V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
user32847 schrieb: Habe jetzt hier die dort genannten fünf Schritte durchgeführt. Aber hätten da nicht die ersten zwei Schritte für den USB-Stick gereicht?
Schritt 1 überschreibt den Header der Partition mit Zufallszahlen. Der Grund dafür ist mir unbekannt, da das anschließende Verschlüsseln auch diesen Header neu schreibt. Bei Flashmedien wie USB-Sticks und SSDs ist dieses blockweise Überschreiben sowieso sinnlos, da durch deren Wear Levelling der Controller ständig andere Speicherzellen anspricht, um diese gleichmäßig „abzunutzen“. Schritt 2 verschlüsselt die Partition. Schritt 3 öffnet die verschlüsselte Partition (den Crypt-Container) und macht sie unverschlüsselt unter /dev/mapper/usb-crypt zugänglich. Schritt 4 formatiert das unverschlüsselte Abbild des „Inhalts“ des Crypt-Containers mit einem Dateisystem (hier: ext4). Schritt 5 macht den Container abschließend wieder zu. Nur im „geschlossenen“ Zustand ohne unverschlüsseltes Abbild unter /dev/mapper ist der Inhalt vor fremdem Zugriff geschützt! Aufgeschlossen sieht ihn jeder, der Zugriff auf /dev/mapper/[crypt-name] hat.
Zu Deiner Frage: Ohne Schritt 3+4 hat der Crypt-Container noch kein Dateisystem, ist also praktisch nicht nutzbar.
Edit: Wenn man die fünf Schritte durchgeführt hat. Ist dann "usb-crypt" auch einfach gelöscht, wenn man den USB-Stick formatiert? Oder ist das "usb-crypt" auf dem Computer?
Die Fragen verstehe ich nicht. Beschreibe mal genauer, was Du damit meinst.
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
V for Vortex schrieb: user32847 schrieb: Habe jetzt hier die dort genannten fünf Schritte durchgeführt. Aber hätten da nicht die ersten zwei Schritte für den USB-Stick gereicht?
Schritt 1 überschreibt den Header der Partition mit Zufallszahlen. Der Grund dafür ist mir unbekannt, da das anschließende Verschlüsseln auch diesen Header neu schreibt. Bei Flashmedien wie USB-Sticks und SSDs ist dieses blockweise Überschreiben sowieso sinnlos, da durch deren Wear Levelling der Controller ständig andere Speicherzellen anspricht, um diese gleichmäßig „abzunutzen“. Schritt 2 verschlüsselt die Partition. Schritt 3 öffnet die verschlüsselte Partition (den Crypt-Container) und macht sie unverschlüsselt unter /dev/mapper/usb-crypt zugänglich. Schritt 4 formatiert das unverschlüsselte Abbild des „Inhalts“ des Crypt-Containers mit einem Dateisystem (hier: ext4). Schritt 5 macht den Container abschließend wieder zu. Nur im „geschlossenen“ Zustand ohne unverschlüsseltes Abbild unter /dev/mapper ist der Inhalt vor fremdem Zugriff geschützt! Aufgeschlossen sieht ihn jeder, der Zugriff auf /dev/mapper/[crypt-name] hat.
Zu Deiner Frage: Ohne Schritt 3+4 hat der Crypt-Container noch kein Dateisystem, ist also praktisch nicht nutzbar.
Danke für deine Erklärungen. Werde ich später nochmal versuchen. V for Vortex schrieb: user32847 schrieb: Edit: Wenn man die fünf Schritte durchgeführt hat. Ist dann "usb-crypt" auch einfach gelöscht, wenn man den USB-Stick formatiert? Oder ist das "usb-crypt" auf dem Computer?
Die Fragen verstehe ich nicht. Beschreibe mal genauer, was Du damit meinst.
Wenn man die Schritte durchführt, dann wird also auf dem Computer selbst nichts gespeichert, oder? Das heißt, wenn man alles auf dem USB-Stick löscht und auch neu formatiert, ist alles davor eingestellte (Schritte 1 - 5) ebenfalls nicht mehr vorhanden? Also das spielt sich alles ausschließlich auf dem Stick ab? "crypt-usb" etc., Passwörter, ...
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7658
|
user32847 schrieb: Also das spielt sich alles ausschließlich auf dem Stick ab? "crypt-usb" etc., Passwörter, ...
Ja. Es sei denn du zählst das Kernel-Log mit, aber da steht nur was eingesteckt/gemountet wurde, nicht mit welchem Passwort...
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
Habe es jetzt versucht. Irgendwas klappt da aber nicht, glaube ich. Wenn ich den USB-Stick an den Computer anschließe, kommt erstmal ein Fenster mit der Aufforderung das Passwort einzugeben. Wenn ich das mache, kann ich unter /media/NUMMER (evtl. UUID) auf den Stick zugreifen. Wenn ich dann in den dev/mapper/ reinschaue, gibts dort eine neue Datei namens luks-NUMMER. Aber ein Zugriff ist nur unter /media/NUMMER möglich - nicht /dev/mapper/luks-NUMMER! Was ich mich jetzt frage: Warum ist der Name so komisch? Warum heißt das nicht dev/mapper/usb-crypt? Wo sollte der Zugriff stattfinden? Noch als Info: Die Nummern von /media/NUMMER und /dev/mapper/luks-NUMMER unterscheiden sich. Auch muss ich /media/NUMMER erst aushängen und dann erst funktioniert folgender Befehl:
sudo cryptsetup -v luksClose /dev/mapper/luks-NUMMER
|
frostschutz
Anmeldungsdatum: 18. November 2010
Beiträge: 7658
|
Das sind dann automatisch gemountete und automatisch generierte Namen... mit eindeutigen Bezeichnern die sich nicht in die Quere kommen, wenn du mehr als einen solchen Stick hast. Und das eine ist der dev-Gerätename und das andere der Mountpunkt. Wenn es gemountet wird, ist es doch okay...? Der luksclose müsste eigentlich auch automatisch passieren wenn du aushängst...
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
Naja, mit diesen langen Namen ist es sehr mühsam, den Stick wieder auszuhängen und: Auch muss ich /media/NUMMER erst aushängen und dann erst funktioniert folgender Befehl. Diesen muss ich übrigens extra eintippen, ansonsten bleibt "luks-NUMMER" unter /dev/mapper/ zu finden. Auch wenn der Stick schon ausgehängt ist!
sudo cryptsetup -v luksClose /dev/mapper/luks-NUMMER Warum wird "usb-crypt" nicht übernommen, wenn man doch extra die Schritte 3 - 5 durchgeführt hat? Und warum ist der verschlüsselte Inhalt dann nicht über /dev/mapper/ erreichbar?
|
stfischr
Anmeldungsdatum: 1. März 2007
Beiträge: 19197
|
user32847 schrieb: stfischr schrieb: user32847 schrieb: Wo ist denn das Passwort dann bei LUKS gespeichert?
Na hoffentlich in deinem Kopf.
Die Passwörter sind doch in sog. Slots gespeichert.
Ah ok, dann haben wir nur ein Verständnisproblem. Unter Passwort verstehe ich das, was man eintippt. Das was da gespeichert wird bezeichne ich als Schlüssel.
Auch muss ich /media/NUMMER erst aushängen und dann erst funktioniert folgender Befehl. Diesen muss ich übrigens extra eintippen, ansonsten bleibt "luks-NUMMER" unter /dev/mapper/ zu finden. Auch wenn der Stick schon ausgehängt ist!
Das sollte eigentlich nicht sein. Gibt es bei rechtsklick auf den Mountpunkt noch verschiedene Optionen (Auswerfen, Aushängen, ...) eventuell hilft da eine der Optionen.
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
user32847 schrieb: Naja, mit diesen langen Namen ist es sehr mühsam, den Stick wieder auszuhängen
Erstarre in Ehrfurcht vor der Macht der Tab-Vervollständigung! 🤓
Auch muss ich /media/NUMMER erst aushängen und dann erst funktioniert folgender Befehl.
Du hast drei verschiedene Komponenten:
die verschlüsselte Partition (ggf. auf dem Stick) als physikalisches Gerät in /dev (z.B. /dev/sdb1) deren entschlüsselten Container als virtuelles Gerät in /dev/mapper (z.B. /dev/mapper/usb-crypt) das Dateisystem von /dev/mapper/[name] eingehängt (Denglisch: gemountet ☺ ) unter /media
Zuerst wird der Crypt-Container aufgeschlossen und in /dev/mapper als virtuelles Gerät abgebildet. Dieses Gerät wird dann wie ein unverschlüsseltes physikalisches Gerät unter /media eingehängt. Beim Aushängen wird dieser Vorgang rückwärts durchlaufen: Erst wird der Mount unter /media ausgehängt, dann wird das Abbild unter /dev/mapper geschlossen. Solange das Abbild irgendwo eingehängt ist, kann es nicht geschlossen werden (man kann das Abbild wie jedes physikalische Gerät gleichzeitig an mehreren Orten im Verzeichnisbaum einhängen). Für Grundwissen um Geräte im Verzeichnisbaum von Ubuntu/Linux siehe:
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
stfischr schrieb: Auch muss ich /media/NUMMER erst aushängen und dann erst funktioniert folgender Befehl. Diesen muss ich übrigens extra eintippen, ansonsten bleibt "luks-NUMMER" unter /dev/mapper/ zu finden. Auch wenn der Stick schon ausgehängt ist!
Das sollte eigentlich nicht sein. Gibt es bei rechtsklick auf den Mountpunkt noch verschiedene Optionen (Auswerfen, Aushängen, ...) eventuell hilft da eine der Optionen.
Das weiß ich nicht. Aber irgendwas stimmt auf jeden Fall nicht.
Ich führe die Schritte, wie in der Anleitung beschrieben aus. Dann habe ich meinen USB-Stick entfernt und wieder an den Computer angeschlossen. Daraufhin öffnet sich ein Fenster, das mich auffordert, das Passwort einzugeben. Wenn ich dieses eintippe, kann ich unter /media/NUMMER darauf zugreifen. Auch findet man, wie schon geschrieben, unter /dev/mapper/ "luks-NUMMER" (damit kann ich allerdings nichts anfangen?). Dafür muss man aber extra "umount" ausführen, damit es bei mir im PCManFM nicht mehr erscheint. Außer natürlich, man zieht den USB-Stick raus, dann geht das auch so. Aber wenn /media/NUMMER ausgehängt ist, der Stick noch steckt - dann muss man das extra aushängen. Aber warum legt man ein Devicemapper "usb-crypt" an, wenn das anscheinend gar nicht benutzt wird? Und ist das "normal", dass generierte Nummern verwendet werden? Ich weiß nicht, klappt das bei euch, wenn ihr das mal durchspielt?
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
V for Vortex schrieb: Beim Aushängen wird dieser Vorgang rückwärts durchlaufen: Erst wird der Mount unter /media ausgehängt, dann wird das Abbild unter /dev/mapper geschlossen.
Solange das Abbild irgendwo eingehängt ist, kann es nicht geschlossen werden (man kann das Abbild wie jedes physikalische Gerät gleichzeitig an mehreren Orten im
Verzeichnisbaum einhängen).
Danke für deine Ausführungen! ☺ Aber wenn ich im Fenster das Passwort eintippe, ist es doch ausschließlich unter /media/ zu finden?
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
user32847 schrieb: Außer natürlich, man zieht den USB-Stick raus, dann geht das auch so.
Nur zur Sicherheit: Den Stick sofern irgend möglich nie abziehen, wenn sein Inhalt noch irgendwo gemountet ist. Sonst droht Datenverlust.
Und ist das "normal", dass generierte Nummern verwendet werden?
Wenn Du dem Dateisystem des Sticks ein Label verpasst, sollte das anstelle der Nummern verwendet werden. Wichtig hierbei: Den (dateisystemabhängigen, siehe Labels) Befehl auf das Abbild in /dev/mapper anwenden, nicht auf die verschlüsselte Partition selbst. user32847 schrieb: Aber wenn ich im Fenster das Passwort eintippe, ist es doch ausschließlich unter /media/ zu finden?
Ja.
|
stfischr
Anmeldungsdatum: 1. März 2007
Beiträge: 19197
|
user32847 schrieb: damit es bei mir im PCManFM nicht mehr erscheint.
Ah ich hatte das Lubuntu ganz übersehen, möglich das der Dateimanager sowas nicht richtig unterstützt. Aber warum legt man ein Devicemapper "usb-crypt" an, wenn das anscheinend gar nicht benutzt wird?
Da wird nix angelegt, du machst das ja nur einmal temporär bei der Erstellung, danach macht der Dateimanager das automatisch. Wenn du es manuell machst, kannst du jedes mal einen beliebigen neuen Namen wählen.
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
Habe jetzt mal im Terminal /dev/mapper/luks-NUMMER1 ein Label gegeben. Und anschließend mit "sudo blkid" die Infos dazu angeguckt. Folgendes wird ausgegeben:
/dev/sdc1: UUID="NUMMER1" TYPE="crypto_LUKS"
/dev/mapper/luks-NUMMER1: LABEL="usb-crypt" UUID="NUMMER2 TYPE="ext4" Sowohl in /media/ als auch in /dev/mapper/ werden aber Nummern angezeigt. Mache jetzt ich was falsch oder liegt das evtl. wirklich an Lubuntu? Edit: Wenn ich den Stick jetzt reinstecke und das Passwort eintippe, heißt es nun /media/usb-crypt. In /dev/mapper heißt es noch "luks-NUMMER1". Stimmt das so? Auch, dass es in /dev/mapper "luks-NUMMER1" heißt? stfischr schrieb: Da wird nix angelegt, du machst das ja nur einmal temporär bei der Erstellung, danach macht der Dateimanager das automatisch. Wenn du es manuell machst, kannst du jedes mal einen beliebigen neuen Namen wählen.
Und wie macht der Dateimanager das? Nimmt er normalerweise das "Label"? Oder den Namen, der das letzte Mal verwendet wurde? Weil - nach der Wiki-Anleitung - sollte das doch immer "crypt-usb" heißen, oder? Edit 2: Wenn ich den Stick einstecke und das Passwort eingebe, wird im Terminal folgendes angezeigt (Befehl: mount):
/dev/mapper/luks-NUMMER1 on /media/usb-crypt type ext4 (rw,nosuid,nodev,uhelper=udisks2) Wenn ich dann sudo umount /media/usb-crypt eingebe, und ich dann "mount" wieder im Terminal eingebe, erscheint die oben genannte Zeile nicht mehr! Im PCManFM erscheint luks-NUMMER1 jedoch noch unter /dev/mapper??? Ich hoffe ihr könnt mir hier nochmal helfen und die vielen Fragen in diesem Beitrag beantworten. 😉 Danke!!!
|
stfischr
Anmeldungsdatum: 1. März 2007
Beiträge: 19197
|
user32847 schrieb: stfischr schrieb: Da wird nix angelegt, du machst das ja nur einmal temporär bei der Erstellung, danach macht der Dateimanager das automatisch. Wenn du es manuell machst, kannst du jedes mal einen beliebigen neuen Namen wählen.
Und wie macht der Dateimanager das? Nimmt er normalerweise das "Label"? Oder den Namen, der das letzte Mal verwendet wurde? Weil - nach der Wiki-Anleitung - sollte das doch immer "crypt-usb" heißen, oder?
Da sdc1 kein Label hat/haben kann, wird es immer (wenn automatisch generiert) eine UUID bekommen. Nur dein Dateisystem hat ein Label (sieht man ja in deiner blkid Ausgabe sehr schön) und kann somit automatisch das Label als Bezeichner bekommen. Im PCManFM erscheint luks-NUMMER1 jedoch noch unter /dev/mapper???
Hm, dann liegts wohl am Dateimanager.
|
user32847
(Themenstarter)
Anmeldungsdatum: 29. Januar 2014
Beiträge: 332
|
1. Ist das sicherheitstechnisch problematisch oder ist das nur ein Anzeigefehler bei PCMANFM und es kann nichts mehr passieren? Also ist das alles in Wirklichkeit ausgehängt und es reicht ein "sudo umount /media/usb-crypt? 2. Stimmt das, dass es "luks-NUMMER1" unter /dev/mapper heißt oder müsste das EIGENTLICH auch /dev/mapper/usb-crypt heißen? In /media/, wie bereits geschrieben, funktioniert es nun. 3. Es scheint also, dass PCManFM Probleme mit LUKS hat. Ist das einen Bug-Report wert?
|