Forums

Skip to content

Advanced search
  • Quick links
    • Unanswered topics
    • Active topics
    • Search
  • FAQ
  • Login
  • Register
  • Board index International Gentoo Users Deutsches Forum (German)
  • Search

LUKS decrypt mit keyfile auf USB-Stick

Support-Forum
Diskussionen rund um Installation, Betrieb und Anpassungen von Gentoo und dessen Paketen sowie dabei auftretenden (technischen) Problemen.
Deutsches Portal: www.gentoo.de
Post Reply
  • Print view
Advanced search
7 posts • Page 1 of 1
Author
Message
caigner
n00b
n00b
Posts: 15
Joined: Mon Nov 18, 2019 11:36 am
Location: Österreich

LUKS decrypt mit keyfile auf USB-Stick

  • Quote

Post by caigner » Fri Sep 26, 2025 12:49 pm

Hallo, liebe KollegInnen und Kollegen!

Ich hab mir kürzlich einen Laptop neu mit Gentoo Linux installiert, und dabei hab ich sowohl die root- als auch die boot-Partition mittels LUKS verschlüsselt. Einzig die kleine EFI-Parttion ist unverschlüsselt.

Wenn ich boote, muß ich zuerst ein Passwort für die boot-Partition eingeben, danach noch einmal eines für die root-Partition. So weit, so gut – funktioniert wunderbar.

Wenn ich zu Hause bin, möchte ich mir aber die Passwort-Eintipperei ersparen. Ich hab also ein Keyfile erstellt, und dieses auch bei den jeweiligen Partitionen hinterlegt. Wenn der USB-Stick eingesteckt ist, soll dieser beim Boot-Vorgang verwendet werden. Andernfalls soll die Entschlüsselung mit Passwort erfolgen.

Was muß ich jetzt noch tun, damit beim Start zunächst der USB-Stick (/dev/sda1) gemountet wird, das Keyfile genommen und damit die boot-Partition aufgesperrt wird, und dann das Keyfile nochmals verwendet wird, um die root-Parttion zu öffnen? Es wäre auch ok, wenn ich das Passwort nur einmal eingeben muß.

Mein Kernel: sys-kernel/gentoo-kernel 6.12.47 (mit dem Tag dieser Veröffentlichung)

Ich hab GRUB2 (v2.12-r7). Die boot-Parttion ist mit LUKS1 verschlüsselt, die root-Partition mit LUKS2. Bei der initramfs hab ich mich für uGRD (https://github.com/desultory/ugrd) entschieden.

Grundsätzlich funktioniert alles und ich kann mit dem Laptop arbeiten, aber ich bin für jeden Tipp dankbar, wie ich das Entsperren mit dem Keyfile hinbekomme. Leider ist die uGRD-Doku sehr lückenhaft, und die Beispiel-Konfigurationen für meinen Fall nicht aussagekräftig genug.

Die uGRD config.toml schaut bei mir so aus:

Code: Select all

modules = [
]

kmod_autodetect_lspci = true
lsblk liefert folgendes:

Code: Select all

NAME           MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINTS
sda              8:0    1   7,2G  0 disk  
└─sda1           8:1    1   7,2G  0 part  
nvme0n1        259:0    0 953,9G  0 disk  
├─nvme0n1p1    259:1    0   512M  0 part  /boot/efi
├─nvme0n1p2    259:2    0     1G  0 part  
│ └─crypt_boot 253:3    0  1022M  0 crypt /boot
└─nvme0n1p3    259:3    0 952,4G  0 part  
  └─root_crypt 253:0    0 952,4G  0 crypt 
    ├─vg0-swap 253:1    0    48G  0 lvm   [SWAP]
    └─vg0-root 253:2    0 904,4G  0 lvm   /


Was muß ich ergänzen, damit das Keyfile vom USB-Stick verwendet wird?

LG,
Christian
Top
pietinger
Administrator
Administrator
Posts: 6635
Joined: Tue Oct 17, 2006 5:11 pm
Location: Bavaria

  • Quote

Post by pietinger » Fri Sep 26, 2025 1:06 pm

Moved from Installing Gentoo to Deutsches Forum (German).
https://wiki.gentoo.org/wiki/User:Pietinger --> New at Gentoo
Top
soundrolf
Apprentice
Apprentice
Posts: 158
Joined: Thu Sep 08, 2016 3:57 pm
Location: Cologne / Germany

  • Quote

Post by soundrolf » Fri Sep 26, 2025 1:18 pm

Hier ist ein link:
Sicheres BackupLinux-LUKS https://www.kuketz-blog.de/dm-crypt-luk ... hluesseln/
Regards
soundrolf

MOBO: ASUS PRIME B550M-K BIOS 4101 10/16/2025
CPU: AMD Ryzen 9 5900X 12-Core Processor (24) @ 3800 MHz
GPU: AMD Navi 24 [Radeon RX 6400/6500 XT/6500M] driver: amdgpu
RAM: 80GB crucial DDR4 3200 MHz 2x8GB 2x32GB
Top
firefly
Watchman
Watchman
Posts: 5385
Joined: Thu Oct 31, 2002 8:24 pm

  • Quote

Post by firefly » Fri Sep 26, 2025 4:22 pm

Kurze Frage, wo liegt das kernel image und die initramfs?

Falls diese unter /boot liegen (Was ich annehme da sonst eine separate boot partition mit uefi keinen sinn ergibt), dann ist es AFAIK nicht möglich ein keyfile hier zu nutzen um /boot freizuschalten.
Zu mindestens eine sehr kurze suche hat in der hinsicht nichts ergeben.
Ein Ring, sie zu knechten, sie alle zu finden,
Ins Dunkel zu treiben und ewig zu binden
Im Lande Mordor, wo die Schatten drohn.
Top
caigner
n00b
n00b
Posts: 15
Joined: Mon Nov 18, 2019 11:36 am
Location: Österreich

  • Quote

Post by caigner » Fri Sep 26, 2025 6:00 pm

firefly wrote:Kurze Frage, wo liegt das kernel image und die initramfs?

Falls diese unter /boot liegen (Was ich annehme da sonst eine separate boot partition mit uefi keinen sinn ergibt), dann ist es AFAIK nicht möglich ein keyfile hier zu nutzen um /boot freizuschalten.
Zu mindestens eine sehr kurze suche hat in der hinsicht nichts ergeben.
Stimmt, kernel und initramfs liegen auf der verschlüsselten /boot Partition.

Auf der unverschlüsselten EFI partition gibt es die grubx64.efi, die die boot-partition nach Eingabe eines Passwortes aufsperrt.

Code: Select all

EFI
 └── Gentoo
     └── grubx64.efi
Top
caigner
n00b
n00b
Posts: 15
Joined: Mon Nov 18, 2019 11:36 am
Location: Österreich

  • Quote

Post by caigner » Fri Sep 26, 2025 6:03 pm

soundrolf wrote:Hier ist ein link:
Sicheres BackupLinux-LUKS https://www.kuketz-blog.de/dm-crypt-luk ... hluesseln/
Danke, das schau ich mir am Wochenende in Ruhe an.
Top
Christian99
Veteran
Veteran
Posts: 1769
Joined: Thu May 28, 2009 5:20 pm

  • Quote

Post by Christian99 » Mon Sep 29, 2025 4:57 pm

hm, mir wäre nicht bekannt, dass grub keyfiles von einen usbstick lesen kann, habe auch mit google nichts davon gefunden.

Ich habe aber mal gelesen (weiß leider nicht mehr wo...), dass man auf den usbstick grub installieren kann, sowie kernel und initrd, und dann eine keyfile in die initrd legen. Man hat dann nur den aufwand, dass man sein /boot verzeichnis auf dem laptop mit dem auf dem usb-stick synchron halten müsste.
Dann muss man noch den laptop so konfiurieren, dass er als erstes versucht vom usb stick zu booten, und wenn das nicht geht, dann von der eingebauten festplatte.

Das sollte eigentlich gehen.
Top
Post Reply
  • Print view
7 posts • Page 1 of 1

Return to “Deutsches Forum (German)”

Jump to
  • Assistance
  • ↳   News & Announcements
  • ↳   Frequently Asked Questions
  • ↳   Installing Gentoo
  • ↳   Multimedia
  • ↳   Desktop Environments
  • ↳   Networking & Security
  • ↳   Kernel & Hardware
  • ↳   Portage & Programming
  • ↳   Gamers & Players
  • ↳   Other Things Gentoo
  • ↳   Unsupported Software
  • Discussion & Documentation
  • ↳   Documentation, Tips & Tricks
  • ↳   Gentoo Chat
  • ↳   Gentoo Forums Feedback
  • ↳   Duplicate Threads
  • International Gentoo Users
  • ↳   中文 (Chinese)
  • ↳   Dutch
  • ↳   Finnish
  • ↳   French
  • ↳   Deutsches Forum (German)
  • ↳   Diskussionsforum
  • ↳   Deutsche Dokumentation
  • ↳   Greek
  • ↳   Forum italiano (Italian)
  • ↳   Forum di discussione italiano
  • ↳   Risorse italiane (documentazione e tools)
  • ↳   Polskie forum (Polish)
  • ↳   Instalacja i sprzęt
  • ↳   Polish OTW
  • ↳   Portuguese
  • ↳   Documentação, Ferramentas e Dicas
  • ↳   Russian
  • ↳   Scandinavian
  • ↳   Spanish
  • ↳   Other Languages
  • Architectures & Platforms
  • ↳   Gentoo on ARM
  • ↳   Gentoo on PPC
  • ↳   Gentoo on Sparc
  • ↳   Gentoo on Alternative Architectures
  • ↳   Gentoo on AMD64
  • ↳   Gentoo for Mac OS X (Portage for Mac OS X)
  • Board index
  • All times are UTC
  • Delete cookies

© 2001–2026 Gentoo Foundation, Inc.

Powered by phpBB® Forum Software © phpBB Limited

Privacy Policy

 

 

magic