Re: luks: key beim booten von verschlüsselter Partition benutzen

To: debian-user-german@lists.debian.org
Subject: Re: luks: key beim booten von verschlüsselter Partition benutzen
From: Marc Haber <mh+debian-user-german@zugschlus.de>
Date: Sun, 30 Sep 2007 15:36:44 +0200
Message-id: <[🔎] E1IbyyS-00020v-Ps@scyw00225.scy001.de>
In-reply-to: <E1IEK5m-00084g-KQ@scyw00225.scy001.de>
References: <46A890B5.6010705@gmx.net> <E1IE6kf-0008Po-HQ@scyw00225.scy001.de> <8Lfap-5fh-9@gated-at.bofh.it> <5gs7nkF3ic465U1@mid.individual.net> <E1IEA55-0005je-9E@scyw00225.scy001.de> <46A924C3.8070901@gmx.net> <E1IEK5m-00084g-KQ@scyw00225.scy001.de>

On Fri, 27 Jul 2007 09:18:30 +0200, Marc Haber
<mh+debian-user-german@zugschlus.de> wrote:
>On Fri, 27 Jul 2007 00:48:35 +0200, Andre Bischof <a.bischof@gmx.net>
>wrote:
>>Das ist ja genau meine Frage. Mit einem Key von einem unverschlüsselten 
>>USB-Stick arbeiten geht, klar. Aber ich möchte gern einen Key von einer 
>>verschlüsselten Partition direkt beim Booten benutzen - mal abgesehen 
>>davon das ich gar keinen USB-Stick habe.
>
>Das wirst Du wohl manuell in mkinitramfs hineinhacken müssen. Ich
>halte diese Anwendung aber für hinreichend sinnvoll, dass sich ein
>wishlist-Bug lohnen könnte.

Das funktioniert auch nativ. Ich habe das jetzt mal bauen müssen, weil
ein aus Altteilen zusammengesetzter Rechner nicht von USB-Stick booten
kann.

Lösungsweg für unstable:

- PV anlegen
- VG anlegen
- verschlüsselte LVs (ich hab das hier als c_foo gemacht) anlegen
- luksFormat für alle LVs durchführen (Die Passworte für die LVs
  können ruhig eklig sein, man braucht nur das Passwort für die
  root-LV).
- Keyscript nach /etc/foo legen, mit dessen Hilfe die anderen LVs
  aufgeschlossen werden können (testen: /etc/keyscript-foo |
  cryptsetup --key-file=- luksOpen /dev/mapper/c_foo foo)
- /etc/crypttab anlegen, mit "none luks" für die root-LV und "none
  luks,keyscript=/etc/keyscript-foo" für die anderen LVs
- cryptsetup installieren nicht vergessen ;)
- prüfen, ob in der Kernelkommandozeile root=/dev/mapper/vg-root_lv
  (nicht die Node in /dev/vg/root_lv) steht
- initramfs neu bauen

Beim darauf folgendem Boot fragt das System nach dem Passwort für die
root-LV und schließt die anderen LVs dann mit dem auf der root-LV
gefundenen Keyscript auf.

Grüße
Marc

-- 
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber         |   " Questions are the         | Mailadresse im Header
Mannheim, Germany  |     Beginning of Wisdom "     | http://www.zugschlus.de/
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Reply to:

Prev by Date: Re: Wie ändere ich die usb-mountoptionen (user/gruppe)?
Next by Date: Re: Wie ändere ich die usb-mountoptionen (user/gruppe)?
Previous by thread: Re: DVD wird nicht richtig gemountet
Next by thread: KDE Konsole und Systemklang
Index(es):
- Date
- Thread