Re: Install buster sur lvm chiffré complètement foirée
Le 10/09/19 à 16:52, Pascal Hambourg a écrit : > > J'avais bien cru avoir trouvé en voyant qu'il manquait le /etc/crypttab, > > mais > > l'ajouter ne change rien. > > Tu as regénéré l'initramfs ensuite ? Sinon ça ne sert à rien. Je suppose que c'était bien ça qui manquait, je sais plus trop si je l'avais fait avant / après, en tout cas j'ai fini par récupérer l'ancien et le nouveau /etc sur une autre machine pour pouvoir avoir une comparaison plus confortable (pas moyen de lancer un sshd depuis le chroot du rescue, mais le client ssh permet d'envoyer du contenu), et après avoir tout vérifié j'ai refait en rescue un grub-install & dpkg-reconfigure linux-image… (qui fait l'update-initramfs & update-grub) et ça boot. Reste à tout réinstaller (avec la liste des paquets faite avant ça va assez vite) et reconfigurer (ça c'est plus long), et régler mon pb de wifi sur l'autre machine. Merci pour ton aide. -- Daniel Un artiste qui plaît à tout le monde, ça deplaît à certains. Paradoxal, non ? Philippe Geluck, Le chat
Re: Install buster sur lvm chiffré complètement foirée
Le 10/09/2019 à 16:33, Daniel Caillibaud a écrit : Il n'y a pas de partition /boot non chiffrée ? Risqué, car impossible de démarrer au moindre problème. Même avec une partition non chiffrée ça démarre pas ;-) Mais si, ça démarre. Jusqu'à l'initramfs. Evidemment il n'y a pas de raison que ça aille plus loin puisque le problème ne vient pas de la lecture de /boot par GRUB mais du montage de la racine par l'initramfs. Ouais, une : comme tu n'as pas créé de volume chiffré avec l'installateur, il n'a pas inclus ce qu'il faut (paquets cryptsetup-initramfs et cryptsetup-run, fichier /etc/crypttab) pour pouvoir démarrer avec une racine chiffrée. Démarre avec l'installateur en mode rescue, lance un shell sur la racine et vérifie tout ça. Après une réinstall avec un /boot séparé non chiffré ça bootait toujours pas, j'avais bien le menu grub mais ensuite il me demandait pas de passphrase (et évidemment trouvait pas ses volumes lvm). C'est bien la preuve que l'initramfs est incomplet. J'avais bien cru avoir trouvé en voyant qu'il manquait le /etc/crypttab, mais l'ajouter ne change rien. Tu as regénéré l'initramfs ensuite ? Sinon ça ne sert à rien. Et cette fois j'avais choisi l'option "tout mettre dans l'initramfs" (plutôt que "seulement ce qui est nécessaire pour cette machine"). Je ne pense pas que ça change quelque chose à ton problème. Par contre l'initramfs réduit (MODULES=dep dans /etc/initramfs-tools/) est un piège à con qui risque d'empêcher le démarrage en cas de changement quelconque de la configuration matérielle. En général on n'est pas à quelques Mo près. J'ai vérifié, il a bien les paquets cryptsetup-initramfs et cryptsetup-run installés (avec cryptsetup-bin, les 3 étants des dépendances de "cryptsetup"), mais ça veut toujours pas… Et /etc/crypttab est présent et contient ce qu'il faut pour ouvrir le volume chiffré ? Tu as vérifié que l'initramfs contient bien les boot scripts de cryptsetup ? Au cas où, tu as ajouté, l'option "initramfs" pour forcer l'ouverture du volume dans l'initramfs (et regénéré l'initramfs ensuite) ?
Re: Install buster sur lvm chiffré complètement foirée
Le 10/09/19 à 14:29, Pascal Hambourg a écrit : > > - pas trouvé comment préciser à l'installeur que j'ai un clavier bépo > > Peut-être en lançant l'installateur en mode expert ? C'est ce que j'avais fait, y'a que clavier "français" sans pouvoir préciser les variantes (ou pas trouvé où). > Effectivement la réutilisation d'un volume chiffré existant est une > grosse lacune de l'installateur. Il peut activer les ensembles RAID et > volumes logiques LVM existants mais pas les volumes chiffrés... Ça m'a paru tellement bizarre que j'ai cherché un moment et cru que j'étais vraiment bigleux… > >faut commencer l'install, aller jusqu'au partitonnement manuel, sortir de > >l'installeur (ouvrir une autre console) pour déchiffrer le PV > > manuellement (cryptsetup > > open --type luks /dev/sdxN monVolumeChiffré && vgchange -ay) puis retourner > > dans > > l'installeur, gestion lvm, détruire le lv root existant et le recréer > > (sinon impossible de > > l'utiliser, il me le propose pas dans les choix) et l'utiliser comme /, ouf > > ! > > - c'était pas fini, grub install plante plus loin sans dire pourquoi > > => reboot sur la clé en rescue, chroot dans le lv root de buster > > fraichement installé puis > > grub-install me dit qu'il veut dans /etc/default/grub la ligne > > GRUB_ENABLE_CRYPTODISK=y > > Il n'y a pas de partition /boot non chiffrée ? Risqué, car impossible de > démarrer au moindre problème. Même avec une partition non chiffrée ça démarre pas ;-) > > Je l'ajoute, grub-intstall ok mais au reboot > > - clavier qwerty pour saisir la passphrase, fallait deviner > > Normal dans GRUB. Configurer le clavier dans GRUB semble compliqué, je > n'ai jamais essayé. Encore un autre inconvénient du /boot chiffré. En fait dans le menu grub on peut, par ex https://bepo.fr/wiki/Console_GNU/Linux#Grub_2, mais là effectivement avec un /boot chiffré il demande la passphrase avant d'afficher le menu grub et y'a probablement pas de moyen d'inclure une locale de clavier dans le loader. > > - après pass ok, j'ai bien le menu grub mais il trouve pas le lv root > >et m'affiche l'erreur en boucle... > > > > J'ai bien tenté d'éditer l'entrée grub pour préciser du /dev/vg/lv plutôt > > que > > le /dev/mapper--vg-lv mais ça change rien... > > Pas une bonne idée de toute façon, c'est avec la forme > root=/dev/mapper/vg-lv que l'initramfs identifie que la racine est un > volume logique LVM. > > > Une idée ? > > Ouais, une : comme tu n'as pas créé de volume chiffré avec > l'installateur, il n'a pas inclus ce qu'il faut (paquets > cryptsetup-initramfs et cryptsetup-run, fichier /etc/crypttab) pour > pouvoir démarrer avec une racine chiffrée. > > Démarre avec l'installateur en mode rescue, lance un shell sur la racine > et vérifie tout ça. Après une réinstall avec un /boot séparé non chiffré ça bootait toujours pas, j'avais bien le menu grub mais ensuite il me demandait pas de passphrase (et évidemment trouvait pas ses volumes lvm). J'avais bien cru avoir trouvé en voyant qu'il manquait le /etc/crypttab, mais l'ajouter ne change rien. Et cette fois j'avais choisi l'option "tout mettre dans l'initramfs" (plutôt que "seulement ce qui est nécessaire pour cette machine"). J'ai vérifié, il a bien les paquets cryptsetup-initramfs et cryptsetup-run installés (avec cryptsetup-bin, les 3 étants des dépendances de "cryptsetup"), mais ça veut toujours pas… J'ai aussi essayé de poursuivre l'installation en ssh (l'installeur le propose en install avancée), pour pouvoir copier/coller des messages d'erreurs et chercher sur le net, mais ça marche pas non plus, too much failures dès la 1re tentative. > > Par ailleurs, j'espère pouvoir récupérer mon 2e disque, mais j'ai pas > > encore trouvé comment > > (il voit un PV mais me dit qu'il n'y a pas de vg dedans), je suis aussi > > preneur de > > conseil. > > C'est un autre VG que celui qui contient la racine chiffrée ? Oui, et lui n'est pas sur un pv chiffré. . Pas compris ce qui s'est passé, pvcheck & vgcheck ne permettent pas de récupérer mon vg, heureusement j'ai retrouvé un backup des metadatas lvm de ce disque et j'ai pu le récupérer avec un vgcfgrestore. Du coup j'ai lancé un nouveau backup, et si j'arrive toujours pas à booter je referai une install en reformatant tout mon disque principal en refaisant tout le chiffrement + partitionnement depuis l'installeur, mais c'est assez énervant d'en arriver là en y ayant passé autant d'heures… Je sais pas pourquoi le dist-upgrade a tout cassé (c'est bien la première fois que ça m'arrive, et mon 1er doit remonter à woody=>sarge), mais je sais que je suis pas près de réutiliser l'installer sur de l'existant (j'aurais dû booter sur un live, monter et préparer mes partitions et passer par deboostrap pour l'install). -- Daniel Ce que les hommes appellent civilisation, c'est l'état actuel des mœurs et ce qu'ils appellent barbarie, ce sont les états antérieurs. Anatole France
Re: Install buster sur lvm chiffré complètement foirée
Le 10/09/2019 à 12:44, Daniel Caillibaud a écrit : - pas trouvé comment préciser à l'installeur que j'ai un clavier bépo Peut-être en lançant l'installateur en mode expert ? - mis des plombes à trouver comment l'installer dans un LV chiffré (sans détruire tout le VG existant), Effectivement la réutilisation d'un volume chiffré existant est une grosse lacune de l'installateur. Il peut activer les ensembles RAID et volumes logiques LVM existants mais pas les volumes chiffrés... faut commencer l'install, aller jusqu'au partitonnement manuel, sortir de l'installeur (ouvrir une autre console) pour déchiffrer le PV manuellement (cryptsetup open --type luks /dev/sdxN monVolumeChiffré && vgchange -ay) puis retourner dans l'installeur, gestion lvm, détruire le lv root existant et le recréer (sinon impossible de l'utiliser, il me le propose pas dans les choix) et l'utiliser comme /, ouf ! - c'était pas fini, grub install plante plus loin sans dire pourquoi => reboot sur la clé en rescue, chroot dans le lv root de buster fraichement installé puis grub-install me dit qu'il veut dans /etc/default/grub la ligne GRUB_ENABLE_CRYPTODISK=y Il n'y a pas de partition /boot non chiffrée ? Risqué, car impossible de démarrer au moindre problème. Je l'ajoute, grub-intstall ok mais au reboot - clavier qwerty pour saisir la passphrase, fallait deviner Normal dans GRUB. Configurer le clavier dans GRUB semble compliqué, je n'ai jamais essayé. Encore un autre inconvénient du /boot chiffré. - après pass ok, j'ai bien le menu grub mais il trouve pas le lv root et m'affiche l'erreur en boucle... J'ai bien tenté d'éditer l'entrée grub pour préciser du /dev/vg/lv plutôt que le /dev/mapper--vg-lv mais ça change rien... Pas une bonne idée de toute façon, c'est avec la forme root=/dev/mapper/vg-lv que l'initramfs identifie que la racine est un volume logique LVM. Une idée ? Ouais, une : comme tu n'as pas créé de volume chiffré avec l'installateur, il n'a pas inclus ce qu'il faut (paquets cryptsetup-initramfs et cryptsetup-run, fichier /etc/crypttab) pour pouvoir démarrer avec une racine chiffrée. Démarre avec l'installateur en mode rescue, lance un shell sur la racine et vérifie tout ça. Par ailleurs, j'espère pouvoir récupérer mon 2e disque, mais j'ai pas encore trouvé comment (il voit un PV mais me dit qu'il n'y a pas de vg dedans), je suis aussi preneur de conseil. C'est un autre VG que celui qui contient la racine chiffrée ?
