قم بتثبيت وإعداد CentOS 7 لإلغاء تأمين LVM عن بعد على تشفير LUKS Disk باستخدام SSH

• المتطلبات الأساسية
• الخطوة 1: إعداد البيئة
• الخطوة 2: قم بتشغيل مثبت وضع النص CentOS 7
• الخطوة 3: إعداد LVM On LUKS Full Disk Encryption
• الخطوة 4: ابدأ مثبت الوضع CentOS 7 GUI
• الخطوة 5: تحديث النظام
• الخطوة 6: تثبيت Dracut-Crypt-SSH

LUKS (إعداد مفتاح Linux الموحد) هو أحد تنسيقات تشفير القرص المختلفة المتاحة لنظام Linux والتي لا تعرف النظام الأساسي. سيوفر لك هذا البرنامج التعليمي أقسام الجذر والتبديل داخل وحدة تخزين LVM (Linux Volume Manager) الموجودة داخل قسم LUKS المشفر. يسمح لك هذا البرنامج التعليمي أيضًا بإلغاء قفل قسم LUKS عن بُعد باستخدام البرنامج الخفي المبسط لخادم SSH باستخدام أي برنامج عميل SSH متوافق.

المتطلبات الأساسية

• مثيل خادم CentOS 7 x64 Minimal ISO Library.
• A سودو المستخدم.
• مفتاح (مفاتيح) SSH العمومي .
• Dracut-Crypt-SSH .

الخطوة 1: إعداد البيئة

في صفحة نشر الخوادم ، قم بما يلي:

• اختر موقع الخادم الخاص بك في Server Locationالقسم.
• اختر CentOS7تحت ISO Libraryعلامة تبويب Server Typeالقسم.
• اختر مواصفات الأجهزة التي تطلبها في Server Sizeالقسم.
• انقر فوق Deploy Nowالزر.

استخدم View Consoleخيار الوصول إلى مثيل VPS عبر وحدة التحكم noVNC.

الخطوة 2: قم بتشغيل مثبت وضع النص CentOS 7

حدد Install CentOS Linux 7الخيار.

اضغط على Tabالمفتاح.

أدخل textبعد vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quietذلك بحيث يبدو هذا vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quiet textواضغط على Enterالمفتاح.

سيتم الآن تشغيل VPS في مثبت CentOS في وضع النص. سترى شاشة في وحدة التحكم noVNC كما في الصورة أدناه.

الخطوة 3: إعداد LVM On LUKS Full Disk Encryption

استخدم Alt + Right Arrow Keyالمجموعة للانتقال إلى وحدة تحكم TTY2 لكتابة الأوامر في سطر الأوامر.

اكتب الأوامر التالية أدناه لإنشاء قسم يحتوي على محمل التمهيد /bootGRUB2 وقسم غير مشفر وقسم أساسي سيحتوي على قسم LUKS.

parted -a opt -s /dev/vda mklabel gpt
parted -s /dev/vda unit mb
parted -s /dev/vda mkpart primary 1 3
parted -s /dev/vda name 1 grub
parted -s /dev/vda set 1 bios_grub on
parted -s /dev/vda mkpart primary 3 259
parted -s /dev/vda name 2 boot
parted -s /dev/vda mkpart primary 259 100%
parted -s /dev/vda name 3 root

اكتب الأمر التالي لعرض تخطيط القسم.

parted -s /dev/vda print

بعد ذلك ، املأ rootfsالقسم المسمى ببيانات عشوائية زائفة. سيستغرق هذا أكثر من نصف ساعة حتى يكتمل.

dd if=/dev/urandom of=/dev/vda3 bs=1M status=progress

في CentOS 7 ، cryptsetupتستخدم الأوامر التشفير aes-xts-plain64الافتراضي لحجم المفتاح الافتراضي 256 بت وتجزئة SHA1 الافتراضية. بدلاً من ذلك ، سيتم إنشاء قسم LUKS باستخدام تشفير Serpent الأكثر أمانًا ، مع حجم مفتاح 512 بت ومع تجزئة ويرلبول.

