Bagaimana cara me-reboot server tanpa kepala dengan frasa sandi?

6

Saya memiliki komputer desktop lama yang ingin saya gunakan sebagai server tanpa kepala.

Dengan monitor dan layar terpasang, saya menginstal edisi Ubuntu Server dengan LVM terenkripsi pada mesin. Setelah instalasi saya reboot dan, masih dengan monitor dan keyboard terpasang, mengisi kata sandi dan bisa login. Saya dapat masuk ke server dari laptop saya. Sejauh ini bagus.

Kemudian saya memutus monitor dan keyboard dan me-reboot desktop dari jarak jauh melalui ssh dari laptop. Setelah mem-boot ulang, saya mendengar dua bip. Ketika saya mencoba masuk lagi melalui ssh saya mendapat pesan:

$ ssh plectrophenax.local

ssh: Tidak dapat menyelesaikan nama host plectrophenax.local: Nama atau layanan tidak dikenal

Ketika saya memasang kembali monitor ke server, saya melihat pesan itu

Pemuatan grub

Membuka kunci disk / dev / disk / by-uuid / de99e2c0-56d7-473b-f134FF5bd634 (sda1_crypt)

Masukkan frasa sandi:

Jadi rupanya menunggu saya untuk memasukkan kata sandi saya sebelum akan boot.

Jadi bagaimana cara memasukkan frasa sandi ini dari jarak jauh?

— BiGeek
sumber

6

Kamu tidak bisa Frasa sandi di sini tepat untuk membuatnya tidak mungkin.

— wazoox
sumber

1

Membuat saya bertanya-tanya mengapa mereka menawarkan enkripsi selama proses instalasi jika saya tidak dapat menggunakannya. Lagi pula, bagaimana cara menghapus enkripsi sehingga saya bisa masuk dari jarak jauh?

— BioGeek

Anda bisa menggunakannya. Ini dimaksudkan untuk digunakan dengan cara ini. Apa gunanya enkripsi disk jika didekripsi secara otomatis tanpa ada rahasia pengguna?

— sybreon

Enkripsi adalah alat, terserah Anda tahu mengapa dan kapan menggunakannya. Namun, Anda dapat membuka kunci perangkat terenkripsi, menyalin kontennya di tempat lain, kemudian memformat ulang perangkat dan menyalin kembali. AFAIK ini satu-satunya pilihan.

— wazoox

Sebenarnya, itu mungkin.

— Laurent Parenteau

5

Anda dapat melakukannya dengan menginstal server SSH ke initramfs Anda. Satu kemungkinan mudah adalah dengan menggunakan ssh-awal . Menginstal server SSH Dropbear langsung ke initramfs Anda. Dengan server yang berjalan Anda dapat login ke server Anda sebelum root fs mount dan masukkan kata sandi LUKS.

— holgerson.crusoe
sumber

4

Anda seharusnya tidak memiliki OS Anda untuk boot pada partion terenkripsi. Enkripsi / home, / var / www atau yang lainnya. Pastikan Anda dapat login sebagai root jika Anda telah mengenkripsi / home.

Untuk dengan mudah me-mount partisi Anda tetapi hanya setelah boot, tambahkan "noauto" ke baris fstab di kolom opsi, misalnya.

/dev/sda2 /home ext3 defaults,noauto 1 1

Atau, jika Anda ingin seluruh server berada di partisi terenkripsi, Anda bisa memvirtualisasikannya dengan openvz atau kvm, dan kemudian me-mount secara manual partisi, dan akhirnya memulai server virtual.

Tidak begitu bagus untuk uptime. Mengapa Anda ingin mengenkripsi partisi server?

— simonp
sumber

1

Anda dapat memodifikasi initramfs sehingga memasukkan kata sandi itu sendiri. Seperti yang dikatakan wazoox dan sybreon, ini bertentangan dengan tujuan mengenkripsi partisi.

Tetapi jika itu yang Anda inginkan, lihat posting ke-2 di sini .

— Laurent Parenteau
sumber

1

Baiklah, pertanyaan ini sudah cukup lama, tetapi karena banyak orang lain seperti saya masih bisa mencari solusi yang baik untuk masalah yang sama ini, di sini ada 2 yang terbaik yang berhasil saya temukan sejauh ini (setelah menghabiskan banyak jam mencoba beberapa konfigurasi mustahil ¬¬):

https://stinkyparkia.wordpress.com/2014/10/14/remote-unlocking-luks-encrypted-lvm-using-dropbear-ssh-in-ubuntu-server-14-04-1-with-static-ipst/

https://github.com/chadoe/luks-triple-unlock/blob/master/install.sh

Setelah mengkonfigurasi server seperti itu, seseorang dapat mendekripsi partisi LUKS melalui SSH (menggunakan kata sandi atau tombol rsa) atau USB flash drive dan membiarkan sistem boot seperti biasa. Cukup berguna dalam kasus saya.

— Alberto Martín
sumber