staging.inyokaproject.org

Hallo zusammen,

noxonium schrieb:

Sollten wir nicht den LUKS-Artikel dahingehend erweitern, dass man den Leuten IMMER rät, den LUKS-Header mit Hilfe von "cryptsetup luksHeaderBackup" zu sichern? Falls man aus Versehen / aus Dummheit / wegen Plattendefekt die ersten paar Bytes der Festplatte nicht mehr lesen kann, ist die Verschlüsselung nämlich tot und alle Daten weg.

Ich wäre auch sehr dafür, wenn man dies in einen der LUKS-Artikel mitaufnimmt. Am besten noch in einer roten Achtung-Box.

Vielen Dank!

Gruß

Kann man nicht auch mit Palimsest recht einfach Partitionen LUKS-verschlüsseln? Bin mir da nicht ganz sicher, sonst würde ich's auch in's Wiki einarbeiten.

Ootmann schrieb:

Kann man nicht auch mit Palimsest recht einfach Partitionen LUKS-verschlüsseln? Bin mir da nicht ganz sicher, sonst würde ich's auch in's Wiki einarbeiten.

Ich meine damit natürlich die Laufwerksverwaltung

Hi,

ich habe das Header-Backup mal in LUKS eingegliedert (evtl. in Kontroverse zur Meinung in Diskussion-zum-Artikel-System-verschluesseln ?). Ein (grosses) Minus an Sicherheit kann ich nicht erkennen wenn das Backup gepflegt wird, sprich nach jeder Aenderung an den Keyslots das Backup erneuert und das Alte vernichtet wird. Ohne Schluessel geht nichts und wer es mag, kann das Backup (so wie ich auch) nochmal verschluesseln. Gerne kann aber der Hinweiskasten in einen Warnkasten umgewandelt und / oder der Text darin noch ausgeschmueckt werden.

Gruss Lasall

Danke, das sieht schon mal prima aus. ☺

Ich habe die Warnung mal etwas deutlicher formuliert.

Ich hätt da ne kleine Idee zur Erweiterung des Artikels:
Nachdem ich auf nem bereits verschlüsselten System verzweifelt versucht hab eine neue Festplatte (USB) zu verschlüsseln aber GDecrypt (zumindest in 11.10 Xubuntu) nicht funktioniert und das mit der Kommandozeile auch einige Fehlermeldungen verursacht hat, hatte ich dann folgende Idee die hervorragend funktioniert hat:

• booten von Alternate Installations CD

• Setup bis zur Partitionierung fortsetzen

• manuelles Partitionieren > Verschlüsselten Datenträger erstellen

• Wenn man damit fertig ist noch auf LVM Konfigurieren gehen damit er die Änderungen anwendet

• Setup abbrechen

Ging danach schön sauber die USB Festplatte anzustecken. Passwort eingeben und fertig.
Ggf. muss man halt noch fstab anpassen für den richtigen Mountpunkt.

Ich denke jedenfalls das würde dem einen oder anderen Anfänger helfen und es geht weit leichter als im nachhinein per Kommandozeile zu arbeiten.

Ich halte das für keine gute Idee. Der Weg über die Kommandozeile erscheint mir die bessere und schnellere Wahl um eine neue Festplatte zu verschlüsseln. Ich denke du solltest lieber versuchen die Fehler die du erhalten hast zu analysieren.

Die bessere sicher wenns funktioniert. Aber schneller eben nicht wenn man schon tagelang nach den Fehlermeldungen googlet ohne weiterzukommen (und wenigstens die Gewissheit aufgrund der Bugreports zu haben das man nicht als einziger Probleme damit hat)

Was schadet es denn neben der Erwähnung zum (nicht funktionierenden) GUI Programm, kurz zu erwähnen das man bei Problemen auch versuchen kann mit der Alternate Boot CD zu verschlüsseln ?
Schließlich soll das Wiki ja Unerfahrenen Usern helfen, die die sich auskennen schauen sich eh die manpages an

Hallo,

was passiert denn, wenn man die Installation aus versehen nicht abbricht, sondern aus lauter Gewohnheit auf weiter klickt und der Installer beginnt zu rennen?

Gruß, noisefloor

Gar nichts, da man ja keine root Partition zugewiesen hat kommt ein Fehler 😉
Und wenn man irrtümlich der neu erstellen verschlüsselten Partition root zuweist kommt ebenfalls ein Fehler weil dann immer noch /boot fehlt
Das schlimmste das passieren kann ist die voreingestellte Formatierung der swap Partition, und die schadet dem System ja nicht (würd maximal mit ner neuen UUID der Swap Partition enden somit würde das System ohne Swap starten was sich im Zweifelsfall schnell beheben lässt aber da bin ich mir auch grad nicht sicher ob reines formatieren eine neue UUID erzeugt)

Hi thyriel81,

die Fehlermeldungen (und Befehle) der Kommandozeile waeren schon ganz interessant.

Gruss Lasall

Lasall schrieb:

die Fehlermeldungen (und Befehle) der Kommandozeile waeren schon ganz interessant.

Bin mir nicht mehr zu 100% sicher welche es genau alle waren, aber es waren gleich mehrere Warnung + Fehler auf einmal (da ich es ja nun verschlüsselt hab + Daten darauf will ich da auch nichts mehr rumexperimentieren)
Kommando wie im Wiki beschrieben war:

cryptsetup -c aes-xts-plain -s 512 luksFormat /dev/sdc1 

/dev/sdc1 → vorher mit gparted als ext4 vorbereitet um nicht irrtümlich andere Partitionen auf der Festplatte kaputt zu machen
Der schwerwiegendste Fehler war dann

Command failed: Failed to setup dm-crypt key mapping.
Check kernel for support for the aes-xts-plain cipher spec

So quasi der Kernel würde aes-xts-plain nicht unterstützen (obwohl das ganze System damit verschlüsselt ist)
und davor noch ein gutes halbes dutzend Fehlermeldung wie zb in diesem Bugreport:
https://bugs.launchpad.net/ubuntu/+source/cryptsetup/+bug/879274

da sich ja scheinbar niemand mehr zu Wort meldet bezüglich meiner Erweiterung des Artikels, würd ich den Absatz mal gern in ner Baustellen Version schreiben

Hi thyriel81,

existiert ein entsprechender Bug? Wenn nein, bitte Fehler melden. Die Installation an bestimmten Stellen abzubrechen, ist wohl nicht im Sinne des Erfinders (ich beziehe mich nicht auf "semop failed for cookie" Fehlermeldungen). Da es sich um einen imho unschoenen Workaround handelt, solltest du deine Aenderung entsprechend nur als Hinweis gestalten. (Baustelle erstellt.)

Gruss Lasall

Lasall schrieb:

existiert ein entsprechender Bug? Wenn nein, bitte Fehler melden.

Habs jetzt nochmal auf nem anderen Rechner (ebenfalls Xubuntu 11.10 verschlüsseltes System) mit nem USB Stick versucht aber da kam derselbe Fehler, habs nun gemeldet: Bug #888782

Danke für den Baustellenartikel ☺