Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[solved] Probleme mit neuer verschlüsselter Platte
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German)
View previous topic :: View next topic  
Author Message
mattes
Apprentice
Apprentice


Joined: 23 Jul 2008
Posts: 258
Location: München, Bavaria, Germany

PostPosted: Fri Oct 16, 2020 6:19 am    Post subject: [solved] Probleme mit neuer verschlüsselter Platte Reply with quote

Hallo zusammen,

ich habe eine neue externe 4TB Platte (per SATA angeschlossen) die ich per LUKS verschlüsselt habe. (wie schon andere zuvor).
Mit dieser tauchen aber Probleme auf, die ich mir nicht erklären kann.

Versuch sie zu öffnen als user:
Code:
cryptsetup luksOpen UUID=9fc0c776-996e-448b-a882-0fc73094a81b Speicher3

schlägt fehl:
Code:
Fehler beim Zugriff auf die Lesesperre für das Gerät »/dev/disk/by-uuid/9fc0c776-996e-448b-a882-0fc73094a81b«.
Gerät »/dev/disk/by-uuid/9fc0c776-996e-448b-a882-0fc73094a81b« ist kein gültiges LUKS-Gerät.

Als root geht es aber!? Was muss ich tun, damit ich es auch als user öffnen kann?

Hängt es evtl damit zusammen, dass es auf dem Gerät keine Paritionstabelle gibt? Ich habe das ganze Gerät verschlüsselt und dann darin eine ext4 Partition erstellt. Bei unverschlüsselten Datenträgern hat das bisher funktioniert (ist ja auch bei USB-Sticks i.d.R so), bei meinen Verschlüsselten Festplatten hab ich bislang aber Partitionen verschlüsselt.


Last edited by mattes on Sat Oct 17, 2020 3:13 pm; edited 1 time in total
Back to top
View user's profile Send private message
Christian99
Veteran
Veteran


Joined: 28 May 2009
Posts: 1270

PostPosted: Fri Oct 16, 2020 9:27 am    Post subject: Reply with quote

ich glaube nicht, das luks dafür vorgesehen ist, von usern verwendet zu werden, sprich man braucht root permissions.
wenn du datenträger als benutzer entschlüsseln willst, ist, glaube ich, sowas wie ecryptfs oder cryfs besser.

EDIT: hab nochmal ein bisschen gegoogled, scheint so als ob udisks Luks unterstützt.
Code:
udisksctl unlock --help
Aufruf:
  udisksctl unlock [OPTION …]

Unlock an encrypted device.

Optionen:
  -p, --object-path         Object to unlock
  -b, --block-device        Block device to unlock
  --no-user-interaction     Do not authenticate the user if needed
  --key-file                Keyfile for unlocking
  --read-only               Unlock the device as read-only

Back to top
View user's profile Send private message
mattes
Apprentice
Apprentice


Joined: 23 Jul 2008
Posts: 258
Location: München, Bavaria, Germany

PostPosted: Sat Oct 17, 2020 3:13 pm    Post subject: Reply with quote

Danke, udisks hat aber nur eine eingeschränkte funktion, kann z.B nicht per UUID öffnen. Hab es jetzt mit sudo gelöst.
Back to top
View user's profile Send private message
firefly
Advocate
Advocate


Joined: 31 Oct 2002
Posts: 4589

PostPosted: Sat Oct 17, 2020 5:44 pm    Post subject: Reply with quote

mattes wrote:
Danke, udisks hat aber nur eine eingeschränkte funktion, kann z.B nicht per UUID öffnen. Hab es jetzt mit sudo gelöst.

Dafür gibt es /dev/disk/by-uuid/<UUID> bzw /dev/disk/by-partuuid/<PARTUUID> (z.b. von GPT partitionen)
Daher braucht udisk keinen speziellen support für UUIDs ;)
_________________
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn.
Back to top
View user's profile Send private message
mattes
Apprentice
Apprentice


Joined: 23 Jul 2008
Posts: 258
Location: München, Bavaria, Germany

PostPosted: Sat Oct 17, 2020 5:57 pm    Post subject: Reply with quote

firefly wrote:
Dafür gibt es /dev/disk/by-uuid/<UUID> bzw /dev/disk/by-partuuid/<PARTUUID> (z.b. von GPT partitionen) Daher braucht udisk keinen speziellen support für UUIDs ;)

Danke, wieder was gelernt :-)
Weißt du auch wie ich den Namen des resultierenden Devices vorgeben kann? bei cryptsetup kann ich das angeben, bei udisks wird es ein /dev/mapper/dm-{0..n}


Jedenfalls war meine Ausgangsannahme falsch ein user könne cryptsetup nutzen.
Auch ein Eintrag /sbin/cryptsetup in /etc/sudoers hat nicht funktioniert - das verstehe ich noch nicht.
Back to top
View user's profile Send private message
ChrisJumper
Advocate
Advocate


Joined: 12 Mar 2005
Posts: 2289
Location: Germany

PostPosted: Sun Oct 18, 2020 9:47 am    Post subject: Reply with quote

Hi mattes,

du kannst halt ein Script schreiben mit gesetztem Setuid Bit, welches der Nutzer nicht ändern sondern nur lesen darf, aber ausführen.

Du musst halt aufpassen das dieses Script Eingraben prüft oder beschneidet, damit man darüber kein Code einfügen kann oder das Programm an einer Stelle zum Absturz bringt das es Root-Rechte ermöglicht oder andere bestehende Dateisysteme überschreibt. Oder Pfade und Dateien ausliest die nur Root lesen darf etc..

Beispiel: Wenn du einen Parameter übergibst wie zum Beispiel den String "Speicher3", der an anderer Stelle in das Cryptosetup Kommando übergeben wird muss verhindert werden das da jemand "Speicher3 && id" übergeben kann.

Eine Alternative zu der Prüfung und dem Übergeben eines Strings könnte natürlich sein wenn du den Namen nicht übergibst, sondern erzeugen lässt aus Datum einem Hash oder aus Kombination von zwei oder Drei Wörter aus einem Pool. Musst dann dabei aber Kollisionen, also Namensgleichheit, ausschließen kannst. Eventuell noch mit einer Mischung aus Prüfung ob eine Datei schon existierte und der Nutzer darf nicht den Speicher3 übergeben, aber bekommt eine Auswahl aus Dateinahmen und darf sich eine Aussuchen.

Zusätzlich sei noch die Möglichkeit erwähnt in Scripten capabilities zu nutzen, um eben kein Setuid nutzen zu müssen, sondern etwas eingeschränktere Rechte vergibt. Wenn man zum Beispiel nur Zugriff auf einen Netzwerksocket braucht. Doch diesbezüglich hab ich keine Erfahrung mit cryptsetup und Dateisystemen, wollte es an der Stelle nur erwähnen weil du dann noch was zum Nachschlagen hast, was dir vielleicht weiter hilft.

Hoffe es hilft ein wenig weiter, noch ein gutes Wochenende!

Chris
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum