LUKS Verschlüsselung ein paar Fragen - entschlüsseln beim Boot ohne Passwortabfrage

[Vega82]

Ich habe mich schon hier und da belesen, sehe aber noch nicht so richtig durch.

Mein System ist ein aktuelles CentOS 6.2 mit 3 mdraid Partitionen (boot,swap,root)
swap und root sind verschlüsselt.

Nun meine Frage:
Kann ich irgendwie booten, ohne dass eine Passwortabfrage zum Entschlüsseln kommt??
Habe gestern ewig rumprobiert mit

cryptsetup luksAddKey /dev/sda1 /root/key

dann /etc/cryptab editiert

luks-xxxxxxxxxxxxxxxxxx UUID=xxxxxxxxxxxxxxxxxxx /root/key

aber das brachte nix.
Bis mir auffiel, dass das wohl auch gar nicht gehen kann, da root selbst (wo der Schlüssel liegt) ja auch verschlüsselt ist und so gar nicht gelesen werden kann.
Ist das richtig so?
Und wie kann ich es dann umsetzen??

 

[schwedenmann]

Hallo

Es gibt im Netzt einige Anleitungen, das PW als Passphrase auf einem USB-Strick zu speichern und dann so während des Bootens zu entschlüsseln. Mit LuksAdd fügst du nur einen alternatives 2. Passwort hinzu, oder beliebige Anzahl von Zusatzpaßwörtern,
wenn du das Erste mal vergißt.
Google mal nach Vehschlüsselung mit Luks, oder Luks und Passphrase auf USB.

mfg
schwedenmann

P.S.
Ich würde das mit dem USB aber auf einemTestrechner erst testen, dabei auf jedenfall 2 PW anlegen.

 

[xbeduine]

Welche UUID hast du in der cryptab? Die von der Disk oder die vom mapper?

 

[Vega82]

Also es funktioniert soweit ja alles...ich hatte nen Denkfehler.
root muß ja erstmal per PW entschlüsselt werden, um dann die anderen per crypttab automatisch zu entschlüsseln.

Nun möchte ich aber gern, dass ich das LUKS Passwort für root eingeben kann ohne vorm PC zu sitzen, sprich per SSH.
Leider scheitere ich da noch. Für CentOS 5.4 gibts ne Anleitung inkl. mkinitrd patch, die funzt für das 6er aber nicht mehr.
Alle anderen Anleitungen im Web sind für Debian oder Ubuntu und nicht adaptierbar.

Hat da jemand vielleicht noch bissl Input für mich?

Ich war jetzt schon soweit, dass ich Dropbear inkl. libs ins Bootimage gepackt habe. Allerdings habe ich keinen Plan wie ich es jetzt lauffähig dort einbinde, dass es gestartet wird.

 

[Psyjo]

Im Prinzip reicht es ja die Daten zu verschlüsseln. Das Betriebssystem allein kann auch unverschlüsselt auf der Platte liegen. Nach dem Boot muss dann nur das md entsperrt und die Dienste gestartet werden.
In etwas so hatte ich das mal auf einem Rechner auf dem ich nur /home verschlüsselt habe.

 

[Vega82]

Das ist wenig zieleführend. Secure ist nur ein komplett abgeschlossenes System.
In deinem Fall ist es kein Problem von außen an den Root Login zu kommen und von dort gibts sicher Mittel und Wege LUKS zu knacken.

 

[karloff]

Also, so wie du dir das vorstellst wird es sicher nicht gehen, wie willst du z.B. ssh starten bevor / eingehängt bzw. entschlüsselt ist?
Das einzige was ggf. gehen würde wäre RS232 Session.
Oder du bootest von nem USB stick entschlüsselst und chrootest dich dann ins eigentlich System.
Alles nicht so das Wahre wenn du mich fragst...

 

[Vega82]

Indem ich ssh und ifconfig ins initramfs implementiere.
Nur leider will das wohl nicht so einfach funktionieren...

 

[Vega82]

Im Prinzip reicht es ja die Daten zu verschlüsseln. Das Betriebssystem allein kann auch unverschlüsselt auf der Platte liegen. Nach dem Boot muss dann nur das md entsperrt und die Dienste gestartet werden.
In etwas so hatte ich das mal auf einem Rechner auf dem ich nur /home verschlüsselt habe.

BTW hab ich das mal probiert. /opt als extra Partition verschlüsselt und eingemountet.
Gleicher Effekt beim Booten, die Passwortabfrage kommt vor den Laden von network und ssh deamon.