SSH를 사용하여 LUKS 디스크 암호화에서 LVM을 원격으로 잠금 해제하기 위해 CentOS 7 설치 및 설정

• 전제 조건
• 1 단계 : 환경 설정
• 2 단계 : CentOS 7 텍스트 모드 설치 프로그램 시작
• 3 단계 : LUKS 전체 디스크 암호화에서 LVM 설정
• 4 단계 : CentOS 7 GUI 모드 설치 프로그램 시작
• 5 단계 : 시스템 업데이트
• 6 단계 : Dracut-Crypt-SSH 설치

LUKS (Linux Unified Key Setup)는 플랫폼에 관계없이 Linux에서 사용할 수있는 다양한 디스크 암호화 형식 중 하나입니다. 이 학습서에서는 암호화 된 LUKS 파티션에 포함 된 LVM (Linux Volume Manager) 볼륨에 루트 및 스왑 파티션을 제공합니다. 이 학습서에서는 호환 가능한 SSH 클라이언트 프로그램을 사용하여 단순화 된 SSH 서버 디먼을 사용하여 LUKS 파티션을 원격으로 잠금 해제 할 수도 있습니다.

전제 조건

• CentOS 7 x64 최소 ISO 라이브러리 서버 인스턴스.
• sudo는 사용자.
• SSH 공개 키 (들) .
• Dracut-Crypt-SSH .

1 단계 : 환경 설정

온 배포 서버 페이지 , 다음을 수행 :

• Server Location섹션 에서 서버 위치를 선택하십시오 .
• 섹션 CentOS7의 ISO Library탭에서 선택 Server Type하십시오.
• Server Size섹션 에서 필요한 하드웨어 사양을 선택 하십시오.
• Deploy Now버튼을 클릭하십시오 .

View ConsolenoVNC 콘솔을 통해 VPS 인스턴스에 액세스 하려면이 옵션을 사용하십시오 .

2 단계 : CentOS 7 텍스트 모드 설치 프로그램 시작

Install CentOS Linux 7옵션을 선택하십시오 .

언론 Tab키를 누릅니다.

입력 text후 vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quiet그래서이 같다고 vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quiet text하고 눌러 Enter키를 누릅니다.

이제 VPS가 텍스트 모드 CentOS 설치 프로그램으로 부팅됩니다. 아래 이미지와 같이 noVNC 콘솔에 화면이 표시됩니다.

3 단계 : LUKS 전체 디스크 암호화에서 LVM 설정

사용 Alt + Right Arrow Key명령 행에 명령을 입력합니다 TTY2 콘솔로 이동 조합을.

GRUB2 부트 로더, 암호화되지 않은 /boot파티션 및 LUKS 파티션을 보유 할 기본 파티션 을 포함하기위한 파티션을 작성하려면 아래의 명령을 입력하십시오 .

parted -a opt -s /dev/vda mklabel gpt
parted -s /dev/vda unit mb
parted -s /dev/vda mkpart primary 1 3
parted -s /dev/vda name 1 grub
parted -s /dev/vda set 1 bios_grub on
parted -s /dev/vda mkpart primary 3 259
parted -s /dev/vda name 2 boot
parted -s /dev/vda mkpart primary 259 100%
parted -s /dev/vda name 3 root

파티션 레이아웃을 표시하려면 다음 명령을 입력하십시오.

parted -s /dev/vda print

그런 다음 이름 지정된 rootfs파티션을 의사 난수 데이터로 채 웁니다 . 완료하는 데 30 분이 조금 걸립니다.

dd if=/dev/urandom of=/dev/vda3 bs=1M status=progress

CentOS 7에서 cryptsetup명령은 기본 암호 aes-xts-plain64, 기본 키 크기 256 비트 및 기본 해시 SHA1을 사용합니다. 대신 LUKS 파티션은 키 크기가 512 비트이고 Whirlpool 해시가 더 안전한 Serpent 암호로 만들어집니다.

cryptsetup luksFormat /dev/vda3 -c serpent-xts-plain64 -h whirlpool -s 512

다음 쿼리가 표시되면 답변을 입력 한 후 Enter키를 누릅니다.

• 확실합니까? (대문자 예) :YES
• 암호를 입력하십시오 : strong-password
• 비밀번호 문구를 확인하십시오. strong-password

선택 사항 : LUKS 파티션 헤더 백업

경고 암호 프롬프트없이 루트 로그인 및 복사가 가능합니다. /tmp/luks-header-backup.img파일을 검색 한 후이 SSH 서버를 종료 하십시오.

안전하게 보관하려면 LUKS 파티션 헤더 사본을 저장하십시오. 이렇게하면 LUKS 파티션의 헤더가 어떻게 든 손상된 경우 복원 할 수 있습니다. 백업 작업없이 헤더가 손상된 경우 데이터가 영구적으로 손실됩니다.

cryptsetup luksHeaderBackup /dev/vda3 --header-backup-file /tmp/luks-header-backup.img

/tmp/luks-header-backup.img서버 에서 파일 을 복사하려면 scp클라이언트 호스트 에서 보안 사본 실행 파일 을 사용하여 SSH 서버를 임시로 시작하여 파일 을 검색해야합니다.

SSH 호스트 키를 생성하려면 아래 명령을 입력하십시오.

sshd-keygen

/etc/ssh/sshd_config파일 을 만들려면 아래 명령을 입력 하십시오.

cp /etc/ssh/sshd_config.anaconda /etc/ssh/sshd_config

/etc/ssh/sshd_config파일 을 편집하려면 아래 명령을 입력 하십시오.

vi /etc/ssh/sshd_config

파일을 편집하려면 Insert키를 누르고 화살표 키를 사용하여 편집해야하는 파일 섹션으로 이동하십시오.

라인 하나에 수를 변경 Port 22의 기본에서 22사이에 선택의 임의의 숫자 1025와 65535. (예 : 포트 25782)

줄 번호 13까지 아래로 스크롤하고 End키를 누른 다음 Enter키를 누릅니다.

다음 줄 HostKey /etc/ssh/ssh_host_ed25519_key에서 Enter키를 추가 하고 누릅니다 .

다음 줄 HostKey /etc/ssh/ssh_host_rsa_key에서 Enter키를 추가 하고 누릅니다 .

를 눌러 Esc키를 입력 :wq하고 눌러 Enter파일을 저장하는 키입니다.

기본 네트워크 인터페이스 eth0에는 IP 주소가 필요합니다. 아래의 명령을 입력하여 인스턴스에 대해 나열된 IP 주소를 eth0네트워크 인터페이스 에 할당하십시오 .

dhclient

할당 된 IP 주소를 표시하려면 다음 명령을 입력하십시오. IP 주소는 후 즉시 표시됩니다 inet및 전 netmask. (예 : inet 192.0.2.1넷 마스크)

ifconfig eth0

SSH 서버를 시작하려면 다음 명령을 입력하십시오.

/usr/sbin/sshd

사용하는 경우 scp클라이언트 시스템의 명령 줄에서 명령의 검색 템플릿으로 아래에 다음 명령을 사용하여 /tmp/luks-header-backup.img파일을. 에 25782지정된 실제 포트 번호로 교체하십시오 /etc/ssh/sshd_config. 192.0.2.1실제 할당 된 IP 주소로 교체하십시오 .

scp -P 25782 [email protected]:/tmp/luks-header-backup.img .

luks-header-backup.img파일을 검색 한 후 noVNC 콘솔 창에 아래 명령을 입력하여 SSH 서버를 즉시 종료하십시오 .

killall sshd

내부에 상주 할 LVM 물리 볼륨을 설정하려면 LUKS 파티션을여십시오.

cryptsetup luksOpen /dev/vda3 centos

프롬프트가 표시되면 LUKS 파티션을 열기 위해 이전에 작성한 비밀번호 문구를 입력 한 후 Enter키 를 누르십시오 .

의 암호를 입력하십시오 /dev/vda3:strong-password

아래에 다음 명령을 입력하십시오 :

ls /dev/mapper

그것은 이름이 다음 파일을 포함 centos, control, live-base와 live-rw. 는 centosLUKS 파티션입니다.

LVM 물리 볼륨을 만들려면 아래 명령을 입력하십시오.

pvcreate /dev/mapper/centos

성공하면 다음 메시지가 나타납니다.

Physical volume "/dev/mapper/centos" successfully created

아래의 명령을 입력하여 LVM 볼륨 그룹을 만드십시오.

vgcreate ssd /dev/mapper/centos

성공하면 다음 메시지가 나타납니다.

Volume group "ssd" successfully created

스왑 파티션에 대한 LVM 논리 볼륨을 만들려면 아래 다음 명령을 입력하십시오. 올바른 판단을 사용하여 VPS 인스턴스를 기반으로 필요한 크기 (-L = 볼륨 크기)의 스왑 파티션을 만듭니다.

lvcreate -L 1G -n swap ssd

성공하면 다음 메시지가 나타납니다.

Logical volume "swap" created

루트 파티션에 대한 LVM 논리 볼륨을 만들려면 아래 다음 명령을 입력하십시오. 원하는 경우 나머지 여유 공간을 사용하면서 5 % (5 %)를 예약하여 논리 볼륨의 LVM 스냅 샷을 포함합니다.

lvcreate -l 95%FREE -n root ssd

성공하면 다음 메시지가 나타납니다.

Logical volume "root" created

LVM 물리 볼륨을 표시합니다.

pvdisplay

noVNC 콘솔에 아래 이미지에 표시된 것과 유사한 텍스트가 표시됩니다.

LVM 볼륨 그룹을 표시하십시오.

vgdisplay

noVNC 콘솔에 아래 이미지에 표시된 것과 유사한 텍스트가 표시됩니다.

LVM 논리 볼륨을 표시합니다.

lvdisplay

noVNC 콘솔에 아래 이미지에 표시된 것과 유사한 텍스트가 표시됩니다.

LVM 볼륨 그룹을 비활성화하려면 아래 명령을 입력하십시오. cryptsetup다음 단계에서 LUKS 파티션을 닫으 려면이를 완료해야합니다 .

vgchange -a n

성공하면 다음 메시지가 나타납니다.

0 logical volume(s) in volume group "ssd" now active

LUKS 볼륨을 닫습니다.

cryptsetup luksClose centos

아래에 다음 명령을 입력하십시오 :

ls /dev/mapper

그것은 이름이 다음과 같은 파일이 포함됩니다 control, live-base와 live-rw. centosLUKS 파티션을 포함하는 파일은 제대로 닫혀 있다는 것을 확인하기 위해 누락됩니다.

재부팅 reboot하려면 Enter키를 입력 하고 누릅니다 .

4 단계 : CentOS 7 GUI 모드 설치 프로그램 시작

Install CentOS Linux 7옵션을 선택하고 Enter키를 누릅니다.

이제 VPS가 GUI 모드 CentOS 설치 프로그램으로 부팅됩니다. 아래 이미지와 같이 noVNC 콘솔에 화면이 표시됩니다. Install CentOS 7(1)을 선택 하고 Enter키를 누릅니다.

온 WELCOME TO CENTOS 7스크린, 파란 클릭 Continue버튼 (1).

주의 기본 언어 인 영어와 미국 로케일을 사용하지 않는 경우 검색 표시 줄에 언어를 입력하십시오 (1). 언어 (2) 및 해당 로케일 (3)을 클릭하십시오. 만족하면 파란색 Continue버튼 (4)을 클릭하십시오 .

온 INSTALLATION SUMMARY화면에서 클릭 INSTALLATION DESTINATION (Automatic partitioning selected)(1)에서 SYSTEM.

온 INSTALLATION DESTINATION화면에서 선택 I will configure partitioning에 따라 (1) 옵션을 Other Storage Options (Partitioning)청색 클릭 Done화면 왼쪽 상단에있는 버튼 (2).

온 MANUAL PARTITIONING화면에서 클릭 Unknown확장 아코디언 (1). 그것은라는 세 개의 파티션을 발표 할 예정이다 BIOS Boot (vda1), Unknown (vda2)하고 Encrypted (LUKS) (vda3).

으로 BIOS Boot블루 (1)에서 강조 파티션의 체크 박스 옵션 선택 Reformat옆에 (2) File System:아코디언과 클릭 Update Settings버튼 (3).

Unknown파티션 (1)을 클릭하여 파란색으로 강조 표시하십시오. 아코디언 Reformat옆에있는 (2) 의 확인란 옵션을 선택합니다 File System:. 아코디언 (3)을 선택 ext2하고 아래에있는 텍스트 필드 (4)를 입력 하고 아래 에있는 텍스트 필드 (5)를 입력 한 후 버튼 (6)을 클릭하십시오 .File System:/bootMount Point:bootLabel:Update Settings

Encrypted (LUKS)파티션 (1)을 클릭하여 파란색으로 강조 표시하십시오. 당신이 LUKS 파티션 생성 된 암호를 입력 Step 3: Setup LVM On LUKS Full Disk Encryption에서 Passphrase:텍스트 필드 (2)와 클릭 Unlock버튼 (3).

새로운 Unknown확장 가능한 아코디언 (1)이 나타납니다. 그것은라는 두 개의 파티션을 계시 Unknown (ssd-root)하고 Unknown (ssd-swap).

