staging.inyokaproject.org

undine schrieb:

Als Workaround hab ich einen Schlüssel in einer nur für root lesbaren Datei auf der primären Platte abgelegt. Mein cron-job für die Backups stubst ein Shell-Skript an und das versucht die Platte mit dem Schlüssel in der Datei zu entsperren und einzubinden, falls sie noch nicht eingebunden ist. (Aber langsam wird's arg offtopic. Sorry!)

Hast Du daüfr ein HowTo, einen Link, einen Thread? Das liest sich interessant und würde mir auch gefallen.

Vielleicht sollten wir einen eigenen Thread eröffnen, um das zu diskutieren. Gegebenenfalls würde ich die wesentlichen Punkte in einem Howto-Artikel später zusammenfassen. Aber ich finde meine Lösung nicht übermäßig elegant, bin kein Sicherheits- oder Krypto-Experte und halte die Situation auch für eher speziell. Kurz: Die wesentlichen Zutaten sind ein nach diesem Artikel vollverschlüsseltes Vivid Vervet-System, eine ebenfalls LUKS-verschlüsselte externe Festplatte (eSATA; nicht immer angeschlossen, da Laptop), ein Cron-Job, ein Shell-Skript, der in einer Datei abgelegte Schlüssel zum Entsperren der externen Platte, rsnapshot mit zugehöriger Konfigurationsdatei und im Hintergrund ist rsync am Werk. Machst Du einen Thread in der Rubrik „Sicherheit“ auf? Wie wäre es mit: „Automatische Backups von einem vollverschlüsselten System auf eine verschlüsselte externe Festplatte“?

Hallo aldor.

–––→ https://forum.ubuntuusers.de/topic/automatische-backups-von-einem-vollverschluess/

Dazu hier im Thread bitte nichts mehr weiter schreiben, weil OT.

Greetz

undine

Ich möchte mit Ubuntu 15.10 auf ein Problem in Zusammenhang mit dieser Anleitung hinweisen: Beim Herunterfahren erscheint bei mir folgende Meldung (Verzögerung beim Herunterfahren):

Failed to finalize DM devices. Ignoring. Rebooting System

Beim Hochfahren wird daraufhin fsck durchgeführt:

rüfe 1 Laufwerk (97,2% fertig)

Prüfe 1 Laufwerk (97,2% fertig)

Prüfe 1 Laufwerk (97,3% fertig)

Prüfe 1 Laufwerk (97,3% fertig)

Prüfe 1 Laufwerk (97,4% fertig)

Prüfe 1 Laufwerk (97,4% fertig)

Prüfe 1 Laufwerk (97,5% fertig)

Prüfe 1 Laufwerk (97,5% fertig)

Prüfe 1 Laufwerk (97,9% fertig)

Prüfe 1 Laufwerk (97,9% fertig)

Prüfe 1 Laufwerk (97,9% fertig)

Prüfe 1 Laufwerk (97,9% fertig)

Prüfe 1 Laufwerk (100,0% fertig)

Prüfe 0 Laufwerke (100,0% fertig)
[[32m  OK  [0m] Started File System Check on /dev/mapper/lvm-home.
         Mounting /home...
[[32m  OK  [0m] Mounted /home.
[[32m  OK  [0m] Reached target Local File Systems.
         Starting Set console keymap...
         Starting Tell Plymouth To Write Out Runtime Data...
         Starting Create Volatile Files and Directories...
         Starting Clean up any mess left by 0dns-up...
[[32m  OK  [0m] Reached target Remote File Systems.
         Starting netfilter persistent configuration...
         Starting LSB: AppArmor initialization...
         Starting Wait for all "auto" /etc/network/interfaces to be up for network-online.target...
[[32m  OK  [0m] Started Wait for all "auto" /etc/network/interfaces to be up for network-online.target.
[[32m  OK  [0m] Started Create Volatile Files and Directories.
[[32m  OK  [0m] Started Clean up any mess left by 0dns-up.
         Starting Nameserver information manager...
         Starting Network Time Synchronization...
         Starting Update UTMP about System Boot/Shutdown...
[[32m  OK  [0m] Started Tell Plymouth To Write Out Runtime Data.
[[32m  OK  [0m] Started Set console keymap.
[[32m  OK  [0m] Started Nameserver information manager.
[[32m  OK  [0m] Started Update UTMP about System Boot/Shutdown.
[[32m  OK  [0m] Started netfilter persistent configuration.
[[32m  OK  [0m] Started LSB: AppArmor initialization.
         Starting LSB: Raise network interfaces....
[[32m  OK  [0m] Started Network Time Synchronization.
[[32m  OK  [0m] Reached target System Time Synchronized.
[[32m  OK  [0m] Started LSB: Raise network interfaces..
[[32m  OK  [0m] Reached target System Initialization.
         Starting Restore Sound Card State...
[[32m  OK  [0m] Started CUPS Scheduler.
[[32m  OK  [0m] Started Trigger resolvconf update for networkd DNS.
[[32m  OK  [0m] Reached target Paths.
[[32m  OK  [0m] Listening on Avahi mDNS/DNS-SD Stack Activation Socket.
[[32m  OK  [0m] Listening on UUID daemon activation socket.
[[32m  OK  [0m] Listening on CUPS Scheduler.
[[32m  OK  [0m] Listening on ACPID Listen Socket.
[[32m  OK  [0m] Listening on D-Bus System Message Bus Socket.
[[32m  OK  [0m] Reached target Sockets.
[[32m  OK  [0m] Reached target Basic System.
         Starting Restore /etc/resolv.conf if the system crashed before the ppp link was shut down....
[[32m  OK  [0m] Started CUPS Scheduler.
         Starting Avahi mDNS/DNS-SD Stack...
         Starting Thermal Daemon Service...
[[32m  OK  [0m] Started D-Bus System Message Bus.
[[32m  OK  [0m] Started Avahi mDNS/DNS-SD Stack.
         Starting Permit User Sessions...
         Starting LSB: daemon to balance interrupts for SMP systems...
         Starting System Logging Service...
         Starting Modem Manager...
         Starting Enable support for additional executable binary formats...
         Starting LSB: Set the CPU Frequency Scaling governor to "ondemand"...
[[32m  OK  [0m] Started Regular background program processing daemon.
[[32m  OK  [0m] Started Run anacron jobs.
         Starting LSB: Speech Dispatcher...
         Starting Login Service...
[[32m  OK  [0m] Started ClamAV virus database updater.
         Starting Accounts Service...
         Starting Initialize hardware monitoring sensors...
         Starting Detect the available GPUs and deal with any system changes...
         Starting Network Manager...
         Starting LSB: automatic crash report generation...
         Starting LSB: Record successful boot for GRUB...
[[32m  OK  [0m] Started Cgroup management daemon.
[[32m  OK  [0m] Started Make remote CUPS printers available locally.
[[32m  OK  [0m] Started Daily Cleanup of Temporary Directories.
[[32m  OK  [0m] Reached target Timers.
[[32m  OK  [0m] Started System Logging Service.
[[32m  OK  [0m] Started Restore Sound Card State.
[[32m  OK  [0m] Started Restore /etc/resolv.conf if the system crashed before the ppp link was shut down..
[[32m  OK  [0m] Started Permit User Sessions.
[[32m  OK  [0m] Started LSB: daemon to balance interrupts for SMP systems.
[[32m  OK  [0m] Started LSB: Set the CPU Frequency Scaling governor to "ondemand".
[[32m  OK  [0m] Started LSB: Speech Dispatcher.
[[32m  OK  [0m] Started LSB: automatic crash report generation.
[[32m  OK  [0m] Started Initialize hardware monitoring sensors.
         Mounting Arbitrary Executable File Formats File System...
[[32m  OK  [0m] Started Login Service.
[[32m  OK  [0m] Mounted Arbitrary Executable File Formats File System.
[[32m  OK  [0m] Started Enable support for additional executable binary formats.
[[32m  OK  [0m] Started Thermal Daemon Service.
[[32m  OK  [0m] Started LSB: Record successful boot for GRUB.
         Starting Authenticate and Authorize Users to Run Privileged Tasks...
[[32m  OK  [0m] Started Network Manager.
[[32m  OK  [0m] Reached target Network.
         Starting Anonymizing overlay network for TCP...
[[32m  OK  [0m] Reached target Network is Online.
         Starting /etc/rc.local Compatibility...
         Starting LSB: Postfix Mail Transport Agent...
         Starting LSB: start DirMngr daemon...
         Starting LSB: VirtualBox Linux kernel module...
         Starting LSB: minidlna server...
         Starting LSB: Tool to automatically collect and submit kernel crash signatures...
[[32m  OK  [0m] Started /etc/rc.local Compatibility.
[[32m  OK  [0m] Started Authenticate and Authorize Users to Run Privileged Tasks.
         Starting Wait for Plymouth Boot Screen to Quit...
[[32m  OK  [0m] Started Accounts Service.
[[32m  OK  [0m] Started LSB: Tool to automatically collect and submit kernel crash signatures.
[[32m  OK  [0m] Started Modem Manager.
         Starting WPA supplicant...
[[32m  OK  [0m] Started LSB: start DirMngr daemon.
[[32m  OK  [0m] Started WPA supplicant.
[[32m  OK  [0m] Started LSB: VirtualBox Linux kernel module.
[[32m  OK  [0m] Started LSB: minidlna server.
[[32m  OK  [0m] Started LSB: Postfix Mail Transport Agent.
[[32m  OK  [0m] Reached target Mail Transport Agent.
[[32m  OK  [0m] Started Detect the available GPUs and deal with any system changes.
         Starting Light Display Manager...

