Systemd und mit LUKS verschlüsselte home-Partition

classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|

Systemd und mit LUKS verschlüsselte home-Partition

Uwe Scholz
Hallo Gentoo-Nutzer,

da hier gerade systemd durch die Runde geht, habe ich dazu auch eine
Frage: Hat hier schon jemand erfolgreich auf systemd umgestellt, wobei
die home-Partition über Luks verschlüsselt ist?

Ich verwende diese Konfiguration _ohne_ Benutzung von LVM oder RAID auf
meinem Thinkpad T400 und bin vor einigen Wochen an der Umstellung auf
systemd mittels der Anleitung in http://wiki.gentoo.org/wiki/Systemd
gescheitert.

Zwar startete systemd einige Services beim Booten, und auch die
Aufforderung zur Eingabe meines Passwortes zum Entschlüsseln der
home-Partition während des Boot-Vorgangs erschien kurz. Allerdings
ratterten kurz danach viele Fehlermeldungen über den Bildschirm. Ich
kann mich noch erinnern, dass dann immer 30 Sekunden runtergezählt
wurden, mit der Meldung, dass auf irgendeinen Prozess (Luks?) gewartet
wird. Die Eingabe des Passwortes an dieser Stelle hat aber nichts
gebracht, der Countdown lief trotzdem weiter. Schließlich brach der
ganze Boot-Prozess in sich zusammen und ich konnte mich auch nicht als
root in eine Shell einloggen. Schließlich half immer nur ein Reboot über
die Power-Taste des Notebooks.

Leider kann ich an dieser Stelle nicht mehr die Fehlermeldung genau
wiedergeben, da alles schon eine Weile zurückliegt. Aber für den Fall,
dass ich mal Gnome testen möchte, währe systemd wohl unumgänglich und
ich würde es doch noch irgendwann gerne einmal hin bekommen.

Weiß irgendjemand Rat? Währe eine komplette Neuinstallation meines
Systems sinnvoll, mit systemd und Luks von Anfang an? Wer kann dazu
Tipps geben?

Viele Grüße und danke schon mal für jedwede Hilfe.
Uwe

Reply | Threaded
Open this post in threaded view
|

Re: Systemd und mit LUKS verschlüsselte home-Partition

Ralf Ramsauer
Hi Uwe,

ich verwende Gentoo ~amd64 unstable mit systemd + Luks.

Ich verschlüssel auch meine Root Partition. Grub kann nämlich LUKS
sprechen und den Kernel von einer gecrypteten Platte laden.
Somit ist der Bootloader der einzig unverschlüsselte Teil auf meiner Kiste.
Grub lädt dann von der gecrypteten Root Partition den Kernel und eine
initrd, welche nen Key für die Root Partition beinhaltet, um weitere
Passworteingaben zu vermeiden.

Meine Crypttab enthält dann meine Home Partition (auch mit Keyfile),
welche dann autom. von systemd eingemounted wird (spannenderweise alles
in der richtigen Reihenfolge).

Ohne eine weitere unnütze Diskussion lostreten zu wollen:  Ganz
freiwillig verwende ich systemd nicht.
Da ich ein Gentoo Unstable Mensch bin, und ziemlich viel gnome-backend
verwende (gdm z.B.) bin ich aber leider darauf angewiesen...

Mein Tipp für dich wär evtl. auch Keyfiles + CryptoRoot + Grub Luks zu
verwenden.
Ich hab schon öfter gehört, dass Systemd und interaktive Eingaben
angeblich keine großen Freunde sein sollen.

Cheers
  Ralf


On 10/10/14 21:41, Uwe Scholz wrote:

> Hallo Gentoo-Nutzer,
>
> da hier gerade systemd durch die Runde geht, habe ich dazu auch eine
> Frage: Hat hier schon jemand erfolgreich auf systemd umgestellt, wobei
> die home-Partition über Luks verschlüsselt ist?
>
> Ich verwende diese Konfiguration _ohne_ Benutzung von LVM oder RAID auf
> meinem Thinkpad T400 und bin vor einigen Wochen an der Umstellung auf
> systemd mittels der Anleitung in http://wiki.gentoo.org/wiki/Systemd
> gescheitert.
>
> Zwar startete systemd einige Services beim Booten, und auch die
> Aufforderung zur Eingabe meines Passwortes zum Entschlüsseln der
> home-Partition während des Boot-Vorgangs erschien kurz. Allerdings
> ratterten kurz danach viele Fehlermeldungen über den Bildschirm. Ich
> kann mich noch erinnern, dass dann immer 30 Sekunden runtergezählt
> wurden, mit der Meldung, dass auf irgendeinen Prozess (Luks?) gewartet
> wird. Die Eingabe des Passwortes an dieser Stelle hat aber nichts
> gebracht, der Countdown lief trotzdem weiter. Schließlich brach der
> ganze Boot-Prozess in sich zusammen und ich konnte mich auch nicht als
> root in eine Shell einloggen. Schließlich half immer nur ein Reboot über
> die Power-Taste des Notebooks.
>
> Leider kann ich an dieser Stelle nicht mehr die Fehlermeldung genau
> wiedergeben, da alles schon eine Weile zurückliegt. Aber für den Fall,
> dass ich mal Gnome testen möchte, währe systemd wohl unumgänglich und
> ich würde es doch noch irgendwann gerne einmal hin bekommen.
>
> Weiß irgendjemand Rat? Währe eine komplette Neuinstallation meines
> Systems sinnvoll, mit systemd und Luks von Anfang an? Wer kann dazu
> Tipps geben?
>
> Viele Grüße und danke schon mal für jedwede Hilfe.
> Uwe
>


Reply | Threaded
Open this post in threaded view
|

Re: Systemd und mit LUKS verschlüsselte home-Partition

Jens Kasten
Am Sat, 11 Oct 2014 00:02:52 +0200
schrieb Ralf <[hidden email]>:

> Hi Uwe,
>
> ich verwende Gentoo ~amd64 unstable mit systemd + Luks.
>
> Ich verschlüssel auch meine Root Partition. Grub kann nämlich LUKS
> sprechen und den Kernel von einer gecrypteten Platte laden.
Also grub kann nicht direkt von einer verschluesselten Platte lesen.
Diese muss erst entschluesselt werden ansonsten waere die
Verschlüsselung nicht ganz vollständing :D

> Somit ist der Bootloader der einzig unverschlüsselte Teil auf meiner
> Kiste. Grub lädt dann von der gecrypteten Root Partition den Kernel
> und eine initrd, welche nen Key für die Root Partition beinhaltet, um
> weitere Passworteingaben zu vermeiden.
Darf jeder der physischen Zugang zu deinen Rechner hat kann ihn booten
und benutzten. Ich hoffe, dass du beim Laptop dieses nicht praktizierst.
 

> Meine Crypttab enthält dann meine Home Partition (auch mit Keyfile),
> welche dann autom. von systemd eingemounted wird (spannenderweise
> alles in der richtigen Reihenfolge).
>
> Ohne eine weitere unnütze Diskussion lostreten zu wollen:  Ganz
> freiwillig verwende ich systemd nicht.
> Da ich ein Gentoo Unstable Mensch bin, und ziemlich viel gnome-backend
> verwende (gdm z.B.) bin ich aber leider darauf angewiesen...
>
> Mein Tipp für dich wär evtl. auch Keyfiles + CryptoRoot + Grub Luks zu
> verwenden.
> Ich hab schon öfter gehört, dass Systemd und interaktive Eingaben
> angeblich keine großen Freunde sein sollen.
>
> Cheers
>   Ralf
>
>
> On 10/10/14 21:41, Uwe Scholz wrote:
> > Hallo Gentoo-Nutzer,
> >
> > da hier gerade systemd durch die Runde geht, habe ich dazu auch eine
> > Frage: Hat hier schon jemand erfolgreich auf systemd umgestellt,
> > wobei die home-Partition über Luks verschlüsselt ist?
> >
> > Ich verwende diese Konfiguration _ohne_ Benutzung von LVM oder RAID
> > auf meinem Thinkpad T400 und bin vor einigen Wochen an der
> > Umstellung auf systemd mittels der Anleitung in
> > http://wiki.gentoo.org/wiki/Systemd gescheitert.
> >
> > Zwar startete systemd einige Services beim Booten, und auch die
> > Aufforderung zur Eingabe meines Passwortes zum Entschlüsseln der
> > home-Partition während des Boot-Vorgangs erschien kurz. Allerdings
> > ratterten kurz danach viele Fehlermeldungen über den Bildschirm. Ich
> > kann mich noch erinnern, dass dann immer 30 Sekunden runtergezählt
> > wurden, mit der Meldung, dass auf irgendeinen Prozess (Luks?)
> > gewartet wird. Die Eingabe des Passwortes an dieser Stelle hat aber
> > nichts gebracht, der Countdown lief trotzdem weiter. Schließlich
> > brach der ganze Boot-Prozess in sich zusammen und ich konnte mich
> > auch nicht als root in eine Shell einloggen. Schließlich half immer
> > nur ein Reboot über die Power-Taste des Notebooks.
> >
> > Leider kann ich an dieser Stelle nicht mehr die Fehlermeldung genau
> > wiedergeben, da alles schon eine Weile zurückliegt. Aber für den
> > Fall, dass ich mal Gnome testen möchte, währe systemd wohl
> > unumgänglich und ich würde es doch noch irgendwann gerne einmal hin
> > bekommen.
> >
> > Weiß irgendjemand Rat? Währe eine komplette Neuinstallation meines
> > Systems sinnvoll, mit systemd und Luks von Anfang an? Wer kann dazu
> > Tipps geben?
> >
> > Viele Grüße und danke schon mal für jedwede Hilfe.
> > Uwe
> >
>
>


Reply | Threaded
Open this post in threaded view
|

Re: Systemd und mit LUKS verschlüsselte home-Partition

Ralf Ramsauer
Hi,

On 10/11/14 15:11, Jens Kasten wrote:

> Am Sat, 11 Oct 2014 00:02:52 +0200
> schrieb Ralf <[hidden email]>:
>
>> Hi Uwe,
>>
>> ich verwende Gentoo ~amd64 unstable mit systemd + Luks.
>>
>> Ich verschlüssel auch meine Root Partition. Grub kann nämlich LUKS
>> sprechen und den Kernel von einer gecrypteten Platte laden.
> Also grub kann nicht direkt von einer verschluesselten Platte lesen.
> Diese muss erst entschluesselt werden ansonsten waere die
> Verschlüsselung nicht ganz vollständing :D
Ja klar, mit "Grub kann Luks sprechen" hab ich das auch nicht bestritten.
Natürlich hat Grub erst nach dem Unlocken eines Keyslots Zugriff darauf.
>
>> Somit ist der Bootloader der einzig unverschlüsselte Teil auf meiner
>> Kiste. Grub lädt dann von der gecrypteten Root Partition den Kernel
>> und eine initrd, welche nen Key für die Root Partition beinhaltet, um
>> weitere Passworteingaben zu vermeiden.
> Darf jeder der physischen Zugang zu deinen Rechner hat kann ihn booten
> und benutzten. Ich hoffe, dass du beim Laptop dieses nicht praktizierst.
Nein, du hast da etwas falsch verstanden? Jeder der physischen Zugang zu
meinem Rechner hat, kann im Bootloader versuchen den Slot zu unlocken.

Nochmal:
1. Unlocken der Root Partition mit Passphrase in Grub
2. Laden des Kernel von der Root Partition.
3. Laden der Initrd von der Root Partition (welche eine Keyfile für die
selbe Luks Partition beinhaltet)
4. Booten

Ohne Zugang zur Root Partition hast du auch keinen Zugang zum Kernel
oder zur Ramdisk.

Cheers