ubuntuusers.de

Mein Rechner ist 10 Jahre alt und die Bioschips sind defekt (einer geht garnicht mehr, der andere zickt immer mal wieder herum, je nach Einstellungen/Situation, wie ich die letzten Tage feststellen musste), wird aber demnächst repariert (werde die Chips austauschen).

Ich habe vor ca. einem halben bis einem Jahr Kubuntu 20.04 per GUI-Installationsassisten installiert, inklusive Luks-Vollverschlüsselung. Mit dem System arbeite ich jeden Tag und es sollte nach Möglichkeit schnellstmöglich wieder einsatzbereit sein (kritisch ist vor allem der darauf installierte Thunderbird und die tausend filigranen Systemeinstellungen, die ich nicht nochmal neu aufsetzen möchte). Ironischerweise ist das System abeschmiert, als ich Backups davon machen wollte... (hab leider die richtige Reihenfolge nicht strikt genug eingehalten)

Ich habe das Betriebsystem vor kurzem per

sudo dd if=/dev/sda of=/dev/sdb status=progress bs=1M

auf eine größere Festplatte kopiert (von 128GB SSD auf 256GB SSD, die alte Platte habe ich leider bereits formatiert, nachdem die neue erfolgreich getestet war, weil ich die alte für einen anderen Zweck brauchte)

Habe anschließend mit mehreren GUI-Tools (weil es per LiveCD nicht auf Anhieb klappte und ich zusätzlich mangels Rechnern einen Raspberry zu Hilfe genommen habe) mit Gpartet, Gnome-Disks-Utility und oder dem KDE-Partition-Manager die verschlüsselte Hauptpartition auf die Größe der neuen SSD vergrößert. Anschließend konnte ich das Betriebssystem auf der neuen SSD mehrmals wie gewohnt fehlerfrei neu booten und ganz normal verwenden (auch die neue Partitionsgröße wirkte). Ich habe im Bios dann Einstellungen vorgenommen, damit es möglich wird, vom USB-Stick zu booten (weil ich ein vernünftiges Zweitsystem auf USB-Stick für eben solche Fälle aufsetzen wollte), was aber aufgrund des defekten Bios dazu führte, dass nach dem Speichern der neuen Bios-Einstellungen der Bootvorgang beim Bioslogo hängen blieb (Freeze inkl. Grafikfehler) und ich den Rechner hart ausschalten musste. Nach CMOS-Clearen, Biosbatterie entfernen (weil ersteres per Button nicht zuverlässig funktionierte) und anderen Spielereien das Bios wieder gangbar zu machen (Freeze nach jedem Start und ließ sich per F12/Entf etc. nicht mehr betreten), bootete die Festplatte nicht mehr. Es erscheint die übliche Bios-Fehlermeldung, wie wenn man keine Festplatten am Rechner angeschlossen hat (hab den Text grad nicht im Kopf, den kurzen Zweizeiler kennt aber jeder). Ich habe dann über einen Raspberry per

sudo dd if=/dev/sdd of=/media/anderegroßebackupfestplatte/backupimage.img status=progress bs=1M

sicherheitshalber ein Image der gesamten Platte gezogen. (allerdings mit der vermutlich defekten Bootpartition)

Habe mir jetzt ersatzsweise auf einer anderen älteren SSD Kubuntu 20.04 installiert (auch komplett LUKS verschlüsselt), um von dort aus die Platte mit dem Hauptsystem wieder gangbar zu machen. Denn die LIVE-CD scheint nur eingeschränkt zu funktionieren (Lukspartitionen lassen sich per LIVE-CD z.B. aus irgendeinem Grund generell garnicht öffnen, habe bisher mit Live-CDs aber nur sehr selten gearbeitet) Allerdings kann ich auch auf dem neu installierten Kubuntu (welches übrigens einwandfrei bootet) nicht auf die Lukspartition meines alten Hauptsystems zugreifen, mit der Antwort das Passwort sei falsch, obwohl dieses definitv richtig ist. Andere Luks-verschlüsselte Datenträger kann ich aber hierüber ohne Probleme einhängen. Die Festplatte ist aber (laut SMART) vollkommen okey und es werden beim überprüfen der Partitionen auch keinerleri Fehler gefunden und sie lassen sich, bis auf die LUKS Partition (wo das Passwort angeblich falsch ist) einhängen.

Daher sind jetzt meine Hauptfragen folgende:

Wie kann ich den Bootbereich der Festplatte reparieren? (um die Platte wieder normal weiterzuverwenden und eine extrem aufwendige Neuinstallation zu umgehen)

Wie komme ich an die LUKS-Partition heran, um wenigstens den /Home Ordner zu sichern? (dort befindet sich noch ein sehr komplex eingerichteter Thunderbird, inklusive sämtlicher eMailverkehr, der noch nicht komplett gesichert ist).

Bilder im Anhang, die weitere Fragen aufwerfen. Z.B. warum die Bootpartitionen zwischen dem Hauptbetreibssystem und meiner aktuellen Not-Version so unterschiedlich sind, aber evtl. habe ich aufgrund der Biosproblematik damals spezielle Einstellungen getroffen) Oder warum im Terminal (lsblk) unter /DEV/SDB eine Partition plötzlich SDA6 heißt und nicht SDB6 ? Obwohl SDA bereits für eine andere Festplatte vergeben ist (/dev/sdb ist in dem Fall die Festplatte die gerettet werden muss). Aber da fehlt mir vielleicht nur das Wissen, wie Linux Laufwerke und Partitionen bennent, habe ich so bisher aber noch nie gesehen. Und noch ein Screenshot zur den Kompatibilitäten des Bios.

Bin natürlich dankbar, auf alle Fehler die ich gemacht habe und hier entdeckt werden, aufmerksam gemacht zu werden. Dass diese beim nächsten mal nicht nochmal passieren. Diesen EFI-Quatsch durchblicke ich z.B. noch nicht ganz (zu selten damit zu tun) und warum die Bootbpartitionen zwischen dem neuen Testystem und meinem eigentlichen so stark abweichen, obwohl ich der Meinung bin, beide ganz normal per GUI-Installationsassistenten ohne besonderre Einstellungen (ausser zusätzlicher LUKS Verschlüssuelung) aufgesetzt zu haben.

PS: Ich habe von der Systemplatte noch ein älteres Image, dass allerdings schon ein par Monate alt ist und aber auch während des Betriebes per DD-Befehl auf eine externe Festplatte kopiert wurde (also das System kopiert, welches gerade verwendet wird, was man ja eigentlich nicht machen sollte).

Wie komme ich an die LUKS-Partition heran

Ohne ein funktionierendes Kennwort: wohl gar nicht, dafür hast du ja schließlich verschlüsselt.

Tastaturlayout, Locales etc. sind gleich dem alten System gesetzt? Ggf. Variationen probieren.

Wie kann ich den Bootbereich der Festplatte reparieren?

Darüber kann man sich Gedanken machen, wenn du entschlüsseln kannst. Vermutlich aber per Live-System und chroot-Umgebung.

Ich habe mich über die EFI-Thematik nochmal belesen und habe die Vermutung, dass ich das "Bios" bzw. UEFI auf Legacy umgeschaltet habe und dies aber nichtmehr zurück auf EFI schalten kann.

Ich habe nur die Option "PCI ROM Priority", die ich auf (Legacy ROM) oder (EFI Compatible ROM) schalten kann. Ansonsten gibt es EFI-technisch nur noch die Option "Legacy USB Support" (Enable), (Disable) (Auto), welches sich aber nur auf die USB-Ports bezieht.

Ich vermute ganz stark, dass "PCI ROM Priority" auf EFI stand, als ich Kubuntu damals installiert habe und Kubuntu daher als UEFI installiert wurde (ich glaube sogar absichtlich, weil mich das Thema damals schon beschäftigt hat, bis es wieder in Vergessenheit geraten ist). Jetzt habe ich es kurz wegen Tests wol auf Legacy umgeschaltet und bekomme es aber nicht mehr zurück auf EFI. Wenn ich jetzt auf EFI stelle, schmiert das Bios ab und es tut sich nichts mehr, bis ich einen CMOS Reset durchführe (und standartmäßig wieder Legacy eingestellt ist). Irgendwelche "Secure Boot" oder CSM Einstellungen gibt es in meinem Bios nicht (oder erscheinen erst bei der Einstellung EFI unter PCI ROM Priority).

Ich werde also auf die neuen Bioschips warten müssen. Denn wenn ich das wieder gangbar bekomme, werde ich gleich alles nur noch unter EFI installieren, da derzeit ein ziemlicher Mischmasch bei mir herrscht, nachdem ich meine Platten darauf untersucht habe und ich die Thematik jetzt zumindest grundsätzlich verstanden habe.

dingsbums schrieb:

Wie komme ich an die LUKS-Partition heran

Ohne ein funktionierendes Kennwort: wohl gar nicht, dafür hast du ja schließlich verschlüsselt.

Tastaturlayout, Locales etc. sind gleich dem alten System gesetzt? Ggf. Variationen probieren.

Wie kann ich den Bootbereich der Festplatte reparieren?

Darüber kann man sich Gedanken machen, wenn du entschlüsseln kannst. Vermutlich aber per Live-System und chroot-Umgebung.

Tastaturlayout überprüfen ist immer das erste was ich mache, wenn ich ein neues/fremdes System verwende. Darauf habe ich geachtet. Meist gebe ich ZY oder Sonderzeichen in irgendeine sichbare Textzeile probeweise ein, wenn ich Passwörter vergebe. Ich habe es auch schon auf verschiedenen Systemen versucht zu öffnen. (RaspberryPi, LiveSystem, neue Kubuntu Installaltion)

Das Passwort ist definitiv richtig, da ich das schon hunderte mal, jeden Tag aus Reflex eingebe (beim Rechnerstart). Ist es möglich, dass die Lukspartition beschädigt wurde? Aber dann gäbe es sicherlich eine andere Fehlermedlung? Oder verwendet die Partition selbst noch ein anderes Passwort, als das welches man wärend des Insallationsassistenten angibt? (was ich mir aber nicht vorstellen kann). Bei dem was ich gelesen habe, ist es wol auch tatsächlich notwendig, die Lukspartition zu öffnen, wenn man den eigentlich unverschlüsselten Bootbereich reparieren will. Meine Idee wäre sonst gewesen, die EFI-Partition in eine Bios-Partition umzuwandeln, damit ich dann wenigstens erstmal unter dem defekten Bios weiter arbeiten kann, denn zumnindest der Legacy Modus funktioniert ja noch. https://wiki.ubuntuusers.de/EFI_Modus_umstellen/

Noch eine Sache wäre höchstens, das beim Duplizieren der Festplatten per DD-Befehl (welcher ja auch die UUIDs dupliziert) im NVRAM vom Bios irgendwas durcheinander geraten sein könnte. Denn zumindest der wird nach einem CMOS Reset nicht komplett gelöscht (weil ich im Bios immernoch uralte Einträge von Linuxsystemen in der Prioritätenliste sehe). Aber mich mit der Thematik auseinanderzusetzen (ihn auszulesen oder versuchen umzuschreiben), fehlt mir die Zeit.

Ist es möglich, dass die Lukspartition beschädigt wurde?

Im Thema https://forum.ubuntuusers.de/topic/verschluesselte-externe-usb-fp-kann-nicht-mehr/ schrieb seahawk1986, wie man den LUKS-Container auf einen intakten Header prüfen kann.

Leider steht in der FAQ nicht beschrieben, wie ein erfolgreiches (oder misslungenes) Ergebniss aussieht. Aber vermutlich scheint es bei mir erfolgreich verlaufen zu sein.

sudo cryptsetup -v isLuks /dev/sdxY

gibt bei mir auf dem Testsystem (sda6) wie auch auf der zu rettenden Platte/Partition (sdb3) ein "Command successful".

sudo blkid -p /dev/sdxY

gibt ebenfalls auf beiden Systemen ein ähnliches Ergebniss, hier sda6 (Testsystem):

/dev/sda6: VERSION="2" UUID="########-####-####-####-############" TYPE="crypto_LUKS" USAGE="crypto" PART_ENTRY_SCHEME="dos" PART_ENTRY_UUID="########-##" PART_ENTRY_TYPE="0x83" PART_ENTRY_NUMBER="6" PART_ENTRY_OFFSET="2551###" PART_ENTRY_SIZE="49756####" PART_ENTRY_DISK="8:0"

(# = von mir nachträglich verändert)

und sdb3 (das defekte System):

/dev/sdb3: VERSION="2" UUID="########-####-####-####-############" TYPE="crypto_LUKS" USAGE="crypto" PART_ENTRY_SCHEME="gpt" PART_ENTRY_UUID="########-####-####-####-############" PART_ENTRY_TYPE="########-####-####-####-############" PART_ENTRY_OFFSET="254#####" PART_ENTRY_SIZE="4858#####" PART_ENTRY_DISK="8:16"

Wenn der Header defekt wäre, gäbe es garkein Ergebniss oder eine Fehlermeldung?

