2. verschlüsselte Festplatte bei Systemstart automatisch einbinden

[debianuser69]

Hallo,

unter Xubuntu hatte ich es bei dem Laptop so eingestellt das beim Systemstart automatisch die 2. verschlüsselte Festplatte eingebunden wurde, ohne das ich was machen muss, also kein Passwort oder sonstiges eingeben mußte.

Leider funktioniert das hier unter Debian nicht so.

Folgendes:
Ich habe das System (Debian 11) frisch installiert und per angebotener Verschlüsselung während der Installation ausgewählt (2TB m.2 SSD).
Die 2. verschlüsselte Festplatte (2TB SSD) ist damals durch Veracrypt mittels Passwort verschlüsselt worden.

Wie kann man das unter Debian regeln? Notfalls würde ich die Daten sichern und die 2. Festplatte auch nochmals neu verschlüsseln.

Danke für die Hilfe

[rockyracoon]

Meine zweite Festplatte unter Debian/Bullseye (Gnome3) ist mit Luks verschlüsselt, wird beim Systemstart erkannt aber erst eingehängt, wenn ich sie bei Bedarf anklicke und entschlüssele. Dabei wird nicht nur die Paraphrase verlangt, sondern danach auch dass Root-Passwort. Das finde ich gut und sicher. So kann Keiner etwa mit einem Live-System so einfach mal reinschauen. Mit anderen Worten: Du braucht eigentlich keine Hilfe, weil Dein Problem imho kein Problem ist.

[debianuser69]

Der Sinn einer zweiten verschlüsselten Festplatte sollte imho doch sein, dass sie verschlüsselt ist.
Soll sie unverschlüsselt eingehängt werden, dann geht das imho nur, indem man sie erst gar nicht verschlüsselt.

Sie ist verschlüsselt und soll auch verschlüsselt bleiben, nur möchte ich nicht immer erst Veracrypt starten, das Passwort für die Festplatte eingeben, mein Passwort eingeben usw. usf.

Sie soll direkt beim hochfahren entschlüsselt werden, so das sie direkt als Laufwerk zur Verfügung steht.

Falls der Laptop mal gestohlen oder verloren geht, kommt wenigstens niemand an meine Daten, weil komplett verschlüsselt.

Klar, wenn man das erste Passwort beim hochfahren weiß, was aber unwahrscheinlich ist, hätte ich Pech, dann käme dieser auch an die Daten der 2. verschlüsselten Festplatte.

Es ist möglich so zu fahren, unter den Ubuntu Systemen und Derviaten funktioniert das, indem man im /dev/mapper und in der fstab was einträgt, desweiteren eine Datei speichert, die das Passwort zum entschlüsseln enthält. Nur unter Debian funktioniert das so nicht.

Unter MX Linux hatte ich das getestet, frisch installiert und dann so vorgegangen wie unter Xubuntu. Ergebnis war, das der Laptop nicht mehr korrekt startete, also gar nicht mehr. Umändern konnte ich auch nichts mehr, da ich nicht mehr an die 1. verschlüsselte Festplatte kam. Pech gehabt

[rockyracoon]

Sie soll direkt beim hochfahren entschlüsselt werden

Falls der Laptop mal gestohlen oder verloren geht, kommt wenigstens niemand an meine Daten, weil komplett verschlüsselt.

Klar, wenn man das erste Passwort beim hochfahren weiß, was aber unwahrscheinlich ist,

Wenn die Festplatte beim Hochfahren entschlüsselt würde, wäre es ein Leichtes, einen gestohlenen PC per Live-System auszulesen.
User-Passworte sind imho nur etwa in einem Großraum-Büro sinnvoll, wenn jemand einen Kaffee trinken geht und seinen PC kurzfristig gegen Neugierige schützen will.
Der Administrator schaut Dir aber zurecht immer über die Schulter, wenn er will.
Gegen Dein Unsicherheits-Szenario (Hardware-Diebstahl) hilft imho nur ein komplexes Bios-Passwort.

[debianuser69]

Es ist ziemlich schwierig Dir zu antworten, jedesmal wenn ich auf antworten gehe, hast Du schon wieder was geändert....

Klar, ich weiß das, aber ich muß ja beim Starten schon ein Passwort eingeben, das ist nicht gerade "passwort" oder "qwertz" oder "1234556".... FALLS man dieses Passwort wissen würde, klar, dann wäre der Laptop komplett ungesichert.
Wenn man dieses aber NICHT kennt, kommt man auch nicht an die 2. Festplatte dran, da diese ja erst entschlüsselt wird, wenn man beim starten das 1. Passwort korrekt eingegeben hat...

Klar ist es ein Sicherheitsrisiko, das weiß ich auch

[rockyracoon]

Wenn man dieses aber NICHT kennt, kommt man auch nicht an die 2. Festplatte dran, da diese ja erst entschlüsselt wird, wenn man beim starten das 1. Passwort korrekt eingegeben hat...

Interessant.
Hast Du das zu Deinen Xubuntu-Zeiten einmal mit einem Live-System getestet?

