Linux initramfs luks remote unlock

2024-04-29 by andreas

Um die Systemverschlüsselung eines Debian-Rechners aus der Ferne zu ensperren, benötigst Du folgende Pakete:

apt install dropbear-initramfs

Da Dropbear in der initramfs Zugriffe nur mittels SSH-Schlüssel erlaubt, kopierst Du Deinen öffentlichen Schlüssel nach /etc/dropbear/initramfs/authorized_keys. Um keine Probleme aufgrund unterschiedlicher Schlüssel von dropbear und dem „normalen“ OpenSSH zu bekommen, kann man dropbear einfach auf einem anderen Port horchen lassen. Dazu passt man die /etc/dropbear/initramfs/dropbear.conf an:

DROPBEAR_OPTIONS="-p 222 -s -j -k -I 60"

Um die Konfiguration abzuschliessen, muss man das initramfs noch updaten:

update-initramfs -u

Nach einem Neustart erreicht man den Rechner unter der vom DHCP-Server zugeteilten Adresse:

ssh root@<IP> -p 222
To unlock root partition, and maybe others like swap, run `cryptroot-unlock`.


BusyBox v1.36.1 (Debian 1:1.36.1-6) built-in shell (ash)
Enter 'help' for a list of built-in commands.

~ # cryptroot-unlock 
Please unlock disk nvme0n1p4_crypt: 
cryptsetup: nvme0n1p4_crypt set up successfully