Accéder au contenuNavigation Accéder à la page : page précédente [raccourci clavier p] / page suivante [raccourci clavier n]
documentation.suse.com / Documentation de SUSE Linux Enterprise Server / Guide de déploiement / Procédure d'installation / Partitionnement en mode expert
S'applique à SUSE Linux Enterprise Server 15 SP6

11 Partitionnement en mode expert

Les configurations système élaborées nécessitent de configurer les disques d'une certaine manière. Vous pouvez effectuer toutes les tâches de partitionnement courantes au cours de l'installation.

Pour obtenir une dénomination persistante avec les périphériques de bloc, utilisez les périphériques de bloc situés sous /dev/disk/by-id ou /dev/disk/by-uuid.

Conçu pour être bien plus flexible que le partitionnement physique utilisé dans les configurations standard, le modèle LVM (Logical Volume Management - Gestion des volumes logiques) est un modèle de partition de disque. La fonction d'instantané permet de sauvegarder les données en toute simplicité. Le réseau RAID (Redundant Array of Independent Disks - Réseau redondant de disques indépendants) offre une intégrité, des performances et une tolérance aux pannes accrues des données. SUSE Linux Enterprise Server (SLES) prend également en charge l'option Multipath I/O (voir le Chapter 18, Managing multipath I/O for devices pour plus de détails). Il est également possible d'utiliser iSCSI comme disque en réseau (pour plus d'informations sur iSCSI, voir le Chapter 15, Mass storage over IP networks: iSCSI).

Avertissement
Avertissement : unités d'espace disque

Notez qu'à des fins de partitionnement, l'espace disque est mesuré en unités binaires plutôt qu'en unités décimales. Par exemple, si vous spécifiez la taille de 1GB, 1GiB ou 1G, cela correspond à 1 Gio (gibioctet), et non à 1 Go (gigaoctet).

Binaire

1 Gio = 1 073 741 824 octets.

Décimal

1 Go = 1 000 000 000 octets.

Différence

1 Gio ≈ 1,07 Go.

11.1 Utilisation de l'outil Partitionnement en mode expert

Vous pouvez ajouter, supprimer, redimensionner et modifier les partitions, ainsi qu'accéder à la configuration logicielle RAID et LVM à l'aide de l'outil Partitionnement en mode expert (Figure 11.1, « Outil de partitionnement de YaST »).

Avertissement
Avertissement : repartitionnement du système en cours d'exécution

S'il est possible de repartitionner un système en cours d'exécution, le risque de commettre une erreur qui engendrerait une perte de données est très important. Évitez de repartitionner un système installé et si vous devez vraiment le faire, sauvegardez par avance toutes vos données.

Outil de partitionnement de YaST
Figure 11.1 : Outil de partitionnement de YaST
Astuce
Astuce : IBM Z : noms des périphériques

IBM Z reconnaît uniquement les disques durs DASD, zFCP et SCSI. Les disques durs IDE ne sont pas pris en charge. Pour cette raison, ces périphériques apparaissent dans la table de partition au format de fichier dasda ou sda pour le premier périphérique reconnu.

Toutes les partitions existantes ou proposées de tous les disques durs connectés sont affichées dans la liste de l'Espace de stockage disponible de la boîte de dialogue Partitionnement en mode expert de YaST. Les disques durs complets sont répertoriés sous forme de périphériques sans numéros, tels que /dev/sda (ou /dev/dasda). Les partitions sont répertoriées comme des parties de ces périphériques, par exemple /dev/sda1 (ou /dev/dasda1, respectivement). La taille, le type, l'état de codage, le système de fichiers et le point de montage des disques durs et de leurs partitions sont également affichés. Le point de montage indique l'emplacement où la partition apparaît dans l'arborescence du système de fichiers Linux.

La vue système sur la gauche propose plusieurs vues fonctionnelles. Utilisez ces vues pour collecter des informations sur les configurations de stockage existantes, pour configurer des fonctions (comme RAID, Volume Management et Crypt Files) ou pour afficher des systèmes de fichiers avec des fonctionnalités supplémentaires comme Btrfs, NFS ou TMPFS.

Si vous ouvrez cette boîte de dialogue au cours de l'installation, l'espace disque libre est également répertorié et automatiquement sélectionné. Pour fournir plus d'espace disque à SUSE Linux Enterprise Server, libérez l'espace requis en partant du bas vers le haut dans la liste des partitions.

11.1.1 Tables de partitions

SUSE Linux Enterprise Server permet d'utiliser et de créer différentes tables de partitions. Dans certains cas, la table de partitions est appelée étiquette de disque. La table de partitions est importante pour le processus de démarrage de votre ordinateur. Pour démarrer votre machine à partir d'une partition dans une table de partitions qui vient d'être créée, assurez-vous que le format de table est pris en charge par le microprogramme.

Pour changer de table de partitions, cliquez sur le nom du disque approprié dans la Vue système, puis sélectionnez Expert › Créer une nouvelle table de partitions.

11.1.1.1 Master boot record (secteur d'amorçage principal)

Le secteur d'amorçage principal (MBR, Master Boot Record) est la table de partitions héritée utilisée sur des PC IBM. Elle est parfois appelée table de partitions MS-DOS. MBR prend uniquement en charge quatre partitions principales. Si le disque comporte déjà une table MBR, SUSE Linux Enterprise Server permet de créer des partitions supplémentaires qui peuvent être utilisées comme cible d'installation.

La limite de quatre partitions peut être évitée en créant une partition étendue. La partition étendue elle-même est une partition principale et peut contenir plusieurs partitions logiques.

Le microprogramme UEFI prend généralement en charge le démarrage à partir d'une table MBR en mode hérité.

