Hallo zusammen, und ein gesundes neues Jahr 2011! ich nutze OS 11.3 und KDE 4.4.4 und habe verschiedenene Verzeichnisse mit Luks verschlüsselt. Diese werden via pam_mount nach dem Login entschlüsselt und gemountet. Beim Logout sollen sie automatisch umountet und wieder verschlüsselt werden. Dazu ist in /etc/login.defs die Option 'CLOSE_SESSIONS yes' gesetzt. Die Anmeldung klappt generell. Jetzt habe ich in /var/log/kdm.log gefunden, dass sich /home nicht aushängen lässt, weil es beschäftigt ist. Gehe ich nach dem Logout auf die Textkonsole, kann ich /home umounten. Auszug kdm.log: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ pam_mount(mount.c:64): umount messages: pam_mount(mount.c:68): umount: /home: device is busy. pam_mount(mount.c:68): (In some cases useful info about processes that use pam_mount(mount.c:68): the device is found by lsof(8) or fuser(1)) pam_mount(mount.c:68): umount /home failed with run_sync status 1 pam_mount(mount.c:68): Gerät /dev/mapper/_dev_md6 ist beschäftigt. pam_mount(mount.c:68): umount.crypt(crypto-dmc.c:168): Could not unload dm-crypt device "/dev/mapper/_dev_md6", cryptsetup returned HXproc status 240 pam_mount(mount.c:704): unmount of /dev/md6 failed ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ identischer Eintrag auch in /var/log/messages Das passiert aber nur, wenn ich zuvor auch eine Anwendung gestartet habe. Logge ich nach dem Login gleich wieder aus, wird auch /home ausgehängt. Ich sehe das nicht aus sicherheitstechnischer Sicht wegen unbefugtem Zugriff auf Daten, sondern wegen evtl. Beschädigung des Dateisystems. Ich kann jedenfalls nicht finden, ob dieses Dateisystem noch ordentlich ausgehängt wird. Beim runterfahren werden Einträge in /etc/crypttab zum umounten gesucht. Die ist bei mir wegen pam_mount leer, damit nicht schon beim booten nach den Passphrasen gefragt wird. Muss ich etwas unternehmen? Danke schon mal fürs Mitdenken. -- Grüße Christian Gut, das Audacious gerade von Don McLean - Miss American Pie spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 01.01.2011, Christian Meseberg wrote:
Die Anmeldung klappt generell. Jetzt habe ich in /var/log/kdm.log gefunden, dass sich /home nicht aushängen lässt, weil es beschäftigt ist.
Gehe ich nach dem Logout auf die Textkonsole, kann ich /home umounten.
Es ist in der Regel die grafische Oberflaeche, die /home am umount hindert. Im runlevel 3 ist das kein Problem.
Ich sehe das nicht aus sicherheitstechnischer Sicht wegen unbefugtem Zugriff auf Daten, sondern wegen evtl. Beschädigung des Dateisystems. Ich kann jedenfalls nicht finden, ob dieses Dateisystem noch ordentlich ausgehängt wird.
Ich denke, bei unverschluesselter rootpartition hast du ganz andere Sicherheitprobleme... -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Heinz Diehl meinte am Samstag, den 01.01.2011 um 16:44 Uhr wegen:/home lässt sich nicht aushängen
Ich denke, bei unverschluesselter rootpartition hast du ganz andere Sicherheitprobleme...
ich habe jetzt ein paar Tage Zeit und werde endlich mal Deinen Ratschlag umsetzen. Dazu habe ich noch zwei Fragen. kann ich einunddasselbe Keyfile für alle Partitionen verwenden? Wie kann ich verhindern, dass die Eingabe der Passphrase beim Booten übersprungen wird? Oder ist das bei verschlüsselter rootpartition nicht mehr möglich? Zumindest wäre ein Tip für die Verlängerung des Zeitfensters schon sehr hilfreich. -- Beste Grüße Christian Gut, das Audacious gerade von 1 - Alanah Miles - Black Velvet-One Hit Wonders Of The 90's - spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 01.01.2011 18:55, schrieb Christian Meseberg:
Hallo zusammen,
Hallo Christian!
Heinz Diehl meinte am Samstag, den 01.01.2011 um 16:44 Uhr wegen:/home lässt sich nicht aushängen
Ich denke, bei unverschluesselter rootpartition hast du ganz andere Sicherheitprobleme...
ich habe jetzt ein paar Tage Zeit und werde endlich mal Deinen Ratschlag umsetzen. Dazu habe ich noch zwei Fragen.
kann ich einunddasselbe Keyfile für alle Partitionen verwenden?
Kannst du. Vorsichtshalber solltest du aber dennoch auch noch ein Passwort für jede verschlüsselte Partition setzen, falls das Keyfile z.B. wegen eines kaputten Dateisystems nicht verfügbar ist oder du von einem Livesystem darauf zugreifen willst oder musst.
Wie kann ich verhindern, dass die Eingabe der Passphrase beim Booten übersprungen wird? Oder ist das bei verschlüsselter rootpartition nicht mehr möglich?
Zumindest wäre ein Tip für die Verlängerung des Zeitfensters schon sehr hilfreich.
Der Parameter timeout=0 in deiner /etc/crypttab macht das. Herbert -- Ist man in kleinen Dingen nicht geduldig, bringt man die großen Vorhaben zum Scheitern. -- Konfuzius (551-479 v. Chr.) -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Herbert Renkewitz meinte am Samstag, den 01.01.2011 um 21:41 Uhr wegen:/home lässt sich nicht aushängen
Wie kann ich verhindern, dass die Eingabe der Passphrase beim Booten übersprungen wird? Oder ist das bei verschlüsselter rootpartition nicht mehr möglich?
Zumindest wäre ein Tip für die Verlängerung des Zeitfensters schon sehr hilfreich.
Der Parameter timeout=0 in deiner /etc/crypttab macht das.
ok, vielen Dank. Ich muss aber jetzt doch mal nachfragen, wie ich /* auf Verschlüsselung umstelle, besser gesagt, wie Grub mit dem verschlüsselten rootverzeichnis umgeht. sollte ich wie hier beschrieben vorgehen, http://www.linux-magazin.de/Heft-Abo/Ausgaben/2006/10/Mobiler-Datentresor/%2... oder beherrscht die OS 11.3 cryptsetup in der initrd? Leider habe ich im opensuse-wiki nichts dazu gefunden. -- Beste Grüße Christian Gut, das Audacious gerade von Uriah Heep - Easy Livin' spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Christian Meseberg meinte am Sonntag, den 02.01.2011 um 11:30 Uhr wegen:/home lässt sich nicht aushängen
sollte ich wie hier beschrieben vorgehen, http://www.linux-magazin.de/Heft-Abo/Ausgaben/2006/10/Mobiler-Datentresor/%2... oder beherrscht die OS 11.3 cryptsetup in der initrd?
Leider habe ich im opensuse-wiki nichts dazu gefunden.
ich werde mich hiernach richten: http://en.opensuse.org/SBD:Encrypted_root_file_system -- Beste Grüße Christian Gut, das Audacious gerade von Troggs - With A Girl Like You spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 02.01.2011 11:30, schrieb Christian Meseberg:
[...] ok, vielen Dank. Ich muss aber jetzt doch mal nachfragen, wie ich /* auf Verschlüsselung umstelle, besser gesagt, wie Grub mit dem verschlüsselten rootverzeichnis umgeht.
sollte ich wie hier beschrieben vorgehen, http://www.linux-magazin.de/Heft-Abo/Ausgaben/2006/10/Mobiler-Datentresor/%2... oder beherrscht die OS 11.3 cryptsetup in der initrd?
Leider habe ich im opensuse-wiki nichts dazu gefunden.
Ich bin danach vorgegangen: http://en.opensuse.org/Encrypted_Root_File_System Weitere Infos (auf deutsch) findest du hier: http://de.opensuse.org/Verschl%C3%BCsselung_mit_LUKS Liebe Grüße Herbert -- Ich habe zu Hause im Schrank einen Schlips, notfalls bin ich bereit ihn auch zu tragen. -- Albert Einstein -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Herbert Renkewitz meinte am Sonntag, den 02.01.2011 um 12:14 Uhr wegen:/home lässt sich nicht aushängen
Ich bin danach vorgegangen:
Danke, Kann ich davon ausgehen, dass die dort beschriebene "Vorbereitung der Werkzeuge" inzwischen überholt ist? -- Beste Grüße Christian Gut, das Audacious gerade von BATA ILLIC / MICHAELA spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 02.01.2011 12:44, schrieb Christian Meseberg:
Hallo zusammen,
Herbert Renkewitz meinte am Sonntag, den 02.01.2011 um 12:14 Uhr wegen:/home lässt sich nicht aushängen
Ich bin danach vorgegangen:
Danke,
Kann ich davon ausgehen, dass die dort beschriebene "Vorbereitung der Werkzeuge" inzwischen überholt ist?
Hallo Christian der unter "Preparing the tools" beschriebene Fehler ist schon lange behoben und bezieht sich auf 10.3 Viel Erfolg Herbert -- Fast alles, was du tust, ist letzten Endes unwichtig. Aber es ist sehr wichtig, dass du es tust. -- Mahatma Gandhi -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Sunday 02 January 2011 12.44:13, Christian Meseberg wrote:
Hallo zusammen,
Herbert Renkewitz meinte am Sonntag, den 02.01.2011 um 12:14 Uhr wegen:/home lässt sich nicht aushängen
Ich bin danach vorgegangen:
Danke,
Kann ich davon ausgehen, dass die dort beschriebene "Vorbereitung der Werkzeuge" inzwischen überholt ist?
Hallo, ich habe soeben auf einem neuen PC 11.3 mit Voll-Verschlüsselung eingerichtet und mir dabei Schritt für Schritt alles aufgeschrieben. Es funktioniert bestens. Natürlich sind meine Disks anders als deine, ausserdem benutze ich Reiserfs. Ich habe für alle Disks den gleichen langen zufälligen Schlüssel verwendet. Bei der Erstinstallation (bei mir ab DVD) habe ich das Sytem dorthin installiert, wo später /home hinkommen wird und entsprechend /home dort wo später / sein wird. Ich häng mein Protokoll mal an, vielleicht hilft es, zumindest zum Vergleich mit den Online-Grbauchsanweisungen. Gruss Daniel -- Daniel Bauer photographer Basel Barcelona professional photography: http://www.daniel-bauer.com
Hallo zusammen, Daniel Bauer meinte am Sonntag, den 02.01.2011 um 13:28 Uhr wegen:/home lässt sich nicht aushängen
ich habe soeben auf einem neuen PC 11.3 mit Voll-Verschlüsselung eingerichtet und mir dabei Schritt für Schritt alles aufgeschrieben. Es funktioniert bestens.
Natürlich sind meine Disks anders als deine, ausserdem benutze ich Reiserfs. Ich habe für alle Disks den gleichen langen zufälligen Schlüssel verwendet.
Bei der Erstinstallation (bei mir ab DVD) habe ich das Sytem dorthin installiert, wo später /home hinkommen wird und entsprechend /home dort wo später / sein wird.
Ich häng mein Protokoll mal an, vielleicht hilft es, zumindest zum Vergleich mit den Online-Grbauchsanweisungen.
Danke, das wird mir sehr helfen und ich drucks mir gleich aus. Nachdem, das Backup der aktuellen Version fertig ist, mach ich mich gleich ran. Es kann ja eigentlich nicht viel schief gehen und das alte System bleibt hier auch solange am Laufen, bis ich sicher von der neuen verschl. Partition arbeiten kann. Die ist schon fertig und bald gehst los ;) -- Beste Grüße Christian Gut, das Audacious gerade von Deep Purple - Woman From Tokyo spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Christian Meseberg meinte am Sonntag, den 02.01.2011 um 14:47 Uhr wegen:/home lässt sich nicht aushängen .........
Ich häng mein Protokoll mal an, vielleicht hilft es, zumindest zum Vergleich mit den Online-Grbauchsanweisungen.
