Installation LM21.1 crypté, en UEFI

[lcolomb]

Bonsoir à tous,

Comme indiqué dans le titre, je me suis lancé dans une aventure euh, je dirais aventureuse...
Et j'en rajoute une couche : j'ai découvert la technologie NVMe de mon disque.

En bref, le matériel : un Lenovo ThinkPad X270 i5-6300, avec 8Go de Ram, et un SSD de 256Go (NVMe, donc). Je viens de l'acquérir, en remplacement de mon vieux Toshiba bruyant et encombrant.
Mon intention : installer LM21.1 en cryptant l'intégralité du disque, afin de protéger mes données d'une lecture extérieure.

Après beaucoup de recherches, je suis tombé sur ce post : https://korben.info/comment-chiffrer-un ... ent-164907. Mais il a 3 défauts :

• Il traite d'Ubuntu et non de Linux Mint (ça encore, ça va)

• Il ne parle pas de la techno NVMe (évidemment, puisque c'est plus récent que l'article),

• Il ne parle pas du mode UEFI (et là, je suis perdu !)

Donc, j'ai dû adapter. La première installation a planté : je n'avais mis aucune des 2 partitions BIOS-Boot et UEFI, mais une partition boot classique. J'ai essayé de démarrer en bios legacy, mais impossible, donc je me suis vu contraint de rester en UEFI.
La seconde installation a alors l'air d'être passée, mais j'ai je bute sur la finalisation :

Code : Tout sélectionner

root@mint:/# update-grub2
Sourcing file '/etc/default/grub'
Sourcing file '/etc/default/grub.d/50_linuxmint.cfg'
Sourcing file '/etc/default/grub.d.init-select.cfg'
/usr/sbin/grub-mkconfig: 275: cannot create /boot/grub/grub.cfg.new: Directory none existent

Quelqu'un aurait-il donc un coup de pouce à me donner ?
En fait, je suis à 2 doigts d'abandonner mon intention initiale, pour suivre le conseil d'Alain dans ce post : viewtopic.php?f=20&t=12838&p=147159&hil ... fi#p147159

Merci d'avance !

[alain]

Bonjour lcolomb.

Ça m'a fait plaisir de revoir ces anciens échanges avec David, il ne vient plus guère depuis sont retour en France

Ce que je vais te dire est très subjectif et n'a pas changé depuis ce sujet que tu cites.
Au contraire je suis même encore plus convaincu de l'inutilité du LVM et du chiffrage suite à deux mésaventures.

La première au boulot. Contexte: Les PCs des machines que je dépanne ont deux disques durs en raid1, avec (en plus de celles de l'OS) une partition de données ou est stocké la configuration de la machine (les réglages). Cette configuration permet de réduire énormément le risque de perte des réglages. Nous faisons ça car c'est très long à reconfigurer, régler, ce genre de machines, plusieurs jours voir plusieurs semaines et le patron n'aime pas que ses machines à plusieurs dizaines de millions ne tournent pas...
Mais c'est sans compter notre excellent service informatique qui a décidé de nous passer en LVM. Pourquoi? Des explications vaseuses sur la taille de la partition de données (oui il arrivait qu'on oublie de faire du ménage, mais bon...). Heureusement qu'ils ne l'ont fait que sur une machine.
Ce qui devait arriver, arriva... disque 1 HS quelques temps plus tard (ce sont de vieux disques qui tournent H24 365/an), basculement sur disque 2 (merci raid1) et patatras disque 2 HS au bout de quelques minutes. Au service informatique ils ont été incapables de nous récupérer les données. Ils ont bien proposé au patron d'envoyer les disques dans un labo spécialisé dans le récupération de données, mais le prix était trop élevé, surtout que le patron sait très bien que nous pouvons régler de nouveau la machine.
Résultat retour à un système de fichier conventionnel... Plus pas mal de pertes pour l'usine (ils peuvent se permettre ).

La seconde, je devrais dire les secondes, c'est ici et sur un autre forum où je sévi. deux personnes à quelques jours d'intervalles ont perdu, oublié, leur passe-phrase de LUKS. Celle d'ici nous avons réussi après plusieurs semaines d'échanges à lui récupérer ses données, mais pas à celui de l'autre forum Je suis sorti épuisé de cette période en me jurant de ne plus intervenir sur les sujets concernant le chiffrage.

Ceci dit:
Il n' y a pas de raison que le chiffrage ne fonctionne pas. Que ça soit un disque nvme ou non. Ça se comporte comme un disque "normal", il n'a que le nom qui change: nvme0n1p1 à la place de sda1 pour la partition 1(et on appelle ça le progrès ).

Donc, j'ai dû adapter. La première installation a planté : je n'avais mis aucune des 2 partitions BIOS-Boot et UEFI, mais une partition boot classique.

Tu as deux choix soit tu installes en legacy soit en EFI.
En légacy pas besoin de partition boot vu que le programme de démarrage (dans notre cas le grub) il faut l'installer à la racine du disque en MBR.

J'ai essayé de démarrer en bios legacy, mais impossible, donc je me suis vu contraint de rester en UEFI.

Pourquoi? Tu as des messages d'erreurs à nous donner? C'est avec le bios que tu as des problèmes?

En EFI il faut créer une partion boot EFI (choix proposés à l'installation) et y installer le programme de démarrage. Par exemple si tu n'as qu'un disque et que la partition de boot EFI est la première: nvme0n1p1.

Ensuite, il y a dans l'installateur (calamares) une option pour le chiffrage. Pourquoi ne passes tu par la pour créer ton chiffrage? Je ne l'ai jamais utilisé, mais je pense que l'installateur s'occupe de tout. Le cas décris par Korben dans le lien que tu donnes, me parait bien compliqué et ne me semble pas adapté à une première installation, mais plutôt au chiffrage d'anciennes partitions.

Je ne veux pas te dissuader de chiffrer ton disque, mais le jeu en vaut t'il la chandelle? D'autant plus qu'une bonne gestion des droits et/ou le verrouillage (chattr) et même le chiffrage par fichier ou de contenu dossiers entiers de façon récursive est permise sur toutes installations. Il y a même des gestionnaires de fichiers qui permettent cela en mode graphique.

Ici s'arrête mon intervention, car comme dit précédemment, j'ai de mauvais souvenirs de LVM et du chiffrage

[lcolomb]

Bonsoir Alain,

Merci pour ce retour d'expérience instructif.
C'est vrai qu'en voyant ton message, je me suis dit : "en plus, il me faudra installer une sauvegarde automatique..." Quelques beaux ennuis en perspectives, donc !

Le pourquoi profond est que je ne veux pas faciliter la tâche à un éventuel voleur de mon PC. Or j'ai lu de ci de là que chiffrer seulement les dossiers n'est pas suffisant car il reste toujours des fichiers temporels. D'où mon option de ne pas seulement profiter du chiffrage proposé par l'installateur.
Ce qui me dissuade, c'est ton affirmation que de toute façon, c'est déchiffrable assez facilement. La preuve : que vous ayez réussi à casser la pass-phrase oubliée d'un utilisateur. Soit dit en passant, je serai bien curieux de savoir comment ça se passe.

Mes difficultés tiennent en fait en partie que j'ai beaucoup de mal à comprendre le fonctionnement de l'UEFI. Comme tu dis, plus on fait moderne, plus on complexifie.
Du coup, pour ta première remarque, oui, j'ai bien compris qu'on a le choix de démarrer en UEFI ou en Legacy, mais quand j'ai mis "Legacy Only" dans le setup, le système n'arrivait juste pas à booter sur la clé USB, sans aucun message d'erreur (l'écran de grub qui se ré-affiche 1s après avoir sélectionné la clé). Seul le mode UEFI fonctionnait. Y a-t-il une autre opération à faire ?
Je découvre dans ton message que l'on n'a plus besoin de partition /boot, maintenant, en Legacy ?
Et d'autre part, que seule une partition uefi serait nécessaire pour ce dernier type (pas de BIOS-Boot, comme indiqué ici https://doc.ubuntu-fr.org/tutoriel/part ... _bios-boot) ?

Louis

[Nerva]

Je donne mon avis parce que justement j'ai galéré pas mal (et même beaucoup !) avec le chiffrage.

Avec Mint, il y a trois possibilités :

- Le chiffrage de /home à l'installation. Pratique, une seule case à cocher, mais la vitesse d'accès aux fichiers en lecture/écriture est largement plombée par l'ancien système de chiffrage (Ecryptfs). Convient pour une utilisation "familiale" (Internet, bureautique, quelques traitements divers, etc...).

- Le chiffrage intégral à l'installation (système LUKS). Peut se réaliser directement à l'installation mais rien n'est prévu pour séparer le /home du système. Pour y parvenir, il faut passer en ligne de commande et suivre scrupuleusement un processus, comme celui-ci :

https://www.dwarmstrong.org/rearrange-l ... nt-install

Partitionnement LVM obligatoire.

Néanmoins, il y a selon tout ce que j'ai pu lire de nombreux inconvénients, comme la quasi-impossibilité de réparer un plantage quelconque ou parfois même, un système HS après une mise à jour mineure. Il y a un nombre incalculable de sujets traitant de la chose sur Linux Mint Forum où ce chiffrage est déconseillé à l'unanimité.

- Le chiffrage du /home (système LUKS). Rien n'est prévu pour le faire à l'installation. Il faut le faire post. C'est ce système que j'ai intégré et où j'ai galéré, mais j'y suis parvenu bien qu'étant loin d'être un spécialiste. Sujet ici :

viewtopic.php?f=33&t=20301

On trouve de nombreux tutoriaux décrivant différentes méthodes pour chiffrer le /home en LUKS, la plupart tout en ligne de commande.

Alors j'avais fait pas mal de tests divers de lecture/écriture avant et noté les résultats (chrono en main). J'ai refait les mêmes après chiffrage et je n'ai noté aucune différence. Ce n'est certainement pas très scientifique mais les plus gros mouvements de fichiers (disques/RAM/disques) que je fais sont l'importation et le traitement de fichiers bruts (photo) et une petite partie quotidienne de CSGO plus des sauvegardes quasi-quotidiennes sur disques externes. Rien n'a changé depuis le chiffrage.

Niveau confidentialité et sécurité, c'est vrai que le chiffrage du /home seul ne met le PC à l'abri que lorsqu'il est éteint. Mais c'est sur une machine fixe que j'ai installé le chiffrage...

[lcolomb]

Merci Nerva pour ta présentation claire des différentes solutions. Cela m'éclaire beaucoup.
Je vais encore attendre un peu, voire si des Linusiens du week-end auraient un élément à ajouter, et puis je prendrai ma décision.

Louis

[Nerva]

J'ajoute qu'à la base, j'étais intéressé par le chiffrage intégral, mais que les tutoriels que j'avais trouvés ne mentionnaient pas comment le réaliser avec deux disques.

[lcolomb]

Bonjour à tous !

@Nerva, j'ai finalement appliqué ta procédure. Elle s'est révélée efficace... après 3 tentatives (des erreurs de ma part, pour copier-coller le /home).
Pour information, j'ai créé mon /home sur une partition (nvme0n1p3) à côté de / (nvme0n1p2), sur le même disque. Mais j'ai commencé par installer tout le système sur /nvme0n1p2, sans séparer le /home du reste. Puis j'ai modifié le fichier fstab comme indiqué dans le poste de Nerva, en ajoutant purement la ligne du /home. Et ça a marché !
Je clos donc le sujet.

Merci pour votre aide et à bientôt ! (je viendrai peut-être vers vous pour la mise en place d'une sauvegarde automatique...)
Et Joyeuses Pâques !