CentOS 7 را نصب و راه اندازی کنید تا از راه دور قفل LVM را روی رمزگذاری دیسک های LUKS با استفاده از SSH باز کنید

• پیش نیازها
• مرحله 1: تنظیم محیط
• مرحله 2: نصب CentOS 7 Text Mode Installer را شروع کنید
• مرحله 3: تنظیم LVM روی رمزگذاری کامل دیسک LUKS
• مرحله چهارم: نصب CentOS 7 GUI Mode Installer را شروع کنید
• مرحله 5: سیستم را به روز کنید
• مرحله 6: Dracut-Crypt-SSH را نصب کنید

LUKS (Linux Unified Key Setup) یکی از فرمت های مختلف رمزگذاری دیسک است که برای لینوکس موجود است. این آموزش پارتیشن های ریشه ای و مبادله ای را در داخل یک قسمت LVM (Linux Volume Manager) موجود در داخل یک پارتیشن LUKS رمزگذاری شده برای شما فراهم می کند. این آموزش همچنین به شما امکان می دهد پارتیشن LUKS را از راه دور با استفاده از یک سرویس دهنده SSH ساده شده سرور با استفاده از هر برنامه مشتری سازگار SSH قفل کنید.

پیش نیازها

• به عنوان مثال سرور كتابخانه ایزو حداقل CentOS 7 x64.
• کنید: sudo کاربر.
• کلید عمومی SSH .
• Dracut-Crypt-SSH .

مرحله 1: تنظیم محیط

در صفحه استقرار سرورها موارد زیر را انجام دهید:

• محل سرور خود را در این Server Locationبخش انتخاب کنید .
• CentOS7زیر ISO Libraryبرگه Server Typeبخش را انتخاب کنید .
• مشخصات سخت افزاری مورد نیاز خود را در Server Sizeبخش انتخاب کنید.
• روی Deploy Nowدکمه کلیک کنید

با استفاده از View Consoleگزینه برای دسترسی به نمونه VPS از طریق کنسول noVNC.

مرحله 2: نصب CentOS 7 Text Mode Installer را شروع کنید

گزینه را انتخاب Install CentOS Linux 7کنید.

کلید را فشار دهید Tab.

textپس از vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quietآن وارد کنید تا به نظر برسد vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quiet textو Enterکلید را فشار دهید .

VPS اکنون وارد برنامه نصب کننده حالت CentOS می شود. صفحه ای را در کنسول noVNC مانند تصویر زیر مشاهده خواهید کرد.

مرحله 3: تنظیم LVM روی رمزگذاری کامل دیسک LUKS

Alt + Right Arrow Keyبرای تایپ دستورات روی خط فرمان ، از این ترکیب استفاده کنید تا به کنسول TTY2 بروید.

دستورات زیر را در زیر تایپ کنید تا یک پارتیشن برای حاوی بار گیرنده GRUB2 ، یک /bootپارتیشن بدون رمز و یک پارتیشن اصلی ایجاد کنید که پارتیشن LUKS را در خود نگه می دارد.

parted -a opt -s /dev/vda mklabel gpt
parted -s /dev/vda unit mb
parted -s /dev/vda mkpart primary 1 3
parted -s /dev/vda name 1 grub
parted -s /dev/vda set 1 bios_grub on
parted -s /dev/vda mkpart primary 3 259
parted -s /dev/vda name 2 boot
parted -s /dev/vda mkpart primary 259 100%
parted -s /dev/vda name 3 root

دستور زیر را برای نمایش طرح پارتیشن تایپ کنید.

parted -s /dev/vda print

در مرحله بعد ، rootfsپارتیشن نامگذاری شده را با داده های شبه تصادفی پر کنید . این کار کمی بیش از نیم ساعت طول می کشد.

dd if=/dev/urandom of=/dev/vda3 bs=1M status=progress

در CentOS 7 ، از این cryptsetupدستورات از رمزگذاری پیش فرض aes-xts-plain64، اندازه کلید پیش فرض 256 بیت و هش پیش فرض SHA1 استفاده می کند. در عوض ، پارتیشن LUKS با رمزگذاری مطمئن تر Serpent ، با اندازه کلیدی 512 بیت و با هش گرداب ایجاد می شود.

cryptsetup luksFormat /dev/vda3 -c serpent-xts-plain64 -h whirlpool -s 512

در صورت درخواست با سؤالات زیر ، پاسخ ها را وارد کنید ، سپس Enterکلید را فشار دهید :

• مطمئنی؟ (حروف بزرگ را بله تایپ کنید):YES
• عبارت عبور را وارد کنید: strong-password
• تأیید عبارت عبور: strong-password

اختیاری: پشتیبان گیری از سربرگ پارتیشن LUKS

هشدار با این کار امکان ورود به سیستم و کپی کردن بدون فوریت رمز عبور امکان پذیر خواهد بود. بعد از بازیابی /tmp/luks-header-backup.imgپرونده ، این سرور SSH را بکشید .

برای حفظ امنیت ، یک نسخه از سربرگ پارتیشن LUKS را ذخیره کنید. این تضمین می کند که اگر هدر قسمت بندی LUKS شما به نوعی آسیب دیده باشد ، می توان آن را ترمیم کرد. اگر هدر بدون تهیه نسخه پشتیبان کار آسیب دیده باشد ، داده های شما برای همیشه از بین می روند.

cryptsetup luksHeaderBackup /dev/vda3 --header-backup-file /tmp/luks-header-backup.img

برای کپی کردن /tmp/luks-header-backup.imgپرونده از سرور ، یک سرور SSH باید با استفاده از نسخه امن قابل اجرا scpدر میزبان مشتری ، به طور موقت شروع به بازیابی کند.

برای تولید کلیدهای میزبان SSH ، دستور زیر را وارد کنید.

sshd-keygen

برای ایجاد /etc/ssh/sshd_configپرونده دستور زیر را تایپ کنید.

cp /etc/ssh/sshd_config.anaconda /etc/ssh/sshd_config

دستور زیر را برای ویرایش /etc/ssh/sshd_configپرونده تایپ کنید.

vi /etc/ssh/sshd_config

برای ویرایش پرونده ، Insertکلید را فشار داده و از کلیدهای جهت دار برای حرکت به بخشهایی از پرونده که نیاز به ویرایش دارند استفاده کنید.

در خط یک ، عدد را Port 22از پیش فرض 22به یک عدد تصادفی از انتخاب خود بین 1025و تغییر دهید 65535. (مثال: پورت 25782)

به خط شماره سیزده بروید ، Endکلید را فشار داده و کلید را فشار دهید Enter.

در خط بعدی ، کلید را اضافه کرده HostKey /etc/ssh/ssh_host_ed25519_keyو فشار دهید Enter.

در خط بعدی ، کلید را اضافه کرده HostKey /etc/ssh/ssh_host_rsa_keyو فشار دهید Enter.

را فشار دهید Escکلید، نوع :wqو مطبوعات Enterکلیدی برای ذخیره فایل.

رابط پیش فرض شبکه eth0به یک آدرس IP نیاز دارد. دستور زیر را در زیر تایپ کنید تا آدرس IP ذکر شده برای مثال خود را به eth0رابط شبکه اختصاص دهید.

dhclient

برای نمایش آدرس IP اختصاص داده شده ، دستور زیر را تایپ کنید. آدرس IP بلافاصله بعد inetو قبل ذکر می شود netmask. (به عنوان مثال: خالص 192.0.2.1netmask)

ifconfig eth0

برای شروع سرور SSH دستور زیر را تایپ کنید.

/usr/sbin/sshd

در صورت استفاده از scpدستور از خط فرمان در دستگاه مشتری ، از دستور زیر در زیر به عنوان الگو برای بازیابی /tmp/luks-header-backup.imgپرونده استفاده کنید. جایگزین 25782با تعداد پورت واقعی اختصاص داده در /etc/ssh/sshd_config. 192.0.2.1آدرس IP اختصاص داده شده واقعی را جایگزین کنید.

scp -P 25782 [email protected]:/tmp/luks-header-backup.img .

پس از بازیابی luks-header-backup.imgپرونده ، بلافاصله با تایپ کردن دستور زیر در پنجره کنسول noVNC ، سرور SSH را بکشید.

killall sshd

پارتیشن LUKS را باز کنید تا بتوانید حجم فیزیکی LVM را که در داخل ساکن است تنظیم کنید.

cryptsetup luksOpen /dev/vda3 centos

عبارت مورد نظر را که قبلاً ایجاد شده است وارد کنید تا در هنگام درخواست پارتیشن LUKS باز شود ، سپس Enterکلید را فشار دهید .

عبارت عبور را وارد کنید برای /dev/vda3:strong-password

دستور زیر را در زیر وارد کنید:

ls /dev/mapper

آن شامل فایل های زیر را نام برد centos، control، live-baseو live-rw. centosپارتیشن LUKS است.

دستور زیر را وارد کنید تا حجم فیزیکی LVM ایجاد شود.

pvcreate /dev/mapper/centos

در صورت موفقیت ، پیام زیر را دریافت خواهید کرد:

Physical volume "/dev/mapper/centos" successfully created

دستور زیر را برای ایجاد گروه حجمی LVM تایپ کنید.

vgcreate ssd /dev/mapper/centos

در صورت موفقیت ، پیام زیر را دریافت خواهید کرد:

Volume group "ssd" successfully created

دستور زیر را وارد کنید تا یک حجم منطقی LVM برای یک پارتیشن swap ایجاد شود. برای ایجاد یک پارتیشن مبادله ، از اندازه لازم (-L = اندازه حجم) ، بر اساس نمونه VPS خود ، از قضاوت صدا استفاده کنید.

lvcreate -L 1G -n swap ssd

در صورت موفقیت ، پیام زیر را دریافت خواهید کرد:

Logical volume "swap" created

دستور زیر را در زیر تایپ کنید تا یک حجم منطقی LVM برای پارتیشن ریشه ایجاد شود. در صورت انتخاب پنج درصد (5٪) از فضای خالی باقی مانده استفاده می کنید تا در صورت انتخاب ، عکس های LVM از حجم منطقی خود را در اختیار داشته باشید.

lvcreate -l 95%FREE -n root ssd

در صورت موفقیت ، پیام زیر را دریافت خواهید کرد:

Logical volume "root" created

حجم فیزیکی LVM را نمایش دهید.

pvdisplay

متن را در کنسول noVNC مشابه آنچه در تصویر زیر مشاهده می کنید ، مشاهده خواهید کرد.

گروه صدا LVM را نمایش دهید.

vgdisplay

متن را در کنسول noVNC مشابه آنچه در تصویر زیر مشاهده می کنید ، مشاهده خواهید کرد.

حجم (های) منطقی LVM را نمایش دهید.

lvdisplay

متن را در کنسول noVNC مشابه آنچه در تصویر زیر مشاهده می کنید ، مشاهده خواهید کرد.

برای غیرفعال کردن گروه حجم LVM ، دستور زیر را تایپ کنید. این باید به منظور تکمیل cryptsetupپارتیشن LUKS در مرحله بعدی تکمیل شود.

vgchange -a n

در صورت موفقیت ، پیام زیر را دریافت خواهید کرد:

0 logical volume(s) in volume group "ssd" now active

حجم LUKS را ببندید.

cryptsetup luksClose centos

دستور زیر را در زیر وارد کنید:

ls /dev/mapper

این پرونده ها شامل نام های زیر خواهد بود control، live-baseو live-rw. centosفایل، حاوی پارتیشن LUKS، خواهد شد از دست رفته به اطمینان حاصل شود که که آن را به درستی بسته شد.

کلید را برای راه اندازی مجدد تایپ کرده rebootو فشار دهید Enter.

مرحله چهارم: نصب CentOS 7 GUI Mode Installer را شروع کنید

گزینه را انتخاب کرده Install CentOS Linux 7و Enterکلید را فشار دهید .

VPS اکنون به نصب برنامه حالت GUI CentOS راه می یابد. صفحه ای را در کنسول noVNC مانند تصویر زیر مشاهده خواهید کرد. Install CentOS 7(1) را انتخاب کرده و Enterکلید را فشار دهید .

روی WELCOME TO CENTOS 7صفحه ، روی Continueدکمه آبی (1) کلیک کنید .

توجه اگر شما از زبان پیش فرض انگلیسی و محل ایالات متحده استفاده نمی کنید ، زبان خود را در نوار جستجو (1) وارد کنید. بر روی زبان (2) و محل مناسب (3) مرتبط با آن کلیک کنید. در صورت رضایت ، روی Continueدکمه آبی (4) کلیک کنید .

در INSTALLATION SUMMARYصفحه روی INSTALLATION DESTINATION (Automatic partitioning selected)(1) در زیر کلیک کنید SYSTEM.

در INSTALLATION DESTINATIONصفحه ، گزینه I will configure partitioning(1) را در زیر انتخاب کرده Other Storage Options (Partitioning)و روی Doneدکمه آبی (2) در سمت چپ بالای صفحه کلیک کنید.

بر MANUAL PARTITIONINGروی صفحه ، روی Unknownآکاردئون قابل ارتقا (1) کلیک کنید . این سه پارتیشن به نام BIOS Boot (vda1)، Unknown (vda2)و Encrypted (LUKS) (vda3).

با استفاده از BIOS Bootپارتیشن به رنگ آبی (1) ، گزینه کادر انتخاب Reformat(2) کنار File System:آکاردئون را انتخاب کنید و روی Update Settingsدکمه (3) کلیک کنید .

روی Unknownپارتیشن (1) کلیک کنید تا به رنگ آبی برجسته شود. گزینه کادر انتخاب Reformat(2) را در کنار File System:آکاردئون انتخاب کنید. انتخاب کنید ext2در File System:آکوردئون (3)، را وارد کنید /bootتحت در زمینه متن (4) Mount Point:، را وارد کنید bootدر این زمینه متن (5) تحت Label:و کلیک بر روی Update Settingsدکمه (6).

روی Encrypted (LUKS)پارتیشن (1) کلیک کنید تا به رنگ آبی برجسته شود. عبارتی را که برای پارتیشن LUKS ایجاد کرده اید Step 3: Setup LVM On LUKS Full Disk Encryptionدر قسمت Passphrase:متن (2) وارد کنید و روی Unlockدکمه (3) کلیک کنید .

Unknownآکاردئون جدید قابل ارتقا (1) ظاهر می شود. این دو پارتیشن به نام Unknown (ssd-root)و Unknown (ssd-swap).

با استفاده از Unknown (ssd-root)پارتیشن (1) به رنگ آبی ، گزینه کادر انتخاب Reformat(2) کنار File System:آکاردئون را انتخاب کنید. انتخاب کنید xfsدر File System:آکوردئون (3)، را وارد کنید /تحت در زمینه متن (4) Mount Point:، را وارد کنید rootدر این زمینه متن (5) تحت Label:و کلیک بر روی Update Settingsدکمه (6).

بر روی Unknown (ssd-swap)پارتیشن (1) کلیک کنید تا به رنگ آبی برجسته شود. گزینه کادر انتخاب Reformat(2) را در کنار File System:آکاردئون انتخاب کنید. انتخاب کنید swapدر File System:آکوردئون (3)، را وارد کنید swapدر این زمینه متن (4) تحت Label:و کلیک بر روی Update Settingsدکمه (5).

بر روی Doneدکمه آبی (1) در سمت چپ بالای صفحه کلیک کنید.

جعبه ای به نام ظاهر SUMMARY OF CHANGESمی شود. روی Accept Changesدکمه (1) کلیک کنید. این شما را به WELCOME TO CENTOS 7صفحه نمایش باز می گرداند .

با کلیک بر روی NETWORK & HOST NAME (Not connected)(1) تحت SYSTEM.

در NETWORK & HOST NAMEصفحه ، نوار لغزنده (1) ، سمت راست قسمت Ethernet(eth0)درست ، را از OFFموقعیت به ONموقعیت حرکت دهید. اگر می خواهید به جای پیش فرض (192.0.2.1.vultr.com) در Host name:کادر متن (2) از یک نام میزبان سفارشی استفاده کنید ، آن را تغییر دهید. بر روی Doneدکمه آبی (3) در سمت چپ بالای صفحه کلیک کنید. این شما را به WELCOME TO CENTOS 7صفحه نمایش باز می گرداند .

وقتی از گزینه های روی WELCOME TO CENTOS 7صفحه نمایش راضی هستید ، روی Begin Installationدکمه آبی (1) کلیک کنید .

در CONFIGURATIONصفحه روی ROOT PASSWORD (Root password is not set)(1) در زیر کلیک کنید USER SETTINGS.

در ROOT PASSWORDصفحه ، یک رمز عبور قوی را در هر دو قسمت متن Root Password:(1) و Confirm:(2) وارد کنید. بر روی Doneدکمه آبی (3) در سمت چپ بالای صفحه کلیک کنید. این شما را به CONFIGURATIONصفحه نمایش باز می گرداند .

در CONFIGURATIONصفحه روی USER CREATION (No user will be created)(1) در زیر کلیک کنید USER SETTINGS.

در CREATE USERصفحه ، نام کامل خود را در قسمت Full nameمتن (1) ، یک نام کاربری در قسمت User nameمتن (2) ، یک رمز عبور قوی در هر دو قسمت متن Password(3) و Confirm password(4) وارد کنید. روی Advanced...دکمه (5) کلیک کنید .

جعبه ای به نام ظاهر ADVANCED USER CONFIGURATIONمی شود. در قسمت Add user to the following groups:متن (1) در زیر Group Membership، دکمه (2) را وارد کرده wheelو کلیک کنید Save Changes.

بر روی Doneدکمه آبی (1) در سمت چپ بالای صفحه کلیک کنید.

اکنون مراحل پس از نصب شروع می شود. چند دقیقه طول خواهد کشید. پس از اتمام ، بر روی Rebootدکمه آبی (1) کلیک کنید تا نمونه VPS خود را دوباره راه اندازی کنید.

به صفحه مدیریت سرور VULTR بروید . Settingsدر بالای صفحه روی پیوند کلیک کنید . روی Custom ISOمنوی سمت چپ کلیک کنید . در Custom ISOصفحه ، روی Remove ISOدکمه کلیک کنید تا ISO را جدا کرده و در نمونه CentOS 7 VPS خود را دوباره راه اندازی کنید. OKوقتی از شما خواسته شد روی دکمه کلیک کنید و نمونه VPS دوباره راه اندازی می شود.

View Consoleبرای دسترسی به نمونه VPS از طریق کنسول noVNC به پشت پنجره بروید. اگر noVNC قطع شده است ، پنجره را تازه کنید.

از شما خواسته می شود عبارت را وارد کنید (مثال Please enter passphrase for disk primary (luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)!::) که برای پارتیشن LUKS در آن ایجاد کرده اید Step 3: Setup LVM On LUKS Full Disk Encryption. عبارت عبور را وارد کرده و Enterکلید را فشار دهید .

سپس با فوریت ورود به کنسول به شما ارائه می شود. اکنون می توانید پنجره کنسول noVNC را ببندید.

مرحله 5: سیستم را به روز کنید

از طریق SSH با یک کاربر معمولی وارد شوید و سیستم را به شرح زیر به روز کنید.

sudo yum install epel-release -y
sudo yum clean all && sudo yum update -y

مرحله 6: Dracut-Crypt-SSH را نصب کنید

در حالی که هنوز به عنوان یک کاربر معمولی وارد سیستم شده اید ، دستورات زیر را برای نصب تایپ کنید dracut-crypt-ssh.

sudo yum install wget -y
sudo wget -O /etc/yum.repos.d/rbu-dracut-crypt-ssh-epel-7.repo https://copr.fedorainfracloud.org/coprs/rbu/dracut-crypt-ssh/repo/epel-7/rbu-dracut-crypt-ssh-epel-7.repo
sudo yum install dracut-crypt-ssh -y

nanoبرای سهولت در ویرایش فایلها ، دستور زیر را تایپ کنید تا ویرایشگر را نصب کنید .

sudo yum install nano -y

شما نیاز به ویرایش پرونده پیش فرض grub واقع در آن دارید /etc/default/grub.

sudo nano /etc/default/grub

درج rd.neednet=1 ip=dhcpبین GRUB_CMDLINE_LINUX="crashkernel=autoو rd.luks.uuid=luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.

با وارد کردن ترکیب های صفحه کلید زیر ، پرونده را ذخیره کنید. را فشار دهید Ctrl+ xکلید، را فشار دهید yکلید و مطبوعات Enterکلیدی است.

با استفاده از دستور زیر ، پرونده پیکربندی GRUB را بازسازی کنید.

sudo grub2-mkconfig -o /etc/grub2.cfg 

نسخه اصلی را /etc/dracut.conf.d/crypt-ssh.confبا تایپ کردن دستور زیر در زیر نسخه پشتیبان تهیه کنید.

sudo mv /etc/dracut.conf.d/crypt-ssh.conf /etc/dracut.conf.d/crypt-ssh.conf.orig

/etc/dracut.conf.d/crypt-ssh.confبا تایپ دستور زیر در زیر ، پرونده جدیدی ایجاد کنید.

sudo nano /etc/dracut.conf.d/crypt-ssh.conf

متن زیر را در قسمت nanoویرایشگر کپی و جایگذاری کنید .

dropbear_acl="/etc/dropbear/keys/authorized_keys"
dropbear_ecdsa_key="/etc/dropbear/keys/ssh_ecdsa_key"
dropbear_rsa_key="/etc/dropbear/keys/ssh_rsa_key"

درست دایرکتوری keysتحت /etc/dropbear/، با مجوزهای دایرکتوری لازم، که نگه دارید authorized_keys، ssh_ecdsa_keyو ssh_rsa_keyفایل های.

sudo mkdir /etc/dropbear/keys/; sudo chmod /etc/dropbear/keys/

با تایپ دستورات زیر در زیر ، فایل ها ssh_ecdsa_keyو ssh_rsa_keyفایل ها را با ssh_keygenبرنامه تولید کنید. Enterبرای درخواست در هر درخواست ، دوبار کلید را فشار دهید .

sudo ssh-keygen -t ecdsa -f /etc/dropbear/keys/ssh_ecdsa_key
sudo ssh-keygen -t rsa -f /etc/dropbear/keys/ssh_rsa_key

تغییر مجوز فایل در ssh_ecdsa_key، ssh_ecdsa_key.pub، ssh_rsa_keyو ssh_rsa_key.pubبا تایپ فرمان زیر کلیک کنید.

sudo chmod 400 /etc/dropbear/keys/*_key; sudo chmod 444 /etc/dropbear/keys/*.pub

کلیدهای عمومی را با استفاده از How Do I Generate SSH Keys?آموزش ، در ابتدای آموزش زیر Prerequisites، برای سیستم عامل مشتری آینده نگر خود ایجاد کنید.

با تایپ کردن دستور زیر ، تمام متن های موجود در کلید عمومی را /etc/dropbear/keys/authorized_keysبا استفاده از nanoبرنامه در پرونده کپی و جایگذاری کنید.

sudo nano /etc/dropbear/keys/authorized_keys

ابتدا باید دستورالعمل و هر بروزرسانی بعدی تنظیمات dracut-crypt-ssh را بسازید. دستور زیر را برای ساخت اولیه آغازگرها تایپ کنید.

sudo dracut -f

پس از اتمام کار ، نصب CentOS 7 شما تنظیم شده است تا به سرویس دهنده SSH خود گوش دهید تا به شما متصل شود و به شما امکان می دهد پارتیشن LUKS را با استفاده از عبارت عبور خود باز کنید. اکنون با تایپ کردن دستور زیر می توانید نمونه CentOS 7 خود را دوباره راه اندازی کنید.

sudo reboot

در سیستم های مشتری خود ، به بخش ها 3.3. Unlocking the volumes interactivelyو 3.4. Unlocking using theباز کردن commandصفحه Dracut-Crypt-SSH GitHub مراجعه کنید تا سریعاً یک عبارت عبور را مجبور کنید یا از این unlockدستور برای باز کردن پارتیشن LUKS از مشتری SSH خود استفاده کنید.