Wie gesagt bin nach folgender Anleitung vorgegangen:
http://www.andreas-janssen.de/cryptodisk.html
Da ist die Veränderung der "Cryptab" genau so beschrieben...
Was würdest Du verändern?Code:# <target name> <source device> <key file> <options> hda3_crypt /dev/hda3 none luks,keyscript=/root/keyscript
So, bei mir hier läuft das ding in einer vbox einwandfrei.
Als wichtig erwiesen:
/etc/initramfs-tools/modules:
... lieber eins zu viel als eins zu wenig...Code:# List of modules that you want to include in your initramfs. # # Syntax: module_name [args ...] # # You must run update-initramfs(8) to effect this change. # # Examples: # # raid1 # sd_mod usbcore ata_generic libata usb_storage ehci_hcd ohci_hcd uhci_hcd scsi_mod sd_mod nls_cp437 nls_iso8859_1 vfat
/root/keyscript:
InCode:#!/bin/sh modprobe usb-storage 1>&2 # Kernelmodul für den USB-Stick laden sleep 5 # 5 Sekunden warten damit der Stick bereit ist [-d /usb ] || mkdir /usb 1>&2 # Mountpoint ggf. anlegen mount /dev/sda1 /usb 1>&2 #USB-Stick einhängen cat /usb/key #Schlüssel ausgeben umount /dev/sda1 1>&2 #USB-Stick aushängen
/etc/default/cryptdisks:
Das sollte es dann gewesen sein.Code:CRYPTDISKS_MOUNT="/usb"
Nachtrag:
Mountpoint /usb ist ungünstig, weil "über" dem dann das /-filesystem liegt, der umount geht immer schief, und das device ist anschliessend auf alle Zeit "busy".
Als "dirty" würgaround:
/root/keyscript
Um das Chaos zu vervollständigen, die fstab entsprechend anpassen.Code:#!/bin/sh modprobe usb-storage 1>&2 # Kernelmodul für den USB-Stick laden sleep 5 # 5 Sekunden warten damit der Stick bereit ist [ -d /dev/mnt ] || mkdir /dev/mnt 1>&2 # Mountpoint ggf. anlegen mount /dev/sda1 /dev/mnt 1>&2 #USB-Stick einhängen cat /dev/mnt/key #Schlüssel ausgeben umount /dev/mnt 1>&2 #USB-Stick aushängen
*threadausgrab*
Da ich überlege ebenfalls ein keyfile zu verwenden bin ich auf diesen Thread gestossen und ich glaube ich habe den Fehler von -Haihappen- gefunden.
In Post #12 schreibt er:
In Post #3 schreibt er zu seiner crypttab jedoch:Das Skript liegt auf der nicht verschlüsselten Boot-Partition.
Wird die initrd nun erstellt erwartet sie, dass keyscript in /root zu finden, es liegt jedoch in /boot. Wird das keyscript nicht gefunden, kann es natürlich auch nicht in die initrd mit aufgenommen werden => die initrd wird ohne keyscript erstellt.Code:hda2_crypt /dev/hda2 none luks,keyscript=/root/keyscript
Geändert von E.coli (18.04.09 um 22:57 Uhr)
Hat nun hierfür jemand eine Lösung gefunden?
Hallo,
ist zwar schon einige Zeit her, aber wage nun mit squeeze einen neuen Versuch (endlich mal wieder Zeit gefunden).
Ich habe bei der Debian-Installation 3 Partitionen erstellt:
1e unverschlüsselte BOOT-Partition
2e verschlüsselte SWAP-Partition (Schlüssel=Zufällig generiert)
3e verschlüsselte Partition auf der sich ein LVM mit Root; Home; .... befindet
(Schlüssel=Passphrase; soll durch key-file ersetzt werden)
Das starten mit einem key-file über USB-Stick klappt nun dank der vorherigen Tipps; allerdings werden beim Hochfahren einige Fehlermeldungen ausgegeben die ich gerne beheben würde und ich bin mir überhaupt nicht mehr sicher ob alle Einträge vollständig/ oder übervollständig sind bzw. ob man einige Sachen nicht eleganter/besser lösen könnte ....
