syscon-hh
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
Hallo WIKI-Team, mal wieder schafft die aktuelle Umstellung innerhalb von Ubuntu Probleme, die gelöst werden müssen. Dazu ein kleiner Beitrag, wie man die verschlüsselte SWAP, die mit ecryptfs erstellt wird, sicher zum Laufen bringt. Ob dieser Artikel als Ergänzung zum WIKI oder als HowTo erscheinen sollte, bitte ich von kompetenter Seite zu prüfen und zu entscheiden. gruß syscon-hh
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
|
Und wieder mal kann ich nur staunen über dein Engagement - einst ignoriert oder vergessen geglaubt, legst du nun aus dem Nichts auf einmal einen neuen Artikel vor. 👍 Hab gleich noch Anmerkungen: Müssen upstart UND systemd konfiguriert werden oder nur eins von beidem? Könnte man im Artikel mit einem Satz dazu klarstellen. "nicht mehr richtig ausgeführt." könnte man auch noch konkretisieren: Problembeschreibung a la: "Der folgende Befehl ermittelt, ob cryptswap falsch konfiguriert ist: ...". Ich würde das bei nicht Betroffenen/ bereits mit anderen Methoden gefixten nicht als generelle Nacharbeiten empfehlen. Du etwa? Sequenz würde ich schlicht Textdatei nennen - ich sehe schon die neuesten Anfragen im Forum, dass sich jemand nicht auskennt und nicht weiß, wie er Sequenzen macht... 😉 Wenn möglich, 1-2 Links für deine Quellen zu den Inhalten der Dateien. Ebenso das oben von mir verlinkte Thema, falls jemand doch Alternativen sucht und den Hergang der von dir erwähnten Workarounds. Den Befehl sudo sed -i s/'\/dev\/mapper'/'#\/dev\/mapper'/g /etc/fstab möchte ich mal kritisch hinterfragen - da werden ja alle mapper deaktiviert und auch nicht mehr aktiviert. Bei einem verschlüsselten System (meist mit einem LUKS-Container mit LVM per Häkchen im Installer oder manuell per System verschlüsseln) würden damit ja auch Systempartitionen deaktiviert. Kann z.B. so aussehen: $ grep mapper /etc/fstab
/dev/mapper/vgu-root / ext4 errors=remount-ro 0 1
/dev/mapper/luksplatte2 /irgendwelchedaten ext4 defaults 0 2
/dev/mapper/vgu-home /home ext4 defaults 0 2
/dev/mapper/vgu-swap none swap sw 0 0 Dann würde das System nicht mehr booten! Es gab auch schon Leute, die System- UND Homeverschlüsselung kombiniert hatten und der Installer lässt das auch zu. Desweiteren können ja weitere LUKS-Datenträger einschließlich LVM angeschlossen oder eingebaut werden, die dann ebenso betroffen wären. Könntest du dazu den Befehl nicht einfach auf sowas wie /dev/mapper/cryptswap1 oder /dev/mapper/cryptswap erweitern?
Ich hoffe, damit nicht zu viel Arbeit zu verursachen und dem Artikel noch bisschen Feinschliff geben zu können. Sind eigentlich nur relativ schnell änderbare Kleinigkeiten. Grüße, Benno
|
syscon-hh
(Themenstarter)
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
Danke für die Hinweise - einiges schon mal eingearbeitet. Wir sind ja erst am Anfang - wichtiger ist uns, dass auch Andere das mal durch testen und über
berichten. @ Benno-007: Das angesprochene (insgesamt) verschlüsselte System macht ja keine Probleme, da ist die SWAP ja Teil des LUKS-Containers - dort lässt sich meines Wissens im Rahmen von ecryptfs nichts einrichten - wozu auch! Habe das aber trotzdem noch mal richtig gestellt, damit da keiner auf dumme Gedanken kommt.
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
|
Mir fielen 3 Flüchtigkeitsfehler auf - ist zwar eh noch Baustelle, hab's aber ohne lange Diskussion gleich geändert, damit es vom Tisch ist. Was mir übrigens nebenbei immer wieder einfällt: Wenn mehrere Benutzer ihr Home + Swap verschlüsseln wollen, nutzen die wohl alle dieselbe Swap? Wobei mir da gerade dein
WantedBy=multi-user.target
auffällt. syscon-hh schrieb: @ Benno-007: Das angesprochene (insgesamt) verschlüsselte System macht ja keine Probleme, da ist die SWAP ja Teil des LUKS-Containers - dort lässt sich meines Wissens im Rahmen von ecryptfs nichts einrichten - wozu auch!
Wie gesagt: Es lässt sich sogar im automatischen Installer LUKS UND Homeverschlüsselung kombinieren. Im entschlüsselten LUKS-Container liegen dann entschlüsselte mapper als nutzbare Devices rum (anstatt z.B. /dev/sda2 ein /dev/mapper/vgu-root als "/"). Diese wiederum sind dann bei Swap (und Home) nochmals mit ecryptfs zusätzlich verschlüsselt - und müssen ebenfalls erst wieder entschlüsselt werden. Auf jeden Fall tauchen dann da also auch mapper von LUKS auf (einschließlich für entschlüsseltes System, Swap und ggf. Home) - die wären bei der ersten Variante vor der Überarbeitung direkt alle mit deaktiviert worden, da nur nach dem mapper und nicht konkret, wie vorgeschlagen, cryptswap1 gesedet wurde. 😉 Habe das aber trotzdem noch mal richtig gestellt, damit da keiner auf dumme Gedanken kommt.
Sieht gut aus. Grüße, Benno Edit: Manche nutzen das aus Unwissenheit oder weil sie bewusst das System, aber auch mehrere Benutzer untereinander abgeschottet verschlüsseln wollen. Was mich eben wiederum zu meiner eingangs erwähnten Randfrage dieses Postings führt... An alle: Bitte die Anleitung testen, wie von syscon-hh erbeten! ☺
|
syscon-hh
(Themenstarter)
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
Benno-007 schrieb: Wie gesagt: Es lässt sich sogar im automatischen Installer LUKS UND Homeverschlüsselung kombinieren. Im entschlüsselten LUKS-Container liegen dann entschlüsselte mapper als nutzbare Devices rum (anstatt z.B. /dev/sda2 ein /dev/mapper/vgu-root als "/"). Diese wiederum sind dann bei Swap (und Home) nochmals mit ecryptfs zusätzlich verschlüsselt - und müssen ebenfalls erst wieder entschlüsselt werden.
Das ist natürlich (ich will nicht sagen Quatsch) überbordene Paranoia, aber ich kann den Installer nicht ändern. Da sollte man an dieser Stelle direkt ansetzen - aber beim Launchpad wird so etwas nicht beachtet.
Was mir übrigens nebenbei immer wieder einfällt: Wenn mehrere Benutzer ihr Home + Swap verschlüsseln wollen, nutzen die wohl alle dieselbe Swap?
Könnte man zwar ändern - aber wenn mehrere Benutzer einen Rechner benutzen, sollte so viel Vertrauen da sein - oder man muss den Rechner zwischendurch runterfahren oder anderweitig die SWAP löschen (was ja geht!)
Wobei mir da gerade dein
WantedBy=multi-user.target
auffällt.
Das beruht auf der systemd- Spezifikation, dort sich alle Voraussetzungen für dieses Maßnahme gebündelt - wobei das multi-user sich nicht auf einen Benutzer bezieht, sondern mit den Programmkomponenten / Treibern zu tun hat.
|
hasleder
Anmeldungsdatum: 21. Dezember 2008
Beiträge: Zähle...
|
Hallo, und einen schönen Abend in die Runde,
als ziemlich alter Ubuntuist und noch längerer Linuxerei habe ich mal wegen der "dev/mapper/cryptswap1 nicht vorhanden...." Meldung im Bootsplash die Problembehandlung durchgespielt. Inzwischen hab ich endlich seit langer, langer Zeit keine Meldung im Bootsplash mehr... DANKE!
Leider weiß ich aber nicht genau, an welcher Stelle der Problembehandlung das Problem gelöst war, ich mußte alle bis zur letzten Zeile durchspielen und im Abschnitt "Partition einrichten" wegen Verständnisproblemen auch auf diesen englischen Text zurückgreifen (http://punygeek.blogspot.de/2012/10/ubuntu-1204-how-to-solve-disk-drive-for.html) Meine Ausgaben sehen jetzt so aus:
wolfgang@wolfgang-Lenovo-G500:~$ swapon -s
Filename Type Size Used Priority
/dev/dm-0 partition 4091900 38992 -1
wolfgang@wolfgang-Lenovo-G500:~$ sudo dmsetup ls
cryptswap1 (252:0)
wolfgang@wolfgang-Lenovo-G500:~$ sudo systemctl --all | grep cryptswap.service
cryptswap.service
loaded inactive dead Cryptswap Service
wolfgang@wolfgang-Lenovo-G500:~$ sudo blkid | grep swap
/dev/sda5: UUID="4ade02d1-d530-41d7-a4e9-a8fdee195bee" TYPE="swap" PARTUUID="0005d1c6-05"
/dev/mapper/cryptswap1: UUID="7bd0a7c9-4c79-4040-81f2-86a352e63e5f" TYPE="swap"
wolfgang@wolfgang-Lenovo-G500:~$ sudo fdisk -l
Disk /dev/sda: 465,8 GiB, 500107862016 bytes, 976773168 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disklabel type: dos
Disk identifier: 0x0005d1c6
Device Boot Start End Sectors Size Id Type
/dev/sda1 * 2048 968585215 968583168 461,9G 83 Linux
/dev/sda2 968587262 976771071 8183810 3,9G 5 Extended
/dev/sda5 968587264 976771071 8183808 3,9G 82 Linux swap / Solaris
Partition 3 beginnt nicht an einer physikalischen Sektorgrenze.
Disk /dev/mapper/cryptswap1: 3,9 GiB, 4190109696 bytes, 8183808 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes Beim schnellen Drüberschauen: Hab ich alles richtig gemacht, oder doch nicht?
Für eine Antwort wäre ich sehr dankbar, mit herzlichen Grüßen, Wolfgang
|
syscon-hh
(Themenstarter)
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
hasleder schrieb: Beim schnellen Drüberschauen: Hab ich alles richtig gemacht, oder doch nicht?
Ja das sieht alles perfekt aus! ... an welcher Stelle der Problembehandlung das Problem gelöst war, ich mußte alle bis zur letzten Zeile durchspielen ...
Das ist ja auch keine einzelne Stelle, die dieses Problem macht - sondern das Zusammenspiel mehrerer
Faktoren - also haben wir einfach den kompletten Neuaufbau beschrieben, damit alle Stolpersteine aus dem Weg geräumt sind. ... im Abschnitt "Partition einrichten" wegen Verständnisproblemen auch auf diesen englischen Text zurückgreifen ...
Auch hier gilt - es gibt viele Wege, das Ziel zu erreichen - wir haben eine der möglichen Wege gewählt - da wir ohnehin im Terminal waren - eben diesen Weg. Nur dieser englische Text behandelt allerdings nicht das grundsätzliche Problem - der zielt noch auf die Version Ubuntu 12.04 ab, wo das Skript ecryptfs-setup-swap noch nicht den Fehler enthält. Also bitte nicht anwenden. gruß syscon-hh Hinweis an das WIKI-Team: Der Artikel kann aus der Baustelle genommen werden.
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28316
|
Hallo, im Abschnitt "Links" steht noch "tbd" - kommt da noch was? Oder kann der Abschnitt raus? Gruß, noisefloor
|
syscon-hh
(Themenstarter)
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
noisefloor schrieb:
im Abschnitt "Links" steht noch "tbd" - kommt da noch was? Oder kann der Abschnitt raus?
