Welcome, Guest. Please login or register.
Did you miss your activation email?

Author Topic: [DE] Wie binde ich bei neuem System verschlüsselte Luks HDDs ein?  (Read 3977 times)

Offline Lanzi

  • User
  • Posts: 1.777

Bin seit gestern dabei meinen Rechner zu modernisieren. altes Board raus, neues Z170 mit Skylake rein und nun beginnen nach der Installationdes neuesten KDE-AMD64 Images die Probleme. Werde hier zu jedem einen Thread öffnen und auch die von mir gefundenen Bugs posten. Vielleicht auch nützlich in Hinblick auf das kommende Release.

Ein böses Problem macht mir gerade in bezug auf meine verschlüsselten Platten zu schaffen:

Das System fährt hoch, ist rebootbar und funktioniert, aber in dem Moment, wo ich einen Eintrag in der Crypttab vornehme bleibt der Bootvorgang kurz nach demGrub-Menu zum stehen.
(Exakt nach der Meldung "Loading: Mudule Microcode not found in modules.dep")

Ich habe keine Chance ein Passwort einzugeben.

Was kann ich tun?
« Last Edit: 2016/01/24, 16:25:28 by Lanzi »

Offline bluelupo

  • User
  • Posts: 2.068
    • BluelupoMe
Hi Lanzi,

kannst du denn die verschlüsselte Partition händisch einbinden wenn das System oben ist? Zeig bitte mal deine crypttab und fstab, sowie den Output von lsblk

Offline Lanzi

  • User
  • Posts: 1.777
Hi Bluelupo,
Hatte auf eine Antwort von Dir gehofft, da Du da immer sehr kompetent hilfst :-)
Leider ist seit Systemd das eine Dauerbaustelle gworden.

Ja, momentan boote ich händisch nach dem Start mit z.B.:

#cryptsetup luksOpen UUID=76816812-5cb9-43bc-a5d0-f8699cbxxxx disk1
# mount /dev/mapper/disk1 /Mountpunkt

die nicht funktionierende crypttab

Code: [Select]
# <target name>    <source device>        <key file>    <options>

disk1 UUID=76816812-5cb9-43bc-a5d0-f8699cb1d05d  none luks
disk2 UUID=b1eccf8d-507e-4142-8c89-8d4bf0537c02  none luks
disk3 UUID=8af84884-3b82-45cb-b1f3-220642754db0  none luks

disk1-backup UUID=8b04f057-281e-46a1-bd04-5e315b47cb76  none luks
disk2-backup UUID=2851b3d9-5519-4449-a44d-69dd24911db8  none luks
disk3-backup UUID=db6e6742-4539-4178-8cfe-d88d2268fd39  none luks

Die dazu passenden Einträge der fstab
Code: [Select]
/dev/mapper/disk1                      /Mountpunkt/disk1           ext4        auto,defaults    0    2
/dev/mapper/disk2                      /Mountpunkt/disk2           ext4        auto,defaults    0    2
/dev/mapper/disk3                      /Mountpunkt/disk3           ext4        auto,defaults    0    2


lsblk
Code: [Select]

NAME      MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda         8:0    0   2,7T  0 disk
└─sda1      8:1    0   2,7T  0 part
  └─disk3 253:2    0   2,7T  0 crypt /Mountpunkt/disk3
sdb         8:16   0 931,5G  0 disk
├─sdb1      8:17   0 781,3G  0 part  /
├─sdb2      8:18   0 117,2G  0 part  /disks/disk1part2
└─sdb3      8:19   0  33,1G  0 part  [SWAP]
sdc         8:32   0   2,7T  0 disk
└─sdc1      8:33   0   2,7T  0 part
sdd         8:48   0   5,5T  0 disk
└─sdd1      8:49   0   5,5T  0 part
  └─disk1 253:0    0   5,5T  0 crypt /Mountpunkt/disk1
sde         8:64   0   5,5T  0 disk
└─sde1      8:65   0   5,5T  0 part
  └─disk2 253:1    0   5,5T  0 crypt /Mountpunkt/disk2


Die Backupdisks sind zur Zeit nicht gemountet.

Habe übrigens versucht in grub die Option "quiet" rauszunehmen, in der Hoffnung, dann etwas eingeben zu können. Hat leider nichts gebracht.

Offline bluelupo

  • User
  • Posts: 2.068
    • BluelupoMe
Hi Lanzi,

hmmm, sieht eigentlich gut aus deine crypttab. Probier mal folgendes um den Fehler einzugrenzen:

* ersetze die UUID durch den Devicepfad
* binde erst mal eine verschlüsselte Disk in der crypttab ein
* dann das System booten

Wenn das klappt, die zweite verschlüsselte Disk aktivieren usw.

Ich kann mich erinnern das es Probleme gibt/gab wenn mehr als eine verschlüsselte Disk in der crypttab aktiv ist.
« Last Edit: 2016/01/25, 09:22:37 by bluelupo »

Offline der_bud

  • User
  • Posts: 1.072
  • member
... Ich kann mich erinnern das es Probleme gibt/gab wenn mehr als eine verschlüsselte Disk in der crypttab aktiv ist.
Bzw um genauer zu sein Probleme im Zusammenspiel zwischen cryptsetup und systemd wenn theoretisch mehr als ein boot-prompt (z.B Passwortabfrage) durch den User erledigt werden müsste. An irgendeiner Stelle soll dann um das Abzufangen eine Übergabe an plymouth erfolgen, daher muss das installiert sein, unabhängig davon ob man plymouth-bootsplahes hat/will/braucht. (Rein theoretisch, habe selber kein derartiges Setup;) )

Beispiel-Lesestoff: https://www.debian.org/releases/jessie/amd64/release-notes/ch-information.en.html#plymouth-required-for-boot-prompts ,
auf deutsch  https://www.debian.org/releases/jessie/amd64/release-notes/ch-information.de.html#plymouth-required-for-boot-prompts

Du lachst? Wieso lachst du? Das ist doch oft so, Leute lachen erst und dann sind sie tot.

Offline Lanzi

  • User
  • Posts: 1.777
Ja, genau dieses Probleme gabs beim letzten Mal, als Systemd auftauchte. Dauerte auch ne ganze Zeit, bis das dann lief. Eine Platte ging, aber bei mehreren Platten gabs gleichzeitige Abfragen.

Plymouth ist beim aktuellen KDE-iso mit drin. Brauche ich nochwas?
Eine Umstellung auf absolute Pfade dürfte nichts bringen, außer mehr Chaos.

Ich versuche jetzt mal, nur eine Platte beim Start zu mounten. Verspreche mir davon aber nichts, da vor 1,5 Jahren das Problem in den konkurrierenden Abfragen der Passwörter kam, nun kommt es zu keiner einzigen Abfrage, das System friert einfach ein... Kann sein dass es wartet, aber eine Eingabe ist nicht möglich!



Offline Lanzi

  • User
  • Posts: 1.777
@bud: ich lese gerade die links von Dir. Vlt. muss ich plymouth noch konfigurieren...

Melde mich

Offline Lanzi

  • User
  • Posts: 1.777
So, Bud brachte mich auf die Lösung - plymouth muss nicht nur installiert, es muss auch konfiguriert sein.

Anleitung:
 1. Plymouth installieren 
2. Plymouth konfigurieren: Infos: /usr/share/docs/plymouth/readme.debian 

Eine der folgenden drei zeilen zu /etc/initramfs-tools/modules zufügen:

KMS with Intel graphic cards     i915 modeset=1     
KMS with NVIDIA graphic cards     nouveau modeset=1     
KMS with AMD (ATI) graphic cards     radeon modeset=1     

3. Dann initrd auf den neusten Stand bringen: update-initramfs -u (als root).   


4. Bei Siduction bereits enthalten (also unnötig!), aber der Vollständigkeit halber erwähnt:
splash als Bootparameter zu grub zufügen. Dazu in /etc/default/grub splash ergänzen und ein update-grub durchführen


Problem: Da ich drei Platten habe, hatte ich bisher drei Abfragen nacheinander. Nun kommt nur noch eine einzige Abfrage nach dem Passwort von disk1. Dann kommt sofort der Login in den Displaymanager.
Da alle Platten bei mir das gleiche Passwort haben, sind TROTZDEM alle drei Platten gemountet. Zufall oder Absicht???
Wie auch immer, es läuft

Danke an alle Helfer... Wende mich nun erstmal den weiteren Problemen zu (siehe andere Threads).



Offline der_bud

  • User
  • Posts: 1.072
  • member
Habe in einer VM mal ein System installiert auf ein plain Luks device, mit kleiner Bootpartition dazu, kein LVM. Obwohl in grub und fstab und crypttab alles richtig aussieht (hinsichtlich UUID und so), und ich mehrfach reingechrootet bin und initramfs neu erstellt habe, grub reinstalliert habe, krieg ich auch Lanzis Symptome. Mit quiet in der Grubzeile scheint es bei 'nem modprobe zu hängen, nehme ich quiet raus ist die letze Meldung wo es hängt
Code: [Select]
Begin: Running /scripts/init-premount ...Blind passwort tippen hilft nicht.

