Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

[gelöst]benötige Hilfe zu dm-crypt (suse 10.2)

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
Benutzeravatar
Linuxler
Member
Member
Beiträge: 129
Registriert: 13. Aug 2005, 20:37

[gelöst]benötige Hilfe zu dm-crypt (suse 10.2)

Beitrag von Linuxler » 24. Jun 2007, 11:32

hallo,

meine Ziel: vorerst eine leere Partition unter suse 10.2 probeweise mit dm-crypt zu verschlüsseln.

gemacht hab ich bis jetzt folgendes:
MODULES_LOADED_ON_BOOT="dm-crypt aes-i586" eingetragen
cryptsetup -c aes-cbc-essiv:sha256 -s 256 -y luksFormat /dev/hda4
passwort vergeben
luksOpen durchgeführt
mit ext3 formatiert
usw.....(funktioniert alles gemäß WIKI)


Problem: wenn ich den Rechner neustarte, bleibt er hängen bei irgendwas mit "mkfs" und "failed". Zudem soll ich zu diesem Zeitpunkt das Passwort für root eingeben, um das Problem mit hda4 manuell zu beheben.

dasselbe Problem hab ich übrigens auch mit Truecrypt. Bis jetzt hab ich dann halt immer die hda4 neu partitioniert damit der rechner wieder durchstartet.


(Fernziel wäre übrigens, die Verschlüsselung der meisten Daten und einer Passwortabfrage beim Booten (voraussichtlich wohl mittels pam-mount, aber ohne USB -Stick)

danke für die Hilfe
Linuxler
Zuletzt geändert von Linuxler am 5. Jul 2007, 20:35, insgesamt 1-mal geändert.

Werbung:
Benutzeravatar
robi
Moderator
Moderator
Beiträge: 3159
Registriert: 25. Aug 2004, 02:13

Re: benötige Hilfe zu dm-crypt (suse 10.2)

Beitrag von robi » 24. Jun 2007, 12:10

Linuxler hat geschrieben: Problem: wenn ich den Rechner neustarte, bleibt er hängen bei irgendwas mit "mkfs" und "failed". Zudem soll ich zu diesem Zeitpunkt das Passwort für root eingeben, um das Problem mit hda4 manuell zu beheben.

(Fernziel wäre übrigens, die Verschlüsselung der meisten Daten und einer Passwortabfrage beim Booten
Linuxler hat geschrieben: ......
usw.....(funktioniert alles gemäß WIKI)
......
ist sehr hilfreich, da jeder genau sehen kann welche Anweisung du nun genau befolgt hast. :evil:

scheinbar ist die Partition in /etc/fstab eingetragen und dort mit Option auto oder default und einem Wert ungleich 0 im sechsten Feld , das heißt es soll ein fsck gemacht werden, der natürlich an dieser Stelle nicht funktionieren kann.

Such mal nach crypttab zum Beispiel hier http://www.linux-club.de/faq/Spezial:Se ... go=Artikel

robi

jengelh
Guru
Guru
Beiträge: 4039
Registriert: 20. Nov 2004, 17:42
Kontaktdaten:

Beitrag von jengelh » 24. Jun 2007, 16:33

Muss das nicht cryptotab heißen? Ich mag mich erinnern, dass yast die Datei so benennt (also mit einem "o").

Benutzeravatar
robi
Moderator
Moderator
Beiträge: 3159
Registriert: 25. Aug 2004, 02:13

Beitrag von robi » 24. Jun 2007, 17:33

jengelh hat geschrieben:Muss das nicht cryptotab heißen? Ich mag mich erinnern, dass yast die Datei so benennt (also mit einem "o").
Jetzt hast du mich fast auf dem falschem Fuß erwischt, musste selbst noch mal googeln :wink:
Es gibt wirklich beide Dateien, gehören aber zu unterschiedlichen Konzepten.
Wenn ich das auf die Schnelle richtig gesehen habe ist es mit "o" loopbasierend und ohne "o" über den Device-Mapper.

robi

b3ll3roph0n
Moderator
Moderator
Beiträge: 3669
Registriert: 4. Dez 2005, 13:17
Kontaktdaten:

Beitrag von b3ll3roph0n » 24. Jun 2007, 18:28

Die /etc/crypttab wird von Distributionen wie z.B. Debian, Arch, etc. verwendet, die cryptsetup (inkl. luks) standardmäßig verwenden.

Die /etc/cryptotab wird von SUSE für die Verschlüsselung via cryptoloop verwendet.

Wenn du mit "laut WIKI" diesen Artikel (Verschlüsselung: dm-crypt/luks unter openSUSE) meinst, poste bitte

Code: Alles auswählen

cat /etc/crypttab
cat /etc/fstab
sowie

Code: Alles auswählen

ls -las /etc/init.d/boot.cryptdisks
Gruß b3ll3roph0n
--
Denken hilft!

Ich beantworte keine Support-Anfragen per PN.
Für alle meine Beiträge gelten, außer bei Zitaten, die Creative Commons.

Benutzeravatar
Linuxler
Member
Member
Beiträge: 129
Registriert: 13. Aug 2005, 20:37

Beitrag von Linuxler » 24. Jun 2007, 21:13

sorry für meine mangelnde Angaben, hier mein genaues Vorgehen (laut dieser Anleitung:http://www.linux-club.de/faq/Mit_dm-cry ... _einbinden):

zur Verfügung steht mir eine leere Partition hda4
MODULES_LOADED_ON_BOOT="dm-crypt aes-i586" eingetragen
cryptsetup -c aes-cbc-essiv:sha256 -s 256 -y luksFormat /dev/hda4
Passwort gesetzt
cryptsetup luksOpen /dev/hda4 safe
mit Ext3 formatiert (mkfs.ext3 anstelle von mkfs.xfs, ev. hier der Fehler?)
mounten geht
umounten auch
cryptsetup luksClose safe

# /sbin/mount.crypt....
# /sbin/umount.crypt....
funktionieren auch

anscheinend gibts Unterschiede in den 2 Anleitungen:
http://www.linux-club.de/faq/Verschlüss ... r_openSUSE
http://www.linux-club.de/faq/Mit_dm-cry ... _einbinden

werd das noch probieren.
crypttab existiert bei mir nicht

Gruss Linuxler

joka
Member
Member
Beiträge: 94
Registriert: 17. Mai 2005, 23:33
Wohnort: München

Re: benötige Hilfe zu dm-crypt (suse 10.2)

Beitrag von joka » 24. Jun 2007, 21:43

Linuxler hat geschrieben:MODULES_LOADED_ON_BOOT="dm-crypt aes-i586" eingetragen

(Fernziel wäre übrigens, die Verschlüsselung der meisten Daten und einer Passwortabfrage beim Booten (voraussichtlich wohl mittels pam-mount, aber ohne USB -Stick)
Dieser Tip stammt wohl aus meinem Artikel, der sich aber damit beschäftigt, wie eine verschlüselte dm-crypt-Partition beim User-Login (und eben nicht während des Bootens) ohne zweite Passwortabfrage eingebunden werden kann. pam-mount wird auch nur beim Login und Logout aufgerufen.

Das Einbinden von dm-crypt-Partionen während des Bootens wird in b3ll3roph0n's Artikel beschrieben. Sein Bootskript boot.cryptdisks lädt übrigens selbst schon die Kernelmodule aes und dm-crypt und wertet die Datei /etc/crypttab (nicht /etc/cryptotab wie bei Standard-SUSE) aus.

P.S.: Wenn ich das Skript und den Artikel richtig verstanden habe, müsste man damit die swap und /tmp-Partition verschlüsselt mit einem zufällig generierten Key (aus /dev/urandom) und ohne Passwortabfrage beim Booten einbinden können?
MacBook 2,1: CD 2.16GHz / Intel 945GM / 2GB RAM / 160GB HDD / OS X 10.6 / Scientific Linux 6 (GNOME2)
EeePC 701: Scientific Linux 6 (Server & WLAN-Router)

b3ll3roph0n
Moderator
Moderator
Beiträge: 3669
Registriert: 4. Dez 2005, 13:17
Kontaktdaten:

Beitrag von b3ll3roph0n » 24. Jun 2007, 23:04

@Linuxler
Du solltest dich erstmal für eine der beiden Methoden entscheiden!
Wenn du beide Artikel durcheinander verwendest, wird eine Fehlersuche nur schwer möglich sein.

joka hat geschrieben:Das Einbinden von dm-crypt-Partionen während des Bootens wird in b3ll3roph0n's Artikel beschrieben. Sein Bootskript boot.cryptdisks lädt übrigens selbst schon die Kernelmodule aes und dm-crypt und wertet die Datei /etc/crypttab (nicht /etc/cryptotab wie bei Standard-SUSE) aus.
Vollkommen richtig!
/etc/crypttab als Konfigurationsdatei hab ich gewählt, weil crypttab der Standard bei Distributionen ist die cryptsetup (luks) verwenden.
(Kann eigentlich auch beliebig gewählt werden - dazu muss nur die entsprechende Variable im Bootscript angepasst werden)
joka hat geschrieben:P.S.: Wenn ich das Skript und den Artikel richtig verstanden habe, müsste man damit die swap und /tmp-Partition verschlüsselt mit einem zufällig generierten Key (aus /dev/urandom) und ohne Passwortabfrage beim Booten einbinden können?
swap: Ja.
/tmp: Nein.
Dafür müsste das Bootscript entsprechend angepasst werden:
- Unterscheidung anhand des Keyfiles (Momentan: Dateisystem swap <> andere).
- Die "neue" Partition entsprechend formatieren (Momentan: nur swap - mkswap, swapon)
Gruß b3ll3roph0n
--
Denken hilft!

Ich beantworte keine Support-Anfragen per PN.
Für alle meine Beiträge gelten, außer bei Zitaten, die Creative Commons.

jengelh
Guru
Guru
Beiträge: 4039
Registriert: 20. Nov 2004, 17:42
Kontaktdaten:

Beitrag von jengelh » 25. Jun 2007, 10:21

Tatsache... der yast-Partitioner macht mir ein crypttab :-)

Benutzeravatar
Linuxler
Member
Member
Beiträge: 129
Registriert: 13. Aug 2005, 20:37

Beitrag von Linuxler » 25. Jun 2007, 11:39

jetzt hatts geklappt, der Rechner startet durch, gemacht habe ich folgendes:
die fstab angepasst (laut http://www.linux-club.de/faq/Verschl%C3 ... r_openSUSE)

und dies alles ausgeführt
mkfs.ext3................
tune2fs ....................
tune2fs ......................
tune2fs ....................
e2fsck .....................


auf welche Art ich die verschlüsselten Partitionen dann wirklich einbinden werde weiss ich noch nicht, muss erst probieren. Vorerst mach ichs mal manuell


inzwischen mal danke
Gruss Linuxler

Benutzeravatar
Linuxler
Member
Member
Beiträge: 129
Registriert: 13. Aug 2005, 20:37

Beitrag von Linuxler » 29. Jun 2007, 18:59

hmm, nachdem ich nun das Einbinden der verschlüsselten Partition mit pam_mount hinbekommen habe, bin ich bei der Frage angelangt:

was muss denn alles verschlüsselt werden? homeverzeichnis ist klar, swap auch, aber wie siehts denn mit LOG-files und anderen ev. auch temporären Files aus? wo sind denn noch Daten unter Linux die auch verschlüsselt sein sollen? Schließlich möchte ich alle Daten verschlüsseln, die irgendwie was über den Benutzer protokolieren und dgl.

davon hängt ja auch ab, welche Methode ich benutzen kann zum Einbinden der verschlüsselten Partitionen...oder vielleicht anders: welche Verzeichnisse verschlüsselt ihr?

vielen Dank
Linuxler

joka
Member
Member
Beiträge: 94
Registriert: 17. Mai 2005, 23:33
Wohnort: München

Beitrag von joka » 29. Jun 2007, 22:25

Linuxler hat geschrieben:was muss denn alles verschlüsselt werden? homeverzeichnis ist klar, swap auch, aber wie siehts denn mit LOG-files und anderen ev. auch temporären Files aus? wo sind denn noch Daten unter Linux die auch verschlüsselt sein sollen? Schließlich möchte ich alle Daten verschlüsseln, die irgendwie was über den Benutzer protokolieren und dgl.
In den meisten Artikeln zu diesem Thema, die ich gelesen habe, werden außer der Home-Partition die swap- und /tmp-Partition genannt. Bei Debian und Ubuntu ist es möglich, diese Partitionen mit einem zufällig beim Systemstart automatisch generierten Passwort zu verschlüsseln, bei openSUSE muss man wohl noch etwas basteln (siehe Posting von b3ll3roph0n). Dann fiele mir noch das Verzeichnis /var/spool/cups ein, dass die Druckaufträge enthält. Alles weitere hängt davon ab, welche Anwendungen installiert sind (Datenbank z.B.) und welche Sicherheitsansprüche man hat. Möchtest Du beispielsweise auch die Information geheim halten, wer sich wann ein- und ausgeloggt hat, dann müsste auch das /var/log-Verzeichnis verschlüsselt werden. Auf der sicheren Seite wäre man nur mit der Verschlüsselung des Root-Dateisystem; ob das bei openSUSE mit vertretbaren Aufwand möglich ist, wage ich zu bezweiflen (dafür wäre Debian, Ubuntu oder Gentoo besser geeignet).

[quote:ddc7835102="ezeichneten Artikels Encrypted Root File System with SUSE HOWTO ist die Verschlüsselung des Root-Filesystems doch für jeden aufmerksamen Leser machbar.
Linuxler hat geschrieben:davon hängt ja auch ab, welche Methode ich benutzen kann zum Einbinden der verschlüsselten Partitionen...oder vielleicht anders: welche Verzeichnisse verschlüsselt ihr?
Mir persönlich genügt die Verschlüsselung des Homeverzeichnisses, evtl. würde ich noch Swap und /tmp verschlüsseln. Zusätzlich lege ich die Banking-Dateien für GnuCash (inklusive ~/.banking) in einer mit cryptoloop verschlüsselten Containerdatei ab, die bei Bedarf automatisch gemountet und wieder ausgehängt wird. Auch die Backupdateien des Homeverzeichnisses lasse ich mit gpg verschlüsseln.
Zuletzt geändert von joka am 19. Nov 2007, 19:15, insgesamt 2-mal geändert.
MacBook 2,1: CD 2.16GHz / Intel 945GM / 2GB RAM / 160GB HDD / OS X 10.6 / Scientific Linux 6 (GNOME2)
EeePC 701: Scientific Linux 6 (Server & WLAN-Router)

Blackscreen
Member
Member
Beiträge: 123
Registriert: 6. Mai 2006, 20:27

Beitrag von Blackscreen » 30. Jun 2007, 22:25

joka hat geschrieben:... Auf der sicheren Seite wäre man nur mit der Verschlüsselung des Root-Dateisystem; ob das bei openSUSE mit vertretbaren Aufwand möglich ist, wage ich zu bezweiflen ...
Wie das geht steht hier. Im Prinzip machst du eine normale Installation auf eine temporäre Partition, verschlüsselst dann die Partition auf die du eigentlich installieren willst und kopierst deine Installation rüber - /boot muss auf einer eigenen, unverschlüsselten Partition sein. Abschließend lädst du dir das modifizierte mkinitrd Skript runter (gibts auch für 10.2) und lässt dir eine neue initrd generieren, die während des Bootvorgangs nach den Passwörtern für die verschlüsselten Partitionen fragt.
joka hat geschrieben:... Zusätzlich lege ich die Banking-Dateien für GnuCash (inklusive ~/.banking) in einer mit cryptoloop verschlüsselten Containerdatei ab, die bei Bedarf automatisch gemountet und wieder ausgehängt wird. ...
Kannst du bitte kurz umreißen wie du das mit dem automatisch mounten und aushängen gemacht hast?

joka
Member
Member
Beiträge: 94
Registriert: 17. Mai 2005, 23:33
Wohnort: München

Beitrag von joka » 1. Jul 2007, 00:16

Blackscreen hat geschrieben: Kannst du bitte kurz umreißen wie du das mit dem automatisch mounten und aushängen gemacht hast?
Ist vielleicht etwas missverständlich ausgedrückt. Das Prinzip ist aber ganz einfach: für GnuCash habe ich ein Startskript geschrieben, in dem die Cryptocontainerdatei zuerst gemountet wird, dann wird gnucash aufgerufen und nach Beendigung wieder umount aufgerufen:

Code: Alles auswählen

#!/bin/bash
umask 077
gmount-crypto $HOME/Safe \
&& gnucash \
|| exit 1
sleep 5
umount $HOME/Safe
Die Containerdatei habe ich mit Yast erzeugt mit den Mount-Optionen user und noauto, um das Mounten und damit Passwordabfrage beim Booten zu vermeiden.* Der entsprechende Eintrag in /etc/fstab sieht so aus:

Code: Alles auswählen

/home/joka/.safe /home/joka/Safe  ext3 loop=/dev/loop0,encryption=twofish256,user,noauto,acl,user_xattr 0 0
Voraussetzung ist natürlich, dass alle Daten im ~/Safe liegen. Ggf. müssen Verzeichnisse verlinkt werden, bei GnuCash (und anderen Tools, die AqBanking nutzen) also "~/.banking -> Safe/.banking"
gmount-crypto ist ein selbst geschriebenes Tcl-Skript, um in einem Dialog das Password abzufragen und per mount -p0 weiterzureichen. Ein einfacher "mount $HOME/Safe" Befehl tut's natürlich auch, dann müsste das Password aber in einem Terminalfenster eingegeben werden. Mit GNOME habe ich dann noch einen Starter angelegt, um GnuCash per Doppelklick auf ein Icon starten zu können.

*Achtung: man muss selber das Kernelmodul cryptoloop in MODULES_LOADED_ON_BOOT der Datei /etc/sysconfig/kernel eintragen. Das mach Yast nicht automatisch!
MacBook 2,1: CD 2.16GHz / Intel 945GM / 2GB RAM / 160GB HDD / OS X 10.6 / Scientific Linux 6 (GNOME2)
EeePC 701: Scientific Linux 6 (Server & WLAN-Router)

Benutzeravatar
Linuxler
Member
Member
Beiträge: 129
Registriert: 13. Aug 2005, 20:37

Beitrag von Linuxler » 2. Jul 2007, 16:28

encryptet root file system klingt interessant, das werd ich mal ausprobieren, mal schaun obs klappt. Apropo, was passiert denn mit einem verschlüsselten filesystem, wenn der Strom ausfällt?

Linuxler

jengelh
Guru
Guru
Beiträge: 4039
Registriert: 20. Nov 2004, 17:42
Kontaktdaten:

Beitrag von jengelh » 4. Jul 2007, 15:50

Generell das gleiche als wenn es nicht gecryptet wäre, da es keine Metadaten im Cryptolayer gibt, die zurückgeschrieben werden müssten.

Benutzeravatar
Linuxler
Member
Member
Beiträge: 129
Registriert: 13. Aug 2005, 20:37

Beitrag von Linuxler » 5. Jul 2007, 20:33

so, Erfolgsmeldung:

hab es hinbekommen, Linux (ausgenommen Bootpartition) mittels dieses Tutorials:
http://en.opensuse.org/Encrypted_Root_F ... SUSE_HOWTO
vollständig zu verschlüsseln.
neben einigen Anfängerfehlern was ich gemacht habe, scheints auch nicht so schwierig zu sein.

folgende Schritte hab ich umändern müssen, damit ichs hinbekommen habe:

-------------------
/sbin/mkfs.reiserfs -j /dev/mapper/root /dev/mapper/root
in
/sbin/mkfs.ext3 -j /dev/mapper/root
(entsprechend auch die Formatierung von /home)
-------------------

anstelle von
mkinitrd
muss immer
mkinitrd-1.2-149-lerfs
verwendet werden (diesen Teil runterladen und dieses shell für suse 10.2 verwenden)
-------------------

beim umkopieren des root-Verezeichnisses, nicht vergessen das CD bzw. DVD Laufwerk auszuräumen, sonst kopierts das alles mit und es dauert ewig (mir passiert, bin erst nachher drauf gekommen, weil auf der Rootpartition so wenig Platz war)
-------------------

original laut tutorial:
###The encrypted root partition
root (hd0,0)
kernel /vmlinuz root=/dev/hda3 vga=0x314 splash=silent showopts
initrd /initrd

für mich angepasst, je nach kernel was man hat:
###The encrypted root partition
title openSuse encrypted
root (hd0,0)
kernel /vmlinuz-2.6-18.2-34-default root=/dev/hda3 vga=0x314 splash=silent showopts
initrd /initrd-2.6-18.2.34-default
-------------------

damit mkinitrd-1.2-149-lerfs funktioniert muss die entsprechende Partition unbedingt schon gemappt worden sein, sonst bindet das Skript diese Partition nicht im Bootprozess ein (mich hatts bei der Swap erwischt)

-------------------

die guten von euch hätten diese Fehler sicher nicht gemacht ;) aber für mich war vieles nicht ganz logisch.
Interessant im Tutorial fand ich auch den Hinweis auf die mögliche Installation eines Trojaners in die Bootpartition, der die Passwörter auslesen könnte; überleg mir inzwischen, ob ich nicht auch noch den USB - Stick ausprobieren sollte.

Gruss Linuxler

Dolphon
Member
Member
Beiträge: 119
Registriert: 10. Nov 2005, 22:37

Beitrag von Dolphon » 14. Nov 2007, 15:09

Bevor ich jetzt einen neuen Thread eröffne hier meine Frage.

Ich wollte nach der Anleitung "dm-crypt/liks unter opensuse" meine Home und Swap Partion verschlüsseln.
Kann ich alles ohne Keyfile machen(entsprechende Stellen einfach weglassen?
Allso das beim booten ein Passwort eingegeben werden muss.

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste