Moin,


mein System läuft seit rund 4 Jahren mit einer verschlüsselten
Partition, die beim booten über crypttab geöffnet und dann auch
gemounted wird.


Nun ist irgendwas passiert und es funktioniert nicht mehr. Der
Bootvorgang hält an und fragt nach einem Passwort für die
Entschlüsselung der Partition. Was in crypttab steht wird ignoriert? Ich
komme mit einem beliebigen Passwort bis zum root login. Natürlich ist
keine Partition entschlüsselt aber auch das Netzwerk ist nicht da. Ich
habe auch keine Chance dieses nachträglich noch zu aktivieren.


Klemme ich den Eintrag in crypttab ab und auch den entsprechenden in der
fstab, dann bootet das System, habe Netz. Jetzt kann ich zu Fuß die verschlüsselte Partition mit cryptsetup öffnen und sie auch mounten. Mit denselben Angaben wie in crypttab. Das keyfile ist somit nicht kaputt
und auch erreichbar.


Hat jemand einen Tipp, was ich prüfen könnte, damit beim Booten crypttab wieder gelesen und auch verwendet wird?


Gruß


Joachim

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Fri, 22 Dec 2023 19:28:21 +0100, "Joachim H." <[email protected]>
wrote:

mein System läuft seit rund 4 Jahren mit einer verschlüsselten
Partition, die beim booten über crypttab geöffnet und dann auch
gemounted wird.

Nun ist irgendwas passiert und es funktioniert nicht mehr. Der
Bootvorgang hält an und fragt nach einem Passwort für die
Entschlüsselung der Partition. Was in crypttab steht wird ignoriert?

Was genau steht denn in der Crypttab? Dass er Dich nach dem Passwort
für die Partition fragt zeigt doch dass er die crypttab liest? Sonst
würde er die Partition doch ignorieren.

Und welches Betriebssystem überhaupt?

Ich
komme mit einem beliebigen Passwort bis zum root login.

Mit einem BELIEBIGEN Passwort?!? Bis zum regulären root login oder bis
zu einem emergency login?

Natürlich ist
keine Partition entschlüsselt aber auch das Netzwerk ist nicht da.

Und wie kann er dann booten?

Hat jemand einen Tipp, was ich prüfen könnte, damit beim Booten crypttab >wieder gelesen und auch verwendet wird?

Die Fehlerbeschreibung muss viel präziser werden.

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! ----- Marc Haber | " Questions are the | Mailadresse im Header Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

hier ein paar weitere Einzelheiten.


OS: Debian 12

verschlüsselte Partition ist eine reine Datenpartition, RootFS ist unverschlüsselt.

--

crypttab:

srv /dev/sda3 /Pfad/zum/Keyfile luks

--

fstab:

/dev/mapper/srv /srv ext4 defaults

--

ich komme bis zum Ermergency Login

--

eingeloggt kann ich dann

cryptsetup srv /dev/sda3 --key-file /pfad/zum/Keyfile

absetzen und ebenso ein

mount /srv


und (fast) alles ist so wie es sein soll. Das Netzwerk ist zwar "up"
(systemctl status networking gibt active)  , habe aber keine IP.
Auffällig ist auch, dass cryptsetup gefühlt recht lange dauert.


Wie gesagt, diese Konstellation läuft genau so seit etwa 2019 auf verschiedenen Debian Systemen, aktuell auf zwei. Bis eben gestern, da
hat sich eines verabschiedet. Das andere läuft nach wie vor.


Bei dem betroffenen (headless) System musste ich gestern einen Notaus hinnehmen. Ob das aber die Ursache oder die Folge des Schlamassel ist,
kann ich nicht sagen. Das System war nicht mehr erreichbar. Wir hatten
auch Gewitter vorgestern Nacht mit Lichtflackern und es ist keine USV im Einsatz.

Aber bevor ich das System neu aufsetze, erstmal checken ob was zu retten
ist.