Zusätzlich startet das System zur Grubkomonozeile. /boot/grub/grub.cfg dazu:

# If you change this file, run 'update-grub' afterwards to update
# /boot/grub/grub.cfg.
# For full documentation of the options in this file, see:
#   info -f grub -n 'Simple configuration'

GRUB_DEFAULT=0
#GRUB_HIDDEN_TIMEOUT=0
GRUB_HIDDEN_TIMEOUT_QUIET=true
GRUB_TIMEOUT=10
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT="kopt=root=/dev/mapper/vgubuntu-root"
GRUB_CMDLINE_LINUX=""

# Uncomment to enable BadRAM filtering, modify to suit your needs
# This works with Linux (no patch required) and with any kernel that obtains
# the memory map information from GRUB (GNU Mach, kernel of FreeBSD ...)
#GRUB_BADRAM="0x01234567,0xfefefefe,0x89abcdef,0xefefefef"

# Uncomment to disable graphical terminal (grub-pc only)
#GRUB_TERMINAL=console

# The resolution used on graphical terminal
# note that you can use only modes which your graphic card supports via VBE
# you can see them in real GRUB with the command `vbeinfo'
#GRUB_GFXMODE=640x480

# Uncomment if you don't want GRUB to pass "root=UUID=xxx" parameter to Linux
#GRUB_DISABLE_LINUX_UUID=true

# Uncomment to disable generation of recovery mode menu entries
#GRUB_DISABLE_RECOVERY="true"

# Uncomment to get a beep at grub start
#GRUB_INIT_TUNE="480 440 1"

Also an einer Stelle müssen im Artikel wohl Anpassungen vorgenommen werden?

Hallo,

Danke für den Hinweis ☺

Also an einer Stelle müssen im Artikel wohl Anpassungen Vorgenommen werden?

Sagen wir mal so: die getestet-Box am Anfang besagt, dass der Artikel nur für 12.04, 14.04 und 15.04 getestet ist. Heisst im Umkehrschluss, dass es unter den anderen Ubuntu-Versionen funktionieren kann, aber nicht muss (so wie bei dir).

Ein Anpassung der Artikels würde also voraussetzen, dass jemand das ganze dann mal für 15.10 durch testet. Weil grundsätzlich könnte es ja auch sein, dass das Problem spezifisch für den System ist und nicht allgemein.

Gruß, noisefloor

Klar, das wäre möglich. Hatte zuvor dieselbe Erfahrung mit Kubuntu 15.10 gemacht und dann aus mangelnder Stabilität der grafischen Oberfläche auf Ubuntu gewechselt. Gibt es irgendwo potentielle Stellschrauben wie man dem Problem Herr werden kann? Könnte es daran lieben, dass root nicht ausgegangen werden kann? Dass boot.log ist nicht vollständig. Ich schätze es wird aufgrund der vielen Laufwerk-Prüfungseinträge abgeschnitten. Kriege ich irgendwo her die ungekürzte Fassung oder kann ich die Grössenlimitierung rauf setzen?

In diesem Zusammenhang sei erwähnt, dass in /etc/initramfs-tools/conf.d/resume

"RESUME=UUID=<UUID>"

steht. Sollte es aber nicht

/dev/mapper/vgubuntu-swap:

sein, damit der Ruhezustand ordnungsgemäss funktioniert?

Hallo,

am besten stellst du die Frage bzw. schilderst dein Problem mal im passenden Support-Forum. Da bekommst du sicher schneller und besser Hilfe als hier in der Diskussion zum Wikiartikel.

Neu gewonnenes Wissen darf aber gerne in den Wikiartikel zurück fließen ☺

Gruß, noisefloor

Habe ich! Nur leider läuft es dort bisher eher schleppend. Schade! Ist doch eigentlich ein wichtiges Thema.

Hallo,

ich habe ein verschlüsseltes System nach der Anleitung eingerichtet. Super Anleitung! 👍 Allerdings müssen einige Befehle von der Live-CD aus als root bzw. mittels sudo ausgeführt werden (konkret alles unter Verschlüsseln der Partition und Erstellung der LVM-Partition sowie die mount-Anweisungen in Ins verschlüsselte System wechseln bevor man chrootet). Ist das sudo in den Codeblöcken bewusst weggelassen worden oder sollte das ergänzt werden?

Hallo,

im Abschnitt "Software und Kernelmodule laden" steht am Ende im Hinweisblock, dass alle Befehle Root-Rechte brauchen ☺

Gruß, noisefloor

Verdammt, ich hab es mir fast gedacht, dass es irgendwo steht und dann doch überlesen 😉. Vermutlich da sich der Abschnitt auf 13.10 und älter bezieht und ich den beim Lesen übersprungen habe. Als Verbesserungsvorschlag: Vielleicht ist es sinnvoller den Hinweisblock in den Abschnitt Vorbereitung über "Software und Kernelmodule laden" zu verschieben, da sich der Hinweis ja auf den gesamten Abschnitt bezieht und dann konsequenterweise das sudo im Codeblock zu entfernen?

Hallo,

done.

Gruß, noisefloor

Ich habe mal die sudos aus den Befehlszeilen entfernt (6 Ersetzungen). Das ist sonst wirklich verwirrend, finde ich. Ich hoffe das geht in Ordnung.

Hallo,

Ich hoffe das geht in Ordnung.

Ja, gut. Hinweis plus ein paar verstreute sudo sind wirklich verwirrend.

Gruß, noisefloorb

Hallo

eure Anleitung funktioniert wunderbar einen Wechsel von Fedora nach Mint durchzuführen. Leider bin ich auf den "LuksNamen" hereingefallen

Andere Seiten im Netz entschlüsseln die Partition mit z.B.

1

cryptsetup luksOpen /dev/sdxY cryptedPartion

Ihr erzuegt jedoch den LuksNamen "lukslvm"

der cryptsetup-Name muss jedoch mit der erzeugten /etc/crypttab übereinstimmen sonst kommt ein Fehler bei ausführen von:

1
2
3

update-initramfs -u -k all 

WARNING: invalid line in /etc/crypttab

Könnt ihr einen dazu einen Hinweisgeben bei /etc/crypttab editieren.

Referenz: http://askubuntu.com/questions/286284/system-no-longer-boots-gave-up-waiting-for-root-device-initramfs-dev-mappe

Danke Futuremax2k

Hallo,

nach längerem Frickeln habe ich hinbekommen Ubuntu Mate 16.04 mit verschlüsselung zu installieren. Siehe auch hier:

https://forum.ubuntuusers.de/topic/ubuntu-mate-16-04-mit-lvm-verschluesselung-ins/#post-8268708

Allerdings habe ich paar Probleme entdeckt, über die ich bei dem Artikel gestolpert bin:

• Abschnitt /etc/crypttab editieren: Es sollte explizit darauf hingewiesen werden, dass die UUID ohne Anführungszeichen ("XXX-XXX") eingegeben werden muss. Da war ich sehr verwirrt und hab den wichtigen Hinweis dann in einem anderen Artikel gefunden.

• Abschnitt /etc/initramfs-tools/modules editieren: Es wird geschrieben, dass hier Änderungen nur bei Ubuntu Version 13.10 bzw. nicht-Generic Kerneln nötig seien. Da ich aber Ubuntu MATE 16.04 und den Generic Kernel verwende, habe ich diesen Abschnitt nicht beachtet. Die Folge war, dass Ubuntu nicht gebootet hat bzw. nicht nach dem LUKS Passwort zum Entschlüsseln der LVM Partition gefragt wurde.

• Abschnitt GRUB-Konfiguration aktualisieren/überprüfen: Bei mir stand in der Zeile noch "quiet splash". Ich hab beides entfernt, dann rauscht beim Starten natürlich allerlei Text durch das Fenster. Ist das notwendig, da ja irgendwann auch die Passphrase abgefragt wird? Hier vielleicht noch ein kurzer erklärender Satz von jemandem, der sich auskennt ...

• Abschnitt Passwort ändern: Ist es möglich, dass man nur einmal ein Passwort eingibt, dass direkt die LVM Partition entschlüsselt und für das Einloggen ins Benutzerkonto dient? Das wäre noch das letzte Verbleibende Problem bei mir ...

Ansonsten auch für LVM/LUKS Neulinge wie mich eine verständliche Anleitung, vielen Dank an alle Autoren. ☺

EDIT: Ich hab den Hinweis mit den Anführungszeichen bei der UUID mal hinzugefügt. Die anderen drei von mir erwähnten Punkte überlasse ich lieber mal anderen Leuten, die mehr Ahnung von der Materie haben, bzw. erstmal der Diskussion hier.