Partitions chiffrées sur un même disque dur - Debian 12

[Darscol]

Bonjour,

J'ai un Dell Latitude 5580 et pour des raisons professionnelles, il m'est demandé de chiffrer mon disque dur.
J'ai commencé à partitioner mon HD de la façon suivante (HD de 500Go) avec l'installateur graphique (pas le mode expert) sur une clé USB d'installation amorçable de Debian 12:

• /dev/sda1 fat32 /boot/efi 2Go

• /dev/sda2 ext4 / lvm, swap, root chiffré 468Go (environ)

• /dev/sda3 exFat 30 Go

L'installation se fait mais au démarrage je tombais sur un prompt grub> systématiquement.

J'ai recommencé avec cette partition

• /dev/sda1 fat32 /boot/efi 2Go

• /dev/sda2 ext4 / lvm, swap, root chiffré 50Go (logiciels de gros volume à installer ultérieurement dans /opt ou /usr/local)

• /dev/sda3 ext4 /home lvm chiffré 418Go (environ)

• /dev/sda4 exfat 30 Go

Et naturellement le problème a été le même: prompt grub>

J'aimerais garder la partition exFat pour faire des partages de fichiers entre les différents utilisateurs. Elle devra être aussi chiffrée par la suite.

Donc comment me conseillez-vous de procéder pour réaliser ce chiffrage?

J'aimerais aussi créer deux comptes: un compte administrateur et un compte utilisateur standard.

Ensuite, j'aimerais ne pas avoir à rentrer à chaque fois la(les) passphrase(s) et pouvoir me connecter sur ces comptes simplement avec les mots de passe.

Voilà, j'attend vos conseils.

Merci par avance

[lol]

Salut,

Le plus simple est de chiffrer la partition /home.
Le reste n'a typiquement pas besoin de l'être, il n'y a que des fichiers système dedans.

https://wiki.debian.org/TransparentEncr ... HomeFolder
Ça utilise encryptfs ou cryptsetup je ne sais plus...
Ton /home sera chiffré jusqu’à ce que tu ouvres une session. La "passphrase est ton mot de passe. Il doit être robuste évidemment.
C'est très stable, je n'ai jamais eu de problème avec ce système.

Si quelqu'un vole ton PC il ne pourra pas voir les fichiers qui se trouvent dans /home (Tes fichiers personnels).
Plus ton mot de passe est solide plus les données sont inaccessibles.

[Darscol]

Waooh,

Merci beaucoup pour cette réponse aussi rapide!
Je n'ai pas l'habitude. Super. Merci beaucoup.

Je vais donc procéder de la sorte avec cryptsetup.
Pour être sur d'avoir bien compris, est-ce que les codes des logiciels propriétaires sont aussi dans /home? À priori ce serait le cas.
Pa ailleurs, j'aimerais aussi utiliser Windows 10 en mode virtualisation (kvm+qemu) car j'ai des logiciels qui ne marchent que sur Windows.
Je ne veux pas faire du dual-boot avec Windows. Je l'ai déjà fait et Windows corrompt régulièrement les autres systèmes sur le HD (protocole "fast boot" ou "fast startup"? lors de la mise-à-jour de pilotes ou autres avec des "kernel panic" à la clé sur les autres OS). Windows doit être bien circonscrit dans sa zone de mon point de vue par (mauvaises expériences)! Par ailleurs, selon le site qemu, avec kvm on obtiendrait un OS Windows plus rapide (comment est-ce possible?).
Dois-je donc créer une autre partition spécifique sur laquelle les fichiers Windows seraient entreposés? Sinon sur quelle partition ces fichiers seraient-ils entreposés? usr/local ? et peut-être une autre /opt ? Ou seront-ils tout simplement dans /home?

Par contre, j'ai aussi quelques difficultés pour faire le réglages des "drapeaux" pour les différentes partitions. Où pourrais-je avoir des informations détaillées et correctes (car il y a des sites qui donnent parfois des informations contradictoires!) à ce sujet? Notamment le drapeau bios-grub.
Aussi les volumes en Go conseillés par partition; notamment la partition racine "/" contenant des gros volumes dans /usr/local et /opt.

