Luks mit einmaliger Passworteingabe

[Trollkirsche]

Hallo zusammen,

Ich versuche, eine LuksPartition dem bestehenden, verschlüsselten LVM System beizufügen. Es wurde also bereits zu Beginn, bei der Menuegeührten Grundinstallatin ein verschlüsselter Datenträger erstellt, darin dann ein lvm und anschliessend die Partitionen verteilt. Klappt wunderbar.

Wenn ich nun jedoch eine weitere verschlüsselte Partition mit einem lvm und einmaliger Passworteingabe bei Systemstart hinzufügen möchte, scheitere ich. Er frägt mir jeweils das Passwort zweimal ab, anstatt mit der einmaligen Eingabe des Passwortes alles lvm Partitionen zu entschlüsseln.

Hierbei gehe ich nach dieser Anleitung vor :

https://wiki.ubuntuusers.de/system_verschl%C3%BCsseln

Ich überschreibe erst die gesamte, zu verschlüsselnde Partition mit Zufallszahlen,
Erstelle per LuksFormat einen verschlüsselten Datenträger
In diesen erstelle ich eine neue volumegroup
In die soeben erstellte volumegroup erstelle ich eine logical volume
formatiere diese mit einem ext4 system

und binde das verschlüsselte device per UUID in die Crypttab. Das Logical Volume selbst binde ich in die fstab ein.

Wenn ich nun das System starte, werde ich zweimal aufgefordert, das Passwort einzugeben.

Weiss einer was ich falsch mache?

[DeletedUserReAsG]

Hierbei gehe ich nach dieser Anleitung vor : […]

Sinnvoller wär’s, du würdest hier schreiben, was du gemacht hast. Also Ein- und Ausgabe.

Ansonsten: cryptsetup luksFormat /pfad/zum/device sollte etwa sowas liefern:

Code: Alles auswählen

niemand@arch_T400:~$ cryptsetup luksFormat /dev/sda1

WARNING!
========
Hiermit werden die Daten auf »/dev/sda1« unwiderruflich überschrieben.

Are you sure? (Type uppercase yes): YES
Passphrase eingeben: 
Passphrase bestätigen: 
niemand@arch_T400:~$ 

… und anschließend sollte sich das Ganze via cryptsetup luksOpen /pfad/zum/device name && mkfs.ext4 /dev/mapper/name formatieren lassen und zur Verfügung stehen.

[WinMaik]

Also wenn ich dich richtig verstehe hast du aktuell so eine Konfiguration:

Code: Alles auswählen

Festplatte 1 -> LUKS 1 -> VG 1 -> LV 1
Festplatte 2 -> LUKS 2 -> VG 2 -> LV 2

Falls dem so sein sollte, ist es ganz normal, dass du für jeden der beiden LUKS Container ein Passwort eingeben musst.

Vielleicht möchstest du eher so etwas:

Code: Alles auswählen

Festplatte 1  \                              / LV 2
                VG 1 -> LV 1 -> LUKS -> VG 2 
Festplatte 2  /                              \ LV 3

Du fasst also erst beide Festplatten in einer Volume Group zusammen und innerhalb dieser VG erstellst du ein Logical Volume, welches du mit LUKS verschlüsselst. In diesem LUKS Container erstellst du dann noch eine Volume Group in der sich dann alle deine LVs befinden, die verschlüsselt sein sollen. Eventuell könntest du auch ein RAID verwenden anstelle von VG 1 und LV 1.

[gehrke]

Wenn Du zwei LUKS-Container hast, dann ist es durchaus möglich, den Schlüssel für den zweiten im ersten abzulegen und damit automatisch für dessen Entschlüsselung zu verwenden. Dann wird beim Booten auch nur nach einer Passphrase für den ersten gefragt.

