oSS15.4 Änderung Kernelparameter für luks/cryptsetup gegenüber oS15.3
Moin, Um mein System abzusichern sind das root und /home über luks und zwei Keyfiles abgesichert. Beim Starten wartet die initrd darauf das ein USB-Stick mit einem bestimmten Namen und Keyfile eingesteckt ist. Dann wird das root über Kernelparamter entschlüsselt und danach das /home über die crypttab. Unter oS15.3 funktioniert das auch einwandfrei aber unter oS15.4b wird zwar der USB-Stick erkannt, geöffnet und auch das Keyfile geöffnet. Danach sehe ich die "Hilfeseite" vom cryptsetup. Es sieht für mich so aus als wenn cryptsetup falsch aufgerufen wird. Was hat sich denn an den Kernelparameter zwischen oS15.3 zu oS15.4 geändert? Aus den Meldungen von dmesg werde ich auch nicht schlau: [ 2.540527] dracut: openSUSE Leap-15.4 [ 2.581201] dracut: rd.luks.key: keypath='/achim-root.key' keydev='LABEL=KEY' luksdev='' [ 2.964349] dracut: Starting plymouth daemon [ 7.511872] dracut: luksOpen /dev/sda6 luks-xxxxxx [ 8.543738] dracut: No key found for /dev/sda6. Will try 10 time(s) more later. [ 9.125426] dracut: Probing /dev/sdi2 for /achim-root.key... [ 9.286698] dracut: Found /achim-root.key on /dev/sdi2 [ 9.336537] dracut: luksOpen /dev/sda6 luks-xxxxxx [ 9.368008] dracut: Using '/achim-root.key' on '/dev/sdi2' [ Hier kommt dann die "Hilfeseite" vom cryptsetup] unter oS 15.3 habe ich folgende Kernelparameter: #linux /vmlinuz-5.3.18-59.10-preempt root=UUID=xxxxx-... noresume rd.luks.key=/achim-root.key:LABEL=KEY rd.luks.crypttab=no mitigations=auto unter oS15.4b #linux /vmlinuz-5.14.21-150400.10-default root=UUID=xxxxx-... noresume rd.luks.key=/achim-root.key:LABEL=KEY rd.luks.crypttab=no mitigations=auto Auch eine Erweiterung der Kernelparamater, wie ich sie bei eine RedHat-Derivat verwende, bringt keine Änderung. #linux /vmlinuz-5.14.21-150400.10-default root=UUID=xxxxx-... noresume rd.luks.uuid=luks-xxxxx rd.luks.key=/achim-root.key:LABEL=KEY rd.luks.options=luks-xxxxx=discard,keyfile-timeout=30s Any hint? -- MfG Achim Theobald
Hallo Achim, hallo zusammen, Am Sonntag, 6. März 2022, 15:29:07 CET schrieb Achim Theobald:
Um mein System abzusichern sind das root und /home über luks und zwei Keyfiles abgesichert. Beim Starten wartet die initrd darauf das ein USB-Stick mit einem bestimmten Namen und Keyfile eingesteckt ist. Dann wird das root über Kernelparamter entschlüsselt und danach das /home über die crypttab. Unter oS15.3 funktioniert das auch einwandfrei aber unter oS15.4b wird zwar der USB-Stick erkannt, geöffnet und auch das Keyfile geöffnet. Danach sehe ich die "Hilfeseite" vom cryptsetup. Es sieht für mich so aus als wenn cryptsetup falsch aufgerufen wird. Was hat sich denn an den Kernelparameter zwischen oS15.3 zu oS15.4 geändert?
Ich glaube nicht, dass es an den Kernelparametern hängt. Eher an cryptsetup bzw. wie es von dracut aufgerufen wird.
Aus den Meldungen von dmesg werde ich auch nicht schlau: [...] [ 9.286698] dracut: Found /achim-root.key on /dev/sdi2 [ 9.336537] dracut: luksOpen /dev/sda6 luks-xxxxxx [ 9.368008] dracut: Using '/achim-root.key' on '/dev/sdi2'
[ Hier kommt dann die "Hilfeseite" vom cryptsetup]
Kannst Du diesen Teil bitte mal zeigen? Ich vermute, dass sich am Anfang oder am Ende der Hilfeseite eine Fehlermeldung versteckt ;-) Schuss ins Blaue: In 15.4 gibt es eine neuere Version von cryptsetup, evtl. erwartet die andere Parameter - und das muss dann beim Aufruf durch dracut entsprechend angepasst werden. Die dracut-Version in 15.4 ist übrigens auch neuer, was aber am vermuteten Problem (dracut ruft cryptsetup mit falschen Parametern auf) nicht viel ändert. Es läuft wohl darauf hinaus, dass Du einen Bugreport aufmachen solltest. Dafür ist aber eine genaue Fehlermeldung (s. o.) hilfreich ;-) Gruß Christian Boltz --
bei Bernd ist alles Zufall. Glaubst Du nicht, dass da Kristallkugel.pl zugeschlagen hat? Ich bin mir sicher, dass Bernd sowas auf seinem Rechner hat ;-) [> Michael Schulz u. Manfred Tremmel über Bernd Brodesser in suse-linux]
Moin Christian, moin alle anderen, Zuerst mal Danke für die Rückmeldung.
Hallo Achim, hallo zusammen,
Am Sonntag, 6. März 2022, 15:29:07 CET schrieb Achim Theobald:
Um mein System abzusichern sind das root und /home über luks und zwei Keyfiles abgesichert. Beim Starten wartet die initrd darauf das ein USB-Stick mit einem bestimmten Namen und Keyfile eingesteckt ist. Dann wird das root über Kernelparamter entschlüsselt und danach das /home über die crypttab. Unter oS15.3 funktioniert das auch einwandfrei aber unter oS15.4b wird zwar der USB-Stick erkannt, geöffnet und auch das Keyfile geöffnet. Danach sehe ich die "Hilfeseite" vom cryptsetup. Es sieht für mich so aus als wenn cryptsetup falsch aufgerufen wird. Was hat sich denn an den Kernelparameter zwischen oS15.3 zu oS15.4 geändert?
Ich glaube nicht, dass es an den Kernelparametern hängt. Eher an cryptsetup bzw. wie es von dracut aufgerufen wird.
Aus den Meldungen von dmesg werde ich auch nicht schlau: [...] [ 9.286698] dracut: Found /achim-root.key on /dev/sdi2 [ 9.336537] dracut: luksOpen /dev/sda6 luks-xxxxxx [ 9.368008] dracut: Using '/achim-root.key' on '/dev/sdi2'
[ Hier kommt dann die "Hilfeseite" vom cryptsetup]
Am Ende der Hilfeseite steht dann noch: cryptsetup: Unknown action. Dann kommt die Abfrage nach dem Passwort. Auch in der boot.msg steht nicht wesentlich mehr. <6>[ 8.314833] sdi: sdi1 sdi2 <5>[ 8.332818] sd 10:0:0:0: [sdi] Attached SCSI removable disk <7>[ 8.698566] dracut: No key found for /dev/sda6. Will try 10 time(s) more later. <7>[ 9.264727] dracut: Probing /dev/sdi2 for /achim-root.key... <6>[ 9.387689] EXT4-fs (sdi2): mounting ext2 file system using the ext4 subsystem <6>[ 9.407155] EXT4-fs (sdi2): mounted filesystem without journal. Opts: (null). Quota mode: none. <7>[ 9.426410] dracut: Found /achim-root.key on /dev/sdi2 <7>[ 9.468683] dracut: luksOpen /dev/sda6 luks-3677335f-b82c-441d-918a-c0f5c6dd56de <7>[ 9.500414] dracut: Using '/achim-root.key' on '/dev/sdi2' <6>[ 9.561170] EXT4-fs (sdi2): mounting ext2 file system using the ext4 subsystem <6>[ 9.564965] EXT4-fs (sdi2): mounted filesystem without journal. Opts: (null). Quota mode: none. Da ich von der initrd wenig Ahnung habe, wo finde ich denn Settings wie dracut das cryptsetup aufgeruft? Ein manueller Aufruf, wie auch das einlesen der crypttab funktionieren ja. Nur beim Aufruf über die Kernelparameter liegt etwas im Argen.
