USB-Stick mit LUKS verschlüsseln

[beikraut]

Hallo,

ich habe einen USB-Stick mit LUKS verschlüsselt (nach der Anleitung aus dem Kuketz-Blog).

Beim Öffnen des Sticks und der erfolgten Passwort-Abfrage geschieht allerdings nichts. D.h. ich kann nichts auf den Stick speichern.

Ich habe wohl irgend einen Fehler beim Verschlüsseln gemacht und hänge jetzt fest.
Kann mir jemand helfen, den Fehler zu finden? Ich würde mich freuen

Herbstliche Grüße

[schwedenmann]

Hallo


Ist der Srtick denn überhaupt gemountet, nach der Entsperrung ?

mfg
schwedenmann

[wanne]

kannst du mal posten, was lsblk sagt?

[beikraut]

lsblk:

Code: Alles auswählen

sdc                       8:32   1 57,3G  0 disk  
└─sdc1                    8:33   1 57,3G  0 part  
sr0                      11:0    1 1024M  0 rom  

@schwedenmann: Ich vermute, dass beim Mounten das Problem liegt. Ich stehe aber grad auf der Leitung.

Ich habe versucht, den USB-Stick zu mounten:

Code: Alles auswählen

root@debian:/mnt# mount /dev/sdc1 /mnt/usb
mount: unknown filesystem type 'crypto_LUKS'

Danke für Eure Hilfe!

[eggy]

Normalerweise mountest Du Geräte direkt, z.B. via mount über den Gerätepfad in dev.
Beispiel "mount /dev/sda1 /mnt/meineplatte".
Bei verschlüsselten Geräten wie hier, geht es über den Umweg namens "device mapper".
Bei der Entschlüsselung mit luksOpen ("luksOpen /dev/sdb geheimerstick") entsteht ein temporäres Gerät in /dev,/mapper. Dieses kannst Du dann normal mounten ("mount /dev/mapper/geheimerstick /mnt/meinstick").
Du kannst das mit dem mapper gut nachvollziehen, wenn Du erstmal "ls /dev/mapper" eingibst, dann das Gerät einsteckst und via luksOpen mit nem neuen Namen aufmachst, dann nochmal "ls /dev/mapper". Jetzt sollte ein neues Gerät dort angezeigt werden, mit dem Namen, den Du eben bei dem luksOpen Kommando angegeben hattest.
Beim umount gehts dann in umgekehrter Reihenfolge: erst "normales" unmount, dann via luksClose aus dem mapper entfernen.

[debianoli]

Von der Fehlermeldung her tippe ich darauf, dass die Pakete für mount.crypt fehlen.

Normalerweise ist die bash nämlich inzwischen so schlau, dass sie beim Aufruf von mount abfragt, was da für ein Dateisystem vorhanden ist.

Dann werden die entsprechenden Routinen abgefragt und ausgeführt, also auch zB mount.crypt

Dazu müssen aber die entsprechenden Pakte installiert sein und Berechtigungen stimmen.

Ist cryptmount installiert?

Was sagt

Code: Alles auswählen

whereis mount.crypt

Btw: Wie machst du dich Root? Schon per "su -" ? Wenn nein, also nur per "su", könnte das die Ursache sein.

[wanne]

Prinzipiell solltest du den Stick so benutzen können (als root mit su -):

Code: Alles auswählen

cryptsetup luksOpen /dev/sdc1 usb
mkdir -p /mnt/usb
mount /dev/mapper/usb /mnt/usb

Kannst du mal probieren. Ich nehme aber an, dass du willst, dass in der grafischen Oberfläche ohne Kommandozeile geht.
Kannst du verraten welche du benutzt? (KDE, GNOME...)

[beikraut]

Von der Fehlermeldung her tippe ich darauf, dass die Pakete für mount.crypt fehlen.

Normalerweise ist die bash nämlich inzwischen so schlau, dass sie beim Aufruf von mount abfragt, was da für ein Dateisystem vorhanden ist.

Dann werden die entsprechenden Routinen abgefragt und ausgeführt, also auch zB mount.crypt

Dazu müssen aber die entsprechenden Pakte installiert sein und Berechtigungen stimmen.

Ist cryptmount installiert?

Was sagt

Code: Alles auswählen

whereis mount.crypt

Btw: Wie machst du dich Root? Schon per "su -" ? Wenn nein, also nur per "su", könnte das die Ursache sein.

cryptmount war nicht installiert. Ich habe es jetzt nachgeholt.
Wenn ich jetzt eingebe:

Code: Alles auswählen

whereis mount.crypt

Code: Alles auswählen

mount: /bin/mount /sbin/mount.ntfs-3g /sbin/mount.ntfs /sbin/mount.exfat-fuse /sbin/mount.exfat /sbin/mount.lowntfs-3g /sbin/mount.fuse /usr/share/man/man2/mount.2.gz /usr/share/man/man8/mount.8.gz

Ich machte mich bisher mit su als root ("su -" kannte ich noch nicht).

[beikraut]

Prinzipiell solltest du den Stick so benutzen können (als root mit su -):

Code: Alles auswählen

cryptsetup luksOpen /dev/sdc1 usb
mkdir -p /mnt/usb
mount /dev/mapper/usb /mnt/usb

Kannst du mal probieren. Ich nehme aber an, dass du willst, dass in der grafischen Oberfläche ohne Kommandozeile geht.
Kannst du verraten welche du benutzt? (KDE, GNOME...)

Ich nutze xfce.

root@debian:~# mkdir -p /mnt/usb
root@debian:~# mount /dev/mapper/usb /mnt/usb
mount: wrong fs type, bad option, bad superblock on /dev/mapper/usb,
missing codepage or helper program, or other error

In some cases useful info is found in syslog - try
dmesg | tail or so.

Es klappt leider noch nicht.

[eggy]

Schau in /dev/mapper nach, welche Geräte geöffnet sind.
Falls der Stick nicht anzeigt wird, fehlt das open.

[fossonly]

Offenbar hast Du dich nicht genau an die ursprüngliche Anleitung gehalten. Zumal der Punkt mit dem Dateisystem bislang ignoriert, und lediglich der verschlüsselte Container erstellt wurde. Die Art des Dateisystems unterliegt der persönlichen Präferenz.

Ein Dateisystem ist essentiell:

Code: Alles auswählen

cryptsetup luksOpen /dev/sdc1 usb
mkfs.ext4 /dev/mapper/usb

[beikraut]

Schau in /dev/mapper nach, welche Geräte geöffnet sind.
Falls der Stick nicht anzeigt wird, fehlt das open.

Code: Alles auswählen

root@debian:/dev# ls
autofs		 dvd		   network_throughput  shm	 tty2	tty39  tty58	vcs4
block		 fb0		   null		       snapshot  tty20	tty4   tty59	vcs5
bsg		 fd		   nvram	       snd	 tty21	tty40  tty6	vcs6
btrfs-control	 full		   port		       sr0	 tty22	tty41  tty60	vcs7
bus		 fuse		   ppp		       stderr	 tty23	tty42  tty61	vcs8
cdrom		 hidraw0	   psaux	       stdin	 tty24	tty43  tty62	vcsa
cdrw		 hpet		   ptmx		       stdout	 tty25	tty44  tty63	vcsa1
char		 hugepages	   pts		       tpm0	 tty26	tty45  tty7	vcsa2
console		 hwrng		   random	       tty	 tty27	tty46  tty8	vcsa3
core		 initctl	   rfkill	       tty0	 tty28	tty47  tty9	vcsa4
cpu		 input		   rtc		       tty1	 tty29	tty48  ttyS0	vcsa5
cpu_dma_latency  kmsg		   rtc0		       tty10	 tty3	tty49  ttyS1	vcsa6
cuse		 log		   sda		       tty11	 tty30	tty5   ttyS2	vcsa7
debian-vg	 loop-control	   sda1		       tty12	 tty31	tty50  ttyS3	vcsa8
disk		 mapper		   sda2		       tty13	 tty32	tty51  uhid	vga_arbiter
dm-0		 mcelog		   sda5		       tty14	 tty33	tty52  uinput	vhci
dm-1		 mem		   sdc		       tty15	 tty34	tty53  urandom	vhost-net
dm-2		 memory_bandwidth  sdc1		       tty16	 tty35	tty54  vcs	watchdog
dm-3		 mqueue		   sg0		       tty17	 tty36	tty55  vcs1	watchdog0
dm-4		 net		   sg1		       tty18	 tty37	tty56  vcs2	zero
dri		 network_latency   sg2		       tty19	 tty38	tty57  vcs3

hilft das weiter?

[beikraut]

Offenbar hast Du dich nicht genau an die ursprüngliche Anleitung gehalten. Zumal der Punkt mit dem Dateisystem bislang ignoriert, und lediglich der verschlüsselte Container erstellt wurde. Die Art des Dateisystems unterliegt der persönlichen Präferenz.

Ein Dateisystem ist essentiell:

Code: Alles auswählen

cryptsetup luksOpen /dev/sdc1 usb
mkfs.ext4 /dev/mapper/usb

Ich vermute auch, dass ich bei der ursprünglichen Anleitung vom Kuketz-Blog einen Fehler gemacht habe. Ich habe das jetzt gemacht:

Code: Alles auswählen

root@debian:/dev# cryptsetup luksOpen /dev/sdc1 usb
Geben Sie die Passphrase für »/dev/sdc1« ein: 
root@debian:/dev# mkfs.ext4 /dev/mapper/usb
mke2fs 1.44.5 (15-Dec-2018)
Ein Dateisystem mit 15017728 (4k) Blöcken und 3760128 Inodes wird erzeugt.
UUID des Dateisystems: bb18ab52-1a8d-484b-8bec-192b980e844f
Superblock-Sicherungskopien gespeichert in den Blöcken: 
	32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208, 
	4096000, 7962624, 11239424

beim Anfordern von Speicher für die Gruppentabellen: erledigt                        
Inode-Tabellen werden geschrieben: erledigt                        
Das Journal (65536 Blöcke) wird angelegt: erledigt
Die Superblöcke und die Informationen über die Dateisystemnutzung werden
geschrieben: erledigt

Heißt das, dass ich jetzt so weiter mache?

Code: Alles auswählen

mkdir -p /mnt/usb
mount /dev/mapper/usb /mnt/usb

Oder ist es sinnvoller, alles noch mal platt zu machen und von vorne zu beginnen?

[eggy]

hilft das weiter?

Nein: Du hast den Inhalt von /dev gepostet, nicht von /dev/mapper.

[fossonly]

Heißt das, dass ich jetzt so weiter mache?

Code: Alles auswählen

mkdir -p /mnt/usb
mount /dev/mapper/usb /mnt/usb

Oder ist es sinnvoller, alles noch mal platt zu machen und von vorne zu beginnen?

Nein. Nachdem das Dateisystem geschrieben wurde, wird der USB-Stick nun korrekt als Datenträger eingehängt, und kann regulär via Dateimanager geöffnet/entschlüsselt bzw. verwendet werden. Es besteht kein Bedarf hier manuell vorzugehen, auch wenn man das für vielfältige Zwecke auch tun könnte. Von Vorteil wäre auch, den USB-Stick zunächst vom System zu trennen und wieder sauber einzustecken.

[debianoli]

Wieso mountest du was von /dev/mapper? Das brauchst du nicht.

Du hast mount.crypt . Damit kannst du den Stick ganz normal als Device in ein ein Verzeichnis mounten.

Code: Alles auswählen

mount /dev/sdc1 Zielverzeichnis 

]

[beikraut]

VIELEN DANK Euch Allen für Eure HIlfe und Tipps!!!

Ich konnte jetzt den Stick im Terminal einbinden und auch Daten drauf kopieren.
(Geklappt hat es mit dem von wanne geposteten Code:

Code: Alles auswählen

cryptsetup luksOpen /dev/sdc1 usb
mkdir -p /mnt/usb
mount /dev/mapper/usb /mnt/usb

Ist es korrekt, dass ich zum Aushängen folgendes mache?

Code: Alles auswählen

umount /mnt/usb
cryptsetup luksClose /dev/mapper/usb

Was noch nicht klappt, ist das Einbinden in xfce. Das werde ich noch mal näher anschauen müssen und Euch gegebenenfalls noch mal um Hilfe bitten.

Aber bin ich super froh u. sehr dankbar, dass es solch ein Forum gibt.
(Und es hat auch einen Vorteil, dass es in xfce noch nicht geklappt hat: Ich habe das Terminal etwas mehr kennengelernt... Und z.B. rsync zum ersten Mal übers Terminal genutzt)

[wanne]

Ist es korrekt, dass ich zum Aushängen folgendes mache?

Ja.
Wobei es deutlich harmloser ist, wenn du den Stick ohne luksClose raus ziehst. (Im Gegensatz zu wenn du das umount vergisst gibt es keinen Datenverlust. Lediglich ein paar Byte die bis zum nächsten reboot belegt bleiben. Außerdem bleibt der Name usb belegt.) Trotzdem. So wie du es geschrieben hast ist auf jeden Fall die korrekte Variante.

