Як відкрити порт на початку завантаження, щоб розблокувати LUKS через SSH

У мене є повністю зашифрований сервер під управлінням Debian 7 і встановив dropbear і busybox для розблокування контейнера LUKS через SSH (як описано в цьому підручнику та в цьому відповіді на U&L ).

На жаль, кожного разу, коли я намагаюся перезавантажити SSH на сервер (через локальну мережу), я отримую помилку "Підключення відхилено". Я спробував telnetі nmapпорт за замовчуванням (22), і обидва кажуть, що порт закритий.

На сервері є ufwправило приймати весь трафік з локальної мережі:

Anywhere         ALLOW       192.168.1.0/24

Я спробував змінити порт , який прослуховує Dropbear на в , /etc/defaults/dropbearале sshі telnetпо - , як і раніше відмовлялися з'єднання ¹ .

Як я можу забезпечити відкриття порту на цьому етапі процесу завантаження, щоб я міг підключитися, щоб розблокувати контейнер LUKS?

Вимкнення брандмауера не має ніякого значення: nmapпоказує, що всі порти все ще закриті.

Оновлення 2/14

Я додав break=premountдо рядка ядра і мав штуршок у програмі initramfs. dropbearпочалося, але мережа не працює на той момент. Після виходу з мережі з’являється мережа і завантаження триває до тих пір, поки не з'явиться запит на розблокування пристрою LUKS.

У цей момент мережа працює , і хост призначив правильну IP-адресу, але порт 22 все ще закритий.

Лінія IP, /etc/initramfs-tools/intiramfs.confяку я використовую:

export IP=192.168.1.200::192.168.1.1:255.255.255.0::eth0:off

Відповідно до вказівок, які /usr/share/doc/cryptsetup/README.remote.gzя намагався просто додати параметр пристрою, але цього недостатньо, щоб підвести мережу та отримати dhcp в оренду.

Оновлення 11.10.14

Відповідь Карла полягала в тому, що потрібно: налаштування /etc/initramfs-tools/conf.d/cryptrootбуло ключовим:

target=md1_crypt,source=UUID=8570d12k-ccha-4985-s09f-e43dhed9fa2a

Цей посібник також виявився більш сучасним та актуальним (і успішним).

Цю проблему я отримав кілька тижнів тому (Debian Wheezy 7.6), і через кілька днів усунення несправностей я виявив, що не вистачає файлу конфігурації, який заважав скрипту cryptroot в init-top працювати правильно, отже, він не зупинявся задавати пароль через ssh, вбиваючи крапку в кінці послідовності (init-bottom).

Конфігураційний файл викликається cryptrootі повинен знаходитись /etc/initramfs-tools/conf.d/ Якщо я не помиляюся, що конфігураційний файл повинен був бути створений автоматично під час встановлення (я прочитав лише один підручник, який говорив про цей конфігураційний файл), але якось він не був (перевірений на фізичному сервері та в a VM, та сама ОС та версії)

Мені знадобилося кілька спроб правильно її налаштувати, оскільки я не міг знайти відповідний синтаксис на той час. Мій конфігураційний файл cryptroot такий:

target=crypt-root,source=/dev/vg0/root,lvm=root

Після створення конфігураційного файлу просто оновіть initramfs та повторіть спробу:

update-initramfs -u

Тема неправильна. Проблема не у закритому порту, а у порту, який не пов'язаний. SSHd ще не почався; тому ви не можете підключитися до нього.

Передбачається, що dropbear (ssh-сервер) буде запущений дуже рано під час фази завантаження - раніше, ніж initпослідовність (rcN.d) послідовностей і сценаріїв init брандмауера; навіть раніше, ніж / монтується (він також зашифрований, правда?). Отже initramfs, до завантаження ядра завантажується завантажувачем. Зображення (повторно) генерується за update-initramfs -uдопомогою вмісту /etc/initramfs-tools/, включаючи конфігурацію dropbear в /etc/initramfs-tools/etc/dropbear/. Щоб грати з конфігурацією dropbear, пограйте з цим.

Таким чином, кілька пунктів для перевірки:

• dropbear не запускається: його не було добре підключено до послідовності initramfs;
• брандмауер за замовчуванням заперечує всіх.