ਸਿਸਟਮ ਬੂਟ ਸਮੇਂ LUKS ਕੰਟੇਨਰ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨਾ

ਸ਼ੁਭ ਦਿਨ ਅਤੇ ਰਾਤ ਸਾਰਿਆਂ ਨੂੰ! ਇਹ ਪੋਸਟ ਉਹਨਾਂ ਲਈ ਲਾਭਦਾਇਕ ਹੋਵੇਗੀ ਜੋ LUKS ਡੇਟਾ ਐਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ ਅਤੇ ਲੀਨਕਸ (ਡੇਬੀਅਨ, ਉਬੰਟੂ) ਦੇ ਅਧੀਨ ਡਿਸਕਾਂ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹਨ. ਰੂਟ ਭਾਗ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਦੇ ਪੜਾਅ. ਅਤੇ ਮੈਂ ਇੰਟਰਨੈਟ ਤੇ ਅਜਿਹੀ ਜਾਣਕਾਰੀ ਨਹੀਂ ਲੱਭ ਸਕਿਆ.

ਹਾਲ ਹੀ ਵਿੱਚ, ਸ਼ੈਲਫਾਂ ਵਿੱਚ ਡਿਸਕਾਂ ਦੀ ਗਿਣਤੀ ਵਿੱਚ ਵਾਧੇ ਦੇ ਨਾਲ, ਮੈਂ /etc/crypttab ਦੁਆਰਾ ਜਾਣੇ-ਪਛਾਣੇ ਢੰਗਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਡਿਸਕਾਂ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਦੀ ਸਮੱਸਿਆ ਵਿੱਚ ਫਸ ਗਿਆ ਹਾਂ। ਨਿੱਜੀ ਤੌਰ 'ਤੇ, ਮੈਂ ਇਸ ਵਿਧੀ ਦੀ ਵਰਤੋਂ ਨਾਲ ਕੁਝ ਸਮੱਸਿਆਵਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹਾਂ, ਅਰਥਾਤ ਇਹ ਕਿ ਫਾਈਲ ਨੂੰ ਪੜ੍ਹਿਆ ਜਾ ਰਿਹਾ ਹੈ ਰੂਟ ਭਾਗ ਨੂੰ ਲੋਡ (ਮਾਊਟ) ਕਰਨ ਤੋਂ ਬਾਅਦ ਹੀ, ਜੋ ਕਿ ZFS ਆਯਾਤ ਨੂੰ ਨਕਾਰਾਤਮਕ ਤੌਰ 'ਤੇ ਪ੍ਰਭਾਵਿਤ ਕਰਦਾ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਜੇਕਰ ਉਹ *_crypt ਜੰਤਰ ਉੱਤੇ ਭਾਗਾਂ ਤੋਂ ਬਣਾਏ ਗਏ ਹਨ, ਜਾਂ mdadm ਰੇਡਾਂ ਨੂੰ ਵੀ ਭਾਗਾਂ ਤੋਂ ਬਣਾਇਆ ਗਿਆ ਹੈ। ਅਸੀਂ ਸਾਰੇ ਜਾਣਦੇ ਹਾਂ ਕਿ ਤੁਸੀਂ LUKS ਕੰਟੇਨਰਾਂ 'ਤੇ ਪਾਰਟਡ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹੋ, ਠੀਕ ਹੈ? ਅਤੇ ਹੋਰ ਸੇਵਾਵਾਂ ਦੀ ਸ਼ੁਰੂਆਤੀ ਸ਼ੁਰੂਆਤ ਦੀ ਸਮੱਸਿਆ, ਜਦੋਂ ਅਜੇ ਕੋਈ ਐਰੇ ਨਹੀਂ ਹਨ, ਪਰ ਵਰਤੋਂ ਮੈਨੂੰ ਪਹਿਲਾਂ ਹੀ ਕੁਝ ਚਾਹੀਦਾ ਹੈ (ਮੈਂ iSCSI ਉੱਤੇ ਕਲੱਸਟਰਡ Proxmox VE 5.x ਅਤੇ ZFS ਨਾਲ ਕੰਮ ਕਰਦਾ ਹਾਂ)।

ZFSoverISCSI ਬਾਰੇ ਥੋੜਾ ਜਿਹਾiSCSI ਮੇਰੇ ਲਈ LIO ਰਾਹੀਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਅਤੇ ਅਸਲ ਵਿੱਚ, ਜਦੋਂ iscsi ਟਾਰਗਿਟ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਅਤੇ ZVOL ਜੰਤਰਾਂ ਨੂੰ ਨਹੀਂ ਵੇਖਦਾ ਹੈ, ਤਾਂ ਇਹ ਉਹਨਾਂ ਨੂੰ ਸੰਰਚਨਾ ਤੋਂ ਹਟਾ ਦਿੰਦਾ ਹੈ, ਜੋ ਗਿਸਟ ਸਿਸਟਮਾਂ ਨੂੰ ਬੂਟ ਹੋਣ ਤੋਂ ਰੋਕਦਾ ਹੈ। ਇਸ ਲਈ, ਜਾਂ ਤਾਂ ਜੇਸਨ ਫਾਈਲ ਬੈਕਅਪ ਨੂੰ ਬਹਾਲ ਕਰਨਾ, ਜਾਂ ਹਰੇਕ VM ਲਈ ਪਛਾਣਕਰਤਾਵਾਂ ਦੇ ਨਾਲ ਦਸਤੀ ਡਿਵਾਈਸਾਂ ਨੂੰ ਜੋੜਨਾ, ਜੋ ਕਿ ਉਦੋਂ ਭਿਆਨਕ ਹੁੰਦਾ ਹੈ ਜਦੋਂ ਅਜਿਹੀਆਂ ਦਰਜਨਾਂ ਮਸ਼ੀਨਾਂ ਹੁੰਦੀਆਂ ਹਨ ਅਤੇ ਹਰੇਕ ਸੰਰਚਨਾ ਵਿੱਚ 1 ਤੋਂ ਵੱਧ ਡਿਸਕ ਹੁੰਦੀ ਹੈ।

ਅਤੇ ਦੂਜਾ ਸਵਾਲ ਜਿਸ ਬਾਰੇ ਮੈਂ ਵਿਚਾਰ ਕਰਾਂਗਾ ਉਹ ਹੈ ਕਿ ਕਿਵੇਂ ਡੀਕ੍ਰਿਪਟ ਕਰਨਾ ਹੈ (ਇਹ ਲੇਖ ਦਾ ਮੁੱਖ ਬਿੰਦੂ ਹੈ). ਅਤੇ ਅਸੀਂ ਹੇਠਾਂ ਇਸ ਬਾਰੇ ਗੱਲ ਕਰਾਂਗੇ, ਕੱਟ ਦੇ ਹੇਠਾਂ ਜਾਓ!

ਬਹੁਤੇ ਅਕਸਰ, ਇੰਟਰਨੈਟ ਤੇ, ਇੱਕ ਕੁੰਜੀ ਫਾਈਲ ਵਰਤੀ ਜਾਂਦੀ ਹੈ (ਇਸ ਤੋਂ ਪਹਿਲਾਂ ਸਲਾਟ ਵਿੱਚ ਸਵੈ-ਜੋੜ ਕੇ ਕਮਾਂਡ - cryptsetup luksAddKey), ਜਾਂ ਬਹੁਤ ਘੱਟ ਅਪਵਾਦਾਂ ਵਿੱਚ (ਰਸ਼ੀਅਨ-ਭਾਸ਼ਾ ਦੇ ਇੰਟਰਨੈਟ ਤੇ ਬਹੁਤ ਘੱਟ ਜਾਣਕਾਰੀ ਹੁੰਦੀ ਹੈ) - decrypt_derived ਸਕ੍ਰਿਪਟ /lib/cryptsetup/script/ ਵਿੱਚ ਸਥਿਤ ਹੈ (ਬੇਸ਼ੱਕ, ਇੱਥੇ ਹੋਰ ਤਰੀਕੇ ਹਨ, ਪਰ ਮੈਂ ਇਹਨਾਂ ਦੋਵਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਜੋ ਲੇਖ ਦਾ ਆਧਾਰ ਬਣਦੇ ਹਨ)। ਮੈਂ ਕੰਸੋਲ ਵਿੱਚ ਬਿਨਾਂ ਕਿਸੇ ਵਾਧੂ ਕਮਾਂਡਾਂ ਦੇ, ਰੀਬੂਟ ਕਰਨ ਤੋਂ ਬਾਅਦ ਪੂਰੀ ਖੁਦਮੁਖਤਿਆਰੀ ਸ਼ਾਮਲ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ, ਤਾਂ ਜੋ ਮੇਰੇ ਲਈ ਇੱਕ ਵਾਰ ਵਿੱਚ ਸਭ ਕੁਝ "ਉੱਡ" ਜਾਵੇ। ਇਸ ਲਈ, ਇੰਤਜ਼ਾਰ ਕਿਉਂ? -

ਆਓ ਸ਼ੁਰੂ ਕਰੀਏ!

ਚਲੋ ਇੱਕ ਸਿਸਟਮ ਮੰਨ ਲਓ, ਜਿਵੇਂ ਡੇਬੀਅਨ, ਇੱਕ sda3_crypt ਕ੍ਰਿਪਟੋ ਭਾਗ ਤੇ ਸਥਾਪਿਤ ਹੈ ਅਤੇ ਇੱਕ ਦਰਜਨ ਡਿਸਕਾਂ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕਰਨ ਲਈ ਤਿਆਰ ਹੈ ਅਤੇ ਤੁਹਾਡੇ ਦਿਲ ਦੀ ਸਮੱਗਰੀ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਸਾਡੇ ਕੋਲ sda3_crypt ਨੂੰ ਅਨਲੌਕ ਕਰਨ ਲਈ ਇੱਕ ਪਾਸਫਰੇਜ਼ (ਪਾਸਫਰੇਜ਼) ਹੈ, ਅਤੇ ਇਹ ਇਸ ਭਾਗ ਤੋਂ ਹੈ ਕਿ ਅਸੀਂ ਚੱਲ ਰਹੇ (ਡੀਕ੍ਰਿਪਟਡ) ਸਿਸਟਮ ਦੇ ਪਾਸਵਰਡ ਵਿੱਚੋਂ "ਹੈਸ਼" ਨੂੰ ਹਟਾ ਦੇਵਾਂਗੇ ਅਤੇ ਇਸਨੂੰ ਬਾਕੀ ਡਿਸਕਾਂ ਵਿੱਚ ਜੋੜਾਂਗੇ। ਹਰ ਚੀਜ਼ ਮੁਢਲੀ ਹੈ, ਕੰਸੋਲ ਵਿੱਚ ਅਸੀਂ ਚਲਾਉਂਦੇ ਹਾਂ:

/lib/cryptsetup/scripts/decrypt_derived sda3_crypt | cryptsetup luksFormat /dev/sdX

ਜਿੱਥੇ X ਸਾਡੀ ਡਿਸਕ, ਭਾਗ, ਆਦਿ ਹੈ।

ਸਾਡੇ ਗੁਪਤਕੋਡ ਤੋਂ "ਹੈਸ਼" ਨਾਲ ਡਿਸਕਾਂ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਤੁਹਾਨੂੰ UUID ਜਾਂ ID ਦਾ ਪਤਾ ਲਗਾਉਣ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ - ਇਹ ਇਸ ਗੱਲ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ ਕਿ ਕੌਣ ਕੀ ਅਤੇ ਕਿਸ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਅਸੀਂ ਕ੍ਰਮਵਾਰ /dev/disk/by-uuid ਅਤੇ by-id ਤੋਂ ਡਾਟਾ ਲੈਂਦੇ ਹਾਂ।

