פענוח קונטיינר LUKS בזמן אתחול המערכת

יום ולילה טוב לכולם! פוסט זה יהיה שימושי עבור אלה המשתמשים בהצפנת נתונים LUKS ורוצים לפענח דיסקים תחת לינוקס (Debian, Ubuntu) ב- שלבי פענוח מחיצת השורש. ולא הצלחתי למצוא מידע כזה באינטרנט.

לאחרונה, עם הגידול במספר הדיסקים במדפים, נתקלתי בבעיה של פענוח דיסקים בשיטה היותר מוכרת דרך /etc/crypttab. באופן אישי, אני מדגיש כמה בעיות בשימוש בשיטה זו, כלומר שהקובץ נקרא רק לאחר טעינת (הר) את מחיצת השורש, מה שמשפיע לרעה על ייבוא ​​ZFS, במיוחד אם הם נבנו ממחיצות במכשיר *_crypt, או פשיטות mdadm שנבנו גם ממחיצות. כולנו יודעים שאתה יכול להשתמש בחלוקה על מיכלי LUKS, נכון? וגם הבעיה של התחלה מוקדמת של שירותים אחרים, כשאין עדיין מערכים, אבל שימוש אני כבר צריך משהו (אני עובד עם clustered Proxmox VE 5.x ו-ZFS מעל iSCSI).

קצת על ZFSoverISCSIiSCSI עובד בשבילי דרך LIO, ולמעשה, כאשר יעד ה-iscsi מתחיל ולא רואה התקני ZVOL, הוא פשוט מסיר אותם מהקונפיגורציה, מה שמונע ממערכות אורחות לאתחל. לפיכך, או שחזור גיבוי של קובץ json, או הוספת מכשירים עם מזהים ידנית עבור כל VM, וזה פשוט נורא כאשר יש עשרות מכונות כאלה ולכל תצורה יש יותר מדיסק אחד.

והשאלה השנייה שאשקול היא כיצד לפענח (זו נקודת המפתח של המאמר). ועל זה נדבר להלן, לכו מתחת לסף!

לרוב, באינטרנט, נעשה שימוש בקובץ מפתח (הוספה עצמית לחריץ לפני כן על ידי הפקודה - cryptsetup luksAddKey), או בחריגים נדירים (באינטרנט בשפה הרוסית יש מעט מאוד מידע) - הסקריפט decrypt_derived ממוקם ב-/lib/cryptsetup/script/ (כמובן, יש דרכים אחרות, אבל השתמשתי בשתי אלה, שהיוו את הבסיס למאמר). השתדלתי גם להכללה אוטונומית מלאה לאחר אתחולים, ללא פקודות נוספות בקונסולה, כך שהכל "יעף" לי בבת אחת. לכן, למה לחכות? —

בוא נתחיל!

נניח שמערכת, כמו דביאן, מותקנת על מחיצת קריפטו sda3_crypt ותריסר דיסקים מוכנים להצפנה וליצור כאוות נפשך. יש לנו ביטוי סיסמה (סיסמה) לפתיחת הנעילה של sda3_crypt, וממחיצה זו נסיר את ה-"hash" מהסיסמה במערכת הפועלת (מפוענחת) ונוסיף אותה לשאר הדיסקים. הכל אלמנטרי, בקונסולה אנו מבצעים:

/lib/cryptsetup/scripts/decrypt_derived sda3_crypt | cryptsetup luksFormat /dev/sdX

כאשר X הוא הדיסקים, המחיצות וכו' שלנו.

לאחר הצפנת הדיסקים ב"hash" מביטוי הסיסמה שלנו, צריך לברר את ה-UUID או המזהה - תלוי מי רגיל למה ולמה. אנו לוקחים נתונים מ-/dev/disk/by-uuid ו-by-id בהתאמה.

השלב הבא הוא הכנת קבצים ומיני סקריפטים עבור הפונקציות שאנו צריכים, בואו נמשיך:

cp -p /usr/share/initramfs-tools/hooks/cryptroot /etc/initramfs-tools/hooks/
cp -p /usr/share/initramfs-tools/scripts/local-top/cryptroot /etc/initramfs-tools/scripts/local-top/

עוד

touch /etc/initramfs-tools/hooks/decrypt && chmod +x /etc/initramfs-tools/hooks/decrypt

התוכן של ../decrypt

#!/bin/sh

cp -p /lib/cryptsetup/scripts/decrypt_derived "$DESTDIR/bin/decrypt_derived"

עוד

touch /etc/initramfs-tools/hooks/partcopy && chmod +x /etc/initramfs-tools/hooks/partcopy

התוכן של ../partcopy

#!/bin/sh

cp -p /sbin/partprobe "$DESTDIR/bin/partprobe"
cp -p /lib/x86_64-linux-gnu/libparted.so.2 "$DESTDIR/lib/x86_64-linux-gnu/libparted.so.2"
cp -p /lib/x86_64-linux-gnu/libreadline.so.7 "$DESTDIR/lib/x86_64-linux-gnu/libreadline.so.7"

עוד כמה

touch /etc/initramfs-tools/scripts/local-bottom/partprobe && chmod +x /etc/initramfs-tools/scripts/local-bottom/partprobe

תוכן ../partprobe

#!/bin/sh

$DESTDIR/bin/partprobe

ולבסוף, לפני update-initramfs, עליך לערוך את קובץ /etc/initramfs-tools/scripts/local-top/cryptroot, החל משורה ~360, קטע קוד למטה

מקורי

                # decrease $count by 1, apparently last try was successful.
                count=$(( $count - 1 ))
                
                message "cryptsetup ($crypttarget): set up successfully"
                break

ולהביא אותו לטופס הזה

עָרוּך

                # decrease $count by 1, apparently last try was successful.
                count=$(( $count - 1 ))
                

                /bin/decrypt_derived $crypttarget | cryptsetup luksOpen /dev/disk/by-uuid/ *CRYPT_MAP*
                /bin/decrypt_derived $crypttarget | cryptsetup luksOpen /dev/disk/by-id/ *CRYPT_MAP*

                message "cryptsetup ($crypttarget): set up successfully"
                break

שימו לב שניתן להשתמש ב-UUID או ID כאן. העיקר הוא שמנהלי ההתקן הדרושים עבור התקני HDD / SSD מתווספים ל-/etc/initramfs-tools/modules. אתה יכול לגלות באיזה מנהל התקן נעשה שימוש עם הפקודה udevadm info -a -n /dev/sdX | egrep 'מסתכל|דריבר'.

עכשיו כשסיימנו וכל הקבצים במקום, הפעל update-initramfs -u -k all -v, ברישום חייב לא להיות שגיאות ביצוע של הסקריפטים שלנו. אנו מאתחלים, מכניסים את משפט הסיסמה וממתינים מעט, בהתאם למספר הדיסקים. לאחר מכן, המערכת תתחיל ובשלב הסופי של ההשקה, כלומר לאחר "הרכבה" של מחיצת השורש, תבוצע הפקודה partprobe - היא תמצא ותקלט את כל המחיצות שנוצרו במכשירי LUKS וכל מערכים, בין אם זה ZFS או mdadm, יורכב ללא בעיות! וכל זה לפני הטעינה שירותי ליבה ושירותים הזקוקים לדיסקים/מערכים אלו.

עדכון 1: איך שם לב AEP, שיטה זו פועלת רק עבור LUKS1.

מקור: www.habr.com