Dell Latitude E6230 - CachyOS BTRFS chiffré LUKS

CachyOS, une distribution Linux relativement nouvelle, vise à offrir des performances élevées et une expérience utilisateur fluide.

Portable Dell Latitude E6230 - matériel , documentation et bios

CachyOS

Création d’une Clé USB bootable CachyOS

Le lecteur USB doit avoir au moins 8 Go d’espace disponible.

Interface de ligne de commande (Linux)
Branchez une clé USB.
Détecter le lecteur USB branché en utilisant la commande suivante: lsblk

sdc                    8:32   1   7,5G  0 disk  

Copiez le contenu iso sur le lecteur USB branché en exécutant dansun terminal

# Remplacer <usbdrive> avec l'étiquette du lecteur.</usbdrive>
# sudo dd bs=4M if=full_iso_name.iso of=/dev/<usbdrive> status=progress oflag=sync
# Dans notre cas
sudo dd bs=4M if=cachyos-desktop-linux-250713.iso of=/dev/sdc status=progress oflag=sync

Boot USB CachyOS

Brancher la clé USB bootable CachyOS sur le portable DELL
Démarrer le portable DELL et appuyer sur F12 pour sélectionner USB EFI
Lancer CachyOS

Basculer en French sur la page Welcome to CachyOS

Lancer l’installateur

Bootloader: Systemd-boot

Tester le clavier

Effacer le disque, btrfs et chiffrer le système

Premier démarrage


Saisir la phrase de déchiffrement du disque

CachyOS DELL Latitude

Après le redémarrage, on va paramétrer le portable DELL Latitude e6230

• Déplacement menu en haut de l’écran
• Activer Wifi Tenda_YM_5G
• UFW est le parefeu par défaut

Utilisateur droits sudo

Modifier sudoers pour accès sudo sans mot de passe à l’utilisateur yano

su               # mot de passe root identique utilisateur
echo "yano     ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers.d/20-yano

Utilitaire yay

base-devel et git sont installés par défaut

Cloner yay

git clone https://aur.archlinux.org/yay.git
cd yay
makepkg -si

Vérification: yay --version

Supprimer le dossier yay

cd ..
sudo rm -r yay

Activation SSH avec clés

Portable DELL Latitude e6230

1. Lancer et activer le service : sudo systemctl enable sshd --now
2. Relever l’adresse ip de la machine : ip a 192.168.10.90 dans notre cas
3. Parefeu ouvrir le port 22/tcp : sudo ufw allow ssh

A - Poste appelant

Générer une paire de clé curve25519-sha256 (ECDH avec Curve25519 et SHA2) nommé e6230 pour une liaison SSH avec le portable E6230.

ssh-keygen -t ed25519 -o -a 100 -f ~/.ssh/e6230

Envoyer les clés depuis le poste distant

ssh-copy-id -i ~/.ssh/e6230.pub yano@192.168.10.90

Se connecter depuis un poste distant ssh yano@192.168.10.90

B - Dell Latitude e6230
Modification fichier configuration ssh sur le dell e6230 pour le port

sudo nano /etc/ssh/sshd_config

Port 56230
PasswordAuthentication	no

IL FAUT ACTIVER LE PORT 56230/tcp sur le PAREFEU UFW !

Ajouter le nouveau port

sudo ufw allow 56230/tcp

Redémarrer sshd

sudo systemctl restart sshd

Se connecter depuis le poste appelant

ssh yano@192.168.10.90 -p 56230 -i /home/yann/.ssh/e6230

Créer les dossiers “utilisateur”

Créer les dossiers .keepassx , Notes , scripts statique/images et statique/_posts

mkdir -p ~/{.ssh,.keepassx,scripts,media}
mkdir -p ~/media/statique/{images,_posts}
mkdir -p ~/media/Documents/Dossiers-Locaux-Thunderbird
mkdir -p ~/media/Notes
# Lien pour affichage des images avec éditeur Retext
sudo mkdir -p /images
sudo ln -s /home/yano/media/statique/images /images

Flameshot (copie écran)

Copie écran (flameshot)
Flameshot c’est un peu THE TOOL pour faire des captures d’écrans

yay -S flameshot

Lancer l’application Flameshot et l’icône est visible dans la barre des tâches

Paramétrage de flameshot, clic droit sur icône , Configuration

Paramétrage de flameshot

Souris Bluetooth Pebble

Souris Bluetooth Pebble Mouse 2 M350s
Basculez entre 3 de vos dispositifs d’une simple pression sur le bouton Easy-Switch.
Position 1 pour le portable DELL latitude e6230

