GLT14 - 14.11

Grazer Linuxtage 2014

Vortragende
Darshaka Pathirana
Programm
Tag Samstag, 5.4. (Vorträge) - 2014-04-05
Raum HS01
Beginn 18:00
Dauer 00:20
Info
ID 344
Veranstaltungstyp Vortrag
Track Admin
Sprache der Veranstaltung deutsch
Feedback

How to Encrypt your (headless) Root-Server

RAID1 -> CRYPT -> LVM

In diesem Vortrag wird in ca. 20min von scratch-weg auf einem Hetzner-Root-Server ein verschlüsseltes Debian GNU/Linux-Wheezy-System aufgesetzt.

Die Verschlüsselung eines Rechners ist heute relativ einfach geworden. Die meisten Installer unterstützen rootfs-crypto schon Out-of-the-box.

Um das verschlüsselte System zu booten, wird während des Boot-Vorgangs nach dem Schlüssel gefragt und der Boot-Prozess wird dann fortgesetzt. Was aber, wenn man gar keinen physikalischen Zugriff hat und deshalb nicht in der Lage ist, das crypt-Passwort einzugeben? Dann wird es tricky.

Um dieses Problem zu lösen muss ein SSH-Server (dropbear) in die initramfs installiert werden, der nur dazu da ist, dieses crypt-Passwort abzufragen um bei erfolgreicher Eingabe den Boot-Prozess fortsetzen zu lassen.

Anhand einer Live-Demonstration werden folgendes Schritte durchgeführt:

  • Root-Server mit dem Rescue-System hochfahren
  • HDDs partitionieren
  • RAID1 (md0 für /boot und md1 für crypto-LVM) anlegen
  • Filesystem ext2 auf md0 anlegen
  • cryptsetup auf md1
  • md1 enschlüsseln
  • LVMs auf entschlüsseltem md1 anlegen
  • Debian/Wheezy per grml-debootstrap installieren
  • grub2 installieren
  • cryptLuks im Zielsystem installieren und konfigurieren
  • dropbear in initramfs installieren und keys einspielen