[geloest] dm-crypt-verschluesselte Partitionen per ssh

wurstwolf · Beitrag von **wurstwolf** » 02.03.2008 21:35:31

Moin mitnander,

ich habe einen Rechner, welcher kuenftig als Datei- und Emailserver laufen soll. Auf diesem habe ich etch installiert und zwei per dm-crypt verschluesselte Partitionen erstellt. Leider werden die Passwoerter fuer die verschluesselten Partitionen noch vor dem Start des SSH-Servers abgefragt, so dass ich bisher noch auf Grafikkarte+Monitor angewiesen bin.

Mein Versuch zur Behebung des Problems war, die betreffenden Partitionen in der /etc/fstab nicht automatisch zu mounten. Leider wird auch ohne das Mounten der Partitionen trotzdem waehrend des Bootvorgangs das Passwort abgefragt.

Die Suche nach dm-crypt, boot, ssh und luks hat mir dabei auch nicht weitergeholfen, vielleicht kann mir ja einer von euch den entscheidenden Tipp geben. Waere toll.

wurstwolf · Beitrag von **wurstwolf** » 02.03.2008 22:00:37

Ich hab gerade diesen Artikel gefunden, werde den mal durcharbeiten und vielleicht laeufts dann ja schon

wurstwolf · Beitrag von **wurstwolf** » 02.03.2008 22:34:43

Leider laeuft hier noch etwas unrund. Ich habe von mir verlinkte Anleitung Schritt fuer Schritt durchgearbeitet, aber beim erstellen der initrd tauchen Fehlermeldungen auf:

Code: Alles auswählen

tangua:/home/wurstwolf# mkinitramfs -o remote_dm-crypt
cp: Aufruf von stat für „/root/.ssh“ nicht möglich: Datei oder Verzeichnis nicht gefunden
/etc/initramfs-tools/hooks/dropbear: line 171: /tmp/mkinitramfs_gi2888/usr/bin/unlock: Datei oder Verzeichnis nicht gefunden
chmod: Zugriff auf „/tmp/mkinitramfs_gi2888/usr/bin/unlock“ nicht möglich: Datei oder Verzeichnis nicht gefunden
cpio: ./libutil.so.1: Datei oder Verzeichnis nicht gefunden
cpio: ./etc/dropbear/supervise: Datei oder Verzeichnis nicht gefunden
cpio: ./etc/dropbear/log/supervise: Datei oder Verzeichnis nicht gefunden
cpio: ./etc/dropbear/log/main: Datei oder Verzeichnis nicht gefunden
tangua:/home/wurstwolf# ls
remote_dm-crypt

Nach dem Anpassen der /boot/grub/menu.lst, update-grub und anschlieszendem Reboot werden die Passwoerter weiterhin vor dem Start des SSH-Servers abgefragt.

loomes · Beitrag von **loomes** » 03.03.2008 00:18:26

Das hier sollte genau das richtige für dich sein. Nutze ich selbst übrigens auch so:

http://wiki.debianforum.de/CryptoFsMitDmcrypt

Den Punkt "Das System einrichten" überspringst du einfach.
Dann kannst du nachdem das sys hochgefahren ist per ssh drauf gehen und per:

cryptsetup create mappername /dev/deinehdd den Mapper wieder erzeugen.
Nach dem Befehl kommt die pwd abfrage. Danach kannst du ganz einfach per "mount /dev/mapper/mappername /mountpunkt" die Partition einhängen.

Hoffe es hilft dir.

wurstwolf · Beitrag von **wurstwolf** » 03.03.2008 01:12:57

Dein Link hat mir leider auch nicht weitergeholfen. Wahrscheinlich lags daran, dass die Loesung einfach zu einfach war:

Wenn ich das richtig verstehe, wird unter /dev/mapper/name ein virtuelles Volume angelegt, welches anschlieszend wie gewohnt genutzt werden kann.

In der /etc/crypttab gab es Eintraege fuer die beiden crypto-Volumes. Anhand dieser Eintraege wurde automatisch das Passwort beim Systemstart abgefragt. Nachdem ich die Eintraege zu den betreffenden Volumes aus der /etc/crypttab entfernt hatte, meckerte die Kiste beim Start darueber, dass die Volumes /dev/mapper/name1 und .../name2 ungueltig seien.

Daraufhin habe ich die betreffenden Eintraege in der /etc/fstab auskommentiert und jetzt faehrt der Rechner wie gewuenscht hoch.

wurstwolf · Beitrag von **wurstwolf** » 03.03.2008 01:25:04

Tja, die naechste Fehlermeldung laesst nicht lange auf sich warten. Nachdem ich endlich per SSH in das vollstaendig gebootete System konnte, wollte ich mir die Volumes dann ja auch oeffnen und mounten. Leider endete das in einer Fehlermeldung. Weisz jemand Rat?

Code: Alles auswählen

tangua:~# cryptsetup create hda6_crypt /dev/hda6
Enter passphrase:
tangua:~# cryptsetup create hda7_crypt /dev/hda7
Enter passphrase:
tangua:~# mount /dev/mapper/hda
hda3_crypt  hda6_crypt  hda7_crypt
tangua:~# mount /dev/mapper/hda
hda3_crypt  hda6_crypt  hda7_crypt
tangua:~# mount /dev/mapper/hda6_crypt /media/crypto1
mount: you must specify the filesystem type
tangua:~# mount -t ext3 /dev/mapper/hda6_crypt /media/crypto1
mount: wrong fs type, bad option, bad superblock on /dev/mapper/hda6_crypt,
       missing codepage or other error
       In some cases useful info is found in syslog - try
       dmesg | tail  or so

tangua:~# dmesg | tail
ACPI: Power Button (CM) [PWRB]
ACPI: Sleep Button (CM) [SLPB]
Installing knfsd (copyright (C) 1996 okir@monad.swb.de).
NFSD: Using /var/lib/nfs/v4recovery as the NFSv4 state recovery directory
NFSD: starting 90-second grace period
NET: Registered protocol family 10
lo: Disabled Privacy Extensions
IPv6 over IPv4 tunneling driver
eth0: no IPv6 routers present
VFS: Can't find ext3 filesystem on dev dm-1.
tangua:~#

wurstwolf · Beitrag von **wurstwolf** » 03.03.2008 01:41:39

Ich hab den Dreh nun raus:

Code: Alles auswählen

tangua:~# cryptsetup remove hda6_crypt
tangua:~# cryptsetup remove hda7_crypt
tangua:~# man cryptsetup
Formatiere cryptsetup(8) neu, bitte warten...
tangua:~# cryptsetup luksOpen /dev/hda6 hda6_crypt
Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.
tangua:~# cryptsetup luksOpen /dev/hda7 hda7_crypt
Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.
tangua:~# mount /dev/mapper/hda6_crypt /media/crypto1
tangua:~# mount /dev/mapper/hda7_crypt /media/crypto2

Danielx · Beitrag von **Danielx** » 03.03.2008 01:44:50

Code: Alles auswählen

tangua:~# mount /dev/mapper/hda6_crypt /media/crypto1
mount: you must specify the filesystem type

Dann hast du mit hoher Wahrscheinlichkeit ein falsches Passwort bei "cryptsetup create hda6_crypt /dev/hda6" eingegeben.
cryptsetup gibt übrigens bei einer falschen Passworteingabe keine Fehlermeldung aus!

Gruß,
Daniel