Après avoir essayé plusieurs tutoriels qui ne marchaient pas pour la partie déchiffrement du disque, voici la bidouille simple (mais peut-être pas très orthodoxe) qui fonctionne sous debian wheezy 7.7

prérequis¶

(installation)

• Installer dropbear sur le serveur contenant le disque dur chiffré que l’on veut pouvoir déchiffrer à distance (et installer aussi busybox si pas présent)
  

  sudo apt-get install dropbear

(configuration)

• À l’installation dropbear génère une paire de clé et met à jour l’initrd.
• Par défaut, la connexion au réseau est configurée automatiquement par DHCP. Si on veut une ip statique, définir le paramètre ip= dans les paramètres du kernel (/etc/default/grub)GRUB_CMDLINE_LINUX_DEFAULT="quiet ip=xxx.xxx.xxx.xxx::yyy.yyy.yyy.yyy:zzz.zzz.zzz.zzz::eth0:none" avec xxx.xxx.xxx.xxx l’ip, yyy.yyy.yyy.yyy la passerelle et zzz.zzz.zzz.zzz le masque réseau.

(authentification)

• Il faut avoir placé la clé publique (id_rsa.pub) de son propre client SSH dans le fichier /etc/initramfs-tools/root/.ssh/authorized_keys de dropbear sur le serveur.
  Avant cela il faut donc:
  • générer une paire de clé pour authentification SSH sur l’ordinateur client

    ssh-keygen -b 4096

  • zipper le fichier de la clé publique ! (il se termine par .pub) avant de l’envoyer

    gzip ~/.ssh/id_rsa.pub

  • envoyer le zip de la clé publique sur le serveur distant où est installé dropbear

     sudo scp -P 3333 '~/.ssh/id_rsa.pub.gz' login@ip.du.serveur:/home/login/id_rsa.pub.gz

    (-P est nécessaire si vous avez changé le numéro de port du serveur SSH, “login” est votre nom d’utilisateur sur le serveur, et “ip.du.serveur” est l’adresse ip de votre serveur)
  • se connecter sur le serveur distant contenant dropbear

    ssh -p 3333 login@ip.du.serveur

  • dézipper le fichier qu’on a envoyé précédemment

    unzip ~/id_rsa.pub.gz

  • passer root

     su root

  • faire une copie de secours de fichier

    cp /etc/initramfs-tools/root/.shh/authorized_keys /etc/initramfs-tools/root/.shh/authorized_keys.bak

  • rajouter notre clé publique à la liste des clés authorisées par dropbear

    cat /home/login/id_rsa.pub >> /etc/initramfs-tools/root/.shh/authorized_keys

    (remplacer “login” par votre nom d’utilisateur sur le serveur
  • attention !! bien penser à régénérer l’initramfs sur le serveur distant après toute modification du paramétrage grub ou dropbear

    update-initramfs -u -k all

    . Sinon, les modifications ne seront pas prises en compte.

Lu sur un forum: il pourrait y avoir sur certaines versions de dropbear un problème avec l’autorisation de clés extérieures. Ce problème n’a pas été rencontré ici.
Le problème peut être contourné en copiant la clé privée générée par dropbear qui est sur le serveur distant et en la collant dans le dossier de clés ssh de l’ordinateur client. Ainsi la première clé publique autorisée par défaut par dropbear étant la propre clé que dropbear a généré automatiquement pendant son installation, en possédant la clé privée de dropbear sur le client SSH on peut bien s’authentifier. Cette clé générée par dropbear n’a cependant pas de mot de passe pour la protéger. (Testé, ça fonctionne)

se connecter à DROPBEAR:¶

Testé uniquement en réseau local pour l’instant

• entrer la commande
  

  ssh -o "UserKnownHostsFile=~/.ssh/known_hosts.initramfs" -i ~/.ssh/id_rsa_dropbear root@ip.du.serveur

  
  (id_rsa_dropbear correspond au nom de la clé privée sur le client SSH et peut bien sur être différent)
  le login root est apparemment (à vérifier) le seul possible pour cette manoeuvre.
  Pour la suite il est bien sûr conseillé d’avoir désactivé le login root du serveur open-ssh qui prend le relai après dropbear

Déchiffrer le disque dur et lancer le système d’exploitation¶

• Une fois connecté avec un shell dans dropbear, il faut éxécuter la commande cryptsetup qui permet de déchiffrer votre disque.
  Pour avoir la commande exacte qui est éxécutée automatiquement lorsque le serveur démarre et qui demande la passphrase, mais qu’on ne voit pas encore par SSH, il faut lister les processus en cours sur le serveur en éxécutant la commande
  

  ps

  
  puis trouver la commande ainsi listée qui contient “cryptsetup luksOpen” pour l’éxécuter dans le shell en la copiant/collant. Une commande qui ressemble à :
  

  /sbin/cryptsetup -T 1 luksOpen /dev/disk/by-uuid/1e280824-699f-4b88-878f-111bd609eba1 md1_crypt --key-file=-

  
  A l’invitation, entrer la passphrase pour déchiffrer le disque du serveur

• Une fois le disque dur déchiffré, il faut arrêter une autre commande qui attend une réponse sur la console du serveur. Cette commande listée avec PS est /lib/cryptsetup/askpass. Si on ne fait pas ça le système ne démarre jamais. Utiliser le PID correspondant à cette commande que donnera PS et lancer:
  

  kill -9 PID

Avec Debian 10 Buster, il faut également tuer la commande “cryptsetup” qui tourne en tache de fond.

• le système démarre sans rien afficher dans le shell dropbear. Se déconnecter de dropbear:
  

  exit

• Se connecter ensuite normalement en SSH pour l’administration du serveur si besoin.

• Note, durant le boot, il faut ajouter “pre-up ip addr flush dev eth0” dans /etc/network/interfaces pour que ifup fonctionne correctement, sinon, la machine reste dans la configuration réseau de l’initramfs

Notes sur l’accès par internet¶