GLT14 - 14.11
Grazer Linuxtage 2014
| Vortragende | |
|---|---|
|
Darshaka Pathirana |
| Programm | |
|---|---|
| Tag | Samstag, 5.4. (Vorträge) - 2014-04-05 |
| Raum | HS01 |
| Beginn | 18:00 |
| Dauer | 00:20 |
| Info | |
| ID | 344 |
| Veranstaltungstyp | Vortrag |
| Track | Admin |
| Sprache der Veranstaltung | deutsch |
| Feedback | |
|---|---|
|
Haben Sie diese Veranstaltung besucht? Feedback abgeben |
How to Encrypt your (headless) Root-Server
RAID1 -> CRYPT -> LVM
In diesem Vortrag wird in ca. 20min von scratch-weg auf einem Hetzner-Root-Server ein verschlüsseltes Debian GNU/Linux-Wheezy-System aufgesetzt.
Die Verschlüsselung eines Rechners ist heute relativ einfach geworden. Die meisten Installer unterstützen rootfs-crypto schon Out-of-the-box.
Um das verschlüsselte System zu booten, wird während des Boot-Vorgangs nach dem Schlüssel gefragt und der Boot-Prozess wird dann fortgesetzt. Was aber, wenn man gar keinen physikalischen Zugriff hat und deshalb nicht in der Lage ist, das crypt-Passwort einzugeben? Dann wird es tricky.
Um dieses Problem zu lösen muss ein SSH-Server (dropbear) in die initramfs installiert werden, der nur dazu da ist, dieses crypt-Passwort abzufragen um bei erfolgreicher Eingabe den Boot-Prozess fortsetzen zu lassen.
Anhand einer Live-Demonstration werden folgendes Schritte durchgeführt:
- Root-Server mit dem Rescue-System hochfahren
- HDDs partitionieren
- RAID1 (md0 für /boot und md1 für crypto-LVM) anlegen
- Filesystem ext2 auf md0 anlegen
- cryptsetup auf md1
- md1 enschlüsseln
- LVMs auf entschlüsseltem md1 anlegen
- Debian/Wheezy per grml-debootstrap installieren
- grub2 installieren
- cryptLuks im Zielsystem installieren und konfigurieren
- dropbear in initramfs installieren und keys einspielen