Vollverschlüsseltes System über SSH aufsetzen (Root Server ohne Physikalischen Zugriff)

[dmant]

Hallo,

ich habe schon mehrfach Root Server aufgesetzt. Auch die installation per debootstrap ist mir vertraut.

Nun stehe ich jedoch vor der Aufgabe ein Vollverschlüsseltes System via SSH aufzusetzen und nun kommt auch schon mein Problem.

"wie" kann ich den bootvorgang loggen?

Ich habe den Server bereits formatiert, verschlüsselt und installiert mit debootstrap. Ich kann ins system chrooten und programme installieren.

Nun ist es jedoch so, das / verschlüsselt ist und zum booten entschlüsselt werden muss. Dies wollte ich sodann mit Dropbear realisieren leider ohne Erfolg. Der Server pingt nach einem reboot nichtmals und muss wieder im Rescue-Modus gestartet werden.

Wie kann ich den bootvorgang loggen? So das ich sehe was da falsch läuft? /var/log liegt im wurzelverzeichniss was ja erst nach entschlüsseln gemountet wird. Log auf /boot kann ich nicht finden.

Ich habe die Festplatte /dev/sda in zwei Partitionen verteilt.

/dev/sda1 ist 500MB Groß, bootable und gemountet auf /boot

/dev/sda2 ist verschlüsselt und muss im bootvorgang freigegeben werden. Aber ohne logs keine Fehler ohne Fehler bin ich praktisch Blind da die Kiste im Rechenzentrum steht.

Kann mir ja jemand weiter helfen?

[schwedenmann]

Hallo

/dev/sda2 ist verschlüsselt und muss im bootvorgang freigegeben werden.

Wo willst du per remote + ssh die Passphrase eingeben ?

das geht meinens Wissens so nicht, aber ich lerne gerne dazu, schließlich kannst du per ssh auch bei einem Multibootsystem kein grub-menü auswählen um z.B. OS-2 zu starten.

mfg
schwedenmann

[jeff84]

Hallo

/dev/sda2 ist verschlüsselt und muss im bootvorgang freigegeben werden.

Wo willst du per remote + ssh die Passphrase eingeben ?

das geht meinens Wissens so nicht, aber ich lerne gerne dazu, schließlich kannst du per ssh auch bei einem Multibootsystem kein grub-menü auswählen um z.B. OS-2 zu starten.

mfg
schwedenmann

Doch klar, das ist möglich. In der initram-Disk muss dropbear als ssh-Daemon laufen und auf eine SSH-Session warten um die Platte zu entsperren. Hatte das bisher erst einmal unter Arch eingerichtet, da hat das problemlos funktioniert.

@dmant: Wie sieht denn deine Config für das initram und den dropbear aus?

[dmant]

Hi also ich hatte es zwei mal probiert. Zwei mal nie ein logging etc entdecken können, zwei mal neu installiert. Aber wenn dir die debian Grund Installation bekannt ist was die configs etc angeht dann "standart".

Ich hatte dann nur dropbear auf y und IP und device in die initfamfs.conf aufgenommen.

Ich will mich nun morgen nochmal ransetzen.

Ich stehe also morgen wieder in einem neuen verschlüsselten system

Also nach der Installation

"secure" ist hier die verschlüsselte Root Partition

Code: Alles auswählen

mkdir /target
mount /dev/mapper/secure /target
mkdir /target/boot
mount /dev/sda1 /target/boot

Installation starten

Code: Alles auswählen

debootstrap --arch amd64 jessie /target http://debian.mirrors.ovh.net/debian

Mounten und chrooten

Code: Alles auswählen

mount -o bind /dev /target/dev
mount -t proc proc /target/proc
mount -t sysfs sys /target/sys
chroot /target /bin/bash

Den Rest installieren

Code: Alles auswählen

apt-get install lvm2 cryptsetup locales && dpkg-reconfigure locales

dpkg-reconfigure tzdata

apt-get install linux-image-amd64 grub pciutils psmisc pwgen xfsprogs xfsdump

Nun stehe ich im sauberen verschlüsseltem System.

[jeff84]

Ist dein Client im gleichen Layer-2 Netz, wie der Server? Falls nein, hast du in deiner Config auch ein Gateway angegeben?

[dmant]

Hallo,

also der Server steht im RZ von OVH (Raoubix)

nach der Installation von dropbear habe ich in der

/boot/initfamfs-tools/initramfs.com

Code: Alles auswählen

DROPBEAR=y

Decive=eth0

IP=HIER_IP:GATEWAY:SUBNETZ:eth0

gesetzt danach ein update-initramfs - u und grub-update ausgeführt.

Aber wie gesagt, kein Ping und ohne Logs wirds schwer.

[DeletedUserReAsG]

Ohne Config (initrd, Bootloader, crypttab, etc.) wird’s auch schwer, zu helfen. Ich kenne die „Standart“-Konfiguration von Debian nicht, kann aber mitteilen, dass eine Kiste von mir ebenfalls in Roubaix mit verschlüsseltem Debian läuft. Wenn du also deine Configs posten würdest, könnte ich schauen, was ich anders gemacht habe, und dir das dann mitteilen.

[wanne]

Ich möchte da nochmal drauf aufmerksam machen, dass LUKS die festplatte nicht schützt, solange der Rechner an, oder erst seit wenigen Sekunden aus ist.
Gibt passe Firewire-Sticks oder LiveCDs, die dir dann den Key ausgeben. Sowas z.B.:
https://www.elcomsoft.com/efdd.html
Such einfahc mal nach forensic und Cold-Boot oder DMA. Dann findest du solche tools.

[dmant]

Ich mache mich heute Abend nochmal ran. Ich denke so gegen 21 Uhr kann ich die entsprechenden configs posten. Welche denn dann alle? Ich hoffe bei der Installation bzw beim booten schlägt nicht schon was fehl.

[DeletedUserReAsG]

Wenn es sich nicht mal pingen lässt, ist schon die Netzwerk-Config kaputt. Sobald das gefixt ist, kann man sich um den dropbear kümmern.

Ich hab mein initrd-Netzwerk in der /etc/initramfs-tools/conf.d/networking_conf wie folgt konfiguriert:

Code: Alles auswählen

export IP=lokale_IP::Gateway:Netzmaske:Hostname:Interface

(entsprechend korrekte Werte einsetzen)

[dmant]

Wenn es sich nicht mal pingen lässt, ist schon die Netzwerk-Config kaputt.

Das meine ich ja das da beim booten schon was fehlschlägt. Entweder falsch geconft oder er bootet er nicht.

Ich möchte da nochmal drauf aufmerksam machen, dass LUKS die festplatte nicht schützt, solange der Rechner an, oder erst seit wenigen Sekunden aus ist.
Gibt passe Firewire-Sticks oder LiveCDs, die dir dann den Key ausgeben. Sowas z.B.:
https://www.elcomsoft.com/efdd.html
Such einfahc mal nach forensic und Cold-Boot oder DMA. Dann findest du solche tools.

Dazu müsste man erstmal wissen das dass System auch verschlüsselt ist. Die "normale" Vorgehensweise ist Strom aus, Sicherstellung der Datenträger, ab in die Forensik. Da vergeht genügend Zeit.

Also wenn das eine "lass das, bringt eh nichts" Aussage sein soll, Naja hilft nicht.

[dmant]

So, wie erwähnt habe ich das System nun noch einmal neu aufgesetzt.

pastebin/?mode=view&s=39997

Danach erfolgte ein

Code: Alles auswählen

apt-get install dropbear -y

Nach der installation habe ich in die /etc/initramfs-tools/initramfs.conf hinzugefügt,

Code: Alles auswählen

DROPBEAR=y
DEVICE=eth0
IP=IPADDR::GATEWAY:NETMASK:HOSTNAME:eth0:none

nach einem update-initramfs -u und einem Hardware Reboot habe ich nun folgendes:

Code: Alles auswählen

dmant@Area51:~$ ssh -i .ssh/id_rsa root@dmant.ovh


BusyBox v1.22.1 (Debian 1:1.22.0-9+deb8u1) built-in shell (ash)
Enter 'help' for a list of built-in commands.

~ #

Ok, also scheint das schonmal doch geklappt zu haben. Alle guten Dinge sind ja bekanntlich drei. Danach habe ich ein Script eingebunden was ich gefunden habe, und siehe da.

Code: Alles auswählen

dmant@Area51:~$ ssh -i Server-SSH/id_rsa root@dmant.ovh
The authenticity of host 'dmant.ovh (5.135.191.37)' can't be established.
RSA key fingerprint is SHA256:D6uHts/rZ/FiFMMpTrbfeNsK44sRVI/nKu4vyjmdcyk.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'dmant.ovh,5.135.191.37' (RSA) to the list of known hosts.
To unlock root-partition run unlock


BusyBox v1.22.1 (Debian 1:1.22.0-9+deb8u1) built-in shell (ash)
Enter 'help' for a list of built-in commands.

~ # unlock
Please unlock disk root_secure: 
  Reading all physical volumes.  This may take a while...
  Found volume group "vgdebian" using metadata type lvm2
  2 logical volume(s) in volume group "vgdebian" now active
cryptsetup: root_secure set up successfully
Connection to dmant.ovh closed.
dmant@Area51:~$

Allerdings ist der danach zwar noch pingbar, jedoch ist nur port 445 offen, warum auch immer. Das wars. Kein weiterer Zugriff. Ein SSH Server installiert. Also er scheint nicht weiter zu booten.