Как использовать openSSH для шифрования диска во время загрузки (OpenSSH и Dropbear)

Базовая установка:
– Операционная система: CentOS 7 (64 бит)
– Grub 2
– отдельный загрузочный раздел с ext4
– luks encryption (aes-xts-plain64: sha512) на двух дисковых разделах, которые необходимо разблокировать паролем во время загрузки
– после разблокировки оба раздела монтируются в / в файловой системе raid1 btrfs

Сейчас я ищу чистую стратегию получения удаленного доступа во время загрузки, чтобы разблокировать оба раздела.
На Raspberry Pi 2 я уже использую Dropbear, чтобы сделать это, и большинство потоков, которые я нашел, по-видимому, являются фаворитом этой опции для больших систем. Несмотря на то, что в больших системах никто не заботится о необходимых загрузчиках.

Вопрос:
Из моего понимания на CentOS 7 Grub2 (чистая установка) у меня уже есть служба OpenSSH, работающая по умолчанию. Почему мне нужно установить dropbear, а если openSSH и dropbear выполняют ту же работу?
Не следует ли настраивать openSSH для grub и просто вставлять команду:
/ lib / cryptsetup / askpass "passphrase:"> / lib / cryptsetup / passfifo
прямо над openSSH?

  • Chroot пользовательский выход из тюрьмы
  • ssh-copy-id: почему мой открытый ключ отличается от моего локального или удаленного?
  • Почему я могу войти в систему с удаленного хоста без пароля или закрытого ключа?
  • Вперед ssh для пользователя Git для сервера Git
  • Должен ли я создавать резервные копии моих ключей хоста SSH?
  • Отказ "/ opt /" доступа для пользователей SFTP, отличных от определенного каталога
  • Archlinux + GSSapi + kerberos
  • Я не могу ssh на localhost в определенном порту на os x
  • 2 Solutions collect form web for “Как использовать openSSH для шифрования диска во время загрузки (OpenSSH и Dropbear)”

    Итак, dropbear действительно нравится правильный и единственный выбор для удаленного доступа во время загрузки?

    Я сделал несколько дополнительных исследований по dracut, который используется для создания образа initramfs в CentOS, и он показывает вариант «–sshkey», который необходимо объединить с опцией загрузки ssh-client в файле /etc/dracut.conf.

    Мне снова кажется, что на месте уже есть ssh-клиент, и мне не нужно дополнительно устанавливать dropbear. Кто-нибудь пробовал этот вариант раньше? Кто-нибудь знает хороший учебник для этого?

    Чтобы завершить эту тему. Вот моя установка dropbear на CentOS.

    Я использовал следующие сценарии и описание: https://github.com/dracut-crypt-ssh/dracut-crypt-ssh

    После установки 2.1.

    Все команды выполняются как root.

    1. sudo su
    2. Обновление yum
    3. yum install epel-release
    4. yum install vim
    5. yum install wget
    6. wget -O /etc/yum.repos.d/rbu-dracut-crypt-ssh-epel-7.repo https://copr.fedorainfracloud.org/coprs/rbu/dracut-crypt-ssh/repo/epel-7 /rbu-dracut-crypt-ssh-epel-7.repo
    7. yum install dracut-crypt-ssh
    8. vim / etc / default / grub -> Изменение строки «GRUB_CMDLINE_LINUX» (нажатие i в редакторе. Текст можно изменить)
      Старая линия:
      GRUB_CMDLINE_LINUX = "crashkernel = auto rd.luks.uuid = luks-e0e5a45d-9773-428f-b0b4-79e85395f1e7 rd.luks.uuid = luks-c4d735fb-ce26-43ec-b9fe-2c48acded15c vconsole.font = latarcyrheb-sun16 vconsole.keymap = de rhgb quiet "
      Новая линия:
      GRUB_CMDLINE_LINUX = "crashkernel = auto rd.neednet = 1 ip = dhcp rd.luks.uuid = luks-e0e5a45d-9773-428f-b0b4-79e85395f1e7 rd.luks.uuid = luks-c4d735fb-ce26-43ec-b9fe-2c48acded15c vconsole. font = latarcyrheb-sun16 vconsole.keymap = de rhgb quiet "
      Всегда сохраняя изменения командой «ESC ->: wq!» в редакторе.

    9. vim /etc/dracut.conf.d/crypt-ssh.conf -> Изменение порта и ссылка на authorized_keys (снова нажмите i)
      а. Неподдайтесь порту порта и измените с порта 222 по умолчанию на порт 22:
      "# dropbear_port =" 222 "" to "dropbear_port =" 22 ""
      б. Uncomment authorized_keys и измените путь:
      "# dropbear_acl =" / root / .ssh / authorized_keys "" в "dropbear_acl =" / keys / dropbear / authorized_keys ""

    10. mkdir / ключи

    11. mkdir / keys / dropbear
    12. vim / keys / dropbear / authorized_keys -> Добавление открытого ключа
      В моем случае я создал пару ключей, запустив PuTTYgen и скопировав открытый ключ через ssh в редактор.

    13. grub2-mkconfig –output /etc/grub2.cfg

    14. dracut –force
    15. перезагружать

    1. Вход в оболочку загрузки на ПК с программой «PuTTY».
      Настройки:
      а. IP-адрес: IP-адрес сервера
      б. Порт: 22
      с. Connection-> Data-> Автоматическое имя пользователя: root
      д. Connection-> SSH-> Auth-> Файл секретного ключа для аутентификации-> Dropbear.ppk -> Кнопка «Хит-открытие»

    Должен показать что-то вроде:

    Использование имени пользователя «root». Аутентификация с помощью открытого ключа «rsa-key-20160322» -sh-4.2 #

    1. console_peek (по какой-то причине эта команда всегда необходима перед console_auth, чтобы иметь успешную переадресацию passwort).
    2. console_auth -> Парольная фраза: -> Введите пароль зашифрованного устройства и нажмите enter

    Разблокировать не полезно в моем случае, потому что crypttab содержит много разделов, которые нельзя разблокировать во время загрузки.

    Interesting Posts

    Вырезать корневой раздел с помощью другого жесткого диска

    Как проверить загрузочный USB, созданный с помощью схемы разделов UEFI GPT

    Не удается подключить ПК и Android через Bluetooth

    Как использовать SystemD для запуска игрового сервера 24/7?

    Как получить доступ к элементу массива в оболочке?

    Какую функциональность я теряю, отключая диспетчеры дисплеев GDM / KDM / SLIM / CDM и т. Д.?

    Предотвращать передачу SSH-клиента переменной TERM на сервер?

    В чем разница между инструкциями ADD и COPY в файле Docker

    Время выполнения сценария Ruby отличается локально, чем с SSH

    Разделение RGB-файла в 3 файла, по одному для каждого канала?

    Почему я не получаю приглашение пароля при запуске команды в качестве sudo, хотя моя группа пользователей даже не находится в файле sudoers?

    Как загрузить Linux Mint с USB-накопителя через Grub2

    Упрощение фильтра LDAP

    Перезапуск всей сети в Ubuntu после спящего режима

    Debian 8 спящий режим и приостановить работу

    Linux и Unix - лучшая ОС в мире.