Autor Thema: Keyfile der verschlüsselten Swap nicht gefunden  (Gelesen 182 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline sanyam

  • Neuling
  • *
  • Beiträge: 11
  • Desktop: Deepin
  • Grafikkartentreiber: free
  • Prozessor: 4.14.0-1-MANJARO
  • Skill: Durchschnitt
  • Zweig: stable
Keyfile der verschlüsselten Swap nicht gefunden
« am: 03. Dezember 2018, 12:47:12 »
Moin Leute,

ich habe mir heute frisch Manjaro KDE v18 installiert mit folgender Konfiguration:
/dev/nvme0n1p1 - 500MB /boot
/dev/nvme0n1p2 - 218GB Luksverschlüsseltes BTRFS
/dev/nvme0n1p3 - 20GB Luksverschlüsseltes SWAP

Ich habe unter /etc/keyfile-cryptswap ein Keyfile für die SWAP-Partition erstellt (Swap kann innerhalb des Systems auch eingebunden werden).

In der /etc/default/grub steht folgendes:
GRUB_CMDLINE_LINUX_DEFAULT="resume=UUID=c258fc74-d490-4077-92e0-3042594b5ff6 quiet rd.udev.log-priority=3"

Und entsprechend grub-mkconfig neu durchlaufen.

Meine /etc/openswap.conf:
## cryptsetup open $swap_device $crypt_swap_name
## get uuid using e.g. lsblk -f
swap_device=/dev/disk/by-uuid/c7bb13e4-4001-4959-bbd1-e69852a2c821
crypt_swap_name=cryptswap

## one can optionally provide a keyfile device and path on this device
## to the keyfile
keyfile_device=/dev/mapper/cryptroot
keyfile_filename=etc/keyfile-cryptswap

## additional arguments are given to mount for keyfile_device
## has to start with --options (if so desired)
#keyfile_device_mount_options="--options=subvol=__active/__"

## additional arguments are given to cryptsetup
## --allow-discards options is desired in case swap is on SSD partition
cryptsetup_options="--type luks"

Und damit die UUIDs nachvollzogen werden können:
/dev/nvme0n1p1: UUID="1C08-588E" TYPE="vfat" PARTLABEL="EFI System" PARTUUID="93d0d264-0bb0-4761-ab27-f0d669196734"
/dev/nvme0n1p2: UUID="0f48684d-e445-4e10-bc4e-b2d7943993f9" TYPE="crypto_LUKS" PARTLABEL="Linux filesystem" PARTUUID="06bdc012-92b2-4a86-931a-af14950a5576"
/dev/nvme0n1p3: UUID="c7bb13e4-4001-4959-bbd1-e69852a2c821" TYPE="crypto_LUKS" PARTLABEL="Linux swap" PARTUUID="7978c8ae-e45f-4772-b4c5-9c27ac35e58f"
/dev/sda2: UUID="789875189874D5DA" TYPE="ntfs" PARTLABEL="Basic data partition" PARTUUID="32e6b546-5e3d-40b0-8748-3d2695119957"
/dev/sda3: LABEL="CTDaten" UUID="e0cdd37a-a17e-4d4d-bf9b-a8ecf8409db0" TYPE="ext4" PARTUUID="119a92df-09f4-4cdd-8a07-7fc1d868a643"
/dev/mapper/cryptroot: UUID="8f11adc5-6c42-41ff-bc87-a239bdc7a14a" UUID_SUB="70697913-9a60-4093-a328-cd1dfff359a4" TYPE="btrfs"
/dev/nvme0n1: PTUUID="c185ced2-19c8-46b0-919d-5eaceaa94546" PTTYPE="gpt"
/dev/sda1: PARTLABEL="Microsoft reserved partition" PARTUUID="b257eabd-cc16-475b-a825-60a3d670cbe6"

Beim Booten gebe ich meine Passphrase für das cryptroot ein, wähle im Grub entsprechend den Kernel aus und erhalte dann die Meldung:
Zitat
Failed to open key file.
ERROR: resume: hibernation device 'UUID=c258fc74-d490-4077-92e0-3042594b5ff6' no

Nachdem dann ein Start Job für 1min30sek durchläuft bootet das System normal durch.

Für Hilfe wäre ich dankbar.

Gruß

Offline Keruskerfuerst

  • Vollwertiges Mitglied
  • ***
  • Beiträge: 105
  • Dankeschön: 2 mal
  • Desktop: KDE
  • Grafikkarte: Nvidia GTX 970
  • Kernel: stable LTS
  • Prozessor: Intel Core I 7 5820 K
  • Skill: Anfänger
  • Zweig: stable
Re: Keyfile der verschlüsselten Swap nicht gefunden
« Antwort #1 am: 03. Dezember 2018, 13:05:26 »
Warum denn eigentlich eine verschlüsselte Swap Partition ?

Offline sanyam

  • Neuling
  • *
  • Beiträge: 11
  • Desktop: Deepin
  • Grafikkartentreiber: free
  • Prozessor: 4.14.0-1-MANJARO
  • Skill: Durchschnitt
  • Zweig: stable
Re: Keyfile der verschlüsselten Swap nicht gefunden
« Antwort #2 am: 03. Dezember 2018, 13:56:30 »
Naja, damit jegliche ausgelagerten Daten (Passwörter etc) welche auf die Swap gepackt werden verschlüsselt sind.
Bei einem vollverschlüsseltem System halte ich es für ein Sicherheitsrisiko die Swap Partition nicht mitzuverschlüsseln.

Offline gosia

  • Held Mitglied
  • *****
  • Beiträge: 1440
  • Dankeschön: 277 mal
  • Desktop: Openbox + xfce
  • Grafikkarte: Intel HD 4000
  • Grafikkartentreiber: i915 (free)
  • Kernel: 4.19 Artix
  • Prozessor: Intel Core i5-3210M
  • Skill: Durchschnitt
  • Zweig: stable
Re: Keyfile der verschlüsselten Swap nicht gefunden
« Antwort #3 am: 03. Dezember 2018, 18:28:42 »
Hallo sanyam,
In der /etc/default/grub steht folgendes:
GRUB_CMDLINE_LINUX_DEFAULT="resume=UUID=c258fc74-d490-4077-92e0-3042594b5ff6 quiet rd.udev.log-priority=3"
...
ERROR: resume: hibernation device 'UUID=c258fc74-d490-4077-92e0-3042594b5ff6' no
Na, zumindest ich kann in deiner UUID-Aufstellung auch keine Partition mit der UUID=c258fc74-d490-4077-92e0-3042594b5ff6 finden (nehme an, das "no" soll vollständig "not found" heissen.
Ob das nun aber nur ein Nebenschauplatz ist oder was mit deinem Problem zu tun hat kann ich so nicht sagen. Ich würde es aber trotzdem mal untersuchen und eventuell die UUID korrigieren.

viele Grüße gosia
"funktioniert nicht" ist keine brauchbare Fehlermeldung

Offline sanyam

  • Neuling
  • *
  • Beiträge: 11
  • Desktop: Deepin
  • Grafikkartentreiber: free
  • Prozessor: 4.14.0-1-MANJARO
  • Skill: Durchschnitt
  • Zweig: stable
Re: Keyfile der verschlüsselten Swap nicht gefunden
« Antwort #4 am: 03. Dezember 2018, 19:00:50 »
Oh, ich habe den blkid Bfehl laufen lassen bevor ich die Swap im System eingebunden habe:
/dev/nvme0n1p1: UUID="1C08-588E" TYPE="vfat" PARTLABEL="EFI System" PARTUUID="93d0d264-0bb0-4761-ab27-f0d669196734"
/dev/nvme0n1p2: UUID="0f48684d-e445-4e10-bc4e-b2d7943993f9" TYPE="crypto_LUKS" PARTLABEL="Linux filesystem" PARTUUID="06bdc012-92b2-4a86-931a-af14950a5576"
/dev/nvme0n1p3: UUID="c7bb13e4-4001-4959-bbd1-e69852a2c821" TYPE="crypto_LUKS" PARTLABEL="Linux swap" PARTUUID="7978c8ae-e45f-4772-b4c5-9c27ac35e58f"
/dev/sda2: UUID="789875189874D5DA" TYPE="ntfs" PARTLABEL="Basic data partition" PARTUUID="32e6b546-5e3d-40b0-8748-3d2695119957"
/dev/sda3: LABEL="CTDaten" UUID="e0cdd37a-a17e-4d4d-bf9b-a8ecf8409db0" TYPE="ext4" PARTUUID="119a92df-09f4-4cdd-8a07-7fc1d868a643"
/dev/mapper/cryptroot: UUID="8f11adc5-6c42-41ff-bc87-a239bdc7a14a" UUID_SUB="70697913-9a60-4093-a328-cd1dfff359a4" TYPE="btrfs"
/dev/mapper/cryptswap: UUID="c258fc74-d490-4077-92e0-3042594b5ff6" TYPE="swap"
/dev/nvme0n1: PTUUID="c185ced2-19c8-46b0-919d-5eaceaa94546" PTTYPE="gpt"
/dev/sda1: PARTLABEL="Microsoft reserved partition" PARTUUID="b257eabd-cc16-475b-a825-60a3d670cbe6"

/dev/mapper/cryptswap hat die oben genannte UUID, diese muss doch auch in die grub.config oder vertue ich mich da?

Offline gosia

  • Held Mitglied
  • *****
  • Beiträge: 1440
  • Dankeschön: 277 mal
  • Desktop: Openbox + xfce
  • Grafikkarte: Intel HD 4000
  • Grafikkartentreiber: i915 (free)
  • Kernel: 4.19 Artix
  • Prozessor: Intel Core i5-3210M
  • Skill: Durchschnitt
  • Zweig: stable
Re: Keyfile der verschlüsselten Swap nicht gefunden
« Antwort #5 am: 03. Dezember 2018, 20:42:30 »
Hallo sanyam,
/dev/mapper/cryptswap hat die oben genannte UUID, diese muss doch auch in die grub.config oder vertue ich mich da?
gute Frage. Ich glaube, das muss nur sein, wenn Du gleichzeitig auch suspend-to-disk Support haben möchtest. Aber da bin ich mir nicht sicher, das sollte jemand beantworten, der sich da besser auskennt. Du kannst dich ja auch durch diese Anleitung wühlen
https://wiki.archlinux.org/index.php/Dm-crypt/Swap_encryption

Ich hatte fälschlich angenommen, deine UUID-Aufstellung hier
Und damit die UUIDs nachvollzogen werden können:
wäre die vollständige blkid-Ausgabe und war deshalb etwas irritiert, dort die UUID nicht zu finden.

viele Grüße gosia
"funktioniert nicht" ist keine brauchbare Fehlermeldung

Offline sanyam

  • Neuling
  • *
  • Beiträge: 11
  • Desktop: Deepin
  • Grafikkartentreiber: free
  • Prozessor: 4.14.0-1-MANJARO
  • Skill: Durchschnitt
  • Zweig: stable
Re: Keyfile der verschlüsselten Swap nicht gefunden
« Antwort #6 am: 04. Dezember 2018, 21:09:42 »
So, ich bin noch einmal strickt nach Anleitung vorgegangen, aber erhalte nach wie vor denselben Fehler.

Die Root-Partition wird korrekt entschlüsselt, ich verstehe nicht wieso das Keyfile nicht gefunden wird...

Offline Keruskerfuerst

  • Vollwertiges Mitglied
  • ***
  • Beiträge: 105
  • Dankeschön: 2 mal
  • Desktop: KDE
  • Grafikkarte: Nvidia GTX 970
  • Kernel: stable LTS
  • Prozessor: Intel Core I 7 5820 K
  • Skill: Anfänger
  • Zweig: stable
Re: Keyfile der verschlüsselten Swap nicht gefunden
« Antwort #7 am: 05. Dezember 2018, 12:47:29 »
Zitat
Naja, damit jegliche ausgelagerten Daten (Passwörter etc) welche auf die Swap gepackt werden verschlüsselt sind.
Bei einem vollverschlüsseltem System halte ich es für ein Sicherheitsrisiko die Swap Partition nicht mitzuverschlüsseln.

Um ein System zu knacken, wie oben beschrieben, muss man an den Rechner selbst ran.

Offline Testsieger

  • Neuling
  • *
  • Beiträge: 4
  • Desktop: gnome
  • Grafikkarte: Palit NE5105T018G1H (Nvidia 1050Ti)
  • Prozessor: AMD Phenom II X4 955
  • Skill: Durchschnitt
  • Zweig: stable
Re: Keyfile der verschlüsselten Swap nicht gefunden
« Antwort #8 am: 05. Dezember 2018, 15:01:53 »
Hallo @sanyam,

ich habe heute vor einem ähnlichen Problem gestanden. Nach der Installation mit manueller Partitionierung (/, swap, /timeshift — alle drei mit identischer Passphrase verschlüsselt) musste ich beim Booten zunächst die LUKS Passphrase immer zweimal eingeben. Hilfe fand ich dann bei https://www.pavelkogan.com/2014/05/23/luks-full-disk-encryption/

Der entscheidende Punkt: Manjaro hatte bei der Installation nud die / Partition in /crypto_keyfile.bin eingetragen. Ich habe dann für die anderen beiden Partitionen entsprechend

cryptsetup luksAddKey /dev/sdaX /crypto_keyfile.bin
durchgeführt. Beim Booten brauche ich nun nur noch einmal die Passphrase einzugeben.

HTH,
Testsieger (… sich nun an die Fein–Konfiguration machend :))

Offline sanyam

  • Neuling
  • *
  • Beiträge: 11
  • Desktop: Deepin
  • Grafikkartentreiber: free
  • Prozessor: 4.14.0-1-MANJARO
  • Skill: Durchschnitt
  • Zweig: stable
Re: Keyfile der verschlüsselten Swap nicht gefunden
« Antwort #9 am: 05. Dezember 2018, 23:35:20 »
Das ist leider nicht die Lösung.

Ich habe mir heute noch einmal die Mühe gemacht und pures Archlinux installiert, die Konfiguration genauso vorgenommen und alles klappt auf anhieb...

Dann bleibt wohl Archlinux drauf anstelle von Manjaro...

Offline sanyam

  • Neuling
  • *
  • Beiträge: 11
  • Desktop: Deepin
  • Grafikkartentreiber: free
  • Prozessor: 4.14.0-1-MANJARO
  • Skill: Durchschnitt
  • Zweig: stable
Re: Keyfile der verschlüsselten Swap nicht gefunden
« Antwort #10 am: 07. Dezember 2018, 14:09:54 »
So mich hat das ganze nicht in Ruhe gelassen und habe noch einmal Manjaro installiert und herumgefrickelt.

Das BTRFS-Dateisystem hat Standardmäßig die ID 5 als default subvolume gesetzt unter Manjaro.
Setze ich das default subvolume auf meine ROOT Partition (257), klappt das Lesen der Keyfile auch...