Comment ouvrir un port au début du processus de démarrage pour déverrouiller LUKS via SSH

J'ai un serveur entièrement crypté exécutant Debian 7 et j'ai configuré dropbear et busybox pour déverrouiller le conteneur LUKS via SSH (comme décrit dans ce tutoriel et dans cette réponse U&L ).

Malheureusement, chaque fois que j'essaye de SSH sur le serveur (via le LAN) au redémarrage, j'obtiens une erreur "Connexion refusée". Je l' ai essayé telnetet nmapau port par défaut (22) et autant dire que le port est fermé.

Le serveur a une ufwrègle pour accepter tout le trafic provenant du LAN:

Anywhere         ALLOW       192.168.1.0/24

J'ai essayé de changer le port qui écoute Dropbear sur dans /etc/defaults/dropbearmais sshet telnetsont des connexions toujours refusé ¹ .

Comment puis-je m'assurer qu'un port est ouvert à ce stade du processus de démarrage afin de pouvoir me connecter pour déverrouiller le conteneur LUKS?

La désactivation du pare-feu ne fait aucune différence: nmapaffiche tous les ports toujours fermés.

Mise à jour 2/14

J'ai ajouté break=premountà la ligne du noyau et j'ai fouillé dans les initramfs. dropbeara commencé, mais le réseau n'est pas opérationnel à ce stade. Après avoir quitté, le réseau apparaît et le démarrage se poursuit jusqu'à l'invite de déverrouillage du périphérique LUKS.

À ce stade, le réseau est en place et l'hôte a reçu la bonne adresse IP, mais le port 22 est toujours fermé.

La ligne IP que /etc/initramfs-tools/intiramfs.confj'utilise est:

export IP=192.168.1.200::192.168.1.1:255.255.255.0::eth0:off

Conformément aux instructions de /usr/share/doc/cryptsetup/README.remote.gzJ'ai essayé d'ajouter simplement l'option de périphérique, mais ce n'est pas suffisant pour mettre le réseau en place et obtenir un bail DHCP.

Mise à jour 11/10/14

La réponse de Karl était ce qu'il fallait: l'installation /etc/initramfs-tools/conf.d/cryptrootétait la clé:

target=md1_crypt,source=UUID=8570d12k-ccha-4985-s09f-e43dhed9fa2a

Ce guide s'est également révélé plus à jour et plus pertinent (et efficace).

J'ai eu ce même problème il y a quelques semaines (Debian Wheezy 7.6) et après quelques jours de dépannage, j'ai découvert qu'il manquait un fichier de configuration qui empêchait le script cryptroot sur init-top de fonctionner correctement, donc il ne s'arrêtait pas pour demander le mot de passe via ssh, tuant le dropbear à la fin de la séquence (init-bottom).

Le fichier de configuration est appelé cryptrootet devrait être sous /etc/initramfs-tools/conf.d/ Si je ne me trompe pas, ce fichier de configuration aurait dû être créé automatiquement lors de l'installation (j'ai lu un seul tutoriel parlant de ce fichier de configuration) mais d'une manière ou d'une autre il ne l'a pas fait (testé sur un serveur physique et dans une VM, même OS et versions)

Il m'a fallu quelques essais pour le configurer correctement, car je ne pouvais pas trouver la syntaxe appropriée à ce moment-là. Mon fichier de configuration cryptroot est le suivant:

target=crypt-root,source=/dev/vg0/root,lvm=root

Une fois le fichier de configuration créé, il suffit de mettre à jour les initramfs et de réessayer:

update-initramfs -u

La ligne d'objet est incorrecte. Le problème n'est pas un port fermé, c'est un port qui n'était pas lié. SSHd n'a pas encore commencé; c'est la raison pour laquelle vous ne pouvez pas vous y connecter.

Le dropbear (serveur ssh) est censé être démarré très tôt pendant la phase de démarrage - plus tôt que la initséquence (rcN.d) et les scripts d'initialisation du pare-feu; encore plus tôt que / est monté (il est également chiffré, non?). Il s'agit donc initramfsdu pré / userland chargé pour le noyau par le chargeur de démarrage. L'image est (re) générée par à update-initramfs -upartir du contenu de /etc/initramfs-tools/, y compris la configuration dropbear dans /etc/initramfs-tools/etc/dropbear/. Pour jouer avec la configuration dropbear, jouez avec celle-ci.

Ainsi, quelques points à vérifier:

• dropbear ne démarre pas: il n'a pas été bien connecté à la séquence initramfs;
• le pare-feu par défaut refuse tout.