[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Problem mit crypt Partition

Am 23.06.2016 um 08:52 schrieb Kai Wilke:

Hi ...
* Dirk Paul Finkeldey <dirk.finkeldey@ewetel.net> schrieb am [23.06.16 07:18]:

Am 23.06.2016 um 04:11 schrieb Kai Wilke:

Die Option key=... gibt es nicht nur keyscript und Optionen werden mit
einem Komma getrennt.

Du meinst ,keysript=/root/- in meinen Fall dranhängen ?

Nein, keyscript mus ein Script als Wert haben. Ich werde mal
ausführlicher.


Das sieht jetzt so aus

sda5_crypt UUID=0956e67d-f2e7-4ea6-9f1d-df4d97e37e22 none
luks,keyscript=/root/-

Die Option keyscript beinhaltet in diesem Fall kein Schlüsselscript, da
- kein Script ist. Ein keyscript kann z.B. ein Script sein welches die
verschlüsselte Schlüsseldatei entschlüsselt und den darin enthaltenen
Schlüssel an cryptsetup übergibt. Siehe man 5 crypttab und den
Scripts in /lib/cryptsetup/scripts.
Also:
sda5_crypt UUID=0956e67d-f2e7-4ea6-9f1d-df4d97e37e22 /root/sda5-key.gpg
luks,keyscript=/lib/cryptsetup/scripts/decrypt_gnupg
Ist schon schräg das ich nach der Installation auf einmal ein Script benutzen muss für eine Funktion die seit der Installation funktioniert hat, der Inhalt von cyrpttab wurde bei der Installation automatisch generiert. 


Der Parameter 3, wo bei dir "none" steht wird zu --key-file=-, was
Passworteingabe bedeutet. Hier hättest du auch --key-file=- schreiben
müssen, warum das --key-file=/root/- geklappt hat weiß ich auch nicht.


Hier mal aus cryptdisks.funktion

## Setup a luks mapping
#do_luks () {
#    local tried keyscriptarg
#    tried=0
#    keyscriptarg=""
#
#    if ! cryptsetup isLuks "${CRYPTHEADER:-$src}" >/dev/null 2>&1; then
# log_warning_msg "$dst: device '${CRYPTHEADER:-$src}' is not a LUKS partition, skipping" 
#        return 1
#    fi
#
#    if [ -n "$KEYSCRIPT" ]; then
#        # keyscript => "key" is just an argument to the keyscript
#        keyscriptarg="$key"
#        key="-"
#    elif [ -z "$key" ]; then
#        # no keyscript, no key => password
#        keyscriptarg="Unlocking the disk $src ($dst)\nEnter passphrase: "
#        key="-"
#        if [ -x /bin/plymouth ] && plymouth --ping; then
#            KEYSCRIPT="plymouth ask-for-password --prompt"
#            keyscriptarg=$(printf "$keyscriptarg")
#        else
#            KEYSCRIPT="/lib/cryptsetup/askpass"
#        fi
#    elif [ "$key" != "${key%/dev/*}" ]; then
#        # no keyscript, device key => special treatment
#        keyscriptarg=""
#        key="$key"
#        KEYSCRIPT=""
#    else
#        # no keyscript, key => file input
#        keyscriptarg="$key"
#        key="-"
#        KEYSCRIPT="cat"
#    fi
#
#    PARAMS="$PARAMS --key-file=$key"

Anschließend mit # cryptdisks_start sda5_crypt gestartet und mit # mkswap
/dev/dm-1 als swap Formatiert.

crypttab :
sda5_crypt UUID=0956e67d-f2e7-4ea6-9f1d-df4d97e37e22 none luks,swap
key=/root/-

Das alles funktioniert, nur systemd nicht - echt frustrierend.

Das funktioniert auch mit systemd bloß nicht so wie du es meinst richtig
zu machen.

sda5_crypt UUID=0956e67d-f2e7-4ea6-9f1d-df4d97e37e22 none luks

ist mit Passworteingabe, da none zu --key-file=- wird.

Ich hoffe ich habe es jetzt besser erklärt.
Erkläre mir noch mal ganz kurz warum es der Debian Installer bei der Installation von Jessie so gemacht hat wie es bei mir in der crypttab und fstab drin steht. 




PS: Schreibst du von Windows aus, wegen der "falschen" Codierung ?
Reply to: