。<br />
<br />
{{Tip|{{ic|1=compress=lzo}} マウントオプションを使うと良いでしょう。詳しくは [[Btrfs#圧縮]]を見てください。}}<br />
<br />
=== btrfs サブボリュームの作成 ===<br />
<br />
==== レイアウト ====<br />
<br />
[[Btrfs#サブボリューム|サブボリューム]]をパーティションのように使いますが、他の (ネストした) サブボリュームも作成します。以下は作成するサブボリュームの例を示しています:<br />
<br />
subvolid=5 (/dev/sda''X'')<br />
|<br />
├── @ (mounted as /)<br />
| |<br />
| ├── /bin (directory)<br />
| |<br />
| ├── /home (mounted @home subvolume)<br />
| |<br />
| ├── /usr (directory)<br />
| |<br />
| ├── /.snapshots (mounted @snapshots subvolume)<br />
| |<br />
| ├── /var/cache/pacman/pkg (nested subvolume)<br />
| |<br />
| ├── ... (other directories and nested subvolumes)<br />
|<br />
├── @snapshots (mounted as /.snapshots)<br />
|<br />
├── @home (mounted as /home)<br />
|<br />
└── @... (additional subvolumes you wish to use as mount points)<br />
<br />
このセクションでは [[Snapper]] を使うときに便利な [[Snapper#推奨ファイルシステムレイアウト]]に従います。[https://btrfs.wiki.kernel.org/index.php/SysadminGuide#Layout Btrfs Wiki SysadminGuide#Layout] も読んでください。<br />
<br />
==== トップレベルサブボリュームの作成 ====<br />
<br />
マウントポイントとして使用するサブボリュームの名前には {{ic|@}} を前に付けます。{{ic|/}} にマウントするサブボリュームは {{ic|@}} とします。<br />
<br />
[[Btrfs#サブボリュームを作成する]]に従って {{ic|/mnt/@}}, {{ic|/mnt/@snapshots}}, {{ic|/mnt/@home}} にサブボリュームを作成します。<br />
<br />
他にマウントポイントとして使用したいサブボリュームも作成してください。<br />
<br />
==== トップレベルサブボリュームのマウント ====<br />
<br />
{{ic|/mnt}} のシステムパーティションをアンマウントしてください。<br />
<br />
{{ic|/}} として使用する、新しく作成した {{ic|@}} サブボリュームを {{ic|1=subvol=}} マウントオプションを使って {{ic|/mnt}} にマウントします。マップしたデバイスの名前が {{ic|cryptroot}} なら、コマンドは以下のようになります:<br />
<br />
# mount -o compress=lzo,subvol=@ /dev/mapper/cryptroot /mnt<br />
<br />
詳しくは [[Btrfs#サブボリュームをマウントする]]を見てください。<br />
<br />
他のサブボリュームを適切なマウントポイントにマウントしてください: {{ic|@home}} は {{ic|/mnt/home}} に、{{ic|@snapshots}} は {{ic|/mnt/.snapshots}} にマウントします。<br />
<br />
==== ネストされたサブボリュームの作成 ====<br />
<br />
{{ic|/}} のスナップショットが作成されるときに、スナップショットを作りたくないサブボリュームを作成してください。例えば、{{ic|/var/cache/pacman/pkg}} のスナップショットなどは不要でしょう。サブボリュームは {{ic|@}} サブボリュームの下にネストしますが、{{ic|@}} と同じレベルに作成することもできます。<br />
<br />
{{ic|@}} サブボリュームは {{ic|/mnt}} にマウントするため、{{ic|/mnt/var/cache/pacman/pkg}} に[[Btrfs#サブボリュームを作成する|サブボリュームを作成]]する必要があります。先に親のディレクトリを作成してください。<br />
<br />
他にも {{ic|/var/abs}}, {{ic|/var/tmp}}, {{ic|/srv}} などのディレクトリのサブボリュームを作成してください。<br />
<br />
==== ESP のマウント ====<br />
<br />
EFI システムパーティションを準備済みなら、マウントポイントを作成してマウントしてください。<br />
<br />
{{Note|Btrfs のスナップショットは {{ic|/boot/efi}} を除外します (btrfs ファイルシステムではないため)。}}<br />
<br />
[[インストールガイド#ベースシステムのインストール|pacstrap]] でインストールを行うときに、{{Pkg|btrfs-progs}} もインストールする必要があります。<br />
<br />
=== mkinitcpio の設定 ===<br />
<br />
==== キーファイルの作成 ====<br />
<br />
GRUB で LUKS パーティションを解錠するために、initramfs にキーファイルを埋め込みます。[[Dm-crypt/デバイスの暗号化#キーファイルを initramfs に埋め込む]]に従って ''luksAddKey'' を実行する段階でキーを {{ic|/dev/sda''X''}} に追加してください。<br />
<br />
==== mkinitcpio.conf の編集 ====<br />
<br />
上記のようにキーファイルを作成して埋め込んだら、[[mkinitcpio|mkinitcpio.conf]] に {{ic|encrypt}} フックを追加してください。詳しくは [[Dm-crypt/システム設定#mkinitcpio]] を参照。設定後は initramfs を再生成する必要があります。<br />
<br />
{{Tip|{{ic|1=BINARIES=(/usr/bin/btrfs)}} を {{ic|mkinitcpio.conf}} に追加すると良いでしょう。詳しくは [[Btrfs#ファイルシステム破損のリカバリ]] を見てください。}}<br />
<br />
=== ブートローダーの設定 ===<br />
<br />
[[GRUB]] を {{ic|/dev/sda}} にインストールします。そして [[GRUB#暗号化された /boot]]に書かれているように {{ic|/etc/default/grub}} を編集します (ルートパーティションと boot パーティションの両方の手順に従ってください)。最後に、GRUB の設定ファイルを生成します。<br />
<br />
=== スワップの設定 ===<br />
<br />
スワップを暗号化するためにパーティションを作成していた場合、ここで設定してください。[[Dm-crypt/スワップの暗号化]]の手順に従ってください。<br />
<br />
設定を完了したら、[[インストールガイド#再起動|インストールガイド]]にしたがって通常通りにシステムの設定を続行してください。</div>
Hkiku482
https://wiki.archlinux.jp/index.php?title=Dm-crypt/%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E5%85%A8%E4%BD%93%E3%81%AE%E6%9A%97%E5%8F%B7%E5%8C%96&diff=39515
Dm-crypt/システム全体の暗号化
2025-01-17T17:24:45Z
<p>Hkiku482: /* LUKS を使用するパーティションに TPM2とセキュアブートを使用する */ 訳出</p>
<hr />
<div>{{Lowercase title}}<br />
[[Category:保存データ暗号化]]<br />
[[Category:ファイルシステム]]<br />
[[Category:Arch の入手とインストール]]<br />
[[de:Systemverschlüsselung mit dm-crypt]]<br />
[[en:Dm-crypt/Encrypting an entire system]]<br />
[[es:Dm-crypt/Encrypting an entire system]]<br />
以下は ''dm-crypt'' を使って完全なシステム暗号化を行う一般的なシナリオの例です。通常の[[インストールガイド|インストール手順]]に加える必要がある変更を全て説明しています。必要なツールは全て [https://www.archlinux.jp/download/ インストールイメージ] に入っています。<br />
<br />
== 概要 ==<br />
<br />
root ファイルシステムの暗号化については機能やパフォーマンスの点で ''dm-crypt'' が優れています。システムの root ファイルシステムが dm-crypt デバイス上にあれば、システム上のほとんど全てのファイルが暗号化されます。root 以外のファイルシステムを選択的に暗号化するのと異なり、root ファイルシステムの暗号化は様々な情報を隠匿できます。インストールされているプログラム、ユーザーアカウントのユーザー名、[[mlocate]] や {{ic|/var/log/}} など媒介してデータ漏洩の恐れがあるファイルなど。さらに、root ファイルシステムを暗号化することでシステムの改竄が非常に難しくなります。[[ブートローダー]]やカーネルを除く全てが暗号化されるためです。<br />
<br />
以上の利点をのぞく、それぞれのシナリオのメリットやデメリットなどの違いをまとめて、全てのシナリオを以下の表で説明します:<br />
<br />
{| class="wikitable"<br />
! シナリオ <br />
! メリット <br />
! デメリット <br />
|----------------------------------------------------------<br />
| [[#LUKS を使用するシンプルなパーティションレイアウト]]<br />
LUKS で root を完全に暗号化するベーシックなセットアップ<br />
|<br />
* パーティショニングと設定がシンプル<br />
|<br />
* 柔軟性がない、暗号化するディスク領域をあらかじめ指定する必要がある<br />
|----------------------------------------------------------<br />
| [[#LUKS を使用するパーティションに TPM2とセキュアブートを使用する]]<br />
LUKS で root を完全に暗号化するベーシックなセットアップ<br />
|<br />
LUKS を使用するシンプルなパーティションレイアウトと加えて<br />
* [[Wikipedia:Evil maid attack|Evil maid attacks]]から保護することができます。<br />
* セキュアブートが無効になっていたり変更された場合に、TPM2によってロック解除を防止することができます。<br />
|<br />
* LUKS を使用するシンプルなパーティションレイアウト と同じ<br />
|----------------------------------------------------------<br />
| [[#LVM on LUKS]]<br />
LUKS 暗号化パーティションの中で LVM を使うことでパーティショニングの柔軟性を確保<br />
|<br />
* LVM を使ったことがあるのであれば簡単にパーティショニングできます<br />
* 一つのキーで全てのボリュームのロックを解除できます (ディスクからの復帰を設定するのが簡単)<br />
* ロックされていればボリュームのレイアウトが外から分かりません<br />
* [[Dm-crypt/スワップの暗号化#suspend-to-disk_を使用する|ハイバネート]]を利用したいときの一番簡単な方法<br />
|<br />
* LVM によってマッピングレイヤーとフックが追加されます<br />
* ボリュームごとに別のキーを設定する場合は不便です<br />
|----------------------------------------------------------<br />
| [[#LUKS on LVM]]<br />
LVM をセットアップした後に dm-crypt を使用<br />
|<br />
* LVM を使うことで複数のディスクにまたがる暗号化ボリュームを作成できます<br />
* 非暗号化・暗号化ボリュームグループを簡単に混ぜられます<br />
|<br />
* 複雑です。ボリュームを変更するときは暗号化マッパーも変更する必要があります<br />
* ボリュームごとに個別のキーが必要になります<br />
* ロックされていても LVM レイアウトは外から分かってしまいます<br />
|----------------------------------------------------------<br />
| [[#ソフトウェア RAID と LUKS]]<br />
RAID を設定した後に dm-crypt を使います。<br />
|<br />
* LUKS on LVM と同じ。<br />
|<br />
* LUKS on LVM と同じ。<br />
|----------------------------------------------------------<br />
| [[#Plain dm-crypt]]<br />
dm-crypt の plain モードを使用、LUKS ヘッダーや LUKS の複数のキーのオプションは使わない<br>このシナリオでは {{ic|/boot}} とキーストレージに USB デバイスを使いますが、これは他のデバイスでも利用可能です<br />
|<br />
* LUKS ヘッダに損害が発生した場合の耐障害性があります<br />
* [[Wikipedia:Deniable encryption|否認可能暗号]]が使える<br />
* SSD の[[Dm-crypt/特記事項#ソリッドステートドライブ (SSD) の Discard/TRIM のサポート|問題]]を解決できます<br />
|<br />
* 全ての暗号化パラメータに注意する必要があります<br />
* 暗号鍵はひとつだけで変更する方法はありません<br />
|----------------------------------------------------------<br />
| [[#boot パーティションの暗号化 (GRUB)]]<br />
GRUB ブートローダーを使って boot パーティションを暗号化する方法を説明します。<br>このシナリオでは ESP パーティションを使いますが、他のシナリオでも ESP を使うことができます。<br />
|<br />
* ベースにするシナリオと同じメリット (このページの例では LVM on LUKS)<br />
* ブートローダーや ESP パーティションまで暗号化されます<br />
|<br />
* ベースにするシナリオと同じデメリット (このページの例では LVM on LUKS)<br />
* 設定が複雑です<br />
* 他のブートローダーのサポートがありません<br />
|----------------------------------------------------------<br />
| [[#Btrfs サブボリュームとスワップ]]<br />
UEFI 環境で [[Btrfs]] のシステムパーティションと {{ic|/boot}} ディレクトリを暗号化して、スワップパーティションを追加する方法。<br />
|<br />
* [[#boot パーティションの暗号化 (GRUB)]] と同じメリット<br />
* Btrfs の機能を活用できます<br />
|<br />
* [[#boot パーティションの暗号化 (GRUB)]] と同じデメリット<br />
|}<br />
<br />
上記全てのシナリオが外部からの脅威に対して十分な保護を約束しますが、共通の欠点も存在します。暗号化キーを持っているユーザーなら誰でもデバイスの全てを復号化して、他のユーザーのデータにもアクセスすることが可能という点です。これが問題だという場合は、ブロックデバイスの暗号化とスタックファイルシステムの暗号化と組み合わせて使用することで、両者の利点を取り入れることができます。[[保存データ暗号化]]を見て下さい。<br />
<br />
他にも、スワップパーティションの暗号化を設定するべきかどうか考慮する必要があります。[[Dm-crypt/スワップの暗号化]]を見て下さい。<br />
<br />
シナリオで使用されているパーティショニングの外観について [[Dm-crypt/ドライブの準備#パーティショニング]] も参照してください。<br />
<br />
{{Warning|どのシナリオでも、暗号化ボリュームで [[fsck]] などのファイルシステム修復ソフトウェアを直接使ってはいけません。ファイルを復号化する鍵を破壊してしまいます。復号化した後に使うようにしてください。}}<br />
<br />
== LUKS を使用するシンプルなパーティションレイアウト ==<br />
<br />
この例ではシンプルなパーティションレイアウトによる ''dmcrypt''+ LUKS のフルシステム暗号化を説明します:<br />
<br />
+--------------------+--------------------------+--------------------------+<br />
|Boot partition |LUKS encrypted system |Optional free space |<br />
| |partition |for additional partitions |<br />
|/dev/sdaY |/dev/sdaX |or swap to be setup later |<br />
+--------------------+--------------------------+--------------------------+<br />
<br />
最初のステップは Arch Linux のインストールイメージを起動した後すぐに実行します。<br />
<br />
=== ディスクの準備 ===<br />
パーティションを作成する前に、[[Dm-crypt/ドライブの準備]] で説明されているように、ディスクを完全に消去する必要性・方法を学んでください。<br />
<br />
それから必要なパーティションを作成します。最低でも {{ic|/}} が必要です (例: {{ic|/dev/sdaX}}) と {{ic|/boot}} ({{ic|/dev/sdaY}})。[[パーティショニング]]を参照。<br />
<br />
=== boot 以外のパーティションの準備 ===<br />
<br />
以下のコマンドは暗号化された root パーティションを作成・マウントします。[[Dm-crypt/root 以外のファイルシステムの暗号化#パーティション]] に詳しく説明されている手順に該当します (ページタイトルと相違して、[[#mkinitcpio の設定|mkinitcpio]] と[[#ブートローダーの設定|ブートローダー]]が正しく設定されていれば、root パーティションにも適用できます)。デフォルトになってない特定の暗号化オプションを使いたいときは (例: 暗号アルゴリズムや鍵長など)、最初のコマンドを実行する前に[[Dm-crypt/デバイスの暗号化#LUKS_モードの暗号化オプション|暗号化オプション]]を読んでください:<br />
<br />
# cryptsetup -y -v luksFormat /dev/sdaX<br />
# cryptsetup open /dev/sdaX cryptroot<br />
# mkfs.ext4 /dev/mapper/cryptroot<br />
# mount /dev/mapper/cryptroot /mnt<br />
<br />
マッピングが問題ないかチェック:<br />
# umount /mnt<br />
# cryptsetup close cryptroot<br />
# cryptsetup open /dev/sdaX cryptroot<br />
# mount /dev/mapper/cryptroot /mnt<br />
<br />
パーティションを分割した場合 (例: {{ic|/home}})、以上のコマンドを全てのパーティションに繰り返し実行してください。ただし {{ic|/boot}} は別です。起動時に追加のパーティションを扱う方法は [[Dm-crypt/root 以外のファイルシステムの暗号化#ロック解除とマウントの自動化]] を見て下さい。<br />
<br />
それぞれのブロックデバイスには個々のパスフレーズが必要になります。起動時に、別々のパスフレーズを入力しないといけないので、不便とも言えます。{{ic|crypttab}} を使うことでシステムパーティションにキーファイルを保存して使用することで別のパーティションを解錠することができます。方法は [[Dm-crypt/デバイスの暗号化#LUKS を使ってキーファイルでパーティションをフォーマット]] を見て下さい。<br />
<br />
=== boot パーティションの準備 ===<br />
セットアップする必要があるのは暗号化されない {{ic|/boot}} パーティションで、暗号化する root に必要となります。例えば、標準的な [[EFI|MBR/BIOS]] の {{ic|/boot}} パーティションの場合、以下を実行します:<br />
# mkfs.ext4 /dev/sdaY<br />
# mkdir /mnt/boot<br />
# mount /dev/sdaY /mnt/boot<br />
<br />
=== デバイスのマウント ===<br />
[[インストールガイド#パーティションのマウント]]では実際のパーティションではなく、マップされたデバイスをマウントしてください。もちろん、{{ic|/boot}} は暗号化されていないので、直接マウントします。<br />
<br />
=== mkinitcpio の設定 ===<br />
{{ic|keyboard}}, {{ic|keymap}}, {{ic|encrypt}} フックを [[mkinitcpio|mkinitcpio.conf]] 内の {{ic|filesystems}} の前に追加します:<br />
{{hc|/etc/mkinitcpio.conf|2=HOOKS=(... '''keyboard''' '''keymap''' block '''encrypt''' ... filesystems ...)}}<br />
<br />
他に必要なフックについては [[dm-crypt/システム設定#mkinitcpio]] を見て下さい。<br />
<br />
設定後はイメージを再生成してください:<br />
<br />
