| Author |
Message |
|
|
|
Post subject: Problem mit crypttab bzw. verschlüsselten Partitionen
 Posted: Oct 03, 2008 - 08:31 PM
|
|
Joined: Aug 27, 2007
Posts: 37
Status: Offline
|
|
Hallo,
habe in einer virtuellen Maschine das Verschlüsseln des gesamten Systems bei der Installation getestet. Habe mich an die Anleitungen gehalten und 2 Partitionen verschlüsselt:
/dev/sda4 -> /
/dev/sda3 ->/home
Für sda4 fragt er auch nett nach dem Passwort und booted dann. Für sda3 macht er es nicht. demzufolge existiert dann auch kein /dev/mapper/cryptHome und demzufolge schlägt dann auch das Mounten mittels fstab fehl. Ich kann mich dann in der Konsole als root einloggen und Home manuell einbinden:
cryptsetup luksOpen /dev/sda3 cryptHome
und anschliessendes Mounten.
Wo liegt nun der Fehler?
(edit: auf Sachen wie LVM habe ich verzichtet)
meine crypttab
Code:
cryptRoot /dev/sda4 none luks
cryptHome /dev/sda3 none luks
edit: ich habe die aktuelle sidux-DVD verwendet, also 2008-03 |
Last edited by gerd on Oct 14, 2008 - 07:31 PM; edited 1 time in total
|
| |
|
|
|
 |
|
|
|
Post subject: RE: Problem mit crypttab bzw. verschlüsselten Partitionen
Posted: Oct 05, 2008 - 06:41 PM
|
|
Joined: Jun 17, 2007
Posts: 498
Location: Buchholz i.d.N.
Status: Offline
|
|
Scheint irgendwie ourea-basiert zu sein - mit Erebos gings noch. Leider habe ich bislang nicht herausfinden können, an welchem Punkt das neuerdings schiefgeht.
Ich hätte die Interpretation von crypttab für fehlerhaft gehalten, aber das entsprechende Skript ist mir noch nicht verständlich. |
_________________
- stell @ jabber.crashmail.de -
[blog.crashmail.de] [last.fm-Profil]
|
| |
|
|
|
|
|
|
|
Post subject:
Posted: Oct 06, 2008 - 08:08 PM
|
|
Joined: Jun 17, 2007
Posts: 498
Location: Buchholz i.d.N.
Status: Offline
|
|
Hi,
ich habe mir nochmal ein paar Stunden mit dem Problem abgeknobelt.
Das Problem ist ja, dass die verschlüsselte Partition /dev/sda3 nicht eingebunden wird, bevor checkfs und lvm2 darauf zugreifen wollen. Die /etc/crypttab, der ich das Problem zuerst zugeschrieben hatte, ist jedoch richtig.
Ich habe testweise in rcconf mal cryptdisks rausgeworfen und stattdessen cryptdisks-early aktiviert. Hat in der Form auch noch nichts gebracht. Erfolg hatte ich hingegen mit dem Erstellen des folgenden Symlinks:
Code:
cd /etc/rcS.d && ln -s ../init.d/cryptdisks-early S25cryptdisks-early
Das sorgt dafür, dass cryptdisks-early noch vor checkfs und lvm2 ausgeführt wird, sodass die nachfolgenden Routinen nicht an die Wand fahren.
Soweit, so gut. Jetzt muss mir nur noch jemand erklären, wie man sowas sauber löst, ob es sich dabei um einen Bug oder ein Feature handelt und ob ich mit der Kenntnis irgendwas anfangen muss?!  |
_________________
- stell @ jabber.crashmail.de -
[blog.crashmail.de] [last.fm-Profil]
|
| |
|
|
|
|
|
|
|
Post subject:
Posted: Oct 07, 2008 - 08:37 AM
|
|
Joined: Nov 30, 2006
Posts: 933
Location: DE, Südöstliches Oberbayern
Status: Offline
|
|
| @Steve: ich halte deine Lösung mit dem Symlink für okay. Muss ja auch so sein das zuerst die Cryptdisk aktiviert wird und danach der LVM seine VG/LV's/Filesysteme hochzieht. Entscheidend ist, wie du schon richtig erkannt hast, die Startreihenfole. |
_________________
Ciao bluelupo
PC: 2.6.27-6.slh.5-sidux-686 , AMD Athlon 64 3800+, NV 7600GT, 2 GB RAM
NB: ACER Aspire 5920G-702G25HN, 2.6.27-6.slh.5-sidux-amd64, Intel Core 2 Duo T7700 2,4 GHz, NV 8600GT, 4 GB RAM
|
| |
|
|
|
|
|
|
|
Post subject:
Posted: Oct 07, 2008 - 08:50 AM
|
|
Joined: Aug 27, 2007
Posts: 37
Status: Offline
|
|
Danke erst mal für die Antworten, aber ich verstehe immer noch nicht, was ursächlich für das Problem ist.
So wie ich das verstehe und es auch in dem englischen fulldiskencryption-text steht (ohne LVM zu benutzen):
- unformatierte Partitionen erstellen
- mit cryptsetup verschlüsseln
- in der Datei /etc/crypttab für jede verschlüsslte Partition einen Eintrag machen, damit diese beim Booten vom Dienst cryptdisks ausgewertet wird und die verschlüsslten Partitionen und /dev/mapper/ erscheinen
- per fstab werden die Partitionen unter /dev/mapper/ dann in das Dateisystem eingebunden
Bisher hat das so funktioniert.
Jetzt ist entweder irgendwo ein Bug neu reingekommen oder ich habe doch was falsch gemacht. Jedenfalls wird (seit sidux 2008-03!?)) nur der erste Eintrag in der crypttab ausgwertet. |
|
|
| |
|
|
|
|
|
|
|
Post subject:
Posted: Oct 07, 2008 - 10:08 AM
|
|
Joined: Jun 17, 2007
Posts: 498
Location: Buchholz i.d.N.
Status: Offline
|
|
Das Verhalten ist neu seit Ourea. Vorher hat es nach dem ursprünglichen HOWTO noch funktioniert.
Im Changelog zu cryptsetup bin ich auf die Schnelle aber nicht fündig geworden, was die Änderung ausgelöst haben könnte. Ich bin auch nicht Fachmann genug um herauszufinden, ob das beabsichtigtes Verhalten, oder ein Bug ist. |
_________________
- stell @ jabber.crashmail.de -
[blog.crashmail.de] [last.fm-Profil]
|
| |
|
|
|
|
|
|
|
Post subject: Bug with crypted disk
Posted: Oct 07, 2008 - 10:44 AM
|
|
Joined: Aug 27, 2007
Posts: 37
Status: Offline
|
|
|
|
|
|
|
|
|
Post subject:
Posted: Oct 07, 2008 - 03:19 PM
|
|
Joined: Jun 17, 2007
Posts: 498
Location: Buchholz i.d.N.
Status: Offline
|
|
Ich bin ja hartnäckig ...
Da ich auf meiner Workstation ohnehin ein verschlüsseltes LVM2-System haben wollte, habe ich mich heute erneut an das Tutorial gesetzt und nochmal alles Stück für Stück analysiert.
Fazit: Der von mir genannte Symlink reicht aus, cryptdisks-early ist nicht erforderlich. Es reicht aus, innerhalb der chroot-Umgebung lt. HOWTO ein
Code:
cd /etc/rcS.d && ln -s ../init.d/cryptdisks S25cryptdisks
auszuführen. Damit reiht sich cryptdisks wie folgt in den Bootprozess ein:
Quote:
[ ... ]
S20module-init-tools
S25cryptdisks
S26lvm2
S30checkfs.sh
[ ... ]
Funktioniert 1a. Mal gucken, wie lange ... |
_________________
- stell @ jabber.crashmail.de -
[blog.crashmail.de] [last.fm-Profil]
|
| |
|
|
|
|
|
|
|
Post subject: RE: Bug with crypted disk
Posted: Oct 07, 2008 - 05:01 PM
|
|
Joined: Nov 25, 2006
Posts: 530
|
|
aber auf jdem fall kein live-CD Fehler
Also zurück zu them thread |
_________________
Why do strong arms fatigue themselves with frivolous dumbbells?
To dig a vineyard is worthier exercise for men.
|
| |
|
|
|
|
|
|
|
Post subject: RE: Bug with crypted disk
Posted: Oct 14, 2008 - 07:26 PM
|
|
Joined: Aug 27, 2007
Posts: 37
Status: Offline
|
|
| Hatte jetzt mal Gelegenheit das zu testen. Es funktioniert |
|
|
| |
|
|
|
|
|
|
|
Post subject: RE: Bug with crypted disk
Posted: Oct 14, 2008 - 07:32 PM
|
|
Joined: Jun 17, 2007
Posts: 498
Location: Buchholz i.d.N.
Status: Offline
|
|
|
|
|
|
|
|
|
Post subject: RE: Bug with crypted disk
Posted: Oct 16, 2008 - 10:18 AM
|
|
Joined: Nov 30, 2006
Posts: 933
Location: DE, Südöstliches Oberbayern
Status: Offline
|
|
@all: ich habe bei der Cyrpt-Installation noch einen Bug der sidux-Install-GUI festgestellt. Beim Auswählen der Partitionen bzw. Mountpoinst auf den zweiten Reiter kann werden max. 5 Einträge angezeigt, d.h. evtl. noch vorhandene Partitionen werden unteschlagen. Mir ist das aufgefallen weil ich zusätzlich noch /tmp (dev/mapper/cryptVG-LVtmp) in einen eigenen Filesystem haben wollte und somit /dev/sda1 (/boot) nicht zur Auswahl stand.
Als Workaround empfiehlt sich auf dem letzten Reiter den Button "Config speichern" zu drücken und danach per Hand die Datei .sidconf (hieraus werden die Benutzereingaben aus der GUI eingelesen) die Variable HD_MAP um den Eintrag des fehlenden Devices/Mountpoint zu ergänzen. Bei mir war das dann "/dev/sda1:/boot". Erst jetzt kann die Installation gestartet werden.
EDIT: ich mach einen neuen Thread auf weil das ein Bug in der install-GUI ist |
_________________
Ciao bluelupo
PC: 2.6.27-6.slh.5-sidux-686 , AMD Athlon 64 3800+, NV 7600GT, 2 GB RAM
NB: ACER Aspire 5920G-702G25HN, 2.6.27-6.slh.5-sidux-amd64, Intel Core 2 Duo T7700 2,4 GHz, NV 8600GT, 4 GB RAM
|
| |
|
|
|
|
|
|
|
Post subject: RE: Bug with crypted disk
Posted: Oct 16, 2008 - 01:57 PM
|
|
Joined: Jun 17, 2007
Posts: 498
Location: Buchholz i.d.N.
Status: Offline
|
|
Bluelupo, wo wir gerade beim Thema sind. Auf welchem Gerät hast Du die Verschlüsselung umgesetzt? Auf dem Notebook mit 4GB RAM? (fette Kiste, btw).
Ich habe tmp ins RAM verschoben, da ich sowieso Hauptspeicher en masse habe und die Speicherbelastung eher zu vernachlässigen ist.
Code:
# Auszug aus /etc/fstab
tmpfs /tmp tmpfs defaults 0 0
tmpfs /var/tmp tmpfs defaults 0 0
|
_________________
- stell @ jabber.crashmail.de -
[blog.crashmail.de] [last.fm-Profil]
|
| |
|
|
|
|
|
|
|
Post subject: RE: Bug with crypted disk
Posted: Oct 16, 2008 - 03:49 PM
|
|
Joined: Nov 30, 2006
Posts: 933
Location: DE, Südöstliches Oberbayern
Status: Offline
|
|
| @Steve: auf meinen ACER Notebook hab ich es installiert. Läuft in der virtuellen Maschine von der Geschwindigkeit ganz brauchbar. Das mit dem tmp in den RAM verschieben mach ich nicht sonderlich gerne. Ich meine TMP als eigenes FS ist sicherer, da unabhängig vom Root-FS bzw. Hautspeicher. |
_________________
Ciao bluelupo
PC: 2.6.27-6.slh.5-sidux-686 , AMD Athlon 64 3800+, NV 7600GT, 2 GB RAM
NB: ACER Aspire 5920G-702G25HN, 2.6.27-6.slh.5-sidux-amd64, Intel Core 2 Duo T7700 2,4 GHz, NV 8600GT, 4 GB RAM
|
| |
|
|
|
|
|
|
|
Post subject: RE: Bug with crypted disk
Posted: Nov 02, 2008 - 01:23 PM
|
|
Joined: Nov 30, 2006
Posts: 933
Location: DE, Südöstliches Oberbayern
Status: Offline
|
|
@all: Die Anleitung im Wiki zur Verschlüsselung der kompletten Disk (FullDiscEncryptionLaptopLVM) hat einen Bug. Die Folge davon ist das sidux nicht bootet und mit einen blinkenden Cursor noch vor der Abfrage der Passphrase von LUKS stehen bleibt.
An der Stelle wo das Initscript cryptdiks eingebunden werden sollen macht rcconf einen entscheidenden Fehler bei der Erzeugung der Links in den einzelnen Runlevel-Verzeichnissen.
Ausschnitt aus Wikiartikel:
Code:
rcconf
Enable cryptdisks
exit
rcconf erzeugt nicht die richtigen Links in den jeweiligen RL-Verzeichnissen (/etc/rc*.d) z.B. werden S20cryptdisks-Links erzeugt und somit vor S20module-init-tools abgearbeitet werden. Das ist falsch so es muß genau umgekehrt sein. Erzeugt müssen die Links in rcS.d, rc0.d und rc6.d werden.
Ausschnitt aus /etc/init.d/cryptdisks:
Code:
### BEGIN INIT INFO
# Provides: cryptdisks
# Required-Start: checkroot cryptdisks-early
# Required-Stop: umountroot cryptdisks-early
# Should-Start: udev devfsd raid2 mdadm lvm2 evms
# Should-Stop: udev devfsd raid2 mdadm lvm2 evms
# X-Start-Before: checkfs
# Default-Start: S
# Default-Stop: 0 6
# Short-Description: Setup remaining encrypted block devices.
# Description:
### END INIT INFO
Mit rcconf werden stattdessen in jeden der RL-Verzeichnisse Links erzeugt und noch dazu stimmt die Reihenfolge beim Booten nicht.
Statt rcconf muß man update-rc.d verwenden. So geht's:
Code:
# update-rc.d -f cryptdisks remove
# update-rc.d cryptdisks start 25 S . stop 25 0 6 .
Dann sind folgende Links in RL-Verzeichnissen.
Code:
# find /etc/rc* -name "*cryptdisks"
/etc/rc0.d/K25cryptdisks
/etc/rc6.d/K25cryptdisks
/etc/rcS.d/S25cryptdisks
Ich werde es im Wiki an der entsprechenden Stelle berichtigen. |
_________________
Ciao bluelupo
PC: 2.6.27-6.slh.5-sidux-686 , AMD Athlon 64 3800+, NV 7600GT, 2 GB RAM
NB: ACER Aspire 5920G-702G25HN, 2.6.27-6.slh.5-sidux-amd64, Intel Core 2 Duo T7700 2,4 GHz, NV 8600GT, 4 GB RAM
|
| |
|
|
|
|
|
|
