Schmetterhand
Anmeldungsdatum: 16. Mai 2015
Beiträge: 126
|
Grüß Gott zusammen, ich habe ein ein Problem mit dem Verschlüsselungssystem "LUKS" unter (X)ubuntu 14.04 LTS. Ich habe auf meiner Festplatte neben mehreren normalen Partitionen eine LUKS-verschlüsselte Partition eingerichtet (mit "gnome-disks" per Mausklick). Wenn ich diese Partition nun mit dem Thunar einhängen will, dann muß man nach dem normalen LUKS-Paßwort auch noch das Ubuntu-Administrator-Paßwort eingeben. Und das ist ein Problem, denn es sollten nicht nur Administratoren auf diese Partition zugreifen können. Auf dem gleichen Rechner funktioniert das Einhängen einer externen, LUKS-verschlüsselten Usb-Festplatte ohne die Abfrage des Administrator-Paßworts. Ich habe mir im Ubuntuusers-Wiki den Artikel zu LUKS schon durchgelesen, habe aber für mein Problem keine Lösung gefunden. Nun wäre ich sehr dankbar für Eure Hilfe. Gruß, Schmetterhand.
|
chilidude
Anmeldungsdatum: 18. Februar 2010
Beiträge: 867
|
Füge mal in "/etc/fstab" im vierten Feld noch den Eintrag "user" (nach "defaults", wenn es drin steht) hinzu.
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
|
Schmetterhand
(Themenstarter)
Anmeldungsdatum: 16. Mai 2015
Beiträge: 126
|
Ich habe in der fstab gar keinen Eintrag zu dieser LUKS-Partition. Muß ich einen erstellen?
|
chilidude
Anmeldungsdatum: 18. Februar 2010
Beiträge: 867
|
Benno-007 schrieb: Bei mehreren eher users.
Nee, ich glaube das verwechselst du mit "owner". Der Unterschied zwischen "user" und "users" ist marginal. Er betrifft nur das Aushängen welches bei "users" allen erlaubt ist. Bei "user" darf es nur derjenige der auch einghängt hat. Schmetterhand schrieb: Ich habe in der fstab gar keinen Eintrag zu dieser LUKS-Partition. Muß ich einen erstellen?
Wäre empfehlenswert. Die "defaults-Option lässt du weg und setzt stattdessen "noauto". Ungefähr so:
<src> <dst> none user,noauto,noatime 0 0
<src> <dst> <fstype> user,nosuid,nodev,noexec,noauto,noatime 0 0 Wobei die letzte Zeile eigentlich sinnlos ist, da "user" und "users" "noexec", "nosuid" und "nodev" forcieren.
|
Schmetterhand
(Themenstarter)
Anmeldungsdatum: 16. Mai 2015
Beiträge: 126
|
Ich habe nun eine Zeile in der fstab eingefügt, wie Du es mir empfohlen hast, chilidude.
Sie sieht folgendermaßen aus:
UUID=... /media/Zielordner none user,noauto,noatime 0 0
Doch das Einhängen funtioniert immer noch nicht, denn er fragt dabei nach dem Adminpaßwort.
Jetzt bräuchte ich einen Ratschlag, was ich falsch gemacht habe und was ich ändern muß. Schon mal danke im Voraus,
Schmetterhand
|
chilidude
Anmeldungsdatum: 18. Februar 2010
Beiträge: 867
|
Nimm mal das "noauto" heraus. Danach öffnest du ein Terminal und führst den Befehl "mount" aus. Wenn die Partition nicht dort erscheint, dann führst du "sudo mount -a" aus und danach wieder "mount". Jetzt muss die Partition drin stehen. (Dann stimmen schon mal die Einträge). Mit "sudo umount" kannst du übrigens wieder ausbinden und von vorn probieren. Wenn alles funktioniert fügst du die Option "noauto" wieder hinzu und wenn es dann über Thunar nicht funktioniert kannst du mal noch den Filesystemtyp angeben oder exakt folgende Syntax, wie im Artikel "fstab" (http://wiki.ubuntuusers.de/fstab) beschrieben, probieren: noauto,user,defaults Ansonsten weiss ich auch nicht weiter. Du könntest dich in "Polkit" ("polkit automount") einlesen (Damit kenne ich mich nicht aus.) oder ein manuelles Script erstellen, welches du über "/etc/sudoers" freigibst. Edit: Es könnte auch daran liegen, dass cryptsetup nicht ohne root-Rechte ausgeführt werden kann. Dazu würde ich einfach mal testweise "/sbin/cryptsetup" das suid-Bit ("chmod u+s /sbin/cryptsetup") verpassen. Wenn es dann funktioniert, kannst du eine Ausnahme in /etc/sudoers hinzufügen. (Bitte nicht vergessen dass suid-Bit wieder zu löschen. "chmod u-s /sbin/cryptsetup")
|
Schmetterhand
(Themenstarter)
Anmeldungsdatum: 16. Mai 2015
Beiträge: 126
|
Ich habe die Ratschläge des Benutzers Chilidude nun befolgt, aber es hat keine Änderung meines Problems gebracht, d.h., wenn ich den "noauto"-Parameter aus der fstab-Zeile herausgenommen habe, dann hat er beim Befehl "sudo mount -a" eine Fehlermeldung ausgegeben, daß er den Dateisystemtyp "none" nicht kenne. Wenn ich "mount" ausführe, steht meine LUKS-Partition nicht in der ausgegebenen Liste.
