[Gelöst] Mapped Device umbennen

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
rhHeini
Beiträge: 2260
Registriert: 20.04.2006 20:44:10

[Gelöst] Mapped Device umbennen

Beitrag von rhHeini » 27.02.2017 19:34:38

Folgende Situation: Der Installer vergibt bei einer verschlüsselten Partition einen "mapped device name" nach dem Schema sdax_crypt. Das x steht dann für die Nummer der Partition. Dieser "mapped device name" steht dann auch so auf der Target-Position in der crypttab, und es gibt einige Links die sich auf diesen Namen beziehen.

Ich habe jetzt eine Situation wo das sehr doof ist: ein Rechner mit einer m2-SSD am PCI-Bus als Boot- und Rootlaufwerk. Im Moment hängt die m2 als alleiniger Massenspeicher im Rechner. USB-Sticks sortieren sich dahinter ein, soweit ok. Wenn ich aber weitere SSDs oder Festplatten an SATA anschliesse, werden diese zuerst erkannt und bekommen der Reihe nach Devicenamen zugewiesen, die m2-SSD kriegt ein sdy nach allen anderen Festplatten/SSDs. Fürs Booten geht es wenn im Bios die m2-SSD angesprungen wird.

Ich würde den "mapped device name" jetzt gerne ändern. Wenn ich jetzt sdax_crypt in der crypttab einfach umbenenne, z.B. in ssdx_crypt und ein update-initramfs mache, kriege ich einen Fehler:

Code: Alles auswählen

# update-initramfs -u 
update-initramfs: Generating /boot/initrd.img-3.16.0-4-amd64
cryptsetup: WARNING: invalid line in /etc/crypttab for sdax_crypt - 
cryptsetup: WARNING: invalid line in /etc/crypttab for sdax_crypt - 
Hab mich jetzt nicht getraut das scharf zu machen. Die Links auf sdax_crypt werden zum Bootzeitzpunkt angelegt, das sollte also eigentlich gehen. Wo muss ich denn da noch drehen?

Danke und Gruss, Rolf
Zuletzt geändert von rhHeini am 11.03.2017 20:52:57, insgesamt 1-mal geändert.

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Mapped Device umbennen

Beitrag von rendegast » 28.02.2017 16:03:41

Die Änderung wird auch erst nach Stoppen des crypt-device gemacht?

Code: Alles auswählen

... umounten ...
... gegebenenfalls lvm stoppen ...
cryptdisks_stop sdax_crypt
<-> gegebenenfalls mit einer live-CD durchführen.

cryptsetup: WARNING: invalid line in /etc/crypttab for sdax_crypt -
Vielleicht mit unpassendem Editor gemacht? (Unsichtbare Steuerzeichen)

Code: Alles auswählen

cat -A /etc/crypttab
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

rhHeini
Beiträge: 2260
Registriert: 20.04.2006 20:44:10

Re: Mapped Device umbennen

Beitrag von rhHeini » 02.03.2017 17:41:45

rendegast hat geschrieben:Die Änderung wird auch erst nach Stoppen des crypt-device gemacht?

Code: Alles auswählen

... umounten ...
... gegebenenfalls lvm stoppen ...
cryptdisks_stop sdax_crypt
<-> gegebenenfalls mit einer live-CD durchführen.
Hab das natürlich im laufenden Betrieb gemacht. Die crypttab liegt ja im Container. Allerdings habe ich eine VM auf meiner Workstation dazu missbraucht, und dann doch neu gebootet: geht natürlich nicht. Den PC selber wollte ich nicht riskieren bevor ich nicht weiss ob und wie es geht.
rendegast hat geschrieben:
cryptsetup: WARNING: invalid line in /etc/crypttab for sdax_crypt -
Vielleicht mit unpassendem Editor gemacht? (Unsichtbare Steuerzeichen)

Code: Alles auswählen

cat -A /etc/crypttab
Der Editor ist der gleiche den ich immer nehme: nano solange die graphische Oberfläche/das Netzwerk nicht verfügbar ist, dann geany. Hat bisher immer funktioniert. Beim nächsten Versuch werde ich da mal genau hinsehen.

Die Idee das über eine Life-DVD mit chroot zu machen könnte ich mal probieren. Kann ich eine VM-Maschine einfach z.B. von Knoppix booten? Hab ich noch nie versucht. Bei einem realen System habe ich so etwas schon mehrfach praktiziert um missglückte Aktionen wieder hinzubiegen.

Gruss Rolf

Nachtrag: habs probiert, man kommt mit Knoppix an die VM dran. Habe erst mal die Original-initrd wiederhergestellt und mal rebootet, die Maschine kommt wieder hoch, wenn auch mit etwas Bauchschmerzen wegen des verdrehten crypttab-Eintrags. Nach nen paar Fehlermeldungen kommt die richtige Entschlüsselung doch zustande mit dem Original-Mapped Device. Falsche Zeichen hab ich nicht drin.

rhHeini
Beiträge: 2260
Registriert: 20.04.2006 20:44:10

Re: Mapped Device umbennen

Beitrag von rhHeini » 05.03.2017 21:46:08

So, und jetzt stecke ich fest und brauche Rat von Leuten mit mehr chroot-Erfahrung.

