Installateur Debian - Chiffrage partitions racine et home par la méthode lvm chiffré

Références

https://www.tecmint.com/install-debian-8-with-luks-encrypted-home-var-lvm-partitions/

1 - Principe

L'installation s'effectue comme pour une installation standard (non chiffrée), sauf au moment du partitionnement.

Le partitionnement décrit ci-dessous comprend

une partition primaire non chiffrée (/dev/sda1) pour le répertoire /boot

une partition primaire (/dev/sda2),

contenant une partition chiffrée LUKS (/dev/sda2), dont le container abrite

un volume physique (/dev/mapperr/sda2-crypt), associé à un groupe de volume (vg), contenant

trois volumes logiques montés ( utilisés dans le cas du swap) sur la racine /, le swap et le /home

2 - Démarrage de l'installation

Démarrer l'ordinateur sur le CD ou la clé USB contenant l'installateur. Lorsque l'écran de démarrage s'affiche, sélectionner Install

Installation 1

Poursuivre l'installation (choix de la langue, connexion réseau, définition mots de passe, ...), comme pour une installation non chiffrée, jusqu'à l'étape de partitionnement.

3 - Préparation du disque à partitionner

Lorsque l'étape de partitionnement débute, ouvrir une console avec Alt + F2 (ou Alt + F3) :

Afficher les disques et partitions existantes avec blkid et fdisk :

Dans le cas présent, un disque (/dev/sda) a été détecté. Il utilise une table de partition DOS et de deux partitions /dev/sda1 et /dev/sda2.

Vérifier qu'il s'agit bien du disque que l'on souhaite utiliser pour la nouvelle installation (toutes les données seront perdues).

Pour simplifier l'étape de partitionnement qui va suivre, il peut-être intéressant de supprimer le partitionnement existant (avec fdisk) :

Il est également possible de supprimer la table de partitionnement avec dd:

Revenir à la console d'installation avec Alt + F1.

Si les disques ou le partitionnement n'ont pas été modifiés, sélectionner directement la méthode de partitionnement "Manuel"
Sinon, sélectionner "Revenir en arrière", puis Détecter les disques, afin de faire prendre en compte les modifications par l'installateur

4 - Sélection du disque

Sélectionner le disque sur lequel le système va être installé. Dans l'exemple ci-dessous, un seul choix possible : sda

Créer la table de partition

5 - Création de la partition de boot

Sélectionner l'espace libre sur sda

2-cr%C3%A9ation-partition-boot1.jpg

Puis l'option Créer une nouvelle partition

Définir la taille souhaitée (512MB par exemple)

Puis le type de partition et son emplacement :

Définir les caractéristiques de la partition

Système de fichier ext4
Point de montage : /boot
Étiquette : boot par exemple
Indicateur d'amorçage présent

et sélectionner la dernière ligne "Fin du paramétrage de cette partition" pour créer la partition

Vérifier l'apparition de la partition de boot : Partition primaire numéro 1 montée en /boot

6 - Création de la partition chiffrée

La création de la partition chiffrée s'effectue en deux grandes étapes :

La création de la partition - à l'issue de cette étape, la partition est indiquée comme " ...... K chiffré inactive" dans la fenêtre "Voici la table de partition ...."
La configuration de la partition qui consiste à créer le container luks chiffré - à l'issue de cette étape, la partition est indiquée comme ".... K chiffré (sdxy_crypt) " dans la fenêtre "Voici la table de partition ...."

6.1 - Création de la partition

Sélectionner l'espace libre du disque sda où seront situées les partitions chiffrées

Et créer une nouvelle partition

Définir sa taille, par défaut la taille maximale restante est proposée

Sélectionner le type Primaire ou Logique (étendue)

Dans la fenêtre qui s'affiche, sélectionner "Utiliser comme"

Dans le menu déroulant, sélectionner Volume physique pour chiffrement

Désactiver éventuellement l'option d'effacement des données afin de gagner du temps et sélectionner "Fin du paramétrage de cette partition" pour démarrer la création de la partition chiffrée

6.2 - Configuration de la partition chiffrée

Dans la fenêtre qui s'affiche, la partition chiffrée qui vient d'être créé est marquée "... K chiffré inactive". Sélectionner l'option Configurer les volumes chiffrés.

Accepter l'écriture de la table de partitionnement

Les étapes qui suivent permettent de sélectionner la partition qui va être chiffrée

Sélectionner la partition

Si l'effacement des données a été sélectionné, celui-ci s'effectue, mais peut-être interrompu

Entrer deux fois la phrase secrète

Si la phrase secrète est trop courte, un avertissement est émis

Dans la fenêtre qui s'affiche, vérifier que la partition chiffrée est bien notée ... K chiffré (sdaxy_crypt) ou sdaxy est l'identifiant de la partition

7 - Création du volume physique et du groupe de volume

Sélectionner Configurer le gestionnaire de volumes logiques (LVM)

Confirmer que le schéma de partitionnement convient

Sélectionner Créer un groupe de volumes

Entrer le nom du groupe de volumes à créer : vg dans cet exemple

Sélectionner le container de la partition cryptée (sda2_crypt) pour la création du groupe de volumes

Confirmer la modification à effectuer

Un volume physique et un groupe de volume ont été créés

8 - Création des volumes logiques

8.1 - Création du volume logique / (racine)

1 - Sélectionner la ligne Créer un volume logique"

2 - Sélectionner le groupe de volumes : dans le cas présent le choix est unique (vg)

3 - Entrer le nom du volume logique, par exemple debian

4 - Définir sa taille, par exemple 4GB pour une "petite" installation

8.2 - Création des volumes logiques swap et /home

Pour chaque volume logique chiffrer à créer, répéter la séquence de création d'un volume logique, en définissant son nom, son groupe de volume (vg), sa taille.

Adapter les noms et valeurs en fonction de l'application :

Volume_logique         Nom_volume      Groupe_volume   Taille
/             debian          vg              4GB
swap             swap            vg              1GB
/home            home            vg              100GB

Lorsque les trois volumes logiques ont été créés, sélectionner Terminer pour passer à l'étape de formatage et définition des points de montage.

Les volumes chiffrés apparaissent désormais sur la table de partition :

9 - Formatage et points de montage

Il reste à formater chaque volume logique.

9.1 - Formatage et point de montage du volume logique / (debian)

Sélectionner la ligne correspondant au "Groupe de volumes LVM vg, volume logique debian ...."

Faire apparaître le menu déroulant de la ligne Utiliser comme : Ne pas utiliser

Et sélectionner le système de fichiers ext4

Entrer les autres caractéristiques : Point de montage : partition racine /, l'étiquette (factultative) et Terminer le paramètrage

9.2 - Formatages et points de montage des volumes logiques swap et home

Procéder comme ci-dessus pour chaque volume logique restant à formater

Volume_logique Utiliser_comme  Point_montage   Etiquette
swap               swap            
home                ext4            /home           home

Lorsque tous les volumes logiques (et toutes les partitions) sont correctement configurées, sélectionner "Terminer le partitionnement et appliquer les changements".

Confirmer les modifications

Si aucun espace d'échange (swap) n'est prévu, un avertissement est affiché.

10 - Poursuite de l'installation

Après le partitionnement, l'installation se poursuit classiquement.

Le nouveau partitionnement est visible en console :

Note :

Lors de l'installation, le nom du container est construit à partir du nom de la partition (dans le cas présent sda2) et ce nom est utilisé dans /etc/crypttab et mis à jour dans initramfs.

Si l'on souhaite modifier le nom du container ultérieurement, utiliser un chroot et veiller à ce que le nom du container dans crypttab et le nom du volume physique (fourni par pvs ou lsblk) soient identiques avant de mettre à jour initramfs :

utilisation de pvs

# pvs
  PV                                                    VG Fmt  Attr PSize   PFree
  /dev/mapper/luks-ff68b9ee-16ec-45c5-b2f8-cf2f3066ef0c vg lvm2 a--  400,00g    0

utilisation de blkid

# lsblk -f
NAME               FSTYPE   LABEL    UUID                                   MOUNTPOINT
sda                                                                         
├─sda2             crypto_L          ff68b9ee-16ec-45c5-b2f8-cf2f3066ef0c   
│ └─luks-ff68b9ee-16ec-45c5-b2f8-cf2f3066ef0c
                   LVM2_mem          qlAqyt-Y6fo-ejmg-jREK-IfSk-oVjY-21ig3q 
│   ├─vg-debiandd2 ext4     debiandd2
                                     cb88fa38-4904-4661-9596-e2751b9bb2fd   /
│   ├─vg-swapdd2   swap              bac2c8b7-a850-4824-af7d-2efebcdf327c   [SWAP]
│   └─vg-homedd2   ext4     homedd2  3b30965a-0db6-4d8e-8b43-06d6ea93ad6c   /home
└─sda1             ext4     boot     a7fb8f1d-93df-4905-b4ee-9d26fac727b0   /boo

mise à jour de crypttab

# cat /etc/crypttab 
luks-ff68b9ee-16ec-45c5-b2f8-cf2f3066ef0c UUID=ff68b9ee-16ec-45c5-b2f8-cf2f3066ef0c none luks

11 - Utilisation

Lors du démarrage, il sera désormais nécessaire d'entrer la phrase secrète pour déverrouiller les partitions chiffrées :