Moinsen!
Bin neu hier und auf Tumbleweed -- bitte um Nachsicht bei allzu dummen Fragen...
Ich habe versucht, meine Installation so umzustellen, dass sie beim Einloggen möglichst wenige Passwort-Eingaben abfragt (idealerweise nur einmal um die Disk zu entsperren) und dass Hibernation möglich ist.
Irgendwo hab ich was nicht kapiert oder übersehen, und das nicht hingekriegt. Könnt Ihr mir da weiterhelfen?
Die Boot-SSD hat dieses Layout (von der Default-Installation):
localhost% lsblk -o +uuid,partuuid | egrep '(nvme|cr_|NAME)'
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS UUID PARTUUID
nvme0n1 259:0 0 931,5G 0 disk
├─nvme0n1p1 259:1 0 512M 0 part /boot/efi 206E-E81C bb5cb360-9a99-42f0-bd72-870baaf2e331
├─nvme0n1p2 259:2 0 899,9G 0 part 709fa855-7e7f-466c-af59-f66c75f0bac3 b1145a59-4e89-4889-aa8e-977f541f452b
│ └─cr_root 254:0 0 899,9G 0 crypt /home b96523fe-33a2-4485-86c5-c6e88b844473
└─nvme0n1p3 259:3 0 31,1G 0 part 1ee12023-7812-4dd5-8038-415429ced1b9 60709d73-0819-440a-9c34-0e5414243a0e
└─cr_swap 254:1 0 31,1G 0 crypt [SWAP] 7518b918-bbfc-4258-81ef-490533415489
Fstab ist ebenfalls Default:
/dev/mapper/cr_root / btrfs defaults 0 0
/dev/mapper/cr_root /var btrfs subvol=/@/var 0 0
/dev/mapper/cr_root /usr/local btrfs subvol=/@/usr/local 0 0
/dev/mapper/cr_root /srv btrfs subvol=/@/srv 0 0
/dev/mapper/cr_root /root btrfs subvol=/@/root 0 0
/dev/mapper/cr_root /opt btrfs subvol=/@/opt 0 0
/dev/mapper/cr_root /home btrfs subvol=/@/home 0 0
/dev/mapper/cr_root /boot/grub2/x86_64-efi btrfs subvol=/@/boot/grub2/x86_64-efi 0 0
/dev/mapper/cr_root /boot/grub2/i386-pc btrfs subvol=/@/boot/grub2/i386-pc 0 0
/dev/mapper/cr_swap swap swap defaults 0 0
/dev/mapper/cr_root /.snapshots btrfs subvol=/@/.snapshots 0 0
UUID=206E-E81C /boot/efi vfat utf8 0 2
Alles anzeigen
Crypttab zeigt deutliche Spuren vom Rumprobieren.
# partuuid b1145a59-4e89-4889-aa8e-977f541f452b
# uuid 709fa855-7e7f-466c-af59-f66c75f0bac3
# cr_root PARTUUID=b1145a59-4e89-4889-aa8e-977f541f452b /.root.key x-initrd.attach
cr_root PARTUUID=b1145a59-4e89-4889-aa8e-977f541f452b none x-initrd.attach
# partuuid 60709d73-0819-440a-9c34-0e5414243a0e
# uuid 1ee12023-7812-4dd5-8038-415429ced1b9
# fs uuid 60709d73-0819-440a-9c34-0e5414243a0e
# cr_swap PARTUUID=60709d73-0819-440a-9c34-0e5414243a0e /.swap.key x-initrd.attach
cr_swap PARTUUID=60709d73-0819-440a-9c34-0e5414243a0e none x-initrd.attach
Der Kenner ahnt schon, dass das mit den `/-*.key` nicht funktioniert hat...
Grub wird gefüttert mit
GRUB_CMDLINE_LINUX_DEFAULT="mem_sleep_default=deep nvme.noacpi=1 acpi_osi='Windows 2020' i915.enable_psr=1 resume=/dev/disk/by-uuid/60709d73-0819-440a-9c34-0e5414243a0e security=apparmor mitigations=auto"
`resume` also von der PARTUUID der Swap-Partition.
Zeitweilig hatte ich im Initrd noch zwei zusätzliche Configs, für Keyfiles und Hibernation:
localhost:~ # cat /etc/dracut.conf.d/80-root-swap-key.conf
install_items+=" /.root.key "
install_items+=" /.swap.key "
localhost:~ # cat /etc/dracut.conf.d/90-fix-resume-hibernation.conf
# to enable hibernation in Tumbleweed
add_dracutmodules+=" resume "
add_device+=" UUID=60709d73-0819-440a-9c34-0e5414243a0e "
Kam aber nicht weiter damit.
Verschlüsselung von Root und Swap mit den angegebenen Keyfiles ist OK:
localhost:~ # cryptsetup -v open --test-passphrase --key-file /.root.key --type luks /dev/nvme0n1p2; cryptsetup -v open --test-passphrase --key-file /.swap.key --type luks /dev/nvme0n1p3
Key slot 1 unlocked.
Command successful.
Key slot 1 unlocked.
Command successful.
Und bei den Permissions sehe ich auch keinen Fehler:
localhost:~ # ls -lha / | grep key
-rw------- 1 root root 4,0K Dez 1 20:37 .root.key
-rw------- 1 root root 4,0K Dez 1 20:37 .swap.key
localhost:~ # chkstat --system --set
Checking permissions and ownerships - using the permissions files
/usr/share/permissions/permissions
/usr/share/permissions/permissions.easy
/etc/permissions.d/postfix
/etc/permissions.d/snapd
/etc/permissions.d/texlive
/etc/permissions.local
Alles anzeigen
Jede Änderung wurde besiegelt mit
und dann mit einem Neustart gefeiert.
Secure Boot ist deaktiviert.
Beobachtungen beim Booten:
Erste Passwortabfrage, dann erscheint das GRUB-Menü. OK soweit.
Dann Passwortabfrage zwei mal, für `/` und für `Swap`; fragt seltsamerweise nicht nach Name oder UUID, sondern beide Male nach dem SSD-Typ und den Mapper-Namen: `...for disk WDS... (cr_root)::` bzw. `...for disk WDS... (cr_swap)::`.
Ich steh' dermaßen auf dem Schlauch.
Schönen Sonntag!