Reprise du message précédent :
Bon, j'ai du mal à saisir là.
J'apprends au final que bootplash est déprecated maintenant.
j'avais commencé à faire ça
https://blog.seboss666.info/2019/05 [...] r-manjaro/
J'ai bien l'écran de chargement, mais impossible de saisir le mdp donc ça reste bloqué durant le chargement.
Et dans les commentaires on apprend qu'au final c'est fini bootsplash?

Bon c'est quoi alors au final qu'il faut utiliser??? C'est vraiment pas à jour les docs.

EDIT: je repars sur plymouth au final, je pars de la doc de base d'arch, c'est plus sûr...

EDIT2: c'est bon j'ai réussi!
Donc il faut:
Installer plymouth + le thème qu'on veut
Ensuite on modifie /etc/mkinitcpio.conf pour remplacer "encrypt" par:
plymouth plymouth-encrypt
sudo mkinitcpio -p linux54

On configure le thème qu'on veut de plymouth.

Sur le grub on fait bien ce que j'avais fait:
2) modif de grub dans /etc/default/grub pour enlever la ligne
GRUB_ENABLE_CRYPTODISK=y
3) Rajout de "splash" dans la ligne "default"
sudo grub-update

Et c'est bon, j'ai bien un écran de chargement et un mdp à saisir en mode graphique.

Eh bien, voilà au moins une chose qui marche    
Perso, j'ai commencé à regarder hier pour l'image customisée de grub, et… ça plante    
Ceci dit j'ai bien enfin le clavier azerty en early boot, donc c'est la bonne piste, mais apparemment l'uuid du conteneur luks ne lui convient pas, il ne retrouve pas ses petits au montage.
 
Je continuerai à essayer de faire marcher ça je pense parce que ça m'intéresse, mais de toutes façons, tu as raison dans ce que tu dis plus haut : à chaque mise à jour de grub, ce montage sera pété par un grub-install.
Donc pour faire quelque chose de pérenne à ce niveau, il faudrait écrire un script de post-install de grub, pour remettre en place l'image customisée à chaque màj (ce qui n'a rien d'insurmontable ceci dit).

Ouep ça marche, mais on est loin du "clef en main là".
Si je résume je fais le partitionnement à la main, je rajoute plymouth, je rajoute les paquets fr.
 
Mais l'install est fonctionnelle sur mon pc portable, je vais donc voir ce que ça donne sur plusieurs mois.

Perso je ne chiffrerai pas "/", ni le "/home", mais je créerai plutôt une partition supplémentaire "données sensibles" ("secure-data" ) que je chiffrerai,

comme ça lorsque tu veux enregistrer un fichier que tu juges "sensible" alors tu le mettras dans la partition "données sensibles" qui est chiffrée, ce serait alors une sorte de coffre-fort numérique sécurisé.
Tu peux aussi mettre le dossier de stockage du profil firefox et thunderbird dans cette partition sécurisée.

La partition sécurisée peut se créer après l’installation classique d'ubuntu, elle peut aussi être localisée sur un périphérique externe usb (disque dur, clé usb) ou sur un NAS, un serveur distant (cloud).

En informatique il faut préférer les designs simples, gage de fiabilité, quand tu sens que tu es sur un plan qui ressemble à une usine à gaz, avec des contraintes, des inconvénients alors il vaut mieux changer de design/stratégie pour quelque chose de plus simple et vraiment adapté à tes besoins (éviter les designs, les choix "overkill" ).

Victoire !
J'ai réussi à obtenir l'azerty en early boot pour le déchiffrement.
Il fallait bien se baser sur ce tuto (sect. 5) : https://cryptsetup-team.pages.debia [...] -boot.html, mais avec quelques nuances.
 
Tout d'abord, il ne faut surtout pas mettre dans le fichier de config d'early boot

sous peine de devenir fou : le --append fait qu'on se retrouve avec deux configurations concurrentes azerty / qwerty du clavier, qui se succèdent quand elle veulent.
Donc impossible de savoir quand on tape a ou q par exemple… Il faut donc mettre

Ensuite, plus tordu et à adapter au cas par cas, c'est la liste des modules à charger pour la génération de l'image customisée.
Pour ça, j'ai fini par m'inspirer des logs de grub-install en mode verbeux :

Ça m'a sorti une commande grub-mkimage adaptée à ma machine (virtuelle ici, mais peu importe) :

et je lui ai rajouté juste ce qu'il fallait de modules pour avoir le clavier azerty (au prix de quelques tests   ) :

Ensuite, j'ai remplacé le fichier de config par défaut /boot/grub/i386-pc/load.cfg par le mien, c'est-à-dire celui du tuto, en le simplifiant un peu (certaines choses sont déjà incluses dans le grub-mkimage ci-dessus) :

Reste à rajouter le memdisk contenant la config azerty pour le clavier comme dans le tuto (-m /boot/grub/memdisk.tar), et voici ma commande grub-mkimage finale :

Et finalement, plus qu'à copier l'image générée par cette commande sur le mbr, comme dans le tuto :

 
Tout ça peut être automatisé pour être refait à chaque mise à jour, y compris la partie d'extraction des logs de grub-install, qui reste le seul moyen sûr pour partir d'une commande grub-mkimage saine et adaptée au matériel à mon avis.
Mais ça reste artisanal et risqué : si jamais il y a le moindre problème avec un module ou autre, il y a toutes les chances de ne plus pouvoir booter du tout, et là, plus qu'à se chrooter depuis un live usb et refaire un grub-install (j'ai eu à le faire 2 ou 3 fois   ).

 
 
Quelles sont les différences à ce moment entre cette partition sécurisée et de chiffrer le /home?

En cas de souci, tu ne perds pas l’accès à tout /home si la clef de déchiffrement ne passe plus ou a été perdue, mais juste à la partition en question.

Certes, mais ça oblige à faire pas mal de config.
Déplacer les fichiers de conf de firefox/thunderbird ou les clefs ssh par example, et de copier manuellement tes documents sur la partition.
L'avantage de chiffrer le /home, c'est zéro config en plus.

Oui mais tous les fichiers présents dans le /home n'ont pas tous besoin d'être chiffrés,
chiffrer tout le home c'est un peu comme si tu mettais des serrures à toutes les portes de ton appartement (chambres, salon, cuisine, salle de bain/WC, cave), en général tu protèges que la porte d'entrée et éventuellement une pièce contenant des produits dangereux (pour éviter que des enfants entrent dedans).

Avec linux tu peux ajouter dans le home un lien symbolique pointant vers la partition chiffrée :

Faudrait que je teste ça dans une VM pour mon PC portable

Moué, perso je ne me pose pas la quesiton, je chiffre tout et basta.
Devoir configurer tous les logiciels pour que ça pointe au bon endroit etc, c'est s'embêter pour rien.
 
En l’occurrence c'est prévu partout pour fonctionner ainsi et je n'ai jamais eu de soucis à avoir tout de chiffré sur mes pcs. (en gardant le /boot non chiffré bien sûr)

C'était justement ma première idée. D'ou ma question entre chiffrer le /home et une partition spéciale.

Ouais enfin chiffrer la partoche système, c'est overkill la

Pas vraiment.
Parce que sans chiffrer la partition / tu peux avoir accès au mode safe qui ne demande pas de mdp pour ouvrir une session root.
Je trouve ça trop large. Du coup je préfère chiffrer tout.

En gros si tu chiffres tout, que tu mets un mdp au bios et désactive le boot usb, ça évite le verolage rapide du pc.
Si tu ne chiffres que le /home, ils peuvent booter en mode safe sans mdp.

Ok je prends le cas extrême d'une personne qui voudrait mettre un trojant avec un accès à la machine mais on parle de pc portable là donc je préfère prévoir le cas extrême.

Pour les sauvegardes tu vas procéder comment pour les données chiffrées du PC portable ? (le risque d'un crash disque, d'une fausse manipulation est peut-être plus élevé que le risque du vol du PC portable)
 
Les sauvegardes sur médias USB seront aussi chiffrées ?

Il vaut mieux oui, sinon ça sert à rien  

Comme toujours:
Sauvegarde sur serveur@home +  2 Disques durs chiffrés (rsync sur partition chiffrée), un chez moi, un chez mes parents que je mets à jour quand je passe.
Le serveur@home fait du borg backup chiffré vers mon dédié (qui a un raid 1 logiciel).

Sachant que mes données perso sont sur 3 machines donc:
Le pc portable
Le serveur@home (qui va passer en RAID 1 soft donc ça double la sécurité)
Le pc fixe.

Donc le risque d'avoir un soucis de perte de donnée est normalement ultra large.

En vrai c'est quoi le mieux?  

• Sauvegarde non chiffrée sur partition chiffrée
• Sauvegarde chiffrée sur partition non chiffrée

IMO, j'en vois pas, mais on ne sait jamais, peut-être que j'oublie un scénario

Sauvegarde chiffrée sur sur partition non chiffrée car tu peux distribuer ta sauvegarde un peu partout sans refaire le job. #fainéant

Je ne suis pas sûr qu'il y ait un mieux.
 
