gesamte Platte mit verschlüsseltem LVM

[h.peter]

Hallo Leute,

bei der Installation habe ich die Option:
Geführt - gesamte Platte mit verschlüsseltem LVM
auswählen. Kann das bitte jemand auch machen, evtl. auf einem Virtuellen Rechner/Box oder was auch immer

Denn wenn ich diese Option auswähle komme ich nicht weiter ... es kommt eine Fehlermeldung:
"Es wurde kein Root-Dateisystem festgelegt. Bitte beheben Sie dies im Partitionsmenü."

Das wäre sehr Nett, wenn das jemand auch mal machen würde und mir erklärt was hier los ist
Denn ich versteh das nicht
Danke und einen wunderschönen Tag wünsche ich euch noch, mit bester Gesundheit natürlich
Tschüss.

PS: Ich benutze Debian Etch

[utkin]

Falls ich morgen dazu komme probiere ich das mal in einer VM.


Gruß, utkin

[Danielx]

Hallo,

ich habe das zufällig gestern Abend in einer VM getestet , um herauszufinden ob es möglich ist eine schon vorhandene Partition zu behalten:

Benutzt habe ich dafür debian-40r1-i386-kde-CD-1.iso
Und die Option installgui.

"Geführt - gesamte Platte mit verschlüsseltem LVM" hat problemlos funktioniert.
Allerdings war es nicht möglich eine schon vorhandene Partition zu behalten (diese hatte ich vorher testweise mit einer Knoppix-CD angelegt). Genügend nicht partitionierter Speicherplatz war vorhanden.
Die ganze Festplatte wurde also gelöscht.

Hast du mal mit Strg+Alt+F1 bis F4 nachgesehen, ob es irgendwelche Hinweise gibt, wo das Problem genau liegt?
Mit Strg+Alt+F5 kommst du dann wieder zum Installer zurück.

Gruß,
Daniel

[h.peter]

Hallo Leute!

ich habe das zufällig gestern Abend in einer VM getestet , um herauszufinden ob es möglich ist eine schon vorhandene Partition zu behalten

Gut für mich

Hast du mal mit Strg+Alt+F1 bis F4 nachgesehen, ob es irgendwelche Hinweise gibt, wo das Problem genau liegt?

Das habe ich nicht. Ich hab gestern noch was ausprobiert, aber erstmal eine Frage
Wie ist das bei dir gewesen, als du die Option ausgewählt hat, wurden dir zwei Partitionen erstellt?
Eine boot und eine Verschlüsselte?

Hast du auf der Verschlüsselte LVM Partitionen gehabt? Denn mir ist aufgefallen, das ich irgendwie auf der LVM eine Partition einrichten kann. Ganz komisch ...
Danke und Tschüss

[Danielx]

Wie ist das bei dir gewesen, als du die Option ausgewählt hat, wurden dir zwei Partitionen erstellt?
Eine boot und eine Verschlüsselte?

Ja, genau.

Hast du auf der Verschlüsselte LVM Partitionen gehabt?

Ich hatte eine Aufteilung in / (root) und /home gewählt.
Hierbei werden in der VG (volume group) zwei LV (logical volume) angelegt.
Bei LVM heißen "Partitionen" LV. (Partitionen im eigentlichen Sinne gibt es da nicht).

Gruß,
Daniel

[h.peter]

Hast du auf der Verschlüsselte LVM Partitionen gehabt?

Ich hatte eine Aufteilung in / (root) und /home gewählt.
Hierbei werden in der VG (volume group) zwei LV (logical volume) angelegt.
Bei LVM heißen "Partitionen" LV. (Partitionen im eigentlichen Sinne gibt es da nicht).

Genau das hat mir gefehlt. Man muss die logische LVM erneut Partitionieren. Das muss doch einen gesagt werden
Wie ist das jetzt, muss /(root) einen bootflag haben? Wenn /boot ein bootflag hat, dann geht das doch gar nicht.
Kann mir das jemand bitte erklären.

