ヘッドレスサーバーの起動中にSSHは暗号化されたLVMを復号化しますか?

ヘッドレスサーバーの起動中にSSHは暗号化されたLVMを復号化しますか?

Ubuntu 10.04と現在10.10をインストールしたときに、ハードドライブに対して「暗号化されたLVM」を有効にするオプションがありました。そのオプションを選択すると、起動中にLVMのパスワードを復号化するためにパスワードを入力するように求められます。

今、Linux(必ずしもUbuntuではない)を実行するヘッドレスサーバーを設定しようとしていますが、サーバーがヘッドレスなので、ブート中に復号化できないか心配です。起動時にSSHを介して暗号化されたLVMのパスワードを入力できますか?では、どのように設定しますか?それとも別の解決策がありますか?繰り返しますが、この問題はUbuntuに限られた問題ではありません。ありがとうございます。

答え1

14.04などの最新バージョンのUbuntuでは、次の組み合わせが見つかりました。@ドラッグそしてこのブログ投稿答えはとても役に立ちます。言い換えれば:

  1. Dropbearのインストール(サーバーへ)

    sudo apt-get install dropbear
    
  2. ルート公開/秘密鍵ログインの権限のコピー(サーバー上)と割り当て

    sudo cp /etc/initramfs-tools/root/.ssh/id_rsa ~/.
    sudo chown user:user ~/id_rsa
    

    変更を覚えてくださいユーザーサーバーのユーザー名。

  3. (クライアント側)サーバーから秘密鍵を取得します。

    scp [email protected]:~/id_rsa ~/.ssh/id_rsa_dropbear
    
  4. (クライアント側) SSH 構成に項目を追加

    Host parkia
        Hostname 192.168.11.111
        User root
        UserKnownHostsFile ~/.ssh/know_hosts.initramfs
        IdentityFile ~/.ssh/id_rsa_dropbear
    

    変更を覚えてくださいパーカあなたが入力したいものは何でもssh my-box

  5. 作成(サーバー上)このファイル存在する/etc/initramfs-tools/hooks/crypt_unlock.sh

  6. ファイルを実行可能にします(サーバー上)。

    sudo chmod +x /etc/initramfs-tools/hooks/crypt_unlock.sh
    
  7. initramfs アップデート

    sudo update-initramfs -u
    
  8. パーティションの復号化後にopensshを使用するには、起動時にdropbearサービスを無効にしてください。

    sudo update-rc.d dropbear disable
    

これで終わりました。試してみてください。これを行う必要がある場合は、上記のリンクされたブログ投稿から静的IPアドレスを使用してサーバーを構成する方法の手順を確認してください。

答え2

BusyBoxとDropbearを使用してこれらの設定を設定する手順については、次のとおりです。このブログ投稿。 Early-sshは私には適しておらず、明らかにもう必要ありません。

以下に何をすべきかをまとめました。詳しくは上記の投稿をご覧ください。

  1. コンピュータにBusyBoxとDropbearをインストールしてください。仕える人

    sudo apt-get install dropbear busybox
    
  2. initramfsを更新してください仕える人

    sudo update-initramfs -u
    
  3. dropbearで生成された秘密鍵をクライアントコンピュータにコピーします。これを行うには、新しいディレクトリにコピーして所有権を変更する必要があります。あなたの仕える人以下を行います。

    sudo cp /etc/initramfs-tools/root/.ssh/id_rsa ~/.
    sudo chown user:user ~/id_rsa
    

    userをあなたのユーザー名に置き換えることを忘れないでください。パスワードログインが機能していないようです。

  4. これで、コンピュータで次のコマンドを呼び出してscpを使用して秘密鍵を転送できます。顧客:

    scp [email protected]:~/id_rsa ~/.ssh/id_rsa_dropbear
    
  5. 設定してください顧客~/.ssh/config簡単なログイン用のファイルです。テキストエディタで開き、次の内容を追加します。

    Host myremoteserver
        HostName my.remote.server
        User root
        UserKnownHostsFile ~/.ssh/known_hosts.initramfs
        IdentityFile ~/.ssh/id_rsa_dropbear
    

    Hostを必要に応じて変更し、HostNameをサーバー名に変更します。ユーザーをrootにします。 Dropbearで唯一許可されているユーザーのようです。ファイルを保存して閉じます。

  6. 再起動してください仕える人パスワードプロンプトを待ちます。 Dropbearがインターネット接続を検出して設定するのに数秒かかります。コンピュータで次のコマンドを使用してサーバーに接続します。顧客:

    ssh myremoteserver # or any name you chose
  1. ログインしたら、コンピュータで次のコマンドを実行します。仕える人。詳しくは、ブログ投稿をご覧ください。

    pid=`ps | grep "/scripts/local-top/cryptroot" | cut -d " " -f 3`
    kill -9 $pid
    sleep 35
    /scripts/local-top/cryptroot
    pid=`ps | grep "/bin/sh" | cut -d " " -f 3`
    kill -9 $pid;
    

    パスワードの入力には30秒かかります。メッセージが表示されたら入力してください。

  2. 次のように入力して接続を閉じます。

    exit
    
  3. サーバーの暗号化されたハードドライブがロック解除され、正常に起動します。

(このブログ投稿のオリジナル作者に感謝します!)

答え3

私の考えでは初期SSHあなたが探しているものを提供します:

Early-ssh is a simple initramfs hook, which installs Dropbear SSH server into  
your initramfs, and starts it at boottime, so you will be able to do a lot of  
things remotely over SSH, before your root partition gets mounted, for example:

* unlocking LUKS encrypted crypto devices - 
  even your root can be an encrypted filesystem
* assembling/altering RAID arrays (mdadm)
* checking the root filesystem in read-write mode, 
  taking action in case of errors
* and so on...

すでに利用可能な.debパッケージがあるので、Ubuntuに満足することもできます。

答え4

始めたい場合無人リモートに加えて、次の点も見てください。マンドス(私と他の人が書いたもの):

Mandosは、暗号化されたルートファイルシステムを持つサーバーを無人および/またはリモートで再起動できるシステムです。バラよりマニュアルページについてFAQのリストを含む詳細については、ファイルを参照してください。

つまり、安全な方法でネットワーク経由でパスワードを取得するには、サーバーを起動します。詳細については、追加情報ファイルを参照してください。

関連情報