Re: etch, vlm und cryptsetup
On Sat, 21 Jul 2007 18:06:34 +0200, Peter Jordan
<usernetwork@gmx.info> wrote:
>Marc Haber, 07/19/07 12:00:
>> Korrekt schon erwähnt, mit einem Keyfile. Wobei ich für mein notebook
>> noch etwas weiter gegangen bin und auch Kernel und initramfs auf dem
>> Stick liegen habe. Auf der Platte ist aus dem Linuxbereich _nichts_
>> unverschlüsselt, und wenn man den Rechner ohne den Stick bootet, kommt
>> ein Windows.
>
>Wie genau bist du da vorgegangen?
Das ist eigentlich ganz simpel, auf dem Stick liegen ein Kernel und
ein initramfs.
Das initramfs ist bereits darauf vorbereitet, in der crypttab
eingetragene Filesysteme beim booten aufzuschließen. Schreibt man dort
in die Optionen "luks,keyscript=/path/to/keyscript", nimmt
update-initramfs die Ausgabe des dort genannten Scripts als Key.
Die einzige Falle ist, dass ich noch nicht so ganz raushabe, wann
cryptsetup das abschließende CRLF hinter dem Key als Bestandteil des
Keys wertet und wann nicht. Das kommt im Zweifel auf einen Versuch an.
Ich habe allerdings ein anderes Setup als Debian es üblicherweise
nimmt: Debian macht im Default eine verschlüsselte PV, die in einem
Schritt aufgeschlossen wird, damit die LVs gemountet werden können;
bei mir sind die einzelnen LVs verschlüsselt. Das hat den Nachteil,
dass man sieht, dass in der Partition ein Linux-LVM liegt und man auch
die Namen der LVs sieht, aber auch den Vorteil, dass ich in derselben
PV auch LVs liegen haben kann, die nur auf explizite Anforderung mit
einem anderen Schlüssel aufgeschlossen werden.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Reply to: