LUKS კონტეინერის გაშიფვრა სისტემის ჩატვირთვის დროს

კარგი დღე და ღამე ყველას! ეს პოსტი სასარგებლო იქნება მათთვის, ვინც იყენებს LUKS მონაცემთა დაშიფვრას და სურს დისკების გაშიფვრა Linux-ის ქვეშ (Debian, Ubuntu) root დანაყოფის გაშიფვრის ეტაპები. და ინტერნეტში ასეთი ინფორმაცია ვერ ვიპოვე.

ახლახან, თაროებზე დისკების რაოდენობის მატებასთან ერთად, მე წავაწყდი დისკების გაშიფვრის პრობლემას ცნობილი მეთოდის გამოყენებით /etc/crypttab-ის საშუალებით. პირადად მე ხაზს ვუსვამ ამ მეთოდის გამოყენებასთან დაკავშირებულ რამდენიმე პრობლემას, კერძოდ, ფაილის წაკითხვას მხოლოდ root დანაყოფის ჩატვირთვის (დამონტაჟების) შემდეგ, რაც უარყოფითად აისახება ZFS-ის იმპორტზე, კერძოდ, თუ ისინი აგებულია ტიხრებიდან *_crypt მოწყობილობაზე, ან mdadm რეიდებიდან, რომლებიც აგებულია დანაყოფებიდან. ჩვენ ყველამ ვიცით, რომ თქვენ შეგიძლიათ გამოიყენოთ გაყოფილი LUKS კონტეინერებზე, არა? და ასევე სხვა სერვისების ადრეული დაწყების პრობლემა, როდესაც ჯერ არ არის მასივები, მაგრამ გამოყენება მე უკვე მჭირდება რაღაც (მე ვმუშაობ კლასტერულ Proxmox VE 5.x-თან და ZFS-თან iSCSI-ზე).

ცოტა ZFSoverISCSI-ის შესახებiSCSI ჩემთვის მუშაობს LIO-ს საშუალებით და ფაქტობრივად, როდესაც iscsi target იწყება და ვერ ხედავს ZVOL მოწყობილობებს, ის უბრალოდ აშორებს მათ კონფიგურაციიდან, რაც ხელს უშლის სტუმრების სისტემების ჩატვირთვას. აქედან გამომდინარე, ან json ფაილის სარეზერვო ასლის აღდგენა, ან თითოეული VM-ისთვის იდენტიფიკატორების მქონე მოწყობილობების ხელით დამატება, რაც უბრალოდ საშინელებაა, როდესაც ათობით ასეთი მანქანაა და თითოეულ კონფიგურაციას აქვს 1-ზე მეტი დისკი.

და მეორე კითხვა, რომელსაც განვიხილავ, არის როგორ გავაშიფროთ (ეს არის სტატიის მთავარი წერტილი). და ჩვენ ვისაუბრებთ ამაზე ქვემოთ, გადადით ჭრის ქვეშ!

ყველაზე ხშირად, ინტერნეტში გამოიყენება გასაღების ფაილი (მანამდე სლოტში დამატებულია ბრძანებით - cryptsetup luksAddKey), ან იშვიათ გამონაკლისებში (რუსულენოვან ინტერნეტში ძალიან ცოტა ინფორმაციაა) - decrypt_derived სკრიპტი. მდებარეობს /lib/cryptsetup/script/-ში (რა თქმა უნდა, არის სხვა გზებიც, მაგრამ მე გამოვიყენე ეს ორი, რაც სტატიის საფუძველს წარმოადგენს). მე ასევე ვცდილობდი სრული ავტონომიური ჩართვას გადატვირთვის შემდეგ, ყოველგვარი დამატებითი ბრძანებების გარეშე კონსოლში, რათა ყველაფერი ერთბაშად "აფრინდეს" ჩემთვის. ამიტომ, რატომ უნდა ველოდოთ? -

დავიწყოთ!

დავუშვათ, სისტემა, როგორიცაა Debian, დაინსტალირებულია sda3_crypt კრიპტო დანაყოფზე და ათეულ დისკზე, რომლებიც მზად არის დაშიფრული და შექმნილი თქვენი გულის შინაარსით. ჩვენ გვაქვს sda3_crypt-ის განბლოკვის საიდუმლო ფრაზა და სწორედ ამ დანაყოფიდან ამოვიღებთ „ჰეშს“ პაროლიდან გაშვებულ (გაშიფრულ) სისტემაში და დავამატებთ დანარჩენ დისკებს. ყველაფერი ელემენტარულია, კონსოლში ჩვენ ვასრულებთ:

/lib/cryptsetup/scripts/decrypt_derived sda3_crypt | cryptsetup luksFormat /dev/sdX

სადაც X არის ჩვენი დისკები, ტიხრები და ა.შ.

დისკების დაშიფვრის შემდეგ „ჰეში“ ჩვენი საიდუმლო ფრაზიდან, თქვენ უნდა გაარკვიოთ UUID ან ID – იმისდა მიხედვით, თუ ვინ რას და რას სჩვევია. ჩვენ ვიღებთ მონაცემებს /dev/disk/by-uuid და by-id შესაბამისად.

შემდეგი ნაბიჯი არის ფაილების და მინი-სკრიპტების მომზადება ჩვენთვის საჭირო ფუნქციებისთვის, მოდით გავაგრძელოთ:

cp -p /usr/share/initramfs-tools/hooks/cryptroot /etc/initramfs-tools/hooks/
cp -p /usr/share/initramfs-tools/scripts/local-top/cryptroot /etc/initramfs-tools/scripts/local-top/

დამატებითი

touch /etc/initramfs-tools/hooks/decrypt && chmod +x /etc/initramfs-tools/hooks/decrypt

შიგთავსი ../გაშიფვრა

#!/bin/sh

cp -p /lib/cryptsetup/scripts/decrypt_derived "$DESTDIR/bin/decrypt_derived"

დამატებითი

touch /etc/initramfs-tools/hooks/partcopy && chmod +x /etc/initramfs-tools/hooks/partcopy

../ნაწილის შიგთავსი

#!/bin/sh

cp -p /sbin/partprobe "$DESTDIR/bin/partprobe"
cp -p /lib/x86_64-linux-gnu/libparted.so.2 "$DESTDIR/lib/x86_64-linux-gnu/libparted.so.2"
cp -p /lib/x86_64-linux-gnu/libreadline.so.7 "$DESTDIR/lib/x86_64-linux-gnu/libreadline.so.7"

ცოტა მეტი

touch /etc/initramfs-tools/scripts/local-bottom/partprobe && chmod +x /etc/initramfs-tools/scripts/local-bottom/partprobe

შინაარსი ../partprobe

#!/bin/sh

$DESTDIR/bin/partprobe

და ბოლოს, განახლება-initramfs-მდე, თქვენ უნდა შეცვალოთ /etc/initramfs-tools/scripts/local-top/cryptroot ფაილი, დაწყებული სტრიქონიდან ~360, კოდის ფრაგმენტი ქვემოთ.

Original

                # decrease $count by 1, apparently last try was successful.
                count=$(( $count - 1 ))
                
                message "cryptsetup ($crypttarget): set up successfully"
                break

და მიიყვანეთ ამ ფორმამდე

რედაქტირებულია

                # decrease $count by 1, apparently last try was successful.
                count=$(( $count - 1 ))
                

                /bin/decrypt_derived $crypttarget | cryptsetup luksOpen /dev/disk/by-uuid/ *CRYPT_MAP*
                /bin/decrypt_derived $crypttarget | cryptsetup luksOpen /dev/disk/by-id/ *CRYPT_MAP*

                message "cryptsetup ($crypttarget): set up successfully"
                break

გაითვალისწინეთ, რომ აქ შეგიძლიათ გამოიყენოთ UUID ან ID. მთავარია HDD/SSD მოწყობილობებისთვის საჭირო დრაივერები დაემატოს /etc/initramfs-tools/modules. თქვენ შეგიძლიათ გაიგოთ რომელი დრაივერი გამოიყენება ბრძანებით udevadm info -a -n /dev/sdX | egrep 'ეძებს|DRIVER'.

ახლა, როცა დავასრულეთ და ყველა ფაილი ადგილზეა, გაუშვით განახლება-initramfs -u -k ყველა -v, შესვლაში არ უნდა იყოს ჩვენი სკრიპტების შესრულების შეცდომები. ჩვენ გადატვირთავთ, შევიყვანთ პაროლის ფრაზას და ველოდებით ცოტას, დისკების რაოდენობის მიხედვით. შემდეგი, სისტემა დაიწყება და გაშვების ბოლო ეტაპზე, კერძოდ, root დანაყოფის "დამონტაჟების" შემდეგ, შესრულდება partprobe ბრძანება - ის იპოვის და აიღებს ყველა შექმნილ დანაყოფს LUKS მოწყობილობებზე და ნებისმიერ მასივზე, იქნება ეს ZFS ან მდადმ, უპრობლემოდ აწყობენ! და ეს ყველაფერი ჩატვირთვამდე ძირითადი სერვისები და სერვისები, რომლებსაც ესაჭიროებათ ეს დისკები/მაივები.

განახლება 1: Როგორ შენიშნა AEP, ეს მეთოდი მუშაობს მხოლოდ LUKS1-ზე.

წყარო: www.habr.com