debianforum.de

Hallo zusammen,

ich versuche gerade folgendes Setup hin zu bekommen:
- Laptop 1 (Debian Buster, LUKS verschlüsselt): Privat
- Laptop 2 (Ubuntu 18.04, LUKS verschlüsselt): Eltern
- Externe HDD (Mit LUKS verschlüsselt): Gemeinsam genutzt für Backups

Plan/Motivation/Info:
Um die Verwendung der Platte möglichst simpel zu machen, wollte ich mit dem derived_key Skript (/lib/cryptsetup/scripts/decrypt_derived) sowohl von Laptop 1, als auch von Laptop 2 jeweils einen Schlüssel ableiten und diesen mit cryptsetup der externen HDD hinzufügen.
Anschließend hätte ich die Platte mit ihrer UUID jeweils in die /etc/crypttab eingetragen (soll dann wohl mit dem Parameter keyscript=/lib/cryptsetup/scripts/decrypt_derived" ein "automatisches" Entschlüsseln beim Anstecken ermöglichen). Ziel wäre gewesen, den Leuten keine weiteren Key-Eingaben abzuverlangen.

Problem:
Wenn ich auf Laptop 1 mittels: mal testweise den Schlüssel ableiten will, bevor ich ihn ablege, bekomme ich da nur den folgenden Text in der Datei: Wie es aussieht, funktioniert das Skript mit LUKS2 Partitionen nicht so ohne weiteres, da LUKS2 die Schlüssel im kernel-keyring ablegt. Nun könnte man scheinbar mit der Option "--disable-keyring" ein anderes Verhalten erzwigen. Ich bin aber (noch) nicht tief genug in dem Thema um beurteilen zu können ob das eine gute Idee ist.

Meine Fragen wären nun:
1. Mach ich was falsch?
2. Hat jemand Erfahrung mit einem deartigen Setup bzw. bessere Vorschläge?

Beste Grüße

Habe zwar keine Lösung/Antwort zu dem Problem (das mich allerdings ebenfalls sehr interessiert), würde aber raten, diese Frage eher in der dm-crypt ML zu stellen.
Alternativ erst mal ausprobieren, ob das mit --disable-keyring grundsätzlich funktionieren würde (von ggf. vorhandenen Nachteilen/Bedenken zunächst mal abgesehen).

Ich verstehe nicht warum die Leute immer so absurd komplizierte Konstrukte bauen wollen um Passwortlose eingaben zu ermöglichen.
Leg halt ein Keyfile auf die verschlüsselte Platte und du hast keine Probleme mehr. Wenn du die volle 256 sicherheit ausnutzen willst kostet dich das 32 Byte. Hundert mal zuverlässiger und sicherer als irgend welche kompliziertlösungen.

Einfafch eine Datei mit zufälligem Inhalt, die nur für root lesbar ist auf die beiden Rechner kopieren und fertig.
Hier das Beispiel: Die Datei /etc/hdpw
Die passende crypttab: Ne zufällige Datei kannst du dir damit erzeugen: Die musst du dann halt auf den 2. Rechner kopieren und fertig.

Edit: Ich hatte da fälschlicherweise fstab stehen. Das sollte, wie Tintom zurecht anmerkte, crypttab heißen.

wanne hat geschrieben:

07.09.2020 01:10:02

Die passende fsttab:

Code: Alles auswählen

externhdd  UUID=12345678-9012-1234-1234-123456789012 /etc/hdpw luks,nofail

Kleine Anmerkung: Das sieht nach einem Beispiel für /etc/crypttab aus.

Sonst hat wanne recht. Das Problem mit den keyscripts ist, dass systemd und Debian da inkomaptibel zueinander sind, die Entschlüsselung mittels keyfile ist da wesentlich entspannter.

Hallo zusammen, die Lösung mit dem keyfile hatte ich auch - als "Plan B" - auf dem Schirm. Mir war aber nicht klar, dass systemd da so die Inkompatibilitäten rein bringt. Dann wird's wohl das keyfile. Danke euch für eure Antworten