Tuto install debian » Historique » Version 1
pizzacoca, 12/09/2018 20:45
| 1 | 1 | pizzacoca | # Tuto install debian |
|---|---|---|---|
| 2 | |||
| 3 | ## Install Xav |
||
| 4 | |||
| 5 | |||
| 6 | D'abord, faire le tour du BIOS du nouveau portable. Je passe ici sur Coreboot/Libreboot, désactiver au moins UEFI (ou le placer en mode "legacy/compatibilité") vu qu'il me semble qu'on travaille toujours mieux sans. |
||
| 7 | |||
| 8 | La poule et l’œuf : pour (re-)vérifier la dernière Tails, par exemple, *après* gravure sur clef ou DVD : |
||
| 9 | |||
| 10 | ~~~ |
||
| 11 | #torsocks -i gpg --keyserver keys.gnupg.net --recv-keys \ |
||
| 12 | A490D0F4D311A4153E2BB7CADBB802B258ACD84F |
||
| 13 | #dd if=/dev/sss bs=2048 count=594405 \ |
||
| 14 | | gpg --verify tails-amd64-3.8.iso.sig - |
||
| 15 | ~~~ |
||
| 16 | |||
| 17 | Les ISO Debian sont publiées par lots, c'est le fichier des sommes de contrôle qui est lui, signé : |
||
| 18 | |||
| 19 | ~~~ |
||
| 20 | #torsocks -i gpg --keyserver keys.gnupg.net --recv-keys \ |
||
| 21 | DF9B9C49EAA9298432589D76DA87E80D6294BE9B |
||
| 22 | #gpg --verify SHA512SUMS.sign SHA512SUMS |
||
| 23 | # grep une-iso-de-la-liste SHA512SUMS |
||
| 24 | #dd if=/dev/sss bs=XXX count=YYYYYY | sha512sum - |
||
| 25 | ~~~ |
||
| 26 | |||
| 27 | Le produit des valeurs bs × count doit être exactement la taille de l'ISO signée (avec le bs le plus grand possible pour accélérer l'opération). |
||
| 28 | |||
| 29 | Enfin, sss n'existe pas, il faut d'abord identifier le "block device" correspondant au (bon) disque, par exemple en laissant défiler "dmesg |
||
| 30 | -Tw" ou "journalctl -af" ou encore utiliser le bon vieux "fdisk -l". On vise les volumes entiers, pas les partitions en leur sein, un media |
||
| 31 | optique pourrait être "sr0", un disque dur ou une clef USB "sdf" (et non sdf1), etc. |
||
| 32 | |||
| 33 | |||
| 34 | ### de bien écraser le disque dur et le remplir de données aléatoires. |
||
| 35 | |||
| 36 | Depuis un hôte libre et propre donc, en connectant le nouveau disque en secondaire, ou sinon (par exemple) depuis la dernière version de Tails |
||
| 37 | dûment vérifiée par des tiers ("sds" n'existe pas non plus, à priori--on vise cette fois le disque, toujours entier, peut-être "sdb" ou "sde") : |
||
| 38 | |||
| 39 | ~~~ |
||
| 40 | #cryptsetup create yoyo1 /dev/sds -d /dev/urandom |
||
| 41 | #dd if=/dev/zero of=/dev/mapper/yoyo1 bs=1M status=progress |
||
| 42 | #cryptsetup remove yoyo1 |
||
| 43 | ~~~ |
||
| 44 | |||
| 45 | Répéter à l'envie avec "yoyo2" etc. |
||
| 46 | |||
| 47 | |||
| 48 | > Et pourquoi pas de pré-partitionner le disque plus avantageusement que ne le fait l'installateur (et éviter les surprises d'alignement, même devenues très rares) |
||
| 49 | |||
| 50 | ~~~ |
||
| 51 | #cat /sys/block/sds/queue/optimal_io_size |
||
| 52 | #cat /sys/block/sds/queue/minimum_io_size |
||
| 53 | #cat /sys/block/sds/queue/physical_block_size |
||
| 54 | #cat /sys/block/sds/alignment_offset |
||
| 55 | ~~~ |
||
| 56 | |||
| 57 | Si ça ne donne pas 0/512/512/0 ou 0/4096/4096/0, on pause ici--il faudra étendre ce chapitre et calculer d'autres valeurs. |
||
| 58 | |||
| 59 | Pour un disque nommé disons, "syrah" :) La deuxième partition est le seul espace qui restera hors de la crypte, assez grand pour tenir à |
||
| 60 | l'avenir une ISO de DVD ( ou un OS entier, un truc de secours, que sais-je ). La troisième partition tiendra la crypte, jusqu'au bout du |
||
| 61 | disque. Les deux align-check devraient dire "aligned", of course : |
||
| 62 | |||
| 63 | ~~~ |
||
| 64 | #parted /dev/sds mklabel gpt |
||
| 65 | #parted /dev/sds mkpart gp_syrah_grub 0 1048575B |
||
| 66 | #parted /dev/sds set 1 bios_grub on |
||
| 67 | #parted /dev/sds mkpart gp_syrah_boot 1048576B 5158993919B |
||
| 68 | #parted /dev/sds unit B print align-check optimal 2 |
||
| 69 | #parted /dev/sds mkpart gp_syrah_luks 5158993920B 100% |
||
| 70 | #parted /dev/sds unit GiB print align-check optimal 3 |
||
| 71 | ~~~ |
||
| 72 | |||
| 73 | On crée la crypte : |
||
| 74 | |||
| 75 | ~~~ |
||
| 76 | #cryptsetup luksFormat /dev/sds3 \ |
||
| 77 | --cipher aes-xts-plain64 --key-size 512 |
||
| 78 | #cryptsetup luksDump /dev/sds3 |
||
| 79 | #cryptsetup luksOpen /dev/sds3 pv_syrah_luks |
||
| 80 | ~~~ |
||
| 81 | |||
| 82 | Découper en LVM, en laissant de quoi snapshotter ou agrandir : |
||
| 83 | |||
| 84 | ~~~ |
||
| 85 | #ls -la /dev/mapper /dev/dm* |
||
| 86 | #pvcreate /dev/dm-X |
||
| 87 | #vgcreate vg_syrah /dev/dm-X |
||
| 88 | #lvcreate -L 30G vg_syrah -n root |
||
| 89 | #lvcreate -L 10G vg_syrah -n free1 |
||
| 90 | #lvcreate -L 300G vg_syrah -n data |
||
| 91 | #lvcreate -L 10G vg_syrah -n free2 |
||
| 92 | #lvcreate -l 2047 vg_syrah -n swap |
||
| 93 | #sync; pvs; vgs; lvs |
||
| 94 | #lsblk -o NAME,SIZE,TYPE,PARTLABEL,LABEL,FSTYPE,MOUNTPOINT |
||
| 95 | ~~~ |
||
| 96 | |||
| 97 | L'installateur de Debian *permet* d'utiliser le partitionnement ainsi obtenu. Faut juste l'aider un peu, à charger la crypte *et* générer |
||
| 98 | /target/etc/crypttab *pendant* l'installation. :) |
||
| 99 | |||
| 100 | Post-installation, avant toute chose peut-être ? |
||
| 101 | |||
| 102 | ~~~ |
||
| 103 | #apt update |
||
| 104 | #apt install etckeeper |
||
| 105 | #git config --global --edit |
||
| 106 | ~~~ |
||
| 107 | |||
| 108 | Puis un pare-feu, puis apt-transport-tor et la conf des dépôts, puis... |