Nach einem erneuten Anlauf funktioniert es tadellos, um genau sagen zu können, was jetzt entscheidend war, müsste ich vermutlich das System neu aufsetzen und noch einmal von vorne beginnen. Trotzdem versuche ich einmal so weit wie nachvollziehbar zusammenzufassen.
–-
Auf dem Server ...
Zuerst muss dropbear installiert installiert werden. Die Warnung bezüglich "invalid authorized_keys file" kann ignoriert werden.
sudo apt-get --assume-yes install dropbear-initramfs
Dann muss die Datei /etc/dropbear-initramfs/config mit root-Rechten bearbeitet werden. In der Zeile DROPBEAR_OPTIONS muss die Auskommentierung # entfernt werden und die folgenden Optionen eingetragen werden.
DROPBEAR_OPTIONS="-p 4748 -s -j -k -I 60"
–-
Auf dem Client ...
Muss ein SSH-Schlüsselpaar erzeugt werden und der Public Key auf dem Server in die Datei /etc/dropbear-initramfs/authorized_keys kopiert werden. (Das können vermutlich alle ausser dem dümmsten Esel - mir - merci frostschutz 😉).
–-
Auf dem Server ...
Damit die Änderungen in Dropbear aufgenommen werden, muss dieser aktualisiert werden.
sudo update-initramfs -u
–-
Auf dem Server ... (unklar)
In fast allen Anleitungen kommt ein Abschnitt, in dem die Netzwerkparameter bearbeitet werden. Auch in derjenigen die ich zuletzt verwendet habe (siehe Link unten → Kernel IP parameters). Soweit ich das nachvollziehen kann, kann dieser Teil ausgelassen werden (zumindest wenn über den Router statische IP-Adressen verteilt werden).
Wenn es nicht funktioniert, würde ich in der Datei /etc/dropbear-initramfs/config rumspielen. Zumindest vorübergehend habe ich dort, weil solange die Zeile in Grub eingetragen war das Netzwerk nach dem Bootvorgang nicht mehr funktioniert hat, folgendes eingetragen:
IP=client-ip::gateway-ip:netmask::eth0:off
Statt eth0 muss der mit ifconfig herausfindbare Name des Netzwerks verwendet werden. Die client-ip ist der Server 😉 also die IP-Adresse des Rechners zu dem eine Verbindung hergestellt werden soll. Falls man da etwas eingetragen hat, braucht es wieder ein
sudo update-initramfs -u
–-
Auf dem Server ...
Nach einem Neustart sollte man sich eigentlich vom Client aus einloggen können.
–-
Auf dem Client ...
Eine Verbindung zum Server herstellen:
ssh -i ~/.ssh/id_rsa root@server -p 4748
mit dem Befehl
cryptroot-unlock
und anschliessend dem Passwort kann das System entsperrt werden.
Fertig.
–-
Die detaillierte Anleitung, an der ich mich zuletzt abgemüht habe, findet sich unter https://hamy.io/post/0009/how-to-install-luks-encrypted-ubuntu-18.04.x-server-and-enable-remote-unlocking/