(gelöst) cryptsetup, Passwort-Eingabe-Aufforderung

Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
guennid
Beiträge: 11711
Registriert: 31.10.2002 19:15:35
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Marburg

(gelöst) cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 14.12.2017 10:53:33

Sehe ich recht, dass man die ohne Eingriff in den Quellcode nicht ändern kann? Unterdrücken?
Zuletzt geändert von guennid am 28.02.2018 10:09:03, insgesamt 1-mal geändert.

Benutzeravatar
jph
Beiträge: 330
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von jph » 14.12.2017 11:40:01

Das Verhalten beim Booten wird über die /etc/crypttab gesteuert.

spiralnebelverdreher
Beiträge: 1148
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von spiralnebelverdreher » 14.12.2017 11:43:19

guennid hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 10:53:33
Sehe ich recht, dass man die ohne Eingriff in den Quellcode nicht ändern kann? Unterdrücken?
Es gibt mehrere Methoden, dem Programm Debiancryptsetup Schlüsselmaterial zu übergeben. Passworteingabe an der Tastatur ist nur eine davon. Was genau willst du den erreichen?

guennid
Beiträge: 11711
Registriert: 31.10.2002 19:15:35
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Marburg

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 14.12.2017 12:02:45

Tja, der Teufel liegt im Dateil. :wink: Ich will den Text der Eingabeaufforderung nicht sehen.
crypttab sieht nach Einsicht nicht danach aus, das zu ermöglichen.

schwedenmann
Beiträge: 4042
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von schwedenmann » 14.12.2017 12:21:51

Hallo

Ich will den Text der Eingabeaufforderung nicht sehen.
Komisch bei mir, wenn ich mein verschlüseltes device öffne, tippe ich blind, da erscheint nichts auf dem Monitor.

mfg
schwedenmann

spiralnebelverdreher
Beiträge: 1148
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von spiralnebelverdreher » 14.12.2017 12:39:17

guennid hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 12:02:45
Tja, der Teufel liegt im Dateil. :wink: Ich will den Text der Eingabeaufforderung nicht sehen.
crypttab sieht nach Einsicht nicht danach aus, das zu ermöglichen.
Ok, es geht dir also sinngemäß um den Text "Please enter password to unlock devive blablub" ? Da soll dann einfach nichts stehen?

guennid
Beiträge: 11711
Registriert: 31.10.2002 19:15:35
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Marburg

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 14.12.2017 12:42:00

@schwedenmann
Hier schon:

Code: Alles auswählen

Geben Sie die Passphrase für »[Pfad/zum/container]« ein:
@spiralnebelverdreher
Genau so! oder: Ich kreiere mir selbst einen.

spiralnebelverdreher
Beiträge: 1148
Registriert: 23.12.2005 22:29:03
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Frankfurt am Main

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von spiralnebelverdreher » 14.12.2017 12:48:13

Ganz abgesehen davon, dass ich das eher unpraktisch fände - wir sind ja im Open Source Bereich und da soll ja jeder nach seiner eigenen Facon glücklich warden - sehe ich mindestens zwei Ansätze:

1) Quellcode ändern und Paket neu bauen
2) Umleitung der Standardausgabe im Startscriptt auf /dev/null oder sonst was, was nicht im Bildschirm erscheint.

guennid
Beiträge: 11711
Registriert: 31.10.2002 19:15:35
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Marburg

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 14.12.2017 13:30:15

Das Kommando ist:

Code: Alles auswählen

cryptsetup luksOpen /pfad/zum/container [/dev-mapper-datei]
ad 1: Will und kann ich nicht (deswegen ja: "Sehe ich recht, dass ...")

ad 2: Bis jetzt gescheitert

Benutzeravatar
jph
Beiträge: 330
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von jph » 14.12.2017 13:44:52

guennid hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 13:30:15
Das Kommando ist:

Code: Alles auswählen

cryptsetup luksOpen /pfad/zum/container [/dev-mapper-datei]
ad 1: Will und kann ich nicht (deswegen ja: "Sehe ich recht, dass ...")

ad 2: Bis jetzt gescheitert
Ich nehme an, dass es dir um die Abfrage beim Booten geht, um ein auf einem mit dm-crypt/LUKS verschlüsselten LVM installiertes System zu starten. Da bringt (ad 2) ein Wrapper-Skript nichts, weil beim Booten cryptsetup/cryptdisks_start in der initrd und nicht in /sbin gestartet wird. Letzteres wird an der Stelle im Bootvorgang ja noch verschlüsselt sein.

Du scheinst Security by Obscurity bauen zu wollen. Dir ist bekannt, dass das ein Irrweg ist?

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von TomL » 14.12.2017 13:54:45

jph hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 11:40:01
Das Verhalten beim Booten wird über die /etc/crypttab gesteuert.
Wenn man das heute noch so einrichtet.... aber brauchen tut mans seit Jessie nicht mehr. Ich würde heute immer den Weg via systemd-service-Unit wählen.
vg, Thomas

guennid
Beiträge: 11711
Registriert: 31.10.2002 19:15:35
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: bei Marburg

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von guennid » 14.12.2017 13:56:18

Ich nehme an, dass es dir um die Abfrage beim Booten geht, um ein auf einem mit dm-crypt/LUKS verschlüsselten LVM installiertes System zu starten.
Ach was, sowas Exquisites kann ich gar nicht.
Das ganze ist ja nicht so wichtig, aber ich find's halt doof, dass der eigentliche container schon beim Aufrufversuch von cryptsetup Hinz und Kunz genannt wird. Und außerdem würde ich gern ein kleines, feines Fensterchen konstruieren, in dem das Passwort abgefragt wird. :wink:
Du scheinst Security by Obscurity bauen zu wollen.
Um dazu was sagen zu können, müsst' ich wissen, was man/du darunter verstehst. :wink:

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von TomL » 14.12.2017 14:10:28

guennid hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 12:02:45
Ich will den Text der Eingabeaufforderung nicht sehen. crypttab sieht nach Einsicht nicht danach aus, das zu ermöglichen.
Doch, natürlich geht das... nur würde ich das nicht machen, weil Du damit einen Teil der Sicherheit zu einem Zufallsprodukt machst. Du kannst selbstverständlich das Password selber abfragen, mit einem eigenen wohlklingenden Text, und dann die Eingabe direkt via stdin an Cryptsetup übergeben. Allerdings besteht dann die Möglichkeit, dass das Password entweder in Reinschrift in der Prozessliste steht oder in Reinschrift in der User-History.

Wenn Du das trotzdem unbedingt so machen willst, gibts ne Möglichkeit, mit der zumindest der Reinschrifttext des PWDs nicht lesbar ist und das das PWD spätestens beim shutdown endgültig weg ist.

Ich würde via base64 ein verkryptetes Password erzeugen... so in dem Muster:

Code: Alles auswählen

# echo "günni is der chefhacker" | base64
Z8O8bm5pIGlzIGRlciBjaGVmaGFja2VyCg==

# echo "günni is der chefhacker" | base64 >/tmp/containerkey

# cat /tmp/containerkey
Z8O8bm5pIGlzIGRlciBjaGVmaGFja2VyCg==
Dann gehst Du hin, und importierst diesen Schlüssel (nach dem Öffnen des Containers) in das "Schlüsselfach" Deines Containers.

Code: Alles auswählen

cryptsetup luksAddKey /dev/loop0 /tmp/containerkey
Und nun kannst Du in Deinem "Open-Container"-Script ein Password mit beliebigen Text abfragen, bei dem der User "günni is der chefhacker" eingeben muss und generierst on-the-fly das Keyfile in /tmp... exakt wie oben angegeben. Danach kannst Du den Container mit Angabe des fliegend erstellten Keyfiles öffnen.

Code: Alles auswählen

cryptsetup luksOpen /dev/loop0 container --key-file /tmp/containerkey
Solange der PC an ist und tmpfs->/tmp/containerkey besteht, kann man sich das sichern... das ist das Risiko, allerdings sollte es einem Laien fast unmöglich sein, das Password in Reinschrift zu reproduzieren. Nachtrag.... mir fällt gerade ein, man kann das Keyfile auch einfach direkt nach dem LuksOpen löschen... man braucht es ja wirklich nur für den Moment des Öffnens....
vg, Thomas

Benutzeravatar
jph
Beiträge: 330
Registriert: 06.12.2015 15:06:07
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Greven/Westf.

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von jph » 14.12.2017 14:56:14

TomL hat geschrieben:
jph hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 11:40:01
Das Verhalten beim Booten wird über die /etc/crypttab gesteuert.
Wenn man das heute noch so einrichtet.... aber brauchen tut mans seit Jessie nicht mehr. Ich würde heute immer den Weg via systemd-service-Unit wählen.
Erzähl mir bitte mehr.

TomL
Beiträge: 3705
Registriert: 24.07.2014 10:56:59

Re: cryptsetup, Passwort-Eingabe-Aufforderung

Beitrag von TomL » 14.12.2017 15:29:26

jph hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 14:56:14
TomL hat geschrieben:
jph hat geschrieben: ↑ zum Beitrag ↑
14.12.2017 11:40:01
Das Verhalten beim Booten wird über die /etc/crypttab gesteuert.
Wenn man das heute noch so einrichtet.... aber brauchen tut mans seit Jessie nicht mehr. Ich würde heute immer den Weg via systemd-service-Unit wählen.
Erzähl mir bitte mehr.
Da is nix zu erzählen.... Öffnen, mounten, umounten und schließen einfach in eine kleine systemd-service-unit eintragen, dazu ne Condition aufs Keyfile (wenn USB-Stick), die Unit passend in den Start einfügen und den Rest macht systemd. In Kombination mit UDEV funktioniert das als Reaktion auf den Stick sogar auch Hot-Plug-mäßig. Das heisst, bei mir wird die Unit sogar immer über UDEV angezogen, unterwegs mit fliegendem USB-STick, zuhause mit "persistenter" SDC. Also wirklich total easy und zuverlässig.

BTW, systemd ist hier sowas von total offtopic... *fg*... und sollte auch nicht genannt oder als Vorschlag in Erwägung gezogen werden... :mrgreen:... und wenns doch genannt wird, immer ein Töpfchen mit Weihwasser daneben stellen. :twisted:
vg, Thomas

Antworten