Verschlüsselte Volumes von der Kommandozeile aus einbinden?

Wenn ich eine verschlüsselte externe Festplatte habe (oder eine interne Festplatte, die nicht in fstab enthalten ist), wird in Nautilus ein Eintrag dafür angezeigt - mit einem Eintrag wie "X GB Encrypted Volume". Ich kann auf dieses Volume klicken und werde aufgefordert, ein Kennwort einzugeben, um das Gerät zu entschlüsseln und bereitzustellen.

Aber wie mache ich das von der Kommandozeile aus?

Diese Wiki-Seite und andere Dokumente, die ich finden kann, beziehen sich nur auf GUI-Methoden zum Entschlüsseln des Geräts. Dies gilt jedoch nicht für Headless-Server oder SSH-Anmeldungen. Gibt es eine einfache Möglichkeit, Geräte an automatischen Speicherorten bereitzustellen, /mediawie dies mit der grafischen Benutzeroberfläche der Fall wäre?

(Ich frage nicht nach verschlüsselten Home-Verzeichnissen - das ist mir bekannt ecryptfs-mount-private. Bei dieser Frage handelt es sich um zusätzliche verschlüsselte Volumes.)

Die Schritte in @Georg Schöllys Antwort haben zu der Zeit für mich nicht funktioniert, obwohl sie jetzt funktionieren könnten, einige Ubuntu-Releases später. Damals nach dem sudo mount /dev/mapper/my_encrypted_volume /media/my_deviceSchritt bekam ich den Fehler:

mount: unbekannter Dateisystemtyp 'LVM2_member'

Entriegeln und Mounten der Festplatte mit udiskctl

Stattdessen habe ich udisksctleine Befehlszeilenschnittstelle verwendet, die mit dem udisksdDienst interagiert .

Folgendes hat funktioniert ( /dev/sdb5ist die Partition auf meiner Festplatte als markiert crypt-luks):

udisksctl unlock -b /dev/sdb5
udisksctl mount -b /dev/mapper/ubuntu--vg-root

Nachdem Sie den ersten Befehl eingegeben haben, werden Sie zur Eingabe Ihrer Verschlüsselungs-Passphrase aufgefordert. Sobald die verschlüsselte Partition entsperrt ist, wird sie mit dem zweiten Befehl eingehängt. Wenn dies erfolgreich ist, erhalten Sie eine Meldung, die der folgenden ähnelt :

Mounted /dev/dm-1 at /media/dpm/e8cf82c0-f0a3-41b3-ab28-1f9d23fcfa72

Von dort konnte ich auf die Daten zugreifen :)

Sperren der Festplatte mit udiskctl

Hängen Sie das Gerät aus:

udisksctl unmount -b /dev/mapper/ubuntu--vg-root

Sie müssen zuerst alle logischen Volumes in der ubuntu-vgVolume-Gruppe deaktivieren . Andernfalls wird ein Fehler in Form von "Gerät belegt" angezeigt, wenn Sie versuchen, das Gerät zu sperren ( weitere Informationen ):

sudo lvchange -an ubuntu-vg

Dann können Sie die verschlüsselte Partition wieder sperren

udisksctl lock -b /dev/sdb5

Anmerkungen

• Die udisksctlBefehle werden ohne ausgeführt sudo.

• Device - Mapper - Name : die ubuntu--vg-rootNamensgebung könnte über Ubuntu Versionen ändern (zB Ich habe gesehen , es genannt system-rootund ubuntu-rootauch). Eine einfache Möglichkeit, den Namen herauszufinden, besteht darin, nach dem Entsperren der LUKS-Partition den folgenden Befehl auszuführen :

  ls -la /dev/mapper

  lsWenn Sie sich dann die Ausgabe des Befehls ansehen, ist der Name, den Sie benötigen, im Allgemeinen derjenige, mit dem ein Link besteht/dev/dm-1

• Device-Mapper-Namen, Alternative : Eine Alternative zum vorherigen Befehl lautet:

  lsblk -e7

  Dort können Sie die Gerätenamenszuordnung als Baumansicht anzeigen. Mit dieser -e 7Option werden die durch installierte Snaps erstellten Loop-Geräte (ID 7) von der Ausgabe ausgeschlossen. Einfach, um weniger Unordnung zu haben.

• Logische Datenträgernamen : Mit diesem sudo lvsBefehl können Sie die Namen von Datenträgergruppen und logischen Datenträgern ermitteln
• Festplatten-App : Die GNOME-Festplatten-App deaktiviert die logischen Volumes nicht automatisch, bevor die Partition gesperrt wird. Selbst wenn Sie die Partition erfolgreich über die GUI entsperrt haben, müssen Sie zur Befehlszeile gehen und den Befehl ausführen, sudo lvchange -an ubuntu-vgbevor Sie ihn über die GUI sperren können.

Ihr Volume ist wahrscheinlich mit LUKS verschlüsselt. So hängen Sie es ein:

Du brauchst:

sudo apt-get install cryptsetup

So entschlüsseln Sie das Volume:

sudo cryptsetup luksOpen /dev/sda1 my_encrypted_volume

Jetzt können Sie es wie gewohnt einhängen:

sudo mkdir /media/my_device
sudo mount /dev/mapper/my_encrypted_volume /media/my_device

Um den Container wieder zu verriegeln, muss er zuerst abgehängt werden:

sudo umount /media/my_device
sudo cryptsetup luksClose my_encrypted_volume

/mediaVerwenden Sie das Tool udisks, um es automatisch an den Speicherort zu verschieben

sudo udisks --mount /dev/mapper/my_encrypted_volume

Wenn Sie diesen Fehler erhalten:

mount: unknown filesystem type 'LVM2_member'

Lauf:

sudo apt-get install lvm2
sudo lvscan

Aktivieren Sie dann alle angezeigten LVM

sudo vgchange -ay

Führen Sie dann den Mount erneut aus:

sudo mount /dev/mapper/my_encrypted_volume /media/my_device

Ein Problem, auf das ich stieß, waren doppelte Datenträgergruppen : Sowohl mein Wiederherstellungssystem als auch das wiederherzustellende Laufwerk waren Ubuntu-Systeme mit LVM. Aus diesem Grund hatte ich zwei ubuntu-vgVolume-Gruppen ( vgdisplaywürde beide mit jeweils eigener UUID anzeigen, aber ich konnte nicht zu ihren logischen Volumes gelangen).

Meine Lösung baut auf der Antwort von Georg auf:

• Booten Sie von einem Live-Linux-System (damit Sie nicht auf den Namen der doppelten Datenträgergruppe stoßen).
• sudo cryptsetup luksOpen /dev/sdaX my_encrypted_volume
• Geben Sie Ihr Passwort ein, wenn Sie dazu aufgefordert werden

• sudo vgscan sollte jetzt die enthaltenen Volumes / Gruppen abholen.

• DRAGONS AHEAD: WIR ÄNDERN JETZT DEN NAMEN DER VOLUMENGRUPPE. SIE WERDEN NICHT IN DER LAGE SEIN, DIESE FAHRT NACHHER ZU BOOTEN!

  Verwenden Sie sudo vgrename ubuntu-vg ubuntu-vg2, um die Volume-Gruppe umzubenennen.

  Wenn Sie von diesem Laufwerk booten müssen, können Sie diese Schritte erneut ausführen, Ihre Volume-Gruppe jedoch wieder in ubuntu-vg umbenennen . Eine andere Möglichkeit besteht darin, die Startkonfiguration auf den neuen vg-Namen zu ändern.

Nun , da die doppelte vg-Name aufgelöst wird, kann ich wieder in meinem normalen System booten, Redo cryptsetup..., vgscanund montieren Sie /dev/mapper/ubuntu--vg2-rootüberall Sie mögen.

sdb1 hier ist ein Beispiel, bei dem Sie Ihren Gerätenamen eingeben sollten. Für keinen dieser Befehle sind Root-Berechtigungen erforderlich

verschlüsselte Festplatte entsperren

udisksctl unlock -b /dev/sdb1

Nach dem Einfügen der korrekten Passphrase wird Folgendes ausgegeben: Unlocked / dev / sdb1 as / dev / dm-3

dann mounte es in / media /

udisksctl mount -b /dev/dm-3

Es sollte ungefähr so aussehen: Mounted / dev / dm-3 at / media / yourUserName / sdb

um es abzuhängen

udisksctl unmount -b /dev/dm-3

um es wieder zu sperren

udisksctl lock -b /dev/sdb1

Bei allen obigen Antworten wurde davon ausgegangen, dass der Benutzer bereits weiß, welche Partition die verschlüsselte ist. Als ich von jemandem kam, der die Kommandozeile nicht so sehr mag, hatte ich eine benutzerfreundliche Antwort erwartet ... Also meine 2 Cent hier.

1. Öffnen Sie die "Festplatten" -Anwendung von Ubuntu.
2. Suchen Sie Ihre gemountete Festplatte im linken Bereich.
3. Klicken Sie auf die Partition, deren Name "LUKS" enthält. Auf diese Weise können Sie den Einhängepunkt im Text "Gerät" unten sehen (in meinem Fall:) /dev/sdb4.

Dann habe ich versucht, es wie oben empfohlen zu montieren:

$ sudo cryptsetup luksOpen /dev/sdb4 someNameForMyVolume
Enter passphrase for /dev/sdb4: 

Habe aber diesen Fehler:

Cannot use device /dev/sdb4 which is in use (already mapped or mounted).

Ok, ich denke, Nautilus hat bereits versucht, es zu mounten (weil es mich tatsächlich zur Eingabe des Passworts aufforderte, als ich den USB-Stick anschloss, auch wenn der entschlüsselte Baum nicht angezeigt wurde). Die Fehlermeldung ist jedoch nicht wirklich hilfreich, da sie mir nicht sagt, wo sie bereits zugeordnet / bereitgestellt ist. Aber dieser Befehl hilft in diesem Fall:

$ udisksctl unlock -b /dev/sdb4
Passphrase: 
Error unlocking /dev/sdb4: GDBus.Error:org.freedesktop.UDisks2.Error.Failed: Device /dev/sdb4 is already unlocked as /dev/dm-3

Aha! So ist es /dev/dm-3.

Wenn Sie versuchen, es zu mounten, funktioniert es jedoch nicht:

$ udisksctl mount -b /dev/dm-3
Object /org/freedesktop/UDisks2/block_devices/dm_2d3 is not a mountable filesystem.

Nach duplicate volume groupslangem Herumbasteln stellte ich fest, dass ich auf das Problem stieß (beschrieben durch @amenthes), da die Befehle sudo vgscan -vund sudo vgdisplayzwei Einträge mit demselben Datenträgergruppennamen angezeigt wurden. Ich habe jedoch einen besseren Weg gefunden, damit umzugehen als mit seiner Methode (keine Notwendigkeit, eine Live-CD zu booten, um Volumengruppen umzubenennen!), In diesem Link , den ich oben zitieren werde (nur für den Fall, dass dieser Link kaputt geht ...). :

Wenn Sie ausführen ls -la /dev/mapper/, sollten Sie eine luks-xxxxxx-xxxxx-xxxxoder mehrere solcher Dateien sehen. Dies ist die Zuordnung, die erstellt wurde, als Ubuntu das Verschlüsselungskennwort mit einem Dialogfeld abfragte, es jedoch nicht öffnete (alles, was das Dialogfeld luksOpenaufrief, war, es der Datei / dev / mapper / luks-xxx zuzuordnen). Jetzt:

1. Stellen Sie sicher, dass Ihr physisches Volume verfügbar ist, indem Sie den sudo pvdisplayBefehl ausführen. Es sollte / dev / mapper / luks-xxx-whatever sein.
2. Holen Sie sich die UUID des Volumes durch Ausführen sudo pvs -o +vg_uuid. Die uuid ist der Wert, der ganz rechts angezeigt wird und 7 strichgetrennte Werte enthält. Kopieren Sie diese irgendwo hin, da wir sie im nächsten Schritt verwenden werden. Verwechseln Sie keine UUIDS und kopieren Sie die falschen. Kopieren Sie nur das für Ihr aktuelles Gerät / dev / mapper / luks-xxx-whatever.
3. Ändern Sie die Volume-Gruppe für Ihre alte Festplatte, indem Sie den folgenden Befehl sudo vgrename UUIDOFYOURDISKHERE oldhdausführen. Sie können das "oldhd" in das von Ihnen gewünschte ändern, solange es sich vom Volume-Gruppennamen Ihrer aktuellen Festplatte unterscheidet. Durch Ausführen dieses Schritts wird der Konflikt mit Volumengruppennamen beseitigt, sodass Sie jetzt Volumen verfügbar machen können.
4. Führen Sie den Befehl aus vgchange -a y, um die Volumes zu aktivieren.
5. Erstellen Sie irgendwo einen Ordner für einen Mountpoint, zB: sudo mkdir /media/<yourUserName>/someDir
6. Montieren Sie es: sudo mount /dev/oldhd/root /mnt/oldhd.
7. Nachdem Sie mit Ihren Dateien gearbeitet haben, sollten Sie Ihre Volumegruppe wieder in umbenennen, ubuntu-vgwenn das Volume weiterhin bootfähig sein soll.

Für diejenigen von uns, die kein GUI-Tool verwenden möchten, um zu bestimmen, welche Partition verschlüsselt ist.

• Finde alle verschlüsselten Partitionen

  lsblk -lf | grep LUKS
  

  -lfordert das "Listen" -Format an - wir brauchen nicht, der Baum
  -fzeigt uns auch den Namen des Dateisystems,
  wir bekommen so etwas

  sdc2 crypto_LUKS b09d6209-......

• schalte die gewünschte Partition frei (in meinem Fall /dev/sdc2)

  udisksctl unlock -b /dev/sdc2
  

  -bDas bedeutet, dass wir
  nach Eingabe der Passphrase den Pfad zu einem Blockgerät angeben. Wir erhalten eine positive Antwort mit den erforderlichen Informationen für den nächsten Schritt:

  Unlocked /dev/sdc2 as /dev/dm-6

• Hängen Sie das neu erstellte Gerät ein ( dmstehen Sie für Geräte-Manager )

  udisksctl mount -b /dev/dm-6
  

  Wieder erhalten wir eine positive Antwort mit nützlichen Informationen:

  Mounted /dev/dm-6 at /media/g/Data.

  (Als gBenutzername auf diesem System habe Dataich die Bezeichnung für diese Partition verwendet.)

  Es kann vorkommen, dass Ihr Desktop-System / Dateimanager das Gerät bereits automatisch bereitgestellt hat oder dass Sie dies zuvor selbst getan haben. Dann bekommst du sowas

  Error mounting /dev/dm-6: GDBus.Error:org.freedesktop.UDisks2.Error.AlreadyMounted: Device /dev/dm-6 is already mounted at '/media/g/Data'.

  Dies ist kein Problem, Sie können ohnehin von der verschlüsselten Partition aus auf die Daten zugreifen.

• auf die Daten zugreifen: ls /media/g/Data

• aushängen das Gerät erneut (mit dem gleichen Namen , den Sie für die Montage verwendet wird , ist der Befehl unmount, nicht umount :-))

  udisksctl unmount -b /dev/dm-6
  

  Wenn das Gerät nicht besetzt ist, erhalten Sie

  Unmounted /dev/dm-6.

• Jetzt sperren Sie die Partition wieder (Sie müssen sich den Namen der Partition merken)

  udisksctl lock -b /dev/sdc2
  

  Sie erhalten

  Locked /dev/sdc2.

• Schalten Sie optional die gesamte externe Festplatte aus

  udisksctl power-off -b /dev/sdc
  

  Bei einem grafischen Desktop kann hier eine Fehlermeldung angezeigt werden:

  Error powering off drive: The drive in use: Device /dev/sdc3 is mounted (udisks-error-quark, 14)

  In diesem Fall können Sie udisksctldie Partitionen einzeln aushängen, bis Sie erfolgreich sind. Der udisksctl power-offgibt keine Nachrichten zurück.

Ich bin aus den vorherigen Antworten mehrere Wege gegangen und nur die Kombination der vorherigen Antworten hat für mich funktioniert. Er, was ich getan habe und was in Ordnung war, und was schief gelaufen ist und mein Workaround.

Ich habe eine LUKS-verschlüsselte Festplatte , die ich von einem Live-Boot-USB für Ubuntu 15.10 einbinden muss . Zu diesem Zweck begann ich mit dem folgenden Befehl:

udisksctl unlock -b /dev/sda3

Wobei sda3 die verschlüsselte Partition ist. Dieser Befehl hat bei mir nicht funktioniert und ich bin mir nicht sicher, warum. Deshalb habe ich den folgenden Befehl verwendet:

sudo cryptsetup luksOpen /dev/sda1 my_encrypted_volume

Es hat bei mir funktioniert und ich musste es nicht installieren, da es sich im Live-Boot befand.

Jetzt muss ich die Festplatte einbinden, und das war keine einfache Sache: Ich habe versucht:

sudo mkdir /media/my_device
sudo mount /dev/mapper/my_encrypted_volume /media/my_device

Aber der zweite Befehl hat bei mir nicht funktioniert, und daher muss ich eine Lösung finden, die wie folgt lautet:

sudo udisksctl mount -b /dev/mapper/ubuntu--vg-root

Das war mein Pfad ... aber Sie können den Pfad dev/mapper/ubuntuund dann die doppelte Registerkarte verwenden, um den Rest der Optionen anzuzeigen. Dies brachte die Festplatte an als:

Mounted /dev/dm-1 at /media/root/03cf6b80-fa7c-411f-90b9-42a3398529ce

Dann habe ich den folgenden Befehl verwendet, um es /media/my_devicewie folgt zu mounten :

sudo mount /dev/dm-1 /media/my_device/

das hat gut funktioniert.

In Summe

sudo cryptsetup luksOpen /dev/sda1 my_encrypted_volume
sudo mkdir /media/my_device
sudo udisksctl mount -b /dev/mapper/ubuntu--vg-root
sudo mount /dev/dm-1 /media/my_device/

Sie können es in zwei Schritten mounten, und ich habe ein Skriptbeispiel.

Hinweis: Mit dem Dienst udiskctl werden Dinge unter / media gemountet. Er ist eher für Desktop-Benutzer gedacht, die USB-Sticks mounten. Wenn Sie das Gerät an einer anderen Stelle anbringen möchten, ist dies nicht die gesuchte Lösung.

Hier ist, was ich ausgearbeitet habe. In diesem Beispiel ist mein verschlüsseltes Gerät eine Partition, die mit lvm erstellt wurde, aber das ist eigentlich egal. Es ist eine ext4-formatierte Partition. In seiner verschlüsselten Form lebt es bei

/dev/myvg/opt1 

Eine verschlüsselte Partition wird auf diese Weise "geöffnet" (entschlüsselt)

  STEP 1:  sudo cryptsetup luksOpen /dev/myvg/opt1 opt1_opened

(Hier geben Sie die Passphrase ein)

Das letzte Argument ist ein temporärer Verweis auf das entschlüsselte Blockgerät. Die Zuordnung verschwindet beim Neustart, sodass Sie bei Bedarf jedes Mal einen anderen Namen auswählen können.

es ist jetzt als Gerät sichtbar:

ls /dev/mapper
control  myvg-opt1  myvg-root  opt1_opened

Sie können dieses Gerät einbinden: Wir haben jetzt ein ext4-Gerät. Fügen Sie zur Vereinfachung eine Zeile in / etc / fstab ein

/dev/mapper/opt1_opened /opt1   ext4    noauto,users    0       0

und machen Sie den Einhängepunkt (in meinem Fall: sudo mkdir /opt1und richten Sie die Berechtigungen wie gewünscht ein). Wenn Sie in Schritt 1 den Namen opt1_opened verwendet haben, ist dies der zweite Schritt, um ihn einzuhängen:

STEP 2: mount /opt1   #the fstab line lets users mount, so no need for sudo

und es ist montiert.