Am 23.12.23 um 09:32 schrieb Marc Haber:

On Fri, 22 Dec 2023 19:28:21 +0100, "Joachim H." <[email protected]>
wrote:

mein System läuft seit rund 4 Jahren mit einer verschlüsselten
Partition, die beim booten über crypttab geöffnet und dann auch
gemounted wird.

Nun ist irgendwas passiert und es funktioniert nicht mehr. Der
Bootvorgang hält an und fragt nach einem Passwort für die
Entschlüsselung der Partition. Was in crypttab steht wird ignoriert?

Was genau steht denn in der Crypttab? Dass er Dich nach dem Passwort
für die Partition fragt zeigt doch dass er die crypttab liest? Sonst
würde er die Partition doch ignorieren.

Und welches Betriebssystem überhaupt?

Ich
komme mit einem beliebigen Passwort bis zum root login.

Mit einem BELIEBIGEN Passwort?!? Bis zum regulären root login oder bis
zu einem emergency login?

Natürlich ist
keine Partition entschlüsselt aber auch das Netzwerk ist nicht da.

Und wie kann er dann booten?

Hat jemand einen Tipp, was ich prüfen könnte, damit beim Booten crypttab >> wieder gelesen und auch verwendet wird?

Die Fehlerbeschreibung muss viel präziser werden.

Grüße
Marc

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Sat, 23 Dec 2023 11:46:01 +0100, "Joachim H." <[email protected]>
wrote:

verschlüsselte Partition ist eine reine Datenpartition, RootFS ist >unverschlüsselt.

Das ist ohne Secureboot und vernagelte Firmware nicht ungefährlich.

crypttab:

srv /dev/sda3 /Pfad/zum/Keyfile luks

Heißt Deine Partition noch sda3? Wenn mit eingestecktem USB-Stick
gebootet wird, verschiebt sich das gerne. Schau mal in /dev/disk/by-*
ob Du da nicht einen stabileren Pfad zu Deinen Daten findest.

fstab:

/dev/mapper/srv /srv ext4 defaults

Schreib mail "nofail" statt "defaults", dann bootet die Kiste auch
zuende wenn die Cryptdisk nicht da ist.

ich komme bis zum Ermergency Login

Das wäre im ersten Artikel wichtig gewesen ;-)

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! ----- Marc Haber | " Questions are the | Mailadresse im Header Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 23.12.23 um 11:46 schrieb Joachim H.:

Bei dem betroffenen (headless) System musste ich gestern einen Notaus hinnehmen. Ob das aber die Ursache oder die Folge des Schlamassel ist,
kann ich nicht sagen. Das System war nicht mehr erreichbar. Wir hatten
auch Gewitter vorgestern Nacht mit Lichtflackern und es ist keine USV
im Einsatz.

Irgendwas auffälliges in dmesg oder sonstigen Logs?


Viele Grüße

Ulf

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
Am 23.12.23 um 14:23 schrieb Marc Haber:

On Sat, 23 Dec 2023 11:46:01 +0100, "Joachim H."<[email protected]>
wrote:

verschlüsselte Partition ist eine reine Datenpartition, RootFS ist
unverschlüsselt.

Das ist ohne Secureboot und vernagelte Firmware nicht ungefährlich.

Ich weiß, es ist bei mir noch Luft nach oben.

crypttab:

srv /dev/sda3 /Pfad/zum/Keyfile luks

Heißt Deine Partition noch sda3? Wenn mit eingestecktem USB-Stick
gebootet wird, verschiebt sich das gerne. Schau mal in /dev/disk/by-*
ob Du da nicht einen stabileren Pfad zu Deinen Daten findest.

ist noch sda3, normalerweise nehme ich PARTUUID. Wäre jetzt eine
Möglichkeit, das zu ändern. (-> geht, hab's grad geändert.)


Ob nu sda3 oder partuuid, die Meldungen auf dem Bootschirm sagen
eindeutig, dass die Platte gefunden wird.

fstab:

/dev/mapper/srv /srv ext4 defaults

Schreib mail "nofail" statt "defaults", dann bootet die Kiste auch
zuende wenn die Cryptdisk nicht da ist.

Ich konnte nicht raus finden, ob default und nofail oder nur nofail
korrekt ist. Aktuell hat's beides, der Prompt zur Eingabe eines
Passwortes kommt trotzdem.

die Meldung lautet:

please enter passphrase for disk PSSD_T7 (srv) on /srv:


mich wundert grad das /srv. Um zu wissen, dass die Partition auf /srv zu mounten ist, muss die fstab schon mal gelesen worden sein. Bin ich da
auf dem falschen Dampfer und das Problem liegt woanders?

ich komme bis zum Ermergency Login

Das wäre im ersten Artikel wichtig gewesen ;-)

Ja, man ist in solchen Fällen derart ins Problem eingetaucht, dass man
da die Hälfte vergisst zu erwähnen.


Das mit dem Netzwerk nach dem Booten hat sich erledigt. Da gab es einen
IP Konflikt, der gelöst ist. Aktuell habe ich Netz auch wenn das mit der Entschlüsselung nicht geklappt hat.


<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p><br>
</p>
<div class="moz-cite-prefix">Am 23.12.23 um 14:23 schrieb Marc
Haber:<br>
</div>
<blockquote type="cite"
cite="mid:[email protected]">
<pre class="moz-quote-pre" wrap="">On Sat, 23 Dec 2023 11:46:01 +0100, "Joachim H." <a class="moz-txt-link-rfc2396E" href="mailto:[email protected]">&lt;[email protected]&gt;</a>
wrote:
</pre>
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">verschlüsselte Partition ist eine reine Datenpartition, RootFS ist
unverschlüsselt.
</pre>
</blockquote>
<pre class="moz-quote-pre" wrap="">
Das ist ohne Secureboot und vernagelte Firmware nicht ungefährlich.</pre>
</blockquote>
<p>Ich weiß, es ist bei mir noch Luft nach oben.<br>
</p>
<p><span style="white-space: pre-wrap">
</span></p>
<blockquote type="cite"
cite="mid:[email protected]">
<pre class="moz-quote-pre" wrap="">
</pre>
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">crypttab:

srv /dev/sda3 /Pfad/zum/Keyfile luks
</pre>
</blockquote>
<pre class="moz-quote-pre" wrap="">
Heißt Deine Partition noch sda3? Wenn mit eingestecktem USB-Stick
gebootet wird, verschiebt sich das gerne. Schau mal in /dev/disk/by-*
ob Du da nicht einen stabileren Pfad zu Deinen Daten findest.</pre>
</blockquote>
<p>ist noch sda3, normalerweise nehme ich PARTUUID. Wäre jetzt eine
Möglichkeit, das zu ändern. (-&gt; geht, hab's grad geändert.)<br>
</p>
<br>
<p>Ob nu sda3 oder partuuid, die Meldungen auf dem Bootschirm sagen
eindeutig, dass die Platte gefunden wird.<br>
</p>
<p><span style="white-space: pre-wrap">
</span></p>
<blockquote type="cite"
cite="mid:[email protected]">
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">fstab:

/dev/mapper/srv /srv ext4 defaults
</pre>
</blockquote>
<pre class="moz-quote-pre" wrap="">
Schreib mail "nofail" statt "defaults", dann bootet die Kiste auch
zuende wenn die Cryptdisk nicht da ist.</pre>
</blockquote>
<p><br>
</p>
<p>Ich konnte nicht raus finden, ob default und nofail oder nur
nofail korrekt ist. Aktuell hat's beides, der Prompt zur Eingabe
eines Passwortes kommt trotzdem.<br>
</p>
<p>die Meldung lautet:</p>
<p><span style="font-family:monospace"><span
style="color:#000000;background-color:#ffffff;">please enter
passphrase for disk PSSD_T7 (srv) on /srv:</span></span></p>
<p><span style="font-family:monospace"><span
style="color:#000000;background-color:#ffffff;"><br>
</span></span></p>
<p><span style="font-family:monospace"><span
style="color:#000000;background-color:#ffffff;"></span></span>mich
wundert grad das /srv. Um zu wissen, dass die Partition auf /srv
zu mounten ist, muss die fstab schon mal gelesen worden sein. Bin
ich da auf dem falschen Dampfer und das Problem liegt woanders? <br>
</p>
<p><span style="white-space: pre-wrap">
</span></p>
<blockquote type="cite"
cite="mid:[email protected]">
<pre class="moz-quote-pre" wrap="">
</pre>
<blockquote type="cite">
<pre class="moz-quote-pre" wrap="">ich komme bis zum Ermergency Login </pre>
</blockquote>
<pre class="moz-quote-pre" wrap="">
Das wäre im ersten Artikel wichtig gewesen ;-)</pre>
</blockquote>
<p><br>
</p>
<p>Ja, man ist in solchen Fällen derart ins Problem eingetaucht,
dass man da die Hälfte vergisst zu erwähnen. <br>
</p>
<p><br>
</p>
<p>Das mit dem Netzwerk nach dem Booten hat sich erledigt. Da gab es
einen IP Konflikt, der gelöst ist. Aktuell habe ich Netz auch wenn
das mit der Entschlüsselung nicht geklappt hat.</p>
<p><br>
</p>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Am 23.12.23 um 15:19 schrieb Ulf Volmer:

Am 23.12.23 um 11:46 schrieb Joachim H.:

Bei dem betroffenen (headless) System musste ich gestern einen Notaus
hinnehmen. Ob das aber die Ursache oder die Folge des Schlamassel
ist, kann ich nicht sagen. Das System war nicht mehr erreichbar. Wir
hatten auch Gewitter vorgestern Nacht mit Lichtflackern und es ist
keine USV im Einsatz.

Irgendwas auffälliges in dmesg oder sonstigen Logs?

Bisher nicht. Ich weiß nicht, wie oft ich die Logs deswegen durch bin.


Und da plötzlich taucht er auf, der Eintrag. Tippfehler!! Manno, da
stand doch ein - anstatt eines _ im Keyfile und das ist mir bis gerade
eben nicht aufgefallen. Vor lauter Bäumen ....


Ich kann mich aber wieder schwach erinnern, dass das bei der letzten
Wartung mal Thema war mit - und _. Anscheinend hatte ich crypptab nach
dem Booten damals verschlimmbessert und das alles wieder vergessen. grrr.


Alles läuft wieder!


Danke an alle

Viele Grüße

Ulf

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On Sat, 23 Dec 2023 15:23:45 +0100, "Joachim H." <[email protected]>
wrote:

Ich konnte nicht raus finden, ob default und nofail oder nur nofail
korrekt ist. Aktuell hat's beides, der Prompt zur Eingabe eines
Passwortes kommt trotzdem.

defaults ist "sane defaults" die zum Kernel und zum Dateisystem
passen. Siehe man fstab. "nofail" ist die Anweisung an systemd, bei
Abwesenheit des Dateisystems nicht sofort aus dem Fenster zu springen
sondern es weiter zu versuchen. Habe ich fast überall stehen.

die Meldung lautet:

please enter passphrase for disk PSSD_T7 (srv) on /srv:

mich wundert grad das /srv. Um zu wissen, dass die Partition auf /srv zu >mounten ist, muss die fstab schon mal gelesen worden sein. Bin ich da
auf dem falschen Dampfer und das Problem liegt woanders?

Wird das noch im initramfs gefragt oder läuft systemd dann schon?
Sowohl die fstab als auch die crypttab sind im initramfs bekannt;
systemd baut sich aus fstab und crypttab jeweils mount units bzw
Instanzen von systemd-cryptsetup@.

Das mit dem Netzwerk nach dem Booten hat sich erledigt. Da gab es einen
IP Konflikt, der gelöst ist. Aktuell habe ich Netz auch wenn das mit der >Entschlüsselung nicht geklappt hat.

Immerhin ;-)

Grüße
Marc
--
---------------------------------------------------------------------------- Marc Haber | " Questions are the | Mailadresse im Header Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)