AbcLinuxu:/ Poradna / Linuxová poradna / LUKS nevyzaduje pri bootu passphrase

Štítky: audio, Debian, distribuce

Dotaz: LUKS nevyzaduje pri bootu passphrase

12.7.2023 11:02 polo23 | skóre: 28 | blog: polo23
LUKS nevyzaduje pri bootu passphrase

Přečteno: 1832×

Odpovědět | Admin

Ahoj,
potreboval bych poradit ohledne LUKS. Instaloval jsem nove OS (Debian 12) a zasifroval jsem LUKSem / a swap. Kdyz zapnu PC, zepta se me to na passphrase a pak system najede - az sem vse v poradku.

Dodatecne jsem si chtel zasifrovat /home (delal jsem to v minulosti uz nekolikrat), takze jsem to pomoci cryptsetup udelal. Do /etc/fstab a /etc/crypttab jsem pridal potrebnou konfiguraci, tak aby se pri bootu /home pripojil. Vse funguje az na to, ze pri bootu se /home pripoji aniz by pozadoval passphrase. Nemuzu prijit na to, v cem jsem udelal chybu.Porad mi vrta hlavou jak to, ze se to pri bootu pripoji, kdyz to nezna passphrase (odkud ji bere?)

Asi je to nejaka blbost, ale uz si nevim rady, nic jsem nevygooglil - nenapada nekoho kde by mohl but problem?

/etc/fstab

# file system mount point   type options       dump  pass
/dev/mapper/nvme0n1p3_crypt /               ext4    errors=remount-ro 0       1
# /boot was on /dev/nvme0n1p1 during installation
UUID=24888e9b-e74f-4762-b998-7f92a90e826e /boot           ext4    defaults        0       2
# /boot/efi was on /dev/nvme0n1p2 during installation
UUID=D83B-8397  /boot/efi       vfat    umask=0077      0       1
/dev/mapper/nvme0n1p5_crypt none            swap    sw              0       0
/dev/mapper/homes	/home	ext4	defaults,noatime	0	0

/etc/crypttab

nvme0n1p3_crypt UUID=1d5d61ff-2b39-40be-8ab3-9685dbac488e none luks,discard
nvme0n1p5_crypt UUID=88f0516b-05f1-4dd7-8534-83c087d73eeb none luks,swap,discard
homes /dev/nvme0n1p4 none luks,discard

lsblk

NAME                MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINTS
nvme0n1             259:0    0 931.5G  0 disk  
├─nvme0n1p1         259:1    0     3G  0 part  /boot
├─nvme0n1p2         259:2    0     1G  0 part  /boot/efi
├─nvme0n1p3         259:3    0   100G  0 part  
│ └─nvme0n1p3_crypt 254:0    0   100G  0 crypt /
├─nvme0n1p4         259:4    0   800G  0 part  
│ └─homes           254:2    0   800G  0 crypt /home
└─nvme0n1p5         259:5    0  27.5G  0 part  
  └─nvme0n1p5_crypt 254:1    0  27.5G  0 crypt [SWAP]

OS: Debian 12
kernel: 6.1

Řešení dotazu:

Komentář #1 (Peter Golis, 1 hlasů)

Nástroje: Začni sledovat (0) ?

Odpovědi

Řešení 1× (polo23 (tazatel))

12.7.2023 11:30 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

odkud ji bere?

Pri štarte sa systém pokúsi použiť zadané heslo na viacero zakryptovaných oblastí. A ak sú tie heslá identické ....

12.7.2023 11:44 polo23 | skóre: 28 | blog: polo23
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Ne, prave, ze nejsou identicka.

12.7.2023 12:42 Peter Golis | skóre: 65 | blog: Bežné záležitosti | Bratislava
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

To je heslo do kľúčenky (key slot). Kľúčenka môže mať toho v sebe viac, a kľudne sa môže aj použiť niečo z TPM (napr. cez clevis alebo pomocou systemd-tpm2). Bez luks dump je ťažko odpovedať.

12.7.2023 11:37 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Záleží, jak jsi si to nastavil. LUKS má několik možností, jak odemknout volume s tím, že lze odemykat automaticky, viz můj popis v blogu: Můj aktuální-nový domácí server, kde je dole info o LUKS a nastavení.
Pomocí "cryptsetup luksDump /dev/nvme0n1p4" vidíš, jaký slot se používá, jaký klíč apod.
Také můžeš zkusit ručně odpojit a pak připojit, nějaký příklad jak to testovat "cryptsetup luksOpen --test-passphrase --key-slot 0 /dev/nvme0n1p4".

Další věcí je, že pokud máš stejný heslo k oběma LUKS, tak je možné, že to Debian 12 zkouší připojit pomocí stejného hesla automaticky. Lze to takto ručně nastavit. Já to také používám, že jedním heslem otevřu více zašifrovaných volume a nemusím se při bootu opakovat. Tvá konfigurace tomu tedy moc neodpovídá, ale těžko říci, jak to Debian 12 konkrétně má.
Zdar Max

Měl jsem sen ... :(

12.7.2023 11:39 Andrej | skóre: 51 | blog: Republic of Mordor
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Instaloval jsem nove OS…

Ext4 na nové instalaci? Ufufufufufufuf… Koupil jsem si nové auto a tentokrát jsem zvolil Škodu 100…

Dodatecne jsem si chtel zasifrovat /home (delal jsem to v minulosti uz nekolikrat), takze jsem to pomoci cryptsetup udelal.

Dvě chyby v jednom.

Taková zbastlená konfigurace znemožní normální funkci systemd-homed v režimu LUKS.
Zcela zbytečné dělení disku na / a /home představuje nevyužitý prostor + neodstatek prostoru ve chvíli, kdy je potřeba, a přináší na oplátku přesně nulu výhod.

Zásadní informace v dotazu chybí: crytpsetup luksDump, zejména část se seznamem klíčových slotů — kolik jich je? a je účel každého z nich známý? Může tam být slot pro nějaký další klíč.

…kdyz to nezna passphrase…

Nezná, nebo jsou obě stejné?

12.7.2023 12:13 polo23 | skóre: 28 | blog: polo23
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Tak jste meli pravdu, byla to moje tupa chyba, kdyz jsem omylem zadal jak pro / tak pro /home stejne passphrase. Prisel jsem na to, az kdyz jste me k tomu dokopali si to overit (luks close, a luks open > zadani passphrase). Uz jsem to opravil a funguje to jak ma.

Andreji, na Tebe mam jeste dotazy ohledne tvych poznamek(nemyslim to ve zlem, jen me zajima co mi uteklo).

Jaky filesystem teda pouzit? Btrfs? Je to sice uz delsi dobu co jsem o tom cetl, ale casto se psalo, ze je to jeste nedodelane. Druha vec, vzdycky kdyz jsem si cetl o deleni disku, tak v literature se pise o tom, ze home by mel byt zvlast. Ten systemd-home dela presne co? Ptam se pac jsme se s tim nikdy nesetkal.

12.7.2023 12:42 [Jooky]
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Ja pouzivam BTRFS vsade od cca 2016. Veci ako Raid5/6 nie su dokoncene. V konfiguracii single / raid1 to funguje dobre ... co sa tyka home, tak ja mam home ako subvolume. Mam niekolko subvolume na veci, ktore nejak patria k sebe ... boot, system, home, virtualky, fotky, gentoo-dev, pracovny "tmp". Rozdelene to mam takto, lebo si robim snapshoty a backupy na tejto urovni. Napr ked sa mi podarilo rozbit system, tak som len vymenil "system" za posledny snapshot a vybavene. Nemusel som riesit, ci som si nieco menil v homedir alebo nie ... tak isto ked mam napr velky change rate a potrebujem to uvolnit zo snapshotu do volneho miesta, tak staci zmazat konkretny snapshot a pre ostatne veci z toho datumu ostava ... na pc / laptope podla mna nedava velmi zmysel delit priestor. Zaplnenie si viem ustrazit a v pripade potreby mam dostupny cely diskovy priestor pre ktorukolvek cast systemu ...

... ja mam nastavene automaticke snapshoty kazdu hodinu. Tie ponechava 3 dni. Potom necha len jeden / den a podla subvolume od 7 do 35 dni. Ma to dve krasne vyhody. Ked nieco omylom zmazem / zmenim, tak si viem dohladat predchadzajucu verziu. Starsie verzie mam stale dostupne na laptope a nezabera to miesto ako klasicky backup (a ano, mam aj backup, lebo ak by odisiel disk, tak vsetky snapshoty su ...)

12.7.2023 12:57 ________
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

A když se to pohrká, co s tím? Budeš se modlit, zda je kompatibilní kernel, FS a nástroj(pokud vůbec existuje) a nějak to dopadne?

13.7.2023 09:33 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Tak tomuto dotazu moc nerozumím. Pokud chcípne disk, nebo něco, tak se tahají data ze zálohy, nebo k čemu se má ten dotaz vztahovat?
Nebo si tu hrajeme na něco ve stylu co kdyby byl Honza králem?
Zdar Max

Měl jsem sen ... :(

14.7.2023 12:50 [Jooky]
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

A ked a "pohrka" ext4 ? ... vacsina nastrojov spravi len smetie vo formate FILE.nnnn a tym padom je to tiez nepouzitelne ... ked ma nejaku zavadu pocitac (disk, ram, cpu, etc.), tak treba opravit zavadu a obnovit data zo zalohy. To bez ohladu na filesystem.

Ja som mal na mojom PC problem s GPU a nejaku dobu sa mi aj 2-3x za den PC zasekol. Btrfs to prezil, takze si myslim, ze je do dost stabilne na bezne pouzivanie ...

14.7.2023 13:22 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Oni fámy ohledně btrfs vznikají tak, že uživatel použije totálně shitovský hw (např. Samsung SSD 860/870), který si rád míchá náhodně s daty, btrfs detekuje neopravitelný problém (bo mu ten hw na pozadí udělal pěkný bordel) a uživatel to vyhodnotí jako problém btrfs, zahejtuje, nasadí si klapky na oči (= naformátuje na ext4) a je happy.
Zdar Max

Měl jsem sen ... :(

15.7.2023 21:53 TechikTom
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

A k čemu je tedy běžnému uživateli filesystém, pro který musím pečlivě a možná stylem pokus-omyl vybírat disk a problematicky funguje na běžném "shitovskem " hw s pětiletou zárukou?

15.7.2023 22:04 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Tak si to prosímtě ještě jednou přečti, protože jsi zjevně silně nepochopil, co jsem psal.
Zdar Max

Měl jsem sen ... :(

22.8.2023 10:25 [Jooky]
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Ano, presne ... najhorsie je, ze take spravanie casto ludia tahaju aj do korporatov. Internal IT v jednej nie malej Kosickej firme riesi kazdy problem reinstallom OS. Im je jedno, ze event log obsahuje tisice hlasok "I/O error" a SMART health hlasi, ze je disk po smrti.

22.8.2023 13:56 majales | skóre: 30 | blog: Majales
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Jaký tedy použít HW na btrfs když ne Samsung?

22.8.2023 15:38 pavele
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Nejlepší varianta je nakoupit shodný HW, který používá Andrej. :-)

Nebo si pokusně kup od každé firmy ty nejdražší serverové disky a proveď testy s btrfs. Zbytek vrať.

23.8.2023 14:07 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

To, že ti disk na pozadí míchá z daty, to není problém btrfs.
Rada je nekupovat disky od značky, která permanentně vydává disky se zabugovaným fw. A ne, jejich serverové řady nejsou o moc lepší.
Zdar Max

Měl jsem sen ... :(

23.8.2023 09:14 TechnikTom
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Chtěl jsem se zeptat podobně, ale prý jsem ho silně nepochopil.

