Mageia Forum

[wanne]

Hallo,

Ich habe mir eine verschlüsselte Swappartition angelegt.
Jetzt (seit der Installation des letzten Kernels) meint Mageia mich nach dem Key der Swappartition Fragen zu müssen. (Und das bevor ich auf interaktiv umstellen kann.)
Die verschlüsselte Swap gibt es nicht mehr. Dementsprechend kann ich sie auch nicht mehr entschüsseln.
Das bekomme ich auch als fehlermeldung:
Password:**** (die Sterne gibts natürlich nicht wirklich)
Device dosn't exixt (oder so hähnlich)
Password:
...
Sprich er bootet nicht bevor er die Swap (die gar nicht mehr verschlüsselt ist) entschlüsselt ist.
Wie kann ich ihm in Gottes nahmen beibringen, dass er die sowieso völlig unnötige Swap in Ruhe lassen soll, und einfach booten soll?

(resume Parameter habe ich schon entfernt.)

[wanne]

Also bei mga2 wird das ganze in sofern besser, das man den Vorgang wenigstens abbrechen kann. Schön ist das aber immer noch nicht.
Währe toll wenn man Mageia irgendwie sagen könnte, das es die Swap nicht schon mit der initrd entschlüsseln soll.

[doktor5000]

Und wenn du die initrd einfach neu erzeugst?

[man-draker]

Ich habe mir eine verschlüsselte Swappartition angelegt....

Der Sachverhalt ist etwas schwer nach zu verfolgen.

Du hast:

1. eine verschlüsselte swap angelegt
2. danach eine entsprechend angepasste initrd erzeugt?
3. die swap so geändert, dass sie nicht mehr verschlüsselt ist / eine neue unverschlüsselte swap angelegt?
4. die Änderung in der Datei /etc/fstab vermerkt?
5. eine den geänderten Verhältnissen agepasste initrd erzeugt?

[wanne]

Im prinzip ja, aber eigentlich nicht. (Das erstellen der initrd hört sich so aktiv an...)

1. Ich habe mir eine Verschlüsselte Swap (mit zufälligem Schlüssel) angelegt.
2. Das funktionierte zuerst auch. (Es wird ganz normal gebootet, dann wird die /etc/cryptab gelesen die da steht das die Swap mit einem neuen zufälligen Schlüssel verschlüsselt werden soll. Und dann wird sie so eingehängt.)
3. Ich habe einen neuen Kernel installiert.
4. Die Bei der Installation ausgeführten Scripts merken, dass die Swap in der crypttab steht. (Aber nicht, dass diese mit einem Dynamischen schlüssel der beim nächsten Boot nicht mehr bekannt ist verschlüsselt und nicht nur entschlüsselt wird.)
5. In die initrd wird das entschlüsseln der Swap eingebaut (Da diese nach einem suspend to Disk gebraucht würde.)
6. Ich habe gemerkt das ich nach dem Passwort gefragt werde und die Swap unverschlüsselt neu angelegt.
7. Ich kann nicht booten, da die Partition, die entschlüsselt werden soll nicht mehr existiert.

Ich habe folgende Lösungsmöglichkeiten gefunden:

• Die Swap wird mit einem statischen schlüsseln verschlüsselt (Dann muss ich mir aber den Schlüssel Merken. Mit allen nachteilen wie der Schlüssel verloren gehen kann.)
• vor jedem Kernelupdate wird die Swap entfernt und danach wider eingebunden.
• Bei Mageia 2 kann man mit ein paar Tricks den Versuch die Swap zu entschlüsseln abbrechen.

Kann sein das Ich jetzt irgendwo in der Beschreibung einen Fehler hab, was die internen Abläufe angeht. (vielleicht sthet das nicht in der initrd sondern in der config oder so. Aber Auf jeden Fall bekomme ich reproduzierbar nach dem Kernelupdate eine Passwortabfrage, zu ner Partition deren Schlüssel ich gar nicht kenne. Und das ist unangenehm...

[J_J]

Hi Wanne,
ich habe auch eine Zeit lang mit crypted FS herumgespielt, naja, wer es dann wirklich benötigt....
Ich würde auf den EInsatz eines dynamischen Schlüssels verzichten, ich hatte nur Probleme damit. Lieber einen statischen Schlüssel einsetzen.
Auf Wunsch von so einigen Ex-Win Usern die auch am Arbeitsplatz ihre Datenträger am Win PC nutzen müssen habe ich mich mit Truecrypt auseinader gesetzt und diese Lösung gefiehl am besten.
(als HInweis ohne!! jetzt Werbung machen zu wollen, die Fachzeitschrift "Linux -intern" hatte in der letzten oder vorletzten Ausgabe einen nicht so schlechten Artikel dazu)
So als Tip, der Arbeistspeicher ist preislich nicht mehr so ruinös, wenn du 8GB oder mehr steckst kannst du Swap beruhigt deaktivieren und wenn du meinst ein "mini" Ram Drive anlegen (tmpfs?). Das würde dir 100% Sicherheit geben /home auf einer eigenen Partition oder Laufwerk setzen ist ja ein alt bekannter Trick oder?
Der Grund weshalb ich mich mit deaktiviertem Swap beschäftigen musste waren so einige SSD Festplatten .... wie immer, geht nicht, gibt es nicht unter Linux

[wanne]

Auf Wunsch von so einigen Ex-Win Usern die auch am Arbeitsplatz ihre Datenträger am Win PC nutzen müssen habe ich mich mit Truecrypt auseinader gesetzt und diese Lösung gefiehl am besten.