.......
der neuen verschl. Partition arbeiten kann. Die ist schon fertig und bald gehst los
habe jetzt alles soweit angepasst, dass ich vom neuen System auch mal booten möchte. Nur kann ich mkinitrd nicht erfolgreich ausführen. ~# mkinitrd -d /dev/mapper/md0 /root -f "dm-luks" Kernel image: /boot/vmlinuz-2.6.34.7-0.5-default Initrd image: /boot/initrd-2.6.34.7-0.5-default Kernel Modules: <not available> Could not find map /root/boot/System.map, please specify a correct file with -M. There was an error generating the initrd (9) Die laut Howto erforderlichen Kernelmodule dm-mod dm-crypt aes_586 blkcipher habe ich mit Yast in /etc/sysconfig -> System -> Kernel -> INITRD_MODULES eingetragen. Bei einem einfachen mkinitrd kommt die Meldung, dass blkcipher nicht gefunden werden kann. Installiert ist Kernel 2.6.34.7-0.5-default und dazu die passenden Kernel-default-devel sowie die kernel-rescourcen. ~ # mkinitrd Kernel image: /boot/vmlinuz-2.6.34.7-0.5-default Initrd image: /boot/initrd-2.6.34.7-0.5-default WARNING: All config files need .conf: /etc/modprobe.d/disable-rds, it will be ignored in a future release. KMS drivers: via-agp nouveau Root device: /dev/md5 (mounted on / as ext4) Resume device: /dev/disk/by-id/ata-SAMSUNG_HD502HI_S1VZJ9AS703574-part5 (/dev/sde5) modprobe: Module blkcipher not found. WARNING: no dependencies for kernel module 'blkcipher' found. Was kann ich da tun? Aktualisierung der Kernel-Module hat nichts gebracht. Ob blkcipher das Modul ist, was tatsächlich fehlt, ist auch fraglich. -- Beste Grüße Christian Gut, das Audacious gerade von CCR - Down On The Corner (1) spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 02.01.2011, Christian Meseberg wrote:
~# mkinitrd -d /dev/mapper/md0 /root -f "dm-luks"
Kernel image: /boot/vmlinuz-2.6.34.7-0.5-default Initrd image: /boot/initrd-2.6.34.7-0.5-default Kernel Modules: <not available> Could not find map /root/boot/System.map, please specify a correct file with -M. There was an error generating the initrd (9)
Der Aufruf ist falsch, mach' mal ein mkinitrd -d /dev/mapper/md0 -f "dm luks".
Die laut Howto erforderlichen Kernelmodule dm-mod dm-crypt aes_586 blkcipher habe ich mit Yast in /etc/sysconfig -> System -> Kernel -> INITRD_MODULES eingetragen.
Deine Module sind falsch eingetragen, sie heissen dm_mod und dm_crypt.
Bei einem einfachen mkinitrd kommt die Meldung, dass blkcipher nicht gefunden werden kann.
Bitte schick' mal die Ausgabe von cat /usr/src/linux/.config | grep CRYPTO_BLKCIPHER (oder wo auch immer deine Kernel config sich befindet). -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Heinz Diehl meinte am Sonntag, den 02.01.2011 um 17:45 Uhr wegen:Kernelmodule für Luks (war Re: /home lässt sich nicht aushängen)
Der Aufruf ist falsch, mach' mal ein
mkinitrd -d /dev/mapper/md0 -f "dm luks".
ok, in dem Wiki waren die unendlich viele Leerzeichen zwischen, dass ich zunächst ein /root interpretiert hatte. Beim Überlegen, was /root bei mir eigentlich bedeuten soll, kam ich dann schon drauf und es hat geklappt. Dennoch vielen Dank. Leider ist das verschlüsselt System dann nicht gleich hochgefahren, sondern kurz nach dem Entschlüsseln mit einem $ Zeichen endend hängen geblieben. Leider hat das mkinitrd auch die Einstellungen für das unverschlüsselte System überschrieben. Mit Failsaife konnte ich dann das verschlüsselte System bis zum KdE-Login hochfahren, aber X11 funktionierte dann nicht. Habe auf der Konsole mit mkinitrd wieder das alte System reaktiviert und bin nun eher ratlos. Von welcher Position aus muss ich 'mkinitrd -d /dev/mapper/md0 -f "dm luks"' ausführen, damit die unverschlüsselte Installation von Grub gestartet werden kann?
Die laut Howto erforderlichen Kernelmodule dm-mod dm-crypt aes_586 blkcipher habe ich mit Yast in /etc/sysconfig -> System -> Kernel -> INITRD_MODULES eingetragen.
Deine Module sind falsch eingetragen, sie heissen dm_mod und dm_crypt.
das überprüfe ich noch einmal, aber die Entschlüsselung hatte ja funktioniert.
Bei einem einfachen mkinitrd kommt die Meldung, dass blkcipher nicht gefunden werden kann.
Bitte schick' mal die Ausgabe von
cat /usr/src/linux/.config | grep CRYPTO_BLKCIPHER
(oder wo auch immer deine Kernel config sich befindet).
es liegt nicht dort, ist aber insoweit erledigt, weil diese Meldung nicht mehr auftaucht. Problem ist jetzt rauszufinden, warum das verschlüsselte System im Standard-Modus hängen blieb, aber als Failsafe gestartet werden konnte. Hier mal der Auszug aus der /boot/grub/menu.lst title OpenSuse 11.3 Luks root (hd0,0) kernel /vmlinuz-2.6.34.7-0.5-default root=/dev/md0 resume=/dev/mapper/md0 splash=silent quiet showopts vga=0x348 initrd /initrd-2.6.34.7-0.5-default Ist da was falsch? Wie kann ich X11 auf dem verschlüsselten System zum Laufen kriegen? -- Beste Grüße Christian Gut, das Audacious gerade von America - Horse With No Name spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Christian Meseberg meinte am Sonntag, den 02.01.2011 um 18:31 Uhr wegen:Kernelmodule für Luks (war Re: /home lässt sich nicht aushängen)
Bei einem einfachen mkinitrd kommt die Meldung, dass blkcipher nicht gefunden werden kann.
Bitte schick' mal die Ausgabe von
cat /usr/src/linux/.config | grep CRYPTO_BLKCIPHER
(oder wo auch immer deine Kernel config sich befindet).
es liegt nicht dort, ist aber insoweit erledigt, weil diese Meldung nicht mehr auftaucht.
sorry, da war ich unkonzentriert. blkcipher wird nicht gefunden, ist physikalisch aber in /usr/src/linux-2.6.34.7-0.5/crypto/blkcipher.c vorhanden. Ich habe nur eine .config unterhalb /usr/~ gefunden ~ # cat /usr/src/linux-2.6.34.7-0.5-obj/i386/default/.config | grep CRYPTO_BLKCIPHER CONFIG_CRYPTO_BLKCIPHER=m CONFIG_CRYPTO_BLKCIPHER2=y -- Beste Grüße Christian Gut, das Audacious gerade von America - Horse With No Name spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Christian Meseberg meinte am Sonntag, den 02.01.2011 um 19:01 Uhr wegen:Kernelmodule für Luks (war Re: /home lässt sich nicht aushängen)
sorry, da war ich unkonzentriert. blkcipher wird nicht gefunden, ist physikalisch aber in /usr/src/linux-2.6.34.7-0.5/crypto/blkcipher.c vorhanden.
Ich habe nur eine .config unterhalb /usr/~ gefunden ~ # cat /usr/src/linux-2.6.34.7-0.5-obj/i386/default/.config | grep CRYPTO_BLKCIPHER CONFIG_CRYPTO_BLKCIPHER=m CONFIG_CRYPTO_BLKCIPHER2=y
nochmal nicht aufgepasst, auch unter ~/i586/default/ gibt es eine .config. ~ # cat /usr/src/linux-2.6.34.7-0.5-obj/i586/default/.config | grep CRYPTO_BLKCIPHER CONFIG_CRYPTO_BLKCIPHER=m CONFIG_CRYPTO_BLKCIPHER2=y -- Beste Grüße Christian Gut, das Audacious gerade von Down - The Night They Drove Old Dixie spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 02.01.2011, Christian Meseberg wrote:
Von welcher Position aus muss ich 'mkinitrd -d /dev/mapper/md0 -f "dm luks"' ausführen, damit die unverschlüsselte Installation von Grub gestartet werden kann?
Hmm, ich verstehe deine Frage nicht. Grub liegt bei einem vollverschluesselten System normalerweise in /boot, welches eine eigene Partition sein sollte. Die ist auch gleichzeitig die eintigste, die nicht verschluesselt werden kann, weil ja da der kernel und die initrd liegen.
title OpenSuse 11.3 Luks root (hd0,0) kernel /vmlinuz-2.6.34.7-0.5-default root=/dev/md0 resume=/dev/mapper/md0 splash=silent quiet showopts vga=0x348
Es fehlt der Eintrag "luks_root" fuer dein root device, das root device selber ist auch falsch, und "resume" wird von deiner swap partition erwartet. Ein Vorschlagf von mir, der dich evtl. auf den richtigen Weg bringt: kernel /vmlinuz-2.6.34.7-0.5-default root=/dev/mapper/md0 luks_root=/dev/xxx luks="root" resume=/dev/mapper/swap splash=silent quiet showopts vga=0x348 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Heinz Diehl meinte am Sonntag, den 02.01.2011 um 19:27 Uhr wegen:Kernelmodule für Luks (war Re: /home lässt sich nicht aushängen)
On 02.01.2011, Christian Meseberg wrote:
Von welcher Position aus muss ich 'mkinitrd -d /dev/mapper/md0 -f "dm luks"' ausführen, damit die unverschlüsselte Installation von Grub gestartet werden kann?
Hmm, ich verstehe deine Frage nicht. Grub liegt bei einem vollverschluesselten System normalerweise in /boot, welches eine eigene Partition sein sollte. Die ist auch gleichzeitig die eintigste, die nicht verschluesselt werden kann, weil ja da der kernel und die initrd liegen.
das Problem ist, dass durch das 'mkinitrd -d /dev/mapper/md0 -f "dm luks"' die unverschlüsselte Installation unbrauchbar wird. Die initrd taugt dann nur noch für das verschlüsselte System. Ich glaube, ein Test in vbox wäre hier angebracht. Hatte mich gerade durch ein unbedachtes 'mkinitrd -d /dev/mapper/cr_md0 -f "dm luks"' komplett ausgesperrt. Auch Failsafe half da nicht mehr weiter, weil dieses letztendlich die verschlüsselte Partitionen bootete, was nunmehr mit cr_md0 nicht mehr möglich war. Was ich nicht ahnte war, das weder mit der Rettungskonsole vom Installationsmedium, noch von der OpenSuse 11.3 Live-CD ein Zugriff auf verschlüsselte Partitionen mittels 'cryptsetup luksOpen' möglich ist. Wenn ich das nur geahnt hätte, wäre eine Kopie der alten initrd im /boot/grub gespeichert. So blieb mir nur noch, den Bootloader mittels Neuinstallation/Aktualisierung zu richten. Dabei wurden gleich mal 1,8 GB Pakte auf ältere Versionen zurück gesetzt. Stellt sich mir die Frage, warum der frühere Weg über den Reparaturmodus von der Installations-DVD aufgegeben wurde.
title OpenSuse 11.3 Luks root (hd0,0) kernel /vmlinuz-2.6.34.7-0.5-default root=/dev/md0 resume=/dev/mapper/md0 splash=silent quiet showopts vga=0x348
Es fehlt der Eintrag "luks_root" fuer dein root device, das root device selber ist auch falsch, und "resume" wird von deiner swap partition erwartet. Ein Vorschlagf von mir, der dich evtl. auf den richtigen Weg bringt:
kernel /vmlinuz-2.6.34.7-0.5-default root=/dev/mapper/md0 luks_root=/dev/xxx luks="root" resume=/dev/mapper/swap splash=silent quiet showopts vga=0x348 ^^ ^^^ md0 wenn ich's nur wüsste ;)
Vielen Dank für den Vorschlag. Hat aber auch noch nicht zum Ziel geführt. Ich habe 3 verschiedene Anleitungen, einschl. der von Daniel, mit keiner kam ich zum Ziel. Das Problem ist, dass nach der Entschlüsselung /dev/mapper/md0 nicht gefunden wird. Leider stehen die einzelnen Meldungen in keiner log-Datei. Jetzt muss ich erstmal ausschlafen. Morgen versuch ich's mal mit LVM Da klappet eine verschlüsselte Installation von hause aus, las ich. Zuerst in der vbox ;) -- Beste Grüße Christian Gut, das Audacious gerade von Down - The Night They Drove Old Dixie spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 02.01.2011, Christian Meseberg wrote:
das Problem ist, dass durch das 'mkinitrd -d /dev/mapper/md0 -f "dm luks"' die unverschlüsselte Installation unbrauchbar wird. Die initrd taugt dann nur noch für das verschlüsselte System.
