Würde Passphrase gerne nur einmal eingeben müssen


#5

Nein - sondern statt einer Passphrase wird eine Datei mit zufall ™ darin als Schlüssel verwendet um die SWAP Partition zu entsperren.

Ne, mMn nicht - ich such dir gleich den Thread bzw. nen Artikel wie man auf ein Keyfile umstellt zum entsperren einer Partition.

Ich suche ^^

Ps: Außer du hast eh noch nicht wirklich was mit dem System gemacht (eingerichtet) dann fetz es nochmal drauf - bzw suspend to disk funzt mit swapfile nicht - mit einer swap partition (kann es) funktionieren.


#6

Aber warum nicht ein swap-file verwenden?

Ist bei einer SSD doch vielleicht eh besser, weil da ja immer die am wenigsten benutzen Blöcke zuerst benutzt werden. Wenn swap fest partitioniert ist, dann gehen die Blöcke ja im Zweifel auch schneller kaputt. Oder regelt das alles der SSD-Controller?


#7

Achso, suspend to disk ist natürlich sinnvoll zu haben, stimmt. Das hat mich bei einem swap-file schon mal gestört, dass das nicht ging.

Und ja, das System ist noch nicht richtig fertig eingerichtet und ich will es einfach von Anfang an richtig machen, was bei einem rolling-release ja besonders Sinn macht.


#8

Ich muss ehrlich sagen ich nutze nur suspend to ram auf meinem Laptop und der hät echt ewig und macht so den wenigsten Stress weil das funktioniert echt immer.

Wenn ich heute meinen noch mal neu einrichte würde ich ein swap-file nehmen.


#9

Ich habe an meinem neuen Rechner echt nicht gespart, nur am RAM. Da habe ich die größtmögliche festgelötete Einheit (8GB) genommen und gedacht, dass ich dann später nachrüste und dann den einen Slot der da ist maximal ausbaue. Also 8GB und dann suspend to RAM dürfte knapp werden, insbesondere wenn mal eine VR mit im Spiel sein sollte.


#10

Ne, mMn nicht - ich such dir gleich den Thread bzw. nen Artikel wie man auf ein Keyfile umstellt zum entsperren einer Partition.

Also wie ich es sehe ist am Ende des Tages dann wohl das Keyfile die beste Lösung für mich. Dann brauche ich auch das System nicht mehr neu aufzusetzen.


#11

Ich dachte immer, es würde funkionieren:
https://wiki.archlinux.org/index.php/Power_management/Suspend_and_hibernate#Hibernation_into_swap_file


[Stable Update] 2018-07-06 - Kernels, Firefox, VirtualBox, Python, Haskell
#12

So nun zum “Wie bekomme ich ein Keyfile” in den Luks password store:

  1. zufall erzeugen und in eine Datai schreiben
    sudo dd if=/dev/urandom of=/root/crypto_keyfile.bin

  2. es read only machen
    sudo chmod 0400 /root/crypto_keyfile.bin

  3. als zusätzliche methode des entsperrens hinzufügen
    sudo cryptsetup luksAddKey /dev/sdX /root/keyfile
    wobei /dev/sdX deine Swap partition is

  4. dann deine /etc/crypttab so anpassen dass sie ausschaut wie meine

# /etc/crypttab: mappings for encrypted partitions.
#
# Each mapped device will be created in /dev/mapper, so your /etc/fstab
# should use the /dev/mapper/<name> paths for encrypted devices.
#
# See crypttab(5) for the supported syntax.
#
# NOTE: Do not list your root (/) partition here, it must be set up
#       beforehand by the initramfs (/etc/mkinitcpio.conf). The same applies
#       to encrypted swap, which should be set up with mkinitcpio-openswap
#       for resume support.
#
# <name>               <device>                                     <password> <options>
luks-a41fc631-f90f-4521-88e1-58dd3024c1cc UUID=a41fc631-f90f-4521-88e1-58dd3024c1cc     /crypto_keyfile.bin luks,allow-discards

Wobei es natürlich deine UUID und device name sein müssen ^^ (Kannst ja mal deine /etc/crypttab posten vorm editieren dann schaut ma gemeinsam ob es passen könnte :wink:


Swap (LUKS) beim Booten auch entschlüsseln?
#13

Mhm meine pers. Erfahrungen damit weichen sowohl bei suspend to disk mit partiton (verschlüsselt) als auch swapfile (auf verschlüsseltem / )von der offiziellen Meinung ab ^^

Ich trau mich nix zu behaupten was ich selber nicht zum laufen bekomme - daher sag ich lieber es geht nicht als umgekert - weil falls es geht freuen sich die Leute - aber umgekehrt sinds böse :innocent:


#14

Danke! Das probiere ich dann mal aus. :face_with_raised_eyebrow:

(Kannst ja mal deine /etc/crypttab posten vorm editieren dann schaut ma gemeinsam ob es passen könnte

# /etc/crypttab: mappings for encrypted partitions.
#
# Each mapped device will be created in /dev/mapper, so your /etc/fstab
# should use the /dev/mapper/<name> paths for encrypted devices.
#
# See crypttab(5) for the supported syntax.
#
# NOTE: Do not list your root (/) partition here, it must be set up
#       beforehand by the initramfs (/etc/mkinitcpio.conf). The same applies
#       to encrypted swap, which should be set up with mkinitcpio-openswap
#       for resume support.
#
# <name>               <device>                         <password> <options>
luks-9bfc65e3-103f-4d54-a4f4-16675b7f9134 UUID=9bfc65e3-103f-4d54-a4f4-16675b7f9134     /crypto_keyfile.bin luks
luks-e5760b57-234d-4fc2-aae7-d81f10be884c UUID=e5760b57-234d-4fc2-aae7-d81f10be884c     /crypto_keyfile.bin luks

Und, meintst Du das passt?


#15

Ich habe es nur automatisch vom Programm hibernator machen lassen, aber noch nicht auf verschlüsseltem Swapfile getestet.

Ansonsten, wenn es manuell nicht klappt, funktioniert jetzt LVM on LUKS ziemlich einfach mit dem manjaro-architect. Dann hätte man ein Root-LV optional ein Home-LV und ein Swap-LV und darüber die LUKS-Verschlüsselung.


#16

Ich fürchte ich muss echt mal neu aufsetzen - LVM on LUKS und jetzt auch UEFI weils geht - aber die Arbeit - alles so schön customized die letzen 3 Jahre XD

Aber vielen Dank für den Hinweis!


#17

Also, den neuen manjaro-architect mal testen wäre schon nett!
manjaro-architect-dev 0.9.4.r14.gaa24cce-1
Die spezielle Manjaro-Architect ISO wird nicht benötigt, allerdings vorläufig ein Trick beim installieren:


#18

Saug ihn grade für nen test in da VM <3
bzw. wie neu - neuer als auf dem ISO von manjaro.org?


#19

Wie finde ich denn heraus, welche von den beiden Patitionen swap und welche / ist?

luks-9bfc65e3-103f-4d54-a4f4-16675b7f9134 UUID=9bfc65e3-103f-4d54-a4f4-16675b7f9134     /crypto_keyfile.bin luks
luks-e5760b57-234d-4fc2-aae7-d81f10be884c UUID=e5760b57-234d-4fc2-aae7-d81f10be884c     /crypto_keyfile.bin luks

Denn

/crypto_keyfile.bin luks,allow-discards

muss ich ja nur hinter swap schreiben, richtig?

Und: Könnte ich – sofern ich noch mal neu aufsetze – unter manjaro nicht auch einfach nur /home verschlüsseln? Also mit dem “manjarno architect” sollte das doch gehen, oder?

In der allgemeinen Doku wird der Part nämlich nicht beschrieben:

Submenus 1.4. and 1.5. deal with LUKS Encryption and LVM. Use those if you like and if you know what you’re doing. In our example we will just skip these steps.
https://forum.manjaro.org/t/installation-with-manjaro-architect-iso/20429


#20

Ja schon - ich muss gestehen ich weiß nicht warum du hier zwei Einträge hast :thinking:

ls -lah /dev/disk/by-uuid da steht welche UUID auf welches /dev/sdXX zeigt


#21

Also ich habe gedacht, dass ich es dann jetzt mal mit architect versuche. Und bei der Gelegenheit neben / (root) eine /home Partition anlege. Weil dann kann ich das OS bei Bedarf platt machen ohne meine User-Daten auch wieder herstellen zu müssen.

Nun frage ich mich bloß: Wenn ich / und /home jeweils verschlüssle, dann habe ich doch auch wieder das Problem, dass ich die Passphrase zwei mal eingeben muss. Wie lässt sich das umgehen bzw. wie macht Ihr das?


Testing needed for manjaro-architect
#22

Im prinzip genau so wie mit SWAP - kannst ja für /home genauso eine Datei zum entsperren nehmen.

PS: hat es eigentlich funktioniert für SWAP?


#23

Ich würde einfach davon ausgehen, dass @Chrysostomus solche Probleme schon in den Griff bekommen hat. (Wie macht er das bloß?!!) Bei meinen letzten Test-Installationen mit Verschlüsselungen verschiedener Art musste das Passwort nicht mehr als einmal eingeben.
Den Stand der Entwicklung gibt der Topic hier wider:

Also, ich würde raten, zunächst einmal deine Anforderungen zu definieren. Was soll verschlüsselt werden? Dann kann man entscheiden, ob LUKS genügt oder LVM auf LUKS sein muss.

LUKS würde genügen bei einer Partition (ohne separate HOME) mit einem Swapfile und /boot/efi außerhalb von LUKS. Ich persönlich würde separate Home-Partition nicht überbewerten, man kann in Sekunden einen Backup des /home Verzeichnisses machen, auch von einem Live-USB aus.

Sonst, wenn Separation von Root und Home und Swap gewünscht sind, dann ist LVM das Mittel der Wahl. Dann beim manjaro-architect einfach in der Reihenfolge der Menüpunkte zuerst einen LUKS-Bereich definieren (alles außer /boot/efi), danach LVM-Menü betreten, eine Volume Group anlegen in dem LUKS /dev/mapper/cryptroot, dann LVs für Root, Home und Swap in der VG anlegen. Nicht allzu schwer, wenn man es mit der Komplexität nicht übertreibt.


#24

Es kann auf viele Arten gemacht werden. Die einfachste Lösung besteht darin, LVM- oder Btrfs-Subvolumes in einem einzelnen LUKS-Container zu verwenden.

Wenn Sie nur traditionelle Partitionen verwenden möchten, benötigen Sie eine LUKS-Schlüsseldatei und einen Eintrag in /etc/crypttab. Es sollte nicht sehr schwierig sein, aber manjaro-architect automatisiert das nicht.

Eine weitere Option ist die Verwendung von Hooks systemd und sd-encrypt in initramfs und das selbe Passwort für / home und / partitions. Dies kann jedoch schwieriger sein als die Verwendung einer Schlüsseldatei, wenn Sie mit dem Prozess nicht vertraut sind.