Com desbloquejar arrel LUKS per SSH

De GiLUG
Revisió de 14:25, 10 oct 2013; Narcisgarcia (Discussió | contribucions)

(dif) ←Versió més antiga | Versió actual (dif) | Versió més nova→ (dif)
Dreceres ràpides: navegació, cerca

Català - Castellano - English


Introducció: Aquesta és una guia simple per donar accés a la xarxa, per tal d'introduïr remotament la frase de pas a l'arrencada d'un sistema ja encriptat amb arrel i tot. D'aquesta manera no cal acudir presencialment a escriure-la amb el teclat.

Notes:

  • Comprovat amb Debian GNU/Linux 7, tot i que hauria de funcionar amb versions anteriors i altres distribucions de GNU.
  • Cal tenir en compte que tenir el nucli amb el desencriptador en una partició sense encriptar és un punt feble. El mètode més segur és tenir TOT el disc dur encriptat, i doncs arrencar presencialment amb una memòria externa (/boot) i en haver desbloquejat el sistema emportar-nos aquesta memòria amb el programari intacte a les nostres mans.

Preparar el desbloqueig LUKS remot

Des del sistema xifrat

  • Instal·leu el programari pel servei SSH i d'intèrpret de comandes Shell:
apt-get install dropbear busybox
  • Configureu la xarxa per l'etapa d'arrencada del nucli, establint aquesta variable al fitxer /etc/default/grub
GRUB_CMDLINE_LINUX="ip=192.168.1.33::192.168.1.1:255.255.255.0::eth0:none"

(Exemple per a una adreça IP 192.168.1.33, porta d'enllaç 192.168.1.1 i dispositiu de xarxa eth0)

  • Actualitzeu el gestor d'arrencada amb les noves dades pel nucli:
update-grub
  • Copieu el certificat d'entrada a l'equip remot, des d'on fareu el desbloqueig:
scp -P 22 /etc/initramfs-tools/root/.ssh/initramfs_rsa UsuariRemot@EquipRemot:/home/UsuariRemot/xifrat.example.net_initramfs-rsa

(Exemple amb UsuariRemot de la IP EquipRemot i etiquetant el servidor com a xifrat.example.net)

Al sistema remot

(equip des d'on voleu enviar l'ordre de desbloqueig)

  • (opcional) Per seguretat, moure el certificat al perfil de superusuari (root):
mkdir -p /root/.ssh
mv ~/*_initramfs-rsa /root/.ssh/
  • Instrucció a donar (amb les dades d'exemple) quan el sistema encriptat espera la frase de pas:
ssh -o "UserKnownHostsFile=/root/.ssh/known_hosts.initramfs" -i "/root/.ssh/xifrat.example.net_initramfs-rsa" root@xifrat.example.net "echo -ne \"1234\" >/lib/cryptsetup/passfifo ; ifconfig eth0 down &"

(Exemple amb contrasenya 1234, i que desconfigura la xarxa del sistema encriptat per a què no interfereixi amb el sistema normal)

Altres fonts