ProHoster > Blog > Stjórnsýsla > dracut + systemd + LUKS + usbflash = sjálfvirk opnun

dracut + systemd + LUKS + usbflash = sjálfvirk opnun

Sagan hófst fyrir löngu síðan, þegar Centos 7 (RHEL 7) kom út. Ef þú notaðir dulkóðun á drifum með Centos 6, þá voru engin vandamál með sjálfvirka opnun á drifum þegar þú tengdir USB glampi drif með nauðsynlegum lyklum. Hins vegar, þegar 7 var sleppt, virkaði allt í einu ekki eins og maður var vanur. Þá var hægt að finna lausn í því að skila dracut til sysvinit með því að nota einfalda línu í stillingunni: echo 'omit_dracutmodules+=" systemd "' > /etc/dracut.conf.d/luks-workaround.conf
Sem svipti okkur strax allri fegurð systemd - hratt og samhliða ræsingu kerfisþjónustu, sem minnkaði ræsingartíma kerfisins verulega.
Hlutirnir eru enn til staðar: 905683
Án þess að bíða eftir lausn, gerði ég það fyrir sjálfan mig, og nú er ég að deila því með almenningi, sem hefur áhuga, lestu áfram.
dracut + systemd + LUKS + usbflash = sjálfvirk opnun

Inngangur

Systemd, þegar ég byrjaði fyrst að vinna með Centos 7, olli engum tilfinningum, þar sem fyrir utan smávægilegar breytingar á setningafræði þjónustustjórnunar, fann ég ekki mikinn mun í fyrstu. Í kjölfarið líkaði mér við systemd, en fyrstu sýn var svolítið skemmd, þar sem dracut forritararnir eyddu ekki miklum tíma í að styðja við ræsingarferlið með því að nota systemd í tengslum við dulkóðun diska. Almennt séð virkaði það, en það er ekki það áhugaverðasta að slá inn lykilorðið á disknum í hvert skipti sem þjónninn fer í gang.
Eftir að hafa prófað fullt af ráðleggingum og kynnt mér handbókina áttaði ég mig á því að í kerfisstillingu er uppsetning með USB möguleg, en aðeins með handvirkri tengingu hvers disks við lykil á USB diski, og USB diskurinn sjálfur er aðeins hægt að tengja með því UUID, LABEL virkaði ekki. Það var ekki mjög þægilegt að halda þessu við heima, svo á endanum hljóp ég út í biðina og eftir að hafa beðið í tæp 7 ár áttaði ég mig á því að enginn ætlaði að leysa vandamálið.

Vandamál

Auðvitað getur næstum hver sem er skrifað sitt eigið viðbót fyrir dracut, en að láta það virka er ekki lengur svo auðvelt. Það kom í ljós að vegna samhliða eðlis kerfisræsingar er ekki svo auðvelt að hafa kóðann þinn með og breyta framvindu hleðslunnar. Skjölin fyrir dracut útskýrðu ekki allt. Hins vegar, eftir langar tilraunir, tókst mér að leysa vandamálið.

Hvernig virkar það

Það er byggt á þremur einingum:

  1. luks-auto-key.service - leitar að drifum með lyklum fyrir LUKS
  2. luks-auto.target - virkar sem ósjálfstæði fyrir innbyggðar systemd-cryptsetup einingar
  3. luks-auto-clean.service - hreinsar tímabundnar skrár búnar til af luks-auto-key.service

Og luks-auto-generator.sh er handrit sem er sett af systemd og býr til einingar byggðar á kjarnabreytum. Svipaðir rafala eru búnir til með fstab einingum osfrv.

luks-auto-generator.sh

Með því að nota drop-in.conf er hegðun staðlaðrar systemd-cryptsetup breytt með því að bæta luks-auto.target við ósjálfstæði þeirra.

luks-auto-key.service og luks-auto-key.sh

Þessi eining keyrir luks-auto-key.sh forskriftina, sem, byggt á rd.luks.* lyklunum, finnur miðla með lyklunum og afritar þá í bráðabirgðaskrá til frekari notkunar. Eftir að ferlinu er lokið er lyklunum eytt úr bráðabirgðaskránni af luks-auto-clean.service.

