Cela m’étonne. Certes pas à l’installation car l’installateur Debian ne permet pas de réutiliser un volume chiffré existant (grosse lacune à mon avis), mais as-tu essayé de l’utiliser après ?
Si, le paquet cryptsetup de Buster supporte le nouveau format LUKS 2 (format par défaut d’après les notes de publication). C’est seulement GRUB qui ne le supporte pas encore, mais ça n’a pas d’importance si /boot n’est pas chiffré car tout ce dont GRUB a besoin s’y trouve.
C’est-à-dire ?
Oui du fait de l’hibernation,car sinon ce n’est pas un problème s’il n’y a que des données, en considérant une seul machine. Si cette machine partage une partition de données chiffrées, hors hibernation tu peux l’utiliser.
C’est l’hibernation qui est responsable du problème, pas le partage.
C’est une explication du FDE, et qui précise notament qu’il y a des systèmes/logiciels FDE ou hybrid qui peuvent chiffrer le MBR.
La question c’est:
Hors l’OS pour utiliser le swap devra connaitre la passphrase/certificat/clef du chiffrement du swap.
Donc pour plusieurs OS, tu auras la passphrase/certificat/clef du swap sur chacun. Ce qui disperse celle-ci sur des systèmes dont le niveau de sécurité n’est peu être pas le même et comporterait des risques.
Sinon ca veut dire que tu utilises la même passphrase/certificat/clef partout.
Non, c’est la combinaison des deux. Si une partition de données ou de swap est partagée, on ne peut (ou plutôt doit) pas hiberner un système et démarrer un autre. Par contre on peut hiberner et redémarrer le système en hibernation. Mais si GRUB ne mémorise et ne lance pas par défaut le dernier système démarré et si le système en hibernation n’est pas le système démarré par défaut, alors le risque de démarrer un autre système que celui en hibernation n’est pas négligeable.
Je regarderai à tête reposée mais a priori je ne vois pas comment on peut chiffrer tout le MBR car le programme d’amorce doit être en clair (au moins en partie) pour être exécutable.
Oui.
Ou bien, si on renonce à utiliser l’hibernation, on peut utiliser une clé aléatoire générée à chaque démarrage.
Franchement, c’est ce que je ferais.
Je dirais que oui, car je les ai démarré et je n’ai eu aucun message d’erreur (je précise bien openSUSE et CentOS) Après je n’ai pas poussé car j’étais focus a installer tous mes différents OS
je veux dire que j’ai créé des partitions /boot/
car j’essayai de mettre le tout dans le /efi que windows avait créé.
J’ai fais un bêtise apparemment car on doit mettre un SWAP autant qu’on a de ram. et j’en ai 12Go alors que j’ai créer des SWAP de 7Go. Bref j’éteins mon pc à chaque utilisation, je ne me sers jamais de l’hibernation.
Je parlais d’utiliser le swap chiffré de CentOS/openSUSE sous Debian.
Je ne sais pas pour les autres, mais le /boot de Debian n’est pas prévu pour être dans la partition EFI puisque celle-ci doit elle-même être montée sur /boot/efi d’une part, et d’autre part le système de fichiers FAT non « Unix » de la partition EFI n’est pas adapté au fonctionnement de dpkg, le gestionnaire de paquets de Debian.
Non, c’est seulement une recommandation un peu absurde. La quantité de swap nécessaire est impossible à déterminer a priori, elle dépend plus de l’utilisation que de la quantité de RAM et ce n’est qu’à l’usage qu’on peut l’évaluer.
non non justement, désolé si je ne me suis pas exprimé comme il faut mais cette partition swap était apparemment compatible entre CentOS ET openSUSE mais incompatible avec Debian
je navigue sur le net, quelques films et musique, bureautique, un peu de programmation rien de bien gourmand non plus.
Bref en tout cas tout est installé comme il faut. tout marche a merveille.
Permets-moi d’en douter. Comment as-tu établi cela ?
non peut-être je ne dis pas le contraire. si je me souviens bien j’ai d’abord installer CentOS et après openSUSE et ce dernier ma demandé tous les mots de passe des partitions cryptés. Et alors j’ai pu attribué ma partition CentOS SWAP à openSUSE
Je ne remets pas en cause la compatibilité de CentOS et openSUSE mais la supposée incompatibilité de Debian. Si tu t’es contenté de constater que l’installateur ne pouvait pas utiliser le swap chiffré, alors c’est insuffisant. As-tu essayé d’ouvrir la partition chiffrée avec cryptsetup, puis activer le swap contenu dans le volume chiffré résultant avec swapon ?
aucune idée. mes os sont installés, besoin de mon ordi je ne refais pas les installs lol. au pire en virtualBox.
Personne n’a parlé de refaire une installation.
@Fred74 ,
aurais tu la possibilité de faire une capture d’écran de gparted dans lequel tous verrons ce que tu as dans ton disque dur, toutes les partitions incluses et swap et des OSs présents, merci 
Juste après avoir écrit que le MBR n’est pas chiffré, et sans expliquer ce qu’est un « FDE hybride » ni fournir d’exemple concret. Je reste sur ma faim, et sur ma position : à défaut d’un firmware ou d’un matériel gérant le déchiffrement, le MBR et plus généralement l’élément initial du chargeur d’amorçage ne peut être chiffré.
A choisir, je préfèrerais la sortie texte de lsblk.
C’est drole ça ? honnêtement je prefere les « images » on y voit toutes les partoches une par une avec sda1 pour debian sda2 pour centOs sda 3 pourXXX sda4 pour swap j’y voit a tord ou a raison de connaître +/-le PB
je fais ça depuis + de 15 ans … alors le texte … lsblk juste pour « lire »
Chacun voit les manières a sa façon , c’est marrant avec debian que j’apprécie
Finalement, ni l’un ni l’autre… On reste sur sa faim (et sur sa fin?) 