systemd Problem - in Debian jessie - verschlüsselte Platte entsperre mit Key oder Passwort
Hallo,
bin gerade am testen neuer Hardware und es sollte gleich ein Debian-jessie werden.
Ziel ist es beim Booten des Rechners die Festplatte (dm-crypt verschlüsselt) wahlweise entweder mit einen KEY z.B auf USB-Stick oder der Eingabe eines Passworts zu entsperren.
Unter Debian-whezzy geht das recht gut durch Eintragen der verschiedenen Möglichkeiten in der /etc/crypttab.
Neue Debian-jessie Standardinstallation --> da zickt nun aber der systemd rum, weil das Device mehrfach vorhanden ist.
z.b.
md0_crypt UUID... (für KEY) .. /dev/disk/by-label/.. luks,keyscript=/... md0_crypt UUID... (für Password) .. none luks md1_crypt /dev/md1 md0_crypt .. (für SWAP) .. ,keyscript=/...,swap md2_crypt UUID... (für KEY) .. /dev/disk/by-label/.. luks,keyscript=/... md2_crypt UUID... (für Password) .. none luks
Hat jemand ein ähnliches Probleme und eventuell schon eine Lösung oder Lösungsansatz dafür. Systemd empfinde ich im Moment doch erst mal recht unübersichtlich und sehr groß. Tu mich schwer es mögen zu wollen.
VG Gerd
Am Dienstag, den 06.01.2015, 21:35 +0100 schrieb Gerd Göhler:
Hallo,
Hallo,
vielleicht interessiert meine derzeitige Lösung jemand
bin gerade am testen neuer Hardware und es sollte gleich ein Debian-jessie werden.
Ziel ist es beim Booten des Rechners die Festplatte (dm-crypt verschlüsselt) wahlweise entweder mit einen KEY z.B auf USB-Stick oder der Eingabe eines Passworts zu entsperren.
Unter Debian-whezzy geht das recht gut durch Eintragen der verschiedenen Möglichkeiten in der /etc/crypttab.
Neue Debian-jessie Standardinstallation --> da zickt nun aber der systemd rum, weil das Device mehrfach vorhanden ist.
z.b.
md0_crypt UUID... (für KEY) .. /dev/disk/by-label/.. luks,keyscript=/... md0_crypt UUID... (für Password) .. none luks md1_crypt /dev/md1 md0_crypt .. (für SWAP) .. ,keyscript=/...,swap md2_crypt UUID... (für KEY) .. /dev/disk/by-label/.. luks,keyscript=/... md2_crypt UUID... (für Password) .. none luks
In /etc/crypttab nur die Einträge für password belassen
md0_crypt UUID... (für Password) .. none luks md1_crypt /dev/md1 md0_crypt .. (für SWAP) .. ,keyscript=/...,swap md2_crypt UUID... (für Password) .. none luks
Weiter Möglichkeiten eintragen in /etc/initramfs-tools/conf.d/cryptroot und dafür sorgen das benötigte Scripte in der initrd landen.
In cryptroot alles notwendige eintragen, wird in der Reihenfolge der Einträge abgearbeitet.
-- cryptroot -- target=md0_crypt,source=UUID=....,key=/dev/disk/by-label/...,rootdev,tries=1,keyscript=/.... target=md0_crypt,source=UUID=....,key=none,rootdev,tries=0 target=md1_crypt,source=/dev/md1,key=md0_crypt,cipher=aes-xts-plain64,size=256,hash=sha1,keyscript=/... target=md2_crypt,source=UUID=....,key=/dev/disk/by-label/....,rootdev,tries=1,keyscript=/... target=md2_crypt,source=UUID=....,key=/media/KEY/...,rootdev,tries=1,keyscript=/... target=md2_crypt,source=UUID=....,key=none,rootdev,tries=0
------
Scripte nehme ich aus /lib/cryptsetup/scripts/.. und hab dafür unter /etc/initramfs-tools/hooks/ ein Script angelegt welches dies erledigt.
update-initramfs -u
und neu booten.
Tipp: sichere vorher eine funktionierende initrd falls was schief läuft.
VG Gerd
lug-dd@mailman.schlittermann.de
-
Gerd Göhler -
Gerd Göhler