Hallo zusammen,
auf meinen beiden Rechnern habe ich mit Ausnahme der Bootpartition alle weiteren Partitionen (teils mit, teils ohne RAID0 und LVM) mit cryptsetup verschlüsselt.
Auf jedem Rechner habe ich zwei Installationen:
1. "Produktions"system mit Buster und XFCE
2. Rescue-System (ohne Debian desktop enviroment, ohne Druckserver, nur Standard-Systemwerkzeuge) für Backups und Systemwiederherstellung.
Jetzt habe ich folgendes auf beiden PC (einer davon wurde gerade komplett neu installiert) festgestellt:
Wenn ich im Rescue-System die in /etc/crypttab eingetragenen Pfade zu den Keyfiles (erstellt mit luksAddKey) durch "none" ersetze, muss beim Neustart für jede verschlüsselte Partition die Passphrase eingetippt werden.
Das ist das Verhalten, das ich erwarte.
Wenn ich dagegen im "Produktions"system die in /etc/crypttab eingetragenen Pfade zu den Keyfiles durch "none" ersetze und die Keyfiles lösche, werden beim Neustart keine Passphrases abgefragt.
Der Rechner fährt hoch und ist voll funktionsfähig.
Wie und wo werden die notwendigen Informationen zum Entsperren der verschlüsselten Partitionen gespeichert, die offensichtlich ein Herunterfahren überleben?
verschlüsselte Partionen werden ohne Passwort geöffnet
-
littlefoot
- Beiträge: 16
- Registriert: 18.03.2020 14:31:03
-
jph
- Beiträge: 1093
- Registriert: 06.12.2015 15:06:07
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Münsterland
Re: verschlüsselte Partionen werden ohne Passwort geöffnet
Die Informationen aus der crypttab werden in die initrd eingearbeitet. Du hast nicht ausdrücklich geschrieben, dass du die initrd neu generiert hast – hast du das denn getan?littlefoot hat geschrieben:18.03.2020 15:41:16Wie und wo werden die notwendigen Informationen zum Entsperren der verschlüsselten Partitionen gespeichert, die offensichtlich ein Herunterfahren überleben?
Code: Alles auswählen
# update-initramfs -u -k all-
littlefoot
- Beiträge: 16
- Registriert: 18.03.2020 14:31:03
Re: verschlüsselte Partionen werden ohne Passwort geöffnet
danke für die Info. Mir war nicht klar, dass die initrd jedes Mal neu upgedatet werden muss. Das habe ich bisher nur gemacht, wenn das Verzeichnis /usr betroffen war.
Hatte jetzt versuchsweise eine virtuelle Machine mit fünf Partitionen aufgesetzt, wobei "/", "usr", "home" und "backup" mit der identischen Passphrase verschlüsselt waren; "boot" blieb unverschlüsselt.
Lediglich für "usr" war ein keyfile in der crypttab eingetragen (mit nachfolgendem update-initramfs -u), für "home" und "backup" war none eingetragen.
Beim folgenden Systemstart habe ich festgestellt, dass nach der Eingabe der Passphrase für "/", die anderen Partitionen ("home" und "backup") ohne weitere Passphraseabfrage geöffnet wurden.
Sind die Passphrases unterschiedlich, läuft alles, wie es soll.
Hatte jetzt versuchsweise eine virtuelle Machine mit fünf Partitionen aufgesetzt, wobei "/", "usr", "home" und "backup" mit der identischen Passphrase verschlüsselt waren; "boot" blieb unverschlüsselt.
Lediglich für "usr" war ein keyfile in der crypttab eingetragen (mit nachfolgendem update-initramfs -u), für "home" und "backup" war none eingetragen.
Beim folgenden Systemstart habe ich festgestellt, dass nach der Eingabe der Passphrase für "/", die anderen Partitionen ("home" und "backup") ohne weitere Passphraseabfrage geöffnet wurden.
Sind die Passphrases unterschiedlich, läuft alles, wie es soll.