openSUSE doppelte Kennworteingabe bei Festplattenverschlüsselung vermeiden

Loading

Wer openSUSE mit Festplattenverschlüsselung nutzt, muß das Entschlüsselungskennwort beim Hochfahren zweimal eingeben. Ich zeige Dir, wie Du die doppelte Eingabe vermeidest und das Entschlüsselungskennwort somit nur einmal eingeben mußt. Bleibt dran.

Es war mir stets supsekt, wieso openSUSE, anders als so ziemlich jede andere erdenkliche Distro, die Festplattenverschlüsselung mit einer doppelten Kennworteingabe realisiert. Einmal zum Entsperren im Grub und einmal zum Entsperren beim Booten. Doch mit nur wenigen Handgriffen können wir das ändern.

Infos vorweg

Die nachfolgenden Schritte dürfen nur dann ausgeführt werden, wenn Du eine verschlüsselte Root Partition hast, die auch /boot inkludiert. Hast Du eine separate /boot Partition, bist Du hier schon raus.

Wir erstellen uns eine kleine Schlüsseldatei, die wir dem initrd zufügen. Damit kann die Root-Partition entschlüsselt werden und wir müssen das Kennwort nur einmal ganz zu Beginn beim Grub Bootloader eingeben.

Ich habe das an einem Tumbleweed System getestet, ebenso klappt es aber auch bei den Leap 15, 15.1 und 15.2 Editionen. Ich zeige es hier auf Basis von einem openSUSE Leap 15.2 System.

Meine Vorgehensweise basiert auf der Doku von openSUSE, die ihr hier findet:

Umsetzung

Zunächst erstellen wir die leere Schlüsseldatei (key-file)

sudo touch /.root.key

Rechte anpassen, sodaß nur Root Zugriff hat

sudo chmod 600 /.root.key

Schlüsseldatei erstellen

sudo dd if=/dev/urandom of=/.root.key bs=1024 count=1

Partitionierung abfragen

sudo fdisk -l

Schlüsseldatei als gültige Entschlüsselungsmethode zufügen

sudo cryptsetup luksAddKey /dev/sda2 /.root.key

Bearbeitung der Crypttab um Schlüsseldatei der Root-Partition zuzufügen

sudo vi /etc/crypttab

UUID=… /.root.key hinzufügen

Dracut konfigurieren die Schlüsseldatei dem initrd zuzufügen

echo -e 'install_items+=" /.root.key "' | sudo tee --append /etc/dracut.conf.d/99-root-key.conf > /dev/null

Reche von /boot anpassen, sodaß nur root Zugrifen kann

sudo chmod -R g-rwx,o-rwx /boot

Neuerstellung von initrd

sudo mkinitrd

System durchstarten

sudo reboot

Fazit

Mit ist keine andere Distribution bekannt, die sich mit der Festplattenverschlüsselung so anstellt wie openSUSE. Es fällt mir schwer nachzuvollziehen, warum dem so ist bzw. wieso es openSUSE nicht gelingt dies so zu lösen, wie es die Mitbewerber ebenfalls schaffen.

Nichtsdestotrotz bin ich froh, daß es überhaupt eine brauchbare Lösung gibt. Doch sehr Einsteiger- oder Anfängerfreundlich finde ich das nicht. Hier würde ich mir wünschen, daß man bei openSUSE auf diese Kritik hört und entsprechend reagiert. Ein „weiter so“ wird vermutlich nicht zur nachhaltigen Steigerung beitragen.

Hoffe Euch konnte dies helfen doppelte Kennworteingabe zu vermeiden. Oder nutzt Ihr Euer System unverschlüsselt? Schreibt das doch mal in die Kommentare rein.

Das zu diesem Artikel korrespondierende Video kann auf meinem YouTube Kanal hier angeschaut werden.

Mein openSUSE 4K Hintergrundbild könnt Ihr hier herunterladen.

Danke für das schauen meines Videos. Jedes Abo meines YouTube Kanals hilft mir. Würde mich also über ein Abo sehr freuen. Anregungen könnt Ihr gerne in den Kommentarfeldern hinterlassen. Auf meinem Blog michlfranken.de findet ihr immer den jeweiligen Artikel zum Video zur Nachlese. Meine Beiträge und Videos könnt ihr gerne mit Euren Freunden in den sozialen Median teilen. 🙂

Das zu diesem Artikel korrespondierende Video kann auf meinem YouTube Kanal hier angeschaut werden.

Folgt mir gerne auch auf:

Um unabhängig von großen Plattformen zu sein, benötige ich Deine Unterstützung. Dies geht via:

Alle Details zu hier.

Du möchtest mehr über Linux lernen?

Hinweise:

  • Als Amazon-Partner verdiene ich an qualifizierten Verkäufen
  • Ich besitze eine legale Lizenz von Final Cut Pro X, die die kommerzielle Verwendung von lizenzfreien Inhalten in FCP abdeckt
  • Die Beiträge von MichlFranken stellen grundsätzlich eine unverbindliche Demo dar. Nachstellung auf eigene Gefahr. Es können bei unsachgemäßer Nachstellung negative Folgeeffekte wie z.B. Datenverlust oder Systemausfälle auftreten. Jede Form der Gewährleistung ausgeschlossen. Im Zweifelsfall bitte eine virtuelle Maschine aufsetzen und testen aber nicht auf einem produktiven System nachstellen.

2 Antworten zu „openSUSE doppelte Kennworteingabe bei Festplattenverschlüsselung vermeiden“

  1. Anon

    Leider habe ich bei mir das Problem, dass die UEFI Partition unter /Boot/efi eigehängt wird. Diese ist natürlich nicht verschlüsselt aber enthält die selbe initrd wie im Ordner /boot. Somit ist die Verschlüsselung des Systems wieder Sinnfrei.
    Eine Lösung die mir einfallen würde, wäre ein Skript zu schreiben, welches die EFI Partition aushängt und dann einen initird mit keyfile erstellt. Im Anschluss müsste dann die dracut.conf wieder zurückgestzt werden und die EFI partition wieder eingehängt werden .
    Auch muss man dann sicherstellen, das nach einem Update der initrd das Skript wieder ausgeführt wird. …

  2. Tino

    OpenSUSE fragt bei LUKS aus Sicherheitsgründen zweimal nach einem Passwort. Einmal im Bootloader (Grub) und dann noch einmal, wenn das System tatsächlich startet. Dies erschwert Hackerangriffe und sorgt für zusätzliche Sicherheit.
    Darüber hinaus bietet die doppelte Passwortabfrage mehr Flexibilität und Kompatibilität. Beispielsweise verschiedene Passwörter für verschiedene Geräte verwenden.
    Zudem minimiert die doppelte Passwortabfrage das Risiko von Datenverlust. Falls man das erste Passwort vergessen sollte, kann mit dem zweiten Passwort trotzdem noch auf die Daten zugegriffen werden…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert