Bonjour,

J'ai fraichement installé une debian 13 avec la root, swap et home
chiffrée.

J'ai cru comprendre que l'installation demande une /boot(non chiffrée) séparée pour initialiser le système et déchiffrer la root.

Alors que j'ai aussi cru comprendre qu'avec GUB2 + LUKS2 il n'y a pas
besoin d'un /boot en clair(non chiffrée)

Du coup, j'ai fait une partition /boot séparée(non chiffrée), mais ça ne boot pas. :-(


-----------------------------------------------------------------
Could not retrieve perf counters (-19)
i8042: PNP: PS/2 appearts to have AUX port disabled, if this is incorect
please boot with i8042.nopnp
amdgpu 0000:04:00:0: amdgpu: psp gfx command LOAD_TA(0x1) failed and
response status is (0x4)
amdgpu 0000:04:00:0: amdgpu: psp gfx command INVOKE_CMD(0x3) failed and response status is (0x4)
amdgpu 0000:04:00:0: amdgpu: Secure display: Generic Failure.
amdgpu 0000:04:00:0: amdgpu: SECURISEDISPLAY: query securedisplay TA
failed. ret 0x0
device-mapper: core: CONFIG_IMA_DISABLE_HTABLE is display. Duplicate IMA mesurements will not be recorded in the IMA log.

Pleace unlock disk nvme0n13_crypt:clocksource: timekeeping watchdog on
CPU3: Marking clocksource 'tsc' as unstable beacause the skew is too
large:
ksource: 'hpet' wd_nsec: 512376153 wd_now: 5412cbe wd_last: 4d13b58
mask: fffffff
ksource: 'tsc' cs_nsec: 513260027 cs_now: b730E4ACB cs_last: b32ee77f2
mask: fffffffffffff
ksource: Clo
ksource: 'tsc' is current clocksource.
found unstable after boot, most likely due to broken BIOS. Use
'tsc=unstable'.
Pleace unlock disk nvme0n13_crypt:_ -----------------------------------------------------------------


J'obtiens quand même l'invite à taper la passe phrase, ce qui "ouvre"
/root, mais pas /home

free indique qu'il y a bien le swap.

Déchiffrer et monter les partitions avec une live, se passe sans
problème.

J'ai fait un partitionnement manuel, car, je ne sais pas si
l'installateur gère un dual boot avec windows en choisissant "guidé
disque entier".



Belle journée...

--
Benoît

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 9 mai 2025 didier gaumet a écrit :

J'obtiens quand même l'invite à taper la passe phrase, ce qui "ouvre" /
root, mais pas /home

Oui c'est normal, le boot lors du initramfs va juste ouvrir /root, c'est
la suite du boot qui se charge de /home. Par exemple dans /etc/crypttab préciser un fichier contenant le pass pour la partition /home.

- que donnent les commandes suivantes:
$ cat /etc/crypttab
$ cat /etc/fsttab

Et aussi
$ blkid

En plus de ça vérifie que tu as bien installé le paquet cryptsetup-initramfs. Et que dans /etc/initramfs-tools/initramfs.conf tu
as MODULES=dep ou MODULES=most

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Bonjour Didier,

J'essaye ça d'une live et je redémare l'os

Un tout grand merci

--
Benoît


Le 2025-05-09 10:32, didier gaumet a écrit :

Le 09/05/2025 à 10:30, didier gaumet a écrit :
[...]

- pour tes messages d'erreur TSC, le log suggère l'option noyau
"tsc=unstable" (à mettre dans /etc/default/grub), ce qui est confirmé
par:

[...]

ce qui est confirmé par:
https://bbs.archlinux.org/viewtopic.php?id=278494

tu peux aussi apparemment test l'option 'tsc=nowatchdog'

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 9 mai 2025 benoitlst a écrit :

$ cat /etc/fsttab

# <file system> <mount point> <type> <options> <dump> <pass> /dev/mapper/nvme0n1p3_crypt / ext4 errors=remount-ro 0
1
# /boot was on /dev/nvme0n1p2 during installation UUID=30b627ce-8179-4904-8af8-281230ede5d9 /boot ext4 defaults
0 2
# /boot/efi was on /dev/nvme0n1p1 during installation
UUID=4275-360A /boot/efi vfat umask=0077 0 1 #/dev/mapper/nvme0n1p8_crypt /home ext4 defaults 0
2
/dev/mapper/nvme0n1p4_crypt none swap sw 0 0

Ton /home est commenté

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Bonjour à toutes et tous,


Le 2025-05-10 01:29, Michel Verdier a écrit :

Le 9 mai 2025 benoitlst a écrit :

$ cat /etc/fsttab

# <file system> <mount point> <type> <options> <dump> <pass>
/dev/mapper/nvme0n1p3_crypt / ext4 errors=remount-ro
0
1
# /boot was on /dev/nvme0n1p2 during installation
UUID=30b627ce-8179-4904-8af8-281230ede5d9 /boot ext4
defaults
0 2
# /boot/efi was on /dev/nvme0n1p1 during installation
UUID=4275-360A /boot/efi vfat umask=0077 0 1
#/dev/mapper/nvme0n1p8_crypt /home ext4 defaults 0
2
/dev/mapper/nvme0n1p4_crypt none swap sw 0
0

Ton /home est commenté

Oups !
Je l'avais commenté pour tester, mais comme ça ne marchait toujours pas,
j'ai posté ici et j'ai oublié de dé-commenter.
Donc les infos que j'ai reçues fonctionnent avec la /home commentée dans
le fstab, mais dé-commenté, ça ne fonctionne pas !

De plus :
/dev/mapper/nvme0n1p8_crypt n'est pas créé, que cette ligne soit
commentée ou pas.


-cryptsetup-initramfs est bien installé
-/etc/initramfs-tools/initramfs.conf contient bien MODULES=most
- J'ai ajouté : tsc=unstable dans /etc/default/grub, ça permet de
booter, uniquement avec
/dev/mapper/nvme0n1p8_crypt /home ext4 defaults 0
commenté dans le fstab et un répertoire /home/benoit dans la partition / (root),
mais si je supprime le répertoire benoit et que je décommente la ligne
/home de fstab,
je me retrouve au point initial avec les mêmes messages d'erreur...

--
Benoît

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 2025-05-10 15:20, didier gaumet a écrit :

Salut Benoît,

Salut Didier,

je n'ai peut-être pas bien suivi et je suis lion de maîtriser les subtilités du chiffrage de disques et partitions, mais,

dans ton installation, il me semble que:
- les partitions nvme0n1pN (avec N dans {3,4,8}) sont des conteneurs
LUKS qui doivent

être déclarées dans /etc/crypttab mais pas dans /etc/fstab

- les partitions nvme0n1pN_crypt (avec N dans {3,4,8}) sont des
partitions ordinaires avec systèmes de fichiers classiques (swap, ext4)
qui doivent être déclarées dans /etc/fstab mais pas dans /etc/crypttab

comme déjà dit, j'ai peut-être pas bien appréhendé la situation (sur
mon laptop, j'ai fait simple (un conteneur LUKS pour mon disque
principal qui contient tout sauf les partitions EFI, Windows et /boot,
un autre conteneur LUKS pour mon deuxième disque)

Si c'est pas trop indiscret, sur ton laptop, pour linux : tu n'as pas de
swap, tu as 3 partitions(qui devraient normalement être listées dans ton fstab) :
- une / (root) qui contient /home
- une /boot
- une /boot/efi #partition EFI



A la limite, si je ne trouve pas pourquoi nvme0n1p8_crypt, n'est pas déchiffrée, il me suffit de suivre ton exemple et :

1) d'ajouter un répertoire benoit dans la root : /home/benoit et de
commenter
/dev/mapper/nvme0n1p8_crypt /home ext4 defaults 0 2
dans fstab
2) de supprimer la partition nvme0n1p8
3) élargir la partition nvme0n1p3 /root pour contenir la /home

Ca va probablement marcher, mais j'aimerais ne pas mourir idiot et
comprendre pourquoi nvme0n1p8 (home) n'est pas déchiffrée! :-)

et blkid ne mentionne pas de /dev/mapper/nvme0n1p8_crypt

j'ai la ligne nvme0n1p8_crypt dé-commentée dans /etc/fstab : /dev/mapper/nvme0n1p8_crypt /home ext4 defaults 0 2

Tant que la partition n'est pas déchiffrée, je peux imaginer que le descripteur de périphérique n'est pas crée, donc pas de /dev/mapper/nvme0n1p8_crypt.

Je ne sais pas comment ça fonctionne, mais intuitivement, il me semble
que le descripteur de périphérique est créé à la volée au moment du déchiffrement.

Le système pour une raison ou une autre, ne parvient pas à déchiffrer /dev/nvme0n1p8, ce qui pourrait expliquer l'absence de /dev/mapper/nvme0n1p8_crypt

bon courage :-)

Merci ! ;-)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 10 mai 2025 benoitlst a écrit :

Donc les infos que j'ai reçues fonctionnent avec la /home commentée dans le fstab, mais dé-commenté, ça ne fonctionne pas !

De plus :
/dev/mapper/nvme0n1p8_crypt n'est pas créé, que cette ligne soit commentée ou
pas.

-cryptsetup-initramfs est bien installé
-/etc/initramfs-tools/initramfs.conf contient bien MODULES=most

Bon je suppose que tu as refait ton initramfs avec
update-initramfs -u -k all

Comme je l'ai dit précédemment, initramfs a pour tâche de monter /root et
ne s'occupera pas de /home. Donc initramfs demandera uniquement le mot de
passe de /root. Et ta partition nvme0n1p8 ne sera pas ouverte et /dev/mapper/nvme0n1p8_crypt ne sera pas créé.

Tu as 2 possibilités :
- tu mets le mot de passe de /home dans un fichier et tu change
ton /etc/crypttab pour indiquer ce fichier à la place de 'none'
du coup la suite du boot montera /home de façon transparente
- tu utilises un script dans initramfs pour ouvrir en plus /home
(demande moi en mp si tu veux faire ça)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 2025-05-12 11:12, didier gaumet a écrit :

Bonjour Benoît,

Désolé de ne pas avoir répondu plus tôt et de ne pas être d'une aide plus importante: on n'est pas toujours à son pic de performance et en
ce moment j'ai un peu l'impression d'avoir de la gelée dans le crâne
;-)

je ne me rappelais même plus correctement les déclarations dans /etc/crypttab (le premier champ c'est la cible, je croyais que c'était
la source). Bref. Par contre éventuellement tu peux essayer de
spécifier dans ce fichier l'option "loud" pour les lignes associées aux systèmes de fichiers pour lesquels tu voudrais des erreurs/informations
plus verbeuses au montage, ça te donnera peut-être des indices à
relever dans les logs

Bonjour Didier,

Merci pour ton aide !


En recherchant l'option "loud", je m'étonne de na pas avoir le man 5
crypttab.
Je ne trouve pas cette option dans le man en ligne https://www.man7.org/linux/man-pages/man5/crypttab.5.html

Il n'est pt pas à jour...

Bon courage :-)

Merci, j'en ai bien besoin, je rame comme sur ma première install de
Debian Potato, ça ne me rajeuni pas !

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 2025-05-11 08:53, Michel Verdier a écrit :

Le 10 mai 2025 benoitlst a écrit :

Donc les infos que j'ai reçues fonctionnent avec la /home commentée
dans le
fstab, mais dé-commenté, ça ne fonctionne pas !

De plus :
/dev/mapper/nvme0n1p8_crypt n'est pas créé, que cette ligne soit
commentée ou
pas.

-cryptsetup-initramfs est bien installé
-/etc/initramfs-tools/initramfs.conf contient bien MODULES=most

Bon je suppose que tu as refait ton initramfs avec
update-initramfs -u -k all

Comme je l'ai dit précédemment, initramfs a pour tâche de monter /root
et
ne s'occupera pas de /home. Donc initramfs demandera uniquement le mot
de
passe de /root. Et ta partition nvme0n1p8 ne sera pas ouverte et /dev/mapper/nvme0n1p8_crypt ne sera pas créé.

Tu as 2 possibilités :
- tu mets le mot de passe de /home dans un fichier et tu change
ton /etc/crypttab pour indiquer ce fichier à la place de 'none'
du coup la suite du boot montera /home de façon transparente

Bonjour,

Merci pour ton aide,

J'ai choisi l'option ci-dessus.

J'ai probablement mal fait qlq chose, pour vérifier ça, voici ligne par ligne, ce que j'ai fait dans le terminal de "secours"
Celui qui s'affiche quand le système ne démarre pas :
Press Enter for maintenance
(or press Control-D to continue) :

update-initramfs -u -k all

# Pas d'erreur

# créer un fichier passphrase à indiquer dans /etc/crypttab

mkdir /etc/keys

# j'ai essayé de deux façons, comme ci-dessous et en écrivement
directement la passphrase
# en clair dans un fichier vide /etc/keys/.passphrase, sans succès.

dd if=/dev/urandom of=/etc/keys/.passphrase bs=512 count=4

chmod 600 /etc/keys/.passphrase

cryptsetup luksAddKey /dev/nvme0n1p8 /etc/keys/.passphrase

# j'ai utilisé la phrase de chiffrement indiquée lors de l'installation
du système
# elle fonctionne quand je déchiffre la partition avec l'utilitaire gnome-disks


nano /etc/crypttab

# j’ai remplacé none par /etc/keys/.passphrase
nvme0n1p8_crypt UUID=efaa6aee-7a53-4dae-88c6-b241fdbebf8f
/etc/keys/.passphrase luks,discard,x-initrd.attach

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 12 mai 2025 benoitlst a écrit :

# j'ai essayé de deux façons, comme ci-dessous et en écrivement directement la
passphrase
# en clair dans un fichier vide /etc/keys/.passphrase, sans succès.

Il faut faire attention de ne pas mettre un RC dans le fichier quand on
le fait à la main.

nano /etc/crypttab

# j’ai remplacé none par /etc/keys/.passphrase
nvme0n1p8_crypt UUID=efaa6aee-7a53-4dae-88c6-b241fdbebf8f /etc/keys/.passphrase luks,discard,x-initrd.attach

Je ne connais pas cette option x-initrd.attach, peut-être à enlever.
Tu n'as pas besoin de rebooter pour vérifier ça. Il te suffit de faire : mount /home

Quels sont les problèmes que tu as avec tes modifications ? Peux-tu
redonner :
ls -al /dev/mapper/
blkid

Et donne-nous le résultat du mount /home s'il bloque.

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Bonjour,

Merci pour ta réponse !


Le 2025-05-13 08:20, Michel Verdier a écrit :

Le 12 mai 2025 benoitlst a écrit :

# j'ai essayé de deux façons, comme ci-dessous et en écrivement
directement la
passphrase
# en clair dans un fichier vide /etc/keys/.passphrase, sans succès.

Il faut faire attention de ne pas mettre un RC dans le fichier quand on
le fait à la main.

Fait, ce n'est pas visible avec nano, mais avec vi, on voit bien un ~

nano /etc/crypttab

# j’ai remplacé none par /etc/keys/.passphrase
nvme0n1p8_crypt UUID=efaa6aee-7a53-4dae-88c6-b241fdbebf8f
/etc/keys/.passphrase luks,discard,x-initrd.attach

Je ne connais pas cette option x-initrd.attach, peut-être à enlever.
Tu n'as pas besoin de rebooter pour vérifier ça. Il te suffit de faire
:

Donc sans l'option x-initrd.attach

nvme0n1p3_crypt UUID=a4b24127-f7d6-409f-b6b6-05b6106c9f64 none
luks,discard
nvme0n1p4_crypt UUID=ebe69b57-db3e-44f5-9d6d-7710d06f5b7d none luks,swap,discard
nvme0n1p8_crypt UUID=efaa6aee-7a53-4dae-88c6-b241fdbebf8f
/etc/keys/.passphrase luks,discard

mount /home

mount: /home: échec de fsconfig() :/dev/mapper/nvme0n1p8_crypt: Can't
lookup blockdev.
dmesg(1) peut avoir plus d'informations après un échec de l'appel système du montage.

Quels sont les problèmes que tu as avec tes modifications ? Peux-tu
redonner :
ls -al /dev/mapper/

total 0
drwxr-xr-x 2 root root 100 13 mai 2025 .
drwxr-xr-x 20 root root 3340 13 mai 08:44 ..
crw------- 1 root root 10, 236 13 mai 08:36 control
lrwxrwxrwx 1 root root 7 13 mai 2025 nvme0n1p3_crypt -> ../dm-0 lrwxrwxrwx 1 root root 7 13 mai 2025 nvme0n1p4_crypt -> ../dm-1

blkid

/dev/mapper/nvme0n1p4_crypt: UUID="fc9d96d5-d2b9-43c4-8a41-5880641d6b25" TYPE="swap"
/dev/nvme0n1p7: BLOCK_SIZE="512" UUID="0E7B76305632D8B7" TYPE="ntfs" PARTUUID="e8d7ee01-cc86-4d3c-a272-0c3d88d94fdb"
/dev/nvme0n1p3: UUID="a4b24127-f7d6-409f-b6b6-05b6106c9f64"
TYPE="crypto_LUKS" PARTLABEL="ROOT" PARTUUID="ad2f0d6f-9e99-41c5-818a-6fa3058df346"
/dev/nvme0n1p1: UUID="4275-360A" BLOCK_SIZE="512" TYPE="vfat"
PARTLABEL="UEFI" PARTUUID="35fbd799-b1ae-4e49-b4dd-713b927f63f7" /dev/nvme0n1p8: UUID="efaa6aee-7a53-4dae-88c6-b241fdbebf8f"
TYPE="crypto_LUKS" PARTLABEL="HOME" PARTUUID="1e357ace-24be-43f1-b9e4-35110cb47568"
/dev/nvme0n1p6: BLOCK_SIZE="512" UUID="21232C7061DF91CA" TYPE="ntfs" PARTLABEL="Basic data partition" PARTUUID="7a2c4d54-302d-4843-bd6e-2bb874058633"
/dev/nvme0n1p4: UUID="ebe69b57-db3e-44f5-9d6d-7710d06f5b7d"
TYPE="crypto_LUKS" PARTLABEL="SWAP" PARTUUID="751701fd-0ea5-49ee-9959-56ad3621d7b4"
/dev/nvme0n1p2: LABEL="BOOT" UUID="30b627ce-8179-4904-8af8-281230ede5d9" BLOCK_SIZE="4096" TYPE="ext4" PARTLABEL="BOOT" PARTUUID="f28436cb-3969-47df-839c-c3b700d1aa53"
/dev/mapper/nvme0n1p3_crypt: LABEL="ROOT" UUID="fb4c28ad-a9f3-482e-a822-666e94c21e74" BLOCK_SIZE="4096"
TYPE="ext4"
/dev/sda1: UUID="7F8F-D550" BLOCK_SIZE="512" TYPE="exfat"
/dev/nvme0n1p5: PARTLABEL="Microsoft reserved partition" PARTUUID="7e160310-17c0-4660-9747-3c665c86514f"

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 13 mai 2025 benoitlst a écrit :

mount /home

mount: /home: échec de fsconfig() :/dev/mapper/nvme0n1p8_crypt: Can't lookup
blockdev.
dmesg(1) peut avoir plus d'informations après un échec de l'appel
système du montage.

As-tu formatté ta partition /dev/mapper/nvme0n1p8_crypt ?

Fais à la main :
cryptsetup luksOpen --verbose --key-file /etc/keys/.passphrase /dev/nvme0n1p8 nvme0n1p8_crypt
ls -al /dev/mapper/
blkid | grep nvme0n1p8

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Bonjour,

Merci pour ton aide.


Les sorties ci-dessous :

Le 2025-05-16 10:07, Michel Verdier a écrit :

Le 13 mai 2025 benoitlst a écrit :

mount /home

mount: /home: échec de fsconfig() :/dev/mapper/nvme0n1p8_crypt: Can't
lookup
blockdev.
dmesg(1) peut avoir plus d'informations après un échec de
l'appel
système du montage.

As-tu formatté ta partition /dev/mapper/nvme0n1p8_crypt ?

Fais à la main :
cryptsetup luksOpen --verbose --key-file /etc/keys/.passphrase
/dev/nvme0n1p8 nvme0n1p8_crypt

Aucune clé disponible avec cette phrase secrète.
Aucun jeton utilisable est disponible.
La commande a échoué avec le code -2 (Aucune permission ou mauvais mot
de passe).

Pour être à 100% sûr de ne pas avoir de faute de frappe de la
passphrase, j'ai fait un copier-coller du contenu de
/etc/keys/.passphrase dans le champ texte de gome-disques en déchiffrant
la partition.

Du coup, il y a un truc que je n'ai pas compri avec la clé..
Que doit contenir /etc/keys/.passphrase d'autre que la passphrase ?

ls -al /dev/mapper/

J'ai oublié de la rediriger dans un fichier pour faire un copier-coller
ici, mais il n'y avait pas le point de montage de nvme0n1p8.

blkid | grep nvme0n1p8

/dev/nvme0n1p8: UUID="efaa6aee-7a53-4dae-88c6-b241fdbebf8f"
TYPE="crypto_LUKS" PARTLABEL="HOME" PARTUUID="1e357ace-24be-43f1-b9e4-35110cb47568"


--
Benoît

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Bonjour,

Le 2025-05-16 16:06, benoitlst@ouvaton.org a écrit :

Pour être à 100% sûr de ne pas avoir de faute de frappe de la
passphrase, j'ai fait un copier-coller du contenu de
/etc/keys/.passphrase dans le champ texte de gome-disques en
déchiffrant la partition.

Du coup, il y a un truc que je n'ai pas compri avec la clé..
Que doit contenir /etc/keys/.passphrase d'autre que la passphrase ?

Je n'ai jamais creusé la différence entre clé et passphrase.
J'utilise les deux dans des contextes différents et chacune est
différente.

