Re: AES-loop Wurzel-Partiton manuell mounten
Hallo,
Thomas Günther schrieb:
> Gut. Vielleicht hätte ich noch schreiben sollen, dass ich die
> Schlüsseldatei nur auf der verschlüsselten Partition habe.
>
> Wie macht Debian das, wenn es gebootet wird? In der fstab steht als
> mount-Option so etwas wie gpgkeyfile=/etc/loopkeys/sda7.gpg (habe ich
> mir bei einer Neuinstallation auf einem anderen System angesehen).
> Kurz nach dem Bootbeginn fragt es nach der Key-Passphrase, aber
> wie kommt es an diesen Schlüssel, der in einer mit ihm selbst
> verschlüsselten Partition liegt?
Also falls Du wissen willst wie es genau läuft, dann kannst Du Dir das
initrd Image entpacken und im Skript "init" schauen was beim Booten
abläuft. Dumm dass Deine /boot Partition mit betroffen ist, aber wenn Du
ein zweites System mit loop-aes hast dann hilft Dir fürs Verständnis
auch eine initrd von dort weiter.
Ich vermute, dass die Schlüsseldatei entweder mit in der initrd liegt
(im Verzeichnis /etc/loopkeys) oder dass die ersten paar Blöcke der
Partition diesen enthalten - der AES Key (durch GPG geschützt) muss auch
außerhalb der eigentlich zu schützenden Partition liegen.
Zum Entpacken der initrd:
cp /boot/initrd.img-<kernelver> /tmp/initrd.gz
gunzip /tmp/initrd.gz
mkdir /tmp/myinitrd; cd /tmp/myinitrd
cpio -i < /tmp/initrd
Ich denke mal in der initrd ist die Lösung und das Keyfile zu finden,
soweit ich weiß nutzt nur dm_crypt Partitionsheader in dem alles
wichtige hinterlegt ist.
Dann hoffen wir mal, dass Deine initrd nicht betroffen ist.
Gruß,
Martin
Reply to: