Installeer en stel CentOS 7 in om LVM op afstand te ontgrendelen op LUKS-schijfversleuteling met SSH

• Vereisten
• Stap 1: Omgeving instellen
• Stap 2: Start het CentOS 7 Text Mode-installatieprogramma
• Stap 3: LVM instellen op LUKS Full Disk Encryption
• Stap 4: Start het CentOS 7 GUI Mode-installatieprogramma
• Stap 5: werk het systeem bij
• Stap 6: Installeer Dracut-Crypt-SSH

LUKS (Linux Unified Key Setup) is een van de verschillende schijfversleutelingsindelingen die beschikbaar zijn voor Linux en platformonafhankelijk is. Deze tutorial geeft je root- en swap-partities in een LVM (Linux Volume Manager) -volume in een gecodeerde LUKS-partitie. Met deze zelfstudie kunt u ook de LUKS-partitie op afstand ontgrendelen met behulp van een vereenvoudigde SSH-serverdaemon met elk compatibel SSH-clientprogramma.

Vereisten

• Een CentOS 7 x64 Minimal ISO Library-serverinstantie.
• Een sudo- gebruiker.
• Openbare SSH-sleutel (s) .
• Dracut-Crypt-SSH .

Stap 1: Omgeving instellen

Doe het volgende op de pagina Servers implementeren :

• Kies uw serverlocatie in de Server Locationsectie.
• Kies CentOS7onder het ISO Librarytabblad van de Server Typesectie.
• Kies de hardwarespecificaties die u nodig heeft in de Server Sizesectie.
• Klik op de Deploy Nowbutton.

Gebruik de View Consoleoptie om toegang te krijgen tot het VPS-exemplaar via de noVNC-console.

Stap 2: Start het CentOS 7 Text Mode-installatieprogramma

Selecteer de Install CentOS Linux 7optie.

Druk op de Tabtoets.

Voer textdaarna in vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quietzodat het er zo uitziet vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quiet texten druk op de Entertoets.

De VPS start nu op in het tekstmodus CentOS-installatieprogramma. U ziet een scherm in de noVNC-console zoals afgebeeld in de onderstaande afbeelding.

Stap 3: LVM instellen op LUKS Full Disk Encryption

Gebruik de Alt + Right Arrow Keycombinatie om naar de TTY2-console te navigeren om opdrachten op de opdrachtregel te typen.

Typ de volgende opdrachten hieronder om een ​​partitie te maken voor het bevatten van de GRUB2-bootloader, een niet-versleutelde /bootpartitie en een primaire partitie die de LUKS-partitie zal bevatten.

parted -a opt -s /dev/vda mklabel gpt
parted -s /dev/vda unit mb
parted -s /dev/vda mkpart primary 1 3
parted -s /dev/vda name 1 grub
parted -s /dev/vda set 1 bios_grub on
parted -s /dev/vda mkpart primary 3 259
parted -s /dev/vda name 2 boot
parted -s /dev/vda mkpart primary 259 100%
parted -s /dev/vda name 3 root

Typ de volgende opdracht om de partitie-indeling weer te geven.

parted -s /dev/vda print

Vul vervolgens de genoemde rootfspartitie met pseudo-willekeurige gegevens. Dit duurt iets meer dan een half uur.

dd if=/dev/urandom of=/dev/vda3 bs=1M status=progress

Op CentOS 7 gebruiken de cryptsetupcommando's het standaardcijfer van aes-xts-plain64, de standaard sleutelgrootte van 256 bits en de standaard hash van SHA1. In plaats daarvan wordt de LUKS-partitie gemaakt met het veiligere Serpent-cijfer, met een sleutelgrootte van 512 bits en met de Whirlpool-hash.

cryptsetup luksFormat /dev/vda3 -c serpent-xts-plain64 -h whirlpool -s 512

Voer de antwoorden in als daarom wordt gevraagd bij de volgende vragen en druk vervolgens op de Entertoets:

• Weet je zeker dat? (Type hoofdletter ja):YES
• Voer wachtwoordzin in: strong-password
• Controleer wachtwoordzin: strong-password

---

Optioneel: Maak een back-up van de LUKS-partitiekop

Waarschuwing Dit maakt root inloggen en kopiëren mogelijk zonder een wachtwoordprompt. Dood deze SSH-server nadat je het /tmp/luks-header-backup.imgbestand hebt opgehaald .

Bewaar voor een veilige bewaring een kopie van de LUKS-partitiekop. Dit zorgt ervoor dat als de koptekst van uw LUKS-partitie op de een of andere manier beschadigd is, deze kan worden hersteld. Als de koptekst beschadigd is zonder een werkende back-up, gaan uw gegevens voor altijd verloren.

cryptsetup luksHeaderBackup /dev/vda3 --header-backup-file /tmp/luks-header-backup.img

Om het /tmp/luks-header-backup.imgbestand van de server te kopiëren , moet er tijdelijk een SSH-server worden gestart met behulp van het beveiligde kopie-uitvoerbare bestand scpop een clienthost om het op te halen.

Typ de volgende opdracht hieronder om de SSH-hostsleutels te genereren.

sshd-keygen

Typ de volgende opdracht hieronder om het /etc/ssh/sshd_configbestand te maken .

cp /etc/ssh/sshd_config.anaconda /etc/ssh/sshd_config

Typ de volgende opdracht hieronder om het /etc/ssh/sshd_configbestand te bewerken .

vi /etc/ssh/sshd_config

Om het bestand te bewerken, drukt u op de Inserttoets en gebruikt u de pijltoetsen om te navigeren naar delen van het bestand die moeten worden bewerkt.

Wijzig in regel één het getal Port 22van de standaard van 22naar een willekeurig getal naar keuze tussen 1025en 65535. (Voorbeeld: poort 25782)

Blader naar regel nummer dertien, druk op de Endtoets en druk op de Entertoets.

Voeg op de volgende regel toe HostKey /etc/ssh/ssh_host_ed25519_keyen druk op de Entertoets.

Voeg op de volgende regel toe HostKey /etc/ssh/ssh_host_rsa_keyen druk op de Entertoets.

Druk op de Esctoets, typ :wqen druk op de Entertoets om het bestand op te slaan.

De standaard netwerkinterface eth0heeft een IP-adres nodig. Typ de volgende opdracht hieronder om het IP-adres van uw instantie toe te wijzen aan de eth0netwerkinterface.

dhclient

Typ de volgende opdracht om het toegewezen IP-adres weer te geven. Het IP-adres wordt direct daarna ineten ervoor vermeld netmask. (Voorbeeld: inet 192.0.2.1netmask)

ifconfig eth0

Typ de volgende opdracht om de SSH-server te starten.

/usr/sbin/sshd

Als u de scpopdracht vanaf een opdrachtregel op een clientcomputer gebruikt, gebruikt u de volgende opdracht hieronder als sjabloon om het /tmp/luks-header-backup.imgbestand op te halen . Vervang 25782door het daadwerkelijke poortnummer dat is toegewezen in de /etc/ssh/sshd_config. Vervang 192.0.2.1door het werkelijk toegewezen IP-adres.

scp -P 25782 [email protected]:/tmp/luks-header-backup.img .

Na het ophalen van het luks-header-backup.imgbestand, doodt u onmiddellijk de SSH-server door de onderstaande opdracht in het noVNC-consolevenster te typen.

killall sshd

---

Open de LUKS-partitie om het fysieke LVM-volume in te stellen dat zich binnenin zal bevinden.

cryptsetup luksOpen /dev/vda3 centos

Voer de eerder gemaakte wachtwoordzin in om de LUKS-partitie te openen wanneer daarom wordt gevraagd en druk vervolgens op de Entertoets.

Voer wachtwoordzin in voor /dev/vda3:strong-password

Typ de volgende opdracht hieronder:

ls /dev/mapper

Het zal de volgende bestanden met de naam bevatten centos, control, live-baseen live-rw. Het centosis de LUKS-partitie.

Typ de volgende opdracht hieronder om het fysieke LVM-volume te maken.

pvcreate /dev/mapper/centos

Als dit lukt, ontvang je het volgende bericht:

Physical volume "/dev/mapper/centos" successfully created

Typ de volgende opdracht hieronder om de LVM-volumegroep te maken.

vgcreate ssd /dev/mapper/centos

Als dit lukt, ontvang je het volgende bericht:

Volume group "ssd" successfully created

Typ de volgende opdracht hieronder om een ​​logisch LVM-volume te maken voor een swappartitie. Gebruik gezond verstand om een ​​swap-partitie te maken van de benodigde grootte (-L = grootte van het volume), op basis van je VPS-instantie.

lvcreate -L 1G -n swap ssd

Als dit lukt, ontvang je het volgende bericht:

Logical volume "swap" created

Typ de volgende opdracht hieronder om een ​​logisch LVM-volume voor de rootpartitie te maken. Dit zal de resterende vrije ruimte gebruiken terwijl vijf procent (5%) wordt gereserveerd om LVM-snapshots van uw logische volumes te bevatten, als u dat wilt.

lvcreate -l 95%FREE -n root ssd

Als dit lukt, ontvang je het volgende bericht:

Logical volume "root" created

Geef het fysieke volume van de LVM weer.

pvdisplay

U ziet tekst in de noVNC-console die lijkt op wat wordt weergegeven in de onderstaande afbeelding.

Geef de LVM-volumegroep weer.

vgdisplay

U ziet tekst in de noVNC-console die lijkt op wat wordt weergegeven in de onderstaande afbeelding.

Geef de logische LVM-volumes weer.

lvdisplay

U ziet tekst in de noVNC-console die lijkt op wat wordt weergegeven in de onderstaande afbeelding.

Typ de volgende opdracht hieronder om de LVM-volumegroep te deactiveren. Dit moet worden voltooid cryptsetupom de LUKS-partitie in de volgende stap te kunnen sluiten.

vgchange -a n

Als dit lukt, ontvang je het volgende bericht:

0 logical volume(s) in volume group "ssd" now active

Sluit het LUKS-volume.

cryptsetup luksClose centos

Typ de volgende opdracht hieronder:

ls /dev/mapper

Het bevat de volgende bestanden met de naam control, live-baseen live-rw. Het centosbestand met de LUKS-partitie ontbreekt om ervoor te zorgen dat het correct is gesloten.

Typ rebooten druk op de Entertoets om opnieuw op te starten.

Stap 4: Start het CentOS 7 GUI Mode-installatieprogramma

Selecteer de Install CentOS Linux 7optie en druk op de Entertoets.

De VPS start nu op in het GUOS-modus CentOS-installatieprogramma. U ziet een scherm in de noVNC-console zoals afgebeeld in de onderstaande afbeelding. Selecteer Install CentOS 7(1) en druk op de Entertoets.

Klik op het WELCOME TO CENTOS 7scherm op de blauwe Continueknop (1).

Let op Als u niet de standaardtaal Engels en de taal van de Verenigde Staten gebruikt, voert u uw taal in de zoekbalk in (1). Klik op de taal (2) en de bijbehorende landinstelling (3). Als u tevreden bent, klikt u op de blauwe Continueknop (4).

INSTALLATION SUMMARYKlik op het scherm op INSTALLATION DESTINATION (Automatic partitioning selected)(1) onder SYSTEM.

INSTALLATION DESTINATIONSelecteer op het scherm de optie I will configure partitioning(1) hieronder Other Storage Options (Partitioning)en klik op de blauwe Doneknop (2) linksboven in het scherm.

MANUAL PARTITIONINGKlik op het scherm op de Unknownuitbreidbare accordeon (1). Het zal drie partities onthullen genaamd BIOS Boot (vda1), Unknown (vda2)en Encrypted (LUKS) (vda3).

Met de BIOS Bootpartitie blauw gemarkeerd (1), selecteer je de checkbox optie van Reformat(2) naast de File System:accordeon en klik je op de Update Settingsknop (3).

Klik op de Unknownpartitie (1) zodat deze blauw gemarkeerd is. Selecteer de checkbox optie van Reformat(2) naast de File System:accordeon. Selecteer ext2in de File System:accordeon (3), voer /bootin het tekstveld (4) onder in Mount Point:, voer bootin het tekstveld (5) onder in Label:en klik op de Update Settingsknop (6).

Klik op de Encrypted (LUKS)partitie (1) zodat deze blauw gemarkeerd is. Voer de wachtwoordzin in die u voor LUKS-partitie hebt gemaakt Step 3: Setup LVM On LUKS Full Disk Encryptionin het Passphrase:tekstveld (2) en klik op de Unlockknop (3).

Er Unknownverschijnt een nieuwe uitbreidbare accordeon (1). Het onthult twee partities genaamd Unknown (ssd-root)en Unknown (ssd-swap).

Met de Unknown (ssd-root)partitie (1) blauw gemarkeerd, selecteert u de checkbox optie van Reformat(2) naast de File System:accordeon. Selecteer xfsin de File System:accordeon (3), typ /in het tekstveld (4) onder Mount Point:, voer rootin het tekstveld (5) onder in Label:en klik op de Update Settingsknop (6).

Klik op de Unknown (ssd-swap)(1) partitie zodat deze blauw gemarkeerd is. Selecteer de checkbox optie van Reformat(2) naast de File System:accordeon. Selecteer swapin de File System:accordeon (3), voer swapin het tekstveld (4) onder in Label:en klik op de Update Settingsknop (5).

Klik op de blauwe Doneknop (1) linksboven in het scherm.

Er verschijnt een vak met de naam SUMMARY OF CHANGES. Klik op de Accept Changesknop (1). Dit brengt je terug naar het WELCOME TO CENTOS 7scherm.

Klik op NETWORK & HOST NAME (Not connected)(1) onder SYSTEM.

NETWORK & HOST NAMEVerplaats op het scherm de schuifregelaar (1), rechts van het Ethernet(eth0)veld, van de OFFpositie naar de ONpositie. Als u een aangepaste hostnaam wilt gebruiken in plaats van de standaard (192.0.2.1.vultr.com) in het Host name:tekstvak (2), wijzig deze dan. Klik op de blauwe Doneknop (3) linksboven in het scherm. Dit brengt je terug naar het WELCOME TO CENTOS 7scherm.

Als u tevreden bent met de opties op het WELCOME TO CENTOS 7scherm, klikt u op de blauwe Begin Installationknop (1).

CONFIGURATIONKlik op het scherm op ROOT PASSWORD (Root password is not set)(1) onder USER SETTINGS.

ROOT PASSWORDVoer op het scherm een ​​sterk wachtwoord in zowel de Root Password:(1) als Confirm:(2) tekstvelden in. Klik op de blauwe Doneknop (3) linksboven in het scherm. Dit brengt je terug naar het CONFIGURATIONscherm.

CONFIGURATIONKlik op het scherm op USER CREATION (No user will be created)(1) onder USER SETTINGS.

CREATE USERVoer op het scherm uw volledige naam in het Full nametekstveld (1) in, een gebruikersnaam in het User nametekstveld (2), een sterk wachtwoord in zowel de Password(3) als Confirm password(4) tekstvelden. Klik op de Advanced...knop (5).

Er verschijnt een vak met de naam ADVANCED USER CONFIGURATION. Voer in het Add user to the following groups:tekstveld (1) onder Group Membershipin wheelen klik op de Save Changesknop (2).

Klik op de blauwe Doneknop (1) linksboven in het scherm.

Het post-installatieproces begint nu. Het duurt een paar minuten om te voltooien. Als het klaar is, klik je op de blauwe Rebootknop (1) om je VPS-instantie opnieuw op te starten.

Navigeer terug naar het VULTR Server Management-scherm . Klik op de Settingslink bovenaan. Klik op Custom ISOhet menu aan de linkerkant. Custom ISOKlik op de pagina op de Remove ISOknop om de ISO te ontkoppelen en opnieuw op te starten naar uw CentOS 7 VPS-instantie. Klik op de OKknop wanneer daarom wordt gevraagd en het VPS-exemplaar zal opnieuw opstarten.

Navigeer terug naar het View Consolevenster om toegang te krijgen tot de VPS-instantie via de noVNC-console. Ververs het venster als noVNC de verbinding heeft verbroken.

U wordt gevraagd om de wachtwoordzin (bijvoorbeeld:) in te voeren die Please enter passphrase for disk primary (luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)!:u voor LUKS-partitie hebt gemaakt Step 3: Setup LVM On LUKS Full Disk Encryption. Voer de wachtwoordzin in en druk op de Entertoets.

U krijgt dan de aanmeldingsprompt van de console te zien. U kunt nu het noVNC-consolevenster sluiten.

Stap 5: werk het systeem bij

Log in via SSH met een gewone gebruiker en update het systeem als volgt.

sudo yum install epel-release -y
sudo yum clean all && sudo yum update -y

Stap 6: Installeer Dracut-Crypt-SSH

Terwijl u nog steeds bent aangemeld als een gewone gebruiker, typt u de volgende onderstaande opdrachten om te installeren dracut-crypt-ssh.

sudo yum install wget -y
sudo wget -O /etc/yum.repos.d/rbu-dracut-crypt-ssh-epel-7.repo https://copr.fedorainfracloud.org/coprs/rbu/dracut-crypt-ssh/repo/epel-7/rbu-dracut-crypt-ssh-epel-7.repo
sudo yum install dracut-crypt-ssh -y

Typ de volgende opdracht hieronder om de nanoeditor te installeren om het bewerken van bestanden te vergemakkelijken.

sudo yum install nano -y

U moet het standaard grub-bestand in /etc/default/grub.

sudo nano /etc/default/grub

rd.neednet=1 ip=dhcpTussen GRUB_CMDLINE_LINUX="crashkernel=autoen invoegen rd.luks.uuid=luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.

Sla het bestand op door de volgende toetsenbordcombinaties in te voeren. Druk op de Ctrl+ xtoetsen, druk op de ytoets en druk op de Entertoets.

Regenereer je GRUB-configuratiebestand door de onderstaande opdracht in te voeren.

sudo grub2-mkconfig -o /etc/grub2.cfg 

Maak een back-up van het origineel /etc/dracut.conf.d/crypt-ssh.confdoor de volgende opdracht hieronder te typen.

sudo mv /etc/dracut.conf.d/crypt-ssh.conf /etc/dracut.conf.d/crypt-ssh.conf.orig

Maak een nieuw /etc/dracut.conf.d/crypt-ssh.confbestand door de volgende opdracht hieronder te typen.

sudo nano /etc/dracut.conf.d/crypt-ssh.conf

Kopieer en plak de volgende tekst hieronder in de nanoeditor.

dropbear_acl="/etc/dropbear/keys/authorized_keys"
dropbear_ecdsa_key="/etc/dropbear/keys/ssh_ecdsa_key"
dropbear_rsa_key="/etc/dropbear/keys/ssh_rsa_key"

Maak de map keysonder /etc/dropbear/, met de nodige foldertoestemmingen, zal dat het ruim authorized_keys, ssh_ecdsa_keyen ssh_rsa_keybestanden.

sudo mkdir /etc/dropbear/keys/; sudo chmod /etc/dropbear/keys/

Genereer de ssh_ecdsa_keyen ssh_rsa_keybestanden met het ssh_keygenprogramma door de volgende opdrachten hieronder te typen. Druk Entertweemaal voor elke opdracht op de toets wanneer daarom wordt gevraagd om wachtzinnen.

sudo ssh-keygen -t ecdsa -f /etc/dropbear/keys/ssh_ecdsa_key
sudo ssh-keygen -t rsa -f /etc/dropbear/keys/ssh_rsa_key

Wijzig de permissies op ssh_ecdsa_key, ssh_ecdsa_key.pub, ssh_rsa_keyen ssh_rsa_key.pubdoor het intikken van het commando hieronder.

sudo chmod 400 /etc/dropbear/keys/*_key; sudo chmod 444 /etc/dropbear/keys/*.pub

Genereer openbare sleutels met behulp van de How Do I Generate SSH Keys?zelfstudie aan het begin van de zelfstudie onder Prerequisitesvoor uw toekomstige clientbesturingssysteem.

Kopieer en plak alle tekst in de openbare sleutel in het /etc/dropbear/keys/authorized_keysbestand met behulp van het nanoprogramma door de onderstaande opdracht te typen.

sudo nano /etc/dropbear/keys/authorized_keys

U moet eerst de initramfs bouwen en elke volgende update van de dracut-crypt-ssh-configuratie. Typ de volgende opdracht hieronder voor de eerste build van de initramfs.

sudo dracut -f

Zodra dat is voltooid, is uw CentOS 7-installatie ingesteld om te luisteren naar uw SSH-client om verbinding te maken en kunt u de LUKS-partitie ontgrendelen met uw wachtwoordzin. U kunt uw CentOS 7-instantie nu opnieuw opstarten door de onderstaande opdracht te typen.

sudo reboot

Raadpleeg op uw clientsystemen de secties 3.3. Unlocking the volumes interactivelyen 3.4. Unlocking using theontgrendel commandde Dracut-Crypt-SSH GitHub-pagina om een ​​wachtwoordzin te forceren of gebruik de unlockopdracht om uw LUKS-partitie vanaf uw SSH-client te openen.