Îmi rulez serverul de acasă (Ubuntu 20.04 LTS) cu rădăcină criptată și încerc să folosesc dropbear în initramfs pentru a-l putea debloca de la distanță în timpul pornirii.
Pentru a configura capacitatea de deblocare de la distanță, am urmat practic acest ghid: Cum să instalați serverul Ubuntu 18.04.x criptat LUKS și să activați deblocarea de la distanță
Pe MacBook-ul meu am creat cu succes o pereche de taste ssh:
(bază) myuser@myMBP ~ % ssh-keygen -t rsa -b 4096
După aceea, am adăugat cheia publică nou generată la /etc/dropbear-initramfs/authorized_keys:
myuser@myserver:~$ cat /etc/dropbear-initramfs/authorized_keys
no-port-forwarding,no-agent-forwarding,no-x11-forwarding,command=/bin/cryptroot-unlock ssh-rsa <here-goes-my-ssh-pubkey> [email protected]
După aceea, alergând myuser@myserver:~$ sudo update-initramfs -c -k all totul a mers bine.
Cu toate acestea, încercarea de a vă conecta la serverul Dropbear SSH nu funcționează:
(bază) myuser@myMBP ~ % ssh -i ~/.ssh/id_rsa -o "HostKeyAlgorithms ssh-rsa" -p 9999 [email protected] -vvv
OpenSSH_8.6p1, LibreSSL 2.8.3
debug1: Citirea datelor de configurare /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config linia 21: include /etc/ssh/ssh_config.d/* nu se potrivește niciun fișier
debug1: /etc/ssh/ssh_config linia 54: Se aplică opțiuni pentru *
debug2: resolve_canonicalize: numele de gazdă 192.168.xxx.xxx este adresa
debug3: UserKnownHostsFile extins „~/.ssh/known_hosts” -> „/Users/myuser/.ssh/known_hosts”
debug3: UserKnownHostsFile extins „~/.ssh/known_hosts2” -> „/Users/myuser/.ssh/known_hosts2”
debug1: Furnizorul de autentificare $SSH_SK_PROVIDER nu a rezolvat; dezactivarea
debug3: ssh_connect_direct: intrare
depanare1: se conectează la portul 9999 192.168.xxx.xxx [192.168.xxx.xxx].
debug3: set_sock_tos: setați soclul 3 IP_TOS 0x48
debug1: Conexiune stabilită.
debug1: fișier de identitate /Users/myuser/.ssh/id_rsa tip 0
debug1: fișier de identitate /Users/myuser/.ssh/id_rsa-cert tip -1
debug1: șir de versiune locală SSH-2.0-OpenSSH_8.6
debug1: versiunea 2.0 a protocolului la distanță, versiunea software la distanță dropbear_2019.78
debug1: compat_banner: nu se potrivește: dropbear_2019.78
debug2: fd 3 setarea O_NONBLOCK
debug1: se autentifică la 192.168.xxx.xxx:9999 ca „rădăcină”
debug3: trimite pachet: tip 20
depanare1: SSH2_MSG_KEXINIT trimis
debug3: primire pachet: tip 20
depanare1: SSH2_MSG_KEXINIT primit
debug2: propunere KEXINIT client local
debug2: algoritmi KEX: curve25519-sha256,[email protected],ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-hellman6,-diffshaie25 -sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,ext-info-c
debug2: algoritmi cheie gazdă: ssh-rsa
debug2: cifruri ctos: [email protected],aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]
debug2: cifre stoc: [email protected],aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]
debug2: MAC-uri ctos: [email protected],[email protected],[email protected],[email protected],hmac [email protected],[email protected],[email protected],hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: MAC-uri stoc: [email protected],[email protected],[email protected],[email protected],hmac [email protected],[email protected],[email protected],hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: compresie ctos: none,[email protected],zlib
debug2: compresie stoc: none,[email protected],zlib
debug2: limbi ctos:
debug2: limbi stoc:
debug2: first_kex_follows 0
debug2: rezervat 0
debug2: propunere peer server KEXINIT
debug2: algoritmi KEX: curve25519-sha256,[email protected],ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256, diffie-hellman-group6,diffiesha25hell-group14-sha2-nistp384 ,[email protected]
