1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.GERMAN

  • boot und crypttab failed

    From Joachim H.@21:1/5 to All on Fri Dec 22 19:30:02 2023
    Moin,


    mein System läuft seit rund 4 Jahren mit einer verschlüsselten
    Partition, die beim booten über crypttab geöffnet und dann auch
    gemounted wird.


    Nun ist irgendwas passiert und es funktioniert nicht mehr. Der
    Bootvorgang hält an und fragt nach einem Passwort für die
    Entschlüsselung der Partition. Was in crypttab steht wird ignoriert? Ich
    komme mit einem beliebigen Passwort bis zum root login. Natürlich ist
    keine Partition entschlüsselt aber auch das Netzwerk ist nicht da. Ich
    habe auch keine Chance dieses nachträglich noch zu aktivieren.


    Klemme ich den Eintrag in crypttab ab und auch den entsprechenden in der
    fstab, dann bootet das System, habe Netz. Jetzt kann ich zu Fuß die verschlüsselte Partition mit cryptsetup öffnen und sie auch mounten. Mit denselben Angaben wie in crypttab. Das keyfile ist somit nicht kaputt
    und auch erreichbar.


    Hat jemand einen Tipp, was ich prüfen könnte, damit beim Booten crypttab wieder gelesen und auch verwendet wird?


    Gruß


    Joachim

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Marc Haber@21:1/5 to All on Sat Dec 23 09:40:01 2023
    On Fri, 22 Dec 2023 19:28:21 +0100, "Joachim H." <linux@ejr-online.de>
    wrote:
    mein System läuft seit rund 4 Jahren mit einer verschlüsselten
    Partition, die beim booten über crypttab geöffnet und dann auch
    gemounted wird.

    Nun ist irgendwas passiert und es funktioniert nicht mehr. Der
    Bootvorgang hält an und fragt nach einem Passwort für die
    Entschlüsselung der Partition. Was in crypttab steht wird ignoriert?

    Was genau steht denn in der Crypttab? Dass er Dich nach dem Passwort
    für die Partition fragt zeigt doch dass er die crypttab liest? Sonst
    würde er die Partition doch ignorieren.

    Und welches Betriebssystem überhaupt?

    Ich
    komme mit einem beliebigen Passwort bis zum root login.

    Mit einem BELIEBIGEN Passwort?!? Bis zum regulären root login oder bis
    zu einem emergency login?

    Natürlich ist
    keine Partition entschlüsselt aber auch das Netzwerk ist nicht da.

    Und wie kann er dann booten?

    Hat jemand einen Tipp, was ich prüfen könnte, damit beim Booten crypttab >wieder gelesen und auch verwendet wird?

    Die Fehlerbeschreibung muss viel präziser werden.

    Grüße
    Marc
    --
    -------------------------------------- !! No courtesy copies, please !! ----- Marc Haber | " Questions are the | Mailadresse im Header Mannheim, Germany | Beginning of Wisdom " |
    Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Joachim H.@21:1/5 to All on Sat Dec 23 11:50:01 2023
    hier ein paar weitere Einzelheiten.


    OS: Debian 12

    verschlüsselte Partition ist eine reine Datenpartition, RootFS ist unverschlüsselt.

    --

    crypttab:

    srv /dev/sda3 /Pfad/zum/Keyfile luks

    --

    fstab:

    /dev/mapper/srv /srv ext4 defaults

    --

    ich komme bis zum Ermergency Login

    --

    eingeloggt kann ich dann

    cryptsetup srv /dev/sda3 --key-file /pfad/zum/Keyfile

    absetzen und ebenso ein

    mount /srv


    und (fast) alles ist so wie es sein soll. Das Netzwerk ist zwar "up"
    (systemctl status networking gibt active)  , habe aber keine IP.
    Auffällig ist auch, dass cryptsetup gefühlt recht lange dauert.


    Wie gesagt, diese Konstellation läuft genau so seit etwa 2019 auf verschiedenen Debian Systemen, aktuell auf zwei. Bis eben gestern, da
    hat sich eines verabschiedet. Das andere läuft nach wie vor.


    Bei dem betroffenen (headless) System musste ich gestern einen Notaus hinnehmen. Ob das aber die Ursache oder die Folge des Schlamassel ist,
    kann ich nicht sagen. Das System war nicht mehr erreichbar. Wir hatten
    auch Gewitter vorgestern Nacht mit Lichtflackern und es ist keine USV im Einsatz.

    Aber bevor ich das System neu aufsetze, erstmal checken ob was zu retten
    ist.





    Am 23.12.23 um 09:32 schrieb Marc Haber:
    On Fri, 22 Dec 2023 19:28:21 +0100, "Joachim H." <linux@ejr-online.de>
    wrote:
    mein System läuft seit rund 4 Jahren mit einer verschlüsselten
    Partition, die beim booten über crypttab geöffnet und dann auch
    gemounted wird.

    Nun ist irgendwas passiert und es funktioniert nicht mehr. Der
    Bootvorgang hält an und fragt nach einem Passwort für die
    Entschlüsselung der Partition. Was in crypttab steht wird ignoriert?
    Was genau steht denn in der Crypttab? Dass er Dich nach dem Passwort
    für die Partition fragt zeigt doch dass er die crypttab liest? Sonst
    würde er die Partition doch ignorieren.

    Und welches Betriebssystem überhaupt?

    Ich
    komme mit einem beliebigen Passwort bis zum root login.
    Mit einem BELIEBIGEN Passwort?!? Bis zum regulären root login oder bis
    zu einem emergency login?

    Natürlich ist
    keine Partition entschlüsselt aber auch das Netzwerk ist nicht da.
    Und wie kann er dann booten?

    Hat jemand einen Tipp, was ich prüfen könnte, damit beim Booten crypttab >> wieder gelesen und auch verwendet wird?
    Die Fehlerbeschreibung muss viel präziser werden.

    Grüße
    Marc

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Marc Haber@21:1/5 to All on Sat Dec 23 14:30:01 2023
    On Sat, 23 Dec 2023 11:46:01 +0100, "Joachim H." <linux@ejr-online.de>
    wrote:
    verschlüsselte Partition ist eine reine Datenpartition, RootFS ist >unverschlüsselt.

    Das ist ohne Secureboot und vernagelte Firmware nicht ungefährlich.

    crypttab:

    srv /dev/sda3 /Pfad/zum/Keyfile luks

    Heißt Deine Partition noch sda3? Wenn mit eingestecktem USB-Stick
    gebootet wird, verschiebt sich das gerne. Schau mal in /dev/disk/by-*
    ob Du da nicht einen stabileren Pfad zu Deinen Daten findest.

    fstab:

    /dev/mapper/srv /srv ext4 defaults

    Schreib mail "nofail" statt "defaults", dann bootet die Kiste auch
    zuende wenn die Cryptdisk nicht da ist.

    ich komme bis zum Ermergency Login

    Das wäre im ersten Artikel wichtig gewesen ;-)

    Grüße
    Marc
    --
    -------------------------------------- !! No courtesy copies, please !! ----- Marc Haber | " Questions are the | Mailadresse im Header Mannheim, Germany | Beginning of Wisdom " |
    Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Ulf Volmer@21:1/5 to All on Sat Dec 23 15:20:02 2023
    Am 23.12.23 um 11:46 schrieb Joachim H.:

    Bei dem betroffenen (headless) System musste ich gestern einen Notaus hinnehmen. Ob das aber die Ursache oder die Folge des Schlamassel ist,
    kann ich nicht sagen. Das System war nicht mehr erreichbar. Wir hatten
    auch Gewitter vorgestern Nacht mit Lichtflackern und es ist keine USV
    im Einsatz.


    Irgendwas auffälliges in dmesg oder sonstigen Logs?


    Viele Grüße

    Ulf

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Joachim H.@21:1/5 to All on Sat Dec 23 15:30:01 2023
    This is a multi-part message in MIME format.
    Am 23.12.23 um 14:23 schrieb Marc Haber:
    On Sat, 23 Dec 2023 11:46:01 +0100, "Joachim H."<linux@ejr-online.de>
    wrote:
    verschlüsselte Partition ist eine reine Datenpartition, RootFS ist
    unverschlüsselt.
    Das ist ohne Secureboot und vernagelte Firmware nicht ungefährlich.

    Ich weiß, es ist bei mir noch Luft nach oben.

    crypttab:

    srv /dev/sda3 /Pfad/zum/Keyfile luks
    Heißt Deine Partition noch sda3? Wenn mit eingestecktem USB-Stick
    gebootet wird, verschiebt sich das gerne. Schau mal in /dev/disk/by-*
    ob Du da nicht einen stabileren Pfad zu Deinen Daten findest.

    ist noch sda3, normalerweise nehme ich PARTUUID. Wäre jetzt eine
    Möglichkeit, das zu ändern. (-> geht, hab's grad geändert.)


    Ob nu sda3 oder partuuid, die Meldungen auf dem Bootschirm sagen
    eindeutig, dass die Platte gefunden wird.

    fstab:

    /dev/mapper/srv /srv ext4 defaults
    Schreib mail "nofail" statt "defaults", dann bootet die Kiste auch
    zuende wenn die Cryptdisk nicht da ist.


