staging.inyokaproject.org

ecryptfs/Problembehandlung

Status: Gelöst | Ubuntu-Version: Nicht spezifiziert
Antworten |
Dieses Thema ist die Diskussion des Artikels Archiv/ecryptfs/Problembehandlung.

syscon-hh

Anmeldungsdatum:
8. Oktober 2005

Beiträge: 10220

Hallo WIKI-Team,

mal wieder schafft die aktuelle Umstellung innerhalb von Ubuntu Probleme, die gelöst werden müssen.

Dazu ein kleiner Beitrag, wie man die verschlüsselte SWAP, die mit ecryptfs erstellt wird, sicher zum Laufen bringt.

Ob dieser Artikel als Ergänzung zum WIKI oder als HowTo erscheinen sollte, bitte ich von kompetenter Seite zu prüfen und zu entscheiden.

gruß syscon-hh

Benno-007

Anmeldungsdatum:
28. August 2007

Beiträge: 29240

Und wieder mal kann ich nur staunen über dein Engagement - einst ignoriert oder vergessen geglaubt, legst du nun aus dem Nichts auf einmal einen neuen Artikel vor. 👍

Hab gleich noch Anmerkungen:

  • Müssen upstart UND systemd konfiguriert werden oder nur eins von beidem? Könnte man im Artikel mit einem Satz dazu klarstellen.

  • "nicht mehr richtig ausgeführt." könnte man auch noch konkretisieren: Problembeschreibung a la: "Der folgende Befehl ermittelt, ob cryptswap falsch konfiguriert ist: ...". Ich würde das bei nicht Betroffenen/ bereits mit anderen Methoden gefixten nicht als generelle Nacharbeiten empfehlen. Du etwa?

  • Sequenz würde ich schlicht Textdatei nennen - ich sehe schon die neuesten Anfragen im Forum, dass sich jemand nicht auskennt und nicht weiß, wie er Sequenzen macht... 😉

  • Wenn möglich, 1-2 Links für deine Quellen zu den Inhalten der Dateien. Ebenso das oben von mir verlinkte Thema, falls jemand doch Alternativen sucht und den Hergang der von dir erwähnten Workarounds.

  • Den Befehl

    sudo sed -i s/'\/dev\/mapper'/'#\/dev\/mapper'/g /etc/fstab

    möchte ich mal kritisch hinterfragen - da werden ja alle mapper deaktiviert und auch nicht mehr aktiviert. Bei einem verschlüsselten System (meist mit einem LUKS-Container mit LVM per Häkchen im Installer oder manuell per System verschlüsseln) würden damit ja auch Systempartitionen deaktiviert. Kann z.B. so aussehen:

    $ grep mapper /etc/fstab
    /dev/mapper/vgu-root /               ext4    errors=remount-ro 0       1
    /dev/mapper/luksplatte2 /irgendwelchedaten          ext4    defaults        0       2
    /dev/mapper/vgu-home /home           ext4    defaults        0       2
    /dev/mapper/vgu-swap none            swap    sw              0       0

    Dann würde das System nicht mehr booten! Es gab auch schon Leute, die System- UND Homeverschlüsselung kombiniert hatten und der Installer lässt das auch zu. Desweiteren können ja weitere LUKS-Datenträger einschließlich LVM angeschlossen oder eingebaut werden, die dann ebenso betroffen wären. Könntest du dazu den Befehl nicht einfach auf sowas wie /dev/mapper/cryptswap1 oder /dev/mapper/cryptswap erweitern?

Ich hoffe, damit nicht zu viel Arbeit zu verursachen und dem Artikel noch bisschen Feinschliff geben zu können. Sind eigentlich nur relativ schnell änderbare Kleinigkeiten.

Grüße, Benno

syscon-hh

(Themenstarter)

Anmeldungsdatum:
8. Oktober 2005

Beiträge: 10220

Danke für die Hinweise - einiges schon mal eingearbeitet.

Wir sind ja erst am Anfang - wichtiger ist uns, dass auch Andere das mal durch testen und über

  • Erfolg / Misserfolg

berichten.

@ Benno-007: Das angesprochene (insgesamt) verschlüsselte System macht ja keine Probleme, da ist die SWAP ja Teil des LUKS-Containers - dort lässt sich meines Wissens im Rahmen von ecryptfs nichts einrichten - wozu auch!

Habe das aber trotzdem noch mal richtig gestellt, damit da keiner auf dumme Gedanken kommt.

Benno-007

Anmeldungsdatum:
28. August 2007

Beiträge: 29240

Mir fielen 3 Flüchtigkeitsfehler auf - ist zwar eh noch Baustelle, hab's aber ohne lange Diskussion gleich geändert, damit es vom Tisch ist.

Was mir übrigens nebenbei immer wieder einfällt: Wenn mehrere Benutzer ihr Home + Swap verschlüsseln wollen, nutzen die wohl alle dieselbe Swap? Wobei mir da gerade dein

WantedBy=multi-user.target

auffällt.

syscon-hh schrieb:

@ Benno-007: Das angesprochene (insgesamt) verschlüsselte System macht ja keine Probleme, da ist die SWAP ja Teil des LUKS-Containers - dort lässt sich meines Wissens im Rahmen von ecryptfs nichts einrichten - wozu auch!

Wie gesagt: Es lässt sich sogar im automatischen Installer LUKS UND Homeverschlüsselung kombinieren. Im entschlüsselten LUKS-Container liegen dann entschlüsselte mapper als nutzbare Devices rum (anstatt z.B. /dev/sda2 ein /dev/mapper/vgu-root als "/"). Diese wiederum sind dann bei Swap (und Home) nochmals mit ecryptfs zusätzlich verschlüsselt - und müssen ebenfalls erst wieder entschlüsselt werden.

Auf jeden Fall tauchen dann da also auch mapper von LUKS auf (einschließlich für entschlüsseltes System, Swap und ggf. Home) - die wären bei der ersten Variante vor der Überarbeitung direkt alle mit deaktiviert worden, da nur nach dem mapper und nicht konkret, wie vorgeschlagen, cryptswap1 gesedet wurde. 😉

Habe das aber trotzdem noch mal richtig gestellt, damit da keiner auf dumme Gedanken kommt.

Sieht gut aus.

Grüße, Benno

Edit: Manche nutzen das aus Unwissenheit oder weil sie bewusst das System, aber auch mehrere Benutzer untereinander abgeschottet verschlüsseln wollen. Was mich eben wiederum zu meiner eingangs erwähnten Randfrage dieses Postings führt...

An alle: Bitte die Anleitung testen, wie von syscon-hh erbeten! ☺

syscon-hh

(Themenstarter)

Anmeldungsdatum:
8. Oktober 2005

Beiträge: 10220

Benno-007 schrieb:

Wie gesagt: Es lässt sich sogar im automatischen Installer LUKS UND Homeverschlüsselung kombinieren. Im entschlüsselten LUKS-Container liegen dann entschlüsselte mapper als nutzbare Devices rum (anstatt z.B. /dev/sda2 ein /dev/mapper/vgu-root als "/"). Diese wiederum sind dann bei Swap (und Home) nochmals mit ecryptfs zusätzlich verschlüsselt - und müssen ebenfalls erst wieder entschlüsselt werden.

Das ist natürlich (ich will nicht sagen Quatsch) überbordene Paranoia, aber ich kann den Installer nicht ändern. Da sollte man an dieser Stelle direkt ansetzen - aber beim Launchpad wird so etwas nicht beachtet.

Was mir übrigens nebenbei immer wieder einfällt: Wenn mehrere Benutzer ihr Home + Swap verschlüsseln wollen, nutzen die wohl alle dieselbe Swap?

Könnte man zwar ändern - aber wenn mehrere Benutzer einen Rechner benutzen, sollte so viel Vertrauen da sein - oder man muss den Rechner zwischendurch runterfahren oder anderweitig die SWAP löschen (was ja geht!)

Wobei mir da gerade dein

WantedBy=multi-user.target

auffällt.

Das beruht auf der systemd- Spezifikation, dort sich alle Voraussetzungen für dieses Maßnahme gebündelt - wobei das multi-user sich nicht auf einen Benutzer bezieht, sondern mit den Programmkomponenten / Treibern zu tun hat.

hasleder

Anmeldungsdatum:
21. Dezember 2008

Beiträge: Zähle...

Hallo, und einen schönen Abend in die Runde, als ziemlich alter Ubuntuist und noch längerer Linuxerei habe ich mal wegen der "dev/mapper/cryptswap1 nicht vorhanden...." Meldung im Bootsplash die Problembehandlung durchgespielt. Inzwischen hab ich endlich seit langer, langer Zeit keine Meldung im Bootsplash mehr... DANKE! Leider weiß ich aber nicht genau, an welcher Stelle der Problembehandlung das Problem gelöst war, ich mußte alle bis zur letzten Zeile durchspielen und im Abschnitt "Partition einrichten" wegen Verständnisproblemen auch auf diesen englischen Text zurückgreifen (http://punygeek.blogspot.de/2012/10/ubuntu-1204-how-to-solve-disk-drive-for.html)

Meine Ausgaben sehen jetzt so aus:


wolfgang@wolfgang-Lenovo-G500:~$ swapon -s
Filename				Type		Size	Used	Priority
/dev/dm-0                              	partition	4091900	38992	-1

wolfgang@wolfgang-Lenovo-G500:~$ sudo dmsetup ls
cryptswap1	(252:0)

wolfgang@wolfgang-Lenovo-G500:~$ sudo systemctl --all | grep cryptswap.service
cryptswap.service   
 loaded    inactive dead      Cryptswap Service

wolfgang@wolfgang-Lenovo-G500:~$ sudo blkid | grep swap
/dev/sda5: UUID="4ade02d1-d530-41d7-a4e9-a8fdee195bee" TYPE="swap" PARTUUID="0005d1c6-05" 
/dev/mapper/cryptswap1: UUID="7bd0a7c9-4c79-4040-81f2-86a352e63e5f" TYPE="swap"

wolfgang@wolfgang-Lenovo-G500:~$ sudo fdisk -l

Disk /dev/sda: 465,8 GiB, 500107862016 bytes, 976773168 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disklabel type: dos
Disk identifier: 0x0005d1c6

Device     Boot     Start       End   Sectors   Size Id Type
/dev/sda1  *         2048 968585215 968583168 461,9G 83 Linux
/dev/sda2       968587262 976771071   8183810   3,9G  5 Extended
/dev/sda5       968587264 976771071   8183808   3,9G 82 Linux swap / Solaris

Partition 3 beginnt nicht an einer physikalischen Sektorgrenze.


Disk /dev/mapper/cryptswap1: 3,9 GiB, 4190109696 bytes, 8183808 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes

Beim schnellen Drüberschauen: Hab ich alles richtig gemacht, oder doch nicht? Für eine Antwort wäre ich sehr dankbar, mit herzlichen Grüßen, Wolfgang

syscon-hh

(Themenstarter)

Anmeldungsdatum:
8. Oktober 2005

Beiträge: 10220

hasleder schrieb:

Beim schnellen Drüberschauen: Hab ich alles richtig gemacht, oder doch nicht?

Ja das sieht alles perfekt aus!

... an welcher Stelle der Problembehandlung das Problem gelöst war, ich mußte alle bis zur letzten Zeile durchspielen ...

Das ist ja auch keine einzelne Stelle, die dieses Problem macht - sondern das Zusammenspiel mehrerer Faktoren - also haben wir einfach den kompletten Neuaufbau beschrieben, damit alle Stolpersteine aus dem Weg geräumt sind.

... im Abschnitt "Partition einrichten" wegen Verständnisproblemen auch auf diesen englischen Text zurückgreifen ...

Auch hier gilt - es gibt viele Wege, das Ziel zu erreichen - wir haben eine der möglichen Wege gewählt - da wir ohnehin im Terminal waren - eben diesen Weg.

Nur dieser englische Text behandelt allerdings nicht das grundsätzliche Problem - der zielt noch auf die Version Ubuntu 12.04 ab, wo das Skript ecryptfs-setup-swap noch nicht den Fehler enthält. Also bitte nicht anwenden.

gruß syscon-hh

Hinweis an das WIKI-Team: Der Artikel kann aus der Baustelle genommen werden.

noisefloor Team-Icon

Ehemaliger
Avatar von noisefloor

Anmeldungsdatum:
6. Juni 2006

Beiträge: 28316

Hallo,

im Abschnitt "Links" steht noch "tbd" - kommt da noch was? Oder kann der Abschnitt raus?

Gruß, noisefloor

syscon-hh

(Themenstarter)

Anmeldungsdatum:
8. Oktober 2005

Beiträge: 10220

noisefloor schrieb:

im Abschnitt "Links" steht noch "tbd" - kommt da noch was? Oder kann der Abschnitt raus?

Die Links sind fertig, sobald draußen, wird das eingefügt. Wir wollten das in einem Rutsch mit den anderen Artikeln bearbeiten.

