Festplatte entschlüsseln

[lordg2009]

Zu Beginn, ich habe null Ahnung von Linux, leider.
Habe das Thema schon unter Sicherheit begonnen, es gehört aber, denke ich hierhin.

Habe eine verschlüsselte Festplatte bekommen und einen USB Stick mit den Keys. Aber niemand weiß, wie die HDD verschlüsselt wurde, der verantwortliche ist schon lange weg. Der alte ftp-Server startet nicht mehr. Habe mich also belesen, die HDD mal eingebaut, die Windows nur in der Datenträgerverwaltung anzeigt und mir anschließend ein Knoppix runtergeladen. Das zeigt die HDD auch nicht an. Als nächstes habe ich mir cryptsetup runtergeladen, wollte es entpacken, rufe das Verzeichnis auf und siehe da, es steht als eines der Laufwerke plötzlich 500GB Encrypted da. Das ist das besagte Laufwerk, beim anklicken verlangt es ein Passwort, aber ich habe ja nur die Dateien:
key_hda
key_hdb
Slave.Key

Weiß nicht wie ich jetzt weiter machen soll, da ich Linux muht verstehe, habe cryptsetup nicht mal zum starten gebracht. Aber ich denke, das Problem lässt sich lösen, mir fehlt es bloß an Grundkenntnissen.

Danke für eure Hilfe

 

[bawde]

kannst du ein keyfile angeben, also eine der drei dateien? diese sollten das "passwort" sein.

 

[lordg2009]

Wenn ich die Keyfiles öffne, kommen nur chinesische Schriftzeichen. Angeben kann ich in diesem Fenster keine Keyfiles.
Ich denke, das geht nur mit cryptsetup. Leider ist es nicht so, wie unter Windows, wo ich per Doppelklick auf exe das Programm öffne.
Merkwürdigerweise sehe ich das Laufwerk nicht in der normalen Dateistruktur, nur, wenn ich ein Verzeichnis zu entpacken von Dateien Suche.

 

[Marv82]

Leg erst mal die Maus weg. Die braucht man unter Linux nicht. Klicken macht dumm

Benutze eine Konsole und versuch mal folgendes als root:

cryptsetup luksOpen <device> <name> --key-file <keyfile>

... und schreib dann mal was passiert.

 

[IceMatrix]

Leg erst mal die Maus weg. Die braucht man unter Linux nicht. Klicken macht dumm

du sprichst mir aus der seele

 

[lordg2009]

Hm, kann's erst heute Abend ausprobieren, aber muss ich cryptsetup nicht erst installieren, bevor ich es ausführen kann, es liegt jetzt im /tmp entpackt.

Könntet ihr vlt. Anstelle der Parameter einfach ein Bsp. angeben (Bsp. Verzeichnis), damit ich mit der Syntax nicht durcheinander komme.

 

[~purplet~]

Das ist n guter Einwand, denn ich meine ab 6.0 gibts in Knoppix das cryptsetup nimmer, kann mich da auch irren^^

In dem Fall: sudo apt-get install cryptsetup
Du brauchst in 99%aller Fälle nix runterladen (Fedora/Redhat sehe ich da mal als Ausnahme da gehts mit den rpms recht Windows like^^), debian hat ne gute Packetverwaltung die dir automatisch runterlädt und installiert.
Beispiel:
>sudo -s <--dadurch wirste zum root ("admin") der alles darf.

//sdb1 steht für scsi disk b 1. b heisst, dasses die 2.festplatte ist und 1 heisst, dasses die erste partition auf der Platte ist. mydisk ist der name den du der partition gibst.
<keyfile> musste durch key_hdb oder was halt zu der partition die du einbindest passt ersetzen.
>cryptsetup luksOpen /dev/sdb1 mydisk --key-file <keyfile>


//Du erstellst ein Verzeichnis in dem die Partition dann eingehängt wird.
>mkdir /mnt/mydisk

mount /dev/mapper/mydisk /mnt/mydisk //das erste ist die patition die eingehängt werden soll, das zweite der ort an dem sie eingehängt werden soll.

//inhalt von der disk anzeigen:
>ls -la /mnt/mydisk

 

[tcsh]

Ich finde das super, das Linux die Hürden hoch genug legt, damit Unbefugte nicht zu einfach per Mausklick irgendwas knacken können.
Dabei sollte man es auch belassen und kein unbefugtes Eindringen fördern.
Hier kann ja sonst was für eine Geschichte aufgetischt werden. Ich werde jedenfalls keine Beihilfe zum Eindringen geben.
Wenn das ein echter Admin wäre, dann sollte der sich auch so mit der Materie auskennen.

 

[~purplet~]

Ich erkläre ihm nich wie er die PLatte knackt sondern wie er sie wie vorgesehen mit den SChlüsseln (wenn er die hat isses auch seine Platte^^) "öffnen" kann^^

 

[tcsh]

Ich erkläre ihm nich wie er die PLatte knackt sondern wie er sie wie vorgesehen mit den SChlüsseln (wenn er die hat isses auch seine Platte^^) "öffnen" kann^^

Ein USB Stick mit Keyfiles und eine verschlüsselte Festplatte lässt sich auch mit primitiver Gewalt, oder Gewaltandrohung dem rechtmäßigem Dateneigentümer wegnehmen. Ich persönlich finde es jedenfalls sehr, sehr merkwürdig, wenn ein angeblicher Admin solche Fragen stellt.

 

[enteon]

Bin im Wohnheim.
Vor zwei Jahren gab es einen ftp-Server.
Seit der Zeit vom Netz.
Habe ihn jetzt bekommen, um mir Daten zu kopieren.
Festplatten sind verschlüsselt, noch unter altem admin, der schon weg ist.
Habe den USB-Stick mit dem Schlüssel bekommen:
Dateien key_hda ; key_hdb / ; slave.key haben vlt. was damit zu tun

Habt ihr eine idee?
Kann ich die Festplatten vlt. in meinen Computer packen und mit dem Schlüssel manuell entschlüsseln. Muss den Rechner bald zurückgeben und jetziger admin schreibt gerade DiplomArbeit.

Ich finde das klingt hinreichend authentisch.

OnT: außer luks gibt es noch ein paar andere beliebte möglichkeiten zu verschlüsseln, aber luks ist wohl am verbreitetsten.

 

[lordg2009]

Hm, wer Zweifel hat, muss natürlich nicht mithelfen.

Habe wieder ein paar neue Sachen rausgefunden:
Es wurde auf jeden Fall mit Luke verschlüsselt und das ist bei Knoppix auch dabei.
GParted zeigt an, dass auf allen HDDs eine verschlüsselte Partition ist, außer auf einer, wo zusätzlich eine "unbekannte" gut 900MB große Partition und eine 54MB unverschlüsselte Partition ist. Dort ist ein Ordner GRUB un diverse Dateien drauf.
GRUB ist laut Wiki ein Multibootloader, mit dem wird auch gebootet. Ruft man seine Befehle auf, verweist er auf zwei Dateien die ebenfalls auf der Partition sind und am Ende des ersten Befehl steht ein waitUSB. Das muss die Key-Abfrage sein.
Will er regulär booten, sucht er nach Verzeichnissen:

/bin/cat: sys/block/hda/dev

findet er nicht (No such file of dictionary)

Und später auch:

/bin/cat: /sys/block/hda/hda3/dev

findet er auch nicht.

nach beiden Versuchen kommt jeweils:

/bin/mknod: missing operator after 'b'

danach

Device /sys/block/hda/hda3/dev seems to Be down!

Mount: Spezial Device /dev/hda3 does not exist

Und dann
Kill

Meine Interpretation:
Kleine Partition ist zum Booten vorgeschaltet vor das System auf der 900 MB Partition. Er versucht die Partition zu mounten, es geht aber nicht. Die Verzeichnisse deuten bereits auf Linux System hin und können nicht gefunden werden, weil die Partition nicht gemounted wurde.

Ergänzung (29. Mai 2011)

Habe es jetzt doch geschafft mit einer der Keyfiles Festplatten zu mounten.

Im Terminal erscheint:
device-mapper: remove ioctl failed: Das Gerät oder die Resource ist belegt

unter
/dev/mapper erscheint dann der Name (test1), der anscheinend ein Link zu dem neuen Laufwerk dm-0 ist. Klickt man es an kommt:
Daemon inhibited.

Es wirkt doch so, als wäre ich fast am Ziel, dieser Schlüssel scheint der richtige zu sein, bei allen anderen kam, dass der Passsatz nicht gefunden wurde.

 

[Marv82]

Mit einem Keyfile werden keine Plattenpartitionen gemountet. Erst entschlüsseln, danach mounten. Und ich lese schon wieder das Wort "klickt".

Schmeiss Deine k***-Maus aus dem Fenster und versuche mal /dev/mapper/test1 zu mounten.

 

[lordg2009]

Genial, ich habe die erste Partition gemounted bekommen, als dm-0, sie ist 19GB groß und eine LINUX System ist drauf. Hier müssen die Verzeichnisse drauf sein, die er zu Beginn zu öffnen sucht. Er bekommt sie also beim Booten nicht automatisch geöffnet. Gibt es eine Möglichkeit, im Linux ein neues Linux zu Booten?

Ergänzung (29. Mai 2011)

Hab meine Maus genommen, an der Wand zerschmettert und anschmiedend verbrannt.

Ergänzung (29. Mai 2011)

Sobald ich eine andere Festplatte entschlüsselt habe und mounten will kommt:

Mount: unknown filesystem type 'LVM2_member'

Habe danach gegoogelt. LVM2 ist installiert in meinem Knoppix.

http://forum.ubuntuusers.de/post/1434773/
Hier hat jemand das Problem gelöst, aber ich weiß nicht wie.

Ergänzung (29. Mai 2011)

LVM scheint eine Software zu sein, um Ein Volumen über mehrere Festplatten zu erstellen. Dann kann man wahrscheinlich nur mounten, wenn man alle Partitionen gleichzeitig einbindet. Gibt es dafür einem LVM2 basierten Befehl?

Ergänzung (29. Mai 2011)

Nochwas, habe gelesen, dass man mit

mount -t <type>

das Dateisystem einstellen kann, weiß aber nicht, welches es ist und

fdisk -l <device>

bringt kein, für mich ersichtliches Ergebnis.

Ergänzung (29. Mai 2011)

Hier die fdisk Ergebnisse:

root@Microknoppix:/home/knoppix# fdisk -l /dev/sdb

Disk /dev/sdb: 122.9 GB, 122942324736 bytes
255 heads, 63 sectors/track, 14946 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000

Device Boot Start End Blocks Id System
/dev/sdb1 1 14946 120053713+ 83 Linux

 

[Photon]

Im Thread, den du verlinkt hast, steht, dass der Benutzer das Paket lvm2 installiert hat, danach kann man schauen was pvscan und lvscan sagen.

 

[lordg2009]

pvscan

root@Microknoppix:/home/knoppix# pvscan
Found duplicate PV DzlrfYbNHQxayHxYebJ3GIaBSGLitPKH: using /dev/dm-2 not /dev/dm-1
Found duplicate PV DzlrfYbNHQxayHxYebJ3GIaBSGLitPKH: using /dev/dm-3 not /dev/dm-2
Found duplicate PV 1Kckz3NYykgUl0tD5XIWC0zsidhTeYUZ: using /dev/dm-5 not /dev/dm-4
Found duplicate PV lSFYv6XLm3AHJeHvD0BO8dtvkLhhlVta: using /dev/dm-8 not /dev/dm-7
Couldn't find device with uuid 3QIDWJ-7PwG-RFZn-NB5T-6Xob-DWQd-ioXLIm.
Couldn't find device with uuid Vqtpsi-0SVk-fEn5-dLU2-8ck0-fPCP-BvWdSi.
PV /dev/dm-3 VG ftp lvm2 [465,76 GiB / 0 free]
PV /dev/dm-5 VG ftp lvm2 [465,76 GiB / 0 free]
PV unknown device VG ftp lvm2 [149,04 GiB / 0 free]
PV /dev/dm-8 VG ftp lvm2 [149,04 GiB / 0 free]
PV /dev/dm-6 VG ftp lvm2 [114,49 GiB / 0 free]
PV unknown device VG ftp lvm2 [698,63 GiB / 0 free]
Total: 6 [1,99 TiB] / in use: 6 [1,99 TiB] / in no VG: 0 [0 ]

lvscan

root@Microknoppix:/home/knoppix# lvscan
Found duplicate PV DzlrfYbNHQxayHxYebJ3GIaBSGLitPKH: using /dev/dm-2 not /dev/dm-1
Found duplicate PV DzlrfYbNHQxayHxYebJ3GIaBSGLitPKH: using /dev/dm-3 not /dev/dm-2
Found duplicate PV 1Kckz3NYykgUl0tD5XIWC0zsidhTeYUZ: using /dev/dm-5 not /dev/dm-4
Found duplicate PV lSFYv6XLm3AHJeHvD0BO8dtvkLhhlVta: using /dev/dm-8 not /dev/dm-7
Couldn't find device with uuid 3QIDWJ-7PwG-RFZn-NB5T-6Xob-DWQd-ioXLIm.
Couldn't find device with uuid Vqtpsi-0SVk-fEn5-dLU2-8ck0-fPCP-BvWdSi.
inactive '/dev/ftp/ftp' [1,99 TiB] inherit

Ergänzung (29. Mai 2011)

Ich hab's jetzt fast geschafft. Alle Laufwerke sind entschlüsselt.
lcscan zeigt in der letzten Zeile:

ACTIVE '/dev/ftp/ftp' [1,99 TiB] inherit

Unter den Laufwerken ist jetzt dm-11 erschienen.
Wieder steht:

Deamon inhibited!

Das ging weg als ich das letzte mal dann unter
/dev/mapper gemounted habe
Aber dieses mal sind ganz viele Partitionen dort verzeichnet und keine lässt sich mounten.

Was soll ich jetzt mounten?

Ergänzung (29. Mai 2011)

Im Verzeichnis

/dev/mapper

Ist jetzt eine neue Verknüpfung

ftp-ftp

mit dem Ziel

.../dm-11

Das muss es sein.

Aber ich kann es mich mounten. Mein Befehl:

mount /dev/mapper/ftp-ftp

Antwort:

mount: can't find /dev/mapper/ftp-ftp in etc/fstab or etc/mtab

Aber es ist doch da, ich sehe es doch.

Ergänzung (29. Mai 2011)

Keiner, der sich mit LVM auskennt? Das Volume muss nur noch gemounted werden. Die Verknüpfung gibt's sowohl unter
/dev/mapper/ftp-ftp
als auch unter
/dev/ftp/ftp, wie es 'lvscan' ausgespuckt hat.

 

[enteon]

mount: can't find /dev/mapper/ftp-ftp in etc/fstab or etc/mtab

meint bloß, dass du nach dem device noch einen mountpoint angeben musst, ein leeres verzeichnis auf das du schreibrechte hast.
alles wo nicht device und mountpoint angegeben sind wird in den genannten dateien vermutet, was da natürlich fehlschlägt.

übrigens großes lob an dich und deinen entdeckerdrang! als völliger anfänger so schnell so weit zu kommen ist wirklich selten. du scheinst doch wunderbar mit linux klar zu kommen, installier es dir mal ^^
dafür braucht man auch keine maus

 

[lordg2009]

So, hab es:
Der Befehl 'mount' erfprdert neben dem <device> auch noch <dir>, von wo das Volume dann geöffnet werden kann, es sei denn der mount-Befehl wurde bereits in /etc konfiguriert, was bei der System-Partition wahrscheinlich der Fall ist. Also war der Befehl dann:

mount /dev/ftp/ftp /media/myftp bzw.
mount /dev/mapper/ftp-ftp /media/myftp

und das Volume ist jetzt in /media/myftp auffindbar.

Das ging nur, nachdem alle LVM Partitionen mittels cryptsetup entschlüsselt wurden.

Danke Leute, ohne eure Hilfe hätte ich es mit meinen gar nicht vorhandenen LINUX Kentnissen nie geschafft. Mal wieder ein großes Lob an computerbase

 

[Marv82]

Jetzt hast Du ja im Schnelldurchgang schon einiges an Linux-Kenntnissen erworben

 

[GrandTheft]

Gibt es eine Möglichkeit, im Linux ein neues Linux zu Booten?

wenn Du das LVM volume gemountet hast, kannst Du in das Linux-system chrooten. Das ist wahrscheinlich, was Du willst. Google mal den Befehl chroot, da findest Du alles. Braucht man eigentlich sehr oft.

In kurz geht es so, dass Du die dev, sys, proc und ggf. weitere Verzeichnisse in das Zielsystem mountest, und dann mit chroot [ZIEL] [SHELL-PFAD] in das andere System wechselst. Dort kannst Du noch ein update der Umgebungsvariablen machen, oder irgendwelche files sourcen, danach ist es eigentlich fast so, als wenn Du dieses System gebootet hättest. (Wenn man's richtig machen will, ist es dann nicht mehr so eindeutig, aber Zugriff bekommt man eigentlich sehr leicht)

gt