Como usar o openSSH para criptografia de disco no momento da inicialização (OpenSSH vs. Dropbear)

2

Configuração básica:
- Sistema Operacional: CentOS 7 (64 bit)
- Grub 2
- partição de inicialização separada com ext4
- luks criptografia (aes-xts-plain64: sha512) em duas partições de disco que ambos precisam ser desbloqueados por senha no momento da inicialização
- depois de serem desbloqueadas ambas as partições são montadas em / como sistema de arquivos raid1 btrfs

Agora estou procurando uma estratégia limpa para obter acesso remoto durante o tempo de inicialização para desbloquear as duas partições.
Em um Raspberry Pi 2 já estou usando Dropbear para fazer isso e a maioria dos tópicos que encontrei parecem favoritas esta opção para sistemas maiores também. Mesmo em sistemas maiores, ninguém se preocupa com os recursos necessários para o bootloader.

Pergunta:
Pelo que entendi em um CentOS 7 Grub2 (instalação limpa), eu já tenho um serviço OpenSSH sendo executado por padrão. Por que preciso instalar o dropbear se o openSSH e o dropbear fizerem o mesmo trabalho?
Eu não deveria ser capaz de configurar o openSSH para o grub e apenas colar o comando:
/ lib / cryptsetup / askpass "passphrase:" > / lib / cryptsetup / passfifo
diretly over openSSH?

    
por Jonathan Herrmann 23.03.2016 / 19:13

2 respostas

0

Então dropbear realmente é a escolha certa e única para acesso remoto durante o tempo de inicialização?

Eu fiz algumas pesquisas adicionais no dracut que é usado para construir a imagem do initramfs no CentOS e mostra a opção " - sshkey " que precisa ser combinado com a opção de carregamento do módulo " ssh-client " em /etc/dracut.conf.

Parece-me novamente que já existe um ssh-client no local e não preciso de instalar o dropbear adicionalmente. Alguem ja tentou isso opção antes? Alguém sabe um bom tutorial para isso?

    
por 24.03.2016 / 11:58
0

Para concluir este tópico. Aqui está a minha instalação dropbear no CentOS.

Eu usei os seguintes scripts e descrição: link

Seguindo o caminho da instalação 2.1.

Todos os comandos são executados como root.

  1. sudo su
  2. atualização do yum
  3. yum instala epel-release
  4. yum instala vim
  5. yum instala o wget
  6. wget -O /etc/yum.repos.d/rbu-dracut-crypt-ssh-epel-7.repo link
  7. yum instala dracut-crypt-ssh
  8. vim / etc / default / grub - > Alterando a linha "GRUB_CMDLINE_LINUX" (pressionando i no editor. O texto pode ser alterado)
    Linha antiga:
    GRUB_CMDLINE_LINUX="crashkernel = auto rd.luks.uuid = luks-e0e5a45d-9773-428f-b0b4-79e85395f1e7 rd.luks.uuid = luks-c4d735fb-ce26-43ec-b9fe-2c48acded15c vconsole.font = latarcyrheb-sun16 vconsole.keymap = de rhgb quiet "
    Nova linha:
    GRUB_CMDLINE_LINUX="crashkernel = auto rd.neednet = 1 ip = dhcp rd.luks.uuid = luks-e0e5a45d-9773-428f-b0b4-79e85395f1e7 rd.luks.uuid = luks-c4d735fb-ce26-43ec-b9fe-2c48acded15c vconsole. fonte = latarcyrheb-sun16 vconsole.keymap = de rhgb quiet "
    Sempre salvando as alterações pelo comando "ESC - >: wq!" no editor.

  9. vim /etc/dracut.conf.d/crypt-ssh.conf - > Alterando a porta e a referência a authorized_keys (pressione i denovo)
    uma. Descomente a linha de porta e mude da porta padrão 222 para a porta 22:
    "# dropbear_port=" 222 "" para "dropbear_port=" 22 ""
    b. Uncomment authorized_keys line e altere o caminho:
    "# dropbear_acl=" / root / .ssh / authorized_keys "" para "dropbear_acl=" / keys / dropbear / authorized_keys ""

  10. mkdir / keys

  11. mkdir / keys / dropbear
  12. vim / keys / dropbear / authorized_keys - > Adicionando chave pública
    No meu caso, eu gerava um par de chaves executando o PuTTYgen e copiei a chave pública sobre o ssh para o editor.

  13. grub2-mkconfig --output /etc/grub2.cfg

  14. dracut --force
  15. reinicializar
  1. Efetuando login no shell de inicialização em um computador Windows com o programa "PuTTY".
    Configurações:
    uma. Endereço IP: endereço IP do servidor
    b. Porto: 22
    c. Connection- > Data- > Login automático nome de usuário: root
    d. Conexão- > SSH- > Auth- > Arquivo de chave privada para autenticação- > Dropbear.ppk - > Hit Open Button

Deve mostrar algo como:

Usando o nome de usuário "root". Autenticando com chave pública "rsa-key-20160322" -sh-4.2 #

  1. console_peek (por algum motivo, esse comando é sempre necessário antes do console_auth para ter um encaminhamento bem-sucedido de passwort).
  2. console_auth - > Frase secreta: - > Digite a senha do dispositivo criptografado e aperte enter

O desbloqueio não é útil no meu caso porque o crypttab contém muitas partições que não podem ser desbloqueadas no momento da inicialização.

    
por 26.03.2016 / 18:41