[debianuser69]

Ich verstehe ehrlich gesagt nicht so ganz, was Du genau meinst? Meinst Du die 2. Festplatte wäre nicht verschlüsselt und man käme mit einem Live System da ran? Klar, wenn das Live System Veracrypt hat und Du das Passwort dieser Festplatte kennst, das natürlich anders ist wie das Passwort beim hochfahren, also direkt nachdem Grub durch ist, BEVOR Du Dich anmelden kannst.

BIOS Passwort bin ich mir nicht soooo sicher, Batterie länger rausgeholt, ist BIOS zurückgesetzt und das Passwort auch, oder nicht? Zudem könnte man die m.2 SSD und die normale SSD auch ausbauen und woanders einbauen. Es gibt keine 100%ige Sicherheit, man kann es höchstens schwerer machen an die Daten zu kommen.

[rockyracoon]

O.K. Verstanden.
Wieder etwas dazugelernt.
Dann bleibt mir nur zu sagen, dass das von Dir unter Xubuntu angewendete Verfahren offensichtlich unter Debian nicht läuft.
Aber vielleicht wissen andere Mitglieder hier mehr darüber.

[jph]

Sie ist verschlüsselt und soll auch verschlüsselt bleiben, nur möchte ich nicht immer erst Veracrypt starten, das Passwort für die Festplatte eingeben, mein Passwort eingeben usw. usf.

Sie soll direkt beim hochfahren entschlüsselt werden, so das sie direkt als Laufwerk zur Verfügung steht.

Falls der Laptop mal gestohlen oder verloren geht, kommt wenigstens niemand an meine Daten, weil komplett verschlüsselt.

Ich habe deine Situation so verstanden: das System ist mittels LUKS verschlüsselt und die externe Platte über VeraCrypt. Da das System verschlüsselt ist, darf das Passwort für die externe Platte dem System bekannt sein – ansonsten kein Automount möglich.

Die Aufgabe ist also, den automatischen Mount hinzubekommen; das Passwort dürfen wir als bekannt voraussetzen.

Ich würde das über eine systemd-Unit lösen. Entweder als systemd-Automount (falls das mit VeraCrypt funktioniert) oder als stinknormalen systemd-Service, der beim Systemstart einen VeraCrypt-Mount ausführt. Je nachdem, wie VeraCrypt funktioniert, kannst du daraus sogar einen systemd-User-Service bauen, so dass der Mount nur beim Login eines bestimmten Users erfolgt.

[debianuser69]

[
Ich habe deine Situation so verstanden: das System ist mittels LUKS verschlüsselt und die externe Platte über VeraCrypt. Da das System verschlüsselt ist, darf das Passwort für die externe Platte dem System bekannt sein – ansonsten kein Automount möglich.

Die Aufgabe ist also, den automatischen Mount hinzubekommen; das Passwort dürfen wir als bekannt voraussetzen.

Ich würde das über eine systemd-Unit lösen. Entweder als systemd-Automount (falls das mit VeraCrypt funktioniert) oder als stinknormalen systemd-Service, der beim Systemstart einen VeraCrypt-Mount ausführt. Je nachdem, wie VeraCrypt funktioniert, kannst du daraus sogar einen systemd-User-Service bauen, so dass der Mount nur beim Login eines bestimmten Users erfolgt.

Korrekt, unter Xubuntu hatte ich das so gelöst, das ich das Passwort in einer Datei gespeichert hatte.

Ich hatte mir das notiert:

Dieses Passwort speichere ich in einer Textdatei, allerdings ohne Zeilenumbruch!!!! Diese Datei speichere ich irgendwo ab (auch gerne mit führendem Punkt für unsichtbar (mehr oder weniger)), auf der Systemplatte.

Jetzt geht's ans eingemachte....

sudo nano /etc/crypttab

Dort füge ich folgendes unten ein:

gewünschter Name der Festplatte (bei mir 2TB),
wo die Festplatte eingebunden ist, bei mir /dev/sda1,
dann der Platz wo die Datei mit dem Passwort liegt, bei mir /home/test/.nix,
als letztes noch tcrypt-veracrypt eingeben weil es eine Veracrypt Partition ist.

2TB /dev/sda1 /home/test/.nix tcrypt-veracrypt

Datei schließen und speichern lassen...

sudo nano /etc/fstab

Dort füge ich ein:

/dev/mapper (das bleibt so!!!) und dann noch den Namen der Festplatte der in crypttab vergeben wurde, bei mir 2TB,
jetzt den Ort an dem sie eingebunden werden soll, bei mir /media/2TB,
Dateisystem angeben, kann auch "auto" dort stehen, ich habe "ext4" dort stehen,
den Rest habe ich von den anderen Eingaben in der fstab übernommen "defaults 0 0"

/dev/mapper/2TB /media/2TB ext4 defaults 0 0

Das war es, meine Festplatten sind jetzt beide im Laptop verschlüsselt und ich muß lediglich beim starten des Systems das Passwort eingeben, nach dem anmelden ist die 2. Festplatte direkt verfügbar.

Leider funktioniert dieser einfache Weg unter Debian nicht. Und wenn Du jetzt mit systemd-Unit ankommst, lasse ich das auch lieber sein, davon habe ich gar keine Ahnung

[jph]

Ich hatte mir das notiert:

Dieses Passwort speichere ich in einer Textdatei, allerdings ohne Zeilenumbruch!!!! Diese Datei speichere ich irgendwo ab (auch gerne mit führendem Punkt für unsichtbar (mehr oder weniger)), auf der Systemplatte.

[...]

gewünschter Name der Festplatte (bei mir 2TB),
wo die Festplatte eingebunden ist, bei mir /dev/sda1,
dann der Platz wo die Datei mit dem Passwort liegt, bei mir /home/test/.nix,
als letztes noch tcrypt-veracrypt eingeben weil es eine Veracrypt Partition ist.

2TB /dev/sda1 /home/test/.nix tcrypt-veracrypt

Da liegt möglicherweise der Hase im Pfeffer. Trägst du das exakt so ein? Das kann nicht funktionieren, denn mit /dev/sda wird üblicherweise die erste interne SATA-Platte bezeichnet. Deine USB-Platte wird ein anderes Gerät sein. Man benutzt heute genau deswegen keine Gerätenamen mehr, sondern UUID. Trag die UUID der verschlüsselten Partition ein anstelle von /dev/sda1, dann sollte es gehen.

Die Syntax der crypttab und der fstab wird dir in den Manpages erzählt. Die solltest du dringend lesen.

[debianuser69]

Da liegt möglicherweise der Hase im Pfeffer. Trägst du das exakt so ein? Das kann nicht funktionieren, denn mit /dev/sda wird üblicherweise die erste interne SATA-Platte bezeichnet. Deine USB-Platte wird ein anderes Gerät sein. Man benutzt heute genau deswegen keine Gerätenamen mehr, sondern UUID. Trag die UUID der verschlüsselten Partition ein anstelle von /dev/sda1, dann sollte es gehen.

Die Syntax der crypttab und der fstab wird dir in den Manpages erzählt. Die solltest du dringend lesen.

Ja, bei dem Laptop war das so korrekt, da die erste Festplatte eine m.2 SSD war, die wurde ja mit nvme... angesprochen. Unter Xubuntu ging das genau so. Die 2. verschlüsselte Festplatte (SSD) ist ebenfalls im Laptop eingebaut, war demnach dann sda. Nur ging das bei dem Laptop unter Debian, bzw. MX Linux nicht.

Dann muß ich mich tatsächlich mal da einlesen, scheinbar setzt kaum jemand so auf Verschlüsselung, oder hat nur eine Festplatte verbaut.

Danke für den Hinweis.

[NoobOfLinux]

Der Ordnung halber sei erwähnt: Du könntest das auch alles über einen FIDO2 Stick lösen

[jph]

Ja, bei dem Laptop war das so korrekt, da die erste Festplatte eine m.2 SSD war, die wurde ja mit nvme... angesprochen. Unter Xubuntu ging das genau so. Die 2. verschlüsselte Festplatte (SSD) ist ebenfalls im Laptop eingebaut, war demnach dann sda. Nur ging das bei dem Laptop unter Debian, bzw. MX Linux nicht.

Nutze bitte die UUID, damit schließt du eine potentielle Fehlerquelle aus.

Dann muß ich mich tatsächlich mal da einlesen, scheinbar setzt kaum jemand so auf Verschlüsselung, oder hat nur eine Festplatte verbaut.

Ich könnte mir vorstellen, dass für viele VeraCrypt die Hürde darstellt... ich hab’ auch keine Ahnung, wie das funktioniert und was das kann.

[debianuser69]

Ich habe jetzt eine "Lösung", ist zwar nicht so wie ich es eigentlich wollte, aber funktioniert ganz gut.

Die 2. interne Festplatte habe ich neu mit Veracrypt formatiert, dabei habe ich eine Schlüsseldatei verwendet.
Zudem habe ich diese Festplatte als Favorit angegeben, ebenso die Schlüsseldatei.
Veracrypt in den Autostart.

Starte ich den Laptop, gebe ich den PIN ein, danach startet das System, dann melde ich mich mit Passwort an, bei Veracrypt gehe ich dann einfach auf Favoriten einbinden, dafür muß ich dann insgesamt 2x das Nutzerpasswort eingeben. Schon ist die Festplatte eingebunden. Wie geschrieben, ist zwar nicht so schön wie vorher, aber ob ich jetzt noch 2x ein Passwort eingeben muß, ist da auch egal, so oft wie ich Passwörter eingeben muß, es startet ja auch noch das Passwortverwaltungsprogramm, das wartet auch auf Eingaben bei Systemstart.

Nachteil ist nur, wenn ich eine andere Festplatte einbinden möchte, muß ich jedesmal zuerst die Schlüsseldatei von der internen Festplatte entfernen, danach kann ich die andere verschlüsselte Festplatte einbinden.

...nur mal als Rückmeldung