23.8.2023 13:58 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Chápeš, že to není o kompatibilním hw? Chápeš, že ty SSD mají vadu ve firmware? Na takový SSD bych neinstaloval ani Windows. Ptát se, jaký kompatibilní hw koupit, je tedy hloupost. Rada je prostě nekupovat zabugovaný shitky.
Zdar Max

Měl jsem sen ... :(

23.8.2023 10:28 [Jooky]
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Ja mam Samsung SSD 860 EVO 2TB :-)

... mam to ale v kombinacii SSD -> LUKS -> BTRFS a vypnute vsetky SSD optimalizacie + posledny FW ... ked si dobre pamatam, tak samsung mal problem s NCQ a ten je dokonca v poslednych kerneloch na blackliste pre Samsung.

Samsung zatial podporuje FW update len cez windows, takze na zaciatku som musel najst windows masinu s fyzickymi sata portami (skusal som to aj cez usb a rozne jbod krabice a to neslo).

23.8.2023 14:18 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Tam byl problém s NCQ, TRIM a různě se to řešilo dlouhou dobu, ty disky skončily na blacklistech v kernelu. Něco také řešil novější fw atd. Byla to akce na několik let. Těžko tedy říci, kdo má v jakém stavu ty disky (stav fw, verzi kernelu s patchema apod.).
Já jsem na začátku éry SSD vybral modelové řady (Crucial) do firmy, pak pomocí recenzí a dalších věci jsem vybral consumer do domácností (tenkrát Transcend) a vesměs se toho stále držím. Bral jsem i intely, jak do firmy, tak do privátu, ale všechny odešly. Samsung měl každou chvíli bugy ve fw typu "dnes jedeš, zítra jsi bez dat", což se opakovalo několik let a také mělo problémy s kompatibilitou (prostě nedobrý řadiče). Takže ve finále jsem zůstal u Crucialu jako střední třídě. U sata to byly naposledy MX500, u NVMe je to P5 Plus.
Nakoupeny stovky ks, odešlo jich jen pár (nějaké vadné ks z výroby, kde se to projevilo hned, pak na jednom MX500 běžela špatně nastavená db, takže ho upsala), ale jinak celou dobu spokojenost, 100% stabilita, kompatibilita s hw atd.
K Samsungu člověk táhnou jen výsledky benchmarků na netu, ale pak si uvědomí, že to za to prostě nestojí.
Zdar Max

Měl jsem sen ... :(

23.8.2023 20:52 TechnikTom
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Nebo jste měl prostě štěstí jako někdo jiný s těmi Samsungy. Protože:

"The MX500 and 870 evo (Historically acclaimed as very good SSD and often advised ) are now considered the worst SSDs you could buy... Both have firmware "bugs" and randomly die after a few months. "

https://www.reddit.com/r/buildapc/comments/130v2jw/crucial_mx500_and_samsung_870_evo_recents/?rdt=57102

Pak si má běžný smrtelník něco vybrat...

23.8.2023 22:38 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Nebo že bych si třeba už od samého začátku vybral výrobce, který má dobrý support a nové firmware pravidelně vydával a nikde je netajil? Chyby mají všichni, u rozjezdu SSD měl Crucial jeden asi z nej supportů na upgrade fw. Ostatní výrobci pokulhávaly. My jsme upgrade dělali a kontrolovali nové verze. Každopádně v tom linku třeba vidím zajímavou nepravdu ohledně flashování firmware. Nechápu, co to tam píšou za totální hlouposti.
Zdar Max

Měl jsem sen ... :(

23.8.2023 14:04 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Tak ještě jednou, není to o btrfs, je to o tom, že ten Samsung je odpad, má bugy ve fw, neinstaloval bych na to ani Windows. Rada je nekupovat shitkový hw. Chápu, že je těžký rozpoznat nekvalitní produkt, ale třeba s tím Samsungem se to prostě veze strašně moc let, a né jen v consumer sféře, ale i v té serverové.
Ty modely, co jsem napsal, pak byl vrchol humusu. Do té doby tam měly chyby typu: "konec, přišel jsi o vše", ale ta chyba u těch 860 na pozadí míchala za určitých konstelací s daty. To je prostě špatný, protože to nejde pořádně nasimulovat a ani odhalit.
Zdar Max

Měl jsem sen ... :(

25.8.2023 10:56 [Jooky]
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Najst dobry HW je v dnesnej dobe uz umenie ... SSD je kapitola sama o sebe, kedze samotne SSD sa sprava ako taky miniaturny SAN storage a co sa deje na pozadi vie len vyrobca. Samsung si pomiesa data, Transcend-u z casu na cas padne rychlost na jednotky iops, SanDisk nahodne zapne sifrovanie (bez znameho kluca) a takto by sa dalo pokracovat. Co horsie, tak vyrobcovia posielaju najrychlejsiu prvu seriu na review a potom bez hanby vymenia radic a flash chipy za pomalsie ... co horsie, tak podobne veci robia aj s HDD a inymi komponentami. Nebolo to tak davno, kedy WD potichu vymenil CMR za SMR a este hejtoval zakaznikov, ked sa na to stazovali.

To je prostě špatný, protože to nejde pořádně nasimulovat a ani odhalit.

... to cele vychadza z toho, ze SSD nie je disk, ale storage. Ono to pocitacu "vyprezentuje" LUN a co robi na pozadi vie len vyrobca. Dost skoda, ze sa neuchytili disky, pri ktorych si to riesi OS.

^^^ nie je problem len zakaznickych veci. NetApp mal celkom dlhu dobu "bug" v SSD firmwaroch, kde za istych podmienok odmazal jeden kontroler data druhemu v clustri. Tiez celkom vesele, ked ma clovek HA konfiguraciu za miliony a navzajom si mazu data.

29.8.2023 05:13 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Jak jsem psal, já si kdysi vybral Crucial, protože měli jednak bezproblémové řadiče, dále dobrou kompatibilitu (nevím, kolik lidí si to vybavuje, ale spousta desek mělo problém fungovat s SSD jejich řadiči, Crucial byl na tom s kompatibilitou mezi těmi nejlepšími) a ve finále support, tj. dostupnost a jednoduchost instalace nových fw (opět bývalo zvykem vydat SSD a už nedělat fix firmware řadiče).
Každopádně doba se hodně posunula, trh je plný SSD, které se jeví plně ok. Z těch nejlevnějších se stal odpad (QLC s malou cache, co po nějaké době klesne na hrozný čísla) a dostává se to pomalu i do střední třídy. Když někomu skládám PC, tak je pro mně minimum Crucial P5 Plus. Testoval jsem levnější varianty Crcialu (kdysi např. P1) a čistá tragédie, Win10 to nedávaly, fakt lagovaly, jak ten SSD v určitých operacích nestíhal.
. Zdar Max

Měl jsem sen ... :(

5.9.2023 11:47 [Jooky]
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Da sa na Crucial SDD updatnut firmware aj z linuxu ? ... podla mna najhorsi problem aj napr uz spominaneho samsungu, je FW uppdate cez windows only utilitku a masinu, co ma hardwarovy sata radic ...

5.9.2023 12:12 X
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Ve vetsine pripadu dodava Crucial firmware jako "Bootable ISO", takze je to jedno.

5.9.2023 12:39 Max | skóre: 73 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Buď přes bootable iso, nebo si to iso připojiš v linuchu a spustíš flashování z Linuxu.
Zdar Max

Měl jsem sen ... :(

8.9.2023 15:25 [Jooky]
Rozbalit Rozbalit vše Re: LUKS nevyzaduje pri bootu passphrase

Bootable ISO je uplne najlepsie :-)

... Pri dalsom SSD skusim aj nejake od nich.

Založit nové vlákno • Nahoru

Tiskni Sdílej: