Benutzereingabe während Bootprozess
Hallo, ich hab in der /etc/init.d/boot.local ein paar Befehle, um ein Keyfile mit GnuPG zu entschlüsseln, um damit wiederum die verschlüsselte Partition zu öffnen. Wenn ich boot.local nach dem Booten starte, werde ich auch brav nach meiner Passphrase gefragt. Wenn ich aber normal boote, wird die Benutzereingabe "überrannt", der Bootprozess wartet nicht auf die Benutzereingabe, sondern rennt einfach durch. Wie kann ich das so gestalten, dass der Bootprozess nicht durchmarschiert? Die Befehle sehen so aus: /usr/sbin/rcpcscd start gpg-agent --daemon --use-standard-socket gpg -d /root/Administrativa/BOOT-SCHLUESSEL-LUKS/luks-key-home-malte.bin.gpg | cryptsetup luksOpen /dev/disk/by-id/ata-WDC_WD3200BEVT-22ZCT0_WD-WXJ0A99M9523- part6 --key-file=- cr_sda6 mount -o acl,user_xattr /dev/mapper/cr_sda6 /home Es ist der gpg-Befehl in der dritten Zeile, der die Eingabe durch den gpg- agenten anstößt, hier müsste die Benutzereingabe erfolgen... Gruß Malte -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Malte, Am Donnerstag, 22. Juli 2010, 22:50:12 schrieb Malte Gell:
Wenn ich aber normal boote, wird die Benutzereingabe "überrannt", der Bootprozess wartet nicht auf die Benutzereingabe, sondern rennt einfach durch. Wie kann ich das so gestalten, dass der Bootprozess nicht durchmarschiert?
ohne jetzt genau auf Dein Problem eingehen zu können: Warum setzt Du im yast Partitionierer nicht einfachst ein Häkchen bei Laufwerk verschlüsseln und gut ist? Dann wirst Du immer nach einem Passwort gefragt beim booten. Übrigens erkennt Suse ab 11.3 so verschlüsselte Laufwerke bereits bei der Installation des Betriebssystems und konfiguriert das dann wieder, und zwar automatisch. lg Thomas
Gruß Malte
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Don, 22 Jul 2010, Malte Gell schrieb:
gpg -d /root/Administrativa/BOOT-SCHLUESSEL-LUKS/luks-key-home-malte.bin.gpg | cryptsetup luksOpen /dev/disk/by-id/ata-WDC_WD3200BEVT-22ZCT0_WD-WXJ0A99M9523- part6 --key-file=- cr_sda6
Es ist der gpg-Befehl in der dritten Zeile, der die Eingabe durch den gpg- agenten anstößt, hier müsste die Benutzereingabe erfolgen...
Ich habe keine Ahnung davon, was du machst, aber ... Ich schätze, gpg liest von /dev/stdin und da kommt nur ein EOF. Du könntest mal folgendes versuchen: gpg -d \ /root/Administrativa/BOOT-SCHLUESSEL-LUKS/luks-key-home-malte.bin.gpg \ < /dev/console | cryptsetup ... Damit würdest du gpg konkret sagen, daß es vom tty lesen soll ... Evtl. auch noch den Prompt (vermutlich auf fd2) umbiegen: 2>/dev/console. Ansonsten: siehe nebenan ;) HTH, -dnh -- "Ja, aber Popcorn over IP (PoIP) ist noch nicht so ganz ausgereift. Ich habe schon versucht, das mit RFC1149 zu koppeln, aber die blöden Viecher fressen die Popcorn immer selber :-(" -- Peter J. Holzer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
David Haller
Hallo,
Am Don, 22 Jul 2010, Malte Gell schrieb:
gpg -d /root/Administrativa/BOOT-SCHLUESSEL-LUKS/luks-key-home-malte.bin.gpg | cryptsetup luksOpen /dev/disk/by-id/ata-WDC_WD3200BEVT-22ZCT0_WD-WXJ0A99M9523- part6 --key-file=- cr_sda6
Es ist der gpg-Befehl in der dritten Zeile, der die Eingabe durch den gpg- agenten anstößt, hier müsste die Benutzereingabe erfolgen...
Ich habe keine Ahnung davon, was du machst, aber ...
Ich habe einen Kartenleser und eine OpenPGP-Karte. Und ich habe eine verschlüsselte /home Partition. Die Partition ist mit einem Keyfile verschlüsselt. Das Keyfile wiederum liegt PGP verschlüsselt in /root und beim Booten stecke ich meine OpenPGP Karte rein, werde nach meiner PIN gefragt und dann wird die verschlüsselte Partition geöffnet.
Ich schätze, gpg liest von /dev/stdin und da kommt nur ein EOF. Du könntest mal folgendes versuchen:
Nuja, es ist so, wenn der gpg-agent läuft, dann wird der von GnuPG eigentlich automatisch zur Pineingabe angefordert. Ich habe nun ein Init-Skript daraus gemacht, der gpg-agent startet auch, aber die anderen Init-Skripte rauschen halt einfach weiter. Der gpg-agent startet eigentlich eine ncurses Eingabemaske, aber die wird einfach überrannt...
gpg -d \ /root/Administrativa/BOOT-SCHLUESSEL-LUKS/luks-key-home-malte.bin.gpg \ < /dev/console | cryptsetup ...
Damit würdest du gpg konkret sagen, daß es vom tty lesen soll ...
Ich will ja gerade nicht von tty lesen ;-) der gpg-agent soll seine ncurses Maske starten, ich gebe in diese die Pin ein und gut ist. Wenn ich das init Skript *nach* dem Booten starte, funzt es 100% wie ich es mir vorstelle, nur beim Booten selbst hakt es irgendwo. Gruß Malte -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Fri, 23 Jul 2010 00:06:58 +0200, Malte Gell
Ich will ja gerade nicht von tty lesen ;-) der gpg-agent soll seine ncurses Maske starten, ich gebe in diese die Pin ein und gut ist.
Was meinst Du, von wo ncurses liest? Richtig, von einem tty.
Wenn ich das init Skript *nach* dem Booten starte, funzt es 100% wie ich es mir vorstelle, nur beim Booten selbst hakt es irgendwo.
Ich würde einfach mal auf opensuse-security nachfragen denn das ist eindeutig On-Topic :) Philipp -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Philipp Thomas
On Fri, 23 Jul 2010 00:06:58 +0200, Malte Gell
wrote:
Ich will ja gerade nicht von tty lesen ;-) der gpg-agent soll seine ncurses Maske starten, ich gebe in diese die Pin ein und gut ist.
Was meinst Du, von wo ncurses liest? Richtig, von einem tty.
Problem gelöst! Das earlyxdm Init Skrip hat mir die Eingabe verhagelt, weil es mein Init Skrip überrannt hat. Ich habe in earlyxdm einfach bei Required-Start open-luks-key eingetragen, das ist mein Init Skript. Jetzt wartet earlyxdm schön brav, bis ich meine Eingabe mache und startet dann erst! Blödes earlyxdm, das könnten die eigentlich mal kicken bei openSUSE. Jetzt kann ich mit meiner openPGP Karte meine verschlüsselte Paritionen aufmachen, das ist sowas von nörd :-) Gruß Malte -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
David Haller
-
Malte Gell
-
Philipp Thomas
-
Thomas Schirrmacher