LUKS (Linux Unified Key Setup) è uno dei vari formati di crittografia del disco disponibili per Linux indipendente dalla piattaforma. Questo tutorial ti fornirà le partizioni di root e di swap all'interno di un volume LVM (Linux Volume Manager) contenuto all'interno di una partizione LUKS crittografata. Questa esercitazione consente inoltre di sbloccare la partizione LUKS in remoto utilizzando un demone del server SSH semplificato utilizzando qualsiasi programma client SSH compatibile.
Nella pagina Distribuisci server , procedi come segue:
Server Locationsezione.CentOS7sotto la ISO Libraryscheda della Server Typesezione.Server Sizesezione.Deploy NowpulsanteUtilizzare l' View Consoleopzione per accedere all'istanza VPS tramite la console noVNC.
Seleziona l' Install CentOS Linux 7opzione
Premere il Tabtasto
Inserisci textdopo in vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quietmodo che assomigli a questo vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quiet texte premi il Entertasto.
Il VPS si avvierà ora nel programma di installazione CentOS in modalità testo. Vedrai uno schermo nella console di noVNC come mostrato nell'immagine qui sotto.
Utilizzare la Alt + Right Arrow Keycombinazione per accedere alla console TTY2 per digitare i comandi sulla riga di comando.
Digitare i seguenti comandi di seguito per creare una partizione per contenere il boot loader GRUB2, una /bootpartizione non crittografata e una partizione primaria che conterrà la partizione LUKS.
parted -a opt -s /dev/vda mklabel gpt
parted -s /dev/vda unit mb
parted -s /dev/vda mkpart primary 1 3
parted -s /dev/vda name 1 grub
parted -s /dev/vda set 1 bios_grub on
parted -s /dev/vda mkpart primary 3 259
parted -s /dev/vda name 2 boot
parted -s /dev/vda mkpart primary 259 100%
parted -s /dev/vda name 3 root
Digitare il comando seguente per visualizzare il layout della partizione.
parted -s /dev/vda print
Quindi, riempire la rootfspartizione denominata con dati pseudo-casuali. Questo richiederà poco più di mezz'ora per il completamento.
dd if=/dev/urandom of=/dev/vda3 bs=1M status=progress
Su CentOS 7, i cryptsetupcomandi utilizzano la cifra predefinita di aes-xts-plain64, la dimensione della chiave predefinita di 256 bit e l'hash predefinito di SHA1. Invece, la partizione LUKS verrà creata con il codice Serpent più sicuro, con una dimensione della chiave di 512 bit e con l'hash di Whirlpool.
cryptsetup luksFormat /dev/vda3 -c serpent-xts-plain64 -h whirlpool -s 512
Immettere le risposte, quando richiesto con le seguenti query, quindi premere il Entertasto:
YESstrong-passwordstrong-passwordAvviso Ciò consentirà l'accesso e la copia di root senza la richiesta di password. Uccidi questo server SSH dopo aver recuperato il /tmp/luks-header-backup.imgfile.
Per motivi di sicurezza, salvare una copia dell'intestazione della partizione LUKS. Ciò garantisce che se l'intestazione della partizione LUKS è in qualche modo danneggiata, può essere ripristinata. Se l'intestazione è danneggiata senza un backup funzionante, i tuoi dati andranno persi per sempre.
cryptsetup luksHeaderBackup /dev/vda3 --header-backup-file /tmp/luks-header-backup.img
Per copiare il /tmp/luks-header-backup.imgfile dal server, è necessario avviare temporaneamente un server SSH, utilizzando l'eseguibile per la copia protetta scpsu un host client, per recuperarlo.
Digitare il comando seguente di seguito per generare le chiavi dell'host SSH.
sshd-keygen
Digita il comando seguente per creare il /etc/ssh/sshd_configfile.
cp /etc/ssh/sshd_config.anaconda /etc/ssh/sshd_config
Digita il comando seguente per modificare il /etc/ssh/sshd_configfile.
vi /etc/ssh/sshd_config
Per modificare il file, premere il Inserttasto e utilizzare i tasti freccia per spostarsi nelle sezioni del file che devono essere modificate.
