Wartezeit für encrypted Partition steuern (Suse 13.1)
Hallo ML, auf meinem Netbook läuft Suse 13.1 und eine Partition ist im Yast- Partitionierer "encrypted". Beim Booten verlangt 13.1 das Kennwort und dadurch wird der Bootvorgang solange gestoppt. Das war in einer früheren Suse-Version nicht so, der Bootvorgang wurde nach einer akzeptablen Wartezeit fortgesetzt. Ebenso war die Anzahl der Passwortabfragen in der Vorgängerversion begrenzt (ein- oder zweimal?). Wo lässt sich das steuern? TIA -- Mit freundlichen Grüßen Pitt Leidner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Mon, 20 Apr 2015 19:24:55 +0200
schrieb Pitt Leidner
auf meinem Netbook läuft Suse 13.1 Zur 13.1 kann ich nicht viel sagen, weil bei mir dort noch eine 11.4 Ervergreen läuft. Ich habe dort alle möglichen Partitions verschlüsselt, und der Bootvorgang bleibt auch bei der 11.4 bis zur Eingabe des Paßworts stehen. Das kann auch nicht anders sein, denn die verschlüsselten Partitions braucht er ja zum weiteren booten bzw. mounten.
Ebenso war die Anzahl der Passwortabfragen in der Vorgängerversion begrenzt (ein- oder zweimal?). Ich gehe mal davon aus, daß Du LUKS einsetzt. Dort gibt es sog. Slots (4 oder 5 müßten es sein), die jeweils ein (unterschiedliches) Paßwort aufnehmen können, mit dem sich die Partition entschlüsseln läßt. Wenn Du für jede Partition ein Paßwort für die händische Entschlüsslung vergibst, kommst Du auch mal über ein Rettungssystem an eine einzelne Partition ran.
Beim normalen Booten müßtest Du jetzt aber für jede Partition das Paßwort per Hand eingeben. Das kannst Du vermeiden, indem Du ab der zweiten zu entschlüsselnden Partition in einem anderen Slot ein zweites Paßwort vergibst und dieses auf der 1. verschlüsselten(!) Partiton speicherst und dann beim Booten automatisch abfragen läßt. Du müßtest das Paßwort nur noch einmal eingeben. Soweit zum Grundprinzip. Für genauere Infos müßte ich nochmal auf dem Laptop nachschauen; es ist schon eine Weile her, daß ich das eingerichtet habe. Falls Du LVM benutzt und da verschlüsselt hast, müßte Dir jemand anderes weiterhelfen, da ich LVM noch nie benutzt habe. Viele Grüße Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 20.04.2015 um 19:24 schrieb Pitt Leidner:
Hallo ML,
auf meinem Netbook läuft Suse 13.1 und eine Partition ist im Yast- Partitionierer "encrypted". Beim Booten verlangt 13.1 das Kennwort und dadurch wird der Bootvorgang solange gestoppt. Das war in einer früheren Suse-Version nicht so, der Bootvorgang wurde nach einer akzeptablen Wartezeit fortgesetzt.
Ebenso war die Anzahl der Passwortabfragen in der Vorgängerversion begrenzt (ein- oder zweimal?).
Wo lässt sich das steuern?
TIA
Falls YAST cryptsetup benutzt (was ich vermute), sollte es in der /etc/crypttab gehen. Die Optionen sind: timeout= und tries= Siehe: http://www.freedesktop.org/software/systemd/man/crypttab.html Viel Erfolg Herbert -- Die besten Köpfe gibt es nicht in der Regierung. Die Wirtschaft holt sie weg. -- Ronald Reagan -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Herbert, hallo ML vielen Dank für die Antworten ... Am Dienstag, 21. April 2015, 08:43:55 schrieb Herbert:
Am 20.04.2015 um 19:24 schrieb Pitt Leidner:
Hallo ML,
auf meinem Netbook läuft Suse 13.1 und eine Partition ist im Yast- Partitionierer "encrypted". Beim Booten verlangt 13.1 das Kennwort und dadurch wird der Bootvorgang solange gestoppt. Das war in einer früheren Suse-Version nicht so, der Bootvorgang wurde nach einer akzeptablen Wartezeit fortgesetzt.
Ebenso war die Anzahl der Passwortabfragen in der Vorgängerversion begrenzt (ein- oder zweimal?).
Wo lässt sich das steuern?
TIA
Falls YAST cryptsetup benutzt (was ich vermute), sollte es in der /etc/crypttab gehen.
Mein Problem, wie finde ich heraus, welches Verfahren Yast tatsächlich verwendet. Denn im Yast ist lediglich ein Häckchen zu setzen: [x] Encrypt Device (die File-System-ID ist 0x83 Linux) In der anderen Antwort vermutet Matthias, dass es sich um Luks handelt. Was Slots etc. verwendet, bzw. dass die Partition zum Booten benötigt würde. Letzteres lässt sich ausschließen. Welche Encryptin verwendet Yast denn. Die Partition existiert auch schon seit einigen Suse versionen und rw funktionieren problemlos, falls der Schlüssel eingegeben wurde.
Die Optionen sind:
timeout= und tries=
Das wäre es ja, wenn es sich denn auswirken würde :-( Unter /etc/ finden sich 2 Dateien: cryptconfig.conf crypttab Letztere enthält einen einzigen Eintrag, etwa: cr_irgendwas /dev/disk/by-id/irgendwas-part1 none none die cryptconfig.conf enthält etwas in der Form: [PAM] Services=gdm;login;kdm;xdm;sudo PasswordServices=passwd;gnome-passwd Deine obigen Empfehlungen hatte ich in beiden Dateien versucht.
Siehe: http://www.freedesktop.org/software/systemd/man/crypttab.html
Viel Erfolg
Herbert
-- Mit freundlichen Grüßen Pitt Leidner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Wed, 22 Apr 2015 17:27:28 +0200
schrieb Pitt Leidner
Am Dienstag, 21. April 2015, 08:43:55 schrieb Herbert:
Falls YAST cryptsetup benutzt (was ich vermute), sollte es in der /etc/crypttab gehen. Zumindest in der 11.4 ist es so; und cryptsetup ist das Setup-Werkzeug für dm_crypt einschließlich LUKS (s. man-Page). Daran wird sich _vermutlich_ bis zur 13.1 nichts geändert haben.
Mein Problem, wie finde ich heraus, welches Verfahren Yast tatsächlich verwendet. Denn im Yast ist lediglich ein Häckchen zu setzen: [x] Encrypt Device (die File-System-ID ist 0x83 Linux) Wie Herbert schon geschrieben hat, siehst Du das an der Existenz der crypttab, ebenso siehst Du das an der Existenz der Gerätedateien /dev/+dm-?
In der anderen Antwort vermutet Matthias, dass es sich um Luks handelt. LUKS ist lediglich eine Erweiterung zu dm_crypt und macht dessen Benutzung etwas komfortabler. Eine zwar schon etwas ältere aber fürs grundsätzliche Verständnis gute Beschreibung findest Du hier: http://de.opensuse.org/SDB:Sicherheit_Verschlüsselung_mit_LUKS
dass die Partition zum Booten benötigt würde. Letzteres lässt sich ausschließen. Dann wäre noch die Frage, ob die Partition schon beim Booten gemountet werden soll oder nicht. Was steht zu der Partition in der fstab? In der 4. Spalte stehen die mount-Options mit verschiedenen Defaults: Wenn dort nicht noauto steht, wird auto angenommen. Damit versucht das System die Partion bei mount -a (also auch beim Booten) zu mounten.
Je nachdem was dann in der 3. Spalte der crypttab zu dieser Partition steht, wartet der Bootvorgang auf eine manuelle Paßworteingabe (none) oder liest das Paßwort aus einer dort angegebenen Datei. Möglicherweise bleibt der Bootvorgang deswegen stehen. Wenn Du in der fstab noauto setzt, ignoriert er die Partition beim Booten, und Du mußt später selbst dafür sorgen, daß sie im Bedarfsfall gemountet wird. Eine andere Möglichkeit wäre, in der fstab keinen Wert (wegen default auto) zu lassen und in der crypttab den Pfad zu einer Paßwortdatei einzutragen. Dann schaut er beim Booten dort nach. In beiden Fällen sollte der Bootvorgang, wenn er nicht noch an anderer Stelle hängt, mit oder ohne dieser Partition weiterlaufen. Die man-Pages zu fstab, crypttab und cryptsetup liefern Dir noch sehr gute und detaillierte Infos. Ich hoffe, daß ich Dir ein paar Anregungen geben konnte. Viele Grüße. Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Matthias, Am Mittwoch, 22. April 2015, 23:07:05 schrieb jpr.liste01@jpberlin.de:
Am Wed, 22 Apr 2015 17:27:28 +0200 schrieb Pitt Leidner
: Hallo Pitt!
Nun habe ich mal den Schleppie angeworfen. ;-)
Erneut vielen Dank! Dein Hinweis:
Wenn Du in der fstab ...
hat mich auf die Idee gebracht, die crypttab mal in derselben Syntax zu gestalten wie die fstab und siehe da:
backup-p1 /dev/disk/by-id/*irgendwas*-part1 none luks,tries=2,timeout=5
bringt die Lösung. Ich hatte die Optionen am Ende der Zeile in eigene Zeilen verfrachtet, ähnlich den *.conf-Dateien und so wurde das nichts. Es ist immerwieder das "Gemeine" am Linux, dass uns die X-Systeme alles erleichtern (und Linux populärer machen) und wir dann doch an das Eingemachte rann müssen. Jedenfalls danke an die ML, die ich seit über 15 Jahren täglich verfolge und die mir so manchen Überlebenstip gab und immer wieder gibt! -- Mit freundlichen Grüßen Pitt Leidner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (3)
-
Herbert
-
jpr.liste01@jpberlin.de
-
Pitt Leidner