11.1.1.2 Table de partitions GPT

Les ordinateurs UEFI utilisent une table de partitions de GUID (GPT, GUID Partition Table) par défaut. SUSE Linux Enterprise Server créera une table de partitions GPT sur un disque si aucune autre table de partitions n'existe.

L'ancien microprogramme BIOS ne prend pas en charge le démarrage à partir de partitions GPT.

Vous avez besoin d'une table de partitions GPT pour utiliser l'une des fonctions suivantes :

  • Plus de quatre partitions principales

  • Démarrage sécurisé UEFI

  • Utilisation de disques supérieurs à 2 To

Note
Note : partitions mal étiquetées créées avec Parted 3.1 ou version antérieure

Les partitions GPT créées avec Parted 3.1 ou version antérieure utilisent le type de partition de données de base de Microsoft plutôt que le GUID GPT propre à Linux plus récent. Les versions plus récentes de Parted définissent l'indicateur erroné msftdata sur ces partitions, de sorte que divers outils de disque étiquettent la partition en tant que Partition de données Windows ou similaire.

Pour supprimer l'indicateur, exécutez :

# parted DEVICE set PARTITION_NUMBER msftdata off

11.1.1.3 Tables de partitions sur IBM Z

Sur les plates-formes IBM Z, SUSE Linux Enterprise Server prend en charge tant les disques durs SCSI que les périphériques de stockage à accès direct (DASD). Si les disques SCSI peuvent être partitionnés comme indiqué ci-dessus, les DASD ne peuvent pas avoir plus de trois entrées de partition dans leurs tables de partitions.

11.1.2 Partitions

L'outil de partitionnement YaST peut créer et formater des partitions avec plusieurs systèmes de fichiers. Le système de fichiers par défaut utilisé par SUSE Linux Enterprise Server est Btrfs. Pour plus de détails, reportez-vous à la Section 11.1.2.2, « Partitionnement Btrfs ».

D'autres systèmes de fichiers couramment utilisés sont disponibles : Ext2, Ext3, Ext4, FAT, XFS, Swap et UDF.

11.1.2.1 Création d'une partition

Pour créer une partition, sélectionnez Disques durs, puis un disque dur avec de l'espace disponible. La modification peut être effectuée dans l'onglet Partitions :

  1. Cliquez sur Ajouter pour créer une partition. Lorsque vous utilisez une partition MBR, spécifiez qu'il est nécessaire de créer une partition principale ou étendue. Au sein de la partition étendue, vous pouvez créer plusieurs partitions logiques. Pour plus de détails, reportez-vous à la Section 11.1.1, « Tables de partitions ».

  2. Spécifiez la taille de la nouvelle partition. Vous pouvez choisir d'occuper tout l'espace disque non partitionné ou de spécifier une taille personnalisée.

  3. Sélectionnez le système de fichiers à utiliser et un point de montage. YaST propose un point de montage pour chaque partition créée. Pour utiliser une méthode de montage différente, comme le montage par étiquette, sélectionnez Options Fstab.

  4. Indiquez des options de système de fichiers supplémentaires si votre configuration l'exige. Cette étape est nécessaire si vous avez besoin de noms de périphériques permanents, par exemple. Pour plus de détails sur les options disponibles, reportez-vous à la Section 11.1.3, « Modification d'une partition ».

  5. Cliquez sur Terminer pour appliquer la configuration du partitionnement et quitter le module.

    Si vous avez créé la partition lors de l'installation, vous revenez à l'écran de présentation de l'installation.

11.1.2.2 Partitionnement Btrfs

Le système de fichiers par défaut pour la partition racine est Btrfs. Pour plus de détails, reportez-vous au Chapter 10, System recovery and snapshot management with Snapper et au Chapter 1, Overview of file systems in Linux. Le système de fichiers racine est le sous-volume par défaut et il n'est pas répertorié dans la liste des sous-volumes créés. En tant que sous-volume Btrfs par défaut, il peut être monté comme système de fichiers normal.

Important
Important : Btrfs sur une partition racine chiffrée

La configuration par défaut du partitionnement suggère une partition racine de type Btrfs avec /boot comme répertoire. Pour chiffrer la partition racine, assurez-vous d'utiliser le type de table de partitions GPT au lieu du type MSDOS par défaut. Dans le cas contraire, le chargeur d'amorçage GRUB2 risque de ne pas disposer de suffisamment d'espace pour celui nécessaire à la deuxième étape.

Il est possible de créer des instantanés de sous-volumes Btrfs, manuellement ou automatiquement, selon les événements système. Par exemple, lorsque vous modifiez le système de fichiers, zypper appelle la commande snapper afin de créer des instantanés avant et après le changement. Cela se révèle particulièrement utile si la modification effectuée par zypper ne vous convient pas et si vous souhaitez revenir à l'état précédent. Étant donné que snapper appelé par zypper crée des instantanés du système de fichiers racine par défaut, il est judicieux d'exclure des répertoires spécifiques des instantanés. C'est la raison pour laquelle YaST propose de créer les sous-volumes distincts suivants :

/boot/grub2/i386-pc, /boot/grub2/x86_64-efi, /boot/grub2/powerpc-ieee1275, /boot/grub2/s390x-emu

Un retour à l'état initial de la configuration du chargeur de démarrage n'est pas pris en charge. Les répertoires ci-dessus sont spécifiques à l'architecture. Les deux premiers répertoires sont présents sur les machines AMD64/Intel 64, les deux derniers respectivement sur IBM POWER et IBM Z.

/home

Si le répertoire /home ne réside pas sur une partition distincte, il est exclu pour éviter les pertes de données lors des retours à l'état initial.

/opt

Les produits tiers sont généralement installés sous /opt. Ce répertoire est exclu pour éviter la désinstallation de ces applications lors des retours à l'état initial.

/srv

Contient des données pour les serveurs Web et FTP. Il est exclu pour éviter les pertes de données lors des retours à l'état initial.

/tmp

Tous les répertoires contenant des fichiers temporaires et des caches sont exclus des instantanés.

/usr/local

Utilisé lors de l'installation manuelle de logiciels. Il est exclu pour éviter la désinstallation de ces applications lors des retours à l'état initial.

/var

Ce répertoire contient de nombreux fichiers de variables, tels que des journaux, des caches temporaires et des produits tiers dans /var/opt, et est l'emplacement par défaut des images et des bases de données de machines virtuelles. Par conséquent, ce sous-volume est créé pour exclure toutes les données de variables des instantanés et a sa fonction « Copy-On-Write » (Copie sur écriture) désactivée.

Astuce
Astuce : taille de la partition Btrfs

Étant donné que les instantanés enregistrés nécessitent davantage d'espace disque, il est recommandé de réserver suffisamment d'espace pour Btrfs. Alors que la taille minimale d'une partition Btrfs racine avec des instantanés et des sous-volumes par défaut est de 16 Go, SUSE recommande au moins 32 Go si /home ne réside pas sur une partition distincte.

11.1.2.3 Gestion de sous-volumes Btrfs à l'aide de YaST

Les sous-volumes d'une partition Btrfs peuvent désormais être gérés avec le module Partitionnement en mode expert de YaST. Vous pouvez ajouter de nouveaux sous-volumes ou en supprimer des existants.

Procédure 11.1 : Sous-volumes Btrfs avec YaST
  1. Choisissez Btrfs dans le volet gauche.

  2. Sélectionnez la partition Btrfs dont vous souhaitez gérer les sous-volumes.

  3. Procédez comme suit selon que vous souhaitez modifier, ajouter ou supprimer des sous-volumes :

    1. Pour modifier un sous-volume, sélectionnez-le dans la liste, puis cliquez sur Modifier. Vous pouvez alors désactiver l'option copy-on-write (copie sur écriture - cochez noCoW) pour le volume ou limiter sa taille. Cliquez sur Accepter pour terminer.

    2. Pour ajouter un nouveau sous-volume, cliquez sur Ajouter un sous-volume et entrez son chemin. Éventuellement, vous pouvez désactiver l'option copy-on-write (copie sur écriture - cochez noCoW) pour le volume ou limiter sa taille. Cliquez sur Accepter pour terminer.

    3. Pour supprimer un sous-volume, sélectionnez-le dans la liste, puis cliquez sur Supprimer. Confirmez la suppression en cliquant sur Oui.

    4. Sous-volumes Btrfs dans le partitionneur YaST
      Figure 11.2 : Sous-volumes Btrfs dans le partitionneur YaST
  4. Pour quitter le partitionneur, cliquez sur Terminer.

11.1.3 Modification d'une partition

Lorsque vous créez une nouvelle partition ou que vous modifiez une partition existante, vous pouvez définir différents paramètres. Pour les nouvelles partitions, les paramètres par défaut définis par YaST sont généralement suffisants et ne nécessitent aucune modification. Pour modifier manuellement la configuration de votre partition, procédez de la façon suivante :

  1. Sélectionnez la partition.

  2. Cliquez sur Éditer pour modifier la partition et fixer les paramètres :

    ID du système de fichiers

    Même si vous ne souhaitez pas formater la partition à ce stade, affectez-lui un ID de système de fichiers pour vous assurer que la partition est convenablement mémorisée. Les valeurs types sont Linux, Linux swap, Linux LVM et Linux RAID.

    Système de fichiers

    Pour modifier le système de fichiers de la partition, cliquez sur Formater la partition et sélectionnez le type de système de fichiers dans la liste Système de fichiers.

    SUSE Linux Enterprise Server prend en charge plusieurs types de systèmes de fichiers. Btrfs est le système de fichiers Linux privilégié pour la partition racine en raison de ses fonctionnalités avancées. Il prend en charge la fonctionnalité de copie sur écriture, la création d'instantanés, la distribution multi-périphérique, les sous-volumes et autres techniques utiles. XFS, Ext3 et Ext4 sont des systèmes de fichiers de journalisation. Ces systèmes de fichiers peuvent restaurer le système très rapidement après un crash système en utilisant les processus d'écriture consignés en cours de fonctionnement. Ext2 n'est pas un système de fichiers de journalisation, mais convient pour les partitions plus petites car il requiert peu d'espace disque pour la gestion.

    Le système de fichiers par défaut pour la partition racine est Btrfs. Ce système est XFS pour les partitions supplémentaires.

    Le système de fichiers UDF peut être utilisé sur des supports optiques réinscriptibles et non réinscriptibles, des clés USB à mémoire flash et des disques durs. Il est pris en charge par de nombreux systèmes d'exploitation.

    Swap est un format spécial permettant d'utiliser la partition comme mémoire virtuelle. Créez une partition Swap d'au moins 256 Mo. Toutefois, si vous utilisez tout votre espace d'échange, pensez à ajouter de la mémoire à votre système plutôt que davantage d'espace d'échange.

    Avertissement
    Avertissement : changement de système de fichiers

    Le changement de système de fichiers et le reformatage de partitions effacent irrémédiablement toutes les données de la partition.

    Pour plus de détails sur les différents systèmes de fichiers, reportez-vous au Storage Administration Guide (Guide d'administration du stockage).

    Codage du périphérique

    Si vous activez le codage, toutes les données seront écrites sur le disque dur sous forme codée. Cela accroît la sécurité des données sensibles, mais ralentit le système en raison du temps requis par le codage. Pour plus d'informations sur le chiffrement des systèmes de fichiers, reportez-vous à la Section 11.2, « Chiffrement du périphérique » et au Chapter 12, Encrypting partitions and files.

    Point de montage

    Définissez le répertoire au niveau duquel la partition doit être montée dans l'arborescence du système de fichiers. Sélectionnez l'une des propositions de YaST ou entrez un autre nom.

    Options Fstab

    Définissez les divers paramètres compris dans le fichier d'administration du système de fichiers global (/etc/fstab). Les paramètres par défaut doivent convenir à la plupart des configurations. Vous pouvez, par exemple, modifier l'identification du système de fichiers et passer d'un nom de périphérique à une étiquette de volume. Pour l'étiquette de volume, vous pouvez utiliser tous les caractères à l'exception de la barre oblique (/) et de l'espace.

    Pour obtenir des noms de périphériques permanents, utilisez l'option de montage Device ID , UUID (Identifiant unique universel) ou LABEL. Dans SUSE Linux Enterprise Server, les noms de périphérique permanents sont activés par défaut.

    Note
    Note : IBM Z : montage par chemin

    Sur les plates-formes IBM Z, le montage par ID est problématique en cas de copie disque à disque à des fins de clonage. Pour ces plates-formes, les périphériques sont donc, par défaut, montés par chemin à l'emplacement /etc/fstab.

    Si vous préférez monter la partition par son étiquette, vous devez en définir une dans l'entrée de texte Étiquette de volume. Vous pouvez, par exemple, utiliser l'étiquette de partition HOME pour une partition à monter sur /home.

    Si vous prévoyez d'utiliser des quotas sur le système de fichiers, utilisez l'option de montage Activer la prise en charge des quotas. Vous devez activer cette option pour pouvoir définir des quotas utilisateur dans le module YaST Gestion des utilisateurs. Pour plus d'informations sur la configuration des quotas utilisateurs, reportez-vous au Section 6.3.3, “Managing quotas”.

    Si vous avez l'intention de spécifier des quotas pour les sous-volumes Btrfs, reportez-vous au Section 1.2.5, “Btrfs quota support for subvolumes”.

  3. Sélectionnez Terminer pour enregistrer les modifications.

Note
Note : redimensionnement des systèmes de fichiers

Pour redimensionner un système de fichiers existant, sélectionnez la partition et cliquez sur Redimensionner. Souvenez-vous qu'il est impossible de redimensionner une partition déjà montée. Pour redimensionner une partition, vous devez la démonter avant d'exécuter l'outil de partitionnement.

11.1.4 Options du menu Expert

Après avoir sélectionné un disque dur (comme sda) dans le volet Vue système, vous pouvez accéder au menu Expert en bas à droite de la fenêtre Partitionnement en mode expert. Le menu contient les options suivantes :

Créer une nouvelle table de partition

Cette option permet de créer une nouvelle table de partition sur le périphérique sélectionné.

Avertissement
Avertissement : création d'une nouvelle table de partition

La création d'une nouvelle table de partition sur un périphérique supprime définitivement toutes les partitions et leurs données du périphérique.

Cloner ce disque

Cette option vous permet de cloner la disposition de la partition du périphérique (et non les données) sur d'autres disques disponibles.

11.1.5 Options avancées

Après avoir sélectionné le nom d'hôte de l'ordinateur (niveau supérieur de l'arborescence dans le volet Vue Système), vous pouvez accéder au menu Configurer situé dans la partie inférieure droite de la fenêtre Partitionneur en mode expert. Le menu contient les options suivantes :

Configurer iSCSI

Pour accéder à SCSI sur les périphériques de bloc IP, vous devez d'abord configurer iSCSI. Cela entraîne l'affichage de périphériques disponibles supplémentaires dans la liste de la partition principale.

Configurer multipath

Cette option permet de configurer l'amélioration multipath vers les périphériques de stockage de masse pris en charge.

11.1.6 Autres astuces relatives au partitionnement

Cette section présente quelques conseils et astuces sur le partitionnement qui vous aideront à prendre les bonnes décisions lors de la configuration de votre système.

11.1.6.1 Nombre de cylindres

Des outils de partition différents peuvent compter les cylindres d'une partition en commençant par 0 ou par 1. Pour calculer le nombre de cylindres, calculez la différence entre le dernier et le premier numéros de cylindre, puis ajoutez 1.

11.1.6.2 Utilisation swap

L'espace d'échange (swap) est utilisé pour augmenter la mémoire physique disponible. Ainsi, il est possible d'utiliser davantage de mémoire que la mémoire physique RAM disponible. Jusqu'à la version 2.4.10, le système de gestion de la mémoire des kernels exigeait de l'espace d'échange pour des raisons de sécurité. Si vous n'aviez pas deux fois plus d'espace d'échange que de RAM, les performances du système en pâtissaient. Ces limitations ne sont plus d'actualité.

Linux utilise une page appelée « La moins récemment utilisée » (LRU) pour sélectionner les pages à déplacer de la mémoire vers le disque. Par conséquent, les applications en cours d'exécution disposent de plus de mémoire disponible et la mise en cache fonctionne mieux.

Si une application tente d'allouer autant de mémoire qu'elle peut en obtenir, des problèmes d'espace d'échange surviendront. Il existe trois cas principaux :

Système sans espace d'échange

L'application se dote de toute la mémoire qui peut être libérée. Tous les caches sont libérés, donc toutes les autres applications en cours d'exécution sont ralenties. Après quelques minutes, le mécanisme OOM Killer (qui supprime les processus utilisant trop de mémoire) du kernel s'active et supprime le processus.

Système avec espace d'échange moyen (128 à 512 Mo)

Le système est d'abord ralenti, comme un système sans espace d'échange. Une fois que toute la RAM physique a été utilisée, il passe sur l'espace d'échange. À ce moment, le système est très lent et il est impossible d'exécuter des commandes à distance. Il reste dans cet état pendant 10 à 15 minutes (selon la vitesse des disques durs qui exécutent l'espace mémoire d'échange) jusqu'à ce que l'outil OOM Killer du kernel résolve le problème. Vous aurez besoin d'une quantité relativement importante d'espace d'échange si l'ordinateur doit effectuer une « Hibernation » (sauvegarde du contenu de la mémoire vive sur le disque dur). Dans ce cas, l'espace d'échange doit être assez important pour contenir les données de la mémoire (512 Mo à 1 Go).

