verschlüsseltes LVM unter Lenny

[artificial]

Hallo zusammen,
ich habe gerade versucht ein verschlüsseltes LVM aufzusetzen.
Leider komme ich nicht wirklich weiter, da ich bisher nur Tutorials gefunden habe die entweder spezifisch für's Verschlüsseln oder für ein LVM waren.

Habe versucht zuerst eine Platte zu verschlüsseln und anschließend ein LVM aufzusetzen.
Leider bekomme ich beim öffnen des verschlüsselten Volumes folgende Fehlermeldung.

Code: Alles auswählen

14:37:26 root@dead-broke:~$ cryptsetup luksOpen /dev/sdc1 archiv
Aufruf fehlgeschlagen: Can not access device

Wenn ich den ganzen Prozess umdrehe, also erst das LVM aufsetze und anschließend das Physical Volume verschlüssele sieht das ganze folgendermaßen aus

Code: Alles auswählen

14:40:28 root@dead-broke:~$ cryptsetup luksFormat --cipher aes-cbc-essiv:sha256 --verify-passphrase /dev/sdc1

WARNING!
========
Daten auf /dev/sdc1 werden unwiderruflich überschrieben.

Are you sure? (Type uppercase yes): YES
Aufruf fehlgeschlagen: Can not access device

Kann mir jemand weiterhelfen?

Gruß
artificial

[Danielx]

Welches Debian hast du denn?

Habe versucht zuerst eine Platte zu verschlüsseln und anschließend ein LVM aufzusetzen.

Das ist schon ok, erst mit cryptsetup verschlüsseln und darauf dann das LVM aufsetzen.
So mach das auch der Debian-Installer, damit kann man das ganzes System verschlüsselt installieren.

Code: Alles auswählen

Aufruf fehlgeschlagen: Can not access device

Was sagt denn:

Code: Alles auswählen

ls -la /dev/sdc1

Gruß,
Dnaiel

[artificial]

Hi Danielx,
die Ausgabe des Befehls sieht bei allen Festplatten gleich aus

Code: Alles auswählen

brw-rw---- 1 root disk 8, 33 22. Dez 21:40 /dev/sdc1

[Danielx]

Bist du dir sicher, dass du entweder die Befehle als root oder als Benutzer, welcher in der Gruppe disk ist, ausgeführt hast?

[artificial]

Ja habe den Befehl als root ausgeführt.

[Danielx]

Hm, das ist aber seltsam, was sagt denn:

Code: Alles auswählen

fdisk -lu /dev/sdc

Und:

Code: Alles auswählen

hdparm -I /dev/sdc

[artificial]

Code: Alles auswählen

15:12:04 root@dead-broke:~$ fdisk -lu /dev/sdd

Disk /dev/sdd: 1000.2 GB, 1000204886016 bytes
255 heads, 63 sectors/track, 121601 cylinders, total 1953525168 sectors
Units = sectors of 1 * 512 = 512 bytes
Disk identifier: 0x00000000

   Device Boot      Start         End      Blocks   Id  System
/dev/sdd1              63  1953520064   976760001   8e  Linux LVM

die Ausgabe von hdparm ist etwas länger, daher nopaste
http://nopaste.debianforum.de/17734

PS. bei meinem letzten Post war die Festplatte noch unter /dev/sdc zu finden.
Habe allerdings, zum Test ob vielleicht etwas am Sata-Controller nicht stimmt, sdc und sdd getauscht. Daher nun sdd.

[Danielx]

die Ausgabe von hdparm ist etwas länger, daher nopaste
http://nopaste.debianforum.de/17734

Hm, evtl. blockiert "Host Protected Area feature set" den Zugriff auf bestimmte Bereiche, ist aus meiner Sicht aber doch sehr unwahrscheinlich.

Gibt es eine Meldung in den Logs (siehe dmesg) wenn das cryptsetup fehlschlägt?

Gruß,
Daniel

[artificial]

Hi Danielx,
leider steht in dmesg gar nichts dazu.

In welcher Reihenfolge muss ich denn genau vorgehen wenn ich ein verschlüsseltes LVM aufsetzen möchte?
Erst mit cfdisk die Festplatte als LVM formatieren und anschließen per cryptsetup verschlüsseln? Oder genau andersrum?

[Lohengrin]

In welcher Reihenfolge muss ich denn genau vorgehen wenn ich ein verschlüsseltes LVM aufsetzen möchte?
Erst mit cfdisk die Festplatte als LVM formatieren und anschließen per cryptsetup verschlüsseln? Oder genau andersrum?

Beides geht. Im ersten Fall hast du mehrere verschlüsselte Partitionen. Im zweiten Fall hast du mehrere Partitionen in einem LVM, das verschlüsselt ist.
Erst verschlüsseln und dann LVM finde ich schicker, denn dann ist ohne Entschlüsselung noch nicht einmal klar, dass da ein LVM drauf ist (außer man schließt das aus der initrd in der Boot-Partition).

[Danielx]

Erst verschlüsseln und dann LVM finde ich schicker

Ja, so macht das auch der Debian-Installer.

Heute kam eine neue cryptsetup-Version in Lenny rein, aktualisiere mal dein System, vielleicht geht es dann.

Evtl. weigert sich auch cryptsetup auf die Partition zu schreiben, da diese die ID 8e (=LVM) hat, vielleicht einfach nochmal neu partitionieren, um das als Fehlerquelle auszuschließen. Habe ich jetzt aber nur mal so geraten.

Hast du denn eigentlich schon ein LVM auf der genannten Partition erstellt, wenn das so ist, dann verhindert evtl. LVM, dass cryptsetup auf die Partition zugreifen kann, habe von solch einem Problem zwar noch nie gehört, aber man weiß ja nie...

Du kannst den cryptsetup-Aufruf auch mal mit strace machen und die Ausgabe nach NoPaste posten, dann sieht man evtl. woran es liegt:

Code: Alles auswählen

strace cryptsetup luksFormat ........

Gruß,
Daniel

[artificial]

Habe nun die Platte noch ein mal neu formatiert und anschließend versucht zu verschlüsseln.
Anbei die Ausgabe von strace

http://nopaste.debianforum.de/17741

[Danielx]

Code: Alles auswählen

open("/dev/sdd1", O_RDWR|O_EXCL|O_SYNC|O_DIRECT) = -1 EBUSY (Device or resource busy)

Das Device /dev/hdd1 existiert also und du hast auch die nötigen Rechte für den Zugriff auf das Device.

Das Problem ist, dass cryptsetup das Device exklusiv haben möchte (O_EXCL), aber anscheinend schon irgendetwas auf das Device zugreift (EBUSY)!

Gibt denn "lsof /dev/hdd1" eine Ausgabe (ich fürchte, eher nicht).

Weiß jemand, wie man sonst noch herausfinden, von was gerade ein Device benutzt wird?

Gruß,
Daniel

[artificial]

Wie du befürchtet hast kommt bei dem Befehl leider nichts raus.
Könnte es eventuell an der Festplatte selbst liegen?

Also ganz normal partitionieren und anschließend mounten kann ich sie, daher habe ich einen Hardwarefehler mal ausgeschlossen.

[Danielx]

Könnte es eventuell an der Festplatte selbst liegen?

Kann ich mir nicht vorstellen.

Gruß,
Daniel