ubuntuusers.de

Hallo ubuntuuser,

ich habe vor Dropbear als init.d zu konfigurieren, damit ich mein vollverschlüsselten Server übers Netz starten kann (starten mit WOL, Passphrase über ssh-dropbear). Folgene Hilfen habe ich mir gesucht:

http://wiki.ubuntuusers.de/Verschl%C3%BCsseltes_System_via_SSH_freischalten

http://www.thomas-krenn.com/de/wiki/Voll-verschl%C3%BCsseltes-System_via_SSH_freischalten

Problem: Wenn ich Dropbear installiere kommt die Meldung:

...
update-initramfs: Generating /boot/initrd.img-3.2.0-23-generic
cp: Aufruf von stat für »/lib/libnss_*“ nicht möglich: Datei oder Verzeichnis nicht gefunden

habe in die /etc/initramfs-tools/initramfs.conf "DROPBEAR=y" hinzugefügt. und

DEVICE=eth0
IP=eth0:DHCP

Wenn ich den Server neustarte kommt die Meldung:

Begin: Starting dropbear ... ipconfig can't parse IP address 'eth0'
...
Begin: Running /scripts/local-top ... /scripts/init-premount/dropbear: .: line 32: can't open '/tmp/net-eth0.conf

Komm da echt nicht weiter. Vieleicht kann mir hier ja jemand helfen.

So habe es hinbekommen. Habe in der /etc/initramfs-tools/initramfs.conf einfach die Zeilen:

DEVICE=eth0
IP=eth0:DHCP

entfernt. Jetzt hat dropbear eine IP und kann angepingt werden.

Jetzt abe ich aber schon das nächste Problem. Habe mir mit "ssh-keygen" Keys erstellt und den Public Key auf den Server in die "/etc/initramfs-tools/root/.ssh/authorized_keys" geschrieben. (in der authorized_keys steht jetzt "nur" der pub-key vom client). beim Versuch zu verbinen mit:

sudo ssh -i  dropbearkey -o UserKnownHostsFile=known_hosts root@192.168.100.28

bekomme ich:

root@192.168.100.28's password: 
Permission denied (publickey,password).

Rechte: -rw-––– 1 root root 381 Mai authorized_keys

Müsste ja eigentlich so funktionieren. Genau wie bei openssh (und das läuft wunderbar). Keine Ahnung was ich jetzt noch machen kann.

PS: Wo kann man bei dropbear im initfs die Passwortauthentifizierung deaktivieren, so das nur publickey akzeptiert wird?

Habs gelöst, war ein Bug.

@teachai

Mich wuerde interessieren wie Du das geloest hast und wo es eine Dokumentation zu diesem Bug gibt. Danke.

Hi,

echt blöd das ich das nicht dokumentiert habe. Ich schau am WE aber nochmal nach. Hoffe ich finde die Lösung des Problems das ich damals hatte. Der Bug war meine ich aber auch bekannt.

Viele Grüße

Ja der Bug ist bekannt. Ich frage nur da ich noch keinen Beitrag gesehen habe in dem jemand mit selbst erstellten Keys sich auf seinem Server/Desktop per SSH anmelden kann, bevor root nicht decrypted wurde. Die Loesungen die ich gesehen habe gehen alle nur mit einem Debian Trick, der aber immer auf vom Server kopierte Keys beruht. Desktop immer Linux. Von Windows via Putty gibts eine Anleitung, hat aber bisher nur beim Ersteller des Artikels funktioniert.

Bin gespannt.

teachai schrieb:

Problem: Wenn ich Dropbear installiere kommt die Meldung:

...
update-initramfs: Generating /boot/initrd.img-3.2.0-23-generic
cp: Aufruf von stat für »/lib/libnss_*“ nicht möglich: Datei oder Verzeichnis nicht gefunden

Habe das gleiche Problem unter Ubuntu 12.04.2 LTS. Abhilfe: In der Datei "/usr/share/initramfs-tools/hooks/dropbear" in Zeile 30 steht:

1

cp /lib/libnss_* "${DESTDIR}/lib/"

ersetzen durch:

1

cp /lib/x86_64-linux-gnu/libnss_* "${DESTDIR}/lib/"

Ob das richtig ist, weiß ich nicht 😀 Aber zumindest meckert er dann nicht mehr.

teachai schrieb:

Wenn ich den Server neustarte kommt die Meldung:

Begin: Starting dropbear ... ipconfig can't parse IP address 'eth0'
...
Begin: Running /scripts/local-top ... /scripts/init-premount/dropbear: .: line 32: can't open '/tmp/net-eth0.conf

Wenn ich

DEVICE=eth0
IP=eth0:DHCP

setze, kommt bei mir das gleiche. Ich bekomme aber auch keine IP, wenn das nicht gesetzt ist. Er versucht und versucht, aber es klappt nicht... Folgendermaßen konnte ich es fixen: Die Datei "/usr/share/initramfs-tools/scripts/init-premount/dropbear" bearbeiten. In Zeile 32 steht:

1

configure_networking &

Ersetzen durch:

1

ipconfig eth0 &

Abschließend die Ramdisks erneuern ("sudo update-initramfs -u -k all") und neu starten.

Der Bug muss dann wohl in der Funktion "configure_networking" in der Datei "/usr/share/initramfs-tools/scripts/functions" liegen...