ubuntuusers.de

Moin,

luks ist ein neues Thema für mich. Letzte Woche installierte ich den Rechner neu, die ganze SSD verschlüsselt. Das funktionierte mit Kernel 5.15.0-58 der bei der Installation mitkam wunderbar. Beim Booten wurde der Masterkey für hd0,gpt2 (d35...3344) gefragt. Dann ging es weiter.

Nach dem Update des Kernels auf 5.15.0-60 wird beim Booten immer noch gefragt, allerdings kommt dann nach einiger Zeit die Fehlermeldung:

cryptsetup: ERROR Skipping Target luks-5979...9c99e: non-existing key file /cryptoroot/keyfiles/luks-59....c99e

Gut für mich: Vom USB-Speicherstick gebootet lässt sich die Partitionen /dev/nmme0n1p2 mit cryptsetup und mount problemlos einbinden. /dev/nmme0n1p3 ist auch encrypted, scheint die SWAP-Partition zu sein. Selber Masterkey, crypsetup luksOpen funktioniert ebenfalls im von USB gebooteten System. macht keinen Unterschied). Schlecht für mich: Nachdem ich 1x im Grub-Menu noch mit dem Kernel 5.15.0-58 booten konnte klappt das jetzt auch nicht mehr. Was tun? Dankbar für Hinweise.

Willst du mit der Schlüsseldatei automatisch entsperren? Wie sie die /etc/crypttab aus?

Moin,

danke für die schnelle Antwort.

DJKUhpisse schrieb:

Willst du mit der Schlüsseldatei automatisch entsperren? Wie sie die /etc/crypttab aus?

Das ist ein Notebook das auch auf Reisen geht. Wenn wie bisher ein Passwort abgefragt wird ist das okay und sicher genug.

Inhalt der /etc/crypttab:

1
2
3

# <name>               <device>                         <password> <options>
luks-d357f72b-7ca3-4527-aedb-c65df1a43344 UUID=d357f72b-7ca3-4527-aedb-c65df1a43344     /crypto_keyfile.bin luks,discard
luks-5979b356-8edd-4814-ab07-fb8f60c9c99e UUID=5979b356-8edd-4814-ab07-fb8f60c9c99e     /crypto_keyfile.bin luks,discard

Die UUIDs finden sich auch in der /etc/fstab wieder:

1
2
3
4
5

# <file system>             <mount point>  <type>  <options>  <dump>  <pass>
UUID=3F81-2E0E                            /boot/efi      vfat    defaults,noatime 0 2
/dev/mapper/luks-d357f72b-7ca3-4527-aedb-c65df1a43344 /              ext4    defaults,noatime,discard 0 1
/dev/mapper/luks-5979b356-8edd-4814-ab07-fb8f60c9c99e swap           swap    defaults,noatime,discard 0 0
tmpfs            /tmp           tmpfs   defaults,noatime,mode=1777 0 0

Dann entferne die Schlüseldatei in der crypttab. Hier als Beispiel in Debian, ist in Ubuntu IIRC aber genauso.

m@ryz:~$ cat /etc/crypttab 
sda2_crypt UUID=xyt none luks,discard
Datenplatte_crypt UUID=bla none luks
m@ryz:~$ 

Moin,

DJKUhpisse schrieb:

Dann entferne die Schlüseldatei in der crypttab. Hier als Beispiel in Debian, ist in Ubuntu IIRC aber genauso.

m@ryz:~$ cat /etc/crypttab 
sda2_crypt UUID=xyt none luks,discard
Datenplatte_crypt UUID=bla none luks
m@ryz:~$ 

alle Kombinationen getestet: In der /etc/cyptttab und der /etc/fstab auskommentiert. Trotzdem kommt noch die selbe Fehlermeldung. Also mit Hinweis auf die Swap-Partition mit ....c99e. Da scheint noch etwas im Grub zu stecken.