Heimildir:

/usr/lib/dracut/modules.d/99luks-auto/module-setup.sh

#!/bin/bash

check () {
        if ! dracut_module_included "systemd"; then
                "luks-auto needs systemd in the initramfs"
                return 1
        fi
        return 255
}

depends () {
        echo "systemd"
        return 0
}

install () {
        inst "$systemdutildir/systemd-cryptsetup"
		inst_script "$moddir/luks-auto-generator.sh" "$systemdutildir/system-generators/luks-auto-generator.sh"
		inst_script "$moddir/luks-auto-key.sh" "/etc/systemd/system/luks-auto-key.sh"
		inst_script "$moddir/luks-auto.sh" "/etc/systemd/system/luks-auto.sh"
		inst "$moddir/luks-auto.target" "${systemdsystemunitdir}/luks-auto.target"
		inst "$moddir/luks-auto-key.service" "${systemdsystemunitdir}/luks-auto-key.service"
		inst "$moddir/luks-auto-clean.service" "${systemdsystemunitdir}/luks-auto-clean.service"
		ln_r "${systemdsystemunitdir}/luks-auto.target" "${systemdsystemunitdir}/initrd.target.wants/luks-auto.target"
		ln_r "${systemdsystemunitdir}/luks-auto-key.service" "${systemdsystemunitdir}/initrd.target.wants/luks-auto-key.service"
		ln_r "${systemdsystemunitdir}/luks-auto-clean.service" "${systemdsystemunitdir}/initrd.target.wants/luks-auto-clean.service"
}

/usr/lib/dracut/modules.d/99luks-auto/luks-auto-generator.sh


#!/bin/sh
# -*- mode: shell-script; indent-tabs-mode: nil; sh-basic-offset: 4; -*-
# ex: ts=8 sw=4 sts=4 et filetype=sh

. /lib/dracut-lib.sh

SYSTEMD_RUN='/run/systemd/system'
CRYPTSETUP='/usr/lib/systemd/systemd-cryptsetup'
TOUT=$(getargs rd.luks.key.tout)
if [ ! -z "$TOUT" ]; then
	mkdir -p "${SYSTEMD_RUN}/luks-auto-key.service.d"
	cat > "${SYSTEMD_RUN}/luks-auto-key.service.d/drop-in.conf"  <<EOF
[Service]
Type=oneshot
ExecStartPre=/usr/bin/sleep $TOUT

EOF
fi
mkdir -p "$SYSTEMD_RUN/luks-auto.target.wants"
for argv in $(getargs rd.luks.uuid -d rd_LUKS_UUID); do
	_UUID=${argv#luks-}
	_UUID_ESC=$(systemd-escape -p $_UUID)
	mkdir -p "${SYSTEMD_RUN}/systemd-cryptsetup@luksx2d${_UUID_ESC}.service.d"
	cat > "${SYSTEMD_RUN}/systemd-cryptsetup@luksx2d${_UUID_ESC}.service.d/drop-in.conf"  <<EOF
[Unit]
After=luks-auto.target
ConditionPathExists=!/dev/mapper/luks-${_UUID}

EOF
	cat > "${SYSTEMD_RUN}/luks-auto@${_UUID_ESC}.service"  <<EOF
[Unit]
Description=luks-auto Cryptography Setup for %I
DefaultDependencies=no
Conflicts=umount.target
IgnoreOnIsolate=true
Before=luks-auto.target
BindsTo=dev-disk-byx2duuid-${_UUID_ESC}.device
After=dev-disk-byx2duuid-${_UUID_ESC}.device luks-auto-key.service
Before=umount.target

[Service]
Type=oneshot
RemainAfterExit=yes
TimeoutSec=0
ExecStart=/etc/systemd/system/luks-auto.sh ${_UUID}
ExecStop=$CRYPTSETUP detach 'luks-${_UUID}'
Environment=DRACUT_SYSTEMD=1
StandardInput=null
StandardOutput=syslog
StandardError=syslog+console

EOF
ln -fs ${SYSTEMD_RUN}/luks-auto@${_UUID_ESC}.service $SYSTEMD_RUN/luks-auto.target.wants/luks-auto@${_UUID_ESC}.service
done

/usr/lib/dracut/modules.d/99luks-auto/luks-auto-key.service


[Unit]
Description=LUKS AUTO key searcher
After=cryptsetup-pre.target
Before=luks-auto.target
DefaultDependencies=no

[Service]
Environment=DRACUT_SYSTEMD=1
Type=oneshot
ExecStartPre=/usr/bin/sleep 1
ExecStart=/etc/systemd/system/luks-auto-key.sh
RemainAfterExit=true
StandardInput=null
StandardOutput=syslog
StandardError=syslog+console

/usr/lib/dracut/modules.d/99luks-auto/luks-auto-key.sh


#!/bin/sh
# -*- mode: shell-script; indent-tabs-mode: nil; sh-basic-offset: 4; -*-
# ex: ts=8 sw=4 sts=4 et filetype=sh
export DRACUT_SYSTEMD=1

. /lib/dracut-lib.sh
MNT_B="/tmp/luks-auto"
ARG=$(getargs rd.luks.key)
IFS=$':' _t=(${ARG})
KEY=${_t[0]}
F_FIELD=''
F_VALUE=''
if [ ! -z $KEY ] && [ ! -z ${_t[1]} ];then
	IFS=$'=' _t=(${_t[1]})
	F_FIELD=${_t[0]}
	F_VALUE=${_t[1]}
	F_VALUE="${F_VALUE%"}"
	F_VALUE="${F_VALUE#"}"
fi
mkdir -p $MNT_B

finding_luks_keys(){
	local _DEVNAME=''
	local _UUID=''
	local _TYPE=''
	local _LABEL=''
	local _MNT=''
	local _KEY="$1"
	local _F_FIELD="$2"
	local _F_VALUE="$3"
	local _RET=0	
	blkid -s TYPE -s UUID -s LABEL -u filesystem | grep -v -E -e "TYPE=".*_member"" -e "TYPE="crypto_.*"" -e "TYPE="swap"" | while IFS=$'' read -r _line; do
		IFS=$':' _t=($_line);
		_DEVNAME=${_t[0]}
		_UUID=''
		_TYPE=''
		_LABEL=''
		_MNT=''
		IFS=$' ' _t=(${_t[1]});
		for _a in "${_t[@]}"; do
			IFS=$'=' _v=(${_a});
			temp="${_v[1]%"}"
			temp="${temp#"}"
			case ${_v[0]} in
				'UUID')
					_UUID=$temp
				;;
				'TYPE')
					_TYPE=$temp
				;;
				'LABEL')
					_LABEL=$temp
				;;
			esac
		done
		if [ ! -z "$_F_FIELD" ];then
			case $_F_FIELD in
				'UUID')
					[ ! -z "$_F_VALUE" ] && [ "$_UUID" != "$_F_VALUE" ] && continue
				;;
				'LABEL')
					[ ! -z "$_F_VALUE" ] && [ "$_LABEL" != "$_F_VALUE" ] && continue
				;;
				*)
					[ "$_DEVNAME" != "$_F_FIELD" ] && continue
				;;
			esac
		fi
		_MNT=$(findmnt -n -o TARGET $_DEVNAME)
		if [ -z "$_MNT" ]; then
			_MNT=${MNT_B}/KEY-${_UUID}
			mkdir -p "$_MNT" && mount -o ro "$_DEVNAME" "$_MNT"
			_RET=$?
		else
			_RET=0
		fi
		if [ "${_RET}" -eq 0 ] && [ -f "${_MNT}/${_KEY}" ]; then
			cp "${_MNT}/${_KEY}" "$MNT_B/${_UUID}.key"
			info "Found ${_MNT}/${_KEY} on ${_UUID}"
		fi
		if [[ "${_MNT}" =~ "${MNT_B}" ]]; then
			umount "$_MNT" && rm -rfd --one-file-system "$_MNT"						
		fi
	done
	return 0
}
finding_luks_keys $KEY $F_FIELD $F_VALUE

/usr/lib/dracut/modules.d/99luks-auto/luks-auto.target


[Unit]
Description=LUKS AUTO target
After=systemd-readahead-collect.service systemd-readahead-replay.service
After=cryptsetup-pre.target luks-auto-key.service
Before=cryptsetup.target

/usr/lib/dracut/modules.d/99luks-auto/luks-auto.sh


#!/bin/sh
# -*- mode: shell-script; indent-tabs-mode: nil; sh-basic-offset: 4; -*-
# ex: ts=8 sw=4 sts=4 et filetype=sh
export DRACUT_SYSTEMD=1
. /lib/dracut-lib.sh

MNT_B="/tmp/luks-auto"
CRYPTSETUP='/usr/lib/systemd/systemd-cryptsetup'

for i in $(ls -p $MNT_B | grep -v /);do
	info "Trying $i on $1..."
	$CRYPTSETUP attach "luks-$1" "/dev/disk/by-uuid/$1" $MNT_B/$i 'tries=1'
	if [ "$?" -eq "0" ]; then
		info "Found $i for $1"
		exit 0
	fi
done
warn "No key found for $1.  Fallback to passphrase mode."

/usr/lib/dracut/modules.d/99luks-auto/luks-auto-clean.service

[Unit]
Description=LUKS AUTO key cleaner
After=cryptsetup.target
DefaultDependencies=no

[Service]
Type=oneshot
ExecStart=/usr/bin/rm -rfd --one-file-system /tmp/luks-auto

/etc/dracut.conf.d/luks-auto.conf

add_dracutmodules+=" luks-auto "

Uppsetning


mkdir -p /usr/lib/dracut/modules.d/99luks-auto/
# размещаем тут почти все файлы
chmod +x /usr/lib/dracut/modules.d/99luks-auto/*.sh
# создаем файл /etc/dracut.conf.d/luks-auto.conf
# И генерируем новый initramfs
dracut -f

Ályktun

Til þæginda hef ég viðhaldið samhæfni við kjarna skipanalínuvalkosti eins og fyrir sysvinit ham, sem gerir það auðveldara að nota í eldri uppsetningum.

Heimild: www.habr.com

Bæta við athugasemd