Procédure pas à pas que j’ai suivi pour installer Xubuntu 18.04 sur un MacBookPro. Cette installation chiffre le disque dur pour plus de sécurité et configure les partitions pour faciliter le clonage du système avec CloneZilla.

Cet article a été inspiré par ce tutoriel malheureusement incomplet pour s’installer sans accros sur un MacBookPro

Ce qu’il faut savoir avant de commencer

Pour suivre ce tutoriel, vous devez être familier avec l’utilisation d’un terminal pour exécuter des lignes de commande. Toute l’installation pourrait être faite en mode graphique en utilisant les options de chiffrement par défaut lors du processus d’installation.

Cependant, je propose une installation où le volume physique crypté se découpe en plusieurs volumes logiques chiffrés afin de monter 3 partitions au démarrage en saisissant un seul mot de passe de déchiffrement :

Point de montageTailleContenu
/30GLe système avec le dossier /home
/data50% du disqueLe système avec le dossier /home
swap100% de votre RAMPartition d’échange si votre RAM ne suffit pas à lancer toutes les applications.

Pourquoi une partition / de 30G et un /data plutôt que /home ?

Ce que je souhaite avant tout, c’est pouvoir effectuer un seul clone de partition avec CloneZilla en étant sûr que :

  • La restauration me rendra le système en l’état ainsi que les préférences utilisateurs stockées dans /home/<user>. En faisant une partition /home, il faudrait que je fasse deux clonage à chaque sauvegarde de mon système.
  • La restauration sera facile (en moins de 5mn je restaure)
  • Le clone ne dépassera jamais 30G sinon mon clonage régulier prendrait trop de temps

Préparation des partitions chiffrées

Démarrer l’ordinateur avec la clé USB. Rappel : allumer et maintenant la touche Option enfoncée jusqu’à ce que soit proposé un disque “EFI Boot” jaune. Le sélectionner et appuyer sur <Entrée>. Xubuntu démarre jusqu’à proposer un environnement complet.

Partitions de boot

S’assurer que toutes les partitions du disque dur interne ne sont pas montées. Sinon les démonter.

Lancer l’application GParted et effectuer les manipulations suivantes :

  1. Supprimer toutes les partitions
  2. Créer les partitions suivantes :
PartitionSystème de fichierTailleCommentaire
/dev/sda1EFI500MDoit avoir le flag “bootable”.
/dev/sda2ext21GNe pas descendre en dessous
/dev/sda3Aucun50% du disqueOn va la formater ensuite

Comment ajouter le flag bootable ?

Voici un GIF pour illustrer comment faire :

Comment créer une partition sans système de fichier ?

Voici un exemple en GIF sur un de mes disques où j’avais encore 1M non alloué :

Partitions chiffrées pour le système et les données

Avant de commencer, par défaut, votre clavier est souvent considéré par le système comme étant disposé à la façon anglophone (qwerty). Il faut changer pour choisir un clavier de type Apple laptop.

Ouvrir le lanceur en cliquant en haut à gauche et utiliser les paramètres clavier pour ajouter la disposition du clavier qui convient, le remonter en première position et en choisissant le modèle de clavier.

Ouvrir un terminal (raccourci : Commande ⌘ + T) et exécutez les commandes suivantes :

Basculer en mode root pour ne pas avoir à saisir sudo à chaque fois.

sudo -i

Formater la partition à chiffrer. Vous devrez saisir le mot de passe à utiliser pour la déchiffrer (l’ouvrir)

cryptsetup luksFormat /dev/sda3

Ouvrir la partition physique chiffrée

cryptsetup luksOpen /dev/sda3 hdcrypt

Créer le volume physique et le groupe vgcrypt qui regroupera les partitions logiques

pvcreate /dev/mapper/hdcrypt
vgcreate vgcrypt hdcrypt

Créer les volumes logiques au sein du groupe :

lvcreate -n lvroot -L 30g vgcrypt
lvcreate -n lvswap -L 8g vgcrypt
lvcreate -n lvdata -l 100%FREE vgcrypt

Créer les systèmes de fichier dans les volumes logiques :

mkfs.ext4 /dev/mapper/vgcrypt-lvroot
mkfs.ext4 /dev/mapper/vgcrypt-lvdata
mkswap /dev/mapper/vgcrypt-lvswap

Installer le système Xubuntu

Lancer l’application d’installation du système. Dans un premier écran, choisir la langue (ici Français) :

Cliquer sur “Continuer” et choisir la disposition du clavier. Bien penser à vérifier que les touches sont les bonnes dans la zone de saisie de texte que propose cet écran, notamment que celles utilisées pour le mot de passe de la partition chiffrée et celles du futur mot de passe du premier compte utilisateur qui sera créé.

Sur le troisième écran, si l’ordinateur dispose d’une connexion internet, cocher les deux cases ci-dessous :

En cliquant sur “Continuer”, si une fenêtre demande “Démonter les partitions en cours d’utilisation ?”, répondre oui. Si cela échoue, répondre non.

Sur l’écran de type d’installation, choisir l’option “Autre chose”:

Sur l’écran suivant, toutes les partitions sont listées, et c’est la procédure la plus complexe que vous allez faire. A faire dans l’ordre :

  1. Sur la ligne /dev/sda3, effectuer un double-clic. Une fenêtre s’ouvre il faut indiquer dans la liste déroulante que c’est une partition chiffrée. Ainsi vous êtes invité à saisir le mot de passe (celui utilisé au début du tutoriel) puis vous validez. Le mot crypto apparaît sur la ligne.
  2. Sur la ligne /dev/sda1 : rien à faire
  3. Sur la ligne /dev/sda2 : effectuer une double-clic, choisir un type de fichier ext2, un point de montage /boot et cocher la case de formatage
  4. Sur la ligne /dev/mapper/vgcrypt-lvroot, effectuer une double-clic, choisir un type de fichier ext4, un point de montage / et cocher la case de formatage
  5. Sur la ligne /dev/mapper/vgcrypt-lvdata, effectuer une double-clic, choisir un type de fichier ext4, un point de montage /data et cocher la case de formatage
  6. Sur la ligne /dev/mapper/vgcrypt-lvswap : ne rien faire

Cliquer sur “Installer maintenant” et une boîte de dialogue demandera s’il faut appliquer les changements sur les disques. répondre Continuer.

Sur le dernier écran, saisissez les informations que vous souhaitez pour paramétrer l’ordinateur et créez le premier compte utilisateur.

A la fin de l’installation, choisir l’option “Continuer à tester”

Paramétrer le démarrage sur disque chiffré

Il faut ensuite générer une image de démarrage de notre nouveau système de façon à ce qu’il prenne en compte la nature chiffrée de la partition.

Lancer un terminal et exécuter les commandes suivantes pour monter les partitions du système installé dans /mnt:

sudo -i
mount /dev/mapper/vgcrypt-lvroot /mnt
mount /dev/sda2 /mnt/boot
mount /dev/sda1 /mnt/boot/efi
mount /dev/mapper/vgcrypt-lvdata /mnt/data
mount --bind /proc /mnt/proc
mount --bind /dev /mnt/dev
mount --bind /sys /mnt/sys

Grâce à la commande chroot, nous allons simuler un accès root comme si nous étions sur notre nouveau système :

chroot /mnt

Nous allons créer un fichier /etc/crypttab pour indiquer une partition chiffrée à montée automatique au démarrage.

echo "hdcrypt UUID=$(blkid /dev/sda3 | grep -oP '([a-z0-9\-]{20,})') none luks,discard" > /etc/crypttab

Régénérer les images de démarrage :

update-initramfs -k all -c

Et voilà, c’est prêt ! Redémarrez et profitez de votre nouveau système chiffré !