Neuer Schlüssel

Wenn der Debug-Modus von PAM-Mount bei einem ersten Test der Konfiguration zeigt, dass das System nicht in der Lage war, die Partition zu mounten, liegt das unter Umständen daran, dass sich die Passwörter für Login und Entschlüsseln unterscheiden.

Linux-PAM reicht mit der Option »try_first_pass« das Passwort des vorherigen Moduls ans folgende weiter – so auch an PAM-Mount, das erlaubt, das Login-Passwort als Passphrase zum Entschlüsseln zu nutzen. Haben Sie dieses verschlüsselte Laufwerk bereits früher mit einer anderen Passphrase angelegt, gibt Ihnen LUKS die Möglichkeit, dem Header der DM-Crypt-Partition eine weitere Passphrase hinzuzufügen. Eine neue Passphrase in einem anderen lot erzeugt der folgende Befehl:

sudo cryptsetup --key-slot 
<!-- START: including template: design/standard/templates/content/datatype/view/ezxmltags/emphasize.tpl (design:content/datatype/view/ezxmltags/emphasize.tpl) -->
Slot-↩Nummer
<!-- STOP: including template: design/standard/templates/content/datatype/view/ezxmltags/emphasize.tpl (design:content/datatype/view/ezxmltags/emphasize.tpl) -->
 luksAddKey 
<!-- START: including template: design/standard/templates/content/datatype/view/ezxmltags/emphasize.tpl (design:content/datatype/view/ezxmltags/emphasize.tpl) -->
Gerät
<!-- STOP: including template: design/standard/templates/content/datatype/view/ezxmltags/emphasize.tpl (design:content/datatype/view/ezxmltags/emphasize.tpl) -->

Um zu prüfen, ob das auch funktioniert hat, lassen Sie sich mittels »sudo cryptsetup luksDump Gerät « die bereits mit einer Passphrase besetzten Slots anzeigen.

Fazit

PAM-Mount eignet sich als Multitalent des Mountens bestens für den privaten wie auch für den beruflichen Bereich. Unglücklicherweise arbeitet »mount.crypt« nicht wie ein echter Mount-Befehl, also beispielsweise »mount.ext3« .

Das äußert sich darin, dass Sie »mount.crypt« keine Optionen mit »-o« übergeben dürfen. Demzufolge gelingt es nicht, benutzerspezifischen Daten wie UID oder GID durchzureichen. Das führt dazu, dass das System die Partition als root einhängt. Als kleinen Workaround richten Sie auf dem Volume ein Verzeichnis mit restriktiven Benutzerrechten ein, in dem Sie arbeiten.

Darüber hinaus arbeitet PAM-Mount nicht mit Partitionen zusammen, die Sie mit Truecrypt ab Version 5 angelegt haben: Der Befehl »truecrypt« fragt beim Mounten interaktiv nach dem Einhängepunkt, was sich zum Skripten nicht eignet.

comments powered by Disqus
Mehr zum Thema

Eine Tour durch die Debugging- und Rettungs-Tools in Knoppix

Geht bei einem System-Crash das Dateisystem kaputt, ist guter Rat teuer. Zumindest, wenn man Recovery-Experten zurate zieht. Der erfahrene Admin weiß sich selbst zu helfen, zum Beispiel mit den Tools auf einer Knoppix-DVD.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022