Kannst Du diesen Teil bitte mal zeigen? Ich vermute, dass sich am Anfang oder am Ende der Hilfeseite eine Fehlermeldung versteckt ;-)
Schuss ins Blaue: In 15.4 gibt es eine neuere Version von cryptsetup, evtl. erwartet die andere Parameter - und das muss dann beim Aufruf durch dracut entsprechend angepasst werden.
Die dracut-Version in 15.4 ist übrigens auch neuer, was aber am vermuteten Problem (dracut ruft cryptsetup mit falschen Parametern auf) nicht viel ändert.
Es läuft wohl darauf hinaus, dass Du einen Bugreport aufmachen solltest. Dafür ist aber eine genaue Fehlermeldung (s. o.) hilfreich ;-)
Gruß
Christian Boltz --
bei Bernd ist alles Zufall. Glaubst Du nicht, dass da Kristallkugel.pl zugeschlagen hat? Ich bin mir sicher, dass Bernd sowas auf seinem Rechner hat ;-) [> Michael Schulz u. Manfred Tremmel über Bernd Brodesser in suse-linux]
Hallo Achim, hallo zusammen, Am Samstag, den 12.03.2022, 11:19 +0100 schrieb Achim Theobald: [...]
<6>[ 8.314833] sdi: sdi1 sdi2 ^^^^^^^^^^^^^^^^ <5>[ 8.332818] sd 10:0:0:0: [sdi] Attached SCSI ^^^^^ removable disk <7>[ 8.698566] dracut: No key found for /dev/sda6. Will try 10 time(s) more later. <7>[ 9.264727] dracut: Probing /dev/sdi2 for ^^^^^^ /achim-root.key... <6>[ 9.387689] EXT4-fs (sdi2): mounting ext2 file ^^^^^^ system using the ext4 subsystem <6>[ 9.407155] EXT4-fs (sdi2): mounted filesystem ^^^^^^ without journal. Opts: (null). Quota mode: none. <7>[ 9.426410] dracut: Found /achim-root.key on /dev/sdi2 ^^^^^^ <7>[ 9.468683] dracut: luksOpen /dev/sda6 luks- 3677335f-b82c-441d-918a-c0f5c6dd56de <7>[ 9.500414] dracut: Using '/achim-root.key' on '/dev/sdi2' ^^^^^^ <6>[ 9.561170] EXT4-fs (sdi2): mounting ext2 file ^^^^^^ system using the ext4 subsystem <6>[ 9.564965] EXT4-fs (sdi2): mounted filesystem ^^^^^^ without journal. Opts: (null). Quota mode: none. [...]
Gibt es an dem Rechner außer der Festplatte/SSD (auf der Du leap 15.4 beta installiertest) und dem USB- Stick (auf dem die Schlüsseldatei liegt) wirklich 7 weitere Geräte (SSDs, Festplatten, USB-Geräte, Kartenlesegeräte & Co.)? /dev/sdi (siehe ^^^^) erscheint mir ein sehr hoher bzw. später Gerätename. Wenn neben der Festplatte/SSD, auf der das Betriebssystem installiert ist, nur der USB- Stick mit der Schlüsseldatei angeschlossen ist, sollte das Gerät des USB-Sticks /dev/sdb oder meinetwegen /dev/sdc heißen (aber nicht /dev/sdi). Moment, jetzt wo ich das schreibe, fällt mit etwas ein: Ist das USB-Gerät mit der Schlüsseldatei evtl. über einen USB-Hub angeschlossen? Wenn ja, möchtest Du das USB-Gerät möglicherweise direkt am Rechner anschließen. Tschüß Carsten
Am 12.03.22 um 17:55 schrieb Carsten Grebehem:
... Moment, jetzt wo ich das schreibe, fällt mit etwas ein: Ist das USB-Gerät mit der Schlüsseldatei evtl. über einen USB-Hub angeschlossen? Wenn ja, möchtest Du das USB-Gerät möglicherweise direkt am Rechner anschließen. ... Hallo,
da könnte auch noch ein SD-Kartenlesemodul drin hängen, wie hier: $ l /dev/disk/by-path/ | grep sd.$ lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:14.0-usb-0:11.2:1.0-scsi-0:0:0:0 -> ../../sdd lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:14.0-usb-0:11.2:1.0-scsi-0:0:0:1 -> ../../sde lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:14.0-usb-0:11.2:1.0-scsi-0:0:0:2 -> ../../sdf lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:14.0-usb-0:11.2:1.0-scsi-0:0:0:3 -> ../../sdg lrwxrwxrwx 1 root root 9 13. Mär 10:09 pci-0000:00:14.0-usb-0:11.4:1.0-scsi-0:0:0:0 -> ../../sdh lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:17.0-ata-1 -> ../../sda lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:17.0-ata-1.0 -> ../../sda lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:17.0-ata-2 -> ../../sdb lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:17.0-ata-2.0 -> ../../sdb lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:17.0-ata-6 -> ../../sdc lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:17.0-ata-6.0 -> ../../sdc sda, sdb, sdc sind echte Festplatten, sdd, sde, sdf, sdg sind die (leeren) Kartenslots, und sdh ist ein USB-Stick, den ich eben eingesteckt habe. -- Viele Grüße Michael
Moin,
Genau so sieht es aus. Das Problem hat auch nichts damit zu tun ob der Stick jetzt sdi oder sdc ist.
Was ich bei meiner ganzen Problematik vergessen habe zu erwähnen ist, das auf dem Stick auch noch ein Key für /home ist, welche über die cryttab geöffnet wird und da funktioniert es wie gewünscht.
Cu
Achim
----- Ursprüngliche Mail -----
Von: "Michael Behrens"
... Moment, jetzt wo ich das schreibe, fällt mit etwas ein: Ist das USB-Gerät mit der Schlüsseldatei evtl. über einen USB-Hub angeschlossen? Wenn ja, möchtest Du das USB-Gerät möglicherweise direkt am Rechner anschließen. ... Hallo,
da könnte auch noch ein SD-Kartenlesemodul drin hängen, wie hier: $ l /dev/disk/by-path/ | grep sd.$ lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:14.0-usb-0:11.2:1.0-scsi-0:0:0:0 -> ../../sdd lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:14.0-usb-0:11.2:1.0-scsi-0:0:0:1 -> ../../sde lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:14.0-usb-0:11.2:1.0-scsi-0:0:0:2 -> ../../sdf lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:14.0-usb-0:11.2:1.0-scsi-0:0:0:3 -> ../../sdg lrwxrwxrwx 1 root root 9 13. Mär 10:09 pci-0000:00:14.0-usb-0:11.4:1.0-scsi-0:0:0:0 -> ../../sdh lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:17.0-ata-1 -> ../../sda lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:17.0-ata-1.0 -> ../../sda lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:17.0-ata-2 -> ../../sdb lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:17.0-ata-2.0 -> ../../sdb lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:17.0-ata-6 -> ../../sdc lrwxrwxrwx 1 root root 9 11. Mär 11:19 pci-0000:00:17.0-ata-6.0 -> ../../sdc sda, sdb, sdc sind echte Festplatten, sdd, sde, sdf, sdg sind die (leeren) Kartenslots, und sdh ist ein USB-Stick, den ich eben eingesteckt habe. -- Viele Grüße Michael
Hallo Achim, hallo zusammen, Am Samstag, 12. März 2022, 11:19:03 CET schrieb Achim Theobald:
Am Sonntag, 6. März 2022, 15:29:07 CET schrieb Achim Theobald: [...]
[ 9.286698] dracut: Found /achim-root.key on /dev/sdi2 [ 9.336537] dracut: luksOpen /dev/sda6 luks-xxxxxx [ 9.368008] dracut: Using '/achim-root.key' on '/dev/sdi2'
[ Hier kommt dann die "Hilfeseite" vom cryptsetup]
Am Ende der Hilfeseite steht dann noch:
cryptsetup: Unknown action.
Ah, das erklärt es - cryptsetup wird also tatsächlich "falsch" aufgerufen. [...]
Da ich von der initrd wenig Ahnung habe, wo finde ich denn Settings wie dracut das cryptsetup aufgeruft?
grep -r cryptsetup /usr/lib/dracut/ sollte einen ersten Einblick geben, aber Du musst Dir die jeweiligen Scripte wohl etwas genauer ansehen. Evtl. kannst Du da auch etwas Debugging-Code einbauen (vor dem Test-Reboot mkinitrd aufrufen, damit es auch benutzt wird). Aber: Das Problem ist IMHO auf jeden Fall einen Bugreport wert - statte also bitte Bugzilla mal einen Besuch ab und reiche einen Bug ein ;-) (falls Du den Assignee gleich setzen willst: dracut-maintainers AT suse.de) Gruß Christian Boltz -- Die SuSE 9.2 ist ein gutes Argument 20 Euro in die Hand zu nehmen und ein DVD-Laufwerk zu kaufen. [Manfred Tremmel in suse-linux]
Moin Christian, Mir ist gestern aufgefallen das offenbar /etc/sysconfig/kernel nicht eingelesen/ausgewertet wird. Die darinstehenden Module sind nicht in der initrd drin (INIRD_MODULES="nvidia loop dm-crypt fuse vfat") Daher Größe der initrd bei 15.3 ca. 55MB bei 15.4 ca. 20MB Ebenso werden die Module bei einem lsinitrd nicht angezeigt. Folgende Ausgabe fehlt bei 15.4: lsinitrd initrd | grep crypt Arguments: --logfile --force --force-drivers 'nvidia loop dm-crypt fuse vfat' Ob das jetzt etwas mit meiner Problematik zu tun hat, keine Ahnung. Ich werde mir heute Abend mal anschauen wie das mit Bugzilla funktioniert... Cu Achim ----- Ursprüngliche Mail -----
Von: "Christian Boltz"
An: "users-de" Gesendet: Sonntag, 13. März 2022 18:43:29 Betreff: Re: oSS15.4 Änderung Kernelparameter für luks/cryptsetup gegenüber oS15.3
Hallo Achim, hallo zusammen,
Am Samstag, 12. März 2022, 11:19:03 CET schrieb Achim Theobald:
Am Sonntag, 6. März 2022, 15:29:07 CET schrieb Achim Theobald: [...]
[ 9.286698] dracut: Found /achim-root.key on /dev/sdi2 [ 9.336537] dracut: luksOpen /dev/sda6 luks-xxxxxx [ 9.368008] dracut: Using '/achim-root.key' on '/dev/sdi2'
[ Hier kommt dann die "Hilfeseite" vom cryptsetup]
Am Ende der Hilfeseite steht dann noch:
cryptsetup: Unknown action.
Ah, das erklärt es - cryptsetup wird also tatsächlich "falsch" aufgerufen.
[...]
Da ich von der initrd wenig Ahnung habe, wo finde ich denn Settings wie dracut das cryptsetup aufgeruft?
grep -r cryptsetup /usr/lib/dracut/ sollte einen ersten Einblick geben, aber Du musst Dir die jeweiligen Scripte wohl etwas genauer ansehen. Evtl. kannst Du da auch etwas Debugging-Code einbauen (vor dem Test-Reboot mkinitrd aufrufen, damit es auch benutzt wird).
Aber: Das Problem ist IMHO auf jeden Fall einen Bugreport wert - statte also bitte Bugzilla mal einen Besuch ab und reiche einen Bug ein ;-) (falls Du den Assignee gleich setzen willst: dracut-maintainers AT suse.de)
Gruß
Christian Boltz -- Die SuSE 9.2 ist ein gutes Argument 20 Euro in die Hand zu nehmen und ein DVD-Laufwerk zu kaufen. [Manfred Tremmel in suse-linux]
participants (4)
-
Achim Theobald
-
Carsten Grebehem
-
Christian Boltz
-
Michael Behrens