Установите и настройте CentOS 7 для удаленной разблокировки LVM на LUKS Disk Encryption с использованием SSH

• Предпосылки
• Шаг 1: Настройка среды
• Шаг 2: Запустите установщик текстового режима CentOS 7
• Шаг 3: Настройка LVM On LUKS Полное шифрование диска
• Шаг 4: Запустите установщик режима CentOS 7 с графическим интерфейсом
• Шаг 5: Обновите систему
• Шаг 6: Установите Dracut-Crypt-SSH

LUKS (Linux Unified Key Setup) - это один из различных форматов шифрования диска, доступных для Linux, который не зависит от платформы. Это руководство предоставит вам корневые и разделы подкачки внутри тома LVM (Linux Volume Manager), содержащегося внутри зашифрованного раздела LUKS. Это руководство также позволяет удаленно разблокировать раздел LUKS с помощью упрощенного демона сервера SSH с помощью любой совместимой клиентской программы SSH.

Предпосылки

• Экземпляр минимального ISO-сервера CentOS 7 x64.
• Судо пользователь.
• Открытый ключ (ы) SSH .
• Dracut-Crypt-SSH .

Шаг 1: Настройка среды

На странице « Развертывание серверов» выполните следующие действия.

• Выберите местоположение вашего сервера в Server Locationразделе.
• Выберите CentOS7на ISO Libraryвкладке Server Typeраздела.
• Выберите необходимые аппаратные характеристики в Server Sizeразделе.
• Нажмите на Deploy Nowкнопку.

Используйте View Consoleопцию для доступа к экземпляру VPS через консоль noVNC.

Шаг 2: Запустите установщик текстового режима CentOS 7

Выберите Install CentOS Linux 7опцию.

Нажмите Tabклавишу.

Введите textпосле vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quietтак, чтобы это выглядело так vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quiet textи нажмите Enterклавишу.

VPS теперь загрузится в установщик CentOS в текстовом режиме. Вы увидите экран в консоли noVNC, как показано на рисунке ниже.

Шаг 3: Настройка LVM On LUKS Полное шифрование диска

Используйте Alt + Right Arrow Keyкомбинацию для перехода к консоли TTY2 для ввода команд в командной строке.

Введите следующие команды ниже, чтобы создать раздел, содержащий загрузчик GRUB2, незашифрованный /bootраздел и основной раздел, который будет содержать раздел LUKS.

parted -a opt -s /dev/vda mklabel gpt
parted -s /dev/vda unit mb
parted -s /dev/vda mkpart primary 1 3
parted -s /dev/vda name 1 grub
parted -s /dev/vda set 1 bios_grub on
parted -s /dev/vda mkpart primary 3 259
parted -s /dev/vda name 2 boot
parted -s /dev/vda mkpart primary 259 100%
parted -s /dev/vda name 3 root

Введите следующую команду, чтобы отобразить макет раздела.

parted -s /dev/vda print

Затем заполните указанный rootfsраздел псевдослучайными данными. Это займет чуть более получаса.

dd if=/dev/urandom of=/dev/vda3 bs=1M status=progress

В CentOS 7 cryptsetupкоманды используют шифр по aes-xts-plain64умолчанию, размер ключа по умолчанию 256 бит и хэш по умолчанию SHA1. Вместо этого будет создан раздел LUKS с более безопасным шифром Serpent с размером ключа 512 бит и хешем Whirlpool.

cryptsetup luksFormat /dev/vda3 -c serpent-xts-plain64 -h whirlpool -s 512

Введите ответы при появлении следующих запросов, затем нажмите Enterклавишу:

• Вы уверены? (Введите в верхнем регистре да):YES
• Введите кодовую фразу: strong-password
• Проверьте пароль: strong-password

Дополнительно: резервное копирование заголовка раздела LUKS

Предупреждение Это позволит войти в систему и копировать без запроса пароля. Убейте этот SSH-сервер после того, как вы получите /tmp/luks-header-backup.imgфайл.

