LUKS-verschlüsselte Festplatte mit abgeleitetem Schlüssel automatisch einhängen
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Moin,
ich habe folgendes Setup vorliegen:
Auf /dev/sdb ist eine kleine boot-Partition und eine
LUKS-verschlüsselte Partition, auf der mittels LVM mein System und der
Swap liegen (vom Installer so eingerichtet). /dev/sda enthält eine
weitere LUKS-verschlüsselte (Daten-)Partition, die ich gerne beim
Start automatisch einbinden möchte.
Dazu habe ich mich an [1] orientiert. Die Entschlüsselung von
/dev/sda1 mit dem abgeleiteten Schlüssel funktioniert auch. Um das
ganze zu automatisieren habe ich in /etc/crypttab die zweite Zeile
hinzugefügt (sdd5_crypt = /dev/sdb5, die verschlüsselte LVM-Partition):
> sdd5_crypt UUID=f37ce185-f3cc-433f-9640-d7fdf294e59a none luks
> HDD_intern UUID=519d1c97-9078-4fd9-9a4e-c2fa8c5bb281 sdd5_crypt
> luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived,noearly
Beim Bootvorgang werde ich nun wie gewohnt zunächst nach der
Passphrase für die Systempartition gefragt, dann kommt jedoch
> cryptsetup: sdd5_crypt set up successfully [ 10.504916]
> systemd[1]:
> [/run/systemd/generator/systemd-cryptsetup@HDD_intern.service:13]
> Failed to add required mount for, ignoring: sdd5_crypt
und ich werde nach der Passphrase für die zweite Festplatte gefragt
(interessanterweise mit einem anderen Wortlaut: beim ersten Mal heißt
es „Please unlock disk sdd5_crypt:“, beim zweiten Mal „Please enter
passphrase for disk SAMSUNG_HD160JJ (HDD_intern)!“).
Die Option „noearly“ hatte ich hinzugefügt, weil ich vermutet hatte,
/lib sei evtl. noch nicht verfügbar. Eine dementsprechende
Fehlermeldung erscheint aber nicht (in welcher Logdatei könnte ich
nachsehen?).
Im Übrigen funktioniert das Entschlüsseln später mit
> sudo cryptdisks_start HDD_intern
ohne Probleme.
Hat jemand Erfahrung damit und kann mir weiterhelfen?
Viele Grüße
Florian
> [1] http://wiki.ubuntuusers.de/LUKS/Schl%C3%BCsselableitung
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iQEcBAEBAgAGBQJULqdQAAoJEIjKprKZCW0VQboH/1wJ+H5lKcqtRbA0pYwyK3n4
HjfvGnc96aoNev3S9oexvhZm8ZdjAE1BMpet55e81towNImhucGrS6Y8zwKWWYLZ
kmKACCBaMaZASv5nWd+3Wif46o2vky6mZCA0QxlqQATLBK0mlMl9THzXM9UdjjNE
hSX9cT42sx/BqLzToHFSl3fiWuOpoBEokdQQHnMuDWCaFYzM1xBO2KpwOygZLnvF
Z9JM8lG6ILIE9VRS+bIg5khvsQF8NiiAp+n7b3X9X6xYY7j7R3JXiMpwrwQlXlgC
kTrXbou3DJPx3H2PbmmQWtzIbBucdod+/ukAE+MvWIymOj0VGAO2MSlwP13pNwc=
=YGuK
-----END PGP SIGNATURE-----
Reply to: