Debian 13 - Passwort für LVM-Vollverschlüsselung ändern

[DHC]

Letztens habe ich Paperless-ngx (Docker) unter Debian 13-Core (Ohne GUI) nach Anleitung installiert.
Die Installation habe ich erst unter VMware gemacht und dann auf die Synology umgezogen.
Eine direkte Installation (Synology) auf den SSDs (Per Skript als RAID-Volume eingebunden) funktioniert nicht, weil das RAID degradiert wird. Das soll aber auch nicht das Thema sein. Wollte das nur mal erwähnen.

Mein Problem ist, dass ich für die LVM-Vollverschlüsselung ein 63 Zeichen kryptischer Schlüssel verwendet habe.
Unter VMware war das kein Problem. Da konnte ich den Key einfach per Copy & Paste eingeben.
Bei Synology scheint das nicht zu gehen, zumindest habe ich nichts dazu gefunden.
Jetzt wollte ich den Key ändern.

Ich bin da fündig geworden, wie man das machen kann.
Aber es funktioniert nicht. Vermutlich, weil das BS noch nicht hochgefahren ist.
Aber auch wenn das OS hochgefahren ist funktioniert das nicht.
Wenn ich im Terminal (SSH) die Befehle "sudo cryptsetup", etc. eingebe, heißt es immer, dass der Befehl nicht bekannt/gefunden ist.

Gibt es da eine einfache Möglichkeit das Problem zu lösen?

Auf einer anderen Seite wurde erklärt, wie man einen SSH-Server im Initramfs einrichten kann.
Das klingt erst mal ganz einfach. Ein paar Befehle abtippen ist kein Problem.
Aber dann ist die Rede von einem Key, den man in einem bestimmten Ordner ablegen muss.
Ich habe keine Ahnung, wo der Key herkommt oder wie man die generiert.
Als SSH-Client nutze ich Putty, falls das auch wichtig sein sollte.

Wie muss ich den Key generieren und wie auf dem SSH-Server und -Client einbinden?

Danke schon mal für die Hilfestellungen.

Wenn nicht, dann installiere ich halt alles wieder neu. Ich habe eh noch nicht viel damit angestellt.
Ich bin da noch in der Testphase am herum spielen.

 

[madmax2010]

Gibt es da eine einfache Möglichkeit das Problem zu lösen?

das paket hast du installiert?

 

[DHC]

@madmax2010
Welches Paket?

 

[madmax2010]

Das was nicht gefunden wird.

 

[DHC]

Du meinst cryptsetup?
Ich dachte das ist schon mit installiert worden.
Bei der Installation wurde es auch auch genutzt, um das Laufwerk zu verschlüsseln.

Wenn das separat installiert werden MUSS. Nein. Das habe ich nicht.
Aber das löst denke ich auch nicht das Problem.
In den Anleitungen ist meist ein "sudo" davor, wie z. b:

sudo apt update && sudo apt install cryptsetup lvm2

Auch "sudo" alleine führt zur selben Meldung.

 

[madmax2010]

Sudo ist um mehr / andere Rechte zu nutzen, als der gerade eingeloggte Nutzer.
Du musst einen Nutzer nehmen der die passenden Rechte hat.

 

[DHC]

Ja. Das ist schon klar soweit.

Aber der Befehl sudo wird trotzdem nicht ausgeführt, weil er nicht bekannt oder gefunden wird.

Zum ersten Teil meiner Anfrage.
Da muss ich erst das Paket installieren, damit ich das "cryptsetup" durchführen kann.
Ich hoffe, ich habe das so richtig verstanden.

Wie sieht es mit dem zweiten Anliegen aus?
Wegen dem Key für den SSH-Server im Initramfs.
Ich muss mal die Seite suchen, wo ich das gefunden habe. Hier der Link dazu.
Ich weiß nicht, wie ich den Key einbinden muss.
Wenn das funktioniert, kann ich auch damit leben.

 

[madmax2010]

Wenn ein Programm nicht gefunden wird, musst du es installieren. Korrekt.
Das gilt auch für sudo

Ich weiß nicht, wie ich den Key einbinden muss.
Wenn das funktioniert, kann ich auch damit leben.

Exakt so wie es bei 'ssh Schlüssel hinterlegen ' beschrieben ist. Ist ein brauchbarer weg

 

[DHC]

wie es bei 'ssh Schlüssel hinterlegen ' beschrieben

Du hälst mich sicher für saublöd.
Aber ich kapiere es nicht.

die Datei /etc/dropbear/initramfs/authorized_keys kopieren.

Ist "authorized_keys" eine Datei? Ein Ordner? Edit: OK. Wer lesen kann ist klar im Vorteil. DATEI.
Wie muss der Key aussehen?
Kann man da selbst einfach irgendwas rein schreiben?
Oder muss das Ganze irgendwelchen Regeln folgen oder ein bestimmtes Format oder was auch immer sein?

Sorry ich blick das echt nicht.

 

[madmax2010]

Es ist eine Datei, die musst du mit einem Editor öffnen.

Du hälst mich sicher für saublöd.
Aber ich kapiere es nicht.

Ne, auf keinen Fall.
Du probierst viel aus, kommst aber über ein bestimmtes Level an Fragen nicht hinaus.
Darum versuchte ich dich ganz spezifisch formulieren zu lassen was nicht klappt und wo es scheitert damit du mit minimalen hinweisen etwas tiefer rein kommst
Das ist nicht wirklich intuitiv und die Formulierung in der Anleitung ist nicht ideal

So sieht das dann aus
https://encrypted-tbn0.gstatic.com/...tRwwix9LDbDUEzxKxbfkheBEOZfP5mdY8i0H7Jfg&s=10

 

[kieleich]

Jetzt wollte ich den Key ändern.

cryptsetup luksChangeKey

aber änderst du den schlüssel falsch. kann man sich dabei aussperren. das kann auch passieren wenn bei der änderung, etwas schief geht z B durch fehlerhaften ram oder stromausfall im falsche moment

luks unterstütz viele key slot die kaum einer braucht daher kann man praktisch immer. einen neuen key machen. und erst, wenn der getestet geprüft gestempelt und geprobt, den alten key entfernen

Aber dann ist die Rede von einem Key, den man in einem bestimmten Ordner ablegen muss.
Ich habe keine Ahnung, wo der Key herkommt oder wie man die generiert.

auch hier cryptsetup luksAddKey

wie du das key file anlegst. einfach ein geheimnis in ein textdatei schreiben. oder urandom. oder oder oder. deine sache

das mit initramfs ssh ist aber auch oft so ne krücke

ich bin ne lange weile aus Debian raus aber sudo ist ja so ein Ubuntu ding oder nicht? hat die kiste ein root passwort oder funktioniert das mit was anderem? kannst du dich als root einloggen. sonst musst eins über rescue chroot setzen

 

[DHC]

Das ist nicht wirklich intuitiv und die Formulierung in der Anleitung ist nicht ideal

Egal wo ich nach Lösungen suche. Je mehr ich lese, umso mehr werde ich von den Informationen erschlagen und auch verwirrt.
Ich weiß nicht, wie viele Seite ich in der Zwischenzeit durchgelesen habe.
Wenn der Public key für Dropbear nur in offener lesbarer Art und Weise vorhanden ist, ist ja auch nicht so der Knaller.
Da würde ich mir schon wünschen, dass der in irgendeiner hieroglyphischen Weise vorliegen würde, damit niemand etwas damit anfangen kann.
Aber wo ist eigentlich der privat key?
Ist das nicht Standard bei asymmetrischen (Ver)Schlüssel(n)?

sudo ist ja so ein Ubuntu

sudo gibt es schon seit über 40 Jahren. Da gab es noch kein Ubuntu.
Bei den Ur-OS weit vor Linux.

Ergänzung (2. Dezember 2025)

auch hier cryptsetup luksAddKey

Das ist mir bekannt.
Das habe ich alles gefunden.

Bei Problem ist, dass Befehle nicht gefunden werden.

Ich werde erst mal schauen, dass ich das Paket cryptsetup installiert bekomme.
Dann kann ich einen neuen Key anlegen und testen.
Den hieroglyphischen Key kann ich ja trotzdem erst mal behalten. Da kommt eh niemand drauf.

Ergänzung (2. Dezember 2025)

hat die kiste ein root passwort

ja habe ich.

Ich kann mich mit SU als root einlogen.

 

[kieleich]

schon klar aber ubuntu verwendet es eben exzessive andere nicht unbedingt

dann noch core, minimal oder sonst was

https://wiki.debian.org/sudo

Lot of Debian administrators do not install sudo.

Using sudo could be more familiar to newer users coming from other distributions.

dass der in irgendeiner hieroglyphischen Weise vorliegen würde

Aber wo ist eigentlich der privat key?

da machst ein eigenen key für, damit hast du doch genau das. hieroglyphen weils einfach komplett random ist der key

 

[DHC]

mit su als root und ohne das sudo geht es.
aber es scheint schon installiert zu sein.

apt install cryptsetup                        
cryptsetup ist schon die neueste Version (2:2.7.5-2).
Zusammenfassung:
  Aktualisiere: 0, Installiere: 0, Entferne: 0, Aktualisiere nicht: 0

Dann gehe ich mal die Anleitung zum ändern des Key durch ohne "sudo".
Mal schauen, ob es dann geht.

Aber warum muss bei Linux alles so anders sein?
Jede Distribution ist anders. Befehle anders.
Das ist alles sehr verwirrend.

Das was ich jetzt mache funktioniert evtl. bei anderen Distros wieder nicht.

Ich hatte vor sehr vielen Jahren mit Gentoo (Sabayon) herumhantiert.
Es ist jedes mal eine neue Herausforderung.

 

[JumpingCat]

Mein Problem ist, dass ich für die LVM-Vollverschlüsselung ein 63 Zeichen kryptischer Schlüssel verwendet habe.

Was hast du jetzt wie verschlüsselt?

Bei Synology scheint das nicht zu gehen, zumindest habe ich nichts dazu gefunden.

Synology ist kein Standardlinux. Das siehst du spätestens wenn du dich per SSH einloggst und du als Banner bekommst:

Warning: Data should only be stored in shared folders. Data stored elsewhere
may be deleted when the system is updated/restarted.

Letztens habe ich Paperless-ngx (Docker) unter Debian 13-Core (Ohne GUI) nach Anleitung installiert.
Die Installation habe ich erst unter VMware gemacht und dann auf die Synology umgezogen.

Bist du jetzt auf einer VM mit Debian unterwegs oder auf Synology?

 

[DHC]

Was hast du jetzt wie verschlüsselt?

Boot.
Erst Schlüssel eingeben, dann fährt das System erst hoch.

Synology ist kein Standardlinux

Bei mir läuft VMM.
Da läuft schon Home Assistant drauf in einer VM auch als Core-Version.
Paperless ist eine weitere VM mit Debian 13 Core und Docker, nach Anleitung installiert.
Es funktioniert ja alles.
Ich habe mich halt selbst verarscht mit dem ellenlangen Schlüssel der LVM-Vollverschlüsselung beim Boot.

Bist du jetzt auf einer VM mit Debian unterwegs oder auf Synology?

Aktuell auf VMware zum einrichten.
Später, wenn alles funktioniert ziehe ich das auf das NAS um.

 

[kieleich]

aller anfang ist schwer und ich habs die ersten zwei, drei mal auch aufgegebe und bin zurück zu windows

aber man muss halt den zugang dazu finden und mitdenken. und wenn was nicht klappt auch mal blank ziehen und alles zeigen was man gerade vermurkst so im terminal. weniger gelaber und mehr nackte tatsächen direkte ausgaben hilft auch schon oft weiter

wenn man an einem sudo command not found hängt, vielleicht auch nochmal überlegen ob es so kompliziert sein muss oder eine standardlösung nicht doch erstma reicht

 

[DHC]

Das Paket cryptsetup ist installiert.

Wenn ich aber den z. B. Befehl "cryptsetup luksDump /dev/sdX | grep -i key" eingebe, dann kommt das übliche, wie immer in letzter Zeit.

root@paperless:/home/paperless# cryptsetup luksDump /dev/sda | grep -i key
bash: cryptsetup: Kommando nicht gefunden.

 

[JumpingCat]

Wenn ich aber den z. B. Befehl "cryptsetup luksDump /dev/sdX | grep -i key" eingebe, dann kommt das übliche, wie immer in letzter Zeit.

Bevor du das machen kannst, musst du dich 1. einloggen und dann 2. root werden. Gerade bei 2 Lauern bei einigen bestimmten Distributionen einige Fallstricke.

Also wie machst du 2. ?

 

[DHC]

@JumpingCat
Ich verstehe gerade nicht, was du meinst.
Bin ich nicht root?

Steht doch ganz am anfang.

Z. B.:

root@paperless:/home/paperless# lsblk
NAME                       MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINTS
sda                          8:0    0   40G  0 disk
├─sda1                       8:1    0  976M  0 part  /boot
├─sda2                       8:2    0    1K  0 part
└─sda5                       8:5    0   39G  0 part
  └─sda5_crypt             254:0    0   39G  0 crypt
    ├─paperless--vg-root   254:1    0   37G  0 lvm   /
    └─paperless--vg-swap_1 254:2    0    2G  0 lvm   [SWAP]
sr0                         11:0    1  784M  0 rom

root@paperless:/home/paperless# cryptsetup luksDump /dev/sda5
bash: cryptsetup: Kommando nicht gefunden.