Missing Luks-encryption

Some month ago I installed Endeavour with full Luks disk-encryption.
Last week could use to login with any password and today Luks even shows up and can login direct via password.
Endeavour direct install on imac 21,5 2012.
any suggestions ??? thanks Wolf

Sorry, but I don’t really know what you’re trying to describe:
You couldn’t login at all last week and now it works again?

Please rephrase or maybe try a different language; I could also try to help in German, even some Dutch. My French is somewhat limited.

Sorry for my english, dann eventuell in deutsch:
vor einigen Monaten habe ich Endeavour bei der Installation mit LVM-Luks verschlüsselt und vor einer Woche unabsichtlich das falsche Passwort zum entschlüsseln eingegeben und dabei festgestellt das das System trotzdem bootet. Seit gestern nun bootet mein Imac 21,5 2012 direkt, ohne Abfrage der Systementschlüsselung.Hoffe ich habe es einigermaßen verständlich erklärt Und danke fuer die schnelle Hilfe.Gruss Wolf

Einige Fragen vorweg:

1. Wie, bzw. welchen Anweisungen bist du gefolgt?

2. Bist du dir sicher, bzw. hast du jemals vorher überprüft ob die Verschlüsselung aktiv war? Z. B. durch versehentliche oder beabsichtigte Falscheingabe des Passwortes.

3. Das System bootet also aus dem Stand selbständig in die grafische Benutzeroberfläche und ist dann voll einsatzbereit?

Poste bitte mal den Output folgender Befehle:

cat /proc/cmdline
cat /etc/fstab | grep -v '^$\|#'
sudo cat /etc/crypttab | grep -v '#'
lsblk
sudo blkid
cat /etc/default/grub | grep -v '^$\|#'
sudo cryptsetup luksDump /dev/sdXn → wobei /dev/sdXn dein verschlüsseltes Gerät ist, z. B. /dev/sda3
sudo cryptsetup luksOpen --test-passphrase --verbose /dev/sdXn → probiere dies bitte mit dem richtigen und nochmals mit einem falschen Passwort

zu1.Installationsprogramm,gesamte Festplatte löschen und installieren + Verschlüssele System mit Passwort
zu2.Verschlüsselung und Passwort ca. 6 Monate benutzt und beim vertippen folgte Wiederholung des Passwortes
zu3. Richtig ,bootet nun direkt in die grafische Oberfläche

cat /proc/cmdline
BOOT_IMAGE=/boot/vmlinuz-linux-lts root=UUID=fd894bbd-5a32-49f5-a6d0-4607e2c016d7 rw quiet resume=UUID=7d489bc1-c676-4471-b60b-69cbc35c3032 loglevel=3 nowatchdog

cat /etc/fstab | grep -v ‘^$|#’
UUID=fd894bbd-5a32-49f5-a6d0-4607e2c016d7 / ext4 defaults,noatime 0 1
UUID=7d489bc1-c676-4471-b60b-69cbc35c3032 swap swap defaults,noatime 0 2

sudo cat /etc/crypttab | grep -v ‘#’
lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 465,8G 0 disk
├─sda1 8:1 0 457,9G 0 part /
└─sda2 8:2 0 7,9G 0 part [SWAP]
sr0 11:0 1 2,2G 0 rom

sudo blkid
/dev/sda1: UUID=“fd894bbd-5a32-49f5-a6d0-4607e2c016d7” BLOCK_SIZE=“4096” TYPE=“ext4” PARTUUID=“5e845541-01”
/dev/sda2: UUID=“7d489bc1-c676-4471-b60b-69cbc35c3032” TYPE=“swap” PARTUUID=“5e845541-02”

cat /etc/default/grub | grep -v ‘^$|#’
GRUB_DEFAULT=0
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR=“EndeavourOS”
GRUB_CMDLINE_LINUX_DEFAULT=“quiet resume=UUID=7d489bc1-c676-4471-b60b-69cbc35c3032 loglevel=3 nowatchdog”
GRUB_CMDLINE_LINUX=""
GRUB_PRELOAD_MODULES=“part_gpt part_msdos”
GRUB_TIMEOUT_STYLE=menu
GRUB_TERMINAL_INPUT=console
GRUB_GFXMODE=auto
GRUB_GFXPAYLOAD_LINUX=keep
GRUB_DISABLE_RECOVERY=true
GRUB_THEME=/boot/grub/themes/EndeavourOS/theme.txt
GRUB_DISABLE_SUBMENU=y

sudo cryptsetup luksOpen --test-passphrase --verbose /dev/sda
Gerät »/dev/sda« ist kein gültiges LUKS-Gerät

Also jetzt bin ich Paff,hatte sogar das Passwort für Luks sicherheitshalber aufgeschrieben.
hatte vorher Antergos,Solus ebenfalls verschlüsselt installiert …ich glaube ich werde ich langsam senil?
Bleibt dann wohl nur eine Neuinstallation.
Gruss Wolf

Hier musst Du vermutlich /dev/sda1 angeben und nicht /dev/sda.

Okay,hatte ich schon vorher durchgeführt,mit dem gleichen Ergebnis.trotzdem vielen dank für die schnelle Hilfe.Gruß Wolf

Richtig, danke Christian [Edit] Christoph.

