25.11.2017, 12:24 UTC+1

Sie sind nicht angemeldet.

  • Anmelden
  • Registrieren

Lieber Besucher, herzlich willkommen bei: Knoppix Forum | www.KnoppixForum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

portabel

Anfänger

Beiträge: 10

Geschlecht: Männlich

1

18.03.2017, 11:22

Overlay-Partition wird nicht mehr erkannt

Hallo liebe Knoppix Gemeinde, Bitte um Hilfe
Knoppix V7.7.1 Obwohl eine Overlay-Partition angelegt wurde, erscheint bei booten nicht das Auswahlmenü zum PW eingeben. Das System fährt einfach hoch. Wie kann ich die Abfrage wieder in den Dialog einfügen?
Das PW für die Verschlüsselung ist bekannt
Kann ich von einem anderen System auf die Daten der Overlay-Partition zugreifen bzw die Overlay öffnen? Würde mir schon reichen um die Daten zukopieren…
Schönen Dank im voraus

mein Bürosystem openSUSE Leap 42.2 KDE

Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von »portabel« (19.03.2017, 09:05)


progi

Fortgeschrittener

2

18.03.2017, 17:38

Hallo,
vielleicht hilft es Dir, hier nach "cryptsetup" zu suchen ?

MfG

portabel

Anfänger

Beiträge: 10

Geschlecht: Männlich

3

18.03.2017, 17:50

danke aber finde nur Deinen Post. Ich denke es ist ein Knoppix Problem. Die Overlay hat ja bisher gut gespielt..

ubuntuli

Fortgeschrittener

Beiträge: 394

Geschlecht: Männlich

4

19.03.2017, 00:03

Hallo. Die Overlay-Partition ist bestimmt von einer Flash-Installation. Ich hatte dies mal auf USB getestet, gefiel mir aber nicht.
Du kannst Knoppix über die HD Installation auf einen neuen USB Installieren und beide Sticks starten um Daten zu Tauschen.
Systemrelevante Daten kannst Du auf diese Art nicht tauschen,
nur Private Daten.
http://ubuntuli.de/seite%206.html

wenn das nicht hilft kannst Du auf jeden Fall Mit Ubuntu auf die Daten Zugreifen.

http://ubuntuli.de/seite%205.html
Wichtig ist darauf zu achten das die Dateien vom neuen USB extern vorher gesichert werden müssen. Diese Daten müssen wieder auf den Stick wenn er wieder auf FAT32 für Windows formatiert wird.

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »ubuntuli« (19.03.2017, 00:15)


portabel

Anfänger

Beiträge: 10

Geschlecht: Männlich

5

19.03.2017, 09:00

moin moin,

habe mich vielleicht ungenau ausgedrückt.

E geht um eine Installation Knoppix 771 auf einem 64 GB USB-III Stick.
Bei der Install wurde eine Datenpartition mit der Knoppixverschlüsselung angelegt. 1. Option
Die Abfrage des Passwortes dieser Datenpartition geschieht nicht mehr.
Bei keiner der Optionen. Knoppix fährt ohne Abfrage hoch.

hilft Dir diese genaue Beschreibung?
Schönen Dank im voraus

mein Bürosystem openSUSE Leap 42.2 KDE

ubuntuli

Fortgeschrittener

Beiträge: 394

Geschlecht: Männlich

6

20.03.2017, 02:07

Hallo.
Vielleicht habe ich dich falsch verstanden.
, erscheint bei booten nicht das Auswahlmenü zum PW eingeben.

Warum muss diese PW Abfrage erscheinen?
Kannst Du nicht mehr auf deine Daten zugreifen?
Startet der USB noch normal mit Knoppix?

Alle Daten die Du unter Knoppix gespeichert hast sind auf der Overlay-Partition.
Im Dateimanager Knoppix kannst Du einen zweiten TAP öffnen. Möglicherweise den Zielordner oder einen zweiten USB.
Anschließend kannst Du alle Daten von Knoppix in den Zielordner Kopieren.

Bei keiner der Optionen. Knoppix fährt ohne Abfrage hoch.


Die Partition wird automatisch beim Start eingebunden.
Eine PW Abfrage erscheint nur wenn Du ein Netzwerk mit mehreren Benutzern eingerichtet hast.

7

15.07.2017, 14:07

verschlüsselte Overlay-Partition

Hallo und guten Tag,

er meint sicher die verschlüsselte Overlay-Partition.

Ich kenne das auch so, das bei einer Installation auf einem Stick und einer verschlüsselte Overlay-Partition (bzw. Datei) beim hochfahren die Passwortabfrage kommt. bei der Version 7.7.1 hat das bei mir auch noch funktioniert. Nun habe ich mal die Version 8 auf einem Stick installiert, mit Overlay-Partition (und auch mal mit Datei < 4GB), aber die Passwortabfrage kommt nicht mehr. Nun weiß ich nicht, wie ich die verschlüsselte Overlay-Partition/Datei einbinden kann. Kann mir jemand vielleicht helfen?

Viele Grüße
Karl

pit234a

Fortgeschrittener

8

22.07.2017, 16:01

Zitat

bei der Version 7.7.1 hat das bei mir auch noch funktioniert.
das ist die Version, die ich nun auf zwei unterschiedlichen USB-Sticks und jeweils etwas verschieden betreibe und wo Overlay ohne Passwort und Verschlüsselung funktioniert. Ich benutze die Begriffe vermutlich noch nicht Foren-konform. Was ich machte, ist eine Flash-Installation. Das ist im Grunde ein kleines Script, das (soweit ich das überschaue) das KNOPPIX von einer CD/DVD auf einen anderen Speicher kopiert und dabei die Bootmechanismen so anpasst, dass SYSLINUX dieses Medium booten kann und dabei die volle HW-Erkennung erhalten bleibt. Im allgemeinen nenne ich so etwas gar nicht "Installation". Das KNOPPIX-Image liegt ja auf einem fremden Dateisystem herum und enthält das komplette Image in einer gepackten Form, es wird komplett kopiert.
Dazu wird nun von dem "Installations-Script" auch angeboten, eine Overlay-Partition einzurichten (alternativ eine solche Datei oder nichts dergleichen). Warum in aller Welt diese Partition dann verschlüsselt werden soll, das verstehe ich selbst als vorsichtiger Benutzer von USB-Sticks nicht. Es wird einem aber tatsächlich angeboten.
Ich habe nirgendwo gelesen, wie die Verschlüsselung passiert.
Dazu gibt es einige Möglichkeiten im GNU/Linux-Lager und man müsste die Dokumentation dazu bei KNOPPIX finden.
Es handelt sich um eine Partition, die in reiserfs formatiert ist. Viele GNU/Linux-Distributionen und natürlich KNOPPIX bieten dafür Unterstützung an.
ich würde es deshalb mit einem KNOPPIX versuchen. Den Stick einlegen und die gewünschte Partition versuchen, einzubinden. Vielleicht erscheint dabei eine Passwort-Abfrage?
Sollte das nicht gelingen, würde ich persönlich nicht viel Zeit investieren, sondern das Ding platt machen. Wenn es nicht eingebunden werden kann, funktioniert es auch nicht. Also weg damit, neu anlegen, nicht verschlüsseln und gut ist. Dann einfach die fehlenden Programme wieder neu installieren und konfigurieren, was das Zeug hält...

9

27.07.2017, 11:20

Beim booten mehr Zeit geben, die Overlay-Partiton zu finden

Hi,
vorausgesetzt, die Overlay-Partiton auf dem Usb-Stick ist noch intakt (Keine Windows-"Reparatur" des "defekten" Dateisystems ist passiert):

Die erste Partition auf dem Stick ist eine Kopie des Knoppix-Boot-DVD Inhaltes, dahinter liegt die "unbekannte" verschlüsselte overlay-Partition.
Wenn vom Stick gebootet wird, ist das erstmal genauso, als ob von der DVD gebootet wird. Erst nachdem das Grundsystem läuft (nach ca. 3-6 sekunden) sucht Knoppix automatisch nach eine Overlay-Partition, um sie einzubinden.
Wenn zu diesem Zeitpunkt keine Overlay-Partiton gefunden wird, dann kommt auch keine Password-Abfrage, und der Bootvorgang läuft weiter als ob von DVD gebootet wurde.
Das Problem könnte sein, das der Stick an einem USB3-Port eingesteckt ist, der nicht so schnell vom bootloader auf das Grundsystem umschaltet, also dann vom Grundsystem nach 3 Sekunden noch nicht gesehen wird.

-USB-Stick in eine anderen USB - Port stecken (falls noch USB 2 am Recher vorhanden ist)?
-Von DVD booten während der Stick eingesteckt ist?
-Beim booten "Knoppix debug" oder "knoppix expert" eingeben?

-Im Bios: "Boot delay: 5 sec" einstellen, falls der Rechner das kann? bzw. "Fast boot" abschalten?
-Oder tatsächlich die "Pause"-Taste auf der Tastatur drücken, im vergangen Jahrtausend hat das BIOS dann tatsächlich den bootvorgang pausiert. Ob UEFI das noch kann?
-Oder einen anderen Computer benutzen?

viel Glück!

10

29.07.2017, 08:39

Overlay-Partiton nachträglich einbinden?

Hallo,

erstmal danke für die Antworten.
Kann man die verschlüsselte Partition auch nachträglich einbinden und wenn ja, wie?

Viele Grüße
Karl

pit234a

Fortgeschrittener

11

29.07.2017, 16:14

Zitat

Kann man die verschlüsselte Partition auch nachträglich einbinden und wenn ja, wie?
Ich will betonen, dass ich mir das nicht ausreichend angesehen habe und einiges vermute, was ich aber nicht wirklich weiß. Meine Antwort von zuvor gilt deshalb noch immer.

Also, wenn KNOPPIX eine AES-Verschlüsselung benutzt und cryptsetup (was zumindest schon mal installiert ist), dann könntest du im laufenden System ein Terminal öffnen, mit su zu root werden und mit

Quellcode

1
dmsetup ls

nachsehen. Wenn, dann sollte hier das verschlüsselte Gerät angezeigt werden und irgendwie /dev/mapper/... heißen.
Vielleicht sehen wir erst mal danach, bevor ich mich hier unsinnig ergieße.

Was du vielleicht auch noch versuchen kannst, als root und falls ein Gerät erkannt wurde:

Quellcode

1
2
mkdir myreiser
mount -t reiserfs /dev/mapper/... myreiser
... ist hierbei der Name des zuvor erkannten Gerätes. Mit viel Glück wird dadurch dein Gerät eingebunden. Ich bezweifele dies aber. Dann würde das ja auch automatisch passieren. Viel wahrscheinlicher ist, dass die Header zur Verschlüsselung kaputt sind und es deshalb nicht mehr geht. Da kann dann noch ein wenig probiert werden, aber ich habe da wenig Hoffnung, vor allem, wenn du den Weg erst erfragen musst, das alles also Neuland für dich ist.

Hast du da noch wichtige Daten drauf?
grundsätzlich: Verschlüsselung von kompletten Dateisystemen hat nach meiner Erfahrung zu 98% zur Folge, dass man sich früher oder später selbst aussperrt und an seine Daten nicht mehr herankommt und zu 2% oder noch viel weniger nützt es tatsächlich, um Fremde von wichtigen Daten fern zu halten. Es ist keinesfalls ein sicherer Hort für Daten im Sinne von Unzerstörbarkeit. Alle wichtigen Daten gehören nicht auf einen PC oder einen Stick. Ein sauberes Backup-Konzept sollte für jeden selbstverständlich sein, der mit wichtigen Daten umgeht.
Ein Stick kann in meinen Augen immer nur ein kurzfristiger Datenträger sein, um Daten zu einem sicheren Ort zu transportieren. Verschlüsselung hilft hier dann, wenn man den Stick verliert und er in fremde Hände gerät. Dabei kann aber jeweils genau das Datenpaket direkt verschlüsselt werden, um das es geht und es braucht dazu kein verschlüsseltes Dateisystem.
Wird durch einen Automatismus das Passwort sogar unnötig gemacht und die verschlüsselte Partition direkt beim Booten eingebunden, dann braucht ein unehrlicher Finder den Stick nur zu booten, um so an die Geheimnisse heran zu kommen.
Wird die Partition eingebunden (also vom berechtigten Nutzer), ist sie für Angreifer auf dem System sichtbar und nicht verschlüsselt.
Der Schutz besteht eben nur bei Verlust des USB-Sticks.
Ich habe mich seit langem dagegen entschieden, verschlüsselte Dateisysteme zu nutzen und bin damit sehr glücklich geblieben. ich würde dir das auch empfehlen und wenn keine wirklich wichtigen Daten auf der Partition liegen, dann mach das Ding einfach platt und setz es neu auf.

12

29.07.2017, 19:26

Danke

Hallo,
Danke Dir. Ich probiere das dann mal.
Ich möchte die Verschlüsselung einfach nutzen, eben für den Fall, das der Stick verloren geht. Derzeit probiere ich damit nur rum und habe keine Daten drauf.

Selbst finde ich, das verschlüsselte Dateisysteme schon einen gewissen Schutz bieten. Gerade eben wenn man einen Datenträger oder Laptop verlieren sollte, ist es gut wenn der Datenträger verschlüsselt ist. Natürlich sind Backups pflicht.
LG

pit234a

Fortgeschrittener

13

30.07.2017, 11:27

Zitat

Gerade eben wenn man einen Datenträger oder Laptop verlieren sollte, ist es gut wenn der Datenträger verschlüsselt ist.
Sicher. Das kann man so sehen und das muss man so sehen, wenn man tatsächlich sensible Daten damit transportiert. Allerdings ist das etwa so, wie mit der Kreditkarte oder dem Bargeld: was einem wichtig ist, darf man nicht sorglos behandeln und deshalb auch nicht verlieren. Auf der Overlay-Partition von Knoppix liegen zunächst überhaupt gar keine Daten drauf. Sie dient hauptsächlich der Installation zusätzlicher SW und dem Speichern deiner Konfigurationen. Ich sage mal: das kann nicht wichtig sein.
Zusätzliche Daten musst du dann erst dorthin kopieren.
Diese Daten wieder zu bekommen, ist selbst bei unverschlüsselten Partitionen nicht bequem, es erfordert nämlich ein Linux. afaik unterstützt derzeit nur noch Linux ReiserFS, das Knoppix-Standard-Dateisystem. Es gibt nicht sehr viele Menschen, die überhaupt ein Linux nutzen. Außer natürlich die Nutzer von Knoppix und da ist das Famose, dass man einem Finder des USB-Sticks alle Mittel in die Hand gibt, diese Overlay-Partition auch direkt zu lesen.
Deshalb finde ich, dass man grundsätzlich überlegen sollte, welche Daten man denn überhaupt auf einem USB-Stick transportiert und wie wichtig einem das ist, um ganz sicher dafür zu sorgen, dass diese nicht verloren gehen. Wirklich wichtige Daten (ich habe keine solchen Daten) würde ich niemals auf einen Stick legen und wenn, dann würde ich die separat verschlüsseln und mich nicht einem verschlüsselten Dateisystem anvertrauen.
Das Gute an Knoppix ist für mich ja genau der Punkt, dass ich Daten zwischen unterschiedlichen Rechnern transportieren kann. Die FAT-Partition auf der das System liegt kommt eignen sich hierfür sehr gut, alle Systeme sprechen FAT. Wenn ich das nutzen will, kann ich da gar keine Verschlüsselung des Dateisystems gebrauchen, denn das können die anderen Systeme ja dann gar nicht so umsetzen.

Sodann lese ich (seit einigen Tagen erst) über Knoppix und Probleme damit und darunter kommen solche mit verschlüsselten Overlay-Partitionen in ReiserFS ziemlich häufig vor. Es ist deshalb für mich eine doppelte Frage der Abwägung zwischen Vernunft und Vorsicht: was nützt es, Daten vor dem Zugriff Fremder sicher zu wissen, wenn ich selbst dann nicht mehr ran komme? Genau dieser Effekt scheint sich bei Knoppix mit ReiserFS und der Overlay-Partition häufiger zu zeigen. Ich lese das nur, kenne nicht die möglichen Hintergründe, aber ReiserFS ist tatsächlich ziemlich am Ende seiner Laufzeit angekommen. Deshalb gebe ich dir das nochmal zu bedenken. Nicht nur aus Prinzip, weil ich persönlich solche Verschlüsselungen für unsinnig halte, sondern auch aus der Überlegung heraus, dass es grundsätzlich Unzuverlässigkeiten geben könnte, die einem den Spaß daran verderben könnten.

14

30.07.2017, 18:51

Keine Diskussion über Sinn oder Unsinn von Verschlüsselung

Hallo,
es geht hier nicht um den Sinn oder Unsinn von Verschlüsselung. Auch wenn man keine sensible Daten rum trägt: meine Daten gehen niemand was an! Wer nicht verschlüsseln will, muss es nicht. Kann jeder machen wie er will.

Ich will einfach wissen, wie man die verschlüsselte Overlay-Partition einbinden kann, wenn knoppix schon läuft.

Viele Grüße
Karl

pit234a

Fortgeschrittener

15

30.07.2017, 23:08

Ich will einfach wissen, wie man die verschlüsselte Overlay-Partition einbinden kann, wenn knoppix schon läuft.
Klar kann jeder machen, was er möchte, so lange er es denn auch kann. Du kommst offenbar nun nicht mehr an deine verschlüsselte Daten? Da sind sie dann sehr sicher!
Es gibt da offensichtlich Probleme mit KNOPPIX und verschlüsselten Overlay-Partitionen. Ich kenne mich damit nicht aus, aber ich bin sicher, dass ich keine Verschlüsselung benutzen würde, die ich nicht auch verstehe oder zumindest weiß, wie ich sie aufgesetzt habe. Es gibt da einfach zu viele Optionen und Möglichkeiten. Ohne Dokumentation und/oder Wissen ist man da schnell am Ende, ich jedenfalls.
Egal.

Ich kann dir da nicht weiter helfen, ich schaffe es nicht, eine solche Partition im laufenden Betrieb zu mounten.

Was habe ich gemacht?
Zunächst habe ich ein Knoppix auf einen USB-Stick legen lassen (Flash-Install) und dabei die Option gewählt, eine verschlüsselte Overlay-Partition zu erstellen. Dann habe ich das System gebootet, wobei ich während der Init-Phase mein zuvor gesetztes Passwort eingeben musste.
An der Stelle schon mal der erste Hinweis: wenn das bei dir nicht erscheint, dann ist mit großer Sicherheit deine Overlay-Partition kaputt und du kannst egal wie, niemals mehr was einbinden. Denn KNOPPIX durchsucht das Medium und findet recht zuversichtlich eine in Frage kommende Partition. Ich habe das Init-File nicht mehr gespeichert und zitiere vom kurzen Ansehen wegen eines anderen Problems aus dem gedächtnis. Nimm das nicht zu genau, sieh halt selbst nach und mach dir einen Reim darauf.
Bei mir war die Partition in Ordnung und konnte nach Eingabe des Passwortes "SimSalaBim" erfolgreich eingebunden werden.
Das präsentierte sich im fertig gebooteten System dann so:

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
root@Microknoppix:/home/knoppix# dmsetup ls
KNOPPIX-DATA	(250:0)
root@Microknoppix:/home/knoppix# cryptsetup -v status KNOPPIX-DATA
/dev/mapper/KNOPPIX-DATA is active and is in use.
  type:	PLAIN
  cipher:  aes-cbc-plain
  keysize: 256 bits
  device:  /dev/sda2
  offset:  0 sectors
  size:	3691491 sectors
  mode:	read/write
Befehl erfolgreich.

weil ich mich damit nicht auskenne und auch nicht mehr dazu lesen wollte (ich habe das Problem ja nicht), konnte ich selbst nicht mehr dazu aus dem System herauslesen. Ich empfehle dir eine Internet-Suche zu den Themen und nenne dir mal Links, die ich selbst nun gelesen habe.
https://gitlab.com/cryptsetup/cryptsetup/wikis/DMCrypt
https://en.wikibooks.org/wiki/Cryptsetup
https://wiki.archlinux.org/index.php/Dm-…hrases_and_keys
und außerdem die eingebaute man page zu dem Kommando, die man quasi auch hier findet https://www.systutorials.com/docs/linux/man/8-cryptsetup/
Wie alles, das mit Verschlüsselung zu tun hat, ist das alles für einfache Menschen wie mich nicht einfach zu lesen, geschweige denn, zu verstehen. Ich habe mich noch nie mit diesem Konzept befasst und dachte, dass es relativ einfach sein müsste, die Befehle zu setzen und dann damit Erfolg zu haben. Es gibt aber scheinbar noch mehr Details, die ich übersehen habe.
Also, mein erfolgloser Versuch:
In einem gebooteten KNOPPIX hänge ich den Stick mit der verschlüsselten Partition ein, die nun auf /dev/sdb2 zu finden ist.

Quellcode

1
2
3
4
5
6
7
8
# echo "SimSalaBim" | cryptsetup plainOpen /dev/sdb2 KNOPPIX-DATA --cipher=aes-cbc-plain --key-file=-
root@Microknoppix:/home/knoppix# mount -t reiserfs /dev/mapper/KNOPPIX-DATA mnt
mount: Falscher Dateisystemtyp, ungültige Optionen, der
Superblock von /dev/mapper/KNOPPIX-DATA ist beschädigt, fehlende
Kodierungsseite oder ein anderer Fehler

   	Manchmal liefert das Systemprotokoll wertvolle Informationen –
   	versuchen Sie  dmesg | tail  oder ähnlich


Es geht also nicht, die Fehlermeldungen in dmesg deuten auf ein unsauberes oder falsches Dateisystem. Vermutlich ist bei der "Entschlüsselung" ein Detail falsch gelaufen, es fehlen vielleicht noch einige Angaben. Aber, alles, was ich sehen kann, ist soweit identisch:

Quellcode

1
2
3
4
5
6
7
8
9
10
root@Microknoppix:/home/knoppix# cryptsetup -v status KNOPPIX-DATA
/dev/mapper/KNOPPIX-DATA is active.
  type:	PLAIN
  cipher:  aes-cbc-plain
  keysize: 256 bits
  device:  /dev/sdb2
  offset:  0 sectors
  size:	3691491 sectors
  mode:	read/write
Befehl erfolgreich.

Nebenbei: echo "SimSalaBim" | cryptsetup plainOpen /dev/sdb2 KNOPPIX-DATA --cipher=aes-cbc-plain --key-file=- sieht merkwürdig aus, aber ohne diese Konstruktion wurde mir das Passwort immer abgelehnt und ich fand dann auf irgendeiner Seite diesen Hinweis mit Begründung. Das ist also bekannt und du brauchst es gar nicht erst anders zu versuchen. Ohne die Option --cipher wird ein abweichender als Default genommen, die ist also jedenfalls wichtig.

Du findest in der Dokumentation ja noch weitere Hinweise, was da alles bestimmt werden muss oder werden kann. Du kannst auch das KNOPPIX Init-File mal noch ansehen, es ist allerdings gepackt und nicht gleich sichtbar. In diesem Beitrag erfuhr ich davon: KNOPPIX ab 7.7 auf NTFS Dateisystem legen und booten?

Ich bin allerdings mit meinen eigenen Spielereien mit KNOPPIX nun fertig oder anders gesagt, ich muss mangels Wissen aufgeben und mich nicht weiter einarbeiten, weshalb ich auch keine Lust habe, mich weiter diesen Themen zu widmen.
Hier habe ich noch einige Energie vergeudet, weil ich mich ja ungefragt eingemischt hatte und deshalb eine gewisse Verpflichtung empfand. Aber mehr will ich nicht mehr und kann es wahrscheinlich auch nicht. Was ich hier zeige, sind schließlich nur meine vernünftigsten Versuche. Davor gab es etliche mit viel weniger Ergebnis.

Aber nochmal: meine Partition funktioniert auf dem laufenden System und wird mit Passwort eingebunden. Wenn das bei dir schon nicht geht, gibt es quasi keine Hoffnung aus meiner Sicht.

Was ich allerdings auch nicht machte: das Forum nach solchen Problemen und Lösungen gezielt durchsuchen. Ich suchte nach meinen eigenen Fragen und dabei habe ich dann einige Information mitgelesen.

16

31.07.2017, 08:09

Hallo pit234a,

erstmal vielen Dank für Deine Mühe.
Nein, es ist nicht so, das ich an Daten auf der verschlüsselten Overlay-Partition nicht mehr ran komme. Ich habe da noch keine Daten drauf ;-). Auch wäre es blöd, keine Sicherung der Daten zu haben.

Nochmal zum Verständnis, wo das Problem liegt:

Ich habe das Knoppix per Flash-Installation auf einen USB Stick übertragen. dann habe ich eine verschlüsselte Overlay-Partition angelegt. Wenn ich das ganze mit der Version 7.7.1 mache, kommt (so wie es sein soll) beim booten die Passwortabfrage für die Overlay-Partition. Wenn ich das mit der Version 8 mache, kommt die Passwortabfrage nicht. Das mit dem gleichen Stick.

Wie gesagt, die Overlay-Partition ist neu und ohne Inhalt. Kaputt dürfte die neu angelegte Overlay-Partition nicht sein.
Bin noch am probieren. Werde auch mal nen anderen Stick probieren und Euch Bescheid geben.
Wünsche einen schönen Tag.

pit234a

Fortgeschrittener

17

01.08.2017, 17:04

die Version 8 von Knoppix sollte meiner Ansicht nach gar nicht ernsthaft benutzt und schon gar nicht ausgiebig in Foren diskutiert werden. Sie macht vieles anders und ist eine sehr spezielle Entwickler-Version, die einfach nicht in allen Punkten fertig ist und funktioniert. So hat sie auch hinsichtlich der Overlay-Partition ein vollkommen neues Konzept. Habe ich gelesen, denn ich habe selbst keine Version 8 zur Hand um das zu sehen.
Fehler sollten da direkt ans Entwickler-Team gemeldet werden.

Es gibt mehr oder weniger einfache Möglichkeiten, seine Daten ganz gezielt selbst zu verschlüsseln und zwar auch mit einem laufenden Knoppix. Das halte ich immer für sehr viel Besser, als eine Fertig-Lösung auf eine komplette Partition anzuwenden, die man dann nicht im Detail kennt.

Was ich habe ist Version 771 und da gibt es eine Datei /KNOPPIX/knoppix-data.inf und die setzt Merkmale der Overlay-Partition. Dort steht die Partitionsnummer, der Name aka Mountpoint, das Dateisystem, die Verschlüsselung. Diese Datei wird beim Booten ausgewertet, umgesetzt und angewendet. Man kann da nicht einfach aus einer verschlüsselten partition eine unverschlüsselte machen, vielmehr muss man das anpassen, wenn man etwas selbst geändert hat (bei mir ZB nicht reiserfs sondern ext2).

Im Anhang mal die entpackte INIT-Datei, die den Startvorgang von Knoppix (771) handelt. So ab Zeile 850 bis 1000 werden die Dateisysteme eingebunden, du kannst nach mountaes suchen, da geht es um die Verschlüsselung. Es werden viele Variablen benutzt, die man sich erst erschließen müsste und dann wird das ganze irgednwie nicht direkt eingebunden, sondern als /dev/loop gesetzt und später dann ins UnionFS integriert. Ich durchblicke das nicht alles. Ich kann da zwar lesen, aber nicht alles verstehen. Außerdem gehe ich davon aus, dass hier nicht vollends alles zu sehen ist und man das komplette mirt weiter durchgehen muß, um besser zu sehen, was Knoppix da macht.

Davon abgesehen: meine Versuche sind natürlich auch dilettantisch und vollkommen unbedarft. ich habe noch nie zuvor etwas mit der Materie zu tun gehabt und verstehe vielleicht etwas vollkommen falsch. Ich will dir nur, sozusagen Schützenhilfe leisten, damit du dann motiviert bist, die richtigen Antworten zu finden und mit uns zu teilen.

[attach]978[/attach]

pit234a

Fortgeschrittener

18

05.08.2017, 22:25

nochn Versuch, der vielleicht geht

Manchmal gehen einem solche Probleme gar nicht aus dem Kopf, obwohl man sie gar nicht selbst hat.
Es sind ja alle Lösungen eigentlich in dem init-File enthalten, aber ich gebe zu, dass ich das nicht verstehe und ich bin selbst auch nicht mal Ansatzweise erfahren im Erstellen von Scripts. Ich zeige aber mal etwas, das nun bei mir funktioniert hat.

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
#!/bin/sh
#
# Microknopppix busybox-based initramfs bootscript
# (C) 2015 by Klaus Knopper <knoppix@knopper.net>
# LICENSE: GPL V2

# Its purpose: 
# 1. Mounting CD, DVD, Flashdisk or network drive,
# 2. unifying read-only compressed file system and ramdisk or file overlay,
# 3. give control to the real sysv init, which then continues to work like
#	we booted from a single disk partition.

DISTRO="Knoppix 7.7"
KVERSION="7.7.1-2016-10-22"

###########################################
# from here we start with a test
###########################################
# ich will Teile aus dem original-Script benutzen
# und damit dann eine verschlüsselte Overlay mounten
###########################################

home=/home/knoppix
lang=de

runknoppixlib(){
 local cmd="$1"; shift
 [ -r /UNIONFS/lib/ld-linux.so.2 -a -x "$cmd" ] && /UNIONFS/lib/ld-linux.so.2 --library-path "/UNIONFS/lib:/UNIONFS/usr/lib:/UNIONFS/lib/i386-linux-gnu" "$cmd" "$@"
 return "$?"
}

setkeyboard(){
 [ -n "$keyboard" ] || keyboard="$lang"
 [ -n "$keyboard" -a -x "/UNIONFS/bin/loadkeys" ] && /bin/loadkeys -q "$keyboard" >/dev/null 2>&1
}

# mountaes partition mountpoint filesystem [options]
mountaes(){
 local p="/dev/sdc2" mp="${2:-/KNOPPIX-DATAS}" fs="${3:-reiserfs}" mods="" m="" try="" h="" options="-o rw"
 [ -n "$4" ] && options="$4"
 for m in loop cryptoloop dm_crypt aes_generic aes_i586 cbc; do
  [ -d /sys/module/"$m" ] || mods="$mods $m"
 done
 [ -n "$mods" ] && /sbin/modprobe -a $mods >/dev/null 2>&1
 setkeyboard
 echo -n "${CYAN}$p "
  local h="" mapdev="${mp##*/}"
  if runknoppixlib /UNIONFS/sbin/cryptsetup create --key-size 256 --cipher aes "$mapdev" "$p"; then # Use dm-crypt
   h=/dev/mapper/"$mapdev"

   mount -t "$fs" $options "$h" "$mp" && return 0
  fi	
}

[ -d /KNOPPIX-DATAS ] || mkdir -m 755 /KNOPPIX-DATAS
mountaes
Ich habe das auch als Textdatei angehangen, bei mir hieß das aes.sh und damit machte ich dann:

Quellcode

1
2
3
4
5
6
root@Microknoppix:/home/knoppix# sh aes.sh 
/dev/sdc2 Passphrase eingeben: 
root@Microknoppix:/home/knoppix# ls /KNOPPIX-DATAS
etc  home  lost+found  root  sbin  usr  var
root@Microknoppix:/home/knoppix# umount /KNOPPIX-DATAS
root@Microknoppix:/home/knoppix# cryptsetup remove KNOPPIX-DATAS


ich weiß, dass dies immer unübersichtlich dargestellt ist und auch einige Geduld erfordert. Vielleicht lohnt sich das aber.
Also, die Zeilen sind ohne Änderung und ohne, dass ich viel davon verstanden habe, aus dem init-Script von Knoppix entnommen und etwas angepasst und auf meinen Fall verkürzt worden. Es muss dann angepasst werden:
In Zeile 39 p="/dev/sdc2"
In Zeile 39 fs="${3:-reiserfs}
In Zeile 55 /KNOPPIX-DATAS
sdc2 ist wichtig, das muss halt auf die verschlüsselte Partition des eigenen Datenträgers zielen.
reiserfs ist weniger wichtig, es ist der Standard, den kaum jemand verändern wird.
/KNOPPIX-DATAS ist der von mir gewählte Mountpoint und dazu muss ich gleich erklären: dieser Teil des Scripts macht nicht die Einbindung über UNIONFS, es bindet diese Partition nicht in ein laufendes KNOPPIX als KNOPIX-DATA ein und verteilt die Inhalte des Dateisystems. Das wollte ich auch nicht. Das kommt im Init-Script erst einige Zeilen später und mein Ziel war genau, dies nicht zu bewirken, sondern die verschlüsselte Partition ganz normal zu mounten, um sie zu untersuchen oder zu bearbeiten. Ich mache das in einem laufenden KNOPPIX von einem anderen Stick, das ja schon eine eigene Overlay eingebunden hat. Ich wollte genau nur eine Partition so einbinden und nicht die kompletten Suchmechanismen aus dem KNOPPIX-init mitnehmen. Diese Chance gibt es auch, aber das ist nichts für mich. Da steige ich zu wenig durch.

Also, dieses Script, das ich nicht als "mein Script" bezeichnen kann, weil es eben komplett rauskopiert wurde, einfach auf den Knoppix-Stick legen, vielleicht ausführbar machen, anpassen, aufrufen, Passwort eingeben und auf /KNOPPIX-DATAS nachsehen, was drauf ist und ob es geklappt hat.
Das sollte auch für eine nicht gefundene Overlay-Partition auf dem gleichen Stick funktionieren. Man muss sich aber fragen, wieso diese nicht bereits gefunden worden ist.
anschließen umount und das mapper-Gerät zerstören, wie oben gezeigt.

Ich habe das nicht ausgiebig getestet und warne ausdrücklich vor unsachgemäßem Gebrauch. Es sind keinerlei Abfragen und Sicherheitsmechanismen eingebaut.
Ich habe die verschlüsselte Overlay-Partition von einem zweiten Stick so in ein laufendes KNOPPIX eingebunden, Daten dorthin kopiert (meine eigenen Overlay-Daten aus dem laufenden Knoppix), habe dann Daten dort verändert und die Partition wieder ausgebunden. Danach habe ich dann den veränderten Stick neu gebootet und er hatte alle Änderungen in der verschlüsselten Overlay-Partition drin und wurde ganz korrekt automatisch eingebunden. Das bedeutet: es ging genau das, was ich mir vorgestellt hatte!

Die Overlay-Partition war aber nicht defekt und sie war zuvor von dem Muttersystem ebenfalls schon automatisch eingebunden worden (nach Abfrage des Passwortes).
Man kann die Befehle, die im Script aes.sh generiert werden, selbstredend auch von Hand eingeben. Genau das habe ich ja zuvor versucht und war dabei immer gescheitert, ohne zu sehen, was ich denn falsch gemacht habe. Mit diesem Script ist es mir jedenfalls gelungen und ich denke, das kann grundsätzlich so benutzt werden, wenn man nicht zu hohe Erwartungen daran stellt.
Wenn dieses Problem wirklich häufiger wird, findet sich vielleicht jemand, der auf dieser Grundlage etwas verbessert und weiter automatisiert. Für mich langt das so.
»pit234a« hat folgende Datei angehängt:
  • aes.txt (1,83 kB - 0 mal heruntergeladen)

pit234a

Fortgeschrittener

19

06.08.2017, 16:42

geht doch direkt

ich muss einen oder mehrere Fehler bei meinen ersten Versuchen gemacht haben. Das Script, das Knopper normalerweise benutzt, läuft ja auf busybox zur Bootzeit und deshalb muss er sich Befehle aus dem KNOPPIX holen. Das braucht man in einem gebooteten System nicht mehr und deshalb hatte mich die Sache schon durchaus verwirrt. Es geht eben doch manuell und ganz einfach.

