LUKS Passwort beim booten per SSH eingeben

[Paddy]

Hallo Debianer,

nach langer Abstinenz möchte ich mal wieder was mit debian machen und habe mir vielleicht etwas zuviel vorgenomemen.

Ich möchte auf meinem kleinen Server das Passwort fürdie verschlüsselte Datenfestplatte (enthält nur /home) beim booten per SSH eingeben.
Ich bin jetzt so weit dass dropbear in der initrd läuft und die netztwerkverbindung funktioniert. Ich kann den PC anpingen.
Nun versuche ich per PuTTY die SSH Verbindung:

Das sehe ich lokal:

Code: Alles auswählen

Using username "root".

To unlock root-partition run
unlock


root@192.168.0.2's password:
Access denied
root@192.168.0.2's password:

Und das auf dem "Server":

Code: Alles auswählen

Not backgrounding
Child connection from ::ffff:192.168.0.3:15078
login attempt from nonexistent user from ::ffff:192.168.0.3:15078

Nach dem booten und manuellem eingeben des LUKS Passworts kann ich mich problemlos per ssh verbinden.
Hat jemand eine Idee? Bin die letzten Tage jeden Abend an dem Punkt gescheitert und weis nicht weiter.

Grüße, Paddy

[Paddy]

Hallo,

leider bin ich noch nicht weiter. Auch SSHUSERPASS=root in /etc/initramfs-tools/initramfs.conf hilft nicht.
Ich habe auch versucht die Anmeldung über den id_rsa Schlüssel den ich erzeugt habe zu realisieren.
nachdem ich diesen mit putygen für putty gewandelt habe wurde der schlüssel jedoch auch nicht akzeptiert.

Gibts noch was das ich versuchen könnte? Mir sind die Ideen ausgegangen.

Viele Grüße, Paddy

[Paddy]

Hallo,

ich habe Dropbear nun erfolgreich im initramfs und kann mich verbinden.
Das problem war der RSA-Key, mit root und passwort konnte ich mich nicht verbinden. Den Key musste ich noch mit puttygen bearbeiten, mein client ist ein windowsrechner.
Versucht habe ich das mit den Parametern -E (Log to standard error rather than syslog) -F (Don't fork into background) in /usr/share/initramfs-tools/scripts/init-premount/dropbear. Leider konnte ich dann auch nach

Code: Alles auswählen

echo -e \"meinKey\" >/lib/cryptsetup/passfifo

den Zugriff auf mein verschlüsseltes /home nicht erreichen. Das lag aber wohl am -F dann gehts nicht weiter bis man dropbear beendet. Genau das habe ich dann mit killal dropbear gemacht und dachte dass das System nun auch komplett bis zum login durchläuft wel ja was im passfifo steht. Naja das ging natürlich nicht.
Nachdem ich -E und -F entfernt habe gings nach einem Neustart bis zum Eingabe der passphrase. Leider konnte ich mich nun nicht mehr mit dropbear verbinden.
Bein nächsten Versuch habe ich nur nur den Parameter - E gesetzt und man sieht folgendes:

...
[277] Running in Background
mdam: no arrays found in config file or automatically
[277] premature exit: Terminated by signal
INIT: version 2.88 booting
..

mdam hat recht, ich hab kein raid...
Also nachdem dropbear gestartet wurde ist er auch gleich wieder von irgendwas beendet worden. Habt ihr ne Idee wer oder was das sein könnte oder wo ich danach suchen könnte?
Dropbear sollte doch an dem Punkt noch leben wo ich auch von Hand die passphrase eingeben kann - oder ?

Grüße, paddy

[xdanx]

hast du eine Anleitung an der du dich orientierst? Hast du schonmal folgendes Manual angeschaut?

Code: Alles auswählen

/usr/share/doc/cryptsetup/README.remote.gz

[Paddy]

Hallo xdanx,

Vielen Dank für deine Antwort. Ich habe mich die letzten Tage viel an unterschiedlichen Anleitungen orientiert - vielleicht zu viele (und zu alte).
Dann habe ich gelesen dass debian schon alles mitbringt und ich habe mit purge auf busybox und dropbear hoffentlich alles bereinigt.
Das von dir genannte manual habe ich gelesen - und hoffentlich auch verstanden.
Die Einstellungen für eth0 sind ok, ich kann den Server auch anpingen.
Das Vorgehen zum unlock aus dem Manual werde ich noch ausprobieren - jedoch verabschiedet sich dropbear sofort wieder so dass ich keine Möglichkeit habe überhaupt eine ssh Verbindung zu erhalten.
Kannst du dich per ssh verbinden wenn auf dem Server die Möglichkeit zum manuellen eingeben der passphrase erscheint, oder muss das Kennwort bereits früher eingegeben werden?

Grüße, Paddy

[habakug]

Hallo!

Ich würde es so machen:
Eine Partition "/boot" (/dev/sda1), eine verschlüsselte Partition "/" (dev/sda2).
Ein Netzwerkgerät "eth0"(dhcp), Hostname "deb.crypt.lan".
Auf dem verschlüsselten Rechner:

Code: Alles auswählen

apt-get install busybox dropbear
mv /etc/initramfs-tools/initramfs.conf /etc/initramfs-tools/initramfs.conf_sik
cat /etc/initramfs-tools/initramfs.conf_sik | sed s/DEVICE=/DEVICE=eth0/ >> /etc/initramfs-tools/initramfs.conf
update-initramfs -u

Auf dem Client:

Code: Alles auswählen

scp root@deb.crypt.lan:/etc/initramfs-tools/root/.ssh/authorized_keys ~/.ssh/known_hosts.initramfs
scp root@deb.crypt.lan:/etc/initramfs-tools/root/.ssh/id_rsa ~/.ssh/id_rsa.initramfs

Jetzt den verschlüsselten Rechner booten und auf dem Client:

Code: Alles auswählen

ssh -o "UserKnownHostsFile=~/.ssh/known_hosts.initramfs" -i "~/.ssh/id_rsa.initramfs" root@deb.crypt.lan "echo -ne \"sesamöffnedich\" > /lib/cryptsetup/passfifo"

Bei der ersten Verwendung muß der SSH-Schlüssel einmal mit "yes" bestätigt werden.

Gruß, habakug