パスフレーズを使用してヘッドレスサーバーを再起動する方法は?
ヘッドレスサーバーとして使い始めたい古いデスクトップコンピューターがあります。
モニターと画面を接続して、暗号化されたLVMを備えたUbuntuServerエディションをマシンにインストールしました。インストール後、再起動し、モニターとキーボードを接続したまま、パスフレーズを入力してログインできました。ラップトップからサーバーにログインできました。ここまでは順調ですね。
次に、モニターとキーボードを切断し、ラップトップからsshを介してリモートでデスクトップを再起動しました。再起動すると、ビープ音が2回鳴りました。 ssh経由で再度ログインしようとすると、次のメッセージが表示されます。
$ ssh plectrophenax.local
ssh:ホスト名を解決できませんでしたplectrophenax.local:名前またはサービスが不明です
モニターをサーバーに再接続すると、メッセージが表示されました
Grubの読み込み
ディスクのロック解除/ dev/disk/by-uuid/de99e2c0-56d7-473b-f134FF5bd634(sda1_crypt)
パスフレーズを入力してください:
そのため、パスフレーズが起動する前に、パスフレーズを入力するのを待っていたようです。
では、このパスフレーズをリモートで入力するにはどうすればよいですか?
これを行うには、SSHサーバーをinitramfsにインストールします。簡単な可能性の1つは、 early-ssh を使用することです。 DropbearSSHサーバーをinitramfsに直接インストールします。そのサーバーが実行されていると、ルートfsがマウントされる前にサーバーにログインしてLUKSパスワードを入力できます。
できません。パスフレーズは、それを不可能にするために正確にここにあります。
暗号化されたパーティションで起動するOSを用意しないでください。/home、/ var/wwwなどを暗号化するだけです。/homeを暗号化した場合は、rootとしてログインできることを確認してください。
パーティションを簡単にマウントするには、起動後にのみ、オプション列のfstab行に「noauto」を追加します。
/dev/sda2 /home ext3 defaults,noauto 1 1
または、サーバー全体を暗号化されたパーティションに配置する場合は、openvzまたはkvmを使用してサーバーを仮想化し、パーティションを手動でマウントして、最後に仮想サーバーを起動します。
ただし、稼働時間にはあまり適していません。なぜサーバーパーティションを暗号化したいのですか?
さて、この質問はかなり古いですが、私のような他の多くの人がまだこの同じ問題の良い解決策を探している可能性があるので、ここに私がこれまでに見つけた最高の質問が2つあります(多くの時間を費やした後)複数の不可能な構成を試す¬¬):
https://github.com/chadoe/luks-triple-unlock/blob/master/install.sh
サーバーをそのように構成した後、SSH(パスワードまたはrsaキーを使用)またはUSBフラッシュドライブを介してLUKSパーティションを復号化し、通常どおりシステムを起動できます。私の場合は非常に便利です。
パスワード自体を入力するようにinitramfsを変更できます。 wazooxとsybreonが言ったように、これはパーティションを暗号化するという目標に反します。
しかし、それが必要な場合は、2番目の投稿を見てください ここ 。