LUKS konteinera atšifrēšana sistēmas sāknēšanas laikā

Labu dienu un nakti visiem! Šī ziņa būs noderīga tiem, kas izmanto LUKS datu šifrēšanu un vēlas atšifrēt diskus operētājsistēmā Linux (Debian, Ubuntu) saknes nodalījuma atšifrēšanas posmi. Un es nevarēju atrast šādu informāciju internetā.

Pavisam nesen, palielinoties disku skaitam plauktos, es saskāros ar disku atšifrēšanas problēmu, izmantojot vairāk nekā labi zināmo metodi, izmantojot /etc/crypttab. Personīgi es izceļu dažas problēmas, kas saistītas ar šīs metodes izmantošanu, proti, fails tiek lasīts tikai pēc saknes nodalījuma ielādes (montāžas)., kas negatīvi ietekmē ZFS importēšanu, jo īpaši, ja tie tika veidoti no starpsienām *_crypt ierīcē vai mdadm reidi, kas veidoti arī no nodalījumiem. Mēs visi zinām, ka LUKS konteineros var izmantot atdalītu, vai ne? Un arī citu servisu agrīnas palaišanas problēma, kad vēl nav masīvu, bet izmantot Man jau kaut ko vajag (es strādāju ar klasterizētu Proxmox VE 5.x un ZFS, izmantojot iSCSI).

Mazliet par ZFSoverISCSIiSCSI man darbojas caur LIO, un patiesībā, kad iscsi target startē un neredz ZVOL ierīces, tas vienkārši noņem tās no konfigurācijas, kas neļauj viesu sistēmām palaist. Tādējādi vai nu jāatjauno json faila dublējums, vai manuāli jāpievieno ierīces ar identifikatoriem katrai virtuālajai mašīnai, kas ir vienkārši briesmīgi, ja ir desmitiem šādu mašīnu un katrā konfigurācijā ir vairāk nekā 1 disks.

Un otrs jautājums, ko es apsvēršu, ir tas, kā atšifrēt (tas ir raksta galvenais punkts). Un mēs par to runāsim tālāk, ejiet zemāk!

Visbiežāk internetā tiek izmantots atslēgas fails (paši pievienots slotam pirms tam ar komandu - cryptsetup luksAddKey) vai retos izņēmumos (krievu valodā internetā ir ļoti maz informācijas) - decrypt_derived skripts. atrodas /lib/cryptsetup/script/ (protams, ir arī citi veidi, bet es izmantoju šos divus, kas veidoja raksta pamatu). Es arī tiecos pēc pilnīgas autonomas iekļaušanas pēc pārstartēšanas, bez papildu komandām konsolē, lai man viss uzreiz "uzlidotu". Tāpēc kāpēc gaidīt? —

Sāksim!

Pieņemsim, ka sistēma, piemēram, Debian, ir instalēta sda3_crypt kriptogrāfijas nodalījumā un duci disku, kas ir gatavi šifrēšanai un izveidošanai pēc jūsu sirds patikas. Mums ir ieejas frāze (paroles frāze), lai atbloķētu sda3_crypt, un tieši no šī nodalījuma mēs noņemsim “jaucēju” no paroles darbošajā (atšifrētajā) sistēmā un pievienosim to pārējiem diskiem. Viss ir elementāri, konsolē mēs izpildām:

/lib/cryptsetup/scripts/decrypt_derived sda3_crypt | cryptsetup luksFormat /dev/sdX

kur X ir mūsu diski, nodalījumi utt.

Pēc disku šifrēšanas ar "jauktu" no mūsu ieejas frāzes, jums ir jānoskaidro UUID vai ID - atkarībā no tā, kurš ir pieradis un ko. Mēs iegūstam datus attiecīgi no /dev/disk/by-uuid un by-id.

Nākamais solis ir failu un mini skriptu sagatavošana funkcijām, kas mums jāstrādā, turpināsim:

cp -p /usr/share/initramfs-tools/hooks/cryptroot /etc/initramfs-tools/hooks/
cp -p /usr/share/initramfs-tools/scripts/local-top/cryptroot /etc/initramfs-tools/scripts/local-top/

tālāk

touch /etc/initramfs-tools/hooks/decrypt && chmod +x /etc/initramfs-tools/hooks/decrypt

../decrypt saturs

#!/bin/sh

cp -p /lib/cryptsetup/scripts/decrypt_derived "$DESTDIR/bin/decrypt_derived"

tālāk

touch /etc/initramfs-tools/hooks/partcopy && chmod +x /etc/initramfs-tools/hooks/partcopy

../partcopy saturs

#!/bin/sh

cp -p /sbin/partprobe "$DESTDIR/bin/partprobe"
cp -p /lib/x86_64-linux-gnu/libparted.so.2 "$DESTDIR/lib/x86_64-linux-gnu/libparted.so.2"
cp -p /lib/x86_64-linux-gnu/libreadline.so.7 "$DESTDIR/lib/x86_64-linux-gnu/libreadline.so.7"

mazliet vairāk

touch /etc/initramfs-tools/scripts/local-bottom/partprobe && chmod +x /etc/initramfs-tools/scripts/local-bottom/partprobe

Saturs ../partprobe

#!/bin/sh

$DESTDIR/bin/partprobe

un pēdējais, pirms update-initramfs, jums ir jārediģē /etc/initramfs-tools/scripts/local-top/cryptroot fails, sākot no rindiņas ~360, koda fragments zemāk

Oriģināls

                # decrease $count by 1, apparently last try was successful.
                count=$(( $count - 1 ))
                
                message "cryptsetup ($crypttarget): set up successfully"
                break

un nogādājiet to šajā formā

Rediģēts

                # decrease $count by 1, apparently last try was successful.
                count=$(( $count - 1 ))
                

                /bin/decrypt_derived $crypttarget | cryptsetup luksOpen /dev/disk/by-uuid/ *CRYPT_MAP*
                /bin/decrypt_derived $crypttarget | cryptsetup luksOpen /dev/disk/by-id/ *CRYPT_MAP*

                message "cryptsetup ($crypttarget): set up successfully"
                break

Ņemiet vērā, ka šeit var izmantot UUID vai ID. Galvenais ir tas, ka nepieciešamie draiveri HDD / SSD ierīcēm tiek pievienoti /etc/initramfs-tools/modules. Ar komandu varat uzzināt, kurš draiveris tiek izmantots udevadm info -a -n /dev/sdX | egrep 'meklē | DRIVER'.

Tagad, kad esam pabeiguši un visi faili ir savās vietās, palaidiet update-initramfs -u -k all -v, mežizstrādē nedrīkst būt mūsu skriptu izpildes kļūdas. Mēs atsāknējam, ievadām ieejas frāzi un nedaudz pagaidām, atkarībā no disku skaita. Pēc tam sistēma sāks darboties un pēdējā palaišanas posmā, proti, pēc saknes nodalījuma “uzmontēšanas”, tiks izpildīta komanda partprobe - tā atradīs un uzņems visus izveidotos nodalījumus LUKS ierīcēs un jebkuros masīvos, neatkarīgi no tā, vai tas ir ZFS vai mdadm, tiks samontēts bez problēmām! Un tas viss pirms iekraušanas pamatpakalpojumi un pakalpojumi, kuriem nepieciešami šie diski/masīvi.

atjauninājums1: Kā pamanīju AEP, šī metode darbojas tikai LUKS1.

Avots: www.habr.com