luks-verschlüsselte root-partition neuer Kernel Passphrase

[hackbox]

Hallo Gurus und Allwissende;-)

bitteentschuldigt den etwas wirren Titel ich habe folgendes Problemchen. Meine Partitionen (bis auf /boot) sind unter Etch mit LUKS verschlüsselt (Debian-Standardkernel-2.6.18-4) Nun möchte ich einen neu kompilierten Kernel-2.6.20 booten mit selbst kompilierten Treibermodulen und dem VMWareServer (unter 2.6.18-4 finder der die C-header Files nicht) booten, was auch funktioniert. Allerdings wird die Passphrase für LUKS nicht gefunden und hier beisst sich die Katze dann in den Schwanz. Bei Google & Co konnte ich dazu nichts finden, was mir weitergeholfen hätte.
Die Kernel-Header für den 2.6.18-4 sind installiert. ich nutze den gcc-4.1.

Nun meine Frage, wie übergebe ich diese an den neuen Kernel?

Danke schonmal im Voraus, ich bin gespannt, ob mir hier jemand helfen kann.

Gruss

hackbox

[Kokopelli]

Hallo!

Leider kann ich Dein Problem nicht ganz nachvollziehen.

Allerdings wird die Passphrase für LUKS nicht gefunden und hier beisst sich die Katze dann in den Schwanz.

Wie übergibst Du denn die Passphrase an den alten Kernel?
Habe schon mehrfach die Kernel gewechselt, aber es kam immer die gute alte Anforderung, nun das LUKS-Passwort einzugeben, dann lief alles wie gewohnt.

Hast Du den neuen Kernel selbst kompiliert? Falls ja: alle nötigen Einstellungen für die Verschlüsselungen dabei?

Desweiteren: Nutzt Du lvm oder ähnliches oder sind die Partitionen direkt verschlüsselt?

Wäre gut, wenn Du uns noch ein paar Infos dazu geben könntest.

[hackbox]

Hallo Kokopelli,

schöen nDank für deine Antwort. Also den Kernel habe ich mit make oldconfig und fakeroot make-kpkg kernel_image
als Debian-image erstellt. linux-image-2.6.20.10_2.6.20.10-10.00.Custom_i386.deb
Ich verwende LVM und habe alle Parttitionen bis auf /boot mit LUKS verschlüsselt.
Diese Crypto Options habe ich verwendet:
* Cryptographic options
*
Cryptographic API (CRYPTO) [Y/?] y
Cryptographic algorithm manager (CRYPTO_MANAGER) [Y/?] y
HMAC support (CRYPTO_HMAC) [Y/m/?] y
XCBC support (CRYPTO_XCBC) [N/m/y/?] n
Null algorithms (CRYPTO_NULL) [M/n/y/?] m
MD4 digest algorithm (CRYPTO_MD4) [M/n/y/?] m
MD5 digest algorithm (CRYPTO_MD5) [Y/m/?] y
SHA1 digest algorithm (CRYPTO_SHA1) [M/y/?] m
SHA256 digest algorithm (CRYPTO_SHA256) [Y/m/?] y
SHA384 and SHA512 digest algorithms (CRYPTO_SHA512) [Y/n/m/?] y
Whirlpool digest algorithms (CRYPTO_WP512) [M/n/y/?] m
Tiger digest algorithms (CRYPTO_TGR192) [M/n/y/?] m
GF(2^128) multiplication functions (EXPERIMENTAL) (CRYPTO_GF128MUL) [N/m/y/?] n
ECB support (CRYPTO_ECB) [M/y/?] m
CBC support (CRYPTO_CBC) [M/y/?] m
LRW support (EXPERIMENTAL) (CRYPTO_LRW) [N/m/y/?] n
DES and Triple DES EDE cipher algorithms (CRYPTO_DES) [M/y/?] m
Blowfish cipher algorithm (CRYPTO_BLOWFISH) [M/n/y/?] m
Twofish cipher algorithm (CRYPTO_TWOFISH) [Y/n/m/?] y
Twofish cipher algorithms (i586) (CRYPTO_TWOFISH_586) [M/n/y/?] m
Serpent cipher algorithm (CRYPTO_SERPENT) [M/n/y/?] m
AES cipher algorithms (CRYPTO_AES) [Y/m/?] y
AES cipher algorithms (i586) (CRYPTO_AES_586) [Y/n/m/?] y
CAST5 (CAST-128) cipher algorithm (CRYPTO_CAST5) [M/y/?] m
CAST6 (CAST-256) cipher algorithm (CRYPTO_CAST6) [M/n/y/?] m
TEA, XTEA and XETA cipher algorithms (CRYPTO_TEA) [M/n/y/?] m
ARC4 cipher algorithm (CRYPTO_ARC4) [M/y/?] m
Khazad cipher algorithm (CRYPTO_KHAZAD) [M/n/y/?] m
Anubis cipher algorithm (CRYPTO_ANUBIS) [M/n/y/?] m
Deflate compression algorithm (CRYPTO_DEFLATE) [M/y/?] m
Michael MIC keyed digest algorithm (CRYPTO_MICHAEL_MIC) [M/y/?] m
CRC32c CRC algorithm (CRYPTO_CRC32C) [M/y/?] m
Testing module (CRYPTO_TEST) [M/n/?] m
*
* Hardware crypto devices
*
Support for VIA PadLock ACE (CRYPTO_DEV_PADLOCK) [M/n/y/?] m

in grub/menu.lst ist der Kernel so eingetragen:
title Debian GNU/Linux, kernel 2.6.20.10
root (hd0,0)
kernel /vmlinuz-2.6.20.10 root=/dev/mapper/hcx-root ro
savedefault

versuche ich für ihn eine intrd zu erstellen kommt dies:
yaird -o initrd.img-2.6.20.10 2.6.20.10
yaird error: missing file requested for image: /lib/lvm-200/vgchange (/etc/yaird/Templates.cfg:287) (fatal)


Gruss

hackbox

[Kokopelli]

Hmm... da Du mit make oldconfig gearbeitet hast, müssten ja auch die dev-mapper module und dessen crypto-target vorhanden sein...
Bau den Kernel doch mal mit

Code: Alles auswählen

make-kpkg --rootcmd fakeroot --initrd kernel_image 

Dann wird die passende initrd gleich mitgebaut.

Wär auch ganz gut, wenn Du die ganze .config mal ins nopaste hängen könntest.

[hackbox]

Hallo Kokopelli,

danke für die prompte Hilfe; diese option konnte ich so noch nicht für die initrd.

Mein Problem ist teilweise gelöst der neue Kernel 2.6.20.10 bootet schonmal doch das crypto volume,welches das root Verzeichnis enthält (bei mir /dev/mapper/xx-home) wird nocht gefunden:
setting up cryptographic volume /dev/mapper/xxx-home (based on /dev/hda5)
cryptsetup: Source device /dev/mapper/xxx-home not found

Ich habe es auch mal direkt mit root=/dev/hda5 versucht, was jedoch zur gleichen Fehlermeldung führt.

Anbei noch wunschgemäß die config-2.6.20.10 (ich habe einen Teil Treiber für Gadgets und so was rausgeschnitten - ist so schon arg lang) hoffentlich so richtig:

34441
------schnippel ---off

So das war's von der config.


Danke schon mal im Voraus.


hackbox

[pluvo]

http://wiki.debianforum.de/debianforum.de/NoPaste

[Kokopelli]

Gutgut.. dann arbeitest Du jetzt noch folgenden thread nach (incl. crypttab), dann sollte es was werden...
http://www.debianforum.de/forum/viewtopic.php?t=83142
Viel Erfolg.

PS: Und bitte für die Zukunft das nopaste nutzen

[hackbox]

Hallo Kokopelli und pluvo,

danke für den nopaste link und den thread. Ich werde es mal durcharbeiten und sollte es dann immer noch nicht funktionieren poste ich die Errors in nopaste (großes Ehrenwort!) (ich kannte den link noch nicht -schande über mich)
Wohin darf ich nun die Tafel Schokolade schicken?

gruss

hackbox

[hackbox]

Hallo Kokopelli,

nochmals danke für den Thread.

meine /boot/grub/menu.lst sieht nun so aus: http://nopaste.debianforum.de/get/6374
meine /etc/fstab so: http://nopaste.debianforum.de/get/6376
und meine /etc/crypttab so: http://nopaste.debianforum.de/get/6377

Doch dann kommt diese Fehlermeldung: could not stat the resume device file '/dev/maper/xxx-swap_1'
Please type in the full path name to try again.

Ich google seit Stunden doch finde keine Lösung dafür. Warum sucht der Kasten weiterhin nach /dev/mapper/xxx-swap_1 statt nach der uuid?
Hätte ich in der crypttab statt luks swap eintragen müssen? Ist die zweite Zeile überhaupt notwendig?

Die uuid der swap habe ich mit lvdisplay rausgefunden, die der anderen mountpoints auch.

Ich hoffe das mit dem nopaste ist so in Ordnung,; ich wurde als anonymous registriert????

Gruss und Danke schonmal.

hackbox

[Kokopelli]

Du hast jetzt da ein paar Dinge durcheinandergewürfelt.

Die crypttab müsste okay sein, aber von da aus brauchen die files für die partitionen, die via lvm bereit gestellt werden, die lvm-adresse, also in der art /dev/mapper/fooo.
Die uuid brauchst Du immer dann, wenn Du direkt auf die physikalische partition zugreifen möchtest, aber bei den lvm-devices möchtest Du das ja gar nicht, sondern soweit ich das sehe nur bei /boot.

Code: Alles auswählen

ls -lF /dev/disk/by-uuid/

zeigt Dir ja auch nur die uuid physikalischer Partitionen an, von daher kann man kaum durcheinanderkommen?

Ausserdem hast Du desöfteren Leerzeichen vor den uuids, die würde ich da lieber wegnehmen

[hackbox]

Hallo Kokopelli,

wenn ich dich jetzt richtig verstanden habe meintest Du die Einträge in der fstab so zu ändern:

http://nopaste.debianforum.de/get/6385
also nur für das / Verzeichnis disk/by-uuid denn root=/dev/mapper/xxx-root wie beim Standard Kernel
funktioniert ja so nicht. (Rootverzeichnis wird nicht gefunden)


Meine /grub/menu.lst sieht nun so aus:

http://nopaste.debianforum.de/get/6386

Habe ich dich so richtig verstanden oder wieder Alles durcheinander gewürfelt?

Danke schon mall im Voraus.

hackbox

[Kokopelli]

Okay, jetzt bin ich verwirrt.
Bevor wir noch irgendetwas anderes machen, kannst Du bitte mal Deine komplette Partitionierung posten? Also ganz genau, welche Partition als was gemounted werden soll, welche verschlüsselt ist/sind, welche das lvm beherbergt und welche volumes es darin gibt usw... ich hab hier echt den roten Faden verloren und will nichts falsches sagen, was Dich nur verwirrt. Sorry.

[hackbox]

Hallo Kokopelli,

sorry das wollte ich nicht; und ich gebe zu so langsam blicke ich überhaupt nicht mehr durch. Soweit ich dich verstanden habe muß ich dem Bootloader das Root Verzeichnis nach dem Motto root=/dev/mapper/xxx-root
mitteilen während in der fstab und crypttab an Stelle der Partition die uuid eingetragen wird.
Also ich habe jetzt die Leerzeichen in der fstab entfernt und in der grub/menu.lst root=/dev/mapper/xxx-root eingetragen --- nun wird /dev/disk/by-uuid/xxxxxxxxxxxxxxxxxxx nicht gefunden.

Also hier mal das Ergebnis von fdisk //dev/hda:
http://nopaste.debianforum.de/get/6390

und hier die /etc/fstab: http://nopaste.debianforum.de/get/6391

schließlich noch die menue.lst vom GRUB: http://nopaste.debianforum.de/get/6392

und das Ergebnis von ls-lF/dev/disk/by-uuid : http://nopaste.debianforum.de/get/6393
hda1 ist bei mir /boot
hda5 ist /
hier liegen die lvm /dev/mapper/xxx-yyy

Ich hoffe damit deinem Wunsch entsprochen zu haben und bedanke mich nochmals sehr für deine Hilfe.

Mit freundlichen Grüßen

hackbox

[Kokopelli]

hda5 ist /
hier liegen die lvm /dev/mapper/xxx-yyy

Genau da scheint der Hund begraben.... das hast Du auch in deiner fstab so einzeln aufgeführt.

Ist es so, daß a)

hda5 beherbergt ein lvm, welches u.a. ein volume beinhaltet, dass als "/" fungiert?

oder b)
hda5 direkt "/" ist?

hda5 kann nicht gleichzeitig "/" sein und ein lvm beherbergen, aber genau das will Deine fstab.

Wenn Du diese hda5-Situation nochmal erklären könntest kriegen wir das bestimmt zusammengeschweisst

[hackbox]

Hallo Kokopelli,

ich hatte bei der Installation lvm und LUKS Verschlüsselung ausgewählt, so daß ich davon ausgehe daß / innerhalb des LVM xxx-root auf /dev/hda5 liegt.

Ich hatte hda1 als /boot
hda2 als swap
und hda5 alds /

partitioniert. Es existieren in /dev dm-0 bis dm-5 sowie unter /dev/mapper hda5_crypt

lvdisplay zeigt : LV Name /dev/xxx/root
VG Name xxx
LV UUID 5PVILZ-3U7x-DGAW-qKvX-50DR-jMFN-OvP3nT
LV Write Access read/write
LV Status available
# open 1
LV Size 276.00 MB
Current LE 69
Segments 1
Allocation inherit
Read ahead sectors 0
Block device 254:1

Wenn ich das richtig deute, liegen auf /dev/hda5 LVM's von denen /dev/xxx/root, welches unter /dev/mapper/xxx-root gemountet wird, das / Verzeichnis ist????

Oder liege ich da falsch? Was mich nun völlig verwirrt ist deine Bemerkung zur fstab. Die wurde ja automatisch generiert und ich habe lediglich /dev/mapper/xxx-root durch /disk/by-uuid ersetzt.

Wie dem auch sei, ich hoffe ich konnte das Dickkicht lüften.

Gruss

hackbox

[Kokopelli]

Okay, soweit ich das überblicke, musst Du nur physikalische Partitionen via uuid eintragen.
Also muss für "/" auch /dev/mapper/wasauchimmer in die fstab, da es ja als über lvm eingebunden wird.
Via uuid muss /boot in die fstab eingetragen werden sowie die Einträge in der der crypttab.
In der menu-list muss / auch als dev/mapper-Adresse stehen.

Kurz: /boot via uuid, alles im lvm über /dev/mapper.
Das sollte laufen... hoffe ich

[hackbox]

Hallo Kokopelli,

habe ich dich nun völlig verwirrt? Ich hoffe nicht. Ich konnte mein Problem schon mal in soweit lösen, daß ich nunmehr
wenigstens in meinen Debian Standardkernel 2.6.18-4-686 vmmon und vboxdrv reinkompilieren kann - VMware-server und Virtualbox laufen. Dennoch würde ich gerne wissen warum die root Partition werder under /dev/mapper/xxx-root noch unter /dev/disk/by-uuid/xxxxxxxxxxxxxxxxx gefunden wird.
Habe schon wie blöd gegoogelt aber nichts dazu gefunden. Selbst unsere Gurus in der LUG wissen es nicht.

Wie auch immer auf jeden Fall vielen Dank für deine Hilfe.

Gruss

hackbox

[Kokopelli]

habe ich dich nun völlig verwirrt?

Nicht, dass ich wüsste

Guck Dir die Dateien, die Du gepostest hast, an: In der fstab listest Du "/" via uuid und /boot als /dev/hda1.
"/" muss aber /dev/mapper/xyz sein und /boot via uuid eingetragen sein.

Nochmal langsam zum mitschreiben: Dein Problem: Neuere Kernel nutzen sda anstelle von hda zur Adressierung. Lösung: Partitionen via uuid eindeutig identifizieren. Das muss aber jeweils nur einmal passieren, also:

Für alles, was als verschlüsseltes lvm eingerichtet ist, wird die Bezeichnung in der crypttab per uuid eingetragen. In allen anderen Dateien wie fstab und menu.list muss dann /dev/mapper/xyz benutzt werden.
Für /boot muss die unverschlüsselte Partition via uuid in die fsatb eingetragen werden.

Ist doch gar nicht sooo schwierig?

[hackbox]

Hallo Kokopelli,

nein jetzt ist es klar:

die /boot in der fstab über die uuid identifizieren:

Code: Alles auswählen

# /etc/fstab: static file system information.
#
# <file system> <mount point>   <type>  <options>       <dump>  <pass>
proc            /proc           proc    defaults        0       0
/dev/mapper/hcx-root /               ext3    defaults,errors=remount-ro 0       1
/dev/disk/by-uuid/0146e487-82b0-4eb0-87bc-e260b73ce6fe   /boot           ext2    defaults        0       2
/dev/mapper/xxx-home /home           xfs     defaults        0       2
/dev/mapper/xxx-tmp /tmp            xfs     defaults        0       2
/dev/mapper/xxx-usr /usr            xfs     defaults        0       2
/dev/mapper/xxx-var /var            xfs     defaults        0       2
/dev/mapper/xxx-swap_1 none            swap    sw              0       0
/dev/hdc        /media/cdrom0   udf,iso9660 user,noauto     0       0
/dev/fd0        /media/floppy0  auto    rw,user,noauto  0       0
/dev/sda1       /media/usb0     auto    rw,user,noauto  0       0

# /dev/shm vergroessern fuer Qemu
#
none    /dev/shm        tmps    defaults,size=800M

und ansonsten in der Form /dev/mapper/xx
z.B. in der /boot/grub/menu.lst

Code: Alles auswählen

title           Debian GNU/Linux, kernel 2.6.20.10
root            (hd0,0)
kernel          /vmlinuz-2.6.20.10 root=/dev/mapper/hcx-root ro
initrd          /initrd.img-2.6.20.10
savedefault

und in der /etc/crypptab die / Partition über die uuid eintragen

Code: Alles auswählen

da5_crypt /dev/disk/by-uuid/6890f6a7-4bbb-4683-b023-6f02ebb8b477  none luks

hda5_crypt /dev/disk/by-uuid/ 6890f6a7-4bbb-4683-b023-6f02ebb8b477 none luks

Code: Alles auswählen

Eigentlich sehr einfach, wenn es mal verstanden ist.

Gruss

hackbox

[Kokopelli]

Also läuft es jetzt?

[hackbox]

Hallo Kokopelli,

auch wenn Du mich jetzt vieleicht für total blöd hälst - ich denke ich habe es verstanden - mein Rechner nicht.

Der Kernel bootet und dann kommt das:

Code: Alles auswählen

Setting up cryptographic volume hda5_crypt (based on /dev/disk/by-uuid/6890f6a7.............)

cryptsetup: Source device /dev/disk/by-uuid/6890f6a7........   not found

und nun das Beste:

ALERT! /dev/mapper/xxx-root does not existjavascript:emoticon('8O')

Nun bin ich völlig verwirrt. Was hat die Kiste?
javascript:emoticon('')


gruss

hackbox

[Kokopelli]

Naja,entweder hast Du Dich bei der uuid vertippt oder irgendetwas liegt bei Deinem Rechner sehr im argen...

[hackbox]

Hallo Kokopelli,

alldieweil ich die uuid mittels copy&paste (Faulheit stärkt die Glieder) übernommen habe, tippe ich auf Letzteres.javascript:emoticon('8)')

Leider habe ich keine Ahnung was da im Argen liegt.javascript:emoticon(':?')


Werde wohl versuchen müssen auf der Froscon bei den Debianern nach der Lösung zu suchen.

Auf jeden fall Danke und ggf. sehen wir uns in Bonn?javascript:emoticon('')

Gruss

hackbox