Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
partition verschlüsseln mit dmcrypt
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2, 3 ... 7, 8, 9, 10, 11  Next  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation
View previous topic :: View next topic  
Author Message
Haldir
Guru
Guru


Joined: 27 Sep 2002
Posts: 546

PostPosted: Thu Feb 10, 2005 2:40 pm    Post subject: Reply with quote

Raid0 hat in einem Server nix zu suchen, außer du machst Video, dann hat Crypto da nix zu suchen ;)
Raid1 (SW) ist ok, mit Crypto wird vielleicht nen 1200Mhz Prozessor ausreichen, meine Einschätzung bezog sich auf Raid5.

Ich rat dir nur von dem Promise SX4000/6000 Controllern ab, die sind grottig.

Wenn PATA dann die 3Ware PATA Series (7500?)
Wenn SATA dann 3Ware 9500 oder AMI Megaraid (etwas kleiner).

3Ware immer bevorzugt :)

Ich würde einen großen Bogen um Promise machen ;)
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2959
Location: Wuppertal (Germany)

PostPosted: Thu Feb 10, 2005 3:47 pm    Post subject: Reply with quote

Also ich finde RAID generell für zuhause nicht sonderlich nötig.
Daten die bei mir unter das Thema Ausfallsicherheit fallen sichere ich eh auf CD/DVD. Beim rest ist es nicht wichtig und ich hab nicht die Kohle mir 2x400 GB zu holen um zu spiegeln...
_________________
...it's only Rock'n'Roll, but I like it!
HOWTO:WLAN mit OpenVPN absichern | TOOL:useedit - USE-flag editor/changer
Back to top
View user's profile Send private message
snIP3r
l33t
l33t


Joined: 21 May 2004
Posts: 784
Location: germany

PostPosted: Thu Feb 10, 2005 8:09 pm    Post subject: Reply with quote

Haldir wrote:
Raid0 hat in einem Server nix zu suchen, außer du machst Video, dann hat Crypto da nix zu suchen ;)
Raid1 (SW) ist ok, mit Crypto wird vielleicht nen 1200Mhz Prozessor ausreichen, meine Einschätzung bezog sich auf Raid5.

Ich rat dir nur von dem Promise SX4000/6000 Controllern ab, die sind grottig.

Wenn PATA dann die 3Ware PATA Series (7500?)
Wenn SATA dann 3Ware 9500 oder AMI Megaraid (etwas kleiner).

3Ware immer bevorzugt :)

Ich würde einen großen Bogen um Promise machen ;)


die 3ware machen keinen schlechten eindruck, aber ich suche was fuer den heimgebrauch und nicht fuer produktive systeme...ausserdem 32 bit karten... was waere da zu empfehlen???
Back to top
View user's profile Send private message
Nylan
n00b
n00b


Joined: 14 Jun 2003
Posts: 38

PostPosted: Tue Feb 15, 2005 11:51 am    Post subject: Reply with quote

Hallo,
habe jetzt alles zum Laufen gebracht... :D

Das Posting soll jetzt allen helfen, die den key z.b. auf einen USB Stick liegen, mittels gpg verschluesselt haben und Anarchos crypto-mount verwenden.


Folgende Probleme traten bei mir auf:

1) Das mounten des USB Sticks funktionierte nicht (udev + hal + dbus + hotplug).

2) Während dem Booten funktionierte die Passworteingabe nicht, wenn crypto-mount in local.start eingetragen ist.
Ich erhielt immer die Falsches Passwort - Meldung.

Lösungen :
1)
Die Regel für udev im HowTo funktionierte bei mir nicht.
Geändert auf:
Code:

BUS="usb", KERNEL="sd*", SYSFS{product}="JUMPDRIVE SPORT", SYSFS{manufacturer}="LEXAR MEDIA", SYSFS{serial}="2070A7121012345678204", NAME="usbstick"

alle SYSFS{} - Einträge sind an die eigene Hardware anzupassen.

Mit SYMLINK wie im HowTo beschrieben, wurde bei mir immer das sdX Device automatisch gemountet und der entsprechende Eintrag in /etc/fstab überschrieben.

2) Anscheinend hatte gpg Probleme, weil die Pfade noch nicht richtig gesetzt waren.
In crypto-mount habe ich die Zeilen 197 und 217 geändert auf:
Code:

echo "$PASS" | /usr/bin/gpg --no-tty --no-options --homedir "/root/.gnupg" --no-mdc-warning --quiet --passphrase-fd 0 --decrypt ${KEYFILE} &>/dev/null && PW_OK="yes"

wobei es auf die Option homedir ankommt.


lg
Nylan
Back to top
View user's profile Send private message
blubbi
Guru
Guru


Joined: 27 Apr 2003
Posts: 545
Location: Halle (Saale), Germany

PostPosted: Wed Mar 23, 2005 12:53 pm    Post subject: Reply with quote

:cry:Erstmal ist das ein gutes howto!!

So meine 2. Frage ist, wie sieht es denn aus mit mehreren crypto devicen, kannst du das noch in dein Script mit implementieren.
Ach ja, und nen initscript wäre auch nicht schlecht.

Ich hab das jetzt erst mal auf die schnell so gelöst das ich ein crypto-mount und crypto-mount1 (mit entsprechender crypto-mount1.cfg usw..) angelegt habe. mmmh, evtl bastel ich noch scnell nen init-script das poste ich dann hier.

Hier ist ein BSP wie das aussieht wenn man sein passwort manuel eingeben muss. evtl hilft die das ja weiter:

http://forums.gentoo.org/viewtopic-t-165038-postdays-0-postorder-asc-start-0.html

Quote:

#!/sbin/runscript

dmcryptconf="/etc/conf.d/dm-crypt"

dmapper() {
/sbin/cryptsetup $1 $2 $3
}

depend() {
need checkroot modules
need localmount
provide dmcrypt
}

start() {
ebegin "Starting device mapper and mount crypto device"

if [ -e ${dmcryptconf} ]
then
local IFS="#"
for loopline in `egrep "^dmmap" ${dmcryptconf}`
do
eval ${loopline}

local configured="`awk -v MOUNT="${dmdir}" \
'($2 == MOUNT) { print "yes" }' /proc/mounts`"
if [ "${configured}" != "yes" ]
then
if ! dmapper status ${dmname} | grep "inactive" > /dev/null
then
eend 1 "dev-map ${dmname} at ${dmmap} already exists!"
else
einfo "map dev-map ${dmname} on ${dmmap}"
if ! dmapper create ${dmname} ${dmmap}
then
eend 1 "Can't setup dev-map ${dmname} on ${dmmap}"
else
einfo "mount /dev/mapper/${dmname}"
if ! mount /dev/mapper/${dmname} ${dmdir}
then
dmapper remove ${dmname}
eend 1 "Can't mount /dev/mapper/${dmname} to ${dmdir}!"
else
eend 0
fi
fi
fi
else
eend 1 "crypto harddisk already configured"
fi
done
fi

eend $?
}

stop() {
ebegin "Stopping device mapping(s) and unmount cryptodevice(s)"
if [ -e ${dmcryptconf} ]
then
local IFS="#"
for loopline in `egrep "^dmmap" ${dmcryptconf}`
do
eval ${loopline}

local configured="`awk -v MOUNT="${dmdir}" \
'($2 == MOUNT) { print "yes" }' /proc/mounts`"

if [ "${configured}" == "yes" ]
then
umount ${dmdir}
dmapper remove ${dmname}
else
eend 1 "dev-map is not configured"
fi
done
fi

eend $?
}



und hier die config zu dem Startscript

Quote:

# /etc/conf.d/dm-crypt:
# Specify dm-crypt configurations here. The format of this file is
# shown in the following commented-out example. One line per mapping
# configuration.
dmmap=/dev/hdf6 dmname=hdf6 dmdir=/mnt/cryptoplatte0 #
dmmap=/dev/hdf7 dmname=hdf7 dmdir=/mnt/cryptoplatte1 #


Die "#" muss am ende der Zeile stehen. Dient als IFS

ist geklaut von "drfunfrock"

Grüße
blubbi
_________________
-->Please add [solved] to the initial post's subject line if you feel your problem is resolved.
-->Help answer the unanswered

http://olausson.de
Back to top
View user's profile Send private message
tazinblack
l33t
l33t


Joined: 23 Jan 2005
Posts: 946
Location: Baden / Germany

PostPosted: Mon Apr 11, 2005 6:38 am    Post subject: Reply with quote

Hallo zusammen !

Erst mal danke für das detailierte HOWTO !

Ich habe gemäß diesem HOWTO eine Partition verschlüsselt und habe aber noch ein Problem :

Wenn man Dateien auf die verschlüsselte Partition schreibt oder von dort löscht, dann wird die Größe des Filesystems, die mit df angezeigt wird nicht aktualisiert.
Ist das ein bekanntes Problem und gibts da Abhilfe ?

Gruß
tazinblack


aktualisiert : Aha, komisch, einmal booten und seit dem gehts auf einmal ! Ist das doch Windows, wenn man da booten muss ??? *g*
Back to top
View user's profile Send private message
benjamin200
Veteran
Veteran


Joined: 01 Feb 2004
Posts: 1426
Location: DE Munich

PostPosted: Thu Apr 14, 2005 12:11 pm    Post subject: Reply with quote

Frage:
Funktioniert das auch mit ReiserFS oder nur mit EXT3?


Gruß
Benjamin
_________________
Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2959
Location: Wuppertal (Germany)

PostPosted: Thu Apr 14, 2005 12:21 pm    Post subject: Reply with quote

Klar,

du kannst das dann formatieren womit du willst. Ist egal welches FS du nimmst.
Nur braucht reiserfs recht viel CPU und dann noch verschlüsselt, daher würde ich lieber ext3 nehmen.
Schneller wird es durch reiserfs sicherlich nicht.
_________________
...it's only Rock'n'Roll, but I like it!
HOWTO:WLAN mit OpenVPN absichern | TOOL:useedit - USE-flag editor/changer
Back to top
View user's profile Send private message
benjamin200
Veteran
Veteran


Joined: 01 Feb 2004
Posts: 1426
Location: DE Munich

PostPosted: Thu Apr 14, 2005 12:33 pm    Post subject: Reply with quote

Hi und Danke für deine Antwort Anarcho. Im Howto wird ja nicht auf die die Formatierung der Daten auf der zuverschlüsselnden Platte eingegangen. Wenn diese wie bei mir ReiserFS ist, kann ich dann den MAPPER mit EXT3 formatieren? Ist das zu empfehlen?


Gruß,
Benjamin
_________________
Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2959
Location: Wuppertal (Germany)

PostPosted: Fri Apr 15, 2005 8:06 am    Post subject: Reply with quote

Ach sorum meintest du das.
Die Original-formatierung der Partition geht ja sowieso verloren. Diese spielt also keine Rolle. Es kommt dann nur darauf an mit welchem FS du den mapper formatierst.
Dort würde ich ext3 nehmen, da wie gesagt die CPU-Auslastung bei ReiserFS höher liegt als ext3.
_________________
...it's only Rock'n'Roll, but I like it!
HOWTO:WLAN mit OpenVPN absichern | TOOL:useedit - USE-flag editor/changer
Back to top
View user's profile Send private message
benjamin200
Veteran
Veteran


Joined: 01 Feb 2004
Posts: 1426
Location: DE Munich

PostPosted: Fri Apr 15, 2005 8:41 am    Post subject: Reply with quote

Anarcho schrieb:
Quote:

Die Original-formatierung der Partition geht ja sowieso verloren. Diese spielt also keine Rolle. Es kommt dann nur darauf an mit welchem FS du den mapper formatierst.