Seh' grad Lanzis Antwort, da ich in Virtualbox weder Intel/Ati/Nvidia habe wüsste ich nicht was ich an Plymouth ausser das es installiert ist noch konfigurieren könnte, hm ...
Du lachst? Wieso lachst du? Das ist doch oft so, Leute lachen erst und dann sind sie tot.

Offline der_bud

  • User
  • Posts: 1.072
  • member
Antwort an mich selbst: nicht quiet rausnehmen, splash rausnehmen war die Lösung. Thx Alf  8)
Du lachst? Wieso lachst du? Das ist doch oft so, Leute lachen erst und dann sind sie tot.

Offline bluelupo

  • User
  • Posts: 2.068
    • BluelupoMe
Hi der_bud,

funktioniert nun dein Testszenario mit den Passworteingaben oder hast du nach wie vor das gleiche Fehlerbild?

Offline Lanzi

  • User
  • Posts: 1.777
Bud, danke für die Mühe... das ist nicht selbstverständlich, dass DU alles nachbastelst, um eine Lösung zu finden. Vielen Dank!

ich habe wieder was gelernt im Umgang mit Systemd, allerdings verstehe ich noch icht, warum ich nur noch nach einem Passwort gefragt werde. Das kann eigentlich nicht richtig sein!

Offline der_bud

  • User
  • Posts: 1.072
  • member
@bluelupo, ohne 'splash' in der Grub-Zeile kriege ich jetzt eine Passwort-Abfrage kurz nach Grub, dann wird sauber die Rootplatte entschlüsselt und das System hochgefahren.

@Lanzi, zuviele Lorbeeren. Ich hab Dein Problem einfach gern zum Anlass genommen meine ersten Gehversuche überhaupt mit verschlüsselten Platten zu machen, da ich im Hinterkopf habe auf meinem Notebook die eine oder andere Partition demnächst, wenn eine Neuinstallation fällig ist, zu verschlüsseln. Das war jetzt Plain-LUKS als Root für Cinnamon gedacht ( und dabei kam auch gleich noch ein Bugreport raus, weil nur der cli-installer /dev/mapper/cryptroot angezeigt hatte, der grafische nicht -  wenn ich mir die auftretenden Probleme anschaue vielleich besser so...).
Jetzt kann ich die Virtualdisk wieder plattmachen und nach Bluelupos Wikibeiträgen mich an LVM machen (hatt' ich auch noch nix mit zu tun... ;) )
Du lachst? Wieso lachst du? Das ist doch oft so, Leute lachen erst und dann sind sie tot.

Offline Lanzi

  • User
  • Posts: 1.777
Trotzdem Danke :-)

Ich selbst nutze seit einigen Jahren dm-crypt/luks verschlüsselte Platten. Hatte am ANfang etwas Probleme mir das mit dem mapper vorzustellen, aber im Grunde arbeitet das sehr gut und in all den Jahren hatte ich nie Plattenproblem oder Probleme irgendwas zu entschlüsseln. Mittlerweile nutze ich das selbst auf Usb-Platten standardmäßig.
Kann also eine klare Empfehlung aussprechen. Wobei man grundsätlich sagen muss, dass ein System sicherer ist, wenn auch das System ansich verschlüsselt ist, was bei mir nicht der Fall ist.
Da schaut man natürlich neidisch auf Debian und Ubuntu, die das bei der Installation schon anbieten.

Übrigens: Bluelup baut es mit LVM, ich hingegen spreche jede Disk direkt an. Probiere aus, was Dir besser liegt.

Die aktuelle ct hat auch nen Artikel über luks auf Ubuntu und das muss ich nochmal die Tage in Ruhe lesen, vlt. ist das noch was interessantes drin.

Nochmals danke fürs Feedback und die nette Kommunikation mit Euch beiden!

Offline bluelupo

  • User
  • Posts: 2.068
    • BluelupoMe
Hi Lanzi und der_bud,

ein verschlüsseltes System ab Installation aufzusetzen ist kein großes Problem (siehe meine Anleitung im Wiki). Meiner Meinung nach macht es keinen großen Sinn ein System nur "halb" zu versperren, z.B.  durch die Verschlüsselung des Home-Verzeichnisses (Partition). Der Aufwand ist faktisch identisch bei siduction, da es der Installer z.Zt. noch nicht unterstützt.

Warum den LVM noch zusätzlich mit einbringen? Das erhöht schlicht einfach die Flexibilität bei den FS-Zuschnitten.

Ich nutze auf einen LENOVO T430 und ACER Notebook seit Jahren eine Vollverschlüsselung mit LUKS/dmcrypt inkl. LVM ohne Probleme. Wenn jetzt noch der siduction Installer das anbieten würde - pefekt ;-)