[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Migrer un système debian vers un système de fichiers chiffré luks


Le 24 août 2018 à 10:34, Daniel Caillibaud <ml@lairdutemps.org> a écrit :

Le 23/08/18 à 16:38, dethegeek <dethegeek@gmail.com> a écrit :
bonjour

J'ai la chance d'avoir pris un réflexe: ne pas allouer tout l'espace
disque avec mes volumes logiques. De plus mes disques font 2 To et j'ai
des 4 To qui attendent la fin de l'opération pour aller dans une
machine de sauvegarde. L'espace disque n'est pas un souci.

Dans ce cas, tu peux comme le suggérait Pierre créer une partition et tout
copier
- si /boot n'est pas séparé, créer une petite partition /boot
 non-chiffrée, y copier ton /boot actuel et l'ajouter à ton fstab actuel
 (prévoit quand même ~200Mo mini, sinon ça peut se retrouver plein dès que
 tu as plusieurs noyaux installés)
- créer une partition chiffrée (ou deux si tu veux séparer /home)
- la monter dans ta debian actuelle
- rsync -ax / /partitionChiffreeMontee

Personnellement, j’ajouterai la copie d’éventuelles ACL (-A), exclurait les inutiles dans ce cas (—exclude), afficherait les statistiques à la fin (—stats) et, histoire de mettre les points sur les « i » j’ajouterai un « / » à la fin. Ce qui donnerai après avoir copié le contenu de « /boot » sur la nouvelle partition :
# rsync -aAx --exclude="/lost+found" --exclude="/boot" —stats /partitionChiffreeMontee/

Pour les modifications suivantes j’utiliserais un chroot pour éviter les erreurs :
# mount <Device_Chiffrée> /<partitionChiffreeMontee> (je suppose queque chose comme /dev/sdbN)
# mount <Nouvelle_Partition_BOOT> /<partitionChiffreeMontee>/boot
# mount --bind /dev /<partitionChiffreeMontee>/dev
mount --bind /dev/pts /<partitionChiffreeMontee>/dev/pts
# mount --bind /sys /<partitionChiffreeMontee>/sys
# mount -t proc /proc /<partitionChiffreeMontee>/proc
# chroot /<partitionChiffreeMontee> /bin/bash

Sur une seule ligne :
# mount --bind /dev /<partitionChiffreeMontee>/dev && mount --bind /dev/pts /<partitionChiffreeMontee>/dev/pts && mount --bind /sys /<partitionChiffreeMontee>/sys && mount -t proc /proc /<partitionChiffreeMontee>/proc && chroot /<partitionChiffreeMontee> /bin/bash

Après on peut modifier le « /etc/fstab » de la partition cryptée, les autres fichiers et lancer un « update-grub ». Si on doit retirer le disque d’origine, il faut le faire suivre d’un « grub-install <Device du disque crypté> » si on est dans un disque formaté MBR ou, pour un disque GPT auquel on aura prévu une petite partition « BIOS boot » un « update-grub —modules=part_gpt <Device du disque crypté> » (/dev/sdb je présume).
Enfin, toujours si on retire le premier disque non crypté, il faut modifier le « grub.cfg » qui ne pointera plus sur le bon disque (/dev/sda = hd0 et /dev/sdb = hd1). Si le nouveau disque crypté est sur /dev/sdb, il va prendre la place du 1er si on le retire, il va donc s’appeler /dev/sda. Il faut donc modifier cela dans le fichier « grub.cfg » :
# sed --in-place=.OLD --_expression_='s/hd1/hd0/g' /<Nouvelle_Partition_BOOT>/grub/grub.cfg



- modifier /partitionChiffreeMontee/etc/fstab pour qu'elle ait une chance
 de booter correctement, lui ajouter éventuellement un point de montage
 pour la partition initiale non chiffrée
- créer un /partitionChiffreeMontee/etc/cryptab avec la bonne partition
 (blkid pour avoir son uuid)
- update-grub et vérifier qu'il a bien trouvé cette nouvelle debian
- tenter un reboot sur ta nouvelle debian


Sinon, peut-être plus rapide, faire une nouvelle install et migrer ensuite
(les lignes suivantes supposent que tu as le même /boot pour l'ancienne et
la nouvelle, adapter si c'est pas le cas)

- enregistrer la liste des paquets de ta debian actuelle :
   aptitude -F "%p" search ~i\!~M > /boot/packages.list
   # avec les paquets installés automatiquement
   aptitude -F "%p" search ~i > /boot/packages.all.list
- lancer une install debian chiffrée sur de nouvelles partitions (install
 minimale)
- booter sur cette debian chiffrée en root
- installer tous tes paquets avec
 aptitude install $(</boot/packages.list)
- vérifier que tu as les mêmes dépendances
   aptitude -F "%p" search ~i > /boot/packages.new.all.list
   diff /boot/packages.new.list /boot/packages.new.all.list
- mount de ton ancienne partition
- rsync de ton home
- regarder chaque différence de /etc
   diff -qr /etc /oldDebian/etc
 il devrait pas y en avoir bcp plus que fstab et cryptab, pour vérifier que
 tu oublie pas une config perso que tu avais faite
- reboot "normal" et login avec ton user ordinaire sur ta debian chiffrée
- après qq semaines tu devrais pouvoir virer l'ancienne debian

--
Daniel

Le philosophe cherche des solutions aux problèmes et
ne trouve que des problèmes sans solutions.
Sim


-- 
Pierre Malard

   « le passé n'éclairant plus l'avenir, l'esprit marche dans les ténèbres »
                                      Alexis de Tocqueville - Démocratie en Amérique
   |\      _,,,---,,_
   /,`.-'`'    -.  ;-;;,_
  |,4-  ) )-,_. ,\ (  `'-'
 '---''(_/--'  `-'\_)   πr

perl -e '$_=q#: 3|\ 5_,3-3,2_: 3/,`.'"'"'`'"'"' 5-.  ;-;;,_:  |,A-  ) )-,_. ,\ (  `'"'"'-'"'"': '"'"'-3'"'"'2(_/--'"'"'  `-'"'"'\_): 24πr::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--

Attachment: signature.asc
Description: Message signed with OpenPGP

Reply to: