Luks mit einmaliger Passworteingabe
-
- Beiträge: 497
- Registriert: 08.08.2015 15:03:09
- Wohnort: Schweiz Zürich
Luks mit einmaliger Passworteingabe
Hallo zusammen,
Ich versuche, eine LuksPartition dem bestehenden, verschlüsselten LVM System beizufügen. Es wurde also bereits zu Beginn, bei der Menuegeührten Grundinstallatin ein verschlüsselter Datenträger erstellt, darin dann ein lvm und anschliessend die Partitionen verteilt. Klappt wunderbar.
Wenn ich nun jedoch eine weitere verschlüsselte Partition mit einem lvm und einmaliger Passworteingabe bei Systemstart hinzufügen möchte, scheitere ich. Er frägt mir jeweils das Passwort zweimal ab, anstatt mit der einmaligen Eingabe des Passwortes alles lvm Partitionen zu entschlüsseln.
Hierbei gehe ich nach dieser Anleitung vor :
https://wiki.ubuntuusers.de/system_verschl%C3%BCsseln
Ich überschreibe erst die gesamte, zu verschlüsselnde Partition mit Zufallszahlen,
Erstelle per LuksFormat einen verschlüsselten Datenträger
In diesen erstelle ich eine neue volumegroup
In die soeben erstellte volumegroup erstelle ich eine logical volume
formatiere diese mit einem ext4 system
und binde das verschlüsselte device per UUID in die Crypttab. Das Logical Volume selbst binde ich in die fstab ein.
Wenn ich nun das System starte, werde ich zweimal aufgefordert, das Passwort einzugeben.
Weiss einer was ich falsch mache?
Ich versuche, eine LuksPartition dem bestehenden, verschlüsselten LVM System beizufügen. Es wurde also bereits zu Beginn, bei der Menuegeührten Grundinstallatin ein verschlüsselter Datenträger erstellt, darin dann ein lvm und anschliessend die Partitionen verteilt. Klappt wunderbar.
Wenn ich nun jedoch eine weitere verschlüsselte Partition mit einem lvm und einmaliger Passworteingabe bei Systemstart hinzufügen möchte, scheitere ich. Er frägt mir jeweils das Passwort zweimal ab, anstatt mit der einmaligen Eingabe des Passwortes alles lvm Partitionen zu entschlüsseln.
Hierbei gehe ich nach dieser Anleitung vor :
https://wiki.ubuntuusers.de/system_verschl%C3%BCsseln
Ich überschreibe erst die gesamte, zu verschlüsselnde Partition mit Zufallszahlen,
Erstelle per LuksFormat einen verschlüsselten Datenträger
In diesen erstelle ich eine neue volumegroup
In die soeben erstellte volumegroup erstelle ich eine logical volume
formatiere diese mit einem ext4 system
und binde das verschlüsselte device per UUID in die Crypttab. Das Logical Volume selbst binde ich in die fstab ein.
Wenn ich nun das System starte, werde ich zweimal aufgefordert, das Passwort einzugeben.
Weiss einer was ich falsch mache?
Re: Luks mit einmaliger Passworteingabe
Sinnvoller wär’s, du würdest hier schreiben, was du gemacht hast. Also Ein- und Ausgabe.Hierbei gehe ich nach dieser Anleitung vor : […]
Ansonsten: cryptsetup luksFormat /pfad/zum/device sollte etwa sowas liefern:
Code: Alles auswählen
niemand@arch_T400:~$ cryptsetup luksFormat /dev/sda1
WARNING!
========
Hiermit werden die Daten auf »/dev/sda1« unwiderruflich überschrieben.
Are you sure? (Type uppercase yes): YES
Passphrase eingeben:
Passphrase bestätigen:
niemand@arch_T400:~$
Re: Luks mit einmaliger Passworteingabe
Also wenn ich dich richtig verstehe hast du aktuell so eine Konfiguration:
Falls dem so sein sollte, ist es ganz normal, dass du für jeden der beiden LUKS Container ein Passwort eingeben musst.
Vielleicht möchstest du eher so etwas:
Du fasst also erst beide Festplatten in einer Volume Group zusammen und innerhalb dieser VG erstellst du ein Logical Volume, welches du mit LUKS verschlüsselst. In diesem LUKS Container erstellst du dann noch eine Volume Group in der sich dann alle deine LVs befinden, die verschlüsselt sein sollen. Eventuell könntest du auch ein RAID verwenden anstelle von VG 1 und LV 1.
Code: Alles auswählen
Festplatte 1 -> LUKS 1 -> VG 1 -> LV 1
Festplatte 2 -> LUKS 2 -> VG 2 -> LV 2
Vielleicht möchstest du eher so etwas:
Code: Alles auswählen
Festplatte 1 \ / LV 2
VG 1 -> LV 1 -> LUKS -> VG 2
Festplatte 2 / \ LV 3
Re: Luks mit einmaliger Passworteingabe
Wenn Du zwei LUKS-Container hast, dann ist es durchaus möglich, den Schlüssel für den zweiten im ersten abzulegen und damit automatisch für dessen Entschlüsselung zu verwenden. Dann wird beim Booten auch nur nach einer Passphrase für den ersten gefragt.
Nachteil ist, dass der zweite Key offen (unverschlüsselt) im Dateisystem des ersten Containers liegt. Kein Problem, solange der offline ist. Wenn der aber eingebunden ist, dann stehen nur noch die Benutzerrechte von root vor dem Auslesen dieses Schlüssels. Musst Du selbst entscheiden, ob das für Deinen Anwendungsfall ausreichend ist.
Nachteil ist, dass der zweite Key offen (unverschlüsselt) im Dateisystem des ersten Containers liegt. Kein Problem, solange der offline ist. Wenn der aber eingebunden ist, dann stehen nur noch die Benutzerrechte von root vor dem Auslesen dieses Schlüssels. Musst Du selbst entscheiden, ob das für Deinen Anwendungsfall ausreichend ist.
http://www.youtube.com/watch?v=PpUrMk3g_og (Angriff auf die Freiheit von Ilija Trojanow / Juli Zeh) - let’s encrypt
-
- Beiträge: 497
- Registriert: 08.08.2015 15:03:09
- Wohnort: Schweiz Zürich
Re: Luks mit einmaliger Passworteingabe
Hallo,WinMaik hat geschrieben:Also wenn ich dich richtig verstehe hast du aktuell so eine Konfiguration:Falls dem so sein sollte, ist es ganz normal, dass du für jeden der beiden LUKS Container ein Passwort eingeben musst.Code: Alles auswählen
Festplatte 1 -> LUKS 1 -> VG 1 -> LV 1 Festplatte 2 -> LUKS 2 -> VG 2 -> LV 2
Vielleicht möchstest du eher so etwas:Du fasst also erst beide Festplatten in einer Volume Group zusammen und innerhalb dieser VG erstellst du ein Logical Volume, welches du mit LUKS verschlüsselst. In diesem LUKS Container erstellst du dann noch eine Volume Group in der sich dann alle deine LVs befinden, die verschlüsselt sein sollen. Eventuell könntest du auch ein RAID verwenden anstelle von VG 1 und LV 1.Code: Alles auswählen
Festplatte 1 \ / LV 2 VG 1 -> LV 1 -> LUKS -> VG 2 Festplatte 2 / \ LV 3
Herzlichen Dank euch,
Das obige habe ich mit dem Debian Partitionierungsassistenten ausprobiert und das klappt auch wunderbar. Das Problem jedoch ist, dass ich eine SSD Partition und eine HD Partition so verschluesseln moechte, dass ich auf der SSD eine Systempartition mit allen Systemdaten erstellen und auf der HD Partition die Daten ablegen kann.
Wenn ich das obige Beispiel umsetze, habe ich jedoch einen grossen VG-Container der beide physische Partitionen umfasst, den ich den logischen Volumes zuteilen kann. So kann es sein, dass ein Teil der logical volume systempartition physisch auf der HD Partition liegt, anstelle alles auf der SSD Partition.
Wie muesste ich vorgehen, damit ich das logical volume mit dem system auf der SSD installieren und die logical volume partition fuer die daten auch auf der daten hd haben moechte und trotzdem alles mit einem passwort entschluesseln kann?
