Laberthread: Rootserver mit Debian Jessie *FULL ENCRYPTED* inkl. Iptables-Firewall...

[marc1974]

so...installiert bis zum punkt an dem die initramfs editiert wird....
da kommt dann vorher schon:

dropbear: WARNING: Invalid authorized_keys file, remote unlocking of cryptroot via SSH won't work!

Das verstehe ich ja noch. Google hatte ich dazu bereits 2 Stunden durch.

so bis zu dem Punkt komme ich und dann gehts nicht mehr weiter.
Dass die ID nun irgendwo anders liegt hab ich ja schon ergoogelt...hatte es sogar hinbekommen die an den Ort zu kopieren - aber das soll ja in Zukunft auch eingestellt werden.

Spoiler

root@rescue:/# update-initramfs -u -k all
perl: warning: Setting locale failed.
perl: warning: Please check that your locale settings:
        LANGUAGE = "en_US:en",
        LC_ALL = "en_US.UTF-8",
        LANG = "C"
    are supported and installed on your system.
perl: warning: Falling back to the standard locale ("C").
update-initramfs: Generating /boot/initrd.img-4.9.0-8-amd64
dropbear: WARNING: Setting DROPBEAR in /etc/initramfs-tools/initramfs.conf is deprecated and will be ignored in a future release
/bin/bash: warning: setlocale: LC_ALL: cannot change locale (en_US.UTF-8)
dropbear: WARNING: Invalid authorized_keys file, remote unlocking of cryptroot via SSH won't work!
perl: warning: Setting locale failed.
perl: warning: Please check that your locale settings:
        LANGUAGE = "en_US:en",
        LC_ALL = "en_US.UTF-8",
        LANG = "C"
    are supported and installed on your system.
perl: warning: Falling back to the standard locale ("C").
root@rescue:/#
root@rescue:/#
root@rescue:/# cat /etc/initramfs-tools/root/.ssh/id_rsa
cat: /etc/initramfs-tools/root/.ssh/id_rsa: No such file or directory

Wie es danach weitergeht darüber gibt es 1000 tutorials. Vier hab ich probiert. Funktionierte nicht. Aufgeben werde ich nicht.

Der Key muss von irgendwo nach /etc/dropbear-initramfs/authorized_keys kopiert werden

Man könnte jetzt noch versuchen einfach upzugraden und dann das rsa_id file mit dem man sich einloggt in authorized hosts. Ich glaube aber ich probiere das nicht mehr. Zeitlich ein langer Weg zur jessie Installation. Hab ich nur gefühlt 30 mal gemacht. Vielleicht erdreistet sich ja mal jemand der es jeden Tag macht. Ich lasse es jetzt auf Jessie.


Gesendet mit Tapatalk

Habe es nun mal hiermit probiert...aber keine Änderung des Problems

Sie müssen registriert sein, um Links zu sehen.

Vielleicht liegt es auch daran, daß ich ein Verständnisproblem habe. Ich connecte doch auf den Port des Dropbear oder connecte ich auf nen simplen ssh port, wo der dropbear integriert ist?!

 

[axel]

Hi,

nach Reboot Drobear (22), danach den definierten Port (sshd.conf).

Gruß

Gesendet von meinem Xiaomi POCOPHONE F1 mit Tapatalk

 

[marc1974]

ich glaube ich habs jetzt irgendwie geschnallt...installiere gerade neu um zu gucken ob es diesmal klappt.
Also: Es gibt wohl 2 rsa_id... eine für den dropbear und eine für ssh.
Das mit dem dropbear unter Jessie läuft ja nach Deinem Plan.

Was ich nun gerade probiert habe:
In Stretch ist es in sofern anders, daß ich in eine id_rsa... - sagen wir mal eine selbstkreierte in ./ssh in /etc/dropbear-initramfs/authorized_keys packen muss.
Verstehe da noch nicht ganz den Unterschied. Dropbear hat eine und ssh hat auch eine.

Die Dateien werden ja sowohl bei Dropbear als auch bei ssh erstellt.
Das Verzeichnis authorized_keys existiert aber gar nicht. Das hab ich dann mal für beide erstellt.
Einmal in ./ssh und einmal /etc/dropbear-initramfs
Rechte chmod 600.
Es gibt nen public key und nen private.
Wahrscheinlich hätte ich die bereits erstellten Keys, die auf dem Server liegen einfach nur kopieren müssen, jedoch bin ich jetzt den Umweg gegangen und habe mir mit puttygen nen public key generiert und den in beide authorized_keys gelegt. Wahrscheinlich falsch - denn die sollen bestimmt nicht beide gleich sein.

Der Public liegt in der authorized_keys, den private erstelle ich mir aus dem vorhandenen public mit puttygen, weil die ja ein Paar sind - nur von der Formatierung anders.
Also hat der Server immer den public key und ich den private auf dem client.

Die sshd_conf habe ich noch auf MEINEN port geändert und das war es soweit.
uuuuuuuuuuuuuuuuuuuuuuuuund...trommelwirbel:

GEHT NICHT
Wenn ich nicht schon verrückt bin, werde ich es spätestens jetzt!

 

[axel]

Hi,

Verstehe da noch nicht ganz den Unterschied. Dropbear hat eine und ssh hat auch eine.

der Dropbear ist ein unabhängiges Minimalsystem (unverschlüsselt).

Natürlich hat der verschlüsselte "Hauptsystem" auch einen SSH-Server, das hat nichts mit dem Dropbear zu tun.

Und ja, man kann bei beiden eine private/public-Key authentifizierung einrichten, nur sind das 2 Paar Schuhe.

Der private-Key ist der wichtige hierbei.

Mal was zum Lesen:

Sie müssen registriert sein, um Links zu sehen.

Gruß

 

[marc1974]

Mal in Kurzversion. Es geht mir um die erstmalige Anmeldung zum Durchstarten des Servers. Muss ich dann den ssh Zugang einrichten, oder den Zugang zum Dropbear?
Also wer braucht den Schlüssel? Ssh, oder?


Gesendet mit Tapatalk

 

[axel]

Hi,

beim Dropbear. Dieser hat logischerweise einen SSH Server, wie soll man sonst draufkommen?

Dort empfiehlt es sich mit Private/Public Key zu arbeiten.

Bei dem "durchgestarteten" System habe ich das nicht eingerichtet.

Du musst das getrennt voneinander sehen.

Wenn durchgestartet, brauchst Du den Dropbear nicht mehr, logischerweise aber einen SSH Zugang.

Nochmals: Das sind *zwei* Systeme so gesehen. Und auch 2 SSH-Server.

Gruß

Gesendet von meinem Xiaomi POCOPHONE F1 mit Tapatalk

 

[marc1974]

Dann mach ich das jetzzt zum letzen Mal neu und richte mir dann den Dropbear mit pubic und private key ein und den rest lasse ich auch so.
Ich meine eigentlich, dass ich das gestern so gemacht habe - vielleicht habe ich was vergessen? Muss da noch irgendeine config zusätzlich bearbeitet werden?

 

[axel]

Hi,

nur der Dropbear bringt Dir herzlich wenig, das sieht auch der Techniker (so)...

Gruß

Gesendet von meinem Xiaomi POCOPHONE F1 mit Tapatalk

 

[marc1974]

Wieso? Per ssh zertifikat beim dropbear einloggen und dann später n ssh zertifikat füre den durchgestarteten server?!

 

[axel]

Hi,

Du hast ein Verständnisproblem mit Verlaub.

Dropbear = Minimalsystem, das passt auf eine Diskette. (sieht! der Provider/Techniker alles)

Von dort startest Du einen bootfähigen verschlüsselten nennen wir es "Container" mit dem "richtigen" Server (sieht der Provider/Techniker *eben nicht* ohne Dein Passwort)

Sprich das BKA untersucht Deinen Server kommen die so leicht nicht drauf (Dropbear ja klar)...

Ich hoffe mal es wird klarer, ansonsten nochmal lesen und ausprobieren, ich hab's jetzt 10000 Mal erklärt nun.

Gruß

Gesendet von meinem Xiaomi POCOPHONE F1 mit Tapatalk

 

[marc1974]

Dann ich nochmal. Das hab ich verstanden:
Das Minimalsystem ist unverschlüsselt und man sieht alles darauf. Die sda3 ist verschlüsselt und wird nur durch den key gestartet, wenn ich im dropbear bin.
So...jetzt kommt man in stretch aber nicht mal so eben in den dropbear, weil man dafür die rsa_id braucht - und dazu muss ich eine Datei authorized_keys anlegen. Hier liegt der public dropbear key und ich hab den private. Den kann doch jeder sehen, denn das passwort hab ich ja noch.
Das Problem ist doch eher, dass ich einfach nicht auf den server komme, weil entweder dieses dropbear format sich vom normalen ssh format unterscheidet, oder ich hab noch ein Verständnisproblem.
Klar...es ist logisch, dass sich der normale ssh login später, wenn es per private/public key läuft, vom dropbear login unterscheiden sollte.

Bei Deinem Jessie-How-to ist es doch genauso. Du logst dich mit nem Schlüssel bei dropbear ein und startest von dort - nach start aber halt nicht mit private key, sondern normal.

 

[axel]

Hi,

hier liegt Dein Verständnisproblem:

So...jetzt kommt man in stretch aber nicht mal so eben in den dropbear, weil man dafür die rsa_id braucht - und dazu muss ich eine Datei authorized_keys anlegen.

Was willst Du bei laufendem Server im Dropbear...?

Gute Nacht


Gesendet von meinem Xiaomi POCOPHONE F1 mit Tapatalk

 

[marc1974]

Ich möchte nicht auf dem laufenden Server in den Dropbear, ich möchte zu der Stelle um den Server durchzustarten.
Ich bin an dem Punkt: in Dropbear einloggen und von da aus mit 100 stelligem PW den Server zu starten - und in besagten Dropbear-Prompt komme ich erst gar nicht, da:

1. dropbear: WARNING: Invalid authorized_keys file, remote unlocking of cryptroot via SSH won't work! Ich komme also gar nicht ins Minimalsystem ohne nicht die Schritte durchgegangen zu sein, die ich bisher versuchte. Daher -> Kein Connect nach reboot

Das ist aber nur unter Stretch so. Ich habe mittlerweile alle Anleitungen dazu durch und ich weiß jetzt einfach nicht mehr wohin mit der id_rsa.pub
Liegt jetzt in authorized_keys im dropbear Verzeichnis.
Ich hab alles durch. Rechte setzen, nach .ssh kopieren, von da aus in authorized_keys - es will einfach nicht klappen. Ich bekomme keinen connect.

Bei Jessie hast Du es ja änlich erklärt: Dort gibt es ja bereits ein
/etc/initramfs-tools/root/.ssh/id_rsa
gut...das gibt es bei stretch auch...aber halt woanders. Jedoch scheitern alle versuche dieses file zu nutzen, irgendwo anders zu implementieren (authorized_keys) oder aber auch eins auf den server zu laden und ihm in der dropbear config den pfad zu geben -.-
Wahrscheinlich ist es super simpel und ihr fragt euch die ganze Zeit: Was versucht der da - nur den Lichtblick hatte ich noch nicht.

Mal ne weitere Frage. Ist das alte Jessie denn sicher?

 

[Alex]

Ist das alte Jessie denn sicher

Bis April 2020 wird es noch supported

 

[axel]

Hi,

Sie müssen registriert sein, um Links zu sehen.

!

Gruß