/boot est normallement dans la partition LUKS, sinon ton chiffrement ne sera pas sur.
Et comment on fait ça ?
Par ailleurs, c’était pas la question…
/boot fait partie de tes partitions LVM sur LUKS
Il faudra juste que tu change le type pbkdf de chiffrement en pbkdf2.
Mais comment la machine démarre alors ?
Normallement, via l’UEFI.
Celui-ci sait que /boot est sur le lvm over luks, il va donc demander la passphrase de déchiffrement et ensuite lancer grub.
Qui lui sait ce qu’il doit lancer aussi, demandera le déchiffrement nécessaires aux partitions.
1 J'aime
Quand je fais une machine LVM over LUKS, je prend toujrosu le soin, dès que j’ai créé le LUKS de le modifier.
Dans truc et astuce, j’ai un post qui parle d’installation lvm over luks qui donne la manipulation à faire en console.
PS: cette solution risque d’évoluer avec l’arrivée de Trixie et systemd-boot et Ukify (UKI: united Kernel Image)
Où ça ?
Ici Tutoriel installation Debian avec netinst RAID1+LUKS+LVM - #2 par Zargos
(c’est l’instalaltion RAID+LUKS+LVM. Mais c’est pareil sans le RAID 
Bon j’ai rééssayé et je sais pas pourquoi mais l’installation en mode graphique bloque à l’étape « configurer le clavier », comme j’avais déjà eu.
J’ai pourtant vérifié le checksum de l’ISO (l’officielle stable), donc je ne comprends pas le problème.
J’ai retenté en installation en mode non-graphique et ça a marché, mais j’ai pas trouvé du tout d’option pour définir une partition EFI.
Y’avait « /dos » et « /windows » parmi les choix, j’ai supposé que /windows pouvait être EFI donc c’est ce que j’ai choisi.
Et j’ai pas vu de message d’erreur « aucune partition EFI détectée » que j’ai d’habitude quand j’oublie.
Mais au final le PC ne démarre pas, et quand j’examine y’a rien dans la partition EFI.
Y’aurais une explication claire de là où j’ai merdé ?
il faut etre en installation expert.
Et quand tu fait ta partition (-non lvm) pour /boot/efi, dans la liste des filesystemes il a pour EFI.
Va voir le lien Tutoriel installation Debian avec iso netinst - #3 par cleloup
Fondamentalement c’est la même chose pour Debian 13
1 J'aime
Merci !
Je devrais avoir le temps de faire ça aujourd’hui : il faut tout réinstaller ou bien je peux juste installer l’EFI ?
Et si je réinstalle tout, est-ce que ne pas formater les partitions est une option pour gagner du temps ?
(genre il va voir que les paquets sont là et ne pas tenter de les réinstaller)
Ce n’est pas vraiment une bonne idée. Mieux vaut faire propre si on considère que tu as eu plusieurs problèmes tu risques de les conserver.
Sinon il te suffit de passer par un rescue avec le media d’installation et de faire l’installation de l’EFI si tu as utilisé EFI ou de systemd-boot sinon (ce qui serait mieux par ailleurs)
1 J'aime
Nouveau problème : la clé Ventoy est reconnue au boot, mais quand je démarre dessus j’obtiens non pas le menu Ventoy de la clé mais le menu grub du disque principal…
Y’a une explication ?
Une solution ?
oui il faut changer le mode de démarrage de ta clef ventoy. Je ne sais plus de mémoire mai il ne faut pas démarrer ton iso en GRUB.
Tu demarres en mode normal si le grub2 ne marche pas (ce qui est tout le temps le cas chez moi quelque soit la machine)
Nan mais j’accédais même pas au menu Ventoy, hein.
Ça partait directement sur le grub du PC.
On m’a dit que la clé était corrompue, donc j’ai copié l’ISO sur une autre clé.
Après une tentative en expert graphical install qui a merdé, j’ai fait une expert install (non graphique donc) qui a fini par marcher.
On notera que j’avais toujours pas l’option EFI, mais qu’en indiquant /boot/EFI comme point de montage ça a marché quand même…
On notera que la partition EFI que j’ai créée est entièrement vide, même avec ls -al.
Donc pas sûr que « ça a marché quand même » mais en tous cas je peux booter sur le disque dur en question, ça lance le grub et ensuite le déchiffrement du disque.
Tu aurais du faire ton installation avec systemd-boot à la place de grub. Ça marche mieux je trouve personnellement, en particulier avec un système avec disque chiffré (et donc sans exposer son /boot) et aussi avec Secure boot.
1 J'aime
J’avoue que je comprends pas bien Secure Boot.
J’ai compris que c’est un truc qui teste que le boot démarre bien un système signé avec la bonne clé, mais pas beaucoup plus.
Et notamment je comprends pas qui décide de ce qui est ou non « la bonne clé », or c’est un élément plus qu’important pour un système libre.
Si quelqu’un accès à ton PC (disques chiffrés), il ne peut normalement accéder à la partie chiffrée.
Mais il peut modifier le boot pour faire en sortede hacker le chiffrement.
Pour le faire, il n’a pas besoin de dechiffrer tes disques, le boot etant non chiffré.
Si tu as le secure boot, le système refusera de démarrer parce qu’un boot modifié de cette façon ne sera ps chiffré correctement avec la bonne clef.
Le Secure Boot sert à garantir l’intégrité de ton noyau de démarrage.
Sans lui, le chiffrement d’un disque est quasiment inutile.
Comme je disais, je comprends le principe, mais je ne comprends pas les détails.
Et notamment qui choisit la clé de chiffrement qui signe le boot…