ការឌិគ្រីបកុងតឺន័រ LUKS នៅពេលចាប់ផ្ដើមប្រព័ន្ធ

សួស្តីអ្នកទាំងអស់គ្នា! អត្ថបទនេះនឹងមានប្រយោជន៍សម្រាប់អ្នកដែលប្រើការអ៊ិនគ្រីបទិន្នន័យ LUKS ហើយចង់ឌិគ្រីបថាសនៅក្រោម Linux (Debian, Ubuntu) លើ ដំណាក់កាលនៃការឌិគ្រីបភាគថាសជា root. ហើយខ្ញុំមិនអាចស្វែងរកព័ត៌មានបែបនេះនៅលើអ៊ីនធឺណិតបានទេ។

ថ្មីៗនេះ ជាមួយនឹងការកើនឡើងនៃចំនួនថាសនៅក្នុងធ្នើ ខ្ញុំបានជួបបញ្ហានៃការឌិគ្រីបថាសដោយប្រើវិធីសាស្ត្រដែលល្បីជាងតាមរយៈ /etc/crypttab។ ដោយផ្ទាល់ ខ្ញុំគូសបញ្ជាក់ពីបញ្ហាមួយចំនួនក្នុងការប្រើប្រាស់វិធីសាស្ត្រនេះ ពោលគឺឯកសារកំពុងត្រូវបានអាន បន្ទាប់ពីផ្ទុក (ម៉ោន) ភាគថាសឫសដែលជះឥទ្ធិពលអវិជ្ជមានដល់ការនាំចូល ZFS ជាពិសេសប្រសិនបើពួកគេត្រូវបានបង្កើតឡើងពីភាគថាសនៅលើឧបករណ៍ *_crypt ឬ mdadm វាយឆ្មក់ដែលបានបង្កើតពីភាគថាសផងដែរ។ យើងទាំងអស់គ្នាដឹងហើយថា អ្នកអាចប្រើបំបែកនៅលើធុង LUKS មែនទេ? ហើយ​ក៏​ជា​បញ្ហា​នៃ​ការ​ចាប់​ផ្តើ​ម​ដំបូង​នៃ​សេវា​ផ្សេង​ទៀត​នៅ​ពេល​ដែល​មិន​មាន​អារេ​នៅ​ឡើយ​ទេ​ប៉ុន្តែ ប្រើ ខ្ញុំ​ត្រូវ​ការ​អ្វី​មួយ​រួច​ទៅ​ហើយ (ខ្ញុំ​ធ្វើ​ការ​ជាមួយ Proxmox VE 5.x និង ZFS ដែល​មាន​ចង្កោម​លើ iSCSI)។

បន្តិចអំពី ZFSoverISCSIiSCSI ដំណើរការសម្រាប់ខ្ញុំតាមរយៈ LIO ហើយតាមពិត នៅពេលដែលគោលដៅ iscsi ចាប់ផ្តើម ហើយមិនឃើញឧបករណ៍ ZVOL វាគ្រាន់តែដកពួកវាចេញពីការកំណត់ ដែលការពារប្រព័ន្ធភ្ញៀវពីការចាប់ផ្ដើម។ ដូច្នេះ ទាំងការស្ដារការបម្រុងទុកឯកសារ json ឬការបន្ថែមឧបករណ៍ដោយដៃជាមួយនឹងឧបករណ៍កំណត់អត្តសញ្ញាណសម្រាប់ VM នីមួយៗ ដែលពិតជាគួរឱ្យភ័យខ្លាចនៅពេលដែលមានម៉ាស៊ីនបែបនេះរាប់សិប ហើយការកំណត់នីមួយៗមានច្រើនជាង 1 ថាស។

ហើយសំណួរទីពីរដែលខ្ញុំនឹងពិចារណាគឺរបៀបឌិគ្រីប (នេះគឺជាចំណុចសំខាន់នៃអត្ថបទ)។ ហើយ​យើង​នឹង​និយាយ​អំពី​ចំណុច​នេះ​នៅ​ខាង​ក្រោម​ចុះ!

ភាគច្រើនជាញឹកញាប់នៅលើអ៊ីនធឺណិត ឯកសារគន្លឹះមួយត្រូវបានប្រើ (បន្ថែមដោយខ្លួនឯងទៅរន្ធដោតមុននេះដោយពាក្យបញ្ជា - cryptsetup luksAddKey) ឬក្នុងករណីលើកលែងដ៏កម្រ (នៅលើអ៊ីនធឺណិតជាភាសារុស្សីមានព័ត៌មានតិចតួចណាស់) - ស្គ្រីប decrypt_derived ដែលមានទីតាំងនៅ /lib/cryptsetup/script/ (ជាការពិតណាស់ មានវិធីផ្សេងទៀត ប៉ុន្តែខ្ញុំបានប្រើទាំងពីរនេះ ដែលបង្កើតជាមូលដ្ឋាននៃអត្ថបទ)។ ខ្ញុំក៏ព្យាយាមសម្រាប់ការដាក់បញ្ចូលស្វ័យភាពពេញលេញបន្ទាប់ពីការចាប់ផ្ដើមឡើងវិញ ដោយគ្មានពាក្យបញ្ជាបន្ថែមណាមួយនៅក្នុងកុងសូល ដូច្នេះអ្វីៗនឹង "ហោះឡើង" សម្រាប់ខ្ញុំក្នុងពេលតែមួយ។ ដូច្នេះ ហេតុអ្វីត្រូវរង់ចាំ? —

តោះ​ចាប់ផ្តើម!

ចូរយើងសន្មតថាប្រព័ន្ធមួយ ឧទាហរណ៍ Debianបានដំឡើងនៅលើភាគថាសគ្រីបតូ sda3_crypt និងថាសចំនួនដប់ដែលត្រៀមរួចជាស្រេចសម្រាប់ការអ៊ិនគ្រីប និងបង្កើតអ្វីដែលអ្នកចង់បាន។ យើងមានឃ្លាសម្ងាត់ដើម្បីដោះសោ sda3_crypt ហើយវាមកពីភាគថាសនេះដែលយើងនឹងទាញយកហាសពាក្យសម្ងាត់នៅលើប្រព័ន្ធ (ឌិគ្រីប) ដែលកំពុងដំណើរការ ហើយបន្ថែមវាទៅថាសដែលនៅសល់។ វាសាមញ្ញ៖ នៅក្នុងកុងសូល សូមដំណើរការ៖

/lib/cryptsetup/scripts/decrypt_derived sda3_crypt | cryptsetup luksFormat /dev/sdX

ដែល X គឺជាថាសរបស់យើង ភាគថាស។ល។

បន្ទាប់ពីការអ៊ិនគ្រីបថាសដោយ "hash" ពីឃ្លាសម្ងាត់របស់យើង អ្នកត្រូវស្វែងរក UUID ឬ ID - អាស្រ័យលើអ្នកណាដែលប្រើដើម្បីអ្វី និងអ្វី។ យើងយកទិន្នន័យពី /dev/disk/by-uuid និង by-id រៀងៗខ្លួន។

ជំហានបន្ទាប់គឺការរៀបចំឯកសារ និងស្គ្រីបខ្នាតតូចសម្រាប់មុខងារដែលយើងត្រូវដំណើរការ តោះបន្ត៖

cp -p /usr/share/initramfs-tools/hooks/cryptroot /etc/initramfs-tools/hooks/
cp -p /usr/share/initramfs-tools/scripts/local-top/cryptroot /etc/initramfs-tools/scripts/local-top/

បន្ថែមទៀត

touch /etc/initramfs-tools/hooks/decrypt && chmod +x /etc/initramfs-tools/hooks/decrypt

ខ្លឹមសារនៃ ../ឌិគ្រីប

#!/bin/sh

cp -p /lib/cryptsetup/scripts/decrypt_derived "$DESTDIR/bin/decrypt_derived"

បន្ថែមទៀត

touch /etc/initramfs-tools/hooks/partcopy && chmod +x /etc/initramfs-tools/hooks/partcopy

ខ្លឹមសារនៃ ../partcopy

#!/bin/sh

cp -p /sbin/partprobe "$DESTDIR/bin/partprobe"
cp -p /lib/x86_64-linux-gnu/libparted.so.2 "$DESTDIR/lib/x86_64-linux-gnu/libparted.so.2"
cp -p /lib/x86_64-linux-gnu/libreadline.so.7 "$DESTDIR/lib/x86_64-linux-gnu/libreadline.so.7"

បន្តិច​ទៀត

touch /etc/initramfs-tools/scripts/local-bottom/partprobe && chmod +x /etc/initramfs-tools/scripts/local-bottom/partprobe

ខ្លឹមសារ ../partprobe

#!/bin/sh

$DESTDIR/bin/partprobe

ហើយចុងក្រោយ មុនពេលអាប់ដេត-initramfs អ្នកត្រូវកែសម្រួលឯកសារ /etc/initramfs-tools/scripts/local-top/cryptroot ចាប់ផ្តើមពីបន្ទាត់ ~360 អត្ថបទកូដខាងក្រោម

ដើម

                # decrease $count by 1, apparently last try was successful.
                count=$(( $count - 1 ))
                
                message "cryptsetup ($crypttarget): set up successfully"
                break

ហើយយកវាទៅទម្រង់នេះ។

បានកែសម្រួល

                # decrease $count by 1, apparently last try was successful.
                count=$(( $count - 1 ))
                

                /bin/decrypt_derived $crypttarget | cryptsetup luksOpen /dev/disk/by-uuid/ *CRYPT_MAP*
                /bin/decrypt_derived $crypttarget | cryptsetup luksOpen /dev/disk/by-id/ *CRYPT_MAP*

                message "cryptsetup ($crypttarget): set up successfully"
                break

ចំណាំថា UUID ឬ ID អាចត្រូវបានប្រើនៅទីនេះ។ រឿងចំបងគឺថាកម្មវិធីបញ្ជាចាំបាច់សម្រាប់ឧបករណ៍ HDD / SSD ត្រូវបានបន្ថែមទៅ /etc/initramfs-tools/modules ។ អ្នក​អាច​ដឹង​ថា​ Driver មួយ​ណា​ត្រូវ​បាន​ប្រើ​ជាមួយ​នឹង​ពាក្យ​បញ្ជា ព័ត៌មាន udevadm -a -n /dev/sdX | egrep 'រកមើល|អ្នកបើកបរ'.

ឥឡូវ​នេះ​យើង​បាន​ធ្វើ​រួច ហើយ​ឯកសារ​ទាំង​អស់​នៅ​នឹង​កន្លែង សូម​ដំណើរការ អាប់ដេត-initramfs -u -k ទាំងអស់ -v, នៅក្នុងការកាប់ឈើ មិនត្រូវ កំហុសក្នុងការប្រតិបត្តិនៃស្គ្រីបរបស់យើង។ យើងចាប់ផ្តើមឡើងវិញ បញ្ចូលឃ្លាសម្ងាត់ ហើយរង់ចាំបន្តិច អាស្រ័យលើចំនួនថាស។ បន្ទាប់មកប្រព័ន្ធនឹងចាប់ផ្តើម ហើយនៅដំណាក់កាលចុងក្រោយនៃការចាប់ផ្តើម ពោលគឺបន្ទាប់ពី "ម៉ោន" ភាគថាសជា root ពាក្យបញ្ជា partprobe នឹងត្រូវបានប្រតិបត្តិ - វានឹងស្វែងរក និងយកភាគថាសដែលបានបង្កើតទាំងអស់នៅលើឧបករណ៍ LUKS និងអារេណាមួយ ថាតើ ZFS ឬ mdadm, នឹងត្រូវបានជួបប្រជុំគ្នាដោយគ្មានបញ្ហា! ហើយទាំងអស់នេះ មុនពេលផ្ទុក សេវាកម្មស្នូល និងសេវាកម្មដែលត្រូវការថាស/អារេទាំងនេះ។

ធ្វើបច្ចុប្បន្នភាព ៣៖ ម៉េច បានកត់សម្គាល់ឃើញ AEPវិធីសាស្រ្តនេះដំណើរការសម្រាប់តែ LUKS1 ប៉ុណ្ណោះ។

ប្រភព: www.habr.com