Nella riga uno, modifica il numero Port 22dal valore predefinito 22in un numero casuale a tua scelta tra 1025e 65535. (Esempio: porta 25782)
Scorri verso il basso fino al numero di riga 13, premi il Endtasto e premi il Entertasto.
Nella riga successiva, aggiungi HostKey /etc/ssh/ssh_host_ed25519_keye premi il Entertasto.
Nella riga successiva, aggiungi HostKey /etc/ssh/ssh_host_rsa_keye premi il Entertasto.
Premere il Esctasto, digitare :wqe premere il Entertasto per salvare il file.
L'interfaccia di rete predefinita eth0richiede un indirizzo IP. Digitare il comando seguente di seguito per assegnare l'indirizzo IP elencato per l'istanza all'interfaccia di eth0rete.
dhclient
Digitare il comando seguente per visualizzare l'indirizzo IP assegnato. L'indirizzo IP verrà elencato immediatamente dopo inete prima netmask. (Esempio: inet 192.0.2.1netmask)
ifconfig eth0
Digitare il comando seguente per avviare il server SSH.
/usr/sbin/sshd
Se si utilizza il scpcomando da una riga comandi su un computer client, utilizzare il seguente comando come modello per recuperare il /tmp/luks-header-backup.imgfile. Sostituire 25782con il numero di porta effettivo assegnato in /etc/ssh/sshd_config. Sostituisci 192.0.2.1con l'indirizzo IP assegnato effettivo.
scp -P 25782 [email protected]:/tmp/luks-header-backup.img .
Dopo il recupero del luks-header-backup.imgfile, uccidi immediatamente il server SSH digitando il comando seguente nella finestra della console noVNC.
killall sshd
Aprire la partizione LUKS per impostare il volume fisico LVM che risiederà all'interno.
cryptsetup luksOpen /dev/vda3 centos
Immettere la passphrase creata in precedenza per aprire la partizione LUKS quando richiesto, quindi premere il Entertasto.
Inserisci la passphrase per /dev/vda3:strong-password
Digita il seguente comando di seguito:
ls /dev/mapper
Esso conterrà i seguenti file denominati centos, control, live-basee live-rw. Il centosè la partizione LUKS.
Digitare il comando seguente di seguito per creare il volume fisico LVM.
pvcreate /dev/mapper/centos
In caso di successo, riceverai il seguente messaggio:
Physical volume "/dev/mapper/centos" successfully created
Digitare il comando seguente di seguito per creare il gruppo di volumi LVM.
vgcreate ssd /dev/mapper/centos
In caso di successo, riceverai il seguente messaggio:
Volume group "ssd" successfully created
Digitare il comando seguente di seguito per creare un volume logico LVM per una partizione di swap. Usa la valutazione del suono per creare una partizione di swap, della dimensione necessaria (-L = dimensione del volume), in base all'istanza VPS.
lvcreate -L 1G -n swap ssd
In caso di successo, riceverai il seguente messaggio:
Logical volume "swap" created
Digitare il comando seguente di seguito per creare un volume logico LVM per la partizione radice. Questo utilizzerà lo spazio libero rimanente riservando il cinque percento (5%) per contenere le istantanee LVM dei volumi logici, se lo si desidera.
lvcreate -l 95%FREE -n root ssd
In caso di successo, riceverai il seguente messaggio:
Logical volume "root" created
Visualizza il volume fisico LVM.
pvdisplay
Vedrai un testo nella console di noVNC simile a quello mostrato nell'immagine qui sotto.
Visualizza il gruppo di volumi LVM.
vgdisplay
Vedrai un testo nella console di noVNC simile a quello mostrato nell'immagine qui sotto.
Visualizza i volumi logici LVM.
lvdisplay
Vedrai un testo nella console di noVNC simile a quello mostrato nell'immagine qui sotto.
Digitare il comando seguente di seguito per disattivare il gruppo di volumi LVM. Questo deve essere completato per consentire la cryptsetupchiusura della partizione LUKS nel passaggio successivo.
vgchange -a n
In caso di successo, riceverai il seguente messaggio:
0 logical volume(s) in volume group "ssd" now active
Chiudi il volume LUKS.
cryptsetup luksClose centos
Digita il seguente comando di seguito:
ls /dev/mapper
Esso conterrà i seguenti file denominati control, live-basee live-rw. Il centosfile, contenente la partizione LUKS, mancherà per assicurarsi che sia stato chiuso correttamente.
Digitare reboote premere il Entertasto per riavviare.
Seleziona l' Install CentOS Linux 7opzione e premi il Entertasto.
Il VPS si avvierà ora nel programma di installazione CentOS in modalità GUI. Vedrai uno schermo nella console di noVNC come mostrato nell'immagine qui sotto. Selezionare Install CentOS 7(1) e premere il Entertasto.
Sullo WELCOME TO CENTOS 7schermo, fai clic sul Continuepulsante blu (1).
Attenzione Se non si utilizza la lingua predefinita dell'inglese e le impostazioni internazionali degli Stati Uniti, inserire la lingua nella barra di ricerca (1). Clicca sulla lingua (2) e la locale appropriata (3) ad essa associata. Se soddisfatto, fai clic sul Continuepulsante blu (4).
Sullo INSTALLATION SUMMARYschermo, fare clic su INSTALLATION DESTINATION (Automatic partitioning selected)(1) sotto SYSTEM.
Nella INSTALLATION DESTINATIONschermata, seleziona l' I will configure partitioningopzione (1) sotto Other Storage Options (Partitioning)e fai clic sul Donepulsante blu (2) nella parte superiore sinistra dello schermo.
Sullo MANUAL PARTITIONINGschermo, fai clic sulla Unknownfisarmonica espandibile (1). Si rivelerà tre partizioni di nome BIOS Boot (vda1), Unknown (vda2)e Encrypted (LUKS) (vda3).
Con la BIOS Bootpartizione evidenziata in blu (1), seleziona l'opzione della casella di controllo Reformat(2) accanto alla File System:fisarmonica e fai clic sul Update Settingspulsante (3).
Fare clic sulla Unknownpartizione (1) in modo che sia evidenziata in blu. Seleziona l'opzione della casella di controllo Reformat(2) accanto alla File System:fisarmonica. Selezionare ext2nella File System:fisarmonica (3), inserire /bootnel campo di testo (4) sotto Mount Point:, inserire bootnel campo di testo (5) sotto Label:e fare clic sul Update Settingspulsante (6).
Fare clic sulla Encrypted (LUKS)partizione (1) in modo che sia evidenziata in blu. Inserisci la passphrase è stato creato per la partizione LUKS nel Step 3: Setup LVM On LUKS Full Disk Encryptionnel Passphrase:campo di testo (2) e fare clic sul Unlockpulsante (3).
Apparirà una nuova Unknownfisarmonica espandibile (1). Rivelerà due partizioni denominate Unknown (ssd-root)e Unknown (ssd-swap).
Con la Unknown (ssd-root)partizione (1) evidenziata in blu, selezionare l'opzione della casella di controllo Reformat(2) accanto alla File System:fisarmonica. Selezionare xfsnella File System:fisarmonica (3), inserire /nel campo di testo (4) sotto Mount Point:, inserire rootnel campo di testo (5) sotto Label:e fare clic sul Update Settingspulsante (6).
Fare clic sulla Unknown (ssd-swap)partizione (1) in modo che sia evidenziata in blu. Seleziona l'opzione della casella di controllo Reformat(2) accanto alla File System:fisarmonica. Selezionare swapnella File System:fisarmonica (3), inserire swapnel campo di testo (4) sotto Label:e fare clic sul Update Settingspulsante (5).
Fai clic sul Donepulsante blu (1) nella parte superiore sinistra dello schermo.
Apparirà una finestra chiamata SUMMARY OF CHANGES. Fare clic sul Accept Changespulsante (1). Questo ti riporterà allo WELCOME TO CENTOS 7schermo.
Fare clic su NETWORK & HOST NAME (Not connected)(1) sotto SYSTEM.
Sullo NETWORK & HOST NAMEschermo, sposta il cursore (1), vicino alla destra del Ethernet(eth0)campo, dalla OFFposizione alla ONposizione. Se si desidera utilizzare un nome host personalizzato anziché quello predefinito (192.0.2.1.vultr.com) nella Host name:casella di testo (2), modificarlo. Fai clic sul Donepulsante blu (3) nella parte superiore sinistra dello schermo. Questo ti riporterà allo WELCOME TO CENTOS 7schermo.
Quando sei soddisfatto delle opzioni sullo WELCOME TO CENTOS 7schermo, fai clic sul Begin Installationpulsante blu (1).
Sullo CONFIGURATIONschermo, fare clic su ROOT PASSWORD (Root password is not set)(1) sotto USER SETTINGS.
Sullo ROOT PASSWORDschermo, inserisci una password complessa nei campi di testo Root Password:(1) e Confirm:(2). Fai clic sul Donepulsante blu (3) nella parte superiore sinistra dello schermo. Questo ti riporterà allo CONFIGURATIONschermo.
Sullo CONFIGURATIONschermo, fare clic su USER CREATION (No user will be created)(1) sotto USER SETTINGS.
Sullo CREATE USERschermo, inserisci il tuo nome completo nel Full namecampo di testo (1), un nome utente nel User namecampo di testo (2), una password sicura in entrambi i campi di testo Password(3) e Confirm password(4). Fare clic sul Advanced...pulsante (5).
Apparirà una finestra chiamata ADVANCED USER CONFIGURATION. Nel Add user to the following groups:campo di testo (1) sotto Group Membership, inserisci wheele fai clic sul Save Changespulsante (2).
Fai clic sul Donepulsante blu (1) nella parte superiore sinistra dello schermo.
Il processo di post-installazione inizierà ora. Ci vorranno alcuni minuti per completare. Al termine, fai clic sul Rebootpulsante blu (1) per riavviare l'istanza VPS.
Tornare alla schermata di gestione del server VULTR . Fai clic sul Settingscollegamento in alto. Fai clic sul Custom ISOmenu a sinistra. Nella Custom ISOpagina, fare clic sul Remove ISOpulsante per smontare ISO e riavviare nell'istanza VPS di CentOS 7. Fare clic sul OKpulsante quando richiesto e l'istanza VPS verrà riavviata.
Tornare alla View Consolefinestra per accedere all'istanza VPS tramite la console noVNC. Aggiorna la finestra se noVNC si è disconnesso.
Ti verrà richiesto di inserire la passphrase (Esempio Please enter passphrase for disk primary (luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)!::) che hai creato per la partizione LUKS in Step 3: Setup LVM On LUKS Full Disk Encryption. Immettere la passphrase e premere il Entertasto.
Ti verrà quindi presentato il prompt di accesso alla console. Ora puoi chiudere la finestra della console noVNC.
Accedi tramite SSH con un utente normale e aggiorna il sistema come segue.
sudo yum install epel-release -y
sudo yum clean all && sudo yum update -y
Mentre sei ancora registrato come utente normale, digita i seguenti comandi per installare dracut-crypt-ssh.
sudo yum install wget -y
sudo wget -O /etc/yum.repos.d/rbu-dracut-crypt-ssh-epel-7.repo https://copr.fedorainfracloud.org/coprs/rbu/dracut-crypt-ssh/repo/epel-7/rbu-dracut-crypt-ssh-epel-7.repo
sudo yum install dracut-crypt-ssh -y
Digitare il comando seguente di seguito per installare l' nanoeditor per facilitare la modifica dei file.
sudo yum install nano -y
Dovrai modificare il file grub predefinito che si trova in /etc/default/grub.
sudo nano /etc/default/grub
Inserisci rd.neednet=1 ip=dhcptra GRUB_CMDLINE_LINUX="crashkernel=autoe rd.luks.uuid=luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.
Salvare il file inserendo le seguenti combinazioni di tastiera. Premere i tasti Ctrl+ x, premere il ytasto e premere il Entertasto.
Rigenera il tuo file di configurazione di GRUB digitando il comando seguente.
sudo grub2-mkconfig -o /etc/grub2.cfg
Eseguire il backup dell'originale /etc/dracut.conf.d/crypt-ssh.confdigitando il comando seguente di seguito.
sudo mv /etc/dracut.conf.d/crypt-ssh.conf /etc/dracut.conf.d/crypt-ssh.conf.orig
Crea un nuovo /etc/dracut.conf.d/crypt-ssh.conffile digitando il seguente comando di seguito.
sudo nano /etc/dracut.conf.d/crypt-ssh.conf
Copia e incolla il seguente testo nanonell'editor.
dropbear_acl="/etc/dropbear/keys/authorized_keys"
dropbear_ecdsa_key="/etc/dropbear/keys/ssh_ecdsa_key"
dropbear_rsa_key="/etc/dropbear/keys/ssh_rsa_key"
Creare la directory keyssotto /etc/dropbear/, con le autorizzazioni delle directory necessarie, che si terrà i authorized_keys, ssh_ecdsa_keye ssh_rsa_keyfile.
sudo mkdir /etc/dropbear/keys/; sudo chmod /etc/dropbear/keys/
Generare i file ssh_ecdsa_keye ssh_rsa_keycon il ssh_keygenprogramma digitando i seguenti comandi di seguito. Premere il Entertasto due volte, per ogni comando, quando viene richiesto di passphrase.
sudo ssh-keygen -t ecdsa -f /etc/dropbear/keys/ssh_ecdsa_key
sudo ssh-keygen -t rsa -f /etc/dropbear/keys/ssh_rsa_key
Cambiare i permessi dei file su ssh_ecdsa_key, ssh_ecdsa_key.pub, ssh_rsa_keye ssh_rsa_key.pubdigitando il comando seguente.
sudo chmod 400 /etc/dropbear/keys/*_key; sudo chmod 444 /etc/dropbear/keys/*.pub
Genera chiavi pubbliche usando il How Do I Generate SSH Keys?tutorial, che si trova all'inizio del tutorial sotto Prerequisites, per il tuo sistema operativo client potenziale.
Copia e incolla tutto il testo della chiave pubblica nel /etc/dropbear/keys/authorized_keysfile utilizzando il nanoprogramma digitando il comando seguente.
sudo nano /etc/dropbear/keys/authorized_keys
Devi prima compilare initramfs e ogni successivo aggiornamento della configurazione di dracut-crypt-ssh. Digitare il comando seguente di seguito per la build iniziale di initramfs.
sudo dracut -f
Una volta completato, l'installazione di CentOS 7 è impostata per ascoltare la connessione del client SSH e consentire di sbloccare la partizione LUKS utilizzando la passphrase. Ora puoi riavviare l'istanza di CentOS 7 digitando il comando seguente.
sudo reboot
Sui sistemi client, consultare le sezioni 3.3. Unlocking the volumes interactivelye 3.4. Unlocking using thesbloccare commandla pagina GitHub Dracut-Crypt-SSH per forzare un prompt passphrase o utilizzare il unlockcomando per aprire la partizione LUKS dal client SSH.
Usi un sistema diverso? Introduzione CyberPanel è uno dei primi pannelli di controllo sul mercato che è sia open source che utilizza OpenLiteSpeed. Che cosa
Introduzione Sensu è una soluzione di monitoraggio gratuita e open source che può essere utilizzata per monitorare server, applicazioni e vari servizi di sistema. Sensu i
Usi un sistema diverso? Apache OpenMeetings è unapplicazione per conferenze Web open source. È scritto in Java e supporta più server di database. io
Luso di un utente sudo per accedere a un server ed eseguire comandi a livello di root è una pratica molto comune tra Linux e Unix Systems Administrator. Luso di un sud
Usando un sistema diverso? RabbitMQ è un broker di messaggi open source ampiamente utilizzato scritto nel linguaggio di programmazione Erlang. Come middleware orientato ai messaggi
Usi un sistema diverso? RTMP è ottimo per pubblicare contenuti live. Quando RTMP è associato a FFmpeg, i flussi possono essere convertiti in varie qualità. Vultr i
TaskBoard è unapp Web di gestione del tempo gratuita e open source. Ispirato da Kanban, TaskBoard può aiutarti a tenere traccia delle cose che devono essere fatte in a
Usi un sistema diverso? Gradle è un set di strumenti di automazione di build gratuito e open source basato sui concetti di Apache Ant e Apache Maven. Gradle fornisce
Usi un sistema diverso? In questa guida, vedremo come configurare un server FTP (ProFTPd) per trasferire file tra il tuo PC e il tuo server.
Usando un sistema diverso? Netdata è una stella nascente nel campo del monitoraggio delle metriche di sistema in tempo reale. Rispetto ad altri strumenti dello stesso tipo, Netdata:
Usi un sistema diverso? Apache Cassandra è un sistema di gestione di database NoSQL gratuito e open source progettato per fornire scalabilità, alta
In questo tutorial imparerai bene come configurare un server multiplayer Just Cause 2. Prerequisiti Assicurarsi che il sistema sia completamente aggiornato prima di iniziare
Usando un sistema diverso? In questo tutorial, spiegherò come impostare un server Starbound su CentOS 7. Prerequisiti Devi possedere questo gioco su di te
ZNC è un buttafuori IRC gratuito e open source che rimane permanentemente connesso a una rete in modo che i client possano ricevere messaggi inviati mentre sono offline. Thi
Django è un popolare framework Python per la scrittura di applicazioni Web. Con Django, puoi creare applicazioni più velocemente, senza reinventare la ruota. Se vuoi
Dopo aver modificato la porta SSH, configurato il port knocking e apportato altre modifiche per la sicurezza SSH, cè forse un altro modo per proteggerti
Introduzione MyCLI è un client da riga di comando per MySQL e MariaDB che ti consente di completare automaticamente e ti aiuta con la sintassi dei tuoi comandi SQL. MyCL
Usi un sistema diverso? Directus 6.4 CMS è un sistema di gestione dei contenuti senza testa (CMS) potente e flessibile, gratuito e open source che fornisce agli sviluppatori
Cosa ti serve Un VPS Vultr con almeno 1 GB di RAM. Accesso SSH (con privilegi di root / amministrativi). Passaggio 1: installare prima BungeeCord
MaraDNS è un programma server DNS open source leggero ma robusto. Rispetto ad altre applicazioni dello stesso tipo, come ISC BIND, PowerDNS e djbdns
Gli attacchi ransomware sono in aumento, ma l'intelligenza artificiale può aiutare ad affrontare l'ultimo virus informatico? L'intelligenza artificiale è la risposta? Leggi qui sai è AI boone o bane
ReactOS, un sistema operativo open source e gratuito è qui con l'ultima versione. Può essere sufficiente alle esigenze degli utenti Windows moderni e abbattere Microsoft? Scopriamo di più su questo vecchio stile, ma un'esperienza del sistema operativo più recente.
Whatsapp ha finalmente lanciato l'app desktop per utenti Mac e Windows. Ora puoi accedere facilmente a Whatsapp da Windows o Mac. Disponibile per Windows 8+ e Mac OS 10.9+
Leggi questo per sapere come l'intelligenza artificiale sta diventando popolare tra le aziende di piccole dimensioni e come sta aumentando le probabilità di farle crescere e dare un vantaggio ai loro concorrenti.
Recentemente Apple ha rilasciato macOS Catalina 10.15.4 un aggiornamento supplementare per risolvere i problemi, ma sembra che l'aggiornamento stia causando più problemi che portano al bricking delle macchine mac. Leggi questo articolo per saperne di più
13 strumenti commerciali per l'estrazione dei dati dai Big Data
Il nostro computer memorizza tutti i dati in un modo organizzato noto come file system di journaling. È un metodo efficiente che consente al computer di cercare e visualizzare i file non appena si preme search.https://wethegeek.com/?p=94116&preview=true
Man mano che la scienza si evolve a un ritmo rapido, assumendo gran parte dei nostri sforzi, aumentano anche i rischi di sottoporci a una singolarità inspiegabile. Leggi, cosa potrebbe significare per noi la singolarità.
Uno sguardo a 26 tecniche di analisi dei Big Data: Parte 1
L'intelligenza artificiale nell'assistenza sanitaria ha compiuto grandi passi avanti negli ultimi decenni. Pertanto, il futuro dell'IA in sanità continua a crescere giorno dopo giorno.
