如何在开机时使用openSSH进行磁盘加密(OpenSSH与Dropbear)

Question

基本设置：

• 操作系统: CentOS 7 (64位)

• Grub 2

• 用ext4分开引导分区

• 两个磁盘分区上的luks加密(aes-xts-平原64:xts 512)，它们都需要在启动时被密码解锁。

• 解锁后，两个分区都安装在/ as raid1 btrfs文件系统上。

现在，我正在寻找一个干净的策略，以获得远程访问在启动时，以解锁两个分区。

在Raspberry Pi 2上，我已经使用了Dropbear来完成这个任务，而且我发现大多数线程似乎也很喜欢这个选项，用于更大的系统。即使在更大的系统上，也没有人关心所需的引导加载器资源。

问题：

根据我对CentOS 7 Grub2 (干净安装)的理解，默认情况下，已经有一个OpenSSH服务在运行。如果openSSH和做了同样的工作，为什么我需要安装dropbear呢？

难道我不能为grub配置openSSH并粘贴命令吗？

/lib/cryptsetup/askpass "passphrase：“> /lib/cryptsetup/passfifo

对openSSH不感兴趣？

Answer 1

那么，在引导过程中，下拉贝尔真的像远程访问的唯一选择吗？

我对用于在CentOS上构建initramfs映像的dracut做了一些额外的研究，它显示了需要与/etc/dracut.conf中的模块加载选项“ssh-client”相结合的选项“-斯什基”。

在我看来，似乎已经有一个ssh客户端在适当的位置，我不需要另外安装下拉熊。以前有人尝试过这个选项吗？有谁知道这方面的好教程吗？

Answer 2

来完成这个主题。这是我在CentOS上的下拉熊安装。

我使用了以下脚本和描述：https://github.com/dracut-crypt-ssh/dracut-crypt-ssh

按照安装方式2.1。

所有命令都是以root方式执行的。

1. 苏秀
2. 百胜更新
3. 百胜安装epel-发行版
4. 百胜安装vim
5. 百胜安装wget
6. wget -O -O https://copr.fedorainfracloud.org/coprs/rbu/dracut-crypt-ssh/repo/epel-7/rbu-dracut-crypt-ssh-epel-7.repo
7. 百胜公司安装dracut-crypt
8. vim /etc/default/grub ->更改行"GRUB_CMDLINE_LINUX“(通过在编辑器中按I)。文本可以更改) rd.luks.uuid=luks-e0e5a45d-9773-428f-b0b4-79e85395f1e7 rd.luks.uuid=luks-c4d735fb-ce26-43ec-b9fe-2c48acded15c旧行: GRUB_CMDLINE_LINUX="crashkernel=auto v控制台“=latarcyheb-sun16 vconsole.keymap=de rhgb line” New line: GRUB_CMDLINE_LINUX="crashkernel=auto rd.neednet=1 ip=dhcp #en0#.=latarcyrheb sun16 vconsole.keymap=de rhgb line“通过命令"ESC ->：wq保存更改”！“在编辑里。
9. 更改端口和引用authorized_keys (再次按I) a.取消端口行并将默认端口222更改为端口22: "# dropbear_port=“222”dropbear_port=“22” b. un注释authorized_keys行并将路径: "# dropbear_acl=/root/..ssh/authorized_key“”改为“dropbear_port=”22“dropbear_port=” b。
10. mkdir /keys
11. mkdir /键/下拉熊
12. vim / key /dropbear/authorized -> --在我的示例中添加了公钥 --我通过运行PuTTYgen生成了一个密钥对，并通过ssh将公钥复制到编辑器。
13. grub2-mkconfig -输出/etc/grub2.cfg
14. 拉库特-力
15. 重新启动
16. 使用程序"PuTTY".设置: a. ip地址:服务器IP address b.端口:22 c.连接->数据->自动登录用户名: root d. Connection->SSH->8月->用于身份验证的私钥文件->Dbel.ppk->点击打开按钮

应该表现出如下的东西：

使用用户名"root“。使用公钥"rsa- key -20160322“-sh-4.2#进行身份验证

1. console_peek (由于某种原因，在console_auth之前总是需要这个命令，以便获得成功的密码转发)。
2. console_auth ->密码:在加密设备的密码中键入->并按回车

解锁在我的情况下是没有用的，因为密码包含许多在引导时无法解锁的分区。