Debian System mit verschlüsslten Festplatten remote starten
Ich wollte einen Server im Keller mit verschlüsselten Festplatten über wakeonlan remote aufwecken und dann “aus der Ferne” die Passphrase für die Festplattenverschlüsselung eingeben. Die Anleitungen mit denen ich erfolgreich war sind die und die
Zuerst installieren wir dropbear
sudo apt install busybox dropbear-initramfs
echo 'DROPBEAR=y' >> /etc/initramfs-tools/initramfs.conf
Wie ist der Name der Netzwerkkarte?
ifconfig | grep flags
enp11s0f0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
Was steht schon in der Konfiguration und dann den richtigen Eintrag setzten
grep DEVICE /etc/initramfs-tools/initramfs.conf
sed -i 's/DEVICE=/DEVICE=enp11s0f0/' /etc/initramfs-tools/initramfs.conf
Jetzt ist es richtig
grep DEVICE /etc/initramfs-tools/initramfs.conf
# DEVICE: ...
DEVICE=enp11s0f0
Die Netzwerkkarte soll schön über DHCP booten
echo 'IP=:::::enp11s0f0:dhcp' >> /etc/initramfs-tools/initramfs.conf
Auf einem Client habe ich einen speziellen SSH Key generiert
/.ssh$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_rsa): /home/user/.ssh/id_rsa_initram_server
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_rsa_initram_server.
Your public key has been saved in /home/user/.ssh/id_rsa_initram_server.pub.
The key fingerprint is:
SHA256:+FRsAJC4JLB29GnTnkFlasdfj..........
Dann den öffentlichen Key anschauen
more id_rsa_initram_server.pub
und auf dem Server an die richtige Stelle einkopieren
vi /etc/dropbear-initramfs/authorized_keys
...
...
Dann das Bootpaket neu bauen (um die deprecated Meldung kümmere ich mich später)
sudo update-initramfs -u
update-initramfs: Generating /boot/initrd.img-4.9.0-8-amd64
dropbear: WARNING: Setting DROPBEAR in /etc/initramfs-tools/initramfs.conf is deprecated and will be ignored in a future release
Wenn der Server dann hochfährt kann ich mich über Port 22 mit dem SSH Key als root anmelden
ssh -i .ssh/id_rsa_initram_server root@192.168.xxx.yyy -p 22
Enter passphrase for key '.ssh/id_rsa_initram_server':
To unlock root partition, and maybe others like swap, run `cryptroot-unlock`
und lande in der kleinen Shell
BusyBox v1.22.1 (Debian 1:1.22.0-19+b3) built-in shell (ash)
Enter 'help' for a list of built-in commands.
Mit dem Befehl werde ich aufgefordert die Passphrase einzugeben.
cryptroot-unlock
Please unlock disk sda3_crypt:
Und wenn diese richtig ist wird im Hintergrund dann die Festplatte aufgeschlossen und der Rechner bootet. Sobald der normale SSH Dienst läuft wird meine kleine Bootshell beendet
Connection to 192.168.xxx.yyy closed by remote host.
Und ich kann mich normal an dem Server über SSH anmelden.