Forum Linux.debian/ubuntu Installer Linux en Dual boot sur un HP Laptop 15s-eq2008nf (avec Win11 et TPM)

Posté par  (site web personnel) . Licence CC By‑SA.
4
16
août
2024

Salut à toutes et à tous,

je vais devoir installer pour quelqu'un un Ubuntu en dual boot avec un Windows 11 sur un portable HP Laptop 15s-eq2008nf tout neuf. Il a l'avantage d'avoir un SSD M.2 de 1 To. Il y a bien sûr un UEFI (j'ai déjà pratiqué). Mais également une puce TPM (c'est la première fois que j'ai un PC avec cette bestiole).

Les étapes que je voudrais suivre sont :
- sauvegarder le SSD avec Clonezilla (en cas de problème car je ne veux pas perdre le Win11),
- réduire la taille des partitions Windows à 500 Go (https://www.justgeek.fr/installer-ubuntu-en-dual-boot-avec-windows-11-109997/),
- installer un Ubuntu LTS dans les 500 Go restants.

Si vous avez des remarques et des conseils, je suis preneur. En effet, d'un côté je pourrais dire que j'installe des Linux depuis environ 25 ans. Sauf qu'à force de maintenir des systèmes installés il y a souvent plus de dix ans, finalement ça ne m'arrive pas si souvent que ça d'installer des Linux :-) … En particulier, je n'ai pas pratiqué avec Windows 11 et les cartes mères récentes avec puces TPM.

Merci d'avance

  • # secure boot

    Posté par  . Évalué à 3 (+1/-0).

    la méthode semble bonne, Ubuntu supportant d'avoir un secure boot actif ça devrait fonctionner.

    Mais je reste curieux de ton retour d'expérience je n'ai pas eu l'occasion de faire de dual boot avec windows 11.

    • [^] # Re: secure boot

      Posté par  (site web personnel) . Évalué à 3 (+1/-0).

      Je devrais l'avoir lundi, donc je m'y mettrai tranquillement et avant la fin de la semaine je pourrai faire un retour.

      Etape 0, j'irai bien sûr faire un tour dans le "BIOS" UEFI pour voir comment il est configuré.

    • [^] # Retour d'expérience

      Posté par  (site web personnel) . Évalué à 4 (+2/-0).

      Retour d'expérience sur la première installation Dual Boot que je fais depuis au moins 10 ans (12 ?).

      Dans le BIOS (F10) :
      - mettre Disque USB en premier pour le démarrage
      - "Démarrage sécurisé" => désactivé. Apparemment ne suffit pas => faire aussi "Annule toutes les touches de démarrage sécurisé" ("touches" est une mauvaise traduction pour "clefs" de chiffrement !). Si le SecureBoot n'est pas désactivé, en essayant de booter sur la clef USB on obtient le message "Verifying shim SBAT data failed: Security Policy Violation".

      On boote ensuite sur la clef USB Kubuntu 24.04 LTS. J'installe lz4 et pv puis je copie le disque 1 To avec la commande de Chris :

      $ sudo dd if=/dev/nvme0n1 | pv | lz4 > /media/kubuntu/USB_DRIVE/disque_win11.img.lz4
      

      Ca prend 1h17 et les 953 Gio sont compactés en 53,7 Gio.
      On peut aussi sauvegarder au cas où la petite partition EFI Fat32 de Windows /dev/nvme0n1p1 (elle s'appelle "SYSTEM").

      Je réactive le Secure Boot (pour que Windows puisse démarrer). Mauvaise surprise Bitlocker demande la clé de récupération (48 chiffres). Heureusement, lors de la configuration de Windows 11, après une longue hésitation j'avais quand même créé (et non sans mal) un compte Microsoft, sur lequel avait été sauvegardé automatiquement la fameuse clé.

      Avec l'utilitaire Windows "Gestion des disques" je vois que la partition Windows C: (953 Go) est en sandwich entre la partition EFI 260 Mo et la partition de récupération 811 Mo. Je fais "Réduire le volume" : "quantité d'espace à réduire"=500000 Mo (pour Linux). Restera 475000 Mo pour Windows.

      Je désactive à nouveau SecureBoot pour pouvoir booter sur la clef Live USB Kubuntu. Je tente d'abord un partitionnement manuel (deux partitions racine+home) mais Kubuntu ne pourra pas booter faute d'EFI. Je retente une installation en ajoutant cette fois le point de montage /boot/efi pour la partition nvme0n1p1 mais l'installateur me dit que l'EFI n'est pas bien configuré. Je ne tente pas le diable, pas que ça à faire ! Je me rabats sur une installation avec une seule partition : "Remplacer une partition" et je sélectionne l'espace libre. Le message "La partition EFI sur /dev/nvme0n1p1 va être utilisée pour démarrer Kubuntu" apparaît en bas de l'installateur. Yes !

