Discussion:
[gentoo-user-de] Systemd und mit LUKS verschlüsselte home-Partition
(zu alt für eine Antwort)
Uwe Scholz
2014-10-10 19:50:02 UTC
Permalink
Hallo Gentoo-Nutzer,

da hier gerade systemd durch die Runde geht, habe ich dazu auch eine
Frage: Hat hier schon jemand erfolgreich auf systemd umgestellt, wobei
die home-Partition über Luks verschlüsselt ist?

Ich verwende diese Konfiguration _ohne_ Benutzung von LVM oder RAID auf
meinem Thinkpad T400 und bin vor einigen Wochen an der Umstellung auf
systemd mittels der Anleitung in http://wiki.gentoo.org/wiki/Systemd
gescheitert.

Zwar startete systemd einige Services beim Booten, und auch die
Aufforderung zur Eingabe meines Passwortes zum Entschlüsseln der
home-Partition während des Boot-Vorgangs erschien kurz. Allerdings
ratterten kurz danach viele Fehlermeldungen über den Bildschirm. Ich
kann mich noch erinnern, dass dann immer 30 Sekunden runtergezählt
wurden, mit der Meldung, dass auf irgendeinen Prozess (Luks?) gewartet
wird. Die Eingabe des Passwortes an dieser Stelle hat aber nichts
gebracht, der Countdown lief trotzdem weiter. Schließlich brach der
ganze Boot-Prozess in sich zusammen und ich konnte mich auch nicht als
root in eine Shell einloggen. Schließlich half immer nur ein Reboot über
die Power-Taste des Notebooks.

Leider kann ich an dieser Stelle nicht mehr die Fehlermeldung genau
wiedergeben, da alles schon eine Weile zurückliegt. Aber für den Fall,
dass ich mal Gnome testen möchte, währe systemd wohl unumgänglich und
ich würde es doch noch irgendwann gerne einmal hin bekommen.

Weiß irgendjemand Rat? Währe eine komplette Neuinstallation meines
Systems sinnvoll, mit systemd und Luks von Anfang an? Wer kann dazu
Tipps geben?

Viele Grüße und danke schon mal für jedwede Hilfe.
Uwe
Ralf
2014-10-10 22:10:03 UTC
Permalink
Hi Uwe,

ich verwende Gentoo ~amd64 unstable mit systemd + Luks.

Ich verschlüssel auch meine Root Partition. Grub kann nämlich LUKS
sprechen und den Kernel von einer gecrypteten Platte laden.
Somit ist der Bootloader der einzig unverschlüsselte Teil auf meiner Kiste.
Grub lädt dann von der gecrypteten Root Partition den Kernel und eine
initrd, welche nen Key für die Root Partition beinhaltet, um weitere
Passworteingaben zu vermeiden.

Meine Crypttab enthält dann meine Home Partition (auch mit Keyfile),
welche dann autom. von systemd eingemounted wird (spannenderweise alles
in der richtigen Reihenfolge).

Ohne eine weitere unnütze Diskussion lostreten zu wollen: Ganz
freiwillig verwende ich systemd nicht.
Da ich ein Gentoo Unstable Mensch bin, und ziemlich viel gnome-backend
verwende (gdm z.B.) bin ich aber leider darauf angewiesen...

Mein Tipp für dich wär evtl. auch Keyfiles + CryptoRoot + Grub Luks zu
verwenden.
Ich hab schon öfter gehört, dass Systemd und interaktive Eingaben
angeblich keine großen Freunde sein sollen.

Cheers
Ralf
Post by Uwe Scholz
Hallo Gentoo-Nutzer,
da hier gerade systemd durch die Runde geht, habe ich dazu auch eine
Frage: Hat hier schon jemand erfolgreich auf systemd umgestellt, wobei
die home-Partition über Luks verschlüsselt ist?
Ich verwende diese Konfiguration _ohne_ Benutzung von LVM oder RAID auf
meinem Thinkpad T400 und bin vor einigen Wochen an der Umstellung auf
systemd mittels der Anleitung in http://wiki.gentoo.org/wiki/Systemd
gescheitert.
Zwar startete systemd einige Services beim Booten, und auch die
Aufforderung zur Eingabe meines Passwortes zum Entschlüsseln der
home-Partition während des Boot-Vorgangs erschien kurz. Allerdings
ratterten kurz danach viele Fehlermeldungen über den Bildschirm. Ich
kann mich noch erinnern, dass dann immer 30 Sekunden runtergezählt
wurden, mit der Meldung, dass auf irgendeinen Prozess (Luks?) gewartet
wird. Die Eingabe des Passwortes an dieser Stelle hat aber nichts
gebracht, der Countdown lief trotzdem weiter. Schließlich brach der
ganze Boot-Prozess in sich zusammen und ich konnte mich auch nicht als
root in eine Shell einloggen. Schließlich half immer nur ein Reboot über
die Power-Taste des Notebooks.
Leider kann ich an dieser Stelle nicht mehr die Fehlermeldung genau
wiedergeben, da alles schon eine Weile zurückliegt. Aber für den Fall,
dass ich mal Gnome testen möchte, währe systemd wohl unumgänglich und
ich würde es doch noch irgendwann gerne einmal hin bekommen.
Weiß irgendjemand Rat? Währe eine komplette Neuinstallation meines
Systems sinnvoll, mit systemd und Luks von Anfang an? Wer kann dazu
Tipps geben?
Viele Grüße und danke schon mal für jedwede Hilfe.
Uwe
Jens Kasten
2014-10-11 12:20:02 UTC
Permalink
Am Sat, 11 Oct 2014 00:02:52 +0200
Post by Ralf
Hi Uwe,
ich verwende Gentoo ~amd64 unstable mit systemd + Luks.
Ich verschlüssel auch meine Root Partition. Grub kann nämlich LUKS
sprechen und den Kernel von einer gecrypteten Platte laden.
Also grub kann nicht direkt von einer verschluesselten Platte lesen.
Diese muss erst entschluesselt werden ansonsten waere die
Verschlüsselung nicht ganz vollständing :D
Post by Ralf
Somit ist der Bootloader der einzig unverschlüsselte Teil auf meiner
Kiste. Grub lädt dann von der gecrypteten Root Partition den Kernel
und eine initrd, welche nen Key für die Root Partition beinhaltet, um
weitere Passworteingaben zu vermeiden.
Darf jeder der physischen Zugang zu deinen Rechner hat kann ihn booten
und benutzten. Ich hoffe, dass du beim Laptop dieses nicht praktizierst.
Post by Ralf
Meine Crypttab enthält dann meine Home Partition (auch mit Keyfile),
welche dann autom. von systemd eingemounted wird (spannenderweise
alles in der richtigen Reihenfolge).
Ohne eine weitere unnütze Diskussion lostreten zu wollen: Ganz
freiwillig verwende ich systemd nicht.
Da ich ein Gentoo Unstable Mensch bin, und ziemlich viel gnome-backend
verwende (gdm z.B.) bin ich aber leider darauf angewiesen...
Mein Tipp für dich wär evtl. auch Keyfiles + CryptoRoot + Grub Luks zu
verwenden.
Ich hab schon öfter gehört, dass Systemd und interaktive Eingaben
angeblich keine großen Freunde sein sollen.
Cheers
Ralf
Post by Uwe Scholz
Hallo Gentoo-Nutzer,
da hier gerade systemd durch die Runde geht, habe ich dazu auch eine
Frage: Hat hier schon jemand erfolgreich auf systemd umgestellt,
wobei die home-Partition über Luks verschlüsselt ist?
Ich verwende diese Konfiguration _ohne_ Benutzung von LVM oder RAID
auf meinem Thinkpad T400 und bin vor einigen Wochen an der
Umstellung auf systemd mittels der Anleitung in
http://wiki.gentoo.org/wiki/Systemd gescheitert.
Zwar startete systemd einige Services beim Booten, und auch die
Aufforderung zur Eingabe meines Passwortes zum Entschlüsseln der
home-Partition während des Boot-Vorgangs erschien kurz. Allerdings
ratterten kurz danach viele Fehlermeldungen über den Bildschirm. Ich
kann mich noch erinnern, dass dann immer 30 Sekunden runtergezählt
wurden, mit der Meldung, dass auf irgendeinen Prozess (Luks?)
gewartet wird. Die Eingabe des Passwortes an dieser Stelle hat aber
nichts gebracht, der Countdown lief trotzdem weiter. Schließlich
brach der ganze Boot-Prozess in sich zusammen und ich konnte mich
auch nicht als root in eine Shell einloggen. Schließlich half immer
nur ein Reboot über die Power-Taste des Notebooks.
Leider kann ich an dieser Stelle nicht mehr die Fehlermeldung genau
wiedergeben, da alles schon eine Weile zurückliegt. Aber für den
Fall, dass ich mal Gnome testen möchte, währe systemd wohl
unumgänglich und ich würde es doch noch irgendwann gerne einmal hin
bekommen.
Weiß irgendjemand Rat? Währe eine komplette Neuinstallation meines
Systems sinnvoll, mit systemd und Luks von Anfang an? Wer kann dazu
Tipps geben?
Viele Grüße und danke schon mal für jedwede Hilfe.
Uwe
Ralf
2014-10-11 20:50:01 UTC
Permalink
Hi,
Post by Jens Kasten
Am Sat, 11 Oct 2014 00:02:52 +0200
Post by Ralf
Hi Uwe,
ich verwende Gentoo ~amd64 unstable mit systemd + Luks.
Ich verschlüssel auch meine Root Partition. Grub kann nämlich LUKS
sprechen und den Kernel von einer gecrypteten Platte laden.
Also grub kann nicht direkt von einer verschluesselten Platte lesen.
Diese muss erst entschluesselt werden ansonsten waere die
Verschlüsselung nicht ganz vollständing :D
Ja klar, mit "Grub kann Luks sprechen" hab ich das auch nicht bestritten.
Natürlich hat Grub erst nach dem Unlocken eines Keyslots Zugriff darauf.
Post by Jens Kasten
Post by Ralf
Somit ist der Bootloader der einzig unverschlüsselte Teil auf meiner
Kiste. Grub lädt dann von der gecrypteten Root Partition den Kernel
und eine initrd, welche nen Key für die Root Partition beinhaltet, um
weitere Passworteingaben zu vermeiden.
Darf jeder der physischen Zugang zu deinen Rechner hat kann ihn booten
und benutzten. Ich hoffe, dass du beim Laptop dieses nicht praktizierst.
Nein, du hast da etwas falsch verstanden? Jeder der physischen Zugang zu
meinem Rechner hat, kann im Bootloader versuchen den Slot zu unlocken.

Nochmal:
1. Unlocken der Root Partition mit Passphrase in Grub
2. Laden des Kernel von der Root Partition.
3. Laden der Initrd von der Root Partition (welche eine Keyfile für die
selbe Luks Partition beinhaltet)
4. Booten

Ohne Zugang zur Root Partition hast du auch keinen Zugang zum Kernel
oder zur Ramdisk.

Cheers

Loading...