staging.inyokaproject.org

Hallo zusammen,
ich habe ein etwas seltsames Verhalten. Ein USB-Stick, der mit Luks formatiert wurde, kann mit dem neuen System (Ubuntu 18.04.4) nicht entschlüsselt werden.
Mit meinem Laptop (auch Ubuntu 18.04.4) und mit dem alten System (Ubuntu-Mate 18.04) funktioniert es aber.

Ich habe mal folgende Daten zu "lvm" und "cryptsetup" zusammengetragen - vielleicht kann mir ja jemand aufzeigen, woran es liegen könnte.

A) Laptop (entschlüsseln funktioniert):

stefan@SteLT05:~$ cat /proc/version >> ~/2020-05-17_SteLT04.Ubuntu18.04.4_dpkg.lvm+cryptsetup.txt
Linux version 4.18.0-17-generic (buildd@lgw01-amd64-021) (gcc version 7.3.0 (Ubuntu 7.3.0-16ubuntu3)) #18~18.04.1-Ubuntu SMP Fri Mar 15 15:27:12 UTC 2019

stefan@SteLT05:~$ sudo dpkg -l | grep lvm >> ~/2020-05-17_SteLT04.Ubuntu18.04.4_dpkg.lvm+cryptsetup.txt
ii  libllvm5.0:amd64                           1:5.0.1-4                                        amd64        Modular compiler and toolchain technologies, runtime library
ii  libllvm9:amd64                             1:9-2~ubuntu18.04.2                              amd64        Modular compiler and toolchain technologies, runtime library
ii  liblvm2app2.2:amd64                        2.02.176-4.1ubuntu3.18.04.2                      amd64        LVM2 application library
ii  liblvm2cmd2.02:amd64                       2.02.176-4.1ubuntu3.18.04.2                      amd64        LVM2 command library
ii  lvm2                                       2.02.176-4.1ubuntu3.18.04.2                      amd64        Linux Logical Volume Manager

stefan@SteLT05:~$ sudo dpkg -l | grep cryptsetup >> ~/2020-05-17_SteLT04.Ubuntu18.04.4_dpkg.lvm+cryptsetup.txt
ii  cryptsetup                                 2:2.0.2-1ubuntu1.1                               amd64        disk encryption support - startup scripts
ii  cryptsetup-bin                             2:2.0.2-1ubuntu1.1                               amd64        disk encryption support - command line tools
ii  libcryptsetup12:amd64                      2:2.0.2-1ubuntu1.1                               amd64        disk encryption support - shared library
ii  libcryptsetup4:amd64                       2:1.6.6-5ubuntu2                                 amd64        disk encryption support - shared library

B) altes Ubuntu (entschlüsseln funktioniert):

stefan@stepc08:~$ cat /proc/version >> ~/2020-05-17_StePC08.Ubuntu-Mate18.04_dpkg.lvm+cryptsetup.txt
Linux version 5.3.0-51-generic (buildd@lgw01-amd64-018) (gcc version 7.5.0 (Ubuntu 7.5.0-3ubuntu1~18.04)) #44~18.04.2-Ubuntu SMP Thu Apr 23 14:27:18 UTC 2020

stefan@stepc08:~$ sudo dpkg -l | grep lvm >> ~/2020-05-17_StePC08.Ubuntu-Mate18.04_dpkg.lvm+cryptsetup.txt
ii  libllvm3.9:amd64                              1:3.9.1-19ubuntu1                                   amd64        Modular compiler and toolchain technologies, runtime library
ii  libllvm6.0:amd64                              1:6.0-1ubuntu2                                      amd64        Modular compiler and toolchain technologies, runtime library
ii  libllvm9:amd64                                1:9-2~ubuntu18.04.2                                 amd64        Modular compiler and toolchain technologies, runtime library
ii  libllvm9:i386                                 1:9-2~ubuntu18.04.2                                 i386         Modular compiler and toolchain technologies, runtime library
ii  liblvm2app2.2:amd64                           2.02.176-4.1ubuntu3.18.04.2                         amd64        LVM2 application library
ii  liblvm2cmd2.02:amd64                          2.02.176-4.1ubuntu3.18.04.2                         amd64        LVM2 command library
ii  lvm2                                          2.02.176-4.1ubuntu3.18.04.2                         amd64        Linux Logical Volume Manager

stefan@stepc08:~$ sudo dpkg -l | grep cryptsetup >> ~/2020-05-17_StePC08.Ubuntu-Mate18.04_dpkg.lvm+cryptsetup.txt
ii  libcryptsetup12:amd64                         2:2.0.2-1ubuntu1.1                                  amd64        disk encryption support - shared library

c) neues Ubuntu (entschlüsseln funktioniert NICHT):

stefan@stepc08-b:~$ cat /proc/version >> ~/2020-05-17_StePC08b.Ubuntu18.04.4_dpkg.lvm+cryptsetup.txt
Linux version 5.3.0-51-generic (buildd@lgw01-amd64-018) (gcc version 7.5.0 (Ubuntu 7.5.0-3ubuntu1~18.04)) #44~18.04.2-Ubuntu SMP Thu Apr 23 14:27:18 UTC 2020

stefan@stepc08-b:~$ sudo dpkg -l | grep lvm >> ~/2020-05-17_StePC08b.Ubuntu18.04.4_dpkg.lvm+cryptsetup.txt
ii  libllvm6.0:amd64                              1:6.0-1ubuntu2                                   amd64        Modular compiler and toolchain technologies, runtime library
ii  libllvm9:amd64                                1:9-2~ubuntu18.04.2                              amd64        Modular compiler and toolchain technologies, runtime library
ii  liblvm2app2.2:amd64                           2.02.176-4.1ubuntu3.18.04.2                      amd64        LVM2 application library
ii  liblvm2cmd2.02:amd64                          2.02.176-4.1ubuntu3.18.04.2                      amd64        LVM2 command library
ii  lvm2                                          2.02.176-4.1ubuntu3.18.04.2                      amd64        Linux Logical Volume Manager

stefan@stepc08-b:~$ sudo dpkg -l | grep cryptsetup >> ~/2020-05-17_StePC08b.Ubuntu18.04.4_dpkg.lvm+cryptsetup.txt
ii  cryptsetup                                    2:2.0.2-1ubuntu1.1                               amd64        disk encryption support - startup scripts
ii  cryptsetup-bin                                2:2.0.2-1ubuntu1.1                               amd64        disk encryption support - command line tools
ii  libcryptsetup12:amd64                         2:2.0.2-1ubuntu1.1                               amd64        disk encryption support - shared library
ii  libzulucrypt1:amd64                           5.7.1.1580795937.8f7e9895-0                      amd64        shared libraries for cryptsetup and tcplay
ii  zulucrypt-cli                                 5.7.1.1580795937.8f7e9895-0                      amd64        console front-end for cryptsetup and tcplay
ii  zulucrypt-gui                                 5.7.1.1580795937.8f7e9895-0                      amd64        graphical front-end for cryptsetup and tcplay

Danke und einen schönen Sonntag StefanP

StefanP schrieb:

ich habe ein etwas seltsames Verhalten. Ein USB-Stick, der mit Luks formatiert wurde

Man kann nichts "mit LUKS formatieren". 😛

Was sagt denn konkret ein

sudo cryptsetup open /dev/sdXx cryptusb

?

tomtomtom schrieb:

Was sagt denn konkret ein

sudo cryptsetup open /dev/sdXx cryptusb

DAS ist ja seltsam!
Nach dem Einstecken erscheint automatisch eine Eingabemaske für das Passwort.
Gebe ich dort das Passwort ein kommt die Fehlermeldung: "Entschuldigung, das hat nicht funktioniert ...",
In "Nemo" erscheint ein Gerät "31 GB verschlüsselt", in "Laufwerke" ein USB-Gerät unter "/dev/sdh".

Klicke ich in "Nemo" auf das Gerät erscheint wieder die Eingabemaske ... siehe oben / Klicke ich in "Laufwerke" auf das USB-Gerät ... dito!