Was noch nicht klappt, ist das Einbinden in xfce

Schade ich hatte gehofft, xfce blickt es wenn es ein mal korrekt von Hand gemacht wurde... Kann ich jetzt leider auch nicht mehr weiterhelfen.

Ansonsten würde ich mir mal debianolis mount.crypt angucken. Das sollte aus den zwei Kommandos eines machen. Nach der installation sollte das reichen:

Code: Alles auswählen

mount /dev/sdc1 /mnt/usb

Etwas bequemer. Eventuell versucht auch xfce diese abkürzung. Einen versucht ist es wert.

[beikraut]

Hallo wanne,
vielen Dank!
Ich werde es ausprobieren.

[Tintom]

Was noch nicht klappt, ist das Einbinden in xfce. Das werde ich noch mal näher anschauen müssen und Euch gegebenenfalls noch mal um Hilfe bitten.

Ich bin gerade etwas irritiert, weil der Dateimanager thunar beim Einstecken des Sticks eigentlich automatisch einen Passwortdialog anbietet und den Stick selbständig einbindet. Ich habe momentan keinen xfce-Rechner zur Hand, aber bis zu Debian 9 (Stretch) hat das immer relativ problemlos funktioniert. Das funktioniert bei dir anscheinend nicht?!

[debianuser4782]

Nur bei einer maximalen Installation von thunar, nicht aber bei einer minimalen Installation. Ich suche noch die Pakete, die ich bei einer minimalen Installation von thunar nachinstallieren muss, damit der USB-Stick automatisch gemountet wird und das grafische Entschlüsselungs-Dialogfeld "aufpoppt". Kennt jemand diese Pakete schon und kann sie auflisten?

[wanne]

thunar setzt auf die gnome-Infrasttruktur auf => du brauchst gvfs udiskie thunar-volman.
Quelle: archwiki.

[debianuser4782]

Danke! Die Eingabe # apt install thunar thunar-volman gvfs udiskie --no-install-recommends --no install-suggests zieht nur 33 MB und alle gewünschten Funktionen - Automount des USB-Sticks + Passwortabfrage durch LUKS über GUI-Dialogfeld - sind da.

[debianuser4782]

Ich muss leider zurück rudern.
Nach der Installation der oben genannten Pakete über:

Code: Alles auswählen

# apt install thunar thunar-volman gvfs udiskie --no-install-recommends --no-install-suggests

, lässt sich der LUKS-verschlüsselte USB-Stick nicht über thunar öffnen.

Der USB-Stick samt Mount-Symbol erscheint zwar in der linken Spalte von Thunar. Klickt man darauf, erscheint auch das Passwortabfrage-Dialogfeld. Gibt man das Passwort jedoch darin ein und drückt Enter, verschwindet das Dialogfeld, aber der USB-Stick wird nicht entschlüsselt.

Führt man einen Rechtsklick auf den USB-Stick samt Mountsymbol aus, und wählt in dem dann erscheinenden Feld 'Einhängen' aus, erscheint auch das oben genannte Passwortabfrage-Dialogfeld. Gibt man dann dort sein Passwort ein und drückt enter erscheint ein Dialogfeld mit Folgendem Inhalt:

Der Datenträger >>32 GB verschlüsselt<< konnte nicht eingehängt werden.
Error unlocking /dev/sdc1: The function 'bd_crypto_luks_open_blob' called, but not implemented!.

Das Journal sagt hierzu:

Code: Alles auswählen

root@debianpc:~# journalctl -f
-- Logs begin at Sun 2020-10-25 09:21:11 CET. --
Okt 25 10:38:40 debianpc gvfs-udisks2-vo[2169]: Remote error from secret service: org.freedesktop.DBus.Error.ServiceUnknown: The name org.freedesktop.secrets was not provided by any .service files
Okt 25 10:39:45 debianpc udisksd[2092]: The function 'bd_crypto_luks_open_blob' called, but not implemented!
Okt 25 10:40:24 debianpc gvfs-udisks2-vo[2169]: Remote error from secret service: org.freedesktop.DBus.Error.ServiceUnknown: The name org.freedesktop.secrets was not provided by any .service files
Okt 25 10:41:00 debianpc udisksd[2092]: The function 'bd_crypto_luks_open_blob' called, but not implemented!

Mein installiertes System: viewtopic.php?f=12&t=178677&p=1249827#p1249827

[eggy]

https://bugs.debian.org/cgi-bin/bugrepo ... bug=905459