Hallo Zusammen,
ich habe kürzlich mein Notebook neu installiert und mit LUKS1 verschlüsselt gemäß der Videoanleitung von Nick
hier das sich unter anderem darauf bezieht
dm-crypt
Hat alles wunderbar funktioniert. Ich habe das Ganze als UEFI Installation mit einer separaten EFI Partition unter /boot/efi installiert die in vFAT formatiert ist. Der Rest vom Betriebssystem liegt auf einem BTRFS Filesystem.
Nach dem Einschalten den NBK werde ich also nach dem Verschlüsselungspasswort gefragt und danach erscheint GRUB. Normalerweiße benötigt dann das initramfs auch nochmal das Passwort, das habe ich dann aber wie von Nick beschrieben über ein Keyfile erledigt. Das ging wie folgt:
dd bs=512 count=4 if=/dev/random of=/crypto_keyfile.bin iflag=fullblock # Keyfile generieren damit man beim booten nicht Kennwort auch für das initramfs eingeben muss.
cryptsetup luksAddKey /dev/sda2 /crypto_keyfile.bin # Passphrase in Keyfile geben.
nano /etc/mkinitcpio.conf
FILES=(/crypto_keyfile.bin) # Keyfile angeben und anschließend initramfs neu gernerieren.
Soweit alles wunderbar, Notebook ist verschlüsselt installiert und alles funktioniert.
Interessehalber wollte ich das Ganze mal mit meinem Hauptsystem ausprobieren. Dazu habe ich eine VirtualBox aufgesetzt das exakt meiner Installation/Layout meines Hauptrechners entspricht.
Es ist dort alles wie beim Notebook bis auf das ich ein BTRFS RAID1 für die OS Partition habe.
Zusätzlich also zu "/dev/sda2" gibt es noch "dev/sdb2".
Ich habe das Ganze jetzt auch soweit hinbekommen das dass System bootet und mich direkt danach nach dem Verschlüsselungspasswort fragt. Da ich ein RAID1 habe werde ich da dann zuerst nach dem Passwort der ersten Platte und dann sofort nach dem Passwort der zweiten Platte gefragt. Ich denke das passt auch soweit, danach erscheint dann auch GRUB.
Wenn ich dann aber das OS booten möchte erscheint kurz die Meldung das nach BTRFS Filesystem gescannt wird, dann erscheint eine neue Aufforderung zur Passworteingabe.
An der Stelle wäre jetzt mein Problem den wenn ich dann jetzt die richtige Passphrase eingebe lande ich immer mit folgender Meldung in der "emergency shell":
Scanning for Btrfs filesystems
mount: /new_root: wrong fs type, bad option, bad superblock on /dev/mapper/crytpsdb2, missing codepage or helper program, or other error.
You are now being dropped into an ermergency shell.
sh: can't access tty: job control turned off
[rootfs ]#_
Meine beiden Partitionen sind "/dev/sda2" und "/dev/sdb2" für die jeweils ein "Mapper" angelegt ist, "/dev/mapper/cryptsda2" und "/dev/mappercryptsdb2".
Ich habe dann jetzt auch mal versucht wie oben beschrieben für das initramfs ein Keyfile anzulegen. Ich habe es versucht mit nur einem Keyfile und beiden Platten, also so:
cryptsetup luksAddKey /dev/sda2 /dev/sdb2 /crypto_keyfile.bin
Das hat nicht funktioniert. Es macht wohl aber auch kein Unterschied ob ich jeweils ein Keyfile für beide Platten anlege und diese in der mkinitcpio.conf angebe oder halt auch gar keins.
Ich lande immer in dem gleichen Fehler von oben. Vielleicht klappt es ja aber auch für "sda2" da in der Fehlermeldung oben ja "cryptsdb2" steht, evtl. bin ich daher ja über die erste Platte schon drüber aber das weiß ich leider nicht wie ich das herausfinden könnte.
Hat evtl. jemand eine Idee wie das Ganze funktionieren könnte? Ich hänge ja im Prinzip nun an der Stelle um das initramfs zu laden und dafür beide im RAID1 zugehörigen Platten "aufzuschließen".
Zusammenfassend ginge es darum ein BTRFS RAID1 verschlüsselt zu booten.
Viele Grüße
mabox