Tu peux générer un fichier de clé avec des données aléatoires.
Exemple pour une clé d'1M, à adapter comme tu le sens :

```
dd if=/dev/urandom of=/chemin/vers/fichier-cle bs=1M count=1
```

Puis ajouter la clé avec la commande suivante :

```
cryptsetup luksAddKey /chemin/vers/partition /chemin/vers/fichier-cle
```

Sébastien

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Le 16 mai 2025 benoitlst a écrit :

cryptsetup luksOpen --verbose --key-file /etc/keys/.passphrase
/dev/nvme0n1p8 nvme0n1p8_crypt

Aucune clé disponible avec cette phrase secrète.

Donc ta clé est invalide. Le reste en découle.

Pour être à 100% sûr de ne pas avoir de faute de frappe de la passphrase, j'ai
fait un copier-coller du contenu de
/etc/keys/.passphrase dans le champ texte de gome-disques en déchiffrant la partition.

C'est que ton copier ne prend pas tout le contenu du fichier, qui doit certainement contenir des caractères spéciaux.

Que doit contenir /etc/keys/.passphrase d'autre que la passphrase ?

Rien et surtout pas le retour chariot qu'on fait pour saisir un mot de
passe au clavier. Tu peux faire comme l'indique Sébastien avec dd. Si tu
veux avoir un mot de passe utilisable également via le clavier tu peux
faire :

echo -n "mot de passe" > /etc/keys/.passphrase
cryptsetup luksAddKey --new-keyfile /etc/keys/.passphrase /dev/nvme0n1p8

Et refais le luksOpen pour valider. Là tu seras sûr que "mot de passe"
sera utilisable au clavier et via le fichier /etc/keys/.passphrase

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Bonjour a toutes et tous,

Comme je ne m'en sortais pas pour résoudre ce problème, malgré votre
aide et vos nombreux conseils(pour lesquels je voudrais exprimer ma
gratitude), j'ai réinstallé en debian 12 avec les partitions :

/dev/nvme0n1p1 EFI
/dev/nvme0n1p2 /boot
/dev/nvme0n1p3 /(root)
/dev/nvme0n1p4 SWAP
/dev/nvme0n1p5 /home

dont les partitions chiffrées : /(root), swap, /home.

Pour la SWAP, j'ai mi la passphrase dans un fichier

mkdir /etc/keys
$ dd if=/dev/urandom of=/etc/keys/.swappassphrase bs=512 count=4
$ chmod 600 /etc/keys/.swappassphrase

cryptsetup luksAddKey /dev/nvme0n1p4 /etc/keys/.swappassphrase

Puis dans /etc/crypttab
J'ai ajouté /etc/keys/.swappassphrase
Ca a fonctionné.

Je ne saurai pas si à force de recommencer la même chose, j'ai fait
quelque chose différemment.


Par contre, une chose s'est faite toute seule :
Au premier démarrage le système me demandait la passphrase des 3
partitions chiffrées et aux autres démarrages, je devais juste entrer la passphrase de /(root) et swap, pas de /home

Comme je ne crois pas à la magie, quel est le mécanisme automatisé qui a fait ça ?

--
Benoît

Le 17/05/25 à 01:29, Michel Verdier a écrit :

Le 16 mai 2025 benoitlst a écrit :

cryptsetup luksOpen --verbose --key-file /etc/keys/.passphrase
/dev/nvme0n1p8 nvme0n1p8_crypt

Aucune clé disponible avec cette phrase secrète.

Donc ta clé est invalide. Le reste en découle.

Pour être à 100% sûr de ne pas avoir de faute de frappe de la passphrase, j'ai
fait un copier-coller du contenu de
/etc/keys/.passphrase dans le champ texte de gome-disques en déchiffrant la >> partition.

C'est que ton copier ne prend pas tout le contenu du fichier, qui doit certainement contenir des caractères spéciaux.

Que doit contenir /etc/keys/.passphrase d'autre que la passphrase ?

Rien et surtout pas le retour chariot qu'on fait pour saisir un mot de
passe au clavier. Tu peux faire comme l'indique Sébastien avec dd. Si tu veux avoir un mot de passe utilisable également via le clavier tu peux
faire :

echo -n "mot de passe" > /etc/keys/.passphrase
cryptsetup luksAddKey --new-keyfile /etc/keys/.passphrase /dev/nvme0n1p8

Et refais le luksOpen pour valider. Là tu seras sûr que "mot de passe"
sera utilisable au clavier et via le fichier /etc/keys/.passphrase

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)