Wie starte ich einen Headless-Server mit Passphrase neu?

6448
BioGeek

Ich habe einen alten Desktop-Computer, den ich als Headless-Server verwenden möchte.

Mit einem Monitor und einem angehängten Bildschirm installierte ich die Ubuntu Server Edition mit verschlüsseltem LVM auf dem Computer. Nach der Installation startete ich neu und füllte die Passphrase immer noch mit angeschlossenem Monitor und Tastatur aus und konnte mich anmelden. Ich konnte mich von meinem Laptop aus beim Server anmelden. So weit, ist es gut.

Dann trennte ich den Monitor und die Tastatur ab und startete den Desktop über ssh vom Laptop aus neu. Beim Neustart hörte ich zwei Pieptöne. Als ich versuchte, mich erneut über ssh anzumelden, erhielt ich die Nachricht:

$ ssh plectrophenax.local

ssh: Hostname plectrophenax.local konnte nicht aufgelöst werden: Name oder Dienst nicht bekannt

Als ich den Monitor wieder an den Server anfügte, sah ich die Nachricht

Grub laden

Entriegeln der Festplatte / dev / disk / by-uuid / de99e2c0-56d7-473b-f134FF5bd634 (sda1_crypt)

Passwort eingeben:

Also hat es anscheinend darauf gewartet, dass ich meine Passphrase eingebe, bevor es hochfährt.

Wie gebe ich diese Passphrase aus der Ferne ein?

6

5 Antworten auf die Frage

6
wazoox

Du kannst nicht Die Passphrase soll hier genau das unmöglich machen.

Ich wundere mich, warum sie während des Installationsvorgangs eine Verschlüsselung anbieten, wenn ich sie nicht verwenden kann. Wie entferne ich die Verschlüsselung, damit ich mich remote anmelden kann? BioGeek vor 14 Jahren 1
Du kannst es benutzen. Es soll so verwendet werden. Was ist der Sinn der Festplattenverschlüsselung, wenn sie automatisch entschlüsselt wird, ohne dass ein Benutzergeheimnis entsteht? sybreon vor 14 Jahren 0
Die Verschlüsselung ist ein Werkzeug. Es liegt an Ihnen, zu wissen, warum und wann Sie es verwenden. Sie können das verschlüsselte Gerät jedoch entsperren, den Inhalt an anderer Stelle kopieren, das Gerät anschließend neu formatieren und zurückkopieren. AFAIK ist dies die einzige Option. wazoox vor 14 Jahren 0
Eigentlich ist es möglich. Laurent Parenteau vor 14 Jahren 0
5
holgerson.crusoe

Sie können dies tun, indem Sie einen SSH-Server in Ihrem initramfs installieren. Eine einfache Möglichkeit ist die Verwendung von early-ssh . Es installiert einen Dropbear-SSH-Server direkt in Ihrem initramfs. Wenn dieser Server läuft, können Sie sich bei Ihrem Server anmelden, bevor Sie das Root-Dateisystem laden und das LUKS-Kennwort eingeben.

4
simonp

Sie sollten nicht über ein Betriebssystem verfügen, um eine verschlüsselte Partition zu starten. Verschlüsseln Sie einfach / home, / var / www oder was auch immer. Stellen Sie sicher, dass Sie sich als root anmelden können, wenn Sie / home verschlüsselt haben.

Um Ihre Partition auf einfache Weise zu laden, fügen Sie jedoch "noauto" in die fstab-Zeile in der Optionsspalte ein, z.

/dev/sda2 /home ext3 defaults,noauto 1 1 

Wenn Sie möchten, dass sich der gesamte Server auf einer verschlüsselten Partition befindet, können Sie ihn alternativ mit openvz oder kvm virtualisieren, die Partition manuell einhängen und schließlich den virtuellen Server starten.

Nicht so gut für die Betriebszeit. Warum möchten Sie eine Serverpartition verschlüsseln?

1
Laurent Parenteau

Sie können initramfs so ändern, dass das Kennwort selbst eingegeben wird. Wie Wazoox und Sybreon gesagt, ist dies dem Ziel der Verschlüsselung der Partition zuwider.

Aber wenn Sie das wollen, schauen Sie sich den zweiten Beitrag hier an .

1
Alberto Martín

Nun, diese Frage ist ziemlich alt, aber da viele andere wie ich jetzt noch nach einer guten Lösung für dieses Problem suchen könnten, gibt es hier zwei der besten, die ich bisher gefunden habe (nachdem ich viele Stunden verbracht hatte mehrere unmögliche Konfigurationen ausprobieren ¬):

https://stinkyparkia.wordpress.com/2014/10/14/remote-unlocking-luks-encrypted-lvm-using-dropbear-ssh-in-ubuntu-server-14-04-1-with-static-ipst/

https://github.com/chadoe/luks-triple-unlock/blob/master/install.sh

Nachdem Sie die Server auf diese Weise konfiguriert haben, können Sie die LUKS-Partition über SSH (mit Kennwort oder RSA-Schlüssel) oder ein USB-Flashlaufwerk entschlüsseln und das System wie üblich booten lassen. In meinem Fall sehr nützlich.