Zainstaluj i skonfiguruj CentOS 7, aby zdalnie odblokować LVM na szyfrowaniu dysku LUKS za pomocą SSH

• Wymagania wstępne
• Krok 1: Konfiguracja środowiska
• Krok 2: Uruchom instalator trybu tekstowego CentOS 7
• Krok 3: Skonfiguruj LVM na pełnym szyfrowaniu dysku LUKS
• Krok 4: Uruchom instalator trybu GUI CentOS 7
• Krok 5: Zaktualizuj system
• Krok 6: Zainstaluj Dracut-Crypt-SSH

LUKS (Linux Unified Key Setup) to jeden z różnych formatów szyfrowania dysku dostępnych dla Linuksa, który jest niezależny od platformy. W tym samouczku znajdziesz partycje root i swap w woluminie LVM (Linux Volume Manager) zawartym w zaszyfrowanej partycji LUKS. W tym samouczku można również zdalnie odblokować partycję LUKS za pomocą uproszczonego demona serwera SSH za pomocą dowolnego zgodnego programu klienckiego SSH.

Wymagania wstępne

• Instancja serwera CentOS 7 x64 Minimalna biblioteka ISO.
• Użytkownik sudo .
• Klucze publiczne SSH .
• Dracut-Crypt-SSH .

Krok 1: Konfiguracja środowiska

Na stronie Wdróż serwery wykonaj następujące czynności:

• Wybierz lokalizację serwera w Server Locationsekcji.
• Wybierz CentOS7pod ISO Libraryzakładką Server Typesekcji.
• Wybierz wymagane parametry sprzętu w Server Sizesekcji.
• Kliknij Deploy Nowprzycisk.

Użyj View Consoleopcji, aby uzyskać dostęp do instancji VPS za pośrednictwem konsoli noVNC.

Krok 2: Uruchom instalator trybu tekstowego CentOS 7

Wybierz Install CentOS Linux 7opcję.

Naciśnij Tabklawisz

Wpisz textpo, vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quietaby wyglądało to tak, vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quiet texti naciśnij Enterklawisz.

VPS uruchomi się teraz w trybie tekstowym instalatora CentOS. Zobaczysz ekran w konsoli noVNC, jak na zdjęciu poniżej.

Krok 3: Skonfiguruj LVM na pełnym szyfrowaniu dysku LUKS

Użyj Alt + Right Arrow Keykombinacji, aby przejść do konsoli TTY2 i wpisać polecenia w wierszu poleceń.

Wpisz następujące polecenia poniżej, aby utworzyć partycję zawierającą moduł ładujący GRUB2, niezaszyfrowaną /bootpartycję i partycję podstawową, która będzie zawierać partycję LUKS.

parted -a opt -s /dev/vda mklabel gpt
parted -s /dev/vda unit mb
parted -s /dev/vda mkpart primary 1 3
parted -s /dev/vda name 1 grub
parted -s /dev/vda set 1 bios_grub on
parted -s /dev/vda mkpart primary 3 259
parted -s /dev/vda name 2 boot
parted -s /dev/vda mkpart primary 259 100%
parted -s /dev/vda name 3 root

Wpisz następujące polecenie, aby wyświetlić układ partycji.

parted -s /dev/vda print

Następnie wypełnij nazwaną rootfspartycję pseudolosowymi danymi. Wykonanie tego zajmie nieco ponad pół godziny.

dd if=/dev/urandom of=/dev/vda3 bs=1M status=progress

W CentOS 7 cryptsetuppolecenia używają domyślnego szyfru aes-xts-plain64, domyślnego rozmiaru klucza 256 bitów i domyślnego skrótu SHA1. Zamiast tego partycja LUKS zostanie utworzona z bezpieczniejszym szyfrem Serpent, z kluczem o wielkości 512 bitów i skrótem Whirlpool.

cryptsetup luksFormat /dev/vda3 -c serpent-xts-plain64 -h whirlpool -s 512

Wprowadź odpowiedzi, gdy pojawi się monit z następującymi zapytaniami, a następnie naciśnij Enterklawisz:

• Jesteś pewny? (Wpisz wielkie litery tak):YES
• Wpisz hasło: strong-password
• Zweryfikuj hasło: strong-password

Opcjonalnie: Wykonaj kopię zapasową nagłówka partycji LUKS

Ostrzeżenie Umożliwi to logowanie i kopiowanie roota bez pytania o hasło. Zabij ten serwer SSH po odzyskaniu /tmp/luks-header-backup.imgpliku.

Aby zachować bezpieczeństwo, zapisz kopię nagłówka partycji LUKS. Zapewnia to, że jeśli nagłówek partycji LUKS zostanie w jakiś sposób uszkodzony, można go przywrócić. Jeśli nagłówek zostanie uszkodzony bez działającej kopii zapasowej, dane zostaną utracone na zawsze.

cryptsetup luksHeaderBackup /dev/vda3 --header-backup-file /tmp/luks-header-backup.img

Aby skopiować /tmp/luks-header-backup.imgplik z serwera, serwer SSH musi zostać tymczasowo uruchomiony przy użyciu bezpiecznego pliku wykonywalnego scpna hoście klienta, aby go odzyskać.

Wpisz następujące polecenie poniżej, aby wygenerować klucze hosta SSH.

sshd-keygen

Wpisz następujące polecenie poniżej, aby utworzyć /etc/ssh/sshd_configplik.

cp /etc/ssh/sshd_config.anaconda /etc/ssh/sshd_config

Wpisz następujące polecenie poniżej, aby edytować /etc/ssh/sshd_configplik.

vi /etc/ssh/sshd_config

Aby edytować plik, naciśnij Insertklawisz i użyj klawiszy strzałek, aby przejść do sekcji pliku, które wymagają edycji.

W pierwszym wierszu zmień liczbę Port 22z domyślnej 22na losową liczbę do wyboru między 1025i 65535. (Przykład: port 25782)

Przewiń w dół do linii trzynastej, naciśnij Endklawisz i naciśnij Enterklawisz.

W następnym wierszu dodaj HostKey /etc/ssh/ssh_host_ed25519_keyi naciśnij Enterklawisz.

W następnym wierszu dodaj HostKey /etc/ssh/ssh_host_rsa_keyi naciśnij Enterklawisz.

Naciśnij Escklawisz, wpisz :wqi naciśnij Enterklawisz, aby zapisać plik.

Domyślny interfejs sieciowy eth0wymaga adresu IP. Wpisz następujące polecenie poniżej, aby przypisać adres IP wymieniony dla Twojej instancji do eth0interfejsu sieciowego.

dhclient

Wpisz następujące polecenie, aby wyświetlić przypisany adres IP. Adres IP zostanie wymieniony natychmiast po nim ineti przed nim netmask. (Przykład: 192.0.2.1maska ​​sieci inet )

ifconfig eth0

Wpisz następujące polecenie, aby uruchomić serwer SSH.

/usr/sbin/sshd

Jeśli używasz scppolecenia z wiersza poleceń na komputerze klienckim, użyj następującego polecenia poniżej jako szablonu do pobrania /tmp/luks-header-backup.imgpliku. Zamień 25782na rzeczywisty numer portu przypisany w /etc/ssh/sshd_config. Zamień 192.0.2.1na faktycznie przypisany adres IP.

scp -P 25782 [email protected]:/tmp/luks-header-backup.img .

Po luks-header-backup.imgpobraniu pliku natychmiast zabij serwer SSH, wpisując poniższe polecenie w oknie konsoli noVNC.

killall sshd

Otwórz partycję LUKS, aby skonfigurować wolumin fizyczny LVM, który będzie w nim znajdował się.

cryptsetup luksOpen /dev/vda3 centos

Wprowadź hasło utworzone wcześniej, aby otworzyć partycję LUKS, gdy pojawi się monit, a następnie naciśnij Enterklawisz.

Wpisz hasło dla /dev/vda3:strong-password

Wpisz następujące polecenie poniżej:

ls /dev/mapper

Będzie ona zawierać następujące pliki o nazwie centos, control, live-basei live-rw. Jest centosto partycja LUKS.

Wpisz następujące polecenie poniżej, aby utworzyć wolumin fizyczny LVM.

pvcreate /dev/mapper/centos

Po pomyślnym zakończeniu otrzymasz następujący komunikat:

Physical volume "/dev/mapper/centos" successfully created

Wpisz następujące polecenie poniżej, aby utworzyć grupę woluminów LVM.

vgcreate ssd /dev/mapper/centos

Po pomyślnym zakończeniu otrzymasz następujący komunikat:

Volume group "ssd" successfully created

Wpisz następujące polecenie poniżej, aby utworzyć wolumin logiczny LVM dla partycji wymiany. Użyj oceny dźwięku, aby utworzyć partycję wymiany o niezbędnym rozmiarze (-L = rozmiar woluminu) na podstawie instancji VPS.

