Quantcast
Aktuelles
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Debian / Ubuntu Encrypted LVMs | Crypted Boot | Remote Start

Registriert
11. Juni 2010
Beiträge
4.080
Reaktionspunkte
2.847
Punkte
373
Hallo Zusammen,

anbei möchte ich euch heute zeigen, wie Ihr ein System Debian / Ubuntu System Vollverschlüsseln könnt.
Im Gegensatz zu anderen Anleitungen, habe ich das KVM Testsystem mit Ubuntu 14.04 bereits mit verschlüsseltem LVM installiert.
Sprich das Thema Bootstrap etc. ist nicht notwendig.

Kommen wir zur Umsetzung:
1. Installation Debian / Ubuntu
1.1 Partitionierung entsprechend mit verschlüsselten LVM
1.2 Die Passphrase zum entschlüsseln bitte nicht vergessen.

Post Install
2. Nach der Installation des Servers und dem Reboot mit der Passphrase anmelden und Updates durchführen
Code:
sudo apt-get update && sudo apt-get upgrade -y && sudo apt-get dist-upgrade -y
3. Installation diverser Tools
Code:
aptitude install -y ssh pciutils psmisc cryptsetup dropbear busybox

Crypt
4. Bearbeiten der initramfs.conf
Code:
nano /etc/initramfs-tools/initramfs.conf
Ersetzt den Inhalt der Datei mit diesem:
Code:
#
# initramfs.conf
# Configuration file for mkinitramfs(8). See initramfs.conf(5).
#
# Note that configuration options from this file can be overridden
# by config files in the /etc/initramfs-tools/conf.d directory.

#
# MODULES: [ most | netboot | dep | list ]
#
# most - Add most filesystem and all harddrive drivers.
#
# dep - Try and guess which modules to load.
#
# netboot - Add the base modules, network modules, but skip block devices.
#
# list - Only include modules from the 'additional modules' list
#

MODULES=most

#
# BUSYBOX: [ y | n ]
#
# Use busybox if available.
#

BUSYBOX=y

#
# COMPCACHE_SIZE: [ "x K" | "x M" | "x G" | "x %" ]
#
# Amount of RAM to use for RAM-based compressed swap space.
#
# An empty value - compcache isn't used, or added to the initramfs at all.
# An integer and K (e.g. 65536 K) - use a number of kilobytes.
# An integer and M (e.g. 256 M) - use a number of megabytes.
# An integer and G (e.g. 1 G) - use a number of gigabytes.
# An integer and % (e.g. 50 %) - use a percentage of the amount of RAM.
#
# You can optionally install the compcache package to configure this setting
# via debconf and have userspace scripts to load and unload compcache.
#

COMPCACHE_SIZE=""

#
# COMPRESS: [ gzip | bzip2 | lzma | lzop | xz ]
#

COMPRESS=gzip

#
# NFS Section of the config.
#

#
# BOOT: [ local | nfs ]
#
# local - Boot off of local media (harddrive, USB stick).
#
# nfs - Boot using an NFS drive as the root of the drive.
#

BOOT=local

#
# DEVICE: ...
#
# Specify a specific network interface, like eth0
# Overridden by optional ip= bootarg
#
#BEISPIEL IP 144.55.22.66 bitte mit der eures Servers ersetzen!
#BEISPIEL Gateway 144.55.22.1 ersetzen!
#BEISPIEL Netzmaske 255.255.255.0 ggf. ersetzen
#BEISPIEL Hostname example ggf. ersetzen!
#BEISPIEL Interface eth0 ggf. ersetzen!
DEVICE=eth0
IP=144.55.22.66::144.55.22.1:255.255.255.0:example:eth0:off
DROPBEAR=y
#
# NFSROOT: [ auto | HOST:MOUNT ]
#

NFSROOT=auto
4.1 Anschließend updaten wir den initramfs
Code:
sudo update-initramfs -u

Das Zertifikat

5. Sichern den id_rsa Keys
Code:
cat /etc/initramfs-tools/root/.ssh/id_rsa
Kopiert bitte den Gesamten Schlüssel in eine Datei, die Ihr an einen Speicherort eurer Wahl ablegt.
5.1 Öffnet PuttyGen, dann klickt auf Conversations und wählt Importkey aus. Dort wählt Ihr jetzt das eben gespeicherte File aus.
Anschließend klickt auf save Private Key und speichert diesen gut ab.
5.2 Das Keyfile müsst Ihr nun im Putty unter SSH --> Auth --> Browse / Durchsuchen auswählen

Der Boot

Nun rebootet den Server.
Paralell dazu könnt Ihr nach ein paar Sekunden die SSH Session starten und euch authentifizieren.
Wenn alles klappt, heißt euch die Busybox wilkommen.

Nun muss das System über die Passhphrase gestartet werden:
Beispielpasswort "server1001001001" bitte mit eurer Passphrase ersetzen:
Code:
echo -n "server1001001001" > /lib/cryptsetup/passfifo

Nun sollte das System erfolgreich starten.
Denkt daran die SSH Session neu zu starten.

Das Tut funktioniert im übrigen auch für naträchliche Verschlüsselung!
 
Zurück
Oben