In den Bootmeldungen steht für beide Partitionen: non-existing key file

In initramfs geschaut: /cryptroot/keyfiles/ ist leer. Als könnte nach der Einabe des Passworts die Datei nicht geschrieben werden. So stelle ich mir zumindest die Reihenfole vor. In /cryptroot gibt es eine Datei crypttab die die zwei Einträge enthält die auch in der /etc/cryptroot stehen.

Zeige deine crypttab. Da muss natürlich dein verschlüsseltes Laufwerk drinstehen. Zeige auch deine fstab.

Moin,

DJKUhpisse schrieb:

Zeige deine crypttab. Da muss natürlich dein verschlüsseltes Laufwerk drinstehen. Zeige auch deine fstab.

so sieht es aus:

/dev/nvme0n1p2:/etc/fstab:

# <file system>             <mount point>  <type>  <options>  <dump>  <pass>
UUID=3F81-2E0E                            /boot/efi      vfat    defaults,noatime 0 2
/dev/mapper/luks-d357f72b-7ca3-4527-aedb-c65df1a43344 /              ext4    defaults,noatime,discard 0 1
/dev/mapper/luks-5979b356-8edd-4814-ab07-fb8f60c9c99e swap           swap    defaults,noatime,discard 0 0
tmpfs                                                 /tmp           tmpfs   defaults,noatime,mode=1777 0 0

/dev/nvme0n1p2:/etc/crypttab:

# <name>               <device>                         <password> <options>
luks-d357f72b-7ca3-4527-aedb-c65df1a43344 UUID=d357f72b-7ca3-4527-aedb-c65df1a43344     /crypto_keyfile.bin luks,discard
luks-5979b356-8edd-4814-ab07-fb8f60c9c99e UUID=5979b356-8edd-4814-ab07-fb8f60c9c99e     /crypto_keyfile.bin luks,discard

initramfs:/etc/fstab ist leer

initramfs:/etc/crypttab:

luks-d357f72b-7ca3-4527-aedb-c65df1a43344 UUID=d357f72b-7ca3-4527-aedb-c65df1a43344     /crypto_keyfile.bin luks,discard
luks-5979b356-8edd-4814-ab07-fb8f60c9c99e UUID=5979b356-8edd-4814-ab07-fb8f60c9c99e     /crypto_keyfile.bin luks,discard

/crypto_keyfile.bin muss weg und none rein, wenn du keine Schlüsseldatei willst.

Moin,

gestern hatte ich keinen Nerv mehr ....

DJKUhpisse schrieb:

/crypto_keyfile.bin muss weg und none rein, wenn du keine Schlüsseldatei willst.

okay, soweit gemacht. Mein Vorgehen:

von der Install-CD gebootet, die /dev/nvme0n1p2 eingebunden und (zur Sicherheit) und der /etc/fstab den Eintrag zur Swap-Partionen (die ja die Probleme macht) auskommentiert und in der /etc/crypttab die Zeile wie von dir beschrieben angepasst.

Dann initrd für 5.15.0.60 generiert und Grub neu geschrieben.

Aktuelles Bootverhalten: Einschalten → Passphraseabfrage der encypted Partition → Grub-Menu.

Wähle ich 5.15.60 aus kommt keine Fehlermeldung mehr mehr, ich lande trotzdem in der ash der initrd. Wähle ich 5.15.58 aus kommt die bekannte Fehlermeldung mehr mehr, ich lande in der ash der initrd.

Dort sehe ich egal mit welchem Kernel keine etc/crypttab mehr.

Habe mein System wohl ziemlich zerschossen. Immerhin sind die Daten noch da. Ich mache jetzt erstmal ein Backup aus diesem Zustand, dann gehen mir die letzte 24h Arbeit nicht verloren. Überlege einfach neu zu installieren und dann das Backup zurück zu spielen. Aber wenn's beim nächsten Kernel-Update dann wieder schief geht ....? Irgendwas mache ich (!) falsch ☹

Micha

Zeige die fstab. An der solltest du eigentlich nichts ändern.

Moin,

nach einigen erfolglosen Versuchen installierte ich neu. Keine grosse Sache, es gab ja ein Backup. Micha