Die Links sind fertig, sobald draußen, wird das eingefügt. Wir wollten das in einem Rutsch mit den anderen Artikeln bearbeiten. Also noch mal einen Blick auch da drüber werfen. gruß syscon-hh
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28316
|
Hallo, Artikel ist im Wiki, vielen Dank für's erstellen. Im Moment ist der Artikel "nur" auf ecryptfs verlinkt - weitere Links bitte ggf. hnzufügen. Gruß, noisefloor
|
syscon-hh
(Themenstarter)
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
noisefloor schrieb: Im Moment ist der Artikel "nur" auf ecryptfs verlinkt - weitere Links bitte ggf. hnzufügen.
Done.
|
Vej
Moderator, Supporter
Anmeldungsdatum: 7. März 2013
Beiträge: 3380
|
Hallo! Jetzt haben die tatsächlich einen "FIX" dafür fertiggestellt.
Wie ich das verstehe, wird der aber einfach nur den Swap deaktivieren, damit die Fehlermeldung nicht mehr auftaucht:
UPGRADE FIX
An upgrade to Ubuntu 15.04 ("vivid") will detect and comment out these broken swap devices from /etc/fstab and /etc/crypttab.
(Quelle: 953875) Wir werden diesem Artikel also mit der Veröffentlichung von 15.04 einen neuen Abschnitt spendieren müssen. Da ich im Moment viel zu tun habe, wäre ich froh, wenn sich jemand anderes dafür melden würde. Viele Grüße Vej
|
syscon-hh
(Themenstarter)
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
Vej schrieb: Hallo! Jetzt haben die tatsächlich einen "FIX" dafür fertiggestellt.
Dieser FIX läuft allerdings nur:
Unter dem neu eingeführten GRUB 2-Menü zum Starten mit der Option init=/sbin/upstart geht das leider nicht und zerstört die SWAP-Formatierung nach wie vor. Funktionierender Zustand und Einstellungen jetzt für "systemd":
/dev/mapper/cryptswap1 none swap sw 0 0 cryptswap1 UUID=xxxxx /dev/urandom swap,offset=1024,cipher=aes-xts-plain64
Die Abfrage nach dem Zustand von "systemd"
systemctl --all | grep cryptswap1
ergibt u.a.:
systemd-cryptsetup@cryptswap1.service loaded active exited Cryptography Setup for cryptswap1
dev-mapper-cryptswap1.swap loaded active active /dev/mapper/cryptswap1
Meine Lösung aus dem WIKI ist nach wie vor voll anwendbar - also auch für "upstart". Wir sollten da erst einmal die weitere Entwicklung abwarten. Im Moment tendiere ich sogar dahin, dieses aus ecryptfs heraus zu nehmen und als Ergänzung im Artikel Swap (neuer Abschnitt Verschlüsselung) zu integrieren - und dann eine Verlinkung als Problemlösung unter ecryptfs anzubieten. gruß syscon-hh Nachtrag: Das Fixing hat alles nur noch schlimmer gemacht (nachzulesen 953875 ab #42)
|
syscon-hh
(Themenstarter)
Anmeldungsdatum: 8. Oktober 2005
Beiträge: 10220
|
Hallo WIKI-Team! Dieser Unterartikel ecryptfs/Problembehandlung kann jetzt ins ARCHIV - weil die Fehler in den Paketen
ecryptfs-utils upstart systemd
einschließlich Abhängigkeiten beseitigt wurden. Mal abgesehen von der theoretischen Möglichkeit, das unter Utopic Unicorn noch jemand versucht diese Ausgabe auf das experimentelle systemd umzustellen, sollte es keine Probleme mehr geben. Die Links aus den anderen Artikeln wurden bereinigt. gruß syscon-hh
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28316
|
Hallo, done. Anmerkung: ich mache das mit dem Wiki ja schon etwas länger, aber dass ein kompletter Artikel ins Archiv durfte, weil alle Probleme gehoben sind, ist AFAIK noch nicht vorgekommen ☺ Gruß, noisefloor
|