Arch Linux

Passwortabfrage unter systemd

BlauBeer

benutzte seit kurzem systemd und wollte dann auch gleich die rc.local auflösen; der Eintrag der mir Schwierigkeiten bereitet ist der:

/sbin/losetup -f /mnt/newHome && /usr/sbin/cryptsetup create newHome /dev/loop0 && /bin/mount /home/user

folgendes hab ich ausprobiert, aber beim booten hab ich nie die Möglichkeit das Passwort einzugeben:

xinit.service

[Unit]
Description=Direct login to X
After=decryptHome.service
Requires=decryptHome.service

[Service]
ExecStart=/bin/su user -l -c "/bin/bash --login -c xinit"

[Install]
WantedBy=graphical.target

decryptHome.service

[Unit]
Description=Mounts the decrypted home

[Service]
Type=oneshot
ExecStartPre=/sbin/losetup -f /mnt/newHome
ExecStart=/usr/sbin/cryptsetup create newHome /dev/loop0
ExecStartPost=/bin/mount /home/user

[Install]
WantedBy=graphical.target

# systemctl status decryptHome.service 
decryptHome.service - Mounts the decrypted home
	  Loaded: loaded (/etc/systemd/system/graphical.target.wants/decryptHome.service)
	  Active: failed (Result: exit-code) since Tue, 04 Sep 2012 12:38:43 +0200; 3s ago
	 Process: 1606 ExecStart=/usr/sbin/cryptsetup create newHome /dev/loop0 (code=exited, status=1/FAILURE)
	 Process: 1601 ExecStartPre=/sbin/losetup -f /mnt/newHome (code=exited, status=0/SUCCESS)
	  CGroup: name=systemd:/system/decryptHome.service

edit:

hab nun eine bessere Idee, die leider auch (noch) nicht funktioniert:

$ cat /etc/crypttab
newHome /dev/loop0

$ cat /etc/systemd/system/cryptsetup.target.requires/decrypt.service
[Unit]
Description=Creats loop devices (used in /etc/crypttab)

[Service]
Type=oneshot
ExecStart=/sbin/losetup -f /mnt/newHome

[Install]
Before=cryptsetup.target
RequiredBy=cryptsetup.target

$ cat /etc/fstab 
/dev/sda5 	/ 	ext4 		defaults,relatime			0 	1
tmpfs		/tmp	tmpfs		nodev,nosuid,noexec			0	0
/dev/sda2 	/boot 	ext2 		nodev,nosuid,noexec,ro,relatime		0 	1
/dev/sda1	/mnt/7	ntfs		nodev,nosuid,noexec,noauto,rw		0	0

/dev/mapper/newHome /home/user 	ext4 nosuid,nodev,noexec,noauto		0	0

nun ist aber das Problem, dass nachdem die /tmp und die /boot Partition gemounted wird der Startvorgang "einfriert" (zu diesem Zeitpunkt hab ich noch kein Passwort eingegeben)

BlauBeer

mittlerweile weiß ich zumindest was icht funktioniert - /etc/systemd/system/cryptsetup.target.requires/decrypt.service wird vermutlich nicht ausgeführt:

[/etc/systemd/system/cryptsetup.target.requires/decrypt.service:10] Unknown lvalue 'Before' in section 'Install'. Ignoring.
..
Found ordering cycle on basic.target/start
Walked on cycle path to sysinit.target/start
Walked on cycle path to cryptsetup.target/start
Walked on cycle path to decrypt.service/start
Walked on cycle path to basic.target/start
Breaking ordering cycle by deleting job cryptsetup.target/start

aber Before=....target ist doch eignetlich in Ordnung, oder?

und losetup sagt, dass auch keine loop-devices angelegt worden sind, demenstsprechend machen auch die Meldungen während dem booten Sinn:

Expecting device dev-mapper-newHome.device...
Expecting device dev-loop0.device...

mannohneschuh

Before= gehört nicht nach [nstall], sondern nach [Unit].