  1. Man braucht einen Mountpoint, also etwa mkdir mnt
  2. ich habe alles als root gemacht, also su
  3. mit cryptsetup ein passendes mapper-Gerät anlegen
  4. dieses mapper-Gerät auf einen Mountpoint einbinden
  5. auf der solchermaßen eingebundenen Partition arbeiten
  6. umount
  7. mapper-Gerät zerstören
Mein Beispiel:

Quellcode

1
2
3
4
knoppix: > mkdir mnt
knoppix: > su
root@Microknoppix:/home/knoppix# cryptsetup create --key-size 256 --cipher aes Overlay /dev/sdb2
Passphrase eingeben:
Die Passphrase ist unsichtbar, falsche Passphrase führt hier nicht zu einem Fehler, das Einbinden gelingt dann später aber nicht. /dev/sdb2 ist meine verschlüsselte Partition, die muss man wissen. "Overlay" ist ein eindeutiger Phantasie-Nname für das neue Gerät. Es geht auch AliBaba oder Wahnsinn oder KNOPPIX-DATA oder was auch immer.

Quellcode

1
2
3
root@Microknoppix:/home/knoppix# ls /dev/mapper/
control  Overlay
root@Microknoppix:/home/knoppix# mount -t reiserfs -o rw /dev/mapper/Overlay /home/knoppix/mnt
das mapper-Gerät "Overlay "ist neu entstanden und bezieht die mitgegebenen Eigenschaften in sich ein. Dieses wird nun auf den zuvor angelegten Mountpoint eingebunden. Es ist reiserfs, bei mir und bei KNOPPIX als Standard.

Quellcode

1
2
3
4
root@Microknoppix:/home/knoppix# mount | grep Over
/dev/mapper/Overlay on /home/knoppix/mnt type reiserfs (rw,relatime)
root@Microknoppix:/home/knoppix# ls mnt
etc  home  lost+found  root  sbin  usr  var
Eingebunden, alles da, kann bearbeitet werden.

Und wieder zurück:

Quellcode

1
2
3
4
5
6
7
root@Microknoppix:/home/knoppix# umount mnt
root@Microknoppix:/home/knoppix# ls mnt
root@Microknoppix:/home/knoppix# ls /dev/mapper/
control  Overlay
root@Microknoppix:/home/knoppix# cryptsetup remove Overlay
root@Microknoppix:/home/knoppix# ls /dev/mapper/
control


Noch ein solcher Ablauf mit einer falschen Passphrase:

Quellcode

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
root@Microknoppix:/home/knoppix# cryptsetup create --key-size 256 --cipher aes Overlay /dev/sdb2
Passphrase eingeben: 
root@Microknoppix:/home/knoppix# ls /dev/mapper/
control  Overlay
root@Microknoppix:/home/knoppix# mount -t reiserfs -o rw /dev/mapper/Overlay /home/knoppix/mnt
mount: Falscher Dateisystemtyp, ungültige Optionen, der
Superblock von /dev/mapper/Overlay ist beschädigt, fehlende
Kodierungsseite oder ein anderer Fehler

   	Manchmal liefert das Systemprotokoll wertvolle Informationen –
   	versuchen Sie  dmesg | tail  oder ähnlich
root@Microknoppix:/home/knoppix# dmesg | tail
[  231.586277] sd 11:0:0:0: [sdb] Attached SCSI removable disk
[  232.614926] FAT-fs (sdb1): utf8 is not a recommended IO charset for FAT filesystems, filesystem will be case sensitive!
[  232.624401] FAT-fs (sdb1): Volume was not properly unmounted. Some data may be corrupt. Please run fsck.
[  311.288457] REISERFS (device dm-0): found reiserfs format "3.6" with non-standard journal
[  311.288506] REISERFS (device dm-0): using ordered data mode
[  311.288509] reiserfs: using flush barriers
[  311.290360] REISERFS (device dm-0): journal params: device dm-0, size 512, journal first block 18, max trans len 256, max batch 225, max commit age 30, max trans age 30
[  311.290405] REISERFS (device dm-0): checking transaction log (dm-0)
[  311.336468] REISERFS (device dm-0): Using r5 hash to sort names
[  442.099672] REISERFS warning (device dm-0): sh-2021 reiserfs_fill_super: can not find reiserfs on dm-0



Es ist also wirklich einfach, eine verschlüsselte, funktionierende Overlay-Partition in einem laufenden KNOPPIX-System einzubinden. Grundsätzlich kann das auch in anderen GNU/Linux Systemen so gelingen, aber es ist mir nicht klar, obe alle benötigten Teile dort immer vorhanden sind.
Dies bindet nicht die Overlay-Partition ins UNIONFS ein.
Dazu wäre wenigstens ein weiterer Befehl nötig. Es ist nicht sinnvoll, so etwas im laufenden System zu machen, es kann geradezu zerstörerische Auswirkungen haben. Das Einbinden einer Partition ins UNIONFS sollte automatisch zur Bootzeit passieren, damit sie gleich beim Systemstart vorhanden ist. Ansonsten ist das spätere Einbinden einer solchen Partition nur sinnvoll, um sie dann quasi pathologisch zu bearbeiten.

Linux HardwareLinux Computer & PCs | Linux Notebooks & Laptops | Geek Shirts | Geek und Nerd Shirt Shop