Как использовать openSSH для шифрования диска во время загрузки (OpenSSH и Dropbear)

Базовая установка:
– Операционная система: CentOS 7 (64 бит)
– Grub 2
– отдельный загрузочный раздел с ext4
– luks encryption (aes-xts-plain64: sha512) на двух дисковых разделах, которые необходимо разблокировать паролем во время загрузки
– после разблокировки оба раздела монтируются в / в файловой системе raid1 btrfs

Сейчас я ищу чистую стратегию получения удаленного доступа во время загрузки, чтобы разблокировать оба раздела.
На Raspberry Pi 2 я уже использую Dropbear, чтобы сделать это, и большинство потоков, которые я нашел, по-видимому, являются фаворитом этой опции для больших систем. Несмотря на то, что в больших системах никто не заботится о необходимых загрузчиках.

Вопрос:
Из моего понимания на CentOS 7 Grub2 (чистая установка) у меня уже есть служба OpenSSH, работающая по умолчанию. Почему мне нужно установить dropbear, а если openSSH и dropbear выполняют ту же работу?
Не следует ли настраивать openSSH для grub и просто вставлять команду:
/ lib / cryptsetup / askpass "passphrase:"> / lib / cryptsetup / passfifo
прямо над openSSH?

  • SSH «спать» в течение долгого времени, прежде чем подключиться?
  • Совместимы ли ключи от Dropbear и OpenSSH?
  • Отказ "/ opt /" доступа для пользователей SFTP, отличных от определенного каталога
  • authorized_keys для нескольких chrooted пользователей с тем же домашним каталогом
  • Ограничение пользователя SSH / SCP / SFTP в каталоге
  • Сделать sshd переопределить оболочку входа в группу пользователей
  • openSuse, новый пользователь не может войти
  • ssh, запустить определенную оболочку и запустить команду на удаленном компьютере?
  • 2 Solutions collect form web for “Как использовать openSSH для шифрования диска во время загрузки (OpenSSH и Dropbear)”

    Итак, dropbear действительно нравится правильный и единственный выбор для удаленного доступа во время загрузки?

    Я сделал несколько дополнительных исследований по dracut, который используется для создания образа initramfs в CentOS, и он показывает вариант «–sshkey», который необходимо объединить с опцией загрузки ssh-client в файле /etc/dracut.conf.

    Мне снова кажется, что на месте уже есть ssh-клиент, и мне не нужно дополнительно устанавливать dropbear. Кто-нибудь пробовал этот вариант раньше? Кто-нибудь знает хороший учебник для этого?

    Чтобы завершить эту тему. Вот моя установка dropbear на CentOS.

    Я использовал следующие сценарии и описание: https://github.com/dracut-crypt-ssh/dracut-crypt-ssh

    После установки 2.1.

    Все команды выполняются как root.

    1. sudo su
    2. Обновление yum
    3. yum install epel-release
    4. yum install vim
    5. yum install wget
    6. wget -O /etc/yum.repos.d/rbu-dracut-crypt-ssh-epel-7.repo https://copr.fedorainfracloud.org/coprs/rbu/dracut-crypt-ssh/repo/epel-7 /rbu-dracut-crypt-ssh-epel-7.repo
    7. yum install dracut-crypt-ssh
    8. vim / etc / default / grub -> Изменение строки «GRUB_CMDLINE_LINUX» (нажатие i в редакторе. Текст можно изменить)
      Старая линия:
      GRUB_CMDLINE_LINUX = "crashkernel = auto rd.luks.uuid = luks-e0e5a45d-9773-428f-b0b4-79e85395f1e7 rd.luks.uuid = luks-c4d735fb-ce26-43ec-b9fe-2c48acded15c vconsole.font = latarcyrheb-sun16 vconsole.keymap = de rhgb quiet "
      Новая линия:
      GRUB_CMDLINE_LINUX = "crashkernel = auto rd.neednet = 1 ip = dhcp rd.luks.uuid = luks-e0e5a45d-9773-428f-b0b4-79e85395f1e7 rd.luks.uuid = luks-c4d735fb-ce26-43ec-b9fe-2c48acded15c vconsole. font = latarcyrheb-sun16 vconsole.keymap = de rhgb quiet "
      Всегда сохраняя изменения командой «ESC ->: wq!» в редакторе.

    9. vim /etc/dracut.conf.d/crypt-ssh.conf -> Изменение порта и ссылка на authorized_keys (снова нажмите i)
      а. Неподдайтесь порту порта и измените с порта 222 по умолчанию на порт 22:
      "# dropbear_port =" 222 "" to "dropbear_port =" 22 ""
      б. Uncomment authorized_keys и измените путь:
      "# dropbear_acl =" / root / .ssh / authorized_keys "" в "dropbear_acl =" / keys / dropbear / authorized_keys ""

    10. mkdir / ключи

    11. mkdir / keys / dropbear
    12. vim / keys / dropbear / authorized_keys -> Добавление открытого ключа
      В моем случае я создал пару ключей, запустив PuTTYgen и скопировав открытый ключ через ssh в редактор.

    13. grub2-mkconfig –output /etc/grub2.cfg

    14. dracut –force
    15. перезагружать

    1. Вход в оболочку загрузки на ПК с программой «PuTTY».
      Настройки:
      а. IP-адрес: IP-адрес сервера
      б. Порт: 22
      с. Connection-> Data-> Автоматическое имя пользователя: root
      д. Connection-> SSH-> Auth-> Файл секретного ключа для аутентификации-> Dropbear.ppk -> Кнопка «Хит-открытие»

    Должен показать что-то вроде:

    Использование имени пользователя «root». Аутентификация с помощью открытого ключа «rsa-key-20160322» -sh-4.2 #

    1. console_peek (по какой-то причине эта команда всегда необходима перед console_auth, чтобы иметь успешную переадресацию passwort).
    2. console_auth -> Парольная фраза: -> Введите пароль зашифрованного устройства и нажмите enter

    Разблокировать не полезно в моем случае, потому что crypttab содержит много разделов, которые нельзя разблокировать во время загрузки.

    Interesting Posts

    Предотвратить диалоговое окно файла Gtk из списка точек монтирования

    Как скрипт может выполнять привилегированные команды на удаленной системе без паролей sudo или ssh?

    Невозможно использовать su или sudo в Arch Linux

    Linux говорит по-английски, hpux italian, почему?

    Корица случайно теряет тематику

    Как определить, когда оболочка принадлежит удаленному сеансу SSH?

    Карта DNS-запросов, поступающих с определенного клиентского MAC с помощью dnsmasq

    Изменение с помощью команды iptables не отражается в выводе команды netstat

    Как обойти проблему «Истек срок действия файла» на локальном зеркале

    История версий GNU Sed (журнал изменений) – как вы можете определить, какая функция была введена в какой версии?

    Установка docker зависает при настройке докер-двигателя на ubuntu xenial

    подсветка синтаксиса в vim над ssh

    Как обрабатывать цикл while-do и сортировать результат с итерацией

    mutt отзывчивый способ обновления входящих сообщений

    Удалите опцию «ipv6only» из модуля Puppet nginx

    Linux и Unix - лучшая ОС в мире.