दूरस्थ रूप से ssh के माध्यम से CentOS6 एन्क्रिप्टेड लुक्स वॉल्यूम अनलॉक करें

निम्नलिखित सामग्री CentOS 6 x64 के लिए bagzilla redhat में माइकल Scherer द्वारा प्रस्तावित रिमोट वॉल्यूम अनलॉकिंग विधि का एक अनुकूलन और जोड़ है। विधि का सार initramfs को संशोधित करना है।

अतिरिक्त पैकेज स्थापित करें

Initramfs में हम ड्रॉपबियर ssh सर्वर जोड़ेंगे, यह मानक रिपॉजिटरी में नहीं है, इसलिए आपको बाहरी एपल कनेक्ट करने की आवश्यकता है:

rpm -Uhv http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-7.noarch.rpm yum -y install dropbear 

Initramfs संशोधन

CentOS 6 initramfs उत्पन्न करने के लिए ड्रैकुट नामक एक बल्कि सुविधाजनक प्रणाली का उपयोग करता है, एक अतिरिक्त मॉड्यूल जिसके लिए हम बनाएंगे। यह स्थापना स्क्रिप्ट और आवश्यक फ़ाइलों के साथ /usr/share/dracut/modules.d में एक फ़ोल्डर है।

 cd /usr/share/dracut/modules.d mkdir 40unlock cd 40unlock 

मॉड्यूल को स्थापित करने के लिए मुख्य स्क्रिप्ट:

 cat > install << 'EOF' #!/bin/bash cat /etc/shadow|grep root > ${moddir}/shadow dracut_install /lib64/libnss_compat.so.2 dracut_install /lib64/libnss_files.so.2 dracut_install /lib64/libnss_dns.so.2 inst_dir "/etc/dropbear" inst "${moddir}/dropbear_rsa_host_key" "/etc/dropbear/dropbear_rsa_host_key" inst_dir "/home" inst_dir "/home/root" inst_dir "/home/root/.ssh" inst "${moddir}/.profile" "/home/root" [ -s "${moddir}/authorized_keys" ] && inst "${moddir}/authorized_keys" "/home/root/.ssh/authorized_keys" inst "/etc/localtime" inst "${moddir}/nsswitch.conf" "/etc/nsswitch.conf" inst "/etc/resolv.conf" inst "/etc/host.conf" inst "/etc/hosts" inst "${moddir}/shadow" "/etc/shadow" inst "${moddir}/passwd" "/etc/passwd" inst "${moddir}/shells" "/etc/shells" inst "${moddir}/unlock" "/bin/unlock" inst_hook pre-trigger 01 "$moddir/remote-ssh.sh" inst_hook pre-pivot 01 "$moddir/clean.sh" dracut_install sed awk dropbear ifconfig route blkid cut killall true mkdir dracut_install -o ps find grep less cat tac head tail false rmdir rm touch vi ping ssh scp lsmod EOF 

वह छाया से एन्क्रिप्टेड रूट पासवर्ड लेता है, पासवर्ड का उपयोग करने में दूर से लॉग इन करने में सक्षम होने के लिए, यदि आपको कुंजी द्वारा प्राधिकरण की आवश्यकता है, तो अधिकृत कुंजी को सार्वजनिक कुंजी के साथ फ़ाइल और उसी फ़ोल्डर में 600 एक्सेस अधिकारों के साथ रखें। सभी आवश्यक कॉन्फ़िगरेशन फ़ाइलें, कमांड और डायनेमिक फ़ाइलें भी स्थापित हैं। पुस्तकालयों। मेजबान, resolv.conf और host.conf फाइलें सिस्टम से ली गई हैं। दो हुक सेट किए गए हैं: पहला (रिमोट- ssh.sh) पासवर्ड के अनुरोध के पहले ड्रॉपबियर शुरू करता है और दूसरा (क्लीन.श) रूट एफएस को बदलने से पहले ड्रॉपबियर प्रक्रिया को मारता है। "Dracut_install -o" में, वैकल्पिक आदेश निर्दिष्ट किए जाते हैं जो मुख्य सिस्टम पर उपलब्ध होने पर initramfs में स्थापित किए जा सकते हैं।

स्क्रिप्ट "सत्यापन":

 cat > check << 'EOF' #!/bin/sh exit 0 EOF 

यदि आप नहीं चाहते हैं कि यह मॉड्यूल डिफ़ॉल्ट रूप से ड्रेकुट द्वारा उपयोग किया जाए, तो एक्ज़िट कोड को 255 में बदल दें, अन्यथा कर्नेल को अपडेट करते समय नए इनट्राम्राम्स इस मॉड्यूल को शामिल करेंगे।

कर्नेल मॉड्यूल स्थापित करने के लिए स्क्रिप्ट:

 cat > installkernel << 'EOF' #!/bin/bash instmods e1000 EOF 

Initramfs में आवश्यक कर्नेल मॉड्यूल बदलें, इस मामले में, इंटेल e1000 नेटवर्क कार्ड का समर्थन करने के लिए, इसे अपने स्वयं के साथ बदलें (आप कमांड lspci -k देख सकते हैं)।

अब हम सभी आवश्यक विन्यास फाइल और हमारी स्क्रिप्ट बनाएंगे।

 echo 'root:x:0:0:root:/home/root:/bin/sh' > passwd echo '/bin/sh' > shells echo 'export PATH=/sbin:/usr/sbin:$PATH' >.profile dropbearkey -t rsa -f dropbear_rsa_host_key 

हम एक रूट उपयोगकर्ता बनाते हैं, सिस्टम शेल की एक सूची निर्दिष्ट करते हैं, PATH चर को संशोधित करते हैं और ड्रॉपबीयर के लिए rsa कुंजी उत्पन्न करते हैं।

 cat >nsswitch.conf << 'EOF' passwd: files shadow: files group: files initgroups: files hosts: files dns bootparams: files ethers: files netmasks: files networks: files protocols: files rpc: files services: files automount: files aliases: files EOF 

हम इंगित करते हैं कि उपयोगकर्ताओं को कहां से प्राप्त करना है और dns नामों को कैसे बदलना है।

नेटवर्क इंटरफेस उठाने और ड्रॉपबियर चलाने के लिए स्क्रिप्ट:

 cat >remote-ssh.sh << 'EOF' #!/bin/sh /sbin/modprobe e1000 /sbin/ifconfig lo 127.0.0.1/8 /sbin/ifconfig lo up /sbin/ifconfig eth0 192.168.100.203/24 /sbin/ifconfig eth0 up /sbin/route add default gw 192.168.100.1 /bin/mkdir -p /var/log /usr/sbin/dropbear -E -m -p 2222 -a -K 600 > /var/log/lastlog EOF 

Modprobe के बाद, आपके नेटवर्क कार्ड के लिए आवश्यक लोडिंग मॉड्यूल (विकल्प जो कि इंस्टालेशन स्क्रिप्ट में दर्शाया गया है) को प्रतिस्थापित करें, नेटवर्क सेटिंग्स और इंटरफ़ेस नाम को भी अपने साथ बदलें, इसका मतलब है कि आईपी सांख्यिकीय है, अगर आउटपुट dhcp के माध्यम से है, तो आपको इंस्टॉल स्क्रिप्ट और dhclient स्थापना को जोड़ने की आवश्यकता होगी इसके लिए आवश्यक सभी पुस्तकालय।

ड्रॉपबियर स्टॉप स्क्रिप्ट:

 cat > clean.sh << 'EOF' #!/bin/sh /usr/bin/killall dropbear EOF 

पासवर्ड की आवश्यकता वाले सभी लुक्स वॉल्यूम के लिए स्क्रिप्ट अनलॉक करें:

 cat > unlock << 'EOF' if [ -f /etc/crypttab ] ; then sed '/^$/d;/^#/d' /etc/crypttab > /tmp/crypttab n=1 line="`sed -n "$n"p /tmp/crypttab`" while [ -n "$line" ]; do name="`echo $line|awk '{ print $1 }'`" dev="`echo $line|awk '{ print $2 }'`" key="`echo $line|awk '{ print $3 }'`" if [ "$key" = "none" ]; then luksname="$name" if [ "${dev%%=*}" = "UUID" ]; then device="`blkid -t $dev|cut -d: -f1`" else device=$dev fi echo "Password [$device ($luksname)]:" while :; do cryptsetup luksOpen $device $luksname && break done fi n=$((n+1)) line="`sed -n "$n"p /tmp/crypttab`" done sed -i /cryptsetup/c\ true /pre-pivot/* [ "$1" = "-noexit" ] && exit 0 killall plymouth killall cryptroot-ask fi exit 0 EOF 

यहां हम पहले बिना टिप्पणी और खाली लाइनों के एक "क्लीन" क्रिप्टैब बनाते हैं, फिर एक लूप में हम उन सभी संस्करणों को क्रमित और डिक्रिप्ट करते हैं जिनके लिए पासवर्ड की आवश्यकता होती है। चूंकि drakut से luks मॉड्यूल रूट fs को बदलने से पहले सभी अप्रयुक्त luks संस्करणों को डिस्कनेक्ट करता है, इसलिए हम इसे रोकने के लिए स्क्रिप्ट / पूर्व-पिवट में संशोधन करते हैं। यदि -noexit पैरामीटर को -noexit में -noexit जाता है, तो डाउनलोड को रोकने वाली प्रक्रियाओं को नहीं मारा जाएगा और आवश्यक वर्गों को पूर्व-माउंट करके मुख्य सिस्टम को initramfs से संशोधित करना संभव होगा। डाउनलोड जारी रखने के लिए, आपको पहले से मैन्युअल रूप से माउंट किए गए विभाजन को अनमाउंट करने और कमांड चलाने की आवश्यकता है:
killall cryptroot-ask

अनलॉकिंग इस तरह से की जाती है, और बगज़िला में बताई गई विधि से नहीं, क्योंकि वॉल्यूम के अन्य सभी लुक्स (रूट के अलावा) रूट एफएस को बदलने के बाद ही जुड़े होंगे, फिर ड्रॉपबियर अभी भी लटका रहेगा (यदि आप इसे मारने के लिए हुक हटाते हैं), लेकिन एक भी कमांड नहीं अब यह पूरा नहीं हुआ।

परिणामस्वरूप, फ़ोल्डर में /usr/share/dracut/modules.d/40unlock आपके पास निम्न फ़ाइलें होनी चाहिए:

 [root@crypt 40unlock]# ls -al  56 drwxr-xr-x. 2 root root 4096  31 17:36 . drwxr-xr-x. 32 root root 4096  31 17:35 .. -rwxr-xr-x. 1 root root 17  31 17:35 check -rwxr-xr-x. 1 root root 36  31 17:36 clean.sh -rw-------. 1 root root 427  31 17:36 dropbear_rsa_host_key -rwxr-xr-x. 1 root root 1066  31 17:35 install -rwxr-xr-x. 1 root root 27  31 17:36 installkernel -rw-r--r--. 1 root root 222  31 17:36 nsswitch.conf -rw-r--r--. 1 root root 35  31 17:36 passwd -rw-r--r--. 1 root root 34  31 17:36 .profile -rwxr-xr-x. 1 root root 270  31 17:36 remote-ssh.sh -rw-r--r--. 1 root root 8  31 17:36 shells -rwxr-xr-x. 1 root root 740  31 17:36 unlock 

अब हम सभी स्क्रिप्ट के लिए निष्पादन अधिकार देते हैं और initramfs का पुनर्निर्माण करते हैं।

 chmod a+x check clean.sh install installkernel remote-ssh.sh unlock dracut -f 

अगले बूट पर, आप ssh के माध्यम से दूरस्थ रूप से लॉग इन कर सकते हैं और कमांड के साथ मैन्युअल पासवर्ड प्रविष्टि की आवश्यकता वाले सभी लुक्स वॉल्यूम को अनलॉक कर सकते हैं:

 unlock 

विपक्ष:
यह काम नहीं करेगा यदि सिस्टम वर्चुअल मशीन में चल रहा है और नेटवर्क कार्ड एक गुणात्मक उपकरण है। शायद udev लॉन्च करने से पहले इसे पहचानने का समय नहीं है। वर्कअराउंड के रूप में, आप पूर्व-ट्रिगर हुक पर एक स्क्रिप्ट को लटकाने की कोशिश कर सकते हैं जो udv नियम जोड़ देगा जो luks नियम से पहले निष्पादित होता है (और udev के कारण ठीक से अनलॉक होता है - संबंधित कमांड तब लॉन्च किया जाता है जब ल्यूक वॉल्यूम पाया जाता है) और दूरस्थ- ssh.sh स्क्रिप्ट चलाया जाता है।
एक उदाहरण:

 SUBSYSTEM!="block", GOTO="luks_end" ACTION!="add|change", GOTO="luks_end" ENV{ID_FS_TYPE}=="crypto_LUKS", RUN+="/bin/remote-ssh.sh" LABEL="luks_end" 

मैंने इस विकल्प का परीक्षण नहीं किया है।

संबंधित लिंक:

Drakut + एन्क्रिप्टेड रूट + नेटवर्किंग
दराकुट मैनुअल

पुनश्च: दिए गए स्क्रिप्ट कोड सांत्वना की नकल करने और निष्पादित करने के लिए पर्याप्त सरल है, सब कुछ संबंधित फाइल को लिखा जाएगा।