Verschlüsseln von Manjaro klappt nicht

Hallo alle,

da ich ohnehin Windows, das sich auf einer anderen Platte im gleichen Rechner befand, neu installieren durfte, entschloss ich mich, auch Manjaro neu zu installieren, und zwar verschlüsselt. Folgende Partitionsaufteilung:

HD 1: Windows System, Linux Swap, /home
HD 2: Linux /, Windows Daten

Für die Swap-Partition habe ich 10 GB geplant, da ich 8 GB RAM habe. Ich habe für /, Swap und /home Verschlüsselung ausgewählt und installiert. Beim Booten wurde ich nach dem Passwort gefragt. Ich gab es ein, jedoch wurde mir dann nach einigen Sekunden mitgeteilt, dass irgendwas nicht gemountet werden konnte. Leider habe ich mir die Fehlermeldung nicht notiert.

Ich habe dann erneut eine Installation durchgeführt, bei der ich aber bei der Swap-Partition aber merkwürdigerweise entweder nur ext 4 # LUKS oder Swap auswählen konnte. Nach der Installation bootete Manjaro ohne Passwortabfrage (außer natürlich bei der Anmeldung). Also ist offensichtlich keine Partition verschlüsselt worden. Ich kann in /home Dateien lesen und schreiben ohne Passwortabfrage.

Wie kriege ich das geregelt?

Viele Grüße
Anando

Kannst mal den Output von lsblk im Terminal hier reinstellen?
Das sollte zeigen ob, und was verschlüsselt wurde.

@TomZ:
Da ich den Verdacht hatte, dass ich selber Quatsch gemacht hatte, habe ich Manjaro erneut installiert. Also Verschlüsselung für /, Linux-Swap und /home gewählt und bei allen dreien das Passwort eingegeben (hatte ich womöglich gestern nicht bei jeder Partition gemacht). Beim Booten kam dann folgendes am Bildschirm:

Attempting to decrypt master key ...
Enter passphrase for hd(0,msdos1 (<hex>):
error: access denied
error: no such cryptodisk found
error: dis 'cryptouuid/<hex>' not found.
Entering rescue mode ...
grub rescue> _

Ich habe dann erneut installiert, aber diesmal / nicht verschlüsselt. Ich sehe als Sicherheitsrisiko ohnehin ein unverschlüsseltes /home, nicht ein unverschlüsseltes /. Diesmal kam auf dem Bildschirm:

Please enter passphrase for disk ST500DM002-1BD142 (luks-<hex>) on /home
Please enter passphrase for disk ST500DM002-1BD142 (luks-<hex>)
Please enter passphrase for disk ST500DM002-1BD142 (luks-<hex>) on /home
Please enter passphrase for disk ST500DM002-1BD142 (luks-<hex>) You are in emergency mode. After logging in, type " journalctl -xb" to view system logs, "systemctl reboot" to reboot, "systemctl default" or "exit" to boot into default mode.
Administratorpasswort für Wartungszwecke eingeben
(oder drücken Sie Strg+D, um fortzufahren):

Ich habe dann journalctl -xb eingegeben und hatte in rot folgende Meldungen, manche mehrmals:

systemd-cryptsetup [326]: Failed to open key file.
systemd-cryptsetup [326]: Failed to activate with key file 'crypto_keyfile.bin'. (Key file missing?)
Failed to activate with specified passphrase. (Passphrase incorrect?)
Invalid password file /run/systemd/ask-password/ask.WM7uD/
Failed to show password: Bad message.
Too many attempts to activate; giving up.
Failed to start Cryptography Setup for luks-<hex>.

Ich habe neu gebootet und diesmal im Kolumbus-Such- bzw. Adler-kreis-Verfahren die Passwörter eingegeben, aber es half nichts. Es kamen die gleichen Meldungen wie beim Versuch vorher.

Jetzt könnte ich mir noch vorstellen, dass ich im Setup andere Passwörter eingegeben habe als ich mir aufgeschrieben habe. Oder weisen die Fehlermeldungen auf etwas Anderes hin?

Viele Grüße
Anando

Dass ist merkwürdig, kann's sein dass beim definieren, oder der Abfrage der Passwörter eine US Tastatur eingestellt ist? Das war zumindest bei mir der Fall...

Den Verdacht hatte ich auch schon, und ich habe auch mir eine US-Tastatur, die ich im Netz gefunden habe, ausgedruckt. Darauf waren aber nicht alle Zeichen, die ich beim Passwort verwendet habe.

Gut, ich werde dann halt nur Zeichen verwenden, die auch die US-Tastatur kennt. Mir ist dunkel von einer Arch-Installation vor ca. 3 Jahren in Erinnerung, dass tatsächlich ganz am Anfang noch die US-Tastatur eingestellt ist.

Es war tatsächlich das US-Tastatur-Layout, das man benutzen muss. Ich habe alle 3 Partitionen verschlüsselt und komme jetzt in Manjaro rein. Obwohl auf dem Bildschirm noch folgende Meldung erscheint:

Ich werde mal beim Arch-Setup nachsehen, ob es möglich ist zu erreichen, dass gleich von Anfang an die deutsche Tastatur verwendet wird.

Außerdem fiel mir auf, dass beim Kopieren von Daten von meiner externen Backup-Platte der Rechner extrem langsam wurde und auch blieb. Ich schreibe jetzt von Windows aus und kann daher nicht beurteilen, ob das ein "bleibender Schaden" ist.

Viele Grüße
Anando

Eine Alternative wäre eventuell auch /boot auf eine separate Partition zu legen und das Passwort in ein File zu legen, dann wird gar kein Passwort mehr abgefragt. Ist aber natürlich nicht so sicher wie komplette Verschlüsselung. Hängt also vom Bedarf ab.

Wenn mein Rechner gestohlen wird und der Dieb etwas Ahnung hat, wird er das unverschlüsselte /boot auf Passwörter abklappern. Kommt also nicht in Frage.

Wie ich schrieb, ist der Rechner beim Kopieren von Daten langsamer geworden. Kopiert habe ich einige Daten aus dem früheren .config. Ich ging davon aus, dass das ein Fehler war. Aber da ich nicht wusste, welche Dateien ich da im einzelnen kopiert habe, habe ich Manjaro neu installiert, denn ich wollte nicht tagelang die Fehler verursachende Datei suchen. Da wurde der Rechner schon während der Installation lahm; ich musste sie wiederholen.

Da ich weiß, dass der Open-Source-Treiber meiner Grafikkarte schon früher dran schuld war, dass mir der Rechner eingefroren ist, und ich den propietären Treiber nehmen musste, habe ich nun den propietären Treiber installieren wollen. Minutenlang tat sich nichts. Rechner ausgeschaltet, 5 Minuten gewartet, Rechner neu gestartet. Jetzt wurde gleich fertig gemeldet, ich habe in dem noch offenen Meldungsfenster auf Details geklickt und bekam folgendes zu lesen:

failed to update core, extra, community, multilib (unable to lock database)
failed to synchronize all databases
pacman failed
script failed

So langsam frage ich mich, ob mein Rechner einen noch unentdeckten Hardwarefehler hat. Das RAM habe ich erst kürzlich zum x-ten Mal ergebnislos auf Fehler getestet. Rein zufällig habe ich vor ein paar Tagen in einem Log eine Meldung gelesen, dass das Lesen eines bestimmten Sektors 10 Sekunden gedauert hat. Plattenfehler? Außerdem frage ich mich, ob es zu einem Fehler kommen kann, wenn der ein- und derselbe Bereich mehrmals mit demselben Passwort verschlüsselt und bespielt wird, ohne den Bereich vorher auszunullen. Einen thermischen Hardwarefehler würde ich auch nicht ausschließen. Nur komisch, dass Windows auf der anderen Platte einwandfrei läuft. Wenn meine Haare nicht schon grau wären ...

