Debian

[davidvajda.de]

Ich habe hier was geniales gefunden
https://www.thomas-krenn.com/de/wiki/Vo ... eischalten
Wie man das LVM mit SSH entschlüsselt. Also, bisher konnte alles per SSH machen, das heisst ich konnte mit cryptsetup die Passwörter der Festplatte setzen und entfernen

Code: Alles auswählen

PATH="$PATH:/usr/sbin"
cryptsetup luksAddKey /dev/sda3
cryptsetup luksKillSlot /dev/sda3 0

Und so weiter. Und natürlich die Benutzerpasswörter. Woran es mir fehlte, und das war das Problem in Ungarn. Ich konnte bisher nur das Passwort vom Server eingeben - von der Platte nicht vom Nutzer, wenn ich am Rechner war und der Bildschirm dran lief. Ich hatte dann Entschlüsseln von USB-Sticks. Das andere ist ich habe 7 oder 8 Rechner. Es macht zwar Sinn, alles dann in der Bash und SSH zu ändern, aber ich musste zum starten, immer den Bildschirm an machen

Jetzt dachte ich mir - kann ich SSH und Luks also Cryptsetup nicht mit LVM benutzen. Hier ist ein Artikel. Ich gehe jetzt erst einkaufen. Aber das geht. Das SSH kann man in der Zeit wo man in Urlaub ist, per Fritz!Box schalten, nur dann, dann kann man das wieder schalten

Der Witz ist, bei dem Intel Compute Stick ist es so, dass der von alleine wieder an geht, wenn der Strom wieder da ist.


Also, die Lösung heisst, Dropbear - das habe früher, mal ganz früher gehört, sie wissen noch - wo man so Sachen gehört hat, wie

Code: Alles auswählen

make 
make compile
make install

Und nichts erklären konnte. Zum Beispiel dass man das Makefile selber macht und das einfach, Abschnitte mit Tag/Token/Label und Doppelpunkt sind

Oder

Code: Alles auswählen

lex
yacc

Aber, dropbear, und ich habe natürlich bei ubuntuusers geguckt, und da steht:
https://wiki.ubuntuusers.de/Verschl%C3% ... ischalten/
...

Yuhuu, ich habe es hinbekommen

Code: Alles auswählen

david@laptop-peaq:~$ ssh root@192.168.178.22
Enter passphrase for key '/home/david/.ssh/id_rsa': 
To unlock root partition, and maybe others like swap, run `cryptroot-unlock`.

BusyBox v1.35.0 (Debian 1:1.35.0-4+b3) built-in shell (ash)
Enter 'help' for a list of built-in commands.

~ # cryptroot-unlock
Please unlock disk nvme0n1p3_crypt: 
cryptsetup: nvme0n1p3_crypt set up successfully
~ # Connection to 192.168.178.22 closed by remote host.
Connection to 192.168.178.22 closed.
david@laptop-peaq:~$

Ich kann das verschlüsselte Dateisystem des Kernels jetzt von aussen entschlüsseln

Ich erkläre, wie es geht.

1.) Man hat einen Server - auf dem läuft SSH, dropbear - lvm und cryptsetup, das verschlüsselte Dateisystem
2.) Man hat einen Client

1.) Auf dem Server installiert man

Code: Alles auswählen

apt-get install dropbear dropbear-initramfs dropbear-run dropbear-bin 

2.) Auf dem Client führt man aus

Code: Alles auswählen

ssh-keygen -t rsa -b 4096 

(man erzeugt einen Schlüssel)

Und kopiert ihn auf den Server

Code: Alles auswählen

ssh-copy-id -i .ssh/key_rsa.pub benutzer@server-ip 

3.) Hier kopiert man ihn nach

Code: Alles auswählen

sudo cp /home/david/.ssh/authorized_keys /etc/dropbear/initramfs/authorized_keys 

4.) Dann führt man aus

Code: Alles auswählen

sudo dpkg-reconfigure dropbear-initramfs 

sudo update-initramfs -u 

5.) Mehr ist nicht zu tun - nichts in den Configs

6.) Anmeldung geht so

Server starten, warten

Code: Alles auswählen

ssh root@server-ip 
cryptroot-unlock

Unter Umständen - also ältere Version - heisst dass

Code: Alles auswählen

/etc/dropbear-initramfs/authorized_keys