ubuntuusers.de

Hinweis: Dies ist ein statischer Snapshot unseres Wikis vom 25. März 2013 und kann daher nicht bearbeitet werden. Der aktuelle Artikel ist unter wiki.ubuntuusers.de zu finden.

Verschlüsseltes System via SSH freischalten

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

Artikel für fortgeschrittene Anwender

Dieser Artikel erfordert mehr Erfahrung im Umgang mit Linux und ist daher nur für fortgeschrittene Benutzer gedacht.

Hinweis:

Falls man die Installation nicht richtig durchführt oder sich den falschen Schlüssel kopiert ist es möglich, dass das System nicht mehr booten kann bzw. eine manuelle, lokale Eingabe des Schlüssels am Rechner notwendig ist.

Dieser Artikel erklärt, wie man ein System mit verschlüsselter Root-Partition auch ohne physikalischen Zugang zum Rechner über SSH freischalten kann. Verwendet wird hierzu der dropbear-SSH-Server, der im initramfs untergebracht wird. Dieses Vorgehen kann man anwenden, wenn man z.B. „Dedicated Server“ fast komplett (in diesem Fall bis auf die /boot-Partition) verschlüsseln möchte. Ob dies auch vor Angreifern schützt, die (physikalischen) Zugriff auf den Server haben, ist jedoch nicht sicher.

Installation

Folgende Pakete müssen installiert[1] werden:

  • cryptsetup (sollte schon vorhanden sein)

  • dropbear

Wiki/Vorlagen/Installbutton/button.png mit apturl

Paketliste zum Kopieren:

sudo apt-get install cryptsetup dropbear 

sudo aptitude install cryptsetup dropbear 

Wenn bereits ein anderer SSH-Server installiert ist, wird dies erkannt und dropbear wird nur während des Bootvorgangs gestartet. Zur späteren Verifikation sollte man sich die Fingerprints, die ausgegeben werden, aufschreiben.

Schlüssel kopieren

Eigentlich wird alles von alleine konfiguriert, man muss lediglich den RSA-Schlüssel auf seinen Rechner kopieren.

scp user@server:/etc/initramfs-tools/root/.ssh/id_rsa ~/ 

Das kopiert den privaten RSA-Schlüssel in das Home-Verzeichnis. Es ist ratsam, ihn sicher zu verstauen.

Freischalten beim Bootvorgang

Nach dem Kopieren des RSA-Schlüssels kann man ab sofort bei jedem Bootvorgang die Root-Partition per SSH freischalten. Mit

ssh -i ~/id_rsa root@server 

kann man sich einloggen und bekommt eine BusyBox-Shell.

Das eigentliche Freischalten erfolgt danach über den Befehl:

echo -n "Passphrase" > /lib/cryptsetup/passfifo 

wobei die Passphrase durch das eigene Passwort ersetzt wird, das bei der Einrichtung der Verschlüsselung ausgewählt wurde. Danach wird der Server ganz normal gestartet. Ein paar Sekunden später müsste man sich normal einloggen können.

Ubuntu 10.04

Wegen der Einführung von Plymouth in 10.04 funktioniert das Freischalten nicht mehr. Eine Lösung wird in einem Fehlerbericht auf Launchpad in Kommentar #5 beschrieben. Nach einem Update des initramfs images mittels update-initramfs -u sollte das Freischalten via SSH auch unter Lucid Lynx funktionieren. Das System kann dann allerdings nur noch per SSH freigeschaltet werden; das Eingeben des Passworts vor Ort mit angeschlossener Tastatur ist nicht mehr möglich.