7.2. Verschlüsselte Dateisysteme einbinden

Wenn Sie während der Installation verschlüsselte Dateisysteme erstellt haben und diesen Einbindungspunkte zugewiesen haben, werden Sie während des Startvorgangs aufgefordert, für jedes der Dateisysteme die korrekte Passphrase einzugeben.

Für Partitionen, die mittels dm-crypt verschlüsselt sind, wird während des Bootens der folgende Prompt angezeigt:

Starting early crypto disks... part_crypt(starting)
Enter LUKS passphrase:

Dabei entspricht hier das part in der ersten Zeile dem Namen der darunter liegenden Partition, z.B. sda2 oder md0. Jetzt fragen Sie sich vielleicht, für welches Dateisystem Sie eigentlich die Passphrase eingeben sollen. Geht es hier jetzt um /home? Oder vielleicht um /var? Wenn Sie nur ein verschlüsseltes Dateisystem haben, ist dies natürlich simpel und Sie können einfach die Passphrase eingeben, die Sie bei der Erstellung des Dateisystems benutzt haben. Haben Sie aber mehrere erstellt, sind die Notizen praktisch, die Sie sich im letzten Schritt von Abschnitt 6.3.4.6, „Verschlüsselte Dateisysteme konfigurieren“ aufgeschrieben haben. Wenn Sie sich nicht notiert haben, wie die verschlüsselten Partitionen (part_crypt) auf die Einbindungspunkte abgebildet sind, finden Sie diese Infos auch in /etc/crypttab und /etc/fstab Ihres neuen Systems.

Der Prompt während des Bootens könnte ein wenig anders aussehen, während ein verschlüsseltes Root-Dateisystem eingebunden wird. Dies hängt davon ab, welcher initramfs-Generator verwendet wurde, um die zum Starten des Systems nötige initrd (Initial-Ram-Disk) zu erzeugen. Das folgende Beispiel gilt für eine initrd, die mittels initramfs-tools generiert wurde:

Begin: Mounting root file system... ...
Begin: Running /scripts/local-top ...
Enter LUKS passphrase:

Es werden keinerlei Zeichen (nicht einmal Sternchen) angezeigt, während Sie die Passphrase eingeben. Wenn Sie eine falsche Passphrase eingeben, haben Sie noch zwei weitere Versuche, es erneut zu versuchen. Nach dem dritten Fehlversuch überspringt der Boot-Prozess den Schritt und fährt mit dem Einbinden des nächsten Dateisystems fort. Weitere Informationen hierzu finden Sie im Abschnitt 7.2.1, „Fehlersuche und -behebung“.

Nachdem Sie alle Passphrasen eingegeben haben, sollte der Boot-Prozess wie üblich fortgesetzt werden.

7.2.1. Fehlersuche und -behebung

Falls eines der Dateisysteme nicht eingebunden werden konnte, weil eine falsche Passphrase eingegeben wurde, müssen Sie es nach dem Systemstart manuell einbinden. Es gibt unterschiedliche Situationen:

  • Die erste betrifft die Root-Partition. Wenn diese nicht korrekt eingebunden werden konnte, stoppt der Boot-Prozess und Sie müssen für einen neuen Versuch den Rechner neu starten.

  • Der einfachste Fall ist der, wenn verschlüsselte Dateisysteme /home oder /srv beherbergen. Diese können Sie nach dem Systemstart manuell einbinden.

    Bei dm-crypt ist dies allerdings ein bisschen verzwickt. Sie müssen zunächst die Dateisysteme mit dem device mapper registrieren, indem Sie Folgendes ausführen:

    # /etc/init.d/cryptdisks start
    

    Dadurch werden alle Dateisysteme überprüft, die in /etc/crypttab aufgeführt sind, und es werden entsprechende Gerätedateien im /dev-Verzeichnis erzeugt, nachdem die korrekte Passphrase eingegeben wurde. (Bereits eingebundene Dateisysteme werden übersprungen, so dass Sie diesen Befehl ohne Sorge mehrfach hintereinander ausführen können.) Nach erfolgreicher Registrierung können Sie die Dateisysteme ganz normal einbinden:

    # mount /einbindungspunkt
    

  • Falls Dateisysteme, welche unkritische Systemdateien beinhalten, beim Start nicht eingebunden werden konnten (wie /usr oder /var), sollte das System trotzdem booten und Sie müssten die Dateisysteme wie oben beschrieben manuell einbinden können. Allerdings werden Sie wohl alle Dienste (neu) starten müssen, die normalerweise beim Wechsel in den Standard-Runlevel bei Ihnen aktiviert werden, da sie wahrscheinlich nicht erfolgreich gestartet werden konnten. Der einfachste Weg dies zu bewerkstelligen ist, den Rechner neu zu starten.