[gelöst]Mehrere Partitionen mit einem Passwort verschlüsseln

[misterY]

Hallo,
Ich möchte mein System bei der Installation verschlüsseln. Dabei sollen die Bootpartition, die Rootpartition und die Swappartition auf meiner SSD liegen und die Homepartition auf meiner HDD. Jetzt würde ich gerne die Rootpartition, die Swappartition und die Homepartition so verschlüsseln, dass alle mit einem Passwort und einer Passwortabfrage entschlüsselt werden. Kann mir jemand sagen wie ich das im Installer einrichte bzw. ob das überhaupt so möglich ist wie ich mir das vorstelle?

Danke im vorraus für die Antworten,

misterY

[swirlen]

also ich habe für jede bis auf eine partition eine schlüsseldatei erstellt... die auf partition 1 liegen, denn partition 1 habe ich ohne schlüssel erstellt...
für die anderen partitionen habe ich die schlüssel auf partition 1 gelegt und so eingerichtet das die von den dateien entschlüsselt werden

so gebe ich nur das passwd für partition 1 ein und danach holt er sich für die anderen partionen die passphrase von den schlüsseldatein

http://www.andreas-janssen.de/cryptodisk.html ← dort wird gut erklärt wie es geht

edit: partition 1 wo die schlüssel für die anderen partitionen liegen ist ebenfalls verschlüsselt, und somit werden die anderen partitionen erst entschlüsselt wenn man die erste partition entschlüsseln kann (mit passwd)

[DeletedUserReAsG]

Eine andere Möglichkeit wäre, ein Wrapperscript zu bauen, dass mit der einen Passphrase dreimal cryptsetup aufruft. Eine weitere Möglichkeit wäre vielleicht, ein LVM herzunehmen und zu verschlüsseln, und dort die gewünschten Partitionen draufzutun. Dabei könnte problematisch sein, die Partitionen wunschgemäß auf den physischen Devices zu verteilen. Aus dem Installer heraus wird es wahrscheinlich sowieso nichts werden, sondern man wird seine Wünsche manuell umsetzen müssen.

Swap sollte eigentlich gar keinen festen Schlüssel bekommen, sondern bei jedem Boot mit einem zufällig generierten Schlüssel eingehängt werden.

[misterY]

Danke für eure Antworten. Grundsätzlich würde ich die Variante per Skript bevorzugen. Allerdings weiß ich nicht was ich machen muss damit das Skript am Anfang des Betriebssystemstarts ausgeführt wird. Kann mir da jemand weiterhelfen?

[DeletedUserReAsG]

Du musst es in die initrd packen und via Hook aufrufen. Details müsste ich nachsehen – da kannst du das genausogut selbst machen.

[tobo]

Ich würde an deiner Stelle da nicht groß rumzaubern. Der Installer bietet bereits alles, was notwndig ist. Du kannst nach dieser Anleitung vorgehen:
https://wiki.ubuntuusers.de/System_vers ... tallation/
Das ist zwar für Ubuntu, aber der Installer ist gleich. Abweichend legst du deine Home-Partition auf die HDD und spannst das LVM dann eben da drüber.

[misterY]

Wenn ich das richtig verstehe habe ich aber bei LVM keine Kontrolle welche Daten auf welcher Festplatte abgelegt werden. Oder sehe ich das falsch?

[schwedenmann]

Hallo


@tobo
Das geht bei TE nicht, da der TE 2 Partitione auf 2 verschiedenn physik. devices anlegen will 7 aud SSd und /hoem auf HDD !
Das Ubuntu wiki ist ncihts anderes als ein verschlüseltes physik. device also eine recht große Partition die verschlüsselt wiird und darin werden dann lvm für / /home und was weiß ich ncoh alles angelegt. Entschlüsselt wird das physik. device (also nur ein PW) und dann werden die lvms gemountet.

@misterY

habe ich aber bei LVM keine Kontrolle welche Daten auf welcher Festplatte abgelegt werden

Wieso, du hast ja nicht ein lvm, sondern du 1PV mit mehreren LV (das sind dann / und /home, also quasi wieder Partitionen, nur eben innerhalb des PV.


mfg
schwedenmann

[misterY]

Was meinst du mit PV?