Die andere Frage ist, LVM kann doch seine Größe beliebig erweitern. Aber wenn ich jetzt auf der verschlüsselten LVM Partitionen erstelle, dann kann ich doch diese Partition nicht erweitern. Oder etwa doch? Das wäre mir neu.

Ich danke für die Hilfe.



EDIT: Wenn ich swap mit auf der Verschlüsselten LVM mache dann meckert er auch rum und komm somit nicht weiter. Langsam aber sicher bin ich mir nicht mehr sicher ob das stimmt was ich mache. Auf der Verschlüsselten LVM primäre und logische Partition erstellen ist das richtig? Darunter auch swap und /(root)?

EDIT2: Kann mir denn keiner weiterhelfen? Ich möchte doch nur eine Verschlüsselte LVM mit separaten /home. Das Partitionsprogramm während der Installation macht aber nur Schwierigkeiten. Bitte ... helft mir. Bitte ... ich sitze schon seit Wochen daran (aber nicht 24h lang )
Ich danke für jede Hilfe.

EDIT3: Gibt es hier denn überhaupt keine Freaks?

[VQE]

Die swap-Partition befindet sich im verschlüsselten Bereich der Platte. /boot wird benötigt, damit der Kernel gebootet werden kann. Grub weis nicht, was eine Verschlüsselung ist. Der Kernel lädt u.a. die crypt-Module. Dann kommt die PW-Abfrage für die verschlüsselte Partition. Dann kann der Kernel erst auf das root-FS zugreifen.
Wenn Du ein LV erweitern willst, musst Du natürlich erst die VG erweitern. Dieses muss erst um eine verschlüsselte [!] Partition erweitert werden.
Du bindest die zweite schon verschlüsselte Partition in die VG ein. Wenn Du den freien Platz des neuen LV, dem LV auf dem sich auch das root-FS befindet, zuordnest, kracht es beim nächsten booten. Das root-FS wird nicht gefunden.

Ist ja auch logisch. Zu diesem Zeitpunkt steht das gesamte Volumen noch nicht zur Verfügung. Die Passwortabfrage gilt nur für die erste Platte. Weitere Platten und Partitionen werden erst später encryptet und eingebunden. Kann man sehr gut sehen, wenn man die zweite Platte nur der VG zuordnet. Die PW-Abfrage kommt erst nachdem das Volumen beim booten erstellt wird.

Eine Lösung scheint es hier nicht zu geben. Das encrypten ALLER Partitionen müsste zum Anfang erfolgen, bevor irgendwelche Volumes aktiviert werden.

Schade, so bin ich wieder bei SuSE gelandet. Wollte ich eigentlich nicht, da Novell mit M$ kooperiert.

MfG
VQE

[h.peter]

Hallo!
Schön das jemand seine Erfahrung mit mir teilt

Ist ja auch logisch. Zu diesem Zeitpunkt steht das gesamte Volumen noch nicht zur Verfügung. Die Passwortabfrage gilt nur für die erste Platte. Weitere Platten und Partitionen werden erst später encryptet und eingebunden. Kann man sehr gut sehen, wenn man die zweite Platte nur der VG zuordnet. Die PW-Abfrage kommt erst nachdem das Volumen beim booten erstellt wird.

Hmm, ganz versteh ich das nicht. Bedeutet das man für ein VG zwei Passwörter braucht. Vorausgesetzt ich habe eine verschlüsselte LV später hinzugefügt?
Besteht das Problem immer noch, wenn ich die /home VG erweitere?

Der aktuelle stand bei mir ist folgender:
Ich habe jetzt nur eine Festplatte angeschlossen und "Geführt - gesamte Platte mit verschlüsseltem LVM " ausgewählt. Dies hat funktioniert. Somit habe ich gecheckt, das jede LV in ein separaten VG gepackt wird. Das heißt /root bekommt eine VG, /home bekommt seine eigene VG und auch swap bekommt eine eigene VG.
Partman (ich glaube so hieß das Programm) partitioniert meine 500 GB wie oben Beschrieben richtig. Aber wenn ich mein RAID wieder zusammen stelle und 1,5 TB rauskommt. Dann ist Partmann gelinde gesagt für den Arsch!! Ich wusste echt nicht das es an der Größe liegen kann.
Was macht Partmann falsch unter den oben genannten Voraussetzungen: Er erstellt keine VG mehr, somit wird kein /root und swap erstellt. Und wenn er dann später weitermachen will kommt er nicht weiter ...
Ich versuche das dieses Wochenende mal Manuell zu erstellen. Dank VQE und Danielx bin ich jetzt was dieses Thema angeht besser als vorher.

Schade, so bin ich wieder bei SuSE gelandet. Wollte ich eigentlich nicht, da Novell mit M$ kooperiert.

Nur so neben bei: Ich will nicht zu SUSE, ich hasse SUSE

Ich hatte eine Aufteilung in / (root) und /home gewählt.
Hierbei werden in der VG (volume group) zwei LV (logical volume) angelegt.
Bei LVM heißen "Partitionen" LV. (Partitionen im eigentlichen Sinne gibt es da nicht).

Hier steht eigentlich schon teilweise die Antwort auf meine weitere Frage. Aber was ich nun nicht verstehe ist, dass ich nur ein LV pro VG hatte du aber nicht. Wieso ist das bei dir anderes?

@VQE: Ich hoffe das man eine Erweiterung der /home VG vornehmen kann. Wenn /root nicht erweitert werden kann ist es nicht sooo schlimm, da man die Daten ja auf /home hat.
Ich Danke euch und wünsche euch ein schönes Wochenende. Ich hoffe dennoch auf eine schnelle Antwort

[Danielx]

@ h.peter: Das ist ja sehr interessant, was du da berichtest!

Hmm, ganz versteh ich das nicht. Bedeutet das man für ein VG zwei Passwörter braucht. Vorausgesetzt ich habe eine verschlüsselte LV später hinzugefügt?

Es ist so, dass man zwei Passwörter für eine VG bräuchte, wenn dieses VG aus zwei verschlüsselten PV bestehen würde.
Denn hier werden nicht die VG und auch nicht die LV verschlüsselt, sondern die PV.

Dies hat funktioniert. Somit habe ich gecheckt, das jede LV in ein separaten VG gepackt wird. Das heißt /root bekommt eine VG, /home bekommt seine eigene VG und auch swap bekommt eine eigene VG.
(...)
Aber was ich nun nicht verstehe ist, dass ich nur ein LV pro VG hatte du aber nicht. Wieso ist das bei dir anderes?

Bist du dir sicher, dass du je eine VG (und darin dann eine LV) für / (root) /home und swap hast???
Was sagt denn pvdisplay, vgdisplay und lvdisplay bei dir?

Ich hoffe das man eine Erweiterung der /home VG vornehmen kann. Wenn /root nicht erweitert werden kann ist es nicht sooo schlimm, da man die Daten ja auf /home hat.

Wenn / (root) in einer eigenen VG liegt und somit /home in einer anderen VG, dann müsste sich die VG in der sich /home befindet durch Hinzufügen eines weiteren verschlüsselten PV erweitern lassen (dieses in /etc/crypttab eintragen, damit es entschlüsselt wird, bevor es vom LVM benötigt wird).
Hat aber den Nachteil, dass jedes verschlüsselte PV sein eigenes Passwort hat, welches dann beim Booten zusätzlich eingegeben werden muss, allerdings kann man das auch mit einem Keyfile, welches auf / (root) gespeichert ist, umgehen.

Falls es noch nicht ganz klar ist:
VG bestehen aus einem oder mehreren PV, diese PV sind normale Partitionen.
In einer VG ist wiederum mindestens ein LV, in diesem LV (entspricht einer Partition im herkömmlichen Sinne) befindet sich dann das Dateisystem.
Wenn die Option "Geführt - gesamte Platte mit verschlüsseltem LVM" gewählt wird, dann wird das PV verschlüsselt und somit auch der Rest, der auf diesem PV aufbaut.
PV = Physical Volume
VG = Volume Group
LV = Logical Volume

Gruß,
Daniel

[VQE]

Ich mag SuSE auch nicht mehr. Daher will ich zu Debian. Wenn das Problem mit dem erweitern eines LV nicht gelöst wird, bleibe ich bei SuSE.

Wie meine Vorredner schon schrieben. Das PV wird verschlüsselt einer VG zugeordnet. Wenn zwei verschlüsselte oder mehr PV einer VG zugeordnet werden, bootet der Rechner noch. Wird der zusättliche Platz dem LV zugeordnet, auf dem sich das root-FS befindet, bootet der Rechner nicht mehr. Erfindet das root-FS nicht mehr.

Für jede verschlüsselte Partition muss jeweils das PW eingegeben werden. Es gibt aber Möglichkeiten die PWs auf einen USB-Stick abzulegen. Von diesem holt sich das encrypt-Modul bei Bedarf das passende PW. Eine Anleitung dazu kann man ergoogeln.

Folgendes muss beim booten des Systems sichergestellt werden:
Alle verschlüsselten Partitionen müssen zum gleichen Zeitpunkt encryptet werden! Das muss geschehen, bevor die VGs und LVs beim booten erstellt werden. Da sich auf dem LV ja das root-FS befindet.

Ach so, eines funktioniert aber:
Wenn man einer VG mehrere verschlüsselte PVs zuordnet. In dieser VG mehrere LVs anlegt. Das erste LV (welches der debian-Installer anlegt) fäßt man nicht an. Wichtig, dieses LV darf weder vergrößert noch verkleinert werden. Ein weiteres LV kann zB. unter /home gemountet werden.
Das habe ich getestet, booten und mit arbeiten ging. Da die gesamte Sache aber verschlüsselt ist, habe ich die Finger von gelassen.
Lieber ein unvollständig verschlüsseltes System und die Daten sind sicher, als ein verschlüsseltes System zu haben und Daten verlieren.

Gibt es hier jemand, der sich mit dem boot-Vorgang auskennt? Wo kann man festlegen, wann die verschlüsselten Partitionen encryptet werden? Irgendwo muss es doch eine config-Datei dafür geben.

Ein schönes Wochenende
VQE

[h.peter]

@Danielx:

Dies hat funktioniert. Somit habe ich gecheckt, das jede LV in ein separaten VG gepackt wird. Das heißt /root bekommt eine VG, /home bekommt seine eigene VG und auch swap bekommt eine eigene VG.
(...)
Aber was ich nun nicht verstehe ist, dass ich nur ein LV pro VG hatte du aber nicht. Wieso ist das bei dir anderes?

Bist du dir sicher, dass du je eine VG (und darin dann eine LV) für / (root) /home und swap hast???
Was sagt denn pvdisplay, vgdisplay und lvdisplay bei dir?

Was pvdisplay, vgdisplay und lvdisplay weiß ich nicht, aber ich habe damals ein Bild (schöner zufall) geschossen:
http://gallery.debianforum.de/v/verschi ... 7.JPG.html
Die Partitionierung dauert so lange und ich wollte es jetzt manuell partitionieren. Aus diesem Grund hänge ich das Bild an statt zu sagen was pvdisplay, vgdisplay und lvdisplay ausgibt. Aber wenn du willst das ich die Ausgabe poste, dann mach ich die lange Partitionierung zur wohl aller.

Wenn / (root) in einer eigenen VG liegt und somit /home in einer anderen VG, dann müsste sich die VG in der sich /home befindet durch Hinzufügen eines weiteren verschlüsselten PV erweitern lassen (dieses in /etc/crypttab eintragen, damit es entschlüsselt wird, bevor es vom LVM benötigt wird).
Hat aber den Nachteil, dass jedes verschlüsselte PV sein eigenes Passwort hat, welches dann beim Booten zusätzlich eingegeben werden muss, allerdings kann man das auch mit einem Keyfile, welches auf / (root) gespeichert ist, umgehen.

Ich glaube das kann ich in kauf nehmen. Das mit den Keyfile sehe ich nicht als Sicherheitslücke oder Problem an, da es durch die eine Verschlüsselung verschlüsselt wird und somit habe ich alles unter einem Schlüssel (auch die Erweiterung des VG).

Falls es noch nicht ganz klar ist:
VG bestehen aus einem oder mehreren PV, diese PV sind normale Partitionen.
In einer VG ist wiederum mindestens ein LV, in diesem LV (entspricht einer Partition im herkömmlichen Sinne) befindet sich dann das Dateisystem.
[...]
PV = Physical Volume
VG = Volume Group
LV = Logical Volume

Sehr schöne Übersicht. Das musste ich jetzt einfach noch sagen. Vielen Dank. Das wird anderen bestimmt auch weiterhelfen.

@VQE:

Ich mag SuSE auch nicht mehr. Daher will ich zu Debian. Wenn das Problem mit dem erweitern eines LV nicht gelöst wird, bleibe ich bei SuSE.

Wieso mountest du nicht einfach eine weitere VG dort ein, wo am meisten Speicherplatz benötigt wird?

Für jede verschlüsselte Partition muss jeweils das PW eingegeben werden. Es gibt aber Möglichkeiten die PWs auf einen USB-Stick abzulegen. Von diesem holt sich das encrypt-Modul bei Bedarf das passende PW. Eine Anleitung dazu kann man ergoogeln.

Wie schon oben gesagt, das würde ich in Kauf nehmen. Das mit dem Keyfile wird (wenn es soweit ist) denke ich kein Problem sein.

Folgendes muss beim booten des Systems sichergestellt werden:
Alle verschlüsselten Partitionen müssen zum gleichen Zeitpunkt encryptet werden! Das muss geschehen, bevor die VGs und LVs beim booten erstellt werden. Da sich auf dem LV ja das root-FS befindet.

OK, geht klar.

Ach so, eines funktioniert aber:
Wenn man einer VG mehrere verschlüsselte PVs zuordnet. In dieser VG mehrere LVs anlegt. Das erste LV (welches der debian-Installer anlegt) fäßt man nicht an. Wichtig, dieses LV darf weder vergrößert noch verkleinert werden. Ein weiteres LV kann zB. unter /home gemountet werden.

Wieso darf ich die von debian-Installer angelegte LV nicht erweitern? Selbst wenn es eine separate VG ist und nur /home hat? Das hab ich noch nicht ganz verstanden.

Gibt es hier jemand, der sich mit dem boot-Vorgang auskennt? Wo kann man festlegen, wann die verschlüsselten Partitionen encryptet werden? Irgendwo muss es doch eine config-Datei dafür geben.

In der /etc/crypttab steht das nicht ... hmm, keine Ahnung.

Ich danke euch für die Hilfe Das ist wirklich sehr Hilfreich. Vielen Vielen Dank.

[Danielx]

Die Partitionierung dauert so lange und ich wollte es jetzt manuell partitionieren. Aus diesem Grund hänge ich das Bild an statt zu sagen was pvdisplay, vgdisplay und lvdisplay ausgibt.

Danke für das Bild!
Ich entnehme daraus, dass du auch nur eine VG mit dem Namen "debian" hast in der sich dann die drei LVs "home", "root" und "swap_1" befinden.
Sieht bei mir genauso aus, außer eben der Festplattengröße und Name der VG.
Die display-Ausgaben sind somit nicht mehr nötig.

Ich glaube das kann ich in kauf nehmen. Das mit den Keyfile sehe ich nicht als Sicherheitslücke oder Problem an, da es durch die eine Verschlüsselung verschlüsselt wird und somit habe ich alles unter einem Schlüssel (auch die Erweiterung des VG).

Das Keyfile darf nur mode 400 sein und uid/gid muss root sein, sonst lehnt cryptsetup das Keyfile beim Booten ab!

Sehr schöne Übersicht.

Folgendes muss beim booten des Systems sichergestellt werden:
Alle verschlüsselten Partitionen müssen zum gleichen Zeitpunkt encryptet werden! Das muss geschehen, bevor die VGs und LVs beim booten erstellt werden. Da sich auf dem LV ja das root-FS befindet.

Das gilt nur für die verschlüsselten Partitionen, die zur VG gehören auf der sich das root-LV und evtl. das swap-LV befindet.
Denn es gibt beim Booten zwei Phasen:

• 1) Booten mit der initrd.
  2) Booten des Hauptsystems.

In Phase 1 müssen alle verschlüsselten Partitionen und VGs entschlüsselt/gemountet werden auf der sich das root-LV und evtl. swap-LV befinden.
In Phase 2 werden dann alle verschlüsselten Partitionen und VGs entschlüsselt/gemountet welche in Phase 1 noch nicht entschlüsselt/gemounted wurden.

Wieso darf ich die von debian-Installer angelegte LV nicht erweitern? Selbst wenn es eine separate VG ist und nur /home hat? Das hab ich noch nicht ganz verstanden.

Wenn die Bedingungen für Phase 1 und 2 erfüllt sind geht das schon.

Gibt es hier jemand, der sich mit dem boot-Vorgang auskennt? Wo kann man festlegen, wann die verschlüsselten Partitionen encryptet werden? Irgendwo muss es doch eine config-Datei dafür geben.

In Phase 1 werden u.a. zwei Skripte (aus der initrd) ausgeführt, eins für die cryptdiscs und eines für LVM
In Phase 2 werden alle nicht in Phase 1 entschlüsselten Partitionen welche sich in /etc/crypttab befinden entschlüsselt.
/etc/init.d/cryptdisks... erledigt das dann, wenn ich mich richtig erinnere.
Dies gilt analog dazu auch für LVM.

initrd zum Ansehen entpacken, geht übrigens so:

Code: Alles auswählen

mkdir tmp/initrd
cd tmp/initrd
gunzip -c -9 /boot/initrd.img-2.6.18-5-686 | cpio -i -d -H newc --no-absolute-filename

edit: g von gunzip ergänzt

Gruß,
Daniel

[h.peter]

Danke für das Bild!
Ich entnehme daraus, dass du auch nur eine VG mit dem Namen "debian" hast in der sich dann die drei LVs "home", "root" und "swap_1" befinden.

Upps, bin ich D***. Das hätte ich auch selber sehen können

Das Keyfile darf nur mode 400 sein und uid/gid muss root sein, sonst lehnt cryptsetup das Keyfile beim Booten ab!

Ahh, vielen dank.

Wieso darf ich die von debian-Installer angelegte LV nicht erweitern? Selbst wenn es eine separate VG ist und nur /home hat? Das hab ich noch nicht ganz verstanden.

Wenn die Bedingungen für Phase 1 und 2 erfüllt sind geht das schon.

Ok, geht klar

Gibt es hier jemand, der sich mit dem boot-Vorgang auskennt? Wo kann man festlegen, wann die verschlüsselten Partitionen encryptet werden? Irgendwo muss es doch eine config-Datei dafür geben.

In Phase 1 werden u.a. zwei Skripte (aus der initrd) ausgeführt, eins für die cryptdiscs und eines für LVM
In Phase 2 werden alle nicht in Phase 1 entschlüsselten Partitionen welche sich in /etc/crypttab befinden entschlüsselt.
/etc/init.d/cryptdisks... erledigt das dann, wenn ich mich richtig erinnere.
Dies gilt analog dazu auch für LVM.

Es ist immer gut zu wissen wo es steht. Vielen Vielen Dank.

initrd zum Ansehen entpacken, geht übrigens so:

Code: Alles auswählen

mkdir tmp/initrd
cd tmp/initrd
unzip -c -9 /boot/initrd.img-2.6.18-5-686 | cpio -i -d -H newc --no-absolute-filename

Das ist echt super von dir ... Danke.

Mein aktueller Stand ist nun das ich über die Partitionierung gekommen bin
Das hab ich allein euch zu verdanken. Vielen Dank.
Nun kann der Server aufgesetzt werden. Ich bin dabei Xen zu installieren
Danke. Nochmal.

Für weitere Anregungen bin ich immer noch offen Egal in welche Richtung ob Hinweis auf Sicherheit oder Hinweis auf Xen oder anderes. Ich danke euch.

[VQE]

Danielx hat folgendes geschrieben:

initrd zum Ansehen entpacken, geht übrigens so:
Code:
mkdir tmp/initrd
cd tmp/initrd
unzip -c -9 /boot/initrd.img-2.6.18-5-686 | cpio -i -d -H newc --no-absolute-filename

Ich verstehe das jetzt so:
Ich müßte die beiden Scripte ermitteln, anpassen und ein neues initrd.img bauen. Wenn ich das Image richtig baue, werden die Partitionen zum richtigen Zeitpunkt entschlüsselt.

Klingt logisch. Da der debian-Installer ja nichts von der Erweiterung weis (wird ja nach der Installation gemacht) kann er weitere Partitionen nicht einbinden. Und die Möglichkeit während der Installation Platten hinzufügen gibt es nicht.

Eine Frage an Danielx: Wie heißen die Scripte?

MfG
VQE

[Danielx]

Ich verstehe das jetzt so:
Ich müßte die beiden Scripte ermitteln, anpassen und ein neues initrd.img bauen. Wenn ich das Image richtig baue, werden die Partitionen zum richtigen Zeitpunkt entschlüsselt.

Du müsstest die entsprechenden Skripte anpassen oder ein neues Skript schreiben.

Eine Frage an Danielx: Wie heißen die Scripte?

In der initrd liegen die relevanten Skripte unter /scripts/local-top/
In dem System auf welchem die initrd gebaut wird liegen die Skripte unter /usr/share/initramfs-tools/scripts/

Weitere Infos gibt es auch im Handbuch von initramfs-tools:

Code: Alles auswählen

man initramfs-tools

Ich hatte übrigens folgende Idee:
Ich lege eine verschlüsselte Partition an (Key-Partition), in welchem sich die Key-Files für die Partitionen (root, home, swap etc...) befinden.
Diese Key-Partition wird durch ein Skript in der initrd entschlüsselt (nur eine Passwortabfrage) und gemountet dann werden die Partitionen mit den Key-Files entschlüsselt und die Key-Partition wird wieder geschlossen und ausgehängt.
Das hat den Vorteil, dass die Key-Files nicht unverschlüsselt auf root rumliegen und ich dennoch nur eine Passwortabfrage (evtl. auch mit einem zusätzlichen Key auf einem USB-Stick...) habe.

Ich bin da gerade etwas am Testen, habe aber z.Zt. nicht so viel Zeit dafür.

Gruß,
Daniel

[VQE]

Ich habe noch ein Link auf eine Seite, auf der beschrieben ist, wie ein USB-Stick eingebunden wird. Auf diesem befindet sich ein Key-File. Es muss dann genau dieser Stick verwendet werden. Da können natürlich auch mehrere Key-Files gespeichert werden.
Ich poste demnächst mal den Link.

mfg
VQE

[VQE]

Wie oben versprochen der Link:

http://www.andreas-janssen.de/cryptodisk.html

[Danielx]

Wie oben versprochen der Link:

Danke, ich bin schon dabei, mal sehen ob ich es heute noch schaffe mein Skript fertig zu stellen, wenn nicht dann frühestens nach den Feiertagen.