Ich habe Kubuntu 17.04 verschlüsselt installiert und möchte nun eine zweite interne Festplatte verschlüsseln und bei Systemstart automatisch einbinden. Was bisher geschah:
Ursprüngliche Installation
Das System wurde gemäß der Anleitung im Wiki (https://wiki.ubuntuusers.de/System_verschl%C3%BCsseln/) bei der Installation verschlüsselt. Es gibt dadurch eine Boot-Partition (boot) und eine mit LUKS verschlüsselte Partition (lukslvm), auf der sich die beiden mit LVM erstellten Partitionen swap und root befinden.
Verschlüsselung der zweiten Festplatte
Bei der Verschlüsselung der zweiten Festplatte habe ich mich an der Schlüsselableitungs-Anleitung orientiert (https://wiki.ubuntuusers.de/LUKS/Schl%C3%BCsselableitung/ - Unterpunkte "Neues LUKS-Gerät"). Abgeleitet wird der Schlüssel von der lukslvm-Partition.
Die Erstellung scheint auch erfolgreich gewesen zu sein:
1 | sudo /lib/cryptsetup/scripts/decrypt_derived lukslvm | sudo cryptsetup luksOpen /dev/sda1 luks_2 |
wirft keine Fehlermeldung, und unter /dev/mapper erscheint luks_2. Allerdings weiß ich nicht, wie ich auf das Dateisystem zugreifen kann - müsste das noch gemountet werden?
Automatishes Einbinden bei Systemstart
Das automatische Einbinden beim Systemstart habe ich dann versucht, ebenfalls anhand des Schlüsselableitungs-Artikels umzusetzen (inklusive der verlinkten Anleitung zum "crypttab editieren"):
In /etc/crypttab wurde
luks_2 UUID=12345678-abcd-usww-usff-0123456789AB lukslvm luks,keyscript=/lib/cryptsetup/scripts/decrypt_derived
angehängt.
1 2 3 | sudo mkdir /etc/initramfs-tools/scripts/luks sudo cp /lib/cryptsetup/scripts/decrypt_derived /etc/initramfs-tools/scripts/luks/get.root_crypt.decrypt_derived sudo sed -i s/lukslvm/root/g /etc/initramfs-tools/scripts/luks/get.root_crypt.decrypt_derived |
Anschließend habe ich /etc/initramfs-tools/conf.d/cryptroot angelegt und dort mit einem Texteditor eingetragen:
1 2 | target=lukslvm,source=UUID=9a1cc1e1-890d-46f7-9e0d-148b7142c013,key=none target=luks_2,source=UUID=fcb7b1ed-548d-4495-932b-0b0fd1395f90,keyscript=/scripts/luks/get.root_crypt.decrypt_derived |
Das anschließende
sudo update-initramfs -u -k all
hatte dann aber Fehlermeldungen zur Folge:
update-initramfs: Generating /boot/initrd.img-4.10.0-26-generic /etc/initramfs-tools/scripts/luks/get.root_crypt.decrypt_derived: failed to find prereqs in dmtable update-initramfs: Generating /boot/initrd.img-4.10.0-24-generic /etc/initramfs-tools/scripts/luks/get.root_crypt.decrypt_derived: failed to find prereqs in dmtable update-initramfs: Generating /boot/initrd.img-4.10.0-19-generic /etc/initramfs-tools/scripts/luks/get.root_crypt.decrypt_derived: failed to find prereqs in dmtable
Bei Systemstart wird jetzt nach der ursprünglichen Passphrase gefragt, anschließend nach einer zweiten (zur Entschlüsselung von luks_2). Nach dreimaliger Falscheingabe (weil keine zusätzliche Passphrase generiert wurde) fährt das System (mit kruzer Fehlermeldung dazu) normal hoch. luks_2 kann auch wie oben manuell entschlüsselt werden.
Und nun?
Die Frage ist jetzt, was hier falsch läuft/ lief - ich bin für jede Hilfe dankbar.