Installation par debootstrap et chroot - Partitions boot, root, home, swap chiffrées

Mise à jour : Debian 10.8 - Buster

• L'installateur Debian n'autorise le chiffrage des partitions que dans le cadre de volumes logiques.
  
• Ce qui suit décrit une installation, sans utilisation de volumes logiques, comportant 5 partitions chiffrées
  
• une partition ESP
  
• 4 partitions chiffrées indépendantes : boot, root, swap, home
• L'installation comprend 3 étapes principales
  
• La préparation du média : partitionnement, chiffrage, système de fichiers
• L'installation d'un système Debian sur le media par debootstrap ou recopie
  
• La configuration du système, sans avoir à le démarrer, au moyen d'un changement de racine (chroot)
  

• Références
• Chiffrage partitions
• Gestion des phrases de passe et des en-têtes Luks
• Crypttab
  
• Construction d'un système par debootstrap
• Changement de racine - chroot
  

Sommaire

1 - Préparation du média

L'objectif de cette étape est de partitionner un media avec

• une partition ESP
  
• 4 partitions chiffrées indépendantes : boot, root, swap, home

1.1 - Préalable

• On suppose le media sur lequel va s'effectuer l'installation, attaché en /dev/sdb, sur un système debian Buster opérationnel

• Pour faciliter l'identification, on convient d'utiliser le même nom (respectivement ESP4, boot4, buster4, swap4, home4 pour respectivement les partitions ESP, boot, root, swap et home) pour
  

• le nom de la partition (partlabel)
  
• le nom du container /dev/mapper/xxxxx (pour une partition chiffrée)
• le nom du système de fichier (label) associé à la partition (ou au container dans le cas d'une partition chiffrée)
  
• Pour des raisons de simplicité, toutes les partitions chiffrées sont créées
  
• avec un fichier de phrase de passe unique (adapté au mode "batch")
  
• avec une phrase de passe unique (adaptée à la saisie "humaine")

1.2 - Partitionnement

• Partitionner le média mode en mode GPT

$ sudo parted /dev/sdb -s mktable gpt

• Créer la partition ESP, utilisée pour l'amorçage UEFI, adapter la taille de la partition à l'usage prévu, 500 MiB sont généralement suffisants, nom de la partition ESP4
  

$ sudo parted /dev/sdb mkpart ESP4 fat32 2MiB 1GiB set 1 esp on name 1 ESP4
$ sudo mkfs.vfat -F 32 -n ESP4 /dev/sdb1

• Créer les partitions boot, root, swap et home avec les noms de partition boot4, buster4, swap4, home4
  

$ sudo parted /dev/sdb mkpart boot4 ext2 1GiB 6GiB name 2 boot4
$ sudo parted /dev/sdb mkpart buster4 ext2 6GiB 50GiB name 3 buster4
$ sudo parted /dev/sdb mkpart swap4 linux-swap 50GiB 66GiB name 4 swap4
$ sudo parted /dev/sdb mkpart home4 ext2 66GiB 100% name 5 home4

• Vérifier la création des partitions et leur taille
  

$ sudo parted /dev/sdb unit GiB print
.....

Number  Start    End      Size     File system  Name  Flags
 1      0,00GiB  1,00GiB  1,00GiB  fat32        ESP4   boot, esp
 2      1,00GiB  6,00GiB  5,00GiB               boot4
 3      6,00GiB  50,0GiB  44,0GiB               buster4
 4      50,0GiB  66,0GiB  16,0GiB               swap4
 5      66,0GiB  115GiB   48,6GiB               home4

1.3 - Chiffrage des partitions boot, root, swap, home

• Créer le fichier de la phrase de passe, propriétaire root
  

$ sudo dd if=/dev/urandom of=buster.key bs=512 count=4

• et restreindre les droits d'écriture et de lecture

$ sudo chmod 600 buster.key

$ ls -ln buster.key 
-rw------- 1 root root 2048 mars  23 16:35 buster.key

• Chiffrer les partitions en utilisant la phrase de passe
  
• l'option --batch-mode (ou -q) supprime la demande de confirmation avant formatage
• l'option --type luks1 est nécessaire pour la partition boot qui sera déverrouillée par le chargeur Grub
  

$ sudo bash -c ' for i in {2..5}; \
do cryptsetup luksFormat --batch-mode --type luks1 /dev/sdb$i buster.key; done'

• Vérifier la création des containers (crypto_LUKS)
  

$ lsblk -o name,partlabel,fstype /dev/sdb
NAME   PARTLABEL FSTYPE
sdb              
├─sdb1 ESP4      vfat
├─sdb2 boot4     crypto_LUKS
├─sdb3 buster4   crypto_LUKS
├─sdb4 swap4     crypto_LUKS
└─sdb5 home4     crypto_LUKS

1.4 - Création des systèmes de fichier

• Ouvrir les conteneurs et leur donner pour nom ....boot4, buster4, swap4, home4
  

$ sudo cryptsetup open /dev/sdb2 boot4 --key-file buster.key && \
sudo cryptsetup open /dev/sdb3 buster4 --key-file buster.key && \
sudo cryptsetup open /dev/sdb4 swap4 --key-file buster.key && \
sudo cryptsetup open /dev/sdb5 home4 --key-file buster.key

• Les formater et leur donner pour étiquette, les noms boot4, buster4, home4
  

$ sudo mkfs.ext4 -L boot4 /dev/mapper/boot4
$ sudo mkfs.ext4 -L home4 /dev/mapper/home4
$ sudo mkfs.ext4 -L buster4 /dev/mapper/buster4
$ sudo mkswap -L swap4 /dev/mapper/swap4   

• Vérifier le partitionnement, le chiffrage et le formatage
  

$ lsblk -o path,label,fstype /dev/sdb |grep -v crypto_LUKS
PATH                LABEL   FSTYPE
/dev/sdb                    
/dev/sdb1           ESP4    vfat
/dev/mapper/boot4   boot4   ext4
/dev/mapper/buster4 buster4 ext4
/dev/mapper/swap4   swap4   swap
/dev/mapper/home4   home4   ext4

1.5 - Phrase de passe utilisateur

• Une phrase de passe utilisateur est nécessaire pour déverrouiller la partition boot au démarrage
• Attention dans le choix du mot de passe. Lorsqu'il est saisi sur un clavier QWERTY, comme c'est le cas lors du déverrouillage de la partition boot par grub
  

• Les lettres du clavier français qui n'existent pas sur le clavier qwerty (lettres avec accent, ç, ...) ne pourront pas être produites

• Il faudra tenir compte que certains caractères sont composés différemment sur le clavier local (AZERTY) et sur le clavier QWERTY
  

• Ajouter la phrase de passe à chaque partition chiffrée,
  
• soit en effectuant la saisie de façon interactive (à deux reprises), pour chaque partition
  

$ sudo cryptsetup luksAddKey /dev/sdb2 --key-file buster.key
Entrez une nouvelle phrase secrète pour l'emplacement de clé : 
Vérifiez la phrase secrète : 

• soit utiliser un fichier de phrase temporaire associé à la phrase de passe
  
• Créer le fichier (l'option -n de echo est impérative, elle empêche l'ajout d'un caractère de fin de ligne dans le fichier)

$ echo -n "Mon mot de passe" >ascii.key

• Ajouter le mot de passe
  

$ sudo bash -c 'for i in {2..5}; do \
cryptsetup luksAddKey /dev/sdb$i --key-file buster.key ascii.key; done'

• Le fichier de phrase de passe ascii.key peut-être supprimé ... après avoir noté en un endroit sûr la phrase de passe
  

$ rm ascii.fr

1.6 - Récapitulatif

• Le média dispose
  
• d'une partition ESP

lsblk -o name,label,size,fstype /dev/sdb1
NAME LABEL  SIZE FSTYPE
sdb1 ESP4  1022M vfat

• et de 4 partitions chiffrées ouvertes
  

$ lsblk -o path,label,size,fstype /dev/sdb |egrep "PATH|/dev/mapper"
PATH                LABEL     SIZE FSTYPE
/dev/mapper/boot4   boot4       5G ext4
/dev/mapper/buster4 buster4    44G ext4
/dev/mapper/swap4   swap4      16G swap
/dev/mapper/home4   home4    48,6G ext4

• Pour déverrouiller les partitions chiffrées

$ sudo cryptsetup open /dev/sdb2 boot4 --key-file buster.key && \
sudo cryptsetup open /dev/sdb3 buster4 --key-file buster.key && \
sudo cryptsetup open /dev/sdb4 swap4 --key-file buster.key && \
sudo cryptsetup open /dev/sdb5 home4 --key-file buster.key

• Pour verrouiller les partitions chiffrées

$ for i in {boot4,buster4,swap4,home4}; do sudo cryptsetup close $i; done

2 - Debootstrap

• L'installation s'effectue en deux étapes principales
• Le montage du système de fichiers du media sur le système hôte
• L'installation proprement dite du système Debian sur le système monté
• On suppose le media connecté en /dev/sdb et les containers ouverts (cf ci-dessus),

2.1 - Montage du média

• Monter le système de fichier du media sur le système de fichier hôte, par exemple en /mnt

$ sudo mount /dev/mapper/buster4 /mnt

• Créer les points de montage pour les partitions ESP, boot et home, car ils n'existent pas encore

$ sudo mkdir -p /mnt/boot/efi /mnt/home

• Monter les partitions ESP, boot et home
  

$ sudo mount /dev/mapper/boot4 /mnt/boot && \
sudo mount /dev/sdb1 /mnt/boot/efi && \
sudo mount /dev/mapper/home4 /mnt/home

• Vérifier que le montage est conforme

$ lsblk -o path,label,mountpoint /dev/sdb |egrep "PATH|ESP4|boot4|buster4|swap4|home4"
PATH                LABEL   MOUNTPOINT
/dev/sdb1           ESP4    /mnt/boot/efi
/dev/mapper/boot4   boot4   /mnt/boot
/dev/mapper/buster4 buster4 /mnt
/dev/mapper/swap4   swap4   
/dev/mapper/home4   home4   /mnt/home

2.2 - Installation du système de fichiers

• Pour installer un système de fichier (voir Construction d'un système par debootstrap)
• soit construire directement sur le média le système de fichiers par debootstrap
  

$ sudo debootstrap buster /mnt

• soit, s'il a déjà été construit sur un répertoire du système hôte, le recopier

$ sudo rsync -aAxv debootstrap/ /mnt/ --progress; sync

• Vérifier la présence d'un système de fichier

$ ls /mnt
bin   dev  home  lib32  libx32      media  opt   root  sbin  sys  usr
boot  etc  lib   lib64  lost+found  mnt    proc  run   srv   tmp  var

2.3 - Déplacement du fichier de phrase de passe

• Recopier ou déplacer le fichier de phrase de passe dans le nouveau système
  

$ sudo mkdir -p /etc/keys
$ sudo mv buster.key /mnt/etc/keys

2.4 - Prochaine étape

• A ce stade, le système n'est pas encore amorçable et la finalisation du système s'effectue depuis le système hôte au moyen d'un changement de racine (chroot)

3 - Chroot

• "Lier" les systèmes de fichier virtuels du système hôte au système "chrooté" afin qu'il dispose d'un d'un système de fichiers complet
  

$ sudo bash -c 'for i in {proc,sys,sys/firmware/efi/efivars,dev,dev/pts,run} ; \
do mount --bind /$i /mnt/$i;done'

• Entrer dans le chroot
  

main $ sudo chroot /mnt
chroot #

• Vérifier que le système de fichier est accessible et complet

chroot # findmnt -o target,source,fstype
TARGET                        SOURCE              FSTYPE
/                             /dev/mapper/buster4 ext4
├─/boot                       /dev/mapper/boot4   ext4
│ └─/boot/efi                 /dev/sdb1           vfat
├─/home                       /dev/mapper/home4   ext4
├─/proc                       proc                proc
├─/sys                        sysfs               sysfs
│ └─/sys/firmware/efi/efivars efivarfs            efivarfs
├─/dev                        udev                devtmpfs
│ └─/dev/pts                  devpts              devpts
└─/run                        tmpfs               tmpfs

• Vérifier que la connexion internet est fonctionnelle
  

chroot # ping google.com
.....

• Il est alors possible de configurer le système. La configuration est décrite en 3 étapes
• Configuration logicielle
  
• Configuration matérielle
  
• Prise en compte des périphériques de stockage (fstab, crypttab, resume)

4 - Configuration logicielle

• Effectuer la configuration logicielle comme décrite dans le document : Configuration logicielle
• installation d'un utilisateur et de sudo, création des mots de passe
• configuration des paramètres de localisation, affichage, clavier, fuseau horaire
• configuration du fichier sources.list, installation de tâches standards et de logiciels

• Lorsque la configuration est effectuée, vérifier que le système est correctement configuré (langue, clavier, locales, utilisateur, ...), en affichant par exemple, la date et en ouvrant une session utilisateur
  

chroot # date
mercredi 24 mars 2021, 11:41:57 (UTC+0100)

chroot # su -l <utilisateur>
$ 

5 - Configuration matérielle

• Installer le noyau linux et grub comme indiqué dans le document : Configuration matérielle
• Lorsque la configuration est effectuée, vérifier que les principaux dossiers liés à l'amorçage sont peuplés
  

$ ls /boot/
config-4.19.0-16-amd64  initrd.img-4.19.0-16-amd64  vmlinuz-4.19.0-16-amd64
efi                     lost+found
grub                    System.map-4.19.0-16-amd64

$ ls /boot/grub
fonts  grub.cfg  grubenv  grub.png  locale  unicode.pf2  x86_64-efi

$ sudo tree /boot/efi
/boot/efi
├── EFI
│   ├── BOOT
│   │   ├── bootx64.efi
│   │   └── fbx64.efi
│   └── DEBIAN
│       ├── BOOTX64.CSV
│       ├── fbx64.efi
│       ├── grub.cfg
│       ├── grubx64.efi
│       ├── mmx64.efi
│       └── shimx64.efi
└── NvVars

6 - Prise en compte des systèmes de fichiers

Le déchiffrage, montage, .... des systèmes de fichiers s'effectue par la configuration des fichiers fstab - crypttab - resume, ...

6.1 - fstab

• Relever l'uuid, le point de montage et le type de système de fichier des partitions non chiffrées (ici la partition ESP)
  

$ lsblk -f /dev/sdb1 -n -o uuid,mountpoint,fstype
9D91-B2C0                            /boot/efi  vfat

• Relever le chemin, le point de montage, le type de système de fichier des containers des partitions chiffrées
  

$ lsblk -o path,mountpoint,fstype /dev/sdb |grep /dev/mapper
/dev/mapper/boot4   /boot      ext4
/dev/mapper/buster4 /          ext4
/dev/mapper/swap4              swap
/dev/mapper/home4   /home      ext4

• Reporter et compléter les entrées dans fstab
  

$ cat <<EOF |sudo tee /etc/fstab
# /etc/fstab: static file system information.

# <file system>  <mount point> <type> <options> dump> <pass>

# Partition ESP
UUID=9D91-B2C0  /boot/efi  vfat  umask=0077 0  2
  
# Boot chiffré
/dev/mapper/boot4  /boot  ext4 defaults 0  2

# Racine chiffrée       
/dev/mapper/buster4  /  ext4 errors=remount-ro 0  1

# Swap chiffrée      
/dev/mapper/swap4  none  swap  sw  0  0

# Home chiffré    
/dev/mapper/home4  /home  ext4  defaults  0  2

EOF

6.2 - Resume

• Indiquer dans le fichier resume l'emplacement de la partition de swap utilisée pour l'hibernation

$ echo "RESUME=/dev/mapper/swap4 |sudo tee /etc/initramfs-tools/conf.d/resume

6.3 - Crypttab

• Principe du déverrouillage pendant la phase d'amorçage
  
• Phase initiale (Chargement de linuz et initrd) - Déverrouillage par grub de la partition boot (ou la partition racine contenant le répertoire boot). Cette phase est gérée complètement par grub et n'utilise ni fstab ni crypttab. L'utilisateur est invité à saisir la phrase de passe. Grub reverrouille la partition à l'issue de cette phase
  
• Phase initrd - La partition root est déverrouillée par linuz à l'aide du fichier de mot de passe recopié dans l'initramfs
  
• Phase init - Les partitions boot, swap, home sont déverrouillées pendant la phase de démarrage du noyau depuis la partition root, à l'aide du fichier de phrase de passe indiqué dans crypttab
  
• Afficher les caractéristiques des partitions chiffrées
  

$ lsblk -o name,fstype,partlabel,partuuid /dev/sdb |grep crypto_LUKS
├─sdb2      crypto_LUKS boot4     79ac5616-64a2-4253-99e3-11b8d54922c1
├─sdb3      crypto_LUKS buster4   8e64595c-42ac-47f7-bb43-0f726c22cdc8
├─sdb4      crypto_LUKS swap4     4400b8c4-7d42-4145-93db-d2b0f0be097a
└─sdb5      crypto_LUKS home4     7b4f46f9-d181-4821-83e0-e9a2633c7f8c

• Pour chaque système de fichier chiffré, indiquer dans la table /etc/crypttab
  

• Le nom (name par exemple swap4) ou chemin (path /dev/mapper/swap4) du système de fichier
  
• L' identifiant (UUID, LABEL, ...) de la partition (et non du système de fichier). Dans ce qui suit, on utilise l'UUID de la partition
• Et compléter les champs <key file> et <options>
  

• Champs <key file>
• Partition root, déverrouillée pendant la phase initramfs : adresse du fichier de la phrase de passe dans l'initramfs : /buster.key
  
• Partition grub, swap et home, déverrouillées pendant la phase init linux : adresse du fichier de phrase de passe : /etc/keys/buster.key
• Champs <option>
• Partition boot, root,swap et home : type de chiffrage : luks
• Partition root : ajout d'un script (dans le cas présent une commande) permettant de récupérer le fichier de phrase de passe : keyscript=/bin/cat

$ cat <<EOF |sudo tee /etc/crypttab

# <target name>  <source device>  <key file>  <options>

# Partition boot - Phase grub
boot4 PARTUUID=79ac5616-64a2-4253-99e3-11b8d54922c1  none  luks

# Partition root - Phase initramfs
buster4 PARTUUID=8e64595c-42ac-47f7-bb43-0f726c22cdc8  /buster.key  luks,keyscript=/bin/cat   

# Partition swap - Phase init linux
swap4 PARTUUID=4400b8c4-7d42-4145-93db-d2b0f0be097a  /etc/keys/buster.key  luks

# Partition home - Phase init linux
home4 PARTUUID=7b4f46f9-d181-4821-83e0-e9a2633c7f8c  /etc/keys/buster.key  luks

EOF 

6.4 - Recopie de la phrase de passe dans l'initramfs

• Créer le script de recopie du fichier de phrase de passe dans l'initramfs
  

$ cat <<EOF |sudo tee /etc/initramfs-tools/hooks/copy_script
#!/bin/sh  
cp /etc/keys/buster.key "\${DESTDIR}"

EOF

$ sudo chmod +x /etc/initramfs-tools/hooks/pass_script
$ echo "UMASK=026" | sudo tee -a /etc/initramfs-tools/initramfs.conf

• Mettre à jour l'initramfs
  

$ sudo update-initramfs -u -k all

• On peut vérifier que le fichier de phrase de passe est présent à la racine de l'initramfs :
  