Zuletzt geändert von Trollkirsche am 08.11.2015 17:00:14, insgesamt 1-mal geändert.
Re: Luks mit einmaliger Passworteingabe
Achso okay, das war mir nicht bewusst. Unter diesen Umständen würde ich es vermutlich so machen wie gehrke es beschrieben hat.
-
- Beiträge: 497
- Registriert: 08.08.2015 15:03:09
- Wohnort: Schweiz Zürich
Re: Luks mit einmaliger Passworteingabe
Ok.. und wie geh ich da genau vor?WinMaik hat geschrieben:Achso okay, das war mir nicht bewusst. Unter diesen Umständen würde ich es vermutlich so machen wie gehrke es beschrieben hat.
Erstelle ich da 2 verschluesselte Datentraeger und darin dann die lvm?
Re: Luks mit einmaliger Passworteingabe
Ich habe das folgende nicht getestet, es sollte aber funktionieren. Ich hoffe du hast ein Backup parat, falls etwas schief geht.
Zuerst legst du einen Schlüssel an, z.B. so:
Diesen Schlüssel würde ich auf der SSD ablegen um damit dann automatisch die Datenplatte zu entschlüsseln.
Dann fügst du den Schlüssel zu dem LUKS Container der Datenplatte hinzu:
Dabei wirst du nach dem Passwort gefragt, mit dem sich die Partition aktuell entschlüsseln lässt.
Jetzt musst du eigentlich nur noch den Eintrag in /etc/crypttab anpassen:
Anschließend könntest du noch das LUKS Passwort für die Datenpartition löschen, ich würde das aber sicherheitshalber nicht tun, damit du im Notfall auch ohne die Schlüsseldatei noch an die Daten kommst.
Zuerst legst du einen Schlüssel an, z.B. so:
Code: Alles auswählen
dd if=/dev/random of=/path/to/key bs=1k count=4
Dann fügst du den Schlüssel zu dem LUKS Container der Datenplatte hinzu:
Code: Alles auswählen
cryptsetup luksAddKey /dev/disk/by-uuid/$uuid_der_datenpartition /path/to/key
Jetzt musst du eigentlich nur noch den Eintrag in /etc/crypttab anpassen:
Code: Alles auswählen
daten /dev/disk/by-uuid/$uuid_der_datenpartition /path/to/key luks
Re: Luks mit einmaliger Passworteingabe
Ich habe das Setup mal so wie von WinMaik beschrieben umgesetzt, allerdings unter openSUSE:
http://forum.linux-club.de/viewtopic.php?f=90&t=119008
Sehe keinen Grund, warum das nicht auch unter Debian funktionieren sollte.
http://forum.linux-club.de/viewtopic.php?f=90&t=119008
Sehe keinen Grund, warum das nicht auch unter Debian funktionieren sollte.
http://www.youtube.com/watch?v=PpUrMk3g_og (Angriff auf die Freiheit von Ilija Trojanow / Juli Zeh) - let’s encrypt
-
- Beiträge: 497
- Registriert: 08.08.2015 15:03:09
- Wohnort: Schweiz Zürich
Re: Luks mit einmaliger Passworteingabe
Hallo zusammen,WinMaik hat geschrieben:Ich habe das folgende nicht getestet, es sollte aber funktionieren. Ich hoffe du hast ein Backup parat, falls etwas schief geht.
Zuerst legst du einen Schlüssel an, z.B. so:Diesen Schlüssel würde ich auf der SSD ablegen um damit dann automatisch die Datenplatte zu entschlüsseln.Code: Alles auswählen
dd if=/dev/random of=/path/to/key bs=1k count=4
Dann fügst du den Schlüssel zu dem LUKS Container der Datenplatte hinzu:Dabei wirst du nach dem Passwort gefragt, mit dem sich die Partition aktuell entschlüsseln lässt.Code: Alles auswählen
cryptsetup luksAddKey /dev/disk/by-uuid/$uuid_der_datenpartition /path/to/key
Jetzt musst du eigentlich nur noch den Eintrag in /etc/crypttab anpassen:Anschließend könntest du noch das LUKS Passwort für die Datenpartition löschen, ich würde das aber sicherheitshalber nicht tun, damit du im Notfall auch ohne die Schlüsseldatei noch an die Daten kommst.Code: Alles auswählen
daten /dev/disk/by-uuid/$uuid_der_datenpartition /path/to/key luks
Ich probiers grad mit dem decrypted-derived script. Damit soll es möglich sein, die Passphrase von einer Ursprungspartition abzuleiten, ohne das Passwort im Klartext im Dateisystem ablegen zu müssen :
https://wiki.ubuntuusers.de/LUKS/Schl%C ... lableitung
Doch auch damit komme ich nicht zum Ziel. Hab alles so befolgt, aber wenn ich das System neustarte verlangt er mir wieder das Passwort doppelt. Folgendes habe ich gemacht :
Code: Alles auswählen
sudo -s
/lib/cryptsetup/scripts/decrypt_derived sdf6_crypt | cryptsetup -c serpent-xts-plain64 -s 512 -h sha512 luksFormat /dev/sdd3
/lib/cryptsetup/scripts/decrypt_derived sdf6_crypt | cryptsetup luksOpen /dev/sdd3 sdd3_crypt
pvcreate /dev/mapper/sdd3_crypt
vgcreate datalinuxvg /dev/mapper/sdd3_crypt
lvcreate -l 100%FREE -n datalinuxlv datalinuxvg
mkfs.ext4 /dev/mapper/datalinuxvg-datalinuxlv -L DataLinux
Code: Alles auswählen
sdd3_crypt UUID=XX-XX-XX-XX-XX-XX sdf6_crypt luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
edit: Habe es grad nochmal probiert und erhalte folgende Fehlermeldung :
Code: Alles auswählen
vcreate -l 100%FREE -n datalinuxlv datalinuxvg
allocation/use_blkid_wiping=1 configuration setting is set while LVM is not compiled with blkid wiping support.
Falling back to native LVM signature detection.
Logical volume "datalinuxlv" created.
Re: Luks mit einmaliger Passworteingabe
Klappt es denn wenn du das Volumen über cryptsetup luksOpen öffnest oder wird da auch nach dem Passwort gefragt?
Hast du die initrd neu gebaut?
Hast du die initrd neu gebaut?
-
- Beiträge: 497
- Registriert: 08.08.2015 15:03:09
- Wohnort: Schweiz Zürich
Re: Luks mit einmaliger Passworteingabe
Ups, hab ich vergessen.WinMaik hat geschrieben:Klappt es denn wenn du das Volumen über cryptsetup luksOpen öffnest oder wird da auch nach dem Passwort gefragt?
Hast du die initrd neu gebaut?
Hab das alles nochmals gemacht inkl. update, es bleibt beim gleichen Resultat. Nach einem Neustart erscheint die erste Passwortabfrage, dann die 2. Ich kriegs nicht hin...
Re: Luks mit einmaliger Passworteingabe
Dafür liegt der key unverschlüsselt im LUKS-Header Sehe da keinen Vorteil. Dafür fliegt's dir um die Ohren, wenn du Systemd verwendest.Trollkirsche hat geschrieben:Ich probiers grad mit dem decrypted-derived script. Damit soll es möglich sein, die Passphrase von einer Ursprungspartition abzuleiten, ohne das Passwort im Klartext im Dateisystem ablegen zu müssen
Defakto ist das sowieso eigentlich immer möglich als Root zumindest den Masterkey auszulesen.
rot: Moderator wanne spricht, default: User wanne spricht.
-
- Beiträge: 497
- Registriert: 08.08.2015 15:03:09
- Wohnort: Schweiz Zürich
Re: Luks mit einmaliger Passworteingabe
Hallo zusammen,wanne hat geschrieben:Dafür liegt der key unverschlüsselt im LUKS-Header Sehe da keinen Vorteil. Dafür fliegt's dir um die Ohren, wenn du Systemd verwendest.Trollkirsche hat geschrieben:Ich probiers grad mit dem decrypted-derived script. Damit soll es möglich sein, die Passphrase von einer Ursprungspartition abzuleiten, ohne das Passwort im Klartext im Dateisystem ablegen zu müssen
Defakto ist das sowieso eigentlich immer möglich als Root zumindest den Masterkey auszulesen.
Ha! Ich habs nicht hingekriegt

Danke auf alle Fälle für den Hinweis, werde bei Gelegenheit etwas tiefer in die Thematik einsteigen.
Ich habs jetzt mit der Schlüsseldatei gemacht, die ich in einem Ordner auf dem / hinterlegt habe. Der Ordner hat den Eigentümer und die Gruppe root. Klappt alles wunderbar.
Welche Rechte benötigt eigentlich der Ordner und die Datei? Genügen lediglich leserechte für den Benutzer selbst auf dem Ordner und den Benutzer?
Ich hab das System mit dem Installationsassistenten partitioniert. Wenn ich richtig liege, dann müsste ich den Schlüssel selbst per Cryptsetup ändern und die Schlüsseldatei anpassen, sollte ich irgendwann mal das Passwort für das gesamte System ändern wollen?
Wo liegen die Sicherheitsrisiken und was kann ich tun, um mein System mit diesem Konzept noch besser zu stählen? Habt ihr noch irgendwelche Ideen und Vorschläge?
Bis dann!
Re: Luks mit einmaliger Passworteingabe
So mache ich das auch.Trollkirsche hat geschrieben:Ich habs jetzt mit der Schlüsseldatei gemacht, die ich in einem Ordner auf dem / hinterlegt habe. Der Ordner hat den Eigentümer und die Gruppe root. Klappt alles wunderbar.
Rein theoretisch reichchen da gar keine Rechte zu setzen (000).Trollkirsche hat geschrieben:Welche Rechte benötigt eigentlich der Ordner und die Datei?
Ich würde vorsichtshalber trotzdemmal
root:disk und 110 für den Ordner und 440 für die Datei setzen.
Ja. Würde aber einfach irgend welche wirklich schwierigen "Passwörter" vergeben.Trollkirsche hat geschrieben:Wenn ich richtig liege, dann müsste ich den Schlüssel selbst per Cryptsetup ändern und die Schlüsseldatei anpassen, sollte ich irgendwann mal das Passwort für das gesamte System ändern wollen?
Irgend wie sowas:
(32Byte sind 256Bit => Alle von LUKS angebotenen Algorithmen sind deutlicher einfacher zu knacken.)
Code: Alles auswählen
openssl rand -rand /dev/urandom 32 > /hdpws/sda1
Code: Alles auswählen
openssl rand -base64 -rand /dev/urandom 32 > /hdpws/sda1

Da gibt's dann keinen Grund mehr die auszutauschen.
rot: Moderator wanne spricht, default: User wanne spricht.
-
- Beiträge: 497
- Registriert: 08.08.2015 15:03:09
- Wohnort: Schweiz Zürich
Re: Luks mit einmaliger Passworteingabe
Herzlichen Dank! Ich habe jedoch bei der Gruppe "root" gesetzt. Gibt es einen grund, warum du die Gruppe "disk" zuweist?Rein theoretisch reichchen da gar keine Rechte zu setzen (000). Ich würde vorsichtshalber trotzdemmal root:disk und 110 für den Ordner und 440 für die Datei setzen.
Das heisst ich wähle in der Schlüsseldatei ein extrem starkes Passwort und hinterlege dieses und ändere dann jeweils nur das Passwort beim Startvorgang selbst? In dem Falle wären das Hauptpasswort zum Entschlüsseln und das Passwort in der Datei selbst verschieden?Ja. Würde aber einfach irgend welche wirklich schwierigen "Passwörter" vergeben. Irgend wie sowas:
(32Byte sind 256Bit => Alle von LUKS angebotenen Algorithmen sind deutlicher einfacher zu knacken.)
Re: Luks mit einmaliger Passworteingabe
Weiß nicht, dass macht Debian bei allen sachen, die zum mounten notwendig sind.Trollkirsche hat geschrieben:Herzlichen Dank! Ich habe jedoch bei der Gruppe "root" gesetzt. Gibt es einen grund, warum du die Gruppe "disk" zuweist?
? Ich blicke nicht so richtig was du willst.Trollkirsche hat geschrieben:Das heisst ich wähle in der Schlüsseldatei ein extrem starkes Passwort und hinterlege dieses und ändere dann jeweils nur das Passwort beim Startvorgang selbst? In dem Falle wären das Hauptpasswort zum Entschlüsseln und das Passwort in der Datei selbst verschieden?
LUKS ermöglicht es mehrere Passwörter zum entschlüsseln von Partitionen zu vergeben. (cryptsetup luksAddKey)
Ist aber erstmal total irrelevant: Die Idee ist folgende: Du hast / mit deinem Passowrt. (Das du dir merken kannst und das du auch eingibst.)
Alle anderen Partitionen haben ein extrem kompliziertes unmerkbares zufälliges Passwort.
(Generiert wie oben und dann mit luksFormat --key-file oder luksAddKey --key-file hinzugefügt.)
Sie werden automatisch mit dem entsprechenden passwort aus dem File entschlüsselt.
crypttab-Beispiel:
Code: Alles auswählen
ext_home /dev/disk/by-partlabel/home /etc/pws/hompw luks,nofail
Du kannst den entsprechenden Partitionen auch noch einen weiteres Notfallpasswort verpassen, das du kennst und eingeben kannst. Kannst du aber auch sein lassen.
rot: Moderator wanne spricht, default: User wanne spricht.
Re: Luks mit einmaliger Passworteingabe
Seit systemd reicht die einmalige Eingabe des luks-Passworts beim Hochfahren, wenn weitere zu entschlüsselnde Devices das gleiche luks-Passwort haben.
Ist bei mir zumindest so. Weiß jemand auch, warum das so ist? Ich habe das ja mehr zufällig festgestellt...
Ist bei mir zumindest so. Weiß jemand auch, warum das so ist? Ich habe das ja mehr zufällig festgestellt...
Re: Luks mit einmaliger Passworteingabe
Das war bei vielen Distros schon vorher so. Die probieren halt bei jedem einmal aus. Kostet wenig und bringt enormen Komfort: Gerade wenn man 5 HDs mit unterschiedlichen Passwörtern hat und an der abfrage nicht erkennen kann, welches zu welchem gehört, ist man verdammt froh, wenn man nur 5 statt im schnitt 9 pws ausprobieren muss.
rot: Moderator wanne spricht, default: User wanne spricht.
-
- Beiträge: 497
- Registriert: 08.08.2015 15:03:09
- Wohnort: Schweiz Zürich
Re: Luks mit einmaliger Passworteingabe
Ja, das war genau das, was ich wissen sollte, vielen Dank! Das heisst die Passwörter sind nicht verlinkt, sondern werden physisch direkt beim Erstellen der verschlüsselten Partiton hinterlegt. Ich muss also jeweils das Passwort in der Partition selbst ändern, wie auch die Schlüsseldatei selbst.wanne hat geschrieben:Weiß nicht, dass macht Debian bei allen sachen, die zum mounten notwendig sind.Trollkirsche hat geschrieben:Herzlichen Dank! Ich habe jedoch bei der Gruppe "root" gesetzt. Gibt es einen grund, warum du die Gruppe "disk" zuweist?
? Ich blicke nicht so richtig was du willst.Trollkirsche hat geschrieben:Das heisst ich wähle in der Schlüsseldatei ein extrem starkes Passwort und hinterlege dieses und ändere dann jeweils nur das Passwort beim Startvorgang selbst? In dem Falle wären das Hauptpasswort zum Entschlüsseln und das Passwort in der Datei selbst verschieden?
LUKS ermöglicht es mehrere Passwörter zum entschlüsseln von Partitionen zu vergeben. (cryptsetup luksAddKey)
Ist aber erstmal total irrelevant: Die Idee ist folgende: Du hast / mit deinem Passowrt. (Das du dir merken kannst und das du auch eingibst.)
Alle anderen Partitionen haben ein extrem kompliziertes unmerkbares zufälliges Passwort.
(Generiert wie oben und dann mit luksFormat --key-file oder luksAddKey --key-file hinzugefügt.)
Sie werden automatisch mit dem entsprechenden passwort aus dem File entschlüsselt.
crypttab-Beispiel:Wer / entschlüsseln kann bekommt die Passwörter. Ohne hat man keine Chance. Weil 256 Zufallsbits raten ist einfach unmöglich.Code: Alles auswählen
ext_home /dev/disk/by-partlabel/home /etc/pws/hompw luks,nofail
Du kannst den entsprechenden Partitionen auch noch einen weiteres Notfallpasswort verpassen, das du kennst und eingeben kannst. Kannst du aber auch sein lassen.
Ich hab jedoch grad ein Problem beim erstellen der lvm. Ich erhalte trotz update-initramfs diese Meldung :
Code: Alles auswählen
pvcreate /dev/mapper/sdb2_crypt
allocation/use_blkid_wiping=1 configuration setting is set while LVM is not compiled with blkid wiping support.
Falling back to native LVM signature detection.
Physical volume "/dev/mapper/sdb2_crypt" successfully created
Code: Alles auswählen
db2_crypt UUID=4f5c67a6-2f47d-413b1-2d91-3466321afd42b3 /root/pw luks
https://wiki.ubuntuusers.de/system_verschl%C3%BCsseln
Auch der update-initramfs Befehl wurde nicht vergessen. Trotzdem erhalte ich, wenn ich das gemappte, entschlüsselte Laufwerk anwähle, sowas wie : Legitimation zum Einhängen von /dev/vgdrive/lvdrive erforderlich. Er scheint einen falschen Pfad zu referenzieren, also nicht /dev/mapper/vgdrive-lvdrive.
Was mach ich falsch?
Re: Luks mit einmaliger Passworteingabe
Geh mal zurück auf null.
Du willst deine system-Partition auf deiner SSD haben und die normale Harddisk soll zur Daten-Partition werden. Alles verschlüsselt. Für dieses Setup brauchst du kein lvm, da sehe ich keinen Sinn darin.
Ist der Rechner ein EFI Rechner? Wenn ja, dann brauchst du eine eigene Partition für den EFI bootloader.
Ich wurde das so machen: 3 Partitionen auf der SSD für /boot , /boot/efi und / . Hier wird nur die Partition / verschlüsselt. Auf der Harddisk legst du 2 Partitionen an, eine für /home und eine für den swap . diese werden verschlüsselt.
Wenn du jetzt allen verschlüsselten Partitionen das gleiche Passwort gibst, musst du bei Hochfahren nur einmal ein Passwort eingeben. Den Rest macht das System. Dieses Setup kann man bei einer Neuinstallation per Debian Installiert anlegen. Der zickt zwar manchmal sinnlos rum, aber es klappt dann doch.
Du gehst dabei immer nach dem gleichen Schema vor: Partition anlegen und dann verschlüsselte Partition anlegen. Wenn du genauere Infos brauchst, zB zur Größe der jeweiligen Partitionen, dann melden dich.
Du willst deine system-Partition auf deiner SSD haben und die normale Harddisk soll zur Daten-Partition werden. Alles verschlüsselt. Für dieses Setup brauchst du kein lvm, da sehe ich keinen Sinn darin.
Ist der Rechner ein EFI Rechner? Wenn ja, dann brauchst du eine eigene Partition für den EFI bootloader.
Ich wurde das so machen: 3 Partitionen auf der SSD für /boot , /boot/efi und / . Hier wird nur die Partition / verschlüsselt. Auf der Harddisk legst du 2 Partitionen an, eine für /home und eine für den swap . diese werden verschlüsselt.
Wenn du jetzt allen verschlüsselten Partitionen das gleiche Passwort gibst, musst du bei Hochfahren nur einmal ein Passwort eingeben. Den Rest macht das System. Dieses Setup kann man bei einer Neuinstallation per Debian Installiert anlegen. Der zickt zwar manchmal sinnlos rum, aber es klappt dann doch.
Du gehst dabei immer nach dem gleichen Schema vor: Partition anlegen und dann verschlüsselte Partition anlegen. Wenn du genauere Infos brauchst, zB zur Größe der jeweiligen Partitionen, dann melden dich.