Всякая система является компромиссом между безопасностью и удобством использования.
В построенном NAS, существовала серьёзная проблема: нельзя было перезагрузить систему, не присутствуя на месте, что понижало уровень доступности данных.
Эта проблема не была критичной, до того момента, как начали аварийно отключать электричество: за три месяца два раза на несколько часов. ИБП рассчитан на кратковременные сбои и не предполагается работа от батарей более получаса (хотя реально — около часа), и при каждом таком отключении, чтобы снова включить систему, приходилось ездить в другой город.
Благодаря подсказке от ValdikSS, эту проблема была решена. Но...
Мне был нужен бондинг интерфейсов и удалённая разблокировка по SSH. А мануала, по которому возможно сделать сразу так, чтобы работало как мне надо, я не нашёл.
Поэтому, я привожу свой вариант решения с бондингом и динамическим IP, в котором систему возможно разблокировать, как локально, так и удалённо.
Напоминаю, что для выполнения этих настроек, вы должны иметь локальный физический доступ к NAS и резервные возможности для загрузки.
Бондинг в initramfs
Поскольку, в NAS два интерфейса объединены в один канал, решено было также сделать и при загрузке.
Из вопроса "Using NFS-root with bonded interfaces" я взял скрипт. Статья "How to manage linux bonding without ifenslave using sysfs" помогла в настройке бондинга.
Сначала нужно включить в initramfs модули, которые используются для работы сети. Делается это следующей командой:
while read m _; do
/sbin/modinfo -F filename "$m";
done </proc/modules | sed -nr "s@^/lib/modules/`uname -r`/kernel/drivers/net(/.*)?/([^/]+).ko$@2@p" >> /etc/initramfs-tools/modules
Теперь скопируйте два скрипта в /etc/initramfs-tools/scripts/
.
Первый нужен для того, чтобы поднять интерфейсы в бондинге:
#!/bin/sh -e
PREREQS=""
case $1 in
prereqs) echo "${PREREQS}"; exit 0;;
esac
echo "Network interfaces loaded: "
echo `ls /sys/class/net`
for x in $cmdline; do
case $x in
bondslaves=*)
bondslaves="${x#bondslaves=}"
;;
esac
done
IFS=","
for x in $bondslaves; do
echo "+$x" > /sys/class/net/bond0/bonding/slaves
done
Второй, чтобы деактивировать бондинг-интерфейс при продолжении загрузки:
#!/bin/sh -e
PREREQS=""
case $1 in
prereqs) echo "${PREREQS}"; exit 0;;
esac
if [ ! -d /sys/class/net/bond0 ]; then
exit 0
fi
echo "Remove bonding interface..."
for x in $cmdline; do
case $x in
bondslaves=*)
bondslaves="${x#bondslaves=}"
;;
esac
done
IFS=","
for x in $bondslaves; do
echo "-$x" > /sys/class/net/bond0/bonding/slaves
done
echo "-bond0" > /sys/class/net/bonding_masters
Если этого не сделать, сеть после загрузки не будет работать.
Не забудьте дать скриптам права на выполнение:
chmod +x /etc/initramfs-tools/scripts/init-premount/00_bonding_init /etc/initramfs-tools/scripts/init-bottom/iface_down
Остаётся только задать интерфейсы, которые войдут в бондинг и параметры получения адреса.
Адрес будет получаться по DHCP, т.к. бондинг будет иметь тот же MAC, что и после загрузки, потому роутер выдаст фиксированный IP и осуществит проброс портов.
Интерфейсы я получаю автоматически из тех, которые входят в бондинг bond0
при работающем NAS:
sed -i "s/(GRUB_CMDLINE_LINUX_DEFAULT=)"(.*)"/1"2 $(echo -n ip=:::::bond0:dhcp bondslaves=$(sed -e 's/ /,/' /sys/class/net/bond0/bonding/slaves))"/" /etc/default/grub
Ну и напоследок обновите конфиг GRUB и образ initramfs:
update-grub
update-initramfs -u -k $(uname -r)
На этом всё. Если всё настроено корректно, после перезагрузки и запуска стартового скрипта в initrmafs, пинги на IP NAS будут идти, несмотря на то, что ОС ещё не загружена.
Замечу, что настройка бондинга в Dracut делается гораздо легче, потому что уже есть скрипты в поставке.
SSH сервер в initramfs
Установите пакет для включения Dropbear SSH в initramfs:
apt-get install dropbear-initramfs
Dropbear SSH будет включен в initrmafs автоматически, и он запустится, если на раннем этапе загрузки будет поднят хотя бы один сетевой интерфейс с IP адресом.
После этого сконвертируйте ключ Dropbear в формат OpenSSH и закройте его паролем:
/usr/lib/dropbear/dropbearconvert dropbear openssh /etc/dropbear/dropbear_rsa_host_key
id_rsa dropbearkey -y -f /etc/dropbear/dropbear_rsa_host_key |
grep "^ssh-rsa " > id_rsa.pub
ssh-keygen -p -f id_rsa
Ключ id_rsa
скопируйте на машину, с которой будет осуществляться разблокировка. Я буду предполагать, что он будет скопирован в каталог ~/.ssh/dropbear
.
В /etc/dropbear-initramfs/authorized_keys
должен быть указаны отпечатки ключа и параметры для каждого ключа.
Пока достаточно добавить отпечаток одного ключа, для чего надо выполнить следующую команду:
echo 'no-port-forwarding,no-agent-forwarding,no-X11-forwarding,command="/bin/cryptroot-unlock"' $(cat id_rsa.pub) >> /etc/dropbear-initramfs/authorized_keys
Никакие обёртки, упомянутые в статьях не нужны, /bin/cryptroot-unlock
— системный скрипт.
Примерно так должен выглядеть /etc/dropbear-initramfs/authorized_keys
в конечном итоге:
no-port-forwarding,no-agent-forwarding,no-X11-forwarding,command="/bin/cryptroot-unlock" ssh-rsa AAAA...XDa root@nas
Обновите конфиг GRUB и образ initramfs и перезагрузитесь:
update-grub
update-initramfs -u -k $(uname -r)
reboot
С машины, куда вы скопировали ключ теперь возможно подключиться к NAS и выполнить разблокировку:
$ ssh -i .ssh/dropbear/id_rsa_initram -o UserKnownHostsFile=.ssh/dropbear/known_hosts root@nas.NAS.cloudns.cc
Enter passphrase for key '.ssh/dropbear/id_rsa_initram':
X11 forwarding request failed on channel 0
Please unlock disk root_crypt1 (/dev/disk/by-id/ata-Samsung_SSD_850_PRO_256GB-part3):
После этого в консоль будет постоянно выдаваться ошибка об отсутствии аргумента, но разблокировка пойдёт. Это ошибка в системном скрипте разблокировки, которая ни на что не влияет (правится ошибка легко, но обёртки её не лечат).
Подробнее возможно посмотреть в этих статьях:
- Remote unlocking of LUKS-encrypted root in Ubuntu/Debian.
- Разблокировка через SSH полностью зашифрованного ubuntu-server 12.04.
- Remote unlocking LUKS encrypted LVM using Dropbear SSH in Ubuntu Server 14.04.1.
- Unlock full-encrypted system via SSH.
Автор: artiom_n