Verschlüsseltes Swap nicht bei Systemstart mounten

[q00]

Hi,

ich habe die "/" und die Swap Partition beim Installieren von Debian etch verschlüsselt. Nun fragt er bei jedem Systemstart die Passwörter der beiden ab.
Gibt es eine möglichkeit, dass nur das "/" - Passwort abgefragt, und Swap danach ohne Passwortabfrage entschlüsselt wird? (per Script oder ähnliches)
Beide haben Partitionen haben unterschiedliche Passwörter.


MFG
q00

[Danielx]

Wie hast du denn verschlüsselt?
Ich empfehle in diesem Fall übrigens ein verschlüsseltes LVM zu verwenden.

Gruß,
Daniel

[q00]

Bei dem installieren von Debian ("etch n half" netinst) habe ich beim anlegen der neuen Partitionen statt ext3, "verschlüsseltes volume" oder so ähnlich ausgewählt.
Danach konnte ich beim konfigurieren der verschlüsselten Laufwerke deren Passwort, Dateisystem(ich hatte ext3 und swap), Art der Verschlüsselung (bei mir aes-256-essiv) wählen.

Da ich nur eine Festplatte auf meinem Desktop System nutze, habe ich auf LVM verzichtet. Wäre das sinnvoll für mich?

[Danielx]

Bei dem installieren von Debian ("etch n half" netinst) habe ich beim anlegen der neuen Partitionen statt ext3, "verschlüsseltes volume" oder so ähnlich ausgewählt.

Ok, dann verwendest du cryptsetup-LUKS.
Du könntest evtl. für die Swap-Partition anstatt oder zusätzlich zu dem Passwort ein Key-File verwenden und dieses dann auf die /-Partition legen.
Dann in der /etc/crypttab das Key-File bei dem Swap-Eintrag hinzufügen.
Bei der Home-Partition funktioniert dieses Verfahren, ob es bei der Swap-Partition funktioniert, kann ich nicht genau sagen, kommt darauf an, ob beim Start zuerst die verschlüsselten Laufwerke entschlüsselt werden und dann die Swap eingebunden wird (dann würde es funktionieren) oder ob die Reihenfolge umgekehrt ist.
Aber auf jeden Fall wird ein Suspend-to-Disk mit getrennt verschlüsselten / und Swap-Partitionen nicht funktionieren (bzw. genauer das Aufwecken).

Da ich nur eine Festplatte auf meinem Desktop System nutze, habe ich auf LVM verzichtet. Wäre das sinnvoll für mich?

Kommt darauf an was du willst.
Wenn du Suspend-to-Disk nutzen möchtest, kommst du an einem verschlüsselten LVM kaum vorbei.
Hierbei liegt zumindest / und swap auf dem verschlüsselten LVM (bei getrennter Home-Partiton nach Wunsch auch /home).
Und du musst das Problem mit den beiden Passwörtern nicht lösen.
Ein weiterer Vorteil ist, dass du die Größe von / und swap (bzw. evtl. auch /home) im Nachhinein noch relativ einfach ändern kannst.

Wenn du noch ein anderes Betriebssystem auf der Platte hast, dann musst du die manuelle Partitionierung verwenden, siehe z.B. hier (ab Bild 12):
http://kaoso.org/debian_installer-lenny/
Wenn nicht, dann kannst du "Geführt - gesamte Platte mit verschlüsseltem LVM" wählen.

Gruß,
Daniel

[dino]

Falls du suspend-to-disk nicht nutzen möchtest, würde ich einfach einen zufällig generierten key verwenden für swap. Den Inhalt vom swap brauchst du nach dem herunterfahren eh nicht mehr und da kommt es dir eher noch entgegen, wenn der key dann auch weg ist.

[Danielx]

Falls du suspend-to-disk nicht nutzen möchtest, würde ich einfach einen zufällig generierten key verwenden für swap.

Ja, stimmt, das hatte ich auch mal so gemacht.

Gruß,
Daniel

[q00]

Wie ich auf systemausfall.org* gelesen habe, kann es sein, dass beim umounten der Laufwerke das devicemapping aktiv bleibt. (und die Daten somit einfach zu entschlüsseln sind)
Ist das beim umounten von LVMs auch der Fall? Angenommen man hat jetzt eine zweite LVM eingerichtet, die nur bei Bedarf gemounted werden soll..

* https://systemausfall.org/wikis/howto/C ... 50d96939-2

Die Sache mit der LVM gefällt mir schonmal und ist gut erklärt. Danke.

MFG
q00

[Danielx]

Ist das beim umounten von LVMs auch der Fall? Angenommen man hat jetzt eine zweite LVM eingerichtet, die nur bei Bedarf gemounted werden soll..

Auf der verschlüsselten Schicht (verschlüsselte Partition mit cryptsetup) setzt ja das LVM auf welches LV anbietet, die du dann als /, /home u.s.w. mountest.
Wenn jetzt ein LV z.B. /home unmountest, dann ist das gesamte LVM und somit auch das LV für /home natürlich immer noch entschlüsselbar, was aber nicht bedeutet, dass deine Daten dann physikalisch unverschlüsselt auf der Festplatte liegen sondern nur, dass der Schlüssel zur Entschlüsselung im (im Arbeitsspeicher) weiterhin vorgehalten wird.
Die Daten auf der Festplatte liegen dabei ja nie komplett unverschlüsselt vor, sondern die Daten werden immer "on the fly" je nach Bedarf entschlüsselt.
Das LVM auf dem sich / befindet kannst du ja sowieso nie schließen (bzw. unmounten), und somit sind zwangsläufig immer alle Daten auf diesem LVM entschlüsselbar (die nötigen Rechte vorausgesetzt), solange du den Rechner nicht herunterfährst.

Zu deiner eigentlichen Frage:
Wenn du jetzt noch ein weiteres LVM in deinem System hinzufügen würdest und das auf einer anderen, wiederum mit cryptsetup verschlüsselte Partition (mit anderem Key) aufsetzt, dann könntest du dieses LVM schließen und das verschlüsselte Mapping (siehe dmsetup) entfernen und dann wären danach auch mit den nötigen Rechten die Daten auch bei laufendem Debian auf diesem LVM nicht mehr entschlüsselbar (außer du gibst den Key mit cryptsetup wieder neu ein ).
Solange du das verschlüsselte Mapping nicht entfernst, sind die Daten mit den nötigen Rechten weiterhin entschlüsselbar.

Sobald der Rechner aus ist, ist in keinem Fall ein Zugriff auf die Daten mehr möglich, auch nicht wenn der Rechner abstürzen sollte oder der Strom weggenommen würde ohne dass zuvor das verschlüsselte Mapping entfernt worden wäre!

Ich hoffe ich habe das jetzt einigermaßen verständlich formuliert.

Gruß,
Daniel

[q00]

Jop, sehr gut. Jetzt habe ich das ganze nochmal mit LVM gemacht und dabei 3 Volume Gruppen erstellt. Die letzten beiden sind Datenplatten, die nicht immer eingehängt sein sollten.

Das Problem ist wieder, dass Debian nun beim Systemstart alle VGs mounten will. Das austragen aus der fstab bringt es nicht. Hast du eine Idee wie ich das lösen kann?

MFG
q00

[Danielx]

Kannst du das nochmals etwas genauer beschreiben?

Jetzt habe ich das ganze nochmal mit LVM gemacht und dabei 3 Volume Gruppen erstellt. Die letzten beiden sind Datenplatten, die nicht immer eingehängt sein sollten.

Wie viele Festplatten hast du denn in deinem Rechner eingebaut?
Oder warum hast du drei VGs erstellt?
Wie viele physikalische Volumes für die Verschlüsselung hast du erstellt?

Das Problem ist wieder, dass Debian nun beim Systemstart alle VGs mounten will.

Hast du jetzt 3 Passwortabfragen?

Das austragen aus der fstab bringt es nicht.

Warum bringt es das nicht?

Ich fürchte ich stehe da leider gerade etwas auf dem Schlauch, also erkläre mir nochmals genauer was du möchtest, was du bisher getan hast und was jetzt genau das Problem ist.

Gruß,
Daniel

[q00]

Genau, ich habe 3 Festplatten im Rechner verbaut und während der Installation alle mit cryptsetup-LUKS verschlüsselt.
Die erste Festplatte enthält die /boot Partition und die verschlüsselte LVM: "vg00" mit /, /home und swap.
Die zweite Festplatte ist in einer eigenen verschlüsselten LVM-Gruppe ("vg01") und enthält nur eine Partition ("/mnt/Datenplatte00)
Die dritte genauso. Nur in der Gruppe "vg02" und gemounted in "/mnt/Datenplatte01".

Dabei bin ich wie nach deiner Anleitung vorgegangen: http://kaoso.org/debian_installer-lenny/
Insgesamt sind das bei mir 3 physische Volumes, 3 Gruppen und 5 logische Volumes.

Das Problem ist jetzt, dass Debian beim Systemstart alle 3 Passwörter abfragt.
Ich will jetzt, dass nur die erste Festplatte (vg00) mit /, /home, swap abgefragt und automatisch eingehangen wird. Die anderen beiden will ich dann bei Bedarf einzeln per Script (mit Passwortabfrage) entschlüsseln und mounten.



MFG
q00

[Danielx]

Das Problem ist jetzt, dass Debian beim Systemstart alle 3 Passwörter abfragt.
Ich will jetzt, dass nur die erste Festplatte (vg00) mit /, /home, swap abgefragt und automatisch eingehangen wird. Die anderen beiden will ich dann bei Bedarf einzeln per Script (mit Passwortabfrage) entschlüsseln und mounten.

Ok, dann setze für die zweite und dritte Festplatte die Option noauto in der /etc/crypttab, dann werden diese beim Booten nicht entschlüsselt und die Passwortabfrage entfällt für diese Festplatten.
Evtl. muss dann danach auch noch die initrd geupdatet werden, damit die geänderte crypttab in die initrd eingebaut wird:

Code: Alles auswählen

update-initramfs -u -k `uname -r`

Gruß,
Daniel

[q00]

Danke, läuft bestens.