luksOpen mit Key-Datei

[xcomm]

Hi Gemeinde,

habe eine Workstation, mit 2 verschlüsseltenen MDs und möchte dort nicht mehr die Passworter zum Entschlüsseln beim Booten eingeben.

Nun habe ich das gefunden:

https://community.infosecinstitute.com/ ... -boot-time

Code: Alles auswählen

1. # dd if=/dev/urandom of=/etc/encrypted/key bs=2048 count=2
2. # chmod 600 /etc/encrypted/key; chown root:root /etc/encrypted/key
3. # cryptsetup luksAddKey /dev/sdc1 /etc/encrypted/key
and enter a passphrase.
4. create file /etc/crypttab with the following contents:
name_of_your_filesystem /dev/sdc1 /etc/encrypted/key

Das habe ich soweit vorbereitet, aber noch nciht aktiviert.

Meine Frage: /etc/encrypted/key sollte ja vermutlich nicht auf dem zu entschlüsselnden Laufwerk liegen?
Ich habe ein unverschlüsseltes Laufwerk /dev/md1 für /boot. Sollte ich den Key dort hin legen?
Etwa so?

<code>vi /etc/crypttab:
name_of_your_filesystem /dev/sdc1 /boot/key[/code]

Und noch was machen, etwa eine neue initrd generieren lassen?

Danke

[niemand]

Ich habe ein unverschlüsseltes Laufwerk /dev/md1 für /boot. Sollte ich den Key dort hin legen?

Dann kannst du das mit der Verschlüsselung auch lassen. Das ist so, wie die Haustür abzuschließen und den Schlüssel auf (nicht unter) die Matte zu legen.

Wenn du bei deinem Setup mehrere Passphrases eingeben müsstest, dann könntest du’s so einrichten, dass du die Passphrase für das erste Dateisystem eingibst, und die restlichen Passphrases in diesem FS in Dateien hinterlegst. Ist insofern problematisch, als dass ein Angreifer, der Zugriff auf das laufende System erlangt, sich die Sachen dann kopieren kann, aber ist immer noch besser, als die Verschlüsselung vollständig ad absurdum zu führen, indem man den Schlüssel gleich für jeden lesbar in ein unverschlüsseltes FS legt.

[xcomm]

Naja, ich will die Verschlüsselung ja eigentlich nicht mehr haben, bzw aktuell komplett entsperren (um den Rechner einfach ohne Interaktion neu starten zu können). Aber dies scheint ja nicht möglich zu sein. Deshalb würde ich gern die Keydatei als Workarround nutzen, um das zu erreichen.

Aber wie soll das System den Key /etc/encrypted/key denn einlesen, wenn der auf einer verschlüsselten Volume liegt? Oder hat es den Keyfgile schon in der initrd mit dazugepackt, wenn es in der /etc/crypttab steht?

[spiralnebelverdreher]

habe eine Workstation, mit 2 verschlüsseltenen MDs und möchte dort nicht mehr die Passworter zum Entschlüsseln beim Booten eingeben.

....

Meine Frage: /etc/encrypted/key sollte ja vermutlich nicht auf dem zu entschlüsselnden Laufwerk liegen?
Ich habe ein unverschlüsseltes Laufwerk /dev/md1 für /boot. Sollte ich den Key dort hin legen?
Etwa so?

Du kannst überlegen, ob du die Keys auf einem USB-Speicher ablegst, der an deinem physischen Schlüsselbund befestigt ist und beim Booten eingesteckt wird und dann gleich wieder entfernt wird. Eine Zeitersparnis gegenüber der Tastatureingabe kann ich da nicht erkennen wenn du es so einrichtest, dass du nur ein einziges Passwort eingeben musst. Du ersetzt damit halt den Sicherheitsfaktor "Nur ich kenne das Passwort" gegen "Nur an meinem Schlüsselbund hängt ein Speicher mit dem Passwort". Beides hat seine Stärken und Schwächen, ist aber deutlich besser als den Key auf der gleichen Maschine abzulegen.
Du verschlüsselst deine Platten ja, um dich und deine Daten bei bestimmten Schadensszenarien zu schützen (bspw. Hardware-Diebstahl, Festplatte wird defekt und geht in den Service, Festplatte wird ausgemustert und gerät ohne vorherige Datenzerstörung in falsche Hände, ...)

By the way, das Passwort ist ja nicht der Key, mit dem die Daten verschlüsselt werden. Es muss deshalb keine 35 Zeichen mit allen Schikanen lang sein.

[debianoli]

Du kannst bei luks mehrere Passwörter für eine Partition einrichten. Also einfach das gleiche Passwort bei allen Partitionen hinzufügen.

Wenn dann Plymouth im Einsatz ist für schöne Grafiken beim Booten, reicht die einmalige Eingabe des Passworts, das bei allen luks-Partitionen gleich ist. Klappt bei mir top.

https://wiki.debian.org/plymouth

[niemand]

Naja, ich will die Verschlüsselung ja eigentlich nicht mehr haben […]. Aber dies scheint ja nicht möglich zu sein.

Doch, schon – siehe etwa https://wiki.archlinux.org/title/Removi ... encryption

Ansonsten: ja, in dem Fall kannst du den Schlüssel unter /boot/ ablegen. Wie du’s dann allerdings in die initrd bringst, dass der von dort geladen wird, hängt von $Faktoren ab – meine praktischen Erfahrungen beziehen sich ausschließlich auf den umgekehrten Fall (nachträglich Verschlüsselung mit Abfrage einrichten).

Die umfangreichsten Manipulationsmöglichkeiten hat man heutzutage wohl, wenn man dracut für die Erstellung des initramfs nutzt.

[xcomm]

Danke. Ich habe das Passwort jetzt in der initrd.

https://unix.stackexchange.com/question ... -partition

Hier der Beitrag von spinkus mit aktuell 7 Likes.

Meine /etc/crypttab sieht nun so aus:

Code: Alles auswählen

md2         /dev/md2       none            luks,keyscript=/etc/echo-root-luks-pass
md3         /dev/md3       none            luks,keyscript=/etc/echo-root-luks-pass

Das funktioniert jetzt aber nur halb mit md2 !!!!

Für md3 fragt er weiter nach dem Passwort auf der Console.

Ich dachte, es liegt vielleicht am Ort und hatte es nun schon in /boot/echo-root-luks-pass für md3, aber ohne Erfolg.

Ideen?

Danke