Ich bitte um Vorschläge, was ich noch versuchen könnte. Zusätzlich lasse ich die kommende Nacht nochmal einen RAM-Test laufen. Vielleicht hat es ja doch einen Knacks ... :angry:

Viele Grüße
Anando

Sei froh, dass du noch welche hast, mir sind schon vor Jahren bei der Nutzung von WinXP ... (fast) alle ausgefallen :smiley:

Kann er machen, aber Passwörter gibts da keine sondern nur ein Binary File dass von Grub hergenommen wird um die eigentliche Partition zu öffnen, und dann hängt er an der OS Passworteingabe. Die einzige Möglichkeit das Passwort zu erlangen wäre ein Brut force Angriff auf das Binary, kann man machen, aber dann muss man schon ein besonderes Ziel sein um den Rechnereinsatz zu rechtfertigen.
Soweit ich es verstehe ist bei diesem Setup nicht dass das Problem dass die Verschlüsselung geknackt wird sondern dass der Bootprozess manipuliert wird. Ein manipulierter Bootloader zum Beispiel.
Wenn's um ein "normales" Benutzerprofil geht meines Erachtens absolut ausreichend, wäre ich Edward Snowden dann definitv nicht :slight_smile:

Zu den Performance Problemen fällt mir nicht wirklich was ein. Hast Du während das Problem auftritt schon mal journalctl -f parallel laufen lassen? Vielleicht poppt da was auf?
RAM kann ich mir eher weniger vorstellen, wenn ein Riegel aussteigt knallts richtig und nicht nur Geschwindigkeitseinbusen.
Eventuell mal die Fehlerstatistik der Festplatte anschauen? Viele fehlerhafte Schreibversuche weil die Platte kurz vor dem absterben ist?

Kaum hatte ich deinen Beitrag gestern Abend gelesen (unter Windows), kam die Fehlermeldung, auf die Partition D: sei kein Zugriff mehr. Diese Meldung hatte ich schon vor ein paar Tagen mal gehabt. Und auf der Platte, auf der D: ist, liegt auch / von Manjaro. Jetzt war mir alles klar: Die Platte war hin. Ich habe sie heute ausgebaut und durch eine ersetzt, die ich früher als externes Backup-Laufwerk verwendet hatte. Mit 300 GB war sie mir zu klein geworden, aber für meine Zwecke ist das völlig ausreichend.

Jetzt habe ich aber ein anderes Problem: Irgendwie habe ich es geschafft, ein anderes root-Passwort zu definieren als ich mir notiert hatte. Wie kann ich jetzt das root-Passwort ändern? Ich habe im Netz eine komplizierte und eine leichtere Möglichkeit entdeckt. Die leichte funktioniert so, dass man im Bootmanager die Kernelzeile editiert und dort ans Ende single schreibt. Abgesehen davon, dass das Wort kernel nirgendwo zu finden war und ich auf gut Glück an das Ende einer ellenlangen Zeile single geschrieben habe, öffnete sich nicht nach dem Booten, wie beschrieben, eine Shell, in der ich mit passwd das Passwort hätte ändern können. Ich bekam den normalen Login-Screen und das mit F12 aufrufbare Terminal sagte mir bei passwd root, ich sei dazu nicht berechtigt.

Ich hoffe, dass wenigstens die zweite, kompliziertere Version funktioniert. Die anderen Tipps, die ich gefunden habe, beziehen sich auf das Benutzerpasswort, Ubuntu oder sind ganz offensichtlich veraltet.

Am schnellsten ginge vielleicht eine Neuinstallation, aber diese Installiererei hängt mir langsam zum Hals raus.

Viele Grüße
Anando

Die einfachste Möglichkeit ist sudo zu verwenden.

sudo passwd

Voraussetzung ist natürlich das du noch dein Benutzer Passwort weißt und das dein Benutzer sudo verwenden darf.

Das mit dem "singel user mode" ist heutzutage nicht mehr so einfach den du benötigst dafür das Root Passwort. Wenn du es trotzdem ausprobieren willst, suche nach der Zeile die mit Leerzeichen gefolgt von linux anfängt. Füge am Ende nur ein s hinzu (single geht aber auch). Oft geht die Zeile über mehrere Bildschirmzeilen.

Sonst einfach nochmal installieren und am Anfang ein weniger kompliziertes Passwort verwenden. Wenn alles läuft kann man zu starten Passwörtern wechseln.

Danke für den Tipp, da hätte ich auch selbst drauf kommen können. :blush:

Mittlerweile hat sich leider herausgestellt, dass der Wechsel der Festplatte offenbar umsonst war. Je länger der Rechner läuft, umso länger dauert es, bis auf einen Tastendruck eine Reaktion erfolgt. Vielleicht ist das Datenkabel kaputt? Ich werde es mal wechseln. Hoffentlich ist der Fehler nicht auf dem Motherboard. Da ich gerade am Renovieren bin, habe ich kein Geld für einen neuen Rechner frei.

Und jetzt ab in die Heia.
Anando

Mittlerweile hat sich das Problem in Wohlgefallen aufgelöst. Als ich nämlich meinen alten, ca. 2 Monate nicht mehr benutzten Linuxrechner einschaltete, erlebte ich dort das Gleiche: Einige Minuten nach dem Booten legte auch dieser Rechner den Kriechgang ein! Diesmal kam ich zum Glück auf die Idee, top zu bemühen. Da gab es einen Prozess namens /usr/bin/baloo_file_extractor, der zeitweise 30 % CPU-Zeit und ansonsten mehr als das halbe RAM belegte.

Ich habe mich dann im Netz schlau gemacht, wie man diesen Prozess stoppt. und siehe da, der Rechner funktionierte wieder normal! Ich habe daraufhin den "neuen" Rechner wieder angeworfen und dort baloo die Platte fertig indizieren lassen, was allerdings mehr als 2 Stunden dauerte. Seitdem läuft der Rechner wieder tadellos.

Bei früheren Neuinstallationen ist mir ein solches Lahmen des Rechners nie untergekommen. Aufgefallen ist mir allerdings, dass in den letzten Monaten bei den Updates immer wieder baloo dabei war. Vielleicht ist ja die letzte Version buggy?

Ich danke allen für ihre Beiträge.

Viele Grüße
Anando

1 Like

Nachtrag:
Mir fällt auf, dass beim Booten immer der Satz da steht:

Failed to start Cryptography Setup for luks-{...8dd3}

Eben habe ich lsblk eingegeben und dabei festgestellt, dass Linux-Swap nicht verschlüsselt wird.

Gibt es eine Möglichkeit, nachträglich eine Verschlüsselung einzustellen?

Viele Grüße
Anando

Oh man! Hör bloß mit dem Verschlüsseln auf. Du machst dich immer unglücklicher damit. Du musst dir Passwörter merken und wenn die Platte crashed, dann schmerzt es richtig. Also wenn du es nicht unbedingt benötigst, dann lass das bloß sein! Alternativ gibts übrigens Hardwareverschlüsselungen. Da stöpselste die Platte an eine Karte und die regelt es dann.

Ja, das ist genau der richtige Ansatz. Wenn der Motor stottert geh ich einfach zu Fuss.

Schau mal hier rein -> https://www.privacy-handbuch.de/handbuch_37f.htm

Verschlüsselung mag vielleicht etwas komplizierter sein, ist für mich aber kein ausreichender Grund es ganz sein zu lassen.
Es gibt ja schliesslich auch mehrere Arten von Verschlüsselung. Zum Entschlüsseln mit LUKS kann man z.B. einen USB Dongle anlegen. Oder man verschlüsselt nur /home, zusammen mit dem Login-Passwort. Oder man benutzt Verschlüsselung nur für kritische Dateien, z.B. mit encfs/veracrypt.

Richtig ist allerdings, dass vor allem FDE (full disk encryption) gerne zu Problemen führt, da sollte man sich vorher ein bisschen reinlesen.

Ich meinte damit nicht,dass Verschlüsselung grundsätzlich schlecht ist. Aber wozu alles verschlüsseln, wenn ich nur meine Fotos schützen möchte? Mein Samsung Phone hat,z.b. "Knox"-Verschlüsselung. Die Verschlüsselung erfolgt dabei wohl unabhängig vom Android Schlüsselspeicher. Auf jeden Fall ziemlich geil in Kombination mit unverschlüsselten Datensicherungen. Aber wieso gleich das ganze System verschlüsseln?! Das macht mur Ärger,wenn es nicht mehr funktioniert.:stuck_out_tongue: