USB-Stick mit luks-Schlüssel nicht da beim Systemstart

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
McAldo
Moderator
Beiträge: 2064
Registriert: 26.11.2003 11:43:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Terra / Sol-System / Milchstraße

USB-Stick mit luks-Schlüssel nicht da beim Systemstart

Beitrag von McAldo » 11.02.2010 23:41:22

Hallo,

vielleicht gehört das hier eher in den Bereich Hardware, wird sich im Laufe des Threads zeigen. :-)

Ich versuche an einem Notebook die verschlüsselte Festplatte mittels eines Keyfiles auf einem USB-Stick beim Systemstart zu entschlüsseln. Dazu gibt es reichlich Anleitungen und ich habe das auch an anderer Stelle (mit Debian/Lenny) schon hinbekommen. Jetzt aber an diesem Squeeze-System klappt das nicht. :-(

Folgende Seiten habe ich gefunden und gelesen:
http://blog.martin-graesslin.com/blog/k ... it/page/2/
http://forums.fedoraforum.org/archive/i ... 66472.html
http://www.kaaden.franken.de/output/how ... index.html
http://wiki.ubuntuusers.de/Baustelle/Ve ... %C3%BCssel
http://www.andreas-janssen.de/cryptodisk.html

Wenn ich das System starte und der Stick ist angesteckt, bekomme ich als erste Meldung nach dem Grub-Start:

Code: Alles auswählen

usb 1-3: unable to read config index 0 description/start: -61
usb 1-3: chopping to 0 config(s)
Ohne den Stick fehlt auch die Meldung. :/
Der Stick bleibt dann weiterhin "unerkannt" und es gibt erste eine Meldung (auf Konsole/in Logfiles), wenn ich den Stick entferne. Nach dem Systemstart wird der Stick auch gefunden und automatisch ins System eingebunden (Gnome).

Ich habe die /etc/crypttab angepasst und auch in /etc/default/cryptdisks die Einträge entsprechend angepasst:

Code: Alles auswählen

#/etc/crypttab
sda3_crypt UUID=74576196-c94c-4a84-aa12-67e90c6c3872 /media/usb/key.txt luks

sda3_crypt UUID=74576196-c94c-4a84-aa12-67e90c6c3872 none luks,retry=1,cipher=aes-cbc-essiv:sha256
Die 2. Zeile hatte ich auch schon auskommentiert, also nur mit Keyfile, geht auch nicht

Code: Alles auswählen

#/etc/default/cryptdisks
# Run cryptdisks at startup ?
CRYPTDISKS_ENABLE=Yes

# Mountpoints to mount, before starting cryptsetup. This is useful for
# keyfiles on removable media. Seperate mountpoints by space.
CRYPTDISKS_MOUNT="/media/usb"

# Default check script, see /lib/cryptsetup/checks/
# Takes effect, if the 'check' option is set in crypttab without a value
CRYPTDISKS_CHECK=blkid

# Default precheck script, see
# Takes effect, if the 'precheck' option is set in crypttab without a value
CRYPTDISKS_PRECHECK=
In der /etc/fstab ist der entsprechende Eintrag auch vorhanden:

Code: Alles auswählen

# USB-Stick "usb"
/dev/disk/by-uuid/e2398ea5-7e7c-4834-82b2-d41fc1a9618d  /media/usb      ext2    defaults,users,noauto   0       0
/dev/sdb1       /media/usb      ext2    defaults,users,noauto   0       0
Ja, ich weiß, 2 Einträge machen keinen Sinn, der 2. ist auch nur zum Test. Eigentlich soll nur der erste benutzt werden für den Stick.

Die InitRD habe ich ebenfalls neu gebaut mit diesen Einträgen in /etc/initramfs-tools/modules:

Code: Alles auswählen

ext2
aes-x86_64
aes_generic
dm-crypt
dm-mod
sha256
sd_mod
usb_storage
usb-storage
ohci-hcd
Beim Neubau/Update der initRD bekomme ich diese Meldung:

Code: Alles auswählen

> update-initramfs -u -k all
update-initramfs: Generating /boot/initrd.img-2.6.30-2-amd64
cryptsetup: WARNING: target sda3_crypt uses a key file, skipped
Beim Start gibt es noch diese Meldung, wenn ich das Keyfile zum entschlüsseln möchte:

Code: Alles auswählen

Starting remaining crypto disk ... mount: special device /dev/disk/by-uuid/lange-uuid does not exist
Eine Veränderung der Startlevel von cryptsetup hat leider auch nichts gebracht. Ich kann die Platte nur mit Passwort entschlüsseln. Bin im Moment total ratlos. Vielleicht hat einer von euch einen hilfreichen Hinweis.

McAldo
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)

Benutzeravatar
McAldo
Moderator
Beiträge: 2064
Registriert: 26.11.2003 11:43:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Terra / Sol-System / Milchstraße

Re: USB-Stick mit luks-Schlüssel nicht da beim Systemstart

Beitrag von McAldo » 12.02.2010 17:07:51

Jetzt habe ich das mal so gemacht, dass ein Script aufgerufen wird, wenn die Platte entschlüsselt werden soll. Auch hier wird wieder nicht der Stick gefunden. Sobald das System dann in den single_Modus schaltet und ich den Stick heraus ziehe oder einstecke, wird der auch erkannt.

Hier mal die nun vorhandene /etc/crypttab

Code: Alles auswählen

sda3_crypt UUID=74576196-c94c-4a84-aa12-67e90c6c3872    none    luks,retry=1,cipher=aes-cbc-essiv:sha256,keyscript=/etc/init.d/script.sh

sda3_crypt UUID=74576196-c94c-4a84-aa12-67e90c6c3872 none luks,retry=1,cipher=aes-cbc-essiv:sha256
Und das Script dazu:

Code: Alles auswählen

#!/bin/sh
modprobe usb-storage 1>&2
sleep 8
if [ ! -d /usb ]; then
mkdir /usb 1>&2
fi
mount -t ext2 /dev/disk/by-uuid/e2398ea5-7e7c-4834-82b2-d41fc1a9618d /usb 1>2&
sleep 8
cat /usb/key.txt
umount /usb 1>2&
Es gibt weiterhin die Meldung, dass das "special device" nicht gefunden wird.

Hängt das mit Grub im Squeeze zusammen? Liegt es am 2.6.30er Kernel aus Squeeze?

McAldo
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)

Benutzeravatar
McAldo
Moderator
Beiträge: 2064
Registriert: 26.11.2003 11:43:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Terra / Sol-System / Milchstraße

Re: USB-Stick mit luks-Schlüssel nicht da beim Systemstart

Beitrag von McAldo » 12.02.2010 23:46:12

Nun habe ich vielleicht eine Lösung.

Inhalt der Datei /etc/crypttab

Code: Alles auswählen

sda3_crypt UUID=74576196-c94c-4a84-aa12-67e90c6c3872    none    luks,noearly,tries=3,cipher=aes-cbc-essiv:sha256,keyscript=/etc/script.sh

sda3_crypt UUID=74576196-c94c-4a84-aa12-67e90c6c3872 none luks,noearly,tries=4,cipher=aes-cbc-essiv:sha256
Das /etc/script.sh sieht nun so aus:

Code: Alles auswählen

#!/bin/sh
sleep 2
modprobe usb-storage 1>&2
sleep 8
if [ ! -d /mnt ]; then
mkdir /mnt 1>&2
fi
mount -t ext2 /dev/disk/by-uuid/e2398ea5-7e7c-4834-82b2-d41fc1a9618d /mnt 1>2&
sleep 8
cat /mnt/key.txt
umount /mnt 1>2&
Wenn ich den Stick nun einstecke, nachdem die Meldung kommt, dass der Kernel geladen wird, scheint es zu funktionieren. Mir wäre es aber lieber, wenn man den Stick schon vor Einschalten des Gerätes einstecken könnte.

McAldo
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)

Haihappen
Beiträge: 40
Registriert: 28.06.2008 00:20:06

Re: USB-Stick mit luks-Schlüssel nicht da beim Systemstart

Beitrag von Haihappen » 26.02.2011 14:31:48

Hallo,
konntest du das Problem mittlerweile lösen?
Hänge nämlich an einer ähnlichen Stelle....

Benutzeravatar
McAldo
Moderator
Beiträge: 2064
Registriert: 26.11.2003 11:43:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Terra / Sol-System / Milchstraße

Re: USB-Stick mit luks-Schlüssel nicht da beim Systemstart

Beitrag von McAldo » 26.02.2011 15:51:50

Nein, konnte ich nicht. Habe aber auch nicht weiter testen können, da das System nicht mir gehört. Letzten habe ich aber auf Squeeze geupdatet, das hat aber nichts geändert. Auf einem anderen Rechner funktioniert es wie gewünscht. Könnte vielleicht auch ein Hardwareproblem sein.

McAldo
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)

Haihappen
Beiträge: 40
Registriert: 28.06.2008 00:20:06

Re: USB-Stick mit luks-Schlüssel nicht da beim Systemstart

Beitrag von Haihappen » 27.02.2011 21:48:57

Hallo,
ich habe ein ähnliches Problem:

Bei der Squeeze-Installation wurden 3 Partitionen erstellt:

1e unverschlüsselte BOOT-Partition
2e verschlüsselte SWAP-Partition (Schlüssel=Zufällig generiert)
3e verschlüsselte Partition auf der sich ein LVM mit Root; Home; .... befindet
(Schlüssel=Passphrase; soll durch key-file ersetzt werden)

Das starten mit einem key-file über USB-Stick klappt nun dank der vorherigen Tipps; allerdings werden beim Hochfahren einige Fehlermeldungen ausgegeben die ich gerne beheben würde und ich bin mir überhaupt nicht sicher ob alle Einträge vollständig/ oder sogar übervollständig sind bzw. ob man einige Sachen nicht eleganter/besser lösen könnte .... :confused:

Zur Übersicht:

/etc/initramfs-tools/modules:

Code: Alles auswählen

# List of modules that you want to include in your initramfs.
# They will be loaded at boot time in the order below.
#
# Syntax:  module_name [args ...]
#
# You must run update-initramfs(8) to effect this change.
#
# Examples:
#
# raid1
sd_mod
nls_cp437
nls_iso8859_1
aes-x86_64
dm-crypt
dm-mod
sha256
sd_mod
usb_storage
/boot/keyscript.sh

Code: Alles auswählen

#!/bin/sh
modprobe usb-storage 1>&2
sleep 5
[-d /usb ] || mkdir /usb 1>&2
mount -t ext2  /dev/disk/by-uuid/5d676fbe-bbc7-4b8d-8e3a-cd2bebbc0f6c /usb 1>&2
cat /usb/key
umount /usb 1>&2

/etc/cryptab

Code: Alles auswählen

sda5_crypt /dev/sda5 /dev/urandom cipher=aes-cbc-essiv:sha256,size=256,swap
sda6_crypt UUID=166b2a66-557b-4e31-94de-bb08d5e1122e none luks,keyscript=/boot/keyscript.sh








/etc/default/cryptdisks

Code: Alles auswählen

# Run cryptdisks initscripts at startup? Default is Yes.
CRYPTDISKS_ENABLE=Yes

# Mountpoints to mount, before cryptsetup is invoked at initscripts. Takes
# mountpoins which are configured in /etc/fstab as arguments. Separate
# mountpoints by space.
# This is useful for keyfiles on removable media. Default is unset.
CRYPTDISKS_MOUNT="/usb"

# Default check script. Takes effect, if the 'check' option is set in crypttab
# without a value.
CRYPTDISKS_CHECK=blkid

# Default precheck script. Takes effect, if the 'precheck' option is set in
# crypttab without a value.
# Default is 'un_blkid' for plain dm-crypt devices if unset here.
CRYPTDISKS_PRECHECK=

