SSH Kullanarak LUKS Disk Şifrelemesinde LVMnin Uzaktan Kilidini Açmak için CentOS 7yi Yükleme ve Kurulum

• Ön şartlar
• Adım 1: Ortam Kurulumu
• Adım 2: CentOS 7 Metin Modu Yükleyicisini Başlatma
• Adım 3: LUKS Tam Disk Şifrelemesinde LVM'yi Kurma
• Adım 4: CentOS 7 GUI Modu Yükleyicisini Başlatma
• Adım 5: Sistemi Güncelleyin
• Adım 6: Dracut-Crypt-SSH'yi yükleyin

LUKS (Linux Unified Key Setup), platform agnostik olan Linux için mevcut çeşitli disk şifreleme biçimlerinden biridir. Bu eğitici, şifreli bir LUKS bölümünün içinde bulunan bir LVM (Linux Birim Yöneticisi) biriminin içindeki kök ve takas bölümlerini sağlayacaktır. Bu eğitici ayrıca, herhangi bir uyumlu SSH istemci programını kullanarak basitleştirilmiş bir SSH sunucu arka plan programı kullanarak LUKS bölümünün kilidini uzaktan açmanıza izin verir.

Ön şartlar

• CentOS 7 x64 Minimum ISO Kütüphanesi sunucusu örneği.
• Bir sudo kullanıcısı.
• SSH genel anahtarları .
• Dracut-Crypt-SSH .

Adım 1: Ortam Kurulumu

On dağıtma Sunucular sayfasında aşağıdakileri yapın:

• Bölümden sunucu konumunuzu seçin Server Location.
• Bölüm sekmesinin CentOS7altında seçim yapın .ISO LibraryServer Type
• Bölümden istediğiniz donanım özelliklerini seçin Server Size.
• Düğmesini Deploy Nowtıklayın.

View ConsoleVPS örneğine noVNC konsolu üzerinden erişmek için bu seçeneği kullanın .

Adım 2: CentOS 7 Metin Modu Yükleyicisini Başlatma

Seçeneği seçin Install CentOS Linux 7.

Tuşuna basın Tab.

textSonra vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quietgörünecek şekilde girin vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=CentOS\x207\x20\86_64 quiet textve tuşuna basın Enter.

VPS şimdi metin modu CentOS yükleyicisine önyükleme yapacak. NoVNC konsolunda aşağıdaki resimde gösterildiği gibi bir ekran göreceksiniz.

Adım 3: LUKS Tam Disk Şifrelemesinde LVM'yi Kurma

Alt + Right Arrow KeyKomut satırına komut yazmak üzere TTY2 konsoluna gitmek için bu birleşimi kullanın .

GRUB2 önyükleme yükleyicisini, şifrelenmemiş bir /bootbölümü ve LUKS bölümünü tutacak bir birincil bölümü içeren bir bölüm oluşturmak için aşağıdaki komutları yazın .

parted -a opt -s /dev/vda mklabel gpt
parted -s /dev/vda unit mb
parted -s /dev/vda mkpart primary 1 3
parted -s /dev/vda name 1 grub
parted -s /dev/vda set 1 bios_grub on
parted -s /dev/vda mkpart primary 3 259
parted -s /dev/vda name 2 boot
parted -s /dev/vda mkpart primary 259 100%
parted -s /dev/vda name 3 root

Bölüm düzenini görüntülemek için aşağıdaki komutu yazın.

parted -s /dev/vda print

Ardından, adlandırılmış rootfsbölümü sahte rasgele verilerle doldurun . Bu işlemin tamamlanması yarım saatten biraz fazla zaman alacaktır.

dd if=/dev/urandom of=/dev/vda3 bs=1M status=progress

CentOS 7'de, cryptsetupkomutlar varsayılan şifreyi aes-xts-plain64, varsayılan anahtar boyutunu 256 bit ve varsayılan karma değerini SHA1 kullanır. Bunun yerine, LUKS bölümü daha güvenli Serpent şifresiyle, 512 bit anahtar boyutuyla ve Whirlpool karma ile oluşturulacak.

cryptsetup luksFormat /dev/vda3 -c serpent-xts-plain64 -h whirlpool -s 512

Aşağıdaki sorgular sorulduğunda cevapları girin ve ardından tuşuna basın Enter:

• Emin misiniz? (Büyük harfle evet yazın):YES
• Parolayı girin: strong-password
• Parolayı doğrulayın: strong-password

İsteğe bağlı: LUKS Bölüm Başlığını Yedekle

Uyarı Bu, şifre istemi olmadan root girişine ve kopyalamaya izin verecektir. /tmp/luks-header-backup.imgDosyayı aldıktan sonra bu SSH sunucusunu öldürün .

Koruma için LUKS bölüm başlığının bir kopyasını kaydedin. Bu, LUKS bölümünüzün başlığı bir şekilde hasar görürse, geri yüklenmesini sağlar. Üstbilgi çalışan bir yedekleme olmadan hasar görürse, verileriniz sonsuza kadar kaybolur.

cryptsetup luksHeaderBackup /dev/vda3 --header-backup-file /tmp/luks-header-backup.img

/tmp/luks-header-backup.imgDosyayı sunucudan kopyalamak için , bir SSH sunucusunun, scpistemci ana bilgisayardaki güvenli kopya yürütülebilir dosyasını kullanarak geçici olarak başlatılması gerekir .

SSH ana bilgisayar anahtarlarını oluşturmak için aşağıdaki komutu yazın.

sshd-keygen

/etc/ssh/sshd_configDosyayı oluşturmak için aşağıdaki komutu yazın.

cp /etc/ssh/sshd_config.anaconda /etc/ssh/sshd_config

/etc/ssh/sshd_configDosyayı düzenlemek için aşağıdaki komutu yazın.

vi /etc/ssh/sshd_config

Dosyayı düzenlemek için, tuşuna basın Insertve dosyanın düzenlenmesi gereken bölümlerine gitmek için ok tuşlarını kullanın.

Birinci hatta yılında sayıyı değiştirebilir Port 22ve varsayılan 22arasında seçtiğiniz rastgele bir sayı olarak 1025ve 65535. (Örnek: bağlantı noktası 25782)

On üç satır numarasına ilerleyin, tuşuna basın ve Endtuşuna basın Enter.

Bir sonraki satıra ekleyin HostKey /etc/ssh/ssh_host_ed25519_keyve tuşuna basın Enter.

Bir sonraki satıra ekleyin HostKey /etc/ssh/ssh_host_rsa_keyve tuşuna basın Enter.

Tuşuna basın , dosyayı kaydetmek için Escyazın :wqve tuşuna basın Enter.

Varsayılan ağ arabirimi için eth0bir IP adresi gerekir. Örneğiniz için listelenen IP adresini eth0ağ arabirimine atamak için aşağıdaki komutu yazın .

dhclient

Atanan IP adresini görüntülemek için aşağıdaki komutu yazın. IP adresi hemen sonra inetve önce listelenecektir netmask. (Örnek: inet 192.0.2.1netmask)

ifconfig eth0

SSH sunucusunu başlatmak için aşağıdaki komutu yazın.

/usr/sbin/sshd

Kullanılıyorsa scpbir istemci makinede bir komut satırından komut, almak için bir şablon olarak aşağıda aşağıdaki komutu kullanın /tmp/luks-header-backup.imgdosyayı. 'De 25782atanan gerçek port numarası ile değiştirin /etc/ssh/sshd_config. Değiştir 192.0.2.1gerçek atanan IP adresi ile.

scp -P 25782 [email protected]:/tmp/luks-header-backup.img .

luks-header-backup.imgDosyanın alınmasından sonra, noVNC konsol penceresine aşağıdaki komutu yazarak hemen SSH sunucusunu öldürün.

killall sshd

İçinde kalacak LVM fiziksel birimini ayarlamak için LUKS bölümünü açın.

cryptsetup luksOpen /dev/vda3 centos

İstendiğinde LUKS bölümünü açmak için daha önce oluşturulan şifreyi girin ve ardından tuşuna basın Enter.

Şunun için parola girin /dev/vda3:strong-password

Aşağıya aşağıdaki komutu yazın:

ls /dev/mapper

Bu adlandırılmış aşağıdaki dosyaları içerecektir centos, control, live-baseve live-rw. Bu centosLUKS bölümüdür.

LVM fiziksel birimini oluşturmak için aşağıdaki komutu yazın.

pvcreate /dev/mapper/centos

Başarılı olduğunda aşağıdaki mesajı alırsınız:

Physical volume "/dev/mapper/centos" successfully created

LVM birim grubunu oluşturmak için aşağıdaki komutu yazın.

vgcreate ssd /dev/mapper/centos

Başarılı olduğunda aşağıdaki mesajı alırsınız:

Volume group "ssd" successfully created

Takas bölümü için bir LVM mantıksal birimi oluşturmak için aşağıdaki komutu yazın. VPS örneğinize göre gerekli boyutta (-L = birimin boyutu) bir takas bölümü oluşturmak için sağlam yargı kullanın.

lvcreate -L 1G -n swap ssd

Başarılı olduğunda aşağıdaki mesajı alırsınız:

Logical volume "swap" created

Kök bölüm için bir LVM mantıksal birimi oluşturmak için aşağıdaki komutu yazın. Bu, kalan boş alanı kullanır ve seçerseniz mantıksal hacimlerinizin LVM anlık görüntülerini içermek için yüzde beş (% 5) ayırır.

lvcreate -l 95%FREE -n root ssd

Başarılı olduğunda aşağıdaki mesajı alırsınız:

Logical volume "root" created

LVM fiziksel hacmini görüntüleyin.

pvdisplay

NoVNC konsolunda aşağıdaki resimde gösterilene benzer bir metin göreceksiniz.

LVM hacim grubunu görüntüleyin.

vgdisplay

NoVNC konsolunda aşağıdaki resimde gösterilene benzer bir metin göreceksiniz.

LVM mantıksal hacimlerini göster.

lvdisplay

NoVNC konsolunda aşağıdaki resimde gösterilene benzer bir metin göreceksiniz.

LVM birim grubunu devre dışı bırakmak için aşağıdaki komutu yazın. cryptsetupBir sonraki adımda LUKS bölümünün kapatılabilmesi için bu işlemin tamamlanması gerekir .

vgchange -a n

Başarılı olduğunda aşağıdaki mesajı alırsınız:

0 logical volume(s) in volume group "ssd" now active

LUKS birimini kapatın.

cryptsetup luksClose centos

Aşağıya aşağıdaki komutu yazın:

ls /dev/mapper

Bu adlandırılmış aşağıdaki dosyaları içerecektir control, live-baseve live-rw. centosLUKS bölümü içeren dosya, düzgün kapatıldı sağlamak için eksik olacaktır.

Yazın rebootve basın Enteryeniden başlatma anahtarı.

Adım 4: CentOS 7 GUI Modu Yükleyicisini Başlatma

Seçin Install CentOS Linux 7seçeneğini ve basın Enteranahtarı.

VPS şimdi GUI modu CentOS yükleyicisine önyükleme yapacak. NoVNC konsolunda aşağıdaki resimde gösterildiği gibi bir ekran göreceksiniz. Install CentOS 7(1) 'i seçin ve tuşuna basın Enter.

Açık WELCOME TO CENTOS 7ekranında, mavi tıklayın Continuedüğmesini (1).

Dikkat Varsayılan İngilizce dilini ve ABD'nin yerel ayarını kullanmıyorsanız, arama çubuğuna (1) dilinizi girin. Dili (2) ve onunla ilişkili uygun yerel ayarı (3) tıklayın. Memnun kaldığınızda mavi Continuedüğmeyi (4) tıklayın.

Açık INSTALLATION SUMMARYekranında tıklayın INSTALLATION DESTINATION (Automatic partitioning selected)(1) altında SYSTEM.

Açık INSTALLATION DESTINATIONekranında seçmek I will configure partitioningaltında (1) seçeneğini Other Storage Options (Partitioning)ve mavi tıklayın Doneekranın sol üst kısmında düğmesini (2).

Açık MANUAL PARTITIONINGekranında tıklayın Unknowngenişletilebilir akordeon (1). Bu adlandırılmış üç bölümleri ortaya çıkaracaktır BIOS Boot (vda1), Unknown (vda2)ve Encrypted (LUKS) (vda3).

BIOS BootBölüm mavi ile vurgulanmış olarak (1), akordeonun Reformatyanındaki (2) onay kutusu seçeneğini işaretleyin File System:ve Update Settings(3) düğmesine tıklayın .

UnknownMavi renkle vurgulanması için (1) bölümünü tıklayın . Akordeonun Reformatyanındaki (2) onay kutusu seçeneğini işaretleyin File System:. Seç ext2içinde File System:girin akordeon (3) /bootaltında metin alanına (4) içinde Mount Point:, girmek bootaltında metin alanına (5) içinde Label:ve tıklama Update Settingsdüğmesi (6).

Encrypted (LUKS)Mavi renkle vurgulanması için (1) bölümünü tıklayın . İçinde LUKS bölüm oluşturulabilir parolayı girin Step 3: Setup LVM On LUKS Full Disk Encryptioniçinde Passphrase:metin alanına (2) ve tıklama Unlockbutonuna (3).

Yeni bir Unknowngenişletilebilir akordeon (1) görünecektir. Unknown (ssd-root)Ve adında iki bölüm ortaya çıkaracaktır Unknown (ssd-swap).

