9:10 a.m.
Hi,
hat mal jemand mit cryptsetup eine Partitiion verschlüsselt und automatisiert
in das System eingebunden?
Unter [1] wird beschrieben, dass man zuerst folgende Schritte machen sollte:
mkdir /dev/mapper
chmod 0755 /dev/mapper
mknod /dev/mapper/control c 10 63
chmod 0600 /dev/mapper/control
modprobe dm-mod
modprobe aes
Bei Fedora aber scheint es so zu sein, dass all dies schon standardmäßig
installiert, alle Module geladen sind.
Der nächste Schritt ist dann:
losetup /dev/loop0 /tmp/test.img
cryptsetup create test /dev/loop0
Danach soll man /dev/mapper/test wie ein beliebiges andere Device nutzen
können (mke2fs, etc.).
Ich verstehe es richtig, dass dieses dann mittels
mount /dev/mapper/test /mnt/sonstwie
gemountet werden könnte, oder?
Was ich dabei nicht verstehe, ist, warum das device als Unterverzeichnis
von /dev/mapper/ angelegt wird.
Und in diesem Falle wird ja wiederum eine *.img Datei als device angegeben -
was ist, wenn es eine ganze Partition sein soll?
Kann man auch z.B.
losetup /dev/loop0 /dev/hdb2
angeben? Oder muss ich erst ein *.img auf /dev/hdb1 anlegen? Denn dafür müsste
ich das ja erst mounten....
Und was ist mit der Automatisierung beim Boot-Prozess? Es geht mir darum, dass
das System beim Booten gleich mehrere verschlüsselte Partitionen einbindet,
ruhig auch mitten beim Booten dafür nach dem Passwort fragt - alternativ wäre
es auch ok, ein Script erst später zu starten, dass mich dann nach dem
Passwort fragt.
Interessant wäre es aber zu wissen, ob man es so weit automatisieren könnte,
dass z.B. auch /home/ (als eigene Partition) verschlüsselt werden könnte.
Bin dankbar für jeden Rat, jede Erklärung und jede Anregung.
Roland
[1]http://www.andrew.cmu.edu/user/qralston/dev/
5:20 p.m.
Roland Wolters wrote:
Bei Fedora aber scheint es so zu sein, dass all dies schon
standardmäßig
installiert, alle Module geladen sind.
Der nächste Schritt ist dann:
losetup /dev/loop0 /tmp/test.img
cryptsetup create test /dev/loop0
Danach soll man /dev/mapper/test wie ein beliebiges andere Device nutzen
können (mke2fs, etc.).
Ich verstehe es richtig, dass dieses dann mittels
mount /dev/mapper/test /mnt/sonstwie
gemountet werden könnte, oder?
Richtig, so verwende ich es auch.
Was ich dabei nicht verstehe, ist, warum das device als
Unterverzeichnis
von /dev/mapper/ angelegt wird.
Sicher? Bei mir wird ein Block-Device angelegt:
[root@notebook root]# ll /dev/mapper
total 0
crw------- 1 root root 10, 63 Jun 9 23:29 control
brw-r----- 1 root root 253, 0 Jun 10 00:00 test
[root@notebook root]#
Hast Du vielleicht von Hand an irgendwelchen Verzeichnissen / Dateien /
Devices herumgedreht?
Und in diesem Falle wird ja wiederum eine *.img Datei als device
angegeben -
was ist, wenn es eine ganze Partition sein soll?
Kann man auch z.B.
losetup /dev/loop0 /dev/hdb2
angeben? Oder muss ich erst ein *.img auf /dev/hdb1 anlegen? Denn dafür müsste
ich das ja erst mounten....
Warum willst Du ein bereits vorhandenes Device über ein Loop Device
umleiten?
Da reicht ein einfaches "cryptsetup create test /dev/hdb1" :-)
losetup wird ja nur benötigt, damit aus einer simplen Datei ein Device wird.
Regards,
Stefan
3:26 a.m.
Once upon a time Stefan Hoelldampf wrote:
Roland Wolters wrote:
> Bei Fedora aber scheint es so zu sein, dass all dies schon standardmäßig
> installiert, alle Module geladen sind.
>
> Der nächste Schritt ist dann:
> losetup /dev/loop0 /tmp/test.img
> cryptsetup create test /dev/loop0
>
> Danach soll man /dev/mapper/test wie ein beliebiges andere Device nutzen
> können (mke2fs, etc.).
> Ich verstehe es richtig, dass dieses dann mittels
>
> mount /dev/mapper/test /mnt/sonstwie
>
> gemountet werden könnte, oder?
Richtig, so verwende ich es auch.
> Was ich dabei nicht verstehe, ist, warum das device als Unterverzeichnis
> von /dev/mapper/ angelegt wird.
Sicher? Bei mir wird ein Block-Device angelegt:
[root@notebook root]# ll /dev/mapper
total 0
crw------- 1 root root 10, 63 Jun 9 23:29 control
brw-r----- 1 root root 253, 0 Jun 10 00:00 test
[root@notebook root]#
Hast Du vielleicht von Hand an irgendwelchen Verzeichnissen / Dateien /
Devices herumgedreht?
Nein, ich hatte mich nur falsch ausgedrückt - mir ging es darum, dass dort
einfach eine Datei als Loopback eingehängt wird, und eben keine Partition -
aber weiter unten hast du ja geschrieben, dass das ebenfalls geht.
Hätte aber auch mir selbst klar werden können mit nachdenken ;-)
> Und in diesem Falle wird ja wiederum eine *.img Datei als
device
> angegeben - was ist, wenn es eine ganze Partition sein soll?
> Kann man auch z.B.
>
> losetup /dev/loop0 /dev/hdb2
>
> angeben? Oder muss ich erst ein *.img auf /dev/hdb1 anlegen? Denn dafür
> müsste ich das ja erst mounten....
Warum willst Du ein bereits vorhandenes Device über ein Loop Device
umleiten?
Da reicht ein einfaches "cryptsetup create test /dev/hdb1" :-)
losetup wird ja nur benötigt, damit aus einer simplen Datei ein Device
wird.
Vielen Dank erst mal für die Antwort, ich glaube, einiges ist mir jetzt
wesentlich klarer geworden!
Nur noch kurz zur Sicherheit:
Um meine Partition, nennen wir sie mal /dev/hdb1, als verschlüsseltes System
zu mounten, muss ich nach jedem Systemstart
cryptsetup create secure1 /dev/hdb1
(*) beim ersten mal sollte nun hier ein mk22fs oder vergleichbares folgen (*)
mount /dev/mapper/secure1 /mnt/secure1
eingeben, dann war es das, oder?
Und zum "runterfahren" des Systems sollte ein
umount /mnt/secure1
cryptsetup remove secure1 /dev/hdb1
folgen, oder? Nur, um sicher zu gehen :)
Hast du das automatisiert? Wenn ja, wie? Oder gibst du die Befehle jedes mal
"von Hand" ein?
Roland
10:45 a.m.
Roland Wolters wrote:
Um meine Partition, nennen wir sie mal /dev/hdb1, als verschlüsseltes
System
zu mounten, muss ich nach jedem Systemstart
cryptsetup create secure1 /dev/hdb1
(*) beim ersten mal sollte nun hier ein mk22fs oder vergleichbares folgen (*)
mount /dev/mapper/secure1 /mnt/secure1
eingeben, dann war es das, oder?
Und zum "runterfahren" des Systems sollte ein
umount /mnt/secure1
cryptsetup remove secure1 /dev/hdb1
folgen, oder? Nur, um sicher zu gehen :)
Sieht i.O. aus, bei "cryptsetup remove" brauchst Du das Device nicht
angeben.
Hast du das automatisiert? Wenn ja, wie? Oder gibst du die Befehle
jedes mal
"von Hand" ein?
Ich habe ein Skript, welches das etwas automatisiert:
/sbin/losetup /dev/loop0 /path/to/test.img
cryptsetup create test /dev/loop0
mount -t ext3 /dev/mapper/test /mnt/test
su - $USER -c bash
umount /mnt/test
cryptsetup remove test
/sbin/losetup -d /dev/loop0
$USER sollte natürlich durch den gewünschten Usernamen ersetzt werden.
Das Skript hat root-Rechte, ich starte es z.B. mit
kdesu 'konsole -T "TEST" --nomenubar --notabbar
--notoolbar --noframe -e "/path/to/test"'
Damit X-Programme auch funktionieren, benötigt man noch folgende
xauth-Anpassungen:
# cat /root/.xauth/export
$USER
# cat /home/$USER/.xauth/import
root
Die beiden Einträge könnte man jetzt auch noch automatiert vom Skript
einfügen und wieder entfernen lassen... ;-)
Regards,
Stefan
6:39 a.m.
Once upon a time Stefan Hoelldampf wrote:
Roland Wolters wrote:
> Hast du das automatisiert? Wenn ja, wie? Oder gibst du die Befehle jedes
> mal "von Hand" ein?
Ich habe ein Skript, welches das etwas automatisiert:
Danke erst mal dafür, aber ganz blicke ich noch nicht durch.
> /sbin/losetup /dev/loop0 /path/to/test.img
> cryptsetup create test /dev/loop0
> mount -t ext3 /dev/mapper/test /mnt/test
>
> su - $USER -c bash
>
> umount /mnt/test
> cryptsetup remove test
> /sbin/losetup -d /dev/loop0
Wenn ich das obige Skript richtig verstehe, wird zwischendurch eine Konsole
(-c bash) aufgerufen, die dem Nutzer gehört - und danach werden die Sachen
wieder ausgehängt? Quasi, wenn die Konsole geschlossen wird, werden die Daten
ausgehängt?
Das Skript hat root-Rechte, ich starte es z.B. mit
> kdesu 'konsole -T "TEST" --nomenubar --notabbar --notoolbar --noframe
-e
> "/path/to/test"'
Das bedeutet, du startest das Skript, _nachdem_ du dich eingeloggt hast als
Nutzer.
Damit X-Programme auch funktionieren, benötigt man noch folgende
xauth-Anpassungen:
> # cat /root/.xauth/export
> $USER
>
> # cat /home/$USER/.xauth/import
> root
Wie ist das genau gemeint mit dem "funktionieren"? Welche Probleme ergeben
sich da wo warum? Die kriegen doch gar nichts davon mit, dass die partition
verschlüsselt ist...
Kurz am Rande: am liebsten wäre mir die Lösung, die ich von Suse kenne:
während des Bootvorgangs nach dem Passwort fragen :)
Roland
7:58 a.m.
Hallo Roland & Stefan,
Ich spiele auch gerade mit dm-crypt und einer Testpartition, die ich
mit einem kleinen Script manuell "behandle". Gibt es irgendwo auch ein
Skript, womit man mehrere verschlüsselte Partitonen beim Booten
aktivieren kann? Die Beispiele, die ich bis jetzt gefunden habe, gehen
meistens von einer Partition oder einer Containerdatei aus und ich bin
nicht gerade ein Shellscriptcrack ;)
Was ich mich auch noch frage: Braucht man zur Bestimmung des
Hashalgorithmus mit cryptsetup -h eigentlich das hashalot Tool?
--
Ciao
Kai
HP: http://kai.iks-jena.de/
Blog: http://rabenhorst.blogg.de/
GnuPG-Key: 0xD6E995A0
Jabber: kraven(a)amessage.info
11:46 a.m.
Roland Wolters wrote:
>>/sbin/losetup /dev/loop0 /path/to/test.img
>>cryptsetup create test /dev/loop0
>>mount -t ext3 /dev/mapper/test /mnt/test
>>
>>su - $USER -c bash
>>
>>umount /mnt/test
>>cryptsetup remove test
>>/sbin/losetup -d /dev/loop0
Wenn ich das obige Skript richtig verstehe, wird zwischendurch eine Konsole
(-c bash) aufgerufen, die dem Nutzer gehört - und danach werden die Sachen
wieder ausgehängt? Quasi, wenn die Konsole geschlossen wird, werden die Daten
ausgehängt?
Richtig.
>Das Skript hat root-Rechte, ich starte es z.B. mit
>
>
>>kdesu 'konsole -T "TEST" --nomenubar --notabbar --notoolbar
--noframe -e
>>"/path/to/test"'
Das bedeutet, du startest das Skript, _nachdem_ du dich eingeloggt hast als
Nutzer.
Genau.
>Damit X-Programme auch funktionieren, benötigt man noch folgende
>
>xauth-Anpassungen:
>
>># cat /root/.xauth/export
>>$USER
>>
>># cat /home/$USER/.xauth/import
>>root
Wie ist das genau gemeint mit dem "funktionieren"? Welche Probleme ergeben
sich da wo warum? Die kriegen doch gar nichts davon mit, dass die partition
verschlüsselt ist...
So etwas passiert sonst:
Xlib: connection to ":0.0" refused by server
Xlib: No protocol specified
Error: Can't open display: :0.0
Kurz am Rande: am liebsten wäre mir die Lösung, die ich von Suse
kenne:
während des Bootvorgangs nach dem Passwort fragen :)
10-Sekunden-Googlen und ungetestet:
- http://www.saout.de/misc/dm-crypt/ und dann im Wiki nachschauen:
http://www.saout.de/tikiwiki/tiki-index.php?page=RootCryptoraid
- http://deb.riseup.net/storage/encrypted/?action=source
Regards,
Stefan
4:34 p.m.
Once upon a time Stefan Hoelldampf wrote:
> Kurz am Rande: am liebsten wäre mir die Lösung, die ich von Suse
kenne:
> während des Bootvorgangs nach dem Passwort fragen :)
10-Sekunden-Googlen und ungetestet:
- http://www.saout.de/misc/dm-crypt/ und dann im Wiki nachschauen:
http://www.saout.de/tikiwiki/tiki-index.php?page=RootCryptoraid
- http://deb.riseup.net/storage/encrypted/?action=source
Danke noch mal für deine Geduld, vor allen der letzte Link war mir unbekannt,
und da steht auch die Lösung drin, die ich verzweifelt gesucht habe (in dem
Wiki hatte und habe ich nur entweder Ansätze ohne cryptsetup oder zu weit von
meinen Problemen entfernt gefunden, als dass sie hätten helfen könne;
trotzdem aber danke für die 10 Sek. Mühe ;) ).
Eine Frage belibt noch offen. Es heisst bei der letzten Adresse [1], dass
/etc/init.d/cryptinit:
if [ -b /dev/mapper/maildir ]; then
/usr/bin/cryptsetup remove home
fi
/usr/bin/cryptsetup create maildir /dev/sda9
als Skript geschrieben werden würde.
Wofür aber ist die erste if Abfrage, bzw. was für ein home wird da
entfernt/ausgehängt? Es sieht mir so aus, als wenn "home" da als
verschlüsselte Partition ausgehängt wird, wenn maildir schon existiert - zu
welchem Zweck?
Nächtliche Grüße,
Roland
[1]http://deb.riseup.net/storage/encrypted/
5:07 p.m.
Roland Wolters wrote:
Eine Frage belibt noch offen. Es heisst bei der letzten Adresse [1],
dass
/etc/init.d/cryptinit:
if [ -b /dev/mapper/maildir ]; then
/usr/bin/cryptsetup remove home
fi
/usr/bin/cryptsetup create maildir /dev/sda9
als Skript geschrieben werden würde.
Wofür aber ist die erste if Abfrage, bzw. was für ein home wird da
entfernt/ausgehängt? Es sieht mir so aus, als wenn "home" da als
verschlüsselte Partition ausgehängt wird, wenn maildir schon existiert - zu
welchem Zweck?
Ich denke mal, dass es "cryptsetup remove maildir" heißen müsste.
Wenn /dev/mapper/maildir als "block special file" existiert, wird es
entfernt, sonst hinzugefügt.
Etwas anderes wäre IMHO nicht sehr sinnvoll.
Regards,
Stefan
6:17 a.m.
Once upon a time Stefan Hoelldampf wrote:
Roland Wolters wrote:
> Eine Frage belibt noch offen. Es heisst bei der letzten Adresse [1], dass
>
> /etc/init.d/cryptinit:
> if [ -b /dev/mapper/maildir ]; then
> /usr/bin/cryptsetup remove home
> fi
> /usr/bin/cryptsetup create maildir /dev/sda9
>
> als Skript geschrieben werden würde.
> Wofür aber ist die erste if Abfrage, bzw. was für ein home wird da
> entfernt/ausgehängt? Es sieht mir so aus, als wenn "home" da als
> verschlüsselte Partition ausgehängt wird, wenn maildir schon existiert -
> zu welchem Zweck?
Ich denke mal, dass es "cryptsetup remove maildir" heißen müsste.
Wenn /dev/mapper/maildir als "block special file" existiert, wird es
entfernt, sonst hinzugefügt.
Etwas anderes wäre IMHO nicht sehr sinnvoll.
Gut, so was hatte ich mir auch gedacht, war nur nicht mehr ganz sicher, ob ich
die "-b" Anweisung beim if tatsächlich richtig interpretiere.....
Danke für die viele und umfangreiche Hilfe!
Roland
7251
days inactive
7254
days old
de-users@lists.fedoraproject.org
9 comments
3 participants
participants (3)
-
Kai Raven -
Roland Wolters -
Stefan Hoelldampf