VNC-PopUp: Passworteingabe nicht mehr möglich nach reboot - Cannot enter password after reboot

    Hallo,

    seit vielen Jahren läuft mein handgestrickter Debian server auf netcup.

    Die Passworteingabe zur Festplattenentschlüsselung ist mW nur über die VNC-Konsole möglich. Das war nach jedem Upgrade/Reboot etwas hakelig, ich hab's aber immer geschafft.

    Jetzt geht es nicht mehr.


    Immer die gleiche Fehlermeldung:

    Code
    No key available with this passphrase.
cryptsetup: ERRROR: sda5_crypt: cryptsetup failed, bad password or options?

    (Der Server ist wohl mehrere Monate ohne Upgrade/Reboot gelaufen, ein Kernelupgrade machte einen Reboot erforderlich)


    Was ich in den letzten Stunden versucht habe:


    - Von Hand eingeben

    - getestet ob das Passwort in Klartext richtig eingegeben wird

    - alternative Automation (xdotool statt keepassxc)

    - verschiedene Keybordlayouts

    - in alle zur Verfügung stehenden Kernel gebootet: 6.1.0-33-amd64, 6.1.0-31-amd64, 6.1.0-28-amd64

    - nach initramfs oder rescueCD booten und versuchen die Festplatte mit cryptsetup zu öffnen


    Bevor ich mich damit abgebe dass ich entweder gehackt worden bin oder mein Gehirn nicht mehr funktioniert, habe ich etwas übersehen? Könnte sich entweder bei Netcup oder bei Debian etwas verändert haben?


    Danke im voraus


    _______________________________________________________________________



    Hello,


    My hand-knitted Debian server has been on Netcup for many years.

    AFAIK it is only possible to enter the password for hard disk decryption via the VNC console.

    Had to do that after every Upgrade/Reboot, always a bit sticky but I always succeeded in the end.

    Now it doesn't work anymore.

    (The server ran without upgrade/reboot for several months I guess, a kernel upgrade required a reboot)


    What I have tried in the last few hours:


    - Enter the password manually

    - tested if the password enters correctly in clear text

    - Alternative automation (xdotool instead of Keepassxc)

    - Different keybord layouts

    - booted into all available kernels: 6.1.0-33-AMD64, 6.1.0-31-AMD64, 6.1.0-28-AMD64

    - Booted initramfs or RescueCD and tried to open the hard drive with cryptsetup.


    Before I accept that I was either hacked or my brain no longer works, have I overlooked something? Could anything have changed either at Netcup or Debian?


    TIA

    Quote from webdesignheld

    Copy paste funktioniert auch nicht nehm ich an?

    Funktioniert nicht wie: kann nicht eingeben werden oder wird nicht als korrekt erkannt nach Eingabe?

    Nein. Ich hab sogar versucht es händisch einzutippen, mehrmals.

    Danke aber für den Hinweis, ich habe jetzt die tatsächliche Fehlermeldung in meinen OP reineditiert.


    Quote from ASS

    Ich würde eine Rawkopie der Partition downloaden und Zuhause ggf mit verschiedenen Kernel und Luksversionen rumtesten.

    Ich habe versch. Linuxversionen live gebooted, nichts hilft, ich sehe auch keine hilfreichen Fehlermeldungen (Netzrecherche hatte da einiges zu bieten) im verbose/debug output - es endet immer bei


    Code
    No key available with this passphrase.
cryptsetup: ERRROR: sda5_crypt: cryptsetup failed, bad password or options?


    und im verbose/debug output scheint das hier entscheidend zu sein:


    Code
    Digest 0 (pbkdf2) verify failed with -1.


    Also als wenn das Passwort einfach nur falsch wäre. Und ich habe lange zurückreichende Backups meiner Passwortdatei, da hat sich nix verändert.


    Bzgl. Debian stable, die Versionen von `cryptsetup` haben sich auch nicht geändert im letzten Jahr, aber `libc6` ist vor kurzem upgedated worden.


    ---


    Ich lade jetzt erstmal die ganze Partition runter.

    Rettungssystem oder dein OS als Live-CD booten.

    Dann kannst Du dein Passwort im Klartext eintippen und checken, das es nicht an der Spracheinstellung liegt.

    Wenn du dann die Platte per cryptsetup entschlüsseln kannst, einfach anschließend einen neuen Keyslot mit einem einfachen Passwort anlegen und dann damit booten.


    Wenn das nicht funktioniert, ist mglw. dein KeySlot defekt.

    Ohne Header Backup kommst du in dem Fall nicht mehr an deine Daten dran.


    Tipp:
    Man sollte bei LUKS immer mindestens 2 Keyslots belegen (z.B. 1 und 6) und ein extern gesichertes Header-Backup haben.

    Danke euch allen. Das meiste war eigentlich schon im OP enthalten. Luks Header werde ich demnächst auf jeden Fall sicherheitskopieren.


    Ich hab jetzt schon neu installiert aber ich sehe in meinen Backups dass da was seltsames gelaufen ist: ein neuer User hat sich kreiert und u.a. in die /etc/ssh/sshd_config eingeschrieben, für tunneling. Die hatten also auf jeden Fall root-Zugriff. Eine Web App namens josh war installiert.


    SSH Passworteinloggen war natürlich ausgeschaltet. Wie die wohl reingekommen sind?


    Und was die davon hätten das Verschlüsselungspasswort zu ändern ist mir schleierhaft.


    Der neue Server wird auf jeden Fall besser geschützt!


    Ich möchte aber noch hinzufügen dass die Kombination VNC-PopUp + automatisierte Passworteingabe (keepassxc) + Firefox oder Chromium auf Linux nicht gut funktioniert bei mir. Das war nicht der Grund meines Problems, hat aber zusätzliche Verwirrung bereitet.