Verschlüsselte Swap-Partition mit Keyfile entschlüsseln
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Moin, ich habe meine Swap-Partition verschlüsselt und ein Keyfile auf dem (derzeit noch unverschlüsselten) Rootverzeichnis abgelegt sowie auch dem Volume hinzugefügt. Leider wird beim Systemstart die Swap nicht per Keyfile entschlüsselt, sondern ich werde jedes Mal nach dem Passwort gefragt. Manuelles öffnen des Volumes per Keyfile funktioniert hingegen. Die Abfrage erfolgt noch vor Verarbeitung der crypttab bzw. fstab. Kann ich meinem System nicht irgendwie beibringen, dass das Keyfile verwendet werden soll? OS 11.4 - -- Lutz Thuns openSUSE official member (lOtz1009) LXDE-Team -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.16 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iQEcBAEBAgAGBQJNi5A4AAoJEFuFM+jpZ7AV4o0H/iWNixjBfhSHuqoDNI72l+KJ tSNOj6QNB42iFdx4xm1vFdNeg9JHPER/TrVQMrJgSxF71F9BD94AbaKPvvMn+QGS cYId6QexiTieZm2NZQxZDfggWDFKtUvnEZNNnsoUG38XASLlasqxg+MOB+3DqEjc IJf0m/y550+0NHsiI+unppyfRqQX5Lfoniw/XHmjCEppjbT/XshMh+8vIkgjtTnV mNHXYIThC5M88mD8+CcF5oUgcOBrkhrmXYcDU9YkD481QxtYs2YOtmJYRNj1V2E+ mWeUb7YFWVgZj3teZ51sIR7uD+Vg9VQmE+Hy97RiJw6RGhWqOz6TL3QlBweG+O4= =SIQ+ -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Thursday 24 March 2011 19:40:56, Lutz Thuns wrote:
Moin,
ich habe meine Swap-Partition verschlüsselt und ein Keyfile auf dem (derzeit noch unverschlüsselten) Rootverzeichnis abgelegt sowie auch dem Volume hinzugefügt. Leider wird beim Systemstart die Swap nicht per Keyfile entschlüsselt, sondern ich werde jedes Mal nach dem Passwort gefragt. Manuelles öffnen des Volumes per Keyfile funktioniert hingegen. Die Abfrage erfolgt noch vor Verarbeitung der crypttab bzw. fstab. Kann ich meinem System nicht irgendwie beibringen, dass das Keyfile verwendet werden soll?
OS 11.4
- swap abstellen: swapoff /dev/sdax wobei sdax deiner /dev/sda... der Swap-Partition entspricht) - eine für root lesbare Datei /etc/crypttab erstellen da hineinschreiben: cr_sdax /dev/disk/by-id/deine-disk-id /etc/crypt-swap.key swap ( und das /dev/disk/by-id/... aus /etc/fstab für den Eintrag der Swap-Disk kopiert werden kann) - /etc/fstab ändern: die bisherige swap-disk auskommentieren (# and den Anfang der Zeile) und /dev/mapper/cr_sdax swap swap defaults 0 0 einfügen - Das Crypto-Script einschalten: chkconfig boot.crypto on - testen mit: /etc/init.d/boot.crypto start swapon -a free Sollte egentlich funktionieren Gruss Daniel -- Daniel Bauer photographer Basel Barcelona professional photography: http://www.daniel-bauer.com erotic nudes: http://www.guapamania.com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am 24.03.2011 19:56, schrieb Daniel Bauer:
- eine für root lesbare Datei /etc/crypttab erstellen da hineinschreiben:
cr_sdax /dev/disk/by-id/deine-disk-id /etc/crypt-swap.key swap
( und das /dev/disk/by-id/... aus /etc/fstab für den Eintrag der Swap-Disk kopiert werden kann)
Die existiert, und dort verweise ich auch auf das Keyfile in /root/.keys/
- /etc/fstab ändern: die bisherige swap-disk auskommentieren (# and den Anfang der Zeile) und /dev/mapper/cr_sdax swap swap defaults 0 0 einfügen
Ist ebenfalls vorhanden
- Das Crypto-Script einschalten: chkconfig boot.crypto on
Ist auch eingeschaltet. Swap an sich funktioniert ja. Aber eben nicht per Keyfile sondern nur per Passphrase. So wie ich denke, wird das Volume über initramfs entschlüsselt bevor das Root-Dateisystem überhaupt zur Verfügung steht? - -- Lutz Thuns openSUSE official member (lOtz1009) LXDE-Team -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.16 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iQEcBAEBAgAGBQJNi5ZKAAoJEFuFM+jpZ7AVxWoH/i8V7s5okliXHZha4vEaldg1 8MyxU+UlTfhl3+XFFTTI45uhTE1mHFfHa+eRHxDmvHUR34q6jHb3vT/G51F4A2NE A4ehbeGv6rGxiowkJ6cfpRk7hYym+fNOW/fEqSuc6Eb7FmWtp/s/PW+WWeAIsO34 W/XAsUSSFLTWniQyfvEKUIVzZxTvo/samsAeCX6yEVO71j681WNVRY+reixBSTqN EdP/YhXwmfm92NgC69B/KMq/oOB84WPA8VUODYC/gO0qc0N1x7xcnET0Q6SKju1c aNGn0fQyW9G5eSWWre6eFq52FFqMAo3QRN0S23N4r9LsfiPvRHYS7wx9LAXYJds= =bjXA -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Lutz Thuns meinte am Donnerstag, den 24.03.2011 um 20:06 Uhr wegen:Verschlüsselte Swap-Partition mit Keyfile entschlüsseln
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Am 24.03.2011 19:56, schrieb Daniel Bauer:
- eine für root lesbare Datei /etc/crypttab erstellen da hineinschreiben:
cr_sdax /dev/disk/by-id/deine-disk-id /etc/crypt-swap.key swap
( und das /dev/disk/by-id/... aus /etc/fstab für den Eintrag der Swap-Disk kopiert werden kann)
Die existiert, und dort verweise ich auch auf das Keyfile in /root/.keys/
- /etc/fstab ändern: die bisherige swap-disk auskommentieren (# and den Anfang der Zeile) und /dev/mapper/cr_sdax swap swap defaults 0 0 einfügen
Ist ebenfalls vorhanden
- Das Crypto-Script einschalten: chkconfig boot.crypto on
Ist auch eingeschaltet.
Swap an sich funktioniert ja. Aber eben nicht per Keyfile sondern nur per Passphrase. So wie ich denke, wird das Volume über initramfs entschlüsselt bevor das Root-Dateisystem überhaupt zur Verfügung steht?
ich mach's über /etc/init.d/boot.local cryptsetup -c aes-cbc-essiv:sha256 -h sha256 -s 256 -d /dev/urandom create swap /dev/sd'xy' mkswap /dev/mapper/swap swapon /dev/mapper/swap -- Beste Grüße Christian Gut, das Audacious gerade von Zager & Evans - In The Year 2525 spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am 24.03.2011 20:20, schrieb Christian Meseberg:
ich mach's über /etc/init.d/boot.local
cryptsetup -c aes-cbc-essiv:sha256 -h sha256 -s 256 -d /dev/urandom create swap /dev/sd'xy' mkswap /dev/mapper/swap swapon /dev/mapper/swap
Damit kann ich aber kein s2disk nutzen oder? So könntest du auch einfach /dev/urandom als Key in der crypttab nutzen. - -- Lutz Thuns openSUSE official member (lOtz1009) LXDE-Team -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.16 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iQEcBAEBAgAGBQJNi5nXAAoJEFuFM+jpZ7AV1ZoIAJ/6SgfSVWb5Wz1MJB5mUC+y 6yyLZYzL9nImaNXJsTOBrlmFgbK23AkQIKXnwpUClkS97sQEd4dtveYtTMbxydy4 eV5+iT3ED4KxF4vPV070GTnJnYvfqUIgFrmvWC2khdHOn+jTxyH/wHkHhzemFemD 5UMgFh9QvLZsB2EKOuYvOxxhlQ8uTpsM3J3Lxv1xNp/ElE+fNePf7Cmbh6T/sVxU 5qPOL5MRHJZk3u832arPaqoe6P0JWhhOdoTYnQHpNGIGAYuABOxG21XVCRE+WNIh ebEFjPCr9gnyBM5qgQmj5mabwQzw15+miEPpxffV6v1dCCSSJwfjSiEGbay9vpQ= =+MwH -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Lutz Thuns meinte am Donnerstag, den 24.03.2011 um 20:21 Uhr wegen:Verschlüsselte Swap-Partition mit Keyfile entschlüsseln
Am 24.03.2011 20:20, schrieb Christian Meseberg:
ich mach's über /etc/init.d/boot.local
cryptsetup -c aes-cbc-essiv:sha256 -h sha256 -s 256 -d /dev/urandom create swap /dev/sd'xy' mkswap /dev/mapper/swap swapon /dev/mapper/swap
Damit kann ich aber kein s2disk nutzen oder? So könntest du auch einfach /dev/urandom als Key in der crypttab nutzen.
sorry, aber das kann ich nicht beantworten. Ich habe meine Lösung irgendwo her. Entweder aus der Liste hier oder im Internet gefunden. Kann ich nicht mehr genau nachvollziehen. Aber es funzt ;) -- Beste Grüße Christian Gut, das Audacious gerade von Iron Butterfly - In a Gadda Da Vida spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 25.03.2011, Lutz Thuns wrote:
Damit kann ich aber kein s2disk nutzen oder?
