起動時にディスク暗号化にopenSSHを使用する方法(OpenSSHとDropbear)

tag-icon tag-icon centos grub2 encryption openssh dropbear
起動時にディスク暗号化にopenSSHを使用する方法(OpenSSHとDropbear)

デフォルト設定:
- OS:CentOS 7(64ビット)
- Grub 2
- ext4を使用した別々のブートパーティション
- 2つのディスクパーティションのluks暗号化(aes-xts-plain64:sha512)、ブート時に両方を渡す必要があるパスワードのロック解除
- 2つのパーティションをロック解除した後、raid1 btrfsファイルシステムに/としてマウントされます

これで、起動時にリモートアクセスを介して2つのパーティションのロックを解除するためのきちんとした戦略を探しています。
Raspberry Pi 2ではDropbearを使ってこれを行いましたが、私が見つけたスレッドのほとんどは、より大きなシステムでもこのオプションを好むようです。より大きなシステムでも、誰も必要なブートローダリソースに気を配りません。

質問:
CentOS 7 Grub2(新規インストール)の理解に基づいて、既にOpenSSHサービスがデフォルトで実行されています。 openSSHとdropbearが同じことをしたら、なぜdropbearをインストールするのですか?
grubに対してopenSSHを設定し、次のコマンドを貼り付けることはできますか?
/lib/cryptsetup/askpass "パスワード:" > /lib/cryptsetup/passfifo
openSSH経由で直接?

答え1

この質問を完了するには。これはCentOSにdropbearをインストールしたものです。

次のスクリプトと説明を使用しました。 https://github.com/dracut-crypt-ssh/dracut-crypt-ssh

次のインストール方法は2.1です。

すべてのコマンドはrootとして実行されます。

  1. 水道水
  2. ヤムアップデート
  3. ヤムepel-リリースインストール
  4. ヤムvimのインストール
  5. ヤムインストールwget
  6. wget -O /etc/yum.repos.d/rbu-dracut-crypt-ssh-epel-7.repohttps://copr.fedorainfracloud.org/coprs/rbu/dracut-crypt-ssh/repo/epel-7/rbu-dracut-crypt-ssh-epel-7.repo
  7. Yum dracut-crypt-sshをインストールしてください。

  8. vim /etc/default/grub -> "GRUB_CMDLINE_LINUX" 行を変更する (エディタで i を押してテキストを変更できます)
    前の行:
    GRUB_CMDLINE_LINUX="crashkernel=auto rd.luks.uuid=luks-e0e5a45d-9773-428f b0b4-79e85395f1e7 rd.luks.uuid=luks-c4d735fb-ce26-43ec-b9fe-2c48acded15c vconsole.font=latarcyrheb-sun16 vconsole.keymap=de rhgb Quiet"= =
    1
    ip =dhcp rd.luks.uuid=luks-e0e5a45d-9773-428f-b0b4-79e85395f1e7 rd.luks.uuid=luks-c4d735fb-ce26-43ec-b9fe-2c48acder1c= de gQu つまり「
    いつも「ESC ->:wq!」コマンドでエディタの変更を保存します。

  9. vim /etc/dracut.conf.d/crypt-ssh.conf -> Authorized_keysのポートと参照の変更(iをもう一度押します) 推奨
    ポート行の選択を解除し、デフォルトのポート222をポート22に変更します。
    # dropbear_port="222" "は"dropbear_port="22""に変更し ます

    /authorized_keys""に変更します。

  10. mkdir /キー

  11. mkdir /keys/dropbear

  12. vim /keys/dropbear/authorized_keys ->公開鍵の追加私の
    場合は、PuTTYgenを実行して鍵ペアを生成し、SSHを介して公開鍵をエディタにコピーしました。

  13. grub2-mkconfig --output /etc/grub2.cfg

  14. dracut--強制
  15. 再起動
  1. 「PuTTY」プログラムを使用してWindows PCのスタートアップシェルにログインします。
    設定:
    a。 IPアドレス:サーバーIPアドレス
    B。ポート:22c
    。接続 - >データ - >自動ログインユーザー名:root
    d。接続-> SSH->認証->認証用秘密鍵ファイル->Dropbear.ppk->開くボタンをクリック

以下が表示されます。

ユーザー名「root」を使用してください。公開鍵 "rsa-key-20160322" -sh-4.2#を使用した認証

  1. console_peek(何らかの理由でパスワードを正常に渡すには、console_authの前にこのコマンドが常に必要です)。
  2. console_auth ->パスワード: - >暗号化されたデバイスのパスワードを入力してEnterを押します。

crypttabには、起動時にロックを解除できないパーティションがたくさん含まれているため、ロック解除は機能しませんでした。

答え2

それでは、dropbearが起動時にリモートアクセスのための正しい唯一の選択肢でしょうか?

CentOSでinitramfsイメージを構築するために使用されるdracutについてさらに調査を行った結果、オプションが表示されました。"--sshkey"モジュールロードオプションと一緒に使用する必要があります。「ssh-クライアント」/etc/dracut.confから。

すでにsshクライアントがあるようで、別にdropbearをインストールする必要はないようです。以前このオプションを試してみた人はいますか?これについての良いチュートリアルを知っている人はいますか?

関連情報