EDIT: Laufwerksbezeichnungen geändert (hab ich zuvor leider vertauscht)

Hallo,

ein Header-Backup wie hier beschrieben (LUKS/Passwort und Headerverwaltung (Abschnitt „Header-sichern“) gibt es aber nicht?

Zoner schrieb:

Leider steht in der FAQ nicht beschrieben, wie ein erfolgreiches (oder misslungenes) Ergebniss aussieht.

Irgendwas sollte er schon melden, wenn der Test erfolglos war, diese und weitere Meldungen kämen in Frage:

wrong or missing parameters
no permission or bad passphrase
out of memory
wrong device or file specified
device already exists or device is busy
unknown error
Command failed with code ...

dingsbums schrieb:

Ist es möglich, dass die Lukspartition beschädigt wurde?

[...] wie man den LUKS-Container auf einen intakten Header prüfen kann.

Die Frage ist, wie zuverlässig diese Prüfung ist, wenn nur ein paar Bits kaputt sind. Man kann schon eine ganze Weile den Header verändern und er wird durch den Test immer noch als brauchbar angesehen. Die Entschlüsselung klappt allerdings ziemlich schnell nicht mehr. Möglicherweise werden mit sudo cryptsetup -v isLuks /dev/sdxY wirklich nur die ersten paar Zeilen des Headers geprüft? (Verschlüsselungs-/ Hash-Algorithmus etc.)

Auf der Kommandozeile entschlüsseln liefert auch nur den Hinweis auf ein falsches Passwort?

sudo cryptsetup luksOpen /dev/sdb3 luksplatte

Im Live-System muss natürlich cryptsetup installiert und geladen sein. Und vorher prüfen ob sdb immer noch die richtige Platte ist, kann sich ja nach jedem Neustart ändern...

san04 schrieb:

Hallo,

ein Header-Backup wie hier beschrieben (LUKS/Passwort und Headerverwaltung (Abschnitt „Header-sichern“) gibt es aber nicht?

Nein gibt es nicht, da ich in dem Bereich bisher nie Probleme hatte. Aber Danke für den Link. Damit werde ich mich absofort beschäftigen.

Auf der Kommandozeile entschlüsseln liefert auch nur den Hinweis auf ein falsches Passwort?

sudo cryptsetup luksOpen /dev/sdb3 luksplatte

Wie bekomme ich heraus welche Bezeichnung meine "Luksplatte" anstelle von "luksplatte" hat? Daher hab ich diesen Terminal Befehl bisher nicht genutzt, da mich die Bezeichnung hinter /dev/sbx immer irritiert hat. Wozu wird die überhaupt benötigt? Es ist doch eh das gesamte sdb6 verschlüsselt? Mit dieser "Device Mapping" Thematik habe ich mich bisher nicht beschäftigt.

Der Name ist beliebig wählbar. Nach der Entschlüsselung kannst du dir dann anschauen, wie du die Platte damals benannt hast.

Wenn ein LVM im LUKS-Container liegt dann mit

sudo lvs

oder

ls /dev/mapper

Die entsprechende Partition musst du dann noch mounten.

Wichtig ist eben, dass die sdb wirklich die Platte ist, die du entschlüsseln willst.

Dass es die richtige Platte ist, prüfe ich immer zuvor mit lsblk.

Es kommt das selbe bei raus:

1

No key available with this passphrase.

Was wol mit "falsches Passwort" gleichzusetzen ist? Habe das Passwort auch mit englischer Tastaur probiert, weil davon betroffene Zeichen darin vorkommen. Bringt aber nichts. Das Passwort ist 100% richtig. Ist eines meiner meistbenutzten Passwörter seit letztem Jahr und in einem meiner verschlüsselten "Passwortmanager" habe ich es auch nochmal gegen geprüft. Eine andere Partition (einer anderen Platte) zu entschlüsseln klappt aber auf diese Weise.

Dann bin ich leider raus...

Vielleicht sollte der Beitrag in "System einrichten und verwalten" verschoben werden? Da lesen ggf. noch mehr User mit, die hier weiterhelfen könnten...