Ich habe außerdem mit dem Dateisystemtyp herumgespielt, da ich seinen Namen nich kenne. Zum Beispiel läßt "ext4" eine Fehlermeldung ausgeben, und "luks" exisiert nicht.
Trotzdem vielen Dank für Deine Bemühungen, Chilidude.
|
chilidude
Anmeldungsdatum: 18. Februar 2010
Beiträge: 867
|
Binde die Partition einmal normal ein und poste bitte mal die Ausgabe von: sudo blkid
|
Schmetterhand
(Themenstarter)
Anmeldungsdatum: 16. Mai 2015
Beiträge: 126
|
Die UUID's sowie die Labels sind wohl nicht relevant. /dev/sda1: LABEL="..." UUID="..." TYPE="ext4" /dev/sda2: UUID="..." TYPE="crypto_LUKS"
|
chilidude
Anmeldungsdatum: 18. Februar 2010
Beiträge: 867
|
Doch das sind sie. Je weniger Informationen du mir gibst, desto weniger kann ich dir helfen. Wenn es dir nicht gefällt, musst du die Zahlen und Wörter substituieren. (Alles was du weglässt geht zu deinen Lasten.) Ich brauche eine komplette Übersicht der geöffneten Partition ohne gelöschte ID's oder Zeilen. Ausserdem den Inhalt von "/etc/fstab."
|
Schmetterhand
(Themenstarter)
Anmeldungsdatum: 16. Mai 2015
Beiträge: 126
|
Nun habe ich hier die notwendigen Informationen, die mir "sudo blkid" ausgibt. Ich habe die IDs entpsrechend Deinem Ratschlag anonymisiert, Chilidude.
Hier einmal mit ausgehängter Luks-Partition…
/dev/sda1: UUID="111" TYPE="ext4"
/dev/sda2: UUID="222" TYPE="crypto_LUKS"
…und dann mit eingehängter Luks-Parition:
/dev/sda1: UUID="111" TYPE="ext4"
/dev/sda2: UUID="222" TYPE="crypto_LUKS"
/dev/mapper/luks-222: UUID="333" TYPE="ext4"
Ich habe die UUIDs durch Zahlen ersetzt, um ihre jeweilige Übereinstimmung zu symbolisieren. Dann noch die fstab, ebenfalls anonymisiert:
# <file system> <mount point> <type> <options> <dump> <pass>
UUID=111 / ext4 errors=remount-ro 0 1
UUID=222 /media/Zielordner crypto_LUKS user,noauto,noatime 0 0 Wenn ich in der letzten Zeile den "noauto"-Parameter weglasse und dann "sudo mount -a" ausführe, so gibt er aus, daß "crypto_LUKS ein unbekannter Dateisystemtyp sei.
|
Benno-007
Anmeldungsdatum: 28. August 2007
Beiträge: 29240
Wohnort: Germany
|
LUKS ist auch kein Dateisystem. Über die fstab kann man sowas nicht eintragen und in der cryptsetup könnte man auch nur eine Keydatei erwirken. Man könnte zwar in der sudo-Konfiguration eine Ausnahme ohne PW erlauben, aber toll wäre das auch nicht gemacht. Mit udev fang ich gar nicht erst an (wäre gut), mit Gruppen von devices aus Sicherheitsgründen auch nicht. Vielleicht gibt es ein Userspace Tool dafür? Edit: Wenn man danach sucht, landet man im Debianforum. Cryptsetup als auch ext4 verlangen u.U. ein sudo-PW. Das erste fällt aber durch grafisches Mounten weg und das zweite sollte bei Ubuntu eigentlich erfahrungsgemäß gar nicht abgefragt werden, ansonsten nur ein fstab-Eintrag für ext4. user gehört also in deinen ersten Eintrag und der zweite raus.
|
chilidude
Anmeldungsdatum: 18. Februar 2010
Beiträge: 867
|
Schmetterhand schrieb: So muss es aussehen:
# <file system> <mount point> <type> <options> <dump> <pass>
UUID=111 / ext4 errors=remount-ro 0 1
/dev/mapper/luks-222 /media/Zielordner ext4 user,noauto,noatime 0 0
Alternativ kannst du auch die "UUID=333" einsetzen aber das Mapper-Device eindeutig ist, hast du dadurch keinen Gewinn. (Bei Neuformatierung eher im Gegenteil.) Das Mount wird nur funktionieren, wenn das Mapper-Device auch verfügbar ist. Also solltest du dieses testweise händisch erzeugen: sudo cryptsetup luksOpen <device> <mappername> # allgemeines öffnen
sudo cryptsetup luksOpen /dev/sda2 luks-222 # öffnen
sudo cryptsetup luksClose luks-222 # schliessen Du wirst dich schrittweise herantesten müssen. (Deswegen die Trennung zwischen luksmount und mount.) Zumindest das normale "mount" sollte dann ohne AdminPasswort ausführbar sein.
|