lvcreate -L 1G -n swap ssd

Po pomyślnym zakończeniu otrzymasz następujący komunikat:

Logical volume "swap" created

Wpisz następujące polecenie poniżej, aby utworzyć wolumin logiczny LVM dla partycji głównej. Spowoduje to wykorzystanie pozostałego wolnego miejsca przy jednoczesnym zarezerwowaniu pięciu procent (5%) do przechowywania migawek LVM woluminów logicznych, jeśli tak zdecydujesz.

lvcreate -l 95%FREE -n root ssd

Po pomyślnym zakończeniu otrzymasz następujący komunikat:

Logical volume "root" created

Wyświetl wolumin fizyczny LVM.

pvdisplay

Zobaczysz tekst w konsoli noVNC podobny do pokazanego na poniższym obrazku.

Wyświetl grupę woluminów LVM.

vgdisplay

Zobaczysz tekst w konsoli noVNC podobny do pokazanego na poniższym obrazku.

Wyświetl woluminy logiczne LVM.

lvdisplay

Zobaczysz tekst w konsoli noVNC podobny do pokazanego na poniższym obrazku.

Wpisz następujące polecenie poniżej, aby dezaktywować grupę woluminów LVM. Należy to zrobić, aby umożliwić cryptsetupzamknięcie partycji LUKS w następnym kroku.

vgchange -a n

Po pomyślnym zakończeniu otrzymasz następujący komunikat:

0 logical volume(s) in volume group "ssd" now active

Zamknij wolumin LUKS.

cryptsetup luksClose centos

Wpisz następujące polecenie poniżej:

ls /dev/mapper

Będzie ona zawierać następujące pliki o nazwach control, live-basei live-rw. centosPlik zawierający partycję LUKS, będzie brakowało, aby zapewnić, że została prawidłowo zamknięta.

Wpisz rebooti naciśnij Enterklawisz, aby uruchomić ponownie.

Krok 4: Uruchom instalator trybu GUI CentOS 7

Wybierz Install CentOS Linux 7opcję i naciśnij Enterklawisz.

VPS uruchomi się teraz w trybie GUI instalatora CentOS. Zobaczysz ekran w konsoli noVNC, jak na zdjęciu poniżej. Wybierz Install CentOS 7(1) i naciśnij Enterklawisz.

Na WELCOME TO CENTOS 7ekranie kliknij niebieski Continueprzycisk (1).

Uwaga Jeśli nie używasz domyślnego języka angielskiego i ustawień regionalnych Stanów Zjednoczonych, wpisz swój język w pasku wyszukiwania (1). Kliknij język (2) i odpowiednie ustawienia regionalne (3) z nim związane. Po zakończeniu kliknij niebieski Continueprzycisk (4).

Na INSTALLATION SUMMARYekranie kliknij INSTALLATION DESTINATION (Automatic partitioning selected)(1) pod SYSTEM.

Na INSTALLATION DESTINATIONekranie wybierz opcję I will configure partitioning(1) poniżej Other Storage Options (Partitioning)i kliknij niebieski Doneprzycisk (2) w lewym górnym rogu ekranu.

Na MANUAL PARTITIONINGekranie kliknij Unknownrozwijalny akordeon (1). Będzie ona ujawnić trzy partycje nazwane BIOS Boot (vda1), Unknown (vda2)i Encrypted (LUKS) (vda3).

Po BIOS Bootzaznaczeniu partycji kolorem niebieskim (1) zaznacz pole wyboru Reformat(2) obok File System:akordeonu i kliknij Update Settingsprzycisk (3).

Kliknij Unknownpartycję (1), aby była podświetlona na niebiesko. Zaznacz opcję pola wyboru Reformat(2) obok File System:akordeonu. Wybierz ext2w File System:akordeonie (3), wprowadź /bootw polu tekstowym (4) pod Mount Point:, wpisz bootw polu tekstowym (5) pod Label:i kliknij Update Settingsprzycisk (6).

Kliknij Encrypted (LUKS)partycję (1), aby była podświetlona na niebiesko. Wprowadź utworzony dla partycji LUKS w hasło Step 3: Setup LVM On LUKS Full Disk Encryptionw Passphrase:polu tekstowym (2), a następnie kliknij Unlockprzycisk (3).

Pojawi się nowy Unknownrozszerzalny akordeon (1). Ujawni dwie partycje o nazwach Unknown (ssd-root)i Unknown (ssd-swap).

