# (halb geloest) Problem mit cryptsetup (luks)

## doedel

Nun mein Problem, dann die aktuelle Situation.

Wenn ich beim booten mein passwort eingeben soll, meint er ich soll im Kernel nachsehen, ob alles unterstuetzt wird. Aber mit dem gleichen Kernel kann ich (fest eingebacken, keine Module) in einem zweiten installierten System "cryptsetup luksOpen /dev/hdc1 root" verwenden, ohne probleme. (Falls ihr die genaue fehlermeldung braucht, meldet euch).

So sieht es im Moment aus:

/dev/hda1            --- Boot / Mini-Gentoo statt initrd

/dev/hda3            --- Unverschluesseltes Gentoo

/dev/hdc1            --- Verschluesseltes Gentoo

[/code]

Mit der initrd kam ich nicht so gut zurecht und nun habe ich ein Mini-Gentoo auf /dev/hda1 installiert. Dieses besteht aus busybox, uclibc, nano und einem init-datei.

Das ganze soll so laufen (tut es auch mit einem nicht verschlsseltem Dateisystem), dass er dieses bootet, in das neue herein-chrootet und dort weiter bootet. Nun eben, oben beschriebenes Problem....

Hier die init:

```

#!/bin/ash

clear

echo " Dies ist ein Linux System mit verschluesseltem Root-Device."

echo

echo " * Setze umask.."

umask 022

echo " * Mounte /proc.."

mount -t proc none /proc

echo " * Mounte Dateisysteme.."

exec /bin/cryptsetup luksOpen /dev/hdc1 root

mount /dev/mapper/root /mnt/new_root

echo "  - /dev/hdc1"

mount --bind / /mnt/mnt/new_root/boot

echo "  - /dev/hda1"

echo

echo " * Starte init.."

exec <dev/console >dev/console 2>&1

exec chroot /mnt/new_root /sbin/init

echo " * Starte eine Shell.."

exec /bin/ash

```

Das verschluesselte fs habe ich so erstellt:

```

cryptsetup -c blowfish-cbc-essiv:sha256 -y -s 256 luksFormat /dev/hdc1

mke2fs /dev/mapper/root

```

ein Gentoo ist darin auch schon installiert, aus dem unverschl. Gentoo heraus. (Dort kann ich ja mit dem gleichen kernel mounten...)

Hier meine grub.conf:

```

timeout 10

splashimage /grub/splash.xpm.gz

title Gentoo crypt

      root(hd0,0)

      kernel /gentoo-crypt2 root=/dev/hda1 init=/init

title Gentoo 2.6.16-r8

      root (hd0,0)

      kernel /gentoo-crypt2 root=/dev/hda3

      boot

```

Im Kernel habe ich Device-Mapper-Support, Cryptoloop-Support und bei Cryptographic options habe ich alles an, keine Module <*>.

Den Grossteil dieser Teile, also wie ich es mache, habe ich hierher: http://gentoo-wiki.com/SECURITY_System_Encryption_DM-Crypt_with_LUKS und http://de.gentoo-wiki.com/Mini-Gentoo

und nun hoffe ich ihr seid meine rettung im kampf gegen die unverschluesselheit xD

----------

## doedel

Halb Geloest   :Very Happy: 

1. Mir fehlte sys-fs/device-mapper in /boot

2. /dev/mapper (verzeichnis) und /dev/mapper/control fehlten

3. und ich musste /dev/mapper in eine Ramdisk legen, sonst konnte er aufgrund fehlender Schreibrechte /dev/mapper/root nicht anlegen.

So nun da naechste Problem, wenn er nun das verschluesselte Gentoo bootet, will er die Dateisysteme checken. Nur sagt er dann, dass er /dev/mapper/root nicht testen konnte, entweder "Root Password for maintance" oder "CTRL-D to Continune (--> reboot)". Gut, ich kann in der fstab 0 0 angeben, aber das ist ja auch nicht der Sinn der Sache....

Ich hoffe ihr koennt mir helfen oder ich bekomms im gegensatz zum letzen (obigen) problem schneller heraus...

----------

## blu3bird

Gibt es /dev/mapper/root auch in dem neuen /dev (unter dem neuen root) oder nur in der temporären start-umgebung?

----------

## schachti

 *doedel wrote:*   

> 
> 
> So nun da naechste Problem, wenn er nun das verschluesselte Gentoo bootet, will er die Dateisysteme checken. Nur sagt er dann, dass er /dev/mapper/root nicht testen konnte, entweder "Root Password for maintance" oder "CTRL-D to Continune (--> reboot)". Gut, ich kann in der fstab 0 0 angeben, aber das ist ja auch nicht der Sinn der Sache....
> 
> 

 

Dann mußt Du das selbst machen, vor dem Mounten der Partition. Daß es aus dem verschlüsselten System heraus nicht geht, ist ja klar - denn zu dem Zeitpunkt ist die verschlüsselte Partition bereits gemountet.

----------

## blu3bird

Du mußt die root-partition read-only mounten, sonst kann sie nicht überprüft werden. Sie wird später beim booten wieder read-write gemountet.

```
mount /dev/mapper/root /mnt/new_root -o ro
```

----------

## doedel

irgendwie klappt das alles nicht.. ich werd jetzt aber mal ein howto dazu schreiben und das dann noch fixen, brauch das ja selber auch  :Wink: 

//Edit: das howto https://forums.gentoo.org/viewtopic-p-3682702.html#3682702

----------

## doedel

so habs gelöst  :Smile:  crypt-setup-luks und device-mapper fehlten auf verschlüsseltem sys.....

 :Embarassed: 

----------