      On réactive le démarrage sécurisé. On reboote : on démarre désormais avec Grub (Linux par défaut). Ouf, ça marche !

      CONCLUSION

      La première chose à faire est surtout de sauvegarder la clef Bitlocker du SecureBoot (un compte Microsoft n'est probablement pas nécessaire, mais je ne sais pas comment on fait) pour éviter les mauvaises surprises. Car il faudra désactiver temporairement SecureBoot pour booter sur la clef USB Kubuntu.

      Si on laisse l'installateur Kubuntu tout mettre sur une seule partition, il gère automatiquement la partition EFI initialement présente. Sinon, je ne sais pas.

      • [^] # Re: Retour d'expérience

        Posté par  (site web personnel) . Évalué à 4 (+2/-0).

        faire aussi "Annule toutes les touches de démarrage sécurisé" ("touches" est une mauvaise traduction pour "clefs" de chiffrement !)

        tu as oublié de passer l'UEFI en anglais ;-) Les traductions sont globalement incompréhensibles la plupart du temps, pourrites assez souvent

        La première chose à faire est surtout de sauvegarder la clef Bitlocker du SecureBoot (un compte Microsoft n'est probablement pas nécessaire, mais je ne sais pas comment on fait) pour éviter les mauvaises surprises.

        sans doute une option quelque part dans l'UEFI, genre Managing keys permettant de les exporter sur disque ou clé usb ; mais, oui, tu fais bien de le signaler :-)
        En outre, si la partition windows était chiffrée, il faut la redimensionner sous windows au préalable et non sous Linux, sinon Bitlocker va se plaindre qu'il y a eu des changements impromptus et windows risque de ne plus booter :/

        • [^] # Re: Retour d'expérience

          Posté par  (site web personnel) . Évalué à 3 (+1/-0).

          Non, aucune option d'export dans le BIOS UEFI.

          Dans Windows 11, il faut aller dans l'"ancien" panneau de configuration (pas dans la fenêtre des paramètres) : Panneau de configuration > Système et sécurité > Chiffrement de l'appareil > Sauvegarder vos clés de récupération
          On peut alors sauvegarder la clef sur le compte Microsoft, ou l'exporter en fichier texte (sur un support non chiffré par Bitlocker) ou l'imprimer.

          • [^] # Re: Retour d'expérience

            Posté par  (site web personnel) . Évalué à 2 (+0/-0).

            On peut alors désactiver la synchronisation au compte Microsoft : Paramètres > Comptes > Vos infos > Se connecter avec un compte local

            Après avoir ignorer l'étape de sauvegarde de la clef de chiffrement (déjà faite), on peut valider le compte local en entrant à nouveau le mot de passe.

  • # TPM et Secure Boot ?

    Posté par  (site web personnel) . Évalué à 5 (+3/-0).

    Je pense que je confonds TPM et Secure Boot.

    TPM, c'est une puce cryptographique : https://fr.wikipedia.org/wiki/Trusted_Platform_Module

    Secure Boot, c'est un système qui vérifie la signature numérique de l'OS : https://fr.wikipedia.org/wiki/UEFI

    Est-ce que le Secure Boot nécessite la puce TPM ? Ou est-ce qu'elle l'utilise mais peut s'en passer s'il n'y en a pas ? Ou pas de rapport entre les deux ?

  • # Clonezilla

    Posté par  (site web personnel) . Évalué à 2 (+0/-0).

    Autre question, d'après mes souvenirs Clonezilla ne sauvegarde que les informations utiles. Donc pas besoin d'un disque d'un To pour sauvegarder un disque d'un To (pas rempli) ? Me trompe-je ?

    • [^] # Re: Clonezilla

      Posté par  . Évalué à 3 (+1/-0).

      Je ne l'ai pas utilisé depuis une éternité je fais plutôt un dd if=/dev/sdX | pv | lz4 > ma hine.img.lz4 pour faire une image disque rapidement en limitant l'espace nécessaire.

      • [^] # Re: Clonezilla

        Posté par  (site web personnel) . Évalué à 3 (+1/-0).

        C'est sûr que c'est plus élégant. Je peux le faire à partir de l'ISO de Kubuntu que j'ai mise hier sur mon disque USB dans ma partition Easy2Boot

        P.s. Je suppose que tu voulais écrire "machine.img.lz4" et non pas "ma hine.img.lz4" :-)

  • # désactiver le SecureBoot par sécurité ?

    Posté par  (site web personnel) . Évalué à 4 (+2/-0).

    Après avoir lu https://linuxfr.org/users/brndan/liens/une-mise-a-jour-windows-casse-les-dual-boots
    je me demande si je ne devrais pas désactiver le SecureBoot, par sécurité… (le PC n'est pas pour moi, donc ça fait peur).

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.