j’ai essayé mais tro pchiant
justement je cherche un truc un peu efficace : ma ligne de commande m’aide mais il manque les vieux log ; sais-tu comment obtenir les vieux log qui ne sont plus données par journactl ?
si tu n’as que journalctl alors tu ne peux pas, c’est lié à la configuration de journald.
Perso j’utilise en parallèle rsyslog
N’ayant pas eu de réponse sur ce qui cause le problème d’installation, j’attends la sortie officielle de Trixie la semaine prochaine pour tenter avec l’ISO stable.
Est-ce que j’ai intérêt à créer le volume LUKS sur le disque en attendant (vu le temps que ça prend) ?
C’est facile à l’installation de lui dire d’installer sur le disque LUKS ?
La difficultée c’est que pour le moment l’installateur impose l’Argon2i comme PBKDF, ce qui impose de ne pas mettre boot dans la partie chiffrée; ce qui rend inutile l’utilisatrion d’un disque chiffrée, car il est assez facile (bien que pas simple) de hacker la machine physiquement.
Pour pouvoir le faire un peu mieux il faut avoir la partition UEFI extérieure à LUKS et boot dans LUKS. Ce qui oblige à utilise PBKDF2 au lieu de ARGON2I.
Mais l’UKI cela change pas mal le point de vue. Je n’ai aps encore regardé ça de près pour le moment. J’attends la version stable pour faire des essais.
UKI je sais pas ce que c’est.
Par ailleurs GNUBoot fonctionne avec un boot chiffré il me semble ?
(pas encore installé sur ma machine, je dois dire)
Et ça ne répond pas vraiment à la question, à moins que ce que tu veuilles dire par omission c’est que oui c’est facile à l’installation de lui dire d’installer sur le disque LUKS préalablement créé pour peu que l’on aie laissé une partition non chiffrée pour le /boot ?
(au passage je rappelle à ceux qui chiffrent leur disque dur et laissent un /boot non chiffré que la taille par défaut donnée par l’installateur est bien trop faible, il faut mettre au point 1 Go pour pas être régulièrement emmerdé par la suite)
C’est un disque chiffré pour rien, car un /boot (hors /boot/efi) non chiffré permet à un attaquant ayant accès à la machine de modifier la clef pour ensuite déchiffrer le disque. Ne me demandez pas comment je ne sais pas le faire. Mais en gros, il suffit de faire croire au /boot (c’est faciel vu qu’on y a accès) que le disque chiffré qu’on lui présente est le bon et le tour est joué.
C’est l’Unified Kernel Image. Elle arrive avec Trixie. Au lieu d’avoir une partie de démarrage dans l’UEFI puis une autre partie avec grub, il n’y a plus qu’un noyau de démarrage. A voir de près quand à la sucité induite. Mais poru les systèmes chiffré fini la saisie de la clef en QWERTY avec l’UEFI pour chaque disque chiffré, et ensuite en AZERTY avec grub.
J’ai tenté l’installation à partir de l’ISO net-install de la release stable, arrivé au partitionnement j’ai débranché le câble parce qu’il était pas assez long et quand je l’ai rebranché après, l’installation n’a pas voulu reprendre.
Ce qui me donne l’occasion de poser la question ici…
Pour le partitionnement, la solution par défaut met une swap pourrie, et dans le cas d’un disque chiffré, une taille très insuffisante pour la partition /boot (sur ma machine actuelle où j’ai gardé les options par défaut, à chaque fois que je fais un update du noyau sans avoir vidé les noyaux précédents j’ai une erreur de dpkg car il n’y a plus de place sur /boot).
Donc je suis passé en partitionnement manuel, en commençant par chiffrer tout le volume sauf 2 Go (pour le /boot).
Après ça je sais pas pourquoi mais pas moyen de trouver comment réduire la taille de la partition que je voulais créer sur le volume LUKS (pour pouvoir créer plusieurs partitions, donc).
Donc je suis passé par LVM même si ça n’a pas énormément de sens sur un portable qui n’a qu’un disque.
Mais comme dit ailleurs, si je me suis finalement rappelé qu’il fallait non seulement la partition /boot mais aussi une partition EFI, je n’ai pas réussi à me rappeler comment on crée et configure la partition EFI…
Pour l’instant j’ai un groupe de volumes LVM sur un volume physique, avec à l’intérieur 5 volumes logiques : 70 Go pour la racine, 700 Go pour la /home, 16 Go pour la swap, 200 Go sans point de montage pour l’instant pour les VM Xen, et 5 Go pour /var/log.
Plus une partition de 1,8 Go pour /boot et 200 Mo pour la EFI mais encore une fois que je ne retrouve plus comment configurer.
C’est correct comme partitionnement ?
J’ai oublié quelque chose ?
(à part comment créer l’EFI)
LVM ca a toujours justement pour des cas comme celui que tu as rencontré.
Tu n’utilises pas la même partition chiffrée pour deux installations, ce n’est pas pertinent. Chacune la sienne.
Le partitionnement par défaut date de mathusalem sans aucune pertinence avec l’évolution des système; c’en serait même presque pathétique.
Partition primaire (pas de lvm, avec type EFI dnas la liste des choix de filesystem (c’est en bas juste avant le swap)
trop petit si tu dois utiliser auditd. Si c’est le cas, il te faut 5G pour /var/log, et 5G pour /var/log/audit
Si tu ne les utilises pas, laisse vide. Ton VG maintiendra de la disponibilité. On est pas obligé de tout utiliser tout de suite.
C’est trop petit. Car si à terme tu utilises systemd-boot (ce qui devrait être le cas en fait, le grub efi utilisé jusqu’ici va être amené à disparaître) la taille sera 4 à 5 fois trop petite.
Ah.
Donc 1 Go pour EFI ?
Et 1 Go pour /boot ça suffira ?
oui ça devrait aller d’après mes calculs actuels 
J’ai repartitionné avec Gparted (+cryptsetup en CLI puisque Gparted ne sait pas faire de partition LUKS) depuis ma Debian Bookworm sur mon disque actuel pour agrandir les deux partitions /boot et EFI, ce qui fait que j’ai dû détruire la table de partition (sinon Gparted ne voulait pas réduire la partition chiffrée).
Vu que j’avais déjà rempli la partition chiffrée de zéros, j’ai pas besoin de le refaire après sa destruction/recréation ?
/boot est normallement dans la partition LUKS, sinon ton chiffrement ne sera pas sur.
Et comment on fait ça ?
Par ailleurs, c’était pas la question…
/boot fait partie de tes partitions LVM sur LUKS
Il faudra juste que tu change le type pbkdf de chiffrement en pbkdf2.
Mais comment la machine démarre alors ?
Normallement, via l’UEFI.
Celui-ci sait que /boot est sur le lvm over luks, il va donc demander la passphrase de déchiffrement et ensuite lancer grub.
Qui lui sait ce qu’il doit lancer aussi, demandera le déchiffrement nécessaires aux partitions.
1 J'aime
Quand je fais une machine LVM over LUKS, je prend toujrosu le soin, dès que j’ai créé le LUKS de le modifier.
Dans truc et astuce, j’ai un post qui parle d’installation lvm over luks qui donne la manipulation à faire en console.
PS: cette solution risque d’évoluer avec l’arrivée de Trixie et systemd-boot et Ukify (UKI: united Kernel Image)
Où ça ?
Ici Tutoriel installation Debian avec netinst RAID1+LUKS+LVM - #2 par Zargos
(c’est l’instalaltion RAID+LUKS+LVM. Mais c’est pareil sans le RAID