Verwerfungsvorgang wird nicht unterstützt (gelöst)

Hallo an Alle,
ich habe eine Frage zu ssd und trim.
In meinem Laptop tut es eine SSD Crucial CT500MX500SSD1.

sudo hdparm -I /dev/sda | grep “TRIM”
* Data Set Management TRIM supported (limit 8 blocks)

Leider funktioniert das scheinbar nicht.
sudo fstrim -v /
fstrim: /: Verwerfungsvorgang wird nicht unterstützt.
Ich gehe davon aus, das fstrim.timer über systemctl dann auch nicht läuft.

In der fstab sieht das so hier aus.
UUID=D00B-D6AF /boot/efi vfat umask=0077 0 2
/dev/mapper/luks-xxxxxxxx / ext4 defaults,noatime 0 1
/dev/mapper/luks-xxxxxxxx swap swap defaults,noatime 0 2
tmpfs /tmp tmpfs defaults,noatime,mode=1777 0 0

Nach meinem Recherchen liegt es wahrscheinlich daran, dass / und swap mit luks verschlüsselt sind.

Irgendwie komme ich nicht weiter und würde mich über eine Hilfe freuen.
Vielen Dank schon mal!
Grüße
Smiee

1 Like

Dann lies mal hier.

@smiee
Entschuldige, ich war gestern Abend etwas in Eile. Willkommen!
Falls der obige ArchWiki-Eintrag nicht weitergeholfen hat, hier eine etwas ausführlichere Anleitung.

Du musst im Falle einer LUKS-Verschlüsselung die discard Option in folgende zwei Dateien einfügen.

A. /etc/default/grub
B. /etc/crypttab (nur wenn dort ein luks-Gerät eingetragen ist)


Zu A.

  1. luksuuid => Ermittle die UUID deines verschlüsselten Gerätes (z. B. /dev/sda2) mit
    sudo cryptsetup luksUUID /dev/sda2

  2. mapname => Ermittle den map-Namen deines verschlüsselten Gerätes mit
    sudo blkid -o device | grep luks
    Wenn hier mehr als einer zurückgegeben wird, musst du den richtigen (z. B. mit lsblk) ermitteln.

  3. Öffne /etc/default/grub zur Bearbeitung, z. B.
    sudo nano /etc/default/grub

  4. Trage nun in der Zeile die mit GRUB_CMDLINE_LINUX_DEFAULT= beginnt, vor dem Eintrag root=, folgendes ein:
    cryptdevice=UUID=luksuuid:mapname:allow-discards rd.luks.options=discard
    Ersetze dabei luksuuid und mapname mit den in Schritt 1. und 2. ermittelten.

Das ganze könnte dann z. B. in etwa so aussehen:
GRUB_CMDLINE_LINUX_DEFAULT="cryptdevice=UUID=6db97d17-7dbc-44a1-831f-af49044855d7:luks-6db97d17-7dbc-44a1-831f-af49044855d7:allow-discards rd.luks.options=discard root=[…]

Je nach System und wie die Verschlüsselung aufgesetzt wurde, könnte der Eintrag rd.luks.options=discard überflüssig sein. Bei Problemen versuch es einfach mal ohne diesen Parameter.


Zu B.

  1. Öffne /etc/crypttab zur Bearbeitung, z. B.
    sudo nano /etc/crypttab
  2. Trage nun in der Zeile die deine luksuuid enthält, als letztes, folgendes ein:
    luks,discard

Das ganze könnte dann z. B. in etwa so aussehen:
luks-6db97d17-7dbc-44a1-831f-af49044855d7 UUID=6db97d17-7dbc-44a1-831f-af49044855d7 /crypto_keyfile.bin luks,discard


Jetzt das System nur noch über die Änderungen informieren:
sudo mkinitcpio -p linux
sudo grub-mkconfig -o /boot/grub/grub.cfg

und nach einem Neustart sollte Trim jetzt funktionieren.

2 Likes

Hm … interessant, das Archwiki schweigt hier aber darüber welche TRIM Methode damit eingerichtet wird.
Da discard benutzt wird müsste es sich um kontnuierliches Trimmen handeln, da diese Option für timer gesteuertes Trimmen nicht verwendet werden würde.

Was im Archwiki ganz groß geschrieben wird ist das durch das Trimmen die Sicherheit eingeschränkt wird:

Es können folgende Fälle unterschieden werden:

Das Gerät ist mit dem Standardmodus dm-crypt LUKS verschlüsselt:
Standardmäßig wird der LUKS-Header am Anfang des Geräts gespeichert und die Verwendung von TRIM ist sinnvoll, um Headeränderungen zu schützen. Wenn z. B. ein kompromittiertes LUKS-Passwort widerrufen wird, steht ohne TRIM der alte Header im Allgemeinen noch zum Lesen zur Verfügung, bis er durch eine andere Operation überschrieben wird; wenn das Laufwerk in der Zwischenzeit gestohlen wird, könnten die Angreifer theoretisch einen Weg finden, den alten Header zu lokalisieren und ihn verwenden, um den Inhalt mit dem kompromittierten Passwort zu entschlüsseln. Siehe cryptsetup FAQ, Abschnitt 5.19 Was ist mit SSDs, Flash- und Hybrid-Laufwerken? und Volle Festplattenverschlüsselung auf einer SSD.
TRIM kann deaktiviert bleiben, wenn die oben genannten Sicherheitsprobleme als schlimmere Bedrohung angesehen werden als der obige Punkt.
Siehe auch Sicheres Löschen des Datenträgers#Flash-Speicher.
Das Gerät wird mit dm-crypt plain mode verschlüsselt, oder der LUKS-Header wird separat gespeichert:
Wenn plausible Bestreitbarkeit erforderlich ist, sollte TRIM aufgrund der Überlegungen oben in diesem Abschnitt niemals verwendet werden, da sonst die Verwendung der Verschlüsselung verraten wird.
Wenn eine plausible Bestreitbarkeit nicht erforderlich ist, kann TRIM wegen seiner Leistungsvorteile verwendet werden, vorausgesetzt, die oben in diesem Abschnitt beschriebenen Sicherheitsgefahren sind nicht von Belang.

Übersetzt mit www.DeepL.com/Translator (kostenlose Version)

1 Like

Alles in allem, richtig, die Sicherheit wird u. U. komprimitiert, allerdings sind die Bedingungen extremst unwahrscheinlich. :wink:
Ich würde deswegen nicht auf die Vorteile von TRIM verzichten wollen.

Der Angreifer kennt also ein altes Passwort :scream: und der alte Header ist noch nicht überschrieben worden :sleeping:.

“Plausible deniability” gibt es nur im “plain dm-crypt mode”, nicht im “LUKS”-Modus. Dies wird so gut wie keinen unbedarften Nutzer betreffen. (Abgesehen davon ist plausible deniability meiner Meinung nach Kontraproduktiv.)

1 Like

Wow! :smile:
Das scheint hier das erste “Arch” Forum zu sein, wo man nicht mit rtfm bedient wird.
Ich hätte so eine Ausarbeitung nicht erwartet. Respekt!
Das ganze trim für meine ssd scheint jetzt zu funktionieren.

sudo fstrim -v /
[sudo] Passwort für smiee:
/: 203,3 GiB (218239139840 Bytes) getrimmt

In der /etc/default/grub habe ich ":allow-discards rd.luks.options=discard"eingetrage und in der /etc/crypttab “discard” ergänzt. Der Rest war schon so OK!

Den Sicherheits Aspekt verstehe ich, sehe aber das Risko als vertretbar an. Sollte der Lappi mal verloren gehen, wird nicht jeder gleich versuchen, das passwort für die Verschlüsselung der ssd zu suchen.

Lange Rede kurzer Sinn, ich bin stark beeindruckt von dieser Art der Hilfsbereitschaft!

Viele Dank!
Grüße
Smiee

1 Like

Hallo, Smiee, toll dass es funktioniert hat. nur mal zum Thema (gelöst) zum Titel hinzufügen: es gibt ein Knopf der genau dies ermöglicht: eine Antwort als Lösung zu markieren. So kann ein weiteres Leser auch genau bestimmen welche Antwort geholfen hat.

Hier kann man sehen wie das läuft:

Schritt 1: die drei Punkte unter den Eintrag der die korrekte Antwort enthält klicken
sc-210114-000058

Schritt 2: auf den Lösung Knopf klicken
sc-210114-000111

1 Like