OVH Community, your new community space.

Unterstützung für cryptsetup im rescue-pro verfügbar machen


kro
18.02.09, 17:58
JayKay wrote:
> folgende Einstellungen müssten geändert werden damit cryptsetup nutzbar
> wäre:
>[...]

Ist für die Rescue-Kernel aktiviert.
--
Felix
OVH Team
JayKay
06.02.09, 18:31
Über Sinn und Unsinn kann man geteilter Meinung sein.
Soweit ich das sehe, wird bei Debian Lenny bspw. sogar daran gearbeitet dass man das System remote während des Bootprozesses per ssh unlocken kann.

Fakt ist jedoch, dass Dinge wie crypt-Unterstützung und der CBC-Modus bereits im Kernel einkompiliert sind, genau wie einige Hash-Digests und Ciphers.
Nur nicht die, die ich genannt habe.
Kann natürlich sein, dass OVH es generell nicht möchte, dann kann man es ja sagen.

Ich muss meine Partition auch nicht unbedingt crypten, aber da es sich um ein Rescue-System handelt dachte ich, ich frag einfach mal
F4RR3LL
06.02.09, 18:10
Würde mich wunderen wenn ovh das sinnlose Crypten eines Servers durch aufblasen des Kernels unterstützt. Egal ob fest eincompiliert oder Modular.
Gruß Sven
JayKay
06.02.09, 18:08
Du hast recht, aber ich meinte keine Kernelmodul-Dateien (also *.ko).
Sondern die entsprechenden Bestandteile fest in den Kernel einkompilieren wie gehabt.
Deshalb auch überall das "y" statt des "m"

Zitat Zitat von baldi
nachdem bei den standard-kernels gar kein modulsupport vorhanden ist, wird sich das fürs rescue wohl auch ned ändern.
schlagt mich, wenn ich falsch liege
baldi
06.02.09, 17:17
nachdem bei den standard-kernels gar kein modulsupport vorhanden ist, wird sich das fürs rescue wohl auch ned ändern.
schlagt mich, wenn ich falsch liege
JayKay
06.02.09, 14:38
Hallo,

ich habe mir auf meinem Server eine mit cryptsetup/LUKS verschlüsselte Partition eingerichtet.
Leider musste ich feststellen, dass es im rescue System nicht möglich ist die Partition zu mounten.
Zum Einen weil kein cryptsetup vorhanden ist (lässt sich nachträglich ins rescue laden),
andererseits hat der verwendete Kernel nicht alle benötigten Module einkompiliert.
Ich habe mir daher die /proc/config.gz des rescue Systems angesehen (2.6.28.1-xxxx-std-ipv4-32) und glaube,
folgende Einstellungen müssten geändert werden damit cryptsetup nutzbar wäre:

Code:
#
# Block modes
#
CONFIG_CRYPTO_LRW=y
CONFIG_CRYPTO_XTS=y
#
# Hash modes
#
CONFIG_CRYPTO_HMAC=y
CONFIG_CRYPTO_XCBC=y
#
# Digest
#
CONFIG_CRYPTO_RMD128=y
CONFIG_CRYPTO_RMD160=y
CONFIG_CRYPTO_RMD256=y
CONFIG_CRYPTO_RMD320=y
CONFIG_CRYPTO_SHA512=y
CONFIG_CRYPTO_WP512=y
#
# Ciphers
#
CONFIG_CRYPTO_AES=y
CONFIG_CRYPTO_AES_586=y
CONFIG_CRYPTO_BLOWFISH=y
CONFIG_CRYPTO_SEED=y
CONFIG_CRYPTO_SERPENT=y
CONFIG_CRYPTO_TWOFISH=y
CONFIG_CRYPTO_TWOFISH_586=y
Damit sollten die gängisten Ciphers/Modi abgedeckt sein.

Ist es OVH möglich, den/die Kernel für das rescue System entsprechend anzupassen,
sodass neben RAID und LVM auch verschlüsselte Partitionen zugreifbar sind?

Momentan muss ich immer eine Live-Distro als rescue-Ersatz über das vKVM laden,
was umständlich und sehr zeitraubend ist.

Was denken andere Nutzer über den Vorschlag?

Gruß,
JayKay