Festplattenverschlüsselung bei LVM nachträglich wieder deaktivieren?

Kronos · 29. Februar 2020

Hallo zusammen,
ich würde gerne wissen, ob und wie man die Festplattenverschlüsselung bei der LVM-Partitionierung nachträglich deaktivieren kann.

Grund dafür ist, das der zeitliche Mehraufwand beim anmelden nicht in Relation zum nutzen steht für einen normalen Desktopnutzer wie mich.
Auch der Ruhemodus wird dadurch irgendwie obsolet, weil das Neustarten kaum länger dauert als das entschlüsseln nach dem Ruhemodus.

Außerdem habe ich das Gefühl, das die Verschlüsselungssache bzw. LVM im allgemeinen der Grund ist, warum mein PC oft nach dem Standby nicht mehr aufwacht.

Danke im Voraus!

Scytale · 29. Februar 2020

Bist du der einzige Nutzer am PC?

Ich habe zwar eine LVM Verschlüsselung, aber danach eine Autoanmeldung, muss also nur einmal ein Passwort eingeben.

Was meinst du genau mit "entschlüsseln nach dem Ruhemodus"? Da wird gar nichts enschlüsselt, das System macht einfach da weiter, wo es aufgehört hat. Es sei denn du benutzt Hibernate, der den gesamten RAM auf die HDD/SSD schreibt.

Ganz abgesehen davon schützt die Verschlüsselung, dass ein angreifer mit physischen Zugang zu deinem PC sich als root amelden kann. Dass kann man ohne jegliche Passwortkenntnis über GRUB erreichen.

Kronos · 29. Februar 2020

Zitat von Scytale

Bist du der einzige Nutzer am PC?

Mein normaler Account und ein Root Account. Wird aber alles nur von mir benutzt.

Zitat von Scytale

Ich habe zwar eine LVM Verschlüsselung, aber danach eine Autoanmeldung, muss also nur einmal ein Passwort eingeben.

Bei mir muss ich mich einmal bei Grub anmelden mit dem Entschlüsselungspasswort, dann nochmal zum laden von Leap, und dann mit meinem Accountpasswort (wobei ich das wohl über Autoanmeldung überspringen könnte?).

Zitat von Scytale

Was meinst du genau mit "entschlüsseln nach dem Ruhemodus"? Da wird gar nichts enschlüsselt, das System macht einfach da weiter, wo es aufgehört hat. Es sei denn du benutzt Hibernate, der den gesamten RAM auf die HDD/SSD schreibt.

Es gibt ja den Standby-Modus und den Ruhezustand. Beim Standby muss ich mich nicht mehr anmelden, da passiert es mir aber öfter das der PC nicht mehr aufwacht.
Den Ruhezustand würde ich diesbezüglich gerne mehr testen, aber da muss ich jedes mal 2 mal die Plattenentschlüsselung eingeben.

Scytale · 29. Februar 2020

Zitat von Kronos

Mein normaler Account und ein Root Account. Wird aber alles nur von mir benutzt.

Dann wäre der Autologin auf deinen User-Account ja eine Lösung.

Zitat von Kronos

Bei mir muss ich mich einmal bei Grub anmelden mit dem Entschlüsselungspasswort, dann nochmal zum laden von Leap, und dann mit meinem Accountpasswort (wobei ich das wohl über Autoanmeldung überspringen könnte?).

Die zweite Eingabe des Entschlüsselungspasswortes kannst du umgehen. In diesem openSUSE Wiki-Artikel wird es Schritt für Schritt beschrieben.

Zitat von Kronos

Es gibt ja den Standby-Modus und den Ruhezustand. Beim Standby muss ich mich nicht mehr anmelden, da passiert es mir aber öfter das der PC nicht mehr aufwacht.Den Ruhezustand würde ich diesbezüglich gerne mehr testen, aber da muss ich jedes mal 2 mal die Plattenentschlüsselung eingeben.

Ich gehe leider davon aus, dass du mit einem unverschlüsseltem System sehr wahrscheinlich die gleichen Probleme mit dem Standby-Modus hast. Ich habe hier einen zweiten PC, der komplett Problemlos läuft, aber aus jedem 10. Standby nicht wieder kommt.

Der Ruhezustand lohnt sich heutzutage nicht mehr richtig. Der gesamte RAM wir auf die Festplatte geschrieben und bei dem Aufwachen wieder in den RAM zurück kopiert. Alles über 4 Gb Ram braucht da schon fast länger als ein regulärer Boot.

Kronos · 29. Februar 2020

Zitat von Scytale

Die zweite Eingabe des Entschlüsselungspasswortes kannst du umgehen. In diesem openSUSE Wiki-Artikel wird es Schritt für Schritt beschrieben.

Werde ich mal morgen probieren, hoffe ich bekomme das hin...

Zitat von Scytale

Ich gehe leider davon aus, dass du mit einem unverschlüsseltem System sehr wahrscheinlich die gleichen Probleme mit dem Standby-Modus hast. Ich habe hier einen zweiten PC, der komplett Problemlos läuft, aber aus jedem 10. Standby nicht wieder kommt.

Woher kommt dieses Problem überhaupt? Liegt das am LVM? Oder allgemein an Leap? Weil bei mir ist das definitiv öfter und vorallem, wenn der länger im Standby war.

Kronos · 1. März 2020

Ok, ab Schritt 3 komme ich schon nicht mehr weiter, welche Platte muss ich da auswählen?

Code

linux-s2bf:/home/ # sudo touch /.root.key; sudo chmod 600 /.root.key
linux-s2bf:/home/ # sudo dd if=/dev/urandom of=/.root.key bs=1024 count=1
1+0 Datensätze ein
1+0 Datensätze aus
1024 bytes (1,0 kB, 1,0 KiB) copied, 0,000155129 s, 6,6 MB/s
linux-s2bf:/home/ # sudo cryptsetup luksAddKey /dev/sda1 /.root.key  # replace /dev/sda1 with the root partition
Gerät »/dev/sda1« existiert nicht oder Zugriff verweigert.
linux-s2bf:/home/ # sudo fdisk -l
Festplatte /dev/nvme0n1: 931,5 GiB, 1000204886016 Bytes, 1953525168 Sektoren
Disk model: Samsung SSD 970 EVO Plus 1TB            
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes
Festplattenbezeichnungstyp: gpt
Festplattenbezeichner: 201E6240-108F-42F1-9A37-FE95731AA5B0


Gerät           Anfang       Ende   Sektoren Größe Typ
/dev/nvme0n1p1    2048    1026047    1024000  500M EFI-System
/dev/nvme0n1p2 1026048 1953525134 1952499087  931G Linux LVM




Festplatte /dev/mapper/cr_nvme-Samsung_SSD_970_EVO_Plus_1TB_S4EWNF0M722805R-part2: 931 GiB, 999677435392 Bytes, 1952494991 Sektoren
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes




Festplatte /dev/mapper/system-swap: 2 GiB, 2147483648 Bytes, 4194304 Sektoren
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes




Festplatte /dev/mapper/system-root: 929 GiB, 997527126016 Bytes, 1948295168 Sektoren
Einheiten: Sektoren von 1 * 512 = 512 Bytes
Sektorgröße (logisch/physikalisch): 512 Bytes / 512 Bytes
E/A-Größe (minimal/optimal): 512 Bytes / 512 Bytes

Alles anzeigen

Scytale · 1. März 2020

/dev/nvme0n1p1 ist ja die Partition, auf dem der Bootloader ist. Das ist die, die du mit dem erstem mal Passwort eingeben entsperrst. Das zweite Passwort entsperrt den LVM Container.

/dev/nvme0n1p2 ist die Partition mit dem LVM Container. Das heißt, der Befehl aus Schritt 3 muss so lauten:

Code

sudo cryptsetup luksAddKey /dev/nvme0n1p2 /.root.key

Kaleidoskop · 1. März 2020

Hallo nochmal, musste mich jetzt mit einem anderen PC hier anmelden.

Hab das Ganze probiert und kann mich jetzt nicht mehr bei GRUB anmelden...
Also auch keinen Snapshot laden.
Die Passwortangabe ist da auch jetzt nicht mehr blind sondern ausgeschrieben. Aber der nimmt das jetzt nicht mehr an.
Ausgabe nach Passworteingabe ist "can´t find command ..."

Wie komme ich da jetzt weiter?
Oder muss ich jetzt das Betriebssystem neu installieren?

Kronos · 1. März 2020

Ich hätte lieber über Yast das Bootloader Passwort deaktivieren sollen...

Naja, hab jetzt das Betriebssystem nochmal neu installiert ohne Passwort.
Also hat sich das jetzt quasi erledigt.

Trotzdem Danke!

Festplattenverschlüsselung bei LVM nachträglich wieder deaktivieren?

Fehler bei der Validitätsprüfung

Neue Clonezilla-Version aktualisiert Unterbau

Schleswig-Holstein migriert nach Linux - Windows und Microsoft Office werden ersetzt durch Linux und LibreOffice

[Leap15.5] Keine Soundausgabe über Bluetooth

Neuinstallation leap 15.5: init Prozess scheitert beim Booten - Kernel Panik

A_Kueb

Kukulkan

vpn

Nidrnox

hudel

Teilen

Tags