Fehlermeldung beim Hochfahren

Code: Alles auswählen

Sun Feb 27 20:35:39 2011: Setting preliminary keymap...done.
Sun Feb 27 20:35:39 2011: Checking root file system...fsck from util-linux-ng 2.17.2
Sun Feb 27 20:35:39 2011: /dev/mapper/server_haupt-root: clean, 29562/29835264 files, 2109616/119336960 blocks
Sun Feb 27 20:35:39 2011: done.
Sun Feb 27 20:35:39 2011: Starting early crypto disks...mount: can't find /usb in /etc/fstab or /etc/mtab
Sun Feb 27 20:35:39 2011: sda5_crypt (starting)...
Sun Feb 27 20:35:40 2011: script /boot/keyscript.sh is not an executable script  skipping ... ^[[33m(warning).^[[39;49m
Sun Feb 27 20:35:40 2011: ^[[31mfailed.^[[39;49m
Sun Feb 27 20:35:40 2011: done.
Sun Feb 27 20:35:40 2011: Cleaning up ifupdown....
Sun Feb 27 20:35:40 2011: Setting up networking....
Sun Feb 27 20:35:40 2011: Loading kernel modules...done.
Sun Feb 27 20:35:40 2011: Setting up LVM Volume Groups  Reading all physical volumes.  This may take a while...
Sun Feb 27 20:35:40 2011:   Found volume group "server_haupt" using metadata type lvm2
Sun Feb 27 20:35:40 2011:   2 logical volume(s) in volume group "server_haupt" now active
Sun Feb 27 20:35:40 2011: .
Sun Feb 27 20:35:40 2011: Starting remaining crypto disks...mount: can't find /usb in /etc/fstab or /etc/mtab
Sun Feb 27 20:35:40 2011: script /boot/keyscript.sh is not an executable script  skipping ... ^[[33m(warning).^[[39;49m
Sun Feb 27 20:35:40 2011: ^[[31mfailed.^[[39;49m
Sun Feb 27 20:35:40 2011: done.
Sun Feb 27 20:35:40 2011: Activating lvm and md swap...done.
Sun Feb 27 20:35:40 2011: Checking file systems...fsck from util-linux-ng 2.17.2
Sun Feb 27 20:35:40 2011: /dev/sda1: clean, 228/146016 files, 53282/291840 blocks
Sun Feb 27 20:35:40 2011: /dev/mapper/server_haupt-home: clean, 22/183264 files, 28981/732160 blocks
Sun Feb 27 20:35:40 2011: done.
Sun Feb 27 20:35:40 2011: Mounting local filesystems...done.
Sun Feb 27 20:35:41 2011: Activating swapfile swap...done.
Sun Feb 27 20:35:41 2011: Cleaning up temporary files....
Sun Feb 27 20:35:41 2011: Configuring network interfaces...done.
Sun Feb 27 20:35:41 2011: Starting portmap daemon....
Sun Feb 27 20:35:41 2011: Starting NFS common utilities: statd.
Sun Feb 27 20:35:41 2011: Cleaning up temporary files....
Sun Feb 27 20:35:41 2011: Setting console screen modes.
Sun Feb 27 20:35:41 2011: ^[]R^[[9;30]^[[14;30]Skipping font and keymap setup (handled by console-setup).
Sun Feb 27 20:35:41 2011: Setting up console font and keymap...done.
Sun Feb 27 20:35:42 2011: Setting kernel variables ...done.
Sun Feb 27 20:35:42 2011: INIT: Entering runlevel: 2
Sun Feb 27 20:35:42 2011: Using makefile-style concurrent boot in runlevel 2.
Sun Feb 27 20:35:42 2011: Starting NFS common utilities: statd.
Sun Feb 27 20:35:42 2011: Starting portmap daemon...Already running..
Sun Feb 27 20:35:42 2011: Starting enhanced syslogd: rsyslogd.
Sun Feb 27 20:35:43 2011: Starting ACPI services....
Sun Feb 27 20:35:43 2011: Exporting directories for NFS kernel daemon....
Sun Feb 27 20:35:43 2011: Starting NFS kernel daemon: nfsd mountd.
Sun Feb 27 20:35:43 2011: Starting deferred execution scheduler: atd.
Sun Feb 27 20:35:43 2011: Starting periodic command scheduler: cron.
Sun Feb 27 20:35:44 2011: Starting system message bus: dbus.
Sun Feb 27 20:35:44 2011: Starting Samba daemons: nmbd smbd.
Sun Feb 27 20:35:44 2011: Starting MTA: exim4.
Sun Feb 27 20:35:45 2011: Starting internet superserver: inetd.
Sun Feb 27 20:35:45 2011: Starting OpenBSD Secure Shell server: sshd.
Sun Feb 27 20:35:45 2011: Starting the Winbind daemon: winbind.


Anmerkung: Habe diesen Beitrag zwar gerade schon in einem anderen Forum gepostet (http://www.linuxforen.de/forums/showthr ... 981&page=2), er passt meiner Meinung nach aber besser hierher.
Zuletzt geändert von Haihappen am 27.02.2011 23:08:53, insgesamt 1-mal geändert.

gemma
Beiträge: 322
Registriert: 28.07.2010 12:19:49

Re: USB-Stick mit luks-Schlüssel nicht da beim Systemstart

Beitrag von gemma » 27.02.2011 22:44:02

2e verschlüsselte SWAP-Partition (Schlüssel=Zufällig generiert)
Habe schlechte Erfahrungen mit dem Setup gemacht. :roll:
Da du zB. in der crypttab keine UUID verwenden kannst, wird ggf. die Partition einer anderen Platte verwendet, falls sich die Bezeichnung ändert.

Code: Alles auswählen

# Mountpoints to mount, before cryptsetup is invoked at initscripts. Takes
# mountpoins which are configured in /etc/fstab as arguments.

Code: Alles auswählen

Sun Feb 27 20:35:39 2011: Starting early crypto disks...mount: can't find /usb in /etc/fstab or /etc/mtab
Also fstab anpassen.

Code: Alles auswählen

Sun Feb 27 20:35:40 2011: script /boot/keyscript.sh is not an executable script  skipping ...
Rechte des Scripts anpassen.

Haihappen
Beiträge: 40
Registriert: 28.06.2008 00:20:06

Re: USB-Stick mit luks-Schlüssel nicht da beim Systemstart

Beitrag von Haihappen » 27.02.2011 22:51:18

Hallo,
danke für den Tipp; werde dann beim neuaufsetzten die swap-partition mit in den verschlüsselten LVM-Bund nehmen.

Wie kann ich das Skript "ausführbar" machen; habe ihm schon mit chmod 777 jegliche Rechte eingeräumt... :?:

Habe die fstab jetzt folgendermaßen angepasst (unterste Zeile):

Code: Alles auswählen

# /etc/fstab: static file system information.
#
# Use 'blkid' to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc            /proc           proc    defaults        0       0
/dev/mapper/server_haupt-root /               ext4    errors=remount-ro 0       1
# /boot was on /dev/sda1 during installation
UUID=0a48b8cd-5781-4f77-8415-315859897d3e /boot           ext2    defaults        0       2
/dev/mapper/server_haupt-home /home           ext4    defaults        0       2
/dev/mapper/sda5_crypt none            swap    sw              0       0
/dev/scd0       /media/cdrom0   udf,iso9660 user,noauto     0       0
/dev/disk/by-uuid/5d676fbe-bbc7-4b8d-8e3a-cd2bebbc0f6c /usb ext2 defaults 0 0




Boot-Meldung:

Code: Alles auswählen

Sun Feb 27 22:41:14 2011: Setting preliminary keymap...done.
Sun Feb 27 22:41:14 2011: Checking root file system...fsck from util-linux-ng 2.17.2
Sun Feb 27 22:41:14 2011: /dev/mapper/server_haupt-root: clean, 29565/29835264 files, 2109731/119336960 blocks
Sun Feb 27 22:41:14 2011: done.
Sun Feb 27 22:41:14 2011: Starting early crypto disks...sda5_crypt (starting)...
Sun Feb 27 22:41:14 2011: script /boot/keyscript.sh is not an executable script  skipping ... ^[[33m(warning).^[[39;49m
Sun Feb 27 22:41:14 2011: ^[[31mfailed.^[[39;49m
Sun Feb 27 22:41:14 2011: done.
Sun Feb 27 22:41:14 2011: Cleaning up ifupdown....
Sun Feb 27 22:41:15 2011: Setting up networking....
Sun Feb 27 22:41:15 2011: Loading kernel modules...done.
Sun Feb 27 22:41:15 2011: Setting up LVM Volume Groups  Reading all physical volumes.  This may take a while...
Sun Feb 27 22:41:15 2011:   Found volume group "server_haupt" using metadata type lvm2
Sun Feb 27 22:41:15 2011:   2 logical volume(s) in volume group "server_haupt" now active
Sun Feb 27 22:41:15 2011: .
Sun Feb 27 22:41:15 2011: Starting remaining crypto disks...script /boot/keyscript.sh is not an executable script  skipping ... ^[[33m(warning).^[[39;49m
Sun Feb 27 22:41:15 2011: ^[[31mfailed.^[[39;49m
Sun Feb 27 22:41:15 2011: done.
Sun Feb 27 22:41:15 2011: Activating lvm and md swap...done.
Sun Feb 27 22:41:15 2011: Checking file systems...fsck from util-linux-ng 2.17.2
Sun Feb 27 22:41:15 2011: /dev/sda1: clean, 228/146016 files, 53282/291840 blocks
Sun Feb 27 22:41:15 2011: /dev/mapper/server_haupt-home: clean, 24/183264 files, 28983/732160 blocks
Sun Feb 27 22:41:15 2011: done.
Sun Feb 27 22:41:15 2011: Mounting local filesystems...done.
Sun Feb 27 22:41:16 2011: Activating swapfile swap...done.
Sun Feb 27 22:41:16 2011: Cleaning up temporary files....
Sun Feb 27 22:41:16 2011: Configuring network interfaces...Setting kernel variables ...done.
Sun Feb 27 22:41:17 2011: done.
Sun Feb 27 22:41:17 2011: Starting portmap daemon....
Sun Feb 27 22:41:17 2011: Starting NFS common utilities: statd.
Sun Feb 27 22:41:17 2011: Cleaning up temporary files....
Sun Feb 27 22:41:17 2011: Setting console screen modes.
Sun Feb 27 22:41:17 2011: ^[]R^[[9;30]^[[14;30]Skipping font and keymap setup (handled by console-setup).
Sun Feb 27 22:41:17 2011: Setting up console font and keymap...done.
Sun Feb 27 22:41:17 2011: INIT: Entering runlevel: 2
Sun Feb 27 22:41:17 2011: Using makefile-style concurrent boot in runlevel 2.
Sun Feb 27 22:41:17 2011: Starting portmap daemon...Already running..
Sun Feb 27 22:41:17 2011: Starting NFS common utilities: statd.
Sun Feb 27 22:41:18 2011: Starting enhanced syslogd: rsyslogd.
Sun Feb 27 22:41:18 2011: Starting ACPI services....
Sun Feb 27 22:41:18 2011: Exporting directories for NFS kernel daemon....
Sun Feb 27 22:41:18 2011: Starting NFS kernel daemon: nfsd mountd.
Sun Feb 27 22:41:18 2011: Starting deferred execution scheduler: atd.
Sun Feb 27 22:41:18 2011: Starting periodic command scheduler: cron.
Sun Feb 27 22:41:19 2011: Starting system message bus: dbus.
Sun Feb 27 22:41:19 2011: Starting Samba daemons: nmbd smbd.
Sun Feb 27 22:41:19 2011: Starting MTA:Starting internet superserver: inetd.
Sun Feb 27 22:41:20 2011: Starting the Winbind daemon: winbind.
Sun Feb 27 22:41:20 2011: Starting OpenBSD Secure Shell server: sshd.
Sun Feb 27 22:41:20 2011:  exim4.
Zuletzt geändert von Haihappen am 27.02.2011 23:06:36, insgesamt 1-mal geändert.

gemma
Beiträge: 322
Registriert: 28.07.2010 12:19:49

Re: USB-Stick mit luks-Schlüssel nicht da beim Systemstart

Beitrag von gemma » 27.02.2011 23:06:11

Ist das fehlende # in der ersten Zeile im Original auch nicht vorhanden oder beim Kopieren verloren gegangen?

Code: Alles auswählen

!/bin/sh
modprobe usb-storage 1>&2
sleep 5
[-d /usb ] || mkdir /usb 1>&2
mount -t ext2  /dev/disk/by-uuid/5d676fbe-bbc7-4b8d-8e3a-cd2bebbc0f6c /usb 1>&2
cat /usb/key
umount /usb 1>&2

Haihappen
Beiträge: 40
Registriert: 28.06.2008 00:20:06

Re: USB-Stick mit luks-Schlüssel nicht da beim Systemstart

Beitrag von Haihappen » 27.02.2011 23:10:55

War (leider) nur ein Kopierfehler, aber danke für den Hinweis.

Wie kann das sein, dass das Skript als nicht ausführbar genannt wird, obwohl es den Rechner ja anscheinend ordnungsgemäß entschlüsselt (?)

gemma
Beiträge: 322
Registriert: 28.07.2010 12:19:49

Re: USB-Stick mit luks-Schlüssel nicht da beim Systemstart

Beitrag von gemma » 28.02.2011 00:16:35

Vielleicht ist es kein fataler Fehler. Es wundert mich mehr, da das Script nun mal das Recht zum Ausführen hat. Oder er findet an der Stelle überhaupt das Script nicht.
Der fstab-Eintrag stimmt nicht ganz, sehe ich gerade. Als Mountpoint gehört wohl /boot/usb. Da in der cryptdisks das gleiche stehen soll, auch dort zu ändern(?)

Was ich auch nicht verstehe, ist wie diese Zeile im keyscript.sh funktionieren kann.

Code: Alles auswählen

mount -t ext2  /dev/disk/by-uuid/5d676fbe-bbc7-4b8d-8e3a-cd2bebbc0f6c /usb 1>&2
Das eigentliche Wurzelverzeichnis ist zu diesem Zeitpunkt ja noch nicht verfügbar, wie kann dann ein in /dev/disk/... verlinktes Device gefunden werden?
Das sleep 5 aus dem Script wird laut deinem Log auch nicht ausgeführt. Dort müssten dann ja irgendwo 5 sek. Pause sein.

Allerdings klappt das Entsperren so wie du willst, oder? Zur Sicherheit könntest du das ganze Setup überprüfen, um sicher zu gehen, dass dein System wirklich komplett verschlüsselt ist und das Keyfile nicht irgendwo auf einer unverschlüsselten Partition der Festplatte herumliegt.

Haihappen
Beiträge: 40
Registriert: 28.06.2008 00:20:06

Re: USB-Stick mit luks-Schlüssel nicht da beim Systemstart

Beitrag von Haihappen » 28.02.2011 00:32:11

Naja, der Eintrag in der fstab ist nicht unbedingt notwendig; wenn dieser nicht vorhanden ist gibt es "nur" eine zusätzliche Fehlermeldung :oops:

Die Sache mit "/usb" dürfte schon so stimmen; habe mich da an folgender Anleitung orientiert "http://www.andreas-janssen.de/cryptodisk.html".

Leider verstehe ich als Linux-Neuling noch nicht wirklich alle Zusammenhänge und weiß daher nicht ob die Fehlermeldungen nun vernachlässigbar sind oder nicht....

Verschlüsselung scheint aber vollständig da Rechner ohne Stick nicht hochfährt.

ERGÄNZUNG:


Habe ein bisschen gesucht und bin auf diesen Beitrag gestoßen: http://www.debianhelp.org/node/6797 (ebenfalls von andreas janssen)

Ich habe daraufhin die Einträge aus der "fstab" und "/etc/default/cryptdisks" entfernt und klappt auch ohne diese; sodass sich folgendes neues Bild ergibt:

/boot/keyscript.sh

Code: Alles auswählen

#!/bin/sh
modprobe usb-storage 1>&2
sleep 3
[-d /usb ] || mkdir /usb 1>&2
mount -t ext2  /dev/disk/by-uuid/5d676fbe-bbc7-4b8d-8e3a-cd2bebbc0f6c /usb 1>&2
cat /usb/key
umount /usb 1>&2

exit
/etc/crypttab

Code: Alles auswählen

sda5_crypt /dev/sda5 /dev/urandom cipher=aes-cbc-essiv:sha256,size=256,swap
sda6_crypt UUID=166b2a66-557b-4e31-94de-bb08d5e1122e none luks,keyscript=/boot/keyscript.sh
Boot-Meldung mit eingestecktem Usb-Stick; System fährt hoch

