DM-Crypt mit key-file

**-Haihappen-** · 05.09.08, 18:54

Hallo,
ich habe meine komplette Debian-Distribution in ein LVM installiert und dieses über den Debian-installer verschlüsselt. Klappt auch alles Wunderbar...

Der einzige Hacken die permanente Passwordabfrage beim Systemstart. Ich möchte das ganze nun über ein Keyfile über einen USB-Stick laufen lassen. Habe dazu folgende Anleitung verwendet http://www.andreas-janssen.de/cryptodisk.html.

Das einzige Problem bereitet mir dieses Skript:

#!/bin/sh
modprobe usb-storage 1>&2 #Kernelmodul für den USB-Stick laden
sleep 5 #5 Sekunden warten damit der Stick bereit ist
mkdir /usb 1>&2 #Mountpunkt anlegen
mount -t vfat -o ro,umask=077 /dev/sdc1 /usb 1>&2 #Stick mounten
cat /usb/key3 #Schlüssel ausgeben
umount /usb 1>&2 #USB-Stick aushängen

Bekomme beim Erstellen einer neuen initrd (update-initramfs -u) folgende Fehlermeldung:

update-initramfs: Generating /boot/initrd.img-2.6.26-1-486
cryptsetup: WARNING: target hda2_crypt has an invalid keyscript, skipped
cryptsetup: WARNING: target hda2_crypt has an invalid keyscript, skipped

Wie kann man das Problem lösen?

**Aqualung** · 05.09.08, 20:09

Wie sieht Deine "crypttab" aus?

**-Haihappen-** · 06.09.08, 11:36

Hier der meine "crypttab":

hda2_crypt /dev/hda2 none luks,keyscript=/root/keyscript

sda1_crypt /dev/sda1 /media/usb/key1 luks

sdb1_crypt /dev/sdb1 /media/usb/key2 luks

Zusatzinformation:
Beim Versuch des Hochfahrens über key-file erscheint folgende Warnung:

Über neuen 26er Kernel:

WARNING: Error inserting padlock_sha (/lib/modules/2.6.26-1-486/kernel/crypto/padlock-sha.ko): No such device

Über alten 25er Kernel:

WARNING: Error inserting padlock_sha (/lib/modules/2.6.26-1-486/kernel/crypto/padlock-sha.ko): No such device

und

Enter LUKS passphrase: [ 6.761046] hub 2-0:1.0: unable to enumerate USB device on port 3

**-Haihappen-** · 07.09.08, 18:55

Hat niemand eine Idee???

**Aqualung** · 07.09.08, 19:39

Code:

mount -t vfat -o ro,umask=077 /dev/sdc1 /usb 1>&2 #Stick mounten

Ist dieser mount zuverlässig? Vllt. statt "sdc1" "UUID=..." verwenden.
"/root/keyscript" ist ausführbar?

**assman** · 08.09.08, 18:26

Die UUID wird bei vfat nicht gehen, aber du kannst das über ein label mounten.
So habe ich das in meiner fstab:

Code:

LABEL=usbstick                                  /media/usbstick ext3 ro,noauto  0 0

Ich habe die ganze Sache zwar nur für 2 Festplatten und nicht für das ganze System, aber möglich das es dir hilft.

Das Script läuft bei mir nach dem Start:

Code:

#!/bin/bash
mount /media/usbstick
/sbin/cryptsetup luksOpen /dev/sdb1 crypt1 --key-file /media/usbstick/key
/sbin/cryptsetup luksOpen /dev/sdd1 crypt2 --key-file /media/usbstick/key
sleep 5
mount /media/crypt1
mount /media/crypt2
umount /media/usbstick && beep -f 1000 -n -f 2000 -n -f 1500 &

Das Passwort liegt in der Datei "key" auf dem USB Stick.

Rain_maker · 09.09.08, 15:54

Zitat von assman

Die UUID wird bei vfat nicht gehen,

Sicher?

Hier werden z.B. externe USB-Medien mittels UUID und einer entsprechenden HAL-Policy auf ihren "eigenen" Mountpunkt eingehängt, egal ob ext2/3, reiserfs oder VFAT/NTFS.

Nur weil Windows z.B. mit UUIDs nichts anfangen kann, heisst das nicht, daß es für VFAT/NTFS unter Linux keine UUIDs gibt, ein "/sbin/blkid" wird Dir auch für VFAT/NTFS-formatierte Partitionen eine UUID anzeigen.

Greetz,

RM

**Aqualung** · 09.09.08, 17:24

Zitat von Rain_maker

"/sbin/blkid" wird Dir auch für VFAT/NTFS-formatierte Partitionen eine UUID anzeigen.

ACK:

Code:

/sbin/blkid /dev/sda1
/dev/sda1: UUID="1D6C4FDC1EF9D928" TYPE="ntfs"
# mount -t ntfs-3g  UUID="1D6C4FDC1EF9D928" /windows
# mount | grep windows
/dev/sda1 on /windows type fuseblk (rw,allow_other,blksize=512)

**assman** · 09.09.08, 18:45

Ich hatte es nicht versucht, nur irgendwo mal gelesen.

Onkel Google hat noch einen guten Link zu dem Thema UUID ausgespuckt:
http://manual.sidux.com/de/part-uuid-de.htm

Obwohl FAT- und NTFS-Dateisysteme UUID nicht unterstützen, werden sie in by-uuid mit eindeutigen, singulären Identifikationsnummern gelistet

**-Haihappen-** · 10.09.08, 21:26

Danke für die vielen Antworten,
habe momentan leider wenig Zeit.

Habe das Ganze mit UUID getestet (ftsab u. keyscript verändert)...

Die keys auf dem Usb-Stick für die beiden zusätzlichen internen Platten werden richtig erkannt (beide Platten werden richtig gemountet).

Allerdings macht das keyscript nach wie vor Probleme (trotz einfügen des richtigen UUID Ausdrucks). So erscheinen die gleichen Fehlermeldungen wieder beim Hochfahren (siehe oben).

Paradox ist allerdings, dass der Rechner sogar ohne usb-stick (und Passwordabfrage) hochfährt, solange in der crybttab der querverweis zum keyscript vorhanden ist.
Sobald ich den Querverweis rausnehme kommt brav die Passwordabfrage zum Entschlüsseln der LVM-Volumen.

Woran kann das liegen?

**Aqualung** · 10.09.08, 22:36

Hier

Code:

mkdir /usb 1>&2 #Mountpunkt anlegen

würde ich aus Sicherheit ein

Code:

mkdir -f /usb 1>&2 #Mountpunkt anlegen

machen, sonst stolpert das Skript bei der 2. Ausführung.
Anderseits kann es nicht schaden, im keyskript volle Pfade zu verwenden, in welcher Umgebung wird es denn beim booten ausgeführt?
Ist es selbst überhaupt zugänglich?
Sind die verwendeten Befehle nicht in der verschlüsselten Partition?

**-Haihappen-** · 11.09.08, 16:32

Habe mein keyscript verändert ("abgespeckt"):

#!/bin/sh
modprobe usb-storage 1>&2 #Kernelmodul für den USB-Stick laden
sleep 5 #5 Sekunden warten damit der Stick bereit ist
mount -t vfat -o ro,umask=077 UUID="E4CA-77F4" /usb 1>&2 #Stick mounten
cat /usb/key3 #Schlüssel ausgeben
#umount /usb 1>&2 #USB-Stick aushängen

Das Skript liegt auf der nicht verschlüsselten Boot-Partition.
Im Anhang die Fehlermeldung.

**Aqualung** · 11.09.08, 17:54

Ja, da stehts doch "weiss auf schwarz":

"mount: no such file ..."

Du musst wahrscheinlich die gesamte zum mounten des USB-Sticks benötigte "Infrastruktur" (sh, Befehle, Mountpoint) im unverschlüsselten Bereich unterbringen.
Beachte, dass Du alle libs mitnimmst (LD_LIBRARY_PATH setzen) oder statische exes kompilieren.

**-Haihappen-** · 13.09.08, 14:41

Hallo Zusammen,
kurz nochmal eine
Beschreibung des aktuellen Problems:
Habe die komplette Linuxfestplatte verschlüsselt und kann sie nur durch eine Passwordeingabe beim Hochfahren (kurz nach GRUB) entschlüsseln. Will nun die Passwordabfrage durch ein Key-file ersetzen das auf einem USB-Stick gespeichert ist.

Mein Problem:
Trotz vieler Bemühungen kann beim Hochfahren nicht auf den USB-Stick zugegriffen werden, da die "mount" Funktion sich nicht initialisieren lässt.

Hier nochmal ein großes Dankeschön an "Aqualung" für seine Anleitung
(!Anleitung beseitigt aber leider immer noch nicht das Problem!)
Aqualungs Anleitung:

Könnte ein bisschen anstrengender werden:
mit

ldd /bin/mount

Kannst Du Dir die shared libs von mount anzeigen lassen.
Hier sieht das so

Code:

      ldd /bin/mount
        linux-gate.so.1 =>  (0xffffe000)
        libvolume_id.so.0 => /lib/libvolume_id.so.0 (0xb7f05000)
        libc.so.6 => /lib/libc.so.6 (0xb7dc2000)
        /lib/ld-linux.so.2 (0xb7f39000)

aus (bei Dir wahrscheinlich anders).
Nun legst Du auf /boot ein lib-,bin, mnt-Verzeichnis an

Code:

mkdir -p /boot/cr/lib
mkdir -p /boot/cr/bin
mkdir -p /boot/cr/mnt

Nun schaufelst Du mit

Code:

cp -a /bin/mount  /boot/cr/bin
cp -a  /lib/libvolume_id.so.0    /boot/cr/lib
....

Dann passt Du Dein keyscript an:

Am Anfang

Code:

export LD_LIBRARY_PATH=/boot/cr/lib

Dann statt "mount" "/boot/cr/bin/mount" usw.

Das musst Du für ALLE Befehle durchziehen.

Der mount müsste dann etwa lauten:

Code:

/boot/cr/bin/mount -t vfat -o ro,umask=077 UUID="E4CA-77F4"  /boot/cr/mnt 1>&2 #Stick mounten
cat  /boot/cr/mnt   #Schlüssel ausgeben

Leider hat es auch mit diesem Tipp nicht funktioniert - der Fehler bleibt der Gleiche.
Hat irgendwer Tipps oder Verbesserungsvorschläge zur Anleitung???