Ubuntu 10.04と現在10.10をインストールしたときに、ハードドライブに対して「暗号化されたLVM」を有効にするオプションがありました。そのオプションを選択すると、起動中にLVMのパスワードを復号化するためにパスワードを入力するように求められます。
今、Linux(必ずしもUbuntuではない)を実行するヘッドレスサーバーを設定しようとしていますが、サーバーがヘッドレスなので、ブート中に復号化できないか心配です。起動時にSSHを介して暗号化されたLVMのパスワードを入力できますか?では、どのように設定しますか?それとも別の解決策がありますか?繰り返しますが、この問題はUbuntuに限られた問題ではありません。ありがとうございます。
答え1
14.04などの最新バージョンのUbuntuでは、次の組み合わせが見つかりました。@ドラッグそしてこのブログ投稿答えはとても役に立ちます。言い換えれば:
Dropbearのインストール(サーバーへ)
sudo apt-get install dropbear
ルート公開/秘密鍵ログインの権限のコピー(サーバー上)と割り当て
sudo cp /etc/initramfs-tools/root/.ssh/id_rsa ~/. sudo chown user:user ~/id_rsa
変更を覚えてくださいユーザーサーバーのユーザー名。
(クライアント側)サーバーから秘密鍵を取得します。
scp [email protected]:~/id_rsa ~/.ssh/id_rsa_dropbear
(クライアント側) SSH 構成に項目を追加
Host parkia Hostname 192.168.11.111 User root UserKnownHostsFile ~/.ssh/know_hosts.initramfs IdentityFile ~/.ssh/id_rsa_dropbear
変更を覚えてくださいパーカあなたが入力したいものは何でも
ssh my-box
。作成(サーバー上)このファイル存在する
/etc/initramfs-tools/hooks/crypt_unlock.sh
ファイルを実行可能にします(サーバー上)。
sudo chmod +x /etc/initramfs-tools/hooks/crypt_unlock.sh
initramfs アップデート
sudo update-initramfs -u
パーティションの復号化後にopensshを使用するには、起動時にdropbearサービスを無効にしてください。
sudo update-rc.d dropbear disable
これで終わりました。試してみてください。これを行う必要がある場合は、上記のリンクされたブログ投稿から静的IPアドレスを使用してサーバーを構成する方法の手順を確認してください。
答え2
BusyBoxとDropbearを使用してこれらの設定を設定する手順については、次のとおりです。このブログ投稿。 Early-sshは私には適しておらず、明らかにもう必要ありません。
以下に何をすべきかをまとめました。詳しくは上記の投稿をご覧ください。
コンピュータにBusyBoxとDropbearをインストールしてください。仕える人
sudo apt-get install dropbear busybox
initramfsを更新してください仕える人
sudo update-initramfs -u
dropbearで生成された秘密鍵をクライアントコンピュータにコピーします。これを行うには、新しいディレクトリにコピーして所有権を変更する必要があります。あなたの仕える人以下を行います。
sudo cp /etc/initramfs-tools/root/.ssh/id_rsa ~/. sudo chown user:user ~/id_rsa
userをあなたのユーザー名に置き換えることを忘れないでください。パスワードログインが機能していないようです。
これで、コンピュータで次のコマンドを呼び出してscpを使用して秘密鍵を転送できます。顧客:
scp [email protected]:~/id_rsa ~/.ssh/id_rsa_dropbear
設定してください顧客
~/.ssh/config
簡単なログイン用のファイルです。テキストエディタで開き、次の内容を追加します。Host myremoteserver HostName my.remote.server User root UserKnownHostsFile ~/.ssh/known_hosts.initramfs IdentityFile ~/.ssh/id_rsa_dropbear
Hostを必要に応じて変更し、HostNameをサーバー名に変更します。ユーザーをrootにします。 Dropbearで唯一許可されているユーザーのようです。ファイルを保存して閉じます。
再起動してください仕える人パスワードプロンプトを待ちます。 Dropbearがインターネット接続を検出して設定するのに数秒かかります。コンピュータで次のコマンドを使用してサーバーに接続します。顧客:
ssh myremoteserver # or any name you chose
ログインしたら、コンピュータで次のコマンドを実行します。仕える人。詳しくは、ブログ投稿をご覧ください。
pid=`ps | grep "/scripts/local-top/cryptroot" | cut -d " " -f 3` kill -9 $pid sleep 35 /scripts/local-top/cryptroot pid=`ps | grep "/bin/sh" | cut -d " " -f 3` kill -9 $pid;
パスワードの入力には30秒かかります。メッセージが表示されたら入力してください。
次のように入力して接続を閉じます。
exit
サーバーの暗号化されたハードドライブがロック解除され、正常に起動します。
(このブログ投稿のオリジナル作者に感謝します!)
答え3
私の考えでは初期SSHあなたが探しているものを提供します:
Early-ssh is a simple initramfs hook, which installs Dropbear SSH server into
your initramfs, and starts it at boottime, so you will be able to do a lot of
things remotely over SSH, before your root partition gets mounted, for example:
* unlocking LUKS encrypted crypto devices -
even your root can be an encrypted filesystem
* assembling/altering RAID arrays (mdadm)
* checking the root filesystem in read-write mode,
taking action in case of errors
* and so on...
すでに利用可能な.debパッケージがあるので、Ubuntuに満足することもできます。
答え4
始めたい場合無人リモートに加えて、次の点も見てください。マンドス(私と他の人が書いたもの):
Mandosは、暗号化されたルートファイルシステムを持つサーバーを無人および/またはリモートで再起動できるシステムです。バラよりマニュアルページについてFAQのリストを含む詳細については、ファイルを参照してください。
つまり、安全な方法でネットワーク経由でパスワードを取得するには、サーバーを起動します。詳細については、追加情報ファイルを参照してください。