Normalement une sauvegarde chiffrée sur un support non chiffré est plus "sûr" d'être récupérable si c'est bien avec un logiciel fiable.
Perso j'ai les deux comme ça pas de doute.

 
Le scénario à l'ancienne    :  
 
- sauvegarde non chiffrée sur partition non chiffrée, on met ensuite le disque dans un coffre fort scellé au mur :
https://www.amazon.fr/gp/product/B0 [...] f=as_li_tl
 
il n'y a plus besoin de mot de passe, par contre il ne faut pas perdre la clé ou la combinaison du coffre

Lequel en l'occurrence?
 

Faut-il être encore proprio
Puis sous la menace du voleur, tu peux toujours donner le code du coffre. La clef de déchiffrement, c'est un peu plus compliqué à donner... Puis faut il encore que le voleur sache que le DD est chiffré  

Borg par exemple mais ce n'est pas le seul.

Je reformule ma question
Quel logiciel de copie est pas fiable ?
Sous Linux, que ce soit avec cp ou rsync j'ai pas eu de problème.

Si on a l'habitude de chiffrer les données il faudrait alors le faire aussi pour son smartphone, qui contient beaucoup de données personnelles (sms, carnet d'adresse, historique de navigation, application bancaire), et qui est beaucoup plus susceptible d'être perdu/volé qu'un PC classique, vu sa petite taille.

Sur les PC pour renforcer la sécurité en plus du chiffrement : l'identification biométrique, ou lecteur de carte à puce (boîtier USB) pour déverrouiller le PC, identification à 2 facteurs pour les plus paranos.

Mais ne pas oublier que le principal risque pour un PC c'est la perte de données plutôt que le vol : un crash disque, une fausse manip de l’utilisateur mal réveillé (une commande "rm" tapée à la va vite, sur un mauvais répertoire), perso j'utilise un système assez simple : un script rsync qui sauvegarde une liste de répertoires, essentiellement des documents crées par l'utilisateur (donc inédits, très précieux) et des fichiers de configuration, la liste des paquets installés, pour pouvoir réinstaller à l'identique l'OS et les programmes.

Déjà attention, cp ce n'est pas réellement une solution de sauvegarde en soit. IL faut gérer tout le truc et tu ne feras pas de l'incrémentielle.  
 
Rsync oui c'est fiable, mais perso je veux quelque chose avec une interface graphique ou quelque chose de simple à restaurer.
Borg backup que ça soit en ligne de commande (ou via des interfaces graphiques genre c'est inclu dans openMediavault) c'est très facile à restaurer. Tu montes un point et tu n'as plus qu'à faire du copier coller.  
C'est rarement aussi simple.
 
COmme ça je n'en ai pas qui me vienne à l'esprit, mais je sais que c'est mentionné assez souvent pour certains programmes. Il vaut mieux rester sur quelque chose qui a une bonne renommé et qui est natif.

 
Je parlais une fois la copie chiffré via rsync et utiliser cp pour doubler la copie.
Faut que je regarde aussi du coté de borg.  
 

Premières mises à jour en cours d'install sur mes vm manjaro (avant de faire le pc portable de test).

C'est là qu'on voit que ce n'est pas des "petites" updates.
656 mo de maj.

EDIT: petite question, pourquoi on a toujours ce genre de warning dans les majs de manjaro?

?

Ce genre de warning n’apparaît pas tout le temps, ça dépend des paquets à mettre à jour, tu peux ignorer ce genre de warning.

Tu vois, quand je disais que sous Manjaro, ça vient par lots de MAJ, mais pas au jour, le jour comme sous Arch ?
 

Pour prévenir que des logiciels ne seront plus nécessairement compatibles avec certaines de leurs dépendances, probablement. Sauf que, vu que les logiciels concernés sont mis à jour eux aussi dans la foulée, c’est pas grave.
 
Au départ, j’aurais dit que c’est parce que les MAJ sont installées dans l’ordre alphabétique des paquets (c’est le cas avec Pacman, au moins), mais là, je vois que c’est le contraire.

Justement si les paquets ne s'installent pas dans l'ordre, je me pose la question d'un problème potentiel durant l'installation.
 
SInon à nouveau firefox a perdu sa langue fr... Pourtant le paquet fr est toujours installé, obligé de rajouter la langue dans firefox.  
 
Le support de la langue Française semble quand même assez marginal genre on s'en fou.

J'ai remarqué que lorsque firefox vient d'être mis à jour alors le premier lancement de la nouvelle version de firefox utilise l'anglais comme langue dans les messages à l'utilisateur (barre de statut, messages généraux),
puis au second lancement la langue française revient, je crois que c'est un bug connu de firefox.