İle Unknown (ssd-root)bölme (1) mavi renkle vurgulu bir onay kutusu seçeneği seçmek Reformatyanındaki (2) File System:akordeon. Seç xfsiçinde File System:girin akordeon (3) /altında metin alanına (4) içinde Mount Point:, girmek rootaltında metin alanına (5) içinde Label:ve tıklama Update Settingsdüğmesi (6).

Unknown (ssd-swap)Mavi renkle vurgulanması için (1) bölümüne tıklayın . Akordeonun Reformatyanındaki (2) onay kutusu seçeneğini işaretleyin File System:. Seç swapiçinde File System:akordeon (3), girmek swapaltında metin alanına (4) içinde Label:ve tıklama Update Settingsdüğmesi (5).

Ekranın Donesol üstündeki mavi düğmeyi (1) tıklayın .

Adlı bir kutu SUMMARY OF CHANGESaçılacaktır. Accept Changes(1) düğmesine tıklayın . Bu sizi WELCOME TO CENTOS 7ekrana geri getirecektir .

NETWORK & HOST NAME (Not connected)Altındaki (1) işaretine tıklayın SYSTEM.

Açık NETWORK & HOST NAMEekranın yanındaki sağındaki kaydırma çubuğunu (1) hareket Ethernet(eth0)itibaren alana OFFpozisyonda ONpozisyona. Host name:Metin kutusunda (2) varsayılan (192.0.2.1.vultr.com) yerine özel bir ana bilgisayar adı kullanmak istiyorsanız , bunu değiştirin. Ekranın Donesol üstündeki mavi düğmeyi (3) tıklayın . Bu sizi WELCOME TO CENTOS 7ekrana geri getirecektir .

WELCOME TO CENTOS 7Ekrandaki seçeneklerden memnun kaldığınızda , mavi Begin Installationdüğmeyi (1) tıklayın.

Açık CONFIGURATIONekranında tıklayın ROOT PASSWORD (Root password is not set)(1) altında USER SETTINGS.

Açık ROOT PASSWORDekranında, güçlü hem de şifre girmek Root Password:(1) ve Confirm:(2) metin alanları. Ekranın Donesol üstündeki mavi düğmeyi (3) tıklayın . Bu sizi CONFIGURATIONekrana geri getirecektir .

Açık CONFIGURATIONekranında tıklayın USER CREATION (No user will be created)(1) altında USER SETTINGS.

Açık CREATE USERekranında, tam adınızı girin Full namemetin alanına (1), bir kullanıcı adı User namemetin alanına (2), hem de güçlü bir parola Password(3) ve Confirm password(4) metin alanları. Tıklayın Advanced...düğmesi (5).

Adlı bir kutu ADVANCED USER CONFIGURATIONaçılacaktır. Gelen Add user to the following groups:metin alanının (1) altında Group Membership, girmek wheelve tıklama Save Changesbutonuna (2).

Ekranın Donesol üstündeki mavi düğmeyi (1) tıklayın .

Kurulum sonrası süreç şimdi başlayacak. Tamamlanması birkaç dakika sürecektir. Tamamlandığında Reboot, VPS örneğinizi yeniden başlatmak için mavi düğmeyi (1) tıklayın.

VULTR Sunucu Yönetimi Ekranına geri dönün . SettingsÜstteki bağlantıyı tıklayın . Custom ISOSol taraftaki menüyü tıklayın . Açık Custom ISOsayfasında tıklayın Remove ISOsenin CentOS içine 7 VPS örneğini ISO ve yeniden kaldırmak için düğmeye. OKİstendiğinde düğmeyi tıklatın; VPS örneği yeniden başlatılır.

View ConsoleNoVNC konsolu aracılığıyla VPS örneğine erişmek için pencereye geri dönün . NoVNC bağlantısı kesilmişse pencereyi yenileyin.

Please enter passphrase for disk primary (luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)!:LUKS bölümü için oluşturduğunuz parolayı (Örnek :) girmeniz istenir Step 3: Setup LVM On LUKS Full Disk Encryption. Parolayı girin ve tuşuna basın Enter.

Daha sonra size konsol oturum açma istemi sunulur. Artık noVNC konsol penceresini kapatabilirsiniz.

