Missing Luks-encryption

Some month ago I installed Endeavour with full Luks disk-encryption.
Last week could use to login with any password and today Luks even shows up and can login direct via password.
Endeavour direct install on imac 21,5 2012.
any suggestions ??? thanks Wolf

Sorry, but I don’t really know what you’re trying to describe:
You couldn’t login at all last week and now it works again?

Please rephrase or maybe try a different language; I could also try to help in German, even some Dutch. My French is somewhat limited.

Sorry for my english, dann eventuell in deutsch:
vor einigen Monaten habe ich Endeavour bei der Installation mit LVM-Luks verschlĂŒsselt und vor einer Woche unabsichtlich das falsche Passwort zum entschlĂŒsseln eingegeben und dabei festgestellt das das System trotzdem bootet. Seit gestern nun bootet mein Imac 21,5 2012 direkt, ohne Abfrage der SystementschlĂŒsselung.Hoffe ich habe es einigermaßen verstĂ€ndlich erklĂ€rt Und danke fuer die schnelle Hilfe.Gruss Wolf

Einige Fragen vorweg:

  1. Wie, bzw. welchen Anweisungen bist du gefolgt?
  1. Bist du dir sicher, bzw. hast du jemals vorher ĂŒberprĂŒft ob die VerschlĂŒsselung aktiv war? Z. B. durch versehentliche oder beabsichtigte Falscheingabe des Passwortes.
  1. Das System bootet also aus dem Stand selbstÀndig in die grafische BenutzeroberflÀche und ist dann voll einsatzbereit?

Poste bitte mal den Output folgender Befehle:

cat /proc/cmdline
cat /etc/fstab | grep -v '^$\|#'
sudo cat /etc/crypttab | grep -v '#'
lsblk
sudo blkid
cat /etc/default/grub | grep -v '^$\|#'
sudo cryptsetup luksDump /dev/sdXn -> wobei /dev/sdXn dein verschlĂŒsseltes GerĂ€t ist, z. B. /dev/sda3
sudo cryptsetup luksOpen --test-passphrase --verbose /dev/sdXn -> probiere dies bitte mit dem richtigen und nochmals mit einem falschen Passwort

zu1.Installationsprogramm,gesamte Festplatte löschen und installieren + VerschlĂŒssele System mit Passwort
zu2.VerschlĂŒsselung und Passwort ca. 6 Monate benutzt und beim vertippen folgte Wiederholung des Passwortes
zu3. Richtig ,bootet nun direkt in die grafische OberflÀche

cat /proc/cmdline
BOOT_IMAGE=/boot/vmlinuz-linux-lts root=UUID=fd894bbd-5a32-49f5-a6d0-4607e2c016d7 rw quiet resume=UUID=7d489bc1-c676-4471-b60b-69cbc35c3032 loglevel=3 nowatchdog

cat /etc/fstab | grep -v ‘^$|#’
UUID=fd894bbd-5a32-49f5-a6d0-4607e2c016d7 / ext4 defaults,noatime 0 1
UUID=7d489bc1-c676-4471-b60b-69cbc35c3032 swap swap defaults,noatime 0 2

sudo cat /etc/crypttab | grep -v ‘#’
lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 465,8G 0 disk
├─sda1 8:1 0 457,9G 0 part /
└─sda2 8:2 0 7,9G 0 part [SWAP]
sr0 11:0 1 2,2G 0 rom

sudo blkid
/dev/sda1: UUID=“fd894bbd-5a32-49f5-a6d0-4607e2c016d7” BLOCK_SIZE=“4096” TYPE=“ext4” PARTUUID=“5e845541-01”
/dev/sda2: UUID=“7d489bc1-c676-4471-b60b-69cbc35c3032” TYPE=“swap” PARTUUID=“5e845541-02”

cat /etc/default/grub | grep -v ‘^$|#’
GRUB_DEFAULT=0
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR=“EndeavourOS”
GRUB_CMDLINE_LINUX_DEFAULT=“quiet resume=UUID=7d489bc1-c676-4471-b60b-69cbc35c3032 loglevel=3 nowatchdog”
GRUB_CMDLINE_LINUX=""
GRUB_PRELOAD_MODULES=“part_gpt part_msdos”
GRUB_TIMEOUT_STYLE=menu
GRUB_TERMINAL_INPUT=console
GRUB_GFXMODE=auto
GRUB_GFXPAYLOAD_LINUX=keep
GRUB_DISABLE_RECOVERY=true
GRUB_THEME=/boot/grub/themes/EndeavourOS/theme.txt
GRUB_DISABLE_SUBMENU=y

sudo cryptsetup luksOpen --test-passphrase --verbose /dev/sda
GerĂ€t »/dev/sda« ist kein gĂŒltiges LUKS-GerĂ€t

Also jetzt bin ich Paff,hatte sogar das Passwort fĂŒr Luks sicherheitshalber aufgeschrieben.
hatte vorher Antergos,Solus ebenfalls verschlĂŒsselt installiert 
ich glaube ich werde ich langsam senil?
Bleibt dann wohl nur eine Neuinstallation.
Gruss Wolf

Hier musst Du vermutlich /dev/sda1 angeben und nicht /dev/sda.

1 Like

Okay,hatte ich schon vorher durchgefĂŒhrt,mit dem gleichen Ergebnis.trotzdem vielen dank fĂŒr die schnelle Hilfe.Gruß Wolf

Richtig, danke Christian [Edit] Christoph.

@guy
Vorweg: SĂ€mtliche deiner RĂŒckmeldungen enthalten nicht den geringsten Hinweis auf eine jemals bestandene dm-crypt (LUKS) VerschlĂŒsselung. Ich bin da völlig ratlos!

Ich habe von einer solch automatischen, fast magischen RĂŒckverwandlung zu einem unverschlĂŒsseltem System, in ĂŒber 15 Jahren mit VollverschlĂŒsselung unter Linux, noch nie gehört, geschweige denn selbst erlebt.

Ein Entfernen der VerschlĂŒsselung ist zwar im Nachhinein möglich, allerdings im Falle von LUKS1 nur offline, im Falle von LUKS2 auch online (wird nicht empfohlen!) und erfordert die manuelle Anpassung einiger Systemdateien (z. B. fstab, grub, crypttab, 
) um danach ein bootfĂ€higes System zu haben. Mir ist kein Tool bekannt, dass dies automatisch und ohne dein Wissen durchfĂŒhren könnte.
Und du wĂŒrdest dich sicherlich daran erinnern cryptsetup-reencrypt --decrypt manuell ausgefĂŒhrt zu haben; ein solcher Prozess kann recht lange dauern.

Problem: Du hast auch keine getrennte Bootpartition; ohne diese hast du bei einer VollverschlĂŒsselung nur einen Versuch. Beim Vertippen ist ein Neustart notwendig.
Sah die Passworteingabeaufforderung in etwa so aus?

Hier passt einiges nicht zusammen!?

Die einzige logische EklĂ€rung wĂ€re, dass dein /dev/sda1 niemals verschlĂŒsselt war. Dies widerspricht allerdings deiner Aussage, dass du ca. 6 Monate lang das System entschlĂŒsseln musstest. (?)
Bist du sicher, dass du nicht nur das ganz normale Login (LightDM, GDM, 
) zu deiner Desktop-Umgebung (XFCE, Gnome, KDE, 
) meinst?


Solltest du jemals neu installieren und dabei auf VollverschlĂŒsselung setzen wollen, empfiehlt sich ein Blick in unser Wiki: (1), (2)
Ich helfe da bei Fragen auch gerne weiter :wink:

Christoph :sunglasses:

lol, wusste ich doch; habe mich nur verschrieben, Sorry :grin:

1 Like

Bin jetzt wirklich selber unsicher, aber werde mich nochmals belesen und alles Neuinstallieren.
Danke nochmals. :wink:

1 Like

:yum:

habe mir nun das Wiki mit Encrypted installation durchgelesen, falls ich richtig verstehe muss ich die Swap partition erst nach der Installation nachinstallieren,wie beschrieben

                                                                                                  **Make a swapfile**

If you want to use hibernation, then you must add swap because the content of the RAM will be written to the swap partition/file. This also means that the swap size should be at least the size of RAM.

The following commands will produce a swapfile the size of 8GB. copy and paste them one after the other inside terminal and give your root password.

If you want more or less swap change 8G to what you want to use as swap.

sudo fallocate -l 8G /swapfile

sudo chmod 600 /swapfile

sudo mkswap /swapfile

sudo swapon /swapfile

To check 


swapon --show

Edit /etc/fstab to enable the swapfile after reboot

sudo leafpad /etc/fstab

Add the following line 


/swapfile none swap defaults,pri=-2 0 0

Save and exit.

Activate hibernation

sudo filefrag -v /swapfile | awk ‘{if($1==“0:”){print $4}}’

returns the swapfile offset. For example 997376.. , which means 997376.

sudo leafpad /etc/default/grub

Change to the following; remember to use your offset.

It will first look like this: (*** are the long snake of UUID numbers)

GRUB_CMDLINE_LINUX_DEFAULT=“quiet cryptdevice=UUID=:luks- root=/dev/mapper/luks-*** resume=/dev/mapper/luks-*** loglevel=3”

Add resume_offset=***** to the end of this line (after loglevel=3).

Insert offset number we got from the command before here.

Save and exit

Add resume to /etc/mkinitcpio.conf, do this now 


sudo leafpad /etc/mkinitcpio.conf

Change the HOOKS=
 line by adding resume .

HOOKS=“base udev autodetect modconf block keyboard keymap encrypt lvm2 resume filesystems fsck”

Save and exit

rebuild kernel images and grub.cfg:

EFI and Bios systems:

sudo mkinitcpio -p linux
sudo grub-mkconfig -o /boot/grub/grub.cfg

that’s all!

Richtig, ist aber optional. Eine Swap-Datei kannst du immer nachtrĂ€glich aktivieren, musst dies allerdings nicht zwingend. Etwas Swap empfiehlt sich aber unabhĂ€ngig vom verfĂŒgbaren Speicher. Ich wĂŒrde eine solche anlegen.

Ich hab mich da etwas von weg bewegt, da ich eigentlich kein resume nutze. Da ist mir der Weg zu lang (grub/rEFInd, Eingabe Passwort, 
) und ich bin auf systemd-swap gewechselt.

Resume nutze ich ebenfalls so gut wie nie; könnte es aber :grin: .

Dank zswap sind zwei alte Laptops mit nur 2GB RAM recht nutzbar. Ohne war nach ein paar offenen Tabs im Browser schnell Schluss. Zswap/zram wirkt da wahre Wunder.

Hibernation nutze ich bei diesem GerĂ€ten auch nur weil die Akkus nicht immer so lange wie nötig durchhalten und ich dann natĂŒrlich meist mitten in etwas “wichtigem” stecke 
 .:wink:

1 Like