Code: Alles auswählen

Mon Feb 28 00:55:42 2011: Setting preliminary keymap...done.
Mon Feb 28 00:55:42 2011: Checking root file system...fsck from util-linux-ng 2.17.2
Mon Feb 28 00:55:42 2011: /dev/mapper/server_haupt-root: clean, 29573/29835264 files, 2110091/119336960 blocks
Mon Feb 28 00:55:42 2011: done.
Mon Feb 28 00:55:42 2011: Starting early crypto disks...sda5_crypt (starting)...
Mon Feb 28 00:55:42 2011: script /boot/keyscript.sh is not an executable script  skipping ... ^[[33m(warning).^[[39;49m
Mon Feb 28 00:55:42 2011: ^[[31mfailed.^[[39;49m
Mon Feb 28 00:55:42 2011: done.
Mon Feb 28 00:55:43 2011: Cleaning up ifupdown....
Mon Feb 28 00:55:43 2011: Setting up networking....
Mon Feb 28 00:55:43 2011: Loading kernel modules...done.
Mon Feb 28 00:55:43 2011: Setting up LVM Volume Groups  Reading all physical volumes.  This may take a while...
Mon Feb 28 00:55:43 2011:   Found volume group "server_haupt" using metadata type lvm2
Mon Feb 28 00:55:43 2011:   2 logical volume(s) in volume group "server_haupt" now active
Mon Feb 28 00:55:43 2011: .
Mon Feb 28 00:55:43 2011: Starting remaining crypto disks...script /boot/keyscript.sh is not an executable script  skipping ... ^[[33m(warning).^[[39;49m
Mon Feb 28 00:55:43 2011: ^[[31mfailed.^[[39;49m
Mon Feb 28 00:55:43 2011: done.
Mon Feb 28 00:55:43 2011: Activating lvm and md swap...done.
Mon Feb 28 00:55:43 2011: Checking file systems...fsck from util-linux-ng 2.17.2
Mon Feb 28 00:55:43 2011: /dev/sda1: clean, 228/146016 files, 53282/291840 blocks
Mon Feb 28 00:55:43 2011: /dev/mapper/server_haupt-home: clean, 26/183264 files, 28985/732160 blocks
Mon Feb 28 00:55:43 2011: done.
Mon Feb 28 00:55:43 2011: Mounting local filesystems...done.
Mon Feb 28 00:55:43 2011: Activating swapfile swap...done.
Mon Feb 28 00:55:44 2011: Cleaning up temporary files....
Mon Feb 28 00:55:44 2011: Configuring network interfaces...Setting kernel variables ...done.
Mon Feb 28 00:55:44 2011: done.
Mon Feb 28 00:55:44 2011: Starting portmap daemon....
Mon Feb 28 00:55:45 2011: Starting NFS common utilities: statd.
Mon Feb 28 00:55:45 2011: Cleaning up temporary files....
Mon Feb 28 00:55:45 2011: Setting console screen modes.
Mon Feb 28 00:55:45 2011: ^[]R^[[9;30]^[[14;30]Skipping font and keymap setup (handled by console-setup).
Mon Feb 28 00:55:45 2011: Setting up console font and keymap...done.
Mon Feb 28 00:55:45 2011: INIT: Entering runlevel: 2
Mon Feb 28 00:55:45 2011: Using makefile-style concurrent boot in runlevel 2.
Mon Feb 28 00:55:45 2011: Starting portmap daemon...Already running..
Mon Feb 28 00:55:45 2011: Starting NFS common utilities: statd.
Mon Feb 28 00:55:46 2011: Starting enhanced syslogd: rsyslogd.
Mon Feb 28 00:55:46 2011: Starting ACPI services....
Mon Feb 28 00:55:46 2011: Exporting directories for NFS kernel daemon....
Mon Feb 28 00:55:46 2011: Starting NFS kernel daemon: nfsd mountd.
Mon Feb 28 00:55:46 2011: Starting deferred execution scheduler: atd.
Mon Feb 28 00:55:46 2011: Starting periodic command scheduler: cron.
Mon Feb 28 00:55:47 2011: Starting system message bus: dbus.
Mon Feb 28 00:55:47 2011: Starting Samba daemons: nmbd smbd.
Mon Feb 28 00:55:47 2011: Starting MTA: exim4.
Mon Feb 28 00:55:47 2011: Starting internet superserver: inetd.
Mon Feb 28 00:55:48 2011: Starting OpenBSD Secure Shell server: sshd.
Mon Feb 28 00:55:48 2011: Starting the Winbind daemon: winbind.
Partitionierung:
Bild


Bleibt die Frage warum das Skript übersprungen wird aber der Rechner trotzdem startet bzw. warum es als ein "not an executable script" angesehen wird. :?: :?: :?:
"script /boot/keyscript.sh is not an executable script skipping "
Zuletzt geändert von Haihappen am 28.02.2011 01:21:56, insgesamt 1-mal geändert.

gemma
Beiträge: 322
Registriert: 28.07.2010 12:19:49

Re: USB-Stick mit luks-Schlüssel nicht da beim Systemstart

Beitrag von gemma » 28.02.2011 01:13:45

Wirklich aktuell ist die Anleitung zwar nicht (neues Debian, neues Grub, UUIDs, viele neue Kernel...),
aber da
Verschlüsselung scheint aber vollständig da Rechner ohne Stick nicht hochfährt.
kann so viel nicht falsch sein.

Haihappen
Beiträge: 40
Registriert: 28.06.2008 00:20:06

Re: USB-Stick mit luks-Schlüssel nicht da beim Systemstart

Beitrag von Haihappen » 28.02.2011 12:24:27

Hm....; es scheint so.
Vielleicht hat noch jemand anderes ne Idee bzgl. der Skript-Meldung? :(

:( :( :(
Zuletzt geändert von TRex am 06.03.2011 19:28:19, insgesamt 1-mal geändert.
Grund: bitte keine doppelpostings.

rhHeini
Beiträge: 2261
Registriert: 20.04.2006 20:44:10

Re: USB-Stick mit luks-Schlüssel nicht da beim Systemstart

Beitrag von rhHeini » 06.03.2011 19:23:34

Schau Dir mal http://debianforum.de/forum/viewtopic.p ... 86#p736418 bzw. den zugehörigen Thread an.
Ausserdem hilfreich: beim Booten ein rootdelay=10 einfügen.

Mfg rh

Antworten