tmp nachträglich mit /dev/urandom verschlüsseln

[bastorran]

Hallo zusammen,

bei der Installation meines Systems habe ich /tmp und /home verschlüsseln lassen (mit einem Passwort). Nachträglich ist mir aufgefallen, dass man ja auch /tmp mit /dev/urandom als Schlüsseldatei verschlüsseln kann (genauso wie swap).

Nun bin ich etwas ratlos wie ich das bewerkstellige. Ich kann /dev/urandom nicht als Schlüsseldatei hinzufügen, ich erhalte folgenden Fehler (finde ich ja auch ganz verständlich, dass er das nicht mag):

Code: Alles auswählen

Warning: exhausting read requested, but key file is not a regular file, function might never return.

Auch bei der /etc/crypttab hab ich das ganze schon probiert, erhalte aber die gleiche Fehlermeldung. Hätte mir jemand einen Tipp, wie ich das nachträglich doch noch hinbekomme?

Vielen Dank!

Gruß,
bastorran

P.S. Das System läuft unter Arch, sollte ja aber eigentlich nix ändern ...

[jeff84]

/dev/urandom ist keine Datei. Und kann auch nicht direkt als Schlüsseldatei herhalten, da jeder Aufruf anderen Output bringt.

Was genau hast du denn jetzt versucht zu machen? Vielleicht verstehe ich dich ja auch nur falsch...

[bastorran]

Hallo,

vielleicht hab ich mich auch einfach ein bisschen undeutlich ausgedrückt.

Eine Swap-Partition kann man mit LUKS so einrichten, dass man dafür nicht jedesmal ein Passwort eingeben muss, sondern bei jedem Neustart ein neues generiert wird (man kann dann zwar die Daten der vorherigen Sitzung nicht mehr lesen, was ja aber nicht weiter tragisch ist). Ich dachte so etwas würde es auch für andere Partitionen geben, nur ohne die Swap-Funktion. Das Ganze wäre ideal, man bräuchte kein Passwort und keine Schlüsseldatei mehr für /tmp.

Ich hoffe es ist jetzt klarer geworden.

Gruß,
bastorran

[Danielx]

/etc/crypttab

Code: Alles auswählen

crypt_tmp	/dev/sdaX	/dev/urandom	tmp

/etc/fstab

Code: Alles auswählen

/dev/mapper/crypt_tmp	/tmp	ext2	defaults	0	0

Gruß,
Daniel

[bastorran]

Hallo,

leider funktioniert Dein Vorschlag nicht. Füge ich diese Zeile in die /etc/crypttab ein, erhalte ich beim Starten folgende Meldung:

Code: Alles auswählen

Usage: cryptsetup.static [-?vyrq] [-?|--help] [--usage] [-v|--verbose] [-c|--cipher=STRING] [-h|--hash=STRING] [-y|--verify-passphrase]
        [-d|--key-file=STRING] [-s|--key-size=BITS] [-S|--key-slot=INT] [-b|--size=SECTORS] [-o|--offset=SECTORS] [-p|--skip=SECTORS]
        [-r|--readonly] [-i|--iter-time=msecs] [-q|--batch-mode] [--version] [-t|--timeout=secs] [-T|--tries=INT]
        [--align-payload=SECTORS] [--non-exclusive] [OPTION...] <action> <action-specific>]
cryptsetup.static: Unknown action.

Ich habe auch schon alle möglichen Varianten ausprobiert.

Langsam bin ich etwas ratlos, was ich da bloß falsch mache.

Gruß,
bastorran

[WEARENOTALONE]

Aber /dev/sdaX ist bei dir nicht mit luksFormat erstellt worden oder?

Anscheinend funktioniert /dev/urandom nicht mit luks (Auszug aus man crypttab):

The third field, key file, describes the file to use as a key for decrypting the data of the source device. It can also be
a device name (e.g. /dev/urandom), note however that LUKS requires a persistent key and therefore does not support random
data keys.

[Danielx]

Aber /dev/sdaX ist bei dir nicht mit luksFormat erstellt worden oder?

Da braucht vorher gar nichts erstellt worden sein, am Besten /dev/sdaX mit Zufallszahlen überschreiben, der Rest wird automatisch erledigt.

Gruß,
Daniel

[bastorran]

Hallo,

habe jetzt nochmal alle moeglichen Varianten ausprobiert, ich bekomme beim Booten immer eine Fehlermeldung von cryptsetup, dass es die Aktion nicht kennt. Wenn ich die Option tmp weglasse, funktioniert zwar alles wunderbar, aber dann meckert er natuerlich beim Einhaengen rum, dass es da kein richtiges Dateisystem gibt.

Fehlen vielleicht irgendwelche Kernelmodule, die man nur fuer tmp braucht (was ich mal stark bezweifle)?

Vielen Dank fuer Eure Hilfe!

Gruss,
bastorran