BlauBeer

danke, jetzt wird das Before schonmal nicht ignoriert, aber trotzdem existiert noch der Zyklus der von Systemd aufgelöst wird, indem cryptsetup.target/start und somit auch nicht decrypt.service ausgeführt - wobei mir nicht klar ist wiso decrypt.service auf basic.target verweißt ("Walked on cycle path to basic.target/start")

edit:

die Zyklus hab ich jetzt behoben (war wegen der DefaultDependency):

[Unit]
Description=Creats loop devices (used in /etc/crypttab)
Before=cryptsetup.target
After=dev-sda5.device
Requires=dev-sda5.device
DefaultDependencies=false

[Service]
Type=oneshot
ExecStart=/sbin/losetup -f /mnt/newHome

[Install]
RequiredBy=cryptsetup.target

das(After=dev-sda5.device, Requires=dev-sda5.device) brauche ich (?) damit die root Partition bereits zur verfügung steht - nun wird decrypt.service ausgeführt und /dev/loop0 angelegt, theoretisch sollte nun cryptsetup.service in der /etc/crypttab anchschauen und mach dann nach einem Passwort fragen - so wie es aussieht (siehe unten), schaut cryptsetup.service auch in der crypttab nach, aber die Passwort abfrage fehlt --> timeout

Job dev-loop0.device/start timed out.
Job cryptsetup.target/start failed with result 'dependency'.
Job xinit.service/start failed with result 'dependency'.
Job dev-mapper-newHome.device/start failed with result 'dependency'.
Job systemd-cryptsetup@newHome.service/start failed with result 'dependency'.
Job dev-loop0.device/start failed with result 'timeout'.
Job dev-loop0.device/start timed out.
Job systemd-cryptsetup@newHome.service/start failed with result 'dependency'.
Job dev-loop0.device/start failed with result 'timeout'.

/etc/crypttab

# <name>       <device>         <password>	<options>
newHome		/dev/loop0	none		cipher=aes-cbc-essiv:sha256,size=256

So wie ich (http://www.freedesktop.org/software/systemd/man/systemd-cryptsetup@.service.html) das verstehe müsste systemd-cryptsetup@.service eigenständig einen Passwort-Agent starten und mich dann nach dem Passwort fragen

mannohneschuh

http://www.freedesktop.org/wiki/Software/systemd/PasswordAgents
… bringt mich auch nicht weiter

BlauBeer

mannohneschuh schriebhttp://www.freedesktop.org/wiki/Software/systemd/PasswordAgents
… bringt mich auch nicht weiter

da bist du leider nicht der einzigste ;-)

wenn ich Zeit habe werde ich mal versuchen einfach die Datei in eine leere Partition zu dd'en und mal schauen, ob es wenigstens auf dem direktem Weg - ohne Umweg über /dev/loop geht - hoffe aber das sich noch eine bessere Lösung findet

mannohneschuh

You may test this all with manually invoking the "systemd-ask-password" tool on the command line. Pass --no-tty to ensure the password is asked via the agent system. Note that only privileged users may use this tool (after all this is intended purely for system-level passwords).

wäre ja mal noch ein versuch wert…

BlauBeer

hab ich nun mal ausprobiert:

# cat /etc/systemd/system/cryptsetup.target.wants/askPasswd.service 
[Unit]
Description=Asks for the passphrases
DefaultDependencies=false
After=decrypt.service
Requires=decrypt.service

[Service]
ExecStart=/usr/bin/systemd-ask-password --no-tty "Enter passphrase:"

[Install]
WantedBy=cryptsetup.target

# cat /etc/systemd/system/cryptsetup.target.requires/decrypt.service 
[Unit]
Description=Creats loop devices (used in /etc/crypttab)
Before=cryptsetup.target
After=-.mount
Requires=-.mount
DefaultDependencies=false

[Service]
Type=oneshot
ExecStart=/sbin/losetup -f /mnt/newHome

[Install]
RequiredBy=cryptsetup.target

ich kann nun ein Passwort eingeben, allerdings ändert es leider nichts an der Sache

was auch komisch ist, es wird zweimal ein loop-Device für /mnt/newHome erzeugt - was mich aber überrascht hat, ist, dass das eingegebene Passwort in klartext im journal auftaucht (durch xxxxx ersetzt)!!

Sep 06 14:21:22 jellyfish systemd[1]: systemd 189 running in system mode. (+PAM -LIBWRAP -AUDIT -SELINUX -IMA -SYSVINIT +LIBCRYPTSETUP +GCRYPT +ACL +XZ; arch)
Sep 06 14:21:22 jellyfish systemd[1]: Inserted module 'autofs4'
Sep 06 14:21:22 jellyfish systemd[1]: could not find module by name='ipv6'
Sep 06 14:21:22 jellyfish systemd[1]: Failed to insert 'ipv6'
Sep 06 14:21:22 jellyfish systemd[1]: Set hostname to <jellyfish>.
Sep 06 14:21:22 jellyfish systemd[1]: Cannot add dependency job for unit display-manager.service, ignoring: Unit display-manager.service failed to load: No such file or directory. See system logs and 'systemctl status display-manager.service' for details.
Sep 06 14:21:22 jellyfish systemd-udevd[78]: starting version 189
Sep 06 14:21:22 jellyfish systemd-journal[88]: Journal started
Sep 06 14:21:22 jellyfish systemd-fsck[74]: /dev/sda5: clean, 204214/11427840 files, 28363470/45683968 blocks
Sep 06 14:21:23 jellyfish systemd-fsck[154]: /dev/sda5: clean, 204214/11427840 files, 28363470/45683968 blocks
Sep 06 14:21:25 jellyfish systemd-fsck[194]: /dev/sda2: clean, 335/24096 files, 37353/97280 blocks
Sep 06 14:21:34 jellyfish systemd-ask-password[141]: xxxxxxx
Sep 06 14:22:50 jellyfish systemd[1]: Job dev-loop0.device/start timed out.
Sep 06 14:22:50 jellyfish systemd[1]: Job xinit.service/start failed with result 'dependency'.
Sep 06 14:22:50 jellyfish systemd[1]: Job dev-mapper-newHome.device/start failed with result 'dependency'.
Sep 06 14:22:50 jellyfish systemd[1]: Job cryptsetup.target/start failed with result 'dependency'.
Sep 06 14:22:50 jellyfish systemd[1]: Job systemd-cryptsetup@newHome.service/start failed with result 'dependency'.
Sep 06 14:22:50 jellyfish systemd[1]: Job dev-loop0.device/start failed with result 'timeout'.
Sep 06 14:22:52 jellyfish systemctl[235]: Failed to issue method call: Unit systemd-ask-password-plymouth.path not loaded.
Sep 06 14:22:52 jellyfish systemctl[235]: Failed to issue method call: Unit systemd-ask-password-plymouth.service not loaded.
Sep 06 14:22:52 jellyfish systemd-logind[220]: New seat seat0.
Sep 06 14:22:52 jellyfish systemd-logind[220]: Watching system buttons on /dev/input/event3 (Power Button)
Sep 06 14:22:52 jellyfish systemd-logind[220]: Watching system buttons on /dev/input/event4 (Video Bus)
Sep 06 14:22:52 jellyfish systemd-logind[220]: Watching system buttons on /dev/input/event2 (Power Button)
Sep 06 14:22:52 jellyfish systemd-logind[220]: Watching system buttons on /dev/input/event0 (Lid Switch)
Sep 06 14:22:52 jellyfish systemd-logind[220]: Watching system buttons on /dev/input/event1 (Sleep Button)

edit:

hab nun eine verschlüsselte Partition angelegt und getestet ob diese mit systemd und /etc/cryptsetup richtig eingebunden wird, und ja das hat prime geklappt (einen eigenen service für das Abfragen des Passwortes bracuht man nicht - wird automatische gestartet) - das kann dann eingeltich nur eins heißen, dass das loop device zu spät erstellt wird und somit keine automatische Passwortabfrage kommt

edit2:

so nun brauch ich keine loop-devices mehr, hab jetzt die beiden Dateien auf eine Partition "dd't" und nun geht das echt gut - man braucht nur den Eintrag in der /etc/crypttab und den Rest macht systemd - vorrausgesetzt die Devices sind vorhanden!