Autor Thema: [HowTo]System mit Komplettverschlüsselung (LUKS+LVM) um Speichermedien erweitern  (Gelesen 5852 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 598
  • Dankeschön: 27 mal
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03)
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz
  • Skill: Fortgeschritten
  • Zweig: stable
Hier beschreibe ich, wie man ein Manjaro-System mit Komplettverschlüsselung (mit LUKS und LVM) um Speichermedien (ebenfalls mit LUKS verschlüsselt) erweitern kann. Der Anlass dafür war die Frage von Cheffe hier: Re: Komplettverschlüsselung mit LUKS und natürlich mein eigenes Interesse.

Das neue Speichermedium (z.B. Festplatte) wird zuerst verschlüsselt, dann wird eine Schlüsseldatei im bereits verschlüsselten Hauptsystem angelegt (damit man dann beim Booten keine zwei Passwörter eingeben muss) und das "Logische Volumen" (LV) "home" (also die virtuelle Home-Partition aus der LVM-Gruppe) wird auf das neue Speichermedium ausgedehnt.

1. Aktuellen Status ermitteln

1.1 Geräte und Partitionen:
$ lsblk
NAME           MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
fd0              2:0    1    4K  0 disk 
sda              8:0    0   10G  0 disk 
├─sda1           8:1    0  243M  0 part  /boot
└─sda2           8:2    0  9,8G  0 part 
  └─lukssda2   254:0    0  9,8G  0 crypt
    ├─cvg-swap 254:1    0  512M  0 lvm   [SWAP]
    ├─cvg-root 254:2    0    8G  0 lvm   /
    └─cvg-home 254:3    0  1,3G  0 lvm   /home
sdb              8:16   0   10G  0 disk 
sr0             11:0    1  624M  0 rom
Die neue Platte ist auf /dev/sdb und die verschlüsselte Partition ist unter /dev/mapper/lukssda2 eingehängt.

1.2 Verschlüsselung:
$ sudo cryptsetup status /dev/mapper/lukssda2
[sudo] password for sam:
/dev/mapper/lukssda2 is active and is in use.
  type:    LUKS1
  cipher:  aes-xts-plain64
  keysize: 512 bits
  device:  /dev/sda2
  offset:  4096 sectors
  size:    20467712 sectors
  mode:    read/write
Die Verschlüsselung ist hier anders als in meiner Anleitung unter Re: Komplettverschlüsselung mit LUKS. (siehe 2.2 Neue Partition verschlüsseln).


2. Neues Speichermedium mit LUKS verschlüsseln

2.1 Root werden:
$ sudo -s
2.2 Partitionstabelle und Partition erstellen
# parted /dev/sdb mklabel msdos
# parted /dev/sdb mkpart primary 1 100%
Mit dem letzten Befehl wird der gesamte Plattenspeicher einer Partition zugeordnet.

2.3 Partition mit Zufallsdaten überschreiben
Das kann je nach Größe der Partition mehrere Stunden, sogar Tage dauern, sollte aber aus Sicherheitsgründen gemacht werden, da dadurch das Knacken der Verschlüsselung enorm erschwert wird.
# dd if=/dev/urandom of=/dev/sdb1
Jetzt warten und Däumchen drehen.

2.4 Partition verschlüsseln (beachte die Verschlüsselungsmethode)
# cryptsetup -c aes-xts-plain64 -s 512 luksFormat /dev/sdb1
2.5 Erstellen einer Schlüsseldatei
# dd if=/dev/urandom of=/etc/cryptkey_sdb1 bs=4M count=1
2.6 Schlüsseldatei der neuen Partition zuweisen
# cryptsetup luksAddKey /dev/sdb1 /etc/cryptkey_sdb1
2.7 Schlüsseldatei vor Fremdzugriff schützen
# chmod 0400 /etc/cryptkey_sdb1
# ls -l /etc/cryptkey_sdb1
-r-------- 1 root root 4194304 31.01.2014 12:32 /etc/cryptkey_sdb1
Für die Verschlüsselung habe ich den gleichen Algorithmus und die gleiche Schlüssellänge gewählt, wie bei der System-Partition. Ob und wie gut das mit unterschiedlichen Verschlüsselungsmethoden funktioniert, habe ich nicht getestet.

2.8 LUKS-Partition mit Schlüssel öffnen
Vor dem Öffnen:# lsblk | grep sdb
sdb              8:16   0   10G  0 disk 
└─sdb1           8:17   0   10G  0 part
Öffnen:
# cryptsetup -d /etc/cryptkey_sdb1 luksOpen /dev/sdb1 lukssdb1Nach dem Öffnen:
# lsblk | grep sdb
sdb              8:16   0   10G  0 disk 
└─sdb1           8:17   0   10G  0 part 
  └─lukssdb1   254:4    0   10G  0 crypt


3. LVM erweitern

3.1 VG (Volumengruppe) erweitern
# vgextend cvg /dev/mapper/lukssdb1
3.2 LV (Logisches Volumen) erweitern
# lvextend -l 100%free /dev/cvg/home /dev/mapper/lukssdb1
Das Ergebins sieht dann so aus:
# lsblk
NAME           MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT
fd0              2:0    1    4K  0 disk 
sda              8:0    0   10G  0 disk 
├─sda1           8:1    0  243M  0 part  /boot
└─sda2           8:2    0  9,8G  0 part 
  └─lukssda2   254:0    0  9,8G  0 crypt
    ├─cvg-swap 254:1    0  512M  0 lvm   [SWAP]
    ├─cvg-root 254:2    0    8G  0 lvm   /
    └─cvg-home 254:3    0   10G  0 lvm   /home
sdb              8:16   0   10G  0 disk 
└─sdb1           8:17   0   10G  0 part 
  └─lukssdb1   254:4    0   10G  0 crypt
    └─cvg-home 254:3    0   10G  0 lvm   /home
sr0             11:0    1  624M  0 rom
# df -h | grep home
/dev/mapper/cvg-home  1,3G    7,2M  1,2G    1% /home
Wie man hier in den Ausgaben sehen kann, wurde die neue Partition zwar eingebunden, das Home-Verzeichnis ist aber immernoch so klein wie davor, also muss noch das Dateisystem an die neue Größe angepasst werden.
Dafür muss /home zuerst ausgehängt werden und das geht nicht, wenn man als Benutzer eingeloggt ist.

Also melde ich mich von der Grafischen Oberfläche ab, wechsle mit der Tastenkombination <Strg><Alt><F2> in den Textmodus (tty2) und logge mich als root ein.
Wer nicht in den Textmodus wechseln kann oder kein root-Passwort hat, kann das System von einem Live-Medium starten und von da dann das installierte System einbinden, wie unter Re: Komplettverschlüsselung mit LUKS unter "Fehlersuche" beschrieben.

Jetzt kann die Home-Partition ausgehängt und das Dateisystem vergrößert werden.
# umount /home
# e2fsck -f /dev/cvg/home
# resize2fs /dev/cvg/home # mount /home
# df -h | grep home
/dev/mapper/cvg-home  9,9G    8,1M  9,3G    1% /home
Die home-Partition ist nun über beide Platten verteilt.

Anmerkung:
Alternativ zu 3.3 kann man natürlich auch ein neues LV erstellen (siehe lvcreate) und dieses dann separat mounten (siehe /etc/fstab oder den Mount-Befehl in die Datei /etc/rc.local schreiben).


4. System startfähig machen

Das System ist jetzt noch nicht startfähig. (Die Suche nach der Ursache dafür hat mich beinahe zur Verzweifelung gebracht. Heute morgen war die Freude umso größer, als ich die Ursache feststellen konnte mir auch eine Lösung einfiel.)
Beim Booten funktioniert das Einbinden des LVM nicht. Das lvm2-Hook-Script startet den Systemdienst lvmetad und dieser unterbricht den Boot-Prozess. Das liegt vermutlich daran, dass nur eine Platte eingehängt ist, die logische home-Partition aber zwei Platten braucht. (Ob das bei einem separaten LV auch passieren würde, habe ich nicht getestet)

4.1 Hook erstellen
Also habe ich ein einfaches Hook-Script zum Einbinden des LVM geschrieben, mit dem es dann funktioniert:
# cd /usr/lib/initcpio/
# cp install/lvm2 install/lvm-root
# nano hooks/lvm-root
Der Inhalt des lvm-root-Hook-Scripts sieht so aus:
#!/usr/bin/ash

run_hook() {
    lvm vgscan --mknodes
    lvm vgchange -ay
}

# vim: set ft=sh ts=4 sw=4 et:
(Eine Anleitung zum Erstellen von Init-Hooks habe ich hier gefunden: https://wiki.archlinux.org/index.php/mkinitcpio#HOOKS)

Damit der Hook beim Booten gestartet wird, muss er in die /etc/mkinitcpio.conf unter "HOOKS" eingetragen werden:
# nano /etc/mkinitcpio.confDanach sieht die HOOKS-Zeile so aus:
HOOKS="base udev autodetect block modconf keyboard keymap encrypt lvm-root filesystems fsck"(beachte Reihenfolge)

Jetzt noch das Start-Image erstellen:
# mkinitcpio -p linux310
Bei einer anderen Kernelversion als 3.10, könnt Ihr unter /etc/mkinitcpio.d/ schauen, welche der Preset-Dateien zu Eurem Kernel passt und diese dann im obigen Befehl (ohne die Endung .preset) nutzen.

4.2 Neue Platte und home-Partition beim Systemstart einbinden
Wenn man jetzt einen System-Neustart versuchen würde, würde das System zwar hochfahren, aber die neue Platte und somit auch die home-Partition wären nicht eingebunden. Das heißt, man wäre nicht in der Lage, sich als Benutzer einzuloggen.
Um dieses Problem zu lösen kann man die notwendigen Befehle zum Einbinden der Platte und der home-Partition in die Datei /etc/rc.local schreiben.
Öffnen mit
# nano /etc/rc.localund diese um folgende Zeilen erweitern:
cryptsetup -d /etc/cryptkey_sdb1 luksOpen /dev/sdb1
vgchange -ay
mount /home

Fertig.
Das war's. Damit sollte das System jetzt wieder voll funktionsfähig sein, mit zusätzlicher verschlüsselter Platte.

(Hoffe, dass ich nichts vergessen habe. :)))
« Letzte Änderung: 17. Februar 2015, 12:33:22 von sam »
Folgende Mitglieder bedankten sich: ichnichtdu

Offline Ocsej

  • Held Mitglied
  • *****
  • Beiträge: 580
  • Dankeschön: 2 mal
  • Ocsej
  • Desktop: Openbox /-Laptop Openbox
  • Grafikkarte: Desktoprechner nVidia Geforce 8500 GT / Laptop ATI Mobility RADEON HD 3470
  • Grafikkartentreiber: Desktop Rechner nVidia-free / Laptop ATI-free
  • Kernel: 4.1.6-1-ARCH /-64bit
  • Prozessor: Desktop Rechner (HP) AMD 5600 / Laptop Acer Aspire 5530G QL60 1,9GHz
  • Skill: Durchschnitt
  • Zweig: ARCH /-Stable
Hi sam,

wenn ich es je mal so drauf habe wir Du oder nur die hälfte, dann wäre ich schon froh! :)

Mal eine andere frage,
da ich ja mich nicht überwinden kann meine so gut laufenden Systeme neu auf zu setzen, kann ich mein System eigentlich nachträglich in ein LVM und mit LUKE zu verschlüsseln?
Sonst würde ich es erstmal nur verschlüsseln, was sagts Du?

Ocsej

Deutscher Manjaro IRC Channel auf Freenode #manjaro-de

ARCH /-64bit installiert.

Ocsej

Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 598
  • Dankeschön: 27 mal
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03)
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz
  • Skill: Fortgeschritten
  • Zweig: stable
Hi Ocsej,

Zitat
wenn ich es je mal so drauf habe wir Du oder nur die hälfte, dann wäre ich schon froh! :)
Danke für's Kompliment. :)

Zitat
kann ich mein System eigentlich nachträglich in ein LVM und mit LUKE zu verschlüsseln?
Man kann keine Partition mit LUKS verschlüsseln, ohne alle vorhandenen Daten darauf zu löschen.

Du könntest aber vor der Verschlüsselung ein Backup machen und die Daten danach wieder in das verschlüsselte System reinkopieren.
Dabei musst Du aber beachten, dass danach einiges angepasst werden muss, wie z.B. die fstab, das initcpio-image und die GRUB2-Konfiguration.

Bisher habe ich es aber so gemacht, dass ich nur ein Backup von den Verzeichnissen /home und /etc gemacht und das System neu installiert habe. Wenn dann was nicht funktioniert, kann man die Konfigurationsdateien vergleichen oder die neuen mit den alten Dateien ersetzen.

Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 598
  • Dankeschön: 27 mal
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03)
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz
  • Skill: Fortgeschritten
  • Zweig: stable
Zitat
Man kann keine Partition mit LUKS verschlüsseln, ohne alle vorhandenen Daten darauf zu löschen.
Fehlinformation! Sorry!  :-[

Mit cryptsetup-reencrypt sollte es möglich sein, Partitionen ohne Datenverlust mit LUKS zu verschlüsseln.
(Habe es aber noch nicht getestet.)

Demnach könntest Du zumindest bestehende Partitionen verschlüsseln können und den freien Speicher mit Zufallsdaten überschreiben.
Eine bestehende Partition in ein LVM umzuwandeln wird jedoch nicht ohne Datenverlust möglich sein.

Offline Ocsej

  • Held Mitglied
  • *****
  • Beiträge: 580
  • Dankeschön: 2 mal
  • Ocsej
  • Desktop: Openbox /-Laptop Openbox
  • Grafikkarte: Desktoprechner nVidia Geforce 8500 GT / Laptop ATI Mobility RADEON HD 3470
  • Grafikkartentreiber: Desktop Rechner nVidia-free / Laptop ATI-free
  • Kernel: 4.1.6-1-ARCH /-64bit
  • Prozessor: Desktop Rechner (HP) AMD 5600 / Laptop Acer Aspire 5530G QL60 1,9GHz
  • Skill: Durchschnitt
  • Zweig: ARCH /-Stable
danke sam,

für Deine Antwort so ähnlich hatte ich es mir schon gedacht dass das nicht ohne weiteres geht.

Ich gucke mir das Programm mal an, und ob das Programm den freien Speicher mit Zufallsdaten automatisch überschreibt.

Ocsej
 
Deutscher Manjaro IRC Channel auf Freenode #manjaro-de

ARCH /-64bit installiert.

Ocsej

Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 598
  • Dankeschön: 27 mal
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03)
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz
  • Skill: Fortgeschritten
  • Zweig: stable
Zitat
... ob das Programm den freien Speicher mit Zufallsdaten automatisch überschreibt.
Das wirst Du nachträglich manuell machen müssen.
Zum Beispiel so:
Du wechselst im Terminal-Fenster in das Verzeichnis, unter dem die verschlüsselte Partition eingehängt ist und gibst als root-User folgenden Befehl ein:
dd if=/dev/urandom of=fill.imgDamit wird eine Datei erstellt, die den gesamten freien Speicher füllt. Wenn der Speicher voll ist, bricht dd mit einer Fehlermeldung ab. Wie in meiner Anleitung oben bereits erwähnt, kann dieser Vorgang sehr lange dauern.
Danach kannst Du mit df -h prüfen, ob die Partition voll ist und löschst die Datei wieder mit
rm fill.img

Offline Ocsej

  • Held Mitglied
  • *****
  • Beiträge: 580
  • Dankeschön: 2 mal
  • Ocsej
  • Desktop: Openbox /-Laptop Openbox
  • Grafikkarte: Desktoprechner nVidia Geforce 8500 GT / Laptop ATI Mobility RADEON HD 3470
  • Grafikkartentreiber: Desktop Rechner nVidia-free / Laptop ATI-free
  • Kernel: 4.1.6-1-ARCH /-64bit
  • Prozessor: Desktop Rechner (HP) AMD 5600 / Laptop Acer Aspire 5530G QL60 1,9GHz
  • Skill: Durchschnitt
  • Zweig: ARCH /-Stable
Hi sam,

wenn ich mir das bei Dir immer angucke sieht das immer so einfach aus.

Was würdest Du mir den jetzt raten?

Wir hatten ja in einer Diskusion schon mal darüber gesprochen(geschrieben), da hatte ich ja gesagt ich warte noch bis das ganze ohne Problem funktioniert.

Am liebsten wäre es mir,
wenn es dann, bei einer Neuinstallation, dass ganze mit dem "CLI-Installer" über die Bühne geht.

Ich muss es jetzt nicht zwingend sofort über die Bühne bringen, ich kann auch warten!

Was meinst Du?

Ocsej



 
Deutscher Manjaro IRC Channel auf Freenode #manjaro-de

ARCH /-64bit installiert.

Ocsej

Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 598
  • Dankeschön: 27 mal
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03)
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz
  • Skill: Fortgeschritten
  • Zweig: stable
Zitat
Am liebsten wäre es mir,
wenn es dann, bei einer Neuinstallation, dass ganze mit dem "CLI-Installer" über die Bühne geht.
Dann kannst Du ja mal ein 0.8.9er Testbuild in einer VM installieren.
Wenn es mit dem CLI-Installer nicht klappen sollte, dann kannst Du den grafischen Installer (Thus) probieren. Mit dem hat es bei mir problemlos geklappt. (siehe Re: Installations-Manager "Verschlüsselung gleich bei der Installation" von Manjaro)

Ich persönlich mache die Verschlüsselung lieber manuell. Da hat man mehrere Optionen als bei den automatischen Installern.

Offline Ocsej

  • Held Mitglied
  • *****
  • Beiträge: 580
  • Dankeschön: 2 mal
  • Ocsej
  • Desktop: Openbox /-Laptop Openbox
  • Grafikkarte: Desktoprechner nVidia Geforce 8500 GT / Laptop ATI Mobility RADEON HD 3470
  • Grafikkartentreiber: Desktop Rechner nVidia-free / Laptop ATI-free
  • Kernel: 4.1.6-1-ARCH /-64bit
  • Prozessor: Desktop Rechner (HP) AMD 5600 / Laptop Acer Aspire 5530G QL60 1,9GHz
  • Skill: Durchschnitt
  • Zweig: ARCH /-Stable
also aus meinem Bauchgefühl warte ich dann noch.
Den mit dem "CLI-Installer" komme ich einfach besser zurecht, als mit dem "GUI-installer" bei der partitionierung der Platte.

Eigentlich würde es doch reichen das "home-Verzeichnis" zu verschlüsseln?

Ocsej
Deutscher Manjaro IRC Channel auf Freenode #manjaro-de

ARCH /-64bit installiert.

Ocsej

Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 598
  • Dankeschön: 27 mal
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03)
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz
  • Skill: Fortgeschritten
  • Zweig: stable
Eigentlich würde es doch reichen das "home-Verzeichnis" zu verschlüsseln?
Wenn es nur darum geht, die persönlichen Daten zu schützen, reicht das vermutlich. (Evtl. auch die Swap-Partition?)

Falls aber mein Rechner oder meine Festplatte ungewollt in fremde Hände kommen sollte, wäre es mir lieber, dass das gesamte System geschützt ist und danach genau so funktioniert wie davor.
Leider muss die Boot-Partition unverschlüsselt bleiben, man kann aber ein Backup in einen verschlüsselten Ordner machen, damit man im Notfall die Boot-Partition wiederherstellen kann. Genauso kann man auch ein Backup vom MBR machen, dann aber auf einem anderen Speichermedium.
Das ist aber wieder "Off-Topic".

Offline Ocsej

  • Held Mitglied
  • *****
  • Beiträge: 580
  • Dankeschön: 2 mal
  • Ocsej
  • Desktop: Openbox /-Laptop Openbox
  • Grafikkarte: Desktoprechner nVidia Geforce 8500 GT / Laptop ATI Mobility RADEON HD 3470
  • Grafikkartentreiber: Desktop Rechner nVidia-free / Laptop ATI-free
  • Kernel: 4.1.6-1-ARCH /-64bit
  • Prozessor: Desktop Rechner (HP) AMD 5600 / Laptop Acer Aspire 5530G QL60 1,9GHz
  • Skill: Durchschnitt
  • Zweig: ARCH /-Stable
sam,

also warte ich noch etwas damit.

Ocsej
Deutscher Manjaro IRC Channel auf Freenode #manjaro-de

ARCH /-64bit installiert.

Ocsej

Offline sam

  • Held Mitglied
  • *****
  • Beiträge: 598
  • Dankeschön: 27 mal
  • Desktop: MATE, KDE, Xfce, Openbox, Fluxbox
  • Grafikkarte: Intel Corporation 4 Series Chipset Integrated Graphics Controller (rev 03)
  • Grafikkartentreiber: free
  • Prozessor: Intel® Core™2 Quad CPU @ 4× 2.666GHz
  • Skill: Fortgeschritten
  • Zweig: stable
Hier ein Nachtrag zur Anleitung:

In Punkt 4.2 kann man anstelle der /etc/rc.local, die /etc/crypttab anpassen:
# echo "lukssdb1 /dev/sdb1 /etc/cryptkey_sdb1 luks" >> /etc/crypttab
Die Systemdienste systemd-crypttab und lvmetad kümmern sich dann beim Systemstart automatisch um das Einbinden der Platte und der Home-Partition.

Offline Ocsej

  • Held Mitglied
  • *****
  • Beiträge: 580
  • Dankeschön: 2 mal
  • Ocsej
  • Desktop: Openbox /-Laptop Openbox
  • Grafikkarte: Desktoprechner nVidia Geforce 8500 GT / Laptop ATI Mobility RADEON HD 3470
  • Grafikkartentreiber: Desktop Rechner nVidia-free / Laptop ATI-free
  • Kernel: 4.1.6-1-ARCH /-64bit
  • Prozessor: Desktop Rechner (HP) AMD 5600 / Laptop Acer Aspire 5530G QL60 1,9GHz
  • Skill: Durchschnitt
  • Zweig: ARCH /-Stable
Hi sam,

ich habe gerade festgestellt das bei meinem Manjaro Openbox "cryptsetup" in der neusten Version installiert ist.


Ocsej
Deutscher Manjaro IRC Channel auf Freenode #manjaro-de

ARCH /-64bit installiert.

Ocsej

Offline Hoehli

  • Neuling
  • *
  • Beiträge: 12
  • Dankeschön: 2 mal
  • Desktop: KDE
  • Skill: Fortgeschritten
Hallo,

ist es auch möglich, anstatt einer Schlüsseldatei das Passwort mehrerer Luks-Partitionen in EINER Abfrage zu beantworten?
Damit meine ich:

-dev/sda1 =^boot
-/dev/sda2 ist eine VG mit root,home,swap
-/dev/sdc1 ist eine ext4/luks partition
-/dev/sdc2 ist eine ext4/luks partition

wenn man Manjaro (so wie ich) über den grafischen Installer eingerichtet hat bekommt ja beim boot eine Passphrasabfrage, geschickt wäre es doch hier die zwei anderen Partitionen mit einzubinden.

Durch hinzufügen in die crypttab und die fstab funktioniert dass schon einmal so halbwegs, leider muss man beim boot drei Passphrasen eingeben. Wenn nun alle drei Luks Partitionen die selbe Passphrase bekommen, sollte doch eine einzige Abfrage möglich sein?

Die VG wird ja durch grub entschlüsselt, richtig?

Theoretisch würde ich an der /etc/default/grub ansetzen:

GRUB_CMDLINE_LINUX="cryptdevice=/dev/disk/by-uuid/<UUID von /dev/sda2> :cryptManjaro"

würde hier eine Erweiterung mich Ziel bringen? Wenn ja wie sähe diese aus?

Viele Grüße


Bzw.: irgendwie hatte ich diesen "Zustand" schon erreicht.. leider hat's mir diese Einstellungen beim letzten Update zerhagelt und ich weiß leider nicht mehr wie ich das damals vor 3 Jahren eingerichtet hatte, komisch?
« Letzte Änderung: 06. Februar 2018, 12:03:51 von Hoehli »