Système avec grand espace de swap (plusieurs gigaoctets)

Dans ce cas, il est préférable de ne pas avoir d'application non contrôlée qui effectue frénétiquement des échanges. Si ce problème survient, le système mettra plusieurs heures à retrouver son état normal. D'autres processus risquent de subir des défaillances et délais d'attente importants, donc de quitter le système dans un état non défini, même si le processus défectueux est arrêté. Dans ce cas, éteignez, puis rallumez la machine et essayez de la faire fonctionner à nouveau. Un grand volume d'espace d'échange est inutile, sauf si une application nécessite cette configuration. Les applications concernées (notamment les bases de données ou les programmes de manipulation d'images) bénéficient souvent d'une option qui permet d'utiliser directement l'espace de disque dur dont elles ont besoin. Il est recommandé de tirer parti de cette option plutôt que d'utiliser beaucoup d'espace d'échange.

Si votre système est sous contrôle mais s'il a besoin de plus d'espace d'échange après quelque temps, vous pouvez augmenter l'espace d'échange en ligne. Si vous avez préparé une partition pour l'espace d'échange, ajoutez-la à l'aide de YaST. Si vous ne disposez d'aucune partition disponible, vous pouvez également utiliser un fichier d'échange pour augmenter l'espace d'échange. Ces fichiers sont généralement plus lents que les partitions, mais par rapport à la mémoire RAM physique, ces deux types d'éléments sont lents et la différence est négligeable.

Procédure 11.2 : Ajout manuel d'un fichier d'échange

Pour ajouter un fichier d'échange sur un système en cours d'exécution, procédez de la façon suivante :

  1. Créez un fichier vide sur votre système. Par exemple, pour ajouter à /var/lib/swap/swapfile un fichier d'échange de 128 Mo, utilisez les commandes suivantes :

    > sudo mkdir -p /var/lib/swap
    > sudo dd if=/dev/zero of=/var/lib/swap/swapfile bs=1M count=128
  2. Initialisez ce fichier d'échange grâce à la commande suivante :

    > sudo mkswap /var/lib/swap/swapfile
    Note
    Note : UUID modifié pour les partitions d'échange lors de leur mise en forme à l'aide de mkswap

    Si possible, évitez de reformater les partitions d'échange existantes avec mkswap. Le reformatage avec mkswap modifie la valeur UUID de la partition d'échange. Vous pouvez reformater via YaST (ce qui mettra à jour /etc/fstab) ou ajuster /etc/fstab manuellement.

  3. Activez le fichier d'échange grâce à la commande :

    > sudo swapon /var/lib/swap/swapfile

    Pour désactiver ce fichier d'échange, utilisez la commande suivante :

    > sudo swapoff /var/lib/swap/swapfile
  4. Vérifiez les espaces d'échange disponibles actuellement grâce à la commande :

    > cat /proc/swaps

    À ce stade, il ne s'agit que d'espace d'échange temporaire. Après le prochain redémarrage, il ne sera plus utilisé.

  5. Pour activer ce fichier d'échange de façon permanente, ajoutez à /etc/fstab la ligne suivante :

    /var/lib/swap/swapfile swap swap defaults 0 0

11.1.7 Partitionnement et LVM

Depuis l'outil Partitionnement en mode expert, accédez à la configuration LVM en cliquant sur l'option Gestion du volume dans le volet Vue Système. Cependant, si une configuration LVM fonctionnelle existe déjà sur votre système, celle-ci s'active automatiquement dès que vous entrez pour la première fois en mode de configuration LVM au cours d'une session. Dans ce cas, aucun disque contenant une partition (appartenant à un groupe de volumes activé) ne peut être repartitionné. En effet, le kernel Linux ne peut pas lire la table de partition modifiée d'un disque dur si une partition du disque est en cours d'utilisation. Si vous disposez déjà d'une configuration LVM fonctionnelle sur votre système, aucun repartitionnement physique ne devrait être nécessaire. Modifiez plutôt la configuration des volumes logiques.

Au début de chaque volume physique, des informations sur le volume sont écrites dans la partition. Pour réutiliser une partition de ce type avec un gestionnaire différent de LVM, il est conseillé de supprimer le début de ce volume. Par exemple, dans le groupe de volumes system et le volume physique /dev/sda2, utilisez la commande :

dd if=/dev/zero of=/dev/sda2 bs=512 count=1
Avertissement
Avertissement : système de fichiers pour le démarrage

Le système de fichiers utilisé pour le démarrage (système de fichiers root ou /boot) ne doit pas être stocké sur un volume logique LVM. Stockez-le plutôt sur une partition physique normale.

Pour plus de détails sur LVM, reportez-vous au Storage Administration Guide (Guide d'administration du stockage).

11.2 Chiffrement du périphérique

Linux Unified Key Setup (LUKS) est la norme pour le chiffrement de disque Linux. Il fournit un format standard sur disque et permet aux utilisateurs de transporter ou de migrer des données en toute transparence.

LUKS est utilisé pour chiffrer les périphériques de bloc. Le contenu du périphérique chiffré est arbitraire. Par conséquent, tout système de fichiers peut être chiffré, y compris les partitions swap. Toutes les informations de configuration nécessaires, telles que les clés et les paramètres de chiffrement, comme le type de chiffrement et la taille de la clé, sont stockées dans l'en-tête de la partition.

