SSH를 통해 LUKS를 잠금 해제하기 위해 부팅 프로세스 초기에 포트를 여는 방법

tag-icon tag-icon ssh networking luks
SSH를 통해 LUKS를 잠금 해제하기 위해 부팅 프로세스 초기에 포트를 여는 방법

Debian 7을 실행하는 완전히 암호화된 서버가 있고 SSH를 통해 LUKS 컨테이너를 잠금 해제하도록 dropbear 및 busybox를 설정했습니다(설명대로).이 튜토리얼에서는그리고이 U&L 답변).

불행하게도 재부팅 시 LAN을 통해 서버에 SSH를 시도할 때마다 "연결 거부됨" 오류가 발생합니다. telnet기본 포트(22)를 시도했지만 nmap둘 다 포트가 닫혀 있다고 말합니다.

서버에는 ufwLAN의 모든 트래픽을 허용하는 규칙이 있습니다.

Anywhere         ALLOW       192.168.1.0/24

dropbear가 수신 대기하는 포트를 변경하려고 시도했지만 /etc/defaults/dropbear여전히 ssh연결 telnet이 거부 되었습니다 .

LUKS 컨테이너 잠금을 해제하기 위해 연결할 수 있도록 부팅 프로세스의 이 단계에서 포트가 열려 있는지 어떻게 확인합니까?

방화벽을 비활성화해도 아무런 차이가 없습니다. nmap모든 포트가 여전히 닫혀 있는 것으로 표시됩니다.

2/14 업데이트됨

break=premount커널 라인에 추가 하고 initramfs에서 조사했습니다. dropbear시작되었지만 네트워크가 정상입니다.아니요그 시점에서. 종료 후 네트워크가 부팅되고 LUKS 장치 잠금 해제 메시지가 나타날 때까지 계속 부팅됩니다.

이때 네트워크는작동 중이면 호스트에 올바른 IP 주소가 할당되었지만 포트 22는 여전히 닫혀 있습니다.

/etc/initramfs-tools/intiramfs.conf내가 사용하는 IP 라인은 다음과 같습니다.

export IP=192.168.1.200::192.168.1.1:255.255.255.0::eth0:off

의 지침에 따라 /usr/share/doc/cryptsetup/README.remote.gz장치 옵션만 추가하려고 시도했지만 네트워크를 불러오고 dhcp 임대를 받기에는 충분하지 않았습니다.

2014년 10월 11일 업데이트됨

칼의 대답필요한 것은 설정입니다. 설정이 /etc/initramfs-tools/conf.d/cryptroot핵심입니다.

target=md1_crypt,source=UUID=8570d12k-ccha-4985-s09f-e43dhed9fa2a

이 가이드또한 보다 최신적이고 관련성이 높은(그리고 성공적인) 것으로 입증되었습니다.

답변1

나는 몇 주 전에(Debian Wheezy 7.6) 동일한 문제를 겪었고 며칠 동안 문제를 해결한 후에 구성 파일이 누락되어 init-top의 cryptroot 스크립트가 올바르게 실행되지 않는 것을 발견했습니다. SSH 비밀번호를 통한 요청을 중단하지 말고 시퀀스 끝(init-bottom)에서 dropbear를 종료하십시오.

구성 파일이 호출 cryptroot되고 다음 위치에 있어야 합니다. /etc/initramfs-tools/conf.d/ 기억이 정확하다면 구성 파일은 설치 중에 자동으로 생성되어야 하지만(구성 파일에 대해 설명하는 튜토리얼을 하나만 읽었습니다) 어떻게든 그렇지 않습니다(실제 환경에서 수행). 서버 및 테스트됨) 가상 머신, 동일한 운영 체제 및 버전)

당시에는 올바른 구문을 찾을 수 없었기 때문에 올바르게 구성하는 데 여러 번 시도해야 했습니다. 내 cryptroot 구성 파일은 다음과 같습니다.

target=crypt-root,source=/dev/vg0/root,lvm=root

구성 파일을 생성한 후 initramfs를 업데이트하고 다시 시도하세요.

update-initramfs -u

답변2

dropbear(ssh 서버)는 부팅 단계 초기에 시작해야 합니다. init(rcN.d) 시퀀스 및 방화벽 초기화 스크립트가 설치되기 전이라도 /가 설치되기 전입니다(암호화되어 있죠?). 따라서 여기에는 initramfs커널용 부트로더가 로드한 사전/사용자 영역이 포함됩니다. 이미지는 dropbear 구성에 포함된 update-initramfs -u콘텐츠에서 (재)생성 되었습니다 . dropbear 구성을 사용하려면 이 구성을 사용하세요./etc/initramfs-tools//etc/initramfs-tools/etc/dropbear/

따라서 확인해야 할 몇 가지 사항이 있습니다.

  • dropbear가 시작되지 않았습니다. initramfs 시퀀스에 제대로 삽입되지 않았습니다.
  • 기본 방화벽은 모두 거부합니다.

답변3

제목이 잘못되었습니다. 문제는 포트가 닫혀 있는 것이 아니라 포트가 바인딩되어 있지 않다는 것입니다. SSHd가 아직 시작되지 않았기 때문에 연결할 수 없습니다.

관련 정보