S2D kannst du nur verwenden, wenn deine root partition unverschluesselt ist (genauer gesagt, die Partition, auf der das cryptsetup binary liegt), und da frage ich mich, warum dann dein swapspace verschluesselt sein soll.. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Fri, 25 Mar 2011 09:22:38 +0100, Heinz Diehl wrote:
On 25.03.2011, Lutz Thuns wrote:
Damit kann ich aber kein s2disk nutzen oder?
S2D kannst du nur verwenden, wenn deine root partition unverschluesselt ist (genauer gesagt, die Partition, auf der das cryptsetup binary liegt), und da frage ich mich, warum dann dein swapspace verschluesselt sein soll..
Dessen war ich mir nicht bewusst. Ich dachte über die Module in der initrd können sowohl / als auch swap entschlüsselt werden? Dann sollte s2disk ja kein Problem sein. Wenn das wirklich nicht möglich ist, kann ich mir den Müll auch sparen und nehme einen dynamischen Key bei jedem Start. -- Lutz Thuns openSUSE official member (lOtz1009) LXDE team -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 26.03.2011, Lutz Thuns wrote:
Ich dachte über die Module in der initrd können sowohl / als auch swap entschlüsselt werden? Dann sollte s2disk ja kein Problem sein. Wenn das wirklich nicht möglich ist, kann ich mir den Müll auch sparen und nehme einen dynamischen Key bei jedem Start.
Schau mal in "man cryptsetup", da ist eine Warnung bezueglich suspend im Abschnitt ueber "luksResume / Suspend". Dein Problem hoert sich an wie wenn du ein Problem in deiner Bootreihenfolge hast. Sieh mal nach in den Headern der Files /etc/rc.d/boot.crypto und boot.localfs. localfs sollte von boot.crypto abhaengig sein, und boot.crypto vor dem Einhaengen der lokalen Filesysteme gestartet werden. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 25.03.2011, Lutz Thuns wrote:
Kann ich meinem System nicht irgendwie beibringen, dass das Keyfile verwendet werden soll?
Kannst du bitte mal die entsprechende Zeile aus grub.conf posten, und dazu /etc/crypttab? -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am 25.03.2011 09:19, schrieb Heinz Diehl:
On 25.03.2011, Lutz Thuns wrote:
Kann ich meinem System nicht irgendwie beibringen, dass das Keyfile verwendet werden soll?
Kannst du bitte mal die entsprechende Zeile aus grub.conf posten, und dazu /etc/crypttab?
/etc/crypttab: cr_swap /dev/disk/by-id/... /root/.keys/swapkey swap Was möchtest du aus der grub.conf? Meinst du die aus der menu.lst? kernel /vmlinuz-2.6.37.1-1.2-desktop root=/dev/sda8 resume=/dev/mapper/cr_swap splash=verbose quiet showopts vga=0x34c - -- Lutz Thuns openSUSE official member (lOtz1009) LXDE-Team -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.16 (GNU/Linux) Comment: Using GnuPG with SUSE - http://enigmail.mozdev.org/ iQEcBAEBAgAGBQJNjMBNAAoJEFuFM+jpZ7AVphoH/RFoxQNGgoksrptpWR4Q1S3Q Y6lEu+HaEsxXIj2GgV5pzsZJ9R0BZfMypjR1njNjKoAIQlk9nKmtrCuTy7pE7hml rDg9IifhN76Gw0l71VUj9kvklTiuu5VNsk7F9cDLpfKq/7tohiI7DTudP6LlNgTe ulnW8D9h+bsWgxpFpc39G4aqmpn34I7PwN/BTRKkNSMHAkzOFf2q6hVQpoE4MBrh TrZyMYFuLC64orme2JA+S1jOgXFGx5Rbnyh0MPTowwL3b3IYLW3gDfq6J5Wg34HA 0FwxIxmPtki2nwLTaZafCoIIGFsgYQR9GG1UPjJWt6knp1inTXOSc0e5hTWf/VI= =fZI4 -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
Christian Meseberg -
Daniel Bauer -
Heinz Diehl -
Lutz Thuns