info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
boot und crypttab failed
1 view
Skip to first unread message
Joachim H.
Dec 22, 2023, 1:30:05 PM12/22/23
to
Moin,
mein System läuft seit rund 4 Jahren mit einer verschlüsselten
Partition, die beim booten über crypttab geöffnet und dann auch
gemounted wird.
Nun ist irgendwas passiert und es funktioniert nicht mehr. Der
Bootvorgang hält an und fragt nach einem Passwort für die
Entschlüsselung der Partition. Was in crypttab steht wird ignoriert? Ich
komme mit einem beliebigen Passwort bis zum root login. Natürlich ist
keine Partition entschlüsselt aber auch das Netzwerk ist nicht da. Ich
habe auch keine Chance dieses nachträglich noch zu aktivieren.
Klemme ich den Eintrag in crypttab ab und auch den entsprechenden in der
fstab, dann bootet das System, habe Netz. Jetzt kann ich zu Fuß die
verschlüsselte Partition mit cryptsetup öffnen und sie auch mounten. Mit
denselben Angaben wie in crypttab. Das keyfile ist somit nicht kaputt
und auch erreichbar.
Hat jemand einen Tipp, was ich prüfen könnte, damit beim Booten crypttab
wieder gelesen und auch verwendet wird?
Gruß
Joachim
mein System läuft seit rund 4 Jahren mit einer verschlüsselten
Partition, die beim booten über crypttab geöffnet und dann auch
gemounted wird.
Nun ist irgendwas passiert und es funktioniert nicht mehr. Der
Bootvorgang hält an und fragt nach einem Passwort für die
Entschlüsselung der Partition. Was in crypttab steht wird ignoriert? Ich
komme mit einem beliebigen Passwort bis zum root login. Natürlich ist
keine Partition entschlüsselt aber auch das Netzwerk ist nicht da. Ich
habe auch keine Chance dieses nachträglich noch zu aktivieren.
Klemme ich den Eintrag in crypttab ab und auch den entsprechenden in der
fstab, dann bootet das System, habe Netz. Jetzt kann ich zu Fuß die
verschlüsselte Partition mit cryptsetup öffnen und sie auch mounten. Mit
denselben Angaben wie in crypttab. Das keyfile ist somit nicht kaputt
und auch erreichbar.
Hat jemand einen Tipp, was ich prüfen könnte, damit beim Booten crypttab
wieder gelesen und auch verwendet wird?
Gruß
Joachim
Marc Haber
Dec 23, 2023, 3:40:04 AM12/23/23
to
On Fri, 22 Dec 2023 19:28:21 +0100, "Joachim H." <li...@ejr-online.de>
wrote:
für die Partition fragt zeigt doch dass er die crypttab liest? Sonst
würde er die Partition doch ignorieren.
Und welches Betriebssystem überhaupt?
>Ich
>komme mit einem beliebigen Passwort bis zum root login.
Mit einem BELIEBIGEN Passwort?!? Bis zum regulären root login oder bis
zu einem emergency login?
> Natürlich ist
>keine Partition entschlüsselt aber auch das Netzwerk ist nicht da.
Und wie kann er dann booten?
>Hat jemand einen Tipp, was ich prüfen könnte, damit beim Booten crypttab
>wieder gelesen und auch verwendet wird?
Die Fehlerbeschreibung muss viel präziser werden.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
wrote:
>mein System läuft seit rund 4 Jahren mit einer verschlüsselten
>Partition, die beim booten über crypttab geöffnet und dann auch
>gemounted wird.
>
>Nun ist irgendwas passiert und es funktioniert nicht mehr. Der
>Bootvorgang hält an und fragt nach einem Passwort für die
>Entschlüsselung der Partition. Was in crypttab steht wird ignoriert?
Was genau steht denn in der Crypttab? Dass er Dich nach dem Passwort
>Partition, die beim booten über crypttab geöffnet und dann auch
>gemounted wird.
>
>Nun ist irgendwas passiert und es funktioniert nicht mehr. Der
>Bootvorgang hält an und fragt nach einem Passwort für die
>Entschlüsselung der Partition. Was in crypttab steht wird ignoriert?
für die Partition fragt zeigt doch dass er die crypttab liest? Sonst
würde er die Partition doch ignorieren.
Und welches Betriebssystem überhaupt?
>Ich
>komme mit einem beliebigen Passwort bis zum root login.
zu einem emergency login?
> Natürlich ist
>keine Partition entschlüsselt aber auch das Netzwerk ist nicht da.
>Hat jemand einen Tipp, was ich prüfen könnte, damit beim Booten crypttab
>wieder gelesen und auch verwendet wird?
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
Joachim H.
Dec 23, 2023, 5:50:04 AM12/23/23
to
hier ein paar weitere Einzelheiten.
OS: Debian 12
verschlüsselte Partition ist eine reine Datenpartition, RootFS ist
unverschlüsselt.
--
crypttab:
srv /dev/sda3 /Pfad/zum/Keyfile luks
--
fstab:
/dev/mapper/srv /srv ext4 defaults
--
ich komme bis zum Ermergency Login
--
eingeloggt kann ich dann
cryptsetup srv /dev/sda3 --key-file /pfad/zum/Keyfile
absetzen und ebenso ein
mount /srv
und (fast) alles ist so wie es sein soll. Das Netzwerk ist zwar "up"
(systemctl status networking gibt active) , habe aber keine IP.
Auffällig ist auch, dass cryptsetup gefühlt recht lange dauert.
Wie gesagt, diese Konstellation läuft genau so seit etwa 2019 auf
verschiedenen Debian Systemen, aktuell auf zwei. Bis eben gestern, da
hat sich eines verabschiedet. Das andere läuft nach wie vor.
Bei dem betroffenen (headless) System musste ich gestern einen Notaus
hinnehmen. Ob das aber die Ursache oder die Folge des Schlamassel ist,
kann ich nicht sagen. Das System war nicht mehr erreichbar. Wir hatten
auch Gewitter vorgestern Nacht mit Lichtflackern und es ist keine USV im
Einsatz.
Aber bevor ich das System neu aufsetze, erstmal checken ob was zu retten
ist.
Am 23.12.23 um 09:32 schrieb Marc Haber:
OS: Debian 12
verschlüsselte Partition ist eine reine Datenpartition, RootFS ist
unverschlüsselt.
--
crypttab:
srv /dev/sda3 /Pfad/zum/Keyfile luks
--
fstab:
/dev/mapper/srv /srv ext4 defaults
--
ich komme bis zum Ermergency Login
--
eingeloggt kann ich dann
cryptsetup srv /dev/sda3 --key-file /pfad/zum/Keyfile
absetzen und ebenso ein
mount /srv
und (fast) alles ist so wie es sein soll. Das Netzwerk ist zwar "up"
(systemctl status networking gibt active) , habe aber keine IP.
Auffällig ist auch, dass cryptsetup gefühlt recht lange dauert.
Wie gesagt, diese Konstellation läuft genau so seit etwa 2019 auf
verschiedenen Debian Systemen, aktuell auf zwei. Bis eben gestern, da
hat sich eines verabschiedet. Das andere läuft nach wie vor.
Bei dem betroffenen (headless) System musste ich gestern einen Notaus
hinnehmen. Ob das aber die Ursache oder die Folge des Schlamassel ist,
kann ich nicht sagen. Das System war nicht mehr erreichbar. Wir hatten
auch Gewitter vorgestern Nacht mit Lichtflackern und es ist keine USV im
Einsatz.
Aber bevor ich das System neu aufsetze, erstmal checken ob was zu retten
ist.
Am 23.12.23 um 09:32 schrieb Marc Haber:
Marc Haber
Dec 23, 2023, 8:30:04 AM12/23/23
to
On Sat, 23 Dec 2023 11:46:01 +0100, "Joachim H." <li...@ejr-online.de>
wrote:
>crypttab:
>
>srv /dev/sda3 /Pfad/zum/Keyfile luks
Heißt Deine Partition noch sda3? Wenn mit eingestecktem USB-Stick
gebootet wird, verschiebt sich das gerne. Schau mal in /dev/disk/by-*
ob Du da nicht einen stabileren Pfad zu Deinen Daten findest.
