Verschlüsselte Partition beim Boot einhängen

[Widar]

Hallo,

ich habe ein Problem meine Verschlüsselte Partition gleich beim Start einbinden zu lassen.
Verschlüsselt habe ich sie mit:

cryptsetup -c twofish-xts-plain -y -s 512 luksFormat /dev/sdx

Es geht auch alles, wenn ich sie von Hand einbinde, aber es klappt nicht beim booten, also sie wird nicht eingehangen und es kommt keine Passwortabfrage.

in der fstab habe ich folgendes eingetragen:

/dev/mapper/sowieso /sowieso ext3 defaults 0 0

In der crypttab habe ich folgendes Eingetragen:

sowieso /dev/sdx none luks,retry=3

Ich gehe davon aus das der Eintrag in der crypttab nicht richtig ist, aber wie muss er richtig lauten? Leider finde ich dazu nirgends was. Zumindest nicht wenn ichs mot Passphrase verschlüsselt habe und nicht mit nem Keyfile.

Wäre super wenn mir da jemand weiterhelfen könnte.

Gruß
Widar

 

[Gast1]

Mal in "man crypttab" nachgeschaut?

 

[schwedenmann]

Verschlüsselte Partition

Hallo


Du mußt afaik auch die /boot/grub/menu.lst anpassen

als Beispiel siehe

http://wiki.archlinux.org/index.php/LUKS_Encrypted_Root#.2Fboot.2Fgrub.2Fmenu.lst

mfg
schwedenmann

 

[Widar]

@ Rain_Maker

Da hatte ich natürlich nachgeschaut, aber:

Encrypted disk with twofish as cipher

sowieso /dev/sdx none cipher=twofish

bringt auch nur eine Fehlermeldung.


@ Schwedenmann

Es handelt sich nicht um die root Partition sondern um eine Partition wo meine privaten Daten drauf sind.

Gruß
Widar

 

[Gast1]

Wird denn das entsprechende init-script auch automatisch beim Booten gestartet?

Distribution wäre dahingehend auch gut zu wissen.

Ich habe hier eine vollverschlüsselte openSUSE-Installation, / und swap werden natürlich nicht über die inittab gestartet (also ist der Vorschlag von schwedenmann wie Du richtig erkannt hast nicht zielführend), die anderen Partitionen über die inittab und keyfiles:

Name_für_device_mapper      /dev/dingens /pfad/zum/Keyfile/keyfile  luks

für Öffnen mit Keyfile funktioniert hier, ersetze ich es durch

Name_für_device_mapper /dev/dingens none luks

werde ich nach dem PW gefragt.

Dazu muss aber das entsprechende Initscript (bei SUSI /etc/init.d/boot.crypto oder /etc/init.d/boot.crypto-early) auch beim Booten automatisch gestartet werden, sonst passiert gar nichts, was ich bei Dir als eigentliches Problem vermute.

 

[Widar]

Tut mir leid, mein Fehler.
Ich benutze Arch Linux.

Vorgegangen bin ich dort nach dem Wiki, da steht jedoch nichts von irgendwelchen Scripten. Jedoch wird dort auch nur erwähnt wie ich die Festplatte einbinde, nur wenn ich mit Keyfile einbinde und genau das will ich ja nicht.

Auch bin ich gerade verwirrt weil Du die inittab erwähnst.
In ihr stelle ich doch lediglich den Runlevel ein mit dem das System startet, welchen Loginmanager er starten soll und die Anzahl der Konsolen.

Gruß
Widar

 

[Gast1]

Auch bin ich gerade verwirrt weil Du die inittab erwähnst.

Zu Recht, das war ein "Fipptehler", sollte natürlich crypttab heissen.

 

[Widar]

Die Fehlermeldung beim booten ist folgende:

/sbin/cryptsetup.static Unknown action

Vielleicht hilft das noch weiter.


Gruß
Widar

 

[schwedenmann]

Verschlüsselung

Hallo


Läd der Kernel die benötigten Module für die Verschlüsselung ?
bzw. sind die Module im Kernel aktiviert ?
Wenn nein hilft ev. die Erstellung eins neuen Kernelimages mit den Modulen.

mfg
schwedenmann

 

[Widar]

Das kann natürlich sein. Von diesem Schritt stand nix im Wiki, deswegen habe ich an sowas nicht gedacht. Zwar habe ich die Module in der /etc/rc.conf eingetragen, aber dann werden sie wohl zu spät gestartet.

Neues Kernelimage? So langsam übersteigst meine Sphäre.

MfG
Widar

 

[Gast1]

Neues Kernelimage ist sicher nicht notwendig, wenn man die benötigten Module so früh wie möglich geladen haben will, dann kann man sie auch in die initrd einbinden und die initrd neu erstellen lassen.

Dazu steht sicher was im Wiki (hooks wird das IIRC bei Arch genannt).

 

[schwedenmann]

Archlinux

Hallo


Schau dir mal die /etc/makeinitcpio.conf an, besonders den Abschnitt HOOkS
an.

mfg
schwedenmann

 

[Widar]

Die mkinitcpio.conf hatte ich mir schon angeschaut.
Unter HOOKS habe ich vor Filesystem noch "encrypt" gesetzt.
Hat nix gebracht.
Jetzt habe ich noch mit
" mkinitcpio -g /boot/kernel26.img " das Image neu erstellt.
Trotz "encrypt" macht er nix außer das er mir die oben erwähnte Fehlermeldung rauswirft.

MfG Widar

 

[CMW]

pam mount

Oder mit:
http://pam-mount.sourceforge.net/

Dann werden die Platten nur dann eingehangen, wenn du sie brauchst. Und wenn dein Kennwort gleich dem der Platte ist, musst du nicht zwei Kennwörter tippen.

 

[Widar]

Danke, das werde ich mir nachher mal anschauen, muss erstmal ne verständliche Anleitung finden. Aus der Doku auf der Seite werde ich nicht ganz schlau.
Das was ich jetzt gefunden habe bezieht sich alles auf den GDM, ich benutze jedoch SLIM.

Wobei ich trotzdem gerne wissen und verstehen möchte worans beim "traditionellen" Weg hapert.

Trotzdem erst mal Danke.

MfG
Widar

 

[seim]

Was ist das für ein Programm? Besser oder schlechter als TrueCrypt ^.^?

 

[schwedenmann]

Verschlüselung

Hallo


@seim schrieb

Was ist das für ein Programm? Besser oder schlechter als TrueCrypt

Ist genausoi sicher, unsicher wie truiecrypt, nur mit dem Untercshied, daß man keie Winpartitonen verschlüsseln kann.

dmcrypt und luks ist das Stichwort.

http://www.andreas-janssen.de/cryptodisk.html

http://blog.roothell.org/archives/2...s-kompletten-Systems-unter-Ubuntu-Dapper.html

mfg
schwedenmann
.
.
.
EDIT (autom. Beitragszusammenführung) :
.
Hallo


Boote normal, hänge die partiton manuell ein und amch dann ein lsmod in der Konsole.

Das sollte dir eigentlich die Module anzeigen, die fürs Verschlüpseln geladen werden.

Dies Module dann dann in die /etc/rc.conf eintragen und und reboot.
Dann sollten die benötigten Module beim Booten geladen werden und du kannst das Mantra für die verschlüsselte Partition eingeben.

mfg
schwedenmann.

 

[Widar]

Wenn ichs von Hand mache, dann muss ich per modprobe noch 3 Module laden:

modprobe xts
modprobe twofish
modprobe dm-crypt

Das wars, aber wenn ich die 3 in die /etc/rc.conf eintrage, ändert sich trotzdem nix. Hab auch "encrypt" als HOOK gesetzt, bringt auch nix.

Ein Teufelskreis.


Grüße
Widar

 

[schwedenmann]

Verschlüsselung

Hallo

Hab auch "encrypt" als HOOK gesetzt, bringt auch nix.

Die Einträge bei HOOKS, weden ja erst wirksam, wenn du ein neues Kernelimage erzeugst, bzw. wenn pacman einen neuen Kernel installeirt, werden diuese Einstellungen für den kernel benutzt.

Ich würde einfach mal den aktuellen Kernel sichern und dann per ??? ein nuese Kernekimage erzeugen.

mfg
schwedenmann

 

[Widar]

Richtig, hab ich aber auch schon 2 mal gemacht.
Einmal nur mit der Ergänzung "encrypt" bei HOOKS.
Einmal inklusive der Module (eingetragen unter Modules in der mkinitcpio.conf).


Hab auch mal versucht anstatt

sowieso /dev/sdx none luks

diesen Eintrag zu nehmen

sowieso /dev/sdx ASK luks

Aber immer wieder kommt die gleiche Fehlermeldung


MfG
Widar
.
.
.
EDIT (autom. Beitragszusammenführung) :
.
Soa, habs raus bekommen.

Ich muss einfach das Wort "luks" entfernen, das ist alles.
Also einfach nur:

sowieso /dev/sdx ASK

in die crypttab eintragen.

Trotzdem danke für die Hilfe :-)