Warum das? Also ich zähle mal die mir bekannten Nachteile auf:

• Nur ein pw (interessant für Multiuserbetrieb)
• Grauenhaft rechenintensiv (warum auch immer)
• Da Patentbehaftet ist wohl sowohl die Verbreitung wie auch die Nutzung illegal.
• Kein Hibernate
• Keine Verschlüsslung der /root Partition
• Keine Random Passwörter
• Kaum verfügbare Chipper/Algorithmen

LUKS funktioniert auch hervorragend unter Win (FreeOTFE) Nur Mac ist ein Problem. Dafür gibts Luks für irgend ein BSD
Und ich meine intuitiver als beim Partitionieren den Haken für verschlüsselt setzen und dann nach dem pw gefragt werden geht eigentlich nicht und so funktioniert das mittlerweile bei fast allen Distros. (Wenn ich nur das Nutze was auch truecrypt bietet habe ich ja auch kein Problem.)

Zum Thema:
Wie gesagt unter Fedora funktionieren dynamische Schlüssel ohne Probleme.
Ansonsten mag ich die SWAP weil es gut ist, das es zuerst langsam wird bevor der Totalcrash kommt. (Speicherbeschränkungen für einzelne Programme will ich nicht, da ich lieber selber entscheide wie ich meinen Speicher wider frei bekomme z.B. zuerst ein term senden bevor mit Segmentation fault beendet wird)

[J_J]

Du hast schon Recht, nur sind wir die "doofen" die es zum laufen bekommen müssen und das auch unter den kritischen Augen der Fachwelt.
Ich sagte ja schon, wer es dann wirklich benötigt..... Meist ist es aber so dass das Wissen der User die es gerne nutzen möchten gleich Null ist und nur auf Aussagen und Berichten von anderen beruht die dem einzelnen Nutzer Angst vermitteln.
Auf FC und anderen Distributionen geht es, aber, wer will schon FC?
Und schon beißt sich der Hund wieder in den Katzenschwanz
TrueCrypt war (und ist) eine Lösung von mir/uns die aus der Not heraus entstanden ist um auch auf Win "kompatibel" zu sein. Das es nur eine Notlösung ist, darüber brauchen wir uns nicht streiten
Die Baustelle ist noch recht groß ^^

Wenn du dein Sys wirklich sicher willst, schneide alle Kabel ab die dich mit der Außenwelt verbinden und lege die FP in den Tresor ..... das ist leider die einzige sichere Lösung , einmal Online und das kann es für dich gewesen sein.....

Ich gehöre übrigens zu der Fraktion "ich bin Paranoid, weil ich weiß wir sehr ihr mich belauscht" (Mit "ihr" meine ich natürlich nicht Euch hier, sondern "die", die sich gerade jetzt angesprochen fühlen sofern sie das hier gerade mit-lesen)
Und trotzdem sind meine Daten unverschlüsselt, allerdings nur über ein fieses VPN Netz zu erreichen....

[wobo]

Du hast schon Recht, nur sind wir die "doofen" die es zum laufen bekommen müssen und das auch unter den kritischen Augen der Fachwelt.

Tja, das ist aber ein selbst gemachtes Problem derer, die Du "die doofen" nennst. "Meine User wollen das und ich muss es machen" ist eine tatsächlich oft gehörte Entschuldigung von Leuten, die diesen Usern nicht klarmachen können/wollen, warum das Mist ist, was "ihre User" wollen. Ist die gleiche Entschuldigung wie die der Mama des 8.jährigen Brandstifters ("Aber er hat sich doch so sehr ein Feuerzeug und den Benzinkanister zu Weihnachten gewünscht!")

Ich gehöre übrigens zu der Fraktion "ich bin Paranoid, weil ich weiß wir sehr ihr mich belauscht" (Mit "ihr" meine ich natürlich nicht Euch hier, sondern "die", die sich gerade jetzt angesprochen fühlen sofern sie das hier gerade mit-lesen)

Die aus Bielefeld lesen immer und überall mit!

[wanne]

TrueCrypt war (und ist) eine Lösung von mir/uns die aus der Not heraus entstanden ist um auch auf Win "kompatibel" zu sein.

Wie gesagt: Solange es um Win geht ist das Vergangenheit. FreeOTFE ist mitlerweile mindestens genau so gut wie TrueCrypt.

Im übrigen wie es so gut geht ext2 unter Win zum laufen zu bekommen, wie ntfs unter Linux.

[J_J]

Wolfgang, ich bin uch einer von den "doofen", aber ich wollte es genauso wie alle anderen auch und -ich- bereue das nicht
@Wanne, das stimmt, Truecrypt kam (kommt leider noch immer) bei uns für "die" zum EInsatz. Ich pers. mag es absolut nicht