Aus dem HowTo geht hervor, das es dringendst empfohlen wird ein Backup zu machen. Es wird nicht erwähnt, das die Partition (z.B. ReiserFS) die verschlüsselt werden soll, das gleiche File-System bekommt.

Hätte jetzt nochmal zwei Fragen:

- gehen die Daten auf der zu verschlüsselten Partition verloren wenn der MAPPER erstellt wird?
- wird die Partition mit den zu verschlüsselten Daten automatisch von ReiserFS zu EXT3 formatiert (ohne Datenverlust) wenn man sich exakt an das Howto hält (davon ausgehend das die alte Daten Partition mit ReiserFS formatiert wurde)?


Gruß,
Benjamin
_________________
Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens
Back to top
View user's profile Send private message
Anarcho
Advocate
Advocate


Joined: 06 Jun 2004
Posts: 2959
Location: Wuppertal (Germany)

PostPosted: Fri Apr 15, 2005 9:01 am    Post subject: Reply with quote

Die Daten gehen definitiv verloren!

Sie gehen nicht automatisch verloren wenn du den Mapper anlegst. Aber ohne diesen dann neu zu formatieren kannst du ihn nicht benutzen. Und beim Formatieren des Mappers wird selbstverständlich die Partition ebenso formatiert (nur eben verschlüsselt).
Daher bleibt dir keine Wahl als die Daten vorher auf eine andere Partition/DVD zu sichern und dann wieder auf die verschlüsselte zurückzuspielen.

Genau aus diesem Grund spielt das originale Dateisystem keine Rolle mehr, denn es wird sowieso gelöscht.
_________________
...it's only Rock'n'Roll, but I like it!
HOWTO:WLAN mit OpenVPN absichern | TOOL:useedit - USE-flag editor/changer
Back to top
View user's profile Send private message
benjamin200
Veteran
Veteran


Joined: 01 Feb 2004
Posts: 1426
Location: DE Munich

PostPosted: Fri Apr 15, 2005 9:49 am    Post subject: Reply with quote

Anarcho schrieb:
Quote:

Die Daten gehen definitiv verloren!

Sie gehen nicht automatisch verloren wenn du den Mapper anlegst. Aber ohne diesen dann neu zu formatieren kannst du ihn nicht benutzen. Und beim Formatieren des Mappers wird selbstverständlich die Partition ebenso formatiert (nur eben verschlüsselt).
Daher bleibt dir keine Wahl als die Daten vorher auf eine andere Partition/DVD zu sichern und dann wieder auf die verschlüsselte zurückzuspielen.

Genau aus diesem Grund spielt das originale Dateisystem keine Rolle mehr, denn es wird sowieso gelöscht.

Vielen Dank Anarcho für die detaillierte Erläuterung.
Werde es bei Gelegenheit ausprobieren, aber auf einer Testpartition :)


Eigentlich stand das ja auch so ungefähr in HowTo:
Quote:

1. vorwort
bevor ihr das howto anfangt solltet ihr ein backup der daten anlegen, welche auf der zu verschlüsselnden partition liegen. die partition wird neu formatiert, die daten sind sonst futsch! wie das genau geht ist in dem howto beschrieben.




Gruß,
Benjamin
_________________
Gentoo Linux Stage1 / Kernel 2.6.18
AMD Athlon64 3500+ on Asus A8N-E / 1024 MB DDR-RAM / ATI X700 PCIe
Take LINUX and forget Blue Screens
Back to top
View user's profile Send private message
elfstone
n00b
n00b


Joined: 20 Apr 2005
Posts: 35

PostPosted: Wed Apr 20, 2005 2:28 pm    Post subject: Reply with quote

Hi, zwei fragen:

1. Ich hab noch kein Gentoo, möchte mir aber eins mit verschlüsselung zulegen, deswegen weiß ich auch nicht, was in dem cryptoskript drin steht. Ich möchte /var und /tmp mitverschlüsseln, beide sollten ja schon beim booten da sein. Hält das Skript dann den Bootvorgang an, und fragt mich nach der Passphrase?