>fstab:
>
>/dev/mapper/srv /srv ext4 defaults
Schreib mail "nofail" statt "defaults", dann bootet die Kiste auch
zuende wenn die Cryptdisk nicht da ist.
>ich komme bis zum Ermergency Login
Das wäre im ersten Artikel wichtig gewesen ;-)
wrote:
>verschlüsselte Partition ist eine reine Datenpartition, RootFS ist
>unverschlüsselt.
Das ist ohne Secureboot und vernagelte Firmware nicht ungefährlich.
>unverschlüsselt.
>crypttab:
>
>srv /dev/sda3 /Pfad/zum/Keyfile luks
gebootet wird, verschiebt sich das gerne. Schau mal in /dev/disk/by-*
ob Du da nicht einen stabileren Pfad zu Deinen Daten findest.
>fstab:
>
>/dev/mapper/srv /srv ext4 defaults
zuende wenn die Cryptdisk nicht da ist.
>ich komme bis zum Ermergency Login
Ulf Volmer
Dec 23, 2023, 9:20:05 AM12/23/23
to
Am 23.12.23 um 11:46 schrieb Joachim H.:
> Bei dem betroffenen (headless) System musste ich gestern einen Notaus
> hinnehmen. Ob das aber die Ursache oder die Folge des Schlamassel ist,
> kann ich nicht sagen. Das System war nicht mehr erreichbar. Wir hatten
> auch Gewitter vorgestern Nacht mit Lichtflackern und es ist keine USV
> im Einsatz.
Irgendwas auffälliges in dmesg oder sonstigen Logs?
Viele Grüße
Ulf
> Bei dem betroffenen (headless) System musste ich gestern einen Notaus
> hinnehmen. Ob das aber die Ursache oder die Folge des Schlamassel ist,
> kann ich nicht sagen. Das System war nicht mehr erreichbar. Wir hatten
> auch Gewitter vorgestern Nacht mit Lichtflackern und es ist keine USV
> im Einsatz.
Viele Grüße
Ulf
Joachim H.
Dec 23, 2023, 9:30:04 AM12/23/23
to
Am 23.12.23 um 14:23 schrieb Marc
Haber:
On Sat, 23 Dec 2023 11:46:01 +0100, "Joachim H." <li...@ejr-online.de> wrote:verschlüsselte Partition ist eine reine Datenpartition, RootFS ist unverschlüsselt.Das ist ohne Secureboot und vernagelte Firmware nicht ungefährlich.
Ich weiß, es ist bei mir noch Luft nach oben.
crypttab: srv /dev/sda3 /Pfad/zum/Keyfile luksHeißt Deine Partition noch sda3? Wenn mit eingestecktem USB-Stick gebootet wird, verschiebt sich das gerne. Schau mal in /dev/disk/by-* ob Du da nicht einen stabileren Pfad zu Deinen Daten findest.
ist noch sda3, normalerweise nehme ich PARTUUID. Wäre jetzt eine
Möglichkeit, das zu ändern. (-> geht, hab's grad geändert.)
Ob nu sda3 oder partuuid, die Meldungen auf dem Bootschirm sagen
eindeutig, dass die Platte gefunden wird.
fstab: /dev/mapper/srv /srv ext4 defaultsSchreib mail "nofail" statt "defaults", dann bootet die Kiste auch zuende wenn die Cryptdisk nicht da ist.
Ich konnte nicht raus finden, ob default und nofail oder nur
nofail korrekt ist. Aktuell hat's beides, der Prompt zur Eingabe
eines Passwortes kommt trotzdem.
die Meldung lautet:
please enter passphrase for disk PSSD_T7 (srv) on /srv:
mich
wundert grad das /srv. Um zu wissen, dass die Partition auf /srv
zu mounten ist, muss die fstab schon mal gelesen worden sein. Bin
ich da auf dem falschen Dampfer und das Problem liegt woanders?
ich komme bis zum Ermergency LoginDas wäre im ersten Artikel wichtig gewesen ;-)
Ja, man ist in solchen Fällen derart ins Problem eingetaucht,
dass man da die Hälfte vergisst zu erwähnen.
Das mit dem Netzwerk nach dem Booten hat sich erledigt. Da gab es einen IP Konflikt, der gelöst ist. Aktuell habe ich Netz auch wenn das mit der Entschlüsselung nicht geklappt hat.
Joachim H.
Dec 23, 2023, 10:00:03 AM12/23/23
to
Am 23.12.23 um 15:19 schrieb Ulf Volmer:
Und da plötzlich taucht er auf, der Eintrag. Tippfehler!! Manno, da
stand doch ein - anstatt eines _ im Keyfile und das ist mir bis gerade
eben nicht aufgefallen. Vor lauter Bäumen ....
Ich kann mich aber wieder schwach erinnern, dass das bei der letzten
Wartung mal Thema war mit - und _. Anscheinend hatte ich crypptab nach
dem Booten damals verschlimmbessert und das alles wieder vergessen. grrr.
Alles läuft wieder!
Danke an alle
>
>
> Viele Grüße
>
> Ulf
>
>
Marc Haber
Jan 24, 2024, 5:40:05 AMJan 24
to
On Sat, 23 Dec 2023 15:23:45 +0100, "Joachim H." <li...@ejr-online.de>
wrote:
passen. Siehe man fstab. "nofail" ist die Anweisung an systemd, bei
Abwesenheit des Dateisystems nicht sofort aus dem Fenster zu springen
sondern es weiter zu versuchen. Habe ich fast überall stehen.
>die Meldung lautet:
>
>please enter passphrase for disk PSSD_T7 (srv) on /srv:
>
>
>mich wundert grad das /srv. Um zu wissen, dass die Partition auf /srv zu
>mounten ist, muss die fstab schon mal gelesen worden sein. Bin ich da
>auf dem falschen Dampfer und das Problem liegt woanders?
Wird das noch im initramfs gefragt oder läuft systemd dann schon?
Sowohl die fstab als auch die crypttab sind im initramfs bekannt;
systemd baut sich aus fstab und crypttab jeweils mount units bzw
Instanzen von systemd-cryptsetup@.
>Das mit dem Netzwerk nach dem Booten hat sich erledigt. Da gab es einen
>IP Konflikt, der gelöst ist. Aktuell habe ich Netz auch wenn das mit der
>Entschlüsselung nicht geklappt hat.
Immerhin ;-)
Grüße
Marc
--
----------------------------------------------------------------------------
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402
wrote:
>Ich konnte nicht raus finden, ob default und nofail oder nur nofail
>korrekt ist. Aktuell hat's beides, der Prompt zur Eingabe eines
>Passwortes kommt trotzdem.
defaults ist "sane defaults" die zum Kernel und zum Dateisystem
>korrekt ist. Aktuell hat's beides, der Prompt zur Eingabe eines
>Passwortes kommt trotzdem.
passen. Siehe man fstab. "nofail" ist die Anweisung an systemd, bei
Abwesenheit des Dateisystems nicht sofort aus dem Fenster zu springen
sondern es weiter zu versuchen. Habe ich fast überall stehen.
>die Meldung lautet:
>
>please enter passphrase for disk PSSD_T7 (srv) on /srv:
>
>
>mich wundert grad das /srv. Um zu wissen, dass die Partition auf /srv zu
>mounten ist, muss die fstab schon mal gelesen worden sein. Bin ich da
>auf dem falschen Dampfer und das Problem liegt woanders?
Sowohl die fstab als auch die crypttab sind im initramfs bekannt;
systemd baut sich aus fstab und crypttab jeweils mount units bzw
Instanzen von systemd-cryptsetup@.
>Das mit dem Netzwerk nach dem Booten hat sich erledigt. Da gab es einen
>IP Konflikt, der gelöst ist. Aktuell habe ich Netz auch wenn das mit der
>Entschlüsselung nicht geklappt hat.
Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402
0 new messages