Pour pacman il ne faut pas se prendre la tête, ça fait des années que je vois ça et toujours de souci, pacman est robuste, il est conçu pour empêcher qu'un paquet X casse les dépendances ou écrase des fichiers appartenant à d'autres paquets, au pire il refusera d'installer le paquet et annulera la commande de mise à jour "pacman -Syu".

Il vérifie aussi si la signature des paquets est valide avant installation/mise à jour, en cas de problème de signature il faut penser à mettre à jour d'abord le paquet archlinux-keyring.

Des tentatives d'explications ici :
https://bbs.archlinux.org/viewtopic.php?id=245381

Tant qu'à faire un truc user-friendly avec interface graphique, ils auraient pu faire un grep -v sur ce genre de warnings.

C'est une rolling release, C'est normal d'avoir des mises à jour comme ça. Et encore là t'as pas beaucoup de paquets ... Rajoutes en un peu et tu tournes plus souvent autour de 900mo. Si tu rajoutes cuda, là rien que le paquet cuda il fait plus d'1 gigot ! Donc tu peux arriver à 2.5go
On est pas obligé de mettre à jour tout le temps ou tu peux bloquer certains paquets (cuda par exemple. J'ai bloqué le kernel pour rester en 4.19.81 sur mes pc portable pour le problème du rc6 aussi et soucis de performances). J'ai un pc qui a un uptime de plus de 90jours et la dernière fois j'avais attendu 6 mois avant de mettre à jour.

Édit : j'ai bien Firefox en français suite à la dernière maj

Justement perso je ne le vois pas comme ça...
Une maj de secu est dispo? Je fais la maj directement.

On en revient à la différence rolling release/freeze.

Il faut que je passe à la fibre donc le problème sera moins gênant mais quand même, ça sous entend toujours réfléchir avant de lancer sa maj, là ou à l'heure actuelle même en adsl, je balance ma maj à l'arrache 5 minutes avant de partir me coucher et basta.

Avec pacman tu peux télécharger les mises à jour sans les installer, pour le faire plus tard : "pacman -Syuw", grâce à l'option "-w" :
 

 
Un rythme de mise à jour une fois par semaine est suffisant.
 
Je remarque l'option "-uu" qui permet d'annuler une mise à jour, pour réinstaller les paquets de la version précédente, mais jamais testé :
 

Je fais tourner une petite manjaro arm avec plasma.
J'en étais resté à kde bien lourd et c'est devenu propre,fluide et sobre.
Je ne sais pas si c'est lié a des optimisations du côté Manjaro mais content de cette migration. (◕‿◕)

Plutôt des améliorations côté KDE : à ma connaissance, tout comme chez Arch, les paquets sont aussi vanilla que possible.

Kde c'est alléger oui, par contre le navigateur de fichier est toujours aussi long à ouvrir...
 
Après il reste quand même plus lourd niveau utilisation genre quand on circule dans les menus (même le menu démarrer) le cpu s'envole souvent quand même.

 
Le coté kde "lourd, pas fluide" n'a pas toujours été vrai, la version 3.x était très fluide et a par exemple été reprise (fork) pour devenir "trinity desktop" :  
https://www.trinitydesktop.org/
 
c'est le bureau par défaut d'une distribution spécialisée pour les très vieux PC (ordinosaures) :
https://q4os.org/
 
j'ai un vieux PC de 2009 (cpu intel core 2 quad Q9650) qui tourne très bien avec plasma dernière version, avec 8 Go de ram.
 
Les reproches qu'on peut faire à plasma :
- le thème par défaut "breeze" orienté flat design (heureusement remplaçable par le thème de son choix)
- des versions qui sortent régulièrement mais pas exemptes de bugs (manque de tests ?).

Bon je suis sous gnome 3 sur mon pc de test, avec manjaro ça semble pas mal pour l'instant en tous cas.
 
Je laisse tourner comme ça on verra si je fais mon choix entre cinnamon et gnome 3.
 
Sinon pas de soucis particulier avec virtualbox sous manjaro? (maj de kernel cassant le module noyau etc? )
 
C'est un point important pour moi utilisant pas mal virtualbox pour faire des tests.

Mate pour l'optimisation d'énergie sur pc portable est la seule façon d'avoir autant d'autonomie que sous windows. Les autres DE consomment beaucoup plus d'énergie. Perso je ne fais pas de concession dessus donc je reste sous mate !

Edit : j'utilise virtualbox, jamais eu de soucis.