[dmcrypt] Key für verschlüsselte / Partition von USB laden?

MadmanNero · Beitrag von **MadmanNero** » 01.05.2007 22:36:06

Ich habe mir nun Debian 4 installiert und alle Partitionen bis auf die boot-Partition mit dm-crypt und luks verschlüsselt.
Da die ständige Passwortabfrage beim booten nervt würde ich gerne Keyfiles benutzen und beim Booten von einem USB-Stick lesen. Das ist aber nach einer ersten Recherche gar nicht so einfach, da ja auch die root Partition mit dem /etc verzeichnis verschlüsselt ist. Wenn ich einen usb-Stick einstecke und das system boote wird der usb-Stick vor der ersten Passwortabfrage erkannt, ich weiss aber nicht wie ich den mounten könnte um die Keyfiles zur verfügung zu stellen. Könnte mir da jemand weiterhelfen?

Cloonix · Beitrag von **Cloonix** » 02.05.2007 07:16:09

Nur so eine spontane Idee: Wie wärs wenn du generell das ganze System von USB bootest? Also MBR und Kernel drauf und dann müsstest du auch nicht das Problem mit dem mounten haben.

MadmanNero · Beitrag von **MadmanNero** » 02.05.2007 21:01:25

Das hab ich so mit meinem Gentoo-System auf dem Laptop gemacht, aber mein normaler Rechner kann leider nicht von einem usb-Stick booten, ansonsten hätte ich das auch gern getan. Das Problem ist eigentlich nur irgendwie den usb-Stick beim Bootvorgang zu mounten, obwohl noch nichts Anderes verfügbar ist (root-Partition mit Konfigurationsdateien in /etc). Denke das könnte möglicherweise über das init-Skript gehen, kenn mich da aber nicht so aus. Wäre toll wenn sich da jemand zu Wort meldet der sich damit auskennt.

Cloonix · Beitrag von **Cloonix** » 02.05.2007 21:06:49

Naja wenn die Festplatte nicht gemounted ist, wird das Init Skript auch nicht funktionieren.

Nur so nebenbei: Wieso verschlüsselst du denn die ganze Festplatte. Das Grundsystem kann doch ruhig offen bleiben. Einzelne Partitionen verschlüsseln und gut ist.

MadmanNero · Beitrag von **MadmanNero** » 02.05.2007 21:10:31

Ich fürchte halt da verirrt sich immer mal die ein oder andere Datei auf die falsche Partition wo sie nicht hingehört. Deswegen verschlüssele ich alles. Auf Geschwindigkeit kommt es bei dem Rechner auch nicht an. Ich denke in einer evtl vorhandenen initrd Datei befindet sich auch ein init-Skript oder nicht?

goeb · Beitrag von **goeb** » 02.05.2007 21:31:26

Wenn du es komplett manuell machen willst: http://www.debian-administration.org/articles/428

MfG, goeb

MadmanNero · Beitrag von **MadmanNero** » 02.05.2007 21:44:51

Yo, in dem Artikel steht ja schon mal ein init-Skript drin welches einen usb-Stick beim booten laden kann.

Code: Alles auswählen

...
echo "waiting $waitusb seconds for usb..."
    !  /bin/sleep $waitusb
    !  for DEV in a b c d; do
    !    if [ "$NOTOPEN" != "0" ]; then
    !      if [ -f /sys/block/sd${DEV}/sd${DEV}1/dev ]; then
    !        mkbdev /dev/sd${DEV} sd${DEV}
    !        mkbdev /dev/sd${DEV}1 sd${DEV}/sd${DEV}1
    !        mount -n /dev/sd${DEV}1 /tmp
...

Wenn jemand einen 08/15 Tipp aus der Hüfte schiessen kann dann her damit, ansonsten werd ich wohl ne Menge Zeit investieren müssen um diesen ganzen boot-initrd-initSkript-mkbdev-Kram zu durchschauen. Und Zeit ist leider im Moment knapp bei mir...