# mkinitcpio -p linux<br />
<br />
=== ブートローダーの設定 ===<br />
暗号化された root パーティションを起動するには、ブートローダーに以下のカーネルパラメータを設定する必要があります ({{ic|''<device-UUID>''}} は {{ic|/dev/sdaX}} の UUID に置き換えてください。詳しくは[[永続的なブロックデバイスの命名]]を参照):<br />
<br />
cryptdevice=UUID=''<device-UUID>'':cryptroot root=/dev/mapper/cryptroot<br />
<br />
他に必要なパラメータについては [[Dm-crypt/システム設定#ブートローダー]] を見て下さい。<br />
<br />
== LUKS を使用するパーティションに TPM2とセキュアブートを使用する ==<br />
<br />
この例は[[#LUKS を使用するシンプルなパーティションレイアウト]]と似ていますが、[[セキュアブート]]と[[Trusted Platform Module]] (TPM)を統合してブート時のセキュリティを強化します。<br />
<br />
この構成では[[EFI_システムパーティション]]が暗号化されずに残り、[[ユニファイドカーネルイメージ]]と[[systemd-boot]]が格納されます。これらは両方ともセキュアブートで使用するため暗号化されています。セキュアブートが無効になっていたり、キーデータベースが改ざんされている場合は、ロック解除に使用するキーをリリースしません。これは、WindowsのBitLockerやmacOSのFileVaultに似ています。TPMロック解除に問題(署名されていないブートローダやカーネルの更新、ファームウェアの更新等)が発生した場合、データにアクセスするための回復キーも作成されます。オプションで、起動時にTPM PINが必要になるように設定して完全に自動でロック解除されるのを防ぐこともできます。<br />
<br />
実行する前に[[Trusted Platform Module#LUKS による保存データの暗号化]]の説明と警告をよく読んでください。<br />
<br />
この例では[[systemd#GPTパーティションの自動マウント]]に従ってパーティションが作成されるため、fstabファイルやcrypttabファイルは必要ありません。<br />
<br />
{{Text art|<nowiki><br />
+-----------------------+---------------------------------+<br />
| EFI system partition | LUKS encrypted root partition |<br />
| | |<br />
| | |<br />
| /boot | / |<br />
| | |<br />
| | /dev/mapper/root |<br />
| |---------------------------------|<br />
| /dev/sda1 | /dev/sda2 |<br />
+-----------------------+---------------------------------+<br />
</nowiki>}}<br />
<br />
はじめに、[[インストールガイド#パーティション]]までセットアップを進めてください。<br />
<br />
=== ディスクの準備 ===<br />
<br />
パーティションを作成する前に[[dm-crypt/ドライブの準備]]で説明されているように、ディスクを安全に消去する重要性について理解しておく必要があります。<br />
<br />
[[パーティショニング#GUID_Partition_Table]] (GPT)で[[EFI システムパーティション]](この例では{{ic|/dev/sda1}})を適切なサイズで作成したあとに、その他の必要なパーティションを作成していきます。<br />
<br />
[[EFI システムパーティション]]は{{ic|/boot}}へマウントします。<br />
<br />
ドライブの残りのスペースに暗号化されたあとで{{ic|/dev/sda2}}にマウントされるルートパーティションを作成します。パーティションタイプのGUIDは{{ic|4F68BCE3-E8CD-4DB1-96E7-FBCAF984B709}} ([[gdisk]]の場合は{{ic|8304}}、[[fdisk]]の場合は"Linux root (x86-64)")に設定します。<br />
<br />
=== ルートパーティションの準備 ===<br />
<br />
次のコマンドでは暗号化されたルートパーティションの作成とマウントを行います。この手順は[[dm-crypt#LUKS モードの暗号化オプション]]の説明と対応しています。<br />
<br />
特定のデフォルトではない暗号化オプション(キーの長さやアルゴリズム)を使用する場合または、TPMベースの復号を使用しない場合は、最初のコマンドを実行する前に[[dm-crypt#LUKS モードの暗号化オプション]]を参照してください。<br />
<br />
LUKSボリュームを作成(空のパスワードを使用してあとから変更することができます)し、{{ic|root}} という名前でオープンします。<br />
<br />
# cryptsetup luksFormat /dev/sda2<br />
# cryptsetup open /dev/sda2 root<br />
<br />
次に、ファイルシステムを作成します:<br />
<br />
# mkfs.ext4 /dev/mapper/root<br />
<br />
{{ic|/mnt}}へマウントします:<br />
<br />
# mount /dev/mapper/root /mnt<br />
<br />
=== EFI システムパーティションの準備 ===<br />
<br />
新しく作成したEFIシステムパーティションを[[EFI システムパーティション#パーティションのフォーマット]]に従ってフォーマットし、{{ic|/mnt/boot}}へマウントします。<br />
<br />
<br />
# mount --mkdir /dev/sda1 /mnt/boot<br />
<br />
[[インストールガイド#initramfs]]までセットアップを続行します。[[インストールガイド#Fstab]]はスキップすることができます。<br />
<br />
=== mkinitcpioを設定する ===<br />
<br />
[[mkinitcpio.conf]]の設定の{{ic|1=HOOKS=}}行を次のように設定します。順番が重要です:<br />
<br />
HOOKS=(base '''systemd''' autodetect microcode modconf kms '''keyboard''' '''sd-vconsole''' block '''sd-encrypt''' filesystems fsck)<br />
<br />
次に[[ユニファイドカーネルイメージ#mkinitcpio]]を参照して、[[ユニファイドカーネルイメージ]]mkinitcpioを設定します。<br />
<br />
この時点では'''まだ'''initramfsを再生成'''しない'''でください。{{ic|/boot/EFI/Linux}}ディレクトリは、先にブートローダインストーラによって作成される必要があります。<br />
<br />
=== ブートローダのインストール ===<br />
<br />
ブートローダを使用せずにシステムを直接起動するように設定することができます。[[ユニファイドカーネルイメージ#UEFI から直接起動]]を参照してください。<br />
<br />
ブートローダが必要な場合は[[systemd-boot]]のインストールを続行します。<br />
<br />
# bootctl install<br />
<br />
mkinitcpioによって生成された[[ユニファイドカーネルイメージ]]は自動的に認識されるため{{ic|/boot/loader/entries}}にエントリは必要ありません。<br />
<br />
詳細な設定については[[systemd-boot#EFI ブートマネージャの更新]]と[[systemd-boot#ローダー設定]]を参照してください。<br />
<br />
=== インストール完了 ===<br />
<br />
[[initramfs#イメージ作成とアクティベーション|initramfsを再生成]]し、イメージの作成が成功したことを確認します。<br />
<br />
[[インストールガイド#Root パスワード|パスワードの設定]]を忘れずに行ったあと再起動してください。<br />
<br />
=== セキュアブート ===<br />
<br />
[[セキュアブート]] を有効にするためにブートローダとEFIバイナリに署名ができるようになりました。手軽な手段については[[Unified_Extensible_Firmware_Interface/セキュアブート#sbctl でより簡単に行う]]を参照してください。<br />
<br />
=== Enrolling the TPM ===<br />
<br />
ブートローダへ署名し、セキュアブートを有効化したあとにTPMを登録してLUKSボリュームのロックを解除できるようにします。次のコマンドは{{ic|luksFormat}}で作成されたからのパスフレーズを削除し、TPM [[Trusted Platform Module#PCR レジスタへのアクセス|PCR 7]] (デフォルトでは{{ic| Secure Boot State}}とファームウェア証明書)にバインドされたキーを作成し、問題が発生した場合に使用する回復キーを作成します。ブートチェーンが改ざんされない限り、TPMは自動的にキーをリリースします。[[systemd-cryptenroll#Trusted Platform Module]]および{{man|1|systemd-cryptenroll}}を参照してください。<br />
<br />
# systemd-cryptenroll /dev/sda2 --recovery-key<br />
# systemd-cryptenroll /dev/sda2 --wipe-slot=empty --tpm2-device=auto<br />
<br />
{{Tip| {{ic|1=--tpm2-with-pin=yes}} を指定してブート時に追加のPINの入力を強制することができます。}}<br />
{{Warning|<br />
* PCR 7へバインドするときは[[セキュアブート]]がSetup ModeからUser Modeになっていることを確認してください。そうでないと、許可されていないブートデバイスが暗号化されたボリュームのロックを解除する可能性があります。<br />
* ファームウェア証明書が変更されるとPCR 7の状態が変わる可能性があり、ユーザがロックアウトされるリスクがあります。これは、[[fwupd]][https://raw.githubusercontent.com/systemd/systemd/ed272a9ff59a26beedaab508dd3c9d631de67165/TODO] によって暗黙的に実行されるか、セキュアブートキーをローテーションすることによって明示的に実行されます。<br />
}}<br />
<br />
== LVM on LUKS ==<br />
<br />
LVM の上に暗号化パーティションをセットアップするのではなく、暗号化パーティションの上に [[LVM]] をセットアップするほうが簡単です。技術的にはひとつの大きな暗号化ブロックデバイスの中に LVM をセットアップすることになります。LVM はブロックデバイスを解錠して、ボリュームをスキャンしてマウントされるまでは透過的ではなくなります。<br />
<br />
ディスクレイアウトの例:<br />
+-----------------------------------------------------------------------+ +----------------+<br />
| Logical volume1 | Logical volume2 | Logical volume3 | | |<br />
|/dev/mapper/MyVol-swap |/dev/mapper/MyVol-root |/dev/mapper/MyVol-home | | Boot partition |<br />
|_ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _| | (may be on |<br />
| | | other device) |<br />
| LUKS encrypted partition | | |<br />
| /dev/sdaX | | /dev/sdbY |<br />
+-----------------------------------------------------------------------+ +----------------+<br />
<br />
{{Warning|この方法では論理ボリュームを複数のディスクに跨がらせることはできません。後で変更することも不可能です。[[#複数のパーティションの encrypt フックを修正]]を見てください。}}<br />
<br />
{{Tip|Two variants of this setup: <br />
* [[Dm-crypt/特記事項#リモート LUKS ヘッダーを使ってシステムを暗号化]]ではこのセットアップと USB デバイスのリモート LUKS ヘッダーを使って二段階認証を実現します。<br />
* Instructions at [http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/ Pavel Kogan's blog] show how to encrypt the {{ic|/boot}} partition while keeping it on the main LUKS partition when using GRUB.}} <br />
<br />
=== ディスクの準備 ===<br />
<br />
パーティションを作成する前に、[[Dm-crypt/ドライブの準備]] で説明されているように、ディスクを完全に消去する必要性・方法を学んでください。<br />
<br />
[[GPT]] で [[GRUB]] ブートローダーを使う時は、[[GRUB#BIOS システム]] で説明されているように BIOS Boot Partition を作成してください。<br />
<br />
{{ic|/boot}} にマウントするパーティションをタイプ {{ic|8300}} で容量 100 MB 以上にして作成します。<br />
<br />
タイプ {{ic|8E00}} のパーティションを作成してください。後で暗号化コンテナを入れます。<br />
<br />
"system" パーティションに LUKS 暗号化コンテナを作成してください。選んだパスワードを二回入力します。<br />
<br />
# cryptsetup luksFormat /dev/''sdaX''<br />
<br />
cryptsetup のオプションについては [[Dm-crypt/デバイスの暗号化#LUKS モードの暗号化オプション|LUKS 暗号化のオプション]]を見て下さい。<br />
<br />
コンテナを開いてください:<br />
<br />
# cryptsetup open /dev/''sdaX'' cryptolvm<br />
<br />
復号化されたコンテナが {{ic|/dev/mapper/cryptolvm}} から利用できるようになります。<br />
<br />
=== 論理ボリュームの準備 ===<br />
開いた LUKS コンテナの上に物理ボリュームを作成:<br />
<br />
# pvcreate /dev/mapper/cryptolvm<br />
<br />
{{ic|MyVol}} という名前のボリュームグループを作成して、先に作成した物理ボリュームを追加:<br />
<br />
# vgcreate MyVol /dev/mapper/cryptolvm<br />
<br />
ボリュームグループに論理ボリュームを作成:<br />
<br />
# lvcreate -L 8G MyVol -n swap<br />
# lvcreate -L 15G MyVol -n root<br />
# lvcreate -l 100%FREE MyVol -n home<br />
<br />
論理ボリュームのファイルシステムをフォーマット:<br />
<br />
# mkfs.ext4 /dev/mapper/MyVol-root<br />
# mkfs.ext4 /dev/mapper/MyVol-home<br />
# mkswap /dev/mapper/MyVol-swap<br />
<br />
ファイルシステムをマウント:<br />
<br />
# mount /dev/mapper/MyVol-root /mnt<br />
# mkdir /mnt/home<br />
# mount /dev/mapper/MyVol-home /mnt/home<br />
# swapon /dev/mapper/MyVol-swap<br />
<br />
=== boot パーティションの準備 ===<br />
ブートローダーは {{ic|/boot}} ディレクトリから、カーネルや [[initramfs]]、あるいはブートローダーの設定ファイルをロードします。このディレクトリは暗号化されていない別のファイルシステム上に配置する必要があります。<br />
<br />
{{ic|/boot}} にするパーティションに Ext2 ファイルシステムを作成します。ブートローダーが読み込めるファイルシステムなら何でもかまいません。<br />
<br />
# mkfs.ext2 /dev/''sdbY''<br />
<br />
{{ic|/mnt/boot}} ディレクトリを作成:<br />
<br />
# mkdir /mnt/boot<br />
<br />
パーティションを {{ic|/mnt/boot}} にマウント:<br />
<br />
# mount /dev/''sdbY'' /mnt/boot<br />
<br />
インストールの手順を mkinitcpio の設定まで進めてください。<br />
<br />
=== mkinitcpio の設定 ===<br />
{{ic|keyboard}}, {{ic|encrypt}}, {{ic|lvm2}} フックを [[mkinitcpio|mkinitcpio.conf]] 内の {{ic|filesystems}} の前に追加します:<br />
{{hc|/etc/mkinitcpio.conf|2=HOOKS=(... '''keyboard''' '''keymap''' block '''encrypt''' '''lvm2''' ... filesystems ...)}}<br />
<br />
{{Note|{{ic|lvm2}} の最新実装ではフックの順番は特に意味を持ちません。}}<br />
<br />
他に必要なフックについては [[dm-crypt/システム設定#mkinitcpio]] を見て下さい。<br />
<br />
設定後はイメージを再生成してください:<br />
<br />
# mkinitcpio -p linux<br />
<br />
=== ブートローダーの設定 ===<br />
起動時に暗号化された root パーティションの暗号化が解除されるように、以下のカーネルパラメータをブートローダーで設定します ({{ic|''<device-UUID>''}} は {{ic|/dev/sdaX}} の UUID に置き換えてください。詳しくは[[永続的なブロックデバイスの命名]]を参照):<br />
<br />
cryptdevice=UUID=''device-UUID'':cryptolvm root=/dev/mapper/MyVol-root<br />
<br />
詳しくは [[Dm-crypt/システム設定#ブートローダー]] を見て下さい。<br />
<br />
== LUKS on LVM ==<br />
<br />
[[LVM]] 上で暗号化を利用するには、まず LVM ボリュームをセットアップして、それから暗号化パーティションのベースとして使うことになります。この方法では、暗号化パーティションと非暗号化パーティションのミックスが可能です。<br />
<br />
{{Tip|[[#LVM on LUKS]] とは違って、複数のディスクにまたがる論理ボリュームを通常通り使うことができます。}}<br />
<br />
以下の短い例では LUKS on LVM 構成を作成して、/home パーティションでキーファイルを使用して {{ic|/tmp}} と {{ic|/swap}} の一時的な暗号化ボリュームを混ぜ合わせます。機密データを含む一時データが再起動しても残ってしまう可能性がないため、セキュリティ的に優れています。論理ボリュームを複数のディスクにまたがるようにしたい場合、手順は [[Dm-crypt/特記事項#LVM を複数のディスクに拡張]]で説明しています。<br />
<br />
=== ディスクの準備 ===<br />
<br />
パーティションスキーム:<br />
+----------------+-----------------------------------------------------------------------+<br />
| | LUKS encrypted volume | LUKS encrypted volume | LUKS encrypted volume |<br />
| | /dev/mapper/swap | /dev/mapper/root | /dev/mapper/home |<br />
| |_ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _|<br />
| | Logical volume1 | Logical volume2 | Logical volume3 |<br />
| |/dev/mapper/MyVol-swap |/dev/mapper/MyVol-root |/dev/mapper/MyVol-home |<br />
| |_ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _|_ _ _ _ _ _ _ _ _ _ _ _|<br />
| Boot partition | |<br />
| /dev/sda1 | /dev/sda2 |<br />
+----------------+-----------------------------------------------------------------------+<br />
<br />
[[Dm-crypt/ドライブの準備#dm-crypt で空のディスクまたはパーティションを消去]]を見て {{ic|/dev/sda2}} をランダム化してください。<br />
<br />
=== 論理ボリュームの準備 ===<br />
<br />
# pvcreate /dev/sda2<br />
# vgcreate MyVol /dev/sda2<br />
# lvcreate -L 10G -n lvroot MyVol<br />
# lvcreate -L 500M -n swap MyVol<br />
# lvcreate -L 500M -n tmp MyVol<br />
# lvcreate -l 100%FREE -n home MyVol<br />
<br />
# cryptsetup luksFormat -c aes-xts-plain64 -s 512 /dev/mapper/MyVol-lvroot<br />
# cryptsetup open /dev/mapper/MyVol-lvroot root<br />
# mkfs.ext4 /dev/mapper/root<br />
# mount /dev/mapper/root /mnt<br />
<br />
この例では {{ic|/home}} は[[#論理ボリューム /home の暗号化|後で]]暗号化します。Arch-ISO から暗号化したルートにアクセスする必要がある場合、上記の {{ic|open}} アクションで [[LVM#論理ボリュームが表示されない|LVM を表示]]した後にアクセスできます。<br />
<br />
=== boot パーティションの準備 ===<br />
# dd if=/dev/zero of=/dev/sda1 bs=1M status=progress<br />
# mkfs.ext4 /dev/sda1<br />
# mkdir /mnt/boot<br />
# mount /dev/sda1 /mnt/boot<br />
<br />
暗号化した LVM のパーティションを設定したら、インストールを行ってください: [[インストールガイド#パーティションのマウント|Arch Install Scripts]]。<br />
<br />
=== mkinitcpio の設定 ===<br />
<br />
{{ic|encrypt}} と {{ic|lvm2}} フックを [[mkinitcpio|mkinitcpio.conf]] 内の {{ic|filesystems}} の前に追加します:<br />
{{hc|/etc/mkinitcpio.conf|2=HOOKS=(... '''keyboard''' '''keymap''' block '''lvm2''' '''encrypt''' ... filesystems ...)}}<br />
<br />
他に必要なフックについては [[dm-crypt/システム設定#mkinitcpio]] を見て下さい。<br />
<br />
設定ファイルを変更した後は次のコマンドを root 権限で実行してください:<br />
<br />
# mkinitcpio -p linux<br />
<br />
=== ブートローダーの設定 ===<br />
<br />
上の例の場合、ブートローダーの設定で root デバイスのカーネルオプションを以下のように変更します:<br />
cryptdevice=/dev/mapper/MyVol-lvroot:root root=/dev/mapper/root<br />
詳しくは [[Dm-crypt/システム設定#ブートローダー]] を見て下さい。<br />
<br />
=== fstab と crypttab の設定 ===<br />
{{hc|/etc/fstab|<br />
/dev/mapper/root / ext4 defaults 0 1<br />
/dev/sda1 /boot ext4 defaults 0 2<br />
/dev/mapper/tmp /tmp tmpfs defaults 0 0<br />
/dev/mapper/swap none swap sw 0 0}}<br />
以下の [[Dm-crypt/システム設定#crypttab|crypttab]] オプションは再起動するたびに一時ファイルシステムを暗号化します:<br />
{{hc|/etc/crypttab|<br />
swap /dev/mapper/MyVol-swap /dev/urandom swap,cipher<nowiki>=aes-xts-plain64,size=</nowiki>256<br />
tmp /dev/mapper/MyVol-tmp /dev/urandom tmp,cipher<nowiki>=aes-xts-plain64,size=</nowiki>256<br />
}}<br />
<br />
=== 論理ボリューム /home の暗号化 ===<br />
Since this scenario uses LVM as the primary and dm-crypt as secondary mapper, each encrypted logical volume requires its own encryption. Yet, unlike the temporary filesystems configured with volatile encryption above, the logical volume for {{ic|/home}} should be persistent, of course. The following assumes you have rebooted into the installed system, otherwise you have to adjust paths.<br />
To safe on entering a second passphrase at boot for it, a [[Dm-crypt/デバイスの暗号化#キーファイル|keyfile]] is created: <br />
# mkdir -m 700 /etc/luks-keys<br />
# dd if=/dev/random of=/etc/luks-keys/home bs=1 count=256 status=progress<br />
<br />
論理ボリュームは以下のように暗号化します:<br />
# cryptsetup luksFormat -v -s 512 /dev/mapper/MyVol-home /etc/luks-keys/home<br />
# cryptsetup -d /etc/luks-keys/home open /dev/mapper/MyVol-home home<br />
# mkfs.ext4 /dev/mapper/home<br />
# mount /dev/mapper/home /home<br />
暗号化されたマウントは [[Dm-crypt/システム設定#crypttab|crypttab]] で設定します:<br />
{{hc|/etc/crypttab|<br />
home /dev/mapper/MyVol-home /etc/luks-keys/home}}<br />
{{hc|/etc/fstab|<br />
/dev/mapper/home /home ext4 defaults 0 2}}<br />
これでセットアップは完了です。<br />
<br />
If you want to expand the logical volume for {{ic|/home}} (or any other volume) at a later point, it is important to note that the LUKS encrypted part has to be resized as well. For a procedure see [[Dm-crypt/特記事項#LVM を複数のディスクに拡張]].<br />
<br />
== ソフトウェア RAID と LUKS ==<br />
<br />
以下の例では同じ容量の SSD を2台とストレージ用の HDD を搭載したワークステーション向けノートパソコンの設定を元にしています。最終的には LUKS ベースの ({{ic|/boot}} を含む) 完全ディスク暗号化を実現し、SSD は [[RAID|RAID0]] アレイにして、起動時に [[GRUB]] にパスフレーズを指定した後にキーファイルで暗号化を解除します。SSD の [[TRIM]] のサポートは有効にしますが、[[Dm-crypt/特記事項#ソリッドステートドライブ (SSD) の Discard/TRIM のサポート]]も読むと良いでしょう。<br />
<br />
非常にシンプルなパーティションスキームを使用し、RAID ストレージは全て {{ic|/}} にマウントして ({{ic|/boot}} パーティションは分割しません)、HDD は {{ic|/mnt/data}} にマウントします。システムは BIOS モードで起動し [[パーティショニング|GPT]] でパーティショニングします。<br />
<br />
定期的に[[バックアップ]]を取ることが非常に重要です。SSD のどちらかが故障すると、RAID アレイに保存されていたデータは復元できなくなります。耐障害性が大事なのであれば [[RAID#通常の RAID レベル|RAID レベル]]を慎重に選択してください。<br />
<br />
The encryption is not deniable in this setup.<br />
<br />
For the sake of the instructions below, the following block devices are used:<br />
/dev/sda = first SSD<br />
/dev/sdb = second SSD<br />
/dev/sdc = HDD<br />
Be sure to substitue them with the appropriate device designations for your setup, as they may be different.<br />
<br />
=== ディスクの準備 ===<br />
<br />
パーティションを作成する前に、[[Dm-crypt/ドライブの準備]]に書かれているようにディスクの完全消去について考慮してください。<br />
<br />
[[GRUB]] ブートローダーを [[GPT]] で使用する場合、[[GRUB#BIOS システム]]に書かれているように BIOS Boot Partition を作成する必要があります。例として {{ic|/dev/sda1}} に "BIOS boot" の 1M パーティションを作成して、残りの空き容量は全て "Linux RAID" として {{ic|/dev/sda2}} にパーティションします。<br />
<br />
{{ic|/dev/sda}} にパーティションを作成したら以下のコマンドを使って {{ic|/dev/sdb}} に複製:<br />
# sfdisk -d /dev/sda > sda.dump<br />
# sfdisk /dev/sdb < sda.dump<br />
<br />
The HDD is prepared with a single Linux partition covering the whole drive at {{ic|/dev/sdc1}}.<br />
<br />
=== RAID アレイの構築 ===<br />
<br />
Create the RAID array for the SSDs. This example utilizes RAID0, you may wish to substitute a different level based on your preferences or requirements. <br />
# mdadm --create --verbose --level=0 --metadata=1.2 --raid-devices=2 /dev/md0 /dev/sda2 /dev/sdb2<br />
<br />
=== ブロックデバイスの準備 ===<br />
<br />
[[Dm-crypt/ドライブの準備]]に書かれているように {{ic|/dev/zero}} を使ってデバイスを消去してからランダムなキーでデバイスを暗号化してください。もしくは {{ic|dd}} で {{ic|/dev/random}} や {{ic|/dev/urandom}} を使うこともできます:<br />
# cryptsetup open --type plain /dev/md0 container --key-file /dev/random<br />
# dd if=/dev/zero of=/dev/mapper/container bs=1M status=progress<br />
# cryptsetup close container<br />
<br />
And repeat above for the HDD ({{ic|/dev/sdc1}} in this example).<br />
<br />
Set up encryption for {{ic|/dev/md0}}:<br />
# cryptsetup -y -v luksFormat -c aes-xts-plain64 -s 512 /dev/md0<br />
# cryptsetup open /dev/md0 cryptroot<br />
# mkfs.ext4 /dev/mapper/cryptroot<br />
# mount /dev/mapper/cryptroot /mnt<br />
<br />
And repeat for the HDD:<br />
# cryptsetup -y -v luksFormat -c aes-xts-plain64 -s 512 /dev/sdc1<br />
# cryptsetup open /dev/sdc1 cryptdata<br />
# mkfs.ext4 /dev/mapper/cryptdata<br />
# mkdir -p /mnt/mnt/data<br />
# mount /dev/mapper/cryptdata /mnt/mnt/data<br />
<br />
=== ブートローダーの設定 ===<br />
<br />
Configure [[GRUB]] for the encrypted system by editing {{ic|/etc/default/grub}} with the following. Note that the {{ic|:allow-discards}} option enables TRIM support on the SSDs, if you do not wish to use it you should omit this.<br />
GRUB_CMDLINE_LINUX="cryptdevice=/dev/md0:cryptroot:allow-discards root=/dev/mapper/cryptroot"<br />
GRUB_ENABLE_CRYPTODISK=y<br />
<br />
詳しくは [[Dm-crypt/システム設定#ブートローダー]]や [[GRUB#暗号化された /boot]]を見てください。<br />
<br />
Complete the GRUB install to both SSDs (in reality, installing only to {{ic|/dev/sda}} will work).<br />
# grub-install --target=i386-pc /dev/sda<br />
# grub-install --target=i386-pc /dev/sdb<br />
# grub-mkconfig -o /boot/grub/grub.cfg<br />
<br />
=== キーファイルの作成 ===<br />
<br />
システムの起動時にパスフレーズを二回入力する手間を省く設定です。[[dm-crypt/デバイスの暗号化#キーファイル|キーファイル]]を作成して initramfs イメージに追加することで encrypt フックでルートデバイスを解除できるようにします。詳しくは [[dm-crypt/デバイスの暗号化#キーファイルを initramfs に埋め込む]] を参照。<br />
<br />
* [[dm-crypt/デバイスの暗号化#キーファイル|キーファイル]]を作成して {{ic|/dev/md0}} にキーを追加。<br />
* HDD ({{ic|/dev/sdc1}}) のキーファイルを作成することで起動時に解錠が可能です。上記で作成したパスフレーズは残すことで後で必要になったときに復旧が簡単です。{{ic|/etc/crypttab}} を編集して起動時に HDD を復号化してください。詳しくは [[dm-crypt/デバイスの暗号化#起動時にロックを解除]]を参照。<br />
<br />
=== システムの設定 ===<br />
<br />
[[fstab|/etc/fstab]] を編集して cryptroot と cryptdata ブロックデバイスをマウントしてください。TRIM のサポートを有効にしなかった場合、{{ic|discard}} マウントオプションは削除してください:<br />
<br />
/dev/mapper/cryptroot / ext4 rw,noatime,discard 0 1 <br />
/dev/mapper/cryptdata /mnt/data ext4 defaults 0 2 <br />
<br />
RAID の設定を保存:<br />
<br />
# mdadm --detail --scan > /etc/mdadm.conf <br />
<br />
[[mkinitcpio.conf]] を編集してキーファイルを適切なフックを追加してください:<br />
<br />
FILES=(/crypto_keyfile.bin)<br />
HOOKS=( ... '''keyboard''' '''keymap''' block '''mdadm_udev''' '''encrypt''' filesystems ... )<br />
<br />
詳しくは [[dm-crypt/システム設定#mkinitcpio]] を参照。<br />
<br />
== Plain dm-crypt ==<br />
<br />
Contrary to LUKS, dm-crypt ''plain'' mode does not require a header on the encrypted device: this scenario exploits this feature to set up a system on an unpartitioned, encrypted disk that will be indistinguishable from a disk filled with random data, which could allow [[Wikipedia:Deniable encryption|deniable encryption]]. See also [[wikipedia:Disk encryption#Full disk encryption]].<br />
<br />
Note that if full-disk encryption is not required, the methods using LUKS described in the sections above are better options for both system encryption and encrypted partitions. LUKS features like key management with multiple passphrases/key-files or re-encrypting a device in-place are unavailable with ''plain'' mode.<br />
<br />
''Plain'' dm-crypt encryption can be more resilient to damage than LUKS encrypted disks, because it does not rely on an encryption master-key which can be a single-point of failure if damaged. However, using ''plain'' mode also requires more manual configuration of encryption options to achieve the same cryptographic strength. See also [[ディスク暗号化#暗号メタデータ]]. Using ''plain'' mode could also be considered if concerned with the problems explained in [[Dm-crypt/特記事項#ソリッドステートドライブ (SSD) の Discard/TRIM のサポート]].<br />
<br />
{{Tip|If headerless encryption is your goal but you are unsure about the lack of key-derivation with ''plain'' mode, then two alternatives are:<br />
* dm-crypt LUKS mode by using the ''cryptsetup'' {{ic|--header}} option. It cannot be used with the standard ''encrypt'' hook, but the hook [[Dm-crypt/特記事項#リモート LUKS ヘッダーを使ってシステムを暗号化|may be modified]].<br />
* [[tcplay]] which offers headerless encryption but with the PBKDF2 function.}}<br />
<br />
このシナリオでは2つの USB スティックを使います:<br />
* one for the boot device, which also allows storing the options required to open/unlock the plain encrypted device in the boot loader configuration, since typing them on each boot would be error prone;<br />
* another for the encryption key file, assuming it stored as raw bits so that to the eyes of an unaware attacker who might get the usbkey the encryption key will appear as random data instead of being visible as a normal file. See also [[Wikipedia:Security through obscurity]], follow [[Dm-crypt/デバイスの暗号化#キーファイル]] to prepare the keyfile.<br />
<br />
|--------------------+------------------+--------------------+ +---------------+ +---------------+<br />
|Volume 1: |Volume 2: |Volume 3: | |Boot device | |Encryption key |<br />
| | | | | | |file storage |<br />
|root |swap |home | |/boot | |(unpartitioned |<br />
| | | | | | |in example) |<br />
|/dev/store/root |/dev/store/swap |/dev/store/home | |/dev/sdY1 | |/dev/sdZ |<br />
|--------------------+------------------+--------------------| |---------------| |---------------|<br />
