Open Source im professionellen Einsatz

There's no place like /home

05.05.2017

Im "Wizard of Oz schlägt das Mädchen Dorothy dreimal die Hacken ihrer Schuhe zusammen, murmelt den Satz "There's no place like home" und kehrt so aus dem Zauberland Oz zurück in ihre Heimat Kansas. Wer hingegen auf einem verschlüsselten Linux-System dreimal das Passwort falsch eingibt, landet unter Umständen nicht im geliebten "/home", sondern auf der Initramfs-Debug-Shell.

668

So jedenfalls erging es dem Autor auf einem Debian 9 mit verschlüsseltem Swap-Bereich, "/home" und "/" ohne LVM. Statt einer freundlichen Begrüßung wiederholte sich nach dem Entsperren des "/"-Bereichs ("/dev/mapper/sda3_crypt") recht eintönig die Fehlermeldung "lvm is not available". Nach einiger Zeit fand sich der verwunderte User schließlich auf einer Initramfs-Debug-Shell wieder. "I think we're not in Kansas anymore."

Offenbar verursacht der verschlüsselte Swap-Bereich den Fehler. Systemd überschreibt dessen LUKS-Header mit einem "mkswap" und zerstört ihn damit. Ob es sich nun um einen Bug oder Bedienfehler handelt, diskutieren Interessierte ausführlich in einem Debian-Forum. Wer aber sein Krypto-Setup mit dem Debian-Installer anlegt, dürfte dieses Verhalten nicht unbedingt erwarten. Die gute Nachricht ist, dass der sich über ein Rescue-System auch für Anfänger beheben lässt.

Die Aufteilung des betroffenen Systems ist

/dev/sda1    /boot
/dev/sda2    Swap
/dev/sda3     /
/dev/sda4    /home

wobei der Autor die Verschlüsselung mit dem Debian-Installer eingerichtet hat. Es gibt nun die Möglichkeit, das Swap zu deaktivieren. Auf modernen Systemen mit genügend Arbeitsspeicher kommt der Swap-Bereich ohnehin nicht oder nur selten zum Einsatz, er ließe sich also theoretisch auch weglassen. Der Nachteil: Suspend-to-disk klappt anschließend nicht mehr. Nutzer, die ihre Gerät mitsamt Swap verschlüsseln wollen, sollten die verschlüsselten Partitionen am besten in einem LVM anlegen.

Deswap

Um den Swap-Bereich zu deaktivieren, hilft es, vom Installationsmedium zu booten. Wer das nicht mehr hat, kann eine neue Debian-DVD brennen oder ein Debian-Image mit "dd" (oder einem grafischen Programm) auf einen USB-Stick schreiben und diese dann booten. Im Grub-Bootmenü wählt der Nutzer entweder den Menüpunkt "Rescue Modus" direkt aus oder drückt [ESC] und gibt dann "rescue" ein.

Nun folgen einige Bildschirme mit Auswahlmenüs, wie sie auch der Installer anbietet. Nach der Auswahl von Sprache, Land und Tastaturlayout erscheint oben links ein Schriftzug "Rettungsmodus". Das Netzwerk kann der Admin "unkonfiguriert lassen", auch externe Treiber braucht er vermutlich nicht. Es folgt eine Abfrage der Passphrases für die verschlüsselten Partitionen. Anschließend wählt der Reparateur in einem weiteren Dialogfenster ein "Gerät für das Root-Dateisystem" aus. Im hier geschilderten Fall wäre das "/dev/mapper/sda3_crypt", das auf "/dev/sda3" verweist. Da es in diesem Setup ein separates "/boot"-verzeichnis gibt, gilt es auch dieses über "Yes" einzubinden.

Handarbeit

Dann folgt ein wenig Handarbeit. Im anschließenden Fenster kann der Admin die Option "Eine Shell in /dev/mapper/sda3_crypt" auswählen und landet so im Root-Verzeichnis. Über "vi /etc/crypttab" und "vi /etc/fstab" öffnet er die beiden Konfigurationsdateien, gelangt über [I] in den interaktiven Modus und kommentiert jeweils die Einträge für den Swap-Bereich (hier "/dev/mapper/sda2_crypt") mit einem "#" aus. Ein ":wq" speichert die Dateien jeweils. Ist das getan, kann er die Initrd neu erzeugen. Das gelingt über "update-initramfs -u -k all". Über die Eingabe von "exit" landet der Nutzer wieder im grafischen Menü. Hier wählt er "System neu starten" und entfernt den USB-Stick oder die DVD.

Nach dem Neustart des Rechners und einer Eingabe des Passworts für das Root-Dateisystem "/dev/sda3" gilt es nun, 30 Sekunden zu pausieren. Das System wartet in dieser Zeit vergeblich auf den Swapbereich und bringt den User dann zurück nach Kansas. Wie so oft unter Linux ist das nur ein möglicher Weg, das Problem zu beheben, aber er erschien dem Autor recht anfängerfreundlich. Es gibt noch weitere, die über die Kommandozeile und "chroot" führen, eine Suche nach "lvm is not available" und "Debian" fördert sie zutage.

Ähnliche Artikel

  • Mobiler Datentresor

    Auf einem Notebook das Homeverzeichnis verschlüsseln ist nur die halbe Miete: Auch aus Log- und Konfigurationsdateien ziehen Diebe und unehrliche Finder Rückschlüsse. Schützen Sie mit DM-Crypt und LUKS die gesamte Festplatte vor fremden Blicken - das kann aber keine Distribution out of the Box.

  • Lese-Schutz

    Ganze Filesysteme verschlüsseln schützt deren Daten auch, wenn jemand die Festplatte klaut oder den Rechner von Diskette bootet. Während Suse-Anwender bereits bei der Installation die Verschlüsselung aktivieren können, ist bei anderen Distributionen etwas Handarbeit angesagt.

  • Platten-Aufteilung

    Partitionen, Dateisysteme, Mountpunkte und Bootloader: Dieser Artikel vermittelt, was die Kandidaten in der LPI-Prüfung 101 über die Festplatte wissen müssen.

  • Neue Systemd-Tools: Mkosi und Casync

    In seinem Blog hat Systemd-Entwickler Lennart Poettering zwei neue Systemd-Tools vorgestellt: Mkosi und Casync. Während Entwickler mit Mkosi OS-Images generieren, hilft Casync beim Verteilen derselben.

  • Bitparade

    Wer die eigenen Datenbestände vor unbefugtem Zugriff schützen will, verschlüsselt seine Festplatten oder einzelne Partitionen. Außer dem plattformübergreifenden Truecrypt empfiehlt sich DM-Crypt, aber auch Ecryptfs oder das Windows-Tool Disk Cryptor haben einiges zu bieten.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.