Для сохранности сохраните копию заголовка раздела LUKS. Это гарантирует, что если заголовок вашего раздела LUKS каким-либо образом поврежден, его можно восстановить. Если заголовок поврежден без рабочей резервной копии, ваши данные будут потеряны навсегда.

cryptsetup luksHeaderBackup /dev/vda3 --header-backup-file /tmp/luks-header-backup.img

Чтобы скопировать /tmp/luks-header-backup.imgфайл с сервера, необходимо временно запустить сервер SSH, используя для его получения исполняемый файл защищенной копии scpна клиентском хосте.

Введите следующую команду ниже для генерации ключей хоста SSH.

sshd-keygen

Введите следующую команду ниже, чтобы создать /etc/ssh/sshd_configфайл.

cp /etc/ssh/sshd_config.anaconda /etc/ssh/sshd_config

Введите следующую команду ниже, чтобы отредактировать /etc/ssh/sshd_configфайл.

vi /etc/ssh/sshd_config

Чтобы отредактировать файл, нажмите Insertклавишу и используйте клавиши со стрелками для перехода к разделам файла, которые необходимо отредактировать.

В первой строке измените число Port 22со значения по умолчанию 22на случайное число по вашему выбору между 1025и 65535. (Пример: порт 25782)

Прокрутите вниз до строки номер тринадцать, нажмите Endклавишу и нажмите Enterклавишу.

На следующей строке добавьте HostKey /etc/ssh/ssh_host_ed25519_keyи нажмите Enterклавишу.

На следующей строке добавьте HostKey /etc/ssh/ssh_host_rsa_keyи нажмите Enterклавишу.

Нажмите Escклавишу, введите :wqи нажмите Enterклавишу, чтобы сохранить файл.

Сетевой интерфейс по умолчанию eth0требует IP-адрес. Введите следующую команду ниже, чтобы назначить IP-адрес, указанный для вашего экземпляра, для eth0сетевого интерфейса.

dhclient

Введите следующую команду, чтобы отобразить назначенный IP-адрес. IP-адрес будет указан сразу после inetи до netmask. (Пример: 192.0.2.1сетевая маска inet )

ifconfig eth0

Введите следующую команду, чтобы запустить сервер SSH.

/usr/sbin/sshd

Если вы используете scpкоманду из командной строки на клиентском компьютере, используйте следующую команду ниже в качестве шаблона для получения /tmp/luks-header-backup.imgфайла. Замените 25782фактическим номером порта, назначенным в /etc/ssh/sshd_config. Замените 192.0.2.1фактическим назначенным IP-адресом.

scp -P 25782 [email protected]:/tmp/luks-header-backup.img .

После получения luks-header-backup.imgфайла немедленно убейте сервер SSH, введя команду ниже в окне консоли noVNC.

killall sshd

Откройте раздел LUKS, чтобы настроить физический том LVM, который будет находиться внутри.

cryptsetup luksOpen /dev/vda3 centos

Введите пароль, созданный ранее, чтобы открыть раздел LUKS при появлении соответствующего запроса, затем нажмите Enterклавишу.

Введите пароль для /dev/vda3:strong-password

Введите следующую команду ниже:

ls /dev/mapper

Он будет содержать следующие файлы с именем centos, control, live-baseи live-rw. Это centosраздел LUKS.

Введите следующую команду ниже, чтобы создать физический том LVM.

pvcreate /dev/mapper/centos

В случае успеха вы получите следующее сообщение:

Physical volume "/dev/mapper/centos" successfully created

Введите следующую команду ниже, чтобы создать группу томов LVM.

vgcreate ssd /dev/mapper/centos

В случае успеха вы получите следующее сообщение:

Volume group "ssd" successfully created

Введите следующую команду ниже, чтобы создать логический том LVM для раздела подкачки. Используйте здравый смысл для создания раздела подкачки необходимого размера (-L = размер тома) на основе вашего экземпляра VPS.

lvcreate -L 1G -n swap ssd

В случае успеха вы получите следующее сообщение:

Logical volume "swap" created

Введите следующую команду ниже, чтобы создать логический том LVM для корневого раздела. При этом будет использоваться оставшееся свободное пространство при резервировании пяти процентов (5%) для хранения снимков LVM ваших логических томов, если вы того пожелаете.

lvcreate -l 95%FREE -n root ssd

В случае успеха вы получите следующее сообщение:

Logical volume "root" created

Показать физический том LVM.

pvdisplay

Вы увидите текст в консоли noVNC, подобный изображенному на рисунке ниже.