Durch die Eingabe des obigen Befehls im Terminal und nach Eingabe des Passwortes wird ohne jede weitere Meldung das Laufwerk entschlüsselt
und steht dann in "Laufwerke" unter "/dev/mapper/cryptusb" - ist aber noch nicht eingehängt - lässt sich durch Klick auf das Dreieck einbinden.
In "Nemo" ändert sich die Bezeichnung des USB-Geräts in den richtigen Namen und kann jetzt durch anklicken ohne weitere Fehlermeldung eingebunden werden.

Bein Aushängen (sowohl in "Nemo" wie auch in "Laufwerke") wird mein Login-Passwort verlangt, da es "von einem anderen Benutzer entsperrt wurde" ??? verstehe ich nicht
aber es lässt sich reproduzieren.

Gute Nacht, StefanP

Nachtrag:
Die Passwortabfrage beim Aushängen hat mich auf die Idee gebracht, dass vielleicht nicht das Passwort für die Verschlüsselung sondern das Logion-Passwort abgefragt wird....
... UND - SO funktioniert es .... (Warum auch immer)

Allerdings ist mir nicht klar, warum
a) das Login-Passwort gefragt wird (Das benötige ich beim Anmelden bei den anderen Installationen mit gleichem Nutzernamen und AnmeldePasswort nicht) und
b) das Entschlüsselungs-Passwort NICHT abgefragt wird (obwohl ich es NIE in einen SchlüsselKontainer abgelegt/gespeichert hatte und die Anderen System es abfragen)

ALSO: Funktion ist vorhanden .... Rätsel auch 😉

Also wenn du ein

sudo cryptsetup open /dev/sdxX cryptusb

ausführst wir logischerweise erst nach dem Nutzerpasswort gefragt (was auch da steht) und dann nach dem LUKS-Schlüssel.

Das dann nur die verschlüsselte Partition geöffnet ist ist die gewollte Funktion (siehe man cryptsetup), manuell wäre der nächste Schritt dann das Einhängen

sudo mount /dev/mapper/cryptusb /MOUNTPOINT

Zum Verhalten von Nemo kann ich nix sagen, hab da noch nie das Bedürfnis gehabt, für sowas eine GUI zu benutzen.

tomtomtom schrieb:

Also wenn du ein

sudo cryptsetup open /dev/sdxX cryptusb

ausführst wir logischerweise erst nach dem Nutzerpasswort gefragt (was auch da steht) und dann nach dem LUKS-Schlüssel.

Sorry - ich habe mich nicht klar ausgedrückt:
KLAR - "sudo" verlangt das Nutzerpasswort! ... und anschließend das Verschlüsselungskennwort .... soweit stimmt alles!

Mich hat gewundert, dass (ohne Terminal) (NUR!!) das "neue" Ubuntu (welches Programm auch immer das Eingabefenster öffnet - ich kann nicht identifizieren) nach dem Einstecken des USB-Sticks das Nutzerpasswort bekommen will ... nicht aber das Verschlüsselungskennwort? Danach wird die Partition entschlüsselt und eingehängt
Die anderen PCs/Systeme wollen NUR das Verschlüsselungskennwort, nicht aber das Nutzerpasswort.

Das dann nur die verschlüsselte Partition geöffnet ist ist die gewollte Funktion (siehe man cryptsetup), manuell wäre der nächste Schritt dann das Einhängen

sudo mount /dev/mapper/cryptusb /MOUNTPOINT

Dieses Verhalten ist aber NUR bei der "sudo"-Version so.
Wenn ich in dem Passwort-Fenster das Nutzerpasswort eingebe, wird die Partition entschlüsselt und automatisch auch eingehängt.

Danke und Gruß StefanP

Zum Verhalten von Nemo kann ich nix sagen, hab da noch nie das Bedürfnis gehabt, für sowas eine GUI zu benutzen.

Nemo ist für mich zum Handhaben der Laufwerke/Ordner etc da...
und ich bin froh, wenn ich mir nicht alle diese Befehle merken muss.... (das Alter ☺)

Naja, kein Programm der Welt kann dir eine verschlüsselte Partition ohne den Schlüssel öffnen, dann wäre die Verschlüsselung auch herzlich sinnfrei.

Viele GUIs haben aber die Option, sich den eingegeben Schlüssel zu merken, wenn der Nutzer das wünscht (was wiederum eine Sicherheitslücke entstehen lässt).

Und klar, klick und Fenster kommt ist nutzerfreundlicher, aber darüber bekommt man dann erst recht nicht raus, wo das Problem liegt. Versuchst du es daher testweise manuell und es funktioniert, weißt du schonmal, dass es nicht am Unterbau liegt.

Desto mehr Ebenen da zusätzlich kommen desto mehr Fehlerpotential entsteht halt.

tomtomtom schrieb:

Naja, kein Programm der Welt kann dir eine verschlüsselte Partition ohne den Schlüssel öffnen, dann wäre die Verschlüsselung auch herzlich sinnfrei.

Genau DAS hatte mich ja erst in die Irre geführt und jetzt irritiert!

Viele GUIs haben aber die Option, sich den eingegeben Schlüssel zu merken, wenn der Nutzer das wünscht (was wiederum eine Sicherheitslücke entstehen lässt).

Nur WO hat sich die GUI das gemerkt - DAS möchte ich wieder entfernen. Ich kann mich auch nicht erinnern, diesen "Wunsch" ausgedrückt/eingegeben zu haben.

Und klar, klick und Fenster kommt ist nutzerfreundlicher, aber darüber bekommt man dann erst recht nicht raus, wo das Problem liegt. Versuchst du es daher testweise manuell und es funktioniert, weißt du schon mal, dass es nicht am Unterbau liegt.

Da ich die "manuelle Version" nicht gefunden hatte, hatte ich dann HIER nachgefragt und bin dir für deine Antworten dankbar!
Aus dem Thema "wie eingebunden bekommen" wurde nun ein "Warum Nutzerpasswort aber kein Schlüssel" ..... und "wo liegen die Schlüssel" ....
Also Wissen gewonnen und dazugelernt 👍

Ist das ein neu aufgesetztes System oder sind die Daten im Homeverzeichnis von einer früheren Installation übernommen?

tomtomtom schrieb:

Ist das ein neu aufgesetztes System oder sind die Daten im Homeverzeichnis von einer früheren Installation übernommen?

Ja - das habe ich von ein paar Wochen mit LVM / Luks neu aufgesetzt - als Ersatz für mein Ubuntu.Mate18.04 das in der letzten Zeit plötzlich sehr langsam wurde und das ich schon länger in ein verschlüsseltes System umbauen wollte.

NEIN - es ist ein neues "home" - aber das alte "home" hab ich als extra Partition "HomeOld" eingebunden um auf die Daten zugreifen zu können.

Zu dem Umzug bzw. der von mir gewollten Zwischenlösung gab es einen längeren Thread (https://forum.ubuntuusers.de/topic/lvm-luks-eine-2-systempartition-einrichten/).
...weil ich im LVM-Bereich eine Kopie des Alten Systems nutzen wollte um dann - Schritt für Schritt - alles(notwendige) ins Neue zu übertragen - und trotzdem noch (mit Abstrichen) arbeitsfähig zu bleiben.

Quasi ne Operation am offenen Herzen ... Hab ich leider nicht hinbekommen.
Jetzt wechsele ich im BootModus /Grub2) hin und her um bestimmte/benötigte Funktionen des OldSystem zu suchen und dann im NeuenSystem nachbilden zu können.

Klingt etwas irre - Ist nicht schön - aber was solls....

LG Stefan

Nachtrag:
jetzt taucht ein weiteres Problem auf. Wenn ich eine längere Weile nichts eingegeben habe muss ich mich bei Ubuntu wieder/erneut anmelden (ich weiß leider nicht, wie man diesen Zwischenzustand nennt) - dann ist der USB-Stick bzw. die Partition nicht mehr eingehängt - und das Programm von dem Stick hängt sich auf ... (ist ja klar)

In den "alten/anderen" Systemen (Laptop und/oder Mate) ist der Stick nach dem Reaktivieren weiter entschlüsselt und eingehängt - und das Programm bleibt aktiv nutzbar.

Hmmm .....