Enfin, me conseillez-vous de désactiver le root avec la commande:

Code : Tout sélectionner

sudo passwd -dl root

Merci encore par avance.

[lol]

Re,

C'est un peu plus compliqué que je ne l'imaginais.
S'il y a des logiciels propriétaires (Installés dans /opt j’imagine) il vaut mieux chiffrer tout le système.
C'est au delà de mes compétences immédiates ie je ne l'ai pas fait suffisamment souvent pour te guider.

Pour ce qui est de Windows, je pense qu'il est préférable d'installer un dual-boot.
Je n'ai jamais eu de problème particulier (si tu peux désactiver le safe-boot ce sera plus simple évidemment.)
Les seuls effets de bord que je connaisse est le remplacement par Windows du chargeur de démarrage et la suppression (C'est récent mais ça arrive régulièrement) de Windows dans la liste de Grub... Je n'ai jamais vu de corruption de partition et je l'utilise depuis des années sur plusieurs machines.

La virtualisation est à mon avis plus casse gueule et réclame beaucoup de ressources.

Edit: Ha si. Si Windows est aussi chiffré gardes bien la clef à portée de la main, car parfois suite à une mise à niveau de Debian, Bitlocker coince et demande la clef pour démarrer.
Ça m'arrive tous les 6 mois environ...

[Darscol]

Re-bonjour,

Merci encore pour ces retours.

Au sujet de Windows, c'est bien ce qui semble m'être arrivé plusieurs fois avec Bitlocker... Qui plus est, sur ma machine, il n'y a pas que Windows qui pourrait poser problème: il y a un support de Dell à distance pour les pilotes et autres petites choses. Et j'ai bien l'impression que lors de certaines mise-à-jour de pilotes ou autres pour Windows tout spécialement, le processus de modification des fichiers se fait suffisamment "en profondeur" pour provoquer les crashes des autres OS à la suite de ces interventions; peut-être une réactivation insidieuse du "fast boot" ou "fast startup" à ces occasions. Et je pense que c'est ce qui m'est arrivé dernièrement. Par ailleurs, on me conseillait de chiffrer aussi la partition swap qui garde des traces des fichiers imprimés par exemple..... Très compliqué tout ça. La solution de chiffrage Hardware est vraiment la moins compliquée! Mais c'est aussi naturellement la plus cher...

Conclusion: je ne vais fonctionner qu'avec Debian et abandonner le dual-boot et peut-être plus tard faire de la virtualisation avec Windows et voir si ça fonctionne pas trop mal. Je verrai.

Maintenant, si je procède comme indiqué dans mon premier message, je ne parviens pas à me connecter sur ma partition /home et je tombe systématiquement sur un prompt GRUB (2.06). J'ai essayé le logiciel "Boot-Repair-disk" mais ça n'a pas fonctionné. Et je n'arrive pas à créer une seul partition chiffrée contenant le répertoire racine "/" et le répertoire "/home" en même temps. J'ai essayé aussi de créer le "plan" de partitions suivant:

• Une partition fat32 de 2Go avec le point de montage "/boot/efi" et les drapeaux bios-grub et boot

• Une partition ext4 de 450Go environ (drapeau lvm et bios-grub)

• La partition de partage de 30Go en exFat

Mais, je tombe sur des comportement curieux avec l'installateur graphique de Debian quand je veux cloisonner la partition LVM en partitions dédiées à chaque répertoire /home, /usr, /swap, etc... Impossible de remplir cette partition LVM qui peut contenir des partitions avec des volumes en To ! Il reste toujours une partition vide impossible à remplir! C'est la paradoxe de Zénon mode codage à croire! En plus, je ne sais pas s'il faut recréer une partition /boot/efi à l'intérieur de cette partition LVM ou pas et si elle fait ou pas double emploi avec celle hors cette partition LVM. Et quels drapeaux mettre reste une question difficile pour moi. Donc, ça coince encore. Comment faire ce chiffrage?

Dans le bios-setup, il y a des fichiers dans l'éditeur UEFI qui restent d'anciennes installations et que je ne parviens pas à virer. Il y a donc aussi un problème avec ce BIOS vraisemblablement...

