Mam w pełni zaszyfrowany serwer z systemem Debian 7 i skonfigurowałem dropbear i busybox, aby odblokować kontener LUKS przez SSH (jak opisano w tym samouczku i w tej odpowiedzi U&L ).
Niestety, za każdym razem, gdy próbuję i SSH do serwera (przez sieć LAN) przy ponownym uruchomieniu, pojawia się błąd „Odmowa połączenia”. Próbowałem telnet
i nmap
domyślny port (22) i oba mówią, że port jest zamknięty.
Serwer ma ufw
regułę akceptowania całego ruchu z sieci LAN:
Anywhere ALLOW 192.168.1.0/24
Próbowałem zmienić port dropbear Słuchacze on w /etc/defaults/dropbear
ale ssh
i telnet
nadal odmówił połączenia 1 .
Jak mogę się upewnić, że port jest otwarty na tym etapie procesu rozruchu, aby móc się połączyć w celu odblokowania kontenera LUKS?
Wyłączenie zapory nie ma znaczenia: nmap
pokazuje wszystkie porty nadal zamknięte.
Zaktualizuj 2/14
Dodałem break=premount
do linii jądra i miałem kłopoty w initramfs. dropbear
zaczął się, ale sieć nie jest w tym momencie uruchomiona. Po wyjściu pojawia się sieć i uruchamianie trwa do momentu wyświetlenia monitu o odblokowanie urządzenia LUKS.
W tym momencie sieć jest uruchomiona, a hostowi przypisano poprawny adres IP, ale port 22 jest nadal zamknięty.
Używana linia IP /etc/initramfs-tools/intiramfs.conf
to:
export IP=192.168.1.200::192.168.1.1:255.255.255.0::eth0:off
Zgodnie ze wskazówkami zawartymi w tym rozdziale /usr/share/doc/cryptsetup/README.remote.gz
próbowałem po prostu dodać opcję urządzenia, ale to nie wystarczy, aby uruchomić sieć i uzyskać dzierżawę dhcp.
Aktualizacja 11/10/14
Wymagana była odpowiedź Karla/etc/initramfs-tools/conf.d/cryptroot
: kluczem było skonfigurowanie :
target=md1_crypt,source=UUID=8570d12k-ccha-4985-s09f-e43dhed9fa2a
Przewodnik okazał się również bardziej aktualny i odpowiedni (i udany).
źródło
ps
) i nasłuchuje na porcie, którego oczekujesz (przeznetstat
)?break=X
parametrów rozruchowych, aby uzyskać wczesnąinitramfs
powłokę? Za każdym razem, gdy debuguję szyfrowanie systemu plików, używambreak=premount
. Możesz sprawdzić, jaka jest sytuacja, rozwiązać ją i kontynuować uruchamianie.Odpowiedzi:
Ten sam problem dostałem kilka tygodni temu (Debian Wheezy 7.6) i po kilku dniach rozwiązywania problemów dowiedziałem się, że brakuje pliku konfiguracyjnego, który uniemożliwiał poprawne działanie skryptu cryptroot na init-top, dlatego nie zatrzymywał się aby zapytać o hasło za pomocą ssh, zabijanie dropbear na końcu sekwencji (init-bottom).
Plik konfiguracyjny jest wywoływany
cryptroot
i powinien znajdować się w obszarze/etc/initramfs-tools/conf.d/
Jeśli się nie mylę, plik konfiguracyjny powinien zostać utworzony automatycznie podczas instalacji (przeczytałem tylko jeden samouczek mówiący o tym pliku konfiguracyjnym), ale jakoś tak nie było (przetestowane na serwerze fizycznym i w maszyna wirtualna, ten sam system operacyjny i wersje)Parę prób zajęło mi prawidłowe skonfigurowanie, ponieważ nie mogłem wtedy znaleźć właściwej składni. Mój plik konfiguracyjny cryptroot wygląda następująco:
Po utworzeniu pliku konfiguracyjnego wystarczy zaktualizować initramfs i spróbować ponownie:
źródło
cryptroot
składnia jest inna niż twoja, ale twoja odpowiedź wystarczyła, aby wskazać mi właściwy kierunek. Jestem ci wdzięczny.Temat jest nieprawidłowy. Problemem nie jest zamknięty port, to port, który nie był związany. SSHd jeszcze się nie rozpoczął; dlatego nie możesz się z nim połączyć.
źródło
sshd
: jak mówi pytanie, próbuję połączyć się z instancją dropbear, która domyślnie działa na porcie 22.Dropbear (serwer ssh) powinien zostać uruchomiony bardzo wcześnie podczas fazy rozruchu - wcześniej niż
init
sekwencja (rcN.d) i skrypty inicjujące zaporę ogniową; nawet wcześniej niż / jest zamontowany (jest również szyfrowany, prawda?). Tak więc chodzi oinitramfs
preland / userland załadowany dla jądra przez boot loader. Obraz jest (ponownie) generowany naupdate-initramfs -u
podstawie zawartości/etc/initramfs-tools/
, w tym konfiguracji dropbear w/etc/initramfs-tools/etc/dropbear/
. Aby zagrać w konfigurację dropbear, zagraj z tym.Zatem kilka punktów do sprawdzenia:
źródło