Nachteil ist, dass der zweite Key offen (unverschlüsselt) im Dateisystem des ersten Containers liegt. Kein Problem, solange der offline ist. Wenn der aber eingebunden ist, dann stehen nur noch die Benutzerrechte von root vor dem Auslesen dieses Schlüssels. Musst Du selbst entscheiden, ob das für Deinen Anwendungsfall ausreichend ist.

[Trollkirsche]

Also wenn ich dich richtig verstehe hast du aktuell so eine Konfiguration:

Code: Alles auswählen

Festplatte 1 -> LUKS 1 -> VG 1 -> LV 1
Festplatte 2 -> LUKS 2 -> VG 2 -> LV 2

Falls dem so sein sollte, ist es ganz normal, dass du für jeden der beiden LUKS Container ein Passwort eingeben musst.

Vielleicht möchstest du eher so etwas:

Code: Alles auswählen

Festplatte 1  \                              / LV 2
                VG 1 -> LV 1 -> LUKS -> VG 2 
Festplatte 2  /                              \ LV 3

Du fasst also erst beide Festplatten in einer Volume Group zusammen und innerhalb dieser VG erstellst du ein Logical Volume, welches du mit LUKS verschlüsselst. In diesem LUKS Container erstellst du dann noch eine Volume Group in der sich dann alle deine LVs befinden, die verschlüsselt sein sollen. Eventuell könntest du auch ein RAID verwenden anstelle von VG 1 und LV 1.

Hallo,

Herzlichen Dank euch,

Das obige habe ich mit dem Debian Partitionierungsassistenten ausprobiert und das klappt auch wunderbar. Das Problem jedoch ist, dass ich eine SSD Partition und eine HD Partition so verschluesseln moechte, dass ich auf der SSD eine Systempartition mit allen Systemdaten erstellen und auf der HD Partition die Daten ablegen kann.

Wenn ich das obige Beispiel umsetze, habe ich jedoch einen grossen VG-Container der beide physische Partitionen umfasst, den ich den logischen Volumes zuteilen kann. So kann es sein, dass ein Teil der logical volume systempartition physisch auf der HD Partition liegt, anstelle alles auf der SSD Partition.

Wie muesste ich vorgehen, damit ich das logical volume mit dem system auf der SSD installieren und die logical volume partition fuer die daten auch auf der daten hd haben moechte und trotzdem alles mit einem passwort entschluesseln kann?

[WinMaik]

Achso okay, das war mir nicht bewusst. Unter diesen Umständen würde ich es vermutlich so machen wie gehrke es beschrieben hat.

[Trollkirsche]

Achso okay, das war mir nicht bewusst. Unter diesen Umständen würde ich es vermutlich so machen wie gehrke es beschrieben hat.

Ok.. und wie geh ich da genau vor?

Erstelle ich da 2 verschluesselte Datentraeger und darin dann die lvm?

[WinMaik]

Ich habe das folgende nicht getestet, es sollte aber funktionieren. Ich hoffe du hast ein Backup parat, falls etwas schief geht.

Zuerst legst du einen Schlüssel an, z.B. so:

Code: Alles auswählen

dd if=/dev/random of=/path/to/key bs=1k count=4

Diesen Schlüssel würde ich auf der SSD ablegen um damit dann automatisch die Datenplatte zu entschlüsseln.

Dann fügst du den Schlüssel zu dem LUKS Container der Datenplatte hinzu:

Code: Alles auswählen

cryptsetup luksAddKey /dev/disk/by-uuid/$uuid_der_datenpartition /path/to/key

Dabei wirst du nach dem Passwort gefragt, mit dem sich die Partition aktuell entschlüsseln lässt.

Jetzt musst du eigentlich nur noch den Eintrag in /etc/crypttab anpassen:

Code: Alles auswählen

daten /dev/disk/by-uuid/$uuid_der_datenpartition /path/to/key luks

Anschließend könntest du noch das LUKS Passwort für die Datenpartition löschen, ich würde das aber sicherheitshalber nicht tun, damit du im Notfall auch ohne die Schlüsseldatei noch an die Daten kommst.

[gehrke]

Ich habe das Setup mal so wie von WinMaik beschrieben umgesetzt, allerdings unter openSUSE:
http://forum.linux-club.de/viewtopic.php?f=90&t=119008
Sehe keinen Grund, warum das nicht auch unter Debian funktionieren sollte.

[Trollkirsche]

Ich habe das folgende nicht getestet, es sollte aber funktionieren. Ich hoffe du hast ein Backup parat, falls etwas schief geht.

Zuerst legst du einen Schlüssel an, z.B. so:

Code: Alles auswählen

dd if=/dev/random of=/path/to/key bs=1k count=4

Diesen Schlüssel würde ich auf der SSD ablegen um damit dann automatisch die Datenplatte zu entschlüsseln.

Dann fügst du den Schlüssel zu dem LUKS Container der Datenplatte hinzu:

Code: Alles auswählen

cryptsetup luksAddKey /dev/disk/by-uuid/$uuid_der_datenpartition /path/to/key

Dabei wirst du nach dem Passwort gefragt, mit dem sich die Partition aktuell entschlüsseln lässt.

Jetzt musst du eigentlich nur noch den Eintrag in /etc/crypttab anpassen:

Code: Alles auswählen

daten /dev/disk/by-uuid/$uuid_der_datenpartition /path/to/key luks

Anschließend könntest du noch das LUKS Passwort für die Datenpartition löschen, ich würde das aber sicherheitshalber nicht tun, damit du im Notfall auch ohne die Schlüsseldatei noch an die Daten kommst.

Hallo zusammen,

Ich probiers grad mit dem decrypted-derived script. Damit soll es möglich sein, die Passphrase von einer Ursprungspartition abzuleiten, ohne das Passwort im Klartext im Dateisystem ablegen zu müssen :

https://wiki.ubuntuusers.de/LUKS/Schl%C ... lableitung

Doch auch damit komme ich nicht zum Ziel. Hab alles so befolgt, aber wenn ich das System neustarte verlangt er mir wieder das Passwort doppelt. Folgendes habe ich gemacht :

Code: Alles auswählen

sudo -s
/lib/cryptsetup/scripts/decrypt_derived sdf6_crypt | cryptsetup -c serpent-xts-plain64 -s 512 -h sha512 luksFormat /dev/sdd3
/lib/cryptsetup/scripts/decrypt_derived sdf6_crypt | cryptsetup luksOpen /dev/sdd3 sdd3_crypt
pvcreate /dev/mapper/sdd3_crypt 
vgcreate datalinuxvg /dev/mapper/sdd3_crypt
lvcreate -l 100%FREE -n datalinuxlv datalinuxvg
mkfs.ext4 /dev/mapper/datalinuxvg-datalinuxlv -L DataLinux

Anschliessend versuch ichs in der /etc/crypttab einzufügen:

Code: Alles auswählen

sdd3_crypt         UUID=XX-XX-XX-XX-XX-XX         sdf6_crypt           luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived

edit: Habe es grad nochmal probiert und erhalte folgende Fehlermeldung :

Code: Alles auswählen

vcreate -l 100%FREE -n datalinuxlv datalinuxvg
allocation/use_blkid_wiping=1 configuration setting is set while LVM is not compiled with blkid wiping support.
 Falling back to native LVM signature detection.
Logical volume "datalinuxlv" created.

Weiss einer was ich falsch mach?

[WinMaik]

Klappt es denn wenn du das Volumen über cryptsetup luksOpen öffnest oder wird da auch nach dem Passwort gefragt?
Hast du die initrd neu gebaut?

[Trollkirsche]

Klappt es denn wenn du das Volumen über cryptsetup luksOpen öffnest oder wird da auch nach dem Passwort gefragt?
Hast du die initrd neu gebaut?

Ups, hab ich vergessen.

