Criptografia de disco completo do Ubuntu na Hetzner Cloud adicionando rota estática no initramfs

1

Eu tento configurar o Ubuntu com criptografia completa de disco no topo do Hetzner Cloud. Eu tenho tudo para funcionar, exceto a conexão de rede no initramfs. Graças ao console da interface do usuário é possível desbloquear, mas eu preciso de SSH (dropbear) no init. Eu uso com sucesso a mesma configuração em seus servidores-raiz sem nenhum problema.

Se eu configurar dropbear para obter o IP por dhcp, sempre resultando em NETWORK IS UNREACHABLE . Mas obtém os parâmetros certos do servidor dhcp. Eu perguntei ao Hetzner Support. Eles me disseram que eles acham que o cliente dhcp não oferece suporte à opção RFC 3442 Classless Static Routes e é recomendado adicionar uma rota estática com ip r a 172.31.1.1 dev ens3 . Como nessa pergunta , adicionei a rota, mas sempre recebi o mesmo erro: NETWORK IS UNREACHABLE . Eu testei para definir a rota em diferentes scripts, mas nada mudou. Eu testei o Ubuntu 16.04 e 18.04.

Estou feliz com qualquer recomendação sobre isso. Obrigado!

    
por user2638109 04.06.2018 / 18:40

1 resposta

0

teve o mesmo problema / pequena discussão com o suporte técnico que não é possível que o initramfs falhe apenas nas instâncias de nuvem do Hetzner como essa.

Mas o Hetzner Support afirma repetidamente apenas que o servidor DHCP está em conformidade com o RFC3442 que anuncia a rota do host padrão para a rede interna. nuvem GW. Então, isso deve ser um problema do cliente initramfs dhcp e eles não poderiam (não?) Tentar configurar uma possível resposta BootP, por exemplo, com o parâmetro IP = ... correto.

Eu sugeri atualizar sua documentação para isso, mas parece que "fique à vontade para usar nosso wiki para documentação" ... A resposta (marketing;) ...) aqui não está correta:

Hetzner_OL 6 months ago [-]

Thanks for the suggestion about Docker/dbaas. I have passed it on to our development team. We don't usually publish what new products and features we are developing until they are ready, but we will continue to post information about upgrades as they develop.

Regarding the DSGVO: Do you support encryption of the filesystem? ->

Hetzner Cloud servers are fully virtualized. So the customer can even fully encrypt the whole server. --Katie, Marketing, Hetzner Online

Eu tentei encontrar perguntas / soluções para esse problema, mas a única correspondência que encontrei hoje é a sua pergunta;)

Sua resposta referenciada para configurar a interface está parcialmente correta. Mas a partir da pergunta, não ficou claro que ele também precisa de uma rota de host estático para o gateway, de modo que esteja ausente na resposta.

Minha solução rápida do problema é corrigir manualmente a função necessária como esta "dinamicamente" - você pode verificar todas as variáveis em /run/net-ens3.conf :

root@image-debian-jessie-94 ~ # diff -p /usr/share/initramfs-tools/scripts/functions{.orig,}
*** /usr/share/initramfs-tools/scripts/functions.orig   2018-07-31 12:46:40.911167456 +0200
--- /usr/share/initramfs-tools/scripts/functions        2018-07-31 12:50:30.736742035 +0200
*************** configure_networking()
*** 274,279 ****
--- 274,284 ----
                # ipconfig should have quit after first response
                . /run/net-*.conf
        fi
+
+       # Hack for Hetzner vServer static route enhanced like shown partly in this answer:
+       # https://serverfault.com/questions/909040/static-route-in-initramfs
+       ip route add ${IPV4GATEWAY}/${IPV4NETMASK} dev ${DEVICE}
+       ip route add default via ${IPV4GATEWAY} dev ${DEVICE}
  }

  # Wait for queued kernel/udev events

Testado e funcionou bem para mim. Eu poderia configurar / snapshot a menor imagem.

O instantâneo criptografado é ~ 18 GB comparado a 0,5 GB não criptografado, mas o preço do instantâneo ainda é bom comparado à segurança aprimorada (normalmente os sistemas baseados no Openstack poderiam / deveriam ter um serviço de gerenciador de chaves que pudesse transparentemente.)

    
por 02.08.2018 / 21:17