Le chiffrement est réalisé selon une approche multi-couches. Tout d'abord, le périphérique de bloc est chiffré à l'aide d'une clé maître. Ensuite, cette clé maître est chiffrée avec chaque clé utilisateur active. Les clés utilisateur sont dérivées de phrases secrètes, de clés de sécurité FIDO2, de TPM ou de cartes à puce. Cette approche multi-couches permet aux utilisateurs de changer leur phrase secrète sans rechiffrer l'ensemble du périphérique de bloc.

Pour plus d'informations sur LUKS, reportez-vous au Chapter 13, Storage encryption for hosted applications with cryptctl.

11.2.1 Méthodes de chiffrement

Pour chiffrer un périphérique, suivez les instructions de la Section 11.1.3, « Modification d'une partition ».

Astuce
Astuce : activation de la prise en charge de LUKS2 dans YaST

Le chiffrement LUKS2 est pris en charge par le partitionneur YaST à partir de SUSE Linux Enterprise 15 SP4, mais doit être activé explicitement. Vous pouvez effectuer cette tâche de deux manières :

  1. Au moment du démarrage, en ajoutant le paramètre à YAST_LUKS2_AVAILABLE dans la ligne de commande du kernel. Pour des informations sur les paramètres de démarrage, reportez-vous au Chapitre 8, Paramètres de démarrage.

  2. Lors de l'installation dans la configuration YaST :

    • Dans l'interface graphique, appuyez sur CtrlAltMajC.

    • Dans l'interface de texte, appuyez sur CtrlD, puis sur MajC.

    Cochez l'option Enable Experimental LUKS2 Encryption Support et quittez l'écran de configuration avec OK.

Si vous n'activez pas la prise en charge de LUKS2, la sélection Méthode de chiffrement n'est pas visible et vous devez uniquement entrer le mot de passe de chiffrement.

LUKS1 classique

Cette méthode permet de chiffrer le périphérique en utilisant LUKS1 (Linux Unified Key Setup). Vous devez fournir le mot de passe de chiffrement. Des mots de passe supplémentaires (jusqu'à huit au total) peuvent être ajoutés ultérieurement avec cryptsetup luksAddKey.

LUKS2 classique

LUKS2 utilise une version plus récente du format d'en-tête, qui résiste à la corruption et prend en charge jusqu'à 32 clés utilisateur et étiquettes de périphérique. Vous devez fournir le mot de passe de chiffrement et la fonction de dérivation de clé basée sur le mot de passe (PBKDF) qui sera utilisée pour protéger cette phrase secrète (voir Section 11.2.2, « Fonctions de dérivation de clé basées sur un mot de passe »).

LUKS2 pervasif (uniquement sur IBM Z)

Cette méthode permet de chiffrer le périphérique en utilisant LUKS2 avec une clé sécurisée maître traitée par un coprocesseur cryptographique Crypto Express configuré en mode CCA. Si le système cryptographique contient déjà une clé sécurisée associée à ce volume, cette clé sera utilisée. Dans le cas contraire, une nouvelle clé sécurisée sera générée et enregistrée sur le système. Vous devez fournir un mot de passe de chiffrement qui sera utilisé pour protéger l'accès à cette clé maître. De plus, en présence de plusieurs APQN sur le système, vous pouvez choisir ceux qu'il faut utiliser.

Pour plus d'informations sur le chiffrement pervasif, reportez-vous au document https://www.ibm.com/docs/en/linux-on-systems?topic=security-pervasive-encryption.

Chiffrement avec clé aléatoire volatile (uniquement pour les périphériques d'échange)

Cette méthode chiffre un périphérique d'échange (swap) avec une clé générée de façon aléatoire au démarrage et ne prend donc pas en charge l'hibernation sur le disque dur. Le périphérique d'échange est rechiffré à chaque démarrage et son contenu précédent est détruit. Pour éviter toute perte de données, désactivez l'hibernation et configurez votre système pour qu'à la place, il s'arrête.

Outre la clé de chiffrement, l'étiquette du périphérique et l'UUID changent à chaque fois que le périphérique d'échange est rechiffré, de sorte qu'aucune des deux options n'est valide pour monter un périphérique d'échange chiffré de façon aléatoire. Assurez-vous que le périphérique d'échange est référencé par un nom stable qui n'est pas susceptible de changer à chaque redémarrage dans le fichier /etc/crypttab. Par exemple, pour une partition d'échange, il est plus sûr d'utiliser l'ID ou le chemin du périphérique udev au lieu du nom de périphérique de la partition, car ce nom de périphérique peut être assigné à une partition différente lors du démarrage suivant. Si cela se produit, un périphérique incorrect peut être chiffré à la place de votre partition d'échange !

YaST tente d'utiliser des noms stables dans /etc/crypttab, sauf s'il est configuré pour toujours utiliser des noms de périphériques (voir la section Paramètres du partitionneur). Toutefois, pour certains périphériques, il peut être impossible de trouver un nom totalement stable. N'utilisez le chiffrement avec des clés volatiles que si vous êtes sûr des implications.

Échange protégé (uniquement pour les périphériques d'échange)

Cette méthode chiffre un périphérique d'échange avec une clé AES protégée volatile sans nécessiter de coprocesseur cryptographique. Il s'agit d'une amélioration de la méthode Encryption with Volatile Random Key et toutes les considérations relatives à cette méthode restent d'application.

Échange sécurisé (uniquement pour les périphériques d'échange)

Cette méthode chiffre un périphérique d'échange avec une clé AES sécurisée volatile générée par un coprocesseur cryptographique. Il s'agit d'une amélioration de la méthode Encryption with Volatile Random Key et toutes les considérations relatives à cette méthode restent d'application.

11.2.2 Fonctions de dérivation de clé basées sur un mot de passe

La fonction de dérivation de clé basée sur un mot de passe (PBKDF) à utiliser dépend du contexte, des capacités matérielles et du niveau de compatibilité requis avec les autres composants du système :

PBKDF2

PBKDF2 est la fonction utilisée par LUKS1. Elle est définie dans le document RFC 2898.

