Aller au contenu
Documentations

Installer Debian 13 avec LVM sur disque chiffré

Introduction

Chiffrer son disque, c’est la garantie que si quelqu’un met la main sur ta machine — que ce soit un laptop volé ou un serveur sorti d’un rack — il ne peut rien lire sans la passphrase. Combiné à LVM, tu gardes toute la flexibilité pour redimensionner tes partitions plus tard sans tout réinstaller.

L’idée derrière cette configuration : un seul container LUKS chiffré occupe la quasi-totalité du disque, et à l’intérieur, LVM découpe cet espace en volumes logiques (/, /home, swap). La partition /boot reste en clair à l’extérieur — c’est la seule exception, nécessaire pour que GRUB puisse démarrer.

flowchart TD
    DISK["Disque physique\n/dev/sda"] --> BOOT["Partition /boot\n512 Mo — non chiffrée\nGRUB démarre ici"]
    DISK --> LUKS["Partition LUKS\n/dev/sda2 — chiffrée\nDéverrouillée par passphrase au boot"]

    LUKS --> VG["Volume Group LVM\nvg-debian"]

    VG --> SWAP["LV swap\n4 Go"]
    VG --> ROOT["LV root\n30 Go — /"]
    VG --> HOME["LV home\nReste du disque — /home"]

    style DISK fill:#546E7A,color:#fff
    style BOOT fill:#e67e22,color:#fff
    style LUKS fill:#c0392b,color:#fff
    style VG fill:#1565C0,color:#fff
    style SWAP fill:#37474F,color:#fff
    style ROOT fill:#2E7D32,color:#fff
    style HOME fill:#2E7D32,color:#fff

Prérequis

  • Une clé USB avec l’ISO Debian 13 (Trixie) gravée dessus
  • La machine doit booter sur la clé USB (configure l’ordre de boot dans le BIOS/UEFI)
  • Une connexion internet (optionnelle mais recommandée pour récupérer les paquets)

Résumé des étapes

  1. Démarrer l’installateur et choisir le bon mode
  2. Configurer le réseau et le nom de la machine
  3. Partitionner manuellement (LUKS + LVM)
  4. Créer le container LUKS et sa passphrase
  5. Configurer LVM à l’intérieur du container
  6. Finir l’installation (système de base, GRUB)

C’est Parti ! 🚀

Étape 1 : Démarrer l’installateur

Au menu de démarrage Debian, choisis “Install” (le mode texte, pas l’interface graphique). Les deux fonctionnent, mais l’installateur texte est plus rapide et plus stable pour une installation serveur.

Sélectionne ta langue, ton pays et la disposition de ton clavier.

Étape 2 : Réseau et nom de la machine

L’installateur va détecter ta carte réseau et tenter une configuration automatique via DHCP. En général ça fonctionne sans rien toucher.

Ensuite il te demande le nom de la machine (hostname) et le domaine. Pour un usage homelab, quelque chose comme debian-srv suffit. Le domaine peut rester vide.

Étape 3 : Comptes utilisateurs

L’installateur te propose de définir un mot de passe root et de créer un utilisateur standard.

Étape 4 : Partitionnement — le cœur du guide

C’est ici que ça se passe. Quand l’installateur te propose une méthode de partitionnement, choisis :

“Manuel”

4.1 — Initialiser le disque

Sélectionne ton disque (ex: sda). L’installateur te propose de créer une nouvelle table de partitions — accepte. Choisis GPT si la machine est en UEFI, MBR si elle est en BIOS legacy.

Tu te retrouves avec de l’espace libre. Il faut créer deux partitions à la main.

4.2 — Créer la partition /boot

Sélectionne l’espace libre, puis “Créer une nouvelle partition” :

ParamètreValeur
Taille512 Mo
TypePrimaire
EmplacementDébut
Utiliser commeSystème de fichiers ext4
Point de montage/boot
Indicateur d’amorçageboot

Valide avec “Fin du paramétrage de cette partition”.

4.3 — Créer la partition LUKS

Sur l’espace libre restant, crée une nouvelle partition :

ParamètreValeur
TailleTout l’espace restant
TypePrimaire
Utiliser commeVolume physique pour le chiffrement

Valide. Cette option est la clé — elle dit à l’installateur que cette partition va accueillir un container LUKS.

4.4 — Configurer le chiffrement

De retour dans l’écran principal, tu vois maintenant une section “Configurer les volumes chiffrés”. Entre dedans.

  • Sélectionne “Créer des volumes chiffrés”
  • Choisis la partition que tu viens de créer (ex: sda2)
  • Valide les paramètres par défaut (AES-256, clé aléatoire) — ils sont bons

L’installateur va te demander d’effacer les données de la partition avant de la chiffrer. Pour un disque neuf, tu peux passer. Pour un disque qui a déjà servi, l’effacement est recommandé — ça prend du temps mais ça évite de laisser des traces de données non chiffrées.

Enfin, définis la passphrase de chiffrement. C’est elle qui protège tout :

  • Choisis quelque chose de long et mémorisable
  • Pas de raccourci ici — si tu perds cette passphrase, les données sont irrécupérables
flowchart LR
    PASS["Passphrase\nsaisie au boot"] -->|"Déverrouille"| LUKS["Container LUKS\n/dev/sda2"]
    LUKS -->|"Expose"| DM["Périphérique déchiffré\n/dev/mapper/sda2_crypt"]
    DM -->|"LVM lit"| VG["Volume Group\nvg-debian"]

    style PASS fill:#c0392b,color:#fff
    style LUKS fill:#e74c3c,color:#fff
    style DM fill:#e67e22,color:#fff
    style VG fill:#1565C0,color:#fff

Étape 5 : Configurer LVM

Maintenant que LUKS est en place, l’installateur expose un nouveau périphérique déchiffré (généralement /dev/mapper/sda2_crypt). C’est là-dedans qu’on va créer le LVM.

Dans l’écran de partitionnement, va dans “Configurer le gestionnaire de volumes logiques (LVM)“.

5.1 — Créer le Volume Group

  • “Créer un groupe de volumes”
  • Nomme-le vg-debian (ou ce que tu veux)
  • Sélectionne /dev/mapper/sda2_crypt comme volume physique

5.2 — Créer les volumes logiques

Tu vas créer trois volumes. Pour chacun, choisis “Créer un volume logique”, sélectionne vg-debian, puis définis le nom et la taille :

Volume logiqueTaille suggéréeUtilisation
lv-swap4 Go (ou égale à ta RAM)Swap
lv-root30 GoRacine /
lv-homeReste du disqueDonnées /home
flowchart TD
    VG["Volume Group : vg-debian\n/dev/mapper/sda2_crypt"] --> LV1["lv-swap\n4 Go\n→ swap"]
    VG --> LV2["lv-root\n30 Go\n→ ext4 monté sur /"]
    VG --> LV3["lv-home\nReste\n→ ext4 monté sur /home"]

    style VG fill:#1565C0,color:#fff
    style LV1 fill:#37474F,color:#fff
    style LV2 fill:#2E7D32,color:#fff
    style LV3 fill:#2E7D32,color:#fff

Quand les trois volumes sont créés, sélectionne “Terminer”.

5.3 — Formater et monter les volumes

De retour dans l’écran principal de partitionnement, tu vois maintenant tes trois volumes logiques listés. Il faut configurer chacun :

lv-root (/dev/vg-debian/lv-root) :

  • Utiliser comme : système de fichiers ext4
  • Point de montage : /

lv-home (/dev/vg-debian/lv-home) :

  • Utiliser comme : système de fichiers ext4
  • Point de montage : /home

lv-swap (/dev/vg-debian/lv-swap) :

  • Utiliser comme : espace d'échange (swap)

Une fois les trois configurés, sélectionne “Terminer le partitionnement et appliquer les changements”.

L’installateur va afficher un récapitulatif complet. Vérifie que la structure correspond à ce que tu attends, puis confirme.

Étape 6 : Installation du système de base

L’installateur copie le système de base sur les partitions. Quelques questions pendant ce processus :

Miroir de téléchargement : choisis un miroir proche de toi géographiquement. Pour la France, deb.debian.org ou ftp.fr.debian.org conviennent.

Gestionnaire de paquets : accepte la configuration proposée.

Sélection des logiciels : c’est ici que tu choisis ce qui s’installe. Pour un serveur, décoche tout sauf “Utilitaires standards du système” et “Serveur SSH”. Tu ajouteras ce dont tu as besoin après.

Étape 7 : Installation de GRUB

GRUB est le chargeur d’amorçage. Il s’installe sur /dev/sda (le disque entier, pas une partition).

Après l’installation, GRUB est configuré automatiquement pour gérer le déverrouillage LUKS au démarrage. Au prochain boot, tu verras une invite de passphrase avant que le système ne continue à démarrer.

Ce qui se passe à chaque démarrage

sequenceDiagram
    participant BIOS as BIOS/UEFI
    participant GRUB as GRUB\n(/boot)
    participant LUKS as LUKS
    participant LVM as LVM
    participant OS as Debian 13

    BIOS->>GRUB: Charge le bootloader depuis /boot
    GRUB->>LUKS: Demande la passphrase
    Note over LUKS: L'utilisateur saisit la passphrase
    LUKS->>LVM: Déverrouille /dev/mapper/sda2_crypt
    LVM->>OS: Active les volumes logiques (root, home, swap)
    OS->>OS: Monte les systèmes de fichiers et démarre

Après l’installation

Une fois Debian démarré, connecte-toi et commence par mettre le système à jour :

Fenêtre de terminal
su -
apt update && apt upgrade -y

Vérifier que tout est en place

Fenêtre de terminal
# Vérifier les partitions et le chiffrement
lsblk


# Tu dois voir quelque chose comme :
# sda
# ├─sda1        /boot
# └─sda2
#   └─sda2_crypt
#     ├─vg--debian-lv--swap  [SWAP]
#     ├─vg--debian-lv--root  /
#     └─vg--debian-lv--home  /home
Fenêtre de terminal
# Vérifier les volumes LVM
lvdisplay


# Vérifier le chiffrement LUKS
cryptsetup status /dev/mapper/sda2_crypt

Installer sudo

Debian n’installe pas sudo par défaut. Si tu veux l’utiliser avec ton utilisateur standard :

Fenêtre de terminal
apt install -y sudo
usermod -aG sudo ton_utilisateur

Déconnecte-toi et reconnecte-toi pour que le changement prenne effet.

Redimensionner un volume plus tard

L’un des grands avantages de LVM : tu peux agrandir /home si tu manques de place, sans rien réinstaller.

Fenêtre de terminal
# Étendre lv-home en lui donnant tout l'espace libre du VG
lvextend -l +100%FREE /dev/vg-debian/lv-home


# Redimensionner le système de fichiers ext4 pour occuper le nouvel espace
resize2fs /dev/vg-debian/lv-home

Conclusion

Tu as maintenant un Debian 13 avec la totalité du disque chiffré par LUKS, et LVM pour gérer tes volumes avec souplesse. Sans la passphrase, le disque est illisible — même monté directement sur une autre machine.

La prochaine étape naturelle est de durcir SSH pour sécuriser l’accès distant. L’article Sécuriser OpenSSH sur Ubuntu couvre exactement ça, et les étapes sont identiques sur Debian.