SSHを介してLUKSをロック解除するための起動プロセスの最初にポートを開く方法

SSHを介してLUKSをロック解除するための起動プロセスの最初にポートを開く方法

Debian 7を実行している完全に暗号化されたサーバーがあり、SSHを介してLUKSコンテナをロック解除するようにdropbearとbusyboxを設定しました(説明どおり)。このチュートリアルではそしてこのU&L回答)。

残念ながら、再起動時にLAN経由でサーバーにSSHを試みるたびに「接続が拒否されました」というエラーが発生します。telnetデフォルトポート(22)を試しましたが、nmap両方ともポートが閉じていると言います。

サーバーには、ufwLAN上のすべてのトラフィックを許可するルールがあります。

Anywhere         ALLOW       192.168.1.0/24

dropbearがリッスンしているポートを変更しようとしましたが、/etc/defaults/dropbearまだssh接続telnetが拒否されました

LUKSコンテナのロックを解除するために接続できるように、ブートプロセスのこの段階でポートが開いていることを確認するにはどうすればよいですか?

ファイアウォールを無効にしても違いはありません。nmapすべてのポートがまだ閉じているとマークされます。

2/14 更新

break=premountカーネルラインに追加し、initramfsで調査しました。dropbear起動しましたが、ネットワークは正常です。いいえその時点で。シャットダウン後、ネットワークが起動し、LUKS デバイスのロック解除メッセージが表示されるまでブートし続けます。

この時、ネットワークははい動作している場合は、ホストに正しいIPアドレスが割り当てられていますが、ポート22はまだ閉じています。

/etc/initramfs-tools/intiramfs.conf私が使用するIPラインは次のとおりです。

export IP=192.168.1.200::192.168.1.1:255.255.255.0::eth0:off

の指示に従って/usr/share/doc/cryptsetup/README.remote.gzデバイスオプションのみを追加しようとしましたが、ネットワークを呼び出してdhcpリースを取得するのに十分ではありませんでした。

2014年10月11日更新

剣の答え必要なのは設定です。設定が/etc/initramfs-tools/conf.d/cryptroot重要です。

target=md1_crypt,source=UUID=8570d12k-ccha-4985-s09f-e43dhed9fa2a

このガイドまた、より最新で関連性の高い(そして成功した)ことが証明されています。

答え1

私は数週間前(Debian Wheezy 7.6)と同じ問題に遭遇し、数日間問題を解決した後に設定ファイルが見つからず、init-topのcryptrootスクリプトが正しく実行されないことがわかりました。 SSHパスワードによる要求を中断しないで、シーケンスの終わり(init-bottom)でdropbearを終了してください。

構成ファイルが呼び出され、cryptroot次の場所になければなりません。/etc/initramfs-tools/conf.d/ 覚えておくと、設定ファイルはインストール中に自動的に生成される必要があります(設定ファイルについて説明したチュートリアルを1つだけ読みました)、どういうわけかそうではありません(実際の環境で実行)。サーバーとテスト済み)仮想マシン、同じオペレーティングシステムとバージョン)

当時は正しい構文が見つからなかったので、正しく設定するために何度も試みる必要がありました。私のcryptroot設定ファイルは次のとおりです。

target=crypt-root,source=/dev/vg0/root,lvm=root

構成ファイルを作成したら、initramfsを更新してもう一度やり直してください。

update-initramfs -u

答え2

dropbear(sshサーバー)は、ブートフェーズの初期に開始する必要があります。init(rcN.d)シーケンスとファイアウォール初期化スクリプトがインストールされる前であっても、/がインストールされる前です(暗号化されていますか?)。したがって、これにはinitramfsカーネル用のブートローダによってロードされた辞書/ユーザー領域が含まれます。画像はdropbear設定に含まれるupdate-initramfs -uコンテンツから(再)作成されました。 dropbear設定を使用するには、この設定を使用してください。/etc/initramfs-tools//etc/initramfs-tools/etc/dropbear/

したがって、確認する必要があるいくつかの点があります。

  • dropbearが起動しませんでした。 initramfs シーケンスに正しく挿入されませんでした。
  • デフォルトのファイアウォールはすべて拒否されます。

答え3

タイトルが間違っています。問題は、ポートが閉じているのではなく、ポートがバインドされていないことです。 SSHdがまだ起動していないため、接続できません。

関連情報