Verschlüsselte SATA Platten - Automount?
Hat es jemand geschafft, mit dm-crypt verschlüsselte SATA Platten beim Einschieben automatisch eingehängt zu bekommen? Irgendwas hat da nicht ausreichend Rechte, und die Einstellung der Verschlüsselung geht nicht. Fehlermeldung ist org.freedesktop.hal.storage.crypto-setup-fixed auth_admin_keep_always und sonst nichts. Die Platte ist eine handelsübliche 3.5" SATA Platte im Wechselrahmen, der am mobo hängt. Das Problem wird sein, daß diese Platte nicht von einer Internen zu unterscheiden ist. Ich nehme mal an, eSATA Platten haben das gleiche Problem. Ich bin an USB nicht interessiert wenn es um GB geht (zu langsam, zuviel Fummelei mit Kabeln). Mit einem USB-Flash-Dings geht es aber problemlos. Die Vorgehensweise ist ca so: cryptsetup luksFormat /dev/sdh1 cryptsetup luksOpen /dev/sdh1 test mkreiserfs /dev/mapper/test mount /dev/mapper/test /mnt Das geht aber nur als root und ist daher nicht ultimativ akzeptabel. Danke im Voraus, Volker PS http://bugzilla.novell.com/show_bug.cgi?id=512936 -- Volker Kuhlmann is list0570 with the domain in header http://volker.dnsalias.net/ Please do not CC list postings to me. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Samstag, 13. Juni 2009 schrieb Volker Kuhlmann:
IMHO hast du ja schon im Prinzip die richtigen Stellschrauben gefunden. Mich wundert aber auch, daß deine Änderungen keinerlei Auswirkung haben. Was sagt denn "polkit-action --action org.freedesktop.hal.storage.mount-fixed" bzw. "polkit-action --action org.freedesktop.hal.storage.crypto-setup-fixed"? Siehst du dort deine Änderungen? Der Abschnitt "9.3.3 Modifying Configuration Files" ab Seite 106 in [0] beschreibt eine offizielle Möglichkeit, die Policies zu ändern. Das läuft ähnlich wie mit den normalen Permissions (siehe /etc/sysconfig/security). Vielleicht liegt es daran, daß deine Änderungen nichts bewirkt haben. Da die o. g. Actions ja ein "keep" in den Results haben, sollte eine einmalige Anmeldung pro Session ausreichen. Folgendes hilft vielleicht als Workaround oder zum schnelleren Ausprobieren von Änderungen: "polkit-auth --obtain org.freedesktop.hal.storage.mount-fixed" "polkit-auth --obtain org.freedesktop.hal.storage.crypto-setup-fixed" HTH Jan [0]http://www.novell.com/documentation/opensuse111/pdfdoc/opensuse111_security/... -- If you can't get the answer in the usual manner, start at the answer and derive the question. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Sat 13 Jun 2009 20:53:51 NZST +1200, Jan Ritzerfeld wrote: Danke Dir vielmals!
IMHO hast du ja schon im Prinzip die richtigen Stellschrauben gefunden.
Wenn's mir denn jetzt auch nützen würde - hal/dbus/policykit ist viel zu kompliziert. Dokumentation ist eher abwesend, Benutzer*verständliche* Dokumentation ist definitiv abwesend ;)
Mich wundert aber auch, daß deine Änderungen keinerlei Auswirkung haben. Was sagt denn "polkit-action --action org.freedesktop.hal.storage.mount-fixed" bzw. "polkit-action --action org.freedesktop.hal.storage.crypto-setup-fixed"? Siehst du dort deine Änderungen?
Hmm, nein. /usr/share/PolicyKit/policy/org.freedesktop.hal.storage.policy ist irgendwie die falsche Datei.
Der Abschnitt "9.3.3 Modifying Configuration Files" ab Seite 106 in [0] beschreibt eine offizielle Möglichkeit, die Policies zu ändern.
Danke!! Also mit polkit-gnome-authorization gesetzt: polkit-auth --explicit-detail org.freedesktop.hal.storage.crypto-setup-fixed Authorized: Yes Scope: Indefinitely Obtained: Sun Jun 14 22:36:12 2009 from user (uid 1000) Constraint: Session must be active org.freedesktop.hal.storage.mount-fixed Authorized: Yes Scope: Indefinitely Obtained: Sun Jun 14 23:25:33 2009 from user (uid 1000) Constraint: Session must be active Jetzt geht die Entschlüsselung, und mounting geht auch. Aber brauchbar ist das nicht wirklich: der Benutzer darf jetzt jede beliebige interne Platte abklemmen. Und er darf unmounten, kann aber dann die dm-crypt Sache nicht abklemmen. Also unterm Strich, es geht als root, aber nicht als Otto Normalverbraucher. :(( Volker -- Volker Kuhlmann is list0570 with the domain in header http://volker.dnsalias.net/ Please do not CC list postings to me. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Sonntag, 14. Juni 2009 schrieb Volker Kuhlmann:
On Sat 13 Jun 2009 20:53:51 NZST +1200, Jan Ritzerfeld wrote:
Danke Dir vielmals!
IMHO hast du ja schon im Prinzip die richtigen Stellschrauben gefunden.
Wenn's mir denn jetzt auch nützen würde - hal/dbus/policykit ist viel zu kompliziert. Dokumentation ist eher abwesend, Benutzer*verständliche* Dokumentation ist definitiv abwesend ;) (...).
Naja, im Normalfall läuft ja alles automatisch. Viele werden wohl noch externe USB-Festplatten benutzen, so wie ich, und damit funktioniert das mit der Verschlüsselung nahezu idiotensicher. Und ohne hal etc. machen gerade die an- und absteckbaren Geräte Ärger, da feste Einhängepunkte dafür eben ungeeignet sind.
Also unterm Strich, es geht als root, aber nicht als Otto Normalverbraucher. :((
Wie in der nachträglichen Antwort von mir verlinkt: Dolphin fehlt wohl einfach noch die Integration dieses PolicyKit-Features. Gruß Jan -- There are two reasons for doing things, a very good reason and the real reason. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Samstag, 13. Juni 2009 schrieb Volker Kuhlmann:
Upstream: http://bugs.kde.org/show_bug.cgi?id=179678 Gefunden über http://www.happyassassin.net/2009/01/05/policykit-and-kde-navit-and-more/ Vielleicht trägst du das in deinen Novell-Report noch ein. Ich kann das auch machen, bin mir aber nicht 100%ig sicher, daß es um genau dein Problem geht. Bin heute etwas lesefaul. :) Gruß Jan -- Ignorance is Bliss! - George Orwell -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (2)
-
Jan Ritzerfeld -
Volker Kuhlmann