• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] Keyfile auf /home zum Entschlüsseln

L

lOtz1009

Moderator
Teammitglied
Hi,

ich habe die beiden Partitionen /home und /data mit LUKS verschlüsselt.
Beide stehen in der /etc/crypttab

Das Passwort für /home wird beim Booten ganz normal abgefragt.
Für /data habe ich ein Keyfile angelegt und dem Volume hinzugefügt (auch in die crypttab). Gespeichert ist das Keyfile auf /home/Benutzer/keyfile (Hintergrund: ich will dass das Volume automatisch entschlüsselt und eingebunden wird, aber nicht beide Passwörter beim Starten eingeben).

Soweit funktioniert das auch. ABER: nachdem ich das Passwort für /home beim Booten eingegeben habe, gibt es eine Meldung "keyfile /home/Benutzer/keyfile not found" und boot.crypt wird rot als "failed" angezeigt.

Ich hatte fast damit gerechnet, da /home zu dem Zeitpunkt beim Booten ja noch nicht eingehängt ist (das sollte ja erst nach der gesamten /dev/mapper Geschichte passieren).

Beide Partitionen werden aber korrekt eingehängt.

1. wie kann es sein, dass ein "failed" gemeldet wird, aber die Partition hinterher doch entschlüsselt ist
2. wie komme ich an die genauen Bootmeldungen (/var/log/boot.msg oder /var/log/messages enthalten sie nicht, STRG+S & STRG+Q helfen leider auch nicht)
3. macht das Vorgehen Sinn (Keyfile auf /home)
 
S

spoensche

Code: 
Warning: luks does not support infinite streams (like /dev/urandom), it requires a
           fixed size key. Typically one uses none for luks.

Ich vermute mal. dass du deshalb eine Meldung bekommst, die Partition aber trotzdem eingehängt wird.
 
OP
L

lOtz1009

Moderator
Teammitglied
Wenn ich auf "none" umstelle, werde ich beim Booten ja wieder nach dem zweiten Passwort gefragt.
Keyfile habe ich erstellt mit dd if=/dev/urandom of=/home/Benutzer/keyfile bs=1024 count=4 ist ja also fixed size.
In der Crypttab stehts an zweiter Stelle:
Code: 
data      /dev/disk/by-id/...  /home/Benutzer/keyfile  luks
 
OP
L

lOtz1009

Moderator
Teammitglied
Ok, ich habe noch Folgendes gefunden:
Code: 
noearly
           boot.crypto is invoked two times. The first time as boot.crypto-early before LVM and MD setup and the second time as boot.crypto after mounting local
           filesystems. This option skips the setup of the device in the first invocation. It might be needed for crypto file container existing on local
           filesystems other then root.
Damit gibt es jedenfalls keine "Fehlermeldungen" mehr.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben