geli init legt Keyfile nicht an

spaulding

Well-Known Member
Mahlzeit,

wenn gemäß der Manpage geli(8) wie im ersten EXAMPLE beschrieben versucht wird einen Geli-Provider anzulegen, dann passiert erst mal folgendes:

Code:
%geli init -s 4096 -K somedsk.key /dev/da0
geli: Cannot open keyfile somedsk.key: No such file or directory.

es geht zwar weiter mit

Code:
%touch somedsk.key
root@gw(0)/usb/%geli init -s 4096 -K somedsk.key /dev/da0
Enter new passphrase:
Reenter new passphrase: 

Metadata backup can be found in /var/backups/da0.eli and
can be restored with the following command:

	# geli restore /var/backups/da0.eli /dev/da0

Jedoch bleibt das Keyfile unberührt

Code:
%ls -l somedsk.key 
-rw-r--r--  1 root  wheel  0 14 Jun 09:06 somedsk.key

und der Provider lässt sich ungeachtes des Keyfiles attachen

Code:
%geli attach da0
Enter passphrase:

root@gw(0)/usb/%geli list
Geom name: da0.eli
State: ACTIVE
EncryptionAlgorithm: AES-XTS
KeyLength: 128
Crypto: software
UsedKey: 0
Flags: NONE
Providers:
1. Name: da0.eli
   Mediasize: 120034119680 (111G)
   Sectorsize: 4096
   Mode: r0w0e0
Consumers:
1. Name: da0
   Mediasize: 120034123776 (111G)
   Sectorsize: 512
   Mode: r1w1e1

Kernelmodule sind geladen
Code:
%kldstat 
Id Refs Address            Size     Name
 1   86 0xffffffff80100000 7f5900   kernel
 2    1 0xffffffff808f6000 203068   zfs.ko
 3    2 0xffffffff80afa000 4890     opensolaris.ko
 4    2 0xffffffff80aff000 42cc8    linux.ko
 5    1 0xffffffff80b42000 898c0    if_ath.ko
 6    6 0xffffffff80bcc000 5a890    wlan.ko
 7    1 0xffffffff80c27000 25030    snd_hda.ko
 8    2 0xffffffff80c4d000 75838    sound.ko
 9    1 0xffffffff80cc4000 10e30    ahci.ko
10    1 0xffffffff80cd5000 db66d0   nvidia.ko
11    2 0xffffffff81a8c000 12e30    agp.ko
12    1 0xffffffff81a9f000 5280     atapicam.ko
13    1 0xffffffff81aa5000 3d40     ipfw_nat.ko
14    2 0xffffffff81aa9000 14070    libalias.ko
15    1 0xffffffff81abe000 2358     wlan_wep.ko
16    1 0xffffffff81ac1000 73d8     wlan_ccmp.ko
17    1 0xffffffff81ac9000 3828     wlan_tkip.ko
18    1 0xffffffff81acd000 3fd0     ichwd.ko
19    2 0xffffffff81c12000 290e     vboxnetflt.ko
20    2 0xffffffff81c15000 29e86    vboxdrv.ko
21    4 0xffffffff81c3f000 8e20     netgraph.ko
22    1 0xffffffff81c48000 1524     ng_ether.ko
23    1 0xffffffff81c4a000 e5c      vboxnetadp.ko
24    1 0xffffffff81c4b000 3230     ng_pppoe.ko
25    1 0xffffffff81c4f000 1bb0     ng_socket.ko
26    1 0xffffffff81c51000 a8ea     fuse.ko
27    1 0xffffffff81c5c000 1fe4     nullfs.ko
28    1 0xffffffff81c5e000 2be      wlan_xauth.ko
29    1 0xffffffff81c5f000 b97b     geom_eli.ko
30    1 0xffffffff81c6b000 1b00f    crypto.ko
31    1 0xffffffff81c87000 a4a8     zlib.ko

---

Früher hat das alles funktioniert, weil auf die Art und Weise die Platte vom Schlepptop verschlüsselt wurde. Getestet wurde das im Moment nur an einer 8.2 bzw. 8.2-stable Installation. Filesystem für das Keyfile waren UFS2 und ZFSv28.

Geb' mir bitte mal jemand einen Schups in die richtige Richtung, bevor ich selbst vom Balkon hüpfe. :confused:
 

Columbo0815

Kaffeemann
Teammitglied
Aus dem Handbuch:

http://www.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/disks-encrypting.html schrieb:
Der Master-Key wird durch eine Passphrase sowie die Daten der Schlüsseldatei (die von /dev/random stammen) geschützt. Die Sektorgröße von /dev/da2.eli (das als Provider bezeichnet wird) beträgt 4 KB.

# dd if=/dev/random of=/root/da2.key bs=64 count=1
# geli init -s 4096 -K /root/da2.key /dev/da2
Enter new passphrase:
Reenter new passphrase:

Die Datei füllst du also selbst :)

HTH
 

lockdoc

Well-Known Member
Im bsdforen wiki gibt es auch Schritt fuer Schritt Anleitungen, falls weitere Probleme auftauchen sollten.
 

spaulding

Well-Known Member
Danke, danke, das geht schon mit der Manpage, wenn man sich auch daran hält. ;-) Admin -und Userpasswort setzen/ändern funktioniert auch wieder, eigentlich funktioniert alles....in dem Fall tut es keine Not, noch zusätzlich zu dokumentieren. Geschichten, wie zur Bootzeit Geli-Provider vor dem eigntl. Mounten zu attachen, funktioniert IMMER noch, Mann ( -> :huth: ) muss sich nur an alles halten wie es dort geschrieben steht.
 
Oben