debug2: algoritmi cheie gazdă: ecdsa-sha2-nistp256, ssh-rsa, ssh-dss
debug2: criptează ctos: aes128-ctr,aes256-ctr,aes128-cbc,aes256-cbc,3des-ctr,3des-cbc
debug2: cifruri stoc: aes128-ctr,aes256-ctr,aes128-cbc,aes256-cbc,3des-ctr,3des-cbc
debug2: MAC-uri ctos: hmac-sha1-96, hmac-sha1, hmac-sha2-256
debug2: stoc MAC-uri: hmac-sha1-96, hmac-sha1, hmac-sha2-256
debug2: compresie ctos: [email protected],none
debug2: compresie stoc: [email protected],none
debug2: limbi ctos:
debug2: limbi stoc:
debug2: first_kex_follows 0
debug2: rezervat 0
debug1: kex: algoritm: curve25519-sha256
debug1: kex: algoritm cheie gazdă: ssh-rsa
debug1: kex: server->cifrare client: aes128-ctr MAC: hmac-sha2-256 compresie: niciuna
debug1: kex: client-> server cipher: aes128-ctr MAC: hmac-sha2-256 compresie: niciuna
debug3: trimite pachet: tip 30
debug1: aștept SSH2_MSG_KEX_ECDH_REPLY
debug3: primire pachet: tip 31
depanare1: SSH2_MSG_KEX_ECDH_REPLY primit
debug1: Cheie de gazdă a serverului: ssh-rsa SHA256:vdFXJflh1ltg2QQ6A8S5qnjtPBtKR3h6l548DAh6Hwk
depanare3: put_host_port: [192.168.xxx.xxx]:9999
depanare3: put_host_port: [192.168.xxx.xxx]:9999
debug3: record_hostkey: a găsit tipul de cheie RSA în fișierul /Users/myuser/.ssh/known_hosts:4
debug3: load_hostkeys_file: au fost încărcate 1 chei de la [192.168.xxx.xxx]:9999
debug1: load_hostkeys: fopen /Users/myuser/.ssh/known_hosts2: Nu există un astfel de fișier sau director
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts: Nu există un astfel de fișier sau director
debug1: load_hostkeys: fopen /etc/ssh/ssh_known_hosts2: Nu există un astfel de fișier sau director
debug1: Gazda „[192.168.xxx.xxx]:9999” este cunoscută și se potrivește cu cheia gazdă RSA.
debug1: Cheia găsită în /Users/myuser/.ssh/known_hosts:4
debug3: trimite pachet: tip 21
debug2: set_newkeys: modul 1
debug1: rekey-out după 4294967296 blocuri
debug1: SSH2_MSG_NEWKEYS trimis
debug1: aștept SSH2_MSG_NEWKEYS
debug3: primire pachet: tip 21
depanare1: SSH2_MSG_NEWKEYS primit
debug2: set_newkeys: modul 0
debug1: reintroduceți după 4294967296 blocuri
debug1: va încerca cheia: /Users/myuser/.ssh/id_rsa RSA SHA256:XizaS2UPC7m5C37NwgUVI8uPvLBzLINvRSBnpKGkzPE explicit
debug2: pubkey_prepare: terminat
debug3: trimite pachet: tip 5
debug3: primire pachet: tip 6
debug2: service_accept: ssh-userauth
depanare1: SSH2_MSG_SERVICE_ACCEPT primit
debug3: trimite pachet: tip 50
debug3: primire pachet: tip 51
debug1: Autentificări care pot continua: cheie publică
debug3: începe de la capăt, a trecut o cheie publică de listă diferită
debug3: cheie publică preferată, tastatură interactivă, parolă
debug3: authmethod_lookup publickey
debug3: rămas preferat: tastatură interactivă, parolă
debug3: authmethod_is_enabled publickey
debug1: Următoarea metodă de autentificare: cheie publică
debug1: Oferă cheie publică: /Users/myuser/.ssh/id_rsa RSA SHA256:XizaS2UPC7m5C37NwgUVI8uPvLBzLINvRSBnpKGkzPE explicit
debug3: trimite pachet: tip 50
debug2: am trimis un pachet publickey, așteptați răspuns
debug3: primire pachet: tip 51
debug1: Autentificări care pot continua: cheie publică
debug2: nu am trimis un pachet, metoda dezactivare
debug1: Nu mai sunt metode de autentificare de încercat.
[email protected]: Permisiune refuzată (cheie publică).
De ce am încercat să rezolv problema, am dat peste următorul bug Ubuntu: Cârligul Dropbear initramfs creează fișierul authorized_keys într-un folder nevalid dar aplicarea soluției sugerate nu a ajutat în cazul meu...
Ai vreo idee ce ar putea merge prost?
Mulțumesc anticipat,
omul de nisip