    Ich konnte nicht raus finden, ob default und nofail oder nur nofail
    korrekt ist. Aktuell hat's beides, der Prompt zur Eingabe eines
    Passwortes kommt trotzdem.

    die Meldung lautet:

    please enter passphrase for disk PSSD_T7 (srv) on /srv:


    mich wundert grad das /srv. Um zu wissen, dass die Partition auf /srv zu mounten ist, muss die fstab schon mal gelesen worden sein. Bin ich da
    auf dem falschen Dampfer und das Problem liegt woanders?

    ich komme bis zum Ermergency Login
    Das wäre im ersten Artikel wichtig gewesen ;-)


    Ja, man ist in solchen Fällen derart ins Problem eingetaucht, dass man
    da die Hälfte vergisst zu erwähnen.


    Das mit dem Netzwerk nach dem Booten hat sich erledigt. Da gab es einen
    IP Konflikt, der gelöst ist. Aktuell habe ich Netz auch wenn das mit der Entschlüsselung nicht geklappt hat.


    <!DOCTYPE html>
    <html>
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    </head>
    <body>
    <p><br>
    </p>
    <div class="moz-cite-prefix">Am 23.12.23 um 14:23 schrieb Marc
    Haber:<br>
    </div>
    <blockquote type="cite"
    cite="mid:E1rH1y6-00000001RwY-3BLu@drop.zugschlus.de">
    <pre class="moz-quote-pre" wrap="">On Sat, 23 Dec 2023 11:46:01 +0100, "Joachim H." <a class="moz-txt-link-rfc2396E" href="mailto:linux@ejr-online.de">&lt;linux@ejr-online.de&gt;</a>
    wrote:
    </pre>
    <blockquote type="cite">
    <pre class="moz-quote-pre" wrap="">verschlüsselte Partition ist eine reine Datenpartition, RootFS ist
    unverschlüsselt.
    </pre>
    </blockquote>
    <pre class="moz-quote-pre" wrap="">
    Das ist ohne Secureboot und vernagelte Firmware nicht ungefährlich.</pre>
    </blockquote>
    <p>Ich weiß, es ist bei mir noch Luft nach oben.<br>
    </p>
    <p><span style="white-space: pre-wrap">
    </span></p>
    <blockquote type="cite"
    cite="mid:E1rH1y6-00000001RwY-3BLu@drop.zugschlus.de">
    <pre class="moz-quote-pre" wrap="">
    </pre>
    <blockquote type="cite">
    <pre class="moz-quote-pre" wrap="">crypttab:

    srv /dev/sda3 /Pfad/zum/Keyfile luks
    </pre>
    </blockquote>
    <pre class="moz-quote-pre" wrap="">
    Heißt Deine Partition noch sda3? Wenn mit eingestecktem USB-Stick
    gebootet wird, verschiebt sich das gerne. Schau mal in /dev/disk/by-*
    ob Du da nicht einen stabileren Pfad zu Deinen Daten findest.</pre>
    </blockquote>
    <p>ist noch sda3, normalerweise nehme ich PARTUUID. Wäre jetzt eine
    Möglichkeit, das zu ändern. (-&gt; geht, hab's grad geändert.)<br>
    </p>
    <br>
    <p>Ob nu sda3 oder partuuid, die Meldungen auf dem Bootschirm sagen
    eindeutig, dass die Platte gefunden wird.<br>
    </p>
    <p><span style="white-space: pre-wrap">
    </span></p>
    <blockquote type="cite"
    cite="mid:E1rH1y6-00000001RwY-3BLu@drop.zugschlus.de">
    <blockquote type="cite">
    <pre class="moz-quote-pre" wrap="">fstab:

    /dev/mapper/srv /srv ext4 defaults
    </pre>
    </blockquote>
    <pre class="moz-quote-pre" wrap="">
    Schreib mail "nofail" statt "defaults", dann bootet die Kiste auch
    zuende wenn die Cryptdisk nicht da ist.</pre>
    </blockquote>
    <p><br>
    </p>
    <p>Ich konnte nicht raus finden, ob default und nofail oder nur
    nofail korrekt ist. Aktuell hat's beides, der Prompt zur Eingabe
    eines Passwortes kommt trotzdem.<br>
    </p>
    <p>die Meldung lautet:</p>
    <p><span style="font-family:monospace"><span
    style="color:#000000;background-color:#ffffff;">please enter
    passphrase for disk PSSD_T7 (srv) on /srv:</span></span></p>
    <p><span style="font-family:monospace"><span
    style="color:#000000;background-color:#ffffff;"><br>
    </span></span></p>
    <p><span style="font-family:monospace"><span
    style="color:#000000;background-color:#ffffff;"></span></span>mich
    wundert grad das /srv. Um zu wissen, dass die Partition auf /srv
    zu mounten ist, muss die fstab schon mal gelesen worden sein. Bin
    ich da auf dem falschen Dampfer und das Problem liegt woanders? <br>
    </p>
    <p><span style="white-space: pre-wrap">
    </span></p>
    <blockquote type="cite"
    cite="mid:E1rH1y6-00000001RwY-3BLu@drop.zugschlus.de">
    <pre class="moz-quote-pre" wrap="">
    </pre>
    <blockquote type="cite">
    <pre class="moz-quote-pre" wrap="">ich komme bis zum Ermergency Login </pre>
    </blockquote>
    <pre class="moz-quote-pre" wrap="">
    Das wäre im ersten Artikel wichtig gewesen ;-)</pre>
    </blockquote>
    <p><br>
    </p>
    <p>Ja, man ist in solchen Fällen derart ins Problem eingetaucht,
    dass man da die Hälfte vergisst zu erwähnen. <br>
    </p>
    <p><br>
    </p>
    <p>Das mit dem Netzwerk nach dem Booten hat sich erledigt. Da gab es
    einen IP Konflikt, der gelöst ist. Aktuell habe ich Netz auch wenn
    das mit der Entschlüsselung nicht geklappt hat.</p>
    <p><br>
    </p>
    </body>
    </html>

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Joachim H.@21:1/5 to All on Sat Dec 23 16:00:01 2023
    Am 23.12.23 um 15:19 schrieb Ulf Volmer:
    Am 23.12.23 um 11:46 schrieb Joachim H.:

    Bei dem betroffenen (headless) System musste ich gestern einen Notaus
    hinnehmen. Ob das aber die Ursache oder die Folge des Schlamassel
    ist, kann ich nicht sagen. Das System war nicht mehr erreichbar. Wir
    hatten auch Gewitter vorgestern Nacht mit Lichtflackern und es ist
    keine USV im Einsatz.


    Irgendwas auffälliges in dmesg oder sonstigen Logs?


    Bisher nicht. Ich weiß nicht, wie oft ich die Logs deswegen durch bin.


    Und da plötzlich taucht er auf, der Eintrag. Tippfehler!! Manno, da
    stand doch ein - anstatt eines _ im Keyfile und das ist mir bis gerade
    eben nicht aufgefallen. Vor lauter Bäumen ....


    Ich kann mich aber wieder schwach erinnern, dass das bei der letzten
    Wartung mal Thema war mit - und _. Anscheinend hatte ich crypptab nach
    dem Booten damals verschlimmbessert und das alles wieder vergessen. grrr.


    Alles läuft wieder!


    Danke an alle








    Viele Grüße

    Ulf



    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Marc Haber@21:1/5 to All on Wed Jan 24 11:40:02 2024
    On Sat, 23 Dec 2023 15:23:45 +0100, "Joachim H." <linux@ejr-online.de>
    wrote:
    Ich konnte nicht raus finden, ob default und nofail oder nur nofail
    korrekt ist. Aktuell hat's beides, der Prompt zur Eingabe eines
    Passwortes kommt trotzdem.

    defaults ist "sane defaults" die zum Kernel und zum Dateisystem
    passen. Siehe man fstab. "nofail" ist die Anweisung an systemd, bei
    Abwesenheit des Dateisystems nicht sofort aus dem Fenster zu springen
    sondern es weiter zu versuchen. Habe ich fast überall stehen.

    die Meldung lautet:

    please enter passphrase for disk PSSD_T7 (srv) on /srv:


    mich wundert grad das /srv. Um zu wissen, dass die Partition auf /srv zu >mounten ist, muss die fstab schon mal gelesen worden sein. Bin ich da
    auf dem falschen Dampfer und das Problem liegt woanders?

    Wird das noch im initramfs gefragt oder läuft systemd dann schon?
    Sowohl die fstab als auch die crypttab sind im initramfs bekannt;
    systemd baut sich aus fstab und crypttab jeweils mount units bzw
    Instanzen von systemd-cryptsetup@.

    Das mit dem Netzwerk nach dem Booten hat sich erledigt. Da gab es einen
    IP Konflikt, der gelöst ist. Aktuell habe ich Netz auch wenn das mit der >Entschlüsselung nicht geklappt hat.

    Immerhin ;-)

    Grüße
    Marc
    --
    ---------------------------------------------------------------------------- Marc Haber | " Questions are the | Mailadresse im Header Rhein-Neckar, DE | Beginning of Wisdom " |
    Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)