PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Passwort bei verschlüsselter PArtition neu setzen



borner
16.05.08, 12:33
Hallo,
ich habe hier ein SuSE Linux 10.2 System vorliegen inkl. einer Festplatte, die mit einem verschlüsselten ext3 System erzeugt wurde (per klick im yast)
Die Platte ist gemountet, ich bin root, kann drauf zugreifen und stehe nun vor dem Problem, dass ich nicht mehr das Partitions-Passwort weiß und es deshalb zurücksetzen möchte, bevor die Maschine mal neu gestartet wird und beim booten bei der Passworteingabe hängen bleibt.

Ich hab auch schon gegoogelt, aber irgendwie fehlen mir wohl die richtigen Schlagwörter, damit die Suchmaschine mir das bringt, was ich suche.

Würde mich freuen, wenn mir jemand weiter helfen kann - etwa mit welchem Befehl ich das Passwort gerade ziehen kann.

Danke und Gruß, Borner

Veierabend
16.05.08, 12:50
Sollten Sie das Passwort für die verschlüsselte Datei vergessen, kommen Sie nicht mehr an Ihre Daten heran. Selbst modernste Supercomputer benötigen bei einem klugen Passwort über 100 Jahre, um dieses zu knacken.
Sieht also eher schlecht aus.
Ergo Daten sichern und neu aufsetzen.

gadget
16.05.08, 14:03
Ich weiss gerade nicht, mit welchem System Suse verschlüsselt, aber selbst bei dmcrypt+LUKS brauchst du ein aktuelles Passwort, um ein neues zu setzen.

Einfachste Lösung: Backup der Daten, Partition neu formatieren, zurücksichern.

Gruß,
gadget

borner
16.05.08, 14:43
@Veierabend

Naja, ich denke die Aussage von easylinux bezieht sich eher auf die Situation, wenn ich an eine verschlüsselte Platte nicht mehr ran komme...

@gadget
ja, die Befürchtung habe ich auch.

dmcrypt+LUKS ist auf dem System nicht installiert. Der YaST muss also einen anderen Weg gehen.

kreol
16.05.08, 21:37
Der Tip von Gadget dürfte am zielbringendsten sein. Afaik verschlüsselt SuSE 10.2 per Default mit blowfish256, aber auch da bekommst Du das PW nicht raus.

Und btw: ext3 ist ein journaling-FS, das würde ich mir bei Verschlüsselung überlegen. Was hilft die beste Verschlüsselung wenn die Daten unverschlüsselt zwischengespeichert werden...?


Kreol

P.S.
bevor die Maschine mal neu gestartet wird und beim booten bei der Passworteingabe hängen bleibt.Sie bleibt nicht hängen sondern fragt beim Booten nach dem PW. Einfach <Enter> und sie bootet durch, halt ohne die verschlüsselte Partition zu mounten. An den Rest kommst Du dann noch ran.

Thorashh
16.05.08, 21:43
Und btw: ext3 ist ein journaling-FS, das würde ich mir bei Verschlüsselung überlegen. Was hilft die beste Verschlüsselung wenn die Daten unverschlüsselt zwischengespeichert werden...? Unfug.

Das wäre ausschließlich bei einem externen Journal ein Problem. Und wenn Du das brauchst, ist eine verschlüsselte Partition sowieso nichts für dich.

Thorashh
16.05.08, 22:08
... dmcrypt+LUKS ist auf dem System nicht installiert. ... Die entscheidende Frage ist dann, wie werden die Daten bei Dir verschlüsselt?
Es gibt grundsätzlich 2 Möglichkeiten.

1. Der Key wird direkt aus dem Passwort abgeleitet (DM-Crypt). In dem Fall ist ein Wechsel des Passwortes ohnehin nicht möglich.
2. Der Key wird mit dem Passwort verschlüsselt (LUKS, Truecrypt). In dem Fall könntest Du das Passwort wechseln.
Allerdings verlangen alle Verschlüsselungssysteme, die ich kenne, in dem Fall das alte, oder ein anderes gültiges Passwort.

Bei dmcrypt (ohne LUKS) gibt es die Möglichkeit, Daten z.B. per dd und aespipe vom unverschlüsselten Blockdevice auf das verschlüsselte Blockdevice zu kopieren und so die Daten quasi "on the fly" zu verschlüsseln.
Du könntest sowas bei Dir probieren, indem Du per DM-Crypt ein verschlüsseltes Blockdevice erstellst und die Daten dann per DD auf dieses kopierst. Dann solltest Du aber vorher verstehen, was Du da machst.

Und auch dabei ist ein BACKUP dringend angeraten. Sonst führt jeder Fehler zum Verlust deiner Daten.

Die einfachste Lösung ist, wie von gadget schon gesagt: "Backup - Format - Restore".

kreol
16.05.08, 22:14
Unfug.

Das wäre ausschließlich bei einem externen Journal ein Problem. Und wenn Du das brauchst, ist eine verschlüsselte Partition sowieso nichts für dich.Aha. Vllt. führst Du das mal näher aus. Oder meinen wir vllt. einfach nur dasselbe?

Imho ist die Verschlüsselung auf einem journaled-FS, wenn man schon Sicherheitsparanoia hat, nur ein weiteres Sicherheitsrisiko. Ebenso wie ein unverschlüsseltes /swap.


Kreol

Thorashh
16.05.08, 23:18
@kreol: Auf einer verschlüsselten Partition werden alle Teile des Dateisystems verschlüsselt. Das gilt genauso für das Journal.

Beim ext3 ist das Journal auch nur eine Datei. Die wird aber nicht angezeigt.
Das kannst Du aber sehen, wenn Du ein ext2-FS anlegst und dann mit tune2fs nachträglich ein Journal anlegst. Dann siehst Du die Datei ".journal" auch, in die das Journal geschrieben wird.

Abgesehen von einem externen Journal auf einer anderen Platte, stimmt das mit dem unverschlüsselten Journal also nicht.

dackel
17.05.08, 01:54
Naja, völlig unrecht hat Kreol nicht. Das Journal kann unter Umständen Watermarking-Angriffe vereinfachen - zumindest wenn man im ECB-Modus verschlüsselt, was bei moderner Software allerdings wahrscheinlich nicht der Fall sein wird.

gadget
17.05.08, 12:07
Jain. Es kommt halt auf die Verschlüsselung an. Bei dmcrypt wird - laienhaft ausgedrückt - zuerst verschlüsselt und dann das Filesystem aufgespielt.

Beim Hinweis auf die SWAP hat kreol freilich Recht. Das mit den Journal sehe ich aber auch noch nicht.

dackel
17.05.08, 15:04
Das Journal wird afaik an den Anfang einer Parition geschrieben. Ein Angreifer könnte versuchen, das Journal mit Daten zu füllen (z.B. kleinen DOS auf den Webserver fahren o.Ä. und dadurch die Logs füllen).
Nun wüsste ein Angreifer, welche Information wo verschlüsselt abgelegt wurde.
Bei einer Block-Chiffre werden die Daten ja nicht völlig wild herumgeworfen, sondern eben nur innerhalb dieser Blöcke - deren Größe variiert ja nun auch nicht sooo stark (üblicher Weise zwischen 64 und 256 bit), somit lassen sich bei ECB (wo jeder Block "gleich" verschlüsselelt wird, anstatt in Abhängigkeit des letzten) Daten dann doch relativ einfach zuordnen (nein, nicht vom Nachbars-Hansel, aber von gewissen Behörden ganz sicher).

Es gehört schon etwas Paranoia dazu, im Journal eine Lücke zu sehen, aber seien wir mal ehrlich ... wenn man nicht von Paranoia geplagt ist, wird man kaum sein System verschlüsseln.

gadget
17.05.08, 15:53
Mit einer aes-cbc-essiv Verschlüsselung (dmcrypt) sollte das dann nicht mehr möglich sein.

borner
20.05.08, 09:16
Sie bleibt nicht hängen sondern fragt beim Booten nach dem PW. Einfach <Enter> und sie bootet durch, halt ohne die verschlüsselte Partition zu mounten. An den Rest kommst Du dann noch ran.
Ja, das ist mir schon klar. Mir ging es ja gerade darum, dass ich bei einem reboot (aus welchem Grund auch immer) nicht mehr an die Daten kommt. Ob die Maschine nun länger hängt oder ich gleich <enter> drücke ist dabei nicht so kritisch. Hier gibt es keine Verfügbarkeitsanforderungen diesbezüglich.Die entscheidende Frage ist dann, wie werden die Daten bei Dir verschlüsselt?


Ansonsten muss ich eben wirklich sehen, wie ich die Daten von der Partition runter bekomme.... mal schaun.
ja, das frage ich mich auch irgendwie...

msi
20.05.08, 14:11
Hallo,
ich habe hier ein SuSE Linux 10.2 System vorliegen inkl. einer Festplatte, die mit einem verschlüsselten ext3 System erzeugt wurde (per klick im yast)
Die Platte ist gemountet, ich bin root, kann drauf zugreifen und stehe nun vor dem Problem, dass ich nicht mehr das Partitions-Passwort weiß und es deshalb zurücksetzen möchte, bevor die Maschine mal neu gestartet wird und beim booten bei der Passworteingabe hängen bleibt.

Ich hab auch schon gegoogelt, aber irgendwie fehlen mir wohl die richtigen Schlagwörter, damit die Suchmaschine mir das bringt, was ich suche.

Würde mich freuen, wenn mir jemand weiter helfen kann - etwa mit welchem Befehl ich das Passwort gerade ziehen kann.

Danke und Gruß, Borner

wenn du noch einen teil des passworts kennst,
durch mal /dev/kmem bzw /dev/mem danach. Dort
wird das Passwort irgendwo im Klartext gespeichert sein.

gadget
20.05.08, 19:17
durch mal /dev/kmem bzw /dev/mem danach. Dort
wird das Passwort irgendwo im Klartext gespeichert sein.
Im Klartext? Ach ja, da gibt's ja noch die Methode mit dem Kühlen des RAM, damit man selbst von einem gerade erst ausgeschalteten PC noch den Arbeitsspeicher auslesen und das Verschlüsselungskennwort heraussuchen kann. Oder der Zugriff auf den Rechner über FireWire ohne Kenntnis des Benutzerkennworts, um dann den RAM auslesen zu können.

msi
21.05.08, 23:33
Im Klartext? Ach ja, da gibt's ja noch die Methode mit dem Kühlen des RAM, damit man selbst von einem gerade erst ausgeschalteten PC noch den Arbeitsspeicher auslesen und das Verschlüsselungskennwort heraussuchen kann. Oder der Zugriff auf den Rechner über FireWire ohne Kenntnis des Benutzerkennworts, um dann den RAM auslesen zu können.

jup aber ram kühlen wär hier overkill und zu riskant ;)
im arbeitsspeicher liegt der schlüssel jedenfalls und den kannst du über
/dev/mem bzw /dev/kmem (kernelspeicher) lesen

borner
14.06.08, 12:42
im arbeitsspeicher liegt der schlüssel jedenfalls und den kannst du über
/dev/mem bzw /dev/kmem (kernelspeicher) lesen
hmm... also hat etwas länger gedauert, aber habe es nun mal durchlaufen lassen....
..erfolglos. der einzige effekt besteht jetzt darin, dass nach dem "durchgreppen" das System unheimlich langsam gewurden ist. es gibt keinen Prozess mit einer nenneswerten Auslastung, aber dennoch ist alles recht träge! :-(
Woran kann das liegen?

Ich hatte ja auch versucht, die gemountete, verschlüsselte Partition ein weiteres mal zu mounten um dabei ein paar Passwort-alternativen auszutesten.. wobei mir dann eingefallen ist: kann ich eigentlich eine gemountete Partition bei Linux nochmal mounten? Dürfte ja eigentlich nicht klappen.. bestenfalls als read-only, oder? Wie also kann ich eine Passwortalternative mal durchtesten??

gadget
14.06.08, 13:03
Nur mal so als Frage, ob ich das richtig verstehe:

Du hast seit einem Monat einen Rechner laufen mit einer eingehängten verschlüsselten Partition, deren Schlüssel du nicht mehr kennst.
Und wenn die Kiste mal hängen bleibt oder der Strom ausfällt, kommst du an die Daten nicht mehr ran. Und du probierst nun an der Kiste herum, um an den Schlüssel heranzukommen, statt schnellstmöglich die Daten in eine neue Partition/externe Festplatte/DVD zu sichern?

Dann können deine Daten dir ja nicht wirklich wichtig sein :ugly:

borner
23.06.08, 00:09
@gadget

ähm.. ja...

ich muss dazu sagen, dass ich bisher natürlich schon eine Sicherung gemacht habe. per samba. In wie weit da alles sauber rüber gekommen ist (mit den Dateirechten und den Dateien mit Umlauten) ist fraglich.
Eine externe Festplatte anschließen ist nicht trivial. Der Rechner hat nur USB 1.1 - das Backup von über 30GB dauert seine Zeit.
Der Idealfalll wäre halt noch immer das Passwort herauszufinden oder neu zu setzen.

rudi_m
23.06.08, 00:35
ich muss dazu sagen, dass ich bisher natürlich schon eine Sicherung gemacht habe. per samba. In wie weit da alles sauber rüber gekommen ist (mit den Dateirechten und den Dateien mit Umlauten) ist fraglich.
Dann sichere die Daten in ein tar Archiv auf dem Samba share.

Der Rechner hat nur USB 1.1 - das Backup von über 30GB dauert seine Zeit.
Der Idealfalll wäre halt noch immer das Passwort herauszufinden oder neu zu setzen.
Vielleicht 8 Stunden? Da muss man auch nicht daneben sitzen bleiben, oder bist Du einer von den Fortschrittbalkenguckern? ;)

Wie also kann ich eine Passwortalternative mal durchtesten?
Wenn Du zum Aendern des Passwortes nach dem gueltigen Passwort gefragt wirst(wie hier jemand meinte), dann versuche doch einfach das Passwort zu aendern.

gadget
24.06.08, 20:57
Spätestens beim nächsten Neustart, ob nun durch Absturz oder Stromausfall oder anderem erzwungen, erübrigt sich dein Problem und du wirst auf deine Datensicherung zurückgreifen müssen.

Viel Glück!
gadget