Multiboot mit mehreren per GELI verschlüsselten Systemen - Problem

Rosendoktor

Well-Known Member
Hallo,

ich habe schon seit langem einen bootbaren USB Stick mit zwei Linux Grundsystemen (i386 und amd64), die ich zum einen als Rettungs- und Wartungssysteme einsetze und zum anderen als Basissysteme für Neuinstallationen durch Umkopieren verwende.

Jetzt habe ich den Stick mal durch einen neuen, grösseren ersetzt und auch gleich neben den beiden Linux Systemen auch zwei FreeBSD Grundsysteme darauf installiert, auch jeweils i386 und amd64.

Weil ich es immer so mache und so gewohnt bin und weil da auch ssh Keys darauf herumliegen sind alle Systeme verschlüsselt, Linux mit crypt/LUKS und FreeBSD eben mit GELI.

Funktionieren tut der Multiboot Stick soweit, alle vier Systeme starten. Allerdings mit einem deftigen Schönheitsfehler beim Booten von FreeBSD.

GELI durchsucht nämlich bein Booten das ganze Gerät nach GELI Partitionen mit Boot flag, und fragt für alle nach der Passphrase. Boote ich also ein FreeBSD System vom USB Stick, z.B. das erste, werde ich als erstes nach der Passphrase einer evtl. auf der internen Platte vorhandenen GELI Partition gefragt, dann nach der Passphrase der ersten GELI Partition auf dem Stick, dann auch noch nach der Passphrase der zweiten GELI Partition auf dem Stick (oder auch nicht, wenn die zweite die gleiche Passphrase wie die erste hat). Ich muss dann wenn ich das System auf der internen Platte nicht entsperrt haben will dreimal mit Return quittieren bis GELI endlich aufgibt, das Entsperren der zweiten Systempartition auf dem Stick kann ich bei gleicher Passphrase gar nicht verhindern.

Boote ich das intern installierte FreeBSD während der Stick angesteckt ist, ist es das gleiche.

Das ist, nun ja, freundlich ausgedrückt ziemlich unpraktisch. ;) Auch wenn es prinzipell natürlich funktioniert.

Gibt es keine Möglichkeit, GELI z.B. in der loader.conf auf eine bestimmte Partition festzunageln, so dass es die anderen ignoriert? Habe dazu leider nichts finden können.
 
Ich hatte neulich wegen der Frage nach dem (fehlenden) GELI-Key direkt Allan Jude angeschrieben, der mir ziemlich schnell geantwortet hat (dokumentiert in diesem Thread). Er hat den Code verbrochen und kann Dir definitiv sagen, ob es da eine Möglichkeit gibt. Problem ist ja, dass loader.conf erst lesbar ist, wenn schon entschlüsselt wurde, also zu spät. Melde mal zurück, was Du herausgefunden hast.
 
Zurück
Oben