Показать группу томов LVM.

vgdisplay

Вы увидите текст в консоли noVNC, подобный изображенному на рисунке ниже.

Отобразите логические тома LVM.

lvdisplay

Вы увидите текст в консоли noVNC, подобный изображенному на рисунке ниже.

Введите следующую команду ниже, чтобы отключить группу томов LVM. Это необходимо выполнить, чтобы cryptsetupна следующем шаге можно было закрыть раздел LUKS.

vgchange -a n

В случае успеха вы получите следующее сообщение:

0 logical volume(s) in volume group "ssd" now active

Закройте том LUKS.

cryptsetup luksClose centos

Введите следующую команду ниже:

ls /dev/mapper

Он будет содержать следующие файлы с именами control, live-baseи live-rw. centosФайл, содержащий раздел LUKS, будет отсутствовать , чтобы обеспечить , что она была закрыта.

Введите rebootи нажмите Enterклавишу для перезагрузки.

Шаг 4: Запустите установщик режима CentOS 7 с графическим интерфейсом

Выберите Install CentOS Linux 7опцию и нажмите Enterклавишу.

VPS теперь загрузится в установщик CentOS с графическим интерфейсом. Вы увидите экран в консоли noVNC, как пока��ано на рисунке ниже. Выберите Install CentOS 7(1) и нажмите Enterклавишу.

На WELCOME TO CENTOS 7экране нажмите синюю Continueкнопку (1).

Внимание Если вы не используете английский язык по умолчанию и язык США, введите свой язык в строку поиска (1). Нажмите на язык (2) и соответствующий язык (3), связанный с ним. Когда все будет выполнено, нажмите синюю Continueкнопку (4).

На INSTALLATION SUMMARYэкране нажмите INSTALLATION DESTINATION (Automatic partitioning selected)(1) под SYSTEM.

На INSTALLATION DESTINATIONэкране выберите опцию I will configure partitioning(1) под Other Storage Options (Partitioning)и нажмите синюю Doneкнопку (2) в левом верхнем углу экрана.

На MANUAL PARTITIONINGэкране нажмите на Unknownраскладную гармошку (1). Это покажет три раздела с именами BIOS Boot (vda1), Unknown (vda2)и Encrypted (LUKS) (vda3).

Когда BIOS Bootраздел выделен синим цветом (1), установите флажок Reformat(2) рядом с File System:аккордеоном и нажмите Update Settingsкнопку (3).

Нажмите на Unknownраздел (1), чтобы он был выделен синим цветом. Установите флажок Reformat(2) рядом с File System:аккордеоном. Выберите ext2в File System:аккордеоне (3), введите /bootв текстовое поле (4) внизу Mount Point:, введите bootв текстовое поле (5) внизу Label:и нажмите Update Settingsкнопку (6).

Нажмите на Encrypted (LUKS)раздел (1), чтобы он был выделен синим цветом. Введите пароль, созданный для LUKS раздела в Step 3: Setup LVM On LUKS Full Disk Encryptionв Passphrase:текстовом поле (2) и нажмите на Unlockкнопку (3).

UnknownПоявится новый расширяемый аккордеон (1). Он покажет два раздела с именами Unknown (ssd-root)и Unknown (ssd-swap).

Когда Unknown (ssd-root)раздел (1) выделен синим цветом, установите флажок Reformat(2) рядом с File System:аккордеоном. Выберите xfsв File System:аккордеоне (3), введите /в текстовое поле (4) внизу Mount Point:, введите rootв текстовое поле (5) внизу Label:и нажмите Update Settingsкнопку (6).

Нажмите на Unknown (ssd-swap)(1) раздел, чтобы он был выделен синим цветом. Установите флажок Reformat(2) рядом с File System:аккордеоном. Выберите swapв File System:аккордеоне (3), введите swapв текстовое поле (4) под Label:и нажмите Update Settingsкнопку (5).

Нажмите синюю Doneкнопку (1) в левом верхнем углу экрана.

SUMMARY OF CHANGESПоявится окно с именем . Нажмите Accept Changesкнопку (1). Это вернет вас к WELCOME TO CENTOS 7экрану.

Нажмите NETWORK & HOST NAME (Not connected)(1) под SYSTEM.

На NETWORK & HOST NAMEэкране переместите ползунок (1) рядом с правым Ethernet(eth0)полем из OFFположения в ONположение. Если вы хотите использовать собственное имя хоста вместо имени по умолчанию (192.0.2.1.vultr.com) в Host name:текстовом поле (2), измените его. Нажмите синюю Doneкнопку (3) в левом верхнем углу экрана. Это вернет вас к WELCOME TO CENTOS 7экрану.

Когда вы будете удовлетворены параметрами на WELCOME TO CENTOS 7экране, нажмите синюю Begin Installationкнопку (1).

На CONFIGURATIONэкране нажмите ROOT PASSWORD (Root password is not set)(1) под USER SETTINGS.

На ROOT PASSWORDэкране введите надежный пароль в текстовые поля Root Password:(1) и Confirm:(2). Нажмите синюю Doneкнопку (3) в левом верхнем углу экрана. Это вернет вас к CONFIGURATIONэкрану.

На CONFIGURATIONэкране нажмите USER CREATION (No user will be created)(1) под USER SETTINGS.

На CREATE USERэкране введите свое полное имя в Full nameтекстовом поле (1), имя пользователя в User nameтекстовом поле (2), надежный пароль в обоих Password(3) и Confirm password(4) текстовых полях. Нажмите на Advanced...кнопку (5).

ADVANCED USER CONFIGURATIONПоявится окно с именем . В Add user to the following groups:текстовом поле (1) под Group Membership, введите wheelи нажмите Save Changesкнопку (2).

Нажмите синюю Doneкнопку (1) в левом верхнем углу экрана.

Процесс после установки начнется. Это займет несколько минут. По завершении нажмите синюю Rebootкнопку (1), чтобы перезагрузить экземпляр VPS.

Вернитесь к экрану управления сервером VULTR . Нажмите на Settingsссылку вверху. Нажмите на Custom ISOменю слева. На Custom ISOстранице нажмите на Remove ISOкнопку, чтобы размонтировать ISO и перезагрузиться в экземпляр CentOS 7 VPS. Нажмите OKкнопку при появлении запроса, и экземпляр VPS перезагрузится.

Вернитесь к View Consoleокну, чтобы получить доступ к экземпляру VPS через консоль noVNC. Обновите окно, если noVNC отключился.

Вам будет предложено ввести кодовую фразу (Пример Please enter passphrase for disk primary (luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)!::), которую вы создали для раздела LUKS Step 3: Setup LVM On LUKS Full Disk Encryption. Введите кодовую фразу и нажмите Enterклавишу.

Затем вам будет предложено ввести приглашение для входа в консоль. Теперь вы можете закрыть окно консоли noVNC.

