Cara mengenkripsi rootfs langsung di Arch Linux

3

Saya memiliki sistem Linux Arch yang berjalan di VPS. Rootfs diinstal pada partisi LVM. Saya ingin overlay wadah terenkripsi pada partisi ini, kemudian instal kembali rootfs di atasnya dan aktifkan ssh unlock saat boot via ssh. Saya senang membuang semua konten rootf yang ada dan membuat yang baru dari awal.

Saya mencoba melanjutkan sebagai berikut:

  1. buat rootf sementara baru di / tmp / newroot
  2. chroot untuk itu
  3. pada titik ini saya ingin benar-benar menghentikan semua layanan yang masih bergantung pada root lama, yang ada di partisi lvm (salah satunya adalah sshd itu sendiri), dan restart mereka dari root baru
  4. buat partisi terenkripsi di partisi lvm
  5. menginstal lengkungan Linux di atasnya dan memodifikasi intrafms dengan tepat

Untuk 1 dan 2 saya menggunakan image bootstrap archlinux yang disediakan di arch wiki . 4 dan 5 didokumentasikan dengan baik (misalnya di sini ).

Saya terjebak dengan langkah 3. Setelah saya chroot, menggunakan fuser saya bisa melihat ada banyak proses yang masih tergantung pada partisi lvm, yang tidak memungkinkan saya untuk overlay wadah terenkripsi di atasnya, dan saya tidak yakin tentang bagaimana untuk menghentikan mereka dan memulai kembali beberapa dari mereka dari root baru. Bunuh yang dieksekusi dari root asli menghentikan mereka, tetapi sebelum saya melakukannya! Saya harus me-restart beberapa dari mereka dari root baru (mis. Sshd), kalau tidak saya akan memotong sendiri. Saya mencoba memulai dari root baru dengan systemd , tetapi tidak berhasil karena mendeteksi bahwa kita berada dalam mode chroot. Saya mencoba meluncurkan mereka melalui baris perintah, dan tidak ada kesalahan yang dihasilkan, tetapi ketika saya mencari proses dengan ps , mereka tidak ada di sana.

Ada saran? Terima kasih

Fabio
sumber

Jawaban:

0

Dan jika ada kesalahan selama langkah 4 dan 5 Anda akan berakhir dengan sistem yang tidak bisa di-boot. Apakah VPS Anda memiliki ketersediaan 100% dijamin?

Jika enkripsi ulang "langsung" (atau online) bukan keharusan, cryptsetup-reencryptdapat menangani enkripsi ulang offline. Yang dibutuhkan hanyalah memperpanjang LV. Ada pekerjaan yang sedang berlangsung untuk memungkinkan reencrypsi langsung tetapi ini masih jauh dari stabil. Persyaratan ruang tambahan akan tetap ada, karena tidak ada banyak sistem file yang memungkinkan penyusutan online.

Jika menggunakan ruang disk tambahan adalah solusi yang dapat diterima, Anda dapat membuat volume fisik terenkripsi LUKS, menambahkannya ke grup volume dan menggunakan pvmove untuk memindahkan rootfs dari perangkat yang tidak dienkripsi.

Saya tidak berpikir ada solusi sederhana untuk pindah ke LV terenkripsi.

Orang Mars
sumber
VPS menawarkan layanan pemulihan-cadangan. Jadi setiap kali saya melakukan sesuatu yang salah, saya dapat memulai kembali dari awal.
Fabio
Ketersediaan 99,5%, tapi itu cukup baik. Saya tidak keberatan dari waktu ke waktu harus login dan mendekripsi ketika direset oleh sistem.
Fabio