Ubuntu 10.04 „Lucid Lynx“
Dieser Artikel erfordert mehr Erfahrung im Umgang mit Linux und ist daher nur für fortgeschrittene Benutzer gedacht.
Falls man die Installation nicht richtig durchführt oder sich den falschen Schlüssel kopiert ist es möglich, dass das System nicht mehr booten kann bzw. eine manuelle, lokale Eingabe des Schlüssels am Rechner notwendig ist.
Dieser Artikel erklärt, wie man ein System mit verschlüsselter Root-Partition auch ohne physikalischen Zugang zum Rechner über SSH freischalten kann. Verwendet wird hierzu der dropbear-SSH-Server, der im initramfs untergebracht wird. Dieses Vorgehen kann man anwenden, wenn man z.B. „Dedicated Server“ fast komplett (in diesem Fall bis auf die /boot-Partition) verschlüsseln möchte. Ob dies auch vor Angreifern schützt, die (physikalischen) Zugriff auf den Server haben, ist jedoch nicht sicher.
Folgende Pakete müssen installiert[1] werden:
cryptsetup (sollte schon vorhanden sein)
dropbear
mit apturl
Paketliste zum Kopieren:
sudo apt-get install cryptsetup dropbear
sudo aptitude install cryptsetup dropbear
Wenn bereits ein anderer SSH-Server installiert ist, wird dies erkannt und dropbear wird nur während des Bootvorgangs gestartet. Zur späteren Verifikation sollte man sich die Fingerprints, die ausgegeben werden, aufschreiben.
Eigentlich wird alles von alleine konfiguriert, man muss lediglich den RSA-Schlüssel auf seinen Rechner kopieren.
scp user@server:/etc/initramfs-tools/root/.ssh/id_rsa ~/
Das kopiert den privaten RSA-Schlüssel in das Home-Verzeichnis. Es ist ratsam, ihn sicher zu verstauen.
Nach dem Kopieren des RSA-Schlüssels kann man ab sofort bei jedem Bootvorgang die Root-Partition per SSH freischalten. Mit
ssh -i ~/id_rsa root@server
kann man sich einloggen und bekommt eine BusyBox-Shell.
Das eigentliche Freischalten erfolgt danach über den Befehl:
echo -n "Passphrase" > /lib/cryptsetup/passfifo
wobei die Passphrase durch das eigene Passwort ersetzt wird, das bei der Einrichtung der Verschlüsselung ausgewählt wurde. Danach wird der Server ganz normal gestartet. Ein paar Sekunden später müsste man sich normal einloggen können.
Wegen der Einführung von Plymouth in 10.04 funktioniert das Freischalten nicht mehr. Eine Lösung wird in einem Fehlerbericht auf Launchpad in Kommentar #5 beschrieben. Nach einem Update des initramfs images mittels update-initramfs -u
sollte das Freischalten via SSH auch unter Lucid Lynx funktionieren. Das System kann dann allerdings nur noch per SSH freigeschaltet werden; das Eingeben des Passworts vor Ort mit angeschlossener Tastatur ist nicht mehr möglich.