Hi, Leap 15.3 mit KDE Gibt es noch einen Weg wie ich als User eine LUKS Platte öffen, die enthaltene Partition mounten (und reverse) kann? tl;dr ------------------------------------------------------------------------- Ich habe hier eine externe USB-Platte die mein Backup beinhaltet. Diese Platte ist mit LUKS gesichert. Ich kann sie einfach anstecken und bekomme ein Fenster angezeigt in die ich die Passphrase eingeben muss um die Platte anschließend im Dolphin zu sehen. Das klappt alles wunderbar. Nun möchte ich das etwas automatisieren. In meinem Skript muss ich aber sudo dem 'cryptsetup open' und dem anschließenden 'mount' voranstellen. Das ist nicht schön, aber nur ein kleiner Mangel. Viel mehr stört mich das ich auch vor das abschließende 'umount' und das 'cryptsetup close' ein sudo stellen muss. Denn bis dahin ist das timeout des sudo abgelaufen und ich muss auch beim beenden des Backups anwesend sein. Nun kann ich natürlich das ganze Skript als root laufen lassen, aber .... Gibt es noch einen andern Weg wie ich als User eine LUKS Platte öffen, die enthaltene Partition mounten (und reverse) kann? Bernd -- Die normative Kraft des Faktischen behindert die Entwicklung zum Besseren.
Hallo Bernd, Am Samstag, dem 25.06.2022 um 07:34 +0200 schrieb Bernd Nachtigall:
Hi,
Leap 15.3 mit KDE [...] Nun kann ich natürlich das ganze Skript als root laufen lassen, aber ....
Gibt es noch einen andern Weg wie ich als User eine LUKS Platte öffen, die enthaltene Partition mounten (und reverse) kann? [...]
mit dem Befehl su -c "yast2 sudo" könntest Du dem Benutzer, der die Datensicherung ausführt/ausführen soll, Administratorenrechte für Befehle /bin/umount /bin/mount /usr/sbin/cryptsetup einräumen. Mit dem Haken bei "kein Password" gibt es die Möglichkeit, dass für obige Befehle kein Adminstratorenkennwort eingegeben werden muss. Natürlich kann *ich* nicht beurteilen, ob diese Konstellation mit Deinem Sicherheitskonzept kompatibel ist. Sofern auf Deiner Maschine das Yast2 "Modul" sudo nicht installiert ist, wird dies durch su -c "zypper install yast2-sudo" schnell erledigt. Tschüß Carsten
Am Samstag, 25. Juni 2022, 07:34:53 CEST schrieb Bernd Nachtigall:
(...). Gibt es noch einen Weg wie ich als User eine LUKS Platte öffen, die enthaltene Partition mounten (und reverse) kann? (...).
Als root habe ich mir die UUID rausgesucht, damit ich verlässlich die Backup-iSCSI-"Festplatte" finde # blkid /dev/sda1: UUID="..." TYPE="crypto_LUKS" PARTUUID="..." Damit kann ich dann in einer Zeile entsperren und mounten $ udisksctl unlock -b /dev/disk/by-uuid/<UUID> && udisksctl mount -b /dev/mapper/luks-<UUID> und wieder unmounten und sperren $ udisksctl unmount -b /dev/mapper/luks-<UUID> && udisksctl lock -b /dev/disk/by-uuid/<UUID> Fürs Entsperren wird die Passphrase auf der Konsole abgefragt und fürs Mounten das root-Passwort über den üblichen KDE-Dialog. Letzteres wird man sicher mit irgendwelchen Polkit Rules vermeiden können. Fürs Unmounten und Sperren meine ich dann später nichts mehr eingeben zu müssen. HTH Jan -- It's better to keep your mouth shut and appear stupid, than to open it and remove all doubt.
Am 25.06.2022 um 07:34 schrieb Bernd Nachtigall:
Hi,
Leap 15.3 mit KDE
Gibt es noch einen Weg wie ich als User eine LUKS Platte öffen, die enthaltene Partition mounten (und reverse) kann?
tl;dr ------------------------------------------------------------------------- Ich habe hier eine externe USB-Platte die mein Backup beinhaltet. Diese Platte ist mit LUKS gesichert. Ich kann sie einfach anstecken und bekomme ein Fenster angezeigt in die ich die Passphrase eingeben muss um die Platte anschließend im Dolphin zu sehen. Das klappt alles wunderbar.
Nun möchte ich das etwas automatisieren. In meinem Skript muss ich aber sudo dem 'cryptsetup open' und dem anschließenden 'mount' voranstellen. Das ist nicht schön, aber nur ein kleiner Mangel. Viel mehr stört mich das ich auch vor das abschließende 'umount' und das 'cryptsetup close' ein sudo stellen muss. Denn bis dahin ist das timeout des sudo abgelaufen und ich muss auch beim beenden des Backups anwesend sein.
Nun kann ich natürlich das ganze Skript als root laufen lassen, aber ....
Gibt es noch einen andern Weg wie ich als User eine LUKS Platte öffen, die enthaltene Partition mounten (und reverse) kann?
Bernd
Ich würde da mal über eine sudoers Regel nachdenken. Da könnte man sich dann beispielsweise exakt für diesen mount/umount Befehl das root Passwort sparen. Die crypt Passphrase natürlich nicht ;) Manfred
Ich verwende ein ssh-Public/Private Key Pair mit Passphrase, die Passphrase wird beim X-Login (hier mit fvwm2) nach dem Passwort abgefragt - solange ich eingeloggt bin, funktioniert dann ein ssh-Login auf entsprechend konfigurierte Accounts, also mit meinem Public Key in .ssh/authorized_keys, ohne weitere Passwortabfrage. -- Viele Grüße Michael
Hi, Zeit sich zu bedanken :-) Die Idee mit dem udisksctl erweist sich als die komfortabelste für meinen Zweck. Eine zusätzliche Passphrase in den LUKS-Container, und die dann per --key-file an udisksctl open übergeben ... passt für mich. Die Platte hat ein Label und der mount ist in der fstab. Damit brauche ich nicht mal das root-pwd. Vielen Dank euch, für alle Ideen und Denkanstöße. Bernd Am 25.06.22 um 07:34 schrieb Bernd Nachtigall:
Hi,
Leap 15.3 mit KDE
Gibt es noch einen Weg wie ich als User eine LUKS Platte öffen, die enthaltene Partition mounten (und reverse) kann?
tl;dr ------------------------------------------------------------------------- Ich habe hier eine externe USB-Platte die mein Backup beinhaltet. Diese Platte ist mit LUKS gesichert. Ich kann sie einfach anstecken und bekomme ein Fenster angezeigt in die ich die Passphrase eingeben muss um die Platte anschließend im Dolphin zu sehen. Das klappt alles wunderbar.
Nun möchte ich das etwas automatisieren. In meinem Skript muss ich aber sudo dem 'cryptsetup open' und dem anschließenden 'mount' voranstellen. Das ist nicht schön, aber nur ein kleiner Mangel. Viel mehr stört mich das ich auch vor das abschließende 'umount' und das 'cryptsetup close' ein sudo stellen muss. Denn bis dahin ist das timeout des sudo abgelaufen und ich muss auch beim beenden des Backups anwesend sein.
Nun kann ich natürlich das ganze Skript als root laufen lassen, aber ....
Gibt es noch einen andern Weg wie ich als User eine LUKS Platte öffen, die enthaltene Partition mounten (und reverse) kann?
Bernd
-- Die normative Kraft des Faktischen behindert die Entwicklung zum Besseren.
-- Die normative Kraft des Faktischen behindert die Entwicklung zum Besseren.
participants (5)
-
Bernd Nachtigall -
Carsten Grebehem -
Jan Ritzerfeld -
Manfred Kreisl -
Michael Behrens