[résolu][vecu]install debian-8.5_LVM-chiffré_dual-boot-w10_uefi

debianux · 23-06-2016 11:40:57

Bonjour,

ici
https://debian-facile.org/viewtopic.php … 72#p179572

se trouve le détail de "l'aventure", qu'a été de faire fonctionner grub-efi en dual-boot sur un lvm-chiffré, et magistralement conduite par raleur !

donc, 'au propre', voilà ce qui a été fait, en principe chronologiquement, pour cette installation, via clé-usb-netinstall, de debian-8.5, en LVM chiffré, sur un lenovo-t460s_dual-boot-uefi avec windows-10.

pour les images, capture des écrans de debian-installer, j'ai gardé l'essentiel relatif au partionnement, jusqu'à la rubrique 'terminer'.

notes:

a/pour mes partitions, le disque de mon t460s est un ssd dernière génération et est nommé 'nvme0n1' (pas sdx).

b/ j'ai réduit la partition windows à 108GB, je vais garder 100GB pour un troisième système d'exploitation, je prends 300GB pour debian et je garde 50MB pour la partition 'raleur' (explications plus bas

)

c/ mon choix de partitionnement :
.'slash-racine' : / : 12 GB (j'ai suivi l'avis de raleur dans un autre fil où il ne voyait pas l'intérêt d'une partition '/usr' séparée ; initialement j'avais envisagé : '/'= 2GB et '/usr'=10GB) ; espace réservé = 5% (pour les autres je garde 2%)
.'/var' = 4GB
.'/tmp' = 5GB
.'/home' = 264GB
.'/swap' = 10GB (pour une mémoire vive de 20GB)
. espace libre = 5GB, qui seront à l'intérieur du VG (volume group) pour faciliter un agrandissement futur (merci raleur).

c/ 'à toutes fins utiles_atfu', ma passphrase a été construite avec la méthode 'diceware passphrase'
http://world.std.com/~reinhold/diceware.html

d/ de préférence, lire entièrement, avant de se lancer

1/ choix de l'option 'advanced options' / graphical expert install

2/ déroulé chronologique à partir de 'charger des composants d'installation' :

3/ les précédentes tentatives ont butés sur une question liée au chiffrage. je vais choisir un composant complémentaire 'crypto-dm-modules' mais il n'est pas certain que ce soit nécessaire. j'en ai sélectionné quelques autres, au cas où (et peut-être aussi 'pour le plaisir', comme disait Herbert Léonard

)

4/ du coup il me propose d'installer des pilotes depuis un support amovible (option 'load...'), que je vais décliner

5/ partionnement, chiffrement, lvm
après réduction de la partition windows pour la réduire à une centaine de GB, j'ai libéré 300GB pour debian et garde une autre centaine de GB pour un troisième système à venir. Après la tentative précédente, la situation est la suivante

la partition de 300GB est sélectionnée et je l'utilise comme 'volume physique pour chiffrement'

6/ configurer le le gestionnaire de volumes logiques (lvm)

après avoir créé tous les lv souhaités, on termine

7/ paramétrage de chaque partition debian (voir également d'autres vues sur le même sujet dans le fil
https://debian-facile.org/viewtopic.php … 53#p158653

résumé avant validation :

8/ installation système

(3.16 ou 'linux image' donne la même installation en 3.16)
je prends l'option 'pilotes ciblée' :

j'ajoute les 'logiciels rétroportés' (au cas où

)

mon choix de composants :

9/ grub 'en approche' :

crash du grub :

va falloir partir à la recherche des 'boîtes noires'...
on continue, moral en baisse...

10/ appel à la tour de contrôle...
'super' 'raleur' : "rodger"
(ouf, y a quelqu'un qui répond, l'espoir revient ! )

'raleur' met en place le 'sauvetage de grub'

11/ aller dans le bios-efi pour vérifier l'ordre du boot : dans mon cas, 'debian' (sur le disque dur), avait été mis en tête par l'installer : donc plus moyen de rebooter sur la clé-usb 'netinstall' en mode rescue.

12/ plan de sauvetage breveté 'raleur' :
'démarrer avec l'installateur en mode rescue, déchiffrer le volume chiffré, lancer un shell sur le LV racine, monter /boot/efi, installer grub-efi si nécessaire, exécuter grub-install et voir ce qui se passe. Exécuter update-grub si /boot/grub/grub.cfg est manquant.'

13/ reboot sur la clé-usb netinstall : 'advanced options' / 'graphical rescue mode' (pour pouvoir, si on le souhaite garder des copies des écrans, qui seront stockées dans '/var/log/installer' : voir l'icône en bas à gauche).
il est proposé de choisir comme système de fichiers racine :
* '/dev/sda1' : c'est la clé netinstall, donc non !
* 'pas de système de fichiers racine' : on est bloqué...
* ouvrir un 'shell dans le contexte de l'installateur' : là est le salut

14/ 'vérifie quand même avec 'lsmod' que les modules 'dm-mod' et 'dm-crypt' sont bien chargés'
si ce n'est pas le cas : 'modprobe', puis re 'lsmod' pour vérifier.

15/ déverrouiller le volume chiffré :

cryptsetup luksOpen /dev/nvme0n1p5 p5_crypt

où :
* 'p5' est la partition sur laquelle on a placé le VG.
* 'p5_crypt' est le nom que vous voulez donner au volume décrypté.

et si tout va comme espéré on obtient :

enter passphrase for /dev/nvme0n1p5

16/ en bas à droite : 'revenir en arrière', 2 fois, et on doit se retrouver avec des nouvelles propositions pour le système de fichiers racine :

veuillez choisir un périphérique ...
/dev/sda1
/dev/gv/home
/dev/gv/slash-racine
/dev/gv/swap
/dev/gv/tmp
/dev/gv/var
construire l'ensemble raid
ne pas utiliser de système de fichiers racine

dans mon cas :
'/dev/gv/slash-racine'
ici : crier 'youpiiiie !'

17/ création de la partition 'raleur', nommée 'specialgrub' :

parted /dev/nvme0n1 unit MB print

va donner les 'start' et 'end' de chaque partition. la 'specialgrub' est à placer juste avant la dernière :

4 511GB 512GB 1049MB ntfs basic data partition hidden, diag

repérer où elle commence, ce qui donnera l'endroit où doit finir specialgrub.
dans mon cas j'ai créé cette dernière ainsi :
#

parted /dev/nvme0n1 mkpart specialgrub 510950MB 511000MB print

j'aurais pu affiner et gagner quelques millions

formatage en ext4 (ou ext2 ou ext3) :

mkfs.ext4 -L specialgrub /dev/nvme0n1p6

18/ repérer le UUID de la partition :

blkid /dev/nvme0n1p6

(sur le t460, comme c'est écrit tout petit et que j'ignore comment augmenter la taille des caractères dans ce contexte, il m'a fallu prendre une loupe pour relever les chiffres et les lettres )

l'astuce de 'raleur' :
"Sinon, j'ai un truc quand le copier-coller n'est pas possible :

blkid /dev/nvme0n1p >> /etc/fstab

(bien mettre deux >)
Ensuite, éditer /etc/fstab pour remodeler la ligne au format de fstab. "

19/ ajouter la partition dans 'fstab' :

nano /etc/fstab

UUID=XXXXXX...X /boot/grub ext4 defaults 0 2
quitter/enregistrer

20/ monter le grub :

mount /boot/grub

21/ si partition '/var' séparée, la monter

mount /dev/gv/var

22/ comme on est en 'uefi' :

apt-get install grub-efi

grub-install

installing for x86_64-efi platform

installation terminée sans erreur

alors, qu'est-ce qu'on ressent ?

update-grub

création du fichier de configuration GRUB

found background image: .back_cache.png

image linux trouvée: /boot/vmlinuz-3.160-4-amd64

image mémoire initiale trouvée : /boot/initrd.img-3.160-4-amd64

windows boot manager trouvé sur /dev/nvme0n1p1@/EFI/Microsoft/Boot/bootmgfw.efi

adding boot menu entry for EFI firmware configuration

fait

23/ 'opération "cryptomount -a" :
dans '/boot/grub/grub.cfg' :
"Repère les lignes insmod des modules crypto et insmod lvm, et insère la ligne juste avant celle de insmod lvm.
C'est répété pour chaque ligne du noyau dans le menu. "
voilà ce que j'y trouve :

begin /etc/grub.d/00_header
begin /etc/grub.d/05_debian_theme
begin /etc/grub.d/10_linux
...
insmod cryptodisk
insmod luks
insmod gcry_rijndael
insmod gcry_rijndael [2 fois]
insmod_gcry_sha1
insmod lvm [donc 'cryptomount -a' avant celui-là] [3 fois en tout]

begin /etc/grub.d/20_linux_xen
begin /etc/grub.d/30_os-prober
begin /etc/grub.d/30_uefi-firmware
begin /etc/grub.d/40_custom
begin /etc/grub.d/41_custom

24/ reboot, yesss !

25/ demande passphrase 1, par grub : ATTENTION : clavier querty us.
une solution est de s'arranger pour n'avoir que des caractères communs

26/ demande passphrase 2, par initramfs : clavier français !

27/ la 'routine' : les propositions debian, windows et voilà : on est dans debian-8.5, en lvm-chiffré-déchiffré, avec w10, endormi à côté...
elle est pas belle la vie ?
voix d'ailleurs : "si, mais sans raleur, c'est encore mieux"
alors là, franchement, sans raleur, j'vois pas comment...

Dernière modification par debianux (23-06-2016 11:59:50)

smolski · 23-06-2016 11:41:51

Merci à vous deux !

Edit : Mets aussi Resolu dans le titre, c'esl plus important car des recherches sur le forum y sont souvent associées avec le sujet du post.

debianux · 23-06-2016 11:58:50

bonjour smolski,
je me suis trompé pour les images : ce sont des miniatures au lieu des images : vaut-il mieux changer ?
malheureusement la taille fait qu'il faudra de toute façon cliquer dessus pour voir quelque chose.

debianux · 23-06-2016 12:04:22

lien placé sur https://debian-facile.org/doc:install:i … tionnement

MicP · 23-06-2016 16:00:36

debianux a écrit :

je me suis trompé pour les images : ce sont des miniatures au lieu des images : vaut-il mieux changer ?
malheureusement la taille fait qu'il faudra de toute façon cliquer dessus pour voir quelque chose.

Perso, j'ai toujours fait comme ça, et ça me semble être la meilleure solution pour ne pas trop faire "grossir" la base de données du serveur de ce forum.
Je dis ça, mais je précise que je ne suis qu'un utilisateur de ce forum : Je ne suis pas modérateur ou autre (J'espère ne pas avoir les avoir vexé en te donnant mon point de vue personnel.)

Dernière modification par MicP (23-06-2016 16:04:03)

Lancelot du Lac · 23-06-2016 17:05:46

Très, très intéressant. UEFI est une telle galère... Pour ma part, j'ai toujours choisi le mode legacy pour installer toute distribution Linux : beaucoup plus simple. Mais si le problème se représente un jour à nouveau, sûr que je vais venir faire un tour sur cette page. Merci d'avoir posté tout cela !

debianux · 23-06-2016 20:00:13

avec plaisir !

debianux · 05-11-2016 11:55:02

Bonjour,
après avoir fait un 'aptitude full-upgrade', le système est passé à la version 8.6, et le grub s'est remis à 'bouder'

donc re-procédure à partir du paragraphe 12 de ce récit pour un nouveau succès

debianux · 05-11-2016 12:03:35

et comme la passphrase initiale comportait des caractères qui diffèrent selon les claviers us/fr, je l'ai modifiée, en m'appuyant sur
http://www.thegeekstuff.com/2016/03/cryptsetup-lukskey/ :

cryptsetup luksDump /dev/sda7

pour avoir l'état de l'existant : les 'slots' (activé ou désactivé, ce qui se fait automatiquement à la création/suppression des passphrases)

cryptsetup luksAddKey /dev/sda7

pour ajouter une nouvelle passphrase, avec que des caractères communs ou faciles à saisir pour les deux claviers
re-démarrage pour tester la nouvelle passphrase

cryptsetup luksRemoveKey /dev/sda7

pour supprimer la passphrase originelle.

debianux · 15-11-2016 17:14:42

Bonjour,

suite à ça
https://debian-facile.org/viewtopic.php?id=15921

sur un lenovo t460s, il faut passer du noyau 3.16 au 4.7

une recherche web sur 'debian t460s' montrera des exemples, notamment ici
https://wiki.debian.org/InstallingDebianOn/Thinkpad

après l'installation du nouveau noyau, il va falloir reprendre cette installation à partir du paragraphe 12, 'parted -l' devrait montrer que la partition 'supergrub' est toujours là, refaire l'opération 'cryptomount -a' : avec les deux noyaux, il y a maintenant 5 lignes à ajouter

Debian-facile

#1 23-06-2016 11:40:57

[résolu][vecu]install debian-8.5_LVM-chiffré_dual-boot-w10_uefi

#2 23-06-2016 11:41:51

Re : [résolu][vecu]install debian-8.5_LVM-chiffré_dual-boot-w10_uefi

#3 23-06-2016 11:58:50

Re : [résolu][vecu]install debian-8.5_LVM-chiffré_dual-boot-w10_uefi

#4 23-06-2016 12:04:22

Re : [résolu][vecu]install debian-8.5_LVM-chiffré_dual-boot-w10_uefi

#5 23-06-2016 16:00:36

Re : [résolu][vecu]install debian-8.5_LVM-chiffré_dual-boot-w10_uefi

#6 23-06-2016 17:05:46

Re : [résolu][vecu]install debian-8.5_LVM-chiffré_dual-boot-w10_uefi

#7 23-06-2016 20:00:13

Re : [résolu][vecu]install debian-8.5_LVM-chiffré_dual-boot-w10_uefi

#8 05-11-2016 11:55:02

Re : [résolu][vecu]install debian-8.5_LVM-chiffré_dual-boot-w10_uefi

#9 05-11-2016 12:03:35

Re : [résolu][vecu]install debian-8.5_LVM-chiffré_dual-boot-w10_uefi

#10 15-11-2016 17:14:42

Re : [résolu][vecu]install debian-8.5_LVM-chiffré_dual-boot-w10_uefi

Pied de page des forums