パーティションを暗号化するとSSHがクラッシュするのはなぜですか?

パーティションを暗号化するとSSHがクラッシュするのはなぜですか?

私はUbuntuサーバーに敏感なユーザーデータのための暗号化されたパーティションを作成したいと思います。

サーバーにソフトレイドが設定されていますが、それが問題の原因だと思います。

オペレーティングシステムをインストールした後、暗号化するパーティションを確認してみると、紛失物フォルダだけが入っていました。私はそれを削除し、パーティションを正常に暗号化しました。

両方のインストールでSSHを試してみるまで、すべてが大丈夫でした(ディスクを使用しないように回復モードで暗号化する必要がありました)。

接続拒否エラーが引き続き発生します。

回復モードで再接続し、オープンSSHを再インストールしてみることにしました。

Systemctl 基本コマンドは引き続き失敗し、サービスを開始できません。

開いているSSHを数回クリアして再インストールしても機能しません。

暗号化する前は、ボリュームに失われたフォルダのみが含まれており、SSHは正常に機能しました。私は本当に何が起こっているのか分かりません。

すべてのデータを保存できる大容量暗号化パーティションでディスクを設定する方法を教えてください。

(私のサーバーは管理されていないので、OSのインストール中にovhを設定するように要求するのは残念ながら実際にはオプションではありません。)

- - - 更新 - - -

別の方法でもう一度試してみました。残念ながら、結果は同じです。 Luksはlvm in raidでうまく動作します。暗号化のセットアップ中にRAIDアレイを引き続き実行できるように、これを選択しました。暗号化を追加する前、レイドボリュームの内容は「紛失+発見」という内容だけなので、暗号化を続けても安全そうです。システムを再起動するまで、すべてが完璧に見えます。ホストは22日に単に接続を拒否しました。

————— 問題を発生させるためにとったステップ———————

1.  Set up Ubuntu 22.04 server with two volumes, both using software raid
2.  Create a Physical Volume with LVM on the RAID: then turn RAID array into a physical volume (PV) that LVM can use:

sudo pvcreate /dev/md3

3.  Create a Volume Group (VG) on the PV: Next, create a volume group:

sudo vgcreate myvg /dev/md3

4.  Create a Logical Volume (LV) on the VG: can then create a logical volume on the VG:

sudo lvcreate -l 100%無料 -n mylv myvg

5.  Encrypt the LV with LUKS: can now encrypt the logical volume:

sudo cryptsetup luksFormat /dev/myvg/mylv

6.  Open the LUKS device: After setting up the encrypted LV, open it:

sudo cryptsetup open --type luks /dev/myvg/mylv cryptlv

7.  Create a filesystem: Finally, create a filesystem on the mapped LUKS device:

sudo mkfs.ext4 /dev/mapper/cryptlv

8.  Reboot server and attempt SSH connection.

答え1

最初の襲撃を認め、適切に対処する必要があります。

正しいインストールを行うには、RAID 1を含む40 GBのフォイルシステムに3つのドライブにミラーリングしてインストールする必要があります。

その後、残りのスペースをすべて使用して、異なるディスクに2つの新しいパーティションを設定する必要がありました。

他の人の指示が役に立ったと思ってここに書いてください。

もちろん、Ubuntuマシンの残りのスペースに新しいRAID 1パーティションを作成するには、次の手順に従います。デバイス名(/dev/sdx/dev/sdy)を設定の実際のデバイス名に変更します。

  1. 利用可能なスペースの確認lsblkまたはfdisk -lコマンドを使用してドライブの空き容量を確認します。

  2. ドライブ分割:残りのスペースがあるドライブにパーティションを使用または作成しますfdiskgdisk

    sudo fdisk /dev/sdx
    

    fdiskインターフェースから:

    • n新規パーティションの作成をクリックします。
    • pデフォルトのパーティションを選択するにはタップします。
    • パーティション番号と開始セクタのデフォルト値を受け入れます。
    • 残りのスペースを利用するには、終了セクタを指定してください。
    • w変更を記録して終了するにはタップします。

    2番目のドライブ()に対してこの手順を繰り返します/dev/sdy

  3. インストールするmdadmmdadmLinux上でソフトウェアRAID(MD)デバイスを管理するためのツールをまだインストールしていない場合は、インストールします。

    sudo apt-get update
    sudo apt-get install mdadm
    
  4. RAID 1アレイの作成XとをY手順2で作成したパーティション番号に置き換えます。

    sudo mdadm --create --verbose /dev/md0 --level=1 --raid-devices=2 /dev/sdxX /dev/sdyY
    

RAIDアレイ暗号化は、Linuxオンディスク統合キーセット形式(LUKS)を使用して実行できます。 LUKSは、この目標を達成するのに役立つディスク暗号化仕様です。

cryptsetupまず、ユーティリティがインストールされていることを確認する必要があります。それ以外の場合は、次のコマンドを実行してインストールできます。

sudo apt-get update
sudo apt-get install cryptsetup

次のステップは、LUKSを使用してRAIDアレイをフォーマットすることです。cryptsetup luksFormatこれにはコマンドを使用します。これにより、RAIDアレイのすべてのデータが消去されます。

sudo cryptsetup luksFormat /dev/md1

パスワードの入力を求められます。 RAIDアレイのデータにアクセスするために必要なので、このパスワードを忘れないでください。

RAIDアレイをフォーマットした後、LUKSパーティションを開く必要があります。

sudo cryptsetup luksOpen /dev/md1 md1_crypt

luksFormatこの手順で設定したパスワードを入力するように求められます。

LUKSパーティションが開いたら、必要なファイルシステム(ext4など)にフォーマットできます。

sudo mkfs.ext4 /dev/mapper/md1_crypt

これでファイルシステムをマウントできます。

mkdir /mnt/secure_raid
mount /dev/mapper/md1_crypt /mnt/secure_raid

書き込まれたすべてのデータは/mnt/secure_raid暗号化されたRAIDアレイに保存されます。

システムの再始動後、LUKS 区画は自動的にオープンまたはマウントされません。 LUKSパーティションを手動で開き、マウントする必要がcryptsetup luksOpenあります。起動時にLUKSパーティションを自動的に開いてマウントするには、そのパーティションをファイルに追加する必要が/etc/crypttabあり/etc/fstabます。

関連情報