Daher ein Bash-Skript:

#!/bin/bash
#needs to be run sudo
read -s -p "Enter LUKS password: " luks_password
printf $luks_password | cryptsetup luksOpen /dev/myvg/opt1 opt1_opened --key-file -
sudo -u tim mount /opt1

Die richtige Antwort lautet gio mount -d /dev/dm-x(kein Sudo).

Frühere Antworten weisen auf eine Unterbrechung der Verbindung mit der Nautilus- oder Nemo-Bereitstellungsmethode hin, da Sie die LUKS-Passphrase eingeben müssen, obwohl sie zuvor über die GUI im Benutzerschlüsselring zwischengespeichert wurde. Bei der gioautomatischen Verwendung wird die zuvor von Nautilus oder Nemo gespeicherte Passphrase verwendet.

Eine ausführlichere Antwort finden Sie unter https://unix.stackexchange.com/questions/394320/what-command-does-nemo-use-to-mount-drives/536842#536842

War auf der Suche nach dem gleichen ...

Die mkdirSchritte waren mein Grund, weiter zu suchen, und ich habe sie so geändert policykit, dass mein Benutzer mounten kann, ohne zuerst nach dem root-Passwort und dann nach dem Passwort für das verschlüsselte Volume zu fragen sudo.

Meine Lösung, die ich fand, war die Verwendung von gvfs-mountaus dem gvfs-binPaket. Jetzt mit einem gvfs-mount -d /dev/sda7werde ich nur nach dem verschlüsselten Passwort gefragt und es ist unter gemountet /media/VOLUME_LABEL.

Auf meinem Chromebook mit (Crouton) Ubuntu Xenial 16.04 finde ich Folgendes, wenn ich Folgendes ausstelle:

sudo cryptsetup luksOpen / dev / sda1 mein_verschlüsseltes_Volume

Laut obigem Posting und Eingabe meiner Passphrase erhalte ich die Meldung "Mit dieser Passphrase ist kein Schlüssel verfügbar." Ich habe jedoch zufällig festgestellt (und es ist sehr seltsam!), Dass das Ganze funktioniert, wenn ich "--debug" zum cryptsetup-Befehl hinzufüge! Ich kann dann das Volume mounten und auf die Dateien zugreifen.

Aufforderung an den Dateimanager Thunar zum Einhängen der Ergebnisse "Keine Berechtigung zum Ausführen des Vorgangs." Error. Ich bin nicht in der Lage, einen Ausweg zu finden, aber da ich das Mounten über die Befehlszeile ausführen kann, ist das einigermaßen akzeptabel.

Ok, also ich habe eine funktionierende Lösung, wie bereits erwähnt, der Grund, warum Sie eine mount: unknown filesystem type 'LVM2_member'Fehlermeldung erhalten, ist, dass Ihr Linux-Rechner der externen Festplatte standardmäßig denselben VG-Namen zuweist , sodass alle Partitionen auf der externen Festplatte inaktiv sind.

Folgendes müssen Sie tun:

1. Trennen Sie Ihre externe Festplatte und notieren Sie sich Ihre interne VG-UUID mit ( sudo vgdisplay command).
2. Schließen Sie jetzt Ihre externe Festplatte an und benennen Sie die VG-Gruppe Ihrer EXTERNEN Festplatte um (nicht intern, dies wird Ihre Box beschädigen) ( vgrename UUID_Number [new-group]).
3. Überprüfen Sie, ob der neue Name in VGdiplay aktualisiert wurde, aktivieren Sie jetzt die neue VGroup ( vgchange [new_group] -a y) und überprüfen Sie, ob alle Partitionen aktiviert sind ( lvscan).
4. Nun sollten Sie alle Ihre Partitionen unter sehen ls /dev/mapper/[new_group], alles, was Sie tun müssen, ist die Partition mounten ( mount -t ext4 /dev/mapper/[new_group]-data /zez)