7.2. Verschlüsselte Dateisysteme einbinden

Wenn Sie während der Installation verschlüsselte Dateisysteme erstellt haben und diesen Einhängepunkte zugewiesen haben, werden Sie während des Startvorgangs aufgefordert, für jedes der Dateisysteme die korrekte Passphrase einzugeben. Die aktuelle Vorgehensweise unterscheidet sich geringfügig zwischen dm-crypt und loop-AES.

7.2.1. dm-crypt

Für Partitionen, die mittels dm-crypt verschlüsselt sind, wird der folgende Prompt während des Bootens angezeigt:

Starting early crypto disks... part_crypt(starting)
Enter LUKS passphrase:

Dabei entspricht hier das part in der ersten Zeile dem Namen der darunter liegenden Partition, z.B. sda2 oder md0. Jetzt fragen Sie sich vielleicht, für welches Dateisystem Sie eigentlich die Passphrase eingeben sollen. Geht es hier jetzt um /home? Oder vielleicht um /var? Wenn Sie nur ein verschlüsseltes Dateisystem haben, ist dies natürlich simpel und Sie können einfach die Passphrase eingeben, die Sie bei der Erstellung des Dateisystems benutzt haben. Haben Sie aber mehrere erstellt, sind die Notizen praktisch, die Sie sich im letzten Schritt von Abschnitt 6.3.2.4, „Verschlüsselte Dateisysteme konfigurieren (partman-crypto)“ aufgeschrieben haben. Wenn Sie sich nicht notiert haben, wie die verschlüsselten Partitionen (part_crypt) auf die Einhängepunkte abgebildet sind, finden Sie diese Infos auch in /etc/crypttab und /etc/fstab Ihres neuen Systems.

Der Prompt während des Bootens könnte ein wenig anders aussehen, während ein verschlüsseltes root-Dateisystem eingebunden wird. Dies hängt davon ab, welcher initramfs-Generator verwendet wurde, um die zum Starten des Systems nötige initrd (Initial-Ram-Disk) zu erzeugen. Das folgende Beispiel gilt für eine initrd, die mittels initramfs-tools generiert wurde:

Begin: Mounting root file system... ...
Begin: Running /scripts/local-top ...
Enter LUKS passphrase:

Es werden keinerlei Zeichen (nicht einmal Sternchen) angezeigt, während Sie die Passphrase eingeben. Wenn Sie eine falsche Passphrase eingeben, haben Sie noch zwei weitere Versuche, dies zu korrigieren. Nach dem dritten Versuch überspringt der Boot-Prozess den Schritt und fährt mit dem Einbinden des nächsten Dateisystems fort. Weitere Informationen hierzu finden Sie im Abschnitt 7.2.3, „Fehlersuche und -behebung“.

Nachdem Sie alle Passphrasen eingegeben haben, sollte der Boot-Prozess wie üblich fortgesetzt werden.

7.2.2. loop-AES

Für Partitionen, die via loop-AES verschlüsselt sind, wird der folgende Prompt während des Bootens angezeigt:

Checking loop-encrypted file systems.
Setting up /dev/loopX (/mountpoint)
Password:

Es werden keinerlei Zeichen (nicht einmal Sternchen) angezeigt, während Sie die Passphrase eingeben. Wenn Sie eine falsche Passphrase eingeben, haben Sie noch zwei weitere Versuche, dies zu korrigieren. Nach dem dritten Versuch überspringt der Boot-Prozess den Schritt und fährt mit dem Einbinden des nächsten Dateisystems fort. Weitere Informationen hierzu finden Sie im Abschnitt 7.2.3, „Fehlersuche und -behebung“.

Nachdem Sie alle Passphrasen eingegeben haben, sollte der Boot-Prozess wie üblich fortgesetzt werden.

7.2.3. Fehlersuche und -behebung

Falls eines der Dateisysteme nicht eingebunden werden konnte, weil eine falsche Passphrase eingegeben wurde, müssen Sie es nach dem Systemstart manuell einbinden. Es gibt unterschiedliche Situationen:

  • Die erste betrifft die root-Partition. Wenn diese nicht korrekt eingebunden werden konnte, stoppt der Boot-Prozess und Sie müssen den Rechner neu starten, um den nächsten Versuch machen zu können.

  • Der einfachste Fall ist der, wenn verschlüsselte Dateisysteme /home oder /srv beherbergen. Diese können Sie nach dem Systemstart manuell einbinden. Bei loop-AES ist dies mit einem Schritt erledigt:

    # mount /mount_point
    Password:
    

    ... wobei /mount_point durch den entsprechenden Verzeichnisnamen (z.B. /home) ersetzt werden muss. Der einzige Unterschied zu einer normalen mount-Aktion ist, dass Sie nach der Passphrase für das Dateisystem gefragt werden.

    Bei dm-crypt ist dies ein bisschen verzwickter. Sie müssen zunächst die Dateisysteme mit dem device mapper registrieren, indem Sie Folgendes ausführen:

    # /etc/init.d/cryptdisks start
    

    Dadurch werden alle Dateisysteme überprüft, die in /etc/crypttab aufgeführt sind, und es werden entsprechende Gerätedateien im /dev-Verzeichnis erzeugt, wenn die korrekte Passphrase eingegeben wurde. (Bereits eingebundene Dateisysteme werden übersprungen, so dass Sie diesen Befehl ohne Sorge mehrfach hintereinander ausführen können.) Nach erfolgreicher Registrierung können Sie die Dateisysteme ganz normal einbinden:

    # mount /mount_point
    

  • Falls Dateisysteme, welche unkritische Systemdateien beinhalten, beim Start nicht eingebunden werden konnten (wie /usr oder /var), sollte das System trotzdem booten und Sie müssten die Dateisysteme wie oben beschrieben manuell einbinden können. Allerdings werden Sie wohl alle Dienste (neu) starten müssen, die normalerweise beim Wechsel in den Standard-Runlevel bei Ihnen aktiviert werden, da sie wahrscheinlich nicht erfolgreich gestartet werden konnten. Der einfachste Weg, dies zu bewerkstelligen ist, in den ersten Runlevel zu wechseln und wieder zurück, indem Sie

    # init 1
    

    am Shell-Prompt eingeben und dann, wenn nach dem root-Passwort gefragt wird, drücken Sie Strg-D.