Encyption - Probleme bei der Umstellung von Passphrase auf Keyfile

[Thorsten]

Hallo zusammen,

Ich habe ein Problem bei der automatischen Encryption meines Array. Ich habe alle meine Disk vom Array verschlüsselt.

Ich habe auf meiner Diskstation ein FTPs Server eingerichtet auf dem das Keyfile bereitgestellt wird. Im Boot vorgang wir dieses keyfile heruntergeladen und unter /root/keyfile abgelegt es wir auch von Unraid verwendet. Allerdings wird hier gesagt das es sich um einen Falschen key handelt. Ich habe das keyfile so angelegt wie es in den Videos von Spaceinvader One steht. Allerdings schein sich die Version von Unraid zu unterscheiden von der im Video zu der aktuellen (6.4 - 6.9.2).

 

Das Keyfile enthält die Passphrase im plain Text. Lösche ich das Keyfile wieder kann ich die Passphrase manuell eingeben die auch im Keyfile steht und das Array wird entschlüsselt und gestartet.

 

In welchem format muss nun das Keyfile erzeugt werden?

 

Viele Grüße

Thorsten

[Asgard]

Hi @Torsten

 

ich bin über deinen Beitrag gestolpert und hatte bis eben dasselbe Problem und auch meinen Fehler gefunden.
Im Prinzip hat sich nicht gegenüber dem Video von @SpaceInvaderOne

 

 

mit Unraid v.6.9.2 nicht viel geändert. Der Unterschied bei Unraid 6.9.2 ist die Stelle bei min 3:28, wo gezeigt wird das Unraid ein Keyfile nach Eingabe der Passphrase in der Unraid GUI unter /root/keyfile ablegt. Dies ist bei Unraid 6.9.2 nicht der Fall, der Mechanismus funktioniert aber weiterhin.

 

 

Grundsätzlichen Vorgehen bei Unraid 6.9.2 beim Automount von einem encrypted array:

 

Schritt 1: Auf den Unraid Server per SSH verbinden:

ssh [email protected]

 

Schritt 2: Passphrase in Plaintext im Keyfile auf dem USB Stick ablegen:

echo -n 'my$1cureArray!Password' > /boot/config/keyfile_tower

 

Schritt 3: Unraid Go Script mit bearbeiten

cat /boot/config/go
#!/bin/bash

# automount 
cp /boot/config/keyfile_tower /root/keyfile

# auto powersavings
powertop --auto-tune

# Start the Management Utility
/usr/local/sbin/emhttp &

 

Schritt 4: Autostart vom Array in Unraid GUI aktivieren:

 

Schritt 5: Reboot und über encrypted Autostart freuen

 

 

Anmerkungen zu Schritt 2: Keyfile 

Hier lag mein Fehler. Ich hatte dummerweise nicht einfache Hochkomma ' ' sondern doppelte " " verwendet. Damit werden die Shell Befehle interpretiert und ausgeführt.

Sieht dann beispielsweise so aus:

root@tower:~# date
Wed Feb 16 07:24:04 CET 2022
root@tower:~# echo -n "my$1cureArray!!" > /boot/config/keyfile_tower
echo -n "my$1cureArraydate" > /boot/config/keyfile_tower
root@tower:~# cat /boot/config/keyfile_tower
mycureArraydate

Hier habe ich im Beispiel zwei !! im Passwordstring, die dann interpretiert werden. !! führt den letzten in der Shell eingegebenen Befehl nochmal aus, in diesem Fall ist dies Befehl date

Also immer prüfen ob auch das der richtige passwortstring im keyfile drin steht!

 

Zudem gilt zu beachten:

Wenn du dein Passwort mit einem Editor in dein keyfile reinschreibst, achte darauf, dass du keinen Zeilenumbruch oder eine zweite Zeile drin stehen hast. Das gibt einen anderen Byteabfolge und folglich kommt dann zurecht im Unraid die Meldung, das es sich um den falschen key handelt.

Aus dem Forum entnehmen wir zudem, dass die maximale Länge für den Passwortstring 512 bytes (characters) beträgt.

Quelle:

 

Anmerkungen zu Schritt 3: Go File

Der Automount muss im Go File stattfinden, bevor die Unraid GUI gestartet wird! Reihenfolge ist hier wichtig

#!/bin/bash
# automount 
cp /boot/config/keyfile_tower /root/keyfile

# Start the Management Utility
/usr/local/sbin/emhttp &

 

Machst du's anders rum, wird zuerst die Unraid Gui gestartet, findet kein keyfile und der autostart des arrays funkioniert entsprechend nicht. Das war mir anfangs nicht bewusst. 

 

Anmerkungen zu Sicherheit:

 

Hier der Anleitung habe ich bewusst auf komplizierte Schritte, wie das Auslagern des Keys auf einem WebServer, FTP, Phone, Fritzbox Share sowie das Verschlüsseln des im Plaintext gespeicherten Keyfiles ausgelassen. Ich rate jedem an, sein keyfile zu verschlüsseln, bevor ihr es über eine ggf unsichere Leitung übertragt. Wer schonmal mit Wireshark oder anderen Netzwerksniffern gearbeitet hat, weiß was ich meine.

Recht gute Ansätze dazu werden hier z.b. mit 7z beschrieben: