dracut + systemd + LUKS + usbflash = অটো আনলক

গল্পটা অনেক দিন আগে শুরু হয়েছিল, যখন এটি মুক্তি পেয়েছিল। Centos ৭ (আরএইচইএল ৭)। যদি আপনি ডিস্কে এনক্রিপশন ব্যবহার করে থাকেন Centos সংস্করণ ৬-এ, সঠিক কী ব্যবহার করে ইউএসবি ফ্ল্যাশ ড্রাইভ সংযোগ করলে ডিস্ক স্বয়ংক্রিয়ভাবে আনলক হতে কোনো সমস্যা ছিল না। কিন্তু, সংস্করণ ৭ প্রকাশের পর, সবকিছু হঠাৎ করে প্রত্যাশা অনুযায়ী কাজ করা বন্ধ করে দেয়। কনফিগে একটি সাধারণ লাইন যোগ করে dracut-কে sysvinit-এ ফিরিয়ে আনার মাধ্যমে একটি সমাধান পাওয়া যায়: echo 'omit_dracutmodules+=" systemd "' > /etc/dracut.conf.d/luks-workaround.conf
যা অবিলম্বে সিস্টেমডের সমস্ত সৌন্দর্য থেকে আমাদের বঞ্চিত করেছে - সিস্টেম পরিষেবাগুলির দ্রুত এবং সমান্তরাল প্রবর্তন, যা সিস্টেম শুরুর সময়কে উল্লেখযোগ্যভাবে হ্রাস করেছে।
জিনিস এখনও আছে: 905683
সমাধানের জন্য অপেক্ষা না করে, আমি এটি নিজের জন্য তৈরি করেছি এবং এখন আমি এটি জনসাধারণের সাথে ভাগ করছি, যারা আগ্রহী, পড়ুন।

ভূমিকা

আমি যখন প্রথম Systemd নিয়ে কাজ শুরু করি Centos ৭ কোনো উত্তেজনা জাগায়নি, কারণ সার্ভিস ম্যানেজমেন্ট সিনট্যাক্সের একটি সামান্য পরিবর্তন ছাড়া, আমি প্রথমে তেমন কোনো পার্থক্য লক্ষ্য করিনি। অবশেষে আমি সিস্টেমডি পছন্দ করতে শুরু করি, কিন্তু আমার প্রাথমিক ধারণাটি কিছুটা কলুষিত হয়েছিল এই কারণে যে, ড্রাকুট ডেভেলপাররা ডিস্ক এনক্রিপশনের সাথে সিস্টেমডি বুট প্রসেসকে সমর্থন করার জন্য খুব বেশি সময় ব্যয় করেননি। এটি সাধারণত কাজ করত, কিন্তু প্রতিবার এটি চালু করার সময় আমাকে আমার ডিস্ক পাসওয়ার্ড দিতে হতো। সার্ভার — সবচেয়ে আকর্ষণীয় কার্যকলাপ নয়।
একগুচ্ছ সুপারিশ চেষ্টা করে এবং ম্যানুয়ালটি অধ্যয়ন করার পরে, আমি বুঝতে পেরেছিলাম যে সিস্টেমড মোডে USB এর সাথে কনফিগারেশন সম্ভব, তবে শুধুমাত্র একটি USB ডিস্কের একটি কী সহ প্রতিটি ডিস্কের ম্যানুয়াল অ্যাসোসিয়েশনের সাথে এবং USB ডিস্কটি কেবলমাত্র তার দ্বারা যুক্ত হতে পারে। UUID, LABEL কাজ করেনি। বাড়িতে এটি বজায় রাখা খুব সুবিধাজনক ছিল না, তাই শেষ পর্যন্ত আমি অপেক্ষায় ডুবে গেলাম এবং প্রায় 7 বছর অপেক্ষা করার পরে, আমি বুঝতে পেরেছিলাম যে কেউই সমস্যার সমাধান করতে যাচ্ছে না।

সমস্যার

অবশ্যই, প্রায় যে কেউ ড্রাকটের জন্য তাদের নিজস্ব প্লাগইন লিখতে পারে, তবে এটি কাজ করা আর এত সহজ নয়। দেখা গেল যে সিস্টেমড স্টার্টআপের সমান্তরাল প্রকৃতির কারণে, আপনার কোড অন্তর্ভুক্ত করা এবং লোডিং অগ্রগতি পরিবর্তন করা এত সহজ নয়। ডকুমেন্টেশন ড্রাকটের জন্য সবকিছু ব্যাখ্যা করেনি। যাইহোক, দীর্ঘ পরীক্ষার পরে, আমি সমস্যাটি সমাধান করতে সক্ষম হয়েছি।

এটা কিভাবে কাজ করে

এটি তিনটি ইউনিটের উপর ভিত্তি করে:

1. luks-auto-key.service - LUKS-এর জন্য কী সহ ড্রাইভ অনুসন্ধান করে
2. luks-auto.target - অন্তর্নির্মিত systemd-cryptsetup ইউনিটগুলির জন্য একটি নির্ভরতা হিসাবে কাজ করে
3. luks-auto-clean.service - luks-auto-key.service দ্বারা তৈরি অস্থায়ী ফাইলগুলি পরিষ্কার করে

এবং luks-auto-generator.sh হল একটি স্ক্রিপ্ট যা systemd দ্বারা চালু হয় এবং কার্নেল প্যারামিটারের উপর ভিত্তি করে ইউনিট তৈরি করে। অনুরূপ জেনারেটর fstab ইউনিট দ্বারা তৈরি করা হয়, ইত্যাদি।

luks-auto-generator.sh

drop-in.conf ব্যবহার করে, স্ট্যান্ডার্ড systemd-cryptsetup-এর আচরণ তাদের নির্ভরতার সাথে luks-auto.target যোগ করে পরিবর্তন করা হয়।

luks-auto-key.service এবং luks-auto-key.sh

এই ইউনিট luks-auto-key.sh স্ক্রিপ্ট চালায়, যা, rd.luks.* কীগুলির উপর ভিত্তি করে, কীগুলির সাথে মিডিয়া খুঁজে পায় এবং আরও ব্যবহারের জন্য একটি অস্থায়ী ডিরেক্টরিতে অনুলিপি করে। প্রক্রিয়াটি সম্পন্ন হওয়ার পরে, কীগুলি অস্থায়ী ডিরেক্টরি থেকে luks-auto-clean.service দ্বারা মুছে ফেলা হয়।

সূত্র:

/usr/lib/dracut/modules.d/99luks-auto/module-setup.sh

#!/bin/bash

check () {
        if ! dracut_module_included "systemd"; then
                "luks-auto needs systemd in the initramfs"
                return 1
        fi
        return 255
}

depends () {
        echo "systemd"
        return 0
}

install () {
        inst "$systemdutildir/systemd-cryptsetup"
		inst_script "$moddir/luks-auto-generator.sh" "$systemdutildir/system-generators/luks-auto-generator.sh"
		inst_script "$moddir/luks-auto-key.sh" "/etc/systemd/system/luks-auto-key.sh"
		inst_script "$moddir/luks-auto.sh" "/etc/systemd/system/luks-auto.sh"
		inst "$moddir/luks-auto.target" "${systemdsystemunitdir}/luks-auto.target"
		inst "$moddir/luks-auto-key.service" "${systemdsystemunitdir}/luks-auto-key.service"
		inst "$moddir/luks-auto-clean.service" "${systemdsystemunitdir}/luks-auto-clean.service"
		ln_r "${systemdsystemunitdir}/luks-auto.target" "${systemdsystemunitdir}/initrd.target.wants/luks-auto.target"
		ln_r "${systemdsystemunitdir}/luks-auto-key.service" "${systemdsystemunitdir}/initrd.target.wants/luks-auto-key.service"
		ln_r "${systemdsystemunitdir}/luks-auto-clean.service" "${systemdsystemunitdir}/initrd.target.wants/luks-auto-clean.service"
}

/usr/lib/dracut/modules.d/99luks-auto/luks-auto-generator.sh

#!/bin/sh
# -*- mode: shell-script; indent-tabs-mode: nil; sh-basic-offset: 4; -*-
# ex: ts=8 sw=4 sts=4 et filetype=sh

. /lib/dracut-lib.sh

SYSTEMD_RUN='/run/systemd/system'
CRYPTSETUP='/usr/lib/systemd/systemd-cryptsetup'
TOUT=$(getargs rd.luks.key.tout)
if [ ! -z "$TOUT" ]; then
	mkdir -p "${SYSTEMD_RUN}/luks-auto-key.service.d"
	cat > "${SYSTEMD_RUN}/luks-auto-key.service.d/drop-in.conf"  <<EOF
[Service]
Type=oneshot
ExecStartPre=/usr/bin/sleep $TOUT

EOF
fi
mkdir -p "$SYSTEMD_RUN/luks-auto.target.wants"
for argv in $(getargs rd.luks.uuid -d rd_LUKS_UUID); do
	_UUID=${argv#luks-}
	_UUID_ESC=$(systemd-escape -p $_UUID)
	mkdir -p "${SYSTEMD_RUN}/systemd-cryptsetup@luksx2d${_UUID_ESC}.service.d"
	cat > "${SYSTEMD_RUN}/systemd-cryptsetup@luksx2d${_UUID_ESC}.service.d/drop-in.conf"  <<EOF
[Unit]
After=luks-auto.target
ConditionPathExists=!/dev/mapper/luks-${_UUID}

EOF
	cat > "${SYSTEMD_RUN}/luks-auto@${_UUID_ESC}.service"  <<EOF
[Unit]
Description=luks-auto Cryptography Setup for %I
DefaultDependencies=no
Conflicts=umount.target
IgnoreOnIsolate=true
Before=luks-auto.target
BindsTo=dev-disk-byx2duuid-${_UUID_ESC}.device
After=dev-disk-byx2duuid-${_UUID_ESC}.device luks-auto-key.service
Before=umount.target

[Service]
Type=oneshot
RemainAfterExit=yes
TimeoutSec=0
ExecStart=/etc/systemd/system/luks-auto.sh ${_UUID}
ExecStop=$CRYPTSETUP detach 'luks-${_UUID}'
Environment=DRACUT_SYSTEMD=1
StandardInput=null
StandardOutput=syslog
StandardError=syslog+console

EOF
ln -fs ${SYSTEMD_RUN}/luks-auto@${_UUID_ESC}.service $SYSTEMD_RUN/luks-auto.target.wants/luks-auto@${_UUID_ESC}.service
done

/usr/lib/dracut/modules.d/99luks-auto/luks-auto-key.service

[Unit]
Description=LUKS AUTO key searcher
After=cryptsetup-pre.target
Before=luks-auto.target
DefaultDependencies=no

[Service]
Environment=DRACUT_SYSTEMD=1
Type=oneshot
ExecStartPre=/usr/bin/sleep 1
ExecStart=/etc/systemd/system/luks-auto-key.sh
RemainAfterExit=true
StandardInput=null
StandardOutput=syslog
StandardError=syslog+console

/usr/lib/dracut/modules.d/99luks-auto/luks-auto-key.sh

#!/bin/sh
# -*- mode: shell-script; indent-tabs-mode: nil; sh-basic-offset: 4; -*-
# ex: ts=8 sw=4 sts=4 et filetype=sh
export DRACUT_SYSTEMD=1

. /lib/dracut-lib.sh
MNT_B="/tmp/luks-auto"
ARG=$(getargs rd.luks.key)
IFS=$':' _t=(${ARG})
KEY=${_t[0]}
F_FIELD=''
F_VALUE=''
if [ ! -z $KEY ] && [ ! -z ${_t[1]} ];then
	IFS=$'=' _t=(${_t[1]})
	F_FIELD=${_t[0]}
	F_VALUE=${_t[1]}
	F_VALUE="${F_VALUE%"}"
	F_VALUE="${F_VALUE#"}"
fi
mkdir -p $MNT_B

finding_luks_keys(){
	local _DEVNAME=''
	local _UUID=''
	local _TYPE=''
	local _LABEL=''
	local _MNT=''
	local _KEY="$1"
	local _F_FIELD="$2"
	local _F_VALUE="$3"
	local _RET=0	
	blkid -s TYPE -s UUID -s LABEL -u filesystem | grep -v -E -e "TYPE=".*_member"" -e "TYPE="crypto_.*"" -e "TYPE="swap"" | while IFS=$'' read -r _line; do
		IFS=$':' _t=($_line);
		_DEVNAME=${_t[0]}
		_UUID=''
		_TYPE=''
		_LABEL=''
		_MNT=''
		IFS=$' ' _t=(${_t[1]});
		for _a in "${_t[@]}"; do
			IFS=$'=' _v=(${_a});
			temp="${_v[1]%"}"
			temp="${temp#"}"
			case ${_v[0]} in
				'UUID')
					_UUID=$temp
				;;
				'TYPE')
					_TYPE=$temp
				;;
				'LABEL')
					_LABEL=$temp
				;;
			esac
		done
		if [ ! -z "$_F_FIELD" ];then
			case $_F_FIELD in
				'UUID')
					[ ! -z "$_F_VALUE" ] && [ "$_UUID" != "$_F_VALUE" ] && continue
				;;
				'LABEL')
					[ ! -z "$_F_VALUE" ] && [ "$_LABEL" != "$_F_VALUE" ] && continue
				;;
				*)
					[ "$_DEVNAME" != "$_F_FIELD" ] && continue
				;;
			esac
		fi
		_MNT=$(findmnt -n -o TARGET $_DEVNAME)
		if [ -z "$_MNT" ]; then
			_MNT=${MNT_B}/KEY-${_UUID}
			mkdir -p "$_MNT" && mount -o ro "$_DEVNAME" "$_MNT"
			_RET=$?
		else
			_RET=0
		fi
		if [ "${_RET}" -eq 0 ] && [ -f "${_MNT}/${_KEY}" ]; then
			cp "${_MNT}/${_KEY}" "$MNT_B/${_UUID}.key"
			info "Found ${_MNT}/${_KEY} on ${_UUID}"
		fi
		if [[ "${_MNT}" =~ "${MNT_B}" ]]; then
			umount "$_MNT" && rm -rfd --one-file-system "$_MNT"						
		fi
	done
	return 0
}
finding_luks_keys $KEY $F_FIELD $F_VALUE

/usr/lib/dracut/modules.d/99luks-auto/luks-auto.target

[Unit]
Description=LUKS AUTO target
After=systemd-readahead-collect.service systemd-readahead-replay.service
After=cryptsetup-pre.target luks-auto-key.service
Before=cryptsetup.target

/usr/lib/dracut/modules.d/99luks-auto/luks-auto.sh

#!/bin/sh
# -*- mode: shell-script; indent-tabs-mode: nil; sh-basic-offset: 4; -*-
# ex: ts=8 sw=4 sts=4 et filetype=sh
export DRACUT_SYSTEMD=1
. /lib/dracut-lib.sh

MNT_B="/tmp/luks-auto"
CRYPTSETUP='/usr/lib/systemd/systemd-cryptsetup'

for i in $(ls -p $MNT_B | grep -v /);do
	info "Trying $i on $1..."
	$CRYPTSETUP attach "luks-$1" "/dev/disk/by-uuid/$1" $MNT_B/$i 'tries=1'
	if [ "$?" -eq "0" ]; then
		info "Found $i for $1"
		exit 0
	fi
done
warn "No key found for $1.  Fallback to passphrase mode."

/usr/lib/dracut/modules.d/99luks-auto/luks-auto-clean.service

[Unit]
Description=LUKS AUTO key cleaner
After=cryptsetup.target
DefaultDependencies=no

[Service]
Type=oneshot
ExecStart=/usr/bin/rm -rfd --one-file-system /tmp/luks-auto

/etc/dracut.conf.d/luks-auto.conf

add_dracutmodules+=" luks-auto "

বিন্যাস

mkdir -p /usr/lib/dracut/modules.d/99luks-auto/
# размещаем тут почти все файлы
chmod +x /usr/lib/dracut/modules.d/99luks-auto/*.sh
# создаем файл /etc/dracut.conf.d/luks-auto.conf
# И генерируем новый initramfs
dracut -f

উপসংহার

সুবিধার জন্য, আমি sysvinit মোডের মতো কার্নেল কমান্ড লাইন বিকল্পগুলির সাথে সামঞ্জস্য বজায় রেখেছি, যা পুরানো ইনস্টলেশনে ব্যবহার করা সহজ করে তোলে।

উত্স: www.habr.com