Dernière solution: tout effacer sur le disque dur, nouvelle table de partition GUID, et installation non-chiffrée de Debian sur tout le disque. Puis après installation, réduire le partition ext4 pour faire de la place à ma partition exFat, puis chiffrer la partition ext4 avec l'installateur graphique de Debian avec la clé USB d'installation... par la suite... Je sais pas si ça marchera et si en raison du chiffrage il faudra tout reprendre à zéro.

Pas triste le chiffrage...

Voilà, voilà....

[piratebab]

Bonjour,
ça fait longtemps que je n'ai pas installé une debian from scratch.
de mémoire, dans le mode avancé, tu as la possibilité de chiffrer tes partitions depuis l'installeur de debian. Je te conseille l'installeur non officiel qui contient les pilotes proprios pour certains matériels, c'est moins casse tete.
Quand au nombre de partitions, il est tentant de fractionner son disque, théoriquement c'est mieux. Mais en pratique, ça devient vite compliqué à gérer. Je te conseille de faire simple:
- une partition système bon chiffrée
- une partition home chiffrée


Pour tes logiciels proprios, tu peux éventuellement créer une partition spécifique qui sera montée automatiquement (une ligne dans le fichier fstab).
Pour windows, la virtualisation fonctionne pas trop mal. Ça fait bien longtemps que j'ai arrête le dualboot, j'en avait marre de réparer GRUB.

[Darscol]

Merci à vous deux lol et piratebab.

En fait, je viens de réussir le chiffrage et la création des deux partitions, l'une chiffrée contenant Debian et l'autre au format exfat. Je suis en train d'utiliser cryptsetup pour chiffrer la partition de 3OGo et faire l'agglomération des phrases secrètes et des mots de passe avec cryptsetup pour n'avoir qu'à rentrer un mot de passe pour déchiffrer la partition quant on se connecte au compte d'un utilisateur.

Quand j'aurai terminé, je mettrai un message où j'indiquerai toute la procédure que j'ai utilisée à l'attention d'autres personnes sur le forum qui seraient intéressées par le sujet. Je ne sais pas encore combien de temps cela va me prendre avec cryptsetup; donc un peu de patience, le temps me manque, mais je m'engage à le faire tôt ou tard.

Je constate donc bien que la virtualisation pour Windows marche et que peut-être, comme indiqué sur le site https://wiki.debian.org/QEMU de QEMU, que Windows est plus véloce en mode virtualisation avec l'accélérateur kvm que Windows installé sur une partition supplémentaire pour un fonctionnement en dual-boot. Ce qui est assez stupéfiant sur les progrès réalisés par les développeurs en matière de virtualisation. Et de constater que d'autres que moi ont fini aussi par en "avoir marre" (l'expression est faible..., plus que marre ) d'avoir à réparer GRUB en dual-boot... à la suite de "kernel panic" intempestifs et très corrupteurs d'autres systèmes que Windows.

Merci encore et je reviendrai sur ce sujet dans un autre message pour indiquer en détails la procédure que j'ai suivie.

[piratebab]

Pour faire tourner des programmes win, j'utilise maintenant Play On Linux.
Ca permet de choisir la version de wine à utiliser, et de cloisonner chaque logiciel
C'est parfois laborieux pour arriver à faire fonctionner un logiciel, mais quel bonheur de se passer de windows!

[lol]

...
Quand j'aurai terminé, je mettrai un message où j'indiquerai toute la procédure que j'ai utilisée à l'attention d'autres personnes sur le forum qui seraient intéressées par le sujet. Je ne sais pas encore combien de temps cela va me prendre avec cryptsetup; donc un peu de patience, le temps me manque, mais je m'engage à le faire tôt ou tard.
...

Et tu en sera remercié !

[vv222]

Je te conseille l'installeur non officiel qui contient les pilotes proprios pour certains matériels, c'est moins casse tete.

Ce n’est plus d’actualité depuis Bookworm, c’est même pour ça qu’on a maintenant une section "non-free-firmware" dans les dépôts

[Darscol]

Je vous en prie, cela me paraît tout à fait normal et le contraire serait indécent compte-tenu du travail en plus sans doute bénévole des administrateurs, des modérateurs et de bien d'autres certainement sur ce forum.

