Forum général.général LUKS & /boot

Posté par Xanatos le 06 mars 2024 à 18:27. Licence CC By‑SA.

Étiquettes :

mar.

2024

Bonjour,

Avec l'arrivée d'une nouvelle machine je souhaite me mettre un peu à jour sur l'organisation des fs et LUKS.
Jusqu'à présent j'installe sous cette forme:

NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 59,6G 0 disk

├─sda1 8:1 0 190M 0 part /boot
└─sda2 8:2 0 59,4G 0 part

└─sda2_crypt 253:0 0 59,4G 0 crypt /

Oui pas de SWAP et vieux coucous en BIOS, ce n'est pas le débat.

/boot non chiffré m'a toujours embêté et je m'aperçois que depuis grub2 le déchiffrement de LUKS 1 est réalisable, avec 2 possibilités soit une partition boot en LUKS 1 et le reste en LUKS 2 soit boot sous /root mais alors tout en LUKS 1.
Je me perds dans différentes lectures, notamment:

Initial LUKS2 support was added to GRUB 2.06, but with several limitations that are only partially addressed in GRUB 2.12rc1. See GRUB bug #55093.
Since GRUB 2.12rc1, grub-install can create a core image to unlock LUKS2. However, it only supports PBKDF2, not Argon2.
Argon2id (cryptsetup default) and Argon2i PBKDFs are not supported (GRUB bug #59409), only PBKDF2 is.
Tip: You can use grub-improved-luks2-gitAUR that has been patched for LUKS2 as well as Argon support. Note the package's Argon support requires an UEFI system.[3]

https://wiki.archlinux.org/title/GRUB#LUKS2

Je ne suis pas vraiment au fait des algos, si c'est significativement différent entre Argon2id et PBKDF.
De plus éviter de faire du bricolage m'arrangerait pour éviter de tout casser à chaque montée de version de Debian.

On me dit partition UEFI, soit, mais si je verrouille le /boot et laisse UEFI ouvert c'est déporter le problème ?

Au fil des lectures je suis aussi tombé sur une autre gestion du chiffrement qui englobe le boot avec un sous composant de systemd, sur popOs notamment, bref.

Comment gérez-vous vos LUKS ?

# EFI ?

Posté par solsTiCe (site web personnel) le 09 mars 2024 à 17:11. Évalué à 4 (+2/-0).

Si la machine est récente, pourquoi ne pas utiliser EFI ?

Et pour installer quelle distro ? Ubuntu, Fedora, Archlinux, un dérivé des précédents ?
ou alors debian il me semble ?

Avec archlinux et EFI, j'ai activé Secure Boot (en utilisant shim et ma propre clé puisque archlinux n'en a pas) et en utilisant un UKI, un bundle efi avec le noyau, initrd, ucode et ligne de commande.
le UKI est signé et booté avec Secure Boot.

Ce n'est pas la même chose que crypté le noyau (et /boot) mais je trouve moins prise de tête.
Et au niveau sécurité, ça me suffit. Car ne n'est pas incassable.

Et cela boote ensuite un LUKS avec LVM à l'intérieur. Comme ça je peux modifier la taille des partitions dans le grand conteneur LUKS, si besoin, swap compris.

Et j'utilise systemd-boot.

Donc si débian, et BIOS, et grub, je ne réponds pas à la question /o\ désolé

Répondre
- [^] # Re: EFI ?
  
  Posté par Xanatos le 11 mars 2024 à 13:34. Évalué à 2 (+0/-0).
  
  UEFI et Debian oui.
  Pas de soucis, merci de ton retour.
  
  Répondre
# Up

Posté par Xanatos le 26 mars 2024 à 22:14. Évalué à 2 (+0/-0).

Je remonte le sujet.
Personne ne chiffre ses disques ici ?

Répondre

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.

# EFI ?

[^] # Re: EFI ?

# Up