dm-Crypt Partition in fstab
Hi, ich habe auf einem OS 11.3-Laptop eine dm-crypt-verschlüsselte Partition, mit Yast erstellt. Ich habe sie in /etc/crypttab eingetragen: sda8_cr /dev/sda8 none luks und in die /etc/fstab: /dev/mapper/sda8_cr /home/ecr ext4 noauto,user,acl,user_xattr 0 0 das klappt soweit gut, aber die Passphrase wird unabhängig von den Einstellungen zum mounten und zu fsck in /etc/fstab beim Booten abgefragt. Eigentlich hätte ich es lieber, wenn die erst beim mounten abgefragt würde. So dass das System ohne Hinweis auf die Cryptopartition ganz normal bootet und diese nur bei Bedarf "angedockt" wird. Geht das und wenn ja, was muss in die /etc/fstab? Bei der alten "twofish-loop"-Methode ging das einfach durch Angabe des encryption-Modus dort. Thx für jeden Tipp cu jth -- Joerg Thuemmler www.teddylinx.de www.teddylinx.de/prowald -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch, 16. Februar 2011, 09:50:34 schrieb Joerg Thuemmler:
Hi,
ich habe auf einem OS 11.3-Laptop eine dm-crypt-verschlüsselte Partition, mit Yast erstellt. Ich habe sie in /etc/crypttab eingetragen:
sda8_cr /dev/sda8 none luks
und in die /etc/fstab:
/dev/mapper/sda8_cr /home/ecr ext4 noauto,user,acl,user_xattr 0 0
das klappt soweit gut, aber die Passphrase wird unabhängig von den Einstellungen zum mounten und zu fsck in /etc/fstab beim Booten abgefragt. Eigentlich hätte ich es lieber, wenn die erst beim mounten abgefragt würde. So dass das System ohne Hinweis auf die Cryptopartition ganz normal bootet und diese nur bei Bedarf "angedockt" wird.
Geht das und wenn ja, was muss in die /etc/fstab? Bei der alten "twofish-loop"-Methode ging das einfach durch Angabe des encryption-Modus dort.
Thx für jeden Tipp
cu jth
Hallo, pam_mount sollte dir da weiterhelfen können. :) Das nutze ich zusammen mit LUKS/dm-crypt-verschlüsselten Partitionen. http://de.opensuse.org/Verschl%C3%BCsselung_mit_LUKS#Komfortfunktionen_durch... Beste Grüße Buschmann -- Das Gesetz hat zum Schneckengang verdorben, was Adlerflug geworden wäre. (Friedrich Schiller - Die Räuber) Und der Buschfunk spielt gerade "Deiche" von "Kettcar". www.buschmann23.de
Am 16.02.2011 13:27, schrieb Matthias Fehring:
Am Mittwoch, 16. Februar 2011, 09:50:34 schrieb Joerg Thuemmler:
Hi,
ich habe auf einem OS 11.3-Laptop eine dm-crypt-verschlüsselte Partition, mit Yast erstellt. Ich habe sie in /etc/crypttab eingetragen:
sda8_cr /dev/sda8 none luks
und in die /etc/fstab:
/dev/mapper/sda8_cr /home/ecr ext4 noauto,user,acl,user_xattr 0 0
das klappt soweit gut, aber die Passphrase wird unabhängig von den Einstellungen zum mounten und zu fsck in /etc/fstab beim Booten abgefragt. Eigentlich hätte ich es lieber, wenn die erst beim mounten abgefragt würde. So dass das System ohne Hinweis auf die Cryptopartition ganz normal bootet und diese nur bei Bedarf "angedockt" wird.
Geht das und wenn ja, was muss in die /etc/fstab? Bei der alten "twofish-loop"-Methode ging das einfach durch Angabe des encryption-Modus dort.
Thx für jeden Tipp
cu jth
Hallo,
pam_mount sollte dir da weiterhelfen können. :) Das nutze ich zusammen mit LUKS/dm-crypt-verschlüsselten Partitionen.
http://de.opensuse.org/Verschl%C3%BCsselung_mit_LUKS#Komfortfunktionen_durch...