# lsinitramfs /boot/initrd.img-4.19.0-16-amd64 |grep buster.key
buster.key

6.5 - Périphériques de stockage ssd

• Dans le cas de partitions ssd, ajouter dans /etc/crypttab, l'option discard sur tous les containers chiffrés ext4 et swap

• Mettre en place un rognage semainier en utilisant systemd. Celui-ci s'effectuera sur tous les systèmes de fichier qui supportent la commande fstrim

$ sudo cp /usr/share/doc/util-linux/examples/fstrim.{service,timer} /etc/systemd/system
$ sudo systemctl enable fstrim.timer

• Vérifier le rognage sur chaque système de fichier concerné (il peut-être nécessaire de redémarrer dans le cas d'une partition chiffrée pour faire prendre en compte les modifications effectuées sur crypttab)
  

$ sudo fstrim -v /

6.6 - Mise à jour de Grub

• Si la partition boot est chiffrée , ajouter le paramètre GRUB_ENABLE_CRYPTODISK dans le fichier /etc/default/grub
  

$ echo "GRUB_ENABLE_CRYPTODISK=y" |sudo tee -a /etc/default/grub

• Si la partition racine est chiffrée, et qu'un environnement graphique est installé, recopier le fond d'écran grub dans le répertoire /boot/grub afin qu'il soit accessible lors du lancement de grub (sinon grub demandera le déverrouillage de la partition racine)
  

$ sudo cp /usr/share/desktop-base/active-theme/grub/grub-4x3.png  /boot/grub/grub.png
ou bien 
$ sudo cp /usr/share/desktop-base/active-theme/grub/grub-16x9.png /boot/grub/grub.png

• Mettre à jour le fichier de configuration de grub

$ sudo update-grub

7 - Fin du chroot

Le système une fois finalisé

• Sortir du chroot

chroot $ exit
déconnexion
chroot # exit
exit
main $

• Effectuer le démontage dans l'ordre inverse d'établissement du montage
  

$ sudo -- bash -c 'for i in {run,dev/pts,dev,sys/firmware/efi/efivars,sys,proc}; do umount /mnt/$i;done'
$ sudo umount /mnt/boot/efi /mnt/boot /mnt/home /mnt

• Vérifier que le système de fichier est disponible
  

$ lsof /mnt

• Fermer les containers
  

$ for i in {boot4,buster4,swap4,home4}; do sudo cryptsetup close $i; done

Le media est disponible et peut-être retiré

8 - Premier démarrage autonome

8.1 - Amorçage EFI

• Au niveau du bios/EFI du PC, s'assurer que le média sur lequel se trouve la partition ESP du système à démarrer est prioritaire ou bien la sélectionner dans les options d'amorçage
• Aucune entrée d'amorçage n'étant enregistrée dans "la nvram ovfm", l'amorçage ne s'effectuera automatiquement que dans le cas d'un installation type "Media amovible" avec chargeur de démarrage (shimx64.efi) renommé bootx64.efi présent dans /boot/efi/EFI/BOOT
  
• Si le démarrage automatique échoue, afficher le menu efi au démarrage et sélectionner 'manuellement" le fichier à démarrer (/EFI/BOOT/shimx64.efi)

8.2 - Grub

• Entrer le mot de passe pour déverrouiller la partition de boot lorsque le message suivant s'affiche
  

 Enter Passphrase for hd0,gpt2 (1679.........):

• Attention :
• Le clavier est en QWERTY et aucun caractère n'est affiché
  
• Le déverrouillage par grub est long (plusieurs 10 secondes). Après avoir saisie la touche Entrée, attendre jusqu'à ce que l'écran suivant s'affiche

• La suite du lancement et du déverrouillage des partitions s'effectue sans l'intervention de l'utilisateur et débouche sur le login
  

8.3 - Configuration finale

• Modifier éventuellement le nom d'hôte
• Configurer la connexion réseau
  

Voir Debootstrap et chroot Premier démarrage autonome