Arch Linux

LUKS-Entschluesseln zu langsam - kein Superblock gefunden!

indianahorst

Hallo,

ich habe da ein kleines Problem (genauer gesagt zwei), nicht sonderlich wichtig, aber nervig:

1) Meine Daten-Partitionen sind per LUKS/cryptsetup verschluesselt. Dafuer stehen in /etc/crypttab die richtigen Eintraege und es klappt wunderbar. Allerdings habe ich ausser /home (wird per Passwort-Eingabe entschluesselt) noch eine weitere Datenpartition, die per Keyfile entschluesselt wird. Dieses Keyfile liegt in /home/username/keyfile.txt. Aber offenbar ist das Entschluesseln der /home Partition einen Tick zu langsam, denn beim mounten der Datenpartition kann der Superblock des Dateisystems nicht gefunden werden (per Hand entschluesseln und mounten geht aber ohne jedes Problem).

Meine crypttab sieht so aus:

home                     /dev/sda3         ASK
swap    /dev/sda2        SWAP        -c aes-xts-plain -s 256 -h sha256
datenpartition            /dev/sda4        /home/username/keyfile.txt  ## geht nicht, findet Superblock nicht

2) Also habe ich mich zu dem Workaround entschlossen, das Entschluesseln und Mounten der Datenpartition in /etc/rc.local zu machen:

cryptsetup luksOpen --key-file /home/username/keyfile.txt /dev/sda4 datenpartition
sleep 1 
mount /dev/mapper/datenpartition /mnt/datenpartition 
echo -e "datenpartition ist gemountet \n"

Nun kriege ich beim Booten zum einen zweimal die Meldung (und zwar versetzt, sog. Staircase-Effekt)

device-mapper: remove ioctl failed: Device or resource busy

(bekomme ich auch beim Ausfuehren von Hand im laufenden System, es funktioniert aber trotzdem alles wie gewuenscht)
und zum anderen bekomme ich auch (ich verwende keinen Login-Manager) nachdem obiges "datenpartition ist gemountet" ausgegeben wurde, keinen Login-Prompt. Den bekomme ich erst nach Druecken von Return.

Wie kann ich
1) das Problem loesen, dass das Entschluesseln von /home zu langsam ist und das Keyfile offenbar noch nicht von /home gelesen werden kann, wenn die Datenpartition entschluesselt wird? Laesst sich da in die crypttab evtl. eine kleine Verzoegerung von 2 Sekunden einbauen?

2) Wie kriege ich nach dem Ausfuehren der rc.local einen Login-Prompt?

Vielen Dank!

Dirk

indianahorst schrieb2) Also habe ich mich zu dem Workaround entschlossen, das Entschluesseln und Mounten der Datenpartition in /etc/rc.local zu machen:

Du weißt schon, dass die Verschlüsselung damit überflüssig wird, oder?

indianahorst

Dirk Sohler schrieb
indianahorst schrieb2) Also habe ich mich zu dem Workaround entschlossen, das Entschluesseln und Mounten der Datenpartition in /etc/rc.local zu machen:
Du weißt schon, dass die Verschlüsselung damit überflüssig wird, oder?

Nein, inwiefern?

Dirk

indianahorst schrieb
Dirk Sohler schrieb
indianahorst schrieb2) Also habe ich mich zu dem Workaround entschlossen, das Entschluesseln und Mounten der Datenpartition in /etc/rc.local zu machen:
Du weißt schon, dass die Verschlüsselung damit überflüssig wird, oder?
Nein, inwiefern?

Weil deine Datenpartition bei erreichen des Runlevel 3 automatisch geöffnet wird. Du musst also schon vorher irgendwo dafür sorgen, dass Runlevel 3 nicht erreicht wird.

SaThaRiel

Und anscheinend liegt Dein Schlüssel auch unverschlüsselt auf derselben Platte, wie Deine verschlüsselte Partition - kann also jeder auch wieder entschlüsseln...

Dirk

SaThaRiel schriebUnd anscheinend liegt Dein Schlüssel auch unverschlüsselt auf derselben Platte, wie Deine verschlüsselte Partition - kann also jeder auch wieder entschlüsseln...

Ich mache das immer so, dass ich die /boot, /, swap und /home erstelle, und alles bis auf /boot verschlüssele. Das System bootet dann nach Passworteingabe von /, wo das Keyfile für /home, sowie die crypttab zum entschlüsseln von /home mittels Keyfile und swap liegt.

Ein Passwort, aber trotzdem alles verschlüsselt. Und zudem kommt keiner ans Keyfile für /home, ohne das Passwort für / zu kennen 🙂

SiD

Dirk Sohler schriebIch mache das immer so, dass ich die /boot, /, swap und /home erstelle, und alles bis auf /boot verschlüssele. Das System bootet dann nach Passworteingabe von /, wo das Keyfile für /home, sowie die crypttab zum entschlüsseln von /home mittels Keyfile und swap liegt.

Ein Passwort, aber trotzdem alles verschlüsselt. Und zudem kommt keiner ans Keyfile für /home, ohne das Passwort für / zu kennen 🙂

jo, und dann noch den key für / unsichtbar auf nen usb Stick und man braucht kein passwort eingeben.
Dann muss man natürlich gut auf den Stick aufpassen. 😉

Dirk

SiD schriebDann muss man natürlich gut auf den Stick aufpassen. 😉

Ein Stick geht schneller mal kaputt oder kommt abhanden, als das Passwort in meinem Kopf 🙂

SiD

joa, für den Notfall hab ich ja auch noch einen 2-ten slot mit PW das nur in meinem Kopf ist.
Bin halt faul. 😉

SaThaRiel

Dirk Sohler schriebIch mache das immer so, dass ich die /boot, /, swap und /home erstelle, und alles bis auf /boot verschlüssele. Das System bootet dann nach Passworteingabe von /, wo das Keyfile für /home, sowie die crypttab zum entschlüsseln von /home mittels Keyfile und swap liegt.

Ein Passwort, aber trotzdem alles verschlüsselt. Und zudem kommt keiner ans Keyfile für /home, ohne das Passwort für / zu kennen 🙂

Mache ich genauso. Und Passphrase minimum 20 Zeichen lang.
Die Keys zu /home und /backup hab ich bei mir allerdings nochmals in einer verschlüsselten Datei auf einem Zweitrechner liegen, da sind sie "nur" mit einem PW gesichert. Ich traue meinem alten Hirn da nicht mehr so 😉

indianahorst

Dirk Sohler schrieb
indianahorst schrieb
Dirk Sohler schrieb Du weißt schon, dass die Verschlüsselung damit überflüssig wird, oder?
Nein, inwiefern?
Weil deine Datenpartition bei erreichen des Runlevel 3 automatisch geöffnet wird. Du musst also schon vorher irgendwo dafür sorgen, dass Runlevel 3 nicht erreicht wird.

Nein, wird sie nicht. Ohne Passworteingabe zum Entschluesseln von /home wird kein Runlevel 3 erreicht. Und selbst wenn die Passworteingabe zum Entschluesseln von /home umgangen werden wuerde, dann wuerde das Entschluesseln der Datenpartition daran scheitern, dass das Keyfile zum Entschluesseln nicht zugreifbar ist (liegt ja auf der - dann nicht entschluesselten - home-Partition).

SaThaRiel schrieb Und anscheinend liegt Dein Schlüssel auch unverschlüsselt auf derselben Platte, wie Deine verschlüsselte Partition - kann also jeder auch wieder entschlüsseln...

Noe. Siehe oben. Der Schluessel zur Datenpartition liegt auf der verschluesselten home-Partition. Ohne entschluesselte home-Partition kein Entschluesseln der Datenpartition moeglich.

Dirk Sohler schrieb Ich mache das immer so, dass ich die /boot, /, swap und /home erstelle, und alles bis auf /boot verschlüssele. Das System bootet dann nach Passworteingabe von /, wo das Keyfile für /home, sowie die crypttab zum entschlüsseln von /home mittels Keyfile und swap liegt.

Ein Passwort, aber trotzdem alles verschlüsselt. Und zudem kommt keiner ans Keyfile für /home, ohne das Passwort für / zu kennen

Ich mache genau das gleiche, nur mit dem Unterschied, dass mein / nicht verschluesselt ist und mein keyfile fuer alle weiteren Partitionen halt auf dem verschluesselten /home liegt.

Ich poste mal noch die relevanten Zeilen aus der fstab (ohne Swap, weil irrelevant), dann wirds vielleicht klarer:

/dev/mapper/home         /home             ext3 defaults 0 2
/dev/sda1                     /                 ext3 defaults 0 1
# /dev/mapper/datenpartition   /mnt/datenpartition   ext3 noauto,defaults 0 2

indianahorst

Okay, nachdem ich dem Problem weiter auf den Grund gegangen bin, habe ich festgestellt, dass das Entschluessen der Datenpartition mit dem keyfile von /home gar nicht funktionieren KANN. Weil:

Der Initprozess fragt ERST das Passwort fuer /home ab und versucht direkt danach, die Datenpartition mit dem keyfile zu decrypten. Kann er natuerlich nicht, weil aktuell nur / gemountet ist, das Mounten von /home und allen anderen Partitionen aber erst erfolgt, nachdem alle Eintraege in /etc/crypttab abgearbeitet sind. Weil aber /dev/sda4 nicht entschluesselt wurde und daher /dev/mapper/datenpartition nicht existiert, mault dann mount rum, weil es keinen Superblock auf /dev/mapper/datenpartition finden kann.

Die Abfolge ist also folgendermassen:
1) Eintrag

home                     /dev/sda3         ASK

in /etc/crypttab wird aufgerufen
2) Passwortabfrage fuer home
3) /dev/mapper/home wird angelegt
4) Eintrag

datenpartition            /dev/sda4        /home/username/keyfile.txt

wird aufgerufen (und scheitert am keyfile)
5) Dateisysteme werden gemountet, home wird eingehaengt, nun waere /home/username/keyfile.txt zugreifbar
6) das mounten von /dev/mapper/datenpartition scheitert, Superblock wird nicht gefunden => FAIL

Die Abfolge muesste aber folgendermassen sein, damit der Weg ueber die crypttab funktioniert:
1) Eintrag

home                     /dev/sda3         ASK

in /etc/crypttab wird aufgerufen
2) Passwortabfrage fuer home
3) /dev/mapper/home wird angelegt
4) /dev/mapper/home wird als /home eingehaengt, nun ist /home/username/keyfile.txt lesbar
5) Eintrag

datenpartition            /dev/sda4        /home/username/keyfile.txt

in crypttab wird aufgerufen und /dev/mapper/datenpartition wird mit dem Schluessel aus /home/username/keyfile.txt angelegt
6) /dev/mapper/datenpartition wird nach /mnt/datenpartition gemountet

Da man zur Aenderung dieser Abfolge aber wohl ziemlich tief in den Initskripten herumpfuschen muesste, lasse ich das besser und bleibe bei meiner Methode mit rc.local. Bleibt die Frage aus meinem ersten Posting oben, wie man, nachdem der Initprozess rc.local ausgefuehrt hat, wieder einen Login-Prompt kriegt.