如何在启动时使用 openSSH 进行磁盘加密（OpenSSH 与 Dropbear）

Question 1

来完成这个题目。这是我在 CentOS 上安装的 dropbear。

我使用了以下脚本和描述： https://github.com/dracut-crypt-ssh/dracut-crypt-ssh

以下安装方式2.1。

所有命令均以 root 身份执行。

须藤苏
百胜更新
yum 安装 epel-release
百胜安装 vim
百胜安装 wget
wget -O /etc/yum.repos.d/rbu-dracut-crypt-ssh-epel-7.repohttps://copr.fedorainfracloud.org/coprs/rbu/dracut-crypt-ssh/repo/epel-7/rbu-dracut-crypt-ssh-epel-7.repo
百胜安装 dracut-crypt-ssh
vim /etc/default/grub -> 更改行“GRUB_CMDLINE_LINUX”（通过在编辑器中按 i。可以更改文本）
旧行：
GRUB_CMDLINE_LINUX="crashkernel=auto rd.luks.uuid=luks-e0e5a45d-9773-428f- b0b4-79e85395f1e7 rd.luks.uuid=luks-c4d735fb-ce26-43ec-b9fe-2c48acded15c vconsole.font=latarcyrheb-sun16 vconsole.keymap=de rhgb Quiet"
新行：
GRUB_CMDLINE_LINUX="crashkernel=auto rd.neednet=1 ip =dhcp rd.luks.uuid=luks-e0e5a45d-9773-428f-b0b4-79e85395f1e7 rd.luks.uuid=luks-c4d735fb-ce26-43ec-b9fe-2c48acded15c vconsole.font=latarcyrheb-sun16 vconsole.keymap=de rhg安静"
始终通过命令“ESC -> :wq!”保存更改在编辑器中。
vim /etc/dracut.conf.d/crypt-ssh.conf -> 更改端口和对authorized_keys的引用（再次按i
）取消推荐端口行并将默认端口 222 更改为端口 22：
“# dropbear_port="222"” 更改为“dropbear_port="22"”
取消注释authorized_keys行并将路径：
“# dropbear_acl =“/root/.ssh/authorized_keys””更改为“dropbear_acl =“/keys/dropbear/authorized_keys””
mkdir /键
mkdir /keys/dropbear
vim /keys/dropbear/authorized_keys -> 添加公钥
在我的例子中，我通过运行 PuTTYgen 生成了一个密钥对，并通过 ssh 将公钥复制到编辑器。
grub2-mkconfig --输出 /etc/grub2.cfg
dracut--力
重启

使用程序“PuTTY”登录 Windows PC 上的启动 shell。
设置：
a. IP地址：服务器IP地址
B．端口：22
c。连接->数据->自动登录用户名：root
d．连接->SSH->身份验证->用于身份验证的私钥文件->Dropbear.ppk->点击打开按钮

应该显示如下内容：

使用用户名“root”。使用公钥“rsa-key-20160322”进行身份验证-sh-4.2#

console_peek（出于某种原因，在 console_auth 之前始终需要此命令才能成功转发密码）。
console_auth -> 密码: -> 输入加密设备的密码并按 Enter 键

解锁对我来说没有用，因为 crypttab 包含很多在启动时无法解锁的分区。

Answer

来完成这个题目。这是我在 CentOS 上安装的 dropbear。

我使用了以下脚本和描述： https://github.com/dracut-crypt-ssh/dracut-crypt-ssh

以下安装方式2.1。

所有命令均以 root 身份执行。

须藤苏
百胜更新
yum 安装 epel-release
百胜安装 vim
百胜安装 wget
wget -O /etc/yum.repos.d/rbu-dracut-crypt-ssh-epel-7.repohttps://copr.fedorainfracloud.org/coprs/rbu/dracut-crypt-ssh/repo/epel-7/rbu-dracut-crypt-ssh-epel-7.repo
百胜安装 dracut-crypt-ssh
vim /etc/default/grub -> 更改行“GRUB_CMDLINE_LINUX”（通过在编辑器中按 i。可以更改文本）
旧行：
GRUB_CMDLINE_LINUX="crashkernel=auto rd.luks.uuid=luks-e0e5a45d-9773-428f- b0b4-79e85395f1e7 rd.luks.uuid=luks-c4d735fb-ce26-43ec-b9fe-2c48acded15c vconsole.font=latarcyrheb-sun16 vconsole.keymap=de rhgb Quiet"
新行：
GRUB_CMDLINE_LINUX="crashkernel=auto rd.neednet=1 ip =dhcp rd.luks.uuid=luks-e0e5a45d-9773-428f-b0b4-79e85395f1e7 rd.luks.uuid=luks-c4d735fb-ce26-43ec-b9fe-2c48acded15c vconsole.font=latarcyrheb-sun16 vconsole.keymap=de rhg安静"
始终通过命令“ESC -> :wq!”保存更改在编辑器中。
vim /etc/dracut.conf.d/crypt-ssh.conf -> 更改端口和对authorized_keys的引用（再次按i
）取消推荐端口行并将默认端口 222 更改为端口 22：
“# dropbear_port="222"” 更改为“dropbear_port="22"”
取消注释authorized_keys行并将路径：
“# dropbear_acl =“/root/.ssh/authorized_keys””更改为“dropbear_acl =“/keys/dropbear/authorized_keys””
mkdir /键
mkdir /keys/dropbear
vim /keys/dropbear/authorized_keys -> 添加公钥
在我的例子中，我通过运行 PuTTYgen 生成了一个密钥对，并通过 ssh 将公钥复制到编辑器。
grub2-mkconfig --输出 /etc/grub2.cfg
dracut--力
重启

使用程序“PuTTY”登录 Windows PC 上的启动 shell。
设置：
a. IP地址：服务器IP地址
B．端口：22
c。连接->数据->自动登录用户名：root
d．连接->SSH->身份验证->用于身份验证的私钥文件->Dropbear.ppk->点击打开按钮

应该显示如下内容：

使用用户名“root”。使用公钥“rsa-key-20160322”进行身份验证-sh-4.2#

console_peek（出于某种原因，在 console_auth 之前始终需要此命令才能成功转发密码）。
console_auth -> 密码: -> 输入加密设备的密码并按 Enter 键

解锁对我来说没有用，因为 crypttab 包含很多在启动时无法解锁的分区。

Question 2

那么 dropbear 真的是启动时远程访问的正确且唯一的选择吗？

我对 dracut 做了一些额外的研究，它用于在 CentOS 上构建 initramfs 映像，它显示了选项“--sshkey”需要与模块加载选项结合使用“ssh-客户端”在 /etc/dracut.conf 中。

在我看来，好像已经有一个 ssh 客户端了，我不需要另外安装 dropbear。以前有人尝试过这个选项吗？有谁知道这方面的好教程吗？

Answer

那么 dropbear 真的是启动时远程访问的正确且唯一的选择吗？

我对 dracut 做了一些额外的研究，它用于在 CentOS 上构建 initramfs 映像，它显示了选项“--sshkey”需要与模块加载选项结合使用“ssh-客户端”在 /etc/dracut.conf 中。

在我看来，好像已经有一个 ssh 客户端了，我不需要另外安装 dropbear。以前有人尝试过这个选项吗？有谁知道这方面的好教程吗？

如何在启动时使用 openSSH 进行磁盘加密（OpenSSH 与 Dropbear）

答案1

答案2

相关内容