lockdoc
Well-Known Member
Ich stehe immer noch vor dem Problem das mein mit geli encryptetes System zusaetzlich zu den Zertifikat fuer die HDDs ein Passwort braucht.
Siehe: http://wiki.bsdforen.de/zfs_geli_und_usb_boot
Ich initialisiere die Partition via Geli mit -b
Das heisst jedes mal beim booten muss ich ein keyboard an den server pappen und 3x (fuer jede HDD 1x) mein Passwort eingeben. Derzeit ist es dann einfach enter druecken, da ich mich auf die 3 Zertifikate verlasse.
Gibt es irgendein workaround, dass ich entweder ohne Passwort booten kann oder das ich der Kiste beibringen kann 3x automatisch ohne Keyboard "durch-zu-entern"?
Oder kann man die Passphrase als param angeben oder irgendwo in einer conf speichern?
Der Bootvorgang sieht in etwa so aus (Zeilen in root):
Siehe: http://wiki.bsdforen.de/zfs_geli_und_usb_boot
Ich initialisiere die Partition via Geli mit -b
Code:
man geli
...
-b Ask for the passphrase on boot, before the root par‐
tition is mounted. This makes it possible to use an
encrypted root partition. One will still need
bootable unencrypted storage with a /boot/ direc‐
tory, which can be a CD‐ROM disc or USB pen‐drive,
that can be removed after boot.
...
Das heisst jedes mal beim booten muss ich ein keyboard an den server pappen und 3x (fuer jede HDD 1x) mein Passwort eingeben. Derzeit ist es dann einfach enter druecken, da ich mich auf die 3 Zertifikate verlasse.
Gibt es irgendein workaround, dass ich entweder ohne Passwort booten kann oder das ich der Kiste beibringen kann 3x automatisch ohne Keyboard "durch-zu-entern"?
Oder kann man die Passphrase als param angeben oder irgendwo in einer conf speichern?
Der Bootvorgang sieht in etwa so aus (Zeilen in root):
Code:
...
ZFS NOTICE: system has less than 4GB and prefetch enable is not set... disabling.
ZFS filesystem version 13
ZFS storage pool version 13
Timecounters tick every 1.000 msec
...
ad10: 953868MB <SAMSUNG HD103UJ 1AA01118> at ata5-master SATA300
ugen0.1: <Intel> at usbus0
uhub0: <Intel UHCI root HUB, class 9/0, rev 1.00/1.00, addr 1> on usbus0
ugen1.1: <Intel> at usbus1
uhub1: <Intel UHCI root HUB, class 9/0, rev 1.00/1.00, addr 1> on usbus1
ugen2.1: <Intel> at usbus2
uhub2: <Intel UHCI root HUB, class 9/0, rev 1.00/1.00, addr 1> on usbus2
ugen3.1: <Intel> at usbus3
uhub3: <Intel EHCI root HUB, class 9/0, rev 2.00/1.00, addr 1> on usbus3
ugen4.1: <Intel> at usbus4
uhub4: <Intel UHCI root HUB, class 9/0, rev 1.00/1.00, addr 1> on usbus4
ugen5.1: <Intel> at usbus5
uhub5: <Intel UHCI root HUB, class 9/0, rev 1.00/1.00, addr 1> on usbus5
ugen6.1: <Intel> at usbus6
uhub6: <Intel UHCI root HUB, class 9/0, rev 1.00/1.00, addr 1> on usbus6
ugen7.1: <Intel> at usbus7
uhub7: <Intel EHCI root HUB, class 9/0, rev 2.00/1.00, addr 1> on usbus7
ad12: 953868MB <SAMSUNG HD103UJ 1AA01118> at ata6-master SATA300
ad14: 953869MB <SAMSUNG HD103UJ 1AA01118> at ata7-master SATA300
[COLOR="Red"]Enter passphrase for ad10p2: uhub0: 2 ports with 2 [/COLOR]removable, self powered
uhub1: 2 ports with 2 removable, self powered
uhub2: 2 ports with 2 removable, self powered
uhub4: 2 ports with 2 removable, self powered
uhub5: 2 ports with 2 removable, self powered
uhub6: 2 ports with 2 removable, self powered
uhub3: 6 ports with 6 removable, self powered
uhub7: 6 ports with 6 removable, self powered
ugen7.2: <vendor 0x0781> at usbus7
umass0: <vendor 0x0781 product 0x5406, class 0/0, rev 2.00/2.00, addr 2> on usbus7
umass0: SCSI over Bulk-Only; quirks = 0x0000
ugen4.2: <vendor 0x1241> at usbus4
ukbd0: <vendor 0x1241 product 0x1503, class 0/0, rev 1.10/2.90, addr 2> on usbus4
kbd2 at ukbd0
uhid0: <vendor 0x1241 product 0x1503, class 0/0, rev 1.10/2.90, addr 2> on usbus4
umass0:1:0:-1: Attached to scbus1
(probe0:umass-sim0:0:0:1): TEST UNIT READY. CDB: 0 20 0 0 0 0
(probe0:umass-sim0:0:0:1): CAM Status: SCSI Status Error
(probe0:umass-sim0:0:0:1): SCSI Status: Check Condition
(probe0:umass-sim0:0:0:1): UNIT ATTENTION asc:29,0
(probe0:umass-sim0:0:0:1): Power on, reset, or bus device reset occurred
(probe0:umass-sim0:0:0:1): Retrying Command (per Sense Data)
(probe0:umass-sim0:0:0:1): TEST UNIT READY. CDB: 0 20 0 0 0 0
(probe0:umass-sim0:0:0:1): CAM Status: SCSI Status Error
(probe0:umass-sim0:0:0:1): SCSI Status: Check Condition
(probe0:umass-sim0:0:0:1): NOT READY asc:3a,0
(probe0:umass-sim0:0:0:1): Medium not present
(probe0:umass-sim0:0:0:1): Unretryable error
GEOM_ELI: Device ad10p2.eli created.
GEOM_ELI: Encryption: AES-CBC 128
GEOM_ELI: Crypto: software
cd0 at umass-sim0 bus 0 target 0 lun 1
cd0: <SanDisk U3 Cruzer Micro 8.02> Removable CD-ROM SCSI-0 device
cd0: 40.000MB/s transfers
cd0: cd present [49151 x 2048 byte records]
da0 at umass-sim0 bus 0 target 0 lun 0
da0: <SanDisk U3 Cruzer Micro 8.02> Removable Direct Access SCSI-0 device
da0: 40.000MB/s transfersSMP: AP CPU #1 Launched!
da0: 15283MB (31301631 512 byte sectors: 255H 63S/T 1948C)
[COLOR="Red"]Enter passphrase for ad12p2: [/COLOR]
GEOM_ELI: Device ad12p2.eli created.
GEOM_ELI: Encryption: AES-CBC 128
GEOM_ELI: Crypto: software
[COLOR="Red"]Enter passphrase for ad14p2:
[/COLOR]GEOM_ELI: Device ad14p2.eli created.
GEOM_ELI: Encryption: AES-CBC 128
GEOM_ELI: Crypto: software
Trying to mount root from zfs:tank2
GEOM_ELI: Device ad10p1.eli created.
GEOM_ELI: Encryption: Blowfish-CBC 128
GEOM_ELI: Crypto: software
GEOM_ELI: Device ad12p1.eli created.
GEOM_ELI: Encryption: Blowfish-CBC 128
GEOM_ELI: Crypto: software
GEOM_ELI: Device ad14p1.eli created.
GEOM_ELI: Encryption: Blowfish-CBC 128
GEOM_ELI: Crypto: software
...