דעקריפּטינג אַ LUKS קאַנטיינער אין סיסטעם שטיוול צייט

גוט טאָג און נאַכט אַלעמען! דער פּאָסטן וועט זיין נוציק פֿאַר יענע וואָס נוצן LUKS דאַטן ענקריפּשאַן און ווילן צו דעקריפּט דיסקס אונטער לינוקס (דעביאַן, ובונטו) אויף בינע פון ​​דעקריפּטיאָן פון דער וואָרצל צעטיילונג. און איך קען נישט געפֿינען אַזאַ אינפֿאָרמאַציע אויף די אינטערנעט.

גאַנץ לעצטנס, מיט אַ פאַרגרעסערן אין די נומער פון דיסקס אין די שעלוועס, איך געפּלאָנטערט די פּראָבלעם פון דעקריפּטינג דיסקס ניצן די מער ווי באַוווסט אופֿן דורך /etc/crypttab. פּערסנאַלי, איך הויכפּונקט אַ ביסל פראבלעמען מיט דעם אופֿן, ניימלי אַז די טעקע איז לייענען בלויז נאָך לאָודינג (מאַונטינג) די וואָרצל צעטיילונג, וואס האט נעגאטיוו אפעקטירט זפס אימפארטן, בפרט אויב זיי זענען געזאמלט געווארן פון פארטיילונגען אויף א *_קריפט מיטל, אדער מדאם ראידס אויך געזאמלט פון פארטיילונגען. מיר אַלע וויסן אַז איר קענען נוצן פּאַרטאַד אויף LUKS קאַנטיינערז, רעכט? און אויך די פּראָבלעם פון פרי אָנהייב פון אנדערע באַדינונגען, ווען עס זענען קיין ערייז נאָך, און נוצן איך שוין דאַרפֿן עפּעס (איך בין ארבעטן מיט קלאַסטערד Proxmox VE 5.x און ZFS איבער iSCSI).

א ביסל וועגן ZFSoverISCSIiSCSI אַרבעט פֿאַר מיר דורך LIO, און אין פאַקט, ווען די יסקסי ציל סטאַרץ און קען נישט זען ZVOL דעוויסעס, עס פשוט רימוווז זיי פון די קאַנפיגיעריישאַן, וואָס פּריווענץ גאַסט סיסטעמען פון בוטינג. דערפאר, אָדער ריסטאָרינג די באַקאַפּ דזשסאָן טעקע, אָדער מאַניואַלי אַדינג דעוויסעס מיט די ידענטיפיערס פון יעדער VM, וואָס איז פשוט שרעקלעך ווען עס זענען דאַזאַנז פון אַזאַ מאשינען און יעדער קאַנפיגיעריישאַן האט מער ווי 1 דיסק.

און די צווייטע קשיא וואָס איך וועל באַטראַכטן איז ווי צו דעקריפּט (דאָס איז דער שליסל פונט פון דעם אַרטיקל). און מיר וועלן רעדן וועגן דעם אונטן, גיין צו די שנייַדן!

רובֿ אָפט אויף דער אינטערנעץ, זיי נוצן אַ שליסל טעקע (וואָס איז אויטאָמאַטיש צוגעגעבן צו די שפּעלטל מיט די באַפֿעל - cryptsetup luksAddKey), אָדער אין זעלטן אויסנעמען (עס איז זייער קליין אינפֿאָרמאַציע אויף דער רוסיש-שפּראַך אינטערנעץ) - די דעקריפּט_דעריווד שריפט, ליגן אין /lib/cryptsetup/script/ (פון קורס, עס זענען אנדערע וועגן, אָבער איך געוויינט די צוויי, וואָס איז געווען די יקער פון דעם אַרטיקל). איך אויך געשטרעבט פֿאַר פול אָטאַנאַמאַס אַקטאַוויישאַן נאָך רעבאָאָץ, אָן קיין נאָך קאַמאַנדז אין די קאַנסאָול, אַזוי אַז אַלץ וואָלט "נעמען אַוועק" פֿאַר מיר גלייך. דעריבער, וואָס וואַרטן? —

לאמיר אנהייבען!

מיר יבערנעמען אַ סיסטעם, למשל דעביאַן, אינסטאַלירן אויף די sda3_crypt קריפּטאָ צעטיילונג און אַ טוץ דיסקס גרייט צו ענקריפּט און מאַכן וואָס דיין האַרץ וויל. מיר האָבן אַ שליסל פראַזע (פּאַסספראַסע) צו ופשליסן sda3_crypt און עס איז פֿון דעם אָפּטיילונג אַז מיר וועלן באַזייַטיקן די "האַש" פון די פּאַראָל אויף אַ פליסנדיק (דעקריפּטיד) סיסטעם און לייגן עס צו אנדערע דיסקס. אַלץ איז עלעמענטאַר, אין די קאַנסאָול מיר ויספירן:

/lib/cryptsetup/scripts/decrypt_derived sda3_crypt | cryptsetup luksFormat /dev/sdX

ווו X איז אונדזער דיסקס, פּאַרטישאַנז, עטק.

נאָך ענקריפּטינג די דיסקס מיט אַ האַש פֿון אונדזער שליסל פראַזע, איר דאַרפֿן צו געפֿינען די UUID אָדער ID - דיפּענדינג אויף וואָס איז געוויינט צו וואָס. מיר נעמען דאַטן פון /dev/disk/by-uuid און by-id, ריספּעקטיוולי.

דער ווייַטער בינע איז פּריפּערינג טעקעס און מיני-סקריפּס פֿאַר די פאַנגקשאַנז וואָס מיר דאַרפֿן צו אַרבעטן, לאָזן אונדז גיינ ווייַטער:

cp -p /usr/share/initramfs-tools/hooks/cryptroot /etc/initramfs-tools/hooks/
cp -p /usr/share/initramfs-tools/scripts/local-top/cryptroot /etc/initramfs-tools/scripts/local-top/

далее

touch /etc/initramfs-tools/hooks/decrypt && chmod +x /etc/initramfs-tools/hooks/decrypt

אינהאַלט פון ../דעקריפּט

#!/bin/sh

cp -p /lib/cryptsetup/scripts/decrypt_derived "$DESTDIR/bin/decrypt_derived"

далее

touch /etc/initramfs-tools/hooks/partcopy && chmod +x /etc/initramfs-tools/hooks/partcopy

אינהאַלט ../partcopy

#!/bin/sh

cp -p /sbin/partprobe "$DESTDIR/bin/partprobe"
cp -p /lib/x86_64-linux-gnu/libparted.so.2 "$DESTDIR/lib/x86_64-linux-gnu/libparted.so.2"
cp -p /lib/x86_64-linux-gnu/libreadline.so.7 "$DESTDIR/lib/x86_64-linux-gnu/libreadline.so.7"

אַ ביסל מער

touch /etc/initramfs-tools/scripts/local-bottom/partprobe && chmod +x /etc/initramfs-tools/scripts/local-bottom/partprobe

אינהאַלט ../partprobe

#!/bin/sh

$DESTDIR/bin/partprobe

און לעסאָף, איידער דערהייַנטיקן-יניטראַמפס, איר דאַרפֿן צו רעדאַגירן די טעקע /etc/initramfs-tools/scripts/local-top/cryptroot, סטאַרטינג פון שורה ~360, אַ שטיק פון קאָד אונטן

אָריגינעל

                # decrease $count by 1, apparently last try was successful.
                count=$(( $count - 1 ))
                
                message "cryptsetup ($crypttarget): set up successfully"
                break

און ברענגען עס צו דעם פאָרעם

עדיטיד

                # decrease $count by 1, apparently last try was successful.
                count=$(( $count - 1 ))
                

                /bin/decrypt_derived $crypttarget | cryptsetup luksOpen /dev/disk/by-uuid/ *CRYPT_MAP*
                /bin/decrypt_derived $crypttarget | cryptsetup luksOpen /dev/disk/by-id/ *CRYPT_MAP*

                message "cryptsetup ($crypttarget): set up successfully"
                break

באַמערקונג אַז אָדער UUID אָדער ID קענען זיין געוויינט דאָ. די הויפּט זאַך איז אַז די נייטיק דריווערס פֿאַר הדד / ססד דעוויסעס זענען מוסיף צו /etc/initramfs-tools/modules. איר קענען געפֿינען אויס וואָס שאָפער איז געניצט מיט דעם באַפֿעל ודעוואַדם אינפֿאָרמאַציע -a -n /dev/sdX | egrep 'קוקן|דרייווער'.

איצט אַז מיר זענען פאַרטיק און אַלע די טעקעס זענען אין פּלאַץ, מיר לויפן דערהייַנטיקן-יניטראַמפס -ו -ק אַלע -וו, אין לאָגינג מוז נישט זיין ערראָרס אין דער דורכפירונג פון אונדזער סקריפּס. מיר רעבאָאָט, אַרייַן די שליסל פראַזע און וואַרטן אַ ביסל, דיפּענדינג אויף די נומער פון דיסקס. דערנאָך, די סיסטעם וועט אָנהייבן און אין די לעצט סטאַגע פון ​​סטאַרטאַפּ, ניימלי נאָך "מאָונטינג" די וואָרצל צעטיילונג, די פּאַרץ פּראָבע באַפֿעל וועט זיין עקסאַקיוטאַד - עס וועט געפֿינען און קלייַבן אַלע באשאפן פּאַרטישאַנז אויף LUKS דעוויסעס און קיין ערייז, זיין ZFS אָדער מדאם, וועט מען פארזאמלט ווערן אן פראבלעמען! און דאָס אַלץ איידער לאָודינג די הויפּט באַדינונגס וואָס דאַרפֿן די דיסקס / ערייז.

דערהייַנטיקן1: ווי באמערקט AEP, דעם אופֿן אַרבעט בלויז פֿאַר LUKS1.

מקור: www.habr.com