Also noch mal einen Blick auch da drüber werfen.

gruß syscon-hh

noisefloor Team-Icon

Ehemaliger
Avatar von noisefloor

Anmeldungsdatum:
6. Juni 2006

Beiträge: 28316

Hallo,

Artikel ist im Wiki, vielen Dank für's erstellen.

Im Moment ist der Artikel "nur" auf ecryptfs verlinkt - weitere Links bitte ggf. hnzufügen.

Gruß, noisefloor

syscon-hh

(Themenstarter)

Anmeldungsdatum:
8. Oktober 2005

Beiträge: 10220

noisefloor schrieb:

Im Moment ist der Artikel "nur" auf ecryptfs verlinkt - weitere Links bitte ggf. hnzufügen.

Done.

Vej Team-Icon

Moderator, Supporter
Avatar von Vej

Anmeldungsdatum:
7. März 2013

Beiträge: 3380

Hallo!

Jetzt haben die tatsächlich einen "FIX" dafür fertiggestellt. Wie ich das verstehe, wird der aber einfach nur den Swap deaktivieren, damit die Fehlermeldung nicht mehr auftaucht:

UPGRADE FIX

An upgrade to Ubuntu 15.04 ("vivid") will detect and comment out these broken swap devices from /etc/fstab and /etc/crypttab.

(Quelle: 953875)

Wir werden diesem Artikel also mit der Veröffentlichung von 15.04 einen neuen Abschnitt spendieren müssen.

Da ich im Moment viel zu tun habe, wäre ich froh, wenn sich jemand anderes dafür melden würde.

Viele Grüße

Vej

syscon-hh

(Themenstarter)

Anmeldungsdatum:
8. Oktober 2005

Beiträge: 10220

Vej schrieb:

Hallo!

Jetzt haben die tatsächlich einen "FIX" dafür fertiggestellt.

Dieser FIX läuft allerdings nur:

  • unter "systemd"-Umgebung

Unter dem neu eingeführten GRUB 2-Menü zum Starten mit der Option init=/sbin/upstart geht das leider nicht und zerstört die SWAP-Formatierung nach wie vor.

Funktionierender Zustand und Einstellungen jetzt für "systemd":

  • /etc/fstab

/dev/mapper/cryptswap1   none  swap  sw   0   0
  • /etc/crypttab

cryptswap1 UUID=xxxxx /dev/urandom swap,offset=1024,cipher=aes-xts-plain64

Die Abfrage nach dem Zustand von "systemd"

systemctl --all | grep cryptswap1 

ergibt u.a.:

  systemd-cryptsetup@cryptswap1.service  loaded    active   exited    Cryptography Setup for cryptswap1
  dev-mapper-cryptswap1.swap             loaded    active   active    /dev/mapper/cryptswap1

Meine Lösung aus dem WIKI ist nach wie vor voll anwendbar - also auch für "upstart". Wir sollten da erst einmal die weitere Entwicklung abwarten.

Im Moment tendiere ich sogar dahin, dieses aus ecryptfs heraus zu nehmen und als Ergänzung im Artikel Swap (neuer Abschnitt Verschlüsselung) zu integrieren - und dann eine Verlinkung als Problemlösung unter ecryptfs anzubieten.

gruß syscon-hh

Nachtrag: Das Fixing hat alles nur noch schlimmer gemacht (nachzulesen 953875 ab #42)

syscon-hh

(Themenstarter)

Anmeldungsdatum:
8. Oktober 2005

Beiträge: 10220

Hallo WIKI-Team!

Dieser Unterartikel ecryptfs/Problembehandlung kann jetzt ins ARCHIV - weil die Fehler in den Paketen

  • ecryptfs-utils

  • upstart

  • systemd

einschließlich Abhängigkeiten beseitigt wurden. Mal abgesehen von der theoretischen Möglichkeit, das unter Utopic Unicorn noch jemand versucht diese Ausgabe auf das experimentelle systemd umzustellen, sollte es keine Probleme mehr geben.

Die Links aus den anderen Artikeln wurden bereinigt.

gruß syscon-hh

noisefloor Team-Icon

Ehemaliger
Avatar von noisefloor

Anmeldungsdatum:
6. Juni 2006

Beiträge: 28316

Hallo,

done.

Anmerkung: ich mache das mit dem Wiki ja schon etwas länger, aber dass ein kompletter Artikel ins Archiv durfte, weil alle Probleme gehoben sind, ist AFAIK noch nicht vorgekommen ☺

Gruß, noisefloor

Antworten |