Installer plusieurs Linux cryptés LVM - partage de données

Bonjour à tous,

j’ai planté mon GRUB à l’installation d’un nouveau Linux (CentOS) en parallèle … Bref je me retrouve a réinstaller la totalité de mes OS … J’avais eu déjà des soucis mais cette fois c’est mort. Ça va me permettre de faire un brin de ménage sur mon disque dur.

Bref, passé à Linux depuis quelques années (que du pur bonheur) je voudrais crypter mon disque dur.

Je vous explique ma configuration, J’ai une partition Windows, et trois Linux (Debian, OpenSUSE et CentOS)

Debian est la base pour moi les deux autres j’ai beaucoup testé de différent Linux. Finalement je reste sur ceux la car je recherchais plutôt des licences GNU GPL

tout d’abord je tiens a préciser que je ne partagerai PAS mes données avec Windows. Donc pas de partition NTFS cette fois.

Donc pour résumer :

Partition 1 : Debian

Partition 2 : OpenSUSE

Partition 3 : CentOS

Partition 4 : SWAP

Partition 5 : Mes données

Partition 6 : Windows 10

est-ce possible d’après vous ? est-ce fiable ?

j’ai installé Debian sur un autre ordinateur portable il y a quelques années crypté et je n’ai aucun soucis jusque la. Mais je n’ai QUE Debian d’installé.

Merci pour vos réponses.

Quelle partition seront chiffrées ?
Le plus simple, c’est de chiffrer uniquement les données et le swap

Sous réserve de dire une betise il te suffit de prévoir des partitions de libre pour installer les n+1 distributions et d’installer le boot de chaque sur la partition originelle.

Exemple si tu as sda, sdb, sdc et que tu veux un grub avec tes trois distros mets le boot sur sda.

ps: pour l’encryptage trois disques serait plus intelligent je pense

Pourquoi le SWAP? il ne peut pas être commun à tous les OS, chacun doit avoir le sien.

C’est mieux si tu veux faire du FDE (Full Disk Encryption), car en multi-boot sur un même disque, ce ne sera pas possible de faire du FDE.

en effet données et swap serait l’idéal

Mouai, je suis tenté d’oublier ça alors…

Pourquoi ça ? J’ai toujours utilisé le sawp commun entre tous mes Linux et je n’ai jamais eu de problème

je viens réinstaller Windows, j’enchaîne les Linux mais je crois que je vais oublié le cryptage, trop difficile. j’aurai bien installé Debian seul mais je préfère garder Windows on the side au cas ou, même si je ne m’en sert plus du tout.

Tu ne peux pas si tu chiffres tes différents systèmes.
Et sinon, ce n’est pas une bonne idée en terme d’architectrue système, car tu casses ton swap pour une raison ou une autre, il le sera aussi sur les autres système. Idem si tu as des changement de UUID.

Tu es sûr car il me semble que le grub se lance avant le decryptage

Le FDE c’est du full disk encryption, donc un seul chiffrage pour tout le disque, hors je doute que le chiffrage de disque pour Linux et Windows soient compatible.

LVM est mentionné dans le titre, mais plus ensuite, tu ne parles que de partitions. Comment comptes-tu l’utiliser ?

Quelle partition originelle ? Si tu parles de partager la partition /boot entre plusieurs installations, c’est une très mauvaise idée (mélange des fichiers des noyaux et de GRUB).

Pourquoi ?

Si, à condition d’accepter quelques contraintes concernant l’hibernation.

Pourquoi donc ?
De toute façon on ne peut pas chiffrer complètement un disque de boot, car la partie servant à l’amorçage ne peut pas être chiffrée : au strict minimum la boot image et la core image de GRUB, la partition EFI si amorçage UEFI, et par défaut tout le contenu de /boot lors d’une installation avec l’installateur Debian (je ne sais pas pour les autres). Par contre on peut chiffrer tout le reste, indépendamment du multiboot sur un même disque.

Tu parles uniquement de la partition de données partagées ou aussi des /home de chaque distribution (partager les /home n’est pas une bonne idée) ?

Bien sûr que si.

En effet, c’est pourquoi il ne peut être chiffré en totalité.

Oui.

Interprétation abusive.

Grub2 n’est il pas « intelligent »?

Effectivement, pour le partage de /home entre différents systèmes, il faut prendre quelques précautions mais c’est possible.

En fait si tu peux, windows c’est certains, debian je ne crois pas, d’où le fait qu’en multiboot tu ne peux pas. Une de mes anciennes boites pratiquait le FDE sur des machines windows.
Certes tous les logiciels / hardware FDE ne peuvent pas chiffrer le MBR mais certains le peuvent.

Tu es alors obligé d’avoir exactement le même chiffrement pour chaque système l’utilisant.
Sinon, tu ne peux pas mettre un système en hibernation pendant que tu utilises l’autre.

Une chose est certaine et c’est que tu peux booter par une cle usb en ayant un disque crypté sur un ordi

Oui ca marche pas mal, j’avais testé. En utilisant en plus un certificat au lieu d’un mot de passe pour débloquer le disque.

Perso je trouve que c’est le top (sauf si tu perds ta clé usb…mais bon…là c’est plus une question de darwinisme linuxien)

Pas assez pour identifier à quelle distribution appartient chaque noyau présent dans une partition /boot commune. C’est même pire que ça : chaque distribution va installer son propre GRUB dans /boot donc écraser celui installé par la distribution précédente. Et en croyant lire le fichier grub.cfg de chaque autre distribution pour inclure les entrées de menu de celle-ci dans son propre grub.cfg, il va en fait lire son propre fichier grub.cfg !

Non, pas même Windows. Quel que soit le système, il y a des invariants : le fait que le firmware BIOS/UEFI, selon le mode d’amorçage, doit charger et exécute un programme d’amorce contenu dans le MBR ou dans la partition EFI qui ne peut donc pas être chiffré. Pour que le disque de boot soit intégralement chiffré il faudrait que le firmware soit capable de lire le format de chiffrement utilisé, comme Coreboot/Libreboot par exemple.

Le même que quoi ? S’il n’y a qu’un swap, celui-ci utilise un type de chiffrement. Il n’y a pas un type de chiffrement par système mais par volume chiffré.

Cette contrainte existe même sans chiffrement. Et ce n’est pas la seule contrainte sur l’hibernation liée au multiboot : une partition utilisée par un système en hibernation ne peut/doit pas être utilisée par une autre système, ce qui rend de facto l’hibernation inutilisable avec une partition de données partagée.

https://fr.continuousdev.com/13623-full-disk-encryption-fde-4304

ce qui veut dire que tu as besoin de deux de-chiffrement alors? un pour le système un pour le swap, avec une dispersion du chiffrement du swap sur tous les systèmes. ern cas de FDE, je ne suis pas sur que ce soit facile à faire.

et c’est d’ailleurs un des arguments les plus important sur le fait de ne pas partager le swap.

J’ai pour politique de ne pas suivre un lien « sec » (plaqué sans explication). Qu’est-ce que ça raconte ?

Je ne comprends pas un mot de ces deux phrases. Deux quoi ? Qu’entends-tu par « dispersion du chiffrement » ?

Argument non valable dans le cas présent puisque le partage d’une partition de données a déjà le même inconvénient.

me voila de retour après avoir réinstaller 3/4 fois tous mes OS histoires de bien comprendre.

le swap pouvait être partagé entre openSUSE et CentOS, mais pas avec Debian, je dis peut être une bêtise mais je vois que le chiffrement existe en deux versions LUKS. ayant mis openSUSE et CentOS avec un swap en commun, Debian lui ne l’acceptant pas, peut être que Debian ne gère pas la version 2 et seulement la 1 ?

Bref j’ai réinstaller tous mes systèmes et chacun avec ses swap respectif (ok ça fait 7x3 Go de « perdu » ) mais au moins je suis tranquille. j’évite les problèmes futurs lors des éventuelles mises a jour, ne sait on jamais.

bien entendu tous les swap et racine cryptés, le boot non.

et je recherchais partition standard. je pensais que LVM étant un type de cryptage, après recherche sur le net je me suis rendu compte de mon erreur…

la il me reste à charger automatiquement ma partition de données sur ces trois Linux. je le rappel Windows lui n’aura pas accès a ces données. donc ext4 crypté

CentOS a demander son boot perso ainsi que Debian. OpenSUSE n’en a pas exigé

je pense que openSUSE et CentOS utilise le même type de chiffrement car lors de l’installation il m’a demandé de saisir le mot de passe de la session et l’accepte en SWAT partagé