हर प्रणाली सुरक्षा और प्रयोज्य के बीच एक समझौता है।

निर्मित एनएएस में , एक गंभीर समस्या थी: सिस्टम में जगह के बिना रिबूट करना असंभव था, जिससे डेटा उपलब्धता का स्तर कम हो गया था।

यह समस्या तब तक गंभीर नहीं थी, जब तक कि वे बिजली के आपातकाल को बंद नहीं करने लगे: तीन महीने तक, दो बार कई घंटों तक। यूपीएस को अल्पकालिक खराबी के लिए डिज़ाइन किया गया है और इसे आधे घंटे से अधिक समय तक बैटरी पर काम करने के लिए नहीं माना जाता है (हालांकि यह वास्तव में एक घंटे के बारे में है), और इस तरह के प्रत्येक शटडाउन के साथ, सिस्टम को वापस चालू करने के लिए, मुझे दूसरे शहर में जाना पड़ा।

ValdikSS के एक संकेत के लिए धन्यवाद, इस समस्या को हल कर दिया गया है। लेकिन ...

मुझे इंटरफेस बॉन्डिंग और रिमोट एसएसएच अनलॉकिंग की जरूरत थी। और मुझे ऐसा मैनुअल नहीं मिला जिसे तुरंत किया जा सके ताकि यह मेरी जरूरत के अनुसार काम करे।

इसलिए, मैं समाधान के अपने संस्करण को संबंध और गतिशील आईपी के साथ लाता हूं, जिसमें सिस्टम को स्थानीय और दूरस्थ रूप से अनलॉक किया जा सकता है।

मैं आपको याद दिलाता हूं कि इन सेटिंग्स को करने के लिए, आपके पास NAS और बैकअप बूट क्षमताओं के लिए स्थानीय भौतिक पहुंच होनी चाहिए।

Initramfs में संबंध

चूंकि, NAS में, दो इंटरफेस को एक चैनल में जोड़ा जाता है, इसलिए इसे बूट पर भी करने का निर्णय लिया गया था।

"एनएफएस-रूट का उपयोग बंधुआ इंटरफेस के साथ" सवाल से मैंने स्क्रिप्ट लिया। लेख "कैसे sysfs का उपयोग करके ifenslave के बिना लिनक्स संबंध का प्रबंधन करने के लिए" ने बॉन्डिंग स्थापित करने में मदद की।

पहले आपको इनट्राम्राम्स में मॉड्यूल शामिल करने की आवश्यकता होती है जो नेटवर्क को संचालित करने के लिए उपयोग किया जाता है। यह निम्नलिखित कमांड के साथ किया जाता है:

while read m _; do /sbin/modinfo -F filename "$m"; done </proc/modules | sed -nr "s@^/lib/modules/`uname -r`/kernel/drivers/net(/.*)?/([^/]+)\.ko\$@\2@p" >> /etc/initramfs-tools/modules 

अब दो स्क्रिप्ट को /etc/initramfs-tools/scripts/ कॉपी करें।

बॉन्डिंग में इंटरफेस बढ़ाने के लिए सबसे पहले आवश्यक है:

 #!/bin/sh -e PREREQS="" case $1 in prereqs) echo "${PREREQS}"; exit 0;; esac BOND_MASTER=${BOND_MASTER:-bond0} echo "Network interfaces loaded: " echo `ls /sys/class/net` if [ ! -e "/sys/class/net/${BOND_MASTER}" ]; then echo "Creating bonding master 'bond0'..." echo "+${BOND_MASTER}" > /sys/class/net/bonding_masters fi echo "Master interface: ${BOND_MASTER}" for x in $cmdline; do case $x in bondslaves=*) bondslaves="${x#bondslaves=}" ;; esac done IFS="," for x in $bondslaves; do echo "+$x" > "/sys/class/net/${BOND_MASTER}/bonding/slaves" done 

लोडिंग जारी रहने के दौरान बॉन्डिंग इंटरफ़ेस को निष्क्रिय करना दूसरा है:

 #!/bin/sh -e PREREQS="" case $1 in prereqs) echo "${PREREQS}"; exit 0;; esac if [ ! -d /sys/class/net/bond0 ]; then exit 0 fi echo "Remove bonding interface..." for x in $cmdline; do case $x in bondslaves=*) bondslaves="${x#bondslaves=}" ;; esac done IFS="," for x in $bondslaves; do echo "-$x" > /sys/class/net/bond0/bonding/slaves done echo "-bond0" > /sys/class/net/bonding_masters 

यदि ऐसा नहीं किया जाता है, तो बूट करने के बाद नेटवर्क काम नहीं करेगा।

स्क्रिप्ट को निष्पादित करने की अनुमति देना न भूलें:

 chmod +x /etc/initramfs-tools/scripts/init-premount/00_bonding_init /etc/initramfs-tools/scripts/init-bottom/iface_down 

यह केवल उन इंटरफेस को सेट करने के लिए बनी हुई है जो संबंध को प्राप्त करने और पते को प्राप्त करने के मापदंडों में शामिल होंगे।
पता डीएचसीपी के माध्यम से प्राप्त किया जाएगा, क्योंकि बॉन्डिंग में बूट के बाद एक ही मैक होगा, क्योंकि राउटर एक निश्चित आईपी जारी करेगा और बंदरगाहों को आगे बढ़ाएगा।

मैं उन लोगों से स्वचालित रूप से इंटरफेस प्राप्त करता हूं जो एनएएस के चलने के दौरान बंधन bond0 बॉन्ड में शामिल हैं:

 sed -i "s/\(GRUB_CMDLINE_LINUX_DEFAULT=\)\"\(.*\)\"/\1\"\2 $(echo -n ip=:::::bond0:dhcp bondslaves=$(sed -e 's/ /,/' /sys/class/net/bond0/bonding/slaves))\"/" /etc/default/grub 