ਅਗਲਾ ਕਦਮ ਉਹਨਾਂ ਫੰਕਸ਼ਨਾਂ ਲਈ ਫਾਈਲਾਂ ਅਤੇ ਮਿੰਨੀ-ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਤਿਆਰ ਕਰ ਰਿਹਾ ਹੈ ਜਿਨ੍ਹਾਂ ਦੀ ਸਾਨੂੰ ਕੰਮ ਕਰਨ ਦੀ ਲੋੜ ਹੈ, ਆਓ ਅੱਗੇ ਵਧੀਏ:

cp -p /usr/share/initramfs-tools/hooks/cryptroot /etc/initramfs-tools/hooks/
cp -p /usr/share/initramfs-tools/scripts/local-top/cryptroot /etc/initramfs-tools/scripts/local-top/

ਹੋਰ ਅੱਗੇ

touch /etc/initramfs-tools/hooks/decrypt && chmod +x /etc/initramfs-tools/hooks/decrypt

../ਡਿਕ੍ਰਿਪਟ ਦੀਆਂ ਸਮੱਗਰੀਆਂ

#!/bin/sh

cp -p /lib/cryptsetup/scripts/decrypt_derived "$DESTDIR/bin/decrypt_derived"

ਹੋਰ ਅੱਗੇ

touch /etc/initramfs-tools/hooks/partcopy && chmod +x /etc/initramfs-tools/hooks/partcopy

../partcopy ਦੀ ਸਮੱਗਰੀ

#!/bin/sh

cp -p /sbin/partprobe "$DESTDIR/bin/partprobe"
cp -p /lib/x86_64-linux-gnu/libparted.so.2 "$DESTDIR/lib/x86_64-linux-gnu/libparted.so.2"
cp -p /lib/x86_64-linux-gnu/libreadline.so.7 "$DESTDIR/lib/x86_64-linux-gnu/libreadline.so.7"

ਥੋੜਾ ਹੋਰ

touch /etc/initramfs-tools/scripts/local-bottom/partprobe && chmod +x /etc/initramfs-tools/scripts/local-bottom/partprobe

ਸਮੱਗਰੀ ../partprobe

#!/bin/sh

$DESTDIR/bin/partprobe

ਅਤੇ ਅੰਤ ਵਿੱਚ, ਅੱਪਡੇਟ-initramfs ਤੋਂ ਪਹਿਲਾਂ, ਤੁਹਾਨੂੰ /etc/initramfs-tools/scripts/local-top/cryptroot ਫਾਇਲ ਨੂੰ ਸੰਪਾਦਿਤ ਕਰਨ ਦੀ ਲੋੜ ਹੈ, ਲਾਈਨ ~360 ਤੋਂ ਸ਼ੁਰੂ ਕਰਦੇ ਹੋਏ, ਹੇਠਾਂ ਕੋਡ ਸਨਿੱਪਟ

ਅਸਲੀ

                # decrease $count by 1, apparently last try was successful.
                count=$(( $count - 1 ))
                
                message "cryptsetup ($crypttarget): set up successfully"
                break

ਅਤੇ ਇਸਨੂੰ ਇਸ ਫਾਰਮ ਵਿੱਚ ਲਿਆਓ

ਸੰਪਾਦਿਤ ਕੀਤਾ

                # decrease $count by 1, apparently last try was successful.
                count=$(( $count - 1 ))
                

                /bin/decrypt_derived $crypttarget | cryptsetup luksOpen /dev/disk/by-uuid/ *CRYPT_MAP*
                /bin/decrypt_derived $crypttarget | cryptsetup luksOpen /dev/disk/by-id/ *CRYPT_MAP*

                message "cryptsetup ($crypttarget): set up successfully"
                break

ਨੋਟ ਕਰੋ ਕਿ ਇੱਥੇ UUID ਜਾਂ ID ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ। ਮੁੱਖ ਗੱਲ ਇਹ ਹੈ ਕਿ HDD/SSD ਜੰਤਰਾਂ ਲਈ ਲੋੜੀਂਦੇ ਡਰਾਈਵਰਾਂ ਨੂੰ /etc/initramfs-tools/modules ਵਿੱਚ ਜੋੜਿਆ ਗਿਆ ਹੈ। ਤੁਸੀਂ ਇਹ ਪਤਾ ਲਗਾ ਸਕਦੇ ਹੋ ਕਿ ਕਮਾਂਡ ਨਾਲ ਕਿਹੜਾ ਡਰਾਈਵਰ ਵਰਤਿਆ ਜਾ ਰਿਹਾ ਹੈ udevadm ਜਾਣਕਾਰੀ -a -n /dev/sdX | egrep 'ਲੁੱਕ ਰਿਹਾ ਹੈ|ਡਰਾਈਵਰ'.

ਹੁਣ ਜਦੋਂ ਅਸੀਂ ਪੂਰਾ ਕਰ ਲਿਆ ਹੈ ਅਤੇ ਸਾਰੀਆਂ ਫਾਈਲਾਂ ਥਾਂ ਤੇ ਹਨ, ਚਲਾਓ update-initramfs -u -k all -v, ਲਾਗਿੰਗ ਵਿੱਚ ਨਹੀਂ ਹੋਣਾ ਚਾਹੀਦਾ ਸਾਡੀਆਂ ਸਕ੍ਰਿਪਟਾਂ ਦੀਆਂ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਗਲਤੀਆਂ। ਅਸੀਂ ਰੀਬੂਟ ਕਰਦੇ ਹਾਂ, ਗੁਪਤਕੋਡ ਦਾਖਲ ਕਰਦੇ ਹਾਂ ਅਤੇ ਡਿਸਕਾਂ ਦੀ ਗਿਣਤੀ ਦੇ ਆਧਾਰ 'ਤੇ ਥੋੜਾ ਇੰਤਜ਼ਾਰ ਕਰਦੇ ਹਾਂ। ਅੱਗੇ, ਸਿਸਟਮ ਸ਼ੁਰੂ ਹੋ ਜਾਵੇਗਾ ਅਤੇ ਲਾਂਚ ਦੇ ਅੰਤਮ ਪੜਾਅ 'ਤੇ, ਅਰਥਾਤ ਰੂਟ ਭਾਗ ਨੂੰ "ਮਾਊਂਟ" ਕਰਨ ਤੋਂ ਬਾਅਦ, partprobe ਕਮਾਂਡ ਨੂੰ ਚਲਾਇਆ ਜਾਵੇਗਾ - ਇਹ LUKS ਡਿਵਾਈਸਾਂ ਅਤੇ ਕਿਸੇ ਵੀ ਐਰੇ 'ਤੇ ਸਾਰੇ ਬਣਾਏ ਭਾਗਾਂ ਨੂੰ ਲੱਭੇਗਾ ਅਤੇ ਚੁਣੇਗਾ, ਭਾਵੇਂ ਇਹ ZFS ਹੋਵੇ ਜਾਂ mdadm, ਬਿਨਾਂ ਕਿਸੇ ਸਮੱਸਿਆ ਦੇ ਇਕੱਠੇ ਕੀਤੇ ਜਾਣਗੇ! ਅਤੇ ਇਹ ਸਭ ਲੋਡ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਕੋਰ ਸੇਵਾਵਾਂ ਅਤੇ ਸੇਵਾਵਾਂ ਜਿਹਨਾਂ ਨੂੰ ਇਹਨਾਂ ਡਿਸਕਾਂ/ਐਰੇ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।

ਅੱਪਡੇਟ1: ਕਿਵੇਂ ਦੇਖਿਆ ਏ.ਈ.ਪੀ., ਇਹ ਵਿਧੀ ਸਿਰਫ਼ LUKS1 ਲਈ ਕੰਮ ਕਰਦੀ ਹੈ।

ਸਰੋਤ: www.habr.com