Durch nen Zufall bin ich nun draufgekommen wodurch der Bug zustande kam.
Wurde wohl dadurch verursacht das die Partition auf dem Datenträger gemountet war. Ist sie ausgehängt funktionierts ohne Probleme.
Interessanterweise wird die vorhandene Partition aber trotzdem zerstört wenn der Fehler auftritt, er lässt sich nur nachher nicht mit luksOpen öffnen da das Passwort nicht akzeptiert wird. Außerdem beschwert sich gparted über einige Fehler in den Partitionstabellen die ich auch nur durch mehrmalige Versuche die kaputte luks-crypt Partition zu löschen hinbekommen hab.
Ich werd das in den Baustellen Artikel auch noch einarbeiten das man darauf achten soll.
Würd mich aber mal interessieren ob das in den älteren Versionen auch so der Fall ist ? (Kernel 2.6 oder kleiner)
LUKS
Anmeldungsdatum: Beiträge: 23 |
|
Anmeldungsdatum: Beiträge: 23 |
Der Baustellenarikel ist soweit fertig und kann von meiner Seite aus übernommen werden ☺
Den neuen Absatz am Schluss hab ich versucht so kurz wie möglich zu hallten, ich denke mal das sollte damit jeder der schonmal einen verschlüsselten Datenträger bei der Installation erstellt hat hinbekommen. |
Ehemalige
Anmeldungsdatum: Beiträge: 7723 |
Hi thyriel81, ein Einrichten ueber die Kommandozeile hat dann doch funktioniert? Ich habe das so aufgefasst und ein wenig den Text abgeaendert, schaue bitte drueber, ob du damit zufrieden bist. Ansonsten imho in Ordnung. Vielen Dank schonmal fuer den Zusatz und das Testen. Gruss Lasall |
Anmeldungsdatum: Beiträge: 23 |
Passt perfekt ☺
Ja das funktioniert nun, war nur das Problem das die Partition gemountet war... muss man auch erstmal draufkommen wenn die Fehlerroutine im cryptsetup das nicht abfängt *g* |
Ehemalige
Anmeldungsdatum: Beiträge: 7723 |
Hi thyriel81, warten wir noch ein paar (ca. 3) Tage. Wenn bis dahin keine Anmerkungen kommen, wird der Artikel ins Wiki verschoben. Gruss Lasall |
Ehemalige
Anmeldungsdatum: Beiträge: 7723 |
Hi thyriel81, vielen Dank fuer deinen eingebrachten Verbesserungsvorschlag! Artikel nun wieder im Wiki. Gruss Lasall |
Ehemalige
Anmeldungsdatum: Beiträge: 4259 |
allerdings ungetestet! Kann Jmd bitte eine aktuelle Version eintragen? Danke |
Ehemaliger
Anmeldungsdatum: Beiträge: 28316 |
|
Anmeldungsdatum: Beiträge: 274 |
Im Wiki-Eintrag steht folgendes unter dem Punkt "Beim Startvorgang":
Das hat mich etwas verwundert, da an dieser Stelle doch gar nicht mit abgeleiteten LUKS-Geräten gearbeitet wird. Kann es sein, dass der oben zitierte Satz hier einfach kopiert wurde und nicht ganz richtig ist, da es ja hier um Schlüsseldateien geht? |
Ehemalige
Anmeldungsdatum: Beiträge: 7723 |
Hi MKay, das sieht alles korrekt aus. Und die 2 Zeilen in der crypttab unterscheiden sich ja auch. Bitte verlinke mal direkt auf die Abschnitte und formuliere das Problem neu, da ich es leider nicht verstehe. Gruss Lasall |
Anmeldungsdatum: Beiträge: 274 |
OK, ich versuche mich etwas verständlicher auszudrücken ☺ Im Artikel LUKS/Schlüsselableitung geht es ja darum, dass der Schlüssel für ein LUKS-Gerät aus einem bereits entschlüsselten LUKS-Gerät abgeleitet wird.
Und die angegebene crypttab Zeile verweist auch auf das decrypt_derived-Skript. Im Artikel LUKS/Schlüsseldatei geht es jedoch nicht um abgeleitete Schlüssel.
In der crypttab-Zeile darunter wird richtigerweise die Schlüsseldatei angegeben und kein decrypt_derived-Skript. |
Ehemalige
Anmeldungsdatum: Beiträge: 7723 |
|
Ehemalige
Anmeldungsdatum: Beiträge: 4259 |
archiviert, da st >6 Mo ungetestet |
Supporter
Anmeldungsdatum: Beiträge: 4842 |
Ich habe ein paar Fragen: 1. Ist es während des entschlüsselns des Geräts mit dem abgeleiteten Schlüssel möglich diesen mitzuschneiden? Damit würde ein Sicherheitsrisiko enstehen auf welches hier nicht eingegangen wird. 2. Wie genau funktioniert der Sicherheitsschlüssel? Kann ich das Gerät dann manuell mit dem luksOpen-Befehl und dem Sicherheitsschlüssel öffnen? |
Anmeldungsdatum: Beiträge: 7529 |
Das unverschlüsselte /boot könnte jemand modifizieren, der sich Zugang zu deinem Rechner verschafft. Dann können alle Keys die in der Bootphase aufgemacht werden auch mitgeschnitten werden, das System ist kompromittiert. Wenn dein Rechner in einer Umgebung steht auf die andere Zugriff haben oder du fürchten mußt daß sich jemand Zugriff in deine Wohnung verschafft, wäre eine Möglichkeit, /boot auf einen USB-Stick zu verlegen den du am Schlüsselbund immer bei dir trägst. Als zusätzliche Sicherheitsmaßnahme könntest du dann auch mit verschlüsselten Keyfiles auf dem USB-Stick arbeiten. Der Angreifer braucht dann eine Kopie des USB-Sticks sowie das Passwort für die Keyfiles auf dem USB-Stick. Ohne Keyfiles reicht ein einfacher Keylogger.
Ja, LUKS unterstützt bis zu 8 Keys/Passwörter, solltest du für ein dir bekanntes zusätzliches Passwort nutzen für den Fall daß die Schlüsselableitung mal nicht mehr funktionieren sollte. |