Installateur Debian - Chiffrage partitions racine et home par la méthode lvm chiffré

Références

1 - Principe

L'installation s'effectue comme pour une installation standard (non chiffrée), sauf au moment du partitionnement.

Le partitionnement décrit ci-dessous comprend

une partition primaire non chiffrée (/dev/sda1) pour le répertoire /boot

une partition primaire (/dev/sda2),

contenant une partition chiffrée LUKS (/dev/sda2), dont le container abrite

un volume physique (/dev/mapperr/sda2-crypt), associé à un groupe de volume (vg), contenant

trois volumes logiques montés ( utilisés dans le cas du swap) sur la racine /, le swap et le /home

2 - Démarrage de l'installation

Démarrer l'ordinateur sur le CD ou la clé USB contenant l'installateur. Lorsque l'écran de démarrage s'affiche, sélectionner Install

Installation 1

Poursuivre l'installation (choix de la langue, connexion réseau, définition mots de passe, ...), comme pour une installation non chiffrée, jusqu'à l'étape de partitionnement.

3 - Préparation du disque à partitionner

Lorsque l'étape de partitionnement débute, ouvrir une console avec Alt + F2 (ou Alt + F3) :

0-utilisation-console.jpg

Afficher les disques et partitions existantes avec blkid et fdisk :

Dans le cas présent, un disque (/dev/sda) a été détecté. Il utilise une table de partition DOS et de deux partitions /dev/sda1 et /dev/sda2.

Vérifier qu'il s'agit bien du disque que l'on souhaite utiliser pour la nouvelle installation (toutes les données seront perdues).

Pour simplifier l'étape de partitionnement qui va suivre, il peut-être intéressant de supprimer le partitionnement existant (avec fdisk) :

Il est également possible de supprimer la table de partitionnement avec dd:

Revenir à la console d'installation avec Alt + F1.

4 - Sélection du disque

Sélectionner le disque sur lequel le système va être installé. Dans l'exemple ci-dessous, un seul choix possible : sda

Créer la table de partition

5 - Création de la partition de boot

Sélectionner l'espace libre sur sda

2-cr%C3%A9ation-partition-boot1.jpg

Puis l'option Créer une nouvelle partition

Définir la taille souhaitée (512MB par exemple)

Puis le type de partition et son emplacement :

Définir les caractéristiques de la partition

et sélectionner la dernière ligne "Fin du paramétrage de cette partition" pour créer la partition

Vérifier l'apparition de la partition de boot : Partition primaire numéro 1 montée en /boot

6 - Création de la partition chiffrée

La création de la partition chiffrée s'effectue en deux grandes étapes :

6.1 - Création de la partition

Sélectionner l'espace libre du disque sda où seront situées les partitions chiffrées

Et créer une nouvelle partition

Définir sa taille, par défaut la taille maximale restante est proposée

Sélectionner le type Primaire ou Logique (étendue)

Dans la fenêtre qui s'affiche, sélectionner "Utiliser comme"

Dans le menu déroulant, sélectionner Volume physique pour chiffrement

Désactiver éventuellement l'option d'effacement des données afin de gagner du temps et sélectionner "Fin du paramétrage de cette partition" pour démarrer la création de la partition chiffrée

6.2 - Configuration de la partition chiffrée

Dans la fenêtre qui s'affiche, la partition chiffrée qui vient d'être créé est marquée "... K chiffré inactive". Sélectionner l'option Configurer les volumes chiffrés.

Accepter l'écriture de la table de partitionnement

Les étapes qui suivent permettent de sélectionner la partition qui va être chiffrée

Sélectionner la partition

Si l'effacement des données a été sélectionné, celui-ci s'effectue, mais peut-être interrompu

Entrer deux fois la phrase secrète

Si la phrase secrète est trop courte, un avertissement est émis

Dans la fenêtre qui s'affiche, vérifier que la partition chiffrée est bien notée ... K chiffré (sdaxy_crypt) ou sdaxy est l'identifiant de la partition

7 - Création du volume physique et du groupe de volume

Sélectionner Configurer le gestionnaire de volumes logiques (LVM)

Confirmer que le schéma de partitionnement convient

Sélectionner Créer un groupe de volumes

Entrer le nom du groupe de volumes à créer : vg dans cet exemple

Sélectionner le container de la partition cryptée (sda2_crypt) pour la création du groupe de volumes

Confirmer la modification à effectuer


Un volume physique et un groupe de volume ont été créés


8 - Création des volumes logiques

8.1 - Création du volume logique / (racine)

1 - Sélectionner la ligne Créer un volume logique"

2 - Sélectionner le groupe de volumes : dans le cas présent le choix est unique (vg)

3 - Entrer le nom du volume logique, par exemple debian

4 - Définir sa taille, par exemple 4GB pour une "petite" installation

8.2 - Création des volumes logiques swap et /home

Pour chaque volume logique chiffrer à créer, répéter la séquence de création d'un volume logique, en définissant son nom, son groupe de volume (vg), sa taille.

Adapter les noms et valeurs en fonction de l'application :

Volume_logique         Nom_volume      Groupe_volume   Taille
/ debian vg 4GB
swap swap vg 1GB
/home home vg 100GB

Lorsque les trois volumes logiques ont été créés, sélectionner Terminer pour passer à l'étape de formatage et définition des points de montage.


Les volumes chiffrés apparaissent désormais sur la table de partition :

9 - Formatage et points de montage

Il reste à formater chaque volume logique.

9.1 - Formatage et point de montage du volume logique / (debian)

Sélectionner la ligne correspondant au "Groupe de volumes LVM vg, volume logique debian ...."

Faire apparaître le menu déroulant de la ligne Utiliser comme : Ne pas utiliser

Et sélectionner le système de fichiers ext4


Entrer les autres caractéristiques : Point de montage : partition racine /, l'étiquette (factultative) et Terminer le paramètrage

9.2 - Formatages et points de montage des volumes logiques swap et home

Procéder comme ci-dessus pour chaque volume logique restant à formater

Volume_logique Utiliser_comme  Point_montage   Etiquette
swap swap
home ext4 /home home

Lorsque tous les volumes logiques (et toutes les partitions) sont correctement configurées, sélectionner "Terminer le partitionnement et appliquer les changements".

Confirmer les modifications

Si aucun espace d'échange (swap) n'est prévu, un avertissement est affiché.

10 - Poursuite de l'installation

Après le partitionnement, l'installation se poursuit classiquement.

Le nouveau partitionnement est visible en console :

Note :

Lors de l'installation, le nom du container est construit à partir du nom de la partition (dans le cas présent sda2) et ce nom est utilisé dans /etc/crypttab et mis à jour dans initramfs.

Si l'on souhaite modifier le nom du container ultérieurement, utiliser un chroot et veiller à ce que le nom du container dans crypttab et le nom du volume physique (fourni par pvs ou lsblk) soient identiques avant de mettre à jour initramfs :

# pvs
PV VG Fmt Attr PSize PFree
/dev/mapper/luks-ff68b9ee-16ec-45c5-b2f8-cf2f3066ef0c vg lvm2 a-- 400,00g 0
# lsblk -f
NAME FSTYPE LABEL UUID MOUNTPOINT
sda
├─sda2 crypto_L ff68b9ee-16ec-45c5-b2f8-cf2f3066ef0c
│ └─luks-ff68b9ee-16ec-45c5-b2f8-cf2f3066ef0c
LVM2_mem qlAqyt-Y6fo-ejmg-jREK-IfSk-oVjY-21ig3q
│ ├─vg-debiandd2 ext4 debiandd2
cb88fa38-4904-4661-9596-e2751b9bb2fd /
│ ├─vg-swapdd2 swap bac2c8b7-a850-4824-af7d-2efebcdf327c [SWAP]
│ └─vg-homedd2 ext4 homedd2 3b30965a-0db6-4d8e-8b43-06d6ea93ad6c /home
└─sda1 ext4 boot a7fb8f1d-93df-4905-b4ee-9d26fac727b0 /boo
# cat /etc/crypttab 
luks-ff68b9ee-16ec-45c5-b2f8-cf2f3066ef0c UUID=ff68b9ee-16ec-45c5-b2f8-cf2f3066ef0c none luks

11 - Utilisation

Lors du démarrage, il sera désormais nécessaire d'entrer la phrase secrète pour déverrouiller les partitions chiffrées :