Zur Übersicht:
/etc/initramfs-tools/modules:
/boot/keyscript.shCode:# List of modules that you want to include in your initramfs. # They will be loaded at boot time in the order below. # # Syntax: module_name [args ...] # # You must run update-initramfs(8) to effect this change. # # Examples: # # raid1 sd_mod nls_cp437 nls_iso8859_1 aes-x86_64 dm-crypt dm-mod sha256 sd_mod usb_storage
/etc/cryptabCode:!/bin/sh modprobe usb-storage 1>&2 sleep 5 [-d /usb ] || mkdir /usb 1>&2 mount -t ext2 /dev/disk/by-uuid/5d676fbe-bbc7-4b8d-8e3a-cd2bebbc0f6c /usb 1>&2 cat /usb/key umount /usb 1>&2
/etc/default/cryptdisksCode:sda5_crypt /dev/sda5 /dev/urandom cipher=aes-cbc-essiv:sha256,size=256,swap sda6_crypt UUID=166b2a66-557b-4e31-94de-bb08d5e1122e none luks,keyscript=/boot/keyscript.sh
Fehlermeldung beim HochfahrenCode:# Run cryptdisks initscripts at startup? Default is Yes. CRYPTDISKS_ENABLE=Yes # Mountpoints to mount, before cryptsetup is invoked at initscripts. Takes # mountpoins which are configured in /etc/fstab as arguments. Separate # mountpoints by space. # This is useful for keyfiles on removable media. Default is unset. CRYPTDISKS_MOUNT="/usb" # Default check script. Takes effect, if the 'check' option is set in crypttab # without a value. CRYPTDISKS_CHECK=blkid # Default precheck script. Takes effect, if the 'precheck' option is set in # crypttab without a value. # Default is 'un_blkid' for plain dm-crypt devices if unset here. CRYPTDISKS_PRECHECK=
Code:Sun Feb 27 20:35:39 2011: Setting preliminary keymap...done. Sun Feb 27 20:35:39 2011: Checking root file system...fsck from util-linux-ng 2.17.2 Sun Feb 27 20:35:39 2011: /dev/mapper/server_haupt-root: clean, 29562/29835264 files, 2109616/119336960 blocks Sun Feb 27 20:35:39 2011: done. Sun Feb 27 20:35:39 2011: Starting early crypto disks...mount: can't find /usb in /etc/fstab or /etc/mtab Sun Feb 27 20:35:39 2011: sda5_crypt (starting)... Sun Feb 27 20:35:40 2011: script /boot/keyscript.sh is not an executable script skipping ... ^[[33m(warning).^[[39;49m Sun Feb 27 20:35:40 2011: ^[[31mfailed.^[[39;49m Sun Feb 27 20:35:40 2011: done. Sun Feb 27 20:35:40 2011: Cleaning up ifupdown.... Sun Feb 27 20:35:40 2011: Setting up networking.... Sun Feb 27 20:35:40 2011: Loading kernel modules...done. Sun Feb 27 20:35:40 2011: Setting up LVM Volume Groups Reading all physical volumes. This may take a while... Sun Feb 27 20:35:40 2011: Found volume group "server_haupt" using metadata type lvm2 Sun Feb 27 20:35:40 2011: 2 logical volume(s) in volume group "server_haupt" now active Sun Feb 27 20:35:40 2011: . Sun Feb 27 20:35:40 2011: Starting remaining crypto disks...mount: can't find /usb in /etc/fstab or /etc/mtab Sun Feb 27 20:35:40 2011: script /boot/keyscript.sh is not an executable script skipping ... ^[[33m(warning).^[[39;49m Sun Feb 27 20:35:40 2011: ^[[31mfailed.^[[39;49m Sun Feb 27 20:35:40 2011: done. Sun Feb 27 20:35:40 2011: Activating lvm and md swap...done. Sun Feb 27 20:35:40 2011: Checking file systems...fsck from util-linux-ng 2.17.2 Sun Feb 27 20:35:40 2011: /dev/sda1: clean, 228/146016 files, 53282/291840 blocks Sun Feb 27 20:35:40 2011: /dev/mapper/server_haupt-home: clean, 22/183264 files, 28981/732160 blocks Sun Feb 27 20:35:40 2011: done. Sun Feb 27 20:35:40 2011: Mounting local filesystems...done. Sun Feb 27 20:35:41 2011: Activating swapfile swap...done. Sun Feb 27 20:35:41 2011: Cleaning up temporary files.... Sun Feb 27 20:35:41 2011: Configuring network interfaces...done. Sun Feb 27 20:35:41 2011: Starting portmap daemon.... Sun Feb 27 20:35:41 2011: Starting NFS common utilities: statd. Sun Feb 27 20:35:41 2011: Cleaning up temporary files.... Sun Feb 27 20:35:41 2011: Setting console screen modes. Sun Feb 27 20:35:41 2011: ^[]R^[[9;30]^[[14;30]Skipping font and keymap setup (handled by console-setup). Sun Feb 27 20:35:41 2011: Setting up console font and keymap...done. Sun Feb 27 20:35:42 2011: Setting kernel variables ...done. Sun Feb 27 20:35:42 2011: INIT: Entering runlevel: 2 Sun Feb 27 20:35:42 2011: Using makefile-style concurrent boot in runlevel 2. Sun Feb 27 20:35:42 2011: Starting NFS common utilities: statd. Sun Feb 27 20:35:42 2011: Starting portmap daemon...Already running.. Sun Feb 27 20:35:42 2011: Starting enhanced syslogd: rsyslogd. Sun Feb 27 20:35:43 2011: Starting ACPI services.... Sun Feb 27 20:35:43 2011: Exporting directories for NFS kernel daemon.... Sun Feb 27 20:35:43 2011: Starting NFS kernel daemon: nfsd mountd. Sun Feb 27 20:35:43 2011: Starting deferred execution scheduler: atd. Sun Feb 27 20:35:43 2011: Starting periodic command scheduler: cron. Sun Feb 27 20:35:44 2011: Starting system message bus: dbus. Sun Feb 27 20:35:44 2011: Starting Samba daemons: nmbd smbd. Sun Feb 27 20:35:44 2011: Starting MTA: exim4. Sun Feb 27 20:35:45 2011: Starting internet superserver: inetd. Sun Feb 27 20:35:45 2011: Starting OpenBSD Secure Shell server: sshd. Sun Feb 27 20:35:45 2011: Starting the Winbind daemon: winbind.
Geändert von -Haihappen- (27.02.11 um 20:50 Uhr)
/boot/keyscript.sh muss ausführbar sein.
Trage deinen USB-Stick in die /etc/fstab ein, damit cryptdisk den auch mounten kann.
Hallo,
danke für die schnelle Antwort.
Wie gewährleiste ich, dass das script ausführbar ist (habe schon mit chmod 777 jeglich Rechte eingeräumt)?
Außerdem dürfte der Rechner nicht hochfahren wenn es nicht ausführbar wäre, da es ja für die entschlüsselung notwendig ist (deswegen verstehe ich die Meldung beim hochfahren nicht so ganz)
Dazu mal einen Blick in →diesen Artikel werfen.(habe schon mit chmod 777 jeglich Rechte eingeräumt)
Ausführbarkeit hat mir Ausführungsrechten nichts zu tun. Die Ausführbarkeit kannst Du mit
erreichen.Code:chmod +x /pfad/zum/skript
Es könnte sein, dass /boot zu dem Zeitpunkt mit noexec gemountet ist. Ist aber eigentlich auch unwahrscheinlich.
Ich würde das keyscript.sh ganz weglassen. Der Eintrag 'CRYPTDISKS_MOUNT="/usb"' hängt automatisch das Device ein, welches für /usb in der /etc/fstab hinterlegt ist. Eine Alternative dazu wäre, den Stick selbst als Schlüssel zu verwenden. Also direkt auf /dev/disk/by-uuid/5d676fbe-bbc7-4b8d-8e3a-cd2bebbc0f6c den Schlüssel schreiben ohne das Gerät vorher einzuhängen. In der /etc/crypttab würde dann sowas stehen:
Edit: chmod 777 impliziert chmod +xCode:sda6_crypt UUID=166b2a66-557b-4e31-94de-bb08d5e1122e /dev/disk/by-uuid/5d676fbe-bbc7-4b8d-8e3a-cd2bebbc0f6
Hm...
habe die fstab folgendermaßen angepasst (letzter Eintrag):
Aber wie muss jetzt die "/etc/cryptab" angepasst werden um das Script wegzulassen (sofern das ohne geht...)?Code:# /etc/fstab: static file system information. # # Use 'blkid' to print the universally unique identifier for a # device; this may be used with UUID= as a more robust way to name devices # that works even if disks are added and removed. See fstab(5). # # <file system> <mount point> <type> <options> <dump> <pass> proc /proc proc defaults 0 0 /dev/mapper/server_haupt-root / ext4 errors=remount-ro 0 1 # /boot was on /dev/sda1 during installation UUID=0a48b8cd-5781-4f77-8415-315859897d3e /boot ext2 defaults 0 2 /dev/mapper/server_haupt-home /home ext4 defaults 0 2 /dev/mapper/sda5_crypt none swap sw 0 0 /dev/scd0 /media/cdrom0 udf,iso9660 user,noauto 0 0 /dev/disk/by-uuid/5d676fbe-bbc7-4b8d-8e3a-cd2bebbc0f6c /usb ext2 defaults 0 0
Geändert von -Haihappen- (27.02.11 um 21:37 Uhr)
Der Aufbau müßte so sein:
Hierzu hilft aber auch die manpage von crypttab.Code:name /dev/device /dein/keyfile options
Bin auf folgendes gestoßen:
(http://ubuntuforums.org/showthread.php?t=555513)
Yes, there is. For any partition *except* the root partition, you need
to make the following changes:
- add the key to the luks-Partitions using cryptsetup luksAddKey
- make an entry for your stick in your fstab, e.g. /media/key
- copy the keyfile to the stick, e.g. to /media/key/keyfile
- change your crypttab to use the keyfile, e.g.
usr-crypt /dev/hda7 /media/key/keyfile luks
- change CRYPTDISKS_MOUNT in /etc/defaults/cryptsetup to include your
USB stick, e.g. CRYPTDISKS_MOUNT="/media/key"
- rebuild your initrd using update-initramfs -u
Außerdem noch:
http://ubuntuforums.org/showthread.php?t=555513
Daraus schließe ich mal, dass es ohne Key-Script bei der Root-Partition nicht geht. Bleibt die Frage des nicht ausführbaren "key-scripts".....
Geändert von -Haihappen- (27.02.11 um 22:53 Uhr)
ERGÄNZUNG:
Habe ein bisschen gesucht und bin auf diesen Beitrag gestoßen: http://www.debianhelp.org/node/6797 (ebenfalls von andreas janssen)
Ich habe daraufhin die Einträge aus der "fstab" und "/etc/default/cryptdisks" entfernt und klappt auch ohne diese; sodass sich folgendes neues Bild ergibt:
/boot/keyscript.sh
/etc/crypttabCode:#!/bin/sh modprobe usb-storage 1>&2 sleep 3 [-d /usb ] || mkdir /usb 1>&2 mount -t ext2 /dev/disk/by-uuid/5d676fbe-bbc7-4b8d-8e3a-cd2bebbc0f6c /usb 1>&2 cat /usb/key umount /usb 1>&2 exit
Boot-Meldung mit eingestecktem Usb-Stick; System fährt hochCode:sda5_crypt /dev/sda5 /dev/urandom cipher=aes-cbc-essiv:sha256,size=256,swap sda6_crypt UUID=166b2a66-557b-4e31-94de-bb08d5e1122e none luks,keyscript=/boot/keyscript.sh
Partitionierung:Code:Mon Feb 28 00:55:42 2011: Setting preliminary keymap...done. Mon Feb 28 00:55:42 2011: Checking root file system...fsck from util-linux-ng 2.17.2 Mon Feb 28 00:55:42 2011: /dev/mapper/server_haupt-root: clean, 29573/29835264 files, 2110091/119336960 blocks Mon Feb 28 00:55:42 2011: done. Mon Feb 28 00:55:42 2011: Starting early crypto disks...sda5_crypt (starting)... Mon Feb 28 00:55:42 2011: script /boot/keyscript.sh is not an executable script skipping ... ^[[33m(warning).^[[39;49m Mon Feb 28 00:55:42 2011: ^[[31mfailed.^[[39;49m Mon Feb 28 00:55:42 2011: done. Mon Feb 28 00:55:43 2011: Cleaning up ifupdown.... Mon Feb 28 00:55:43 2011: Setting up networking.... Mon Feb 28 00:55:43 2011: Loading kernel modules...done. Mon Feb 28 00:55:43 2011: Setting up LVM Volume Groups Reading all physical volumes. This may take a while... Mon Feb 28 00:55:43 2011: Found volume group "server_haupt" using metadata type lvm2 Mon Feb 28 00:55:43 2011: 2 logical volume(s) in volume group "server_haupt" now active Mon Feb 28 00:55:43 2011: . Mon Feb 28 00:55:43 2011: Starting remaining crypto disks...script /boot/keyscript.sh is not an executable script skipping ... ^[[33m(warning).^[[39;49m Mon Feb 28 00:55:43 2011: ^[[31mfailed.^[[39;49m Mon Feb 28 00:55:43 2011: done. Mon Feb 28 00:55:43 2011: Activating lvm and md swap...done. Mon Feb 28 00:55:43 2011: Checking file systems...fsck from util-linux-ng 2.17.2 Mon Feb 28 00:55:43 2011: /dev/sda1: clean, 228/146016 files, 53282/291840 blocks Mon Feb 28 00:55:43 2011: /dev/mapper/server_haupt-home: clean, 26/183264 files, 28985/732160 blocks Mon Feb 28 00:55:43 2011: done. Mon Feb 28 00:55:43 2011: Mounting local filesystems...done. Mon Feb 28 00:55:43 2011: Activating swapfile swap...done. Mon Feb 28 00:55:44 2011: Cleaning up temporary files.... Mon Feb 28 00:55:44 2011: Configuring network interfaces...Setting kernel variables ...done. Mon Feb 28 00:55:44 2011: done. Mon Feb 28 00:55:44 2011: Starting portmap daemon.... Mon Feb 28 00:55:45 2011: Starting NFS common utilities: statd. Mon Feb 28 00:55:45 2011: Cleaning up temporary files.... Mon Feb 28 00:55:45 2011: Setting console screen modes. Mon Feb 28 00:55:45 2011: ^[]R^[[9;30]^[[14;30]Skipping font and keymap setup (handled by console-setup). Mon Feb 28 00:55:45 2011: Setting up console font and keymap...done. Mon Feb 28 00:55:45 2011: INIT: Entering runlevel: 2 Mon Feb 28 00:55:45 2011: Using makefile-style concurrent boot in runlevel 2. Mon Feb 28 00:55:45 2011: Starting portmap daemon...Already running.. Mon Feb 28 00:55:45 2011: Starting NFS common utilities: statd. Mon Feb 28 00:55:46 2011: Starting enhanced syslogd: rsyslogd. Mon Feb 28 00:55:46 2011: Starting ACPI services.... Mon Feb 28 00:55:46 2011: Exporting directories for NFS kernel daemon.... Mon Feb 28 00:55:46 2011: Starting NFS kernel daemon: nfsd mountd. Mon Feb 28 00:55:46 2011: Starting deferred execution scheduler: atd. Mon Feb 28 00:55:46 2011: Starting periodic command scheduler: cron. Mon Feb 28 00:55:47 2011: Starting system message bus: dbus. Mon Feb 28 00:55:47 2011: Starting Samba daemons: nmbd smbd. Mon Feb 28 00:55:47 2011: Starting MTA: exim4. Mon Feb 28 00:55:47 2011: Starting internet superserver: inetd. Mon Feb 28 00:55:48 2011: Starting OpenBSD Secure Shell server: sshd. Mon Feb 28 00:55:48 2011: Starting the Winbind daemon: winbind.
Bleibt die Frage warum das Skript übersprungen wird aber der Rechner trotzdem startet bzw. warum es als ein "not an executable script" angesehen wird. :?: :?: :?:
"script /boot/keyscript.sh is not an executable script skipping "
Ja ist das Skript denn nun ausführbar oder nicht?
Berechtigungen
Zitieren
Lesezeichen