Po Unknown (ssd-root)zaznaczeniu partycji (1) na niebiesko zaznacz opcję pola wyboru Reformat(2) obok File System:akordeonu. Wybierz xfsw File System:akordeonie (3), wprowadź /w polu tekstowym (4) pod Mount Point:, wprowadź rootw polu tekstowym (5) pod Label:i kliknij Update Settingsprzycisk (6).

Kliknij Unknown (ssd-swap)partycję (1), aby była podświetlona na niebiesko. Zaznacz opcję pola wyboru Reformat(2) obok File System:akordeonu. Wybierz swapw File System:akordeonie (3), wpisz swapw polu tekstowym (4) pod Label:i kliknij Update Settingsprzycisk (5).

Kliknij niebieski Doneprzycisk (1) w lewym górnym rogu ekranu.

Pojawi się okno o nazwie SUMMARY OF CHANGES. Kliknij Accept Changesprzycisk (1). Spowoduje to powrót do WELCOME TO CENTOS 7ekranu.

Kliknij NETWORK & HOST NAME (Not connected)(1) pod SYSTEM.

Na NETWORK & HOST NAMEekranie przesuń suwak (1) znajdujący się po prawej stronie Ethernet(eth0)pola od OFFpozycji do ONpozycji. Jeśli chcesz użyć niestandardowej nazwy hosta zamiast domyślnej (192.0.2.1.vultr.com) w polu Host name:tekstowym (2), zmień ją. Kliknij niebieski Doneprzycisk (3) w lewym górnym rogu ekranu. Spowoduje to powrót do WELCOME TO CENTOS 7ekranu.

Gdy jesteś zadowolony z opcji na WELCOME TO CENTOS 7ekranie, kliknij niebieski Begin Installationprzycisk (1).

Na CONFIGURATIONekranie kliknij ROOT PASSWORD (Root password is not set)(1) pod USER SETTINGS.

Na ROOT PASSWORDekranie wprowadź silne hasło w polach tekstowych Root Password:(1) i Confirm:(2). Kliknij niebieski Doneprzycisk (3) w lewym górnym rogu ekranu. Spowoduje to powrót do CONFIGURATIONekranu.

Na CONFIGURATIONekranie kliknij USER CREATION (No user will be created)(1) pod USER SETTINGS.

Na CREATE USERekranie wprowadź swoje pełne imię i nazwisko w polu Full nametekstowym (1), nazwę użytkownika w polu User nametekstowym (2), silne hasło w polach tekstowych Password(3) i Confirm password(4). Kliknij Advanced...przycisk (5).

Pojawi się okno o nazwie ADVANCED USER CONFIGURATION. W polu Add user to the following groups:tekstowym (1) poniżej Group Membershipwprowadź wheeli kliknij Save Changesprzycisk (2).

Kliknij niebieski Doneprzycisk (1) w lewym górnym rogu ekranu.

Rozpocznie się proces poinstalacyjny. Wykonanie zajmie kilka minut. Po zakończeniu kliknij niebieski Rebootprzycisk (1), aby ponownie uruchomić instancję VPS.

Wróć do ekranu zarządzania serwerem VULTR . Kliknij Settingslink u góry. Kliknij Custom ISOmenu po lewej stronie. Na Custom ISOstronie kliknij Remove ISOprzycisk, aby odmontować ISO i uruchomić ponownie w instancji CentOS 7 VPS. OKPo wyświetleniu monitu kliknij przycisk, a instancja VPS uruchomi się ponownie.

Wróć do View Consoleokna, aby uzyskać dostęp do instancji VPS za pośrednictwem konsoli noVNC. Odśwież okno, jeśli noVNC się rozłączył.

Zostaniesz poproszony o podanie hasła (przykład Please enter passphrase for disk primary (luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)!::) utworzonego dla partycji LUKS w Step 3: Setup LVM On LUKS Full Disk Encryption. Wprowadź hasło i naciśnij Enterklawisz.

Następnie zostanie wyświetlony monit o zalogowanie się do konsoli. Możesz teraz zamknąć okno konsoli noVNC.

Krok 5: Zaktualizuj system

Zaloguj się przez SSH ze zwykłym użytkownikiem i zaktualizuj system w następujący sposób.

sudo yum install epel-release -y
sudo yum clean all && sudo yum update -y

Krok 6: Zainstaluj Dracut-Crypt-SSH

Chociaż nadal jesteś zalogowany jako zwykły użytkownik, wpisz poniższe polecenia, aby zainstalować dracut-crypt-ssh.

sudo yum install wget -y
sudo wget -O /etc/yum.repos.d/rbu-dracut-crypt-ssh-epel-7.repo https://copr.fedorainfracloud.org/coprs/rbu/dracut-crypt-ssh/repo/epel-7/rbu-dracut-crypt-ssh-epel-7.repo
sudo yum install dracut-crypt-ssh -y

Wpisz następujące polecenie poniżej, aby zainstalować nanoedytor i ułatwić edycję plików.

sudo yum install nano -y

Będziesz musiał edytować domyślny plik grub znajdujący się w /etc/default/grub.

sudo nano /etc/default/grub

Wstaw rd.neednet=1 ip=dhcppomiędzy GRUB_CMDLINE_LINUX="crashkernel=autoi rd.luks.uuid=luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.

Zapisz plik, wprowadzając następujące kombinacje klawiszy. Naciśnij klawisze Ctrl+ x, naciśnij yklawisz i naciśnij Enterklawisz.

Ponownie wygeneruj plik konfiguracyjny GRUB, wpisując poniższe polecenie.

sudo grub2-mkconfig -o /etc/grub2.cfg 

Utwórz kopię zapasową oryginału /etc/dracut.conf.d/crypt-ssh.conf, wpisując następujące polecenie poniżej.

sudo mv /etc/dracut.conf.d/crypt-ssh.conf /etc/dracut.conf.d/crypt-ssh.conf.orig

Utwórz nowy /etc/dracut.conf.d/crypt-ssh.confplik, wpisując następujące polecenie poniżej.

sudo nano /etc/dracut.conf.d/crypt-ssh.conf

Skopiuj i wklej poniższy tekst do nanoedytora.

dropbear_acl="/etc/dropbear/keys/authorized_keys"
dropbear_ecdsa_key="/etc/dropbear/keys/ssh_ecdsa_key"
dropbear_rsa_key="/etc/dropbear/keys/ssh_rsa_key"

Tworzenie katalogów keysUnder /etc/dropbear/, z niezbędnymi uprawnieniami do katalogów, które będą trzymać authorized_keys, ssh_ecdsa_keyi ssh_rsa_keypliki.

sudo mkdir /etc/dropbear/keys/; sudo chmod /etc/dropbear/keys/

Wygeneruj pliki ssh_ecdsa_keyi ssh_rsa_keyza pomocą ssh_keygenprogramu, wpisując następujące polecenia poniżej. Naciśnij Enterdwukrotnie klawisz dla każdego polecenia, gdy pojawi się monit o podanie hasła.

sudo ssh-keygen -t ecdsa -f /etc/dropbear/keys/ssh_ecdsa_key
sudo ssh-keygen -t rsa -f /etc/dropbear/keys/ssh_rsa_key

Zmienić uprawnienia pliku na ssh_ecdsa_key, ssh_ecdsa_key.pub, ssh_rsa_keyi ssh_rsa_key.pubwpisując polecenie poniżej.

sudo chmod 400 /etc/dropbear/keys/*_key; sudo chmod 444 /etc/dropbear/keys/*.pub

Wygeneruj klucze publiczne, korzystając z How Do I Generate SSH Keys?samouczka, znajdującego się na początku samouczka pod Prerequisites, dla twojego systemu operacyjnego dla potencjalnego klienta.

Skopiuj i wklej cały tekst klucza publicznego do /etc/dropbear/keys/authorized_keyspliku za pomocą nanoprogramu, wpisując poniższe polecenie.

sudo nano /etc/dropbear/keys/authorized_keys

Najpierw musisz zbudować initramfs i każdą kolejną aktualizację konfiguracji dracut-crypt-ssh. Wpisz następujące polecenie poniżej dla początkowej kompilacji initramfs.

sudo dracut -f

Po zakończeniu instalacji CentOS 7 skonfigurowana jest do nasłuchiwania połączenia klienta SSH i umożliwienia odblokowania partycji LUKS za pomocą hasła. Możesz teraz ponownie uruchomić instancję CentOS 7, wpisując poniższe polecenie.

sudo reboot

W systemach klienckich, patrz sekcje 3.3. Unlocking the volumes interactivelyi 3.4. Unlocking using theodblokowania commandna stronie Dracut-Crypt-SSH GitHub albo życie Fraza hasła lub użyć wiersza unlockpolecenia, aby otworzyć partycję LUKS od klienta SSH.