URL: https://linuxfr.org/forums/general-general/posts/luks-boot Title: LUKS & /boot Authors: Xanatos Date: 2024年03月06日T18:27:11+01:00 License: CC By-SA Tags: luks, sécurité, démarrage et debian Score: 6 Bonjour, Avec l'arrivée d'une nouvelle machine je souhaite me mettre un peu à jour sur l'organisation des fs et LUKS. Jusqu'à présent j'installe sous cette forme:> NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT sda 8:0 0 59,6G 0 disk ├─sda1 8:1 0 190M 0 part /boot └─sda2 8:2 0 59,4G 0 part └─sda2_crypt 253:0 0 59,4G 0 crypt / Oui pas de SWAP et vieux coucous en BIOS, ce n'est pas le débat. /boot non chiffré m'a toujours embêté et je m'aperçois que depuis grub2 le déchiffrement de LUKS 1 est réalisable, avec 2 possibilités soit une partition boot en LUKS 1 et le reste en LUKS 2 soit boot sous /root mais alors tout en LUKS 1. Je me perds dans différentes lectures, notamment:> Initial LUKS2 support was added to GRUB 2.06, but with several limitations that are only partially addressed in GRUB 2.12rc1. See GRUB bug #55093. Since GRUB 2.12rc1, grub-install can create a core image to unlock LUKS2. However, it only supports PBKDF2, not Argon2. Argon2id (cryptsetup default) and Argon2i PBKDFs are not supported (GRUB bug #59409), only PBKDF2 is.> Tip: You can use grub-improved-luks2-gitAUR that has been patched for LUKS2 as well as Argon support. Note the package's Argon support requires an UEFI system.[3] https://wiki.archlinux.org/title/GRUB#LUKS2 Je ne suis pas vraiment au fait des algos, si c'est significativement différent entre Argon2id et PBKDF. De plus éviter de faire du bricolage m'arrangerait pour éviter de tout casser à chaque montée de version de Debian. On me dit partition UEFI, soit, mais si je verrouille le /boot et laisse UEFI ouvert c'est déporter le problème ? Au fil des lectures je suis aussi tombé sur une autre gestion du chiffrement qui englobe le boot avec un sous composant de systemd, sur popOs notamment, bref. Comment gérez-vous vos LUKS ?