SSH를 통해 LUKS를 잠금 해제하기 위해 부팅 프로세스 초기에 포트를 여는 방법

SSH를 통해 LUKS를 잠금 해제하기 위해 부팅 프로세스 초기에 포트를 여는 방법

Debian 7을 실행하는 완전히 암호화된 서버가 있고 SSH를 통해 LUKS 컨테이너를 잠금 해제하도록 dropbear 및 busybox를 설정했습니다(설명대로).이 튜토리얼에서는그리고이 U&L 답변).

불행하게도 재부팅 시 LAN을 통해 서버에 SSH를 시도할 때마다 "연결 거부됨" 오류가 발생합니다. telnet기본 포트(22)를 시도했지만 nmap둘 다 포트가 닫혀 있다고 말합니다.

서버에는 ufwLAN의 모든 트래픽을 허용하는 규칙이 있습니다.

Anywhere         ALLOW       192.168.1.0/24

dropbear가 수신 대기하는 포트를 변경하려고 시도했지만 /etc/defaults/dropbear여전히 ssh연결 telnet이 거부 되었습니다 .

LUKS 컨테이너 잠금을 해제하기 위해 연결할 수 있도록 부팅 프로세스의 이 단계에서 포트가 열려 있는지 어떻게 확인합니까?

방화벽을 비활성화해도 아무런 차이가 없습니다. nmap모든 포트가 여전히 닫혀 있는 것으로 표시됩니다.

2/14 업데이트됨

break=premount커널 라인에 추가 하고 initramfs에서 조사했습니다. dropbear시작되었지만 네트워크가 정상입니다.아니요그 시점에서. 종료 후 네트워크가 부팅되고 LUKS 장치 잠금 해제 메시지가 나타날 때까지 계속 부팅됩니다.

이때 네트워크는작동 중이면 호스트에 올바른 IP 주소가 할당되었지만 포트 22는 여전히 닫혀 있습니다.

/etc/initramfs-tools/intiramfs.conf내가 사용하는 IP 라인은 다음과 같습니다.

export IP=192.168.1.200::192.168.1.1:255.255.255.0::eth0:off

의 지침에 따라 /usr/share/doc/cryptsetup/README.remote.gz장치 옵션만 추가하려고 시도했지만 네트워크를 불러오고 dhcp 임대를 받기에는 충분하지 않았습니다.

2014년 10월 11일 업데이트됨

칼의 대답필요한 것은 설정입니다. 설정이 /etc/initramfs-tools/conf.d/cryptroot핵심입니다.

target=md1_crypt,source=UUID=8570d12k-ccha-4985-s09f-e43dhed9fa2a

이 가이드또한 보다 최신적이고 관련성이 높은(그리고 성공적인) 것으로 입증되었습니다.

답변1

나는 몇 주 전에(Debian Wheezy 7.6) 동일한 문제를 겪었고 며칠 동안 문제를 해결한 후에 구성 파일이 누락되어 init-top의 cryptroot 스크립트가 올바르게 실행되지 않는 것을 발견했습니다. SSH 비밀번호를 통한 요청을 중단하지 말고 시퀀스 끝(init-bottom)에서 dropbear를 종료하십시오.

구성 파일이 호출 cryptroot되고 다음 위치에 있어야 합니다. /etc/initramfs-tools/conf.d/ 기억이 정확하다면 구성 파일은 설치 중에 자동으로 생성되어야 하지만(구성 파일에 대해 설명하는 튜토리얼을 하나만 읽었습니다) 어떻게든 그렇지 않습니다(실제 환경에서 수행). 서버 및 테스트됨) 가상 머신, 동일한 운영 체제 및 버전)

당시에는 올바른 구문을 찾을 수 없었기 때문에 올바르게 구성하는 데 여러 번 시도해야 했습니다. 내 cryptroot 구성 파일은 다음과 같습니다.

target=crypt-root,source=/dev/vg0/root,lvm=root

구성 파일을 생성한 후 initramfs를 업데이트하고 다시 시도하세요.

update-initramfs -u

답변2

dropbear(ssh 서버)는 부팅 단계 초기에 시작해야 합니다. init(rcN.d) 시퀀스 및 방화벽 초기화 스크립트가 설치되기 전이라도 /가 설치되기 전입니다(암호화되어 있죠?). 따라서 여기에는 initramfs커널용 부트로더가 로드한 사전/사용자 영역이 포함됩니다. 이미지는 dropbear 구성에 포함된 update-initramfs -u콘텐츠에서 (재)생성 되었습니다 . dropbear 구성을 사용하려면 이 구성을 사용하세요./etc/initramfs-tools//etc/initramfs-tools/etc/dropbear/

따라서 확인해야 할 몇 가지 사항이 있습니다.

  • dropbear가 시작되지 않았습니다. initramfs 시퀀스에 제대로 삽입되지 않았습니다.
  • 기본 방화벽은 모두 거부합니다.

답변3

제목이 잘못되었습니다. 문제는 포트가 닫혀 있는 것이 아니라 포트가 바인딩되어 있지 않다는 것입니다. SSHd가 아직 시작되지 않았기 때문에 연결할 수 없습니다.

관련 정보