Re: luks dm-crypt von Passphrase auf Keyfile ändern, war: Dovecot Imap ...

[Klaus Umbach <treibholz-debian@uxix.de>]

On 24.06.12 22:23, Sebastian Cabrera wrote:
> > Bei mir muss ich im Moment beim booten immer die Passphrase manuell
> > in der Console eingeben.
> > Hat sich das schon wer angesehen, wo das über einen externen Speicher
> > (USB-Stick) passieren kann? Also mit einen Keyfile statt einer Passphrase?

So ein USB-Key ist schnell "verschwunden". Also ohne Eingabe einer
Passphrase würde ich das nicht machen.

> 
> sagen wir mal es geht. Ich hab das damals in die initramfs-tools reingehackt...unter
> 
> /usr/share/initramfs-tools/scripts/local-top/
> 
> gibts das "cryptroot" script das für die entschlüsselung Zuständig ist.
> Dort hab ich dann den USBStick mounten lassen und mit dem keyfile das auf dem Stick lag dann die plattenverschlüsselung aufgemacht.
> Nach ändern des Scripts kann man nen update-initramfs laufen lassen und die änderungen sind aktiv.
> Nachteil ist man muss bei jedem kernel-update aufpassen ob die Änderungen noch da sind und so weiter...
> Ist jedenfalls nicht sehr schön. Eventuell gibts da mitlerweile bessere Möglichkeiten?!?
> 
> Ansonsten hättest du mit dropbear noch die möglichkeit per ssh shell die plattenvollverschlüsselung zu öffnen.
> Dann brauchst du dafür zumindest keine Tastatur an dem Rechner/Server, falls es darum geht.

Ich finde die Dropbear-Variante angenehmer. Funktioniert dann auch bei
root-servern. (Man muss dann allerdings der initrd vertrauen können...)

Gruß
    Klaus
 
-- 
Wer ewige Wahrheit braucht, muss zum Glauben finden.