luks-Partition retten
luks-Partition retten
Hallo,
Ich habe (bzw hatte) eine Partition auf meinem Server die per luks verschlüsselt ist.
Nach einem Stromausfall (der Server steht hier zu hause und hatte natürlich keine USV ) stellte sich heraus, dass der MBR der Boot-Festplatte etwas abbekommen hatte. Nachdem ich den repariert hatte, wollte ich die verschlüsselte Partition mounten... Wie man sich denken kann tat dies (natürlich? ) nicht.
Es gibt keine Fehlermeldung die darauf schließen ließe, dass irgendwas kaputt ist, sondern es kommt die normale "Command failed: No key available with this passphrase." Meldung.
Ich dachte zunächst ich wüsste das Passwort nicht mehr, allerdings bin ich mir sehr sicher wie das Passwort aussieht (also ich weiss die Bestandteile und wie sie ungefähr zusammengesetzt sind) und habe die letzten Tage mithilfe dieser Bestandteile einen "Brute-Force"-Angriff gefahren, allerdings bisher ohne Erfolg.
So langsam habe ich allerdings das Gefühl, dass die Partition vielleicht doch was abbekommen hat.
Daher nun ein paar Fragen
1. Kann ich irgendwie prüfen, ob der Header noch i.O. ist ohne das Passwort zu haben? (Also wie weit kann ich das Prüfen? Könnte ich feststellen dass es den Bereich in dem der Master key liegt erwischt hat ohne das passwort zu haben?)
2. gibt es irgendwelche Recovery tools? Also Angenommen ich wüsste dass der Header kaputt ist, ich hätte aber das Passwort. Gibt es einen Backup-Header o.ä.?
Ein Backup vom Header habe ich vorher leider nicht angelegt.
Grüße
nafur
Ich habe (bzw hatte) eine Partition auf meinem Server die per luks verschlüsselt ist.
Nach einem Stromausfall (der Server steht hier zu hause und hatte natürlich keine USV ) stellte sich heraus, dass der MBR der Boot-Festplatte etwas abbekommen hatte. Nachdem ich den repariert hatte, wollte ich die verschlüsselte Partition mounten... Wie man sich denken kann tat dies (natürlich? ) nicht.
Es gibt keine Fehlermeldung die darauf schließen ließe, dass irgendwas kaputt ist, sondern es kommt die normale "Command failed: No key available with this passphrase." Meldung.
Ich dachte zunächst ich wüsste das Passwort nicht mehr, allerdings bin ich mir sehr sicher wie das Passwort aussieht (also ich weiss die Bestandteile und wie sie ungefähr zusammengesetzt sind) und habe die letzten Tage mithilfe dieser Bestandteile einen "Brute-Force"-Angriff gefahren, allerdings bisher ohne Erfolg.
So langsam habe ich allerdings das Gefühl, dass die Partition vielleicht doch was abbekommen hat.
Daher nun ein paar Fragen
1. Kann ich irgendwie prüfen, ob der Header noch i.O. ist ohne das Passwort zu haben? (Also wie weit kann ich das Prüfen? Könnte ich feststellen dass es den Bereich in dem der Master key liegt erwischt hat ohne das passwort zu haben?)
2. gibt es irgendwelche Recovery tools? Also Angenommen ich wüsste dass der Header kaputt ist, ich hätte aber das Passwort. Gibt es einen Backup-Header o.ä.?
Ein Backup vom Header habe ich vorher leider nicht angelegt.
Grüße
nafur
Re: luks-Partition retten
Hallo und willkommen im df.de!
Ansonsten, könntest du dir mal die Spezifikation von LUKS ansehen:
http://code.google.com/p/cryptsetup/wiki/Specification
Dort findest du die Antwort auf deine Fragen.
Siehe auch:
http://de.wikipedia.org/wiki/Dm-crypt#On-Disk-Format
Tag: wiki
Gruß,
Daniel
Vermutlich zeigt dann auch ein "cryptsetup luksDump <Device>" plausible Daten an, soweit man das eben sagen kann?nafur hat geschrieben:Es gibt keine Fehlermeldung die darauf schließen ließe, dass irgendwas kaputt ist, sondern es kommt die normale "Command failed: No key available with this passphrase." Meldung.
Wenn der mit dem PW verschlüsselt MK defekt ist, hilft dir das Passwort nichts.nafur hat geschrieben:Also Angenommen ich wüsste dass der Header kaputt ist, ich hätte aber das Passwort.