2. Wie verschlüssele ich das swap? Leider hab ich auf dem Laptop nur 64mb RAM, swap ausschalten ist also schlecht, nachrüsten ist nicht, und für meine Anwendun muss das swap eben mitverschlüsselt werden.

Danke für Antworten
Thomas
Back to top
View user's profile Send private message
slick
Bodhisattva
Bodhisattva


Joined: 20 Apr 2003
Posts: 3488

PostPosted: Wed Apr 20, 2005 4:13 pm    Post subject: Reply with quote

Mein Script für eine verschlüsselte Swap, nutzt aber cryptoloop statt dmcrypt, aber das Prinzip sollte erkennbar sein. Und bei der Swap ist mir das Passwort ja nun wirklich egal. Ggf. sollte man an der Generierung des Passwortes noch was feilen...
Code:
#!/sbin/runscript

depend() {
        need localmount
        after localmount
}

SWAP=/dev/hda5
LOOP=/dev/loop/7

start() {

                ebegin "Setting up encrypted swap"

                swapoff ${SWAP} &> /dev/null
                losetup -d ${LOOP} &> /dev/null

                echo "`echo ${RANDOM}${RANDOM}${RANDOM}${RANDOM}${RANDOM}${RANDOM}${RANDOM}${RANDOM}${RANDOM}${RANDOM} | md5sum | cut -d " " -f 1`"| hashalot sha256 | losetup -p 0 -e twofish-128 ${LOOP} ${SWAP} &&
                mkswap ${LOOP} &> /dev/null &&
                swapon ${LOOP} &> /dev/null &&

                eend 0 || eend 1
}

stop() {

                ebegin "Shutting down encrypted swap..."

                swapoff ${LOOP} &> /dev/null
                losetup -d ${LOOP} &> /dev/null

                eend 0
}
Back to top
View user's profile Send private message
selli69
n00b
n00b


Joined: 23 May 2005
Posts: 4
Location: munich, germany

PostPosted: Mon May 23, 2005 1:11 am    Post subject: Reply with quote

Hallo Allerseits !

Erstmal danke an den Autor des FAQś.

Habe allerdings ein kleines problemchen..

beim ausführen von:
Code:

gpg --quiet -d selli.key.gpg | cryptsetup -h plain create dump /dev/sdb1


werde ich zwar noch aufgefordert meine Passphrase einzugeben, aber dann erhalte ich folgende meldung:

Code:

gpg: WARNING: message was not integrity protected
Command failed: Invalid argument


das mit der warning konnte ich ja noch nachvollziehen.. aber das command failed nicht.
habe schon im Thread gesucht aber nichts gefunden (auch nicht sonstwo im Forum)

für hilfe wäre ich dankbar...

solong
selli
Back to top
View user's profile Send private message
toskala
Advocate
Advocate


Joined: 14 Dec 2002
Posts: 2080
Location: hamburg, germany

PostPosted: Mon May 23, 2005 7:06 am    Post subject: Reply with quote

hmm, das ist seltsam, kannst du mir sagen welches der beiden programme diese meldung ausspuckt?
_________________
adopt an unanswered post
erst denken, dann posten
Back to top
View user's profile Send private message
selli69
n00b
n00b


Joined: 23 May 2005
Posts: 4
Location: munich, germany

PostPosted: Mon May 23, 2005 11:51 am    Post subject: Reply with quote

Hallo,

Danke für die schnelle Antwort!

wenn ich den gpg teil alleine aufrufe, dann spuckt mir dieser den key aus.. funktioniert also

die fehlermeldung kommt vom cryptsetup



solong
selli
Back to top
View user's profile Send private message
new_nOOb
Apprentice
Apprentice


Joined: 05 Mar 2004
Posts: 280

PostPosted: Tue May 31, 2005 8:10 am    Post subject: Reply with quote

ich hab das prob das ich auch das crypto-mount script benutze und das nach einen neustart die verschlüsselte patiton noch gemountet ist ! und das ist alles ander als schön !
Back to top
View user's profile Send private message
misterjack
Veteran
Veteran


Joined: 03 Oct 2004
Posts: 1493
Location: Germany -> Saxony -> Leipzig

PostPosted: Tue May 31, 2005 8:24 am    Post subject: Reply with quote

da fügste zu deiner /etc/conf.d/local.stop crypto-umount hinzu
_________________
„Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“
Back to top
View user's profile Send private message
new_nOOb
Apprentice
Apprentice


Joined: 05 Mar 2004
Posts: 280

PostPosted: Tue May 31, 2005 8:50 am    Post subject: Reply with quote

und was ist wenn man den stecker von rechner zieht?? ne ne das wäre schlecht..
es scheint jetzt nicht mehr so zu sein hatte wie selli69 das problem das gpg das brachte
gpg: WARNING: message was not integrity protected
ein "--force-mdc " hat die nachricht und scheinbar auch das problem gelöst... muß ich nachher nochmal testen kann die kiste leider jetzt nicht nochmal neustarten
Back to top
View user's profile Send private message
new_nOOb
Apprentice
Apprentice


Joined: 05 Mar 2004
Posts: 280

PostPosted: Tue May 31, 2005 5:09 pm    Post subject: Reply with quote

hmm leider klapt die 128bit verschlüsselung nicht bei mir :(((

mount: Falscher Dateisystemtyp, ungültige Optionen, der
,,Superblock" von /dev/mapper/crypto ist beschädigt oder es sind
zu viele Dateisysteme eingehängt
ERROR: Mounting crypto-device

ohne die -s128 option klapts... :(((
Back to top
View user's profile Send private message
new_nOOb
Apprentice
Apprentice


Joined: 05 Mar 2004
Posts: 280

PostPosted: Tue May 31, 2005 5:55 pm    Post subject: Reply with quote

Lol
gut dann antworte ich wieder selbst... muß natürlich auch im crypto-mount script die 128bit angeben... hehe naja jetzt gehts
Back to top
View user's profile Send private message
Alex7512
n00b
n00b


Joined: 18 Jun 2005
Posts: 2

PostPosted: Sat Jun 18, 2005 3:01 pm    Post subject: Reply with quote

Hallo allerseits,

danke erstmal für das gute Howto! Ich nutze dmcrypt in Verbindung mit crypto-mount jetzt seit ca. 3 Monaten. Nachdem ich mein System gestern auf neusten Stand gebracht habe (und dies doch einige tiefgreifendere Veränderungen zur Folge hatte), habe ich jetzt folgende Fehlermeldung:

Please enter passphrase (hit ENTER to exit): /bin/cryptsetup: error while loading shared libraries: libdevmapper.so.1.00: cannot open shared object file: No such file or directory

ERROR: Creating the mapper-device (crypto1)

Weiß jetzt leider nicht was ich wo ändern muss...

MfG
Alex
Back to top
View user's profile Send private message
misterjack
Veteran
Veteran


Joined: 03 Oct 2004
Posts: 1493
Location: Germany -> Saxony -> Leipzig

PostPosted: Sat Jun 18, 2005 6:39 pm    Post subject: Reply with quote

Alex7512 wrote:
error while loading shared libraries: libdevmapper.so.1.00: cannot open shared object file: No such file or directory


Lies doch einfach was da steht, da fehlt eine Library
_________________
„Meine Meinung steht fest! Bitte verwirren Sie mich nicht mit Tatsachen.“
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Deutsche Dokumentation All times are GMT
Goto page Previous  1, 2, 3 ... 7, 8, 9, 10, 11  Next
Page 8 of 11

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum