Salut à toutes et à tous,
je vais devoir installer pour quelqu'un un Ubuntu en dual boot avec un Windows 11 sur un portable HP Laptop 15s-eq2008nf tout neuf. Il a l'avantage d'avoir un SSD M.2 de 1 To. Il y a bien sûr un UEFI (j'ai déjà pratiqué). Mais également une puce TPM (c'est la première fois que j'ai un PC avec cette bestiole).
Les étapes que je voudrais suivre sont :
- sauvegarder le SSD avec Clonezilla (en cas de problème car je ne veux pas perdre le Win11),
- réduire la taille des partitions Windows à 500 Go (https://www.justgeek.fr/installer-ubuntu-en-dual-boot-avec-windows-11-109997/),
- installer un Ubuntu LTS dans les 500 Go restants.
Si vous avez des remarques et des conseils, je suis preneur. En effet, d'un côté je pourrais dire que j'installe des Linux depuis environ 25 ans. Sauf qu'à force de maintenir des systèmes installés il y a souvent plus de dix ans, finalement ça ne m'arrive pas si souvent que ça d'installer des Linux :-) … En particulier, je n'ai pas pratiqué avec Windows 11 et les cartes mères récentes avec puces TPM.
Merci d'avance
# secure boot
Posté par Chris K. . Évalué à 3.
la méthode semble bonne, Ubuntu supportant d'avoir un secure boot actif ça devrait fonctionner.
Mais je reste curieux de ton retour d'expérience je n'ai pas eu l'occasion de faire de dual boot avec windows 11.
[^] # Re: secure boot
Posté par vmagnin (site web personnel) . Évalué à 3.
Je devrais l'avoir lundi, donc je m'y mettrai tranquillement et avant la fin de la semaine je pourrai faire un retour.
Etape 0, j'irai bien sûr faire un tour dans le "BIOS" UEFI pour voir comment il est configuré.
[^] # Retour d'expérience
Posté par vmagnin (site web personnel) . Évalué à 4.
Retour d'expérience sur la première installation Dual Boot que je fais depuis au moins 10 ans (12 ?).
Dans le BIOS (F10) :
- mettre Disque USB en premier pour le démarrage
- "Démarrage sécurisé" => désactivé. Apparemment ne suffit pas => faire aussi "Annule toutes les touches de démarrage sécurisé" ("touches" est une mauvaise traduction pour "clefs" de chiffrement !). Si le SecureBoot n'est pas désactivé, en essayant de booter sur la clef USB on obtient le message "Verifying shim SBAT data failed: Security Policy Violation".
On boote ensuite sur la clef USB Kubuntu 24.04 LTS. J'installe lz4 et pv puis je copie le disque 1 To avec la commande de Chris :
Ca prend 1h17 et les 953 Gio sont compactés en 53,7 Gio.
On peut aussi sauvegarder au cas où la petite partition EFI Fat32 de Windows /dev/nvme0n1p1 (elle s'appelle "SYSTEM").
Je réactive le Secure Boot (pour que Windows puisse démarrer). Mauvaise surprise Bitlocker demande la clé de récupération (48 chiffres). Heureusement, lors de la configuration de Windows 11, après une longue hésitation j'avais quand même créé (et non sans mal) un compte Microsoft, sur lequel avait été sauvegardé automatiquement la fameuse clé.
Avec l'utilitaire Windows "Gestion des disques" je vois que la partition Windows C: (953 Go) est en sandwich entre la partition EFI 260 Mo et la partition de récupération 811 Mo. Je fais "Réduire le volume" : "quantité d'espace à réduire"=500000 Mo (pour Linux). Restera 475000 Mo pour Windows.
Je désactive à nouveau SecureBoot pour pouvoir booter sur la clef Live USB Kubuntu. Je tente d'abord un partitionnement manuel (deux partitions racine+home) mais Kubuntu ne pourra pas booter faute d'EFI. Je retente une installation en ajoutant cette fois le point de montage /boot/efi pour la partition nvme0n1p1 mais l'installateur me dit que l'EFI n'est pas bien configuré. Je ne tente pas le diable, pas que ça à faire ! Je me rabats sur une installation avec une seule partition : "Remplacer une partition" et je sélectionne l'espace libre. Le message "La partition EFI sur /dev/nvme0n1p1 va être utilisée pour démarrer Kubuntu" apparaît en bas de l'installateur. Yes !
On réactive le démarrage sécurisé. On reboote : on démarre désormais avec Grub (Linux par défaut). Ouf, ça marche !
CONCLUSION
La première chose à faire est surtout de sauvegarder la clef Bitlocker du SecureBoot (un compte Microsoft n'est probablement pas nécessaire, mais je ne sais pas comment on fait) pour éviter les mauvaises surprises. Car il faudra désactiver temporairement SecureBoot pour booter sur la clef USB Kubuntu.
Si on laisse l'installateur Kubuntu tout mettre sur une seule partition, il gère automatiquement la partition EFI initialement présente. Sinon, je ne sais pas.
[^] # Re: Retour d'expérience
Posté par BAud (site web personnel) . Évalué à 4.
tu as oublié de passer l'UEFI en anglais ;-) Les traductions sont globalement incompréhensibles la plupart du temps, pourrites assez souvent
sans doute une option quelque part dans l'UEFI, genre
Managing keys
permettant de les exporter sur disque ou clé usb ; mais, oui, tu fais bien de le signaler :-)En outre, si la partition windows était chiffrée, il faut la redimensionner sous windows au préalable et non sous Linux, sinon Bitlocker va se plaindre qu'il y a eu des changements impromptus et windows risque de ne plus booter :/
[^] # Re: Retour d'expérience
Posté par vmagnin (site web personnel) . Évalué à 3.
Non, aucune option d'export dans le BIOS UEFI.
Dans Windows 11, il faut aller dans l'"ancien" panneau de configuration (pas dans la fenêtre des paramètres) :
Panneau de configuration > Système et sécurité > Chiffrement de l'appareil > Sauvegarder vos clés de récupération
On peut alors sauvegarder la clef sur le compte Microsoft, ou l'exporter en fichier texte (sur un support non chiffré par Bitlocker) ou l'imprimer.
[^] # Re: Retour d'expérience
Posté par vmagnin (site web personnel) . Évalué à 2.
On peut alors désactiver la synchronisation au compte Microsoft : Paramètres > Comptes > Vos infos > Se connecter avec un compte local
Après avoir ignorer l'étape de sauvegarde de la clef de chiffrement (déjà faite), on peut valider le compte local en entrant à nouveau le mot de passe.
# TPM et Secure Boot ?
Posté par vmagnin (site web personnel) . Évalué à 5.
Je pense que je confonds TPM et Secure Boot.
TPM, c'est une puce cryptographique : https://fr.wikipedia.org/wiki/Trusted_Platform_Module
Secure Boot, c'est un système qui vérifie la signature numérique de l'OS : https://fr.wikipedia.org/wiki/UEFI
Est-ce que le Secure Boot nécessite la puce TPM ? Ou est-ce qu'elle l'utilise mais peut s'en passer s'il n'y en a pas ? Ou pas de rapport entre les deux ?
# Clonezilla
Posté par vmagnin (site web personnel) . Évalué à 2.
Autre question, d'après mes souvenirs Clonezilla ne sauvegarde que les informations utiles. Donc pas besoin d'un disque d'un To pour sauvegarder un disque d'un To (pas rempli) ? Me trompe-je ?
[^] # Re: Clonezilla
Posté par Chris K. . Évalué à 3.
Je ne l'ai pas utilisé depuis une éternité je fais plutôt un dd if=/dev/sdX | pv | lz4 > ma hine.img.lz4 pour faire une image disque rapidement en limitant l'espace nécessaire.
[^] # Re: Clonezilla
Posté par vmagnin (site web personnel) . Évalué à 3.
C'est sûr que c'est plus élégant. Je peux le faire à partir de l'ISO de Kubuntu que j'ai mise hier sur mon disque USB dans ma partition Easy2Boot
P.s. Je suppose que tu voulais écrire "machine.img.lz4" et non pas "ma hine.img.lz4" :-)
# désactiver le SecureBoot par sécurité ?
Posté par vmagnin (site web personnel) . Évalué à 4.
Après avoir lu https://linuxfr.org/users/brndan/liens/une-mise-a-jour-windows-casse-les-dual-boots
je me demande si je ne devrais pas désactiver le SecureBoot, par sécurité… (le PC n'est pas pour moi, donc ça fait peur).
[^] # Re: désactiver le SecureBoot par sécurité ?
Posté par vmagnin (site web personnel) . Évalué à 3.
Ca ne semble pas possible dans la pratique, une fois Windows installé avec (et donc sur une partition chiffrée) : sous peine de devoir entrer la clef Bitlocker à chaque boot.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.