Via PADLOCK module nutzen

[mR. bluE]

mit

Code: Alles auswählen

update-initramfs -u -v

bekomme ich mehr nachrichten als in mein putty fenster passt aber bevor die zeile "In: angegebenes Ziel... " steht folgendes

Code: Alles auswählen

Adding library /lib/libcrypt.so.1
ln: angegebenes Ziel â/tmp/mkinitramfs_epjqED//usr/bin/â ist kein Verzeichnis: Datei oder Verzeichnis nicht gefunden

in der entpackten initrd gibts auch kein /tmp verzeichniss? Sollte da eins sein?
wenn ich aber nach padlock suche bekomme ich

Code: Alles auswählen

lenny:/# update-initramfs -u -v | grep padlock
Adding module /lib/modules/2.6.26-2-486/kernel/drivers/crypto/padlock-aes.ko
Adding module /lib/modules/2.6.26-2-486/kernel/drivers/crypto/padlock-sha.ko
cryptsetup: WARNING: target hda2_crypt has a random key, skipped
ln: angegebenes Ziel â/tmp/mkinitramfs_RtLBTz//usr/bin/â ist kein Verzeichnis: Datei oder Verzeichnis nicht gefunden
W:copy_exec: Not copying /lib/i686/cmov/libutil.so.1 to $DESTDIR/lib//libutil.so.1, which is already a copy of /lib/libutil.so.1
cpio: ./etc/dropbear/log/main: Cannot stat: Datei oder Verzeichnis nicht gefunden

ok hab dann mal die initrd ins /tmp verzeichniss entpackt

Code: Alles auswählen

lenny:/boot# cp initrd.img-2.6.26-2-486 /tmp
lenny:/boot# cd /tmp
lenny:/tmp# ls
initrd.img-2.6.26-2-486
lenny:/tmp# cat initrd.img-2.6.26-2-486 | gzip -d | cpio -i
35614 blocks

bin dann mal ein biserl durch die Verzeichnisse gesurft, in dem hier /tmp/lib/modules/2.6.26-2-486/kernel/crypto finden sich die

Code: Alles auswählen

aes_generic.ko  cbc.ko  crypto_blkcipher.ko  sha256_generic.ko

müssten da nicht jetzt die padlock module zu finden sein?
Wie oben schon erkannt liegen die Padlock module in dem Verzeichnis /tmp/lib/modules/2.6.26-2-486/kernel/drivers/crypt
Tja wirklich schlauer bin ich immer noch net, und was ich mit der Fehlermeldung

Code: Alles auswählen

ln: angegebenes Ziel â/tmp/mkinitramfs_RtLBTz//usr/bin/â ist kein Verzeichnis: Datei oder Verzeichnis nicht gefunden

anfangen soll weiß ich immer noch net? hat das verzeichniss irgendwas mit dem "Adding library /lib/libcrypt.so.1" was obendrüber steht?

[mR. bluE]

ich hab nochmnal n biserl weiter geforscht und mir noch die seite mit angeschaut wie man ne verschlüsselte root partion per ssh "freischaltet" http://gpl.coulmann.de/ssh_luks_unlock.html
hier steht folgendes

prompt # export test=test1 \
&& sh -x mkinitramfs -o $test 2> log \
&& mkdir `echo -n $test |sed s/test/test_/` \
&& mv $test $test.gz && gunzip $test.gz \
&& cd `echo -n $test |sed s/test/test_/` \
&& cpio -i <../$test && cd ..


This will end up with a file test1 which is the initrd image and a directory test_1 which holds the unpacked initrdfs. So you can check out if everything is really included. Also you will find a file named log, where you find possible errors while processing mkinitramfs .

gesagt getan, das entpacken der initrd hab ich ja ohnehin schon gemacht, aber ich bekomme zusätzlich ne LOG Datei vielleicht kannste zufällig damit was anfangen

was mir noch aufgefallen ist, jedesmal wenn ich update-initramfs -u mache, sagt der mir ein anderes Verzeichniss würde fehlen
jetzt zbsp

Code: Alles auswählen

ln: angegebenes Ziel â/tmp/mkinitramfs_SlWLJJ//usr/bin/â ist kein Verzeichnis: Datei oder Verzeichnis nicht gefunden

[gms]

Diese "ln:.../usr/bin ist kein Verzeichnis..." Fehlermeldung scheint von deinem Hook-Script zu stammen. Auffällig ist, daß in diesem Script das Verzeichnis /usr/bin nicht erstellt wird.
Ändere die Zeile

Code: Alles auswählen

DIRS='/usr/sbin/ /proc/ /root/ /var/ /var/run/ /var/run/' 

zu

Code: Alles auswählen

DIRS='/usr/sbin/ /usr/bin /proc/ /root/ /var/ /var/run/ /var/run/' 

was mir noch aufgefallen ist, jedesmal wenn ich update-initramfs -u mache, sagt der mir ein anderes Verzeichniss würde fehlen

gut beobachtet, aber diese Erkenntnis läßt sich leicht dadurch erklären, daß für die Erstellung der initrd ein temporäres Verzeichnis verwendet wird. Dieses temporäre Verzeichnis z.B "/tmp/mkinitramfs_SlWLJJ" wird jedesmal neu ermittelt, sodaß es eher erstaunlich wäre, wenn sich dieses nicht ändern würde.

[mR. bluE]

ES KLAPPT!!!

Man o Meter bin ich jetzt happy, wie kann ich dir nur danken gms, ohne dich wäre ich völlig aufgeschmissen gewesen, vielen vielen dank wenn ich dir irgendwas gutes tun kann lass es mich wissen

was so eine kleine Zeile doch für Auswirkungen haben kann

ok zum Abschluss noch 2 kleine Benchmarks auf meinem Board Jetway NF77 mit ner VIA Nano 1GHZ CPU (VIA Nano U2300)

Ohne Padlock

Code: Alles auswählen

lenny:~# dd if=/dev/zero bs=1024 count=1000000 of=/tmp/1GB.file
			1000000+0 Datensätze ein
			1000000+0 Datensätze aus
			1024000000 Bytes (1,0 GB) kopiert, 49,4087 s, 20,7 MB/s

Mit Padlock

Code: Alles auswählen

lenny:~# dd if=/dev/zero bs=1024 count=1000000 of=/tmp/1GB.file
1000000+0 Datensätze ein
1000000+0 Datensätze aus
1024000000 Bytes (1,0 GB) kopiert, 11,5884 s, 88,4 MB/s

4mal so schnell das kann sich sehen lassen

ohne Padlock engine:

Code: Alles auswählen

lenny:~# hdparm -tT /dev/mapper/karl-test
/dev/mapper/karl-dump:
Timing cached reads:   1100 MB in  2.00 seconds = 549.93 MB/sec
Timing buffered disk reads:   50 MB in  3.07 seconds =  16.26 MB/sec

mit Padlock

Code: Alles auswählen

lenny:~# hdparm -tT /dev/mapper/karl-test
		/dev/mapper/karl-dump:
 		Timing cached reads:   1168 MB in  2.00 seconds = 583.65 MB/sec
 		Timing buffered disk reads:  130 MB in  3.02 seconds =  42.99 MB/sec

mehr als doppelt so schnell auch OK

[mR. bluE]

Ich grab den thread hier mal raus, sorry

Also unter Lenny hab ich das ganze ja gebacken bekommen wie hier beschrieben.
Unter squeeze waren keinerlei veränderungen nötig, die padlock engine wurde direkt nach der installation für die HDD verschlüsselung genutzt. (ohne irgendwelche veränderungen)
Jetzt unter wheezy zickt es schon wieder.
Zusammenfassung:
Voll verschlüsseltes System, frisch aufgesetzt, http://debianforum.de/forum/pastebin.ph ... ew&s=37561 die nötigen outputs.

ich hab hier sämtliche vorschläge getstet, also alias anlegen, in /etc/initramfs-tools/modules die padlock module einfügen, und gefühlte hundertmal die initrd neugebaut und gebootet, alles ohne Erfolg.
Irgendwelche vorschläge was ich noch probieren könnte?

Das was mir jetzt noch einfällt, der Unterschied zu der squeeze installation war die Verschlüsselung, also von "aes-cbc-essiv:sha256" nach "aes-xts-plain64" kann das daran liegen?
Hat hier irgendjemand die padlock engine am laufen, und kann mal schaun was genutzt wird?

[mR. bluE]

UPDATE:
Also an der verschlüsselungsmethode liegt es auch nicht....
Ists Zeit fürn n Bug Report? und wenn ja an wen?

[mR. bluE]

nach ner neuinstalltion und das manuelle erstellten der verschlüsselten Partion mit dem cipher aes-cbc-essiv:sha256 und dem anschließenden einfügen der beiden zeilen

padlock-aes
padlock-sha

in der /etc/initramfs-tools/modules, wurden die module auch für den Festplatten Zugriff genutzt.

Wirklich glücklich bin ich irgendwie mit der Lösung nicht, OK das ist schon ne sehr exotische Hardware (wer hat denn schon ne VIA CPU) aber aus irgend einem grund ging das unter Squeeze "out of the box", schade das da bei wheezy irgendwas verändert wurde beim Installations Vorgang.