अंत में, GRUB कॉन्फिगर और इनट्राम्राम्स इमेज को अपडेट करें:

 update-grub update-initramfs -u -k $(uname -r) 

वह सब है। यदि सब कुछ सही ढंग से कॉन्फ़िगर किया गया है, तो इनट्रामाफ्स में स्टार्टअप स्क्रिप्ट को रिबूट करने और शुरू करने के बाद, आईपी एनएएस पर पिंग्स चले जाएंगे, इस तथ्य के बावजूद कि ओएस अभी तक लोड नहीं हुआ है।

मैं ध्यान देता हूं कि ड्रैकुट में संबंध स्थापित करना बहुत आसान है, क्योंकि डिलीवरी में पहले से ही स्क्रिप्ट हैं।

Initramfs में SSH सर्वर

ड्रॉपबीयर SSH को initramfs में सक्षम करने के लिए पैकेज स्थापित करें:

 apt-get install dropbear-initramfs 

ड्रॉपबियर एसएसएच स्वचालित रूप से इनट्रामाफ में शामिल हो जाएगा, और यह शुरू हो जाएगा यदि आईपी पते के साथ कम से कम एक नेटवर्क इंटरफ़ेस बूट के प्रारंभिक चरण में उठाया जाता है।

उसके बाद, ड्रॉपबियर कुंजी को ओपनएसएसएच प्रारूप में बदलें और इसे पासवर्ड से बंद करें:

 /usr/lib/dropbear/dropbearconvert dropbear openssh \ /etc/dropbear/dropbear_rsa_host_key \ id_rsa dropbearkey -y -f /etc/dropbear/dropbear_rsa_host_key | \ grep "^ssh-rsa " > id_rsa.pub ssh-keygen -p -f id_rsa 

id_rsa कुंजी को उस मशीन पर id_rsa किया जाता है जिसके साथ अनलॉक किया जाएगा। मैं मान लूंगा कि इसे ~/.ssh/dropbear कॉपी किया जाएगा।

में /etc/dropbear-initramfs/authorized_keys , कुंजी फ़िंगरप्रिंट और प्रत्येक कुंजी के लिए पैरामीटर निर्दिष्ट होना चाहिए।

अभी के लिए, बस एक कुंजी का फिंगरप्रिंट जोड़ें, जिसके लिए आपको निम्नलिखित कमांड चलाने की आवश्यकता है:

 echo 'no-port-forwarding,no-agent-forwarding,no-X11-forwarding,command="/bin/unlock"' $(cat id_rsa.pub) >> /etc/dropbear-initramfs/authorized_keys 

लेखों में उल्लिखित किसी रैपर की जरूरत नहीं है, /bin/unlock - सिस्टम स्क्रिप्ट (क्रिप्टोकरेंसी-अनलॉक)।

यह वह है जो /etc/dropbear-initramfs/authorized_keys तरह अंत में दिखना चाहिए:

 no-port-forwarding,no-agent-forwarding,no-X11-forwarding,command="/bin/unlock" ssh-rsa AAAA...XDa root@nas 

GRUB कॉन्फ़िगरेशन और initramfs छवि को अपडेट करें और रिबूट करें:

 update-grub update-initramfs -u -k $(uname -r) reboot 

मशीन से जहां आपने कुंजी को कॉपी किया है, अब NAS से कनेक्ट करना और अनलॉक करना संभव है:

 $ ssh -i .ssh/dropbear/id_rsa_initram -o UserKnownHostsFile=.ssh/dropbear/known_hosts root@nas.NAS.cloudns.cc Enter passphrase for key '.ssh/dropbear/id_rsa_initram': X11 forwarding request failed on channel 0 Please unlock disk root_crypt1 (/dev/disk/by-id/ata-Samsung_SSD_850_PRO_256GB-part3): 

उसके बाद, कंसोल को लगातार तर्क की अनुपस्थिति के बारे में एक त्रुटि मिलेगी ( ash: -gt: argument expected ), लेकिन अनलॉकिंग जाएगी। यह सिस्टम अनलॉक स्क्रिप्ट में एक त्रुटि है जो कुछ भी प्रभावित नहीं करती है (त्रुटि को आसानी से ठीक किया जाता है, लेकिन रैपर इसे ठीक नहीं करते हैं)।

अधिक जानकारी इन लेखों में मिल सकती है:

• उबंटू / डेबियन में एलयूकेएस-एन्क्रिप्टेड रूट का रिमोट अनलॉकिंग ।
• SSH के माध्यम से अनलॉकिंग पूरी तरह से एन्क्रिप्टेड ubuntu-server 12.04 ।
• उबंटू सर्वर 04.14.1 में ड्रॉपबियर एसएसएच का उपयोग करके रिमोट अनलॉकिंग एलयूकेएस ने एलवीएम को एन्क्रिप्ट किया ।
• SSH के माध्यम से पूर्ण-एन्क्रिप्टेड सिस्टम अनलॉक करें ।

डिबगिंग

डिबगिंग के लिए, आप 00_bonding_init स्क्रिप्ट में /bin/sh बाद एक कॉल सम्मिलित कर सकते हैं:

 case $1 in prereqs) echo "${PREREQS}"; exit 0;; esac 

जब बॉन्डिंग समस्याएं हल हो जाती हैं, तो command="/bin/unlock" command="/bin/sh" को command="/bin/sh" साथ authorized_keys command="/bin/sh" में बदलें।

SSH के माध्यम से जुड़ने के बाद, आपको एक शेल के साथ प्रस्तुत किया जाएगा जिसका उपयोग आप डिबगिंग के लिए कर सकते हैं।