으로 Unknown (ssd-root)파티션 (1) 파란색으로 표시의 체크 박스 옵션 선택 Reformat옆에 (2) File System:아코디언. 아코디언 (3)을 선택 xfs하고 아래에있는 텍스트 필드 (4)를 입력 하고 아래 에있는 텍스트 필드 (5)를 입력 한 후 버튼 (6)을 클릭하십시오 .File System:/Mount Point:rootLabel:Update Settings

Unknown (ssd-swap)(1) 파티션을 클릭하여 파란색으로 강조 표시하십시오. 아코디언 Reformat옆에있는 (2) 의 확인란 옵션을 선택합니다 File System:. 아코디언 (3)을 선택 swap하고 아래의 텍스트 필드 (4)를 입력 한 후 버튼 (5)을 클릭하십시오 .File System:swapLabel:Update Settings

Done화면 왼쪽 상단 의 파란색 버튼 (1)을 클릭하십시오 .

이름 SUMMARY OF CHANGES이 지정된 상자 가 나타납니다. Accept Changes버튼 (1)을 클릭하십시오 . WELCOME TO CENTOS 7화면으로 돌아갑니다 .

NETWORK & HOST NAME (Not connected)아래 에서 (1)을 클릭하십시오 SYSTEM.

온 NETWORK & HOST NAME스크린 옆의 오른쪽에, 슬라이더 (1)를 이동 Ethernet(eth0)로부터 필드 OFF받는 위치에 ON위치. Host name:텍스트 상자 (2) 에서 기본값 (192.0.2.1.vultr.com) 대신 사용자 지정 호스트 이름을 사용 하려면 변경하십시오. Done화면 왼쪽 상단 의 파란색 버튼 (3)을 클릭하십시오 . WELCOME TO CENTOS 7화면으로 돌아갑니다 .

WELCOME TO CENTOS 7화면 의 옵션에 만족 하면 파란색 Begin Installation버튼 (1)을 클릭하십시오 .

온 CONFIGURATION화면에서 클릭 ROOT PASSWORD (Root password is not set)(1)에서 USER SETTINGS.

온 ROOT PASSWORD스크린, 강력한 모두에서 암호 입력 Root Password:(1)과 Confirm:(2) 텍스트 필드를. Done화면 왼쪽 상단 의 파란색 버튼 (3)을 클릭하십시오 . CONFIGURATION화면으로 돌아갑니다 .

온 CONFIGURATION화면에서 클릭 USER CREATION (No user will be created)(1)에서 USER SETTINGS.

온 CREATE USER화면에 전체 이름을 입력 Full name텍스트 필드 (1)의 사용자 이름 User name텍스트 필드 (2) 모두에 강력한 암호 Password(3)과 Confirm password(4) 텍스트 필드. Advanced...버튼 (5)를 클릭하십시오 .

이름 ADVANCED USER CONFIGURATION이 지정된 상자 가 나타납니다. 의 Add user to the following groups:텍스트 필드 (1)에서 Group Membership입력 wheel하고 Save Changes버튼 (2)을 클릭하십시오 .

Done화면 왼쪽 상단 의 파란색 버튼 (1)을 클릭하십시오 .

설치 후 프로세스가 시작됩니다. 완료하는 데 몇 분이 걸립니다. 완료되면 파란색 Reboot버튼 (1)을 클릭 하여 VPS 인스턴스를 재부팅하십시오.

VULTR 서버 관리 화면으로 돌아갑니다 . Settings상단 의 링크를 클릭하십시오 . Custom ISO왼쪽의 메뉴를 클릭하십시오 . 온 Custom ISO페이지에서 클릭 Remove ISO하여 CentOS는에 7 VPS 인스턴스를 ISO 및 재부팅을 마운트 해제 버튼을 클릭합니다. OK메시지가 표시되면 버튼을 클릭하면 VPS 인스턴스가 재부팅됩니다.

View ConsolenoVNC 콘솔을 통해 VPS 인스턴스에 액세스 하려면 창으로 다시 이동 하십시오. noVNC가 연결 해제 된 경우 창을 새로 고칩니다.

Please enter passphrase for disk primary (luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)!:LUKS 파티션에 대해 생성 한 암호 (예 :)를 입력하라는 메시지가 표시됩니다 Step 3: Setup LVM On LUKS Full Disk Encryption. 암호를 입력하고 Enter키를 누릅니다.

그러면 콘솔 로그인 프롬프트가 나타납니다. 이제 noVNC 콘솔 창을 닫을 수 있습니다.

