staging.inyokaproject.org

Problem beim Entschlüsseln des Systems mit USB-Schlüssel

Status: Ungelöst | Ubuntu-Version: Nicht spezifiziert
Antworten |

torstenx1

Anmeldungsdatum:
13. Juni 2016

Beiträge: Zähle...

Hallo,

ich habe mich hier angemeldet und hoffe das Ihr mir helfen könnt. Es funktioniert alles wie beschrieben. Allerdings habe ich derzeit eine virtuelle Maschine mit Debian Testing aktuell. Ich würde gerne die in der Anlage gezeigte Fehlermeldeng weghaben. Die könnte Rückschlüße auf den "SCHLÜSSEL" zulassen und das möchte ich ungern. Vielleicht kann jemand schreiben was ich ändern muss im Script.

Danke Torsten

Moderiert von noisefloor:

Abgetrennt von der Diskussion zum Wikiartikel System verschlüsseln/Entschlüsseln mit einem USB-Schlüssel, weil Supportanfrage.

Bilder

frostschutz

Avatar von frostschutz

Anmeldungsdatum:
18. November 2010

Beiträge: 7529

Da musst du dir mal die angegebene Zeile 154 in dem Script anschauen was da steht... wenn das ein Befehl ist der diese Meldung erzeugt, ein 2>/dev/null dahinter könnte reichen

Oder du steigst auf PARTUUID um...

torstenx1

(Themenstarter)

Anmeldungsdatum:
13. Juni 2016

Beiträge: 5

Hallo Frostschutz,

ich bin nun arbeiten. Ich mache morgen einen Screenshot von der betreffenden Zeile mit dem was da vor und dahinter ist. Es funktioniert alles so wie es soll nur diese Ausgabe stört mich. Vielen Dank übrigens an den Autor und an dich. Vielleicht hat jemand zwischenzeitlich auch noch eine andere Idee.

Grüße Torsten

franco_bez

Avatar von franco_bez

Anmeldungsdatum:
1. Mai 2007

Beiträge: Zähle...

Hi zusammen,

war ein dämlicher Fehler von mir,

im Endeffekt muss nur das Dollarzeichen in der Zeile

$DECRYPTKEYDEVICE_FILE=""

entfernt werden.

Ich habe die korrigierte Version des Scripts angehängt.

einfach die Datei in /etc/decryptkeydevice/ ersetzen.

hinterher noch das initramfs neu erzeugen

sudo update-initramfs -c -k `uname -r`

Ciao,

Franco

EDIT:

nicht vergessen dass das keyscript in /etc/decryptkeydevice/ auch ausführbar sein muss - wie es im WIKI Artikel beschrieben ist

Die Änderungen am keyscript habe ich in den WIKI Artikel und auch in das tar.gz Archiv eingearbeitet.

decryptkeydevice_keyscript.sh (4.9 KiB)
neue Version des keyscripts
Download decryptkeydevice_keyscript.sh

torstenx1

(Themenstarter)

Anmeldungsdatum:
13. Juni 2016

Beiträge: 5

Vielen Dank. Ich probiere es nachher und schreibe ob es geht.

torstenx1

(Themenstarter)

Anmeldungsdatum:
13. Juni 2016

Beiträge: 5

franco_bez schrieb:

Hi zusammen,

war ein dämlicher Fehler von mir,

im Endeffekt muss nur das Dollarzeichen in der Zeile

$DECRYPTKEYDEVICE_FILE=""

entfernt werden.

Ich habe die korrigierte Version des Scripts angehängt.

einfach die Datei in /etc/decryptkeydevice/ ersetzen.

hinterher noch das initramfs neu erzeugen

sudo update-initramfs -c -k `uname -r`

Ciao,

Franco

EDIT:

nicht vergessen dass das keyscript in /etc/decryptkeydevice/ auch ausführbar sein muss - wie es im WIKI Artikel beschrieben ist

Die Änderungen am keyscript habe ich in den WIKI Artikel und auch in das tar.gz Archiv eingearbeitet.

Hallo Franco,

ja so geht es. Vielen Danl

franco_bez

Avatar von franco_bez

Anmeldungsdatum:
1. Mai 2007

Beiträge: 688

torstenx1 schrieb:

Hallo Franco,

ja so geht es. Vielen Danl

Hi Torsten,

Gern geschehen ☺

Einem potentiellen Angreifer ist es aber trotzdem möglich die Liste der USB-Schlüssel herauszufinden.

Die Datei /etc/decryptkeydevice/decryptkeydevice.conf wird ja in das initramfs gelegt, und dieses kann nicht verschlüsselt sein ( Henne - Ei Problem )

Aber wenigstens wird er nicht mehr direkt darauf hingewiesen.

Ciao,

Franco

torstenx1

(Themenstarter)

Anmeldungsdatum:
13. Juni 2016

Beiträge: 5

So ist es.

Manuel@eteddy

Avatar von Manuel@eteddy

Anmeldungsdatum:
20. März 2016

Beiträge: Zähle...

Hallo,

ich habe folgende Testumgebung geschaffen:

  /dev/sda1 /boot
  /dev/sda2 /        <-- LUKS
  /dev/sda3 swap     <-- LUKS
  /dev/sdb1 /home    <-- LUKS

Meine crypttab sieht so aus:

  root		UUID=49c5a1bd-f6f8-4878-a93f-249ce1400b45	none		luks,tries=3,discard,keyscript=/etc/decryptkeydevice/decryptkeydevice_keyscript.sh
  swap		UUID=860a5f85-3e3b-45d4-a5e1-0808eb369e36	none		luks,tries=3,discard,keyscript=/etc/decryptkeydevice/decryptkeydevice_keyscript.sh
  home		UUID=f8a711a2-8938-43c5-ba5d-50cd52606a8c	none		luks,tries=3,keyscript=/etc/decryptkeydevice/decryptkeydevice_keyscript.sh

root & swap werden vernünftig eingehangen /home jedoch nicht. Händisch kann ich /dev/sdb1 sowohl mit Passwort als auch mit Keyfile öffnen.

Wo finde ich das Skript welches die crypttab parst und letztendlich das keyscript aufruft?

Hier werde ich vom systemd-Dienst für cryptozeug aufgefordert ein Passwort einzugeben, genau so wie es war bevor ich den Wiki-Artikel auf mein System angewendet habe.

Wie kann ich das System davon überzeugen, dass auch bei /home das keyscript angewandt wird?

Viele Grüße Manuel

franco_bez

Avatar von franco_bez

Anmeldungsdatum:
1. Mai 2007

Beiträge: 688

Vieleicht wäre es in deinem Fall besser die Schlüsselableitung zu nutzen. Es gibt dazu einen eigenen Wiki Artikel.

lionlizard

Avatar von lionlizard

Anmeldungsdatum:
20. September 2012

Beiträge: 6244

Ich habe im Autostart ein Skript zu liegen, dass mit Hilfe des keyscripts den Schlüssel in eine Datei einliest, die in einer Ram-Disk liegt. Damit werden dann die übrigen Laufwerke geöffnet und anschließend die Ramdisk wieder entfernt. Seit 15.10 hat es bei mir auch nicht mehr funktioniert, mehrere Laufwerke mit dem Keyscript und Eintrag in der /etc/cryptsetup zu entschlüsseln.

franco_bez

Avatar von franco_bez

Anmeldungsdatum:
1. Mai 2007

Beiträge: 688

Im Artikel zur System verschlüsseln/Schlüsselableitung steht ganz oben in einer Achtung-BOX der Hinweis auf die Probleme mit den Keyscripts.

Ich selbst nutze lvm ( siehe Logical Volume Manager ) daher brauche ich nicht jede Partition einzeln entschlüsseln.

Wenn man also mehrere Laufwerke oder Partitionen bei Systemstart entschlüsseln will, dann wird man wohl die Entschlüsselung anders einrichten müssen.

Beispielsweise könnte man dafür die Datei /etc/rc.local nutzen.

Die Methode die im Artikel System verschlüsseln/Schlüsselableitung beschrieben steht ist dennoch sehr nützlich, denn man müsste ansonsten für jede Partition ein Passwort angeben wenn man keinen USB-Key zur Hand hat.

Man müsste eben nur das Entschlüsseln und das Einbinden der Partition in der Datei /etc/rc.local machen und nicht in der /etc/fstab und /etc/crypttab.

Ciao,

Franco

lionlizard

Avatar von lionlizard

Anmeldungsdatum:
20. September 2012

Beiträge: 6244

franco_bez schrieb:

Die Methode die im Artikel System verschlüsseln/Schlüsselableitung beschrieben steht ist dennoch sehr nützlich, denn man müsste ansonsten für jede Partition ein Passwort angeben wenn man keinen USB-Key zur Hand hat.

Man kann auch die Methode von System verschlüsseln/Entschlüsseln mit einem USB-Schlüssel benutzen, aber Schlüssel und Sktipt auf die verschlüsselte Root-Partition legen. Bevor diese nicht entschlüsselt wurde, kann niemand auf Schlüssel oder Skript zugreifen.

Matürlich empfiehlt es sich, zusätzlich eine Passphrase als Schlüssel einzurichten, falls man einmal auf die Partitionen mit einem Live-System zugreifen muss.

Antworten |