Wenn ich mit LVM eine Volume Group anlege mit Partitionen die auf zwei verschiedenen Festplatten liegen, dann kann ich zwar logische Partitionen in dieser Volume Group anlegen, aber nicht festlegen welche logische Partition auf welcher Festplatte liegen soll. LVM würde dann ja nur Sinn machen, wenn alles auf einer Festplatte liegt oder es egal ist auf welcher.

[schwedenmann]

Hallo

PV = Phys. Volume

Siehe hier
http://wiki.siduction.de/index.php?titl ... _aufsetzen

wenn ich das richtig sehe, wrden bei mehreren verschlüsselten LG jeweils mehrmals die Passphrase abgefragt.

Und ein lvm auf einer SSD + HDD macht ja im Grunde wenig Sinn. Du müßtest ergo SSD verschlüsseln und dann /home auf HDD auch separat verschlüsseln.

Ev. kann man die Passphrase von /home auch per USB übergeben, mußt du mal googlen.

mfg
schwedenmann

[misterY]

Dann bleibt im eigentlich nur noch der Weg mit dem Skript oder den Schlüsseldateien. Schade dass es keine Möglichkeit über den Installer gibt, wäre einfacher. Ich werde es dann mal mit dem Skript versuchen.

[wanne]

Die Methode von swirlen ist definitiv der Way to go. Flexibel und einfach. Tut auch hier.

Ansonsten war es zumindest zu SystemV Zeiten so, dass da eh immer ein Script lief, dass die eingegebene Passphrase an allen Partitionen ausprobiert hat. (Sprich wenn du überall die gleiche genutzt hast wurden alle entschlüsselt. Weiß aber nicht, wie das heute (mit Systemd) ist.

Seit systemd wird cryptsetup nicht mehr verwendet Systemd erledigt das stattdessen. Das kann auch nicht so einfach umgestellt werden. Die von niemand beschriebene Methode funktioniert definitiv nicht mehr mit Systemd. Das hat nicht nur mir sondern auch vielen anderen viel Kopfzerbrechen bereitet.
War mein Grund warum ich damals auf dem Desktop zu Debian gewechselt bin. Damals noch kein Systemd => Die scripte funktionieren weiter.

[misterY]

Ja vielleicht ist der Weg mit den Passwortdateien einfacher. Werde ich morgen mal einrichten.

[NAB]

Die von niemand beschriebene Methode funktioniert definitiv nicht mehr mit Systemd.

Sicher? Die initramdisk ist doch unter Jessie noch Systemd-frei. Wenn man dort sämtliche verschlüsselten Dateisystem entschlüsselt und mounted, kommt einem Systemd doch nicht in die Quere (hoffentlich).

Sonst kann man unter Jessie auch immer noch SysVInit statt Systemd benutzen ... funktioniert ganz vorzüglich

[DeletedUserReAsG]

Die von niemand beschriebene Methode funktioniert definitiv nicht mehr mit Systemd.

Nicht? Dann frage ich mich doch, wie meine Kisten dann hochkommen. Es ist zwar kein Script, um eine Passphrase für mehrere Partitionen zu verwenden, aber das wäre mit einigen Zeilen erledigt. Nichtsdestotrotz ist der andere Weg in der Tat eleganter.

[wanne]

Die initramdisk ist doch unter Jessie noch Systemd-frei.

Nop Systemd will der erste Protzess sein, der gestartet wird. Sonst ist es sauer.

Es ist zwar kein Script, um eine Passphrase für mehrere Partitionen zu verwenden, aber das wäre mit einigen Zeilen erledigt.

Nope.
Versuchs einfach. Das tut so nicht. Wie gesagt: Das Problem ist sehr lange bekannt und Systemd will das auch nicht fixen. (Die ganze Idee hinter Systemd war, dass ma keine Shell-Scripte im init-Prozess haben will.)
Wenn man mit einer Konkreten Idee kommt dann wird das vielleicht in Systemd eingebaut. Aber beliebige Scripte sind tabu.
Selbstverständlich kann man Die Partition später zur Laufzeit über ein script einhängen. Aber eben nicht / und die fstab tut dann entsprechend auch nicht mehr.

[DeletedUserReAsG]

Der Status einer Maschine mit Jessie derzeit: in der initrd wird ein sshd gestartet, zu dem ich verbinde, eine Shell bekomme, cryptsetup manuell aufrufe und den Bootvorgang manuell wieder anschubse. Was genau hindert mich daran, anstelle des sshd eine Shell samt Script starten zu lassen?

Ich probier’s nicht aus, weil ich lokal keine Kiste mit Jessie laufen habe, und auf Servern in $weitweg generell nicht am Bootprozess spiele.

[wanne]

in der initrd wird ein sshd gestartet, zu dem ich verbinde, eine Shell bekomme, cryptsetup manuell aufrufe und den Bootvorgang manuell wieder anschubse. Was genau hindert mich daran, anstelle des sshd eine Shell samt Script starten zu lassen?

Wie um Himmels Willen willst du den sshd oder sonstwas starten in der initrd starten?
Hier die Punkte die das kaputt machen:

• Wenn du Systemd vernünftig verwenden willst, will Systemd der erste Prozess, der gestartet wird sein.
• Es kann nunmal nur einen ersten geben.
• Alle nachfolgenden Prozesse müssen von einem vorhergehenden gestartet werden.
• Systemd mountet Devices bevor es irgend welche Services wie sshd oder irgend eine Shell startet. Die Reihenfolge kann nicht verändert werden.

Es gibt jetzt zwei Hacks:
a) Man versteckt die Partition von systemd indem man sie weder in der fstab noch in der crypttab erwähnt. Das funktioniert natürlich nicht wenn man das mit / macht, weil man ohne eben nicht auskommt.
Außerdem ist das ganze etwas Hässlich weil die Aufgeräumte Variante eben ist, dass die Konfiguration in den passenden Dateien steht. Und nicht irgend wo sonst im System. mount und viele andere Tools, die das erwarten funktionieren dann nicht mehr so wie man das gewohnt ist.
Eine kleine Abwandlung der Variante ist, nofail in die fstab zu schreiben. Dann hat man beim mounten durch Systemd einen an einem kurzen timeout fehlschlagenden versuch und kann dann manuell mountetn.
Etwas aufgeräumter aber die Einschränkungen bleiben.
b) Man startet Systemd doch nicht als ersten Prozess. Dann fallen aber die allermeisten Features von Systemd alla Servicemanagement flach. Systemd macht dann nichts anderes als telinit zu starten. Kann man auch direkt telinit nutzen. Allerdings hat man den Vorteil das Programme die von Systemd abhängen zumindest ein Systemd finden. (Auch wenn es nichts macht.)

[DeletedUserReAsG]

Wie um Himmels Willen willst du den sshd oder sonstwas starten in der initrd starten?

Du hast dich verlesen: ich will den da nicht starten, sondern ich mache es seit geraumer Zeit so. Da kannst du dich noch so drauf versteifen, dass das gar nicht geht – meine Systeme wissen das nicht, und ich werde denen nicht sagen, dass du gesagt hast, dass sie so gar nicht funktionieren

Ernsthaft: das funktioniert dank der Hooks problemlos, und ich sehe weiterhin das Problem nicht, stattdessen auf genau die gleiche Weise etwas anderes zu starten. Es handelt sich übrigens nicht um den sshd, der später auf dem laufenden System den Job macht, sondern um einen temporär laufenden dropbear-sshd, falls dich das irritierte.

[misterY]

So ich habe es jetzt über eine Passwortdatei eingerichtet und es funktioniert einwandfrei. Danke für eure Hilfe.

[NAB]

So ich habe es jetzt über eine Passwortdatei eingerichtet

Ggf. möchtest du testen, ob du die Partitionen auch manuell entschlüsselt bekommst ... könnte praktisch sein, wenn die / Partition mal ausfällt.

Du kannst übrigens mehrere Passworte pro Container vergeben, cryptsetup hält dafür mehrere "KeySlots" bereit.

[misterY]

Ich habe bei der Installation alles mit einem Passwort verschlüsselt und die Schlüsseldatei für die Homepartition nach der Installation hinzugefügt. Von daher sollte die Entschlüsselung per Passwort bereits funktionieren.

[NAB]

Ah, sehr gut