LUKS-verschlüsselte Festplatte mit abgeleitetem Schlüssel automatisch einhängen

03/10/2014 - 16:20 von Florian Oppermann | Report spam
Hash: SHA1


Moin,

ich habe folgendes Setup vorliegen:

Auf /dev/sdb ist eine kleine boot-Partition und eine
LUKS-verschlüsselte Partition, auf der mittels LVM mein System und der
Swap liegen (vom Installer so eingerichtet). /dev/sda enthàlt eine
weitere LUKS-verschlüsselte (Daten-)Partition, die ich gerne beim
Start automatisch einbinden möchte.

Dazu habe ich mich an [1] orientiert. Die Entschlüsselung von
/dev/sda1 mit dem abgeleiteten Schlüssel funktioniert auch. Um das
ganze zu automatisieren habe ich in /etc/crypttab die zweite Zeile
hinzugefügt (sdd5_crypt = /dev/sdb5, die verschlüsselte LVM-Partition):


sdd5_crypt UUID=f37ce185-f3cc-433f-9640-d7fdf294e59a none luks
HDD_intern UUIDQ9d1c97-9078-4fd9-9a4e-c2fa8c5bb281 sdd5_crypt
luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived,noearly



Beim Bootvorgang werde ich nun wie gewohnt zunàchst nach der
Passphrase für die Systempartition gefragt, dann kommt jedoch


cryptsetup: sdd5_crypt set up successfully [ 10.504916]
systemd[1]:
[/run/systemd/generator/systemd-cryptsetup@HDD_intern.service:13]
Failed to add required mount for, ignoring: sdd5_crypt



und ich werde nach der Passphrase für die zweite Festplatte gefragt
(interessanterweise mit einem anderen Wortlaut: beim ersten Mal heißt
es „Please unlock disk sdd5_crypt:“, beim zweiten Mal „Please enter
passphrase for disk SAMSUNG_HD160JJ (HDD_intern)!“).

Die Option „noearly“ hatte ich hinzugefügt, weil ich vermutet hatte,
/lib sei evtl. noch nicht verfügbar. Eine dementsprechende
Fehlermeldung erscheint aber nicht (in welcher Logdatei könnte ich
nachsehen?).

Im Übrigen funktioniert das Entschlüsseln spàter mit

sudo cryptdisks_start HDD_intern


ohne Probleme.

Hat jemand Erfahrung damit und kann mir weiterhelfen?

Viele Grüße
Florian


[1] http://wiki.ubuntuusers.de/LUKS/Sch...lableitung




Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Archive: https://lists.debian.org/542EA750.5070901@flopwelt.de
 

Lesen sie die antworten

#1 Florian Oppermann
03/10/2014 - 17:00 | Warnen spam
Hash: SHA1

Kleiner Nachtrag: Der abgeleitete Schlüssel für HDD_intern wurde
*zusàtzlich* zum Passphrase-basierten Schlüssel hinzugefügt. Mit
letzterem muss ich momentan beim Booten die Platte entsperren.

Am 03.10.2014 um 15:40 schrieb Florian Oppermann:

Moin,

ich habe folgendes Setup vorliegen:

Auf /dev/sdb ist eine kleine boot-Partition und eine
LUKS-verschlüsselte Partition, auf der mittels LVM mein System und
der Swap liegen (vom Installer so eingerichtet). /dev/sda enthàlt
eine weitere LUKS-verschlüsselte (Daten-)Partition, die ich gerne
beim Start automatisch einbinden möchte.

Dazu habe ich mich an [1] orientiert. Die Entschlüsselung von
/dev/sda1 mit dem abgeleiteten Schlüssel funktioniert auch. Um das
ganze zu automatisieren habe ich in /etc/crypttab die zweite Zeile
hinzugefügt (sdd5_crypt = /dev/sdb5, die verschlüsselte
LVM-Partition):

sdd5_crypt UUIDó7ce185-f3cc-433f-9640-d7fdf294e59a none luks
HDD_intern UUIDQ9d1c97-9078-4fd9-9a4e-c2fa8c5bb281 sdd5_crypt
luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived,noearly



Beim Bootvorgang werde ich nun wie gewohnt zunàchst nach der
Passphrase für die Systempartition gefragt, dann kommt jedoch

cryptsetup: sdd5_crypt set up successfully [ 10.504916]
systemd[1]:
[/run/systemd/generator/:13]






Failed to add required mount for, ignoring: sdd5_crypt

und ich werde nach der Passphrase für die zweite Festplatte
gefragt (interessanterweise mit einem anderen Wortlaut: beim ersten
Mal heißt es „Please unlock disk sdd5_crypt:“, beim zweiten Mal
„Please enter passphrase for disk SAMSUNG_HD160JJ (HDD_intern)!“).

Die Option „noearly“ hatte ich hinzugefügt, weil ich vermutet
hatte, /lib sei evtl. noch nicht verfügbar. Eine dementsprechende
Fehlermeldung erscheint aber nicht (in welcher Logdatei könnte ich
nachsehen?).

Im Übrigen funktioniert das Entschlüsseln spàter mit
sudo cryptdisks_start HDD_intern


ohne Probleme.

Hat jemand Erfahrung damit und kann mir weiterhelfen?

Viele Grüße Florian

[1] http://wiki.ubuntuusers.de/LUKS/Sch...lableitung








Zum AUSTRAGEN schicken Sie eine Mail an
mit dem Subject "unsubscribe". Probleme? Mail an (engl)
Archive: https://lists.debian.org/

Ähnliche fragen