Diferència entre revisions de la pàgina «Com desbloquejar arrel LUKS per SSH»

De GiLUG
Salta a: navegació, cerca
(Creat)
 
(ip addr flush dev eth0)
 
(Hi ha una revisió intermèdia del mateix usuari que no es mostren)
Línia 1: Línia 1:
 
[[Com desbloquejar arrel LUKS per SSH|Català]] - [[Como desbloquear raiz LUKS por SSH|Castellano]] - [[How to unlock LUKS root via SSH|English]]
 
[[Com desbloquejar arrel LUKS per SSH|Català]] - [[Como desbloquear raiz LUKS por SSH|Castellano]] - [[How to unlock LUKS root via SSH|English]]
 
----
 
----
'''Introducció:''' Aquesta és una guia simple per donar accés a la xarxa, per tal d'introduïr remotament la frase de pas a l'arrencada d'un sistema ja encriptat amb arrel i tot. D'aquesta manera no cal acudir presencialment a escriure-la amb el teclat.
+
'''Introducció:''' Aquesta és una guia simple per donar accés a la xarxa, per tal d'introduïr remotament la frase de pas a l'arrencada d'un sistema ja encriptat incloent l'arrel. D'aquesta manera no és imprescindible acudir presencialment a escriure-la amb el teclat.
  
 
'''Notes:'''
 
'''Notes:'''
* Comprovat amb Debian GNU/Linux 7, tot i que hauria de funcionar amb versions anteriors i altres distribucions de GNU.
+
* Comprovat amb Debian GNU/Linux 7 (wheezy), tot i que el mètode hauria de funcionar amb versions anteriors i altres distribucions de GNU con Linux.
* Cal tenir en compte que tenir el nucli amb el desencriptador en una partició sense encriptar és un punt feble. El mètode més segur és tenir TOT el disc dur encriptat, i doncs arrencar presencialment amb una memòria externa (/boot) i en haver desbloquejat el sistema emportar-nos aquesta memòria amb el programari intacte a les nostres mans.
+
* És important considerar que, tenir el nucli amb el desencriptador en una partició sense encriptar, és un punt feble. El mètode més segur és tenir TOT el disc dur encriptat, i doncs arrencar presencialment amb una memòria externa (com /boot en una memòria USB) i, en haver desbloquejat el sistema, emportar-nos aquella memòria amb el programari intacte a les nostres mans.
  
 
__TOC__
 
__TOC__
Línia 17: Línia 17:
 
* Configureu la xarxa per l'etapa d'arrencada del nucli, establint aquesta variable al fitxer '''/etc/default/grub'''
 
* Configureu la xarxa per l'etapa d'arrencada del nucli, establint aquesta variable al fitxer '''/etc/default/grub'''
 
  GRUB_CMDLINE_LINUX="ip=192.168.1.33::192.168.1.1:255.255.255.0::eth0:none"
 
  GRUB_CMDLINE_LINUX="ip=192.168.1.33::192.168.1.1:255.255.255.0::eth0:none"
(Exemple per a una adreça IP 192.168.1.33, porta d'enllaç 192.168.1.1 i dispositiu de xarxa eth0)
+
(Exemple per a una adreça IP ''192.168.1.33'', porta d'enllaç ''192.168.1.1'' i dispositiu de xarxa ''eth0'')
  
 
* Actualitzeu el gestor d'arrencada amb les noves dades pel nucli:
 
* Actualitzeu el gestor d'arrencada amb les noves dades pel nucli:
 
  update-grub
 
  update-grub
  
* Copieu el certificat d'entrada a l'equip remot, des d'on fareu el desbloqueig:
+
* Copieu el certificat especial d'entrada a l'equip remot, des d'on demanareu el desbloqueig:
 
  scp -P 22 /etc/initramfs-tools/root/.ssh/initramfs_rsa UsuariRemot@EquipRemot:/home/UsuariRemot/xifrat.example.net_initramfs-rsa
 
  scp -P 22 /etc/initramfs-tools/root/.ssh/initramfs_rsa UsuariRemot@EquipRemot:/home/UsuariRemot/xifrat.example.net_initramfs-rsa
 
(Exemple amb ''UsuariRemot'' de la IP ''EquipRemot'' i etiquetant el servidor com a ''xifrat.example.net'')
 
