Debian System mit verschlüsslten Festplatten remote starten

Ich wollte einen Server im Keller mit verschlüsselten Festplatten über wakeonlan remote aufwecken und dann “aus der Ferne” die Passphrase für die Festplattenverschlüsselung eingeben. Die Anleitungen mit denen ich erfolgreich war sind die und die

Zuerst installieren wir dropbear

 sudo apt install busybox dropbear-initramfs
 echo 'DROPBEAR=y' >> /etc/initramfs-tools/initramfs.conf

Wie ist der Name der Netzwerkkarte?

 ifconfig | grep flags
 enp11s0f0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500

Was steht schon in der Konfiguration und dann den richtigen Eintrag setzten

  grep DEVICE /etc/initramfs-tools/initramfs.conf
  sed -i 's/DEVICE=/DEVICE=enp11s0f0/'  /etc/initramfs-tools/initramfs.conf

Jetzt ist es richtig

 grep DEVICE /etc/initramfs-tools/initramfs.conf
 # DEVICE: ...
 DEVICE=enp11s0f0

Die Netzwerkkarte soll schön über DHCP booten

echo 'IP=:::::enp11s0f0:dhcp' >> /etc/initramfs-tools/initramfs.conf

Auf einem Client habe ich einen speziellen SSH Key generiert

/.ssh$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_rsa): /home/user/.ssh/id_rsa_initram_server
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_rsa_initram_server.
Your public key has been saved in /home/user/.ssh/id_rsa_initram_server.pub.
The key fingerprint is:
SHA256:+FRsAJC4JLB29GnTnkFlasdfj..........

Dann den öffentlichen Key anschauen

  more id_rsa_initram_server.pub

und auf dem Server an die richtige Stelle einkopieren

vi /etc/dropbear-initramfs/authorized_keys
   ...
   ...

Dann das Bootpaket neu bauen (um die deprecated Meldung kümmere ich mich später)

sudo update-initramfs -u
update-initramfs: Generating /boot/initrd.img-4.9.0-8-amd64
dropbear: WARNING: Setting DROPBEAR in /etc/initramfs-tools/initramfs.conf is deprecated and will be ignored in a future release

Wenn der Server dann hochfährt kann ich mich über Port 22 mit dem SSH Key als root anmelden

ssh -i .ssh/id_rsa_initram_server root@192.168.xxx.yyy -p 22  
Enter passphrase for key '.ssh/id_rsa_initram_server':
To unlock root partition, and maybe others like swap, run `cryptroot-unlock`

und lande in der kleinen Shell

BusyBox v1.22.1 (Debian 1:1.22.0-19+b3) built-in shell (ash)
Enter 'help' for a list of built-in commands.

Mit dem Befehl werde ich aufgefordert die Passphrase einzugeben.

cryptroot-unlock
Please unlock disk sda3_crypt:

Und wenn diese richtig ist wird im Hintergrund dann die Festplatte aufgeschlossen und der Rechner bootet. Sobald der normale SSH Dienst läuft wird meine kleine Bootshell beendet

Connection to 192.168.xxx.yyy closed by remote host.

Und ich kann mich normal an dem Server über SSH anmelden.

28.9.18 Weitere Beiträge zu: Debian SSH

Dies ist ein privater Blog von Hagen Bauer- berufstätiger Vater, Ehemann, Naturliebhaber, Läufer, Zelter, technikverliebt.


Creative Commons License
This blog is licensed under a Creative Commons License