Шаг 5: Обновите систему

Войдите через SSH с обычным пользователем и обновите систему следующим образом.

sudo yum install epel-release -y
sudo yum clean all && sudo yum update -y

Шаг 6: Установите Dracut-Crypt-SSH

Пока вы вошли в систему как обычный пользователь, введите следующие команды для установки dracut-crypt-ssh.

sudo yum install wget -y
sudo wget -O /etc/yum.repos.d/rbu-dracut-crypt-ssh-epel-7.repo https://copr.fedorainfracloud.org/coprs/rbu/dracut-crypt-ssh/repo/epel-7/rbu-dracut-crypt-ssh-epel-7.repo
sudo yum install dracut-crypt-ssh -y

Введите следующую команду ниже, чтобы установить nanoредактор, чтобы облегчить редактирование файлов.

sudo yum install nano -y

Вам нужно будет отредактировать файл grub по умолчанию, расположенный в /etc/default/grub.

sudo nano /etc/default/grub

Вставить rd.neednet=1 ip=dhcpмежду GRUB_CMDLINE_LINUX="crashkernel=autoи rd.luks.uuid=luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.

Сохраните файл, введя следующие комбинации клавиш. Нажмите клавиши Ctrl+ x, нажмите yклавишу и нажмите Enterклавишу.

Восстановите файл конфигурации GRUB, введя команду ниже.

sudo grub2-mkconfig -o /etc/grub2.cfg 

Сделайте резервную копию оригинала /etc/dracut.conf.d/crypt-ssh.conf, введя следующую команду ниже.

sudo mv /etc/dracut.conf.d/crypt-ssh.conf /etc/dracut.conf.d/crypt-ssh.conf.orig

Создайте новый /etc/dracut.conf.d/crypt-ssh.confфайл, введя следующую команду ниже.

sudo nano /etc/dracut.conf.d/crypt-ssh.conf

Скопируйте и вставьте следующий текст ниже в nanoредактор.

dropbear_acl="/etc/dropbear/keys/authorized_keys"
dropbear_ecdsa_key="/etc/dropbear/keys/ssh_ecdsa_key"
dropbear_rsa_key="/etc/dropbear/keys/ssh_rsa_key"

Создайте каталог keysUnder /etc/dropbear/, с необходимыми разрешениями каталога, который будет содержать authorized_keys, ssh_ecdsa_keyи ssh_rsa_keyфайлы.

sudo mkdir /etc/dropbear/keys/; sudo chmod /etc/dropbear/keys/

Генерировать ssh_ecdsa_keyи ssh_rsa_keyфайлы с ssh_keygenпрограммой, введя следующие команды ниже. Нажмите Enterклавишу дважды, для каждой команды, когда будет предложено ввести парольные фразы.

sudo ssh-keygen -t ecdsa -f /etc/dropbear/keys/ssh_ecdsa_key
sudo ssh-keygen -t rsa -f /etc/dropbear/keys/ssh_rsa_key

Изменение прав доступа к файлам на ssh_ecdsa_key, ssh_ecdsa_key.pub, ssh_rsa_keyи ssh_rsa_key.pub, набрав команду ниже.

sudo chmod 400 /etc/dropbear/keys/*_key; sudo chmod 444 /etc/dropbear/keys/*.pub

Создайте открытые ключи, используя How Do I Generate SSH Keys?учебник, который находится в начале учебника под Prerequisitesвашей предполагаемой клиентской операционной системой.

Скопируйте и вставьте весь текст открытого ключа в /etc/dropbear/keys/authorized_keysфайл с помощью nanoпрограммы, введя команду ниже.

sudo nano /etc/dropbear/keys/authorized_keys

Сначала вы должны собрать initramfs и любое последующее обновление конфигурации dracut-crypt-ssh. Введите следующую команду ниже для начальной сборки initramfs.

sudo dracut -f

После этого установка CentOS 7 будет настроена так, чтобы прослушивать подключение вашего SSH-клиента и разблокировать раздел LUKS с помощью ключевой фразы. Теперь вы можете перезагрузить свой экземпляр CentOS 7, введя команду ниже.

sudo reboot

На клиентских системах, обратитесь к разделам 3.3. Unlocking the volumes interactivelyи 3.4. Unlocking using theразблокировке commandна странице Dracut-Crypt-SSH GitHub либо силу ввести парольную фразу или использовать unlockкоманду , чтобы открыть раздел LUKS от вашего клиента SSH.