[gelöst] Testing: Fehlende settings in crypttab bei FDE mit luks/dmcrypt

Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
Antworten
Benutzeravatar
Dogge
Beiträge: 1895
Registriert: 13.09.2010 11:07:33
Lizenz eigener Beiträge: MIT Lizenz

[gelöst] Testing: Fehlende settings in crypttab bei FDE mit luks/dmcrypt

Beitrag von Dogge » 27.06.2018 21:09:11

Ich habe ein testing, dass "full disk encryption" mittels luks/dmcrypt (über den Debian installer) eingerichtet hat. Das lief bisher auch problemlos, aber mir fielen jetzt beim boot Fehlermeldungen auf. Leider habe ich diese nicht in den logs gefunden, da diese noch vor Eingabe der Passphrase kamen. Ich konnte die Meldungen aber auch durch "update-initramfs -uk all" sinngemäß erhalten:

Code: Alles auswählen

cryptsetup: WARNING: sda5_crypt: ignoring unknown option 'luks discard'
cryptsetup: WARNING: Option 'cipher' missing in crypttab for plain dm-crypt 
    mapping sda5_crypt. Please read /usr/share/doc/cryptsetup/README.initramfs and 
    add the correct 'cipher' option to your crypttab(5).
cryptsetup: WARNING: Option 'size' missing in crypttab for plain dm-crypt 
    mapping sda5_crypt. Please read /usr/share/doc/cryptsetup/README.initramfs and 
    add the correct 'size' option to your crypttab(5).
cryptsetup: WARNING: Option 'hash' missing in crypttab for plain dm-crypt 
    mapping sda5_crypt. Please read /usr/share/doc/cryptsetup/README.initramfs and 
    add the correct 'hash' option to your crypttab(5).
cryptsetup: WARNING: sda5_crypt: ignoring unknown option 'luks discard'
cryptsetup: WARNING: Option 'cipher' missing in crypttab for plain dm-crypt 
    mapping sda5_crypt. Please read /usr/share/doc/cryptsetup/README.initramfs and 
    add the correct 'cipher' option to your crypttab(5).
cryptsetup: WARNING: Option 'size' missing in crypttab for plain dm-crypt 
    mapping sda5_crypt. Please read /usr/share/doc/cryptsetup/README.initramfs and 
    add the correct 'size' option to your crypttab(5).
cryptsetup: WARNING: Option 'hash' missing in crypttab for plain dm-crypt 
    mapping sda5_crypt. Please read /usr/share/doc/cryptsetup/README.initramfs and 
    add the correct 'hash' option to your crypttab(5).
Ok, die Optionen "cipher", "size" und "hash" fehlen in der crypttab, das stimmt. Die wurden damals vom installer nicht eingetragen und das war bisher auch nie eine Meldung wert. Die Datei "/usr/share/doc/cryptsetup/README.initramfs" gibt es auf meinem System leider nicht und ich weiß nicht in welchem Paket sich diese versteckt.

Natürlich finde ich im Internet Beispiele für die Optionen, aber ich möchte die natürlich nicht blind übernehmen und dann mit einem nicht bootbaren System da stehen, vor allem size wird ja systemspezifisch sein.

Gibt es eine Möglichkeit auszulesen welcher cipher, hash und size der volumes auszulesen?
Zuletzt geändert von Dogge am 06.07.2018 09:40:16, insgesamt 1-mal geändert.
Debian Testing + Gnome | Linux-Anfänger seit 04/2003
http://files.mdosch.de/2014-07/0xE13D657D.asc

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Testing: Fehlende settings in crypttab bei FDE mit luks/dmcrypt

Beitrag von rendegast » 27.06.2018 22:24:29

Dogge hat geschrieben: Leider habe ich diese nicht in den logs gefunden, da diese noch vor Eingabe der Passphrase kamen.
Ich konnte die Meldungen aber auch durch "update-initramfs -uk all" sinngemäß erhalten:
Demnach könnte sie bei entsprechender - durch Upgrade bedingter Aktion - schonmal aufgetreten sein.
Persistentes Journal vorausgesetzt.

Letzte testing-Upgrades von cryptsetup sind datiert 17. Mar und 11. Feb, in testing/buster dann wohl einige Wochen später.
Mal Vorversion von cryptsetup / cryptsetup-bin einspielen?
http://snapshot.debian.org/binary/cryptsetup/

Vielleicht hilft eine nachfolgende Versionen aus sid.
Es existieren changelog-Einträge zur Version 2.0.3* bzgl. Zusammenspiel mit initramfs.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Benutzeravatar
Dogge
Beiträge: 1895
Registriert: 13.09.2010 11:07:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Testing: Fehlende settings in crypttab bei FDE mit luks/dmcrypt

Beitrag von Dogge » 28.06.2018 13:10:26

Ja, ich muss da zu Hause mal schauen ob sich mit der neuen Version was bessert. Es scheint da ja ein großer Umbau im Gange zu sein: https://blog.freesources.org//posts/201 ... nt_report/
Debian Testing + Gnome | Linux-Anfänger seit 04/2003
http://files.mdosch.de/2014-07/0xE13D657D.asc

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Testing: Fehlende settings in crypttab bei FDE mit luks/dmcrypt

Beitrag von novalix » 29.06.2018 12:28:19

Dogge hat geschrieben: ↑ zum Beitrag ↑
27.06.2018 21:09:11
Die Datei "/usr/share/doc/cryptsetup/README.initramfs" gibt es auf meinem System leider nicht und ich weiß nicht in welchem Paket sich diese versteckt.
Debianapt-file sagt, das Paket Debiancryptsetup bringt diese Datei mit.
Nachgeschaut habe ich auf einem Testing-System, welches pre-stretch mit full disk encryption per Installer aufgesetzt wurde. Darauf gibt es keine der Fehlermeldungen.
Scheint kein allgemeiner Fehler zu sein.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

wanne
Moderator
Beiträge: 7438
Registriert: 24.05.2010 12:39:42

Re: Testing: Fehlende settings in crypttab bei FDE mit luks/dmcrypt

Beitrag von wanne » 30.06.2018 17:57:56

Ich kann dir relativ gut sagen, was da schiefläuft. (Leider weniger wie du das behebst.
Dein initramfs ruft folgenden Befehl auf:

Code: Alles auswählen

cryptsetup open "luks discards" ...
correkter weiße sollte das so heißen:

Code: Alles auswählen

cryptsetup luksOpen --allow-discards ...
Sprich da wird mit plain statt luks geöffnet. Du solltest froh sein, dass das schief läuft und auf keinen Fall passende Optionen nachliefern, die am ende den luks Header überschreiben.

Spekulationn über die Ursachen:
  • Ich nehme an die Debianer stellen gerade von cryptsetup/cryptdisks_start auf systemd-cryptsetup/systemd-cryptsetup-generator um. Beide nutzen die gleiche Konfigurationsdate /etc/crypttadb in inkompatibler Syntax. Sprich immer nur eines kann tun.
  • Ich tippe in der /etc/crypttab steht folgendes:

    Code: Alles auswählen

    luks discards
    Das wird nicht geparsed und weitergegeben. Stattdessen willst du das haben:

    Code: Alles auswählen

    luks,discards
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
Dogge
Beiträge: 1895
Registriert: 13.09.2010 11:07:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Testing: Fehlende settings in crypttab bei FDE mit luks/dmcrypt

Beitrag von Dogge » 05.07.2018 12:57:01

Vielen Dank wanne, ich werde das ausprobieren. :D

Edit: Hat geholfen, danke.
Debian Testing + Gnome | Linux-Anfänger seit 04/2003
http://files.mdosch.de/2014-07/0xE13D657D.asc

Antworten