loop-aes per UUID einbinden

[123456]

Ab Kernel 2.6.19 ist es ja möglich per UUID in der fstab Partitionen einzubinden. Nach meinen Erfahrungen mit Feisty und dem ständigen Switchen zwischen /dev/hda und /dev/sda habe ich auch die "normalen" Partitionen per UUID eingebunden. Mit der loop-aes Partition klappt das natürlich nicht.

Hat jemand eine Idee dazu?

[Savar]

nicht so richtig.. weil du ja sowas normalerweise eher über cryptsetup machen solltest.. und da gibt es ja die /etc/crypttab

[123456]

Hmmh. cryptsetup und die /etc/crypttab sind doch dm-crypt, oder? Bei loop-aes verwendet man losetup und mapped ein Device auf ein Loop Device und trägt es dann in die fstab ein. Vom loop Device bekomme ich die UUID, die nutzt mir aber nichts.

Aber kannst Du denn bei dm-crypt per UUID Partitionen mounten?

Auf jeden Fall muss ich das aus der fstab rausnehmen und vielleicht per Skript booten. Dann fehlt aber der fstab Eintrag, damit ich es mounten kann. Möglicherweise wurde auch damals beim anlegen der loop-aes Partition ein UUID= key ausgespuckt - keine Ahnung. Jetzt bekomme ich den nicht mehr raus, weil das System die Partition ja nicht mehr lesen kann.

[Savar]

wie? du kannst sie allgemein nicht mehr lesen? nicht einmal manuell?

[123456]

wie? du kannst sie allgemein nicht mehr lesen? nicht einmal manuell?

Mit nicht mehr lesen meine ich, das bsp. /dev/hda6 vom System nicht lesbar ist und ich damit auch keine UUID bestimmen kann. Erst wenn ich /dev/hda6 bsp. auf /dev/loop2 mappe und entsprechend einbinde kann ich auf /dev/loop2 lesen.

[Savar]

hmm.. dann wäre es wohl am sinnvollsten ein Init Script zu erstellen, welches die loop-aes Devices vor der /etc/fstab anlegt?

[123456]

hmm.. dann wäre es wohl am sinnvollsten ein Init Script zu erstellen, welches die loop-aes Devices vor der /etc/fstab anlegt?

Ja, irgendwie so. Ich muss mal schauen. Die Schwierigkeit scheint zu sein, das ich von /dev/hda6 keine UUID bekommen kann - das ich aber /dev/hda6 brauche, um es auf das loop Device zu mappen.

Spontan denke ich - das geht gar nicht.

EDIT:
Ach ja, das ist ja mittlerweile ein /dev/sda6 geworden. Danke Kernelbastler.

[Six]

Wie man Partitionen mountet, egal ob verschlüsselt oder nicht, ist eine Grundsatzfrage. *push*

[123456]

Mal eine allgemeine Frage dazu:
Wer hat denn überhaupt irgeneine verschlüsselte Partition, die er per UUID mounten kann?

EDIT:
Six, warst nicht Du es IIRC, der so vollmundig von der tollen neuen Welt der UUID's gesprochen hat?

[Six]

Ja, das war ich. Allerdings habe ich auch noch keine verschlüsselte Partition damit gemountet. Um genau zu sein, habe ich mit verschlüsselten Partitionen, die automatisch gemountet werden sollen, noch nie zu tun gehabt. Ich kann dir in deiner speziellen Situation also nicht wirklich helfen. Sorry.

[Six]

Da fällt mir gerade ein, mounten von verschlüsselten FS wird unter CentOS per Initrd erledigt. Details kenne ich nicht.

[123456]

Ich kann dir in deiner speziellen Situation also nicht wirklich helfen. Sorry.

Auch ok. Danke. Ich habe die Frage auch im Ubuntu Forum gepostet und keine Antwort bekommen. Für die Jungs dort müsste es eigentlich ein Thema sein, da denen bei den aktuellen Kernel Updates das Starten des Systems immer wieder neu nicht gelingen will.

Bsp:
Kernel 2.6.17-11: /dev/hda
Kernel 2.6.20-15: /dev/sda
Kernel 2.6.20-16-28: /dev/hda
Kernel 2.6.20-16-29: /dev/sda

Naja - eine Regelmässigkeit hat es wenigstens...

[123456]

Da fällt mir gerade ein, mounten von verschlüsselten FS wird unter CentOS per Initrd erledigt. Details kenne ich nicht.

loop-aes muss man sich ja selber kompilieren und ist nicht im Kernel. Aus der Sicht sehe ich die Chancen auch schlecht bei loop-aes damit eine UUID zu bekommen. Deshalb interessiert mich auch, ob es bsp. bei dm-crypt geht - das kommt ja als Kernelmodul mit.

[meandtheshell]

Deshalb interessiert mich auch, ob es bsp. bei dm-crypt geht

Ja.

Ich ziehe zwar meinst noch einen Layer (udev) ein damit ich weiß
- welche Disk
- welche Maschine
- wo (Ort)
- etc.
damit bekomme ich dann z.B. solche device nodes
/dev/iowa_cl1_st2_gateway
das kann man dann mit

Code: Alles auswählen

 /etc/crypttab
 /etc/fstab
 /etc/init.d/cryptdisks

gut verwenden.

FAZIT
Ich würde nicht loop-aes verwenden um verschlüsselte loop devices zu machen sondern dm-crypt. loop-aes ist ein eigenständiges Userspacetool und somit dm-crypt/LUKS gegenüber klar im Nachteil.
http://feraga.com/node/51

Markus

[123456]

Ich würde nicht loop-aes verwenden um verschlüsselte loop devices zu machen sondern dm-crypt. loop-aes ist ein eigenständiges Userspacetool und somit dm-crypt/LUKS gegenüber klar im Nachteil.

Meine Gründe loop-aes zu verwenden sind:
1. ich nutze es schon recht lange
2. die Performance ist laut Vergleichen bei loop-aes besser
3. meine externe Disk ist auch loop-aes
4. man kann es extern per Knoppix bedienen

Wenn ich nun auf dm-crypt wechsle muss ich a) meine externe Disk komplett neu aufsetzen, b) meine Datenpartition komplett neu aufsetzen, c) von Knoppix auf GRML wechseln und mich in dm-crypt einarbeiten (ok, das sollte das kleinste Problem sein). Wenn ich all das zusammen bedenke, bleibe ich noch solange bei loop-aes (ohne UUID) bis ein grösserer Wechsel ansteht und ich sowieso etwas ändern muss.

Danke an alle...

[uljanow]

Ich würde nicht loop-aes verwenden um verschlüsselte loop devices zu machen sondern dm-crypt. loop-aes ist ein eigenständiges Userspacetool und somit dm-crypt/LUKS gegenüber klar im Nachteil.

Andersherum. Dmcrypt/LUKS ist ein eigenstaendiges Userspace Programm und loop-aes ersetzt das bisherige loop-Modul und patch nur tools wie mount oder losetup. Versteh eh nicht die damit zusammenhaengende Bewertung.

Loop-aes per UUID einbinden sollte AFAIK nicht gehen, da ab offset 0 schon verschluesselte Daten stehen. Ein Kompromiss waere die loop-devices von der initrd erzeugen zu lassen (1). Oder man schreibt die UUID an den Anfang der Partition und patch die loop-aes-utils.

[meandtheshell]

Ich würde nicht loop-aes verwenden um verschlüsselte loop devices zu machen sondern dm-crypt. loop-aes ist ein eigenständiges Userspacetool und somit dm-crypt/LUKS gegenüber klar im Nachteil wenn es um die UUID geht.

Andersherum. Dmcrypt/LUKS ist ein eigenstaendiges Userspace Programm und loop-aes ersetzt das bisherige loop-Modul und patch nur tools wie mount oder losetup. Versteh eh nicht die damit zusammenhaengende Bewertung.

?

- dm-crypt ist ein devicemapper der Teil des Kernels ist
- LUKS ist ein Standard welcher in Form von cryptsetup (dem Userspace Tool um das dm-crypt API des Kernels zu nutzen) seine Implementierung gefunden hat

Genau dieses fehlt loop-aes. loop-aes ist auf sich alleine gestellt bzw. benutz das eigene kernel modul da es nicht über ein internes API auf Kernelfunktionen zugreifen kann.
Zumindest hätte ich jetzt spontan keine Idee wie ich im Falle von loop-aes VOR dem mounten schon die UUID bekommen könnte. Wenn da jemand eine Idee hat dann soll er es kundtun.

Markus (dem gerade eh alles egal ist weil er im Gefecht mit dem Schlaf ist und starke territoriale Verluste einfährt)

[123456]

Loop-aes per UUID einbinden sollte AFAIK nicht gehen, da ab offset 0 schon verschluesselte Daten stehen. Ein Kompromiss waere die loop-devices von der initrd erzeugen zu lassen (1). Oder man schreibt die UUID an den Anfang der Partition und patch die loop-aes-utils.

Danke für die Einschätzung. Ich will da aber nicht rummurksen und patchen. Bei einem Update muss ich mir dann überlegen, wie ich den neuen Patch reinbekomme. Wenn ich es richtig sehe ist beim "loop-devices von der initrd erzeugen zu lassen" aber immer noch ein Eintrag in der fstab notwendig - und genau der ist ja mein Problem, da aktuell bei Feisty der Wechsel von /dev/hda zu /dev/sda schneller geht, als manche gucken können. Mit UUID wollte ich einfach ein Stück unabhängig davon werden.

Und die UUID an den Anfang der Partition zu schreiben traue ich mich nicht. Ich denke, ich kann damit leben loop-aes ohne UUID einzubinden.