Nein.nafur hat geschrieben:Gibt es einen Backup-Header o.ä.?
"cryptsetup luksHeaderBackup ..."nafur hat geschrieben:Ein Backup vom Header habe ich vorher leider nicht angelegt.
Ansonsten, könntest du dir mal die Spezifikation von LUKS ansehen:
http://code.google.com/p/cryptsetup/wiki/Specification
Dort findest du die Antwort auf deine Fragen.
Siehe auch:
http://de.wikipedia.org/wiki/Dm-crypt#On-Disk-Format
Tag: wiki
Gruß,
Daniel
Re: luks-Partition retten
Joa, soweit ich das beurteilen kann schon...Danielx hat geschrieben:Vermutlich zeigt dann auch ein "cryptsetup luksDump <Device>" plausible Daten an, soweit man das eben sagen kann?nafur hat geschrieben:Es gibt keine Fehlermeldung die darauf schließen ließe, dass irgendwas kaputt ist, sondern es kommt die normale "Command failed: No key available with this passphrase." Meldung.
Dann fange ich wohl mal so langsam an mich damit abzufinden, den Server neu aufzusetzen... :-/
-
- Beiträge: 1
- Registriert: 28.07.2010 22:22:02
Re: luks-Partition retten
Hallo,
ich habe so mehr oder weniger das gleiche Problem.
Auch bei mir hat sich der Server aufgehaengt waehrend die Partition am laufen war und nun verweigert er allen meinen 3 gesetzten Passwoertern die Richtigkeit.
luksDump gibt soweit sehr plausible Daten aus und die Passwoerter sind auf jeden Fall richtig.
Ich habe mich schon damit abgefunden, dass ich das Ganze neu aufsetzen darf, aber wie kann ich das in Zukunft verhindern?
ich habe so mehr oder weniger das gleiche Problem.
Auch bei mir hat sich der Server aufgehaengt waehrend die Partition am laufen war und nun verweigert er allen meinen 3 gesetzten Passwoertern die Richtigkeit.
luksDump gibt soweit sehr plausible Daten aus und die Passwoerter sind auf jeden Fall richtig.
Ich habe mich schon damit abgefunden, dass ich das Ganze neu aufsetzen darf, aber wie kann ich das in Zukunft verhindern?
Re: luks-Partition retten
Den Header an einem sehr sicheren Ort sichern...Ich habe mich schon damit abgefunden, dass ich das Ganze neu aufsetzen darf, aber wie kann ich das in Zukunft verhindern?
http://www.saout.de/tikiwiki/tiki-index ... ge=LUKSFaq
Re: luks-Partition retten
Hallo und willkommen im df.de!
Bzgl. des defekten Sektors: Hast du das mal mit smartctl überprüft?
Gruß,
Daniel
Hm, das hört sich aber seltsam an, das würde ja bedeuten, dass entweder ein Schreibzugriff auf den LUKS-Header stattgefunden haben muss (nur wer oder was war das?) oder genau der Sektor der Festplatte kaputt gegangen sein muss, auf dem der Header liegt.marcometer hat geschrieben:Auch bei mir hat sich der Server aufgehaengt waehrend die Partition am laufen war und nun verweigert er allen meinen 3 gesetzten Passwoertern die Richtigkeit.
Bzgl. des defekten Sektors: Hast du das mal mit smartctl überprüft?
Ab cryptsetup 1.1.x (also bei Debian ab Squeeze) bietet cryptsetup auch direkt eine Möglichkeit, den LUKS-Header zu sichern und wiederherzustellen (wie ich oben schon angedeutet habe):jeff84 hat geschrieben:Den Header an einem sehr sicheren Ort sichern...Ich habe mich schon damit abgefunden, dass ich das Ganze neu aufsetzen darf, aber wie kann ich das in Zukunft verhindern?
http://www.saout.de/tikiwiki/tiki-index ... ge=LUKSFaq
Code: Alles auswählen
cryptsetup luksHeaderBackup --header-backup-file <file> <device>
cryptsetup luksHeaderRestore --header-backup-file <file> <device>
Daniel
Re: luks-Partition retten
Oh ok, gut zu wissen. Die Andeutung muss ich oben wohl überlesen haben...Danielx hat geschrieben: Ab cryptsetup 1.1.x (also bei Debian ab Squeeze) bietet cryptsetup auch direkt eine Möglichkeit, den LUKS-Header zu sichern und wiederherzustellen (wie ich oben schon angedeutet habe):Code: Alles auswählen
cryptsetup luksHeaderBackup --header-backup-file <file> <device> cryptsetup luksHeaderRestore --header-backup-file <file> <device>
Re: luks-Partition retten
Ich hab mir das mit smartctl mal angesehen, und die beiden Festplatten (unter dem luks liegt ein lvm-Raid) scheinen keine Fehler zu haben.
(Sind auch noch ziemlich neu) Auf welche Werte sollte man da denn achten?
Eine andere Idee die mir noch gekommen ist:
Wenn man nun annimmt, dass beim Reset ein Schreibzugriff im luks-Header stattgefunden hat, luksDump aber sinnvolle Daten zurück gibt, bleiben meines Erachtens zwei Möglichkeiten: Der Master Key wurde geändert, oder der Hash vom Master Key wurde geändert.
Besteht die Möglichkeit luks anzuweisen, das Passwort zu schlucken ohne den Master Key mit dem Hash zu vergleichen?
Damit könnte man die Daten, falls wirklich nur der Hash kaputt ist, noch wiederherstellen...
Grüße
nafur
(Sind auch noch ziemlich neu) Auf welche Werte sollte man da denn achten?
Eine andere Idee die mir noch gekommen ist:
Wenn man nun annimmt, dass beim Reset ein Schreibzugriff im luks-Header stattgefunden hat, luksDump aber sinnvolle Daten zurück gibt, bleiben meines Erachtens zwei Möglichkeiten: Der Master Key wurde geändert, oder der Hash vom Master Key wurde geändert.
Besteht die Möglichkeit luks anzuweisen, das Passwort zu schlucken ohne den Master Key mit dem Hash zu vergleichen?
Damit könnte man die Daten, falls wirklich nur der Hash kaputt ist, noch wiederherstellen...
Grüße
nafur
Re: luks-Partition retten
nafur hat geschrieben:Auf welche Werte sollte man da denn achten?
- Reallocated_Sector_Ct
- Reallocated_Event_Count
- Current_Pending_Sector
Vielleicht wurde aber auch nur das Tastatur-Layout umgestellt, hast du das evtl. mal überprüft?nafur hat geschrieben:Wenn man nun annimmt, dass beim Reset ein Schreibzugriff im luks-Header stattgefunden hat
Oder der Salt oder die Anzahl der Iterationen.nafur hat geschrieben:Der Master Key wurde geändert, oder der Hash vom Master Key wurde geändert.
Mit "Master Key" meinst du wahrscheinlich den verschlüsselten MK.
Ja, dazu müsstest du die Überprüfung im Quellcode deaktivieren und dir cryptsetup bauen.nafur hat geschrieben:Besteht die Möglichkeit luks anzuweisen, das Passwort zu schlucken ohne den Master Key mit dem Hash zu vergleichen?
Allerdings kann es dir passieren, dass eben der Hash nicht verändert ist und du somit mit einem falschen MK die Daten liest und evtl. schreibst, was dann nur Datenmüll erzeugt.nafur hat geschrieben:Damit könnte man die Daten, falls wirklich nur der Hash kaputt ist, noch wiederherstellen...
Vor solchen Versuchen sollte man immer ein Backup machen und eigentlich sogar schon bevor diese Versuche nötig sind, damit diese gar nicht erst nötig werden.
Gruß,
Daniel
Re: luks-Partition retten
I have ein ganz ähnliches Problem:
Passphrase wird nicht mehr erkannt aber luksDump gibt sinnvolle Daten aus.
Hat hier noch jemand irgendwelche Erfahrungen damit gemacht? Der Thread endete ja relativ abrupt. Ich hab die Hoffnung mal noch nicht aufgegeben an die Daten wieder ranzukommen. Backup hab ich leider weder von den Daten noch vom luks-Header (ersteres ist bei 6TB etwas sehr aufwendig, zweiteres wusste ich bisher nicht dass nötig sein könnte).
Bin für jeglichen Anregung dankbar.
Flintz
Passphrase wird nicht mehr erkannt aber luksDump gibt sinnvolle Daten aus.
Hat hier noch jemand irgendwelche Erfahrungen damit gemacht? Der Thread endete ja relativ abrupt. Ich hab die Hoffnung mal noch nicht aufgegeben an die Daten wieder ranzukommen. Backup hab ich leider weder von den Daten noch vom luks-Header (ersteres ist bei 6TB etwas sehr aufwendig, zweiteres wusste ich bisher nicht dass nötig sein könnte).
Bin für jeglichen Anregung dankbar.
Flintz