(Exemple amb ''UsuariRemot'' de la IP ''EquipRemot'' i etiquetant el servidor com a ''xifrat.example.net'')
Línia 33: Línia 33:
 
  mv ~/*_initramfs-rsa /root/.ssh/
 
  mv ~/*_initramfs-rsa /root/.ssh/
  
* Instrucció a donar (amb les dades d'exemple) quan el sistema encriptat espera la frase de pas:
+
* Instrucció a donar (amb les dades d'exemple) quan el sistema encriptat espera la frase de pas (línia llarga):
  ssh -o "UserKnownHostsFile=/root/.ssh/known_hosts.initramfs" -i "/root/.ssh/xifrat.example.net_initramfs-rsa" root@xifrat.example.net "echo -ne \"1234\" >/lib/cryptsetup/passfifo ; ifconfig eth0 down &"
+
  ssh -o "UserKnownHostsFile=/root/.ssh/known_hosts.initramfs" -i "/root/.ssh/xifrat.example.net_initramfs-rsa" root@xifrat.example.net "echo -ne \"1234\" >/lib/cryptsetup/passfifo ; ip addr flush dev eth0 &"
(Exemple amb contrasenya 1234, i que desconfigura la xarxa del sistema encriptat per a què no interfereixi amb el sistema normal)
+
(Exemple amb contrasenya 1234, i que desconfigura la xarxa del sistema encriptat per a què no interfereixi al sistema normal)
  
 
== Altres fonts ==
 
== Altres fonts ==
 
* [https://www.kernel.org/doc/Documentation/filesystems/nfs/nfsroot.txt Kernel command line] (valors per la configuració de xarxa)
 
* [https://www.kernel.org/doc/Documentation/filesystems/nfs/nfsroot.txt Kernel command line] (valors per la configuració de xarxa)

Revisió de 11:53, 16 nov 2013

Català - Castellano - English


Introducció: Aquesta és una guia simple per donar accés a la xarxa, per tal d'introduïr remotament la frase de pas a l'arrencada d'un sistema ja encriptat incloent l'arrel. D'aquesta manera no és imprescindible acudir presencialment a escriure-la amb el teclat.

Notes:

  • Comprovat amb Debian GNU/Linux 7 (wheezy), tot i que el mètode hauria de funcionar amb versions anteriors i altres distribucions de GNU con Linux.
  • És important considerar que, tenir el nucli amb el desencriptador en una partició sense encriptar, és un punt feble. El mètode més segur és tenir TOT el disc dur encriptat, i doncs arrencar presencialment amb una memòria externa (com /boot en una memòria USB) i, en haver desbloquejat el sistema, emportar-nos aquella memòria amb el programari intacte a les nostres mans.

Preparar el desbloqueig LUKS remot

Des del sistema xifrat

  • Instal·leu el programari pel servei SSH i d'intèrpret de comandes Shell:
apt-get install dropbear busybox
  • Configureu la xarxa per l'etapa d'arrencada del nucli, establint aquesta variable al fitxer /etc/default/grub
GRUB_CMDLINE_LINUX="ip=192.168.1.33::192.168.1.1:255.255.255.0::eth0:none"

(Exemple per a una adreça IP 192.168.1.33, porta d'enllaç 192.168.1.1 i dispositiu de xarxa eth0)

  • Actualitzeu el gestor d'arrencada amb les noves dades pel nucli:
update-grub
  • Copieu el certificat especial d'entrada a l'equip remot, des d'on demanareu el desbloqueig:
scp -P 22 /etc/initramfs-tools/root/.ssh/initramfs_rsa UsuariRemot@EquipRemot:/home/UsuariRemot/xifrat.example.net_initramfs-rsa

(Exemple amb UsuariRemot de la IP EquipRemot i etiquetant el servidor com a xifrat.example.net)

Al sistema remot

(equip des d'on voleu enviar l'ordre de desbloqueig)

  • (opcional) Per seguretat, moure el certificat al perfil de superusuari (root):
mkdir -p /root/.ssh
mv ~/*_initramfs-rsa /root/.ssh/
  • Instrucció a donar (amb les dades d'exemple) quan el sistema encriptat espera la frase de pas (línia llarga):
ssh -o "UserKnownHostsFile=/root/.ssh/known_hosts.initramfs" -i "/root/.ssh/xifrat.example.net_initramfs-rsa" root@xifrat.example.net "echo -ne \"1234\" >/lib/cryptsetup/passfifo ; ip addr flush dev eth0 &"

(Exemple amb contrasenya 1234, i que desconfigura la xarxa del sistema encriptat per a què no interfereixi al sistema normal)

Altres fonts