Встановіть та налаштуйте CentOS 7 для віддаленого розблокування LVM на LUKS Disk Encryption за допомогою SSH

Передумови

Крок 1: Налаштування середовища

Крок 2. Запустіть інсталятор текстового режиму CentOS 7

Крок 3: Налаштуйте LVM на LUKS Full Disk Encryption

Крок 4. Запустіть інсталятор режиму графічного інтерфейсу CentOS 7

Крок 5: Оновіть систему

Крок 6: Встановіть Dracut-Crypt-SSH

LUKS (Linux Unified Key Setup) — це один із різних форматів шифрування диска, доступних для Linux, який не залежить від платформи. Цей підручник надасть вам кореневі розділи та розділи підкачки всередині тому LVM (Linux Volume Manager), що міститься всередині зашифрованого розділу LUKS. Цей підручник також дає змогу віддалено розблокувати розділ LUKS за допомогою спрощеного демона сервера SSH за допомогою будь-якої сумісної клієнтської програми SSH.

Передумови

• Примірник сервера CentOS 7 x64 Minimal ISO Library.
• Користувач sudo .
• Відкритий(і) ключ(и) SSH .
• Dracut-Crypt-SSH .

Крок 1: Налаштування середовища

На сторінці Розгорнути сервери виконайте такі дії:

• У розділі виберіть розташування сервера Server Location.
• Виберіть CentOS7під ISO Libraryвкладкою Server Typeрозділу.
• У розділі виберіть потрібне обладнання Server Size.
• Натисніть Deploy Nowкнопку.

Використовуйте View Consoleопцію для доступу до екземпляра VPS через консоль noVNC.

Крок 2. Запустіть інсталятор текстового режиму CentOS 7

Виберіть Install CentOS Linux 7варіант.

Натисніть Tabклавішу.

Введіть textпісля, vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quietщоб він виглядав так, vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quiet textі натисніть Enterклавішу.

Тепер VPS завантажиться в текстовому режимі інсталятора CentOS. Ви побачите екран у консолі noVNC, як показано на зображенні нижче.

Крок 3: Налаштуйте LVM на LUKS Full Disk Encryption

Використовуйте Alt + Right Arrow Keyкомбінацію, щоб перейти до консолі TTY2 і ввести команди в командному рядку.

Введіть наведені нижче команди, щоб створити розділ, який містить завантажувач GRUB2, незашифрований /bootрозділ і основний розділ, який буде містити розділ LUKS.

parted -a opt -s /dev/vda mklabel gpt
parted -s /dev/vda unit mb
parted -s /dev/vda mkpart primary 1 3
parted -s /dev/vda name 1 grub
parted -s /dev/vda set 1 bios_grub on
parted -s /dev/vda mkpart primary 3 259
parted -s /dev/vda name 2 boot
parted -s /dev/vda mkpart primary 259 100%
parted -s /dev/vda name 3 root

Введіть таку команду, щоб відобразити макет розділу.

parted -s /dev/vda print

Далі заповніть названий rootfsрозділ псевдовипадковими даними. На це піде трохи більше півгодини.

dd if=/dev/urandom of=/dev/vda3 bs=1M status=progress

У CentOS 7 cryptsetupкоманди використовують шифр aes-xts-plain64за замовчуванням , розмір ключа за замовчуванням 256 біт і хеш за замовчуванням SHA1. Замість цього розділ LUKS буде створено з більш безпечним шифром Serpent, з розміром ключа 512 біт і з хешем Whirlpool.

cryptsetup luksFormat /dev/vda3 -c serpent-xts-plain64 -h whirlpool -s 512

Введіть відповіді, коли з’явиться запит із такими запитами, а потім натисніть Enterклавішу:

• Ти впевнений? (Введіть великі літери так):YES
• Введіть парольну фразу: strong-password
• Перевірте парольну фразу: strong-password

---

Додатково: резервне копіювання заголовка розділу LUKS

Попередження. Це дозволить увійти в систему root та копіювати без запиту пароля. Вимкніть цей SSH-сервер після отримання /tmp/luks-header-backup.imgфайлу.

Для збереження збережіть копію заголовка розділу LUKS. Це гарантує, що якщо заголовок вашого розділу LUKS якимось чином пошкоджено, його можна буде відновити. Якщо заголовок пошкоджено без робочої резервної копії, ваші дані будуть втрачені назавжди.

cryptsetup luksHeaderBackup /dev/vda3 --header-backup-file /tmp/luks-header-backup.img

Щоб скопіювати /tmp/luks-header-backup.imgфайл із сервера, потрібно тимчасово запустити SSH-сервер, використовуючи файл безпечної копії, що виконується scpна клієнтському хості, щоб отримати його.

Введіть таку команду нижче, щоб створити ключі хоста SSH.

sshd-keygen

Введіть таку команду нижче, щоб створити /etc/ssh/sshd_configфайл.

cp /etc/ssh/sshd_config.anaconda /etc/ssh/sshd_config

Введіть таку команду нижче, щоб відредагувати /etc/ssh/sshd_configфайл.

vi /etc/ssh/sshd_config

Щоб відредагувати файл, натисніть Insertклавішу та за допомогою клавіш зі стрілками перейдіть до розділів файлу, які потребують редагування.

У першому рядку змініть число Port 22з значення за замовчуванням 22на випадкове число на ваш вибір між 1025та 65535. (Приклад: порт 25782)

Прокрутіть вниз до рядка номер тринадцять, натисніть Endклавішу та натисніть Enterклавішу.

У наступному рядку додайте HostKey /etc/ssh/ssh_host_ed25519_keyі натисніть Enterклавішу.

У наступному рядку додайте HostKey /etc/ssh/ssh_host_rsa_keyі натисніть Enterклавішу.

Натисніть Escклавішу, введіть :wqі натисніть Enterклавішу, щоб зберегти файл.

Для мережевого інтерфейсу за замовчуванням eth0потрібна IP-адреса. Введіть таку команду нижче, щоб призначити eth0мережевому інтерфейсу IP-адресу, зазначену для вашого екземпляра .

dhclient

Введіть таку команду, щоб відобразити призначену IP-адресу. IP-адреса буде вказано відразу після inetі перед netmask. (Приклад: 192.0.2.1маска мережі inet )

ifconfig eth0

Введіть таку команду, щоб запустити сервер SSH.

/usr/sbin/sshd

Якщо ви використовуєте scpкоманду з командного рядка на клієнтській машині, використовуйте наведену нижче команду як шаблон для отримання /tmp/luks-header-backup.imgфайлу. Замініть 25782фактичним номером порту, призначеним у файлі /etc/ssh/sshd_config. Замініть 192.0.2.1фактично призначену IP-адресу.

scp -P 25782 [email protected]:/tmp/luks-header-backup.img .

Після отримання luks-header-backup.imgфайлу негайно вбийте сервер SSH, ввівши команду нижче у вікні консолі noVNC.

killall sshd

---

Відкрийте розділ LUKS, щоб налаштувати фізичний том LVM, який буде перебувати всередині.

cryptsetup luksOpen /dev/vda3 centos

Введіть парольну фразу, створену раніше, щоб відкрити розділ LUKS, коли буде запропоновано, а потім натисніть Enterклавішу.

Введіть парольну фразу для /dev/vda3:strong-password

Введіть таку команду нижче:

ls /dev/mapper

Він буде містити наступні файли з ім'ям centos, control, live-baseі live-rw. Це centosрозділ LUKS.

Введіть таку команду нижче, щоб створити фізичний том LVM.

pvcreate /dev/mapper/centos

У разі успіху ви отримаєте таке повідомлення:

Physical volume "/dev/mapper/centos" successfully created

Введіть таку команду нижче, щоб створити групу томів LVM.

vgcreate ssd /dev/mapper/centos

У разі успіху ви отримаєте таке повідомлення:

Volume group "ssd" successfully created

Введіть таку команду нижче, щоб створити логічний том LVM для розділу підкачки. Використовуйте розсудливе рішення, щоб створити розділ підкачки необхідного розміру (-L = розмір тому) на основі вашого екземпляра VPS.

lvcreate -L 1G -n swap ssd

У разі успіху ви отримаєте таке повідомлення:

Logical volume "swap" created

Type the following command below to create a LVM logical volume for the root partition. This will use the remaining free space while reserving five percent (5%) to contain LVM snapshots of your logical volumes if you so choose.

lvcreate -l 95%FREE -n root ssd

When successful, you will receive the following message:

Logical volume "root" created

Display the LVM physical volume.

pvdisplay

You will see text in the noVNC console similar to what is pictured in the image below.

Display the LVM volume group.

vgdisplay

You will see text in the noVNC console similar to what is pictured in the image below.

Display the LVM logical volume(s).

lvdisplay

You will see text in the noVNC console similar to what is pictured in the image below.

Type the following command below to deactivate the LVM volume group. This must be completed in order to allow cryptsetup to close the LUKS partition in the next step.

vgchange -a n

When successful, you will receive the following message:

0 logical volume(s) in volume group "ssd" now active

Close the LUKS volume.

cryptsetup luksClose centos

Type the following command below:

ls /dev/mapper

It will contain the following files named control, live-base and live-rw. The centos file, containing the LUKS partition, will be missing to ensure that that it was closed properly.

Type reboot and press the Enter key to reboot.

Step 4: Start The CentOS 7 GUI Mode Installer

Select the Install CentOS Linux 7 option and press the Enter key.

The VPS will now boot into the GUI mode CentOS installer. You will see a screen in the noVNC console like pictured in the image below. Select Install CentOS 7 (1) and press the Enter key.

On the WELCOME TO CENTOS 7 screen, click the blue Continue button (1).

Attention If you're not using the default language of English and the locale of the United States, input your language in the search bar (1). Click on the language (2) and the appropriate locale (3) associated with it. When satisfied, click the blue Continue button (4).

On the INSTALLATION SUMMARY screen, click on INSTALLATION DESTINATION (Automatic partitioning selected) (1) under SYSTEM.

On the INSTALLATION DESTINATION screen, select the I will configure partitioning (1) option under Other Storage Options (Partitioning) and click the blue Done button (2) at the top left of the screen.

On the MANUAL PARTITIONING screen, click on the Unknown expandable accordion (1). It will reveal three partitions named BIOS Boot (vda1), Unknown (vda2) and Encrypted (LUKS) (vda3).

With the BIOS Boot partition highlighted in blue (1), select the checkbox option of Reformat (2) next to the File System: accordion and click the Update Settings button (3).

Click on the Unknown partition (1) so that it is highlighted in blue. Select the checkbox option of Reformat (2) next to the File System: accordion. Select ext2 in the File System: accordion (3), enter /boot in the text field (4) under Mount Point:, enter boot in the text field (5) under Label: and click the Update Settings button (6).

Click on the Encrypted (LUKS) partition (1) so that it is highlighted in blue. Enter the passphrase you created for LUKS partition in Step 3: Setup LVM On LUKS Full Disk Encryption in the Passphrase: text field (2) and click the Unlock button (3).

A new Unknown expandable accordion (1) will appear. It will reveal two partitions named Unknown (ssd-root) and Unknown (ssd-swap).

With the Unknown (ssd-root) partition (1) highlighted in blue, select the checkbox option of Reformat (2) next to the File System: accordion. Select xfs in the File System: accordion (3), enter / in the text field (4) under Mount Point:, enter root in the text field (5) under Label: and click the Update Settings button (6).

Click on the Unknown (ssd-swap) (1) partition so that it is highlighted in blue. Select the checkbox option of Reformat (2) next to the File System: accordion. Select swap in the File System: accordion (3), enter swap in the text field (4) under Label: and click the Update Settings button (5).

Click the blue Done button (1) at the top left of the screen.

A box named SUMMARY OF CHANGES will pop up. Click the Accept Changes button (1). This will bring you back to the WELCOME TO CENTOS 7 screen.

Click on NETWORK & HOST NAME (Not connected) (1) under SYSTEM.

On the NETWORK & HOST NAME screen, move the slider (1), next to the right of Ethernet(eth0) field, from the OFF position to the ON position. If you want to use a custom hostname instead of the default (192.0.2.1.vultr.com) in the Host name: text box (2), change it. Click the blue Done button (3) at the top left of the screen. This will bring you back to the WELCOME TO CENTOS 7 screen.

When you are satisfied with the options on the WELCOME TO CENTOS 7 screen, click the blue Begin Installation button (1).

На CONFIGURATIONекрані натисніть ROOT PASSWORD (Root password is not set)(1) під USER SETTINGS.

На ROOT PASSWORDекрані введіть надійний пароль у текстові поля Root Password:(1) і Confirm:(2). Натисніть синю Doneкнопку (3) у верхньому лівому куті екрана. Це поверне вас на CONFIGURATIONекран.

На CONFIGURATIONекрані натисніть USER CREATION (No user will be created)(1) під USER SETTINGS.

На CREATE USERекрані введіть своє повне ім’я в Full nameтекстове поле (1), ім’я користувача в User nameтекстове поле (2), надійний пароль у текстові поля Password(3) і Confirm password(4). Натисніть на Advanced...кнопку (5).

З’явиться вікно з ім’ям ADVANCED USER CONFIGURATION. У Add user to the following groups:текстовому полі (1) під Group Membership, введіть wheelі натисніть Save Changesкнопку (2).

Натисніть синю Doneкнопку (1) у верхньому лівому куті екрана.

Тепер розпочнеться процес після встановлення. Це займе кілька хвилин. Коли це буде завершено, натисніть синю Rebootкнопку (1), щоб перезавантажити екземпляр VPS.

Перейдіть назад до екрана керування сервером VULTR . Натисніть на Settingsпосилання вгорі. Натисніть на Custom ISOменю зліва. На Custom ISOсторінці натисніть Remove ISOкнопку, щоб розмонтувати ISO та перезавантажити свій екземпляр CentOS 7 VPS. Натисніть OKкнопку, коли з’явиться відповідний запит, і екземпляр VPS перезавантажиться.

Поверніться до View Consoleвікна, щоб отримати доступ до екземпляра VPS через консоль noVNC. Оновіть вікно, якщо noVNC відключено.

Вам буде запропоновано ввести парольну фразу (Приклад: Please enter passphrase for disk primary (luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)!:), яку ви створили для розділу LUKS у Step 3: Setup LVM On LUKS Full Disk Encryption. Введіть парольну фразу та натисніть Enterклавішу.

Після цього вам з’явиться запит на вхід у консоль. Тепер ви можете закрити вікно консолі noVNC.

Крок 5: Оновіть систему

Увійдіть через SSH зі звичайним користувачем і оновіть систему наступним чином.

sudo yum install epel-release -y
sudo yum clean all && sudo yum update -y

Крок 6: Встановіть Dracut-Crypt-SSH

Перебуваючи в системі як звичайний користувач, введіть наведені нижче команди, щоб встановити dracut-crypt-ssh.

sudo yum install wget -y
sudo wget -O /etc/yum.repos.d/rbu-dracut-crypt-ssh-epel-7.repo https://copr.fedorainfracloud.org/coprs/rbu/dracut-crypt-ssh/repo/epel-7/rbu-dracut-crypt-ssh-epel-7.repo
sudo yum install dracut-crypt-ssh -y

Введіть таку команду нижче, щоб інсталювати nanoредактор, щоб спростити редагування файлів.

sudo yum install nano -y

Вам потрібно буде відредагувати файл grub за замовчуванням, розташований у /etc/default/grub.

sudo nano /etc/default/grub

Вставте rd.neednet=1 ip=dhcpміж GRUB_CMDLINE_LINUX="crashkernel=autoі rd.luks.uuid=luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.

Збережіть файл, ввівши наступні комбінації клавіатури. Натисніть клавіші Ctrl+ x, натисніть yклавішу та натисніть Enterклавішу.

Відновіть свій файл конфігурації GRUB, ввівши команду нижче.

sudo grub2-mkconfig -o /etc/grub2.cfg 

Скопіюйте оригінал /etc/dracut.conf.d/crypt-ssh.conf, ввівши таку команду нижче.

sudo mv /etc/dracut.conf.d/crypt-ssh.conf /etc/dracut.conf.d/crypt-ssh.conf.orig

Створіть новий /etc/dracut.conf.d/crypt-ssh.confфайл, ввівши таку команду нижче.

sudo nano /etc/dracut.conf.d/crypt-ssh.conf

Скопіюйте та вставте наступний текст нижче в nanoредактор.

dropbear_acl="/etc/dropbear/keys/authorized_keys"
dropbear_ecdsa_key="/etc/dropbear/keys/ssh_ecdsa_key"
dropbear_rsa_key="/etc/dropbear/keys/ssh_rsa_key"

Створіть каталог keysUnder /etc/dropbear/, з необхідними дозволами каталогу, який буде містити authorized_keys, ssh_ecdsa_keyі ssh_rsa_keyфайли.

sudo mkdir /etc/dropbear/keys/; sudo chmod /etc/dropbear/keys/

Згенеруйте файли ssh_ecdsa_keyі ssh_rsa_keyза допомогою ssh_keygenпрограми, ввівши наведені нижче команди. Натисніть Enterклавішу двічі для кожної команди, коли буде запропоновано ввести парольні фрази.

sudo ssh-keygen -t ecdsa -f /etc/dropbear/keys/ssh_ecdsa_key
sudo ssh-keygen -t rsa -f /etc/dropbear/keys/ssh_rsa_key

Змініть права доступу до файлу на ssh_ecdsa_key, ssh_ecdsa_key.pub, ssh_rsa_keyі ssh_rsa_key.pubввівши команду нижче.

sudo chmod 400 /etc/dropbear/keys/*_key; sudo chmod 444 /etc/dropbear/keys/*.pub

Згенеруйте відкриті ключі за допомогою How Do I Generate SSH Keys?посібника, який можна знайти на початку підручника в розділі Prerequisites, для вашої потенційної клієнтської операційної системи.

Скопіюйте та вставте весь текст відкритого ключа у /etc/dropbear/keys/authorized_keysфайл за допомогою nanoпрограми, ввівши команду нижче.

sudo nano /etc/dropbear/keys/authorized_keys

Спочатку потрібно створити initramfs і будь-яке подальше оновлення конфігурації dracut-crypt-ssh. Введіть таку команду нижче для початкової збірки initramfs.

sudo dracut -f

Коли це буде завершено, ваша установка CentOS 7 буде налаштована на прослуховування підключення вашого клієнта SSH і дозволить вам розблокувати розділ LUKS за допомогою вашої парольної фрази. Тепер ви можете перезавантажити свій екземпляр CentOS 7, ввівши команду нижче.

sudo reboot

У ваших клієнтських системах перегляньте розділи 3.3. Unlocking the volumes interactivelyта 3.4. Unlocking using theрозблокуйте commandсторінку Dracut-Crypt-SSH GitHub, щоб примусово запросити парольну фразу або скористайтеся unlockкомандою, щоб відкрити розділ LUKS із клієнта SSH.