সিস্টেম বুট করার সময় একটি LUKS কন্টেইনার ডিক্রিপ্ট করা হচ্ছে

শুভ দিন রাত সবাই! যারা LUKS ডেটা এনক্রিপশন ব্যবহার করেন এবং লিনাক্স (ডেবিয়ান, উবুন্টু) এর অধীনে ডিক্রিপ্ট করতে চান তাদের জন্য এই পোস্টটি কার্যকর হবে রুট পার্টিশন ডিক্রিপ্ট করার পর্যায়. এবং আমি ইন্টারনেটে এমন তথ্য খুঁজে পাইনি।

অতি সম্প্রতি, তাকগুলিতে ডিস্কের সংখ্যা বৃদ্ধির সাথে, আমি /etc/crypttab-এর মাধ্যমে সুপরিচিত পদ্ধতি ব্যবহার করে ডিক্রিপ্ট করার সমস্যায় পড়েছি। ব্যক্তিগতভাবে, আমি এই পদ্ধতিটি ব্যবহার করার সাথে কয়েকটি সমস্যা হাইলাইট করি, যেমন ফাইলটি পড়া হচ্ছে শুধুমাত্র রুট পার্টিশন লোড করার (মাউন্ট) পরে, যা ZFS আমদানিকে নেতিবাচকভাবে প্রভাবিত করে, বিশেষ করে যদি সেগুলি একটি *_crypt ডিভাইসে পার্টিশন থেকে তৈরি করা হয়, অথবা mdadm রেইডগুলিও পার্টিশন থেকে তৈরি করা হয়। আমরা সবাই জানি যে আপনি LUKS পাত্রে parted ব্যবহার করতে পারেন, তাই না? এবং অন্যান্য পরিষেবাগুলির প্রাথমিক শুরুর সমস্যা, যখন এখনও কোনও অ্যারে নেই, কিন্তু ব্যবহার করতে আমার ইতিমধ্যেই কিছু দরকার (আমি ক্লাস্টারড Proxmox VE 5.x এবং ZFS এর সাথে iSCSI তে কাজ করি)।

ZFSoverISCSI সম্পর্কে একটুiSCSI আমার জন্য LIO এর মাধ্যমে কাজ করে, এবং প্রকৃতপক্ষে, যখন iscsi টার্গেট শুরু হয় এবং ZVOL ডিভাইসগুলি দেখতে পায় না, এটি কেবল তাদের কনফিগারেশন থেকে সরিয়ে দেয়, যা গেস্ট সিস্টেমগুলিকে বুট করা থেকে বাধা দেয়। তাই, হয় একটি json ফাইলের ব্যাকআপ পুনরুদ্ধার করা, অথবা ম্যানুয়ালি প্রতিটি VM-এর জন্য শনাক্তকারী সহ ডিভাইসগুলি যোগ করা, যেটি কেবল ভয়ঙ্কর যখন এরকম কয়েক ডজন মেশিন থাকে এবং প্রতিটি কনফিগারেশনে 1টির বেশি ডিস্ক থাকে।

এবং দ্বিতীয় প্রশ্ন যা আমি বিবেচনা করব তা হল কিভাবে ডিক্রিপ্ট করা যায় (এটি নিবন্ধের মূল বিষয়)। এবং আমরা নীচে এই সম্পর্কে কথা বলতে হবে, কাটা অধীনে যান!

প্রায়শই, ইন্টারনেটে, একটি কী ফাইল ব্যবহার করা হয় (এর আগে স্লটে স্ব-সংযোজিত - ক্রিপ্টসেটআপ luksAddKey কমান্ড দ্বারা), বা বিরল ব্যতিক্রমগুলিতে (রাশিয়ান-ভাষার ইন্টারনেটে খুব কম তথ্য রয়েছে) - ডিক্রিপ্ট_ডিরিভড স্ক্রিপ্ট /lib/cryptsetup/script/ এ অবস্থিত (অবশ্যই, অন্যান্য উপায় আছে, কিন্তু আমি এই দুটি ব্যবহার করেছি, যা নিবন্ধের ভিত্তি তৈরি করেছে)। আমি রিবুট করার পরে সম্পূর্ণ স্বায়ত্তশাসিত অন্তর্ভুক্তির জন্য চেষ্টা করেছি, কনসোলে কোনও অতিরিক্ত কমান্ড ছাড়াই, যাতে সবকিছু একবারে আমার জন্য "উড়ে যায়"৷ অতএব, কেন অপেক্ষা? -

চল শুরু করি!

ধরুন ডেবিয়ানের মতো একটি সিস্টেম, একটি sda3_crypt ক্রিপ্টো পার্টিশনে ইনস্টল করা আছে এবং এক ডজন ডিস্ক এনক্রিপ্ট করার জন্য প্রস্তুত এবং আপনার হৃদয়ের বিষয়বস্তুতে তৈরি করা হয়েছে। sda3_crypt আনলক করার জন্য আমাদের কাছে একটি পাসফ্রেজ (পাসফ্রেজ) রয়েছে এবং এই পার্টিশন থেকে আমরা চলমান (ডিক্রিপ্ট করা) সিস্টেমের পাসওয়ার্ড থেকে "হ্যাশ" সরিয়ে ফেলব এবং বাকি ডিস্কগুলিতে এটি যুক্ত করব। সবকিছুই প্রাথমিক, আমরা যে কনসোলে কার্যকর করি:

/lib/cryptsetup/scripts/decrypt_derived sda3_crypt | cryptsetup luksFormat /dev/sdX

যেখানে X হল আমাদের ডিস্ক, পার্টিশন ইত্যাদি।

আমাদের পাসফ্রেজ থেকে একটি "হ্যাশ" দিয়ে ডিস্কগুলি এনক্রিপ্ট করার পরে, আপনাকে UUID বা ID খুঁজে বের করতে হবে - কে কী এবং কী ব্যবহার করে তার উপর নির্ভর করে। আমরা যথাক্রমে /dev/disk/by-uuid এবং by-id থেকে ডেটা নিই।

পরবর্তী ধাপে আমাদের কাজ করার জন্য প্রয়োজনীয় ফাংশনগুলির জন্য ফাইল এবং মিনি-স্ক্রিপ্ট প্রস্তুত করা হচ্ছে, আসুন এগিয়ে যাই:

cp -p /usr/share/initramfs-tools/hooks/cryptroot /etc/initramfs-tools/hooks/
cp -p /usr/share/initramfs-tools/scripts/local-top/cryptroot /etc/initramfs-tools/scripts/local-top/

অধিকতর

touch /etc/initramfs-tools/hooks/decrypt && chmod +x /etc/initramfs-tools/hooks/decrypt

../ডিক্রিপ্টের বিষয়বস্তু

#!/bin/sh

cp -p /lib/cryptsetup/scripts/decrypt_derived "$DESTDIR/bin/decrypt_derived"

অধিকতর

touch /etc/initramfs-tools/hooks/partcopy && chmod +x /etc/initramfs-tools/hooks/partcopy

../partcopy এর বিষয়বস্তু

#!/bin/sh

cp -p /sbin/partprobe "$DESTDIR/bin/partprobe"
cp -p /lib/x86_64-linux-gnu/libparted.so.2 "$DESTDIR/lib/x86_64-linux-gnu/libparted.so.2"
cp -p /lib/x86_64-linux-gnu/libreadline.so.7 "$DESTDIR/lib/x86_64-linux-gnu/libreadline.so.7"

আরো কিছু

touch /etc/initramfs-tools/scripts/local-bottom/partprobe && chmod +x /etc/initramfs-tools/scripts/local-bottom/partprobe

বিষয়বস্তু ../partprobe

#!/bin/sh

$DESTDIR/bin/partprobe

এবং সর্বশেষ, আপডেট-initramfs-এর আগে, আপনাকে /etc/initramfs-tools/scripts/local-top/cryptroot ফাইলটি সম্পাদনা করতে হবে, লাইন ~360 থেকে শুরু করে, নীচের কোড স্নিপেট

মূল

                # decrease $count by 1, apparently last try was successful.
                count=$(( $count - 1 ))
                
                message "cryptsetup ($crypttarget): set up successfully"
                break

এবং এটি এই ফর্মে আনুন

সম্পাদিত

                # decrease $count by 1, apparently last try was successful.
                count=$(( $count - 1 ))
                

                /bin/decrypt_derived $crypttarget | cryptsetup luksOpen /dev/disk/by-uuid/ *CRYPT_MAP*
                /bin/decrypt_derived $crypttarget | cryptsetup luksOpen /dev/disk/by-id/ *CRYPT_MAP*

                message "cryptsetup ($crypttarget): set up successfully"
                break

উল্লেখ্য যে এখানে UUID বা ID ব্যবহার করা যেতে পারে। প্রধান বিষয় হল যে HDD/SSD ডিভাইসের জন্য প্রয়োজনীয় ড্রাইভারগুলি /etc/initramfs-tools/modules-এ যোগ করা হয়েছে। কমান্ড দিয়ে কোন ড্রাইভার ব্যবহার করা হচ্ছে তা জানতে পারবেন udevadm তথ্য -a -n /dev/sdX | ইগ্রেপ 'লুকিং|ড্রাইভার'.

এখন আমরা সম্পন্ন করেছি এবং সমস্ত ফাইল জায়গায় আছে, চালান আপডেট-initramfs -u -k all -v, লগিং ইন অবশ্যই না আমাদের স্ক্রিপ্টের এক্সিকিউশন ত্রুটি। আমরা রিবুট করি, পাসফ্রেজ লিখি এবং ডিস্কের সংখ্যার উপর নির্ভর করে একটু অপেক্ষা করি। এর পরে, সিস্টেমটি শুরু হবে এবং লঞ্চের চূড়ান্ত পর্যায়ে, যেমন রুট পার্টিশনটিকে "মাউন্ট" করার পরে, পার্টপ্রোব কমান্ডটি কার্যকর করা হবে - এটি LUKS ডিভাইসে এবং যেকোন অ্যারেতে তৈরি করা সমস্ত পার্টিশন খুঁজে পাবে এবং বাছাই করবে, তা ZFS হোক বা mdadm, সমস্যা ছাড়াই একত্রিত হবে! এবং এই সব লোড করার আগে মূল পরিষেবা এবং পরিষেবাগুলির জন্য এই ডিস্ক/অ্যারেগুলির প্রয়োজন৷

আপডেট 1: কিভাবে খেয়াল AEP, এই পদ্ধতিটি শুধুমাত্র LUKS1 এর জন্য কাজ করে।

উত্স: www.habr.com