Pour effacer une configuration existante de la souris bluetooth , garder enfoncer le bouton Easy-Switch jusqu’au clignotement rapide de la led

Pour ajouter la souris bluetooth au portable DELL, clic droit sur l’icône bluetooth de la barre des tâches, Périphériques puis Rechercher et lorsque l’appareil est détecté , il faut l’appairer

Ecouteurs bluetooth (INACTIF)

Soundcore Liberty Air 2

• Test des Anker Soundcore Liberty Air 2
• Liberty Air 2 Support Videos

Utiliser le gestionnaire bluetooth et la recherche

Lorsque le périphérique est détecté, il faut l’appairer, clic-droit –> Appairer
Après appairage

Pour que le périphèrique fonctionne correctement, il est IMPERATIF de redémarrer la machine

Après redémarrage, il faut séléctionner le profil audio

Client Nextcloud

Installation client nextcloud

yay -S nextcloud-client 

Démarrer le client nextcloud , après avoir renseigné l’url https://cloud.rnmkcy.eu ,login et mot de passe pour la connexion

Trousseau de clé avec mot de passe idem connexion utilisateur

Paramétrage

• Menu → Lancer Client de synchronisation nextcloud
• Adresse du serveur : https://cloud.xoyaz.xyz
  Se connecter avec un mot de passe application nextcloud “Synchro DELL e6230”
• Nom d’utilisateur : yann
• Mot de passe : xxxxx
  
  Puis saisir l’adresse : https://cloud.rnmkcy.eu
  Le nagigateur s’ouvre sur l’adresse saisie
  
  
  
• Sauter les dossiers à synchroniser, Ignorer la configuration des dossiers
• Trousseau de clés = mot de passe connexion utilisateur
  
• Paramètres nextcloud
  

Saisir les différents dossiers à synhroniser

Au prochain redémarrage, il faudra confirmer le mot de passe du trousseau

Pour modifier le mot de passe du trousseau (OPTION)
Installer seahorse : yay -S seahorse
Lancer “Mots de passe et clés”, faites un clic droit sur votre trousseau de clés par défaut et choisissez Changer de mot de passe.

Vous devrez d’abord saisir votre ancien mot de passe. Ensuite, vous devrez saisir deux fois votre nouveau mot de passe et valider.

Clé matérielle FIDO2

Le déverrouillage se fait par saisie d’une phrase mot de passe, on peut ajouter des clés FIDO2 pour un déchiffrement sans mot de passe (Using FIDO2 keys to unlock LUKS on EndeavourOS)

Installer librairie libfido2 pour la prise en charge des clés Yubico et SoloKeys

sudo pacman -S libfido2

Vérifier que le disque chiffré est /dev/sda2 : lsblk

NAME                                          MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINTS
sda                                             8:0    0 111,8G  0 disk  
├─sda1                                          8:1    0     2G  0 part  /boot
└─sda2                                          8:2    0 109,8G  0 part  
  └─luks-17ed40fd-5601-40a2-bc1b-9411540357e1 253:0    0 109,8G  0 crypt /var/tmp
                                                                         /var/cache
                                                                         /var/log
                                                                         /root
                                                                         /srv
                                                                         /home
                                                                         /
zram0                                         252:0    0  15,5G  0 disk  [SWAP]

Vérifier que le chiffrement est luks2 : sudo cryptsetup luksDump /dev/sda2

LUKS header information
Version:       	2
[...]

Enroler clé USB FIDO2 YubiKey 5 NFC

Vérifier que la YubiKey est insérée dans un port USB

Lister la yubikey

sudo systemd-cryptenroll --fido2-device=list

PATH         MANUFACTURER PRODUCT              
/dev/hidraw4 Yubico       YubiKey OTP+FIDO+CCID

Clé yubikey “24 554 586” pour le déverrouillage du disque chiffré /dev/sda2**

sudo systemd-cryptenroll --fido2-device=auto /dev/sda2

Résulat de la commande précédente

🔐 Please enter current passphrase for disk /dev/sda2: *********************   
Requested to lock with PIN, but FIDO2 device /dev/hidraw4 does not support it, disabling.
Initializing FIDO2 credential on security token.
👆 (Hint: This might require confirmation of user presence on security token.)
Generating secret key on FIDO2 security token.
👆 In order to allow secret key generation, please confirm presence on security token.
New FIDO2 token enrolled as key slot 1.

Le Y de la clé se met à clignoter , il suffit de poser son doigt sur l’emplacement du Y pour le déverrouillage

Si vous avez plusieurs clés répéter l’opération Enroler clé USB FIDO2 YubiKey 5 NFC

Nous avons ajouté 3 clés yubikey FIDO2

1. yubikey “24 554 586”
2. yubikey “29 085 988”
3. yubikey “24 554 581”

Prise en charge FIDO2 (crypttab)

Le fichier /etc/crypttab contient la liste des périphériques à déverrouiller automatiquement.
Chaque ligne du fichier crypttab est de la forme :
<target name> <source device> <key file> <options>

• <target name> : Nom à donner au mappage (/dev/mapper/name), dans le cas présent “secret”
• <source device> : l’identifiant du container luks, sous la forme UUID=
• <key file> : chemin absolu vers le ficher de phrase de passe. Si le déverrouillage doit s’effectuer par saisie d’un mot de passe, indiquer “none”
• <options> : liste d’options séparées par des virgules, par exemple luks, discard pour un chiffrage luks et autoriser l’utilisation de la commane fstrim ou discard au niveau du container. L’option keyscript= donne la possibilité d’exécuter un script ou une commande avec le chemin vers le fichier de passe de phrase (paramètre password précédent) fourni comme argument.

/etc/crypttab avant modification

# <name>               <device>                         <password> <options>
luks-17xxxxxxxxxxxxxxx7e1 UUID=17ed40fd-5601-40a2-bc1b-9411540357e1     none 

Modifier /etc/crypttab pour la prise en chrrge FIDO2 en ajoutant fido2-device=auto

sudo nano /etc/crypttab

La quatrième colonne luks est remplacée par luks,fido2-device=auto

# <name>               <device>                         <password> <options>
luks-c3f9cc28-3bb6-4c96-a86b-22a659c37ecc UUID=c3f9cc28-3bb6-4c96-a86b-22a659c37ecc     none luks,fido2-device=auto

Sauvegarder et quitter.

Réinitialiser le noyau

sudo mkinitcpio -P

Redémarrer la machine

Mot de passe (KeePassXC)

On utilise une clé matérielle pour déverrouiller la base de mot de passe

La clé matériel utilisée pour la connexion doit être insérée

Installer le gestionnaire de mot de passe keepassxc

yay -S keepassxc

Ouvrir “KeePassXC” –> Affichage
Affichage → Thème : Sombre
Affichage → Mode compact , un redémarrage de l’application est nécessaire

Ajouter aux favoris “KeePassXC” et ouvrir l’application

Base de données –> Ouvrir une base de données (afficher les fichiers cachés) : ~/.keepassx/yannick_xc.kdbx –> Ouvrir

Double Commander

Double Commander est un gestionnaire de fichiers open source multiplateforme avec deux panneaux côte à côte. Il s’inspire de Total Commander

Application QT

yay -S doublecmd-qt6

Ajouter l’application aux favoris
Les paramètres sont stockés dans le dossier ~/.config/doublecmd/

Minicom

Installation

yay -S minicom

Paramétrage de l’application terminale minicom

sudo minicom -s

Seul les paramètres à modifier sont cités

Configuration du port série

A - Port série : /dev/ttyUSB0
F - Contrôle de flux matériel : Non

Echap
Enregistrer config. sous dfl

Sortir de Minicom

scrpy émulation android

Utilise adb et le port USB

yay -S scrcpy

Les icônes pour lancer l’application sont générés à l’installation

Navigateur Librewolf

Navigateur LibreWolf

Autoriser l’accès dans l’application keepassxc

Paquets supplémentaires

Lancer la commande

# qrencode zbar android-tools jq , installés par défaut
yay -S gimp libreoffice-fresh-fr figlet p7zip tmux calibre retext bluefish terminator filezilla borg yt-dlp xclip nmap tigervnc xournalpp  qbittorrent 
# zenity non installé

Annexe

Chroot BTRFS

1. Redémarrer sur la clé USB live
2. Basculer en French et ajouter clavier français dans le paramétrage
3. Ouvrir une console et lance le serveur SSH: sudo systemctl start sshd
4. Relever adresse: ip a –> 192.168.10.102
5. Cahnder mot de passe liveuser: sudo passwd liveuser –> rtyuiop

Se connecter depuis un poste sur le réseau

ssh liveuser@192.168.10.102

Et exécuter les commandes suivantes

# passer en root
sudo -s
# déchiffrer le volume, saisir la phrase mot de passe ou par la clé Yubikey
cryptsetup luksOpen /dev/sda2 crypttemp

