Как открыть порт в начале процесса загрузки, чтобы разблокировать LUKS через SSH

У меня есть полностью зашифрованный сервер под управлением Debian 7, и я настроил dropbear и busybox, чтобы разблокировать контейнер LUKS через SSH (как описано в этом руководстве и в этом ответе U & L ).

К сожалению, всякий раз, когда я пытаюсь и SSH к серверу (через локальную сеть) при перезагрузке, я получаю ошибку «Отказано в соединении». Я попытался telnetи nmapпорт по умолчанию (22), и оба говорят, что порт закрыт.

На сервере есть ufwправило для приема всего трафика из локальной сети:

Anywhere         ALLOW       192.168.1.0/24

Я попытался изменить порт , который прослушивает Dropbear на в , /etc/defaults/dropbearно sshи telnetпо - прежнему отказывались соединения ¹ .

Как я могу убедиться, что на этом этапе процесса загрузки порт открыт, чтобы я мог подключиться, чтобы разблокировать контейнер LUKS?

Отключение брандмауэра не имеет значения: nmapпоказывает, что все порты все еще закрыты.

Обновление 2/14

Я добавил break=premountв строку ядра и покопался в initramfs. dropbearзапущен, но в данный момент сеть не работает. После выхода из сети запускается и загрузка продолжается до тех пор, пока не появится приглашение разблокировать устройство LUKS.

В этот момент сеть работает , и хосту назначен правильный IP-адрес, но порт 22 по-прежнему закрыт.

Линия IP, /etc/initramfs-tools/intiramfs.confкоторую я использую:

export IP=192.168.1.200::192.168.1.1:255.255.255.0::eth0:off

В соответствии с указаниями, /usr/share/doc/cryptsetup/README.remote.gzя попытался просто добавить опцию устройства, но этого недостаточно для подключения к сети и получения аренды DHCP.

Обновление 10/10/14

Ответ Карла был то, что требовалось: настройка /etc/initramfs-tools/conf.d/cryptrootбыла ключом:

target=md1_crypt,source=UUID=8570d12k-ccha-4985-s09f-e43dhed9fa2a

Это руководство также оказалось более современным и актуальным (и успешным).

Я получил эту же проблему несколько недель назад (Debian Wheezy 7.6), и после нескольких дней устранения неполадок я обнаружил, что отсутствовал файл конфигурации, который мешал скрипту cryptroot на init-top работать правильно, поэтому он не останавливался спросить пароль через ssh, убив dropbear в конце последовательности (init-bottom).

Файл конфигурации вызывается cryptrootи должен быть в разделе /etc/initramfs-tools/conf.d/ Если я не ошибаюсь, что файл конфигурации должен был быть создан автоматически во время установки (я прочитал только одно руководство, говорящее об этом файле конфигурации), но почему-то этого не произошло (проверено на физическом сервере и в ВМ, та же ОС и версии)

Мне потребовалось несколько попыток, чтобы правильно настроить его, так как я не мог найти правильный синтаксис в то время. Мой файл конфигурации cryptroot выглядит следующим образом:

target=crypt-root,source=/dev/vg0/root,lvm=root

После создания файла конфигурации просто обновите initramfs и попробуйте снова:

update-initramfs -u

Тема не в порядке. Проблема не в закрытом порту, а в том, что он не был связан. SSHd еще не запущен; вот почему вы не можете подключиться к нему.

Предполагается, что dropbear (ssh-сервер) запускается очень рано во время фазы загрузки - раньше, чем последовательность init(rcN.d) и сценарии инициализации брандмауэра; даже раньше, чем / смонтировано (тоже зашифровано, верно?). Итак initramfs, предварительная / пользовательская область загружается для ядра загрузчиком. Изображение (ре) генерируется update-initramfs -uиз содержимого /etc/initramfs-tools/, включая конфигурацию dropbear в /etc/initramfs-tools/etc/dropbear/. Чтобы поиграть с конфигом dropbear, поиграйте с ним.

Таким образом, несколько пунктов, чтобы проверить:

• dropbear не запускается: он плохо подключен к последовательности initramfs;
• брандмауэр по умолчанию запрещает все.