Hab das alles nochmals gemacht inkl. update, es bleibt beim gleichen Resultat. Nach einem Neustart erscheint die erste Passwortabfrage, dann die 2. Ich kriegs nicht hin...

[wanne]

Ich probiers grad mit dem decrypted-derived script. Damit soll es möglich sein, die Passphrase von einer Ursprungspartition abzuleiten, ohne das Passwort im Klartext im Dateisystem ablegen zu müssen

Dafür liegt der key unverschlüsselt im LUKS-Header Sehe da keinen Vorteil. Dafür fliegt's dir um die Ohren, wenn du Systemd verwendest.
Defakto ist das sowieso eigentlich immer möglich als Root zumindest den Masterkey auszulesen.

[Trollkirsche]

Ich probiers grad mit dem decrypted-derived script. Damit soll es möglich sein, die Passphrase von einer Ursprungspartition abzuleiten, ohne das Passwort im Klartext im Dateisystem ablegen zu müssen

Dafür liegt der key unverschlüsselt im LUKS-Header Sehe da keinen Vorteil. Dafür fliegt's dir um die Ohren, wenn du Systemd verwendest.
Defakto ist das sowieso eigentlich immer möglich als Root zumindest den Masterkey auszulesen.

Hallo zusammen,

Ha! Ich habs nicht hingekriegt

Danke auf alle Fälle für den Hinweis, werde bei Gelegenheit etwas tiefer in die Thematik einsteigen.

Ich habs jetzt mit der Schlüsseldatei gemacht, die ich in einem Ordner auf dem / hinterlegt habe. Der Ordner hat den Eigentümer und die Gruppe root. Klappt alles wunderbar.

Welche Rechte benötigt eigentlich der Ordner und die Datei? Genügen lediglich leserechte für den Benutzer selbst auf dem Ordner und den Benutzer?

Ich hab das System mit dem Installationsassistenten partitioniert. Wenn ich richtig liege, dann müsste ich den Schlüssel selbst per Cryptsetup ändern und die Schlüsseldatei anpassen, sollte ich irgendwann mal das Passwort für das gesamte System ändern wollen?

Wo liegen die Sicherheitsrisiken und was kann ich tun, um mein System mit diesem Konzept noch besser zu stählen? Habt ihr noch irgendwelche Ideen und Vorschläge?

Bis dann!

[wanne]

Ich habs jetzt mit der Schlüsseldatei gemacht, die ich in einem Ordner auf dem / hinterlegt habe. Der Ordner hat den Eigentümer und die Gruppe root. Klappt alles wunderbar.

So mache ich das auch.

Welche Rechte benötigt eigentlich der Ordner und die Datei?

Rein theoretisch reichchen da gar keine Rechte zu setzen (000).
Ich würde vorsichtshalber trotzdemmal
root:disk und 110 für den Ordner und 440 für die Datei setzen.

Wenn ich richtig liege, dann müsste ich den Schlüssel selbst per Cryptsetup ändern und die Schlüsseldatei anpassen, sollte ich irgendwann mal das Passwort für das gesamte System ändern wollen?

Ja. Würde aber einfach irgend welche wirklich schwierigen "Passwörter" vergeben.
Irgend wie sowas:
(32Byte sind 256Bit => Alle von LUKS angebotenen Algorithmen sind deutlicher einfacher zu knacken.)

Code: Alles auswählen

openssl rand -rand /dev/urandom 32 > /hdpws/sda1

Oder wenn es lesbar sein soll:

Code: Alles auswählen

openssl rand -base64 -rand /dev/urandom 32 > /hdpws/sda1

(Der Openssl Zufallsgenerator ist unter Debian traditionell besonder gut )

Da gibt's dann keinen Grund mehr die auszutauschen.

[Trollkirsche]

Rein theoretisch reichchen da gar keine Rechte zu setzen (000). Ich würde vorsichtshalber trotzdemmal root:disk und 110 für den Ordner und 440 für die Datei setzen.

Herzlichen Dank! Ich habe jedoch bei der Gruppe "root" gesetzt. Gibt es einen grund, warum du die Gruppe "disk" zuweist?

Ja. Würde aber einfach irgend welche wirklich schwierigen "Passwörter" vergeben. Irgend wie sowas:
(32Byte sind 256Bit => Alle von LUKS angebotenen Algorithmen sind deutlicher einfacher zu knacken.)

Das heisst ich wähle in der Schlüsseldatei ein extrem starkes Passwort und hinterlege dieses und ändere dann jeweils nur das Passwort beim Startvorgang selbst? In dem Falle wären das Hauptpasswort zum Entschlüsseln und das Passwort in der Datei selbst verschieden?

[wanne]

Herzlichen Dank! Ich habe jedoch bei der Gruppe "root" gesetzt. Gibt es einen grund, warum du die Gruppe "disk" zuweist?

Weiß nicht, dass macht Debian bei allen sachen, die zum mounten notwendig sind.

Das heisst ich wähle in der Schlüsseldatei ein extrem starkes Passwort und hinterlege dieses und ändere dann jeweils nur das Passwort beim Startvorgang selbst? In dem Falle wären das Hauptpasswort zum Entschlüsseln und das Passwort in der Datei selbst verschieden?

? Ich blicke nicht so richtig was du willst.
LUKS ermöglicht es mehrere Passwörter zum entschlüsseln von Partitionen zu vergeben. (cryptsetup luksAddKey)
Ist aber erstmal total irrelevant: Die Idee ist folgende: Du hast / mit deinem Passowrt. (Das du dir merken kannst und das du auch eingibst.)
Alle anderen Partitionen haben ein extrem kompliziertes unmerkbares zufälliges Passwort.
(Generiert wie oben und dann mit luksFormat --key-file oder luksAddKey --key-file hinzugefügt.)
Sie werden automatisch mit dem entsprechenden passwort aus dem File entschlüsselt.
crypttab-Beispiel:

Code: Alles auswählen

ext_home   /dev/disk/by-partlabel/home /etc/pws/hompw luks,nofail

Wer / entschlüsseln kann bekommt die Passwörter. Ohne hat man keine Chance. Weil 256 Zufallsbits raten ist einfach unmöglich.
Du kannst den entsprechenden Partitionen auch noch einen weiteres Notfallpasswort verpassen, das du kennst und eingeben kannst. Kannst du aber auch sein lassen.

[debianoli]

Seit systemd reicht die einmalige Eingabe des luks-Passworts beim Hochfahren, wenn weitere zu entschlüsselnde Devices das gleiche luks-Passwort haben.
Ist bei mir zumindest so. Weiß jemand auch, warum das so ist? Ich habe das ja mehr zufällig festgestellt...

[wanne]

Das war bei vielen Distros schon vorher so. Die probieren halt bei jedem einmal aus. Kostet wenig und bringt enormen Komfort: Gerade wenn man 5 HDs mit unterschiedlichen Passwörtern hat und an der abfrage nicht erkennen kann, welches zu welchem gehört, ist man verdammt froh, wenn man nur 5 statt im schnitt 9 pws ausprobieren muss.

[Trollkirsche]

Herzlichen Dank! Ich habe jedoch bei der Gruppe "root" gesetzt. Gibt es einen grund, warum du die Gruppe "disk" zuweist?

Weiß nicht, dass macht Debian bei allen sachen, die zum mounten notwendig sind.

Das heisst ich wähle in der Schlüsseldatei ein extrem starkes Passwort und hinterlege dieses und ändere dann jeweils nur das Passwort beim Startvorgang selbst? In dem Falle wären das Hauptpasswort zum Entschlüsseln und das Passwort in der Datei selbst verschieden?

? Ich blicke nicht so richtig was du willst.
LUKS ermöglicht es mehrere Passwörter zum entschlüsseln von Partitionen zu vergeben. (cryptsetup luksAddKey)
Ist aber erstmal total irrelevant: Die Idee ist folgende: Du hast / mit deinem Passowrt. (Das du dir merken kannst und das du auch eingibst.)
Alle anderen Partitionen haben ein extrem kompliziertes unmerkbares zufälliges Passwort.
(Generiert wie oben und dann mit luksFormat --key-file oder luksAddKey --key-file hinzugefügt.)
Sie werden automatisch mit dem entsprechenden passwort aus dem File entschlüsselt.
crypttab-Beispiel:

Code: Alles auswählen

ext_home   /dev/disk/by-partlabel/home /etc/pws/hompw luks,nofail

Wer / entschlüsseln kann bekommt die Passwörter. Ohne hat man keine Chance. Weil 256 Zufallsbits raten ist einfach unmöglich.
Du kannst den entsprechenden Partitionen auch noch einen weiteres Notfallpasswort verpassen, das du kennst und eingeben kannst. Kannst du aber auch sein lassen.

Ja, das war genau das, was ich wissen sollte, vielen Dank! Das heisst die Passwörter sind nicht verlinkt, sondern werden physisch direkt beim Erstellen der verschlüsselten Partiton hinterlegt. Ich muss also jeweils das Passwort in der Partition selbst ändern, wie auch die Schlüsseldatei selbst.

Ich hab jedoch grad ein Problem beim erstellen der lvm. Ich erhalte trotz update-initramfs diese Meldung :

Code: Alles auswählen

pvcreate /dev/mapper/sdb2_crypt
  allocation/use_blkid_wiping=1 configuration setting is set while LVM is not compiled with blkid wiping support.
  Falling back to native LVM signature detection.
  Physical volume "/dev/mapper/sdb2_crypt" successfully created

Das Laufwerk wurde in die crypttab eingebunden :

Code: Alles auswählen

db2_crypt UUID=4f5c67a6-2f47d-413b1-2d91-3466321afd42b3	/root/pw 	luks

Es wurde strikt nach Anleitung im Ubuntuforum vorgegangen :

https://wiki.ubuntuusers.de/system_verschl%C3%BCsseln

Auch der update-initramfs Befehl wurde nicht vergessen. Trotzdem erhalte ich, wenn ich das gemappte, entschlüsselte Laufwerk anwähle, sowas wie : Legitimation zum Einhängen von /dev/vgdrive/lvdrive erforderlich. Er scheint einen falschen Pfad zu referenzieren, also nicht /dev/mapper/vgdrive-lvdrive.

Was mach ich falsch?

[debianoli]

Geh mal zurück auf null.

Du willst deine system-Partition auf deiner SSD haben und die normale Harddisk soll zur Daten-Partition werden. Alles verschlüsselt. Für dieses Setup brauchst du kein lvm, da sehe ich keinen Sinn darin.

Ist der Rechner ein EFI Rechner? Wenn ja, dann brauchst du eine eigene Partition für den EFI bootloader.

Ich wurde das so machen: 3 Partitionen auf der SSD für /boot , /boot/efi und / . Hier wird nur die Partition / verschlüsselt. Auf der Harddisk legst du 2 Partitionen an, eine für /home und eine für den swap . diese werden verschlüsselt.

Wenn du jetzt allen verschlüsselten Partitionen das gleiche Passwort gibst, musst du bei Hochfahren nur einmal ein Passwort eingeben. Den Rest macht das System. Dieses Setup kann man bei einer Neuinstallation per Debian Installiert anlegen. Der zickt zwar manchmal sinnlos rum, aber es klappt dann doch.

Du gehst dabei immer nach dem gleichen Schema vor: Partition anlegen und dann verschlüsselte Partition anlegen. Wenn du genauere Infos brauchst, zB zur Größe der jeweiligen Partitionen, dann melden dich.