Pour l'instant, j'ai un problème de connexion Wifi avec ce portable que je n'arrive pas à résoudre. Donc je ne peux pas télécharger de paquets ni naviguer sur internet. C'est une mauvaise surprise et j'ai sans doute du mal faire les choses à ce niveau ---peut-être avec l'installation des pilotes de périphériques--- au moment de l'installation de Debian (à priori); ou autre chose. Pourtant j'étais connecté à internet lors de cette installation. Mon routeur internet est pourtant bien enregistré avec la bonne clé WPA mais sans doute le pilote pour ma carte Wifi ne s'est pas installé au moment de l'installation. Donc... je suis bloqué pour le moment... Je vais essayer une connexion filaire via un câble Ethernet si je peux... bien que si cela marche, je ne sais pas trop quelle procédure suivre pour arranger les choses... Je vais regarder sur le forum pour ce type de problème et voir si je trouve quelques indications.

J'ai déjà rédigé 4 pages A4... sur la procédure détaillée d'installation de Debian avec partition chiffrée. La suite sera de rédigée pour indiquer la procédure de configuration et de gestion des phrases secrètes avec cryptsetup. Mais pour cette autre étape avec cryptsetup je dois accéder à internet pour installer d'autres paquets. Donc... je suis en stand-by pour le moment avant de continuer à rédiger.

Voilà, l'état du moment.

À bientôt.

...
Quand j'aurai terminé, je mettrai un message où j'indiquerai toute la procédure que j'ai utilisée à l'attention d'autres personnes sur le forum qui seraient intéressées par le sujet. Je ne sais pas encore combien de temps cela va me prendre avec cryptsetup; donc un peu de patience, le temps me manque, mais je m'engage à le faire tôt ou tard.
...

Et tu en sera remercié !

[piratebab]

Une astuce pour régler les pb de wifi avant d'avoir installer les drivres/firmware proprio: utiliser un vieux smartphone sans carte SIM . Tu le connectes en USB à l'ordi, et en wifi au routeur, et tu " partages la connexion via USB"

[Darscol]

Voilà donc ce que j'ai rédigé (4 pages A4) en première étape (il devrait y en avoir au moins 2 voir 3) pour l'installation de Debian 12 sur une partition chiffrée.

Installation-sur-partition-chiffrée-de-Debian-12.pdf

À bientôt pour vos commentaires et corrections....

[lol]

Voilà donc ce que j'ai rédigé (4 pages A4) en première étape (il devrait y en avoir au moins 2 voir 3) pour l'installation de Debian 12 sur une partition chiffrée. Installation-sur-partition-chiffrée-de-Debian-12.pdf
À bientôt pour vos commentaires et corrections....

Beau boulot, merci.
ça mériterait un post dans Trucs et astuces.

J'espère que tu va pouvoir finir et te connecter à Internet (Via smartphone comme le suggère @piratebab ?)
En cas de soucis tu peux ouvrir un autre post pour ne pas mélanger les sujets.

[Darscol]

Merci lol,

J'ai résolu le petit problème Wifi donc je continue avec cryptsetup mais je mettrai cette étape 2 plus tard... Le boulot m'attend...

[PascalHambourg]

Ce papier contient tellement d'affirmations fausses ou discutables que je n'ai pas le courage de les commenter...

[zargos]

Pour un epartition chiffrée, c'est simpole:

• Mode expert dans l'installer

• Créer une parftition pour /boot/efi si pc UEFI

• Créer une partition LUKS (la plus grande possible, car il est très risqué d'étendre une partition chiffrée sans perte de données (je crois même que ça ne marche pas).

• Créer un LVM dans la partition chiffrée (pour bien gérer les volumes).

Après je confirme ce que dis @PascalHambourg

[PascalHambourg]

il est très risqué d'étendre une partition chiffrée sans perte de données (je crois même que ça ne marche pas).

Si, ça marche très bien, mais il ne faut pas se louper comme dans tout redimensionnement.

1. agrandir la partition chiffrée
2. agrandir le volume chiffré s'il est actif avec cryptsetup resize "nom volume chiffré"
3. agrandir le volume physique LVM avec pvresize /dev/mapper/"nom volume chiffré"