|disk drive /dev/sdaX encrypted using plain mode and LVM | |USB stick 1 | |USB stick 2 |<br />
+------------------------------------------------------------+ +---------------+ +---------------+<br />
<br />
{{Tip|<br />
* It is also possible to use a single usb key by copying the keyfile to the initram directly. An example keyfile {{ic|/etc/keyfile}} gets copied to the initram image by setting {{ic|1=FILES=(/etc/keyfile)}} in {{ic|/etc/mkinitcpio.conf}}. The way to instruct the {{ic|encrypt}} hook to read the keyfile in the initram image is using {{ic|rootfs:}} prefix before the filename, e.g. {{ic|cryptkey&#61;rootfs:/etc/keyfile}}.<br />
* [[ディスク暗号化#強固なパスフレーズの選択|エントロピー]]が十分なパスフレーズを使用するという選択肢も存在します。<br />
}}<br />
<br />
=== ディスクの準備 ===<br />
<br />
It is vital that the mapped device is filled with data. In particular this applies to the scenario usecase we apply here. <br />
<br />
[[Dm-crypt/ドライブの準備]] や [[Dm-crypt/ドライブの準備#dm-crypt 固有の方法]] を見て下さい。<br />
<br />
=== boot 以外のパーティションの準備 ===<br />
<br />
詳しくは [[Dm-crypt/デバイスの暗号化#plain モードの暗号化オプション]] を参照。<br />
<br />
Using the device {{ic|/dev/sd''X''}}, with the twofish-xts cipher with a 512 bit key size and using a keyfile we have the following options for this scenario:<br />
{{bc|<nowiki># cryptsetup --hash=sha512 --cipher=twofish-xts-plain64 --offset=0 --key-file=</nowiki>/dev/sd''Z'' <nowiki>--key-size=512 open --type=plain /dev/sdX enc</nowiki>}}<br />
Unlike encrypting with LUKS, the above command must be executed ''in full'' whenever the mapping needs to be re-established, so it is important to remember the cipher, hash and key file details. <br />
<br />
We can now check a mapping entry has been made for {{ic|/dev/mapper/enc}}:<br />
# fdisk -l<br />
<br />
Next, we setup [[LVM]] logical volumes on the mapped device, see [[LVM#Arch Linux を LVM にインストールする]] for further details: <br />
# pvcreate /dev/mapper/enc<br />
# vgcreate store /dev/mapper/enc<br />
# lvcreate -L 20G store -n root<br />
# lvcreate -L 10G store -n swap<br />
# lvcreate -l +100%FREE store -n home<br />
論理ボリュームをフォーマットしてマウントします。詳しくは[[ファイルシステム#デバイスのフォーマット]]を見て下さい <br />
# mkfs.ext4 /dev/store/root<br />
# mkfs.ext4 /dev/store/home<br />
# mount /dev/store/root /mnt<br />
# mkdir /mnt/home<br />
# mount /dev/store/home /mnt/home<br />
# mkswap /dev/store/swap<br />
# swapon /dev/store/swap<br />
<br />
=== boot パーティションの準備 ===<br />
必要であれば、USB スティックの vfat パーティションに {{ic|/boot}} パーティションをインストールできます。ただし、手動のパーティションが必要な場合、小さな 200MB のパーティションで十分です。お好きな [[パーティショニング#パーティショニングツール|パーティションツール]]を使ってパーティションを作成してください。<br />
<br />
vfat でフォーマットされていない場合、{{ic|/boot}} パーティションのフラッシュメモリを保護するため非ジャーナリングファイルシステムを選択します:<br />
# mkfs.ext2 /dev/sd''Y''1<br />
# mkdir /mnt/boot<br />
# mount /dev/sd''Y''1 /mnt/boot<br />
<br />
=== mkinitcpio の設定 ===<br />
<br />
{{ic|keyboard}}, {{ic|encrypt}}, {{ic|lvm2}} フックを [[mkinitcpio|mkinitcpio.conf]] 内の {{ic|filesystems}} の前に追加します:<br />
{{hc|etc/mkinitcpio.conf|2=HOOKS=(... '''keyboard''' '''keymap''' block '''encrypt''' '''lvm2''' ... filesystems ...)}}<br />
<br />
他に必要なフックについては [[dm-crypt/システム設定#mkinitcpio]] を見て下さい。<br />
<br />
設定後はイメージを再生成してください:<br />
<br />
# mkinitcpio -p linux<br />
<br />
=== ブートローダーの設定 ===<br />
<br />
暗号化した root パーティションを起動するには、以下のカーネルパラメータをブートローダーで設定する必要があります:<br />
<br />
cryptdevice=/dev/sd''X'':enc cryptkey=/dev/sd''Z'':0:512 crypto=sha512:twofish-xts-plain64:512:0:<br />
<br />
{{Note|encrypt の代わりに sd-encrypt を使用する場合、cryptdevice の代わりに {{ic|''luks.uuid''}} を使ってください。詳しくは ''systemd-cryptsetup-generator(8)'' を参照。}}<br />
<br />
他に必要なパラメータについては [[Dm-crypt/システム設定#ブートローダー]] を見て下さい。<br />
<br />
{{Tip|GRUB を使用する場合、次のコマンドを使うことで {{ic|/boot}} パーティションと同じ USB にインストールすることができます:<br />
# grub-install --recheck /dev/sd''Y''<br />
}}<br />
<br />
===インストール後===<br />
<br />
起動後に USB スティックは取り除けます。{{ic|/boot}} パーティションは通常は必要ないため、{{ic|noauto}} オプションを {{ic|/etc/fstab}} に追加できます:<br />
<br />
{{hc|/etc/fstab|<br />
# /dev/sd''Yn''<br />
/dev/sd''Yn'' /boot ext2 '''noauto''',rw,noatime 0 2}}<br />
<br />
ただしカーネルやブートローダーのアップグレードが必要なときは、{{ic|/boot}} パーティションがマウントされていなければなりません。{{ic|fstab}} に既にエントリが存在すれば、次のコマンドでマウントできます:<br />
<br />
# mount /boot<br />
<br />
== boot パーティションの暗号化 (GRUB) ==<br />
<br />
このセットアップでは [[#LVM on LUKS]] セクションと同じパーティションレイアウト・設定でシステムのルートパーティションを設定しますが、違いが2つあります:<br />
<br />
# セットアップは [[UEFI]] 環境で行います。<br />
# [[GRUB]] ブートローダーの特殊機能を使用してブートパーティション {{ic|/boot}} も暗号化します。[[GRUB#暗号化された /boot]]を見てください。<br />
<br />
ディスクレイアウトは以下のようになります:<br />
<br />
+---------------+----------------+----------------+----------------+----------------+<br />
|ESP partition: |Boot partition: |Volume 1: |Volume 2: |Volume 3: |<br />
| | | | | |<br />
|/boot/efi |/boot |root |swap |home |<br />
| | | | | |<br />
| | |/dev/store/root |/dev/store/swap |/dev/store/home |<br />
|/dev/sdaX |/dev/sdaY +----------------+----------------+----------------+<br />
|'''un'''encrypted |LUKS encrypted |/dev/sdaZ encrypted using LVM on LUKS |<br />
+---------------+----------------+--------------------------------------------------+<br />
<br />
{{Tip|All scenarios are intended as examples. It is, of course, possible to apply both of the two above distinct installation steps with the other scenarios as well. See also the variants linked in [[#LVM on LUKS]].}}<br />
{{Note|{{AUR|cryptboot}} パッケージの {{ic|cryptboot}} スクリプトを使うことで暗号化された boot の管理 (マウント・アンマウント・パッケージのアップグレード) を簡単にできます。また、[[セキュアブート#自分で署名した鍵を使う|UEFI Secure Boot]] を使用して [https://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html 悪意あるメイド] 攻撃から身を守ることができます。詳しくは [https://github.com/xmikos/cryptboot cryptboot のプロジェクトページ] を参照。}}<br />
<br />
=== ディスクの準備 ===<br />
<br />
パーティションを作成する前に、[[Dm-crypt/ドライブの準備]]に書かれているように、ディスクを完全に消去するようにしてください。<br />
<br />
[[Unified_Extensible_Firmware_Interface#EFI_System_Partition|EFI System Partition (ESP)]] を適当な容量で作成してください。後で {{ic|/boot/efi}} にマウントします。<br />
<br />
{{ic|/boot}} にマウントするパーティションをタイプ {{ic|8300}} の容量 100 MB 以上で作成します。<br />
<br />
{{Tip|BIOS/[[GPT]] で [[GRUB]] ブートローダーを使用する場合は、[[GRUB#BIOS システム]]に書かれているように ESP の代わりに BIOS Boot Partition を作成してください。}}<br />
<br />
タイプ {{ic|8E00}} のパーティションを作成してください。後で暗号化コンテナを入れます。<br />
<br />
"system" パーティションに LUKS 暗号化コンテナを作成してください。<br />
<br />
# cryptsetup luksFormat /dev/''sdaZ''<br />
<br />
上記のコマンドの cryptsetup で使えるオプションについては [[Dm-crypt/デバイスの暗号化#LUKS モードの暗号化オプション|LUKS 暗号化オプション]]を参照してください。<br />
<br />
パーティションレイアウトは以下のようになります:<br />
{{hc|# gdisk /dev/sda |<br />
Number Start (sector) End (sector) Size Code Name<br />
1 2048 1050623 512.0 MiB EF00 EFI System<br />
2 1050624 1460223 200.0 MiB 8300 Linux filesystem<br />
3 1460224 41943006 19.3 GiB 8E00 Linux LVM<br />
}}<br />
<br />
コンテナを開く:<br />
<br />
# cryptsetup open --type luks /dev/''sdaZ'' lvm<br />
<br />
復号化されたコンテナは {{ic|/dev/mapper/lvm}} から利用できます。<br />
<br />
=== 論理ボリュームの準備 ===<br />
<br />
The LVM logical volumes of this example follow the exact layout as the previous scenario. Therefore, please follow [[#論理ボリュームの準備|Preparing the logical volumes]] above or adjust as required.<br />
<br />
=== boot パーティションの準備 ===<br />
<br />
ブートローダーは {{ic|/boot}} ディレクトリからカーネルや [[initramfs]]、あるいはブートローダーの設定ファイルをロードします。<br />
<br />
まず、ファイルを配置・インストールするための LUKS コンテナを作成:<br />
<br />
# cryptsetup luksFormat /dev/sda''Y''<br />
<br />
次に、コンテナをオープン:<br />
# cryptsetup open /dev/sda''Y'' cryptboot <br />
<br />
{{ic|/boot}} にするパーティションにファイルシステムを作成。ブートローダーから読み込めるならどんなファイルシステムでもかまいません:<br />
<br />
# mkfs.ext2 /dev/mapper/''cryptboot''<br />
<br />
{{ic|/mnt/boot}} ディレクトリを作成:<br />
<br />
# mkdir /mnt/boot<br />
<br />
パーティションを {{ic|/mnt/boot}} にマウント:<br />
<br />
# mount /dev/mapper/''cryptboot'' /mnt/boot<br />
<br />
{{ic|grub-install}} から利用できるように [[Unified_Extensible_Firmware_Interface#EFI_System_Partition|ESP]] のマウントポイントを {{ic|/boot/efi}} に作成してマウント:<br />
<br />
# mkdir /mnt/boot/efi<br />
# mount /dev/''sdaX'' /mnt/boot/efi<br />
<br />
この時点で、{{ic|/mnt}} の中に以下のパーティションと論理ボリュームが作成されているはずです:<br />
{{hc|$ lsblk|<br />
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT<br />
sda 8:0 0 200G 0 disk <br />
├─sda1 8:1 0 512M 0 part /boot/efi<br />
├─sda2 8:2 0 200M 0 part <br />
│ └─boot 254:0 0 198M 0 crypt /boot<br />
└─sda3 8:3 0 100G 0 part <br />
└─lvm 254:1 0 100G 0 crypt <br />
├─MyStorage-swapvol 254:2 0 8G 0 lvm [SWAP]<br />
├─MyStorage-rootvol 254:3 0 15G 0 lvm /<br />
└─MyStorage-homevol 254:4 0 77G 0 lvm /home<br />
}}<br />
<br />
インストールの手順を mkinitcpio の設定まで進めてください。<br />
<br />
=== mkinitcpio の設定 ===<br />
<br />
[[mkinitcpio|mkinitcpio.conf]] に {{ic|keyboard}}, {{ic|encrypt}}, {{ic|lvm2}} フックを追加:<br />
{{hc|/etc/mkinitcpio.conf|2=HOOKS=(... '''keyboard''' '''keymap''' block '''encrypt''' '''lvm2''' ... filesystems ...)}}<br />
<br />
詳細や必要な他のフックについては [[dm-crypt/システム設定#mkinitcpio]] を参照。<br />
<br />
<br />
設定後はイメージを再生成してください:<br />
<br />
# mkinitcpio -p linux<br />
<br />
=== ブートローダーの設定 ===<br />
<br />
起動時に LUKS で暗号化された {{ic|/boot}} パーティションを認識して暗号化された root パーティションの暗号化が解除されるように GRUB を設定:<br />
<br />
{{hc|/etc/default/grub|2=<br />
GRUB_CMDLINE_LINUX="... cryptdevice=UUID=''<device-UUID>'':lvm ..."<br />
GRUB_ENABLE_CRYPTODISK=y<br />
}}<br />
<br />
詳しくは [[Dm-crypt/システム設定#ブートローダー]]や [[GRUB#暗号化された /boot]]を参照。{{ic|''<device-UUID>''}} は {{ic|/dev/sdaZ}} (ルートファイルシステムが存在する LVM が含まれているパーティション) の UUID に置き換えてください。詳しくは[[永続的なブロックデバイスの命名]]を参照。<br />
<br />
GRUB の[[GRUB#メイン設定ファイルの生成|設定ファイル]]を作成して、マウントされている ESP に [[GRUB#インストール|GRUB をインストール]]:<br />
<br />
# grub-mkconfig -o /boot/grub/grub.cfg<br />
# grub-install --target=x86_64-efi --efi-directory=/boot/efi --bootloader-id=grub --recheck<br />
<br />
設定に問題がなければ、次の起動時に GRUB は {{ic|/boot}} パーティションのロックを解除するためのパスフレーズを要求するはずです。<br />
<br />
=== fstab と crypttab の設定 ===<br />
<br />
This section deals with extra configuration to let the system '''mount''' the encrypted {{ic|/boot}}. <br />
<br />
While GRUB asks for a passphrase to unlock the encrypted {{ic|/boot}} after above instructions, the partition unlock is not passed on to the initramfs. Hence, {{ic|/boot}} will not be available after the system has re-/booted, because the {{ic|encrypt}} hook only unlocks the system's root. <br />
<br />
インストール時に ''genfstab'' スクリプトを使用した場合、{{ic|/boot}} と {{ic|/boot/efi}} マウントポイントのエントリが含まれた {{ic|/etc/fstab}} が作成されています。しかしながらシステムはブートパーティションに生成されたデバイスマッパーを見つけることができません。デバイスマッパーを使えるようにするために、以下を [[Dm-crypt/システム設定#crypttab|crypttab]] に追加してください。例: <br />
<br />
{{hc|/etc/crypttab|<br />
cryptboot /dev/sdaY none luks}}<br />
<br />
上記を設定するとパスフレーズが二回要求されるようになります (GRUB と systemd ユニットでそれぞれ一回ずつ入力しなくてはなりません)。{{ic|/boot}} のロックを解除するエントリを重複させたくない場合、[[Dm-crypt/デバイスの暗号化#キーファイル]]の指示に従ってください: <br />
<br />
# [[Dm-crypt/デバイスの暗号化#ファイルシステムにキーファイルを保存|ランダムなテキストのキーファイル]]を作成<br />
# キーファイルを ({{ic|/dev/sdaY}}) [[Dm-crypt/デバイスの暗号化#キーファイルを使用するように LUKS を設定|ブートパーティションの LUKS ヘッダ]]に追加<br />
# {{ic|/etc/fstab}} のエントリを確認して[[Dm-crypt/デバイスの暗号化#起動時にロックを解除|起動時に自動的にロックが解除]]されるように {{ic|/etc/crypttab}} 行を追加<br />
<br />
何らかの理由でキーファイルを使って boot パーティションのロックを解除できなかった場合、systemd はフォールバックして解除するためのパスフレーズを要求します。パスフレーズが正しければ、起動に進みます。<br />
<br />
{{Tip|Optional post-installation steps: <br />
* It may be worth considering to add the GRUB bootloader to the ignore list of {{ic|/etc/pacman.conf}} in order to take particular control of when the bootloader (which includes its own encryption modules) is updated. <br />
* If you want to encrypt the {{ic|/boot}} partition to protect against offline tampering threats, the [[Dm-crypt/特記事項#mkinitcpio-chkcryptoboot|mkinitcpio-chkcryptoboot]] hook has been contributed to help.}}<br />
<br />
== Btrfs サブボリュームとスワップ ==<br />
<br />
以下の例では [[Btrfs]] のサブボリュームを使って LUKS によるフルシステム暗号化を作成します。<br />
<br />
UEFI を使っている場合、[[EFI システムパーティション]] (ESP) が必要です。{{ic|/boot}} は {{ic|/}} の中に保存して暗号化することができますが、ESP を暗号化することは不可能です。ここでは例として、ESP は {{ic|/dev/sda''Y''}} で {{ic|/boot/efi}} にマウントするとします。{{ic|/boot}} はシステムパーティション ({{ic|/dev/sda''X''}}) に保存します。<br />
<br />
{{ic|/boot}} を暗号化された {{ic|/}} の中に配置するため、ブートローダーは [[GRUB]] を使用する必要があります。GRUB だけが {{ic|/boot}} を復号化するのに必要なモジュールをロードできるからです (例: {{ic|crypto.mod}}, {{ic|cryptodisk.mod}}, {{ic|luks.mod}}) [http://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/]。<br />
<br />
さらに任意で暗号化した[[スワップ]]パーティションも作成します。<br />
<br />
{{Warning|スワップパーティションのかわりとして[[スワップファイル]]を使うことはできません。データを消失する可能性があります。[[Btrfs#スワップファイル]]を見てください。}}<br />
<br />
+--------------------------+--------------------------+--------------------------+<br />
|ESP |System partition |Swap partition |<br />
|'''un'''encrypted |LUKS-encrypted |plain-encrypted |<br />
| | | |<br />
|/boot/efi |/ | |<br />
|/dev/sda''Y'' |/dev/sda''X'' |/dev/sda''Z'' |<br />
|--------------------------+--------------------------+--------------------------+<br />
<br />
=== ディスクの準備 ===<br />
<br />
{{Note|LUKS を使用する場合に[[Btrfs#パーティショニング|パーティションしない Btrfs ディスク]]を使用することは不可能です。作成するパーティションがひとつだけの場合でも伝統的なパーティショニングが必須です。}}<br />
<br />
パーティションを作成する前に、[[dm-crypt/ドライブの準備]]に書かれているようにディスクを完全消去するようにしてください。[[UEFI]] を使っている場合、適当なサイズの [[EFI システムパーティション]]を作成してください。後で {{ic|/boot/efi}} にマウントします。スワップパーティションを暗号化する場合、パーティションを作成してもスワップとして設定してはいけません。plain ''dm-crypt'' でパーティションを使用するためです。<br />
<br />
必要なパーティションを作成してください。最低でも {{ic|/}} のパーティションが必要です (例: {{ic|/dev/sda''X''}})。[[パーティショニング]]の記事を見てください。<br />
<br />
=== システムパーティションの準備 ===<br />
<br />
==== LUKS コンテナの作成 ====<br />
<br />
[[dm-crypt/デバイスの暗号化#LUKS モードでデバイスを暗号化]]に従って {{ic|/dev/sda''X''}} を LUKS で設定してください。設定する前に [[Dm-crypt/デバイスの暗号化#LUKS モードの暗号化オプション]]を見てください。<br />
<br />
==== LUKS コンテナの解錠 ====<br />
<br />
[[dm-crypt/デバイスの暗号化#デバイスマッパーで LUKS パーティションのロックを解除・マップ]]に従って LUKS コンテナを解錠してマッピングしてください。<br />
<br />
==== マッピングされたデバイスのフォーマット ====<br />
<br />
[[Btrfs#新しいファイルシステムを作成する]]に書かれているようにデバイスをフォーマットしてください。{{ic|''/dev/partition''}} はマップしたデバイスの名前 ({{ic|cryptroot}}) に置き換えてください。{{ic|/dev/sda''X''}} を使ってはいけません。<br />
<br />
==== マッピングされたデバイスのマウント ====<br />
<br />
最後に、フォーマットされたマップ済みデバイス ({{ic|/dev/mapper/cryptroot}}) を {{ic|/mnt}} に[[マウント]]してください。<br />
<br />
{{Tip|{{ic|1=compress=lzo}} マウントオプションを使うと良いでしょう。詳しくは [[Btrfs#圧縮]]を見てください。}}<br />
<br />
=== btrfs サブボリュームの作成 ===<br />
<br />
==== レイアウト ====<br />
<br />
[[Btrfs#サブボリューム|サブボリューム]]をパーティションのように使いますが、他の (ネストした) サブボリュームも作成します。以下は作成するサブボリュームの例を示しています:<br />
<br />
subvolid=5 (/dev/sda''X'')<br />
|<br />
├── @ (mounted as /)<br />
| |<br />
| ├── /bin (directory)<br />
| |<br />
| ├── /home (mounted @home subvolume)<br />
| |<br />
| ├── /usr (directory)<br />
| |<br />
| ├── /.snapshots (mounted @snapshots subvolume)<br />
| |<br />
| ├── /var/cache/pacman/pkg (nested subvolume)<br />
| |<br />
| ├── ... (other directories and nested subvolumes)<br />
|<br />
├── @snapshots (mounted as /.snapshots)<br />
|<br />
├── @home (mounted as /home)<br />
|<br />
└── @... (additional subvolumes you wish to use as mount points)<br />
<br />
このセクションでは [[Snapper]] を使うときに便利な [[Snapper#推奨ファイルシステムレイアウト]]に従います。[https://btrfs.wiki.kernel.org/index.php/SysadminGuide#Layout Btrfs Wiki SysadminGuide#Layout] も読んでください。<br />
<br />
==== トップレベルサブボリュームの作成 ====<br />
<br />
マウントポイントとして使用するサブボリュームの名前には {{ic|@}} を前に付けます。{{ic|/}} にマウントするサブボリュームは {{ic|@}} とします。<br />
<br />
[[Btrfs#サブボリュームを作成する]]に従って {{ic|/mnt/@}}, {{ic|/mnt/@snapshots}}, {{ic|/mnt/@home}} にサブボリュームを作成します。<br />
<br />
他にマウントポイントとして使用したいサブボリュームも作成してください。<br />
<br />
==== トップレベルサブボリュームのマウント ====<br />
<br />
{{ic|/mnt}} のシステムパーティションをアンマウントしてください。<br />
<br />
{{ic|/}} として使用する、新しく作成した {{ic|@}} サブボリュームを {{ic|1=subvol=}} マウントオプションを使って {{ic|/mnt}} にマウントします。マップしたデバイスの名前が {{ic|cryptroot}} なら、コマンドは以下のようになります:<br />
<br />
# mount -o compress=lzo,subvol=@ /dev/mapper/cryptroot /mnt<br />
<br />
詳しくは [[Btrfs#サブボリュームをマウントする]]を見てください。<br />
<br />
他のサブボリュームを適切なマウントポイントにマウントしてください: {{ic|@home}} は {{ic|/mnt/home}} に、{{ic|@snapshots}} は {{ic|/mnt/.snapshots}} にマウントします。<br />
<br />
==== ネストされたサブボリュームの作成 ====<br />
<br />
{{ic|/}} のスナップショットが作成されるときに、スナップショットを作りたくないサブボリュームを作成してください。例えば、{{ic|/var/cache/pacman/pkg}} のスナップショットなどは不要でしょう。サブボリュームは {{ic|@}} サブボリュームの下にネストしますが、{{ic|@}} と同じレベルに作成することもできます。<br />
<br />
{{ic|@}} サブボリュームは {{ic|/mnt}} にマウントするため、{{ic|/mnt/var/cache/pacman/pkg}} に[[Btrfs#サブボリュームを作成する|サブボリュームを作成]]する必要があります。先に親のディレクトリを作成してください。<br />
<br />
他にも {{ic|/var/abs}}, {{ic|/var/tmp}}, {{ic|/srv}} などのディレクトリのサブボリュームを作成してください。<br />
<br />
==== ESP のマウント ====<br />
<br />
EFI システムパーティションを準備済みなら、マウントポイントを作成してマウントしてください。<br />
<br />
{{Note|Btrfs のスナップショットは {{ic|/boot/efi}} を除外します (btrfs ファイルシステムではないため)。}}<br />
<br />
[[インストールガイド#ベースシステムのインストール|pacstrap]] でインストールを行うときに、{{Pkg|btrfs-progs}} もインストールする必要があります。<br />
<br />
=== mkinitcpio の設定 ===<br />
<br />
==== キーファイルの作成 ====<br />
<br />
GRUB で LUKS パーティションを解錠するために、initramfs にキーファイルを埋め込みます。[[Dm-crypt/デバイスの暗号化#キーファイルを initramfs に埋め込む]]に従って ''luksAddKey'' を実行する段階でキーを {{ic|/dev/sda''X''}} に追加してください。<br />
<br />
==== mkinitcpio.conf の編集 ====<br />
<br />
上記のようにキーファイルを作成して埋め込んだら、[[mkinitcpio|mkinitcpio.conf]] に {{ic|encrypt}} フックを追加してください。詳しくは [[Dm-crypt/システム設定#mkinitcpio]] を参照。設定後は initramfs を再生成する必要があります。<br />
<br />
{{Tip|{{ic|1=BINARIES=(/usr/bin/btrfs)}} を {{ic|mkinitcpio.conf}} に追加すると良いでしょう。詳しくは [[Btrfs#ファイルシステム破損のリカバリ]] を見てください。}}<br />
<br />
=== ブートローダーの設定 ===<br />
<br />
[[GRUB]] を {{ic|/dev/sda}} にインストールします。そして [[GRUB#暗号化された /boot]]に書かれているように {{ic|/etc/default/grub}} を編集します (ルートパーティションと boot パーティションの両方の手順に従ってください)。最後に、GRUB の設定ファイルを生成します。<br />
<br />
=== スワップの設定 ===<br />
<br />
スワップを暗号化するためにパーティションを作成していた場合、ここで設定してください。[[Dm-crypt/スワップの暗号化]]の手順に従ってください。<br />
<br />
設定を完了したら、[[インストールガイド#再起動|インストールガイド]]にしたがって通常通りにシステムの設定を続行してください。</div>
Hkiku482
https://wiki.archlinux.jp/index.php?title=OpenSSL&diff=39490
OpenSSL
2025-01-12T14:53:23Z
<p>Hkiku482: 証明書の検証方法を追加</p>
<hr />
<div>[[Category:トランスポート層セキュリティ]]<br />
[[en:OpenSSL]]<br />
{{Related articles start}}<br />
{{Related|Transport Layer Security}}<br />
{{Related articles end}}<br />
<br />
[http://www.openssl.org OpenSSL] は SSL と TLS プロトコルのオープンソース実装で、可能な限り柔軟になるように設計されています。BSD, Linux, OpenVMS, Solaris, Windows などの様々なプラットフォームをサポートしています。<br />
<br />
== インストール ==<br />
<br />
{{Pkg|openssl}} は {{Pkg|coreutils}} の依存関係として、デフォルトで Arch Linux にインストールされます。<br />
<br />
開発者向けに様々な OpenSSL ライブラリのバインディングが用意されています。<br />
<br />
* {{Pkg|python-pyopenssl}}<br />
* {{Pkg|perl-net-ssleay}}<br />
* {{Pkg|lua-sec}}, {{Pkg|lua52-sec}}, {{Pkg|lua51-sec}}<br />
* {{Pkg|haskell-hsopenssl}}<br />
* {{Pkg|haskell-openssl-streams}}<br />
<br />
== 設定 ==<br />
<br />
Arch Linux では {{ic|OPENSSLDIR}} は {{ic|/etc/ssl}} です。<br />
<br />
OpenSSL 設定ファイルは、慣習的に {{ic|/etc/ssl/openssl.cnf}} に置かれ、最初は複雑に見えるかもしれません。シェルスクリプトの動作と同じように、変数が代入で展開されることがあることを覚えておいてください。設定ファイルの形式についての詳しい説明は、{{man|5ssl|config}} を参照してください。<br />
<br />
=== req セクション ===<br />
<br />
キー、要求、および自己署名証明書の生成に関連する設定。<br />
<br />
req セクションは DN プロンプトを担当する。一般的な誤解として、''Common Name'' (CN) プロンプトがあり、これはユーザーの固有名詞を値として持つべきであると示唆するものです。エンドユーザー証明書は CN として '''マシンのホスト名''' を持つ必要があり、一方 CA は有効な TLD を持つべきではありません。これは、認証されたエンドユーザーの CN と CA 証明書の組み合わせの中で、あるソフトウェアがエンドユーザー証明書は自己署名されていると誤認する可能性のある組み合わせが存在しないようにするためです。CA 証明書の中には、[https://www.equifax.com Equifax] のように、CN を持たないものもあります。<br />
<br />
{{hc|$ openssl x509 -subject -noout < /etc/ssl/certs/Equifax_Secure_CA.pem|2=<br />
subject= /C=US/O=Equifax/OU=Equifax Secure Certificate Authority<br />
}}<br />
<br />
== 使用方法 ==<br />
<br />
この章は、[[Transport Layer Security#証明書を取得]]を読んだ事を前提としています。<br />
<br />
=== Curve25519 秘密鍵を生成 ===<br />
<br />
$ openssl genpkey -algorithm x25519 -out ''filename''<br />
<br />
=== ECDSA 秘密鍵を生成 ===<br />
<br />
$ openssl genpkey -algorithm EC -pkeyopt ec_paramgen_curve:P-256 -out ''filename''<br />
<br />
=== RSA 秘密鍵を生成 ===<br />
<br />
''genrsa'' に取って代わる({{man|1ssl|openssl}} によると)、{{man|1ssl|genpkey}} を使用。<br />
<br />
$ openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:''keysize'' -out ''filename''<br />
<br />
暗号化された鍵が必要な場合は、{{ic|-aes-256-cbc}} オプションを使用します。<br />
<br />
=== 証明書署名要求を生成 ===<br />
<br />
{{man|1ssl|req}} を使用。<br />
<br />
$ openssl req -new -sha256 -key ''private_key'' -out ''filename''<br />
<br />
=== 証明書署名リクエストを表示 ===<br />
<br />
証明書署名リクエストはエンコードされた形式で保存されます。リクエストを人間が読める形式で表示するには:<br />
<br />
$ openssl req -noout -text -in ''filename''<br />
<br />
=== 自己証明証明書を生成 ===<br />
<br />
$ openssl req -key ''private_key'' -x509 -new -days ''days'' -out ''filename''<br />
<br />
=== 一つのコマンドで自己証明証明書と秘密鍵を生成 ===<br />
<br />
OpenSSL では、上記のコマンドを 1 つにまとめることができるので、場合によっては便利かもしれません。<br />
<br />
$ openssl req -x509 -newkey rsa:4096 -days ''days'' -keyout ''key_filename'' -out ''cert_filename''<br />
<br />
=== CA 証明書による証明書署名要求への署名 ===<br />
<br />
$ openssl x509 -req -in ''cert_req_filename'' -days ''days'' -CA ''CA_cert'' -CAkey ''CA_cert_private_key'' -CAserial ''CA_cert_serial_file'' -out ''cert_out''<br />
<br />
=== 証明書を検証 ===<br />
<br />
$ openssl verify ''cert_filename''<br />
<br />
サーバ証明書などの証明書チェーンを検証します。ルート証明書のインストールは[[トランスポート層セキュリティ#信頼された証明書のリストへ追加する方法]]を参照してください。<br />
<br />
=== ディフィー・ヘルマン パラメーターを生成 ===<br />
<br />
詳細については、[[Wikipedia:ja:ディフィー・ヘルマン鍵共有|ディフィー・ヘルマン鍵共有]]を参照してください。<br />
<br />
現在の[[MozillaWiki:Security/Server Side TLS|ベストプラクティス]]は、RFC 7919の標準的なDHグループの1つ、例えば [https://ssl-config.mozilla.org/ffdhe2048.txt ffdhe2048] を使用することです。<br />
<br />
あるいは、自分でランダムなグループを生成することもできます。<br />
<br />
$ openssl dhparam -out ''filename'' ''2048''<br />
<br />
{{Tip|特にハイエンドのハードウェアでない場合、生成を高速化するには、{{ic|-dsaparam}} オプションを追加します[https://security.stackexchange.com/questions/95178/diffie-hellman-parameters-still-calculating-after-24-hours/95184#95184]。}}<br />
<br />
=== 証明書情報を表示 ===<br />
<br />
$ openssl x509 -text -in ''cert_filename''<br />
<br />
=== 証明書の指紋を表示 ===<br />
<br />
$ openssl x509 -noout -in ''cert_filename'' -fingerprint ''-digest''<br />
<br />
{{ic|''-digest''}} はオプションで、{{ic|-md5}}、{{ic|-sha1}}、{{ic|-sha256}} または {{ic|-sha512}} のいずれか 1 つです。digest が指定されていない場合については、{{man|1ssl|x509|Input, Output, and General Purpose Options}} の「-digest」 を参照してください。<br />
<br />
=== 証明書の形式を変換する ===<br />
<br />
{{ic|openssl x509}} を使用して、証明書をバイナリ (DER) 形式から PEM 形式 ({{ic|BEGIN CERTIFICATE}} ヘッダを含むテキスト形式) に変換します。<br />
<br />
$ openssl x509 -inform DER < ''myCA''.crt > ''myCA_pem''.crt<br />
<br />
=== サードパーティプロバイダーを使用する ===<br />
<br />
OpenSSL 3 では、OpenSSL プラグ可能性の新しい概念としてプロバイダーが導入されました。 OpenSSL に含まれていないアルゴリズムを再コンパイルすることなく使用できます。たとえば、[https://csrc.nist.gov/projects/post-quantum-cryptography NIST ポスト量子暗号] アルゴリズムをテストするには、[https://openquantumsafe.org/ Open Quantum Safe] プロバイダー {{AUR|oqsprovider}} をインストールできます。例として、[https://pq-crystals.org/dilithium/index.shtml Dilithium] 署名アルゴリズムのバリアントの 1 つを使用して、秘密キーを含む量子安全な自己署名証明書を生成できます。<br />
<br />
$ openssl req -provider oqsprovider -x509 -newkey dilithium3 -days ''days'' -keyout ''key'' -out ''cert''<br />
<br />
== トラブルシューティング ==<br />
<br />
=== 復号時に "bad decrypt" と表示される ===<br />
<br />
OpenSSL 1.1.0 から dgst と enc コマンドのデフォルトのダイジェストアルゴリズムが MD5 から SHA256 に変更されています [https://www.openssl.org/news/changelog.html#x6]。<br />
<br />
OpenSSL 1.0.2 以前を使ってファイルを暗号化した場合、復号化しようとすると新しいバージョンでは以下のようにエラーが発生します:<br />
<br />
error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt:crypto/evp/evp_enc.c:540<br />
<br />
{{ic|-md md5}} オプションを指定することで問題は解決します:<br />
<br />
$ openssl enc -d -md md5 -in encrypted -out decrypted<br />
<br />
=== Python 3.10 と "ca md too weak" エラー ===<br />
<br />
Python 3.10 のデフォルトでは、許可された OpenSSL 暗号のハードコードされたリストがあります。MD5 のような安全でないものは、OpenSSL のシステム全体の設定を無視して、 {{ic|ssl}} モジュールレベルで無効化されています。その結果、古い証明書や、時には {{ic|https}} 接続を確立するときでさえ、奇妙なエラーになることがあります、以下のような:<br />
<br />
requests.exceptions.SSLError: HTTPSConnectionPool(host='a.kind.of.example.com', port=443): Max retries exceeded with url: / (Caused by SSLError(SSLError(398, '[SSL: CA_MD_TOO_WEAK] ca md too weak (_ssl.c:3862)')))<br />
<br />
Python をシステムの設定に従うようにするには、 {{ic|1=--with-ssl-default-suites=openssl}} パラメータを {{ic|./configure}} に追加して再構築する必要があるかもしれません。この問題は {{Bug|73549}} としても報告されています。<br />
<br />
=== Error setting cipher XXX ===<br />
<br />
「廃止された」暗号を使用しようとすると、次のようなエラーが発生します:<br />
<br />
$ openssl bf -d -in cipher_file -K passphrase<br />
Error setting cipher BF-CBC<br />
4087A97A8A7F0000:error:0308010C:digital envelope routines:inner_evp_generic_fetch:unsupported:crypto/evp/evp_fetch.c:341:Global default library context, Algorithm (BF-CBC : 12)<br />
<br />
OpenSSL 3.0 以降、暗号化アルゴリズムは「プロバイダー」を通じて提供されます。最も古いまたはあまり使用されないアルゴリズムは、レガシープロバイダーに属します。[https://www.openssl.org/docs/man3.0/man7/OSSL_PROVIDER-legacy.html]<br />
<br />
DES、RC4、Blowfish などの廃止されたアルゴリズムを使用する必要がある場合は、コマンドラインに {{ic|-provider legacy}} オプションを追加する必要があります。<br />
<br />
Blowfish 暗号をデコードするための完全な例を以下に示します。<br />
$ openssl bf -d -in cipher_file -provider legacy -provider default -K passphrase<br />
<br />
==参照==<br />
* [http://ja.wikipedia.org/wiki/OpenSSL Wikipedia] の OpenSSL のページ<br />
* [http://www.openssl.org OpenSSL] プロジェクトページ<br />
* [https://www.freebsd.org/doc/ja/books/handbook/openssl.html FreeBSD ハンドブック]<br />
* [http://www.akadia.com/services/ssh_test_certificate.html 署名済みの SSL 証明書を作成するステップバイステップガイド]<br />
* [https://jamielinux.com/docs/openssl-certificate-authority/ OpenSSL Certificate Authority]: 独自の認証局として機能する方法を説明するガイド。<br />
* [https://www.feistyduck.com/books/bulletproof-ssl-and-tls/bulletproof-ssl-and-tls-introduction.pdf Bulletproof SSL and TLS by Ivan Ristić], SSL/TLS のより正式な入門書<br />
<br />
{{TranslationStatus|OpenSSL|2024-08-28|806140}}</div>
Hkiku482
https://wiki.archlinux.jp/index.php?title=Systemd-cryptenroll&diff=39433
Systemd-cryptenroll
2024-12-30T12:27:23Z
<p>Hkiku482: 同期</p>
<hr />
<div>{{Template:Lowercase title}}<br />
[[Category:保存データ暗号化]]<br />
[[en:systemd-cryptenroll]]<br />
{{Template:Related articles start}}<br />
{{Template:Related|dm-crypt}}<br />
{{Template:Related|スマートカード}}<br />
{{Template:Related|Universal 2nd Factor}}<br />
{{Template:Related|Trusted Platform Module}}<br />
{{Template:Related|Unified Extensible Firmware Interface/セキュアブート}}<br />
{{Template:Related articles end}}<br />
{{Man|1|systemd-cryptenroll}} から:<br />
<br />
:systemd-cryptenroll は、ハードウェアセキュリティトークンとデバイスを LUKS2 暗号化ボリュームに登録するためのツールです。これは、ブート中にボリュームのロックを解除するために使用できます。<br />
<br />
''systemd-cryptenroll'' を使用すると、[[スマートカード]]、[[Universal 2nd Factor|FIDO2]] トークン、および [[Trusted Platform Module]] セキュリティチップを [[LUKS]] デバイスに登録できるだけでなく、通常のパスフレーズも登録できます。これらのデバイスは、登録されたトークンを使用して、後で {{Man|8|systemd-cryptsetup@.service}} によってロック解除されます。<br />
<br />
== インストール ==<br />
<br />
''systemd-cryptenroll'' は、{{Pkg|systemd}} の一部であり、パッケージ化されています。ただし、ハードウェアデバイスをキーとして使用するには、追加のパッケージが必要です。<br />
<br />
* PKCS#11 トークンを使用するには、{{Pkg|libp11-kit}} を [[インストール]] します。<br />
* FIDO2 トークンを使用するには、{{Pkg|libfido2}} をインストールします。<br />
* TPM2 デバイスを使用するには、{{Pkg|tpm2-tss}} をインストールします。<br />
<br />
== キースロットのリスト ==<br />
<br />
''systemd-cryptenroll'' は、{{ic|cryptsetup luksDump}} と同様に、LUKS デバイス内のキースロットをリストできますが、よりユーザーフレンドリーな形式です。<br />
<br />
{{hc|# systemd-cryptenroll /dev/''disk''|<br />
SLOT TYPE <br />
0 password<br />
1 tpm2<br />
}}<br />
<br />
== キースロットの消去 ==<br />
<br />
# systemd-cryptenroll /dev/''disk'' --wipe-slot=''SLOT''<br />
<br />
''SLOT'' には次の値を指定できます。<br />
<br />
* キースロットのインデックス。<br />
* そのタイプのキースロットはすべて消去されます。有効なタイプは {{ic|empty}}, {{ic|password}}, {{ic|recovery}}, {{ic|pkcs11}}, {{ic|fido2}}, {{ic|tpm2}} です。<br />
* カンマで区切られた上記のすべての組み合わせ<br />
* 文字列 {{ic|all}} は、デバイス上のすべてのキースロットを消去します。このオプションは、別のデバイスまたはパスフレーズを同時に登録する場合にのみ使用できます。<br />
<br />
{{ic|--wipe-slot}} 操作はすべての登録オプションと組み合わせて使用でき、既存のデバイス登録を更新するのに役立ちます。<br />
<br />
# systemd-cryptenroll /dev/''disk'' --wipe-slot=fido2 --fido2-device=auto<br />
<br />
== パスフレーズの登録 ==<br />
<br />
=== 通常のパスワード ===<br />
<br />
これは、{{ic|cryptsetup luksAddKey}} と同等です。<br />
<br />
# systemd-cryptenroll /dev/''disk'' --password<br />
<br />
=== 回復キー ===<br />
<br />
{{Man|1|systemd-cryptenroll}} から:<br />
<br />
:回復キーはパスフレーズとほとんど同じですが、人間が選択するのではなくコンピューターによって生成されるため、高いエントロピーが保証されています。キーは入力しやすい文字セットを使用しており、QR コードを介して画面外からスキャンすることもできます。<br />
<br />
回復キーは、ハードウェアトークンが利用できない場合にフォールバックとして使用されるように設計されており、必要なときにいつでも通常のパスフレーズの代わりに使用できます。<br />
<br />
# systemd-cryptenroll /dev/''disk'' --recovery-key<br />
<br />
== ハードウェアデバイスの登録 ==<br />
<br />
{{ic|--''type''-device}} オプションは、それぞれのタイプの有効なデバイスパスを指定する必要があります。使用可能なデバイスのリストは、このオプションに {{ic|list}} 引数を渡すことで取得できます。あるいは、目的のタイプのデバイスが 1 つだけ接続されている場合は、{{ic|auto}} オプションを使用してそれを自動的に選択できます。<br />
<br />
ハードウェアトークンを LUKS ボリュームに登録した後、必要に応じてハードウェア トークンを使用するようにシステムを構成する必要があります。ルートファイルシステムなど、初期のユーザー空間でロックを解除する必要があるボリュームについては [[dm-crypt/システム設定#Trusted Platform Module と FIDO2 鍵]] を参照し、その他のボリュームについては [[dm-crypt/システム設定#後期ユーザ空間でロックを解除する]] を参照してください。パーティション。<br />
<br />
=== PKCS#11 トークンまたはスマートカード ===<br />
<br />
トークンまたはスマートカードには、ボリュームのロックを解除するために使用される生成されたキーの暗号化に使用される RSA キーペアが含まれている必要があります。<br />
<br />
# systemd-cryptenroll /dev/''disk'' --pkcs11-token-uri=''device''<br />
<br />
=== FIDO2 トークン ===<br />
<br />
"hmac-secret" 拡張機能をサポートする FIDO2 トークンは、''systemd-cryptenroll'' で使用できます。<br />
<br />
# systemd-cryptenroll /dev/''disk'' --fido2-device=''device''<br />
<br />
さらに、''systemd-cryptenroll'' は、トークンの組み込み検証機能の使用をサポートしています。<br />
<br />
* {{ic|--fido2-with-client-pin}}は、ロック解除前にPINを要求するかどうかを定義する。<br />
* {{ic|--fido2-with-user-presence}}は、ロックを解除する前にユーザの存在を確認するかどうか (トークンをタップするなど) を定義する。<br />
* {{ic|--fido2-with-user-verification}} は、ロック解除前にユーザ認証を要求するかどうかを定義します。<br />
<br />
{{Note|<br />
* トークンがこれらの機能をサポートしていない場合、これらのオプションは効力を持ちません。<br />
* 両者の違いについては、[https://developers.yubico.com/WebAuthn/WebAuthn_Developer_Guide/User_Presence_vs_User_Verification.html User Presence vs User Verification] を参照してください。}}<br />
<br />
=== Trusted Platform Module ===<br />
<br />
{{Expansion|Document {{ic|--tpm2-public-key}} {{ic|--tpm2-seal-key-handle}} {{ic|--tpm2-device-key}} {{ic|--tpm2-pcrlock}}}}<br />
<br />
''systemd-cryptenroll'' はLUKSキーをTPMへ保存するためのネイティブサポートを備えています。次のものを用意してください。<br />
<br />
* {{Pkg|tpm2-tss}} (必須)。<br />
* LUKS2を設定したデバイス ([[cryptsetup]])。<br />
* {{ic|root}}パーティションを使用する場合は、[[initramfs]]も変更する必要があります。<br />
** [[mkinitcpio]]: {{ic|systemd}}と{{ic|sd-encrypt}}[[Mkinitcpio#HOOKS|フック]]を有効にしてください。{{Note|フック内のエントリの順序は重要です。間違えると[[arch-chroot]]からinitrdを再構成する必要があります。順序の例については[[Dm-crypt/システム設定#例]]を参照してください。}}<br />
** [[dracut]]: {{ic|tpm2-tss}}[[Dracut#Dracut モジュール|モジュール]]を有効にしてください。<br />
<br />
はじめに、次のコマンドでインストール済みのTPMと使用中のドライバを表示してください。<br />
<br />
systemd-cryptenroll --tpm2-device=list<br />
<br />
{{Tip|複数のTPMがシステムにインストールされている場合は{{ic|1=--tpm2-device=''/path/to/tpm2_device''}}で使用するデバイスを選択することができます。}}<br />
<br />
キーは1つのコマンドでLUKSとTPMの両方に保存することができます。次の例ではランダムなキーを生成し、ボリュームへ追加して、既存のキーに加えてボリュームのロックを解除できるように新しいキーをPCR7([[セキュアブート]])へ登録します。<br />
<br />
systemd-cryptenroll --tpm2-device=auto ''/dev/sdX''<br />
<br />
''/dev/sdX''は暗号化済みのLUKSデバイスです。LUKSボリュームがパスフレーズではなくキーファイルによってロックされている場合は{{ic|1=--unlock-key-file=''/path/to/keyfile''}}を使用します。<br />
<br />
systemd-cryptenroll --tpm2-device=auto ''/dev/sdX'' --unlock-key-file=''/path/to/keyfile''<br />
<br />
デフォルトでは、TPM を登録するとキーが PCR7 にバインドされ、[[セキュアブート]] 状態が測定されます。{{ic|--tpm2-pcrs}} オプションを使用すると、キーがバインドされる PCR を変更できます。{{ic|+}} 記号で区切ることにより、複数の PCR を同時に使用できます。PCR とその測定内容の完全なリストは、[[Trusted Platform Module#Accessing PCR registers]] で入手できます。<br />
<br />
{{Warning|<br />
* PCR 7にバインドするときは、[[セキュアブート]]がアクティブでユーザーモードになっていることを確認してください。そうしないと、許可されていないブートデバイスが暗号化されたボリュームのロックを解除する可能性があります。<br />
* PCR 7の状態はファームウェア証明書が変更されると変更される可能性があり、ユーザーがロックアウトされるリスクがあります。これは[[fwupd]][https://github.com/systemd/systemd/blob/ed272a9ff59a26beedaab508dd3c9d631de67165/TODO#L664-L673]によって暗黙的に行われるか、セキュアブートキーをローテーションすることによって明示的に行われます。<br />
* ブート前に測定された PCR (PCR 0-7) へのバインドのみが、不正なオペレーティング システムからの脆弱性を生じさせます。実際のルート ファイル システムからコピーされたメタデータ (パーティション UUID など) を持つ不正なパーティションは、元のパーティションを模倣できます。次に、initramfs は不正なパーティションをルート ファイル システムとしてマウントしようとします (復号化に失敗すると、パスワード入力にフォールバックします)。これにより、ブート前の PCR は変更されません。攻撃者が制御するファイルを持つ不正なルート ファイル システムは、実際のルート パーティションの復号化キーを引き続き受信できます。詳細については、[https://0pointer.net/blog/brave-new-trusted-boot-world.html Brave New Trusted Boot World]および[https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/countermeasures BitLocker documentation]を参照してください。<br />
}}<br />
<br />
バインドするPCRの組み合わせは使いやすさとロックダウンのバランスを取るために、ユースケースによって異なります。例えば[[セキュアブート]]に手動で介入せずに、UEFIのファームウェアの更新が必要な場合や異なるブートテバイスが必要な場合があります。その他の例として、WindowsのBitlockerはPCR{{ic|7+11}}を優先しますが、他のPCRの組み合わせを使用する場合もあります。<br />
<br />
{{Note|<br />
* TPM 測定チェックに加えて、PIN の入力を要求することもできます。TPM デバイスの登録時にオプション {{ic|1=--tpm2-with-pin=yes}} を追加し、要求されたら PIN を入力します。''systemd-cryptenroll'' ではこれを PIN と呼びますが、任意の文字を使用できます。<br />
* ''systemd-cryptenroll'' は、PIN を要求する前に TPM 測定をチェックしません。そのため、環境が信頼できない可能性があるため、一意の PIN の使用を検討してください。}}<br />
<br />
新しいキーが登録すされたことを確認するには次のコマンドを実行し、{{ic|systemd-tpm2}}トークンエントリと''Keyslots''セクションの追加エントリを探します。<br />
<br />
cryptsetup luksDump ''/dev/sdX''<br />
<br />
キーが機能することをテストするには、LUKSボリュームが{{ic|close}}しているときに次のコマンドを実行します。<br />
<br />
systemd-cryptsetup attach ''mapping_name'' ''/dev/sdX'' none tpm2-device=none<br />
<br />
起動時にボリュームのロックを解除するには、[[Dm-crypt/システム設定#crypttab]]と[[Dm-crypt/システム設定#Trusted Platform Module と FIDO2 鍵]]を参照してください。<br />
<br />
{{Note|{{ic|/etc/crypttab}}のパス名の代わりにLUKSボリュームのUUIDを指定することができますが、''systemd-cryptenroll''コマンド自体はパス名のみをサポートしています。}}<br />
<br />
詳細と例については、{{man|1|systemd-cryptenroll}}と{{man|5|crypttab}}を参照してください。<br />
<br />
== 参照 ==<br />
<br />
* [https://0pointer.net/blog/unlocking-luks2-volumes-with-tpm2-fido2-pkcs11-security-hardware-on-systemd-248.html Lennart のブログ: systemd 248 で TPM2、FIDO2、PKCS#11 セキュリティハードウェアを使用した LUKS2 ボリュームのロックを解除する]</div>
Hkiku482
https://wiki.archlinux.jp/index.php?title=Node.js&diff=39027
Node.js
2024-09-12T13:02:22Z
<p>Hkiku482: /* インストール */ LTSリリース名の修正</p>
<hr />
<div>[[Category:開発]]<br />
[[en:Node.js]]<br />
[[zh-hans:Node.js]]<br />
[http://nodejs.org/ Node.js] は便利なライブラリが組み合わされた JavaScript 実行環境です。[https://code.google.com/p/v8/ Google の V8 エンジン] を使用してブラウザの外でコードを実行します。イベント駆動型のノンブロッキング I/O モデルを採用しているため、リアルタイムなウェブアプリケーションに適しています。<br />
<br />
== インストール ==<br />
<br />
{{Pkg|nodejs}} パッケージを[[インストール]]します。LTS 版もあります:<br />
* {{Pkg|nodejs-lts-iron}} - 20.X バージョンの場合<br />
* {{Pkg|nodejs-lts-hydrogen}} - 18.X バージョンの場合<br />
<br />
=== 別のインストール方法 ===<br />
<br />
様々なバージョンの {{Pkg|nodejs}} を動作させる必要があったり、または動作させることを望むことは珍しいことではありません。node ユーザーの間で推奨されている方法は [https://github.com/creationix/nvm NVM] (Node Version Manger) の使用です。{{AUR|nvm}} を使うことで簡単にインストールすることができます。<br />
<br />
これをシェルの起動ファイルに追加することで設定できます:<br />
<br />
# Set up Node Version Manager<br />
source /usr/share/nvm/init-nvm.sh<br />
<br />
使用方法はプロジェクトの github にまとめられていますが、要するに次を実行するだけです:<br />
<br />
$ nvm install 8.0<br />
Downloading and installing node v8.0.0...<br />
[..]<br />
<br />
$ nvm use 8.0<br />
Now using node v8.0.0 (npm v5.0.0)<br />
<br />
{{AUR|nvm}} を使う場合、以前は AUR の {{ic|nodejs-fake}} パッケージを使うことが推奨されていましたが、これは現在、[https://lists.archlinux.org/pipermail/aur-requests/2018-January/021828.html 削除]されています。推奨される方法は、マニュアル {{man|8|pacman|TRANSACTION OPTIONS (APPLY TO -S, -R AND -U)}} にあるように、{{ic|1=--assume-installed nodejs=<version>}} を使うことです。<br />
<br />
ディレクトリに、.nvmrc ファイルがあるたびに、`nvm use` を自動的に実行したい場合は、{{ic|~/.bashrc}} に[https://stackoverflow.com/a/50378304 以下]を追加してください。<br />
<br />
== Node Packaged Module ==<br />
<br />
[https://www.npmjs.org/ npm] は node.js の公式パッケージマネージャです。{{Pkg|npm}} パッケージでインストールできます。<br />
<br />
=== npm でパッケージを管理 ===<br />
<br />
==== パッケージのインストール ====<br />
<br />
全てのパッケージは次のコマンドでインストールできます:<br />
<br />
$ npm install packageName<br />
<br />
上のコマンドでパッケージがカレントディレクトリの {{ic|node_modules}} に、実行ファイルが {{ic|node_modules/.bin}} にインストールされます。<br />
<br />
システム全体にインストールするには {{ic|-g}} スイッチを使います:<br />
<br />
# npm -g install packageName<br />
<br />
デフォルトでは、上記のコマンドでパッケージは {{ic|/usr/lib/node_modules/npm}} にインストールされるため、実行するのに管理者権限が必要になります。<br />
<br />
===== ユーザーに ''global'' パッケージのインストールを許可する =====<br />
<br />
現在の[[ユーザー]]に、''global'' パッケージのインストールを許可するには、[[環境変数#ユーザー毎|環境変数]] {{ic|npm_config_prefix}} を設定します。これは npm と [https://yarnpkg.com/en/ yarn] の両方で使用されます。<br />
<br />
{{hc|~/.profile|2=<br />
PATH="$HOME/.local/bin:$PATH"<br />
export npm_config_prefix="$HOME/.local"<br />
}}<br />
<br />
再ログインまたは、''source'' して変更を更新します。<br />
<br />
{{ic|npm install}} 時に、{{ic|--prefix}} パラメータを指定することもできます。'''ただし'''、グローバルパッケージをインストールするたびに追加する必要があるので、これはお勧め'''しません'''。<br />
<br />
$ npm -g install packageName --prefix ~/.local<br />
<br />
同様の方法として、{{ic|$HOME/.npmrc}} の {{ic|prefix}} フィールドを編集して、恒久的に変更する方法もあります。<br />
<br />
{{Note|最後の方法は、''npm'' のみに特有のものです。}}<br />
<br />
==== パッケージのアップデート ====<br />
<br />
パッケージをアップデートするには次を実行:<br />
<br />
$ npm update packageName<br />
<br />
グローバルにインストールしたパッケージ ({{ic|-g}}) の場合:<br />
<br />
# npm update -g packageName<br />
<br />
{{Note|グローバルにインストールされたパッケージは、{{ic|prefix}} がユーザーが書き込み可能なディレクトリに設定されていない限り管理者権限が必要なので注意してください。}}<br />
<br />
===== 全てのパッケージをアップデート =====<br />
<br />
場合によっては、全てのパッケージをアップデートしたいと思うかもしれません。ローカルでもグローバルでも可能です。packageName を抜いて {{ic|npm}} を実行すると全てのパッケージがアップデートされます:<br />
<br />
$ npm update<br />
<br />
またはグローバルにインストールしたパッケージをアップデートするには {{ic|-g}} フラグを追加:<br />
<br />
# npm update -g<br />
<br />
==== パッケージの削除 ====<br />
<br />
{{ic|-g}} スイッチを使ってインストールしたパッケージを削除するには次のコマンドを使用:<br />
<br />
# npm -g uninstall packageName<br />
<br />
{{Note|グローバルにパッケージをインストールしたときは管理者権限が必要なので注意してください。}}<br />
<br />
ローカルパッケージを削除するときはスイッチを省いて実行:<br />
<br />
$ npm uninstall packageName<br />
<br />
==== パッケージの一覧表示 ====<br />
<br />
グローバルにインストールしたパッケージのツリービューを表示するには次を使用:<br />
<br />
$ npm -g list<br />
<br />
場合によってツリーは深くなりすぎることがあります。トップレベルのパッケージだけを表示するには:<br />
<br />
$ npm list --depth=0<br />
<br />
アップデートが必要な古いパッケージだけを表示するには:<br />
<br />
$ npm outdated<br />
<br />
=== pacman でパッケージを管理 ===<br />
<br />
[[Arch User Repository]] には {{ic|nodejs-packageName}} という名前で node.js のパッケージがいくつか存在します。<br />
<br />
== トラブルシューティング ==<br />
<br />
=== node-gyp エラー ===<br />
<br />
<br />
次のようなエラーの場合 {{ic|gyp WARN EACCES user "root" does not have permission to access the ... dir}} は {{ic|--unsafe-perm}} オプションが役立つ場合があります。<br />
<br />
# npm install --unsafe-perm -g node-inspector<br />
<br />
=== エラー Cannot find module ... ===<br />
<br />
npm 5.x.x 以降、package-lock.json ファイルは package.json とともに生成されます。2つのファイルが異なるパッケージバージョンを参照している場合、競合が発生する可能性があります。この問題を解決する一時的な方法は次の通りです:<br />
$ rm package-lock.json<br />
$ npm install<br />
<br />
ただし、npm 5.1.0 以降で修正されています。詳細については、以下を参照してください:<br />
<br />
[https://github.com/npm/npm/pull/17508 missing dependencies]<br />
<br />
== 参考資料 ==<br />
<br />
{{Pkg|nodejs}} や公式のパッケージマネージャである [https://www.npmjs.org/ npm] の詳細情報は以下の資料を参照してください:<br />
<br />
* [https://nodejs.org/ja/docs/ Node.js ドキュメント]<br />
* [https://docs.npmjs.com/ NPM ドキュメント]<br />
* IRC チャンネル #node.js on irc.freenode.net<br />
<br />
{{TranslationStatus|Node.js|2021-09-25|689079}}</div>
Hkiku482
https://wiki.archlinux.jp/index.php?title=%E3%83%90%E3%83%83%E3%82%AF%E3%83%A9%E3%82%A4%E3%83%88&diff=36208
バックライト
2024-02-11T09:42:04Z
<p>Hkiku482: brightnessctlの説明の追加</p>
<hr />
<div>[[Category:ノートパソコン]]<br />
[[Category:電源管理]]<br />
[[en:Backlight]]<br />
[[ru:Backlight]]<br />
画面の輝度を操作するのは難易度が高いことがしばしばです。多くのマシンでは、物理的なハードウェアスイッチが付いておらず、ソフトウェアによる方法は動いたり動かなかったりとまちまちです。ハードウェアにあった方法を使うようにしてください。画面が明るすぎると眼精疲労を起こす可能性があります。<br />
<br />
ソフトウェアを使ってモニターやノートパソコン、統合パネル (iMac など) の画面のバックライトを調整する方法は多数存在します。[https://bugs.launchpad.net/ubuntu/+source/xserver-xorg-video-intel/+bug/397617 これらの] [https://lore.kernel.org/patchwork/patch/528936/#708706 議論]とこの [https://wiki.ubuntu.com/Kernel/Debugging/Backlight wiki ページ]によると、制御方法は次のカテゴリに分類できます。<br />
<br />
* 明るさはベンダー指定のホットキーによって制御され、OS が明るさを調整するためのインターフェイスはありません。<br />
* 明るさは、[[#ACPI|ACPI]]、グラフィック、またはプラットフォーム ドライバーのいずれかによって制御されます。この場合、バックライト制御は、ユーザー空間の [[#バックライト ユーティリティ|バックライト ユーティリティ]]で使用できる {{ic|/sys/class/backlight}} を通じてユーザーに公開されます。<br />
* 明るさは、[[#setpci|setpci]] を介してグラフィック カード レジスタに書き込むことによって制御されます。<br />
<br />
{{Note|OLED 画面にはバックライトがないため、OLED 画面を搭載したラップトップのバックライト電力を変更して明るさを制御することはできません。この場合、知覚される画面の明るさは、PWMコントロール(Linux カーネルには実装されていません)または、[[#色補正|ソフトウェアの色補正]]を使用して調整できます。}}<br />
<br />
== ハードウェアインターフェイス ==<br />
=== ACPI ===<br />
スクリーンバックライトの明るさはバックライト LED やカソードの電力レベルの設定によって調整されます。電力レベルは大抵の場合ビデオ用の ACPI カーネルモジュールを使用することで操作することが可能です。このモジュールのインターフェイスは sysfs のフォルダ {{ic|/sys/class/backlight}} によって提供されます。<br />
<br />
フォルダの名前はグラフィックカードのモデルによります。<br />
{{hc|# ls /sys/class/backlight/|<br />
intel_backlight<br />
}}<br />
<br />
この例ではバックライトは Intel のグラフィックカードによって管理されています。ATI のカードでは {{ic|acpi_video0}} と呼ばれます。下の例では {{ic|acpi_video0}} を使っています。<br />
<br />
ディレクトリには以下のファイルとフォルダが含まれています:<br />
<br />
actual_brightness brightness max_brightness subsystem/ uevent <br />
bl_power device/ power/ type<br />
<br />
最大輝度は {{ic|max_brightness}} を見ることでわかります、多くの場合15です。<br />
<br />
{{hc|# cat /sys/class/backlight/acpi_video0/max_brightness|<br />
15<br />
}}<br />
<br />
数値を {{ic|brightness}} に書き込むことで明るさを設定できます。最大輝度よりも高い数値を設定することはできません。<br />
<br />
# tee /sys/class/backlight/acpi_video0/brightness <<< 5<br />
<br />
==== カーネルコマンドラインオプション ====<br />
<br />
たまに、マザーボードの実装が ACPI と異なっているために ACPI が上手く動作しないことがあります。これにはデュアルグラフィックのノートパソコンなども含まれます (例: Nvidia/Radeon のディスクリート GPU と Intel/AMD の内蔵 GPU) - この問題が発生するノートパソコンの例として Dell Studio, Dell XPS 14/15/17 や Lenovo のノートパソコンなどが挙げられます。カーネル開発者の Kamal Mostafa がこの問題を解決する[https://launchpad.net/~kamalmostafa/+archive/linux-kamal-mjgbacklight パッチ]を作成しました - パッチは Linux 3.1 から含まれています。さらに、Nvidia-optimus ノートパソコンでは、nomodeset カーネルパラメータがバックライトの調整機能に干渉することがあります。以下のカーネルパラメータをブートローダー (grub, syslinux...) に追加してみてください:<br />
<br />
video.use_native_backlight=1<br />
<br />
{{Note|このカーネル設定は '''Linux 3.13''' で追加されました。}}<br />
<br />
または<br />
<br />
acpi_osi=Linux acpi_backlight=vendor<br />
<br />
または<br />
<br />
acpi_osi=Linux acpi_backlight=legacy<br />
''acpi_backlight=vendor は ACPI video.ko ドライバーの代わりにベンダー固有のドライバー (例: thinkpad_acpi, sony_acpi など) を優先して使用します。''<br />
<br />
Lenovo IdeaPad ノートパソコンの場合、{{ic|blacklist ideapad_laptop}} を {{ic|/etc/modprobe.d/blacklist.conf}} に追加して {{ic|ideapad_laptop}} モジュールをブラックリスト化する必要があるかもしれません (必要に応じてファイルを作成してください)。[https://askubuntu.com/a/304762 ソース]。<br />
<br />
{{Tip|1=Asus のノートパソコンでは次を実行する必要があるかもしれません: {{ic|# modprobe asus-nb-wmi}}。}}<br />
<br />
{{Note|Disabling legacy boot on Dell XPS13 breaks backlight support.}}<br />
<br />
==== Udev ルール ====<br />
ACPI インターフェイスが利用できる場合、udev ルールを使って起動時にバックライトのレベルを設定することができます。<br />
<br />
{{hc|/etc/udev/rules.d/81-backlight.rules|<nowiki><br />
# Set backlight level to 8<br />
SUBSYSTEM=="backlight", ACTION=="add", KERNEL=="acpi_video0", ATTR{brightness}="8"</nowiki>}}<br />
<br />
このルールで値を固定しても、systemd-backlight サービスによって起動時に以前の輝度レベルに戻されます。このルールを使いたいときは、[[#systemd-backlight サービス|systemd-backlight サービス]]で説明されているように system-backlight サービスをマスクする必要があります。<br />
<br />
=== setpci ===<br />
<br />
In some cases (e.g. Intel Mobile 945GME [https://bugs.launchpad.net/ubuntu/+source/xserver-xorg-video-intel/+bug/397617]), it is possible to set the register of the graphic card to adjust the backlight. It means you adjust the backlight by manipulating the hardware directly, which can be risky and generally is not a good idea. Not all of the graphic cards support this method.<br />
<br />
When using this method, you need to use {{ic|lspci}} first to find out where your graphic card is.<br />
<br />
# setpci -s 00:02.0 F4.B=0<br />
<br />
=== External monitors ===<br />
<br />
[[Wikipedia:Display_Data_Channel#DDC.2FCI|DDC/CI]] (Display Data Channel Command Interface) can be used to communicate with external monitors implementing MCCS (Monitor Control Command Set) over I2C. DDC can control brightness, contrast, inputs, etc on supported monitors. Settings available via the OSD (On-Screen Display) panel can usually also be managed via DDC. The [[kernel module]] {{ic|i2c-dev}} may need to be loaded if the {{ic|/dev/i2c-*}} devices do not exist.<br />