Argon2i

Argon2 est une fonction conçue pour être plus sécurisée et nécessite beaucoup de mémoire pour le calcul. Elle est définie dans le document RFC 9106. Argon2i est une variante d'Argon2 optimisée pour la résistance aux attaques par canal secondaire en accédant à la matrice de mémoire dans un ordre indépendant du mot de passe.

Argon2id

Argon2id est une version hybride d'Argon2. Cette méthode suit l'approche Argon2i pour la première moitié de passage en mémoire et l'approche Argon2d (non prise en charge par YaST) pour limiter les attaques de craquage GPU pour les passages suivants. La RFC 9106 recommande d'utiliser Argon2id si vous ne connaissez pas la différence entre les types ou si vous considérez les attaques par canal secondaire comme une menace viable.

Bien que Argon2 soit plus sécurisé, il existe encore des cas d'utilisation pour PBKDF2 :

  • En tant que fonction de sécurité intentionnelle, Argon2 nécessite beaucoup plus de mémoire pour être calculé. Cela peut entraîner des problèmes sur certains systèmes. Si la force du mot de passe peut être entièrement garantie, l'utilisation de PBKDF2 peut rester sécurisée et permettre d'économiser de la mémoire.

  • grub2 offre une prise en charge limitée du démarrage à partir de périphériques chiffrés avec LUKS2, mais uniquement si la méthode PBKDF2 est utilisée. Cela signifie que vous ne pouvez pas utiliser Argon2 pour un système de fichiers qui contient le répertoire /boot. Notez que même si PBKDF2 est utilisé, une configuration grub2 manuelle peut être nécessaire pour démarrer à partir d'un périphérique LUKS2.

Pour plus d'informations sur la configuration du chiffrement des périphériques avec LUKS, utilisez le bouton Help dans le programme d'installation et reportez-vous au Chapter 13, Storage encryption for hosted applications with cryptctl.

11.3 Configuration de LVM

Cette section explique les étapes spécifiques à effectuer lors de la configuration de LVM. Si vous avez besoin d'informations sur le Gestionnaire de volumes logiques en général, reportez-vous au Section 5.1, “Understanding the logical volume manager”.

Avertissement
Avertissement : sauvegardez vos données

L'utilisation de LVM peut induire une augmentation des risques, notamment en ce qui concerne la perte de données. Mais les risques comprennent également le crash des applications, les pannes de courant ou les commandes défectueuses. Aussi, avant d'implémenter LVM ou de reconfigurer des volumes, enregistrez vos données. Ne travaillez jamais sans avoir au préalable fait une sauvegarde.

Pour configurer LVM avec YaST, utilisez le partitionnement en mode expert de YaST (voir Section 11.1, « Utilisation de l'outil Partitionnement en mode expert ») dans Gestion du volume du volet Vue système. L'outil Partitionnement en mode expert permet de gérer des disques durs et des partitions, ainsi que de configurer des configurations RAID et LVM.

11.3.1 Création d'un volume physique

La première tâche à accomplir consiste à créer des volumes physiques qui fournissent de l'espace à un groupe de volumes :

  1. Sélectionnez un disque dur dans Disques durs.

  2. Placez-vous sur l'onglet Partitions.

  3. Cliquez sur Ajouter et indiquez la taille du PV souhaitée sur le disque.

  4. Cliquez sur Ne pas formater la partition et remplacez l'ID du système de fichiers par 0x8E Linux LVM. Ne montez pas cette partition.

  5. Répétez cette procédure jusqu'à ce que vous ayez défini tous les volumes physiques souhaités sur les disques disponibles.

11.3.2 Création de groupes de volumes

Si votre système ne comprend aucun groupe de volumes, vous devrez en ajouter un (reportez-vous à la Figure 11.3, « Création d'un groupe de volumes »). Il est possible de créer des groupes supplémentaires en cliquant sur l'option Gestion du volume du volet Vue système, puis sur Ajouter un groupe de volumes. En règle générale, un seul groupe de volumes suffit.

  1. Entrez un nom pour le groupe de volumes (VG), par exemple system.

  2. Sélectionnez la Taille des étendues physiques souhaitée. Cette valeur définit la taille d'un bloc physique dans un groupe de volumes. Tout l'espace disque d'un groupe de volumes est géré par l'intermédiaire de blocs de cette taille.

  3. Ajoutez les PV préparés au VG en sélectionnant le périphérique, puis en cliquant sur Ajouter. Vous pouvez sélectionner plusieurs périphériques à la fois. Pour ce faire, appuyez sur Ctrl tout en sélectionnant les périphériques.

  4. Sélectionnez Terminer pour que le groupe de volumes soit disponible lors des prochaines étapes de la configuration.

Création d'un groupe de volumes
Figure 11.3 : Création d'un groupe de volumes

Si plusieurs groupes de volumes sont définis et si vous souhaitez ajouter ou supprimer des PV, sélectionnez le groupe de volumes dans la liste Gestion du volume, puis cliquez sur Redimensionner. Le fenêtre suivante permet d'ajouter ou de supprimer des PV dans le groupe de volumes sélectionné.

11.3.3 Configuration des volumes logiques

Une fois le groupe de volumes peuplé de volumes physiques, définissez les volumes logiques que le système d'exploitation doit utiliser dans la boîte de dialogue suivante. Choisissez le groupe de volumes actuel et accédez à l'onglet Volumes logiques. Utilisez les options Ajouter, Modifier, Redimensionner et Supprimer des volumes logiques si nécessaire, jusqu'à épuisement de l'espace du groupe de volumes. Assignez au moins un LV à chaque groupe de volumes.

