• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

GELOEST! Problem mit OpenSUSE 10.3 + verschlüsselter root

linux0r

Member
Hallo Forum,

habe nach dieser Anleitung:

http://en.opensuse.org/Encrypted_Root_File_System_with_SUSE_HOWTO

und einmal nach dieser Anleitung:

http://shappyhopper.co.uk/b2154/encryptedopensuse10.3.cgi

versucht meine root Partition zu verschluesseln.

Mit openSUSE 10.2 und der mkinitrd von hier:

http://www.it.neclab.eu/~greg/linux/mkinitrd-lerfs.tar.gz

hat das alles prima geklappt, nur mit der 10.3 habe ich nun das immer wiederkehrende Problem das ich einfach nicht nach einem Passwort gefragt werde.

Einziger Unterschied zu den Anleitungen und dem was ich mache ist der, das ich nicht den standard Cipher verwende (was allerdings mit 10.2 und oben genannter mkinitrd kein Problem war).

Hat jemand eine Idee hierzu oder eine Anleitung die wirklich funktioniert?

Seltsam ist auch der Unterschied zwischen den beiden oben genannten Anleitungen. Einmal mit /etc/crypttab und einmal eben nicht.

Soll denn beides funktionieren?

Vielen Dank schonmal fuer die vielen hilfreichen Tipps & Tricks ;)

Gruesse

linux0r
 
OP
L

linux0r

Member
also habe herausgefunden das folgendes HowTo http://en.opensuse.org/Encrypted_Root_File_System_with_SUSE_HOWTO nicht ganz korrekt ist.

Beim erstellen der initrd muss man nicht nur

Code:
mkinitrd -d /dev/mapper/root

sondern

Code:
mkinitrd -f "dm luks" -d /dev/mapper/root

angeben sonst wird man nicht nach einem Passwort gefragt.

Soweit so gut, nur habe ich nun ein neues Problem :p

Also, Passwortabfrage kommt, dann gebe ich das PW ein. Wenn ich das PW eingeben habe folgt danach diese Fehlermeldung:

Code:
device-mapper: table 253:0:crypt: Error allocating crypto tfm
device-mapper: ioctl: error adding target to table
device-mapper: ioctl: device doesn't appear to be in dev hash table
Check kernel for support for the aes-lrw-benbi cipher spec and verify that /dev/sda3 contains at least 258 sectors.

Danach habe ich versucht die initrd mit den Modulen zu erstellen (welche ich zum verschl. verwendet habe)

Code:
mkinitrd -f "dm luks" -m "aes_i586 sha256" -d /dev/mapper/root

dann kommt wieder keine Passwortabfrage, dafuer ein neuer Fehler:

Code:
Command failed: can't get device information

Danach kann ich noch nichtmal mehr in die unverschluesselte Partition booten :(

Hat evtl. jemand nen Tipp/Loesung fuer mich, bin ratlos.

Gruesse

linux0r
 

jpmmuc

Newbie
linux0r schrieb:
Beim erstellen der initrd muss man

Code:
mkinitrd -f "dm luks" -d /dev/mapper/root

angeben sonst wird man nicht nach einem Passwort gefragt.

Code:
device-mapper: table 253:0:crypt: Error allocating crypto tfm
device-mapper: ioctl: error adding target to table
device-mapper: ioctl: device doesn't appear to be in dev hash table
Check kernel for support for the aes-lrw-benbi cipher spec and verify that /dev/sda3 contains at least 258 sectors.


Hat evtl. jemand nen Tipp/Loesung fuer mich, bin ratlos.

Gruesse

linux0r

Die Fehlermeldung besagt, dass noch Module fehlen um die Partition zu entschlüsseln. Das liegt mit daran, dass im neuen Kernel einige Module die vorher eincompiliert waren nun als Modul eingestellt sind.

D.h. mit Yast2 im Sysconfig Editor:

Code:
YaST -> System -> Editor für /etc/sysconfig-Dateien -> System -> Kernel -> INITRD_MODULES

die Module

Code:
dm-mod dm-crypt aes-i586 lrw blkcipher

mit jeweils einem Leerzeichen getrennt ergänzen (auf doppelte Einträge prüfen).

:!: Ich bin mir nicht sicher ob lrw-benbi a) lrw heisst und b) nur lrw oder auch noch sha256 benötigt, ich habe es aus deiner Fehlermeldung ausgelesen. Also am besten mit modprobe testen, ob es sich laden lässt.

BTW: im Gentoo Wiki (http://de.gentoo-wiki.com/DM-Crypt) stand noch folgender Hinweis:

Vorsicht: xfs auf aes-lrw-benbi auf einem software raid 6 zerstört stillschweigend Dateiinhalte. Bei cbc-essiv tritt dieses Problem nicht auf (beobachtet bis Kernel gentoo-sources-2.6.23-r6 und mm-sources-2.6.24_rc8-r1)

Gruß,
JpmMuc.

Edit: 11.02.2008
 
OP
L

linux0r

Member
Hi,

danke fuer deine Tipps!! Hat super geklappt. Das LRW-Modul heisst wirklich lrw. Habe die Module nachgesehen nachdem ich die neue root Platte encryptet und gemountet hatte.

Code:
cat /proc/crypto | grep module

Gruesse

linux0r
 
Oben