<br />
{{Pkg|ddcutil}} can be used to query and set brightness settings:<br />
<br />
{{hc|# ddcutil capabilities {{!}} grep "Feature: 10"|<br />
Feature: 10 (Brightness)<br />
}}<br />
<br />
{{hc|1=# ddcutil getvcp 10|2=<br />
VCP code 0x10 (Brightness ): current value = 60, max value = 100<br />
}}<br />
<br />
# ddcutil setvcp 10 70<br />
<br />
Alternatively, one may use {{AUR|ddcci-driver-linux-dkms}} to expose external monitors in sysfs. Then, after loading the {{ic|ddcci}} [[kernel module]], one can use any [[#Backlight utilities|backlight utility]].<br />
<br />
{{Note|<br />
* Using {{ic|ddcci}} and {{ic|i2c-dev}} simultaneously may result in resource conflicts such as a {{ic|Device or resource busy}} error.<br />
* Users of NVIDIA's proprietary drivers may need to add {{ic|1=Option "RegistryDwords" "RMUseSwI2c=0x01; RMI2cSpeed=100"}} to the {{ic|Device}} section in {{ic|/etc/X11/xorg.conf.d/20-nvidia.conf}} (generated by ''nvidia-xconfig'') or {{ic|1=options nvidia NVreg_RegistryDwords=RMUseSwI2c=0x01;RMI2cSpeed=100}} to {{ic|/etc/modprobe/conf.d/nvidia.conf}}. Confirm that the settings are correctly applied with {{ic|grep RegistryDwords /proc/driver/nvidia/params}} and check that the values are not empty. See [https://forums.developer.nvidia.com/t/gddccontrol-issues-with-nvidia-drivers-i2c-monitor-display-ddc-dp-hdmi-failing/30427/33] and [https://forums.developer.nvidia.com/t/gddccontrol-issues-with-nvidia-drivers-i2c-monitor-display-ddc-dp-hdmi-failing/30427/61]<br />
* {{ic|ddcutil}} will fail to set some VCP features if there is a feature enabled on the monitor which already automatically adjusts them (e.g. [[Wikipedia:Contrast ratio#Dynamic contrast (DC)|Dynamic Contrast Ratio]] or BenQ's ''Eye Care'' technology).<br />
* To facilitate binding screen brightness control to a keyboard shortcut, it may be convenient to enable non-superuser access to the relevant I2C devices. This can be achieved by adding a group {{ic|i2c}} and configuring [[udev]] to set this group as the owner of the I2C devices. See [https://raspberrypi.stackexchange.com/a/4472].<br />
* If {{Pkg|ddcutil}} is installed, it provides the {{ic|/usr/share/ddcutil/data/90-nvidia-i2c.conf}} file, which can be copied to {{ic|/etc/X11/xorg.conf.d/}} instead of manually editing [[Xorg]] configuration files. It also provides {{ic|/usr/share/ddcutil/data/45-ddcutil-i2c.rules}} and {{ic|/usr/share/ddcutil/data/45-ddcutil-usb.rules}} for [[udev]] rules.<br />
}}<br />
<br />
== バックライトをオフにする ==<br />
<br />
(ノートブックをロックした時などに) バックライトを切ることはバッテリーの節電に役に立ちます。グラフィカルセッションから次のコマンドを実行すればオフにできます:<br />
sleep 1 && xset dpms force off<br />
マウスを動かしたりキーボードで入力したりするとバックライトはまたオンになります。上のコマンドが使えない場合でも、{{ic|vbetool}} が使える可能性があります。ただし、この場合バックライトを戻すには手動で有効にする必要があるので注意してください。コマンドは以下の通りです:<br />
vbetool dpms off<br />
バックライトをもう一度有効にするには:<br />
vbetool dpms on<br />
<br />
例えば、[[Acpid#ノートパソコンのモニターの電源オフ|Acipd]] のエントリで書かれているように、ノートパソコンのフタを閉じた時にこのコマンドを使用することが可能です。<br />
<br />
== systemd-backlight サービス ==<br />
[[systemd]] パッケージにはサービス systemd-backlight@.service が含まれており、デフォルトで有効になっていて"固定"されています。シャットダウン時にバックライトの明るさのレベルを保存して、起動時にそれを復元します。このサービスは [[#ACPI]] で説明されている ACPI による方法を使っていて、{{ic|/sys/class/backlight/}} にあるフォルダごとにサービスを生成します。例えば、{{ic|acpi_video0}} という名前のフォルダがあった場合、{{ic|systemd-backlight@backlight:acpi_video0.service}} という名前のサービスを生成します。起動時に他の方法を使ってバックライトを設定するときは、systemd-backlight@.service サービスをマスクすることが推奨されます。<br />
<br />
== バックライトユーティリティ ==<br />
<br />
=== xbacklight ===<br />
<br />
xorg-server のコマンド {{ic|xbacklight}} を使ってバックライトを調整することが可能です。このユーティリティは [extra] の {{Pkg|xorg-xbacklight}} パッケージに入っています。<br />
<br />
[https://www.youtube.com/watch?v=_pi3iKMAJcY YouTube の gotbletu] によってデモンストレーションが投稿されています。彼は以下のコマンドを使ってバックライトを調整することを提案しています:<br />
<br />
* 明るくする:<br />
xbacklight -inc 40<br />
<br />
* 弱くする:<br />
xbacklight -dec 40<br />
<br />
{{Tip|[[Xorg での特別なキーボードキー]]で説明されているようにしてこれらのコマンドをキーボードのキーに結びつけることが可能です。}}<br />
<br />
=== brightnessctl ===<br />
{{Pkg|brightnessctl}}をインストール後、そのまま使用することができます。<br />
<br />
バックライトの輝度を 5% 上げる:<br />
<br />
$ brightnessctl set 5%+<br />
<br />
バックライトの輝度を 5% 下げる。<br />
<br />
$ brightnessctl set 5%-<br />
<br />
{{Tip|{{Pkg|xf86-video-intel}}をインストールしたくない場合は、代わりにこちらを使うことができます。}}<br />
<br />
=== light ===<br />
<br />
{{Tip|[https://github.com/perkele1989/light light]は2023/12現在アーカイブ状態になっており、利用が非推奨になっています。}}<br />
<br />
{{Pkg|light}} をインストールし、{{ic|video}} グループにユーザーを追加してください。<br />
<br />
バックライトの輝度を 5% 上げる:<br />
<br />
$ light -A 5<br />
<br />
バックライトの輝度を 5% 下げる。<br />
<br />
$ light -U 5<br />
<br />
バックライトの輝度を 100% に設定する。<br />
<br />
$ light -S 100<br />
<br />
=== relight ===<br />
<br />
[https://xyne.archlinux.ca/projects/relight relight] は [https://xyne.archlinux.ca/repos Xyne のリポジトリ] から利用でき、また、[[AUR]] からはパッケージ {{AUR|relight}} として取得可能です。このパッケージは上記の ACPI による方法を使って、再起動時に以前のバックライト設定を自動的に復元させるサービスを提供します。また、スクリーンごとにバックライトを選択・設定できるダイアログベースのメニューも入っています。<br />
<br />
=== setpci (細心の注意を払って使用してください) ===<br />
<br />
グラフィックカードのレジスタをセットして、バックライトの調整をすることが可能です。ハードウェアを直接操作してバックライトを調整するので、危険性が存在し、あまり勧められる方法ではありません。また、グラフィックカードによってはこの方法をサポートしていません。<br />
<br />
この方法を使う際には、まず {{ic|lspci}} を使ってあなたの使っているグラフィックカードの場所を確認する必要があります。<br />
# setpci -s 00:02.0 F4.B=0<br />
<br />
=== Calise ===<br />
<br />
ソフトウェア [http://calise.sourceforge.net/wordpress/ calise] は AUR にあります。<br />
* 安定版: {{AUR|calise}}{{Broken package link|パッケージが存在しません}}<br />
* 開発版: {{AUR|calise-git}}{{Broken package link|パッケージが存在しません}} <br />
<br />
光センサーを搭載していないノートパソコンのために、ウェブカメラからキャプチャして周りの明るさを計算し、画面のバックライトを設定します。<br />
詳細は calise の wiki を見て下さい: [http://calise.sourceforge.net/mediawiki/index.php/Main_Page Calise wiki]。<br />
<br />
このプログラムの主な特徴としては、計算が非常に正確で、リソースの使用量がかなり少なく、デーモンバージョンが存在し (systemd ユーザーのための .service ファイルもあります)、バッテリー持ちにほとんど影響がないことが挙げられます。<br />
<br />
=== brightd ===<br />
<br />
Macbook にインスパイアされた {{AUR|brightd}} はユーザーの操作がしばらくないと自動的に画面を薄暗くします (スタンバイ状態にはしません)。さっくり画面をオフにする [[Display Power Management Signaling]] と上手く併用することができます。<br />
<br />
=== KDE ===<br />
<br />
[[KDE]] のユーザーは ''System Settings > Power Management > Energy Saving'' からバックライトを調整できます。<br />
kdm よりも前にバックライトを設定したい場合は {{ic|/usr/share/config/kdm/Xsetup}} に次を記述してください:<br />
<br />
xbacklight -inc 10<br />
<br />
== 色補正 ==<br />
<br />
=== Wayland ===<br />
<br />
[[Redshift]] は Wayland (パッチなし) をサポートしていません。ただし、コンポジタを開始する前に、 [[tty]] で目的の温度を適用することは可能です。例:<br />
<br />
$redshift-m drm-PO 3000<br />
<br />
そうしないと、一部のコンポジタがランタイム中にカラー補正を適用する可能性があります。<br />
<br />
* [[GNOME]] では、組み込みの [[GNOME#夜間モード|夜間モード]] を使用できます。<br />
* [[KDE Plasma]] では、内蔵の [[KDE#Night Color]] を使用できます。<br />
* Sway 1.0 やその他の wlroot ベースのコンポジタは、Orbital や Redshift fork {{Pkg|gammastep}}、{{AUR|clight}}、{{AUR|wlsunset-git}} などと同様に使用できます。<br />
<br />
=== xcalib ===<br />
<br />
[[AUR]] にあるパッケージ {{Pkg|xcalib}} ([http://xcalib.sourceforge.net/ 上流のサイト]) を使って画面を調光することができます。これも同じく、ユーザーの gotbletu が [https://www.youtube.com/watch?v=A9xsvntT6i4 Youtube] にデモンストレーションを投稿しています。このプログラムはガンマ補正と色の反転、コントラストの低減をすることが可能で、ここでは後者を使用します:<br />
<br />
* 暗くする:<br />
xcalib -co 40 -a<br />
<br />
このプログラムは ICC を使って X11 と通信するので、画面が暗くなっても、マウスカーソルの明るさは変わりません。<br />
<br />
=== Xflux ===<br />
<br />
Xflux は X-Windows system 向けの [http://justgetflux.com f.lux] ポートです。日中は青に夜は黄色・橙色に画面を変化させることで、一日の流れに画面の輝度を合わせて夜ふかしを止めるのに役立ちます。<br />
<br />
AUR には ''f.lux'' を使用するためのパッケージがいくつか存在します [https://aur.archlinux.org/packages/?O=0&K=xflux]。「メイン」のパッケージは {{AUR|xflux}} で、''f.lux'' のコマンドライン機能を扱います。xflux パッケージの自動起動を行うためのデーモンも様々あります。<br />
<br />
=== redshift ===<br />
<br />
公式リポジトリに入っているプログラム [[redshift]] は、時刻と地理情報にあわせて {{ic|randr}} を使って画面の明るさを調整します。RGB ガンマ補正をしたり色温度の設定も可能です。{{ic|xcalib}} と同じように、ソフトウェアによる方法なのでマウスカーソルの見た目は変わりません。明るさのクイック調整を実行するために、次のようなコマンドを使ってみて下さい:<br />
<br />
redshift -o -l 0:0 -b 0.8 -t 6500:6500<br />
<br />
{{Tip|西経や南緯の場合は、負の値で入力してください。例えばカリフォルニア州バークレーならば:<br />
redshift-gtk -l 37.8717:-122.2728 <br />
}}<br />
<br />
=== NVIDIA の設定 ===<br />
<br />
[[NVIDIA]] のプロプライエタリドライバーを使っている場合、nvidia-settings ユーティリティの "X Server Color Correction" からディスプレイの輝度を変更することができます。ただし、バックライト (の強さ) には全く変更がされないので注意してください、あくまでカラー出力の調整だけが行われます (この方法で明るさを下げても電力効率は良くならないので他の方法が全て使えない時の最後の手段といったところです。明るさを上げると、露出オーバーの写真と同じように、色味が完全に落ちます)。<br />
<br />
== トラブルシューティング ==<br />
<br />
=== バックライト PWM 変調周波数 (Intel i915 のみ) ===<br />
<br />
LED バックライトを搭載したノートパソコンではときどき画面にちらつきが発生することが知られています。これは LED の点灯と消灯をヒトの目には識別できない時間で高速に切り替えることで明るさを制御しているためですが、(PWM 変調周期と呼ばれる) 切り替えの周波数が高くないために、はっきり判別できるほどのちらつきが生じたり、人によっては頭痛や眼精疲労の原因になることがあります。<br />
<br />
Intel i915 GPU を使っている場合、PWM 変調周期を調整することでちらつきを取り除くことが可能です。<br />
<br />
公式リポジトリから {{Pkg|intel-gpu-tools}} をインストールしてください。PWM 変調周期を決めているレジスタの値を取得します:<br />
<br />
{{hc|# intel_reg_read 0xC8254|<br />
0xC8254 : 0x12281228<br />
}}<br />
<br />
戻り値が PWM 変調の周期を表しています。PWM 変調周期を増加させるには、レジスタの値を減らす必要があります。例えば、上の例から周期を2倍にするには、次を実行します:<br />
<br />
# intel_reg_write 0xC8254 0x09140914<br />
<br />
オンラインの計算器を使って設定すべき値を計算できます http://devbraindom.blogspot.com/2013/03/eliminate-led-screen-flicker-with-intel.html<br />
<br />
詳しくは次のトピックを参照してください https://bbs.archlinux.org/viewtopic.php?pid=1245913<br />
<br />
Intel GM45 チップセットを使用している場合は 0xC8254 の代わりにアドレス 0x61254 を使用してください。<br />
<br />
=== カーネル 3.13 で Intel チップセットでバックライトが調整できない ===<br />
以下のファイルを追加すると直ります。<br />
{{hc|/etc/X11/xorg.conf.d/20-intel.conf|<br />
Section "Device"<br />
Identifier "Backlight fix"<br />
Driver "intel"<br />
Option "Backlight" "intel_backlight"<br />
EndSection}}<br />
<br />
=== sysfs を変更しても明るさが変更されない ===<br />
<br />
{{Note|この問題と解決方法は Dell M6700 と Nvidia K5000m (A10 より前の BIOS バージョン), Clevo P750ZM (Eurocom P5 Pro Extreme) と Nvidia 980m で確認済みです。}}<br />
<br />
環境によっては、キーボードの輝度ホットキーで {{ic|/sys/class/backlight/acpi_video0/actual_brightness}} の acpi インターフェイスの値は変更されるのに、画面の輝度が変更されないことがあります。また、[[デスクトップ環境]]の輝度アプレットが使えないこともあります。<br />
<br />
カーネルパラメータの変更をテストしてみて {{ic|xbacklight}} だけが動作する場合、BIOS とカーネルドライバーの互換性がない可能性があります。<br />
<br />
その場合、BIOS や GPU ドライバーのメーカーから修正がリリースされるのを待つしかありません。<br />
<br />
応急手段として inotify カーネル api を使って {{ic|/sys/class/backlight/acpi_video0/actual_brightness}} の値が変更されるたびに {{ic|xbacklight}} を実行することができます。<br />
<br />
まず {{Pkg|inotify-tools}} を[[インストール]]してください。そして inotify を使用するスクリプトを作成して、[[自動起動]]するように設定します。<br />
<br />
{{hc|/usr/local/bin/xbacklightmon|<nowiki><br />
#!/bin/bash<br />
max=/sys/class/backlight/acpi_video0/max_brightness<br />
level=/sys/class/backlight/acpi_video0/actual_brightness<br />
factor=$(awk '{print $1/100}' <<< $(<$max)) <br />
<br />
xblevel() { awk '{print int($1/$2)}' <<< "$(<$level) $factor"; }<br />
xbacklight -set $(xblevel)<br />
inotifywait -m -qe modify $level | while read -r file event; do<br />
xbacklight -set $(xblevel)<br />
done<br />
</nowiki>}}</div>
Hkiku482