kanotix.com

Anwendungen - Truecrypt und Einbinden verschlüsselter Festplatten

stalin2000 - 17.07.2013, 15:43 Uhr
Titel: Truecrypt und Einbinden verschlüsselter Festplatten
Hallo Ihr,

wenn ich eine verschlüsselte Datenfestplatte (nicht die Systemplatte) bzw. eine Containerdatei auf dieser Festplatte beim jeden Start einbinden möchte, kann ich das rigendwie so einrichten, daß Truecrypt mich dann beim Start automatisch nach dem Paßwort fragt? Ich will das so komfortabel wie möglich haben.

Außerdem möchte ich, daß Truecrypt die Festplatte dann in /media/Daten einhängt und nicht in /media/truecrypt1.

Geht das?

Viele Grüße
Christopher
jokobau - 17.07.2013, 18:01 Uhr
Titel: Truecrypt und Einbinden verschlüsselter Festplatten
in die /etc/init.d/rc
ungefähr so:


Code:
.
.
.
.
         SCRIPTS="$SCRIPTS $i"
         done
         startup $ACTION $SCRIPTS
      done
   fi
fi
# an dieser Stelle sinngemäß eintragen:
echo -e " \n\n\t Passworteingabe oder \n\t\t\t oder \n\t ctrl + c für weiter \n\n\t"
truecrypt -t -k  "" --protect-hidden=no --filesystem=ext4 --fs-options=defaults,rw   --slot=15  /dev/sd<xx> /media/Daten
# Ende Eintrag

trap - EXIT # Disable emergency handler


exit 0


"/dev/sd<xx>" natürlich entsprechend deiner Platte / Partition. Schade dass kein UUID geht, da die Volumen das nicht haben. Entsprechend kann man auch ein File einhängen.
"--slot" kanst frei wählen. Aber am besten einen hohen, weil andere Volumen man wohl niedrig einhängt.
--filesystem=ext4 gehe ich davon aus, dass du mit TC auch wirklich ext4 formatiert hast. Ansonsten halt anders.
Ansonsten bringts auch
Code:
 truecrypt --help

stalin2000 - 21.07.2013, 10:59 Uhr
Titel: Truecrypt und Einbinden verschlüsselter Festplatten
Hallo Jokobau,

danke!

Hab ich so gemacht. Paßworteingabe geht auch, aber nur wenn man schnell escape beim Starten drückt, sonst geht dieser Debian-Splash nicht weg und man sieht die Paßworteingabe nicht.

Wie deaktiviere ich noch mal diesen Debian-Splash mit dem blauen balken unten?

Viele Grüße
Christopher
jokobau - 21.07.2013, 11:22 Uhr
Titel: Truecrypt und Einbinden verschlüsselter Festplatten
Ja klar mit splash gehts nicht.
machst du aus der /etc/default/grub
Code:

...
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash"
GRUB_CMDLINE_LINUX=""
...

jeweils den splash raus

und machst ein
Code:
update-grub

und gut issses
stalin2000 - 21.07.2013, 11:50 Uhr
Titel: Truecrypt und Einbinden verschlüsselter Festplatten
Super, danke!

Ach ja, eine allgemeine Frage noch: Wenn ich jetzt meine Systempartition auch verschlüssele, muß ich dann an der selben Stelle die beiden Paßwörter eingeben?
jokobau - 21.07.2013, 12:23 Uhr
Titel: Truecrypt und Einbinden verschlüsselter Festplatten
So ganz verstehe ich deine Frage nicht.
Denn du brauchst ja immer ein minimales System um zu starten.
Ich schrieb aber bereits, dass du an TC das Passwort mit einer Variablen übergeben kannst, was du dann, falls es gleich ist, auch anderweitig verwenden kannst. Das ginge dann ungefähr so:
Code:

.
.
read PASSWORT
truecrypt -t -k -p  "" --protect-hidden=no  --password=$PASSWORT  --filesystem=ext4 --fs-options=defaults,rw   --slot=15  /dev/sd<xx> /media/Daten
.
# z.B:
truecrypt -t -k -p  "" --protect-hidden=no  --password=$PASSWORT  --filesystem=ext4 --fs-options=defaults,rw   --slot=16  /dev/sd<yy> /home
.

