Swap-Fehlermeldung beim Booten mit Verschlüsselung

[stowaway]

Hallo in die Runde,

nachdem ich heute bei einer Debian Jessie Installation die Festplattenverschlüsselung aktiviert habe,
bekomme bei Start Fehlermeldungen von der swap-Partition.

Code: Alles auswählen

mkswap[351]: mkswap: error: /dev/mapper/sda2_crypt is mounted; will not make swapspace
systemd-cryptsetup[354]: Failed to deactivate: Device or resource busy
systemd[1]: Failed to start Cryptography Setup for sda2_crypt.

Ein etwas ausführlichen Log habe ich hier abgelegt.

Die swap Partition scheint trotzdem ohne Probleme zu funktionieren:

Code: Alles auswählen

mike@blueocean:~$ free
             total       used       free     shared    buffers     cached
Mem:       3943724     397808    3545916      44432      22160     189672
-/+ buffers/cache:     185976    3757748
Swap:      7810044          0    7810044

Hinweis: Ich nutze den Standardkernel, kein LVM und die verschlüsselte Root-Partition wird fehlerfrei erkannt. Auch ganz
ohne Verschlüsselung kommt keine Fehlermeldung von der Swap-Partition.

Für Ideen wäre ich dankbar
Stowaway

[NAB]

Das liest sich, als ob er auf sda2_crypt ein Swap anlegen will ... und es dann lässt, weil es gemounted ist.

Wenn sda1 dein /boot ist und auf sda2 dein / , dann ist das auch besser so.

Debian unterstützt kein "crypt" ohne LVM ... und mehrere Partitionen zu verschlüsseln ist meines Wissens unter Systemd "kaputt". Da fragt sich also, was du da gebastelt hast ... (das würde mich schon deswegen interessieren, weil das bei mir mit Systemd gar nicht klappt)

[stowaway]

Das liest sich, als ob er auf sda2_crypt ein Swap anlegen will ... und es dann lässt, weil es gemounted ist.

Wenn sda1 dein /boot ist und auf sda2 dein / , dann ist das auch besser so.

Meine Partitionen sind wir folgt verteilt (alles primäre Partitionen):

Code: Alles auswählen

sda1 /boot
sda2 swap
sda3 /

Debian unterstützt kein "crypt" ohne LVM ... und mehrere Partitionen zu verschlüsseln ist meines Wissens unter Systemd "kaputt".

Das scheint ja alles zu funktionieren denn free zeigt ja auch eine swap an und auf sda3_crypt konnte ich auch normal installieren.

Als Alternative könnte ich auch eine swap-Datei nutzen. Das habe ich schon probiert das läuft fehlerfrei. Das hätte den netten Nebeneffekt, dass ich mir die Passwortableitung sparen kann.

Trotzdem wäre mir eine Lösung für das o.g. Problem lieber. Übrigens unter meiner Debian Wheezy (sysvinit) lief das alles ohne Probleme.

[NAB]

Na gut, lass es mich präzisieren ... Debian unterstützt die Installation auf eine verschlüsselte Partition ... und legt darum bei der Installation ein LVM an, um den Swap da auch noch unterbringen zu können.

Weitere verschlüsselte Partitionen hinzufügen geht auch ... nach dem ersten Passwort rauschen aber so viele Meldungen vorbei, weil Systemd nicht warten kann, dass man nicht mehr sieht, nach welchem Passwort gerade gefragt wird. Das ist nervig, geht aber, solange man sich nie vertippt und die Geräte immer die gleiche Reihenfolge haben ...

Aber "keyscripts" wie "decrypt_derived" kriegt Systemd meines Wissens nicht hin und sollte nach dem zweiten Passwort fragen:
https://bugs.debian.org/cgi-bin/bugrepo ... bug=618862
... darum verwende ich immer noch Sysvinit (klappt übrigens prima mit Jessie).

Nun fragt sich, was für eine "Passwortableitung" du dir da gebastelt hast ...

Könnte es sein, dass Systemd den Swap auf sda2 anlegt und nicht auf sda2_crypt? Ich weiß nicht genau, wo der Header einer Swap-Partition liegt, aber solange er sich nicht mit dem LUKS-Header überschneidet (falls du überhaupt LUKS benutzt), existieren vielleicht beide ... bis mal was in den Swap geschrieben wird.

[stowaway]

Ich habe leider auf dem anderen Rechner noch nicht alles installiert daher weiß ich nicht genau, wie ich das Abfragen kann. Aber auf meinem Laptop läuft auch Jessie mit verschlüsselten Partitionen. Wenn ich mit gnome-disks schaue erhalte ich folgendes (hier ist sda7 /boot, sda8 / und sda9 swap):

Code: Alles auswählen

Größe         1,0 GB — 933 MB frei (6,7% belegt)
Gerät         /dev/sda7
Partitionstyp EFI-System
Inhalt        Ext4 (Version 1.0) – Eingehängt in /boot

Größe        250 GB (250.416.726.016 Bytes) 
Gerät        /dev/sda8
Partitionstyp Einfache Daten
Inhalt        LUKS-Verschlüsselung (Version 1) – Entsperrt

Größe         8,5 GB (8.493.465.600 Bytes)
Gerät         /dev/sda9
Partitionstyp Linux Auslagerung
Inhalt        LUKS-Verschlüsselung (Version 1) – Entsperrt

Das Passwort musste ich auch bis zur Passwortableitung 2 mal eingeben was auch problemlos funktionierte. Das Problem mit den durchlaufenden Meldungen habe ich nicht. Nach der Passwortableitung muss ich es natürlich nur noch einmal eingeben. Bei der Passwortableitung habe ich mich an diese Anleitung gehalten.

Wenn ich die swap in der /etc/fstab auskommentiere, wird sie auch nicht mehr genutzt. Damit bin ich mir sicher, dass sie auch richtig angelegt wird.

Am Laptop habe ich natürlich auch die o.g. Fehlermeldungen nur habe ich sie dort nie gesehen, da eine SSD drin ist und das Booten zu schnell ging.

Auf Sysvinit wollte ich nicht zurück fallen. Dann werde ich lieber mit der Fehlermeldung leben oder auf eine swap-Datei zurückgreifen.

[NAB]

Na holla, da hast sich aber jemand Mühe gegeben mit der Anleitung!

Aber ich bin da auch ratlos, wieso das "decrypt_derived" bei dir funktioniert ... bei mir tut's das nicht, sondern verhält sich genau so wie im verlinkten Bug Report beschrieben. Wobei ich das auch seit 3 Wochen nicht mehr getestet habe ... vielleicht haben sie noch was nachgebessert *wunder*

[stowaway]

Warum es sich bei dir anders verhält wie bei mir kann ich auch nicht sagen. Die Hoffnung mit den Änderungen muss ich dir allerdings nehmen, ich habe am 24.04.2015 installiert. Das ist länger als 3 Wochen her

[wanne]

Auf meinem Laptop tut's mit password file. Ist aber auch ein upgedatetes wheezy. Wenn interesse besteht, kann ich das nochmal posten.

[NAB]

wanne, also mich würde der Aufbau der crypttab interessieren ... vorausgesetzt, du bootest mit Systemd.

[wanne]

Der Laptop ist System V init. Aber hier ein funktionierendes Systemd jessie (Gerade aufgesetzt):
crypttab

Code: Alles auswählen

sdb5_crypt UUID=21b7662f-217b-467b-8b01-b3ce111d382b none luks,discard
backup /dev/disk/by-partlabel/Backup /etc/hdpw luks
ssd_swap   /dev/disk/by-id/ata-Samsung_SSD_840_EVO_250GB_S1DBNSAFC27122M-part7  /dev/urandom  swap,cipher=aes-ctr-plain64,size=128,discard

fstab:

Code: Alles auswählen

/dev/mapper/sdb5_crypt /               ext4    errors=remount-ro 0       1
LABEL=IDEBACK          /media/backup   xfs     nofail            0       0
/dev/mapper/ssd_swap   swap            swap    nofail            0       0
UUID=ecf0bfd4-b1ab-47b7-a74c-5ccd28ddb16a /boot           ext3    defaults        0       2
none                   /tmp            tmpfs  defaults    0 0

So wie ich das gemacht habe tut natürlich hibernate nicht. Dafür kann ich mir XTS sparen, weil jedes mal ein neuer key genutzt wird . (Wobei ich eh kein XTS benutze. Gibt andere einfachere Möglichkeiten für solche angreifer.)
Was ich leider auch noch nicht hinbekommen habe ist TRIM support für / unter systemd
Das discards steht zwar drin der eintrag in der crypttab wird von Systemd aber einfach ignoriert.

Edit: Für meine 840_EVO hat SAMSUNG mit dem letzten Firmware update sowieso TRIM zerstört. Insofern ist das jetzt erstmal sowieso kaputt.
Edit2: discards -> discard

[NAB]

Danke, das mit dem Passwort File sieht ja sehr einfach aus. Mal schauen, ob ich mir das was mit einer named pipe basteln kann