시스템 부팅 시 LUKS 컨테이너 암호 해독

좋은 밤낮 모두! 이 게시물은 LUKS 데이터 암호화를 사용하고 Linux(Debian, Ubuntu)에서 디스크를 해독하려는 사람들에게 유용할 것입니다. 루트 파티션을 해독하는 단계. 그리고 인터넷에서 그런 정보를 찾을 수 없었습니다.

최근에는 선반의 디스크 수가 증가하면서 /etc/crypttab을 통해 잘 알려진 방법을 사용하여 디스크를 해독하는 문제에 직면했습니다. 개인적으로 이 방법을 사용할 때의 몇 가지 문제점, 즉 파일을 읽는 중임을 강조합니다. 루트 파티션을 로드(마운트)한 후에만, 특히 *_crypt 장치의 파티션에서 빌드된 경우 또는 파티션에서 빌드된 mdadm raid에서도 ZFS 가져오기에 부정적인 영향을 미칩니다. 우리 모두는 LUKS 컨테이너에서 parted를 사용할 수 있다는 것을 알고 있습니다. 맞습니까? 또한 아직 어레이가 없지만 다른 서비스의 초기 시작 문제도 있습니다. 사용 이미 필요한 것이 있습니다(클러스터링된 Proxmox VE 5.x 및 ZFS over iSCSI로 작업).

ZFSoverISCSI에 대해 조금iSCSI는 LIO를 통해 작동하며 실제로 iscsi 대상이 시작되고 ZVOL 장치가 표시되지 않으면 구성에서 해당 장치를 제거하기만 하면 게스트 시스템이 부팅되지 않습니다. 따라서 json 파일 백업을 복원하거나 각 VM에 대한 식별자가 있는 장치를 수동으로 추가해야 합니다. 이러한 시스템이 수십 개 있고 각 구성에 디스크가 1개 이상 있는 경우에는 끔찍합니다.

그리고 내가 고려할 두 번째 질문은 해독하는 방법입니다 (이 기사의 요점입니다). 그리고 우리는 아래에서 이것에 대해 이야기 할 것입니다. 컷 아래로 가십시오!

대부분의 경우 인터넷에서 키 파일이 사용되거나(cryptsetup luksAddKey 명령에 의해 이전 슬롯에 자체 추가됨), 드문 경우(러시아어 인터넷에서는 정보가 거의 없음) - decrypt_derived 스크립트가 사용됩니다. /lib/cryptsetup/script/에 있습니다. 또한 모든 것이 한 번에 "날아갈" 수 있도록 콘솔에서 추가 명령 없이 재부팅 후 완전한 자율적 포함을 위해 노력했습니다. 그러므로 왜 기다려야 합니까? —

시작합시다!

Debian과 같은 시스템이 sda3_crypt 암호화 파티션에 설치되어 있고 마음껏 암호화하고 생성할 준비가 된 3개의 디스크가 있다고 가정해 보겠습니다. 우리는 sdaXNUMX_crypt의 잠금을 해제하기 위한 암호(passphrase)가 있으며, 이 파티션에서 실행 중인(암호 해독된) 시스템의 암호에서 "해시"를 제거하고 나머지 디스크에 추가합니다. 모든 것이 기본이며 콘솔에서 다음을 실행합니다.

/lib/cryptsetup/scripts/decrypt_derived sda3_crypt | cryptsetup luksFormat /dev/sdX

여기서 X는 디스크, 파티션 등입니다.

암호의 "해시"로 디스크를 암호화한 후 누가 무엇에 무엇을 사용하는지에 따라 UUID 또는 ID를 찾아야 합니다. 각각 /dev/disk/by-uuid 및 by-id에서 데이터를 가져옵니다.

다음 단계는 필요한 기능에 대한 파일과 미니 스크립트를 준비하는 것입니다. 계속 진행하겠습니다.

cp -p /usr/share/initramfs-tools/hooks/cryptroot /etc/initramfs-tools/hooks/
cp -p /usr/share/initramfs-tools/scripts/local-top/cryptroot /etc/initramfs-tools/scripts/local-top/

더 멀리

touch /etc/initramfs-tools/hooks/decrypt && chmod +x /etc/initramfs-tools/hooks/decrypt

../decrypt의 내용

#!/bin/sh

cp -p /lib/cryptsetup/scripts/decrypt_derived "$DESTDIR/bin/decrypt_derived"

더 멀리

touch /etc/initramfs-tools/hooks/partcopy && chmod +x /etc/initramfs-tools/hooks/partcopy

../partcopy의 내용

#!/bin/sh

cp -p /sbin/partprobe "$DESTDIR/bin/partprobe"
cp -p /lib/x86_64-linux-gnu/libparted.so.2 "$DESTDIR/lib/x86_64-linux-gnu/libparted.so.2"
cp -p /lib/x86_64-linux-gnu/libreadline.so.7 "$DESTDIR/lib/x86_64-linux-gnu/libreadline.so.7"

좀 더

touch /etc/initramfs-tools/scripts/local-bottom/partprobe && chmod +x /etc/initramfs-tools/scripts/local-bottom/partprobe

콘텐츠 ../partprobe

#!/bin/sh

$DESTDIR/bin/partprobe

마지막으로 update-initramfs 전에 /etc/initramfs-tools/scripts/local-top/cryptroot 파일을 ~360행부터 시작하여 아래 코드 스니펫으로 편집해야 합니다.

독창적 인

                # decrease $count by 1, apparently last try was successful.
                count=$(( $count - 1 ))
                
                message "cryptsetup ($crypttarget): set up successfully"
                break

이 양식으로 가져와

수정됨

                # decrease $count by 1, apparently last try was successful.
                count=$(( $count - 1 ))
                

                /bin/decrypt_derived $crypttarget | cryptsetup luksOpen /dev/disk/by-uuid/ *CRYPT_MAP*
                /bin/decrypt_derived $crypttarget | cryptsetup luksOpen /dev/disk/by-id/ *CRYPT_MAP*

                message "cryptsetup ($crypttarget): set up successfully"
                break

여기서 UUID 또는 ID를 사용할 수 있습니다. 가장 중요한 것은 HDD/SSD 장치에 필요한 드라이버가 /etc/initramfs-tools/modules에 추가된다는 것입니다. 명령과 함께 사용 중인 드라이버를 확인할 수 있습니다. udevadm 정보 -a -n /dev/sdX | egrep '보고|드라이버'.

이제 작업이 완료되고 모든 파일이 준비되었으므로 다음을 실행합니다. 업데이트-initramfs -u -k 모두 -v, 로그인 중 ~해서는 안된다. 우리 스크립트의 실행 오류. 재부팅하고 암호를 입력하고 디스크 수에 따라 조금 기다립니다. 다음으로 시스템이 시작되고 실행의 마지막 단계, 즉 루트 파티션을 "마운트"한 후 partprobe 명령이 실행됩니다. LUKS 장치 및 모든 어레이에서 생성된 모든 파티션을 찾아서 선택합니다. mdadm, 문제 없이 조립됩니다! 그리고 이 모든 것 로드하기 전에 핵심 서비스 및 이러한 디스크/어레이가 필요한 서비스.

update1: 어떻게 알아 차 렸던 AEP, 이 방법은 LUKS1에서만 작동합니다.

출처 : habr.com