Beste Grüße Buschmann
Hi und Danke, nein, das ist wohl nicht, was ich will. Ich gehe mal davon aus, dass mount.crypt und umount.crypt su-Befehle sind und ich also auch da um den su-Modus nicht rumkomme. Was ich gerne hätte, wäre ein Eintrag in der fstab, der mir das Ganze als user erlaubt. Die Passphrase möchte ich schon gern manuell eingeben. Für mount.crypt und umount.crypt habe ich schon ein eigenes kleines script, aber das läuft nur su. Natürlich könnte ich cryptsetup sudo oder setuid-Bit freigeben, würde das aber ohne entsprechende Kenntnis des Hintergrundes ungern tun. mount ist ja setuid. cu jth -- Joerg Thuemmler www.teddylinx.de www.teddylinx.de/prowald -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Mittwoch, 16. Februar 2011, 13:43:31 schrieb Joerg Thuemmler:
Am 16.02.2011 13:27, schrieb Matthias Fehring:
Am Mittwoch, 16. Februar 2011, 09:50:34 schrieb Joerg Thuemmler:
Hi,
ich habe auf einem OS 11.3-Laptop eine dm-crypt-verschlüsselte Partition, mit Yast erstellt. Ich habe sie in /etc/crypttab eingetragen:
sda8_cr /dev/sda8 none luks
und in die /etc/fstab:
/dev/mapper/sda8_cr /home/ecr ext4 noauto,user,acl,user_xattr 0 0
das klappt soweit gut, aber die Passphrase wird unabhängig von den Einstellungen zum mounten und zu fsck in /etc/fstab beim Booten abgefragt. Eigentlich hätte ich es lieber, wenn die erst beim mounten abgefragt würde. So dass das System ohne Hinweis auf die Cryptopartition ganz normal bootet und diese nur bei Bedarf "angedockt" wird.
Geht das und wenn ja, was muss in die /etc/fstab? Bei der alten "twofish-loop"-Methode ging das einfach durch Angabe des encryption-Modus dort.
Thx für jeden Tipp
cu jth
Hallo,
pam_mount sollte dir da weiterhelfen können. :) Das nutze ich zusammen mit LUKS/dm-crypt-verschlüsselten Partitionen.
http://de.opensuse.org/Verschl%C3%BCsselung_mit_LUKS#Komfortfunktionen_du rch_pam_mount
Beste Grüße
Buschmann
Hi und Danke,
nein, das ist wohl nicht, was ich will. Ich gehe mal davon aus, dass mount.crypt und umount.crypt su-Befehle sind und ich also auch da um den su-Modus nicht rumkomme. Was ich gerne hätte, wäre ein Eintrag in der fstab, der mir das Ganze als user erlaubt. Die Passphrase möchte ich schon gern manuell eingeben. Für mount.crypt und umount.crypt habe ich schon ein eigenes kleines script, aber das läuft nur su. Natürlich könnte ich cryptsetup sudo oder setuid-Bit freigeben, würde das aber ohne entsprechende Kenntnis des Hintergrundes ungern tun. mount ist ja setuid.
cu jth
Hey, geh im Artikel mal weiter runter. ;-) mount.crypt und umount.crypt sind nur Helfer des Moduls pam_mount, mit dem sich Volumen bei der Anmeldung automatisch einbinden lassen. Wenn für LUKS das gleich Passwort wie für die normale Anmeldung genutzt wird, dann übergibt er das an pam_mount, welches die Partition dann automatisch einbindet, was gerade bei home-Partitionen praktisch ist. Kann natürlich auch sein, dass wir thematisch aneinander vorbei reden. ;-) Beste Grüße Buschmann -- Das Gesetz hat zum Schneckengang verdorben, was Adlerflug geworden wäre. (Friedrich Schiller - Die Räuber) Und der Buschfunk spielt gerade "A Lot Like Me" von "The Offspring". www.buschmann23.de
Am 16.02.2011 14:42, schrieb Matthias Fehring:
Am Mittwoch, 16. Februar 2011, 13:43:31 schrieb Joerg Thuemmler:
Am 16.02.2011 13:27, schrieb Matthias Fehring:
Am Mittwoch, 16. Februar 2011, 09:50:34 schrieb Joerg Thuemmler:
Hi,
ich habe auf einem OS 11.3-Laptop eine dm-crypt-verschlüsselte Partition, mit Yast erstellt. Ich habe sie in /etc/crypttab eingetragen:
sda8_cr /dev/sda8 none luks
und in die /etc/fstab:
/dev/mapper/sda8_cr /home/ecr ext4 noauto,user,acl,user_xattr 0 0
das klappt soweit gut, aber die Passphrase wird unabhängig von den Einstellungen zum mounten und zu fsck in /etc/fstab beim Booten abgefragt. Eigentlich hätte ich es lieber, wenn die erst beim mounten abgefragt würde. So dass das System ohne Hinweis auf die Cryptopartition ganz normal bootet und diese nur bei Bedarf "angedockt" wird.
Geht das und wenn ja, was muss in die /etc/fstab? Bei der alten "twofish-loop"-Methode ging das einfach durch Angabe des encryption-Modus dort.
Thx für jeden Tipp
cu jth
Hallo,
pam_mount sollte dir da weiterhelfen können. :) Das nutze ich zusammen mit LUKS/dm-crypt-verschlüsselten Partitionen.
http://de.opensuse.org/Verschl%C3%BCsselung_mit_LUKS#Komfortfunktionen_du rch_pam_mount
Beste Grüße
Buschmann
Hi und Danke,
nein, das ist wohl nicht, was ich will. Ich gehe mal davon aus, dass mount.crypt und umount.crypt su-Befehle sind und ich also auch da um den su-Modus nicht rumkomme. Was ich gerne hätte, wäre ein Eintrag in der fstab, der mir das Ganze als user erlaubt. Die Passphrase möchte ich schon gern manuell eingeben. Für mount.crypt und umount.crypt habe ich schon ein eigenes kleines script, aber das läuft nur su. Natürlich könnte ich cryptsetup sudo oder setuid-Bit freigeben, würde das aber ohne entsprechende Kenntnis des Hintergrundes ungern tun. mount ist ja setuid.
cu jth
Hey,
geh im Artikel mal weiter runter. ;-) mount.crypt und umount.crypt sind nur Helfer des Moduls pam_mount, mit dem sich Volumen bei der Anmeldung automatisch einbinden lassen. Wenn für LUKS das gleich Passwort wie für die normale Anmeldung genutzt wird, dann übergibt er das an pam_mount, welches die Partition dann automatisch einbindet, was gerade bei home-Partitionen praktisch ist.
Kann natürlich auch sein, dass wir thematisch aneinander vorbei reden. ;-)
Beste Grüße Buschmann
Danke, ich hab das schon verstanden. Aber ich möchte kein automatisches Anmelden via PAM. Der user soll die cryptopartition nur mounten, wenn er sie braucht... und dann mit Phrase, aber ohne sudo zu bemühen. Das geht aber so nicht. PAM ist ja nur für die Authenitifizierung zuständig und nutzt in dem Falle die setuid-Funktionalität von login. Macht nichts, braucht der user eben 2 Passwörter, bis ich was Besseres finde. Ist eh nur, weil ich generell nur im Bedarfsfall root sein möchte. Thx anyway -- Joerg Thuemmler www.teddylinx.de www.teddylinx.de/prowald -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Wed, 16 Feb 2011, Joerg Thuemmler schrieb:
ich hab das schon verstanden. Aber ich möchte kein automatisches Anmelden via PAM. Der user soll die cryptopartition nur mounten, wenn er sie braucht... und dann mit Phrase, aber ohne sudo zu bemühen. Das geht aber so nicht.
==== ~/bin/mountcrypt ==== #!/bin/sh sudo /bin/mount /dev/mapper/xxx ==== Bzw. das per alias. ==== /etc/sudoers ==== deinuser localhost=(root) NOPASSWD:/sbin/mount /dev/mapper/xxx ==== So darf dein User genau diesen mount-Befehl ohne Passwort aufrufen. Analog dann für's unmount. Ich mach das z.B. zum News-Abholen (sudo -u news /usr/sbin/fetchnews), ebenso per script zu 'getnews' vereinfacht ;) -dnh -- DOSen-Hersteller: "Wisst ihr, was wir DOSen-Hersteller an Euch Windows-Usern so toll finden?" Windows-User: "Keine Ahnung." DOSen-Hersteller: "Genau." -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 16.02.2011 18:10, schrieb David Haller:
Hallo,
Am Wed, 16 Feb 2011, Joerg Thuemmler schrieb:
ich hab das schon verstanden. Aber ich möchte kein automatisches Anmelden via PAM. Der user soll die cryptopartition nur mounten, wenn er sie braucht... und dann mit Phrase, aber ohne sudo zu bemühen. Das geht aber so nicht.
==== ~/bin/mountcrypt ==== #!/bin/sh sudo /bin/mount /dev/mapper/xxx ====
Bzw. das per alias.
==== /etc/sudoers ==== deinuser localhost=(root) NOPASSWD:/sbin/mount /dev/mapper/xxx ====
So darf dein User genau diesen mount-Befehl ohne Passwort aufrufen.
Analog dann für's unmount.
Ich mach das z.B. zum News-Abholen (sudo -u news /usr/sbin/fetchnews), ebenso per script zu 'getnews' vereinfacht ;)
-dnh
Hi, und Danke, ja so werde ich es wohl machen. Daran, dass ich in /etc/sudoers ja exakt den Befehl inklusive der Argumente angeben kann, habe ich nicht gedacht. Eine allgemeine sudo-Freigabe für mount und cryptsetup schien mir nämlich nicht so klug. Aber mit fixen Argumenten kann man die ja schwerlich mißbrauchen? Danke, David, auch für die passende Sig ;-) -- Joerg Thuemmler www.teddylinx.de www.teddylinx.de/prowald -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 16.02.2011 18:10, schrieb David Haller:
Hallo,
Am Wed, 16 Feb 2011, Joerg Thuemmler schrieb:
ich hab das schon verstanden. Aber ich möchte kein automatisches Anmelden via PAM. Der user soll die cryptopartition nur mounten, wenn er sie braucht... und dann mit Phrase, aber ohne sudo zu bemühen. Das geht aber so nicht.
==== ~/bin/mountcrypt ==== #!/bin/sh sudo /bin/mount /dev/mapper/xxx ====
Bzw. das per alias.
==== /etc/sudoers ==== deinuser localhost=(root) NOPASSWD:/sbin/mount /dev/mapper/xxx ====
So darf dein User genau diesen mount-Befehl ohne Passwort aufrufen.
Analog dann für's unmount.
... Hi, habe das jetzt so eingerichtet, funzt auch, allerdings mit einer Modifikation, deren Ursache ich nicht ganz verstehe: deinuser hostname_ip=(root) NOPASSWD:/sbin/mount /dev/mapper/xxx ^^^^^^^^^^^^^^ d.h. weder localhost noch 127.0.0.1 lassen die passwortlose Ausführung zu, nur wenn dort der reale Hostname oder die entsprechende IP steht. "localhost" und "127.0.0.1" gibts aber durchaus in meiner /etc/hosts [kein eigener DNS] und werden auch, z.B. beim apache2 korrekt aufgelöst. Ist an meinem Netzwerk was falsch konfiguriert? ifconfig: dsl0 Link encap:Punkt-zu-Punkt Verbindung inet Adresse:... eth0 Link encap:Ethernet Hardware Adresse ... inet Adresse:192.168.1.2 Bcast:192.168.1.255 Maske:255.255.255.0 ... eth1 Link encap:Ethernet Hardware Adresse ... inet Adresse:192.168.0.1 Bcast:192.168.0.255 ... lo Link encap:Lokale Schleife inet Adresse:127.0.0.1 Maske:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 ... ??? thx für Hinweise cu jth -- Joerg Thuemmler www.teddylinx.de/prowald -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Joerg Thuemmler meinte am Mittwoch, den 16.02.2011 um 09:50 Uhr wegen:dm-Crypt Partition in fstab
Geht das und wenn ja, was muss in die /etc/fstab? Bei der alten "twofish-loop"-Methode ging das einfach durch Angabe des encryption-Modus dort.
wenn pam_mount nicht das richtige ist, dann hänge die Platte nicht ein und entschlüssele bei Bedarf mit cryptsetup luksOpen ..... -- Beste Grüße Christian Gut, das Audacious gerade von Desmond Dekker - Israelites spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
Christian Meseberg
-
David Haller
-
Joerg Thuemmler
-
Matthias Fehring