Forum Mjukvara Linux och övriga operativsystem Tråd Inlägg

Låsa upp "helkrypterat" system via fjärranslutning

1
Skriv svar
Permalänk
Medlem

Låsa upp "helkrypterat" system via fjärranslutning

Tjena!
Har läst på forumet i flera år men tyckte det var dags att registrera sig för att ställa lite frågor, så här kommer en av dessa!
Jag har flera "helkrypterade" Linux burkar som kör Ubuntu och tycker det är en praktisk lösning med krypering+LVM.
Mitt enda problem är att dessa burkar ibland är i behov av att startas om eller går ner på grund av olika anledningar.
Detta ställer till det lite då dessa burkar är utplacerade på olika plattser och det skulle bli ett jäkla jobb att åka runt och knappa in krypteringslösenordet. Jag vill inte heller ge ut lösenordet till någon på plats.

Jag har sökt efter en lösning till detta problem men inte hittat något än.
Det vore trevligt om man kunde köra någon form av undersystem dit man kan SSHa endast för inmatning av lösenord.

Finns det bättre lösningar för andra distar eller system är jag villig att flytta från Ubuntu Server.

Tankar och idéer uppskattas såklart!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Le-Lunix:

Jag har flera "helkrypterade" Linux burkar som kör Ubuntu och tycker det är en praktisk lösning med krypering+LVM.
Mitt enda problem är att dessa burkar ibland är i behov av att startas om eller går ner på grund av olika anledningar.
Detta ställer till det lite då dessa burkar är utplacerade på olika plattser och det skulle bli ett jäkla jobb att åka runt och knappa in krypteringslösenordet. Jag vill inte heller ge ut lösenordet till någon på plats.

Gå till inlägget

KVM över IP? IDG har skrivit lite om det. Kostar en del pengar.
Riktiga maskiner med Out-of-band mangement. Kostar också lite pengar.
Kanske inte kryptera hela systemet? Då får du igång burken och får upp ssh när du startar om. Sedan kan du göra den handpåläggningen som behövs för att få igång krypteringen. Man kanske skulle kunna göra något praktiskt med egen definierade runlevels. Kostar inga pengar, bara tid.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Fnorken:

KVM över IP? IDG har skrivit lite om det. Kostar en del pengar.
Riktiga maskiner med Out-of-band mangement. Kostar också lite pengar.
Kanske inte kryptera hela systemet? Då får du igång burken och får upp ssh när du startar om. Sedan kan du göra den handpåläggningen som behövs för att få igång krypteringen. Man kanske skulle kunna göra något praktiskt med egen definierade runlevels. Kostar inga pengar, bara tid.

Gå till inlägget

Tack för respons!
Jo, det där med runlevels har jag också tänkt på - är dock lite förvånad över att det inte redan finns.

Redigera
Citera flera Citera
Permalänk
Medlem

Finns det någon anledning till att du krypterar hela systemet?

Visa signatur

Datorer - M1 MacBook Pro 14"
Hörlurssystem - Scarlett 4i4 / Objective2 / Beyerdynamic DT 770
Ljudsystem - NAD C356BEE > DALI Mentor 6
Bilpark - Porsche 718 Spyder

Redigera
Citera flera Citera
Permalänk
Medlem

Ursäkta noobmode men "hela systemet"?

Visa signatur

MBP: 13" - M1
Stationär: Win11 - Ryzen 5900X - 128GB - GTX 4080
Server: Ubuntu - i5 4670k - 32GB - 4x5TB Raid-Z
Server: Rpi4 8GB, 1TB USB SSD

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Jilted82:

Finns det någon anledning till att du krypterar hela systemet?

Gå till inlägget

Tycker det är en smidig lösning för att ge användarana god integritet osv.

Skrivet av tifius:

Ursäkta noobmode men "hela systemet"?

Gå till inlägget

Krypterad LVM i Ubuntu - ett val man kan göra under serverinstallationen.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Le-Lunix:

Tycker det är en smidig lösning för att ge användarana god integritet osv.

Krypterad LVM i Ubuntu - ett val man kan göra under serverinstallationen.

Gå till inlägget

Ja men då räcker det väl med att kryptera /home?

Visa signatur

Datorer - M1 MacBook Pro 14"
Hörlurssystem - Scarlett 4i4 / Objective2 / Beyerdynamic DT 770
Ljudsystem - NAD C356BEE > DALI Mentor 6
Bilpark - Porsche 718 Spyder

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Jilted82:

Ja men då räcker det väl med att kryptera /home?

Gå till inlägget

Jo, men logs och liknande sparas ju på andra ställen - mest därför jag tycker det är bekvämt att kryptera hela disken.
Antagligen finns det folk som håller med mig då funktionen ligger inbäddad i installationen
Dock ligger det ju en hel del i det du säger - ska se över det!

Redigera
Citera flera Citera
Permalänk
Medlem

Man måste alltså mata in en nyckel för att låsa upp systemet innan ssh kan starta?

Visa signatur

MBP: 13" - M1
Stationär: Win11 - Ryzen 5900X - 128GB - GTX 4080
Server: Ubuntu - i5 4670k - 32GB - 4x5TB Raid-Z
Server: Rpi4 8GB, 1TB USB SSD

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av tifius:

Man måste alltså mata in en nyckel för att låsa upp systemet innan ssh kan starta?

Gå till inlägget

Jajamensan, innan någon form av tjänst startas.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Le-Lunix:

Jajamensan, innan någon form av tjänst startas.

Gå till inlägget

Fast det verkar ju finnas en strimma hopp https://wiki.archlinux.org/index.php/System_Encryption_with_L...

Ja, det står ju archlinux där i url:en och du körde väl ubuntu. Men det duger säkert för att få lite inspiration till en lösning.

Nej, jag har inte testat det, mest för att jag inte har någon linuxburk med krypterade filsystem.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Fnorken:

Fast det verkar ju finnas en strimma hopp https://wiki.archlinux.org/index.php/System_Encryption_with_L...

Ja, det står ju archlinux där i url:en och du körde väl ubuntu. Men det duger säkert för att få lite inspiration till en lösning.

Nej, jag har inte testat det, mest för att jag inte har någon linuxburk med krypterade filsystem.

Gå till inlägget

Man tackar! Ska ta en titt på det där nästa helg när man har lite tid över!

Redigera
Citera flera Citera
Permalänk
Medlem

Jag antar att du startar en initramfs som ber om lösen och sedan mountar root och chrootar till den? I så fall borde du kunna lägga in sshd i initramfsen och fixa ett script som ber om lösen. Jag har inte provat själv men det borde funka. Det blir lite extra krångel eftersom endast init processen kan utföra chrooten så om du försöker köra chroot från den process som sshd skapar får du bara felmeddelande. Kanske finns det färdiga lösningar för detta om du letar.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Emaku:

Jag antar att du startar en initramfs som ber om lösen och sedan mountar root och chrootar till den? I så fall borde du kunna lägga in sshd i initramfsen och fixa ett script som ber om lösen. Jag har inte provat själv men det borde funka. Det blir lite extra krångel eftersom endast init processen kan utföra chrooten så om du försöker köra chroot från den process som sshd skapar får du bara felmeddelande. Kanske finns det färdiga lösningar för detta om du letar.

Gå till inlägget

Problemet är väll att de vanliga användarana som SSH använder ligger krypterade, antar jag.
Men jag ser inte hur nätverkstjänster skulle kunna startas eftersom hela roten är krypterad om dessa inte detta placeras separat.

Redigera
Citera flera Citera
Permalänk
Medlem

De placeras separat. Initramfs är ett litet komprimerat root filsystem som innehåller allt som behövs för att mounta den riktiga rooten. Det ligger okrypterat under /boot och mountas av kerneln som ett ram-filsystem vid boot. För dig måste detta init filsystem innehålla allt som behövs för att få upp nätverket (ifconfig, dhcpcd, osv) krypteringen (cryptsetup) och ssh (sshd med config filer). Det krävs också /etc/passwd, /etc/shadow och liknande filer med fake-användare som kan logga in med ssh.

http://en.gentoo-wiki.com/wiki/Initramfs Här finns matnyttig info om initramfs för gentoo. Det funkar på samma sätt i alla distributioner men din distribution använder säkert redan en initramfs för att ladda mysko moduler och sätta upp kryptering vid boot. Se till att inte fucka upp den för mycket för då kan du inte boota.

Redigera
Citera flera Citera
Permalänk
Medlem

http://www.howtoforge.com/unlock-a-luks-encrypted-root-partit...

Borde lösa dina problem, men jag vet att många av sakerna är redan inbyggda nu, men söker du i ämnet så kommer du nog finna dom (länge sedan jag höll på med det)

Visa signatur

Viva las vegas....

Redigera
Citera flera Citera
1
Skriv svar