USB-Stick mit LUKS verschlüsseln
USB-Stick mit LUKS verschlüsseln
Hallo,
ich habe einen USB-Stick mit LUKS verschlüsselt (nach der Anleitung aus dem Kuketz-Blog).
Beim Öffnen des Sticks und der erfolgten Passwort-Abfrage geschieht allerdings nichts. D.h. ich kann nichts auf den Stick speichern.
Ich habe wohl irgend einen Fehler beim Verschlüsseln gemacht und hänge jetzt fest.
Kann mir jemand helfen, den Fehler zu finden? Ich würde mich freuen
Herbstliche Grüße
ich habe einen USB-Stick mit LUKS verschlüsselt (nach der Anleitung aus dem Kuketz-Blog).
Beim Öffnen des Sticks und der erfolgten Passwort-Abfrage geschieht allerdings nichts. D.h. ich kann nichts auf den Stick speichern.
Ich habe wohl irgend einen Fehler beim Verschlüsseln gemacht und hänge jetzt fest.
Kann mir jemand helfen, den Fehler zu finden? Ich würde mich freuen
Herbstliche Grüße
-
- Beiträge: 5528
- Registriert: 30.12.2004 15:31:07
- Wohnort: Wegberg
Re: USB-Stick mit LUKS verschlüsseln
Hallo
Ist der Srtick denn überhaupt gemountet, nach der Entsperrung ?
mfg
schwedenmann
Ist der Srtick denn überhaupt gemountet, nach der Entsperrung ?
mfg
schwedenmann
Re: USB-Stick mit LUKS verschlüsseln
kannst du mal posten, was lsblk sagt?
rot: Moderator wanne spricht, default: User wanne spricht.
Re: USB-Stick mit LUKS verschlüsseln
lsblk:
@schwedenmann: Ich vermute, dass beim Mounten das Problem liegt. Ich stehe aber grad auf der Leitung.
Ich habe versucht, den USB-Stick zu mounten:
Danke für Eure Hilfe!
Code: Alles auswählen
sdc 8:32 1 57,3G 0 disk
└─sdc1 8:33 1 57,3G 0 part
sr0 11:0 1 1024M 0 rom
@schwedenmann: Ich vermute, dass beim Mounten das Problem liegt. Ich stehe aber grad auf der Leitung.
Ich habe versucht, den USB-Stick zu mounten:
Code: Alles auswählen
root@debian:/mnt# mount /dev/sdc1 /mnt/usb
mount: unknown filesystem type 'crypto_LUKS'
Re: USB-Stick mit LUKS verschlüsseln
Normalerweise mountest Du Geräte direkt, z.B. via mount über den Gerätepfad in dev.
Beispiel "mount /dev/sda1 /mnt/meineplatte".
Bei verschlüsselten Geräten wie hier, geht es über den Umweg namens "device mapper".
Bei der Entschlüsselung mit luksOpen ("luksOpen /dev/sdb geheimerstick") entsteht ein temporäres Gerät in /dev,/mapper. Dieses kannst Du dann normal mounten ("mount /dev/mapper/geheimerstick /mnt/meinstick").
Du kannst das mit dem mapper gut nachvollziehen, wenn Du erstmal "ls /dev/mapper" eingibst, dann das Gerät einsteckst und via luksOpen mit nem neuen Namen aufmachst, dann nochmal "ls /dev/mapper". Jetzt sollte ein neues Gerät dort angezeigt werden, mit dem Namen, den Du eben bei dem luksOpen Kommando angegeben hattest.
Beim umount gehts dann in umgekehrter Reihenfolge: erst "normales" unmount, dann via luksClose aus dem mapper entfernen.
Beispiel "mount /dev/sda1 /mnt/meineplatte".
Bei verschlüsselten Geräten wie hier, geht es über den Umweg namens "device mapper".
Bei der Entschlüsselung mit luksOpen ("luksOpen /dev/sdb geheimerstick") entsteht ein temporäres Gerät in /dev,/mapper. Dieses kannst Du dann normal mounten ("mount /dev/mapper/geheimerstick /mnt/meinstick").
Du kannst das mit dem mapper gut nachvollziehen, wenn Du erstmal "ls /dev/mapper" eingibst, dann das Gerät einsteckst und via luksOpen mit nem neuen Namen aufmachst, dann nochmal "ls /dev/mapper". Jetzt sollte ein neues Gerät dort angezeigt werden, mit dem Namen, den Du eben bei dem luksOpen Kommando angegeben hattest.
Beim umount gehts dann in umgekehrter Reihenfolge: erst "normales" unmount, dann via luksClose aus dem mapper entfernen.
Re: USB-Stick mit LUKS verschlüsseln
Von der Fehlermeldung her tippe ich darauf, dass die Pakete für mount.crypt fehlen.
Normalerweise ist die bash nämlich inzwischen so schlau, dass sie beim Aufruf von mount abfragt, was da für ein Dateisystem vorhanden ist.
Dann werden die entsprechenden Routinen abgefragt und ausgeführt, also auch zB mount.crypt
Dazu müssen aber die entsprechenden Pakte installiert sein und Berechtigungen stimmen.
Ist cryptmount installiert?
Was sagt
Btw: Wie machst du dich Root? Schon per "su -" ? Wenn nein, also nur per "su", könnte das die Ursache sein.
Normalerweise ist die bash nämlich inzwischen so schlau, dass sie beim Aufruf von mount abfragt, was da für ein Dateisystem vorhanden ist.
Dann werden die entsprechenden Routinen abgefragt und ausgeführt, also auch zB mount.crypt
Dazu müssen aber die entsprechenden Pakte installiert sein und Berechtigungen stimmen.
Ist cryptmount installiert?
Was sagt
Code: Alles auswählen
whereis mount.crypt
Re: USB-Stick mit LUKS verschlüsseln
Prinzipiell solltest du den Stick so benutzen können (als root mit su -):
Kannst du mal probieren. Ich nehme aber an, dass du willst, dass in der grafischen Oberfläche ohne Kommandozeile geht.
Kannst du verraten welche du benutzt? (KDE, GNOME...)
Code: Alles auswählen
cryptsetup luksOpen /dev/sdc1 usb
mkdir -p /mnt/usb
mount /dev/mapper/usb /mnt/usb
Kannst du verraten welche du benutzt? (KDE, GNOME...)
rot: Moderator wanne spricht, default: User wanne spricht.
Re: USB-Stick mit LUKS verschlüsseln
cryptmount war nicht installiert. Ich habe es jetzt nachgeholt.debianoli hat geschrieben:11.10.2020 08:01:46Von der Fehlermeldung her tippe ich darauf, dass die Pakete für mount.crypt fehlen.
Normalerweise ist die bash nämlich inzwischen so schlau, dass sie beim Aufruf von mount abfragt, was da für ein Dateisystem vorhanden ist.
Dann werden die entsprechenden Routinen abgefragt und ausgeführt, also auch zB mount.crypt
Dazu müssen aber die entsprechenden Pakte installiert sein und Berechtigungen stimmen.
Ist cryptmount installiert?
Was sagtBtw: Wie machst du dich Root? Schon per "su -" ? Wenn nein, also nur per "su", könnte das die Ursache sein.Code: Alles auswählen
whereis mount.crypt
Wenn ich jetzt eingebe:
Code: Alles auswählen
whereis mount.crypt
Code: Alles auswählen
mount: /bin/mount /sbin/mount.ntfs-3g /sbin/mount.ntfs /sbin/mount.exfat-fuse /sbin/mount.exfat /sbin/mount.lowntfs-3g /sbin/mount.fuse /usr/share/man/man2/mount.2.gz /usr/share/man/man8/mount.8.gz
Re: USB-Stick mit LUKS verschlüsseln
Ich nutze xfce.wanne hat geschrieben:11.10.2020 10:43:38Prinzipiell solltest du den Stick so benutzen können (als root mit su -):Kannst du mal probieren. Ich nehme aber an, dass du willst, dass in der grafischen Oberfläche ohne Kommandozeile geht.Code: Alles auswählen
cryptsetup luksOpen /dev/sdc1 usb mkdir -p /mnt/usb mount /dev/mapper/usb /mnt/usb
Kannst du verraten welche du benutzt? (KDE, GNOME...)
Es klappt leider noch nicht.root@debian:~# mkdir -p /mnt/usb
root@debian:~# mount /dev/mapper/usb /mnt/usb
mount: wrong fs type, bad option, bad superblock on /dev/mapper/usb,
missing codepage or helper program, or other error
In some cases useful info is found in syslog - try
dmesg | tail or so.
Re: USB-Stick mit LUKS verschlüsseln
Schau in /dev/mapper nach, welche Geräte geöffnet sind.
Falls der Stick nicht anzeigt wird, fehlt das open.
Falls der Stick nicht anzeigt wird, fehlt das open.
Re: USB-Stick mit LUKS verschlüsseln
Offenbar hast Du dich nicht genau an die ursprüngliche Anleitung gehalten. Zumal der Punkt mit dem Dateisystem bislang ignoriert, und lediglich der verschlüsselte Container erstellt wurde. Die Art des Dateisystems unterliegt der persönlichen Präferenz.
Ein Dateisystem ist essentiell:
Ein Dateisystem ist essentiell:
Code: Alles auswählen
cryptsetup luksOpen /dev/sdc1 usb
mkfs.ext4 /dev/mapper/usb
Re: USB-Stick mit LUKS verschlüsseln
eggy hat geschrieben:11.10.2020 18:03:30Schau in /dev/mapper nach, welche Geräte geöffnet sind.
Falls der Stick nicht anzeigt wird, fehlt das open.
Code: Alles auswählen
root@debian:/dev# ls
autofs dvd network_throughput shm tty2 tty39 tty58 vcs4
block fb0 null snapshot tty20 tty4 tty59 vcs5
bsg fd nvram snd tty21 tty40 tty6 vcs6
btrfs-control full port sr0 tty22 tty41 tty60 vcs7
bus fuse ppp stderr tty23 tty42 tty61 vcs8
cdrom hidraw0 psaux stdin tty24 tty43 tty62 vcsa
cdrw hpet ptmx stdout tty25 tty44 tty63 vcsa1
char hugepages pts tpm0 tty26 tty45 tty7 vcsa2
console hwrng random tty tty27 tty46 tty8 vcsa3
core initctl rfkill tty0 tty28 tty47 tty9 vcsa4
cpu input rtc tty1 tty29 tty48 ttyS0 vcsa5
cpu_dma_latency kmsg rtc0 tty10 tty3 tty49 ttyS1 vcsa6
cuse log sda tty11 tty30 tty5 ttyS2 vcsa7
debian-vg loop-control sda1 tty12 tty31 tty50 ttyS3 vcsa8
disk mapper sda2 tty13 tty32 tty51 uhid vga_arbiter
dm-0 mcelog sda5 tty14 tty33 tty52 uinput vhci
dm-1 mem sdc tty15 tty34 tty53 urandom vhost-net
dm-2 memory_bandwidth sdc1 tty16 tty35 tty54 vcs watchdog
dm-3 mqueue sg0 tty17 tty36 tty55 vcs1 watchdog0
dm-4 net sg1 tty18 tty37 tty56 vcs2 zero
dri network_latency sg2 tty19 tty38 tty57 vcs3
Re: USB-Stick mit LUKS verschlüsseln
Ich vermute auch, dass ich bei der ursprünglichen Anleitung vom Kuketz-Blog einen Fehler gemacht habe. Ich habe das jetzt gemacht:fossonly hat geschrieben:11.10.2020 18:40:11Offenbar hast Du dich nicht genau an die ursprüngliche Anleitung gehalten. Zumal der Punkt mit dem Dateisystem bislang ignoriert, und lediglich der verschlüsselte Container erstellt wurde. Die Art des Dateisystems unterliegt der persönlichen Präferenz.
Ein Dateisystem ist essentiell:Code: Alles auswählen
cryptsetup luksOpen /dev/sdc1 usb mkfs.ext4 /dev/mapper/usb
Code: Alles auswählen
root@debian:/dev# cryptsetup luksOpen /dev/sdc1 usb
Geben Sie die Passphrase für »/dev/sdc1« ein:
root@debian:/dev# mkfs.ext4 /dev/mapper/usb
mke2fs 1.44.5 (15-Dec-2018)
Ein Dateisystem mit 15017728 (4k) Blöcken und 3760128 Inodes wird erzeugt.
UUID des Dateisystems: bb18ab52-1a8d-484b-8bec-192b980e844f
Superblock-Sicherungskopien gespeichert in den Blöcken:
32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,
4096000, 7962624, 11239424
beim Anfordern von Speicher für die Gruppentabellen: erledigt
Inode-Tabellen werden geschrieben: erledigt
Das Journal (65536 Blöcke) wird angelegt: erledigt
Die Superblöcke und die Informationen über die Dateisystemnutzung werden
geschrieben: erledigt
Code: Alles auswählen
mkdir -p /mnt/usb
mount /dev/mapper/usb /mnt/usb
Re: USB-Stick mit LUKS verschlüsseln
Nein: Du hast den Inhalt von /dev gepostet, nicht von /dev/mapper.
Re: USB-Stick mit LUKS verschlüsseln
Nein. Nachdem das Dateisystem geschrieben wurde, wird der USB-Stick nun korrekt als Datenträger eingehängt, und kann regulär via Dateimanager geöffnet/entschlüsselt bzw. verwendet werden. Es besteht kein Bedarf hier manuell vorzugehen, auch wenn man das für vielfältige Zwecke auch tun könnte. Von Vorteil wäre auch, den USB-Stick zunächst vom System zu trennen und wieder sauber einzustecken.beikraut hat geschrieben:11.10.2020 19:34:33Heißt das, dass ich jetzt so weiter mache?
Oder ist es sinnvoller, alles noch mal platt zu machen und von vorne zu beginnen?Code: Alles auswählen
mkdir -p /mnt/usb mount /dev/mapper/usb /mnt/usb
Re: USB-Stick mit LUKS verschlüsseln
Wieso mountest du was von /dev/mapper? Das brauchst du nicht.
Du hast mount.crypt . Damit kannst du den Stick ganz normal als Device in ein ein Verzeichnis mounten.
]
Du hast mount.crypt . Damit kannst du den Stick ganz normal als Device in ein ein Verzeichnis mounten.
Code: Alles auswählen
mount /dev/sdc1 Zielverzeichnis
Re: USB-Stick mit LUKS verschlüsseln
VIELEN DANK Euch Allen für Eure HIlfe und Tipps!!!
Ich konnte jetzt den Stick im Terminal einbinden und auch Daten drauf kopieren.
(Geklappt hat es mit dem von wanne geposteten Code:
Ist es korrekt, dass ich zum Aushängen folgendes mache?
Was noch nicht klappt, ist das Einbinden in xfce. Das werde ich noch mal näher anschauen müssen und Euch gegebenenfalls noch mal um Hilfe bitten.
Aber bin ich super froh u. sehr dankbar, dass es solch ein Forum gibt.
(Und es hat auch einen Vorteil, dass es in xfce noch nicht geklappt hat: Ich habe das Terminal etwas mehr kennengelernt... Und z.B. rsync zum ersten Mal übers Terminal genutzt)
Ich konnte jetzt den Stick im Terminal einbinden und auch Daten drauf kopieren.
(Geklappt hat es mit dem von wanne geposteten Code:
Code: Alles auswählen
cryptsetup luksOpen /dev/sdc1 usb
mkdir -p /mnt/usb
mount /dev/mapper/usb /mnt/usb
Code: Alles auswählen
umount /mnt/usb
cryptsetup luksClose /dev/mapper/usb
Aber bin ich super froh u. sehr dankbar, dass es solch ein Forum gibt.
(Und es hat auch einen Vorteil, dass es in xfce noch nicht geklappt hat: Ich habe das Terminal etwas mehr kennengelernt... Und z.B. rsync zum ersten Mal übers Terminal genutzt)
Re: USB-Stick mit LUKS verschlüsseln
Ja.Ist es korrekt, dass ich zum Aushängen folgendes mache?
Wobei es deutlich harmloser ist, wenn du den Stick ohne luksClose raus ziehst. (Im Gegensatz zu wenn du das umount vergisst gibt es keinen Datenverlust. Lediglich ein paar Byte die bis zum nächsten reboot belegt bleiben. Außerdem bleibt der Name usb belegt.) Trotzdem. So wie du es geschrieben hast ist auf jeden Fall die korrekte Variante.
Schade ich hatte gehofft, xfce blickt es wenn es ein mal korrekt von Hand gemacht wurde... Kann ich jetzt leider auch nicht mehr weiterhelfen.Was noch nicht klappt, ist das Einbinden in xfce
Ansonsten würde ich mir mal debianolis mount.crypt angucken. Das sollte aus den zwei Kommandos eines machen. Nach der installation sollte das reichen:
Code: Alles auswählen
mount /dev/sdc1 /mnt/usb
rot: Moderator wanne spricht, default: User wanne spricht.
Re: USB-Stick mit LUKS verschlüsseln
Hallo wanne,
vielen Dank!
Ich werde es ausprobieren.
vielen Dank!
Ich werde es ausprobieren.
Re: USB-Stick mit LUKS verschlüsseln
Ich bin gerade etwas irritiert, weil der Dateimanager thunar beim Einstecken des Sticks eigentlich automatisch einen Passwortdialog anbietet und den Stick selbständig einbindet. Ich habe momentan keinen xfce-Rechner zur Hand, aber bis zu Debian 9 (Stretch) hat das immer relativ problemlos funktioniert. Das funktioniert bei dir anscheinend nicht?!beikraut hat geschrieben:18.10.2020 22:18:50Was noch nicht klappt, ist das Einbinden in xfce. Das werde ich noch mal näher anschauen müssen und Euch gegebenenfalls noch mal um Hilfe bitten.
-
- Beiträge: 196
- Registriert: 11.03.2018 23:09:05
Re: USB-Stick mit LUKS verschlüsseln
Nur bei einer maximalen Installation von thunar, nicht aber bei einer minimalen Installation. Ich suche noch die Pakete, die ich bei einer minimalen Installation von thunar nachinstallieren muss, damit der USB-Stick automatisch gemountet wird und das grafische Entschlüsselungs-Dialogfeld "aufpoppt". Kennt jemand diese Pakete schon und kann sie auflisten?
Re: USB-Stick mit LUKS verschlüsseln
thunar setzt auf die gnome-Infrasttruktur auf => du brauchst gvfs udiskie thunar-volman.
Quelle: archwiki.
Quelle: archwiki.
rot: Moderator wanne spricht, default: User wanne spricht.
-
- Beiträge: 196
- Registriert: 11.03.2018 23:09:05
Re: USB-Stick mit LUKS verschlüsseln
Danke! Die Eingabe # apt install thunar thunar-volman gvfs udiskie --no-install-recommends --no install-suggests zieht nur 33 MB und alle gewünschten Funktionen - Automount des USB-Sticks + Passwortabfrage durch LUKS über GUI-Dialogfeld - sind da.
-
- Beiträge: 196
- Registriert: 11.03.2018 23:09:05
Re: USB-Stick mit LUKS verschlüsseln
Ich muss leider zurück rudern.
Nach der Installation der oben genannten Pakete über:
, lässt sich der LUKS-verschlüsselte USB-Stick nicht über thunar öffnen.
Der USB-Stick samt Mount-Symbol erscheint zwar in der linken Spalte von Thunar. Klickt man darauf, erscheint auch das Passwortabfrage-Dialogfeld. Gibt man das Passwort jedoch darin ein und drückt Enter, verschwindet das Dialogfeld, aber der USB-Stick wird nicht entschlüsselt.
Führt man einen Rechtsklick auf den USB-Stick samt Mountsymbol aus, und wählt in dem dann erscheinenden Feld 'Einhängen' aus, erscheint auch das oben genannte Passwortabfrage-Dialogfeld. Gibt man dann dort sein Passwort ein und drückt enter erscheint ein Dialogfeld mit Folgendem Inhalt:
Der Datenträger >>32 GB verschlüsselt<< konnte nicht eingehängt werden.
Error unlocking /dev/sdc1: The function 'bd_crypto_luks_open_blob' called, but not implemented!.
Das Journal sagt hierzu:
Mein installiertes System: viewtopic.php?f=12&t=178677&p=1249827#p1249827
Nach der Installation der oben genannten Pakete über:
Code: Alles auswählen
# apt install thunar thunar-volman gvfs udiskie --no-install-recommends --no-install-suggests
Der USB-Stick samt Mount-Symbol erscheint zwar in der linken Spalte von Thunar. Klickt man darauf, erscheint auch das Passwortabfrage-Dialogfeld. Gibt man das Passwort jedoch darin ein und drückt Enter, verschwindet das Dialogfeld, aber der USB-Stick wird nicht entschlüsselt.
Führt man einen Rechtsklick auf den USB-Stick samt Mountsymbol aus, und wählt in dem dann erscheinenden Feld 'Einhängen' aus, erscheint auch das oben genannte Passwortabfrage-Dialogfeld. Gibt man dann dort sein Passwort ein und drückt enter erscheint ein Dialogfeld mit Folgendem Inhalt:
Der Datenträger >>32 GB verschlüsselt<< konnte nicht eingehängt werden.
Error unlocking /dev/sdc1: The function 'bd_crypto_luks_open_blob' called, but not implemented!.
Das Journal sagt hierzu:
Code: Alles auswählen
root@debianpc:~# journalctl -f
-- Logs begin at Sun 2020-10-25 09:21:11 CET. --
Okt 25 10:38:40 debianpc gvfs-udisks2-vo[2169]: Remote error from secret service: org.freedesktop.DBus.Error.ServiceUnknown: The name org.freedesktop.secrets was not provided by any .service files
Okt 25 10:39:45 debianpc udisksd[2092]: The function 'bd_crypto_luks_open_blob' called, but not implemented!
Okt 25 10:40:24 debianpc gvfs-udisks2-vo[2169]: Remote error from secret service: org.freedesktop.DBus.Error.ServiceUnknown: The name org.freedesktop.secrets was not provided by any .service files
Okt 25 10:41:00 debianpc udisksd[2092]: The function 'bd_crypto_luks_open_blob' called, but not implemented!