Instal·leu i configureu CentOS 7 per desbloquejar de manera remota LVM al xifratge de disc LUKS mitjançant SSH

LUKS (Linux Unified Key Setup) és un dels diferents formats de xifratge de disc disponibles per a Linux que és independent de la plataforma. Aquest tutorial us proporcionarà particions arrel i d'intercanvi dins d'un volum LVM (Linux Volume Manager) contingut dins d'una partició LUKS xifrada. Aquest tutorial també us permet desbloquejar la partició LUKS de forma remota mitjançant un dimoni de servidor SSH simplificat mitjançant qualsevol programa client SSH compatible.

Requisits previs

• Una instància del servidor de la biblioteca ISO mínima CentOS 7 x64.
• Un usuari de sudo .
• Clau(s) pública(s) SSH .
• Dracut-Crypt-SSH .

Pas 1: Configuració de l'entorn

A la pàgina Desplega servidors , feu el següent:

• Trieu la ubicació del vostre servidor a la Server Locationsecció.
• Trieu CentOS7a la ISO Librarypestanya de la Server Typesecció.
• Trieu les especificacions de maquinari que necessiteu a la Server Sizesecció.
• Feu clic al Deploy Nowbotó.

Utilitzeu l' View Consoleopció per accedir a la instància VPS mitjançant la consola noVNC.

Pas 2: inicieu l'instal·lador del mode de text de CentOS 7

Seleccioneu l' Install CentOS Linux 7opció.

Premeu la Tabtecla .

Introduïu textdesprés vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quietperquè sembli així vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quiet texti premeu la Entertecla.

El VPS ara arrencarà a l'instal·lador de CentOS en mode text. Veureu una pantalla a la consola noVNC com es mostra a la imatge següent.

Pas 3: configureu LVM al xifratge de disc complet de LUKS

Utilitzeu la Alt + Right Arrow Keycombinació per navegar a la consola TTY2 per escriure ordres a la línia d'ordres.

Escriviu les ordres següents a continuació per crear una partició que contingui el carregador d'arrencada GRUB2, una /bootpartició sense xifrar i una partició primària que contingui la partició LUKS.

parted -a opt -s /dev/vda mklabel gpt
parted -s /dev/vda unit mb
parted -s /dev/vda mkpart primary 1 3
parted -s /dev/vda name 1 grub
parted -s /dev/vda set 1 bios_grub on
parted -s /dev/vda mkpart primary 3 259
parted -s /dev/vda name 2 boot
parted -s /dev/vda mkpart primary 259 100%
parted -s /dev/vda name 3 root

Escriviu l'ordre següent per mostrar el disseny de la partició.

parted -s /dev/vda print

A continuació, ompliu la rootfspartició anomenada amb dades pseudoaleatòries. Això trigarà una mica més de mitja hora a completar-se.

dd if=/dev/urandom of=/dev/vda3 bs=1M status=progress

A CentOS 7, les cryptsetupordres utilitzen el xifrat predeterminat de aes-xts-plain64, la mida de la clau predeterminada de 256 bits i el hash predeterminat de SHA1. En canvi, la partició LUKS es crearà amb el xifratge Serpent més segur, amb una mida de clau de 512 bits i amb el hash Whirlpool.

cryptsetup luksFormat /dev/vda3 -c serpent-xts-plain64 -h whirlpool -s 512

Introduïu les respostes, quan se us demani amb les consultes següents, després premeu la Entertecla:

• Estàs segur? (Escriviu en majúscula sí):YES
• Introduïu la contrasenya: strong-password
• Verifiqueu la contrasenya: strong-password

Opcional: feu una còpia de seguretat de la capçalera de la partició LUKS

Avís Això permetrà l'inici de sessió root i la còpia sense demanar una contrasenya. Tanqueu aquest servidor SSH després d'haver recuperat el /tmp/luks-header-backup.imgfitxer.

Per protegir-lo, deseu una còpia de la capçalera de la partició LUKS. Això garanteix que si la capçalera de la vostra partició LUKS està danyada d'alguna manera, es pot restaurar. Si la capçalera està danyada sense una còpia de seguretat de treball, les vostres dades es perdran per sempre.

cryptsetup luksHeaderBackup /dev/vda3 --header-backup-file /tmp/luks-header-backup.img

Per copiar el /tmp/luks-header-backup.imgfitxer del servidor, s'ha d'iniciar temporalment un servidor SSH, utilitzant l'executable de còpia segura scpen un host client, per recuperar-lo.

Escriviu l'ordre següent a continuació per generar les claus d'amfitrió SSH.

sshd-keygen

Escriviu la següent comanda a continuació per crear el /etc/ssh/sshd_configfitxer.

cp /etc/ssh/sshd_config.anaconda /etc/ssh/sshd_config

Escriviu la següent comanda a continuació per editar el /etc/ssh/sshd_configfitxer.

vi /etc/ssh/sshd_config

Per editar el fitxer, premeu la Inserttecla i utilitzeu les tecles de fletxa per navegar a les seccions del fitxer que cal editar.

A la primera línia, canvieu el número Port 22del valor predeterminat de 22a un número aleatori de la vostra elecció entre 1025i 65535. (Exemple: port 25782)

Desplaceu-vos cap avall fins a la línia número tretze, premeu la Endtecla i premeu la Entertecla .

A la línia següent, afegiu HostKey /etc/ssh/ssh_host_ed25519_keyi premeu la Entertecla .

A la línia següent, afegiu HostKey /etc/ssh/ssh_host_rsa_keyi premeu la Entertecla .

Premeu la Esctecla, escriviu :wqi premeu la Entertecla per desar el fitxer.

La interfície de xarxa predeterminada eth0necessita una adreça IP. Escriviu l'ordre següent a continuació per assignar l'adreça IP indicada per a la vostra instància a la eth0interfície de xarxa.

dhclient

Escriviu l'ordre següent per mostrar l'adreça IP assignada. L'adreça IP apareixerà immediatament després ineti abans netmask. (Exemple: 192.0.2.1màscara de xarxa inet )

ifconfig eth0

Escriviu l'ordre següent per iniciar el servidor SSH.

/usr/sbin/sshd

Si utilitzeu l' scpordre des d'una línia d'ordres en una màquina client, utilitzeu l'ordre següent com a plantilla per recuperar el /tmp/luks-header-backup.imgfitxer. Substituïu 25782-lo pel número de port real assignat al fitxer /etc/ssh/sshd_config. Substituïu 192.0.2.1-la per l'adreça IP real assignada.

scp -P 25782 [email protected]:/tmp/luks-header-backup.img .

Després de recuperar el luks-header-backup.imgfitxer, mateu immediatament el servidor SSH escrivint l'ordre següent a la finestra de la consola noVNC.

killall sshd

Obriu la partició LUKS per configurar el volum físic LVM que hi residirà.

cryptsetup luksOpen /dev/vda3 centos

Introduïu la frase de contrasenya creada anteriorment per obrir la partició LUKS quan se us demani i, a continuació, premeu la Entertecla .

Introduïu la contrasenya per a /dev/vda3:strong-password

Escriviu la següent comanda a continuació:

ls /dev/mapper

Contindrà els següents arxius amb el nom centos, control, live-basei live-rw. El centosés la partició LUKS.

Escriviu l'ordre següent a continuació per crear el volum físic LVM.

pvcreate /dev/mapper/centos

Quan tinguis èxit, rebràs el missatge següent:

Physical volume "/dev/mapper/centos" successfully created

Escriviu l'ordre següent a continuació per crear el grup de volums LVM.

vgcreate ssd /dev/mapper/centos

Quan tinguis èxit, rebràs el missatge següent:

Volume group "ssd" successfully created

Escriviu l'ordre següent a continuació per crear un volum lògic LVM per a una partició d'intercanvi. Utilitzeu el bon criteri per crear una partició d'intercanvi, de la mida necessària (-L = mida del volum), basada en la vostra instància VPS.

lvcreate -L 1G -n swap ssd

Quan tinguis èxit, rebràs el missatge següent:

Logical volume "swap" created

Type the following command below to create a LVM logical volume for the root partition. This will use the remaining free space while reserving five percent (5%) to contain LVM snapshots of your logical volumes if you so choose.

lvcreate -l 95%FREE -n root ssd

When successful, you will receive the following message:

Logical volume "root" created

Display the LVM physical volume.

pvdisplay

You will see text in the noVNC console similar to what is pictured in the image below.

Display the LVM volume group.

vgdisplay

You will see text in the noVNC console similar to what is pictured in the image below.

Display the LVM logical volume(s).

lvdisplay

You will see text in the noVNC console similar to what is pictured in the image below.

Type the following command below to deactivate the LVM volume group. This must be completed in order to allow cryptsetup to close the LUKS partition in the next step.

vgchange -a n

When successful, you will receive the following message:

0 logical volume(s) in volume group "ssd" now active

Close the LUKS volume.

cryptsetup luksClose centos

Type the following command below:

ls /dev/mapper

It will contain the following files named control, live-base and live-rw. The centos file, containing the LUKS partition, will be missing to ensure that that it was closed properly.

Type reboot and press the Enter key to reboot.

Step 4: Start The CentOS 7 GUI Mode Installer

Select the Install CentOS Linux 7 option and press the Enter key.

The VPS will now boot into the GUI mode CentOS installer. You will see a screen in the noVNC console like pictured in the image below. Select Install CentOS 7 (1) and press the Enter key.

On the WELCOME TO CENTOS 7 screen, click the blue Continue button (1).

Attention If you're not using the default language of English and the locale of the United States, input your language in the search bar (1). Click on the language (2) and the appropriate locale (3) associated with it. When satisfied, click the blue Continue button (4).

On the INSTALLATION SUMMARY screen, click on INSTALLATION DESTINATION (Automatic partitioning selected) (1) under SYSTEM.

On the INSTALLATION DESTINATION screen, select the I will configure partitioning (1) option under Other Storage Options (Partitioning) and click the blue Done button (2) at the top left of the screen.

On the MANUAL PARTITIONING screen, click on the Unknown expandable accordion (1). It will reveal three partitions named BIOS Boot (vda1), Unknown (vda2) and Encrypted (LUKS) (vda3).

With the BIOS Boot partition highlighted in blue (1), select the checkbox option of Reformat (2) next to the File System: accordion and click the Update Settings button (3).

Click on the Unknown partition (1) so that it is highlighted in blue. Select the checkbox option of Reformat (2) next to the File System: accordion. Select ext2 in the File System: accordion (3), enter /boot in the text field (4) under Mount Point:, enter boot in the text field (5) under Label: and click the Update Settings button (6).

Click on the Encrypted (LUKS) partition (1) so that it is highlighted in blue. Enter the passphrase you created for LUKS partition in Step 3: Setup LVM On LUKS Full Disk Encryption in the Passphrase: text field (2) and click the Unlock button (3).

A new Unknown expandable accordion (1) will appear. It will reveal two partitions named Unknown (ssd-root) and Unknown (ssd-swap).

With the Unknown (ssd-root) partition (1) highlighted in blue, select the checkbox option of Reformat (2) next to the File System: accordion. Select xfs in the File System: accordion (3), enter / in the text field (4) under Mount Point:, enter root in the text field (5) under Label: and click the Update Settings button (6).

Click on the Unknown (ssd-swap) (1) partition so that it is highlighted in blue. Select the checkbox option of Reformat (2) next to the File System: accordion. Select swap in the File System: accordion (3), enter swap in the text field (4) under Label: and click the Update Settings button (5).

Feu clic al Donebotó blau (1) a la part superior esquerra de la pantalla.

Apareixerà un quadre anomenat SUMMARY OF CHANGES. Feu clic al Accept Changesbotó (1). Això us tornarà a la WELCOME TO CENTOS 7pantalla.

Feu clic a NETWORK & HOST NAME (Not connected)(1) sota SYSTEM.

A la NETWORK & HOST NAMEpantalla, moveu el control lliscant (1), al costat de la dreta del Ethernet(eth0)camp, de la OFFposició a la ONposició. Si voleu utilitzar un nom d'amfitrió personalitzat en comptes del predeterminat (192.0.2.1.vultr.com) al Host name:quadre de text (2), canvieu-lo. Feu clic al Donebotó blau (3) a la part superior esquerra de la pantalla. Això us tornarà a la WELCOME TO CENTOS 7pantalla.

Quan estigueu satisfet amb les opcions de la WELCOME TO CENTOS 7pantalla, feu clic al Begin Installationbotó blau (1).

A la CONFIGURATIONpantalla, feu clic a ROOT PASSWORD (Root password is not set)(1) sota USER SETTINGS.

A la ROOT PASSWORDpantalla, introduïu una contrasenya segura als camps de text Root Password:(1) i Confirm:(2). Feu clic al Donebotó blau (3) a la part superior esquerra de la pantalla. Això us tornarà a la CONFIGURATIONpantalla.

A la CONFIGURATIONpantalla, feu clic a USER CREATION (No user will be created)(1) sota USER SETTINGS.

A la CREATE USERpantalla, introduïu el vostre nom complet al Full namecamp de text (1), un nom d'usuari al User namecamp de text (2), una contrasenya segura als camps de text Password(3) i Confirm password(4). Feu clic al Advanced...botó (5).

Apareixerà un quadre anomenat ADVANCED USER CONFIGURATION. Al Add user to the following groups:camp de text (1) sota Group Membership, introduïu wheeli feu clic al Save Changesbotó (2).

Feu clic al Donebotó blau (1) a la part superior esquerra de la pantalla.

Ara començarà el procés posterior a la instal·lació. Es trigarà uns minuts a completar-se. Quan hagi acabat, feu clic al Rebootbotó blau (1) per reiniciar la vostra instància VPS.

Torneu a la pantalla de gestió del servidor VULTR . Feu clic a l' Settingsenllaç de la part superior. Feu clic Custom ISOal menú del costat esquerre. A la Custom ISOpàgina, feu clic al Remove ISObotó per desmuntar la ISO i reiniciar a la vostra instància VPS CentOS 7. Feu clic al OKbotó quan se us demani i la instància VPS es reiniciarà.

Torneu a la View Consolefinestra per accedir a la instància VPS mitjançant la consola noVNC. Actualitzeu la finestra si noVNC s'ha desconnectat.

Se us demanarà que introduïu la frase de contrasenya (Exemple: Please enter passphrase for disk primary (luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)!:) que heu creat per a la partició LUKS a Step 3: Setup LVM On LUKS Full Disk Encryption. Introduïu la contrasenya i premeu la Entertecla .

A continuació, se us presentarà l'indicador d'inici de sessió de la consola. Ara podeu tancar la finestra de la consola noVNC.

Pas 5: actualitzeu el sistema

Inicieu sessió mitjançant SSH amb un usuari habitual i actualitzeu el sistema de la següent manera.

sudo yum install epel-release -y
sudo yum clean all && sudo yum update -y

Pas 6: instal·leu Dracut-Crypt-SSH

Mentre encara esteu connectat com a usuari normal, escriviu les ordres següents a continuació per instal·lar dracut-crypt-ssh.

sudo yum install wget -y
sudo wget -O /etc/yum.repos.d/rbu-dracut-crypt-ssh-epel-7.repo https://copr.fedorainfracloud.org/coprs/rbu/dracut-crypt-ssh/repo/epel-7/rbu-dracut-crypt-ssh-epel-7.repo
sudo yum install dracut-crypt-ssh -y

Escriviu l'ordre següent a continuació per instal·lar l' nanoeditor per facilitar l'edició dels fitxers.

sudo yum install nano -y

Haureu d'editar el fitxer grub predeterminat situat a /etc/default/grub.

sudo nano /etc/default/grub

Insereix rd.neednet=1 ip=dhcpentre GRUB_CMDLINE_LINUX="crashkernel=autoi rd.luks.uuid=luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.

Deseu el fitxer introduint les combinacions de teclat següents. Premeu les tecles Ctrl+ x, premeu la ytecla i premeu la Entertecla.

Regenera el teu fitxer de configuració GRUB escrivint l'ordre següent.

sudo grub2-mkconfig -o /etc/grub2.cfg 

Feu una còpia de seguretat de l'original /etc/dracut.conf.d/crypt-ssh.confescrivint l'ordre següent a continuació.

sudo mv /etc/dracut.conf.d/crypt-ssh.conf /etc/dracut.conf.d/crypt-ssh.conf.orig

Creeu un /etc/dracut.conf.d/crypt-ssh.conffitxer nou escrivint la següent comanda a continuació.

sudo nano /etc/dracut.conf.d/crypt-ssh.conf

Copieu i enganxeu el text següent a l' nanoeditor.

dropbear_acl="/etc/dropbear/keys/authorized_keys"
dropbear_ecdsa_key="/etc/dropbear/keys/ssh_ecdsa_key"
dropbear_rsa_key="/etc/dropbear/keys/ssh_rsa_key"

Creeu el directori keyssota /etc/dropbear/, amb els permisos de directori necessaris, que contindrà els fitxers authorized_keys, ssh_ecdsa_keyi ssh_rsa_key.

sudo mkdir /etc/dropbear/keys/; sudo chmod /etc/dropbear/keys/

Genereu els fitxers ssh_ecdsa_keyi ssh_rsa_keyamb el ssh_keygenprograma escrivint les ordres següents a continuació. Premeu la Entertecla dues vegades, per a cada ordre, quan se us demani les frases de contrasenya.

sudo ssh-keygen -t ecdsa -f /etc/dropbear/keys/ssh_ecdsa_key
sudo ssh-keygen -t rsa -f /etc/dropbear/keys/ssh_rsa_key

Canvieu els permisos dels fitxers a ssh_ecdsa_key, ssh_ecdsa_key.pub, ssh_rsa_keyi ssh_rsa_key.pubescrivint l'ordre següent.

sudo chmod 400 /etc/dropbear/keys/*_key; sudo chmod 444 /etc/dropbear/keys/*.pub

Genereu claus públiques mitjançant el How Do I Generate SSH Keys?tutorial, que es troba al començament del tutorial a Prerequisites, per al vostre sistema operatiu client potencial.

Copieu i enganxeu tot el text de la clau pública al /etc/dropbear/keys/authorized_keysfitxer mitjançant el nanoprograma escrivint l'ordre següent.

sudo nano /etc/dropbear/keys/authorized_keys

Primer heu de crear l'initramfs i qualsevol actualització posterior de la configuració de dracut-crypt-ssh. Escriviu l'ordre següent a continuació per a la compilació inicial de initramfs.

sudo dracut -f

Un cop s'hagi completat, la vostra instal·lació de CentOS 7 està configurada per escoltar que el vostre client SSH es connecti i us permetrà desbloquejar la partició LUKS amb la vostra frase de contrasenya. Ara podeu reiniciar la vostra instància CentOS 7 escrivint l'ordre següent.

sudo reboot

Als vostres sistemes de client, consulteu les seccions 3.3. Unlocking the volumes interactivelyi 3.4. Unlocking using thedesbloquegeu commandla pàgina Dracut-Crypt-SSH GitHub per forçar una frase de contrasenya o bé utilitzeu l' unlockordre per obrir la vostra partició LUKS des del vostre client SSH.