Gestion des volumes logiques
Figure 11.4 : Gestion des volumes logiques

Cliquez sur Ajouter et placez-vous sur la fenêtre contextuelle qui s'ouvre (elle ressemble à un assistant) :

  1. Entrez le nom du LV. Pour une partition à monter dans /home, vous pouvez utiliser un nom tel que HOME.

  2. Sélectionnez le type du volume logique. Il peut s'agir de Volume normal, Pool à allocation dynamique ou Volume à allocation dynamique. Notez que vous devez d'abord créer un pool à allocation dynamique, lequel peut stocker des volumes à allocation dynamique. L'allocation fine et dynamique présente un avantage de taille : la somme totale de tous les volumes à allocation dynamique stockés dans un pool de ce type peut, en effet, dépasser la taille du pool proprement dit.

  3. Sélectionnez la taille et le nombre de segments du LV. Si vous n'avez qu'un seul PV, il est inutile de sélectionner plusieurs segments.

  4. Choisissez le système de fichiers à utiliser sur le volume logique, ainsi que le point de montage.

L'utilisation de segments permet de distribuer le flux de données du LV parmi plusieurs PV (segmentation). Toutefois, la segmentation d'un volume ne peut être exécutée que sur des PV différents, chacun d'entre eux disposant au moins de l'espace du volume. Le nombre maximum de blocs est égal au nombre de PV, avec le bloc 1 signifiant « pas de segmentation ». La segmentation n'est utile que si les PV se trouvent sur différents disques durs, faute de quoi les performances risquent de s'affaiblir.

Avertissement
Avertissement : segmentation

YaST ne peut pas vérifier vos entrées concernant la segmentation à ce stade. Les erreurs commises ici apparaîtront plus tard lorsque la gestion des volumes logiques (LVM) sera implémentée sur le disque.

Si vous avez déjà configuré LVM sur votre système, vous pouvez également utiliser les volumes logiques existants. Avant de poursuivre, assignez à ces volumes logiques les points de montage appropriés. Cliquez sur Terminer pour revenir au Partitionnement en mode expert de YaST et finir vos opérations grâce à cet outil.

11.4 Soft RAID

Cette section décrit les opérations requises pour créer et configurer les différents types de RAID. Si vous avez besoin d'informations de base sur RAID, reportez-vous au Section 7.1, “Understanding RAID levels”.

11.4.1 Configuration de Soft RAID

Pour configurer RAID avec YaST, utilisez l'outil Partitionnement en mode expert de YaST, décrit à la Section 11.1, « Utilisation de l'outil Partitionnement en mode expert ». Cet outil de partitionnement permet de modifier et de supprimer des partitions existantes, et d'en créer de nouvelles pour les utiliser avec Soft RAID :

  1. Sélectionnez un disque dur dans Disques durs.

  2. Placez-vous sur l'onglet Partitions.

  3. Cliquez sur Ajouter et indiquez la taille de la partition RAID souhaitée sur ce disque.

  4. Cliquez sur Ne pas formater la partition et remplacez l'ID du système de fichiers par 0xFD Linux RAID. Ne montez pas cette partition.

  5. Répétez cette procédure jusqu'à ce que vous ayez défini tous les volumes physiques souhaités sur les disques disponibles.

Pour RAID 0 et RAID 1, au moins deux partitions sont nécessaires ; pour RAID 1, vous devez même en avoir exactement deux, pas plus. Si vous utilisez RAID 5, vous devez disposez d'au moins trois partitions, et pour RAID 6 et RAID 10, il vous en faut au minimum quatre. Il est recommandé d'utiliser des partitions de même taille. Les partitions RAID doivent être situées sur des disques durs différents afin de diminuer le risque de perte de données au cas où l'une des partitions serait défectueuse (RAID 1 et 5) et afin d'optimiser les performances de RAID 0. Après avoir créé toutes les partitions à utiliser avec RAID, cliquez sur RAID › Ajouter un RAID pour démarrer la configuration de RAID.

Dans la boîte de dialogue suivante, choisissez entre les niveaux RAID 0, 1, 5, 6 ou 10. Sélectionnez ensuite toutes les partitions de type « Linux RAID » ou « Linux native » que doit utiliser le système RAID. Aucune partition d'échange ou DOS n'est affichée.

Partitions RAID
Figure 11.5 : Partitions RAID

Pour ajouter une partition non assignée au volume RAID sélectionné, cliquez d'abord sur la partition, puis sur Ajouter. Assignez toutes les partitions réservées pour RAID. Sinon, l'espace de ces partitions reste inutilisé. Après avoir assigné toutes les partitions, cliquez sur Suivant pour sélectionner les Options RAID disponibles.

Au cours de dernière étape, définissez le système de fichiers à utiliser, le chiffrement et le point de montage du volume RAID. Une fois la configuration terminée en cliquant sur Terminer, vous pouvez voir le périphérique /dev/md0, ainsi que les autres, signalés par RAID dans l'outil Partitionnement en mode expert.

11.4.2 Dépannage

Reportez-vous au fichier /proc/mdstat pour savoir si une partition RAID est endommagée. En cas de défaillance système, arrêtez la machine et remplacez le disque dur défectueux par un nouveau disque partitionné de la même manière. Redémarrez ensuite votre système et exécutez mdadm /dev/mdX --add /dev/sdX. Remplacez « X » par vos identificateurs de périphérique. Cette commande intègre automatiquement le nouveau disque dur sur le système RAID et le reconstruit complètement.

Bien que vous puissiez accéder à toutes les données lors de la reconstruction, vous rencontrerez peut-être des problèmes de performances jusqu'à ce que le RAID soit complètement reconstruit.

11.4.3 Pour en savoir plus

Pour des instructions de configuration, ainsi que d'autres détails sur Soft RAID, consultez les ressources suivantes :

Des listes de diffusion concernant Linux RAID sont disponibles, notamment à l'adresse https://marc.info/?l=linux-raid.