# Configuration preseed pour Debian 12 avec chiffrement complet du disque et SSH
# Installation sécurisée avec chiffrement LUKS pour la protection des données

# Configuration de la localisation et du clavier
d-i debian-installer/locale string fr_CH.UTF-8
d-i keyboard-configuration/model select PC générique 105 touches (intl)
d-i keyboard-configuration/layout select fr
d-i keyboard-configuration/variant select latin9

# Configuration du réseau
d-i netcfg/choose_interface select auto
d-i netcfg/get_hostname string debian-machine
d-i netcfg/get_domain string local

# Configuration du miroir Debian
d-i mirror/country string manual
d-i mirror/http/hostname string deb.debian.org
d-i mirror/http/directory string /debian
d-i mirror/http/proxy string

# Configuration des comptes utilisateurs
d-i passwd/root-login boolean false
d-i passwd/make-user boolean true

# Configuration de l'horloge et du fuseau horaire
d-i clock-setup/utc boolean true
d-i time/zone string Europe/Zurich

# Configuration du partitionnement avec chiffrement complet (LUKS)
d-i partman-auto/method string crypto
d-i partman-auto-lvm/guided_size string max
d-i partman-auto-lvm/new_vg_name string debian-vg
d-i partman-lvm/device_remove_lvm boolean true
d-i partman-md/device_remove_md boolean true
d-i partman-auto-crypto/erase_disks boolean true
d-i partman-auto-crypto/confirm boolean true
d-i partman-auto-crypto/confirm_nooverwrite boolean true
d-i partman-auto/choose_recipe select boot-crypto
d-i partman-auto/expert_recipe string \n\
  boot-crypto :: \n\
    512 1 512 fat32 \n\
      $primary{ } $bootable{ } \n\
      method{ efi } format{ } \n\
    . \n\
    1024 2 -1 ext4 \n\
      $defaultignore{ } $lvmok{ } \n\
      lv_name{ root } \n\
      method{ format } format{ } \n\
      use_filesystem{ } filesystem{ btrfs } \n\
      mountpoint{ / } \n\
    .
# IMPORTANT : Le mot de passe de chiffrement sera demandé durant l'installation
# Schéma de partitionnement chiffré :
# - Partition EFI de 512 MB pour le démarrage UEFI (non chiffrée)
# - Partition racine BTRFS avec LVM chiffrée (snapshots possibles)
# - Pas de partition swap

# Confirmation du partitionnement
d-i partman-partitioning/confirm_write_new_label boolean true
d-i partman/choose_partition select finish
d-i partman/confirm boolean true
d-i partman/confirm_nooverwrite boolean true
d-i partman-basicfilesystems/no_swap boolean true

# Sélection des tâches d'installation (installation minimale sécurisée)
tasksel tasksel/first multiselect minimal
d-i pkgsel/include string openssh-server btrfs-progs timeshift

# Configuration du chargeur de démarrage GRUB
d-i grub-installer/only_debian boolean true
d-i grub-installer/with_other_os boolean true
d-i grub-installer/bootdev string default

# Finalisation de l'installation
d-i finish-install/reboot_in_progress note

# NOTES DE SÉCURITÉ :
# - Cette configuration chiffre l'intégralité du disque avec LUKS
# - Un mot de passe de chiffrement sera demandé durant l'installation
# - Ce mot de passe sera requis à chaque démarrage de la machine
# - Le système de fichiers racine et le swap seront entièrement chiffrés
# - Seule la partition /boot reste non chiffrée pour permettre le démarrage