# https://www.arcolinuxd.com/arch-chroot-and-btrfs-use-the-power-of-arch-chroot-when-your-computer-crashes/
# Montage des dossiers BTRFS
mount /dev/mapper/crypttemp /mnt -o subvol=@
mount /dev/mapper/crypttemp /mnt/root -o subvol=@root
mount /dev/mapper/crypttemp /mnt/home -o subvol=@home
mount /dev/mapper/crypttemp /mnt/var/log -o subvol=@log
mount /dev/mapper/crypttemp /mnt/var/cache -o subvol=@cache
mount /dev/mapper/crypttemp /mnt/var/tmp -o subvol=@tmp
mount /dev/mapper/crypttemp /mnt/srv -o subvol=@srv

mount /dev/sda1 /mnt/boot

# Passage en chroot
arch-chroot /mnt

Modifier /etc/mkinitcpio.conf

Recréer le noyau

mkinitcpio -P

Sortie

exit
umount -R /mnt

Redémarrage

systemctl reboot

Description CachyOS

• Mon expérience avec CachyOS…
• CachyOS Wiki

Exigences du système

Avant de commencer avec les préparatifs d’installation, assurez-vous que l’ordinateur utilisé répond aux exigences du système nécessaire pour exécuter CachyOS. L’installateur utilise un processus d’installation en ligne de sorte qu’une connexion Internet stable et relativement rapide est obligatoire.

Caractéristiques minimales recommandées

• 8 Go RAM
• 50 Go d’espace de stockage (SSD/NVMe)
• CPU capable de x86-64-v3
• 50 Mbps ou une meilleure vitesse Internet
• NVIDIA GPU (900+ - par exemple: GTX 950), AMD +GCN 1.0 (par exemple: AMD R7 240) ou Intel (série intégrée HD Graphics ou plus). Série Arc)

x86_64 Microarchitecture Level Support

• x86_64-v3 Compatible CPUs * Intel * Haswell and later generations (e.g., Broadwell, Skylake, Coffee Lake, etc) * AMD * Ryzen Series
• x86_64-v4 Compatible CPUs * Intel * Knights Landing (Xeon Phi x200), Knights Mill (Xeon Phi x205), Skylake-SP, Skylake-X, Cannon Lake, Cascade Lake, Cooper Lake, Ice Lake, Rocket Lake, Tiger Lake and Sapphire Rapids * AMD * Zen4+ CPUs

Gestionnaires de démarrage proposés

Pour offrir la meilleure expérience sur une gamme d’appareils, CachyOS propose actuellement les gestionnaires de démarrage suivants : systemd-boot, rEFInd, GRUB et Limine. Cet article wiki décrira le jeu de fonctionnalités de chaque gestionnaire de démarrage et inclut également nos recommandations pour lors de leur choix. Pour la configuration, veuillez consulter Boot Manager Configuration.

systemd-boot

Une partie de la famille systemd, systemd-boot a été créée pour être aussi simple que possible, donc il n’a de soutien que pour les systèmes basés sur l’UEFI. Cette conception simple et efficace garantit sa fiabilité et sa rapidité. Cependant, cela se fait au prix de fonctionnalités avancées prises en charge par d’autres gestionnaires de boot.

Pour

• Configuration très simple.
• Les entrées de démarrage sont séparées en plusieurs fichiers, ce qui facilite la gestion.

Points négatifs

• Manque de soutien adéquat pour le BIOS/MBR.
• Les os très nus conçoivent et manquent de tout type de thème ou de personnalisation.
• Config n’est pas généré automatiquement à moins que configuré pour le faire. CachyOS inclut systemd-boot manager pour offrir une configuration générée automatiquement.
• Seulement capable de lire les images de démarrage sur les systèmes de fichiers supportés par EFI (FAT, FAT16, FAT32).
• Impossible de trouver des images de démarrage sur des partitions autres que les siennes.
• Ne prend pas en charge correctement les retours instantanés de Btrfs en raison de l’exigence de stocker les images du noyau sur la partition de démarrage plutôt que le système de fichiers racine.

Recommandation

Systemd-boot est le gestionnaire de démarrage recommandé et par défaut pour CachyOS. Choisissez celui-ci si vous n’êtes pas sûr.

GRUB

GRUB est le plus ancien gestionnaire de démarrage disponible. Il a un très grand jeu de fonctionnalités, fonctionne sur presque toutes les machines et est le gestionnaire de démarrage Linux le plus couramment utilisé. Voici une liste de ses principaux avantages et inconvénients.

Pour

• Capable de lire les images de démarrage de presque tous les systèmes de fichiers Linux disponibles.
• Largement utilisé et très facile à trouver des informations en ligne.
• Capable de décrypter les partitions de démarrage chiffrées.
• Le seul chargeur de démarrage offert lui permettant de démarrer des machines BIOS.
• Ça semble daté. Cependant a un grand soutien thématique pour compenser.

Points négatifs

• “Bloated” en raison du besoin de prendre en charge beaucoup plus vieux matériel et nécessitant beaucoup de pilotes de système de fichiers.

Recommandation

• GRUB est le seul gestionnaire de démarrage qui supporte le cryptage de partition de démarrage (Différence par rapport au chiffrement du disque).

Systèmes de fichiers

CachyOS offre 5 systèmes de fichiers (seulement XFS, BTRFS et EXT4 sont détaillés) pour permettre à l’utilisateur de choisir ce qui correspond le mieux à ses besoins. Voici les avantages, les inconvénients et les recommandations de chaque système de fichiers. Chaque système de fichiers est livré avec ses exigences/utilités préinstallées sur CachyOS.

BTRFS est le système de fichiers par défaut et recommandé pour CachyOS. Choisissez-le si vous n’êtes pas sûr.

XFS

XFS est un système de fichiers de revue créé et développé par Silicon Graphics, Inc. Il a été créé en 1993, porté à Linux en 2001, et est maintenant largement pris en charge par la plupart des distributions Linux.

Pour

• Fast, XFS a été initialement conçu avec la vitesse et l’évolutivité extrême à l’esprit.
• Fiable, XFS utilise plusieurs technologies pour prévenir la corruption des données.
• Résistant à la fragmentation en raison de son étendue et de sa stratégie de répartition retardée.

Points négatifs

• Il ne peut pas être réduit.

Utilitaire espace utilisateur

Le paquet contenant des outils d’espace utilisateur pour gérer les systèmes de fichiers XFS est xfsprogs.

Recommandation

XFS est le système de fichiers recommandé pour les utilisateurs qui n’ont pas besoin de fonctionnalités avancées et veulent simplement un système de fichiers rapide et fiable.

BTRFS

BTRFS est un système de fichiers moderne copy-on-write(COW) créé en 2007 et déclaré stable dans le noyau linux en 2013. Il est largement soutenu et est principalement connu pour son ensemble de fonctionnalités avancées.

Pour

• Compression transparente. BTRFS prend en charge la compression transparente des fichiers pour permettre des économies d’espace importantes sans intervention de l’utilisateur. Caché OS est livré avec la compression ZSTD réglée au niveau 3 par défaut.
• Fonctionnalité d’instantané. BTRFS exploite sa nature COW pour permettre la création d’instantanés de sous-volumes qui prennent très peu d’espace réel.
• Fonction sous-volume permettant un meilleur contrôle du système de fichiers.
• Peut grandir ou rétrécir.
• Très rapide développement.

Points négatifs

• Il faut parfois défragmenter ou équilibrer.
• Pire sur les entraînements de rotation en raison de la fragmentation susmentionnée.

Utilitaire espace utilisateur

Btrfs userspace utility package est btrfs-progs

Présentation du sous-volume

CachyOS fournit une mise en page en sous-volume de la boîte pour permettre une fonctionnalité d’instantané facile.

• Subvol @ = /
• Subvol @home = /home
• Subvol @root = /root
• Subvol @srv = /srv
• Subvol @cache = /var/cache
• Subvol @tmp = /var/tmp
• Subvol @log = /var/log

Recommandation

BTRFS est recommandé pour les utilisateurs qui veulent la fonctionnalité instantané / sauvegarde et la compression transparente.

EXT4

EXT4 (quatrième système de fichiers étendu) est le système de fichiers Linux le plus couramment utilisé. EXT4 a été rendu stable dans le noyau linux en 2008.

Pour

• Très fréquent permettant un accès facile à de nombreuses ressources.
• Fiable. EXT4 a fait ses preuves en étant très fiable.
• Peut grandir ou rétrécir.

Points négatifs

• Construit sur une ancienne base de code.
• Manque de nombreuses fonctionnalités avancées que d’autres systèmes de fichiers offrent.

Utilitaires d’espace utilisateur

Le paquet à gérer ext4 est e2fsprogs

Recommandation

EXT4 est recommandé pour les utilisateurs qui veulent le système de fichiers le plus simple et le plus utilisé.

Utilisez le système de fichiers par défaut BTRFS car il est considéré stable et a beaucoup de fonctionnalités soignées (snapshots, compression, etc). Utilisez XFS ou EXT4 pour un système de fichiers simple et rapide.