5.03: Schwerwiegender Bug mit Encrypted Root File System
Liebe Liste,
Ich habe auf meinem Notebook (i386) wie meinem neuen PC (AMD64) das
Debian 5.03 installiert, jeweils mit loop-AES256-verschlüsseltem / (auf
loop1), unverschlüsseltem /boot auf USB-Stick und
loop-AES256-verschlüsseltem Swap (auf loop0).
U. A. weil der USB-Stick nicht immer angeschlossen ist, ist /boot nach
der Installation auch in das verschlüsselte / kopiert.
Das funktionierte zunächt problemlos, konnte konfiguriert werden
und immer problemlos gebootet werden, so wie auf meinem alten PC,
mit dem ich die gleiche Konfiguration (mit dem lennyrc2) seit einem
Jahr benutze.
Auf dem Notebook und neuen PC funktioniert es nicht mehr richtig seit
einem "apt-get upgrade", das auch die initrd oder den Kernel updatete;
konkret haben sich beim Notebook in /boot die System-Map, Config, initrd und
vmlinuz geändert, aber beim PC nur die initrd.
Das Problem ist auf beiden Rechnern das Gleiche: Mit den alten Dateien
in /boot (auf dem Stick) erscheint beim Booten, nach der
Passwort-Eingabe, die Fehlermeldung "bad magic number in super-block"
und anschließend stehen nur root-Login oder Ctrl-D für Reboot zur
Auswahl!
Kopiere ich die neuen Dateien in /boot (das in dem verschlüsselten
/ liegt) auf den Stick, kommt nach der Passwort-Eingabe beim Booten
immer nur "decryption failed", so als ob sich das Passwort geändert
hat. Verwende ich wieder die alten Dateien auf dem Stick passt zwar
wieder das Passwort, aber ich habe dann nur root-Login oder Ctrl-D für
Reboot zur Auswahl.
Zuerst dachte ich das etwas beschädigt ist, aber ich habe immer
saubere Shutdowns gemacht und das Problem gibt es sowohl auf dem
Notebook als auch auf dem PC und zudem hilft auch (nach root-Login)
fsck.ext3 -y -f /dev/loop1
e2fsck -y /dev/loop1
e2fsck -f -b 32768 /dev/loop1
nicht, denn spätestens nach dem ersten Durchgang melden die keinen
Fehler, aber die Fehlermeldung beim Booten bleibt mit den alten
Dateien (auf Stick) und mit den neuen Dateien wird das Passwort nicht
akzeptiert.
Weil sich beim neuen PC nur die initrd in /boot geändert hat, habe ich
sie mal ausgepackt und mit der neuen verglichen, aber mir ist da
nichts aufgefallen und das Keyfile rootkeyfile.gpg sowie die
loopaesroot sind ungeändert, wie diff zeigt.
Es gibt zwischen den initrds minimale Unterschiede wie das in der neuen
initrd in /bin einige Programme wie zcat fehlen, die aber in der
neueren initrd im busybox vorhanden sind.
Es gibt auch einige Unterschiede bei /etc/modprobe.d/ , aber ich sehe
keinen Unterschied, der die Probleme verursacht und zudem ist das
erste Problem ja auch mit der alten initrd vorhanden.
Meinen alten PC (AMD64) betrifft das Problem wohl nur deshalb nicht, weil ich
bei dem noch kein "apt-get upgrade" riskiert habe.
Und meinen neuen Server, auf dem ich ebenfalls 5.03 AMD64 installiert habe,
und bei dem auch initrd u. Kernel durch "apt-get upgrade" upgedatet wurden,
betrifft das Problem ebenfalls nicht weil / unverschlüsselt ist (swap ist aber
ebenfalls mit loop-AES256 verschlüsselt).
Wie kann man da zumindest feststellen in welchem Paket der Bug ist?
BTW: Über JAP wird mir zur FAQ
http://www.de.debian.org/debian-user-german-FAQ/ nur "(113) No route
to host" gemeldet, aber über einen Proxy vom Provider erreiche ich die
Seite Problemlos. Bisher hatte ich solche Probleme nur andersrum: Der
veraltete Squid beim Provider läßt nicht alles durch, aber JAP schon.
Gruß,
Rolf
Reply to: