Archive for December, 2011

Auf meinem neuen rootserver wollte ich die Root-Partition LUKS-verschlüsseln.
Debian unterstützt dieses vorgehen fast ohne manuelle eingriffe, wobei ein paar Details zu beachten sind.

In meinem Fall sind die beiden 3TB Festplatten in 2 Partitionen unterteilt, einmal eine kleine (1GB) /boot partition und eine LUKS-verschlüsselte LVM für alles andere.
Das LVM erlaubt es mir, Partitionen einfach anzupassen wenn es irgendwo knapp wird (die betrifft vor allem die Home-partitionen).
Das setup habe ich vor dem installieren aus dem rescue-system meines ISPs eingerichtet, die Anleitung im Debian-Handbuch ist dabei hilfreich (suche nach debootstrap).

Das Problem mit LUKS ist, dass das Passwort/Keyfile im initramfs vorhanden sein muss, sonst kann die HD nicht entschlüsselt werden. Normalerweise fragt das initramfs beim booten nach dem Passwort, was aber bei einem headless rootserver im Rechenzentrum nicht geht.
Der Trick besteht darin, einen ssh-server ins initramfs einzubauen, und den key dann über ein keyscript an cryptsetup weiterzureichen. Der normale openssh ist dafür etwas zu gross, daher verwende ich den dropbear sshd. Dieser ist Bestandteil vieler busybox-installationen auf (zum Beispiel) Routern und das von debian verwendete update-initramfs-script benützt es automatisch wenn eine verschlüsselte root-partition gefunden wird (man kann es aber auch in /usr/share/initramfs-tools/conf-hooks/dropbear erzwingen).

Dann muss man noch die /etc/crypttab anpassen.

md1_crypt /dev/md1 none luks,tries=0,keyscript=/lib/cryptsetup/keyscript

Den Key auf “none” setzten; tries=0 erzwingt ewiges warten im initramfs bis das keyscript den korrekten Key liefert.
Das Keyscript prüft ob der key existiert, und falls ja gibt es ihn zurück

if [ -f /lib/cryptsetup/passfifo ]; then
    cat /lib/cryptsetup/passfifo
fi

Das Keyscript wird am einfachsten auf dem host in /lib/cryptsetup/ abgelegt, damit die initramfs-tools es automatisch finden.

Um einfach einzuloggen (ohne passwort) ist es ratsam, den eigenen public key in /etc/initramfs-tools/root/.ssh/authorized-keys anzugeben. Falls die Datei nicht existiert erzeugt initramfs ein eigenes Key-paar, und hinterlegt es im initramfs (schlechte Idee).

Damit ist man fast fertig. Erhält der Server seine IP per DHCP, kann man das interface einfach in /etc/initramfs-tools/initramfs.conf als DEVICE angeben. Will man eine statische öffentliche IP vergeben, so muss man die parameter als kernel-boot-parameter übergeben. In meinem Fall (Grub2, hetzner setup) füge ich also

GRUB_CMDLINE_LINUX="ip=88.198.59.12::88.198.59.1:255.255.255.224:::none"

zu /etc/default/grub hinzu. Die parameter kann man in der Linux-Dokumentation unter /usr/src/linux/Documentation/filesystems/nfs/nfsroot nachlesen (das ganze ist dafür gedacht nfs-Volumes als root einzubinden, aber es funktioniert auch für andere Dinge). Die leeren Parameter werden für nfs-boot gebraucht.
Falls dass nicht klappt, kann man auch ein simples script in /etc/initramfs-tools/scripts/init-premount/mount-boot hinterlegen:

PREREQ="udev devpts"
prereqs() {
    echo "$PREREQ"
}
case "$1" in
    prereqs)
        prereqs
        exit 0
    ;;
esac
. /scripts/functions
ifconfig eth0 inet pointopoint 88.198.59.1 88.198.59.12/32

Damit ist alles bereit und der Server hält beim booten an, bis in der Datei /lib/cryptsetup/passfifo der Korrekte Key hinterlegt wird.
Der Key muss nach dem booten nicht gelöscht werden da initramfs eh nur im RAM liegt und bald überschrieben sein sollte.

Um sich einzuloggen verwendet man dann etwas in der Art

# ssh -o "UserKnownHostsFile=~/.ssh/known_hosts.initramfs" \
	-i "~/id_rsa.initramfs" root@initramfshost.example.com \
	"echo -ne \"secret\" >/lib/cryptsetup/passfifo"

Weitere Details findet man unter /usr/share/doc/cryptsetup/README.remote auf der Festplatte von Debian.
Viel Spass beim basteln und immer schön lange Passwörter verwenden.

DISCLAIMER: Das obige setup ist nicht 100% sicher. ein lokaler Angreifer kann immer noch böse Dinge tun. Ich habe daher (als zusätzliche Hürde) bei mir die /boot partition im normalbetrieb nur read-only gemounted. Kann ein Angreifer aber unbemerkt darauf rumschreiben, wird Sicherheit schwierig. Man könnte im ssh noch den hash des initramfs-images prüfen, aber auch das ist nicht sicher, da der Angreifer ja das hash-tool ersetzten könnte. Aber alles in allem muss der Angreifer mit diesen Massnahmen sehr viel wissen mitbringen, und auch entsprechend vorbereitet sein. Ein Fehler, und der Angriff wird erkannt.

Flattr this!

Comments 1 Comment »

Mein guter alter root-server hat schon ein paar jährchen auf dem Buckel. Und so langsam wird er langsam. Daher ist die NAchfolgergeneration angetreten, und die kann sich sehen lassen:

# free
             total       used       free     shared    buffers     cached
Mem:      16383360     118592   16264768          0       3908      18624
-/+ buffers/cache:      96060   16287300
Swap:     33553328          0   33553328

# df -h
Filesystem            Size  Used Avail Use% Mounted on
/dev/md2             1016G  706M  965G   1% /
tmpfs                 7.9G     0  7.9G   0% /lib/init/rw
udev                  7.9G  164K  7.9G   1% /dev
tmpfs                 7.9G     0  7.9G   0% /dev/shm
/dev/md1              496M   31M  440M   7% /boot
/dev/md3              1.7T  196M  1.6T   1% /home

processor    : 7
vendor_id    : GenuineIntel
cpu family    : 6
model        : 42
model name    : Intel(R) Core(TM) i7-2600 CPU @ 3.40GHz
stepping    : 7
cpu MHz        : 1600.000
cache size    : 8192 KB
physical id    : 0
siblings    : 8
core id        : 3
cpu cores    : 4
apicid        : 7
initial apicid    : 7
fpu        : yes
fpu_exception    : yes
cpuid level    : 13
wp        : yes
flags        : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts 
acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx rdtscp lm constant_tsc arch_perfmon pebs bts rep_good 
xtopology nonstop_tsc aperfmperf pni pclmulqdq dtes64 monitor ds_cpl vmx smx est tm2 ssse3 cx16 xtpr 
pdcm sse4_1 sse4_2 x2apic popcnt aes xsave avx lahf_lm ida arat tpr_shadow vnmi flexpriority ept vpid
bogomips    : 6822.88
clflush size    : 64
cache_alignment    : 64
address sizes    : 36 bits physical, 48 bits virtual
power management:

Also nicht wundern wenn es mal etwas holprig wird, ich bin am Zügeln 😀

Flattr this!

Comments Comments Off on Ruhestand