@guy
Vorweg: Sämtliche deiner Rückmeldungen enthalten nicht den geringsten Hinweis auf eine jemals bestandene dm-crypt (LUKS) Verschlüsselung. Ich bin da völlig ratlos!

Ich habe von einer solch automatischen, fast magischen Rückverwandlung zu einem unverschlüsseltem System, in über 15 Jahren mit Vollverschlüsselung unter Linux, noch nie gehört, geschweige denn selbst erlebt.

Ein Entfernen der Verschlüsselung ist zwar im Nachhinein möglich, allerdings im Falle von LUKS1 nur offline, im Falle von LUKS2 auch online (wird nicht empfohlen!) und erfordert die manuelle Anpassung einiger Systemdateien (z. B. fstab, grub, crypttab, …) um danach ein bootfähiges System zu haben. Mir ist kein Tool bekannt, dass dies automatisch und ohne dein Wissen durchführen könnte.
Und du würdest dich sicherlich daran erinnern cryptsetup-reencrypt --decrypt manuell ausgeführt zu haben; ein solcher Prozess kann recht lange dauern.

Problem: Du hast auch keine getrennte Bootpartition; ohne diese hast du bei einer Vollverschlüsselung nur einen Versuch. Beim Vertippen ist ein Neustart notwendig.
Sah die Passworteingabeaufforderung in etwa so aus?

768×498 5.75 KB

Die einzige logische Eklärung wäre, dass dein /dev/sda1 niemals verschlüsselt war. Dies widerspricht allerdings deiner Aussage, dass du ca. 6 Monate lang das System entschlüsseln musstest. (?)
Bist du sicher, dass du nicht nur das ganz normale Login (LightDM, GDM, …) zu deiner Desktop-Umgebung (XFCE, Gnome, KDE, …) meinst?

Solltest du jemals neu installieren und dabei auf Vollverschlüsselung setzen wollen, empfiehlt sich ein Blick in unser Wiki: (1), (2)
Ich helfe da bei Fragen auch gerne weiter

Christoph

lol, wusste ich doch; habe mich nur verschrieben, Sorry

Bin jetzt wirklich selber unsicher, aber werde mich nochmals belesen und alles Neuinstallieren.
Danke nochmals.

habe mir nun das Wiki mit Encrypted installation durchgelesen, falls ich richtig verstehe muss ich die Swap partition erst nach der Installation nachinstallieren,wie beschrieben

                                                                                                  **Make a swapfile**

If you want to use hibernation, then you must add swap because the content of the RAM will be written to the swap partition/file. This also means that the swap size should be at least the size of RAM.

The following commands will produce a swapfile the size of 8GB. copy and paste them one after the other inside terminal and give your root password.

If you want more or less swap change 8G to what you want to use as swap.

sudo fallocate -l 8G /swapfile

sudo chmod 600 /swapfile

sudo mkswap /swapfile

sudo swapon /swapfile

To check …

swapon --show

Edit /etc/fstab to enable the swapfile after reboot

sudo leafpad /etc/fstab

Add the following line …

/swapfile none swap defaults,pri=-2 0 0

Save and exit.

Activate hibernation

sudo filefrag -v /swapfile | awk ‘{if($1==“0:”){print $4}}’

returns the swapfile offset. For example 997376.. , which means 997376.

sudo leafpad /etc/default/grub

Change to the following; remember to use your offset.

It will first look like this: (*** are the long snake of UUID numbers)

GRUB_CMDLINE_LINUX_DEFAULT=“quiet cryptdevice=UUID=:luks- root=/dev/mapper/luks-*** resume=/dev/mapper/luks-*** loglevel=3”

Add resume_offset=***** to the end of this line (after loglevel=3).

Insert offset number we got from the command before here.

Save and exit

Add resume to /etc/mkinitcpio.conf, do this now …

sudo leafpad /etc/mkinitcpio.conf

Change the HOOKS=… line by adding resume .

HOOKS=“base udev autodetect modconf block keyboard keymap encrypt lvm2 resume filesystems fsck”

Save and exit

rebuild kernel images and grub.cfg:

EFI and Bios systems:

sudo mkinitcpio -p linux

sudo grub-mkconfig -o /boot/grub/grub.cfg

that’s all!

Richtig, ist aber optional. Eine Swap-Datei kannst du immer nachträglich aktivieren, musst dies allerdings nicht zwingend. Etwas Swap empfiehlt sich aber unabhängig vom verfügbaren Speicher. Ich würde eine solche anlegen.

Ich hab mich da etwas von weg bewegt, da ich eigentlich kein resume nutze. Da ist mir der Weg zu lang (grub/rEFInd, Eingabe Passwort, …) und ich bin auf systemd-swap gewechselt.

Resume nutze ich ebenfalls so gut wie nie; könnte es aber .

Dank zswap sind zwei alte Laptops mit nur 2GB RAM recht nutzbar. Ohne war nach ein paar offenen Tabs im Browser schnell Schluss. Zswap/zram wirkt da wahre Wunder.

Hibernation nutze ich bei diesem Geräten auch nur weil die Akkus nicht immer so lange wie nötig durchhalten und ich dann natürlich meist mitten in etwas “wichtigem” stecke … .