cryptsetup luksFormat /dev/vda3 -c serpent-xts-plain64 -h whirlpool -s 512

أدخل الإجابات ، عندما يُطلب منك ذلك باستخدام الاستعلامات التالية ، ثم اضغط على Enterالمفتاح:

• هل أنت واثق؟ (اكتب الأحرف الكبيرة نعم):YES
• أدخل عبارة المرور: strong-password
• تحقق من عبارة المرور: strong-password

اختياري: النسخ الاحتياطي لرأس قسم LUKS

تحذير سيسمح هذا بتسجيل الدخول إلى الجذر والنسخ بدون مطالبة بكلمة مرور. اقتل خادم SSH بعد استرجاع /tmp/luks-header-backup.imgالملف.

لحفظها ، احفظ نسخة من رأس قسم LUKS. هذا يضمن أنه إذا كان رأس قسم LUKS الخاص بك تالفًا بطريقة ما ، فيمكن استعادته. في حالة تلف الرأس بدون عمل نسخة احتياطية ، يتم فقد بياناتك إلى الأبد.

cryptsetup luksHeaderBackup /dev/vda3 --header-backup-file /tmp/luks-header-backup.img

لنسخ /tmp/luks-header-backup.imgالملف من الخادم ، يجب أن يبدأ خادم SSH مؤقتًا ، باستخدام النسخة الآمنة القابلة للتنفيذ scpعلى مضيف العميل ، لاستردادها.

اكتب الأمر التالي أدناه لإنشاء مفاتيح مضيف SSH.

sshd-keygen

اكتب الأمر التالي أدناه لإنشاء /etc/ssh/sshd_configالملف.

cp /etc/ssh/sshd_config.anaconda /etc/ssh/sshd_config

اكتب الأمر التالي أدناه لتحرير /etc/ssh/sshd_configالملف.

vi /etc/ssh/sshd_config

لتحرير الملف ، اضغط على Insertالمفتاح واستخدم مفاتيح الأسهم للانتقال إلى أقسام الملف التي تحتاج إلى تحرير.

في السطر الأول ، قم بتغيير الرقم Port 22من الافتراضي 22إلى رقم عشوائي من اختيارك بين 1025و 65535. (مثال: المنفذ 25782)

مرر لأسفل إلى السطر رقم 13 ، واضغط على Endالمفتاح واضغط على Enterالمفتاح.

في السطر التالي ، أضف المفتاح HostKey /etc/ssh/ssh_host_ed25519_keyواضغط عليه Enter.

في السطر التالي ، أضف المفتاح HostKey /etc/ssh/ssh_host_rsa_keyواضغط عليه Enter.

اضغط على Escالمفتاح واكتب :wqواضغط على Enterالمفتاح لحفظ الملف.

eth0تحتاج واجهة الشبكة الافتراضية إلى عنوان IP. اكتب الأمر التالي أدناه لتعيين عنوان IP المدرج لمثيلك eth0لواجهة الشبكة.

dhclient

اكتب الأمر التالي لعرض عنوان IP المعين. سيتم سرد عنوان IP مباشرة بعد inetوقبل netmask. (مثال: أقنعة 192.0.2.1netet)

ifconfig eth0

اكتب الأمر التالي لبدء خادم SSH.

/usr/sbin/sshd

إذا كنت تستخدم scpالأمر من سطر الأوامر على جهاز العميل ، فاستخدم الأمر التالي أدناه كقالب لاسترداد /tmp/luks-header-backup.imgالملف. استبدال 25782برقم المنفذ الفعلي المعين في /etc/ssh/sshd_config. استبدل 192.0.2.1بعنوان IP المعين الفعلي.

scp -P 25782 [email protected]:/tmp/luks-header-backup.img .

بعد استعادة luks-header-backup.imgالملف ، قم بقتل خادم SSH على الفور عن طريق كتابة الأمر أدناه في نافذة وحدة التحكم noVNC.

killall sshd

افتح قسم LUKS من أجل إعداد حجم LVM المادي الموجود في الداخل.

cryptsetup luksOpen /dev/vda3 centos

أدخل عبارة المرور التي تم إنشاؤها سابقًا لفتح قسم LUKS عند المطالبة بذلك ، ثم اضغط على Enterالمفتاح.

أدخل عبارة المرور لـ /dev/vda3:strong-password

اكتب الأمر التالي أدناه:

ls /dev/mapper

وسيتضمن الملفات التالية اسمه centos، control، live-baseو live-rw. و centosهو التقسيم LUKS.

اكتب الأمر التالي أدناه لإنشاء وحدة التخزين الفعلية LVM.

pvcreate /dev/mapper/centos

عند النجاح ، ستتلقى الرسالة التالية:

Physical volume "/dev/mapper/centos" successfully created

اكتب الأمر التالي أدناه لإنشاء مجموعة وحدات التخزين LVM.

vgcreate ssd /dev/mapper/centos

عند النجاح ، ستتلقى الرسالة التالية:

Volume group "ssd" successfully created

اكتب الأمر التالي أدناه لإنشاء وحدة تخزين منطقية LVM لقسم المبادلة. استخدم الحكم السليم لإنشاء قسم مقايضة ، بالحجم اللازم (-L = حجم وحدة التخزين) ، بناءً على مثيل VPS الخاص بك.

lvcreate -L 1G -n swap ssd

عند النجا�� ، ستتلقى الرسالة التالية:

Logical volume "swap" created

اكتب الأمر التالي أدناه لإنشاء وحدة تخزين منطقية LVM لقسم الجذر. سيستخدم هذا المساحة الخالية المتبقية مع الاحتفاظ بنسبة خمسة بالمائة (5٪) لاحتواء لقطات LVM لأحجامك المنطقية إذا اخترت ذلك.

lvcreate -l 95%FREE -n root ssd

عند النجاح ، ستتلقى الرسالة التالية:

Logical volume "root" created

عرض حجم LVM المادي.

pvdisplay

سترى نصًا في وحدة التحكم noVNC مشابهًا لما هو موضح في الصورة أدناه.

عرض مجموعة حجم LVM.

vgdisplay

سترى نصًا في وحدة التحكم noVNC مشابهًا لما هو موضح في الصورة أدناه.

عرض الحجم (الأحجام) المنطقية LVM.

lvdisplay

سترى نصًا في وحدة التحكم noVNC مشابهًا لما هو موضح في الصورة أدناه.

اكتب الأمر التالي أدناه لإلغاء تنشيط مجموعة وحدات التخزين LVM. يجب إكمال هذا للسماح cryptsetupبإغلاق قسم LUKS في الخطوة التالية.

vgchange -a n

عند النجاح ، ستتلقى الرسالة التالية:

0 logical volume(s) in volume group "ssd" now active

أغلق وحدة التخزين LUKS.

cryptsetup luksClose centos

اكتب الأمر التالي أدناه:

ls /dev/mapper

وسيتضمن الملفات التالية اسمه control، live-baseو live-rw. في centosالملف، الذي يحتوي على القسم LUKS، سوف يكون في عداد المفقودين لضمان أن تم إغلاقه بشكل صحيح.

اكتب rebootواضغط على Enterالمفتاح لإعادة التشغيل.

الخطوة 4: ابدأ مثبت الوضع CentOS 7 GUI

حدد Install CentOS Linux 7الخيار واضغط على Enterالمفتاح.

سيتم الآن تشغيل VPS في مثبت CentOS لوضع GUI. سترى شاشة في وحدة التحكم noVNC كما في الصورة أدناه. حدد Install CentOS 7(1) واضغط على Enterالمفتاح.

على WELCOME TO CENTOS 7الشاشة ، انقر فوق Continueالزر الأزرق (1).

تنبيه إذا كنت لا تستخدم اللغة الافتراضية للغة الإنجليزية ولغة الولايات المتحدة ، فأدخل لغتك في شريط البحث (1). انقر على اللغة (2) والإعدادات المحلية المناسبة (3) المرتبطة بها. عند الرضا ، انقر فوق Continueالزر الأزرق (4).

على INSTALLATION SUMMARYالشاشة ، انقر على INSTALLATION DESTINATION (Automatic partitioning selected)(1) تحت SYSTEM.

على INSTALLATION DESTINATIONالشاشة ، حدد الخيار I will configure partitioning(1) تحت Other Storage Options (Partitioning)وانقر على Doneالزر الأزرق (2) في أعلى يسار الشاشة.

على MANUAL PARTITIONINGالشاشة ، انقر فوق Unknownالأكورديون القابل للتوسيع (1). سوف تكشف عن ثلاثة أقسام مسماة BIOS Boot (vda1)، Unknown (vda2)و Encrypted (LUKS) (vda3).

مع BIOS Bootتمييز القسم باللون الأزرق (1) ، حدد خيار مربع الاختيار Reformat(2) بجوار File System:الأكورديون وانقر فوق Update Settingsالزر (3).

انقر على Unknownالقسم (1) حتى يتم تمييزه باللون الأزرق. حدد خيار مربع الاختيار Reformat(2) بجوار File System:الأكورديون. حدد ext2في File System:الأكورديون (3) ، وأدخل /bootفي حقل النص (4) تحت Mount Point:، وأدخل bootفي حقل النص (5) تحت Label:وانقر على Update Settingsالزر (6).

انقر على Encrypted (LUKS)القسم (1) حتى يتم تمييزه باللون الأزرق. أدخل عبارة المرور التي تم إنشاؤها لتقسيم LUKS في Step 3: Setup LVM On LUKS Full Disk Encryptionفي Passphrase:حقل النص (2) وانقر على Unlockزر (3).

سيظهر Unknownأكورديون جديد قابل للتوسيع (1). سوف تكشف عن قسمين اسمه Unknown (ssd-root)و Unknown (ssd-swap).

مع Unknown (ssd-root)تمييز القسم (1) باللون الأزرق ، حدد خيار مربع الاختيار Reformat(2) بجوار File System:الأكورديون. حدد xfsفي File System:الأكورديون (3) ، وأدخل /في حقل النص (4) تحت Mount Point:، وأدخل rootفي حقل النص (5) تحت Label:وانقر على Update Settingsالزر (6).

انقر على القسم Unknown (ssd-swap)(1) حتى يتم تمييزه باللون الأزرق. حدد خيار مربع الاختيار Reformat(2) بجوار File System:الأكورديون. حدد swapفي File System:الأكورديون (3) ، وأدخل swapفي حقل النص (4) تحت Label:وانقر على Update Settingsالزر (5).

انقر فوق Doneالزر الأزرق (1) أعلى يسار الشاشة.

SUMMARY OF CHANGESسوف يظهر مربع اسمه . انقر فوق Accept Changesالزر (1). سيعيدك ذلك إلى WELCOME TO CENTOS 7الشاشة.

اضغط على NETWORK & HOST NAME (Not connected)(1) تحت SYSTEM.

على NETWORK & HOST NAMEالشاشة ، حرك شريط التمرير (1) ، بجوار يمين Ethernet(eth0)الحقل ، من OFFالموضع إلى ONالموضع. إذا كنت تريد استخدام اسم مضيف مخصص بدلاً من الاسم الافتراضي (192.0.2.1.vultr.com) في Host name:مربع النص (2) ، فقم بتغييره. انقر فوق Doneالزر الأزرق (3) أعلى يسار الشاشة. سيعيدك ذلك إلى WELCOME TO CENTOS 7الشاشة.

عندما تكون راضيًا عن الخيارات التي WELCOME TO CENTOS 7تظهر على الشاشة ، انقر فوق Begin Installationالزر الأزرق (1).

على CONFIGURATIONالشاشة ، انقر على ROOT PASSWORD (Root password is not set)(1) تحت USER SETTINGS.

على ROOT PASSWORDالشاشة ، أدخل كلمة مرور قوية في حقلي النص Root Password:(1) و Confirm:(2). انقر فوق Doneالزر الأزرق (3) أعلى يسار الشاشة. سيعيدك ذلك إلى CONFIGURATIONالشاشة.

على CONFIGURATIONالشاشة ، انقر على USER CREATION (No user will be created)(1) تحت USER SETTINGS.

على CREATE USERالشاشة ، أدخل اسمك الكامل في Full nameحقل النص (1) ، واسم مستخدم في User nameحقل النص (2) ، وكلمة مرور قوية في حقلي النص Password(3) و Confirm password(4). انقر فوق Advanced...الزر (5).

ADVANCED USER CONFIGURATIONسوف يظهر مربع اسمه . في Add user to the following groups:حقل النص (1) ضمن Group Membership، أدخل wheelوانقر فوق Save Changesالزر (2).

انقر فوق Doneالزر الأزرق (1) أعلى يسار الشاشة.

ستبدأ الآن عملية ما بعد التثبيت. سيستغرق استكماله بضع دقائق. عند الانتهاء ، انقر فوق Rebootالزر الأزرق (1) لإعادة تشغيل مثيل VPS الخاص بك.

انتقل مرة أخرى إلى شاشة إدارة خادم VULTR . انقر على Settingsالرابط في الأعلى. انقر على Custom ISOالقائمة على الجانب الأيسر. في Custom ISOالصفحة ، انقر فوق Remove ISOالزر لإلغاء تحميل ISO وإعادة التشغيل في مثيل CentOS 7 VPS. انقر فوق OKالزر عند المطالبة وسيتم إعادة تشغيل مثيل VPS.

انتقل مرة أخرى إلى View Consoleالنافذة للوصول إلى مثيل VPS عبر وحدة التحكم noVNC. قم بتحديث النافذة إذا تم قطع اتصال noVNC.

سيُطلب منك إدخال عبارة المرور (مثال Please enter passphrase for disk primary (luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)!::) التي أنشأتها لقسم LUKS في Step 3: Setup LVM On LUKS Full Disk Encryption. أدخل عبارة المرور واضغط على Enterالمفتاح.

ستظهر لك بعد ذلك مطالبة تسجيل الدخول إلى وحدة التحكم. يمكنك الآن إغلاق نافذة وحدة التحكم noVNC.

الخطوة 5: تحديث النظام

قم بتسجيل الدخول عبر SSH مع مستخدم عادي وقم بتحديث النظام على النحو التالي.

sudo yum install epel-release -y
sudo yum clean all && sudo yum update -y

الخطوة 6: تثبيت Dracut-Crypt-SSH

أثناء تسجيل الدخول كمستخدم عادي ، اكتب الأوامر التالية أدناه للتثبيت dracut-crypt-ssh.

sudo yum install wget -y
sudo wget -O /etc/yum.repos.d/rbu-dracut-crypt-ssh-epel-7.repo https://copr.fedorainfracloud.org/coprs/rbu/dracut-crypt-ssh/repo/epel-7/rbu-dracut-crypt-ssh-epel-7.repo
sudo yum install dracut-crypt-ssh -y

اكتب الأمر التالي أدناه لتثبيت nanoالمحرر لتسهيل تحرير الملفات.

sudo yum install nano -y

ستحتاج إلى تعديل ملف grub الافتراضي الموجود في /etc/default/grub.

sudo nano /etc/default/grub

أدخل rd.neednet=1 ip=dhcpبين GRUB_CMDLINE_LINUX="crashkernel=autoو rd.luks.uuid=luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.

احفظ الملف بإدخال تركيبات لوحة المفاتيح التالية. اضغط على مفاتيح Ctrl+ x، واضغط على yالمفتاح واضغط على Enterالمفتاح.

قم بإعادة إنشاء ملف تكوين GRUB الخاص بك عن طريق كتابة الأمر أدناه.

sudo grub2-mkconfig -o /etc/grub2.cfg 

قم بعمل نسخة احتياطية من الأصل /etc/dracut.conf.d/crypt-ssh.confبكتابة الأمر التالي أدناه.

sudo mv /etc/dracut.conf.d/crypt-ssh.conf /etc/dracut.conf.d/crypt-ssh.conf.orig

قم بإنشاء /etc/dracut.conf.d/crypt-ssh.confملف جديد بكتابة الأمر التالي أدناه.

sudo nano /etc/dracut.conf.d/crypt-ssh.conf

انسخ والصق النص التالي أدناه في nanoالمحرر.

dropbear_acl="/etc/dropbear/keys/authorized_keys"
dropbear_ecdsa_key="/etc/dropbear/keys/ssh_ecdsa_key"
dropbear_rsa_key="/etc/dropbear/keys/ssh_rsa_key"

إنشاء الدليل keysتحت /etc/dropbear/، مع أذونات الدليل اللازمة، التي من شأنها أن تعقد authorized_keys، ssh_ecdsa_keyو ssh_rsa_keyالملفات.

sudo mkdir /etc/dropbear/keys/; sudo chmod /etc/dropbear/keys/

توليد ssh_ecdsa_keyو ssh_rsa_keyالملفات مع ssh_keygenالبرنامج عن طريق كتابة الأوامر التالية أدناه. اضغط على Enterالمفتاح مرتين ، لكل أمر ، عندما يُطلب منك عبارات المرور.

sudo ssh-keygen -t ecdsa -f /etc/dropbear/keys/ssh_ecdsa_key
sudo ssh-keygen -t rsa -f /etc/dropbear/keys/ssh_rsa_key

تغيير أذونات الملف على ssh_ecdsa_key، ssh_ecdsa_key.pub، ssh_rsa_keyو ssh_rsa_key.pubعن طريق كتابة الأمر التالي.

sudo chmod 400 /etc/dropbear/keys/*_key; sudo chmod 444 /etc/dropbear/keys/*.pub

أنشئ مفاتيح عمومية باستخدام How Do I Generate SSH Keys?البرنامج التعليمي ، الموجود في بداية البرنامج التعليمي تحت Prerequisites، لنظام تشغيل العميل المحتمل.

انسخ والصق كل النص الموجود في المفتاح العام في /etc/dropbear/keys/authorized_keysالملف باستخدام nanoالبرنامج عن طريق كتابة الأمر أدناه.

sudo nano /etc/dropbear/keys/authorized_keys

يجب عليك أولاً إنشاء Initramfs وأي تحديث لاحق لتكوين dracut-crypt-ssh. اكتب الأمر التالي أدناه للبناء الأولي للمبتدئين.

sudo dracut -f

بمجرد الانتهاء من ذلك ، يتم إعداد تثبيت CentOS 7 للاستماع لعميل SSH الخاص بك للاتصال والسماح لك بإلغاء قفل قسم LUKS باستخدام عبارة المرور الخاصة بك. يمكنك الآن إعادة تشغيل مثيل CentOS 7 بكتابة الأمر أدناه.

sudo reboot

في أنظمة العميل الخاصة بك ، ارجع إلى الأقسام 3.3. Unlocking the volumes interactivelyوقم 3.4. Unlocking using theبفتح commandصفحة Dracut-Crypt-SSH GitHub إما لفرض مطالبة عبارة مرور أو استخدام unlockالأمر لفتح قسم LUKS الخاص بك من عميل SSH.