Randbedingung: Jessie mit /boot auf sda1 und verschlüsseltem root auf sda5 in VM.

Wo ich stehe:
- VM mit Knoppix 7.71 gebootet, root-Terminal geöffnet, in /mnt zwei neue Verzeichnisse boot und root angelegt, das verschlüsselte root geöffnet, die LVMs scharf gemacht.
- Knoppix erkennt die /boot-Partition als /media/sda1. Nach /mnt/boot gemountet, komme dran, ls -la zeigt normale Verhältnisse.
- Das root nach /mnt/root gemounted.
- Die crypttab in /mnt/root/etc ist gepatcht.
- Dann probiere ich ein: chroot update-initramfs /mnt/root -b /mnt/boot -u, es kommt die Meldung /mnt/boot sei kein Directory???? Lasse ich die -b-Option weg findet das update-initramfs das /boot nicht.

Was mache ich den da falsch?

Gruss, Rolf

rhHeini
Beiträge: 2260
Registriert: 20.04.2006 20:44:10

Re: Mapped Device umbennen

Beitrag von rhHeini » 11.03.2017 20:52:30

Problem gelöst, es geht wenn man mit chroot richtig umgeht. Das Ubuntu-Wiki hat mir da weitergeholfen. Wieder was gelernt.

Gruss, Rolf

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: [Gelöst] Mapped Device umbennen

Beitrag von rendegast » 11.03.2017 22:14:20

Etwa per das chroot vorbereitendem
mount --bind /mnt/boot /mnt/root/boot
mount --bind /dev /mnt/root/dev
(wohl noch weitere)
?
<->
- Dann probiere ich ein: chroot update-initramfs /mnt/root -b /mnt/boot -u, es kommt die Meldung /mnt/boot sei kein Directory???? Lasse ich die -b-Option weg findet das update-initramfs das /boot nicht.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: Mapped Device umbennen

Beitrag von inne » 11.03.2017 22:31:47

rhHeini hat geschrieben:Problem gelöst
Kannst du bitte eine genaue Schritt-für-Schritt Anleitung preisgeben? Ich wäre da sehr dran interessiert, hab vor Tagen vergebens das selbe Versucht. (Was ist bei der chroot-Umgebung zu beachten?)
Ich konnte allerdings statt sdaX_crypt einfach ein mdX_crypt eintragen und es funktionierte. Ich will für "target name" aber gern einen beliebigen Namen vergeben.

rhHeini
Beiträge: 2260
Registriert: 20.04.2006 20:44:10

Re: [Gelöst] Mapped Device umbennen

Beitrag von rhHeini » 12.03.2017 12:22:25

Hier ist so etwas wie eine HowTo. Der Umgang mit chroot entspricht weitgehend dem Beitrag aus dem Ubuntu-Wiki https://wiki.ubuntuusers.de/chroot/Live-CD/.

* Auslesen der verwendeten Devices und der Original-crypttab. /boot liegt bei mir auf sda1, das verschlüsselte Device auf sda5, in der crypttab als sda5_crypt eingetragen. Es enthält ein LVM mit swap und root. Ausprobiert mit Jessie in einer virtuellen Maschine und dann mit Erfolg angepasst auf dem Rechner mit der m2-SSD.
* Knoppix booten.
* Terminal öffnen und mit su root-Rechte holen, oder gleich das root-Terminal verwenden.
* Das verschlüsselte System öffnen:
Verwende den neuen Wunschnamen für das Target, hier ssd5_crypt.

Code: Alles auswählen

# cryptsetup luksOpen /dev/sda5 ssd5_crypt
* LVM einlesen:

Code: Alles auswählen

# vgscan -v
* Lvm-Volumes öfffnen:

Code: Alles auswählen

# vgchange -a y
* Mounten:

Code: Alles auswählen

# mount /dev/mapper/vgsys_root /mnt
# mount /dev/sda1 /mnt/boot
* Weitere Systemdirectories einbinden:

Code: Alles auswählen

# for dir in /dev /dev/pts /proc /sys /run; do mount --bind $dir /mnt/$dir; done

* Es erfolgt der Wechsel in das installierte System:

Code: Alles auswählen

# chroot /mnt /bin/bash
* Die crypttab umeditieren auf den neuen Targetnamen.
* Update der initramfs.
* Die chroot-Umgebung mit exit verlassen und neu booten.

Mehr war nicht nötig.

Viel Erfolg, Rolf

inne
Beiträge: 3273
Registriert: 29.06.2013 17:32:10
Lizenz eigener Beiträge: GNU General Public License
Kontaktdaten:

Re: [Gelöst] Mapped Device umbennen

Beitrag von inne » 12.03.2017 13:08:05

Vielen Dank!
rhHeini hat geschrieben:Verwende den neuen Wunschnamen für das Target, hier ssd5_crypt.

Code: Alles auswählen

# cryptsetup luksOpen /dev/sda5 ssd5_crypt
Dieser Schritt wars den ich wohl nicht ganz kapiert hatte. Man muss hier schon den zukünftigen gewünschten Namen eingeben! Der Rest hängt dann von "target device" und der UUID ab.

Antworten