5 단계 : 시스템 업데이트

일반 사용자로 SSH를 통해 로그인하고 다음과 같이 시스템을 업데이트하십시오.

sudo yum install epel-release -y
sudo yum clean all && sudo yum update -y

6 단계 : Dracut-Crypt-SSH 설치

여전히 일반 사용자로 로그인 한 상태에서 아래 명령을 입력하여 설치하십시오 dracut-crypt-ssh.

sudo yum install wget -y
sudo wget -O /etc/yum.repos.d/rbu-dracut-crypt-ssh-epel-7.repo https://copr.fedorainfracloud.org/coprs/rbu/dracut-crypt-ssh/repo/epel-7/rbu-dracut-crypt-ssh-epel-7.repo
sudo yum install dracut-crypt-ssh -y

nano파일을 쉽게 편집 할 수 있도록 편집기를 설치하려면 아래 명령을 입력하십시오 .

sudo yum install nano -y

에있는 기본 grub 파일을 편집해야합니다 /etc/default/grub.

sudo nano /etc/default/grub

와 rd.neednet=1 ip=dhcp사이에 삽입하십시오 .GRUB_CMDLINE_LINUX="crashkernel=autord.luks.uuid=luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

다음 키보드 조합을 입력하여 파일을 저장하십시오. 눌러 Ctrl+의 x키는 누를 y키를 눌러 Enter키를 누릅니다.

아래 명령을 입력하여 GRUB 구성 파일을 재생성하십시오.

sudo grub2-mkconfig -o /etc/grub2.cfg 

/etc/dracut.conf.d/crypt-ssh.conf아래에 다음 명령을 입력 하여 원본 을 백업하십시오 .

sudo mv /etc/dracut.conf.d/crypt-ssh.conf /etc/dracut.conf.d/crypt-ssh.conf.orig

/etc/dracut.conf.d/crypt-ssh.conf아래에 다음 명령을 입력하여 새 파일을 작성하십시오 .

sudo nano /etc/dracut.conf.d/crypt-ssh.conf

아래 텍스트를 복사하여 nano편집기에 붙여 넣습니다 .

dropbear_acl="/etc/dropbear/keys/authorized_keys"
dropbear_ecdsa_key="/etc/dropbear/keys/ssh_ecdsa_key"
dropbear_rsa_key="/etc/dropbear/keys/ssh_rsa_key"

keys아래 /etc/dropbear/에 필요한 디렉토리 권한으로 authorized_keys, ssh_ecdsa_key및 ssh_rsa_key파일을 보유 할 디렉토리를 작성하십시오 .

sudo mkdir /etc/dropbear/keys/; sudo chmod /etc/dropbear/keys/

아래의 명령을 입력하여 프로그램으로 ssh_ecdsa_key및 ssh_rsa_key파일을 생성하십시오 ssh_keygen. Enter암호 문구를 묻는 메시지가 표시되면 각 명령에 대해 키를 두 번 누릅니다 .

sudo ssh-keygen -t ecdsa -f /etc/dropbear/keys/ssh_ecdsa_key
sudo ssh-keygen -t rsa -f /etc/dropbear/keys/ssh_rsa_key

의 파일 권한을 변경 ssh_ecdsa_key, ssh_ecdsa_key.pub, ssh_rsa_key그리고 ssh_rsa_key.pub아래의 명령을 입력하여.

sudo chmod 400 /etc/dropbear/keys/*_key; sudo chmod 444 /etc/dropbear/keys/*.pub

예상 클라이언트 운영 체제에 대한 How Do I Generate SSH Keys?학습서 시작 부분의 학습서를 사용하여 공개 키를 생성하십시오 Prerequisites.

아래 명령을 입력하여 프로그램을 /etc/dropbear/keys/authorized_keys사용하여 공개 키의 모든 텍스트를 파일에 복사하여 붙여 넣습니다 nano.

sudo nano /etc/dropbear/keys/authorized_keys

먼저 initramfs 및 dracut-crypt-ssh 구성의 후속 업데이트를 빌드해야합니다. initramfs의 초기 빌드를 위해 아래 명령을 입력하십시오.

sudo dracut -f

완료되면 CentOS 7 설치가 SSH 클라이언트의 연결을 청취하고 암호를 사용하여 LUKS 파티션을 잠금 해제 할 수 있도록 설정됩니다. 이제 아래 명령을 입력하여 CentOS 7 인스턴스를 재부팅 할 수 있습니다.

sudo reboot

클라이언트 시스템에서 암호문 프롬프트를 강제 실행 하거나 명령을 사용 하여 SSH 클라이언트에서 LUKS 파티션을 열려면 Dracut-Crypt-SSH GitHub 페이지 의 섹션 3.3. Unlocking the volumes interactively및 3.4. Unlocking using the잠금 해제 command를 참조하십시오 .unlock