LUKS Verschlüsselung ein paar Fragen - entschlüsseln beim Boot ohne Passwortabfrage

Dieses Thema im Forum "RedHat,Fedora & CentOS" wurde erstellt von Vega82, 17.02.2012.

  1. Vega82

    Vega82 Jungspund

    Dabei seit:
    17.02.2012
    Beiträge:
    19
    Zustimmungen:
    0
    Ich habe mich schon hier und da belesen, sehe aber noch nicht so richtig durch.

    Mein System ist ein aktuelles CentOS 6.2 mit 3 mdraid Partitionen (boot,swap,root)
    swap und root sind verschlüsselt.

    Nun meine Frage:
    Kann ich irgendwie booten, ohne dass eine Passwortabfrage zum Entschlüsseln kommt??
    Habe gestern ewig rumprobiert mit

    cryptsetup luksAddKey /dev/sda1 /root/key

    dann /etc/cryptab editiert

    luks-xxxxxxxxxxxxxxxxxx UUID=xxxxxxxxxxxxxxxxxxx /root/key

    aber das brachte nix.
    Bis mir auffiel, dass das wohl auch gar nicht gehen kann, da root selbst (wo der Schlüssel liegt) ja auch verschlüsselt ist und so gar nicht gelesen werden kann.
    Ist das richtig so?
    Und wie kann ich es dann umsetzen??
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 schwedenmann, 17.02.2012
    schwedenmann

    schwedenmann Foren Gott

    Dabei seit:
    18.11.2003
    Beiträge:
    2.635
    Zustimmungen:
    2
    Ort:
    Wegberg
    Hallo

    Es gibt im Netzt einige Anleitungen, das PW als Passphrase auf einem USB-Strick zu speichern und dann so während des Bootens zu entschlüsseln. Mit LuksAdd fügst du nur einen alternatives 2. Passwort hinzu, oder beliebige Anzahl von Zusatzpaßwörtern,
    wenn du das Erste mal vergißt.
    Google mal nach Vehschlüsselung mit Luks, oder Luks und Passphrase auf USB.

    mfg
    schwedenmann

    P.S.
    Ich würde das mit dem USB aber auf einemTestrechner erst testen, dabei auf jedenfall 2 PW anlegen.
     
  4. #3 xbeduine, 17.02.2012
    xbeduine

    xbeduine ausgesperrt

    Dabei seit:
    09.09.2007
    Beiträge:
    142
    Zustimmungen:
    0
    Welche UUID hast du in der cryptab? Die von der Disk oder die vom mapper?
     
  5. Vega82

    Vega82 Jungspund

    Dabei seit:
    17.02.2012
    Beiträge:
    19
    Zustimmungen:
    0
    Also es funktioniert soweit ja alles...ich hatte nen Denkfehler.
    root muß ja erstmal per PW entschlüsselt werden, um dann die anderen per crypttab automatisch zu entschlüsseln.

    Nun möchte ich aber gern, dass ich das LUKS Passwort für root eingeben kann ohne vorm PC zu sitzen, sprich per SSH.
    Leider scheitere ich da noch. Für CentOS 5.4 gibts ne Anleitung inkl. mkinitrd patch, die funzt für das 6er aber nicht mehr.
    Alle anderen Anleitungen im Web sind für Debian oder Ubuntu und nicht adaptierbar.

    Hat da jemand vielleicht noch bissl Input für mich?

    Ich war jetzt schon soweit, dass ich Dropbear inkl. libs ins Bootimage gepackt habe. Allerdings habe ich keinen Plan wie ich es jetzt lauffähig dort einbinde, dass es gestartet wird.
     
  6. Psyjo

    Psyjo Routinier

    Dabei seit:
    15.11.2005
    Beiträge:
    259
    Zustimmungen:
    0
    Ort:
    Hinter'm Berg
    Im Prinzip reicht es ja die Daten zu verschlüsseln. Das Betriebssystem allein kann auch unverschlüsselt auf der Platte liegen. Nach dem Boot muss dann nur das md entsperrt und die Dienste gestartet werden.
    In etwas so hatte ich das mal auf einem Rechner auf dem ich nur /home verschlüsselt habe.
     
  7. Vega82

    Vega82 Jungspund

    Dabei seit:
    17.02.2012
    Beiträge:
    19
    Zustimmungen:
    0
    Das ist wenig zieleführend. Secure ist nur ein komplett abgeschlossenes System.
    In deinem Fall ist es kein Problem von außen an den Root Login zu kommen und von dort gibts sicher Mittel und Wege LUKS zu knacken.
     
  8. #7 karloff, 22.02.2012
    karloff

    karloff Routinier

    Dabei seit:
    09.07.2007
    Beiträge:
    317
    Zustimmungen:
    0
    Ort:
    ~/
    Also, so wie du dir das vorstellst wird es sicher nicht gehen, wie willst du z.B. ssh starten bevor / eingehängt bzw. entschlüsselt ist?
    Das einzige was ggf. gehen würde wäre RS232 Session.
    Oder du bootest von nem USB stick entschlüsselst und chrootest dich dann ins eigentlich System.
    Alles nicht so das Wahre wenn du mich fragst...
     
  9. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  10. Vega82

    Vega82 Jungspund

    Dabei seit:
    17.02.2012
    Beiträge:
    19
    Zustimmungen:
    0
    Indem ich ssh und ifconfig ins initramfs implementiere.
    Nur leider will das wohl nicht so einfach funktionieren...
     
  11. Vega82

    Vega82 Jungspund

    Dabei seit:
    17.02.2012
    Beiträge:
    19
    Zustimmungen:
    0
    BTW hab ich das mal probiert. /opt als extra Partition verschlüsselt und eingemountet.
    Gleicher Effekt beim Booten, die Passwortabfrage kommt vor den Laden von network und ssh deamon.
     
Thema:

LUKS Verschlüsselung ein paar Fragen - entschlüsseln beim Boot ohne Passwortabfrage

Die Seite wird geladen...

LUKS Verschlüsselung ein paar Fragen - entschlüsseln beim Boot ohne Passwortabfrage - Ähnliche Themen

  1. [Debian Lenny] LVM und Verschlüsselung "luks"

    [Debian Lenny] LVM und Verschlüsselung "luks": Hi, ich habe vor ein bestehenden File Server ein wenig umzurüsten, da zum einen das Problem besteht, dass immer eine Festplatte voll wird...
  2. Kurztipp: LUKS mit Rettungssystem öffnen

    Kurztipp: LUKS mit Rettungssystem öffnen: Auf Partitionen, die mit dem Linux Unified Key Setup (LUKS) verschlüsselt sind, kann man im Notfall auch mit einem Live-System zugreifen. Nötig...
  3. Luks keyfile over ssh

    Luks keyfile over ssh: Moin, will mir ein script basteln um auf meinem Homeserver die Luks partionen aufzuschließen via keyfile welches sich nicht auf dem Rechner...
  4. Fedora15 Luks broken?

    Fedora15 Luks broken?: Moin, nach einem preupgrade von 14 auf 15 ist angeblich meine Luks-partition broken. gemountet wird das ganze wie folgt: cat /etc/crypttab...
  5. Partition in luks + lvm mounten, wie ?

    Partition in luks + lvm mounten, wie ?: Hallo Ist noch früh, vielleicht liegt es daran, das ich den wald vor bäumen nicht sehe. Problem: Ich muß zu Sicherungszwecken eine...