View previous topic :: View next topic |
Author |
Message |
doedel Guru
Joined: 05 Feb 2006 Posts: 579 Location: Denmark
|
Posted: Sun Oct 29, 2006 11:01 pm Post subject: (halb geloest) Problem mit cryptsetup (luks) |
|
|
Nun mein Problem, dann die aktuelle Situation.
Wenn ich beim booten mein passwort eingeben soll, meint er ich soll im Kernel nachsehen, ob alles unterstuetzt wird. Aber mit dem gleichen Kernel kann ich (fest eingebacken, keine Module) in einem zweiten installierten System "cryptsetup luksOpen /dev/hdc1 root" verwenden, ohne probleme. (Falls ihr die genaue fehlermeldung braucht, meldet euch).
So sieht es im Moment aus:
/dev/hda1 --- Boot / Mini-Gentoo statt initrd
/dev/hda3 --- Unverschluesseltes Gentoo
/dev/hdc1 --- Verschluesseltes Gentoo
[/code]
Mit der initrd kam ich nicht so gut zurecht und nun habe ich ein Mini-Gentoo auf /dev/hda1 installiert. Dieses besteht aus busybox, uclibc, nano und einem init-datei.
Das ganze soll so laufen (tut es auch mit einem nicht verschlsseltem Dateisystem), dass er dieses bootet, in das neue herein-chrootet und dort weiter bootet. Nun eben, oben beschriebenes Problem....
Hier die init:
Code: |
#!/bin/ash
clear
echo " Dies ist ein Linux System mit verschluesseltem Root-Device."
echo
echo " * Setze umask.."
umask 022
echo " * Mounte /proc.."
mount -t proc none /proc
echo " * Mounte Dateisysteme.."
exec /bin/cryptsetup luksOpen /dev/hdc1 root
mount /dev/mapper/root /mnt/new_root
echo " - /dev/hdc1"
mount --bind / /mnt/mnt/new_root/boot
echo " - /dev/hda1"
echo
echo " * Starte init.."
exec <dev/console >dev/console 2>&1
exec chroot /mnt/new_root /sbin/init
echo " * Starte eine Shell.."
exec /bin/ash
|
Das verschluesselte fs habe ich so erstellt:
Code: |
cryptsetup -c blowfish-cbc-essiv:sha256 -y -s 256 luksFormat /dev/hdc1
mke2fs /dev/mapper/root
|
ein Gentoo ist darin auch schon installiert, aus dem unverschl. Gentoo heraus. (Dort kann ich ja mit dem gleichen kernel mounten...)
Hier meine grub.conf:
Code: |
timeout 10
splashimage /grub/splash.xpm.gz
title Gentoo crypt
root(hd0,0)
kernel /gentoo-crypt2 root=/dev/hda1 init=/init
title Gentoo 2.6.16-r8
root (hd0,0)
kernel /gentoo-crypt2 root=/dev/hda3
boot
|
Im Kernel habe ich Device-Mapper-Support, Cryptoloop-Support und bei Cryptographic options habe ich alles an, keine Module <*>.
Den Grossteil dieser Teile, also wie ich es mache, habe ich hierher: http://gentoo-wiki.com/SECURITY_System_Encryption_DM-Crypt_with_LUKS und http://de.gentoo-wiki.com/Mini-Gentoo
und nun hoffe ich ihr seid meine rettung im kampf gegen die unverschluesselheit xD _________________ 1 ha == 1 Hekto-Ar == 1 Hektar
Last edited by doedel on Mon Oct 30, 2006 1:58 pm; edited 1 time in total |
|
Back to top |
|
|
doedel Guru
Joined: 05 Feb 2006 Posts: 579 Location: Denmark
|
Posted: Mon Oct 30, 2006 1:58 pm Post subject: |
|
|
Halb Geloest
1. Mir fehlte sys-fs/device-mapper in /boot
2. /dev/mapper (verzeichnis) und /dev/mapper/control fehlten
3. und ich musste /dev/mapper in eine Ramdisk legen, sonst konnte er aufgrund fehlender Schreibrechte /dev/mapper/root nicht anlegen.
So nun da naechste Problem, wenn er nun das verschluesselte Gentoo bootet, will er die Dateisysteme checken. Nur sagt er dann, dass er /dev/mapper/root nicht testen konnte, entweder "Root Password for maintance" oder "CTRL-D to Continune (--> reboot)". Gut, ich kann in der fstab 0 0 angeben, aber das ist ja auch nicht der Sinn der Sache....
Ich hoffe ihr koennt mir helfen oder ich bekomms im gegensatz zum letzen (obigen) problem schneller heraus... _________________ 1 ha == 1 Hekto-Ar == 1 Hektar |
|
Back to top |
|
|
blu3bird Retired Dev
Joined: 04 Oct 2003 Posts: 614 Location: Munich, Germany
|
Posted: Mon Oct 30, 2006 2:09 pm Post subject: |
|
|
Gibt es /dev/mapper/root auch in dem neuen /dev (unter dem neuen root) oder nur in der temporären start-umgebung? _________________ Black Holes are created when God divides by zero! |
|
Back to top |
|
|
schachti Advocate
Joined: 28 Jul 2003 Posts: 3765 Location: Gifhorn, Germany
|
Posted: Mon Oct 30, 2006 2:09 pm Post subject: |
|
|
doedel wrote: |
So nun da naechste Problem, wenn er nun das verschluesselte Gentoo bootet, will er die Dateisysteme checken. Nur sagt er dann, dass er /dev/mapper/root nicht testen konnte, entweder "Root Password for maintance" oder "CTRL-D to Continune (--> reboot)". Gut, ich kann in der fstab 0 0 angeben, aber das ist ja auch nicht der Sinn der Sache....
|
Dann mußt Du das selbst machen, vor dem Mounten der Partition. Daß es aus dem verschlüsselten System heraus nicht geht, ist ja klar - denn zu dem Zeitpunkt ist die verschlüsselte Partition bereits gemountet. _________________ Never argue with an idiot. He brings you down to his level, then beats you with experience.
How-To: Daten verschlüsselt auf DVD speichern. |
|
Back to top |
|
|
blu3bird Retired Dev
Joined: 04 Oct 2003 Posts: 614 Location: Munich, Germany
|
Posted: Mon Oct 30, 2006 2:20 pm Post subject: |
|
|
Du mußt die root-partition read-only mounten, sonst kann sie nicht überprüft werden. Sie wird später beim booten wieder read-write gemountet.
Code: | mount /dev/mapper/root /mnt/new_root -o ro |
_________________ Black Holes are created when God divides by zero! |
|
Back to top |
|
|
doedel Guru
Joined: 05 Feb 2006 Posts: 579 Location: Denmark
|
Posted: Mon Oct 30, 2006 3:45 pm Post subject: |
|
|
irgendwie klappt das alles nicht.. ich werd jetzt aber mal ein howto dazu schreiben und das dann noch fixen, brauch das ja selber auch
//Edit: das howto https://forums.gentoo.org/viewtopic-p-3682702.html#3682702 _________________ 1 ha == 1 Hekto-Ar == 1 Hektar |
|
Back to top |
|
|
doedel Guru
Joined: 05 Feb 2006 Posts: 579 Location: Denmark
|
Posted: Tue Oct 31, 2006 8:41 am Post subject: |
|
|
so habs gelöst crypt-setup-luks und device-mapper fehlten auf verschlüsseltem sys.....
_________________ 1 ha == 1 Hekto-Ar == 1 Hektar |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|