verschlüsselte Partition mounten

[frank rudolph]

Hallo
Ich benutze suse 10 und habe eine Partition auf einer neuen Platte mit yast angelegt bei der ich Verschlüsseln eingeschaltet habe.
Die Partition soll nicht automatisch gemountet werden.
Wenn ich sie per Hand mounten will mit mount /dev/sdb1 /mnt/sdb1 bekomme ich folgende Meldung...

mount: you must specify the filesystem type

in /var/log/messages steht dann ....

Jan 12 13:51:54 raptor udevd[3525]: get_netlink_msg: no ACTION in payload found, skip event 'umount'
Jan 12 13:52:26 raptor kernel: FAT: invalid media value (0x49)
Jan 12 13:52:26 raptor kernel: VFS: Can't find a valid FAT filesystem on dev sdb1.
Jan 12 13:52:26 raptor udevd[3525]: get_netlink_msg: no ACTION in payload found, skip event 'umount'

Wenn ich per Yast im Bereich Partitionieren mounte geht das alles und funktioniert.

Ich dachte das eventuell Module fehlen aber ich habe mit lsmod nchgeschaut und es fehlt nichts (wenigstens hat yast beim mounten nichts automatisch nachgeladen)

Wenn ich beim Hand mounten den Parameter -t ext3 angebe kommt ........

mount: wrong fs type, bad option, bad superblock on /dev/sdb1,
missing codepage or other error
In some cases useful info is found in syslog - try
dmesg | tail or so

in /var/log/messages steht dann
Can't find ext3 filesystem on dev sdb1

Ich habe auch in den manpages bei mount Parametern gesucht aber nix gefunden
Was mache ich falsch?
Oder habe ich grundsätzlich einen Denkfehler?

mfg
Frank

[Lateralus]

Schau dir mal die Handbuch-Seite zu mount an. (man mount) Stichwort: "encryption"
Etwas in dieser Art sollte funktionieren:

Code: Alles auswählen

mount -o loop,encryption /dev/sdb1 /mountpoint

Vielleicht muss auch "encryption" durch den namen des Alghorithmus ersetzt werden... ich kenn' mich da nicht so aus.

[frank rudolph]

Wenn ich ein man mount | grep encryption mache finde ich das wort nicht in der manpage.

Was ich nicht verstehe ist das mit dem loop Device.
Ich dachte das setze ich nur ein wenn ich eine Datei als encrypted filesystem benutze also mit dem dd und losetup und so weiter ....
ich habe versucht
mount -o loop,twofish256 /dev/sdb1 /mountpoint
mount -o loop,encryption /dev/sdb1 /mountpoint
er sagt -- specifiy a file system type
mount -t ext3 -o loop,encryption /dev/sdb1 /mountpoint --- geht nicht
/var/log/messages sagt

Jan 12 14:47:14 raptor kernel: FAT: Unrecognized mount option "encryption" or missing value
Jan 12 14:47:14 raptor kernel: FAT: Unrecognized mount option "twofish256" or missing value

hmmmm
Wie kann ich mir momentan benutzte loop devices anzeigen lassen?

[frank rudolph]

Ich habe jetzt nochmal folgendes probiert.
losetup -e twofish /dev/loop0 /dev/sdb1
dann
mount /dev/loop0 /mountpoint
das geht ...
bei losetup -a wird loop0 als benutzt angezeigt.
Nur so ist das nicht Sinn der Sache denke ich - denn dann kann ich das mit YAST Dateisystem Verschlüssen vergessen.

Wenn ich mit YAST die verschlüsselte Partition automatisch nach /mountpoint mounten lasse existiert kein loop device (also es wird keins benutzt)
Es muss also per Hand anders gehen als ich es oben gemacht habe
Ich werde mir jetzt von YAST einen fstab eintrag generieren lassen und den schaue ich mir dann mal an ....

[petameta]

Ich rate dringend davon ab, Partitionen mit cryptoloop zu verschlüsseln. Diese Implementation ist sehr unsauber implementiert, da macht die Verschlüsselung nicht so sehr viel Sinn.

Besser ist cryptsetup-luks, ein gutes Howto gibt es hier. Das hat neben einer sauberen Implementation auch noch weitere Vorteile:

- man kann pro verschlüsselter Partition mehrere Keys anlegen (wichtig wenn mehrere Nutzer eine Partition benutzen können sollen)
- man kann diese auch ändern oder löschen (wenn man nicht sicher ist, ob jemand den Key "klauen" konnte).

[frank rudolph]

Danke Peta Meta diese Antwort war sehr hilfreich.

Mir ist eh nicht ganz klar ob und welche crypto implementation ich nehmen soll
und wie sich das auf die Performance meines Systems auswirkt.
Ich werde jetzt erst noch mal genauer schauen und suchen was ich am besten mache ....
Vielen Dank für den Link !!!!!

mfg
frank

[frank rudolph]

Hat klasse geklappt mit cryptsetup-luks!!!!

Vielen dank
mfg
Frank

[frank rudolph]

Es klappte alles mit suse 10.0 ... mit sles10 gehts leider nicht.
Ich weis aber nicht ob es an einem fehlenden Modul oder am Raid0 liegt?
die Meldung nach
cryptsetup-luks -c blowfish-cbc-essiv:sha256 -y -s 256 luksFormat /dev/md0
ist

Failed to setup dm-crypt key mapping.
Check kernel for support for the aes-cbc-essiv:sha256 cipher spec and verify that /dev/md0 contains at least 258 sectors.
Failed to write to key storage.

ein lsmod bringt

Module Size Used by
blowfish 9216 0
sha256 10880 0
aes 27968 0
dm_crypt 11144 0
joydev 9024 0
st 34204 0
sr_mod 14500 0
ide_cd 35360 0
cdrom 32288 2 sr_mod,ide_cd
ipv6 216832 20
apparmor 48284 0
aamatch_pcre 13440 1 apparmor
loop 14856 0
raid0 7552 1
dm_mod 52200 1 dm_crypt
hw_random 5400 0
shpchp 39104 0
pci_hotplug 23988 1 shpchp
sk98lin 132832 0
i2c_i801 8076 0
i8xx_tco 6804 0
i2c_core 19472 1 i2c_i801
intel_agp 21020 1
agpgart 28976 1 intel_agp
parport_pc 34916 1
lp 10692 0
parport 31944 2 parport_pc,lp
ext3 117128 2
jbd 54432 1 ext3
edd 8516 0
processor 22724 0
sg 30620 0
aic7xxx 147636 2
scsi_transport_spi 20736 1 aic7xxx
via82cxxx 8196 0 [permanent]
piix 9092 0 [permanent]
sd_mod 16144 3
scsi_mod 121992 6 st,sr_mod,sg,aic7xxx,scsi_transport_spi,sd_mod
ide_disk 14976 8
ide_core 115900 4 ide_cd,via82cxxx,piix,ide_disk

Meiner Meinung nach fehlt kein Modul.
Ich habe gegooglet kann aber mit den Berichten nichts wirklich anfangen.
Kann mir jemand was zu meinen Meldunegn sagen ?

mfg
frank

[petameta]

Das passende Modul ist ja geladen (dm_crypt). Bist Du sicher, daß /dev/md0 korrekt konfiguriert ist ?

Kannst es ja sonst mal mit nem loop-device probieren:

Code: Alles auswählen

dd if=/dev/zero of=/tmp/test bs=1M count=200
losetup /dev/loop0 /tmp/test
cryptsetup-luks -c blowfish-cbc-essiv:sha256 -y -s 256 luksFormat /dev/loop0

[frank rudolph]

Danke für all die Hilfe ....
Ich habe einen dicken Feher gemacht - und zwar war md0 beim einrichten mit
cryptsetup gemountet !!!!
Dann kommt es zu dieser Fehlermeldung.
Lag also wenn man so will an md0.

Also alles wieder ok .

Vielen Dank

mfg
Frank