Tuto install debian¶
Install Xav¶
D'abord, faire le tour du BIOS du nouveau portable. Je passe ici sur Coreboot/Libreboot, désactiver au moins UEFI (ou le placer en mode "legacy/compatibilité") vu qu'il me semble qu'on travaille toujours mieux sans.
La poule et l’œuf : pour (re-)vérifier la dernière Tails, par exemple, après gravure sur clef ou DVD :
#torsocks -i gpg --keyserver keys.gnupg.net --recv-keys \ A490D0F4D311A4153E2BB7CADBB802B258ACD84F #dd if=/dev/sss bs=2048 count=594405 \ | gpg --verify tails-amd64-3.8.iso.sig -
Les ISO Debian sont publiées par lots, c'est le fichier des sommes de contrôle qui est lui, signé :
#torsocks -i gpg --keyserver keys.gnupg.net --recv-keys \ DF9B9C49EAA9298432589D76DA87E80D6294BE9B #gpg --verify SHA512SUMS.sign SHA512SUMS # grep une-iso-de-la-liste SHA512SUMS #dd if=/dev/sss bs=XXX count=YYYYYY | sha512sum -
Le produit des valeurs bs × count doit être exactement la taille de l'ISO signée (avec le bs le plus grand possible pour accélérer l'opération).
Enfin, sss n'existe pas, il faut d'abord identifier le "block device" correspondant au (bon) disque, par exemple en laissant défiler "dmesg
-Tw" ou "journalctl -af" ou encore utiliser le bon vieux "fdisk -l". On vise les volumes entiers, pas les partitions en leur sein, un media
optique pourrait être "sr0", un disque dur ou une clef USB "sdf" (et non sdf1), etc.
de bien écraser le disque dur et le remplir de données aléatoires.¶
Depuis un hôte libre et propre donc, en connectant le nouveau disque en secondaire, ou sinon (par exemple) depuis la dernière version de Tails
dûment vérifiée par des tiers ("sds" n'existe pas non plus, à priori--on vise cette fois le disque, toujours entier, peut-être "sdb" ou "sde") :
#cryptsetup create yoyo1 /dev/sds -d /dev/urandom #dd if=/dev/zero of=/dev/mapper/yoyo1 bs=1M status=progress #cryptsetup remove yoyo1
Répéter à l'envie avec "yoyo2" etc.
Et pourquoi pas de pré-partitionner le disque plus avantageusement que ne le fait l'installateur (et éviter les surprises d'alignement, même devenues très rares)
#cat /sys/block/sds/queue/optimal_io_size #cat /sys/block/sds/queue/minimum_io_size #cat /sys/block/sds/queue/physical_block_size #cat /sys/block/sds/alignment_offset
Si ça ne donne pas 0/512/512/0 ou 0/4096/4096/0, on pause ici--il faudra étendre ce chapitre et calculer d'autres valeurs.
Pour un disque nommé disons, "syrah" :) La deuxième partition est le seul espace qui restera hors de la crypte, assez grand pour tenir à
l'avenir une ISO de DVD ( ou un OS entier, un truc de secours, que sais-je ). La troisième partition tiendra la crypte, jusqu'au bout du
disque. Les deux align-check devraient dire "aligned", of course :
#parted /dev/sds mklabel gpt #parted /dev/sds mkpart gp_syrah_grub 0 1048575B #parted /dev/sds set 1 bios_grub on #parted /dev/sds mkpart gp_syrah_boot 1048576B 5158993919B #parted /dev/sds unit B print align-check optimal 2 #parted /dev/sds mkpart gp_syrah_luks 5158993920B 100% #parted /dev/sds unit GiB print align-check optimal 3
On crée la crypte :
#cryptsetup luksFormat /dev/sds3 \ --cipher aes-xts-plain64 --key-size 512 #cryptsetup luksDump /dev/sds3 #cryptsetup luksOpen /dev/sds3 pv_syrah_luks
Découper en LVM, en laissant de quoi snapshotter ou agrandir :
#ls -la /dev/mapper /dev/dm* #pvcreate /dev/dm-X #vgcreate vg_syrah /dev/dm-X #lvcreate -L 30G vg_syrah -n root #lvcreate -L 10G vg_syrah -n free1 #lvcreate -L 300G vg_syrah -n data #lvcreate -L 10G vg_syrah -n free2 #lvcreate -l 2047 vg_syrah -n swap #sync; pvs; vgs; lvs #lsblk -o NAME,SIZE,TYPE,PARTLABEL,LABEL,FSTYPE,MOUNTPOINT
L'installateur de Debian permet d'utiliser le partitionnement ainsi obtenu. Faut juste l'aider un peu, à charger la crypte et générer
/target/etc/crypttab pendant l'installation. :)
Post-installation, avant toute chose peut-être ?
#apt update #apt install etckeeper #git config --global --edit
Puis un pare-feu, puis apt-transport-tor et la conf des dépôts, puis...
Mis à jour par pizzacoca il y a plus de 6 ans · 1 révisions