સિસ્ટમ બુટ સમયે LUKS કન્ટેનરને ડિક્રિપ્ટ કરી રહ્યા છીએ

બધાને શુભ દિવસ અને રાત! આ પોસ્ટ તે લોકો માટે ઉપયોગી થશે જેઓ LUKS ડેટા એન્ક્રિપ્શનનો ઉપયોગ કરે છે અને Linux (Debian, Ubuntu) હેઠળ ડિસ્કને ડિક્રિપ્ટ કરવા માગે છે. રુટ પાર્ટીશનને ડિક્રિપ્ટ કરવાના તબક્કા. અને મને ઇન્ટરનેટ પર આવી માહિતી મળી શકી નથી.

તાજેતરમાં, છાજલીઓમાં ડિસ્કની સંખ્યામાં વધારા સાથે, હું /etc/crypttab દ્વારા જાણીતી પદ્ધતિનો ઉપયોગ કરીને ડિસ્કને ડિક્રિપ્ટ કરવાની સમસ્યાનો સામનો કરી રહ્યો છું. અંગત રીતે, હું આ પદ્ધતિનો ઉપયોગ કરવામાં કેટલીક સમસ્યાઓ પ્રકાશિત કરું છું, એટલે કે ફાઇલ વાંચવામાં આવી રહી છે રુટ પાર્ટીશન લોડ (માઉન્ટ) કર્યા પછી જ, જે ZFS આયાતોને નકારાત્મક રીતે અસર કરે છે, ખાસ કરીને જો તેઓ *_crypt ઉપકરણ પર પાર્ટીશનોમાંથી બનાવવામાં આવ્યા હોય, અથવા mdadm રેઇડ્સ પણ પાર્ટીશનોમાંથી બનેલ હોય. અમે બધા જાણીએ છીએ કે તમે LUKS કન્ટેનર પર પાર્ટેડનો ઉપયોગ કરી શકો છો, બરાબર? અને અન્ય સેવાઓની પ્રારંભિક શરૂઆતની સમસ્યા પણ, જ્યારે હજી સુધી કોઈ એરે નથી, પરંતુ ઉપયોગ કરો મને પહેલેથી જ કંઈક જોઈએ છે (હું iSCSI પર ક્લસ્ટર્ડ Proxmox VE 5.x અને ZFS સાથે કામ કરું છું).

ZFSoverISCSI વિશે થોડુંiSCSI મારા માટે LIO મારફતે કામ કરે છે, અને વાસ્તવમાં, જ્યારે iscsi લક્ષ્ય શરૂ થાય છે અને ZVOL ઉપકરણોને જોતું નથી, ત્યારે તે ફક્ત તેમને રૂપરેખાંકનમાંથી દૂર કરે છે, જે મહેમાન સિસ્ટમોને બુટ થવાથી અટકાવે છે. આથી, કાં તો json ફાઇલ બેકઅપ પુનઃસ્થાપિત કરવું, અથવા દરેક VM માટે ઓળખકર્તાઓ સાથે મેન્યુઅલી ઉપકરણો ઉમેરવા, જે આવા ડઝનેક મશીનો હોય અને દરેક રૂપરેખાંકનમાં 1 થી વધુ ડિસ્ક હોય ત્યારે તે ભયંકર હોય છે.

અને બીજો પ્રશ્ન કે જે હું ધ્યાનમાં લઈશ તે છે કેવી રીતે ડિક્રિપ્ટ કરવું (આ લેખનો મુખ્ય મુદ્દો છે). અને અમે નીચે આ વિશે વાત કરીશું, કટ હેઠળ જાઓ!

મોટેભાગે, ઇન્ટરનેટ પર, કી ફાઇલનો ઉપયોગ કરવામાં આવે છે (આ પહેલાં સ્લોટમાં સ્વ-ઉમેરવામાં આવે છે - ક્રિપ્ટસેટઅપ luksAddKey), અથવા દુર્લભ અપવાદોમાં (રશિયન-ભાષાના ઇન્ટરનેટ પર ખૂબ ઓછી માહિતી છે) - decrypt_derived સ્ક્રિપ્ટ /lib/cryptsetup/script/ માં સ્થિત છે (અલબત્ત, ત્યાં અન્ય રીતો છે, પરંતુ મેં આ બેનો ઉપયોગ કર્યો, જેણે લેખનો આધાર બનાવ્યો). મેં કન્સોલમાં કોઈપણ વધારાના આદેશો વિના, રીબૂટ કર્યા પછી સંપૂર્ણ સ્વાયત્ત સમાવેશ માટે પણ પ્રયત્ન કર્યો, જેથી મારા માટે એક જ સમયે બધું "ઉડી જાય". તેથી, શા માટે રાહ જુઓ? -

ચાલો, શરુ કરીએ!

ચાલો ધારીએ કે ડેબિયન જેવી સિસ્ટમ, sda3_crypt ક્રિપ્ટો પાર્ટીશન પર ઇન્સ્ટોલ કરેલ છે અને એક ડઝન ડિસ્ક એનક્રિપ્ટ કરવા માટે તૈયાર છે અને તમારા હૃદયની સામગ્રી માટે બનાવવામાં આવી છે. sda3_crypt ને અનલૉક કરવા માટે અમારી પાસે પાસફ્રેઝ (પાસફ્રેઝ) છે, અને આ પાર્ટીશનમાંથી જ આપણે ચાલી રહેલી (ડિક્રિપ્ટેડ) સિસ્ટમ પરના પાસવર્ડમાંથી "હેશ" દૂર કરીશું અને તેને બાકીની ડિસ્કમાં ઉમેરીશું. બધું પ્રાથમિક છે, કન્સોલમાં આપણે ચલાવીએ છીએ:

/lib/cryptsetup/scripts/decrypt_derived sda3_crypt | cryptsetup luksFormat /dev/sdX

જ્યાં X એ આપણી ડિસ્ક, પાર્ટીશનો વગેરે છે.

અમારા પાસફ્રેઝમાંથી "હેશ" સાથે ડિસ્કને એન્ક્રિપ્ટ કર્યા પછી, તમારે UUID અથવા ID શોધવાની જરૂર છે - કોણ શું અને શું માટે વપરાય છે તેના આધારે. અમે અનુક્રમે /dev/disk/by-uuid અને by-id પરથી ડેટા લઈએ છીએ.

આગળનું પગલું આપણને જરૂરી કાર્યો માટે ફાઇલો અને મીની-સ્ક્રીપ્ટ્સ તૈયાર કરવાનું છે, ચાલો આગળ વધીએ:

cp -p /usr/share/initramfs-tools/hooks/cryptroot /etc/initramfs-tools/hooks/
cp -p /usr/share/initramfs-tools/scripts/local-top/cryptroot /etc/initramfs-tools/scripts/local-top/

વધુ

touch /etc/initramfs-tools/hooks/decrypt && chmod +x /etc/initramfs-tools/hooks/decrypt

../ડિક્રિપ્ટની સામગ્રી

#!/bin/sh

cp -p /lib/cryptsetup/scripts/decrypt_derived "$DESTDIR/bin/decrypt_derived"

વધુ

touch /etc/initramfs-tools/hooks/partcopy && chmod +x /etc/initramfs-tools/hooks/partcopy

../partcopy ની સામગ્રી

#!/bin/sh

cp -p /sbin/partprobe "$DESTDIR/bin/partprobe"
cp -p /lib/x86_64-linux-gnu/libparted.so.2 "$DESTDIR/lib/x86_64-linux-gnu/libparted.so.2"
cp -p /lib/x86_64-linux-gnu/libreadline.so.7 "$DESTDIR/lib/x86_64-linux-gnu/libreadline.so.7"

થોડી વધુ

touch /etc/initramfs-tools/scripts/local-bottom/partprobe && chmod +x /etc/initramfs-tools/scripts/local-bottom/partprobe

સામગ્રી ../પાર્ટપ્રોબ

#!/bin/sh

$DESTDIR/bin/partprobe

અને છેલ્લે, અપડેટ-initramfs પહેલાં, તમારે /etc/initramfs-tools/scripts/local-top/cryptroot ફાઇલને સંપાદિત કરવાની જરૂર છે, ~360, નીચે કોડ સ્નિપેટથી શરૂ કરીને

મૂળ

                # decrease $count by 1, apparently last try was successful.
                count=$(( $count - 1 ))
                
                message "cryptsetup ($crypttarget): set up successfully"
                break

અને તેને આ ફોર્મ પર લાવો

સંપાદિત

                # decrease $count by 1, apparently last try was successful.
                count=$(( $count - 1 ))
                

                /bin/decrypt_derived $crypttarget | cryptsetup luksOpen /dev/disk/by-uuid/ *CRYPT_MAP*
                /bin/decrypt_derived $crypttarget | cryptsetup luksOpen /dev/disk/by-id/ *CRYPT_MAP*

                message "cryptsetup ($crypttarget): set up successfully"
                break

નોંધ કરો કે અહીં UUID અથવા ID નો ઉપયોગ કરી શકાય છે. મુખ્ય વસ્તુ એ છે કે HDD / SSD ઉપકરણો માટે જરૂરી ડ્રાઇવરો /etc/initramfs-tools/modules માં ઉમેરવામાં આવે છે. કમાન્ડ વડે તમે શોધી શકો છો કે કયા ડ્રાઇવરનો ઉપયોગ કરવામાં આવી રહ્યો છે udevadm માહિતી -a -n /dev/sdX | egrep 'લુકિંગ|ડ્રાઈવર'.

હવે અમે પૂર્ણ કરી લીધું છે અને બધી ફાઇલો સ્થાને છે, ચલાવો અપડેટ-initramfs -u -k all -v, લોગીંગમાં ન હોવી જોઈએ અમારી સ્ક્રિપ્ટોની એક્ઝેક્યુશન ભૂલો. અમે રીબૂટ કરીએ છીએ, પાસફ્રેઝ દાખલ કરીએ છીએ અને ડિસ્કની સંખ્યાના આધારે થોડી રાહ જુઓ. આગળ, સિસ્ટમ શરૂ થશે અને લોંચના અંતિમ તબક્કે, એટલે કે રૂટ પાર્ટીશનને “માઉન્ટ” કર્યા પછી, પાર્ટપ્રોબ આદેશ ચલાવવામાં આવશે - તે LUKS ઉપકરણો અને કોઈપણ એરે પર બનાવેલ તમામ પાર્ટીશનો શોધી અને પસંદ કરશે, પછી તે ZFS હોય અથવા mdadm, સમસ્યા વિના એસેમ્બલ કરવામાં આવશે! અને આ બધું લોડ કરતા પહેલા મુખ્ય સેવાઓ અને સેવાઓ કે જેને આ ડિસ્ક/એરેની જરૂર છે.

અપડેટ 1: કેવી રીતે નોંધ્યું એ.ઇ.પી., આ પદ્ધતિ માત્ર LUKS1 માટે કામ કરે છે.

સોર્સ: www.habr.com