Ich weiss jetzt nicht, ob ich dich richtig verstehe, aber wenn du "mkinitrd -d" auf deine root partition loslaesst, sollte die schon mittels LUKS/dmcrypt eingerichtet sein. Alternativ dazu, wenn bereits alle Partitionen belegt sind, bietet es sich an, die root partition nach Booten von CD zu sichern, zu verschluesseln, anschliessend wieder zurueckzukopieren und danach die neue initrd zu erstellen (das ist nicht so einfach wie das HOWTO beschreibt, belies' dich vorher gut; Tip: chroot).
Das Problem ist, dass nach der Entschlüsselung /dev/mapper/md0 nicht gefunden wird. Leider stehen die einzelnen Meldungen in keiner log-Datei.
Evtl. hast du es mit einer "Ungereimtheit" in den bootscripts zu tun. Schau mal in boot.localfs und boot.crypto, da ist seit einigen Versionen ein Stolperstein: das lokale Filesystem kann unmoeglich vor dem crypto fs gemountet werden, denn damit wird die Partition nicht erkannt und du landest in der Wueste. # /etc/init.d/boot.crypto # ### BEGIN INIT INFO # Provides: boot.crypto # Required-Start: boot.device-mapper # Should-Start: boot.crypto-early # Required-Stop: boot.localfs boot.device-mapper # Should-Stop: $null # Default-Start: B # Default-Stop: $null # X-Interactive: true # Description: crypto file systems, part 2 # Short-Description: Enables crypto file systems that couldn't be enabled in first part ### END INIT INFO In "required-start" stand bei mir zuerst noch ein "boot.localfs", und das verhindert dass die verschl. root partition als solche gemountet wird. Also entfernen und ein "insserv -v". -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Heinz Diehl meinte am Samstag, den 01.01.2011 um 16:44 Uhr wegen:/home lässt sich nicht aushängen
Ich sehe das nicht aus sicherheitstechnischer Sicht wegen unbefugtem Zugriff auf Daten, sondern wegen evtl. Beschädigung des Dateisystems. Ich kann jedenfalls nicht finden, ob dieses Dateisystem noch ordentlich ausgehängt wird.
Ich denke, bei unverschluesselter rootpartition hast du ganz andere Sicherheitprobleme...
ich antworte mal auf diese ältere Mail. Die der letzten zwei Tage sind der Umstellung auf LVM zum Opfer gefallen, weil ich auch gleich /home mitgenommen habe und für die paar Mail mir keine Mühe machen will, diese aus dem alten /home zu holen. Die Verschlüsselung des rootverzeichnisses mit dmcrypt und luks ist mir nicht gelungen. Alle Deine Hinweise waren richtig und ich habe sie auch befolgt. Allerdings musste ich wegen eine Unkonzentriertheit dann aufgeben, da ich die alte Installation nicht mehr von der DVD wiederherstellen konnte. Es war ja nur die initrd, aber die letzte Aktualisierung via DVD hat das Netzwerk deaktiviert und ich habe es nicht wiederbeleben können. Nach all dem Frust habe ich auf verschlüsseltes LVM Volume installiert und das läuft jetzt prima. Die übrigen Partitionen binde ich mit Keyfile ein und dann soll es gut sein. Danke Dir für Deinen Anregungen und Allen, die geholfen haben. -- Beste Grüße Christian Gut, das Audacious gerade von Uriah Heep - Easy Livin' spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 03.01.2011, Christian Meseberg wrote:
Die Verschlüsselung des rootverzeichnisses mit dmcrypt und luks ist mir nicht gelungen. Alle Deine Hinweise waren richtig und ich habe sie auch befolgt. Allerdings musste ich wegen eine Unkonzentriertheit dann aufgeben, da ich die alte Installation nicht mehr von der DVD wiederherstellen konnte.
Eine kleine generelle Anmerkung am Rande: es waere evtl. auch fuer opensuse eine Idee, auf dracut umzustellen, damit haettest du es extrem leicht gehabt und den Aerger mit der initrd umgehen koennen. http://sourceforge.net/apps/trac/dracut/ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Heinz Diehl meinte am Montag, den 03.01.2011 um 19:33 Uhr wegen:Gelöst Root verschlüsseln (war Re: /home lässt sich nicht aushängen)
On 03.01.2011, Christian Meseberg wrote:
Die Verschlüsselung des rootverzeichnisses mit dmcrypt und luks ist mir nicht gelungen. Alle Deine Hinweise waren richtig und ich habe sie auch befolgt. Allerdings musste ich wegen eine Unkonzentriertheit dann aufgeben, da ich die alte Installation nicht mehr von der DVD wiederherstellen konnte.
Eine kleine generelle Anmerkung am Rande: es waere evtl. auch fuer opensuse eine Idee, auf dracut umzustellen, damit haettest du es extrem leicht gehabt und den Aerger mit der initrd umgehen koennen.
Insgesamt ist die Doku recht dürftig auf dem Gebiet. Es hat lange gebraucht bis ich rausfand, wie die keyfile an die Luksvolume zu übergeben sind. Leider kann man auch nicht erkennen, ob man eine Passphrase oder ein keyfile mit luksAddKey übergeben hat. So nahm ich zuerst an, das dort der Fehler lag. nun ist es erledigt und ich bin froh, mich wieder mit den Dingen zu beschäftigen, zu denen ich das Ganze brauche ;) -- Beste Grüße Christian Gut, das Audacious gerade von The Troggs - Wild Thing spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 03.01.2011, Christian Meseberg wrote:
Leider kann man auch nicht erkennen, ob man eine Passphrase oder ein keyfile mit luksAddKey übergeben hat.
Der benutzte keyslot enthaelt eine verschluesselte Kopie des master keys (aufgeblasen durch den AF-splitter), und die Passphrase/das Keyfile wird nur dazu benoetigt, den master key zu entschluesseln, zusammen mit den entspr. Parametern, die dazu noetig sind, wie die Anzahl der Wiederholungen (iteration count), das salting usw. (diese Daten sind im partition header gespeichert, siehe luksDump). Deswegen ist ein Keyfile eigentlich nichts anderes als eine Passphrase, die in einem File gespeichert ist, fuer LUKS also technisch gesehen dasselbe. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo zusammen, Heinz Diehl meinte am Montag, den 03.01.2011 um 22:14 Uhr wegen:Gelöst Root verschlüsseln (war Re: /home lässt sich nicht aushängen)
On 03.01.2011, Christian Meseberg wrote:
Leider kann man auch nicht erkennen, ob man eine Passphrase oder ein keyfile mit luksAddKey übergeben hat.
Der benutzte keyslot enthaelt eine verschluesselte Kopie des master keys (aufgeblasen durch den AF-splitter), und die Passphrase/das Keyfile wird nur dazu benoetigt, den master key zu entschluesseln, zusammen mit den entspr. Parametern, die dazu noetig sind, wie die Anzahl der Wiederholungen (iteration count), das salting usw. (diese Daten sind im partition header gespeichert, siehe luksDump).
Deswegen ist ein Keyfile eigentlich nichts anderes als eine Passphrase, die in einem File gespeichert ist, fuer LUKS also technisch gesehen dasselbe.
das ist mir schon klar, nur die Ausgabe von 'cryptsetup luksDump /dev/xy' zeigt keinen für mich erkennbaren Unterschied zwischen dem Slot mit normaler Passphrase und dem mit dem Keyfile. Ich war zunächst unsicher, ob der Keyfile denn überhaupt ordentlich eingetragen wurde. Vielen Dank für die Erläuterungen. -- Beste Grüße Christian Gut, das Audacious gerade von Blondie - Heart of Glass spielt :music: -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 04.01.2011, Christian Meseberg wrote:
das ist mir schon klar, nur die Ausgabe von 'cryptsetup luksDump /dev/xy' zeigt keinen für mich erkennbaren Unterschied zwischen dem Slot mit normaler Passphrase und dem mit dem Keyfile.
Ja, eben weil rein technisch gesehen kein Unterschied besteht, und damit die Daten im partition header gleichartig sind. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
Christian Meseberg
-
Daniel Bauer
-
Heinz Diehl
-
Herbert Renkewitz