Sinnig natürlich ist dann auch die Variable wieder zu überschreiben
TheOne - 21.07.2013, 15:59 Uhr
Titel: Truecrypt und Einbinden verschlüsselter Festplatten
Falls du eine Komplettverschlüsselung mit LUKS meinst, dann passiert deren PW-Eingabe noch vor deiner TC-PW-Eingabe. Das Minimalsystem bei LUKS ist eine unverschlüsselte /boot Partition wo die initrd und der Kernel drauf liegen.

Dein angepasstes init Script wird ja erst angezogen wenn das System dann wirklich startet. Dazu muss logischerweise zuerst die Systemplatte entschlüsselt und als / eingebunden werden.

TheOne
stalin2000 - 21.07.2013, 20:31 Uhr
Titel:
Noch eine Frage:

Nach Lust und Laune ändert sich jetzt die Festplatte andauernd auf /dev/sde1 und dann wieder auf /dev/sdi1 und wieder zurück und vor... Hatte eine externe Platte angeschlossen, die scheint da was durcheinander gebracht zu haben. Es nervt aber, weil ich bei jedem Start nicht mehr wissen kann, ob jetzt gerade mal das Ding sde oder sdi ist!!

Was kann ich da tun?


PS ich glaube mir ist lieber, daß das TC-Einbinden nach dem Start des Systems mit Zenity passiert. Das sähe sowieso besser aus und reicht ja.
jokobau - 21.07.2013, 23:05 Uhr
Titel:
Mann kann ja auch ein TC-File machen. Die Partitionen kann man schießlich dann über die UUID mounten.
stalin2000 - 21.07.2013, 23:08 Uhr
Titel:
Dafür ist es ja nun zu spät. Ich hab das Ding schon als Partition erstellt. Wie doof - wenn ich das vorher gewußt hätte...
jokobau - 22.07.2013, 09:50 Uhr
Titel:
Na dann frag mal Kano oder so, wie man die Reihenfolge der Platten, die normal nach Schnittstelle entsprechend sda, sdb ... sind festlegt sind, ändert.
Ich habe da was ganz ganz dunkel im Kopf. Vor 5 Jahren ging das irgendwie mit rules.

In meinen Aufschrieben steht:
Zitat:

löschen von alten Laufwerksbezeichnungen:
rm -f /etc/udev/rules.d/z25_persistent-cd.rules


und in 2006 hatte ich notiert:

Zitat:

Eigene udev-Rules definieren
(siehe auch : writing udev rules)
In /etc/udev/ udev_my.rules (und den Link dazu unter rules.d) angelegt, um vorhandene USB-Medien mit selbstdefinierten (festen) Devicenamen bzw. Mountpoints (kde 3.4.x's 'media:/' Interface) auszustatten
('SYSFS' Einträge ermittelbar z.B. mittels udevinfo -a -p $(udevinfo -q path -n /dev/<device>) oder hal-device-manager, und dort Einträge auswählen die das Gerät 'Eindeutig' beschreiben).
HINWEIS: udev >=0.091 scheint restiktiver in der Regel-Syntax zu sein (die '==' Parameter, herausgefunden mit udevtest ).


Ich denke, ich habe dies auch schon damals nicht geblickt. Heute habe ich auf jedenfall keinen Dunst mehr, was ich da gemacht, oder nicht gemacht habe.
stalin2000 - 22.07.2013, 14:58 Uhr
Titel:
Kapier ich auch nicht Smilie

Das seltsame ist, daß es sich um eine interne Festplatte handelt. Eigentlich kann es daher ja doch nicht sein, daß sie ständig von sde zu sdi springt...
stalin2000 - 22.07.2013, 15:14 Uhr
Titel:
Ok ich habe eine Idee für einen Workaround:

Und zwar mounte ich einfach von dev/sde1 und von dev/sdi1 und dann klappt's schon. Geht es, daß ich mit cache das Kennwort dann nur einmal eingeben muß und danach ein wipe-Befehl erfolgt?

Ich habe unter truecrypt -h nichts dergleichen gefunden. Bei der Windows-Version scheint aber ein cache Befehl zu exisitieren, der das Kennwort dann nach nur einer Eingabe auf zwei volumens "losläßt"...

Momentan hab ich jetzt einfach zwei Zeilen drin, einmal für sde und einmal für sdi. So geht's zwar, aber ich muß jedes Mal das Kennwort zwei Mal eingeben und das nervt natürlich
Kano - 22.07.2013, 18:24 Uhr
Titel:
Nehm halt /dev/disk/by-id/...
jokobau - 22.07.2013, 23:19 Uhr
Titel:
Kano hat folgendes geschrieben::
Nehm halt /dev/disk/by-id/...


Super! Ich bin auch total auf dem Schlauch gestanden.
Dachte TC formatiert hat kein Label, keine UUID ......
stalin2000 - 23.07.2013, 00:05 Uhr
Titel:
Geht das? In Gparted wird für die Paritition keine UUID angezeigt. "Dateisystem" Unbekannt.
jokobau - 23.07.2013, 06:23 Uhr
Titel:
Jetzt guck dir doch einfach mal
Code:
ls /dev/disk/by-id/

dann wird dir schon klar, dass du statt
Code:
truecrypt -t -k -p  "" --protect-hidden=no  --password=$PASSWORT  --filesystem=ext4 --fs-options=defaults,rw   --slot=15  /dev/sd<xx> /media/Daten

Dann halt
Code:
truecrypt ......................  /dev//dev/disk/by-id/ ata-<xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx>-part<y> /media/Daten

nehmen kannst
jokobau - 23.07.2013, 06:30 Uhr
Titel: Re: Truecrypt und Einbinden verschlüsselter Festplatten
@Kano bei dieser Gelegenheit:
mit ist nicht ganz klar, ob der Eintrag da an der optimalen Stelle ist.

jokobau hat folgendes geschrieben::
in die /etc/init.d/rc
ungefähr so:

.
SCRIPTS="$SCRIPTS $i"
done
startup $ACTION $SCRIPTS
done
fi
fi
# an dieser Stelle sinngemäß eintragen:
echo -e " \n\n\t Passworteingabe oder \n\t\t\t oder \n\t ctrl + c für weiter \n\n\t"
truecrypt -t -k "" --protect-hidden=no --filesystem=ext4 --fs-options=defaults,rw --slot=15 /dev/sd<xx> /media/Daten
# Ende Eintrag

trap - EXIT # Disable emergency handler


exit 0

stalin2000 - 23.07.2013, 11:07 Uhr
Titel:
Hallo Jakobau: Danke. Geht leider noch nicht:

Code:
truecrypt -t -k  "" --protect-hidden=no --filesystem=ext4 --fs-options=defaults,rw   --slot=15  /dev//dev/disk/by-id/ ata-<WDC_WD000ADS-00P0B0_WD-WMAVU000000>-<part1> /media/Daten1


hab es mit <> Tüdelchen und ohne probiert. Das System bootet jetzt, ohne daß nach einem Kennwort gefragt wird.
jokobau - 23.07.2013, 12:18 Uhr
Titel:
Zitat:
/dev//dev/disk/by-id/ ata-<WDC_W


Da ist ein Leerzeichen und ein dev und zwei // zu viel und natürlich das < auch.

Ich sehs gerade. Lag an meiner Vorlage. War wohl noch nicht ganz wach.
Also besser immer alles kritisch sehen.

das müsste dann schon so aussehen, Beispiel ist eine meiner Platten:
Code:
 /dev/disk/by-id/ata-MDT_MD7500AAVS-00D7B0_MDT-MCAU44039966-part4


und das kopierst du einfach aus dem Ergebnis von ls /dev/disk/by-id/

die <> mach ich für die Variablen.
stalin2000 - 02.08.2013, 17:00 Uhr
Titel:
Danke, das hat tatsächlich geklappt!

Die Zeile laut dann in der rc dementsprechend:

Code:

truecrypt -t -k  "" --protect-hidden=no --filesystem=ext4 --fs-options=defaults,rw   --slot=15  /dev/disk/by-id/ata-WDC_WD10EADS-00P9C0_WD-WMAVU2723821-part1 /media/Daten1

jokobau - 04.08.2013, 16:06 Uhr
Titel:
Na, also !!
Alle Zeiten sind GMT + 1 Stunde
PNphpBB2 © 2003-2007