Adım 5: Sistemi Güncelleyin

Normal bir kullanıcıyla SSH üzerinden oturum açın ve sistemi aşağıdaki gibi güncelleyin.

sudo yum install epel-release -y
sudo yum clean all && sudo yum update -y

Adım 6: Dracut-Crypt-SSH'yi yükleyin

Hala normal kullanıcı olarak oturumunuz açıkken, yüklemek için aşağıdaki komutları yazın dracut-crypt-ssh.

sudo yum install wget -y
sudo wget -O /etc/yum.repos.d/rbu-dracut-crypt-ssh-epel-7.repo https://copr.fedorainfracloud.org/coprs/rbu/dracut-crypt-ssh/repo/epel-7/rbu-dracut-crypt-ssh-epel-7.repo
sudo yum install dracut-crypt-ssh -y

nanoDosyaların düzenlenmesini kolaylaştırmak üzere düzenleyiciyi yüklemek için aşağıdaki komutu yazın .

sudo yum install nano -y

İçindeki varsayılan grub dosyasını düzenlemeniz gerekir /etc/default/grub.

sudo nano /etc/default/grub

Yerleştirin rd.neednet=1 ip=dhcparasında GRUB_CMDLINE_LINUX="crashkernel=autove rd.luks.uuid=luks-xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx.

Aşağıdaki klavye kombinasyonlarını girerek dosyayı kaydedin. Basın Ctrl+ xtuşlarına, basın yanahtar ve basın Entertuşuna basın.

Aşağıdaki komutu yazarak GRUB yapılandırma dosyanızı yeniden oluşturun.

sudo grub2-mkconfig -o /etc/grub2.cfg 

/etc/dracut.conf.d/crypt-ssh.confAşağıdaki komutu yazarak orijinali yedekleyin .

sudo mv /etc/dracut.conf.d/crypt-ssh.conf /etc/dracut.conf.d/crypt-ssh.conf.orig

/etc/dracut.conf.d/crypt-ssh.confAşağıdaki komutu yazarak yeni bir dosya oluşturun .

sudo nano /etc/dracut.conf.d/crypt-ssh.conf

Aşağıdaki metni kopyalayıp nanodüzenleyiciye yapıştırın .

dropbear_acl="/etc/dropbear/keys/authorized_keys"
dropbear_ecdsa_key="/etc/dropbear/keys/ssh_ecdsa_key"
dropbear_rsa_key="/etc/dropbear/keys/ssh_rsa_key"

Dizin Oluşturma keysaltından /etc/dropbear/, gerekli dizin izinlerine sahip, bu tutacaktır authorized_keys, ssh_ecdsa_keyve ssh_rsa_keydosyaları.

sudo mkdir /etc/dropbear/keys/; sudo chmod /etc/dropbear/keys/

Aşağıdaki komutları yazarak ssh_ecdsa_keyve ssh_rsa_keydosyalarını ssh_keygenprogramla oluşturun . Parola Entergirmeniz istendiğinde, her komut için tuşuna iki kez basın .

sudo ssh-keygen -t ecdsa -f /etc/dropbear/keys/ssh_ecdsa_key
sudo ssh-keygen -t rsa -f /etc/dropbear/keys/ssh_rsa_key

Üzerinde dosya izinlerini değiştirin ssh_ecdsa_key, ssh_ecdsa_key.pub, ssh_rsa_keyve ssh_rsa_key.pubaşağıda komutu yazarak.

sudo chmod 400 /etc/dropbear/keys/*_key; sudo chmod 444 /etc/dropbear/keys/*.pub

Potansiyel istemci işletim sisteminiz için How Do I Generate SSH Keys?öğreticinin başlangıcında bulunan öğreticiyi kullanarak ortak anahtarlar oluşturun Prerequisites.

Aşağıdaki komutu yazarak programı /etc/dropbear/keys/authorized_keyskullanarak ortak anahtardaki tüm metni kopyalayıp dosyaya yapıştırın nano.

sudo nano /etc/dropbear/keys/authorized_keys

İlk olarak initramfs ve dracut-crypt-ssh yapılandırmasının sonraki güncellemelerini oluşturmanız gerekir. İnitramfs'ın ilk derlemesi için aşağıdaki komutu yazın.

sudo dracut -f

Tamamlandığında, CentOS 7 yüklemeniz SSH istemcinizin bağlanmasını ve parolanızı kullanarak LUKS bölümünün kilidini açmanıza izin verecek şekilde ayarlanmıştır. Şimdi aşağıdaki komutu yazarak CentOS 7 örneğinizi yeniden başlatabilirsiniz.

sudo reboot

İstemci sistemlerinizde, bir parola istemini zorlamak için Dracut-Crypt-SSH GitHub sayfasının bölümlerine 3.3. Unlocking the volumes interactivelyve 3.4. Unlocking using thekilidini açın veya LUKS bölümünü SSH istemcinizden açmak için komutu kullanın.commandunlock